[发明专利]网络安全设备中的动态策略供应

说明书

技术领域

本发明涉及一种计算机网络，更具体地，涉及计算机网络的供 应网络设备。

背景技术

计算机网络通常包括交换数据和共享资源的互连计算机设备 的集合。例如，设备可包括网络服务器、数据库服务器、文件服务 器、路由器、打印机、终端用户计算机和其他设备。各种设备可以 执行许多不同的服务、操作系统(或操作系统版本)和通信协议。 不同服务、操作系统和通信协议中的每一个都可以将网络暴露给不 同的安全弱点。恶意用户或“黑客”会利用这些安全弱点来获得未被 授权的访问，从而破坏或普遍攻击网络。

通常，用于检测这些网络攻击的技术使用模式匹配。具体地， 入侵侦测防护设备(“IDP”)可驻留在网络边缘并进行静态地配置 或供应，来应用规则的表达式或子串匹配，从而在进入网络的数据 流内检测定义的攻击模式。一些网络可以展示需要IDP设备被静态 供应的多多少少的安全弱点，以识别和/或防止多多少少的攻击。可 选地，IDP设备可以被静态配置或供应，从而不仅检测有害的攻击， 而且还检测很少或不对网络引起安全威胁的攻击，因为这些无害攻 击会向网络管理员提供通常具有关于恶意行动的信息，并增加网络 安全性。

然而，部分地由于供应多数IDP设备的静态方式，该附加信息 在没有成本的情况下不会出现。为了提供关于有害和无害攻击的信 息，IDP设备可以被静态配置成检测攻击模式的所有组或范围，这 消耗了大量的设备资源(例如，处理器循环、存储器等)。在高网 络拥塞期间，IDP设备会不能够处理所有的数据，如果不防止，则 通过拒绝未分析数据的进入延迟传送数据以保护网络安全性。因 此，通过提供IDP设备来检测和/或防止攻击模式的所有组或范围， IDP设备会在高网络拥塞期间损害网络连接性。

发明内容

一般来说，本发明的目的在于用于动态地供应由网络安全设备 (诸如IDP设备)所提供的服务的技术。动态供应可以根据响应于 网络条件而发生的IDP设备内的资源利用和消耗的变化而自动发生 或者不需要用户或管理员的干涉。换句话说，IDP设备可以自动选 择不同的策略来适应或补偿具体的内部资源利用，其中，不同策略 供应将由IDP设备应用的具体安全服务。例如，不同的安全策略可 以定义从没有或轻量的到完整、丰富的安全服务组的阶梯式安全服 务。可选地，或除此之外，可将特定策略用于将这些安全服务的应 用限制到通过IDP设备的当前数据包流的范围，例如，所有的数据 包流、仅现存的数据包流、仅与特定标准匹配的数据包流等。以这 种方式，IDP设备可以基于设备内的内部资源消耗和利用通过动态 选择不同的策略来自动说明和适应网络条件的改变，并且这些策略 可以映射成由管理员指定的资源利用阈值，从而说明改变网络条 件。以此方式，管理员可以平衡网络安全和安全性与网络连接性， 而不会大大增加网络成本，导致无效或，要求IDP设备频繁的静态 重构。

例如，IDP设备可接收网络信息流通量并对网络信息流通量应 用第一策略来检测第一组网络攻击。第一策略可识别与第一组网络 攻击相对应的第一组攻击模式。在应用由该第一策略指定的攻击定 义的同时，IDP设备可以周期性地监视与IDP设备内部的一个或多 个资源相对应的参数。例如，IDP设备可以监视诸如队列深度、存 储资源(例如可用空间)、队列阈值、处理器或中央处理单元利用、 会话数量、优先方案、服务质量、时戳、时刻等参数，或者与资源 (诸如队列(或通常的存储器)、处理器、CPU、时钟等)有关的 任何其他参数。

在一些情况下，基于参数，IDP设备可以计算表示IDP设备运 行的网络条件和IDP设备能力的全面指示符，以基于IDP设备内部 资源的利用充分地为该网络服务。该指示符被特制成对特定参数给 出优先级(例如，加权平均值)。因此，指示符可以被配置为反映 网络管理员和/或IDP设备运行的具体环境的优先级。