[发明专利]计算机网络内的安全服务的分级应用程序

说明书

技术领域

本发明涉及一种计算机网络，更具体地，涉及一种在计算机网 络内应用安全服务。

背景技术

计算机网络典型地包括一些互连的计算装置，它们交换数据并 共享资源。这些装置可以包括(例如)网络服务器、数据库服务器、 文件服务器、路由器、打印机、最终用户计算机及其他装置。这些 各种各样的装置可以执行多种不同服务、操作系统(或操作系统版 本)、及通信协议。不同服务、操作系统及通信协议中的每一种都可 以将网络暴露给不同的安全脆弱性。恶意用户或“黑客”可以利用 这些安全脆弱性以获得对该网络未授权的访问、打扰或一般的攻击。

典型地，用于检测这些网络攻击的技术利用了图案匹配。具体 地，入侵检测和防御(“IDP”)装置可以位于网络的边缘并被静态 配置为或被准备为，应用规则表达或子串匹配以在进入该网络的数 据流内检测所定义的攻击图案。一些网络可以展现或多或少的安全 脆弱性，这需要IDP装置被静态准备为识别和/或防止或多或少的攻 击。

当传统的IDP装置被配置为保护多个网络或子网络时，IDP装 置经常被静态准备为，应用安全服务集合以识别和/或防止能够利用 这些网络中最不安全的那个网络的多个安全脆弱性中的任意安全脆 弱性的所有已知网络攻击。在这方面中，IDP装置应用服务以识别 和/或防止尝试利用这些网络中的其他多个安全网络中不存在的安 全脆弱性的攻击。以该方式，展现最多安全脆弱性的网络会因此直 接影响在尝试识别和/或防止该IDP装置所处理的所有数据流内的 所有不同类型网络攻击时IDP装置被静态配置为应用的不同安全服 务的数量，而不管每个具体流是否指向最脆弱的网络。

因为IDP装置可以被静态配置为应用尝试识别数据流中的攻击 的网络安全服务，其中数据流将去往易受到这种攻击的网络，IDP 装置可以引入某些网络缺陷。即，IDP装置资源可以不必要地被浪 费为识别和/或防止以下攻击，该攻击由于数据包所去往的安全网络 的本质而最终也不会得逞。这些网络缺陷会在网络高度拥塞的时候 变得尤其显著，例如，当IDP装置不能够对高级的网络流量进行处 理时。在这种情况下，该网络缺陷会引入延迟或阻止数据包的传输。 因此，通过将IDP装置静态准备为识别和/或防止对网络或网络装置 的最小公分母的攻击，例如，最不安全或最脆弱的网络，该IDP装 置可以在网络高度拥塞时使网络连通性折衷。

发明内容

一般而言，描述了由一个或多个网络装置(诸如结合了入侵检 测/放置(IDP)模块的路由器)提供的安全服务分级应用的技术。 通过动态收集各种网络或子网络内的装置的安全信息，并基于所收 集到的网络或子网络内的那些装置的安全信息而将每个网络或子网 络分类为多个安全分类之一。每个安全分类可以标识安全能力的一 个不同级别(例如，操作系统版本及所安装的补丁、所安装的病毒 软件或其他安全应用程序、病毒定义的状态等等)，对于被分类在该 特定安全分类中的网络或子网络，该网络或该子网络内的装置必须 符合该等级。然后IDP装置可以基于网络或子网络映射到的安全分 类来确定是否将全面的或全部的攻击图案集合或全部攻击图案集合 中的有限部分或子集应用于前往或起源于相关联网络的网络通信 量。换句话说，IDP装置可以基于所确定的与数据包流相关联的每 个网络或子网络的安全能力的级别来动态地量身定做应用至特定数 据包流的攻击图案，从而变得从整体上更加“知晓”网络并可以降 低网络缺陷并改善网络连通性。而且，IDP装置还可以基于当前网 络负载状况或其他因素来动态地量身定做应用于不同安全分类的数 据包流的攻击图案。