[go: up one dir, main page]

TW201600997A - 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 - Google Patents

於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 Download PDF

Info

Publication number
TW201600997A
TW201600997A TW103122608A TW103122608A TW201600997A TW 201600997 A TW201600997 A TW 201600997A TW 103122608 A TW103122608 A TW 103122608A TW 103122608 A TW103122608 A TW 103122608A TW 201600997 A TW201600997 A TW 201600997A
Authority
TW
Taiwan
Prior art keywords
policy
point
packet inspection
policy enforcement
network
Prior art date
Application number
TW103122608A
Other languages
English (en)
Inventor
李承達
吳明勳
許聖統
熊偉翔
Original Assignee
萬國商業機器公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 萬國商業機器公司 filed Critical 萬國商業機器公司
Priority to TW103122608A priority Critical patent/TW201600997A/zh
Priority to US14/744,385 priority patent/US9906557B2/en
Publication of TW201600997A publication Critical patent/TW201600997A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)

Abstract

本發明揭示一種於一集中式管理環境中產生一策略實施點之封包檢視策略的方法、資訊設備及實施該方法的電腦程式產品。該方法包含以下步驟:依策略實施點之詮釋資料更新該策略實施點相應於一網路架構之網路拓樸資訊,該詮釋資料包含該策略實施點之處理能力;依該網路拓樸資訊及該策略實施點之處理能力等產生該策略實施點之封包檢視策略;及佈署該封包檢視策略至該策略實施點。

Description

於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品
本發明係關於安全防護代理程式或安全防護設備間提供一動態同步機制以共享負載及處理能力資訊的機制,尤其是於一集中式管理環境中依網路架構之網路拓樸資訊、及各策略實施點之處理能力,產生各策略實施點之封包檢視策略;且依各策略實施點之處理能力、詮釋資料及各策略實施點之執行狀態資訊,動態地調整各策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品。
網路安全防護作業一直是網路技術領域中重要的課題。如資料外洩防護(Data Loss Prevention,DLP)、安全套接層(Secure Sockets Layer,SSL)、防火牆(Firewall,FW)、防毒軟體、無線應用協議(Wireless Application Protocol,WAP)、跨站腳本攻擊(Cross-Site Scripting,XSS)、跨站請求偽造(Cross-Site Request Forgery,CSRF)、入侵偵測(IDS)或入侵預防系統(IPS)等等安全防護技術,熟悉此領 域者應知該技術並不限於此。安全防護技術一般涉及檢視(inspection)訊務(traffic)流中之封包,且封包檢視通常非常依賴資源。
於具較低電腦計算能力之裝置,全面之封包檢視是非常佔用資源(resource hog),因而一般僅於該種裝置上執行重要之檢視。至於不能執行封包檢視之裝置(如行動裝置),則封包檢視僅能於由封包傳送之路徑上之裝置執行,如由封包傳送之路徑上之網路安全防護(network security)設備執行封包檢視。然由於封包傳送之路徑上之網路安全防護設備可不只一個,因此封包可能被重複檢視,因而影響了系統之效能。
圖1(a)所示為一般習知之網路架構(Network Infrastructure)示意圖。非受控區(Uncontrolled Zone)103之外部端點(End-points)101使用者透過外部網路102進入作為非管制區105(Demilitarized Zone,DMZ)中企業之網路連結裝置106。網路連結裝置106可為交換器、橋接器、路由器等可控制網路封包流向的裝置。非管制區105(DMZ)也提供非受控區與內部網路之緩衝。存取控制也可佈署於非管制區105(DMZ)中以控制及監視其他受控區(Controlled Zone)(如作為內部網路資源107之企業網路(intranet))或限制區(Restricted Zone)109之資源。
限制區109支援存取被嚴格(strictly)控制之功能。限制區一般無法由非受控區直接存取,而基本上以一或多個過濾輸入及輸出訊務(traffic)之防火牆為界限(bounded)。例如該區可包含虛擬機管理器(hypervisor),如VMware ESX hypervisor。一般將安裝一虛擬伺服 器保護(Virtual Server Protection,VSP),以保護正執行之虛擬機,如IBM ISS VSP。
保護區(Secured Zone)111之存取則被堅實地(tightly)控制,而為僅可由被授權之少數使用者存取之區域。例如該區可包含一IBM Security SiteProtectorTM System。SiteProtectorTM係提供一致化管理及分析網路架構中伺服器、資訊設備(appliances)及安全防護代理程式(security agents)之集中式管理系統。更多SiteProtectorTM相關資料,可參考:http://pic.dhe.ibm.com/infocenter/sprotect/v2r8m0/index.jsp
至於更多網路架構相關資料,可參考IBM Redbooks Web site Enterprise,“Security Architecture using IBM Tivoli Security Solutions,SG24-6014”:(http://www.redbooks.ibm.com/redbooks/pdfs/sg246014.pdf)。
網路連結裝置106中之架構可參考例如Cisco公司的交換器產品Cisco Catalyst 3550 Series Switch。內部網路資源107不限制為特定的資訊設備或是伺服器,且內部網路資源107可各自包含不限數目的資訊設備或是伺服器或是其組合。例如內部網路資源107可代表一區域網路(LAN)。資訊設備,通常也稱之為網際網路設備(Internet Appliance),為內建有網路能力且具有某一特定功能的裝置。相對於通用型(General Purpose)的電腦裝置,由於資訊設備一般係根據特定目的或特定服務而設計,以進行特定的交易(transaction),因而具有較高的效能。
內部網路資源107可為一虛擬區域網路(Virtual Local Area Network,VLAN)。對於在企業或組織的內部資源中,透過虛擬區域網路的技術,網路管理員(administrator)可以對不同實體區域網路中的設備進行邏輯上的分群(Grouping),而提供更完整的資訊安全保障。
另一方面,一般企業或組織中,為了確保內部資料的安全性,會採取虛擬私人網路(VPN),而提供一虛擬私人網路伺服器於非管制區105中,供使用者從外部連線存取內部的資源。例如可參考申請人之之官方網站上所發表的技術文件WebSphere Everyplace Connection Manager:increasing mobile security,reducing wireless costs。該虛擬私人網路伺服器耦接網路連結裝置106。外部端點101使用者需先登入虛擬私人網路伺服器,經過認證及授權後,可透過虛擬私人網路(VPN)連結網路連結裝置106。需說明的是,在一些實施例中,虛擬私人網路伺服器並非必要,也就是說,外部端點101使用者不一定要透過虛擬私人網路VPN連結網路連結裝置106與內部網路資源107。需說明的是,雖未繪示但其他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)可設置於虛擬私人網路伺服器(或網路連結裝置106)與外部端點101之間的網路103中。
更多相關資料,可參考由Andrew Jones等人在申請人之官方網站上所發表的技術文件IBM SmartCloud Enterprise tip:Build multiple VPNs and VLANs:VPN and VLAN features and capabilities in IBM SmartCloud Enterprise 2.0以及IBM SmartCloud Enterprise tip: Span virtual local area networks Provision and configure an instance that spans a public and private VLAN。
由於網路管理員無法確定來另一網段之訊務封包是否已被檢視,也不知是否其他安全防護代理程式或安全防護設備有檢視送達之訊務封包的能力,如HTTPS協定要求安全套接層(Secure Sockets Layer,SSL)解密之能力。一般企業或組織中,為了確保內部資料的安全性,會在連結至企業網路(intranet)內部端點(end-points)中,提供具網路安全防護策略(security policies),如防火牆、防毒軟體、入侵偵測(IDS)或入侵預防系統(IPS)等功能之安全防護代理程式,以確保網路通訊上之安全。該內部端點可以為一電腦主機(如路由器、工作站或伺服器),或也可以為一數據電路端設備(DCE)(如橋接器、交換機等)。事實上,不論是實體機器或虛擬機,通常為安全防護目的,一般皆會於其上安裝一安全防護代理程式,如Linux之PSL、Unix之PSU及Windows之PSW等。
此外,由於時常無法於每一機器上安裝一安全防護代理程式。因此,為了網路安全防護,而於網路架構之每一區之邊界處(edge)設置(setup)一安全防護設備是必需的。於圖1(a)之網路架構中,多個網路安全防護(network security)設備113-116(如防火牆、入侵偵測(IDS)或入侵預防系統(IPS)等)一般可佈署於各區之交界處,即各區之邊界處。
圖1(a)之網路架構中,封包傳送之路徑上可能涉及多個安全防護代理程式或安全防護設備重複進行封包檢視作業。如圖1(b) 之企業網路檔案共享服務,及圖1(c)之由企業網存取公共網路作業。
於圖1(b)之企業網路檔案共享服務中,網路管理員於限制區109內之VM A中設置一執行檔案共享服務之虛擬機。當企業網路內之端點B要存取該檔案共享服務,則由端點B發送出之封包將分別被檢視5次,即:
1.由安裝於端點B之安全防護代理程式檢視。
2.由內部網路資源107邊界處之入侵預防系統(IPS)114檢視。
3.由限制區109邊界處之入侵預防系統(IPS)115檢視。
4.由安裝於虛擬機管理器,如VMware ESX hypervisor,之一虛擬伺服器保護(VSP)檢視。
5.由執行於VM A之安全防護代理程式檢視。
於圖1(c)之由企業網存取公共網路作業,網路管理員於非管制區105(DMZ)中設置一網頁代理主機(proxy)伺服器。當企業網路內之端點C要由非受控區103之Dropbox下載一檔案,則由Dropbox發送至端點C之封包將分別被檢視4次,即:
1.由非受控區103邊界處之入侵預防系統(IPS)113檢視。
2.由非管制區(DMZ)105中保護該網頁代理主機伺服器之安全防護代理程式檢視。
3.由內部網路資源107邊界處之入侵預防系統(IPS)114檢視。
4.由安裝於端點C之安全防護代理程式檢視。
由前述例示可知實體網路世界中各安全防護代理程式或安全防護設備通常會因無法共享負載及處理能力(capability)等資 訊,如缺少其他網段之安全防護代理程式或安全防護設備檢視送達之訊務封包之先前處理狀態資訊及檢視送達之訊務封包的能力,而重複檢視封包,因此浪費系統資源,且劣化了網路架構之整體效能。安全防護代理程式或安全防護設備可統稱為策略實施點(policy enforcement point)。
此外,各策略實施點通常為使用預定之靜態配置(configuration),以提供各策略實施點之封包檢視策略。使用靜態配置之策略實施點無法因應網路架構中各策略實施點之負載變化,而動態地調整配置(即封包檢視策略),以最佳化網路架構之整體效能。
因此若能於各策略實施點(安全防護代理程式或安全防護設備)間提供一動態同步機制以共享負載及處理能力資訊,而解決習知重複檢視封包及無法動態調整策略實施點之配置的缺點,則是有利的。
本發明提供一集中式管理系統而能依網路架構之網路拓樸資訊、及各策略實施點之處理能力(如封包檢視能力、策略實施點之處理器能力及頻寬),產生各策略實施點之封包檢視策略;且依各策略實施點之處理能力、詮釋資料(metadata)及各策略實施點之執行狀態(如目前負載、健康(health)資訊等),動態地調整各策略實施點之封包檢視策略。
根據本發明一實施例,其揭示一種於一集中式管理環境 中產生一策略實施點之封包檢視策略的方法。該方法包含以下步驟:依策略實施點之詮釋資料更新該策略實施點相應於一網路架構之網路拓樸資訊,該詮釋資料包含該策略實施點之處理能力;依該網路拓樸資訊及該策略實施點之處理能力等產生該策略實施點之封包檢視策略;及佈署該封包檢視策略至該策略實施點。
根據本發明另一實施例,其揭示一種於一集中式管理環境中調整一策略實施點之封包檢視策略的方法。該方法包含以下步驟:定期地等待及輪詢每一策略實施點之執行狀態之更新資訊;收集來自每一策略實施點回報之執行狀態之更新資訊,該執行狀態包含每一策略實施點所檢視封包之負載;判定是否有一策略實施點收集之執行狀態資訊已達臨界值;及依各策略實施點之詮釋資料及各策略實施點之執行狀態,動態地調整各策略實施點之封包檢視策略,該詮釋資料包含該策略實施點之處理能力。
根據本發明另一實施例,其揭示一種電腦程式產品,其包含一儲存有程式碼之電腦可讀媒體,供於一資訊設備上執行時,實施如前述之方法,以於一集中式管理環境中產生或調整一策略實施點之封包檢視策略。
根據本發明另一實施例,其揭示一種資訊設備,包含:一匯流排;一記憶體,連接到該匯流排,其中該記憶體包含一組指令;一連接到該匯流排之處理單元,其中該處理單元執行該組指令,以執行如前述之方法,以於一集中式管理環境中產生或調整一策 略實施點之封包檢視策略。
本說明書中所提及的特色、優點、或類似表達方式並不表示,可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白,有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此,本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關,但亦非必要。
參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式,即可更加明瞭本發明的這些特色及優點。
101‧‧‧外部端點
103‧‧‧外部網路
105‧‧‧非管制區(Demilitarized Zone,DMZ)
106‧‧‧網路連結裝置
107‧‧‧內部網路資源
109‧‧‧限制區(Restricted Zone)
111‧‧‧保護區(Secured Zone)
113-116‧‧‧網路安全防護(network security)設備
204‧‧‧電腦系統
206‧‧‧處理器
208‧‧‧記憶體裝置
210‧‧‧匯流排
212‧‧‧裝置介面
214‧‧‧外部裝置
216‧‧‧外部儲存裝置
224‧‧‧程式
226‧‧‧功能模組
601‧‧‧詮釋資料
603‧‧‧檢視清單+
605‧‧‧封包
607‧‧‧共用金鑰(shared key)
609‧‧‧雜湊值
為了立即瞭解本發明的優點,請參考如附圖所示的特定具體實施例,詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下,參考附圖以額外的明確性及細節來說明本發明,圖式中:圖1(a)為一般習知之網路架構(Network Infrastructure)示意圖。
圖1(b)顯示習知之一企業網路檔案共享服務。
圖1(c)顯示習知之一由企業網存取公共網路作業。
圖2顯示一實施例中之電腦系統之硬體架構。
圖3為依據本發明一具體實施例之封包檢視策略產生模組的方法流程圖。
圖4為依據本發明一具體實施例之封包檢視策略調整模組的方法流程圖。
圖5為依據本發明一具體實施例之由策略實施點實施之封包安全防護標籤檢查模組的方法流程圖。
圖6為安全防護標籤之一實施例。
圖7為封包檢視策略之一實施例。
本說明書中「一實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此,在本說明書中,「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。
熟此技藝者當知,本發明可實施為電腦系統、方法或作為電腦程式產品之電腦可讀媒體。因此,本發明可以實施為各種形式,例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等),或者亦可實施為軟體與硬體的實施形式,在以下會被稱為「電路」、「模組」或「系統」。此外,本發明亦可以任何有形的媒體形式實施為電腦程式產品,其具有電腦可使用程式碼儲存於其上。
一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說,電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設 備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是,電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體,例如藉由光學掃描該紙張或其他媒體,然後再編譯、解譯或其他合適的必要處理方式,然後可再度被儲存於電腦記憶體中。在本文中,電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體,以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號,不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體,包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。
用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫,包括物件導向程式語言(例如Java、SMRlltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。
於以下本發明的相關敘述會參照依據本發明具體實施例之系統、裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行 說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊,以及流程圖及/或方塊圖中方塊的任何組合,可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行,而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。
這些電腦程式指令亦可被儲存在電腦可讀取媒體上,以便指示電腦或其他可程式化資料處理裝置來進行特定的功能,而這些儲存在電腦可讀取媒體上的指令構成一製成品,其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。
電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置,以便於電腦或其他可程式化裝置上進行一系統操作步驟,而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。
其次,請參照圖2至圖7圖式中顯示依據本發明各種實施例的系統、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此,流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼,其包含一個或多個可執行指令,以實施指定的邏輯功能。另當注意者,某些其他的實施例中,方塊所述的功能可以不依圖中所示之順序進行。舉例來說,兩個圖示相連接的方塊事實上亦可以皆執行,或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者,每個方塊圖及/或流程圖的方塊,以及方 塊圖及/或流程圖中方塊之組合,可藉由基於特殊目的硬體的系統來實施,或者藉由特殊目的硬體與電腦指令的組合,來執行特定的功能或操作。
<硬體環境>
圖2顯示一實施例中之電腦系統204之硬體架構。該電腦系統204可實施為一含有本發明之集中式管理系統,也可實施為一含有本發明之策略實施點(安全防護代理程式或安全防護設備)。該電腦系統204包含處理器206、記憶體裝置208、匯流排210、與裝置介面212。處理器206用以存取記憶體裝置208或是外部儲存裝置216中的程式碼,例如程式224。程式224具有一或多個功能模組(module)226,用以提供本發明所需的功能(此部份將配合圖3至圖5敘述於後),如集中式管理系統之封包檢視策略產生模組300,及封包檢視策略調整模組400。或策略實施點之封包安全防護標籤檢查模組500。功能模組226可為單一指令或許多指令,並可分布於數個不同程式碼片段上、不同程式中、及數個記憶體裝置208上。
匯流排210提供電腦系統204中各元件的通訊鍊結(communication link),而電腦系統204透過裝置介面212與外部裝置214通訊鍊結。進一步地,電腦系統204可透過網路與外部裝置214、外部儲存裝置216、或其他的電腦裝置/系統進行通訊。在此網路亦可實施為任何型式之連線,包括固定連接之區域網路(LAN)或廣域網路(WAN)連線,或利用網際網路服務提供者來暫時撥接至網際網路,亦不限於有線無線等各種連接方式。此外,然而應了解,雖未繪示但其 他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)可包含於網路之中。
在其他實施例中,電腦系統204的基本架構與元件亦可實施為一般通用型電腦裝置,例如個人電腦或伺服器,或資訊設備(Appliance)例如:IBM WebSphere Datapower SOA Appliance(http://www.redbooks.ibm.com/abstracts/redp4366.html)或Tivoli ISS Appliances(「IBM」、「WebSphere」、「Tivoli」為International Business Machine公司在美國及/或其他國家的註冊商標)。
以下將透過實施例進一步說明本發明,但熟此技藝者應知本發明並不限於此。
<封包檢視策略產生模組>
圖3為依據本發明一具體實施例之封包檢視策略產生模組的方法流程圖。該產生模組包括程式模組及指令,供一集中式管理系統(如圖1(a)設置於保護區111之IBM Security SiteProtectorTM System)接收來自一策略實施點之登錄(register),及對該策略實施點產生封包檢視策略。
●步驟301:集中式管理系統接收一策略實施點登錄之請求。
●步驟303:回應該請求,集中式管理系統送出一登錄頁(或視窗)供策略實施點輸入其詮釋資料(metadata)。該詮釋資料可包含策略實施點之處理能力(如封包檢視能力、策略實施點之處理器能力及頻寬)、與其他策略實施點之先後次序關係或其他詮釋資料。
●步驟305:依該新加入之策略實施點之詮釋資料(處理能力等)決定該新加入之策略實施點於該網路架構之位置,以更新該策略實施點相應於該網路架構之網路拓樸(topology)資訊。至於更多網路拓樸及其建構方式之相關資料,可參考:http://en.wikipedia.org/wiki/Network_topology
●步驟307:依該網路拓樸資訊及該策略實施點之處理能力等產生該策略實施點之封包檢視策略。集中式管理系統亦可依一或多個產生準則結合該網路拓樸資訊及該策略實施點之處理能力等,產生一策略實施點之封包檢視策略。
例如,該準則包含:若具某一安全防護機制之封包檢視能力之策略實施點所管轄之網段內的所有其他策略實施點中”不存在”該安全防護機制,則實施該安全防護機制之檢視作業。至於所有”存在”該安全防護機制之策略實施點則可依各自處理能力決定其檢視策略。
此外,該準則也可包含:若封包傳送路徑之端點(end point)上存在一實施某一安全防護機制(如DLP、IDS、IPS或FW等)之策略實施點,則僅由該端點之安全防護機制檢視封包,而所有目的地為該端點之其他所有策略實施點,皆不以該安全防護機制檢視該封包。策略實施點之封包檢視策略並不限於前述方式。
該策略實施點依接收自集中式管理系統之封包檢視策略而判定是否檢視目前抵達之封包。圖7所示為封包檢視策略之 一實施例。圖7包含2個策略實施點A及B,分別包含3個規則。若該網路拓樸關係為策略實施點A在策略實施點B之後。因此對策略實施點A及B而言,當接收到目的地為(10.40.24.99)之HTTPS訊務封包,則策略實施點B僅轉送(forward)該封包給後續策略實施點A,該策略實施點A僅檢視該HTTPS訊務封包。
封包檢視策略可依據策略實施點之IP位址、封包特徵字串(signature)、安全防護標籤(security tag)、或任何可用來識別訊務流之封包的識別符,而唯一建立及佈署。
●步驟309:佈署該封包檢視策略至該策略實施點。
<封包檢視策略調整模組>
圖4為依據本發明一具體實施例之封包檢視策略調整模組的方法流程圖。該調整模組包括程式模組及指令,供一集中式管理系統依各策略實施點之處理能力、詮釋資料(metadata)及各策略實施點之執行狀態(如目前負載、健康(health)資訊等),動態地調整各策略實施點之封包檢視策略。
●步驟401:集中式管理系統定期地等待及輪詢(polling)每一策略實施點之執行狀態之更新資訊。該執行狀態資訊包含目前每一策略實施點所檢視封包之負載、健康(health)資訊等。 策略實施點之健康資訊可包含磁碟、CPU及記憶體等之使用狀態,至於進一步之相關資料,可參考:http://pic.dhe.ibm.com/infocenter/sprotect/v2r8m0/index.isp?t opic=%2Fcom.ibm.ips.doc%2Fconcepts%2Fmonitoring_container.htm
●步驟403:收集來自策略實施點回報之執行狀態之更新資訊。
●步驟405:判定是否由該策略實施點收集之執行狀態資訊已達臨界值,以啟動(trigger)產生一新封包檢視策略給該策略實施點之機制。例如,可設定一策略實施點之某一安全防護機制所檢視之封包是否已達到某一臨界值,如HTTPS訊務流封包。若是,則必須啟動一調整機制供平衡各策略實施點之負載。關於負載平衡之相關資料,可參考:http://docs.oracle.com/cd/E17904_01/core.1111/e10106/intro.htm
●步驟407:若已達臨界值,則該集中式管理系統依各策略實施點之詮釋資料及各策略實施點之執行狀態(如目前負載、健康資訊等),動態地調整各策略實施點之封包檢視策略。如前述該詮釋資料可包含策略實施點之處理能力(如封包檢視能力、策略實施點之處理器能力及頻寬)、與其他策略實施點之先後次序關係或其他詮釋資料。
●步驟409:佈署該新封包檢視策略至該策略實施點。
<封包安全防護標籤檢查模組>
為增加網路架構之整體效率,可進一步於策略實施點收到的封包中加入一安全防護標籤(security tag),提供其他後續收到該封包之策略實施點檢視該封包之安全防護標籤,以得知該封包曾接受 哪些安全防護機制檢視,因此可加速後續策略實施點之封包檢視。該安全防護標籤至少包含該封包之詮釋資料(metadata)、檢視清單(checklist),及供防止竄改(tampering)之雜湊值(hash value)。
如圖6所示該詮釋資料601顯示該封包之應用(Application)係Skype,資料型式是訊息(message)。此外,可再增加其他資料,例如一策略實施點之電腦本身之安全等級(如Rating:80)。也可增加該封包惡意程度的等級。
安全防護標籤600也顯示該封包於傳送之路徑上曾遭遇過之檢視的記錄。如圖6中檢視清單603所示,該封包曾經過DLP、WAP、IPS及FW等安全防護機制之檢視。
為防止該包含安全防護標籤之封包遭到竄改,可於該安全防護標籤中加入防止竄改之雜湊值609,即產生由封包605、共用金鑰(shared key)607,及包含詮釋資料601與檢視清單603之資訊所建立之雜湊值。
藉由安全防護標籤,後續收到該封包之策略實施點檢視該封包之安全防護標籤,可得知該封包曾接受哪些安全防護機制檢視,因此可加速後續策略實施點之封包檢視。圖5為依據本發明一具體實施例之由策略實施點實施之封包安全防護標籤檢查模組的方法流程圖。該檢查模組包括程式模組及指令,供檢查封包之安全防護標籤,以增加策略實施點之效率。
●步驟501:策略實施點接收一封包。
●步驟503:判定是否該封包包含安全防護標籤。該安全防護 標籤之一較佳實施例如圖6所示。
●步驟505:若存在安全防護標籤,使用來自集中式管理系統之共用金鑰計算該封包之雜湊值。該共用金鑰係由該網路架構中已向該集中式管理系統登錄之所有策略實施點所共享。
●步驟507:比較該計算得之雜湊值與收到之安全防護標籤內包含之雜湊值。
●步驟511:若兩者之雜湊值相同,則表示該收到之包含安全防護標籤的封包未遭竄改,因此該策略實施點可依據該安全防護標籤中之詮釋資料與檢視清單等資訊對該封包進行必要之檢視。
●步驟509:若兩者之雜湊值不相同或該封包未含安全防護標籤,則該策略實施點對該封包進行所有必要之檢視。
需說明的是,本發明之封包安全防護標籤檢查模組係由策略實施點之安全防護代理程式或安全防護設備實施,事實上,其選替的功能。對本發明而言並非必要。缺少該模組,本發明之集中式管理系統仍能實施。
在不脫離本發明精神或必要特性的情況下,可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此,本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。
301‧‧‧接收策略實施點之登錄請求
303‧‧‧送出一登錄頁供策略實施點提供其詮釋資料
305‧‧‧依策略實施點之詮釋資料更新該策略實施點相應於該網路架構之網路拓樸資訊
307‧‧‧依該網路拓樸資訊及該策略實施點之處理能力產生封包檢視策略
309‧‧‧佈署該封包檢視策略

Claims (10)

  1. 一種於一集中式管理環境中產生一策略實施點之封包檢視策略的方法,該方法包含:依策略實施點之詮釋資料更新該策略實施點相應於一網路架構之網路拓樸資訊,該詮釋資料包含該策略實施點之處理能力;依該網路拓樸資訊及該策略實施點之處理能力等產生該策略實施點之封包檢視策略;及佈署該封包檢視策略至該策略實施點。
  2. 如請求項1之方法,其中該詮釋資料更包含與其他策略實施點之先後次序關係,供決定該新加入之策略實施點於該網路架構之位置,以更新該策略實施點相應於該網路架構之網路拓樸資訊。
  3. 如請求項1之方法,其中該策略實施點之處理能力包含封包檢視能力、策略實施點之處理器能力及頻寬。
  4. 如請求項3之方法,其中該封包檢視能力包含資料外洩防護、安全套接層、防火牆、防毒軟體、無線應用協議、跨站腳本攻擊、跨站請求偽造、入侵偵測(IDS)或入侵預防系統(IPS)等安全防護技術。
  5. 一種於一集中式管理環境中調整一策略實施點之封包檢視策略的方法,該方法包含:定期地等待及輪詢每一策略實施點之執行狀態之更新資訊;收集來自每一策略實施點回報之執行狀態之更新資訊,該執行狀態包含每一策略實施點所檢視封包之負載; 判定是否有一策略實施點收集之執行狀態資訊已達臨界值;及依各策略實施點之詮釋資料及各策略實施點之執行狀態,動態地調整各策略實施點之封包檢視策略,該詮釋資料包含該策略實施點之處理能力。
  6. 如請求項5之方法,其中該執行狀態包含健康資訊,該健康資訊可包含各策略實施點之磁碟、CPU及記憶體等之使用狀態。
  7. 如請求項1或5之方法,其中被策略實施點檢視之封包包含一安全防護標籤(security tag),供其他後續收到該封包之策略實施點檢視該封包之該安全防護標籤,以加速後續策略實施點之封包檢視。
  8. 如請求項7之方法,其中該安全防護標籤至少包含該封包之詮釋資料、檢視清單,及供防止竄改之雜湊值。
  9. 一種電腦程式產品包含一儲存有程式碼之電腦可讀媒體,供於一資訊設備上執行時,實施如請求項1至8中任一項之方法,以於一集中式管理環境中產生或調整一策略實施點之封包檢視策略。
  10. 一種資訊設備,包含:一匯流排;一記憶體,連接到該匯流排,其中該記憶體包含一組指令;一連接到該匯流排之處理單元,其中該處理單元執行該組指令,以執行如申請專利範圍第1至8項之任一項所述之方法,以於一集中式管理環境中產生或調整一策略實施點之封包檢視策略。
TW103122608A 2014-06-30 2014-06-30 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 TW201600997A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW103122608A TW201600997A (zh) 2014-06-30 2014-06-30 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品
US14/744,385 US9906557B2 (en) 2014-06-30 2015-06-19 Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW103122608A TW201600997A (zh) 2014-06-30 2014-06-30 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品

Publications (1)

Publication Number Publication Date
TW201600997A true TW201600997A (zh) 2016-01-01

Family

ID=54931831

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103122608A TW201600997A (zh) 2014-06-30 2014-06-30 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品

Country Status (2)

Country Link
US (1) US9906557B2 (zh)
TW (1) TW201600997A (zh)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9866592B2 (en) 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes
US10936713B2 (en) * 2015-12-17 2021-03-02 The Charles Stark Draper Laboratory, Inc. Techniques for metadata processing
US10235176B2 (en) 2015-12-17 2019-03-19 The Charles Stark Draper Laboratory, Inc. Techniques for metadata processing
US11157641B2 (en) 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
US10868832B2 (en) * 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US10491635B2 (en) 2017-06-30 2019-11-26 BlueTalon, Inc. Access policies based on HDFS extended attributes
TW201941049A (zh) 2018-02-02 2019-10-16 美商多佛微系統公司 用於轉換詮釋資料處理的指令的系統和方法
EP3746921B1 (en) 2018-02-02 2023-12-27 Dover Microsystems, Inc. Systems and methods for policy linking and/or loading for secure initialization
KR102453740B1 (ko) 2018-02-02 2022-10-12 더 차레스 스타크 드레이퍼 래보레이토리, 인코포레이티드 정책 실행 처리를 위한 시스템들 및 방법들
TW201945971A (zh) 2018-04-30 2019-12-01 美商多佛微系統公司 用於檢查安全性能的系統和方法
WO2020097177A1 (en) 2018-11-06 2020-05-14 Dover Microsystems, Inc. Systems and methods for stalling host processor
WO2020102064A1 (en) 2018-11-12 2020-05-22 Dover Microsystems, Inc. Systems and methods for metadata encoding
WO2020132012A1 (en) 2018-12-18 2020-06-25 Dover Microsystems, Inc. Systems and methods for data lifecycle protection
EP3912061A1 (en) 2019-01-18 2021-11-24 Dover Microsystems, Inc. Systems and methods for metadata classification
US11201800B2 (en) 2019-04-03 2021-12-14 Cisco Technology, Inc. On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints
US12079197B2 (en) 2019-10-18 2024-09-03 Dover Microsystems, Inc. Systems and methods for updating metadata
US11418491B2 (en) * 2020-02-26 2022-08-16 Cisco Technology, Inc. Dynamic firewall discovery on a service plane in a SDWAN architecture
WO2021178493A1 (en) 2020-03-03 2021-09-10 Dover Microsystems, Inc. Systems and methods for caching metadata
US11457021B2 (en) * 2020-05-13 2022-09-27 Fastly, Inc. Selective rate limiting via a hybrid local and remote architecture
AU2021269370A1 (en) * 2020-12-18 2022-07-07 The Boeing Company Systems and methods for context aware cybersecurity
AU2021269362A1 (en) * 2020-12-18 2022-07-07 The Boeing Company Systems and methods for real-time network traffic analysis
US12124576B2 (en) 2020-12-23 2024-10-22 Dover Microsystems, Inc. Systems and methods for policy violation processing
US12039043B2 (en) * 2021-11-30 2024-07-16 Cyber Adapt, Inc. Customer premises equipment implementation of dynamic residential threat detection
US12058152B2 (en) * 2021-11-30 2024-08-06 Cyber Adapt, Inc. Cloud-based implementation of dynamic threat detection
US12063232B2 (en) * 2022-06-16 2024-08-13 Cyber Adapt, Inc. Hybrid customer premises equipment and cloud-based implementation of dynamic residential threat detection

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US8102854B2 (en) 2004-05-25 2012-01-24 Cisco Technology, Inc. Neighbor discovery proxy with distributed packet inspection scheme
US8561189B2 (en) * 2006-06-23 2013-10-15 Battelle Memorial Institute Method and apparatus for distributed intrusion protection system for ultra high bandwidth networks
US8112622B2 (en) 2006-12-08 2012-02-07 Broadcom Corporation Chaining port scheme for network security
CA2661398C (en) 2008-04-05 2016-05-17 Third Brigade Inc. System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment
US7965636B2 (en) * 2008-12-05 2011-06-21 Hewlett-Packard Development Company, L.P. Loadbalancing network traffic across multiple remote inspection devices
KR101010248B1 (ko) 2009-07-02 2011-01-21 충남대학교산학협력단 패킷검사장치의 부하조절방법 및 장치
US8782787B2 (en) 2009-10-28 2014-07-15 Hewlett-Packard Development Company, L.P. Distributed packet flow inspection and processing
US9282027B1 (en) * 2010-03-31 2016-03-08 Amazon Technologies, Inc. Managing use of alternative intermediate destination computing nodes for provided computer networks
US8606921B2 (en) 2010-08-10 2013-12-10 Verizon Patent And Licensing Inc. Load balancing based on deep packet inspection
US8955093B2 (en) 2012-04-11 2015-02-10 Varmour Networks, Inc. Cooperative network security inspection
US8869157B2 (en) 2012-06-21 2014-10-21 Breakingpoint Systems, Inc. Systems and methods for distributing tasks and/or processing recources in a system

Also Published As

Publication number Publication date
US20150381660A1 (en) 2015-12-31
US9906557B2 (en) 2018-02-27

Similar Documents

Publication Publication Date Title
TW201600997A (zh) 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品
Jangjou et al. A comprehensive survey on security challenges in different network layers in cloud computing
JP7604440B2 (ja) 自動パケットレスネットワーク到達可能性分析
US11924165B2 (en) Securing containerized applications
CN106953837B (zh) 安全管理系统和安全管理方法
Sun et al. Security-as-a-service for microservices-based cloud applications
Dawoud et al. Infrastructure as a service security: Challenges and solutions
CN106790091B (zh) 一种云安全防护系统以及流量清洗方法
US9660959B2 (en) Network traffic analysis to enhance rule-based network security
US8990893B2 (en) Enterprise application session control and monitoring in a large distributed environment
US12363135B2 (en) Enabling enhanced network security operation by leveraging context from multiple security agents
CN118432835A (zh) Ct云及边缘云安全平台
CN101258470A (zh) 将保护代理自动部署到连接至分布式计算机网络的设备
US10277612B2 (en) Autonomic exclusion in a tiered delivery network
US12363162B2 (en) End-to-end TCP monitoring during application migration
US12407714B2 (en) Application migration vulnerability and device performance monitoring
KR102184114B1 (ko) 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
CN112511562A (zh) 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统
WO2024139775A1 (zh) 安全服务处理方法、装置、设备、存储介质及程序产品
Rolbin Early detection of network threats using Software Defined Network (SDN) and virtualization
KR20190043105A (ko) 효과적인 디도스 공격 완화를 위한 소프트웨어 정의 네트워킹 기반의 네트워크 보안 기능
TW201501487A (zh) 無網路位址之端點管理資訊設備
Helalat An Investigation of the Impact of the Slow HTTP DOS and DDOS attacks on the Cloud environment
US20250088493A1 (en) Systems and methods for transparent service response analysis
US20250088537A1 (en) Systems and methods for service response analysis via out-of-band signaling