[发明专利]用于动态补救安全系统实体的方法、系统和计算机可读介质

说明书

一种用于动态补救安全系统实体的方法，包括：基于支持可信网络的安全系统实体(SSE)的安全配置，建立针对SSE的基准安全分数。该方法还包括由SSE接收指向可信网络的传入网络业务流以及基于SSE的安全配置和允许经由SSE进入可信网络的传入网络业务流，确定针对SSE的更新后的安全分数。该方法还包括如果更新后的安全分数与基准安全分数相差预定量，则补救SSE的安全配置。

优先权声明

本申请要求2019年2月26日提交的美国专利申请序列号16/286,508的优先权，其公开通过引用整体并入本文。

技术领域

这里描述的主题涉及动态评估网络业务流以补救与企业网络相关联的安全系统。更具体地，这里描述的主题涉及用于动态补救安全系统实体的方法、系统和计算机可读介质。

背景技术

目前，企业组网应用安全系统在很大程度上依赖于安全策略，安全策略被定义为在任务为保护可信网络(诸如，企业网络环境)的网络功能或应用服务器上实施。值得注意的是，以这种方式使用安全系统涉及配置管理以及日志和事件分析的利用。然而，这些技术通常不能区分安全系统设备是被故意、意外还是恶意地重新配置的情况。此外，即使安全系统的配置中的改变是有意的，也不总是清楚这样的改变是否会产生更安全的系统。

因此，需要用于动态补救安全系统实体的方法、系统和计算机可读介质。

发明内容

这里描述的主题包括用于动态补救安全系统实体的方法、系统和计算机可读介质。一种方法包括基于支持可信网络的安全系统实体(SSE)的安全配置，建立针对所述SSE的基准安全分数。该方法还包括由所述SSE接收指向所述可信网络的传入网络业务流以及基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流，确定针对所述SSE的更新后的安全分数。该方法还包括如果所述更新后的安全分数与所述基准安全分数相差预定量，则补救所述SSE的安全配置。

一种用于动态补救安全系统实体的系统包括：安全系统实体(SSE)，包括至少一个处理器和存储器。该系统还包括安全评估引擎(SAE)，其被存储在所述存储器中并且当由所述至少一个处理器执行时，被配置为：基于支持可信网络的SSE的安全配置，建立针对所述SSE的基准安全分数，处理经由所述SSE指向所述可信网络的传入网络业务流，基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流的一部分确定针对所述SSE的更新后的安全分数，以及如果所述更新后的安全分数与所述基准安全分数相差预定量，则补救所述SSE的安全配置。如这里所使用的，网络业务流(例如，分组流或网络流)包括从源计算机传送到目的地的分组(或帧)的序列，目的地可以是另一主机、多播组或广播域。在一些实施例中，网络业务流的特征可以在于包含相似的源网际协议(IP)地址和端口号以及相似的目的地IP地址和端口号。

这里描述的主题可以用硬件、软件、固件或其任意组合来实现。因此，这里使用的术语“功能”、“节点”或“引擎”指的是用于实现所描述的特征的硬件，其还可以包括软件和/或固件组件。在一个示例性实现中，这里描述的主题可以使用其上存储有计算机可执行指令的非瞬态计算机可读介质来实现，计算机可执行指令当由计算机的处理器执行时，控制计算机执行步骤。适于实现这里描述的主题的示例性计算机可读介质包括非瞬态计算机可读介质，诸如盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。此外，实现这里描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布在多个设备或计算平台上。

附图说明

图1是示出根据这里描述的主题的实施例的用于动态补救安全系统实体的示例性网络的框图；

图2是示出根据这里描述的主题的实施例的示例性安全系统实体的框图；以及

图3A和3B是示出根据这里描述的主题的实施例的用于动态补救安全系统实体的示例性过程的流程图。

具体实施方式