基於訪問控制信息進行的基於行為的通信剖析的製作方法

2023-10-06 07:05:34

專利名稱：基於訪問控制信息進行的基於行為的通信剖析的製作方法
基於訪問控制信息進行的基於行為的通信剖析
背景技術：
諸如入侵檢測與防禦(IDP)設備的安全設備已成為服務提供和企業網絡兩者中 的關鍵部件。通過網絡中部署的安全解決方案的策略常常有所減緩。安全策略通過當通信 匹配的時候限定表示應被允許或應被拒絕的通信的一系列特性，來指定什麼通信是威脅、 惡意的、和/或攻擊以及什麼通信不是威脅、惡意的、和/或攻擊。

發明內容
根據一個實現方式，由設備執行的方法可以包括由設備接收與用戶對網絡進行 訪問相關聯的用戶信息、角色信息、或授權信息中的一個或多個；由該設備選擇與用戶信 息、角色信息、或授權信息中的一個或多個相關聯的用於監控的通信流(traffic flow)；由 設備監控通信流；由設備基於與用戶信息、角色信息、或授權信息中的一個或多個相關聯的 通信行為模式(traffic behavior pattern)來確定關於通信流是否存在通信行為的異常； 以及當確定存在異常時，由設備執行安全響應。根據另一實現方式，一種網絡設備可以被配置為接收與用戶的網絡訪問相關聯 的用戶信息、角色信息、或授權信息中的一個或多個；選擇與用戶信息、角色信息、或授權信 息中的一個或多個相關聯的用於監控的通信流；基於用戶的一個或多個之前的網絡訪問， 來存儲與用戶信息、角色信息、或授權信息中的一個或多個相對應的通信行為模式；對與通 信流相關聯的通信流信息和與通信行為模式相關聯的信息進行比較；當通信流不同於與通 信行為模式相關聯的信息時，確定存在通信行為的異常；以及當確定存在通信行為的異常 時，執行安全響應。根據又一實現方式，一種計算機可讀介質可以具有其上存儲的指令，這些指令由 至少一個處理器執行。該計算機可讀介質可以包括用於接收與用戶的網絡訪問相關聯的 用戶信息、角色信息、或授權信息中的一個或多個的一個或多個指令；用於選擇用來監控的 通信流的一個或多個指令，其中，通信流與網絡訪問相關聯；用於對網絡流量進行監控的一 個或多個指令；用於通過將通信流和與用戶信息、角色信息、或授權信息中的一個或多個相 關聯的通信行為模式進行比較來確定是否存在相對於通信流的通信行為異常的一個或多 個指令；以及用於當確定存在異常時執行安全響應的一個或多個指令。附加地，或替換地，通信行為模式可以基於與用戶信息、角色信息、或授權信息中 的一個或多個相關聯的之前監控的一個或多個通信流。附加地，或替換地，計算機可讀介質可以進一步包括用於當確定不存在異常時基 於與通信流相關聯的信息來更新通信行為模式歷史的一個或多個指令。根據又一個實現方式，網絡設備可以包括用於接收與對用戶的許可的網絡訪問 相關聯的用戶信息、角色信息、或授權信息中的一個或多個的裝置；用於選擇從許可的網 絡訪問得到的通信流的裝置；用於對所選擇的通信流進行監控的裝置；用於接收與用戶信 息、角色信息、或授權信息中的一個或多個相關聯的通信行為模式的裝置；用於將與所選擇 的通信流相關聯的信息和通信行為模式進行比較的裝置；用於基於比較來確定是否存在通信行為異常的裝置；以及用於當確定存在通信行為的異常時提供安全響應的裝置。根據又一個實現方式，一種設備可以被配置為接收通信流信息；構造與和許可的 網絡訪問相關的用戶信息、角色信息、或授權信息中的一個或多個相關聯的通信(traffic) 剖析；基於通信剖析來對與用戶信息、角色信息、或授權信息中的一個或多個相關聯的通信 行為模式進行更新，其中，通信行為模式包括表示非偏差的通信行為的值或值的範圍；以及 將更新後的通信行為模式提供給另一個設備。


結合於此並構成說明書一部分的附圖示出了本文描述的一個或多個實施例，並連 同說明書一起對這些實施例加以闡述。在附圖中圖1A是示出本文描述的示例性實施例的概述的示圖；圖1B是示出可以實現本文描述的方法、設備、及系統的示例性環境的示圖；圖2是示出圖1A和1B中描述的安全設備的示例性部件的示圖；圖3是示出圖1A和1B中描述的安全設備的示例性功能部件的示圖；圖4A是示出圖1A和1B中描述的資料庫的示例性功能部件的示圖；圖4B是示例性通信剖析表的示圖；圖5A是示出用於基於用戶信息、角色信息、和/或授權信息來檢測通信行為的異 常的示例性過程的流程圖；圖5B是示出用於創建和/或更新通信行為模式的示例性過程的流程圖；以及圖6和7是示出可以應用本文描述的實施例的示例性場景的示圖。
具體實施例方式以下詳細描述參照了附圖。不同附圖中的相同參考標號可以標識相同或類似的元 件。同樣，以下描述不對本發明構成限制。相反，本發明的範圍由所附權利要求及其等價物 來限定。本文使用的術語「用戶信息」旨在廣義地解釋為包括(例如)用戶的名稱、包括用 戶名稱的一部分的字符串、用戶標識符(例如，字符串)等。本文使用的術語「字符串」旨 在廣義地解釋為包括(一個或多個)字母、數字、符號、或字母、數字、和/或符號的某種組
口 o本文使用的術語「角色信息」旨在廣義地解釋為包括(例如)用戶的身份、用戶的 角色、職位、訪問等級等。用戶可以具有多於一個的角色。本文使用的術語「授權信息」旨在廣義地解釋為包括(例如)唯一標識一個用戶 的信息和/或由用戶提供的用來訪問網絡的信息。儘管用戶信息和/或角色信息可以對應 於授權信息，但是授權信息可以包括除了用戶信息和/或角色信息之外的信息。例如，授權 信息可以包括口令信息、登錄信息、授權代碼、認證信息等。本文描述的實施例提供了可以利用用戶信息、角色信息、和/或授權信息來選擇 並監控通信流以及基於與用戶信息、角色信息、和/或授權信息相關聯的通信行為模式來 檢測偏差或異常的方法、設備、及系統。可以理解的是，典型地，不在通信流中傳達或通過 (例如)路由器或交換機提供用戶信息、角色信息、和/或授權信息。因此，對通信流進行監控的安全設備不具有此類型的信息。因此，對通信流進行監控以及對偏差和異常進行檢測 的一些技術是基於源地址、目的地址、傳輸層協議、源埠、目的埠、及通信的內容的。在 基於網際網路協議的網絡中，該信息對應於源(IP)地址(SIP)、目的IP位址(DIP)、傳輸層協 議(PR0T)、源端 口 (SPORT)、及目的端 口 (DP0RT)(有時被稱為 5 元組(SIP、DIP、PR0、SP0RT、 DP0RT))。此外，在其他技術中，對通信流進行監控並對偏差和異常進行檢測的安全設備基 於該5元組信息以及其他信息(諸如進入接口(ingression interface)、服務類型(T0S)、 服務質量(Q0S)、時間戳、及通信流的字節/包數目)。在一個實現方式中，安全設備可以接收與用戶請求的網絡訪問和網絡訪問許可相 關聯的用戶信息、角色信息、和/或授權信息。該安全設備可以對從許可的網絡訪問得到的 與用戶信息、角色信息和/或授權信息相關聯的通信流進行檢測和監控。下文中，該安全設 備可以通過將與所監控的通信流相關聯的信息與現有的通信行為模式相比較來辨認通信 行為的偏差或異常。在一個實現方式中，現有的通信行為模式可以對應於與用戶信息、角色 信息、和/或授權信息相關聯的通信行為的歷史。在其他實現方式中，現有的通信行為模式 可以對應於網絡管理員創建的信息並且被認為是正常的或非偏差。當該比較顯示存在偏差 或異常時，然後安全設備可以對辨認出的偏差或異常提供安全響應(例如，關閉會話、丟棄 包等)。安全響應可以是用戶配置的。圖1A是示出本文描述的示例性實施例的概述的示圖。通過實例的方式，用戶105 可以利用用戶設備110對網絡進行訪問。用戶105可以將用戶信息、角色信息和/或授權 信息115提供給設備120。用戶105被授權並被許可訪問網絡。設備120可以與安全設備 125共享用戶信息、角色信息、和/或授權信息130。設備120還可以向安全設備125提供 (例如)源網絡地址信息。在其他實現方式中，除了源網絡地址信息之外，或者替代源網絡 地址信息，設備120可以向安全設備125提供其他信息(例如，源埠、目的網絡地址等)。用戶105可以對資源140進行訪問。安全設備125可以利用與用戶信息、角色信 息、和/或授權信息130相關聯的源網絡地址信息來選擇通信135作為給監控器145的通 信流。資料庫150可以存儲對應於用戶信息、角色信息、和/或授權信息的通信行為模 式。安全設備125可以將監控的通信流信息發送155至資料庫150。資料庫150可以利用 接收到的通信流對通信行為模式進行更新160並將更新後的通信行為模式發送165至安全 設備125。安全設備125可以對與通信135相關聯的通信行為和更新後的通信行為模式進 行比較170，通信行為和更新後的通信行為模式均對應於用戶信息、角色信息、和/或權限 信息130。基於該比較，安全設備125可以確定是否存在異常。然後，安全設備125可以在 其確定存在與通信行為模式的異常或偏差時採取適當措施(例如，安全響應)。另一方面， 如果安全設備確定不存在異常或偏差，則安全設備125可以繼續對通信135進行監控。作為實例，假設具有管理員角色的用戶105正常使用文件傳輸協議(FTP)。然而， 在該會話(即，通信135)中，處於管理員角色的用戶105開始上網。在這樣的實例中，安全 設備125可以通過將通信行為模式和與通信135相關聯的通信行為進行比較來辨認其作為 異常。然後，安全設備125可以採取適當的安全措施。雖然已廣義地描述了這些實施例，但還是存在變化的。因此，以下提供這些實施例 的詳細描述。
示例性環境圖1B是示出了其中可以實現本文描述的方法、設備、及系統的示例性環境100的 示圖。如圖1B所示，環境100可以包括用戶105和可通信地連接至網絡115的用戶設備 110。網絡115可以包括訪問設備120、安全設備125、資源140-1和140-2(通稱為「資源 140」)、及資料庫150。圖1B中描述的用戶105、用戶設備110、訪問設備120、安全設備125、 資源140、及資料庫150可以分別對應於之前參照圖1A描述和示出的用戶105、用戶設備 110、設備120、安全設備125、資源140、及資料庫150。環境100中的設備數目和配置是示例性的且為了簡化而提供。實際上，相比於圖1 中所示的那些設備，環境100可以包括更多、更少、不同的、和/或不同布置的設備。此外，被 描述為由一個特定設備執行的一些功能可以由一個不同的設備或多個設備的組合來執行。 例如，在其他實施例中，與資料庫150相關聯的功能可以結合到安全設備125中。環境100 可以包括多個設備中的有線連接和/或無線連接。用戶設備110可以包括具有與其他設備、系統、網絡等進行通信的能力的設備。例 如，用戶設備110可以對應於計算機(例如，膝上型計算機、桌上型計算機、手持計算機)、個 人數字助理、無線電話、網絡瀏覽設備、和其他類型的通信設備。網絡115可以包括任意類型的一個或多個網絡。例如，網絡115可以包括私有網 絡、公共網絡、區域網路(LAN)、城域網(MAN)、廣域網(WAN)、網際網路、企業內部網際網路、電話 網絡(例如，公共交換電話網絡(PSTN)或蜂窩網絡)、衛星網絡、計算機網絡、和/或多個網 絡的組合。訪問設備120可以包括具有與其他設備、系統、網絡等進行通信的能力的設備。例 如，訪問設備120可以包括應用程式授權伺服器、策略伺服器、執行點、和/或某種其他類 型的訪問控制設備或可以處理和/或轉發網絡通信的設備(例如，交換機、網關、橋接器)。 訪問設備120可以被實現在第2層、第3層、和/或更高層處。訪問設備120可以管理對網 絡115的訪問，包括內部人員威脅、賓客用戶訪問、遵守規章制度、離岸(off-shorting)和/ 或外包。訪問設備120可以獲得用戶信息、角色信息、和/或授權信息、以及其他類型的信 息(諸如，例如用戶設備安全狀態信息和/或定位數據)。訪問設備120可以限定網絡115 內分布的動態訪問控制策略。在一些實現方式中，訪問設備120可以提供預授權評估、角色 映射、及資源控制。訪問設備120可以支持多種標準，諸如，電子和電氣工程師協會(IEEE 802. IX)、遠程認證撥號用戶服務(RADIUS)、網際網路協議安全(IPsec)等等。安全設備125可以包括具有與其他設備、系統、網絡等進行通信的能力的設備。例 如，安全設備125可以包括安全設備(例如，IDP設備)。安全設備125還可以起著處理和/ 或轉發網絡通信的某些其他類型的設備(例如，路由器、交換機等)的作用。安全設備125 可以在聯機模式下和/或被動模式下工作。安全設備125可以監控和/或收集與網絡115 中其他設備(例如，用戶設備110、訪問設備120、資源140)有關的網絡和應用程式數據。安全設備125可以提供各種安全措施，諸如，例如狀態特徵檢測(即，基於特徵的 檢測)、協議異常檢測(例如，違反公開的請求註解(RFC)的協議使用)、通信異常檢測(例 如，啟發式規則可以檢測暗示了偵查或攻擊的通信方式)、對拒絕服務(DOS)攻擊的響應、 網際網路協議(IP)欺騙檢測、和/或第2層攻擊檢測。安全設備125可以支持對檢測到的 攻擊或威脅的各種主動響應，諸如，例如丟棄包、關閉連接、關閉客戶機、關閉伺服器、關閉
7客戶機和伺服器兩者等，以及支持被動響應，諸如，例如登錄信息和傳輸控制協議(TCP)重置。安全設備125可以提供其他類型的服務，諸如，例如基於角色的管理和/或基於域 的管理(例如，允許裝置、策略、報告等的邏輯分離)。安全設備125還可以提供登錄(例 如，收集網絡通信信息、通信方式信息等)、以及報告/通知(例如，提供實時報告)。在一 個實施例中，安全設備125可以包括剖析器。該剖析器可以捕捉與通信流相關聯的精確和 精細的細節。以下將更詳細地描述示例性的剖析器。資源140可以包括提供服務、數據、和/或某種其他類型資源(asset)的設備。例 如，資源140可以對應於網絡伺服器、郵件伺服器、數據倉庫等。資料庫150可以存儲和管理通信剖析信息和通信行為模式信息。資料庫150可以 基於從安全設備125接收到的通信流信息分析並創建通信剖析。資料庫150還可以利用通 信剖析信息對通信行為模式信息進行更新。儘管安全設備125可以被實現為不同類型的設備，但在以下段落中，將就IDP設備 而言來描述安全設備125。示例性設備架構圖2是示出安全設備125的示例性部件的示圖。如所示，安全設備115可以包括 (例如)總線210、處理器220、存儲器230、存儲設備240、輸入/輸出250、及通信接口 260。總線210可以允許安全設備125的多個其他部件之間的通信。例如，總線210可 以包括系統總線、地址總線、數據總線、和/或控制總線。總線210還可以包括總線驅動器、 總線判優器、總線接口、和/或時鐘。處理器220可以解釋和/或執行指令和/或數據。例如，處理器220可以包括處 理器、微處理器、數據處理器、協處理器、網絡處理器、專用集成電路(ASIC)、控制器、可編程 邏輯設備、現場可編程門陣列(FPGA)、或者可以解釋和/或執行指令的某種其他處理邏輯。存儲器230可以存儲數據和/或指令。例如，存儲器230可以包括隨機存取存儲 器(RAM)、動態隨機存取存儲器(DRAM)、靜態隨機存取存儲器(SRAM)、同步動態隨機存取 存儲器(SDRAM)、只讀存儲器(ROM)、可編程只讀存儲器(PR0M)、可擦除可編程只讀存儲器 (EPR0M)、電可擦除可編程只讀存儲器(EEPR0M)、其他類型的動態或靜態存儲器、高速緩存 器、和/或快閃記憶體。存儲設備240可以存儲數據、指令、和/或應用程式。例如，存儲設備240可以包括 連同相應驅動器的硬碟(例如，磁碟、光碟、磁光碟等)、壓縮盤(⑶)、數字通用光碟(DVD)、 軟盤、盒式磁碟、磁帶、快閃記憶體驅動器、或其他類型的計算機可讀介質。術語「計算機可讀介質」 旨在廣義地解釋為包括(例如)存儲器、存儲設備等。計算機可讀介質可以以集中方式或 分布方式實現在多個設備或單一的設備中。輸入/輸出250可以允許向安全設備115輸入或從安全設備輸出。例如，輸入/ 輸出250可以包括鍵盤、鍵區、滑鼠、按鈕、開關、麥克風、語音識別邏輯、筆、顯示器、埠等 用來允許輸入。附加地，或替換地，輸入/輸出250可以包括顯示器、揚聲器、一個或多個發 光二極體(LED)、埠等以允許輸出。通信接口 260可以使得安全設備125能夠與其他設備、網絡、其他系統等進行通 信。例如，通信接口 260可以包括無線接口和/或有線接口，諸如，乙太網接口、光學接口等。通信接口 260可以包括收發機。安全設備125可以基於用戶信息、角色信息、和/或授權信息來執行與限定並分析 通信行為模式有關的操作和/或處理，並且可以執行與檢測和這些通信行為模式相關聯的 偏差和異常有關的操作和/或處理。根據一個示例性實現方式，安全設備125可以響應於 處理器220執行包括在計算機可讀介質中的指令序列來執行這些操作和/或處理。例如， 可以將軟體指令從另一計算機可讀介質(諸如存儲設備240)、或經由通信接口 260從另一 設備讀取到存儲器230中。包含在存儲器230中的軟體指令可以使處理器220執行稍後將 描述的處理。替換地，可以使用硬線電路來替代軟體指令或與軟體指令結合，以實現本文描 述的處理。因此，本文描述的實現方式不局限於硬體電路和軟體的任何特定的組合。儘管圖2示出了安全設備125的示例性部件，但是在其他實現方式中，相比於本文 描述的和圖2示出的那些部件，安全設備125可以包括附加的、更少的、不同的、或不同布置 的部件。附加地，或替換地，描述為由安全設備125的一個特定部件執行的一個或多個操作 可以(除了該特定部件之外，或替代特定該特定部件)由一個或多個其他部件來執行。附 加地，可以理解的是，環境100中的其他設備(例如，用戶設備110、訪問設備120、資源140、 和/或資料庫150)可以包括圖2中示出的這些示例性部件。圖3是安全設備125的示例性功能部件的示圖。如圖3所示，安全設備125可以 包括檢測引擎305、資料庫310、及剖析器315。圖3所示的功能部件可以由硬體(例如，處 理器220)或硬體和軟體的組合來實現。儘管圖3中示出了部件的特定數目和安排，但是在 其他實現方式中，相比於圖3所示的那些部件，安全設備125可以包括更少的、附加的、不同 的、或不同布置的部件。此外，可以理解的是，可以在環境100中的其他設備(例如，用戶設 備110、訪問設備120、資源140、和/或資料庫150)中實現這些功能部件。檢測引擎305可以接收包形式的網絡通信。儘管本文的描述中使用了包，但是本 文描述的實現方式可應用於包、非包、單元、數據報、位、字節等任意形式的數據單元。檢測 引擎305可以執行各種檢測方法，諸如，例如識別攻擊、威脅、和/或惡意通信所需的方式匹 配、特徵匹配、狀態方式匹配、和/或基於異常的檢測(例如，協議、通信)。資料庫310可以存儲與安全設備125的操作有關的各種類型的信息。例如，數據 庫310可以存儲用於識別異常、威脅、攻擊、和/或惡意通信的特徵和/或啟發式算法。數 據庫310可以存儲協議解碼信息和策略。剖析器315 (或檢測引擎305)可以檢測、監控、和分析通信方式。例如，剖析器315 可以檢測並監控經過網絡115的通信。剖析器315 (或檢測引擎305)還可以對通信行為模 式和通信流信息進行比較以確定是否存在通信行為的異常。如本文所述，在一個實現方式 中，剖析器315可以檢索並接收來自資料庫150的通信行為模式。當確定存在異常時，安全 設備125可以採取適當的安全措施。圖4A是示出圖1A和1B描述的資料庫的示例性功能部件的示圖。圖4A所示的功 能部件可以由硬體(例如，處理器220)或硬體和軟體的組合來實現。儘管圖4A中示出了部 件的特定數目和布置，但是在其他實現方式中，相比於圖4A中示出的那些部件，資料庫150 可以包括更少的、附加的、不同的、或不同布置的部件。此外，可以理解的是，可以在環境100 中的其他設備(例如，用戶設備110、訪問設備120、安全設備125、和/或資源140)中實現 這些功能部件。
網絡通信分析器405可以基於監控的與特定的用戶信息、角色信息、和/或授權信 息相關聯的通信創建通信剖析。在一個實現方式中，安全設備125可以提供具有監控的通 信流信息的資料庫150 (例如，網絡通信分析器405)。在其他實現方式中，網絡通信分析器 405可以從安全設備125檢索通信流信息。圖4B是示例性通信剖析表的示圖。如圖4B所示，通信剖析表415可以包括用戶信息欄位420、角色信息欄位425、授 權信息欄位430、及通信行為模式信息欄位435。通信剖析表415的信息欄位可以根據個體
(individual basis) ^R^M (group basis)(domain basis) jfe^f 。用戶信息欄位420可以包括用戶信息。通過實例的方式，用戶信息欄位420可以 包括用戶的名稱(例如，Kevin Smith)、標識用戶的字符串(例如，TWT12598)、或某種其他 類型的信息(用戶名稱=Visitor)。角色信息欄位425可以包括角色信息。通過實例的方式，角色信息欄位425可以 包括用戶身份(例如，職工)、職位(例如，管理員)、或訪問等級(例如，賓客)。授權信息欄位430可以包括授權信息。通過實例的方式，授權信息欄位430可以 包括口令信息、登錄信息、授權代碼、認證信息等。通信行為模式信息欄位435可以包括典型地在通信流中傳達的源地址、目的地 址、源埠、目的埠、及傳輸協議信息(例如，5元組信息(SIP、DIP、PRO、SPORT、DP0RT)) 和內容信息，以及其他信息(諸如，例如進入接口、T0S、Q0S、時間戳、及通信流的字節/包 數目)。該類型的信息可以用於創建可以與用戶信息、角色信息、和/或授權信息相關聯的 通信行為模式。例如，通信流的字節/包數目可以用於確定(formulate)每個會話使用的 通信的量或在一段時間上使用的通信的量。在另一實例中，該類型的服務信息可以用於確 定(formulate)由用戶信息、角色信息、及關聯的授權信息正常使用或訪問的服務歷史。在 又一實例中，源地址和/或目的地址可以用於確定(formulate)與用戶信息、角色信息、和 /或對應的授權信息正常用來訪問網絡的用戶設備相關的歷史，或與用戶信息、角色信息、 和/或對應的授權信息用來正常訪問或使用的目的設備相關的歷史。因此，總之，安全設備 125(例如，剖析器315)捕捉的通信信息可以用於構造通信行為模式並使該通信行為模式 與用戶信息、角色信息、和/或授權信息相關聯。儘管圖4B示出了示例性通信剖析表415，但是在其他實現方式中，相比於本文描 述的和圖4A所示的，通信剖析器415可以包括附加的、不同的、或更少的信息欄位。還參照圖4A，網絡通信分析器405可以基於與特定用戶信息、角色信息、和/或授 權信息相關聯的通信剖析信息來創建通信行為模式。網絡通信分析器405可以將創建的通 信行為模式存儲在資料庫410中。網絡通信分析器405可以利用各種技術來創建通信行為 模式，各種技術諸如(例如)與通信流信息(諸如，例如內容信息、源地址、源埠、目的地 址、目的埠、傳輸協議(例如，5元組信息)、進入接口、T0S、Q0S、時間戳、以及與通信流相 關聯的字節/包數目)有關的統計分析、平均等。需要建立和/或創建通信行為模式的會 話數目可以是用戶配置的。通信行為模式表可以對應於通信剖析表415，然而，通信行為模 式表可以包括與通信行為模式信息435 (代表正常通信方式行為)相關聯的值或值的範圍。在替換的實現方式中，通信行為模式可以由(例如)管理員或某個其他網絡人員 來創建。例如，管理員可以確定被認為是正常通信行為或被認為是代表非偏差通信行為的 值或值的範圍，並創建通信行為模式表。管理員可以使通信行為模式與一個特定用戶、用戶
10組、角色(多個角色)、和/或授權信息相關聯。在任一實現方式中，通信行為模式可以等於 可用於檢測異常的通信行為的正常通信行為。可以理解的是，本文使用的術語「通信行為模 式」可以對應於由資料庫150 (例如，網絡通信分析器405)所創建的通信行為模式、由(例 如)網絡管理員所創建的通信行為模式、和/或兩者的組合。一旦創建了通信行為模式，網絡通信分析器405可以利用隨後的與特定用戶信 息、角色信息、和/或授權信息相關聯的會話(例如，監控的通信流)來更新通信行為模式。 例如，網絡通信分析器405可以基於監控的通信流來創建通信剖析。然後，網絡通信分析器 405可以基於通信剖析來更新通信行為模式。示例性過程如本文描述的，安全設備125可以使用用戶信息、角色信息、和/或授權信息來選 擇並監控通信流，並基於與用戶信息、角色信息、和/或授權信息相關聯的通信行為模式來 檢測偏差或異常。可以認識到，儘管本說明書提供了用戶信息、角色信息、和/或授權信息 可以由一個設備(例如，設備120或訪問設備120)獲得並被轉發到安全設備125，但是在其 他實現方式中，該功能性可以在單一的設備中實現。即，安全設備125可以獲得用戶信息、 角色信息、和/或授權信息。圖5A是示出了用於選擇和監控通信流以及基於與用戶信息、角色信息、和/或授 權信息相關聯的通信行為模式來檢測偏差或異常的示例性過程500的流程圖。過程500可 以由安全設備125中的硬體(例如，處理器220和/或某種其他類型的邏輯)、或硬體和軟 件的組合來執行。在另一實現方式中，與過程500相關聯的一個或多個操作可以由另一設 備結合安全設備125—起執行。將結合其他附圖一起描述過程500。為了進行討論，將假設 資料庫150中存在通信行為模式。這形成了對比其中，資料庫150的初始狀態要求通信行 為模式被創建而不是(versus)被更新。過程500可以從接收用戶信息、角色信息、和/或授權信息開始(框505)。例如， 如圖1B所示，用戶105可能打算訪問網絡115。可以在訪問被許可之前要求用戶105將信 息提供給訪問設備120。該信息可以包括用戶信息、角色信息、和/或授權信息。訪問設備 120還可以基於與用戶設備110的通信來獲得其他類型的信息，諸如，例如源網絡地址、源 埠、目的網絡地址、目的埠、協議(例如，傳輸等級)，以及其他信息，諸如，例如進入接 口、服務類型(T0S)、服務質量(Q0S)、時間戳、通信流的字節/包數目。為了進行討論，假設 訪問設備120許可用戶105訪問網絡115。返回到圖5A，用戶信息、角色信息、和/或授權信息可以被轉發給安全設備(框 510)。訪問設備120可以將接收到的用戶信息、角色信息、和/或授權信息轉發給安全設備 125。安全設備125可以將用戶信息、角色信息、和/或授權信息存儲在資料庫310的通信 行為表400中。訪問設備120可以將其他信息(例如，源網絡地址、源埠等)轉發給安全 設備125。安全設備125還可以將該信息存儲在通信行為表400中。可以監控基於用戶信息、角色信息、和/或授權信息的網絡通信(框515)。安全設 備125 (例如，剖析器315)可以基於用戶信息、角色信息、和/或授權信息來檢測、選擇、和/ 或監控來自用戶105的通信。例如，如圖1A所示，安全設備125可以監控與用戶105和用 戶設備110相關聯的通信135。在一個實現方式中，安全設備125可以基於由訪問設備120 提供的用戶信息、角色信息、和/或授權信息、和/或源網絡地址、源埠等識別哪個通信屬於用戶105。附加地，或替換地，安全設備125可以利用包含在通信135中的信息來使用戶 信息、角色信息、和/或授權信息與通信135相關聯。可以提供監控的網絡通信流來對通信行為模式進行更新(框520)。安全設備125 可以將監控的通信流提供給資料庫150。監控的通信流可以包括通信流信息以及用戶信息、 角色信息、和/或授權信息。在一個實現方式中，安全設備125可以將監控的通信流傳送到 資料庫150。在其他實現方式中，資料庫150可以檢索監控的通信流。可以獲得更新後的通信行為模式(框525)。安全設備125可以從資料庫150獲得 更新後的通信行為模式。更新後的通信行為模式可以包括代表與用戶信息、角色信息、和/ 或授權信息相關聯的正常通信行為的信息。在一個實現方式中，安全設備125可以從數據 庫150檢索更新後的通信行為模式。在其他實現方式中，資料庫150可以將更新後的通信 行為模式傳送到安全設備125。可以確定通信行為模式和通信行為(即，對應於當前會話)之間存在的異常。例 如，剖析器315可以對通信行為模式和對應於當前會話的通信行為進行比較以確定是否存 在通信行為異常。在一些實現方式中，剖析器315可以在進行通信行為模式和對應於當前會話的通 信行為的比較之前，基於對應於當前會話的通信行為，來創建通信行為剖析。在其他實現方 式中，剖析器315可以在不對監控的通信流進行進一步處理的情況下執行比較。剖析器315可以基於該比較檢測異常。即，該比較可以揭示與監控的通信流相關 聯的通信行為偏離了該特定用戶信息、角色信息、和/或授權信息的通信行為模式所代表 的「正常」行為。通過實例的方式，異常可以對應於用戶105從不同的源地址訪問網絡115、 用戶105使用不同的服務、用戶105超過了上傳和/或下載的字節數目等。如圖5A所示，如果確定存在異常(框530-是)，則安全設備125可以執行一個或多 個適當的安全措施(框535)。該安全措施(多個安全措施)可以是用戶配置的。例如，安 全設備125可以查閱資料庫310以識別適當的安全措施。如之前提到的，安全響應可以包括 關閉該會話、丟棄包、登錄信息、關閉客戶機、關閉伺服器、關閉客戶機和伺服器兩者等。在 一個實現方式中，可以基於用戶信息、角色信息、和/或授權信息來映射一個或多個安全措 施。即，網絡115的安全策略可以被映射到用戶信息、角色信息、和/或授權信息。附加地， 或替換地，網絡115的安全策略可以映射到與監控的通信流相關聯的源地址、源埠等。另一方面，如果確定不存在異常(框530-否)，則安全設備125可以繼續監控網絡 通信流(框540)。S卩，安全設備125可以繼續監控與當前會話相關聯的網絡通信流。儘管圖5A示出了示例性的過程500，但是在其他實現方式中，可以執行更少的、附 加的、或不同的操作。圖5B是示出用於創建和/或更新通信行為模式的示例性過程550的流程圖。過 程550可以由硬體(例如，處理器220和/或某種其他類型邏輯)、或資料庫150中的軟體 和硬體的組合來執行。在另一實現方式中，與過程550相關聯的一個或多個操作可以由另 一設備(例如，安全設備125)結合資料庫150—起執行。以下結合其他附圖一起來描述過 程 550。過程550可以從獲得網絡通信流信息開始(框555)。資料庫150可以獲得監控的 通信流信息。監控的通信流信息可以包括與通信135相關聯的信息、以及用戶信息、角色信息、和/或授權信息。在一個實現方式中，資料庫150可以從安全設備125檢索監控的通信 流信息。在其他實現方式中，安全設備125可以將監控的通信流信息傳送到資料庫150。可以創建通信流剖析(框560)。資料庫150 (例如，網絡通信分析器405)可以基 於監控的通信流信息來創建通信剖析(例如，通信剖析表)。例如，網絡通信分析器405可 以對監控的通信流信息進行分析以創建通信剖析。可以確定是否存在通信行為模式(框565)。例如，網絡通信分析器405可以查閱 資料庫410以確定是否存在與用戶、角色、和/或授權相關的通信行為模式。實際上，可以 在用戶配置的時間段(例如，一天、一周、一月等)內創建通信行為模式。然而，網絡通信分 析器405認為足以創建通信行為模式的會話數目或該網絡通信分析器認為存在通信行為 模式的會話數目可以是用戶配置的參數。可以理解的是，如之前描述的，通信行為模式可以 由(例如)網絡管理員來創建。在該實例中，可以省略框565。如果確定不存在通信行為模式(框565-否)，則網絡通信分析器405可以基於通 信剖析來創建通信行為模式(框570)。通信行為模式可以與用戶信息、角色信息、和/或授 權信息相關聯。依賴於會話數目並對應於通信行為，網絡通信分析器405可以利用各種技 術來創建通信行為模式，諸如，例如統計分析、平均等。通信行為模式可以包括與代表或表 示正常通信行為的通信流相關的值、值的範圍、參數等。如果確定存在通信行為模式(框565-是)，則網絡通信分析器405可以基於通信 剖析來更新通信行為模式(框575)。例如，網絡通信分析器405可以利用與通信剖析相關 聯的信息來更新與通信流相關的值、值的範圍、參數等。可以提供更新後的通信行為模式(框580)。資料庫150(例如，網絡通信分析器 405)可以將更新後的通信行為模式傳送給安全設備125。在其他實現方式中，安全設備125 可從資料庫410檢索更新後的通信行為模式(例如，更新後的通信行為模式表)。儘管圖5B示出了示例性過程550，但是在其他實現方式中，可以執行更少的、附加 的、或不同的操作。實例圖6和7是示出了檢測、選擇、和監控通信流並基於與用戶信息、角色信息、和/或 授權信息相關聯的通信行為模式檢測偏差或異常的實例的示圖。基於檢測到的偏差或異 常，安全設備125可以提供安全保護的高精細度(finer granularity)。例如，如圖6所示，用戶105-1可以具有管理員的角色，用戶105-2可以具有開發 商的角色，以及用戶105-3可以具有職員的角色。假設多個用戶105在不同時間訪問資源 140-1或140-2。此外，假設用戶設備110每次使用(或被分配有)同樣的源地址(例如， 同樣的IP位址)。如所示，每個用戶105可以將用戶信息、角色信息、和/或授權信息提供 給訪問設備120。訪問設備120可以將接收到的用戶信息、角色信息、和/或授權信息轉發 給安全設備125。訪問設備120還可以將同樣的源地址轉發給安全設備125。如之前描述 的，安全設備125可以檢測、選擇、和監控通信並確定是否存在異常。不同於可以將通信看 作來自於同一源(即，源地址)並可以要求更深等級的通信檢查(例如，5元組等級)的現 有技術，由於使用了用戶信息、角色信息、和/或授權信息，安全設備125可以提供與通信有 關的安全的高精細度。因此，安全設備125可以響應於檢測到的可以存在於這種場景中的 通信行為的異常或偏差來提供適當的安全措施。
在另一實例中，如圖7所示，單一的用戶105可以在不同時間在不同的用戶設備 110(即，用戶設備110-1、110-2、及110-3)上利用不同的角色信息(例如，管理員、開發商、 及職員)對資源140-1或140-2進行訪問。S卩，用戶105可以具有三個不同的角色。用戶設 備110-1、110-2、及110-3可以使用(或被分配有)不同的源地址(例如，IP位址1、IP地 址2、及IP位址3)。訪問設備120可將接收到的用戶信息、角色信息、和/或授權信息轉發 給安全設備125。訪問設備120還可以轉發不同的源地址。如之前描述的，安全設備125可 以檢測、選擇、和監控通信並確定是否存在異常。不同於現有技術(由於多個源地址不同， 可以將單獨的通信看作來自於不同的源，並可以相應地應用不同的安全策略)，由於使用了 用戶信息、角色信息、和/或授權信息，安全設備125可以提供與通信有關的安全的高精細 度。因此，安全設備125可以響應於檢測到的可以存在於這種場景中的通信行為的異常或 偏差來提供適當的安全措施。結論前述的實現方式描述提供了示例性的說明，但不旨在窮盡或將這些實現方式限制 為所公開的精確形式。鑑於上述教導各種改變和變化是可能的，或可以通過實踐這些教導 而獲得各種改變和變化。例如，安全設備125和資料庫150可以實現在單一的設備上。附加 地，或替換地，安全設備125可以將通信行為模式存儲在資料庫310中。附加地，或替換地， 一旦創建了通信行為模式，則可以不基於通信剖析來進行更新。例如，安全設備125可以對 監控的通信流與資料庫310中存儲的通信行為模式進行比較，而不更新通信行為模式。附 加地，或替換地，除了通信剖析信息之外，或替代通信剖析信息，對通信行為模式的更新可 以由(例如)網絡管理員來執行。附加地、或替換地，可以只是在安全設備125確定與監控 的通信流相關聯的通信行為表示正常或非異常的通信行為之後，利用監控的通信流來更新 通信行為模式。在該實現方式中，在作出該確定之前，資料庫150可以不利用監控的通信流 來更新通信行為模式。附加地，儘管已描述了關於圖5A和圖5B中示出的過程的一系列框，但是在其他實 現方式中框的順序可以改變。此外，可以並行地執行非依賴性的多個框。此外，已經描述了作為執行一個或多個功能的「邏輯」或「部件」實現的特定方面。 該邏輯或部件可以包括硬體(諸如，處理器、微處理器、ASIC、或FPGA)或硬體和軟體的組合 (諸如，執行存儲在計算機可讀介質中的指令的處理器/微處理器)。顯而易見的是，本文描述的多個方面可以按照附圖中示出的實現方式中的軟體、 固件、及硬體的許多不同形式來實現。用來實現這些方面的實際的軟體代碼或專用控制硬 件不對這些實施例構成限制。因此，沒有參照特定的軟體代碼來描述這些方面的操作和行 為——其被理解為軟體和控制硬體可以被設計為實現基於本文描述的這些方面。本申請通篇使用了術語「可以」，該術語旨在被解釋為(例如)「具有可能性」、「配 置為」、或者「能夠」，而不是強制的意思(例如，「必須」)。術語「一個(a)」、「一個(an)」、 「該(the)」旨在被解釋為包括一項或多項。例如，處理器302可以包括一個或多個處理器。 當旨在僅表示一項時，使用術語「一個(one)」或類似語言。此外，除非以其他方式明確表 述，否則短語「基於(based on)」旨在被解釋為「至少部分基於」。術語「和/或」旨在被解 釋為包括所列出關聯的表項中的一項或多項中的任意或全部的組合。儘管在權利要求中陳述了和/或在說明書中公開了多個特徵的特定組合，但是這些組合不旨在對本發明的公開範圍構成限制。實際上，可以按照並非特別在權利要求中陳 述的和/或說明書中公開的多種方式來組合這些特徵中的多個特徵。
除非明確描述，本申請中使用的元件、框、或指令均不應當被解釋為對於本文描述 的實現方式來說是關鍵的或本質的。
權利要求
一種由設備執行的方法，包括由所述設備接收與用戶訪問網絡相關聯的用戶信息、角色信息、或授權信息中的一個或多個；由所述設備選擇與用戶信息、角色信息、或授權信息中的所述一個或多個相關聯的通信流以進行監控；由所述設備監控所述通信流；由所述設備基於與用戶信息、角色信息、或授權信息中的所述一個或多個相關聯的通信行為模式來確定關於所述通信流是否存在通信行為的異常；以及當確定存在所述異常時，由所述設備執行安全響應。
2.根據權利要求1所述的方法，其中，所述確定包括由所述設備對通信行為模式歷史與對應於所述通信流的通信行為進行比較；以及 由所述設備基於所述比較確定是否存在所述異常。
3.根據權利要求2所述的方法，進一步包括 由所述設備接收來自另一個設備的所述通信行為模式。
4.根據權利要求1所述的方法，其中，所述用戶信息包括以下各項中的一個用戶名 稱、包括所述用戶名稱的一部分的字符串、或對應於所述用戶的字符串。
5.根據權利要求1所述的方法，其中，所述角色信息包括以下各項中的一個用戶身 份、職位、或用戶訪問等級。
6.根據權利要求1所述的方法，其中，所述授權信息包括以下各項中的一個口令信 息、登錄信息、授權代碼、或認證信息。
7.根據權利要求1所述的方法，其中，所述接收包括由所述設備接收來自用戶設備的用戶信息、角色信息、或授權信息中的所述一個或多 個，所述用戶使用所述用戶設備來訪問所述網絡，或由所述設備接收來自另一個設備的用戶信息、角色信息、或授權信息中的所述一個或 多個，所述另一個設備管理所述用戶的網絡訪問。
8.根據權利要求1所述的方法，進一步包括 由所述設備存儲安全策略；以及其中，所述執行包括當確定存在所述異常時，由所述設備選擇對應於所述異常的多個安全策略中的一個；以及由所述設備執行對應於所述多個安全策略中的所述一個的所述安全響應。
9.一種網絡設備，用來接收與用戶的網絡訪問相關聯的用戶信息、角色信息、或授權信息中的一個或多個； 選擇與用戶信息、角色信息、或授權信息中的所述一個或多個相關聯的通信流以進行 監控；基於所述用戶的一個或多個之前的網絡訪問來存儲與用戶信息、角色信息、或授權信 息中的所述一個或多個相對應的通信行為模式；將與所述通信流相關聯的通信流信息和與所述通信行為模式相關聯的信息進行比較；當所述通信流不同於與所述通信行為模式相關聯的信息時，確定存在通信行為的異 常；以及當確定存在所述通信行為的異常時，執行安全響應。
10.根據權利要求9所述的網絡設備，其中，所述網絡設備進一步配置為 接收來自另一個設備的所述通信行為模式。
11.根據權利要求9所述的網絡設備，其中，所述網絡設備包括入侵、檢測、和防禦設備。
12.根據權利要求9所述的網絡設備，其中，所述網絡設備進一步配置為 當確定不存在所述異常時，繼續監控所述通信流。
13.根據權利要求9所述的網絡設備，其中，所述通信流信息包括以下各項中的一個或 多個源地址、源埠、目的地址、目的埠、協議、服務類型、服務質量、時間戳信息、或者字 節或包的數目。
14.根據權利要求9所述的網絡設備，其中，所述網絡設備進一步配置為 監控所述通信流；以及從受監控的所述通信流中獲得所述通信流信息。
15.根據權利要求9所述的網絡設備，其中，所述網絡設備進一步配置為接收與所述用 戶的網絡訪問相關聯的源地址或源埠，並且其中，當選擇所述通信流時，所述網絡設備進 一步配置為基於所述源地址或源埠來選擇用於監控的與用戶信息、角色信息、或授權信息中的 所述一個或多個相關聯的所述通信流。
16.一種網絡設備，包括用於接收與對用戶的許可網絡訪問相關聯的用戶信息、角色信息、或授權信息中的一 個或多個的裝置；用於選擇從所述許可的網絡訪問產生的通信流的裝置； 用於監控所述選擇的通信流的裝置；用於接收與用戶信息、角色信息、或授權信息中的所述一個或多個相關聯的通信行為 模式的裝置；用於將與所述選擇的通信流相關聯的信息和所述通信行為模式進行比較的裝置； 用於基於所述比較來確定是否存在通信行為的異常的裝置；以及 用於當確定存在所述通信行為的異常時提供安全響應的裝置。
17.一種設備，用來 接收通信流信息；構造與和許可的網絡訪問有關的用戶信息、角色信息、或授權信息中的一個或多個相 關聯的通信剖析；基於所述通信剖析來對與用戶信息、角色信息、或授權信息中的所述一個或多個相關 聯的通信行為模式進行更新，其中，所述通信行為模式包括表示非偏差的通信行為的值或 值的範圍；以及將更新後的所述通信行為模式提供給另一個設備。
全文摘要
一種基於訪問控制信息進行的基於行為的通信剖析的方法包括接收與用戶對網絡進行訪問相關聯的用戶信息、角色信息、或授權信息中的一個或多個；選擇要監控的與用戶信息、角色信息、或授權信息中的一個或多個相關聯的通信流；監控通信流；基於與用戶信息、角色信息、或授權信息中的一個或多個相關聯的通信行為模式來確定關於通信流是否存在異常；以及當確定存在異常時，執行安全響應。
文檔編號H04L29/06GK101854340SQ20091013036
公開日2010年10月6日 申請日期2009年4月3日 優先權日2009年4月3日
發明者葉兆 申請人:叢林網絡公司