[发明专利]用于强制执行动态网络安全策略的系统和方法

说明书

本发明提供了一种用于强制执行动态网络安全策略的计算机实现的方法，该方法可以包括：(i)通过网络流量保护系统监测在网络片段上传输的网络分组；(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输；(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略；以及(iv)通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。本发明还公开了各种其他方法、系统和计算机可读介质。

背景技术

网络计算系统，特别是用于组织或企业的网络计算系统，通常需要严格的网络安全来防止恶意攻击在网络内扩散。例如，感染恶意软件并连接到可信网络的单个计算设备可能会对同一网络上的其他设备造成安全漏洞。传统地，可以使用网络管理器和各种软件为网络或网络片段提供安全监管。这些管理器可以监测在网络上的活动并通过控制进出端点设备的网络流量来强制执行安全策略。

然而，网络管理器可能并不总是能够以及时的方式更新安全策略。例如，安全策略可能不会考虑到端点设备配置的突然改变或意外流量的出现。此外，在网络上的各个端点设备可能具有它们自己的可能与网络管理器的安全策略不兼容的特定安全要求或策略。此外，在组织内的不同网络片段可能需要不同策略，并且端点设备可能不符合这些不同策略中的每个。例如，财务部门的网络可能具有比客户服务部门的网络更严格的策略。员工的从客户服务网络移动到金融网络的端点设备可能突然不顺应于新的网络片段的策略。因此，本公开识别并解决了对用于强制执行动态网络安全策略的系统和方法的需要。

发明内容

如将在下文更详细地描述的，本公开描述了用于强制执行动态网络安全策略的各种系统和方法。在一个示例中，一种用于强制执行动态网络安全策略的计算机实现的方法可以包括：(i)通过网络流量保护系统监测在网络片段上传输的网络分组；(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输；(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略；以及(iv)通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。

在一个实施方案中，端点计算设备可以包括运行软件的计算设备，该计算设备能够在连接到网络片段时与网络流量保护系统配对。

在一些示例中，检测网络分组的可疑传输可以包括拦截网络分组。在这些示例中，检测网络分组的可疑传输还可以包括基于端点计算设备的预期网络流量分布确定网络分组的传输是可疑的。

在一些实施方案中，修改用于网络片段的网络安全策略可以包括阻止端点计算设备和/或限制网络流量。附加地或另选地，修改网络安全策略可以包括将端点计算设备添加到设备黑名单和/或防止网络分组的可疑传输完成。

在一个示例中，强制执行修改的网络安全策略可以包括将修改的网络安全策略推送到连接到网络片段的端点计算设备和/或确保网络流量遵循修改的网络安全策略。附加地或另选地，强制执行修改的网络安全策略可以包括限制连接到网络片段的非顺应端点计算设备。

在一些实施方案中，该计算机实现的方法还可以包括将修改的网络安全策略发送到监测相关网络片段的相关网络流量保护系统。在这些实施方案中，相关网络片段可以包括包含网络片段的网络片段群集内的第二网络片段。

在一个示例中，该计算机实现的方法还可以包括：识别与网络分组的可疑传输相关的至少一个软件应用程序；从端点计算设备请求关于软件应用程序的附加信息；以及基于附加信息执行安全动作。在该示例中，安全动作可以包括：检测端点计算设备的用户篡改；检测软件应用程序的安装中的异常；确定软件应用程序可能是恶意的；请求软件应用程序的用户活动的日志；和/或限制端点计算设备。