用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)網(wǎng)絡(luò)環(huán)境中信息的系統(tǒng)和方法
【專利摘要】示例實施例中的方法包括關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù),并且基于關(guān)聯(lián)第一組事件數(shù)據(jù)來確定專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)����。方法還包括將主機(jī)的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn),其基于主機(jī)的本地聲譽(yù)分?jǐn)?shù)將策略應(yīng)用到與主機(jī)相關(guān)的網(wǎng)絡(luò)通信�。在具體實施例中��,將主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到主機(jī)的網(wǎng)絡(luò)地址�����。在進(jìn)一步的實施例中,第一組事件數(shù)據(jù)包括在專用網(wǎng)絡(luò)中相應(yīng)表示一個或多個事件的一個或多個事件指示符��。在更具體的實施例中�����,方法包括確定用戶的本地聲譽(yù)分?jǐn)?shù)���,并且將用戶的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn)��。
【專利說明】用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)網(wǎng)絡(luò)環(huán)境中 信息的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本公開一般涉及網(wǎng)絡(luò)安全的領(lǐng)域�,并且更具體地涉及用于確定和使用用戶和主機(jī) 的本地聲譽(yù)(localreputation)來保護(hù)網(wǎng)絡(luò)環(huán)境中的信息的系統(tǒng)和方法���。
【背景技術(shù)】
[0002] 在現(xiàn)今社會�����,網(wǎng)絡(luò)安全的領(lǐng)域已變得日益重要和多元化��。商業(yè)和其它組織常常將 機(jī)密信息或敏感信息存儲在其專用計算機(jī)網(wǎng)絡(luò)中�����,所述專用計算機(jī)網(wǎng)絡(luò)通常由諸如防火墻 之類的各種安全機(jī)制來保護(hù)����。由互聯(lián)網(wǎng)和由用戶對于保護(hù)專用網(wǎng)絡(luò)中的機(jī)密信息和敏感信 息的需要是復(fù)雜的���?�;ヂ?lián)網(wǎng)已實現(xiàn)在全世界不同計算機(jī)網(wǎng)絡(luò)的互聯(lián)�,并且也為惡意運(yùn)營商 為了開采其網(wǎng)絡(luò)而破壞諸如防火墻之類的安全機(jī)制呈現(xiàn)了許多機(jī)會。對于一些類型的惡意 軟件��,一旦它感染了主機(jī)計算機(jī)����,則惡意運(yùn)營商可從遠(yuǎn)程計算機(jī)發(fā)布命令以控制惡意軟件。 軟件能夠被命令來執(zhí)行任意數(shù)量的惡意動作�����,諸如從主機(jī)計算機(jī)發(fā)出垃圾郵件或惡意電子 郵件��、從與主機(jī)計算機(jī)相關(guān)的商業(yè)或個人盜取敏感信息�����,以及傳播到其它主機(jī)計算機(jī)���。
[0003] 專用網(wǎng)絡(luò)內(nèi)的授權(quán)用戶還能夠危及網(wǎng)絡(luò)中的機(jī)密信息和敏感信息的安全����。不知情 的用戶能夠通過對與網(wǎng)絡(luò)相關(guān)的敏感信息從事風(fēng)險行為來危害專用網(wǎng)絡(luò)��。常常����,風(fēng)險行為 不被檢測到�����,直到網(wǎng)絡(luò)安全已被破壞。其它授權(quán)用戶可懷有更險惡的動機(jī)����,并且能夠使用其 授權(quán)訪問來偷竊機(jī)密信息或敏感信息而不被網(wǎng)絡(luò)中的主機(jī)或其它資產(chǎn)注意到。因此�����,有效 保護(hù)和保持穩(wěn)定的計算機(jī)和系統(tǒng)的能力對于組件制造商�����、系統(tǒng)設(shè)計者和網(wǎng)絡(luò)運(yùn)營商繼續(xù)呈 現(xiàn)重大挑戰(zhàn)��。
【專利附圖】
【附圖說明】
[0004] 為提供本公開及其特征和優(yōu)點(diǎn)的更全面的理解���,結(jié)合附圖參考下面的描述����,附圖 中相同的參考標(biāo)號表不相同的部件,其中:
[0005] 圖1是按照本說明書能夠?qū)崿F(xiàn)用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)網(wǎng) 絡(luò)信息的系統(tǒng)的網(wǎng)絡(luò)環(huán)境的示例實施例的簡化框圖�����。
[0006] 圖2是在示例情境中作為時間的函數(shù)的對于專用網(wǎng)絡(luò)的風(fēng)險圖����,以及如何能夠使 用已知網(wǎng)絡(luò)安全技術(shù)將策略應(yīng)用到網(wǎng)絡(luò)中;
[0007] 圖3是按照本說明書的實施例��,作為時間的函數(shù)的專用網(wǎng)絡(luò)中的主機(jī)或用戶的本 地聲譽(yù)分?jǐn)?shù)圖��,以及如何能夠?qū)⒉呗詰?yīng)用到示例情境中�����;
[0008] 圖4是按照本說明書示出可與網(wǎng)絡(luò)環(huán)境的示例組件相關(guān)的附加細(xì)節(jié)的簡化框圖��;
[0009] 圖5是按照本說明書示出可與系統(tǒng)的實施例相關(guān)的示例操作步驟的簡化流程圖�����;
[0010] 圖6是按照本說明書示出可與系統(tǒng)的實施例相關(guān)的附加示例操作步驟的簡化流 程圖��。
【具體實施方式】
[0011] 腿
[0012] 示例實施例中的方法包括關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù)��,以及基于關(guān)聯(lián)第 一組事件數(shù)據(jù)來確定專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)。方法還包括將主機(jī)的本地聲譽(yù)分 數(shù)提供給安全節(jié)點(diǎn)���,其中安全節(jié)點(diǎn)基于主機(jī)的本地聲譽(yù)分?jǐn)?shù)將策略應(yīng)用到與主機(jī)相關(guān)的網(wǎng) 絡(luò)通信��。在具體實施例中���,將主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到主機(jī)的網(wǎng)絡(luò)地址����。在進(jìn)一步的實 施例中,第一組事件數(shù)據(jù)包括在專用網(wǎng)絡(luò)中相應(yīng)表示一個或多個事件的一個或多個事件指 示符��,并且一個或多個事件的每個與主機(jī)的網(wǎng)絡(luò)地址相關(guān)�����。在更具體的實施例中�����,方法包括 基于關(guān)聯(lián)第二組事件數(shù)據(jù)來確定用戶的本地聲譽(yù)分?jǐn)?shù)�,以及如果網(wǎng)絡(luò)通信與用戶相關(guān),則 將用戶的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn)��。
[0013] 另一示例實施例中的方法包括關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù),以及基于關(guān) 聯(lián)第一組事件數(shù)據(jù)來確定專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)�����。方法還包括將主機(jī)的本地 聲譽(yù)分?jǐn)?shù)提供給主機(jī)����,其中基于主機(jī)的本地聲譽(yù)分?jǐn)?shù)來選擇策略,并且將策略應(yīng)用到由主 機(jī)檢測的處理���。在具體實施例中��,該處理包括將文件復(fù)制到連接到主機(jī)的離線媒體��。在更 具體的實施例中�����,方法包括基于關(guān)聯(lián)第二組事件數(shù)據(jù)來確定專用網(wǎng)絡(luò)的用戶的本地聲譽(yù)分 數(shù)����,以及如果用戶是該處理的處理擁有者���,則將用戶的本地聲譽(yù)分?jǐn)?shù)提供給主機(jī)�。
[0014] 示例實施例
[0015] 圖1是能夠?qū)崿F(xiàn)用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)信息的系統(tǒng)的示 例網(wǎng)絡(luò)環(huán)境10的簡化框圖。在圖1中所示的示例實施例中�����,網(wǎng)絡(luò)環(huán)境10能夠包括專用網(wǎng) 絡(luò)14��、遠(yuǎn)程網(wǎng)絡(luò)16和廣域網(wǎng)12 (例如����,互聯(lián)網(wǎng)),網(wǎng)絡(luò)環(huán)境10提供相應(yīng)專用網(wǎng)絡(luò)14和遠(yuǎn)程 網(wǎng)絡(luò)16之間的通信路徑��。專用網(wǎng)絡(luò)14能夠包括主機(jī)20(1)到20(n)���、聲譽(yù)服務(wù)器40、內(nèi)部 網(wǎng)絡(luò)安全設(shè)備30(1)���、面向外部網(wǎng)絡(luò)安全設(shè)備30 (2)和資產(chǎn)50(1)-50 (3)��。另外���,專用網(wǎng)絡(luò) 14還可包括郵件網(wǎng)關(guān)&服務(wù)器60和事件數(shù)據(jù)儲存庫55。遠(yuǎn)程網(wǎng)絡(luò)16能夠包括面向外部 網(wǎng)絡(luò)安全設(shè)備30 (3)和遠(yuǎn)程資產(chǎn)50 (4)���。
[0016] 圖1中的網(wǎng)絡(luò)環(huán)境10表示用于接收和傳送通過網(wǎng)絡(luò)環(huán)境10傳播的信息分組的互 聯(lián)通信路線的一系列點(diǎn)或節(jié)點(diǎn)���。如本文使用的術(shù)語"網(wǎng)絡(luò)節(jié)點(diǎn)"或"節(jié)點(diǎn)"意圖包括附連到 網(wǎng)絡(luò)的活動電子設(shè)備�����。一般地����,節(jié)點(diǎn)能夠在通信信道上發(fā)送���、接收或轉(zhuǎn)發(fā)信息���。但是,一些 節(jié)點(diǎn)能夠是被動的(例如�����,入侵預(yù)防系統(tǒng)(IPS))��,并且可能不能夠發(fā)送分組�。另外,透明模 式IPS或防火墻可不具有互聯(lián)網(wǎng)協(xié)議(IP)地址�����。最后,網(wǎng)絡(luò)環(huán)境10提供包括透明模式和 被動模式這兩種的節(jié)點(diǎn)之間的可通信接口���。
[0017] 能夠使用專用地址空間以任意適合的形式(例如���,內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)、局域網(wǎng) (LAN)�����、廣域網(wǎng)(WAN)�����、無線局域網(wǎng)(WLAN)����、虛擬局域網(wǎng)(VLAN)等)配置專用網(wǎng)絡(luò)14����。專用 網(wǎng)絡(luò)14和遠(yuǎn)程網(wǎng)絡(luò)16能夠?qū)儆谙嗤膶嶓w(例如,企業(yè)�����、教育組織、政府組織����、非贏利組織 等),并且能夠配置成經(jīng)由網(wǎng)絡(luò)業(yè)務(wù)橫跨本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)之間的廣域網(wǎng)12來通信��。遠(yuǎn) 程網(wǎng)絡(luò)16還能夠以任意適合的形式被配置����,并且能夠是專用網(wǎng)絡(luò)14的內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)的 一部分。在其它實施例中���,遠(yuǎn)程網(wǎng)絡(luò)16能夠配置為使用例如虛擬專用網(wǎng)絡(luò)(VPN)配置經(jīng)由 互聯(lián)網(wǎng)與專用網(wǎng)絡(luò)14通信的另一個專用網(wǎng)絡(luò)����。
[0018] 本文將資產(chǎn)50(1)-50 (4)共同稱作"網(wǎng)絡(luò)資產(chǎn)50"��,并且資產(chǎn)50(1)-50 (4)能夠包 括以不同的等級由實體評價(例如�����,最高價值資產(chǎn)50(1)、中等價值資產(chǎn)50(2)和最低價值 資產(chǎn)50(3))的諸如包含內(nèi)容����、資源和服務(wù)的服務(wù)器之類的網(wǎng)絡(luò)元件。在圖1中所示的示例 中�����,由網(wǎng)絡(luò)安全設(shè)備30 (1)保護(hù)專用網(wǎng)絡(luò)14中的資產(chǎn)50 (1) -50 (3)���,網(wǎng)絡(luò)安全設(shè)備30 (1)能 夠包括諸如網(wǎng)關(guān)�、防火墻���、入侵預(yù)防系統(tǒng)(IPS)�、或其它適當(dāng)?shù)陌踩?jié)點(diǎn)之類的網(wǎng)絡(luò)元件��,以 阻止未授權(quán)的(例如����,從主機(jī)20)到資產(chǎn)50的內(nèi)部通信并且準(zhǔn)許授權(quán)的內(nèi)部通信����。面向外 部網(wǎng)絡(luò)安全設(shè)備30(2)和30(3)還能夠包括諸如網(wǎng)關(guān)、防火墻或IPS之類的網(wǎng)絡(luò)元件,以控 制在相應(yīng)網(wǎng)絡(luò)14和16中節(jié)點(diǎn)之間以及可通過廣域網(wǎng)12訪問的其它網(wǎng)路節(jié)點(diǎn)之間的通信��。
[0019] 本文將主機(jī)20 (l)-20(n)共同稱作"主機(jī)20"��,并且一般能夠配置為一種類型的網(wǎng) 絡(luò)節(jié)點(diǎn)�,其包括但不限于網(wǎng)絡(luò)中任意類型的終端點(diǎn),諸如桌面計算機(jī)���、服務(wù)器����、膝上型電腦�、 移動電話、平板�����、或者可操作成在網(wǎng)絡(luò)環(huán)境中交換信息的任意其它適合的設(shè)備��、組件�����、元件 或?qū)ο?,其能夠接收或與另一個節(jié)點(diǎn)建立連接,并且其具有網(wǎng)絡(luò)地址(例如,互聯(lián)網(wǎng)(IP)地 址��、媒體訪問控制(MAC)地址)����。
[0020] 在一個示例實施例中,網(wǎng)絡(luò)安全設(shè)備30��、聲譽(yù)服務(wù)器40��、資產(chǎn)50和郵件網(wǎng)關(guān)&服 務(wù)器60是網(wǎng)絡(luò)元件�����,其是一種類型的網(wǎng)絡(luò)節(jié)點(diǎn)����,并且意味著包含網(wǎng)絡(luò)裝置、服務(wù)器�、路由 器、交換機(jī)���、網(wǎng)關(guān)�����、橋�、負(fù)載平衡器���、防火墻�、入侵預(yù)防系統(tǒng)(IPS)���、處理器����、模塊或可操作成在 網(wǎng)絡(luò)環(huán)境中交換信息的任意其它適合的設(shè)備��、組件��、元件或?qū)ο?����。網(wǎng)絡(luò)元件和主機(jī)可包括促 進(jìn)其操作的任意適合的硬件、軟件����、組件、模塊���、接口或?qū)ο?��。這可包括允許有效交換數(shù)據(jù)或 信息的適當(dāng)?shù)乃惴ê屯ㄐ艆f(xié)議��。
[0021] 圖1的元件可通過采用任意適合的(有線或無線)連接的一個或多個接口互相耦 合���,其提供用于電子通信的可行途徑���。另外���,這些元件的任意一個或多個可基于具體配置需 要被組合或從架構(gòu)被移除。網(wǎng)絡(luò)環(huán)境10可包括能夠用于在網(wǎng)絡(luò)中電子傳送或接收分組的 傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)通信的配置。網(wǎng)絡(luò)環(huán)境10還可在適當(dāng)時并且基于具 體需要��,結(jié)合用戶數(shù)據(jù)報協(xié)議/IP(UDP/IP)或任意其它適合的協(xié)議來操作�����。
[0022] 關(guān)于本公開的各種實施例本文使用了某些術(shù)語。如本文使用的術(shù)語"數(shù)據(jù)"�����,指任 意類型的數(shù)字����、語音�����、視頻、或手錄數(shù)據(jù)�����、或任意類型的源代碼或目標(biāo)代碼�、或可在網(wǎng)絡(luò)節(jié)點(diǎn) 和/或網(wǎng)絡(luò)中從一個點(diǎn)到另一個點(diǎn)被傳送的以任意適當(dāng)形式的任意其它信息。同樣,注意 到在本說明書中�,在" 一個實施例"、"示例實施例"��、"實施例"���、"另一個實施例"��、"一些實施 例"�、"各種實施例"����、"其它實施例"、"備選實施例"等中包括的對各種特征(例如���,元件�、結(jié) 構(gòu)���、模塊���、組件、步驟���、操作����、特征等)的引用意圖表示任意這樣的特征被包括在本公開的一 個或多個實施例中���。
[0023] 為了示出用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)網(wǎng)絡(luò)資產(chǎn)的系統(tǒng)的操作 方面的目的���,重要的是理解在已知網(wǎng)絡(luò)內(nèi)發(fā)生的活動。下面的基本信息可被視作基礎(chǔ)���,從該 基礎(chǔ)可適當(dāng)解釋本公開��。僅為了解釋的目的而提供這樣的信息�,并且不應(yīng)因此以任意方式 被解釋以限制本公開及其潛在應(yīng)用的廣義范圍���。
[0024] 由企業(yè)或其它實體使用的典型網(wǎng)絡(luò)環(huán)境包括使用例如互聯(lián)網(wǎng)來訪問連接到互聯(lián) 網(wǎng)的服務(wù)器上駐留的網(wǎng)頁�、發(fā)送或接收電子郵件(即����,email)消息�����、與連接到互聯(lián)網(wǎng)的終端 用戶或服務(wù)器交換文件�����、或者提供或接入連接到互聯(lián)網(wǎng)的服務(wù)器上駐留的服務(wù)�,與其它網(wǎng) 絡(luò)電子通信的能力��。惡意用戶連續(xù)開發(fā)新的手段����,其使用互聯(lián)網(wǎng)來散播惡意軟件并且得到 對專用網(wǎng)絡(luò)和機(jī)密信息的訪問。惡意軟件常常被構(gòu)思來暗中破壞網(wǎng)絡(luò)內(nèi)的主機(jī)����,并且使用 其用于諸如信息盜取之類的惡意活動。當(dāng)然���,惡意軟件并不是對于網(wǎng)絡(luò)中存儲的信息的唯 一風(fēng)險�����。已合法訪問專用網(wǎng)絡(luò)的一些個人可能是有危害的�,并且故意地違反可適用的法規(guī) 和/或策略來傳送(或嘗試傳送)信息����。其它個人可能沒有惡意目的,但是仍然可不經(jīng)意 地或無意中違反這樣的法規(guī)和策略來傳送信息����。
[0025] 對于實體的專用網(wǎng)絡(luò)的潛在威脅能夠在內(nèi)部(例如,在內(nèi)聯(lián)網(wǎng)內(nèi))和外部(例如���, 從互聯(lián)網(wǎng))都存在�。在外部���,互聯(lián)網(wǎng)能夠包括除非信任的網(wǎng)站和潛在惡意網(wǎng)站之外的非信 任的用戶和潛在惡意用戶�����。在內(nèi)部���,實體的專用網(wǎng)絡(luò)可由合法的外來者訪問,但是可能受限 訪問內(nèi)聯(lián)網(wǎng)����,諸如實體的游客和訂約人�����。另外�,專用網(wǎng)絡(luò)通常配置成允許其自己的用戶具有 訪問其資產(chǎn)的不同的等級�。至少一些所信任的用戶一般可訪問網(wǎng)絡(luò)內(nèi)的最高價值資產(chǎn)。因 此�,如果所信任的用戶具有惡意動機(jī),則這樣的人能夠通過簡單的訪問和公開所信任的�、惡 意用戶被授權(quán)訪問的危險信息或敏感信息潛在地引起重大的網(wǎng)絡(luò)安全破壞。但是�,甚至沒 有惡意意圖的所信任的用戶能夠引起安全破壞。這樣的用戶能夠具有危害的主機(jī)��,和/或 能夠使用可用的技術(shù)犯錯誤�����,促進(jìn)機(jī)密信息或敏感信息的不經(jīng)意的公開�����。
[0026] 管理專用網(wǎng)絡(luò)中的風(fēng)險能夠是標(biāo)識和評定對于網(wǎng)絡(luò)的風(fēng)險的、以及按用戶的需要 平衡風(fēng)險以繼續(xù)對于合法活動訪問網(wǎng)絡(luò)資源的耗時的過程��。為了適當(dāng)管理專用網(wǎng)絡(luò)中的風(fēng) 險�����,應(yīng)用到網(wǎng)絡(luò)的策略應(yīng)該基于資產(chǎn)的價值的功能以及在該資產(chǎn)上操作的風(fēng)險等級����。此外��, 必須按授權(quán)用戶的需要來平衡策略以訪問網(wǎng)絡(luò)并且在網(wǎng)絡(luò)中引導(dǎo)合法活動����。因此,一些網(wǎng) 絡(luò)安全實現(xiàn)不可配置成觸發(fā)對于能夠被認(rèn)為是風(fēng)險的活動的策略違反(例如���,在非值勤期 間訪問最高價值資產(chǎn)���、在網(wǎng)絡(luò)內(nèi)將機(jī)密信息發(fā)送電子郵件給他人),而不是結(jié)論性的惡意或 不合法�����。在這些類型的風(fēng)險活動是觸發(fā)策略違反的其它網(wǎng)絡(luò)安全實現(xiàn)中,所檢測的策略違 反可簡單導(dǎo)致生成警告��,而允許風(fēng)險活動繼續(xù)�����?��?蓪⒕嬗涗浫罩?��,或者將其發(fā)送給管理員 以評估和采取適當(dāng)動作,若被擔(dān)保的話�����。因此����,在這些情形中,風(fēng)險的活動可繼續(xù)����,直到管理 員認(rèn)出問題(例如,涉及相同來源的不同類型的策略違反����、重復(fù)的策略違反等)并且采取適 當(dāng)動作��。
[0027] 監(jiān)視警告并且關(guān)聯(lián)信息可能是繁重的�,尤其是在較大網(wǎng)絡(luò)中���。從而��,潛在的問題可 能甚至不被標(biāo)識���,直到網(wǎng)絡(luò)安全已被破壞(例如��,公開了機(jī)密信息)���。例如��,可認(rèn)為專用網(wǎng)絡(luò) 內(nèi)協(xié)作雇員之間的包含機(jī)密信息的一封電子郵件是低風(fēng)險活動�����,因為活動自身沒有在實體 外面公開機(jī)密信息��。因此����,這樣的活動可簡單觸發(fā)要發(fā)送到管理員的警告。但是����,包含機(jī)密 信息的一系列電子郵件能夠置實體于較大風(fēng)險,但是觸發(fā)警告的策略會一般地被靜態(tài)地應(yīng) 用并且獨(dú)立對于每封電子郵件實例�����。因此�,將專用網(wǎng)絡(luò)內(nèi)的機(jī)密信息發(fā)送電子郵件能夠繼 續(xù),允許雇員積累和散布越來越多的機(jī)密信息��,由此增加對于網(wǎng)絡(luò)的風(fēng)險��,直到離散的警告 被注意到并且依據(jù)管理員動作�。
[0028] 在一些網(wǎng)絡(luò)環(huán)境中,在專用網(wǎng)絡(luò)中管理風(fēng)險通過指定對于由風(fēng)險閾值等級表征的 不同時間段要應(yīng)用到網(wǎng)絡(luò)元件的不同策略來完成�����。圖2用圖70示出這種方法����,示出在示例 網(wǎng)絡(luò)中����,作為時間的函數(shù)的網(wǎng)絡(luò)風(fēng)險����,以及如何在由不同風(fēng)險的等級表征的不同時間段期 間應(yīng)用不同策略。在圖2中��,沿著x軸描畫的時間段的特征為所增加的效率71 (低風(fēng)險)��、 以一些代價來保護(hù)72 (中等風(fēng)險)���、以及以最高代價來保護(hù)(高風(fēng)險)�����。沿著y軸從高風(fēng)險 到低風(fēng)險指示網(wǎng)絡(luò)風(fēng)險。圖線75表示在各種時間段期間總體上對于網(wǎng)絡(luò)的所確定的風(fēng)險���。 因此���,當(dāng)對于網(wǎng)絡(luò)的風(fēng)險低時,較少限制的策略(P1)可被應(yīng)用到網(wǎng)絡(luò)�,并且因此����,該時間段 由對于所增加的效率71的期望來表征�,如允許網(wǎng)絡(luò)中的用戶和主機(jī)以最少限制來操作。當(dāng) 網(wǎng)絡(luò)風(fēng)險增加時�����,當(dāng)對于網(wǎng)絡(luò)的風(fēng)險是中等時��,可將中等限制的策略(P2)應(yīng)用到網(wǎng)絡(luò)�,并 且因此,該時間段由對于以一些代價來保護(hù)72的期望來表征�����。因此��,策略(P2)可包括預(yù)防 用戶和主機(jī)執(zhí)行網(wǎng)絡(luò)內(nèi)的某些功能的一些策略�。最后,當(dāng)對于網(wǎng)絡(luò)的風(fēng)險高時��,在由以高代 價來保護(hù)73的期望來表征的時間段期間�,可將最多限制的策略(P3)應(yīng)用到網(wǎng)絡(luò)。因此��,在 這個時間段期間,策略可顯著限制可適用于網(wǎng)絡(luò)中的用戶和主機(jī)的網(wǎng)絡(luò)功能�。
[0029] 但是,用圖2中所示方法的一個問題是在高風(fēng)險時期高限制策略(P3)的應(yīng)用��,由 于高限制策略(P3)可影響其應(yīng)用的網(wǎng)絡(luò)的所有主機(jī)和用戶���,而不只是產(chǎn)生風(fēng)險的特定主 機(jī)和/或用戶���。例如,如果由于可疑的活動被指示為僵尸網(wǎng)絡(luò)攻擊77 (例如���,夜間來自網(wǎng) 絡(luò)中的一個主機(jī)的許多連接嘗試)�����,因此對于網(wǎng)絡(luò)的風(fēng)險被確定為高�,則最多限制的策略 (P3)適用于所有主機(jī)及其用戶����,而不是檢測到可疑活動來源的特定主機(jī)和/或用戶�����。
[0030] 用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)(如圖1中所示的)網(wǎng)絡(luò)環(huán)境中的 信息的系統(tǒng)能夠解決許多這些問題。圖1示出本地聲譽(yù)分?jǐn)?shù)能夠?qū)τ趯嶓w的網(wǎng)絡(luò)的每個主 機(jī)和/或每個用戶被計算��,并且能夠用于動態(tài)選擇����、并且將策略應(yīng)用到與主機(jī)和/或用戶相 關(guān)的網(wǎng)絡(luò)通信、過程或兩者的一個實施例�。包括專門網(wǎng)絡(luò)安全設(shè)備和具有其內(nèi)并入策略驅(qū) 動安全應(yīng)用的主機(jī)的多個網(wǎng)絡(luò)節(jié)點(diǎn)能夠每個生成包含事件數(shù)據(jù)的事件通知,該事件數(shù)據(jù)標(biāo) 識與網(wǎng)絡(luò)策略被違反的安全事件或者某些可接受的行為的信息事件相關(guān)的主機(jī)和用戶。事 件數(shù)據(jù)還能夠包括其它信息����,諸如標(biāo)識觸發(fā)了策略違反(例如,所采取的動作����、由動作影響 的信息等)的事件的事件指示符。附加地或備選地��,事件數(shù)據(jù)儲存庫能夠被掃描�����,被挖掘數(shù) 據(jù)�、或者對所記錄日志的事件數(shù)據(jù)可選擇地或有規(guī)則地抓取(即,所記錄日志的��、或者以其 它方式所存儲的�、并且是關(guān)于專用網(wǎng)絡(luò)的安全事件或信息事件的數(shù)據(jù))。另外�,還可對于特 定事件數(shù)據(jù)搜索事件數(shù)據(jù)儲存庫。在掃描�、數(shù)據(jù)挖掘、抓取或搜索期間發(fā)現(xiàn)的事件數(shù)據(jù)能夠 由聲譽(yù)服務(wù)器40提取���。能夠由聲譽(yù)服務(wù)器40將事件通知���、所記錄日志的事件數(shù)據(jù)或者其 任意適合的組合進(jìn)行聚合和關(guān)聯(lián),聲譽(yù)服務(wù)器40能夠隨后確定對于每個主機(jī)和每個用戶 的本地聲譽(yù)分?jǐn)?shù)����,所述每個主機(jī)和每個用戶與所記錄日志的事件數(shù)據(jù)和由事件通知表示的 事件相關(guān)。聲譽(yù)服務(wù)器40能夠?qū)⒅鳈C(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)傳送到可配置成保護(hù)網(wǎng)絡(luò)資 產(chǎn)50的網(wǎng)絡(luò)安全設(shè)備�����,或者傳送到配置成保護(hù)其自身的主機(jī)�。網(wǎng)絡(luò)安全設(shè)備能夠評估與其 已經(jīng)接收的網(wǎng)絡(luò)通信相關(guān)的主機(jī)和/或用戶的本地聲譽(yù)分?jǐn)?shù),并且基于本地聲譽(yù)分?jǐn)?shù)來動 態(tài)選擇要應(yīng)用到網(wǎng)絡(luò)通信的策略��。類似地�����,主機(jī)能夠評估其自身(或嘗試訪問第一主機(jī)的 第二主機(jī))�����、以及與主機(jī)上的處理相關(guān)的用戶的本地聲譽(yù)����,并且基于本地聲譽(yù)分?jǐn)?shù)來動態(tài)選 擇要應(yīng)用到該處理的策略。
[0031] 圖3用圖80示出這種方法���,描繪作為時間的函數(shù)的本地聲譽(yù)分?jǐn)?shù)����,并且示出如何 基于其本地聲譽(yù)分?jǐn)?shù)隨時間將策略動態(tài)應(yīng)用到具體主機(jī)和/或用戶���。本地聲譽(yù)分?jǐn)?shù)能夠?qū)?于專用網(wǎng)絡(luò)中與網(wǎng)絡(luò)通信或主機(jī)處理相關(guān)的每個主機(jī)和/或用戶提供歷史的和/或行為的 風(fēng)險分?jǐn)?shù)���。能夠由本地聲譽(yù)分?jǐn)?shù)表示的風(fēng)險行為和歷史的示例包括網(wǎng)絡(luò)中涉及風(fēng)險操作的 用戶、不遵循公司策略的用戶���、近來感染惡意軟件的主機(jī)等����。
[0032] 在圖3中,沿著x軸表示時間��,并且沿著y軸表示本地聲譽(yù)分?jǐn)?shù)且范圍從壞(低 分)到好(高分)�。第一圖線81表示一段時間上的主機(jī)1的本地聲譽(yù)分?jǐn)?shù),第二圖線82表 示相同的時間段上的主機(jī)2的本地聲譽(yù)分?jǐn)?shù)�,并且第三圖線83表示相同的時間段上的用戶 1的本地聲譽(yù)分?jǐn)?shù)。在圖80中表示的時間段期間���,主機(jī)1由第一策略(P1)覆蓋���,主機(jī)2由 所有可用的策略(P1、P2和P3)覆蓋����,并且用戶1由第一策略和第二策略(P1和P2)覆蓋。 隨著用戶和主機(jī)的本地聲譽(yù)分?jǐn)?shù)下降或上升���,改變應(yīng)用到其的策略�����。第一策略(P1)能夠是 當(dāng)用戶和主機(jī)的本地聲譽(yù)分?jǐn)?shù)好時��,應(yīng)用到其的較少限制的策略�����。第二策略(P2)能夠是比 第一策略(P1)稍微更多限制的策略��,并且當(dāng)用戶1和主機(jī)2的本地聲譽(yù)分?jǐn)?shù)下降并且在好 的分?jǐn)?shù)和壞的分?jǐn)?shù)之間時應(yīng)用到其的策略��。第三策略(P3)能夠是最多限制的策略�,并且當(dāng) 主機(jī)2的本地聲譽(yù)分?jǐn)?shù)下降到壞聲譽(yù)分?jǐn)?shù)閾值時應(yīng)用到其的策略���。網(wǎng)絡(luò)安全設(shè)備30能夠 基于本地聲譽(yù)分?jǐn)?shù)來動態(tài)選擇和應(yīng)用策略��。為了示出這個�����,在示例圖80中由垂直線84表 示的時刻tl時����,基于時刻tl時的主機(jī)1�����、用戶1和主機(jī)2的不同的本地聲譽(yù)分?jǐn)?shù),將P1應(yīng) 用到主機(jī)1�,將P2應(yīng)用到用戶1,并且將P3應(yīng)用到主機(jī)2�。
[0033] 轉(zhuǎn)到圖4,圖4是示出可與網(wǎng)絡(luò)環(huán)境10的實施例的所選擇的組件相關(guān)的附加細(xì)節(jié) 的簡化框圖。圖4還示出能夠在網(wǎng)絡(luò)環(huán)境10的專用網(wǎng)絡(luò)14發(fā)生的網(wǎng)絡(luò)通信流程的示例情 境�。圖4包括主機(jī)20 (1)和20 (2)、網(wǎng)絡(luò)安全設(shè)備30����、聲譽(yù)服務(wù)器40、網(wǎng)絡(luò)資產(chǎn)50�����、事件數(shù) 據(jù)儲存庫55和郵件網(wǎng)關(guān)&服務(wù)器60�。主機(jī)20(1)和20 (2)、郵件網(wǎng)關(guān)&服務(wù)器60��、網(wǎng)絡(luò)安 全設(shè)備30和聲譽(yù)服務(wù)器40每個包括相應(yīng)的處理器21a_e和相應(yīng)的存儲器元件22a_e�����,并且 另外可包括各種硬件�����、固件和/或軟件元件以促進(jìn)本文所述的操作。
[0034] 更具體地�,一些節(jié)點(diǎn)能夠配置為網(wǎng)絡(luò)環(huán)境10中的"事件檢測節(jié)點(diǎn)"。在一個示例 中�����,主機(jī)20 (1)�����、20 (2)����、郵件服務(wù)器&網(wǎng)關(guān)60和網(wǎng)絡(luò)安全設(shè)備30每個能夠包括相應(yīng)的事件 代理23a_d和相應(yīng)的策略模塊24a_d以實現(xiàn)事件檢測��、以及事件通知和/或事件數(shù)據(jù)日志 記錄��。另外���,網(wǎng)絡(luò)環(huán)境10中的一些節(jié)點(diǎn)還能夠(或備選地)被配置為"安全節(jié)點(diǎn)"�,諸如例 如主機(jī)20 (1)和網(wǎng)絡(luò)安全設(shè)備30�����。主機(jī)20 (1)包括主機(jī)保護(hù)模塊26和本地聲譽(yù)策略模塊 28以實現(xiàn)基于主機(jī)(包括主機(jī)20(1)自身)和用戶的本地聲譽(yù)分?jǐn)?shù)將策略動態(tài)應(yīng)用到主機(jī) 20 (1)上的處理。網(wǎng)絡(luò)安全設(shè)備30能夠包括網(wǎng)絡(luò)保護(hù)模塊36和本地聲譽(yù)策略模塊38以實 現(xiàn)基于主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)將策略動態(tài)應(yīng)用到網(wǎng)絡(luò)通信��。為了易于說明����,僅在主機(jī) 20(1)中示出主機(jī)保護(hù)模塊26和本地聲譽(yù)策略模塊28。但是����,專用網(wǎng)絡(luò)中的任意主機(jī)能夠 配置有這些組件以由主機(jī)將本地聲譽(yù)分?jǐn)?shù)插入到(例如,網(wǎng)絡(luò)通信和本地處理器的)策略 評估中���。類似地���,諸如郵件網(wǎng)關(guān)&服務(wù)器60之類的其它網(wǎng)絡(luò)元件為了由這些其它網(wǎng)絡(luò)元件 將本地聲譽(yù)分?jǐn)?shù)插入到(例如,網(wǎng)絡(luò)通信的)策略評估中能夠配置有與網(wǎng)絡(luò)安全設(shè)備30的 組件類似的組件�����。
[0035] 聲譽(yù)服務(wù)器40能夠包括風(fēng)險關(guān)聯(lián)模塊42和本地聲譽(yù)分?jǐn)?shù)模塊44以實現(xiàn)接收包 含事件數(shù)據(jù)的事件通知��、從事件數(shù)據(jù)儲存庫55提取所記錄日志的事件數(shù)據(jù)�、關(guān)聯(lián)在專用網(wǎng) 絡(luò)14中發(fā)生的事件的事件數(shù)據(jù)�、以及確定和存儲與事件相關(guān)的主機(jī)和用戶的本地聲譽(yù)分 數(shù)�����。資產(chǎn)50表示專用網(wǎng)絡(luò)14的任意網(wǎng)絡(luò)資產(chǎn)(例如�,最高價值資產(chǎn)50(1)、中等價值資產(chǎn) 50 (2)��、最低價值資產(chǎn)50 (3)����、遠(yuǎn)程資產(chǎn)50 (4))����。由網(wǎng)絡(luò)安全設(shè)備30保護(hù)資產(chǎn)50,網(wǎng)絡(luò)設(shè)備 30能夠是保護(hù)專用網(wǎng)絡(luò)14的資產(chǎn)的任意網(wǎng)絡(luò)安全設(shè)備(例如,網(wǎng)絡(luò)安全設(shè)備30(1)-(3))��。
[0036] 在圖4中所示的示例組件中��,每個策略模塊24a_d能夠包含在其關(guān)聯(lián)的專用網(wǎng)絡(luò) 14的網(wǎng)絡(luò)節(jié)點(diǎn)中實現(xiàn)的其自身的策略�����。在諸如主機(jī)20 (1 )����、主機(jī)20 (2)��、郵件網(wǎng)關(guān)&服務(wù) 器60和網(wǎng)絡(luò)安全設(shè)備之類的相應(yīng)的網(wǎng)絡(luò)節(jié)點(diǎn)中�,能夠連同策略模塊24a-d實現(xiàn)事件代理 23a_d�。每個事件代理23a_d能夠配置成檢測事件以標(biāo)識與事件相關(guān)的主機(jī)和用戶,并且生 成包含事件數(shù)據(jù)的事件通知���、并且/或者在事件數(shù)據(jù)儲存庫55中將事件數(shù)據(jù)記錄日志�。在 一些實現(xiàn)中����,事件代理23a-d還可確定與能夠在事件數(shù)據(jù)中包括的所檢測的事件相關(guān)的風(fēng) 險等級。
[0037] 如本文所使用��,"事件"指與專用網(wǎng)絡(luò)中的主機(jī)也可能是用戶相關(guān)的行為或活動���, 并且能夠包括網(wǎng)絡(luò)通信(例如�,電子郵件�、文件傳輸、訪問網(wǎng)絡(luò)服務(wù)器��、發(fā)送消息、嘗試網(wǎng)絡(luò) 連接等)和處理(例如�����,設(shè)置密碼���、將信息傳輸?shù)街T如CD-ROM或USB棒之類的離線媒體����、運(yùn) 行應(yīng)用程序�、系統(tǒng)處理等)。另外�����,事件能夠是有關(guān)安全的或信息事件�����。當(dāng)由專用網(wǎng)絡(luò)中的 網(wǎng)絡(luò)節(jié)點(diǎn)(例如����,能夠使主機(jī)自身或另一個節(jié)點(diǎn)的事件檢測節(jié)點(diǎn))檢測到與主機(jī)也可能是 用戶相關(guān)的風(fēng)險行為并且該風(fēng)險行為違反與網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)的策略(例如�����,發(fā)送機(jī)密信息的 電子郵件、將機(jī)密信息傳送到諸如CD-ROM或USB棒之類的離線媒體����、設(shè)置弱的密碼、執(zhí)行未 知應(yīng)用程序等)時����,安全事件發(fā)生。風(fēng)險事件能夠同時在網(wǎng)絡(luò)通信和主機(jī)上的處理中發(fā)生�。 當(dāng)與主機(jī)也可能是用戶相關(guān)的所接受的行為由網(wǎng)絡(luò)節(jié)點(diǎn)(例如,能夠是主機(jī)自身或另一個 節(jié)點(diǎn)的事件檢測節(jié)點(diǎn))檢測到時���,信息事件發(fā)生�����,所述可接受的行為可能不被確定成違反 網(wǎng)絡(luò)節(jié)點(diǎn)的策略����,并且被標(biāo)識用于跟蹤或記錄日志���。所接受的行為能夠同時在網(wǎng)絡(luò)通信和 主機(jī)上的處理中發(fā)生�。與安全事件和信息事件有關(guān)的事件數(shù)據(jù)可(例如,在事件數(shù)據(jù)儲存 庫55中)被存儲或被存檔或被發(fā)送到特定位置(例如��,事件通知被發(fā)送到聲譽(yù)服務(wù)器40)����。
[0038] 被監(jiān)視用于策略違反的專用網(wǎng)絡(luò)14中的任意網(wǎng)絡(luò)節(jié)點(diǎn)能夠配置為事件檢測節(jié) 點(diǎn),以生成包含事件數(shù)據(jù)的事件通知��、并且/或者將事件數(shù)據(jù)記錄日志�����。例如�����,通常被監(jiān)視 用于策略違反的專用網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點(diǎn)能夠包括主機(jī)(例如���,臺式機(jī)��、膝上型電腦、服務(wù) 器��、移動電話����、平板等)����、裝置����、防火墻、路由器�、網(wǎng)關(guān)等,并且這些節(jié)點(diǎn)的每個能夠配置有檢 測事件的事件代理(例如���,事件代理23a_d)��,以標(biāo)識與事件相關(guān)的主機(jī)和用戶���、并且將事件 通知發(fā)送到聲譽(yù)服務(wù)器40、并且/或者將與所檢測的事件有關(guān)的事件數(shù)據(jù)記錄日志�����。
[0039] 在示例實施例中����,事件代理23a_d能夠配置成在其對應(yīng)的節(jié)點(diǎn)上與安全應(yīng)用(例 如��,反病毒應(yīng)用)合作以檢測安全事件���。例如,如果主機(jī)20(1)上的反病毒應(yīng)用檢測到與 (例如�����,從USB棒下載的)程序文件對應(yīng)的處理的策略違反��,隨后事件代理23a能夠從策略 違反檢測到事件���,標(biāo)識主機(jī)20(1)的網(wǎng)絡(luò)地址�、標(biāo)識主機(jī)上的處理擁有者(例如�����,登陸到主 機(jī)20(1)的用戶)的用戶標(biāo)識符�����,并且將事件通知發(fā)送到聲譽(yù)服務(wù)器40���、并且/或者在事 件數(shù)據(jù)儲存庫55中將事件數(shù)據(jù)記錄日志����。在一些實施例中���,事件代理23a還可確定與(例 如����,由策略模塊24a指示的)特定策略違反相關(guān)的風(fēng)險等級�����,然后在事件通知或在所記錄日 志的事件數(shù)據(jù)中包括該風(fēng)險等級�。
[0040] 專用網(wǎng)絡(luò)14中的一些事件檢測節(jié)點(diǎn)可在諸如事件數(shù)據(jù)儲存庫55之類的儲存庫中 存儲與安全事件和/或信息事件有關(guān)的事件數(shù)據(jù)。事件數(shù)據(jù)儲存庫55能夠在適合數(shù)據(jù)存儲 的任意存儲器元件中被配置�,并且意圖包括分開的節(jié)點(diǎn)、附連到網(wǎng)絡(luò)的存儲裝置(NAS)����、存 儲區(qū)域網(wǎng)絡(luò)、文件服務(wù)器等���。事件數(shù)據(jù)儲存庫55還可意圖包括存儲器元件�,所述存儲器元 件作為所記錄日志的事件數(shù)據(jù)的本地儲存庫集成在事件檢測節(jié)點(diǎn)中(例如����,在主機(jī)20中�����、 在郵件網(wǎng)關(guān)&服務(wù)器60中���、在網(wǎng)絡(luò)安全設(shè)備30中等)。具有本地事件數(shù)據(jù)儲存庫的事件檢 測節(jié)點(diǎn)可允許對其事件數(shù)據(jù)的遠(yuǎn)程訪問�����,諸如來自聲譽(yù)服務(wù)器40的遠(yuǎn)程訪問�����。在事件數(shù)據(jù) 儲存庫55中存儲的數(shù)據(jù)能夠包括與安全事件���、信息事件��、或者其任意適合的組合有關(guān)的數(shù) 據(jù)���,包括例如與特定行為和該行為的事件指示符相關(guān)的主機(jī)和用戶的標(biāo)識。因此,一些事件 檢測節(jié)點(diǎn)可以不實時傳送安全事件和/或信息事件的事件數(shù)據(jù)�����,而是�����,可存儲事件數(shù)據(jù)以 由聲譽(yù)服務(wù)器40后續(xù)訪問�����。在一個示例實現(xiàn)中�����,將用于安全事件的事件數(shù)據(jù)經(jīng)由事件通知 發(fā)送到聲譽(yù)服務(wù)器40,而將用于信息事件的事件數(shù)據(jù)在事件數(shù)據(jù)儲存庫55中存儲或記錄 日志���,并且后續(xù)由聲譽(yù)服務(wù)器40提取。
[0041] 郵件網(wǎng)關(guān)&服務(wù)器60能夠促進(jìn)專用網(wǎng)絡(luò)14的內(nèi)部和外部的郵件通信�。另外,郵件 網(wǎng)關(guān)&服務(wù)器60能夠是事件檢測節(jié)點(diǎn)�,其配置有事件代理23c以檢測諸如電子郵件消息之 類的事件,標(biāo)識與電子郵件業(yè)務(wù)相關(guān)的主機(jī)和用戶�����,并且將事件通知發(fā)送到聲譽(yù)服務(wù)器40, 并且/或者將事件數(shù)據(jù)存儲在事件數(shù)據(jù)儲存庫55中����。郵件網(wǎng)關(guān)&服務(wù)器60還能夠配置成 使用諸如簡單郵件傳輸協(xié)議(SMTP)之類的任意適合的協(xié)議。
[0042] 聲譽(yù)服務(wù)器40能夠配置成從事件檢測節(jié)點(diǎn)接收事件通知���,從事件數(shù)據(jù)儲存庫提 取安全事件數(shù)據(jù)和/或信息事件數(shù)據(jù)�,或者其任意適合的組合�。在一些實施例中,聲譽(yù)服務(wù) 器40能夠從專用網(wǎng)絡(luò)14中的多個事件檢測節(jié)點(diǎn)(例如���,主機(jī)20��、網(wǎng)絡(luò)安全設(shè)備30��、郵件網(wǎng) 關(guān)&服務(wù)器60等)實時接收事件通知�����。事件通知能夠包括諸如主機(jī)和用戶標(biāo)識�����、以及引起 策略范圍的行為的指示符之類的安全事件數(shù)據(jù)�����。另外�����,聲譽(yù)服務(wù)器40能夠配置成從能夠?qū)?于事件監(jiān)測節(jié)點(diǎn)是本地或遠(yuǎn)程的一個或多個事件數(shù)據(jù)儲存庫(例如�,事件數(shù)據(jù)儲存庫55) 提取安全事件數(shù)據(jù)和/或信息事件數(shù)據(jù)���。提取數(shù)據(jù)意圖包括任意形式的檢索�����、接收���、取出或 以其它方式獲得數(shù)據(jù)。聲譽(yù)服務(wù)器40能夠是基于常規(guī)被安排以執(zhí)行事件數(shù)據(jù)儲存庫55的 掃描�����、引導(dǎo)任意適合的數(shù)據(jù)挖掘技術(shù)(例如��,評價信息事件以確定它們是否與聲譽(yù)分析有 關(guān))、抓取事件數(shù)據(jù)儲存庫����、并且提取有關(guān)信息事件數(shù)據(jù)和安全事件數(shù)據(jù)。另外�,能夠?qū)τ谔?定信息搜索事件數(shù)據(jù)儲存庫55,并且任意這樣的信息能夠由聲譽(yù)服務(wù)器40提取��。例如�,在 一些情境中,如果風(fēng)險關(guān)聯(lián)模塊42確定事件的可疑模式或潛在地或確定地有風(fēng)險的活動 的指示�����,則能夠執(zhí)行對于特定信息的事件數(shù)據(jù)儲存庫55上的搜索(例如���,是否當(dāng)前登錄了 特定用戶)��,以證實存在對于網(wǎng)絡(luò)的風(fēng)險����。如果證實了風(fēng)險�,則可因此調(diào)節(jié)相關(guān)主機(jī)和/或 用戶的本地聲譽(yù)分?jǐn)?shù)。
[0043] 風(fēng)險關(guān)聯(lián)t吳塊42關(guān)聯(lián)與所檢測的事件相關(guān)的風(fēng)險以確定對于與該事件相關(guān)的每 個主機(jī)和每個用戶的本地聲譽(yù)分?jǐn)?shù)�。能夠在本地聲譽(yù)分?jǐn)?shù)模塊44中存儲本地聲譽(yù)分?jǐn)?shù)����。在 本地聲譽(yù)分?jǐn)?shù)模塊44的一個實施例中�����,將主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到該主機(jī)的相應(yīng)的網(wǎng) 絡(luò)地址(例如���,IP地址���、MAC地址)。類似地�����,能夠?qū)⒂脩舻谋镜芈曌u(yù)分?jǐn)?shù)映射到用戶的相 應(yīng)的用戶標(biāo)識符(例如�����,用戶名)�。
[0044] 聲譽(yù)分?jǐn)?shù)能夠表示用于提供對于專用網(wǎng)絡(luò)中的主機(jī)和用戶的本地聲譽(yù)排名或評 級機(jī)制的各種類型的標(biāo)記����、屬性����、值范圍等�����。另外���,這些分?jǐn)?shù)能夠包括絕對和相對的指示符����。 例如����,在一個實施例中��,主機(jī)或用戶的聲譽(yù)分?jǐn)?shù)能夠是在所定義的標(biāo)度上的整數(shù)(例如���, 1-10)�。在另一個實施例中,對于主機(jī)或用戶的聲譽(yù)分?jǐn)?shù)能夠是與對應(yīng)主機(jī)或用戶相關(guān)的安 全事件和/或信息時間的位映射����。因此��,提供排名或評級機(jī)制的聲譽(yù)分?jǐn)?shù)的可能類型能夠 配置有不同的粒度以傳達(dá)關(guān)于已經(jīng)影響主機(jī)或用戶的聲譽(yù)的事件或條件的信息�����。
[0045] 能夠執(zhí)行任意類型的關(guān)聯(lián)技術(shù)以確定本地聲譽(yù)分?jǐn)?shù)�。在一個實施例中�����,與專用網(wǎng) 絡(luò)或內(nèi)聯(lián)網(wǎng)相關(guān)的每個主機(jī)和每個用戶能夠以好的本地聲譽(yù)分?jǐn)?shù)開始���。每次從聲譽(yù)服務(wù)器 40接收事件通知時�,風(fēng)險關(guān)聯(lián)t旲塊42能夠基于與該事件相關(guān)的風(fēng)險��,調(diào)節(jié)與該事件相關(guān)的 主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)���。在一些實施例中,與事件相關(guān)的風(fēng)險可以被量化(例如����,作為 風(fēng)險等級),并且被包括在發(fā)送到聲譽(yù)服務(wù)器40的事件通知的事件數(shù)據(jù)中��、或者適當(dāng)在事 件數(shù)據(jù)儲存庫55中存儲的事件數(shù)據(jù)中。在其它實施例中�����,事件通知能夠簡單標(biāo)識事件(例 如����,事件指示符),然后聲譽(yù)數(shù)據(jù)庫40能夠在接收到事件通知或者提取事件數(shù)據(jù)之后確定 對于事件的風(fēng)險等級�。風(fēng)險等級能夠與分度標(biāo)對應(yīng),使得對于事件的風(fēng)險等級越大��,與該事 件相關(guān)的主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)就越低���。
[0046]在一些實現(xiàn)中��,某些類型的事件的事件數(shù)據(jù)可由聲譽(yù)服務(wù)器40或在數(shù)據(jù)事件儲 存庫55中隨著時間聚合��,使得風(fēng)險關(guān)聯(lián)模塊42不基于這些類型的事件的事件數(shù)據(jù)來減少 (或增加)本地聲譽(yù)分?jǐn)?shù)���,直到所聚合的數(shù)到達(dá)預(yù)確定的閾值(例如,訪問敏感數(shù)據(jù)的事件 的閾值數(shù))�����,或者直到這些類型的事件與其它具體類型的事件組合(例如,訪問敏感信息的 事件與將敏感信息傳送給他人的事件組合)����。重要的是,不由安全應(yīng)用觸發(fā)立即補(bǔ)救或預(yù)防 動作的重復(fù)的策略違反可無論如何最終使與這樣的重復(fù)違反相關(guān)的主機(jī)和/或用戶的本 地聲譽(yù)分?jǐn)?shù)降低到預(yù)定義的閾值����。一旦本地聲譽(yù)分?jǐn)?shù)已降低到預(yù)定義的閾值,則為了前攝 地保護(hù)網(wǎng)絡(luò)及其主機(jī)�,可由安全節(jié)點(diǎn)(例如,網(wǎng)絡(luò)安全設(shè)備30和主機(jī)20 (1))應(yīng)用策略以預(yù) 防某些主機(jī)和/或用戶的某些活動�。
[0047]能夠提供機(jī)制以允許授權(quán)用戶(例如,網(wǎng)絡(luò)管理員)隨著某些風(fēng)險行為平息��,將用 戶或主機(jī)的本地聲譽(yù)分?jǐn)?shù)恢復(fù)到可接受的等級或者逐漸增加本地聲譽(yù)分?jǐn)?shù)�����。例如�����,能夠?qū)?已獲得壞本地聲譽(yù)(例如�����,重復(fù)違反某些低風(fēng)險公司策略)��,但是已經(jīng)接收關(guān)于這些公司策 略的后續(xù)培訓(xùn)的用戶的本地聲譽(yù)分?jǐn)?shù)增加到中等本地聲譽(yù)分?jǐn)?shù)����,直到經(jīng)過某時間段而沒有 引起用戶的本地聲譽(yù)分?jǐn)?shù)進(jìn)一步降低的附加的事件數(shù)據(jù)。如果由重復(fù)的策略違反引起不好 的本地聲譽(yù)���,則指示所增加的策略服從的動作還可服務(wù)于增加聲譽(yù)�。在這個實施例中����,事件 檢測節(jié)點(diǎn)的事件代理23a_d可配置成當(dāng)活動以不好的本地聲譽(yù)分?jǐn)?shù)與主機(jī)和/或用戶相關(guān) 時,檢測服從某些策略的活動(網(wǎng)絡(luò)通信和/或主機(jī)處理)�。對于這些所檢測的服從事件 的事件數(shù)據(jù)可包括策略服從指示符、主機(jī)標(biāo)識和用戶標(biāo)識����,其能夠被提供給聲譽(yù)服務(wù)器40 并且與其它事件數(shù)據(jù)關(guān)聯(lián)。存在的主機(jī)和/或用戶的不好的本地聲譽(yù)分?jǐn)?shù)能夠因此被更新 (例如�,被增加,如果已檢測到了服從事件的閾值數(shù)的話)��。
[0048] 網(wǎng)絡(luò)安全設(shè)備30能夠配置成消耗主機(jī)和用戶的本地聲譽(yù),并且至少部分基于本 地聲譽(yù)來監(jiān)視或控制網(wǎng)絡(luò)通信��。因此�,網(wǎng)絡(luò)安全設(shè)備30能夠包括諸如例如,防火墻���、入侵保 護(hù)系統(tǒng)���、網(wǎng)關(guān)、或者其它節(jié)點(diǎn)之類的任意適合的網(wǎng)絡(luò)元件�,配置有網(wǎng)絡(luò)保護(hù)模塊36以主動 或被動將保護(hù)提供給專用網(wǎng)絡(luò)14的網(wǎng)絡(luò)資產(chǎn)50。例如�����,在一些實施例中��,網(wǎng)絡(luò)安全設(shè)備30 能夠被動監(jiān)視網(wǎng)絡(luò)通信并且提供事件的通知�����,其中管理員采取適當(dāng)手動動作�。這樣的通知 能夠適合地被給予,或者被發(fā)送到特定位置(例如���,聲譽(yù)服務(wù)器40等)����,或者簡單地被存儲 或被存檔����,并且/或者適當(dāng)以任意適當(dāng)形式被顯示。在網(wǎng)絡(luò)安全設(shè)備30配置成主動保護(hù)網(wǎng) 絡(luò)資產(chǎn)50的其它實施例中�����,網(wǎng)絡(luò)安全設(shè)備30能夠基于與網(wǎng)絡(luò)通信相關(guān)的主機(jī)和/或用戶 的本地聲譽(yù)分?jǐn)?shù)����,將策略動態(tài)應(yīng)用到它接收的任意網(wǎng)絡(luò)通信。網(wǎng)絡(luò)安全設(shè)備30可與網(wǎng)絡(luò)業(yè) 務(wù)在線��、或者諸如通過交換機(jī)上的鏡像端口�����,攔截或接收網(wǎng)絡(luò)業(yè)務(wù)的副本���。在這種情況下���, 網(wǎng)絡(luò)安全設(shè)備30可沒有與其相關(guān)的網(wǎng)絡(luò)地址(例如��,沒有IP地址�����、以及沒有MAC地址)�����。
[0049] 與網(wǎng)絡(luò)通信和處理相關(guān)的主機(jī)和用戶可需要由事件檢測節(jié)點(diǎn)在檢測事件時標(biāo)識�, 并且由安全節(jié)點(diǎn)在消耗本地聲譽(yù)作為對策略評價的輸入時標(biāo)識����。能夠使用各種技術(shù)來完 成標(biāo)識與網(wǎng)絡(luò)通信相關(guān)的主機(jī)和用戶。如果主機(jī)的網(wǎng)絡(luò)地址是網(wǎng)絡(luò)通信的源地址或目標(biāo) 地址���,則主機(jī)能夠與網(wǎng)絡(luò)通信相關(guān)����。因此�,與網(wǎng)絡(luò)通信相關(guān)的主機(jī)能夠由網(wǎng)絡(luò)地址標(biāo)識,所 述網(wǎng)絡(luò)地址是網(wǎng)絡(luò)通信的源地址或目標(biāo)地址��,諸如互聯(lián)網(wǎng)協(xié)議(IP)地址或媒體訪問控制 (MAC)地址。
[0050] 與網(wǎng)絡(luò)通信相關(guān)的用戶標(biāo)識符能夠由諸如例如由微軟公司所擁有的 ActiveDirectory?目錄服務(wù)���、或遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)之類外部帶外機(jī)制到目 錄機(jī)制標(biāo)識�。在另一個示例中����,用戶標(biāo)識符能夠通過經(jīng)由目錄機(jī)制或用戶的內(nèi)部列表來強(qiáng) 制用戶登錄以標(biāo)識其用戶名來發(fā)現(xiàn)���。在又一個示例中��,用戶標(biāo)識符能夠使用主機(jī)防火墻機(jī) 制被發(fā)現(xiàn)����,在該主機(jī)防火墻機(jī)制中��,主機(jī)代理與諸如防火墻(例如����,網(wǎng)絡(luò)安全設(shè)備30)之類 的網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備通過使用帶外協(xié)議、或者通過使用密碼安全密隱帶內(nèi)協(xié)議(其中信息被嵌 入在TCP/IP/ICMP網(wǎng)絡(luò)業(yè)務(wù)的冗余區(qū)域中)傳送信息來共享處理信息(例如��,處理擁有者 或用戶)和主機(jī)信息��。
[0051] 還可使用諸如發(fā)現(xiàn)網(wǎng)絡(luò)通信中的用戶名而不管加密之類的其它技術(shù)來確定用戶。 例如�,文件傳輸協(xié)議(FTP)、超文本傳輸協(xié)議(HTTP)和即時消息傳送協(xié)議能夠具有為了確 定與這些網(wǎng)絡(luò)通信相關(guān)的用戶能夠被掃描的用戶名和密碼域���。另外����,即時消息傳送�、傳輸層 安全(TLS)和安全套接層(SSL)協(xié)議能夠由客戶證書來標(biāo)識用戶。當(dāng)前或之前網(wǎng)絡(luò)通信內(nèi) 的密碼認(rèn)證還能夠用于標(biāo)識用戶�。在其它情境中,為了獲得用戶標(biāo)識符能夠強(qiáng)制用戶登錄����。 一旦被確定,則與網(wǎng)絡(luò)地址相關(guān)的用戶還能夠用于從相同的網(wǎng)路地址標(biāo)識后續(xù)的通信����。
[0052] -旦已經(jīng)確定了與網(wǎng)絡(luò)通信相關(guān)的網(wǎng)絡(luò)地址和用戶標(biāo)識符,則網(wǎng)絡(luò)保護(hù)模塊36 能夠與聲譽(yù)服務(wù)器40通信以(例如���,從本地聲譽(yù)分?jǐn)?shù)模塊44)獲得主機(jī)和用戶的本地聲譽(yù) 分?jǐn)?shù)�����。一旦接收了本地聲譽(yù)分?jǐn)?shù)��,則網(wǎng)絡(luò)保護(hù)模塊36能夠基于本地聲譽(yù)分?jǐn)?shù)來動態(tài)選擇適 當(dāng)策略以應(yīng)用到網(wǎng)絡(luò)通信�。不同的方法能夠由網(wǎng)絡(luò)保護(hù)模塊36實現(xiàn)以基于本地聲譽(yù)分?jǐn)?shù) 來動態(tài)選擇適當(dāng)?shù)牟呗浴T谝粋€實施例中�,本地聲譽(yù)策略模塊38能夠提供策略到本地聲譽(yù) 分?jǐn)?shù)的映射。如果主機(jī)和用戶本地聲譽(yù)分?jǐn)?shù)都可適用于特定網(wǎng)絡(luò)通信��,并且分?jǐn)?shù)不同�����,則在 一個實施例中����,網(wǎng)絡(luò)保護(hù)模塊36能夠配置成應(yīng)用與主機(jī)和用戶本地聲譽(yù)分?jǐn)?shù)對應(yīng)的最多 限制的策略����。在另一個實施例中,本地聲譽(yù)策略模塊38中的分開的策略規(guī)定能夠規(guī)定用戶 和主機(jī)聲譽(yù)分?jǐn)?shù)���,應(yīng)用獨(dú)立于彼此的策略���。此外�����,能夠與其它策略考慮評價本地聲譽(yù)分?jǐn)?shù)以 選擇要應(yīng)用的適當(dāng)?shù)牟呗浴?br>
[0053] 圖4中示出的網(wǎng)絡(luò)資產(chǎn)50能夠包括將信息����、資源或服務(wù)提供給專用網(wǎng)絡(luò)14的用 戶的任意網(wǎng)絡(luò)元件�����,并且可具有對于與專用網(wǎng)絡(luò)相關(guān)的實體的不同等級值����。例如,對于一些 實體��,被指定作為最高價值資產(chǎn)的資產(chǎn)(例如��,高敏感數(shù)據(jù))能夠包括工程設(shè)計服務(wù)器�����、源 代碼服務(wù)器��、財務(wù)服務(wù)器���、公司"秘密武器"(例如�,行業(yè)秘密信息)和面向外部的內(nèi)容(即, 表示實體并且對于實體的外來者可適用的內(nèi)容)���。在附加的示例中�����,被指定作為實體的中等 價值資產(chǎn)的資產(chǎn)(例如�,中等敏感度)能夠包括公司電話本���、公共文件服務(wù)器和公司web服 務(wù)器(即��,用戶用于共享或散布諸如公司公告、博客�、文件儲存庫等之類的信息的專用網(wǎng)絡(luò) 內(nèi)部或內(nèi)聯(lián)網(wǎng)的服務(wù)器)。在又一個示例中��,被指定作為低價值資產(chǎn)的資產(chǎn)能夠包括沒有被 指定為最高價值或中等價值的其它資產(chǎn)���,其甚至對于"有風(fēng)險的"用戶提供業(yè)務(wù)連續(xù)性�。低 價值資產(chǎn)的示例能夠包括電子郵件服務(wù)器��、幫助桌面和"howto"頁面。
[0054] 類似網(wǎng)絡(luò)安全設(shè)備�,為了控制或被動監(jiān)視主機(jī)上的活動,主機(jī)20還能夠配置成消 耗主機(jī)和用戶的本地聲譽(yù)�����。例如���,主機(jī)上的處理����、以及由主機(jī)發(fā)送和接收的網(wǎng)絡(luò)通信每個能 夠至少部分基于與主機(jī)和用戶相關(guān)的本地聲譽(yù)被監(jiān)視或被控制��。主機(jī)能夠配置有主機(jī)保護(hù) 模塊26以提供這些監(jiān)視和控制功能��。主機(jī)保護(hù)模塊26能夠檢測進(jìn)入或輸出的網(wǎng)絡(luò)通信����, 并且能夠基于主機(jī)自身的本地聲譽(yù)分?jǐn)?shù)、輸出的網(wǎng)絡(luò)通信的目標(biāo)主機(jī)的本地聲譽(yù)分?jǐn)?shù)����、進(jìn) 入的網(wǎng)絡(luò)通信的起源主機(jī)的本地聲譽(yù)分?jǐn)?shù)、以及/或者與網(wǎng)絡(luò)通信相關(guān)的用戶的本地聲譽(yù) 分?jǐn)?shù)(例如,用戶發(fā)送或接收網(wǎng)絡(luò)通信)�����,將策略動態(tài)應(yīng)用到網(wǎng)絡(luò)通信�。主機(jī)保護(hù)模塊26還 能夠通過使用與該處理相關(guān)的主機(jī)和/或用戶的本地聲譽(yù)分?jǐn)?shù)來監(jiān)視或控制主機(jī)上的處 理,諸如文件訪問活動(例如���,嘗試訪問計算機(jī)源代碼或公司設(shè)計的處理)���。在另一個示例 中,如果與復(fù)制相關(guān)的主機(jī)或用戶的本地聲譽(yù)分?jǐn)?shù)不充足����,則主機(jī)保護(hù)模塊26能夠監(jiān)視或 控制主機(jī)自身內(nèi)的文件復(fù)制、或者到離線媒體(例如��,CD-ROM����、USB棒等)的文件復(fù)制����。能 夠由主機(jī)使用本地聲譽(yù)分?jǐn)?shù)作為輸入來控制或監(jiān)視的其它示例活動,包括對于加密和拒絕 顯示用于電子郵件的某些文件的要求(例如,在頁眉具有"機(jī)密"消息的文件或電子郵件��, 對于顯示所選擇的特定文件夾等)�����。
[0055] 與主機(jī)上的處理相關(guān)的主機(jī)和用戶可需要被標(biāo)識以使主機(jī)能夠消耗其本地聲譽(yù) 作為到策略評價的輸入�����。處理與該處理正在運(yùn)行所在的主機(jī)相關(guān)����,并且每個主機(jī)能夠由網(wǎng) 絡(luò)地址(例如,IP地址或MAC地址)標(biāo)識���。用戶還能夠與處理相關(guān)作為其處理擁有者或者 作為登錄到主機(jī)上的用戶����。與主機(jī)的進(jìn)入和輸出的網(wǎng)絡(luò)通信相關(guān)的主機(jī)和用戶能夠由網(wǎng)絡(luò) 通信的源地址和目標(biāo)地址�����、或者如本文之前所述的任意其它適合的技術(shù)來標(biāo)識��。
[0056] 在系統(tǒng)中能夠發(fā)生的示例情境由圖4中的流程線(1)到(10)示出。為了說明的 目的���,假設(shè)初始所有主機(jī)和用戶以好的本地聲譽(yù)分?jǐn)?shù)開始����。流程(1)表示來自登錄到主機(jī) 20(1)上的用戶("用戶A")的網(wǎng)絡(luò)通信�,以訪問網(wǎng)絡(luò)資產(chǎn)50。在該示例情境中���,用戶A嘗 試訪問實體的最高價值資產(chǎn)�,諸如公司財務(wù)服務(wù)器�。網(wǎng)絡(luò)安全設(shè)備30配置成將事件通知發(fā) 送到聲譽(yù)服務(wù)器40。在該情境中���,用戶A可被授權(quán)來訪問公司財務(wù)服務(wù)器��,但是策略模塊 24d可包括每次嘗試訪問最高價值資產(chǎn)之一時觸發(fā)事件通知的策略���。因此,由流程(2)指 示����,事件代理23d可將事件通知發(fā)送到標(biāo)識用戶A(例如,用戶標(biāo)識符)����、主機(jī)20 (1)(例如, 網(wǎng)絡(luò)地址)和事件(例如���,事件指示符)的聲譽(yù)服務(wù)器40�����。
[0057] 網(wǎng)絡(luò)安全元件30還可從聲譽(yù)服務(wù)器40請求對于用戶A和主機(jī)20 (1)的本地聲譽(yù) 分?jǐn)?shù)�����。由流程(3)指示����,聲譽(yù)服務(wù)器40將本地聲譽(yù)分?jǐn)?shù)發(fā)送到網(wǎng)絡(luò)安全設(shè)備30����。在該首次 嘗試訪問公司財務(wù)服務(wù)器中,用戶A和主機(jī)20(1)都具有好的本地聲譽(yù)分?jǐn)?shù)�,并且因此,由 流程(4)指示��,網(wǎng)絡(luò)安全設(shè)備30允許網(wǎng)絡(luò)通信訪問公司財務(wù)服務(wù)器。
[0058] 在該示例情境中����,在主機(jī)20(1)從公司財務(wù)服務(wù)器接收回信息之后,用戶A通過電 子郵件將公司財務(wù)信息發(fā)送到登錄到主機(jī)20(2)上的另一個用戶("用戶B")�����。電子郵件 由到電子郵件網(wǎng)關(guān)&服務(wù)器60的流程(5)表示�����,其具有用于檢測違反其策略的電子郵件 的事件代理23c和策略模塊24c��。如果策略模塊24c包括由電子郵件違反的可適用的策略 (例如�����,電子郵件不包含公司財務(wù)數(shù)據(jù)�����、電子郵件不能夠包含來自最高價值資產(chǎn)的信息�����、用 戶A不能夠發(fā)送公司財務(wù)數(shù)據(jù)的電子郵件、用戶A不能夠發(fā)送任意敏感信息的電子郵件��、電 子郵件必須被加密等)��,則事件代理23c可確定電子郵件的來源(例如�����,主機(jī)20(1)的網(wǎng)絡(luò) 地址和用戶A的用戶標(biāo)識符)����。由流程(6)指示�,事件代理23c可隨后將事件通知發(fā)送到聲 譽(yù)服務(wù)器40。事件通知能夠包括指示主機(jī)20(1)���、用戶A和所檢測的事件的事件數(shù)據(jù)�����。備 選地�����,事件代理23c能夠?qū)⑹录?shù)據(jù)存儲在事件數(shù)據(jù)儲存庫55中����,其能夠相對于郵件網(wǎng)關(guān) &服務(wù)器60被本地或遠(yuǎn)程配置。
[0059] 因為該情況中的策略違反不要求補(bǔ)救動作(S卩��,沒有阻止電子郵件),所以來自郵 件網(wǎng)關(guān)&服務(wù)器60的流程(7)表示電子郵件被轉(zhuǎn)發(fā)到主機(jī)20⑵上的用戶B��。如果用戶A和B在項目上合作并且用戶A繼續(xù)從公司財務(wù)服務(wù)器檢索信息并經(jīng)由電子郵件將財務(wù)信息 發(fā)送到用戶B的這種模式�����,則網(wǎng)絡(luò)安全設(shè)備30和郵件網(wǎng)關(guān)&服務(wù)器60能夠繼續(xù)將事件通 知發(fā)送到標(biāo)識用戶A����、主機(jī)20(1)和所檢測的事件的聲譽(yù)服務(wù)器40。在一些情境中��,聲譽(yù)服 務(wù)器40還可從事件數(shù)據(jù)儲存庫55提取安全事件和/或信息事件的事件數(shù)據(jù)�。風(fēng)險關(guān)聯(lián)模 塊42可關(guān)聯(lián)在事件通知中被接收的事件數(shù)據(jù)以及從事件數(shù)據(jù)儲存庫55中被提取的事件數(shù) 據(jù)以確定對于主機(jī)20(1)和用戶A的本地聲譽(yù)分?jǐn)?shù)。
[0060] 在接收到足夠數(shù)的事件通知之后�����,其指示用戶A通過訪問機(jī)密信息并且內(nèi)部發(fā)送 該信息的電子郵件而重復(fù)違反數(shù)據(jù)丟失策略,被映射到主機(jī)20(1)的網(wǎng)絡(luò)地址以及映射到 用戶A的用戶標(biāo)識符的本地聲譽(yù)分?jǐn)?shù)可減少足以使網(wǎng)絡(luò)安全設(shè)備30拒絕由用戶A和/或 由主機(jī)20(1)對于公司財務(wù)服務(wù)器的進(jìn)一步的訪問�����。因此��,如由流程(8)所示�����,如果用戶A 將另一個網(wǎng)絡(luò)通信發(fā)送到網(wǎng)絡(luò)安全設(shè)備30,則由流程(9)指示����,網(wǎng)絡(luò)安全設(shè)備30能夠?qū)⒘?一個事件通知發(fā)送到聲譽(yù)服務(wù)器40,并且如由流程(10)所示���,聲譽(yù)服務(wù)器40能夠?qū)⒂脩鬉 和主機(jī)20(1)減少的本地聲譽(yù)分?jǐn)?shù)發(fā)送回網(wǎng)絡(luò)安全設(shè)備30�����。網(wǎng)絡(luò)保護(hù)模塊36可隨后確定: 本地聲譽(yù)策略模塊38中的策略要求阻止與具有滿足某個閾值的本地聲譽(yù)分?jǐn)?shù)的主機(jī)和/ 或用戶相關(guān)的網(wǎng)絡(luò)通信����。因此����,如果主機(jī)20(1)的本地聲譽(yù)分?jǐn)?shù)�,和/或如果用戶A的本地 聲譽(yù)分?jǐn)?shù)滿足策略的閾值����,則在該示例情境中,由流程(8)指示的網(wǎng)絡(luò)通信可由網(wǎng)絡(luò)安全 設(shè)備30阻止��。用戶A的聲譽(yù)的減少有助于保護(hù)網(wǎng)絡(luò)���,假設(shè)在一個情形中已經(jīng)以風(fēng)險方式動 作的用戶還可能以其它方式動作�����。例如�,如果在該活動之后��,用戶A犯錯誤并且將其登錄證 書暴露給惡意用戶C�����,則這些證書將不再有助于暴露公司財務(wù)數(shù)據(jù)��。
[0061] 回到圖5,圖5示出用于確定和使用用戶和主機(jī)的本地聲譽(yù)分?jǐn)?shù)來保護(hù)網(wǎng)絡(luò)環(huán)境 中的信息的總系統(tǒng)流程500。流程500在502開始�����,其中專用網(wǎng)絡(luò)或內(nèi)聯(lián)網(wǎng)中的事件代理 (例如����,主機(jī)20 (1)、主機(jī)20 (2)���、郵件網(wǎng)關(guān)&服務(wù)器60和網(wǎng)絡(luò)安全設(shè)備30上相應(yīng)的事件代 理23a-d)檢測其相應(yīng)的事件檢測節(jié)點(diǎn)上的事件�����。事件檢測節(jié)點(diǎn)能夠是來自行為起源的主 機(jī)("起源主機(jī)")或者從起源主機(jī)接收網(wǎng)絡(luò)通信的節(jié)點(diǎn)。事件代理能夠在專用網(wǎng)絡(luò)內(nèi)的 多個網(wǎng)絡(luò)節(jié)點(diǎn)上配置以檢測事件���,并且由此作為事件檢測節(jié)點(diǎn)的功能�。另外�,這些事件代理 (例如,事件代理23a-d)能夠作為橫跨網(wǎng)絡(luò)的網(wǎng)絡(luò)通信�����、作為在起源主機(jī)上發(fā)生的其它有 風(fēng)險的和可接受的活動、以及作為監(jiān)視這些網(wǎng)絡(luò)通信和活動的安全應(yīng)用同時來操作�����。
[0062] 在504,事件代理能夠由與所檢測的事件相關(guān)的網(wǎng)絡(luò)地址和用戶標(biāo)識符相應(yīng)地標(biāo) 識主機(jī)和用戶�����。在506,具有所檢測的事件的事件代理能夠?qū)录?shù)據(jù)的事件通知發(fā)送 到聲譽(yù)服務(wù)器40,其中每個事件通知包括主機(jī)標(biāo)識(例如��,IP地址�����、MAC地址)��,用戶標(biāo)識 (例如���,用戶名)和事件指示符��。備選地或者附加地�,這些事件代理能夠?qū)⑹录?shù)據(jù)存儲在 事件數(shù)據(jù)儲存庫55中�。事件指示符能夠簡單標(biāo)識關(guān)于違反策略的事件。在一些實現(xiàn)中�����,事 件數(shù)據(jù)能夠包括分配到所檢測的事件的量化的風(fēng)險等級。例如�����,風(fēng)險等級能夠是被映射到 事件檢測節(jié)點(diǎn)的策略模塊(例如���,策略模塊24a-d)中的每個策略��。
[0063] 在508,聲譽(yù)服務(wù)器40可從專用網(wǎng)絡(luò)中的各種事件檢測節(jié)點(diǎn)接收事件通知����,并且 風(fēng)險關(guān)聯(lián)模塊42可按用戶和按主機(jī)來關(guān)聯(lián)來自事件通知的事件數(shù)據(jù)����。另外�����,聲譽(yù)服務(wù)器40 可提取用于安全事件和/或例如在事件數(shù)據(jù)儲存庫55中已由事件檢測節(jié)點(diǎn)記錄日志的信 息事件的事件數(shù)據(jù)��。該所提取的事件數(shù)據(jù)還可被包括在關(guān)聯(lián)中�。基于該關(guān)聯(lián),在510,對于 在事件通知中標(biāo)識的���、和/或被關(guān)聯(lián)的事件數(shù)據(jù)所提取的每個主機(jī)和每個用戶����,在本地聲 譽(yù)分?jǐn)?shù)模塊44中相應(yīng)的本地聲譽(yù)分?jǐn)?shù)能夠被更新��。
[0064]本地聲譽(yù)分?jǐn)?shù)能夠在專用網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全設(shè)備上被消耗以控制或被動監(jiān)視網(wǎng) 絡(luò)通信���。在512,網(wǎng)絡(luò)安全設(shè)備30可從專用網(wǎng)絡(luò)中的主機(jī)接收網(wǎng)絡(luò)通信���。在接收到網(wǎng)絡(luò) 通信之后,網(wǎng)絡(luò)安全設(shè)備30的網(wǎng)絡(luò)保護(hù)模塊36能夠例如從指示網(wǎng)絡(luò)通信來源的網(wǎng)絡(luò)通信 中的IP地址標(biāo)識主機(jī)���。還可例如�,如本文之前所述�����,使用外部頻帶外機(jī)制(例如�,Active Directory或Radius)、通過目錄機(jī)制或內(nèi)部的用戶列表來強(qiáng)制用戶登錄以標(biāo)識其用戶名 的防火墻�、或者主機(jī)防火墻機(jī)制�,來標(biāo)識與網(wǎng)絡(luò)通信相關(guān)的用戶的身份�。一旦主機(jī)和用戶被 標(biāo)識,則在514網(wǎng)絡(luò)安全設(shè)備30能夠獲得對于所標(biāo)識的主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)�����。在 516,聲譽(yù)服務(wù)器40提供與網(wǎng)絡(luò)通信相關(guān)的主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)��。在518,網(wǎng)絡(luò)安全 設(shè)備30的網(wǎng)絡(luò)保護(hù)模塊36能夠基于主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)�,動態(tài)選擇來自本地聲譽(yù) 策略模塊38的策略并且將其應(yīng)用到網(wǎng)絡(luò)通信。備選地�,網(wǎng)絡(luò)安全設(shè)備30能夠被動監(jiān)視網(wǎng) 絡(luò)通信并且提供事件通知,由此允許管理員采取適當(dāng)手動動作����。
[0065]本地聲譽(yù)分?jǐn)?shù)還可由能夠控制或監(jiān)視進(jìn)入和輸出的網(wǎng)絡(luò)通信和主機(jī)處理的主機(jī) 來消耗,并且還能夠?qū)⑵渌呗员镜貞?yīng)用到主機(jī)��。在522,主機(jī)20(1)的主機(jī)保護(hù)模塊26可 檢測處理(例如����,數(shù)據(jù)嘗試被寫入到USB棒)或進(jìn)入和輸出的網(wǎng)絡(luò)通信����。主機(jī)保護(hù)模塊26 能夠使用其IP地址或MAC地址來標(biāo)識主機(jī)20(1)作為與該過程相關(guān)的主機(jī)�����。還可例如�,如 本文之前所述��,通過標(biāo)識處理的處理擁有者����、通過標(biāo)識已經(jīng)登錄到主機(jī)20(1)的用戶、或者 通過經(jīng)由目錄機(jī)制或內(nèi)部的用戶列表來強(qiáng)制用戶登錄以標(biāo)識其用戶名�,標(biāo)識與處理相關(guān)的 用戶的身份?��?扇绫疚闹八鰳?biāo)識與網(wǎng)絡(luò)通信相關(guān)的主機(jī)和用戶��。一旦主機(jī)和用戶被標(biāo) 識�,則在524,主機(jī)20 (1)能夠獲得對于所標(biāo)識的主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)����。在526,聲譽(yù) 服務(wù)器40提供與所檢測的處理或網(wǎng)絡(luò)通信相關(guān)的主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)。在528,網(wǎng) 絡(luò)安全設(shè)備30的主機(jī)保護(hù)模塊36能夠基于相關(guān)主機(jī)和用戶的本地聲譽(yù)分?jǐn)?shù)��,動態(tài)選擇來 自本地聲譽(yù)策略模塊28的策略并且將其應(yīng)用到該處理或網(wǎng)絡(luò)通信�。備選地�,主機(jī)20(1)能 夠被動監(jiān)視處理和/或網(wǎng)絡(luò)通信��,并且提供事件通知���,由此允許管理員采取適當(dāng)手動動作�����。 [0066] 轉(zhuǎn)到圖6,圖6示出對于具體主機(jī)和用戶可在專用網(wǎng)絡(luò)14的聲譽(yù)服務(wù)器40中執(zhí)行 的操作的更具體的流程600����。流程600在602開始����,其中聲譽(yù)服務(wù)器40從專用網(wǎng)絡(luò)14中的 事件檢測節(jié)點(diǎn)的事件代理(例如,事件代理23a-d)接收事件通知�。這些事件通知能夠從任 意數(shù)量的網(wǎng)絡(luò)節(jié)點(diǎn)接收,所述任意數(shù)量的網(wǎng)絡(luò)節(jié)點(diǎn)配置有包括事件代理和策略模塊的安全 應(yīng)用����,并且能夠包括主機(jī)標(biāo)識、用戶標(biāo)識和事件的事件指示符���。在603,聲譽(yù)服務(wù)器40可從 一個或多個事件儲存庫(例如�����,事件數(shù)據(jù)儲存庫55)提取事件數(shù)據(jù)��,其能夠基于常規(guī)或按需 要來執(zhí)行��。此外����,聲譽(yù)服務(wù)器40能夠通過接收事件通知���、通過提取事件數(shù)據(jù)����、或者通過其任 意適合的組合來獲得對于主機(jī)和用戶的事件數(shù)據(jù)�。在604,事件數(shù)據(jù)可按主機(jī)和按用戶被關(guān) 聯(lián)。在606,風(fēng)險關(guān)聯(lián)模塊42隨后更新對于用戶的本地聲譽(yù)分?jǐn)?shù)和對于主機(jī)的本地聲譽(yù)分 數(shù)���。
[0067]在608,能夠做出對于主機(jī)或用戶的本地聲譽(yù)分?jǐn)?shù)是否改變的確定�����。如果本地聲 譽(yù)分?jǐn)?shù)的至少之一已經(jīng)改變����,則流程能夠經(jīng)至610,在此可采取適當(dāng)動作,例如��,將變化記錄 日志����、警告網(wǎng)絡(luò)管理員該變化,或者報告該變化���。一旦已采取了適當(dāng)動作�����,或者如果對于用 戶和主機(jī)的本地聲譽(yù)分?jǐn)?shù)沒有變化����,則流程能夠經(jīng)至612,在此聲譽(yù)服務(wù)器40從安全節(jié)點(diǎn) (例如�,網(wǎng)絡(luò)安全設(shè)備30、主機(jī)20 (1))接收對于主機(jī)和/或用戶的本地聲譽(yù)分?jǐn)?shù)的請求����。在 614,聲譽(yù)服務(wù)器40能夠?qū)碜员镜芈曌u(yù)分?jǐn)?shù)模塊44的適當(dāng)本地聲譽(yù)分?jǐn)?shù)發(fā)送到請求安全 節(jié)點(diǎn)。因此,請求安全節(jié)點(diǎn)能夠使用分?jǐn)?shù)將策略動態(tài)應(yīng)用到網(wǎng)絡(luò)通信或處理���,或者能夠被動 監(jiān)視網(wǎng)絡(luò)通信或處理����、并且發(fā)送適當(dāng)警告�����。
[0068] 在示例實現(xiàn)中��,與本文論述的用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)網(wǎng)絡(luò) 環(huán)境中的信息的系統(tǒng)有關(guān)的活動的至少一些部分可以以例如事件代理23a_d�、風(fēng)險關(guān)聯(lián)模 塊42�����、主機(jī)保護(hù)模塊26和網(wǎng)絡(luò)保護(hù)模塊36中的軟件來實現(xiàn)�。在一些實施例中,為了提供用 于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)信息的該系統(tǒng)�����,能夠從web服務(wù)器接收或下載 該軟件��,或者在計算機(jī)可讀媒體上提供該軟件。在一些實施例中����,這些特征的一個或多個可 以以在這些元件以外的所提供的硬件來實現(xiàn),或者以任意適當(dāng)方式被合并以實現(xiàn)所意圖的 功能性��。
[0069] 另外����,本文所述和所示的系統(tǒng)的實施例還可包括用于在諸如網(wǎng)絡(luò)環(huán)境10之類的 網(wǎng)絡(luò)環(huán)境中接收、傳送和/或以其它方式傳送數(shù)據(jù)或信息的適合的接口��。另外�,與各種網(wǎng)絡(luò) 元件相關(guān)的一些處理器和存儲器元件可被移除,或者以其它方式被合并��,使得單個的處理 器和單個的存儲器位置負(fù)責(zé)某些活動����。備選地,某些處理功能能夠被分開�,并且分開的處理 器和/或物理機(jī)器能夠?qū)崿F(xiàn)各種功能性。在一般意義中����,圖中描繪的布置可以是在其表示 中更合乎邏輯的����,而物理架構(gòu)可包括這些元件的各種排列���、組合和/或混合����。有必要注意��, 無數(shù)可能的設(shè)計配置能夠用于實現(xiàn)本文論述的操作目標(biāo)����。因此��,所相關(guān)的基礎(chǔ)設(shè)施具有千 變?nèi)f化的替代布置��、設(shè)計機(jī)會�����、設(shè)備可能性�、硬件配置、軟件實現(xiàn)���、裝備選項等��。
[0070]在一些示例實施例中�����,一個或多個存儲器元件(例如�����,存儲器元件22a_e)能夠存 儲本文所述的用于信息保護(hù)操作的數(shù)據(jù)����。這包括能夠存儲被執(zhí)行以實施本說明書中所述 的活動的指令(例如,軟件�、邏輯、代碼等)的存儲器元件����。處理器能夠執(zhí)行與數(shù)據(jù)相關(guān)的 任意類型的指令以實現(xiàn)本文詳述的操作。在一個示例中�,一個或多個處理器(例如,處理器 21a_e)能夠?qū)⒃蛭锛ɡ?��,?shù)據(jù))從一種狀態(tài)或東西變換到另一狀態(tài)或東西�。在另一 個示例中,本文論述的功能可以以固定邏輯或可編程邏輯(例如���,由處理器執(zhí)行的軟件/計 算機(jī)指令)來實現(xiàn)��,并且本文標(biāo)識的元件能夠是一些類型的可編程處理器�、可編程數(shù)字邏 輯(例如���,現(xiàn)場可編程門陣列(FPGA)���、可擦除可編程只讀存儲器(EPROM)、電可擦除可編程 只讀存儲器(EEPR0M))��、包括數(shù)字邏輯的ASIC����、軟件�、代碼、電子指令�����、閃存��、光盤、⑶-ROM���、 DVD-ROM�、磁或光卡�����、適合存儲電子指令的其它類型的機(jī)器可讀媒體��、或其任意組合���。
[0071] 網(wǎng)絡(luò)環(huán)境10的組件(例如��,主機(jī)20��、網(wǎng)絡(luò)安全設(shè)備30��、聲譽(yù)服務(wù)器40���、資產(chǎn)50、郵 件網(wǎng)關(guān)&服務(wù)器60)可在任意適合類型的存儲器(例如�,隨機(jī)訪問存儲器(RAM)、只讀存儲 器(ROM)��、可擦除可編程ROM(EPROM)、電可擦除可編程ROM(EEPR0M)等)�����、軟件�����、硬件中�,或者 在任意其它適合的組件、設(shè)備�����、元件或?qū)ο笾性谶m當(dāng)時且基于具體需要來保留信息����。本文所 討論的任意存儲器項目(例如����,存儲器元件22a_e、策略模塊24a_d�����、本地聲譽(yù)策略模塊28、 本地聲譽(yù)分?jǐn)?shù)模塊44�、本地聲譽(yù)策略模塊38,事件數(shù)據(jù)儲存庫55)應(yīng)被解釋為被包含在廣 義術(shù)語"存儲器元件"內(nèi)。由網(wǎng)絡(luò)環(huán)境10讀取����、使用、跟蹤��、發(fā)送�、傳送、傳輸��、存儲�、更新、或 者接收的信息能夠在任意數(shù)據(jù)庫���、寄存器��、隊列���、表、高速緩存��、控制列表或其它存儲結(jié)構(gòu)中 被提供,其全部能夠在任意適合的時間框架被引用���。任意這樣的存儲選項可被包括在如本 文所使用的廣義術(shù)語"存儲器元件"內(nèi)����。類似地����,本說明書所述的任意潛在的處理元件、模 塊和機(jī)器應(yīng)被解釋為被包含在廣義術(shù)語"處理器"內(nèi)��。
[0072] 附加的硬件沒有在圖中示出����,其可以以存儲器管理單元(MMU)、附加的對稱多處 理(SMP)元件��、物理存儲器�、外圍組件互聯(lián)(PCI)總線和對應(yīng)的橋、小型計算機(jī)系統(tǒng)接口 (SCSI) /電子集成驅(qū)動器(IDE)元件等的形式適合耦合到處理器21a_e和其它組件����。圖1 和4的網(wǎng)絡(luò)元件和主機(jī)(例如�����,主機(jī)20 (1) - (n),網(wǎng)絡(luò)安全設(shè)備30���、聲譽(yù)服務(wù)器40���、郵件網(wǎng)關(guān) &服務(wù)器60)可包括促進(jìn)其操作的任意附加的適合的硬件、軟件�����、組件�����、模塊�����、接口或?qū)ο蟆?這可包括允許數(shù)據(jù)的有效保護(hù)和通信的適當(dāng)算法和通信協(xié)議��。另外���,任意適合的操作系統(tǒng) 還可在網(wǎng)絡(luò)元件和主機(jī)中配置以適當(dāng)管理其中硬件組件的操作�����。
[0073]注意到��,用本文提供的許多示例�����,可關(guān)于兩個����、三個、四個或更多網(wǎng)絡(luò)元件和主機(jī) 來描述交互����。但是,僅為了清晰和示例的目的已完成了本文��。應(yīng)理解����,系統(tǒng)能夠以任意適合 的形式被合并。隨著類似的設(shè)計備選��,任意所示出的圖的計算機(jī)�����、模塊���、組件和元件可以以 各種可能的配置被組合��,其全部清晰地在本說明書的廣義范圍內(nèi)�。在某些情形中��,(例如����, 如圖4中)它可僅通過參考有限數(shù)量的網(wǎng)絡(luò)元件和主機(jī)來更易于描述已知流程組的一個或 多個功能性。應(yīng)理解�,如圖中所示,用于確定和使用用戶和主機(jī)的本地聲譽(yù)來保護(hù)網(wǎng)絡(luò)信息 的系統(tǒng)及其教導(dǎo)易于可擴(kuò)展����,并且能夠適應(yīng)大量的組件,以及更復(fù)雜/更精密的布置和配 置����。因此,所提供的示例隨著潛在被應(yīng)用到千變?nèi)f化的其它架構(gòu)��,不應(yīng)限定范圍或禁止系統(tǒng) 的廣義教導(dǎo)。
[0074]還重要的是注意到���,參考前面的圖所述的操作和步驟僅示出可由系統(tǒng)或在系統(tǒng)內(nèi) 執(zhí)行的一些可能的情境�����。這些操作的一些可在適當(dāng)時被刪除或被移除�,或者這些步驟可在 不偏離所討論的概念的范圍內(nèi)被顯著地修改或改變�����。另外��,這些操作的時機(jī)可顯著地被變 更����,并且仍然實現(xiàn)本公開所教導(dǎo)的結(jié)果。為了示例和討論的目的提供了前面的操作流程��。由 系統(tǒng)提供基本靈活性���,在該系統(tǒng)中可不偏離所討論的概念的教導(dǎo)提供任意適合的布置�����、時 序�����、配置和定時機(jī)制�����。
[0075]對于本領(lǐng)域的技術(shù)人員可分清許多其它變化�����、替代����、變更�����、備選和修改��,并且意圖 本公開包含所有這些變化���、替代�����、變更�����、備選和修改作為落到所附權(quán)利要求的范圍內(nèi)��。
【權(quán)利要求】
1. 至少一個機(jī)器可讀媒體���,具有存儲在其上的指令�����,所述指令當(dāng)由處理器執(zhí)行時����,使所 述處理器: 關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù)��; 基于所述第一組事件數(shù)據(jù)的關(guān)聯(lián)來確定所述專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)��;并且 將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn)�����, 其中,所述安全節(jié)點(diǎn)配置成基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)將策略應(yīng)用到與所述主機(jī)相 關(guān)的網(wǎng)絡(luò)通信�。
2. 如權(quán)利要求1所述的媒體,其中����,將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到所述主機(jī)的網(wǎng) 絡(luò)地址。
3.如權(quán)利要求2所述的媒體��,其中�����,所述第一組事件數(shù)據(jù)包括在所述專用網(wǎng)絡(luò)中相應(yīng) 表示一個或多個事件的一個或多個事件指示符�����,其中��,所述一個或多個事件的每個與所述 主機(jī)的網(wǎng)絡(luò)地址相關(guān)���。
4.如權(quán)利要求2所述的媒體,其中�����,所述主機(jī)的網(wǎng)絡(luò)地址是所述網(wǎng)絡(luò)通信的源地址和 目標(biāo)地址之一。
5.如權(quán)利要求1所述的媒體����,其中,所述指令當(dāng)由所述處理器執(zhí)行時����,還使所述處理 器: 基于來自所述專用網(wǎng)絡(luò)的第二組事件數(shù)據(jù)的關(guān)聯(lián)來確定用戶的本地聲譽(yù)分?jǐn)?shù);并且 如果所述網(wǎng)絡(luò)通信與所述用戶相關(guān)�����,則將所述用戶的本地聲譽(yù)分?jǐn)?shù)提供給所述安全節(jié) 點(diǎn)�。
6.如權(quán)利要求5所述的媒體,其中���,當(dāng)基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)的策略比基于所 述用戶的本地聲譽(yù)分?jǐn)?shù)的不同策略更多限制時���,將基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)的策略應(yīng) 用到所述網(wǎng)絡(luò)通信。
7.如權(quán)利要求5所述的媒體����,其中,將所述用戶的本地聲譽(yù)分?jǐn)?shù)映射到所述用戶的用 戶標(biāo)識符。
8.如權(quán)利要求7所述的媒體�����,其中�����,所述第二組事件數(shù)據(jù)包括在所述專用網(wǎng)絡(luò)中相應(yīng) 表示一個或多個事件的一個或多個事件指示符���,其中�,所述一個或多個事件的每個與所述 用戶標(biāo)識符相關(guān)��。
9.如權(quán)利要求1所述的媒體����,其中��,所述專用網(wǎng)絡(luò)包括具有一個或多個遠(yuǎn)程網(wǎng)絡(luò)的內(nèi) 聯(lián)網(wǎng)��。
10. 如權(quán)利要求1所述的媒體�,其中,從接收自所述專用網(wǎng)絡(luò)中的至少一個事件檢測節(jié) 點(diǎn)的一個或多個事件通知來選擇所述第一組事件數(shù)據(jù)的至少一部分�����。
11. 如權(quán)利要求1所述的媒體,其中����,從所述專用網(wǎng)絡(luò)中的事件數(shù)據(jù)儲存庫提取所述第 一組事件數(shù)據(jù)的至少一部分,其中�,一個或多個事件檢測節(jié)點(diǎn)配置成將所述第一組事件數(shù) 據(jù)存儲在所述事件數(shù)據(jù)儲存庫中。
12. 如權(quán)利要求1所述的媒體���,其中����,所述安全節(jié)點(diǎn)是網(wǎng)絡(luò)安全設(shè)備和主機(jī)之一��。
13. -種方法�,包括: 關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù); 基于所述關(guān)聯(lián)所述第一組事件數(shù)據(jù)來確定所述專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)�����;以 及 將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn)���, 其中�,所述安全節(jié)點(diǎn)基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)將策略應(yīng)用到與所述主機(jī)相關(guān)的網(wǎng) 絡(luò)通信。
14. 如權(quán)利要求13所述的方法��,其中����,將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到所述主機(jī)的 網(wǎng)絡(luò)地址。
15. 如權(quán)利要求14所述的方法�����,其中,所述第一組事件數(shù)據(jù)包括在所述專用網(wǎng)絡(luò)中相 應(yīng)表示一個或多個事件的一個或多個事件指示符�����,其中,所述一個或多個事件的每個與所 述主機(jī)的網(wǎng)絡(luò)地址相關(guān)�����。
16. 如權(quán)利要求14所述的方法��,其中����,所述主機(jī)的網(wǎng)絡(luò)地址是所述網(wǎng)絡(luò)通信的源地址 和目標(biāo)地址之一。
17. 如權(quán)利要求13所述的方法��,還包括: 基于關(guān)聯(lián)來自所述專用網(wǎng)絡(luò)的第二組事件數(shù)據(jù)來確定用戶的本地聲譽(yù)分?jǐn)?shù)�����;以及 如果所述網(wǎng)絡(luò)通信與所述用戶相關(guān)�����,則將所述用戶的本地聲譽(yù)分?jǐn)?shù)提供給所述安全節(jié) 點(diǎn)���。
18. 如權(quán)利要求17所述的方法��,其中����,當(dāng)基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)的策略比基于 所述用戶的本地聲譽(yù)分?jǐn)?shù)的不同策略更多限制時�����,將基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)的策略 應(yīng)用到所述網(wǎng)絡(luò)通信���。
19. 如權(quán)利要求17所述的方法�����,其中����,將所述用戶的本地聲譽(yù)分?jǐn)?shù)映射到所述用戶的 用戶標(biāo)識符。
20. 如權(quán)利要求19所述的方法���,其中���,所述第二組事件數(shù)據(jù)包括在所述專用網(wǎng)絡(luò)中相 應(yīng)表示一個或多個事件的一個或多個事件指示符����,其中��,所述一個或多個事件的每個與所 述用戶標(biāo)識符相關(guān)�。
21. 如權(quán)利要求13所述的方法���,其中�,所述專用網(wǎng)絡(luò)包括具有一個或多個遠(yuǎn)程網(wǎng)絡(luò)的 內(nèi)聯(lián)網(wǎng)��。
22. 如權(quán)利要求13所述的方法����,其中,從接收自所述專用網(wǎng)絡(luò)中的至少一個事件檢測 節(jié)點(diǎn)的一個或多個事件通知來選擇所述第一組事件數(shù)據(jù)的至少一部分��。
23. 如權(quán)利要求13所述的方法�,其中,從所述專用網(wǎng)絡(luò)中的事件數(shù)據(jù)儲存庫提取所述 第一組事件數(shù)據(jù)的至少一部分�����,其中��,一個或多個事件檢測節(jié)點(diǎn)將所述第一組事件數(shù)據(jù)存 儲在所述事件數(shù)據(jù)儲存庫中�。
24. 如權(quán)利要求13所述的方法,其中�����,所述安全節(jié)點(diǎn)是網(wǎng)絡(luò)安全設(shè)備和主機(jī)之一�。
25. -種方法,包括: 關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù)�����; 基于所述關(guān)聯(lián)所述第一組事件數(shù)據(jù)來確定所述專用網(wǎng)絡(luò)的用戶的本地聲譽(yù)分?jǐn)?shù);以及 將所述用戶的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn)��, 其中��,所述安全節(jié)點(diǎn)基于所述用戶的本地聲譽(yù)分?jǐn)?shù)將策略應(yīng)用到與所述用戶相關(guān)的網(wǎng) 絡(luò)通信����。
26. 如權(quán)利要求25所述的方法�����,其中����,將所述用戶的本地聲譽(yù)分?jǐn)?shù)映射到所述用戶的 用戶標(biāo)識符。
27. 如權(quán)利要求26所述的方法���,其中�����,所述第一組事件數(shù)據(jù)包括在所述專用網(wǎng)絡(luò)中相 應(yīng)表示一個或多個事件的一個或多個事件指示符�,其中�����,所述一個或多個事件的每個與所 述用戶的用戶標(biāo)識符相關(guān)。
28. 如權(quán)利要求25所述的方法�,其中,所述專用網(wǎng)絡(luò)中的主機(jī)上的處理發(fā)起了所述網(wǎng) 絡(luò)通信���,并且其中����,所述處理的處理擁有者與所述用戶的用戶標(biāo)識符對應(yīng)�。
29. 如權(quán)利要求25所述的方法,還包括: 基于關(guān)聯(lián)來自所述專用網(wǎng)絡(luò)的第二組事件數(shù)據(jù)來確定所述專用網(wǎng)絡(luò)中的主機(jī)的本地 聲譽(yù)分?jǐn)?shù)�����;以及 如果所述網(wǎng)絡(luò)通信與所述主機(jī)相關(guān)���,則將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)提供給所述安全節(jié) 點(diǎn)��, 其中��,將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到所述主機(jī)的網(wǎng)絡(luò)地址�。
30. -種裝置����,包括: 存儲器元件�����,配置成存儲數(shù)據(jù)����; 處理器�����,可操作以執(zhí)行與所述數(shù)據(jù)相關(guān)的指令�����;以及 風(fēng)險關(guān)聯(lián)模塊�,配置成與所述存儲器元件和所述處理器接口以: 關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù)��; 基于所述關(guān)聯(lián)所述第一組事件數(shù)據(jù)來確定所述專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)���;并 且 將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)提供給安全節(jié)點(diǎn)�����, 其中����,所述安全節(jié)點(diǎn)配置成基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)將策略應(yīng)用到與所述主機(jī)相 關(guān)的網(wǎng)絡(luò)通信。
31. 如權(quán)利要求30所述的裝置���,其中����,將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)映射到所述主機(jī)的 網(wǎng)絡(luò)地址����。
32. 如權(quán)利要求30所述的裝置,其中�����,所述裝置還配置成: 基于關(guān)聯(lián)來自所述專用網(wǎng)絡(luò)的第二組事件數(shù)據(jù)來確定用戶的本地聲譽(yù)分?jǐn)?shù)�����;并且 如果所述網(wǎng)絡(luò)通信與所述用戶相關(guān)�,則將所述用戶的本地聲譽(yù)分?jǐn)?shù)提供給所述網(wǎng)絡(luò)安 全節(jié)點(diǎn)。
33. 一種方法����,包括: 關(guān)聯(lián)來自專用網(wǎng)絡(luò)的第一組事件數(shù)據(jù)��; 基于所述關(guān)聯(lián)所述第一組事件數(shù)據(jù)來確定所述專用網(wǎng)絡(luò)中的主機(jī)的本地聲譽(yù)分?jǐn)?shù)����;以 及 將所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)提供給所述主機(jī)�����, 其中�,基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)來選擇策略,并且其中���,將所述策略應(yīng)用到由所述 主機(jī)檢測的處理。
34. 如權(quán)利要求33所述的方法��,其中�����,所述處理包括將文件復(fù)制到連接到所述主機(jī)的 離線媒體���。
35. 如權(quán)利要求33所述的方法���,還包括: 基于關(guān)聯(lián)第二組事件數(shù)據(jù)來確定用戶的本地聲譽(yù)分?jǐn)?shù)���;以及 如果所述用戶是所述處理的處理擁有者,則將所述用戶的本地聲譽(yù)分?jǐn)?shù)提供給所述主 機(jī)�。
36. 如權(quán)利要求35所述的方法,其中���,當(dāng)基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)的策略比基于 所述用戶的本地聲譽(yù)分?jǐn)?shù)的不同策略更多限制時�����,將基于所述主機(jī)的本地聲譽(yù)分?jǐn)?shù)的策略 應(yīng)用到所述處理���。
37. 至少一個機(jī)器可讀媒體,包括指令���,所述指令當(dāng)被執(zhí)行時���,實現(xiàn)如權(quán)利要求25-29 中任一項所要求的方法。
38. 至少一個機(jī)器可讀媒體���,包括指令��,所述指令當(dāng)被執(zhí)行時����,實現(xiàn)如權(quán)利要求33-36 中任一項所要求的方法。
【文檔編號】H04L12/22GK104380657SQ201380017286
【公開日】2015年2月25日 申請日期:2013年4月10日 優(yōu)先權(quán)日:2012年4月10日
【發(fā)明者】G·庫珀, D·F·迪伊爾, M·W·格林, R·馬 申請人:邁可菲公司