CN105981079A - 网络保护 - Google Patents
网络保护 Download PDFInfo
- Publication number
- CN105981079A CN105981079A CN201480046955.9A CN201480046955A CN105981079A CN 105981079 A CN105981079 A CN 105981079A CN 201480046955 A CN201480046955 A CN 201480046955A CN 105981079 A CN105981079 A CN 105981079A
- Authority
- CN
- China
- Prior art keywords
- network
- port
- tool
- ports
- optical fiber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0224—Process history based detection method, e.g. whereby history implies the availability of large amounts of data
- G05B23/0227—Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
- G05B23/0235—Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on a comparison with predetermined threshold or range, e.g. "classical methods", carried out during normal operation; threshold adaptation or choice; when or how to compare with the threshold
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
用于网络的网络安全***,所述网络包括多个网络工具,所述安全***包括一个或多个安全设备,其中所述一个或多个安全设备中的每个安全设备与多个网络安全工具中的一个或多个网络安全工具相关联,并且其中每个安全设备包括:网络接口,其包括一个或多个端口,其中一个或多个网络安全工具中的与安全设备相关联的每个网络安全工具经由端口中的不同端口与安全设备可操作地耦合;至少一个处理器,其被配置为:在所述安全设备初始设置时,创建网络的活动的基准配置文件,以及在保护模式启动之后,通过检测通过端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
Description
技术领域
本发明涉及网络安全领域。
背景技术
存在许多由于机构使用数量渐增的物理安全元件而带来的新的危险。监视摄像机、访问控制***、传感器和控制器都使用TCP/IP(传输控制协议/因特网协议)和联网技术来连接,并且依赖于置于站点和现场的不安全的通信网络。这些不安全网络的使用使得站点暴露于网络与物理组合攻击。
网络安全是一种对应任何组织的明显的威胁。既提供安全性又提供连接在诸如本国安全、安全城市、公共设施、工业、运输等许多企业和组织的计算与联网领域产生了冲突的情况。典型的网络体系结构包括通过网络基础结构连接的多个网络工具构成,为用户和组织提供大量的服务。具备可靠且一致的网络是世界范围内任何组织的首要事项。
Demopoulos等人的美国专利申请公开No.20050193429公开了一种集成数据业务监控***,其监控从通信网络接收且以受保护网络为目的地的数据业务。监控***包括安全工具以及一种或多种安全与监控技术,诸如硬件和开源以及专用软件产品。安全工具和安全与监控技术可以实现为单独的且不同的模块,或者组合成单个安全工具。安全与监控技术监控受保护网络上或者引导至受保护网络的网络数据业务。监控***将来自各种技术的数据收集到事件数据库中,并且基于该数据,自动地生成指导一种或多种技术来防止来自特定源的后续通信业务进入受保护网络的规则。
Sheleheda等人的美国专利申请公开No.2013127618公开了一种用于提供通信网络中的网络安全监控的方法、非暂态计算机可读介质以及装置。例如,该方法可以从作为传感器网络的构件的传感器接收与传感器网络相关联的通信业务,分析通信业务以判定在传感器网络上是否发生攻击,并且如果在传感器网络上发生攻击则生成警报。
Atsou的日本专利申请公开No.2004086880公开了一种用于检测相应连接点处的非法访问并且通知警告信息的***,用于存储所通知的警告信息的部件、用于从每个连接点处的通信内容中提取网络的访问状态的监控器,以及用于存储所提取的访问状态的部件。另外,该***包括设在每个连接点处且执行访问控制的门节点、基于存储的访问状态和警告信息来分析并通知检测到的非法访问的入侵路径的***、基于分析的入侵路径和警告信息在门节点处生成访问控制规则的部件,以及将其分布到门节点的部件。
Seiji等人的日本专利申请公开No.206244141公开了一种具有通过检查网络上的数据包来监控对网络的非授权访问以及当检测到非授权访问时生成非授权访问信息的多个传感器以及用于统一管理多个传感器并且基于非授权访问信息来监控对网络的非授权访问的管理设备的***。管理设备设有存储部,在存储部中存储有根据多个传感器的属性分组的管理表,并且该管理设备基于管理表来统一地将用于监控非授权访问所需的签名信息发送到属于同一组的传感器,并且多个传感器基于签名信息来监控非授权访问。
前面的现有技术的实施例和与其有关的局限性旨在例示而不排他。对于本领域技术人员而言,在阅读了说明书以及研究了附图之后,现有技术的其他局限性将是显而易见的。
发明概述
下面的实施方案及其方面与意在示范和例示而非限制范围的***、工具和方法相结合进行描述和图示说明。
根据实施方案,提供了一种用于网络的网络安全***,该网络包括多个网络工具,该安全***包括一个或多个安全设备,其中一个或多个安全设备中的每个安全设备与多个网络安全工具的一个或多个网络安全工具相关联,并且其中每个安全设备包括:包括一个或多个端口的网络接口,其中与安全设备相关联的一个或多个网络安全工具中的每个网络安全工具经由端口中的不同端口与安全设备可操作地耦合;至少一个硬件处理器,其被配置为:在初始设置所述安全设备时,创建网络活动的基准配置文件,并且在保护模式启动之后,通过检测通过所述端口中的端口的网络业务与所述基准配置文件的偏差来识别非常规事件。
根据另一实施方案,提供了一种用于保护网络的安全设备,所述网络包括多个网络工具,所述安全设备包括:包括一个或多个的端口的网络接口,其中多个网络工具中的一个或多个网络工具中的每一个经由端口中的不同端口与安全设备可操作地耦合;至少一个硬件处理器,其被配置为:在所述安全设备初始设置时,创建网络的活动的基准配置文件,以及在保护模式启动之后,通过检测通过端口中的一个的端口的网络的业务与所述基准配置文件的偏差来识别非常规事件。
根据进一步的实施方案,提供了一种用于保护网络的方法,所述网络包括多个网络工具,其中所述多个网络工具中的每个与多个端口中的不同端口可操作地耦合,所述方法包括使用至少一个硬件处理器:初始地创建网络活动的基准配置文件;以及在保护模式启动之后,通过检测通过所述多个端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
根据又一实施方案,一种用于保护网络的计算机程序产品,所述网络包括多个网络工具,其中所述多个网络工具中的每一个与多个端口中的不同的端口可操作地耦合,所述计算机程序产品包括具有与其一起实施的程序代码的非暂态计算机可读存储介质,所述程序代码能由至少一个硬件处理器来执行以便:在初始模式下,创建网络的活动的基准配置文件;以及在保护模式启动之后,通过检测通过所述多个端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
在一些实施方案中,在识别出非常规事件时,所述至少一个硬件处理器进一步配置为采取至少一个措施来保护网络。
在一些实施方案中,至少一个措施从由如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,所述基准配置文件包括光纤的长度,并且所述端口包括装备有光学时域反射计(OTDR)的小形状因数可***收发器(SFP),其中所述SFP用于监控所述光纤的反射率,并且其中所述反射率表示所述光纤的长度。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,所述基准配置文件包括光纤的衰减率,并且所述端口包括装备有OTDR的SFP,其中SFP被查询从光纤接收到的功率,并且其中从光纤接收到的功率的变化指示光纤衰减率的变化。
在一些实施方案中,端口包括至少一个电端口,多个网络工具中的至少一个网络工具通过电缆与电端口耦合,所述基准配置文件包括电缆的长度和状态,并且硬件处理器被进一步配置为监控电端口以得到电缆的长度和状态。
在一些实施方案中,端口包括具有电源支持的一个或多个的端口,多个网络工具的网络工具与具有电源支持的一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的端口向网络工具供电,基准配置文件包括网络工具的功率使用,并且硬件处理器被进一步配置为监控具有电源支持的端口以得到网络工具的功率使用。
在一些实施方案中,一个或多个安全设备中的安全设备进一步包括网络端口,该网络端口被配置为将与安全设备相关联的一个或多个网络工具与网络耦合,所述基准配置文件包括多个网络工具的特性,并且硬件处理器被进一步配置为:(i)从安全设备的端口中选定一个或多个端口,以及(ii)监控通过选定的一个或多个端口的网络业务以得到由与选定的一个或多个端口耦合的一个或多个网络工具中的网络工具生成的指示网络工具特性的入站业务。
在一些实施方案中,硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的一部分,其中在选定的一个或多个端口中的每个端口中的监控针对所获取的业务部分来执行。
在一些实施方案中,一个或多个安全设备中的安全设备进一步包括网络端口,该网络端口被配置为将与安全设备相关联的一个或多个网络工具与网络耦合,基准配置文件包括容许网络流列表,并且硬件处理器被进一步配置为:(i)从端口中选择一个或多个端口,以及(ii)监控每个选定的一个或多个端口以得到由与选定端口耦合的网络工具所生成的入站和出站业务中的网络流。
在一些实施方案中,硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的一部分,其中在选定的一个或多个端口中的每个端口中的监控是针对所获取的业务的部分来来执行的。
在一些实施方案中,一个或多个安全设备的至少一个安全设备进一步包括按钮,该按钮被配置为控制至少一个安全设备的远程管理和配置。
在一些实施方案中,网络安全***进一步包括第一安全设备和第二安全设备,该第一安全设备和第二安全设备在光纤的两相对侧与光纤耦合,并且其中:第一安全设备被指定为主设备并且执行网络上的策略实施,第二安全设备被指定为从设备并且被配置为:执行网络业务的测量以及将测量转送到第一安全设备。
在一些实施方案中,在识别出非常规事件时,所述至少一个硬件处理器被进一步配置为采取至少一种措施来保护网络。
在一些实施方案中,措施从由如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,并且基准配置文件包括光纤的长度,并且其中端口包括装备有光学时域反射计(OTDR)的SFP,其中所述SFP用于监控光纤以得到反射率,并且其中反射率表示光纤的长度。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,并且基准配置文件包括光纤的衰减率,并且其中端口包括装备有OTDR的SFP,其中SFP被查询以得到从光纤接收到的功率,并且其中从光纤接收到的功率的变化指示光纤衰减率的变化。
在一些实施方案中,端口包括至少一个电端口,多个网络工具中的至少一个网络工具通过电缆与电端口耦合,基准配置文件包括电缆的长度和状态,并且硬件处理器被进一步配置为监控电端口以得到电缆的长度和状态。
在一些实施方案中,端口包括具有电源支持的一个或多个端口;多个网络工具中的网络工具与具有电源支持的一个或多个端口中的具有电源支持的端口耦合,具有电源支持的端口向网络工具供电,基准配置文件包括网络工具的功率使用,并且硬件处理器被进一步配置为监控具有电源支持的端口以得到网络工具的功率使用。
在一些实施方案中,安全设备进一步包括网络端口,该网络端口被配置为将与安全设备相关联的一个或多个网络工具与网络耦合,其中:基准配置文件包括多个网络工具的特性,并且硬件处理器被进一步配置为:(i)从端口中选定一个或多个端口,以及(ii)监控通过选定的一个或多个端口的网络业务以得到由与选定的一个或多个端口中耦合的多个网络工具中的网络工具生成的指示网络工具特性的入站业务。
在一些实施方案中,硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中通过选定的一个或多个端口中的每个端口的网络业务的监控是针对获取的业务部分来执行的。
在一些实施方案中,安全设备进一步包括网络端口,该网络端口被配置为将与安全设备相关联的多个网络工具与网络耦合,其中:基准配置文件包括容许网络流列表,并且硬件处理器被进一步配置为:(i)从端口中选择一个或多个端口,以及(ii)监控每个选定的一个或多个端口以得到由与选定端口耦合的多个网络工具中的网络工具生成的入站和出站业务中的网络流。
在一些实施方案中,硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中通过选定的一个或多个端口中的每个端口的网络业务的监控是针对所获取的业务部分来执行的。
在一些实施方案中,安全设备进一步包括按钮,该按钮被配置为控制安全设备的远程管理和配置。
在一些实施方案中,该方法进一步包括:在识别出非常规事件时,使用至少一个硬件处理器来采取至少一种措施来保护网络。
在一些实施方案中,措施从由如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,基准配置文件包括光纤的长度,端口进一步包括装备有光学时域反射计(OTDR)的SFP,并且其中该方法进一步包括使用至少一个硬件处理器来使用SPF监控光纤以得到反射率,并且其中反射率表示光纤的长度。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,基准配置文件包括光纤的衰减率,并且端口进一步包括装备有OTDR的SFP,并且其中该方法进一步包括使用至少一个硬件处理器来查询SPF以得到从光纤接收到的功率,并且其中从光纤接收到的功率的变化指示光纤衰减率的变化。
在一些实施方案中,端口包括至少一个电端口,多个网络工具中的至少一个网络工具通过电缆与电端口耦合,基准配置文件包括电缆的长度和状态,并且其中该方法进一步包括使用所述至少一个硬件处理器来监控电端口以得到电缆的长度和状态。
在一些实施方案中,端口包括具有电源支持的一个或多个端口;多个网络工具中的网络工具与具有电源支持的一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的端口向网络工具供电,并且基准配置文件包括网络工具的功率使用,并且其中该方法进一步包括使用所述至少一个硬件处理器来监控具有电源支持的端口以得到网络工具的功率使用。
在一些实施方案中,端口包括被配置为将多个网络工具与网络耦合的网络端口,并且基准配置文件包括多个网络工具的特性,并且其中该方法进一步包括使用是至少一个硬件处理器:(i)从端口中选定一个或多个端口,以及(ii)监控每个选定的一个或多个端口以得到由与选定的一个或多个端口耦合的多个网络工具中的一个或多个网络工具生成的指示一个或多个网络工具的特性的入站业务。
在一些实施方案中,该方法进一步包括使用所述至少一个硬件处理器来获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由一个或多个网络工具生成的入站业务的监控是针对所获取的业务部分来执行的。
在一些实施方案中,端口包括被配置为将多个网络工具与网络耦合的网络端口,并且基准配置文件包括容许网络流列表,并且其中该方法进一步包括使用所述至少一个硬件处理器:(i)从端口中选定一个或多个端口,以及(ii)监控每个选定的一个或多个端口以得到由与选定的一个或多个端口耦合的多个网络工具中的一个或多个网络工具生成的入站和出站业务中的网络流。
在一些实施方案中,该方法进一步包括使用所述至少一个硬件处理器来获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由一个或多个网络工具生成的入站业务的监控是针对所获取的业务部分来执行的。
在一些实施方案中,该方法进一步包括使用所述至少一个硬件处理器来控制端口的远程管理和配置。
在一些实施方案中,程序代码进一步能由至少一个硬件处理器执行以便在识别出非常规事件时采取至少一种措施来保护网络。
在一些实施方案中,措施从由如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,基准配置文件包括光纤的长度,并且端口进一步包括装备有OTDR的SFP,并且其中程序代码进一步能由至少一个硬件处理器来执行以便使用SFP来监控光纤以得到反射率,并且其中反射率表示光纤的长度。
在一些实施方案中,多个网络工具中的至少一个网络工具通过光纤与端口中的端口耦合,基准配置文件包括光纤的衰减率,并且端口进一步包括装备有OTDR的SFP,并且其中程序代码进一步能由至少一个硬件处理器执行以查询SFP得到从光纤接收到的功率,并且其中从光纤接收到的功率的变化指示光纤衰减率的变化。
在一些实施方案中,端口包括至少一个电端口,多个网络工具中的至少一个网络工具通过电缆与电端口耦合,基准配置文件包括电缆的长度和状态,并且其中程序代码进一步能由至少一个硬件处理器执行以监控电端口而得到电缆的长度和状态。
在一些实施方案中,端口包括具有电源支持的一个或多个端口,多个网络工具中的网络工具与具有电源支持的一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的端口向网络工具供电,并且基准配置文件包括网络工具的功率使用,并且其中程序模块进一步能由至少一个硬件处理器执行来监控具有电源支持的端口以得到网络工具的功率使用。
在一些实施方案中,端口包括被配置为将多个网络工具与网络耦合的网络端口,并且基准配置文件包括多个网络工具的特性,并且其中程序代码进一步能由至少一个硬件处理器执行以便:(i)从端口中选定一个或多个端口,以及(ii)监控每个选定的一个或多个端口以得到由与选定的一个或多个端口耦合的多个网络工具中的一个或多个网络工具生成的指示一个或多个网络工具的特性的入站业务。
在一些实施方案中,程序代码能进一步由至少一个硬件处理器执行以便:获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由一个或多个网络工具生成的入站业务的监控是针对所获取的业务的部分执行的。
在一些实施方案中,端口包括被配置为将多个网络工具与网络耦合的网络端口,并且基准配置文件包括容许网络流列表,并且其中程序代码能够进一步由至少一个硬件处理器执行以便:(i)从端口中选择一个或多个端口,以及(ii)监控每个选定的一个或多个端口以得到由与选定的一个或多个端口耦合的多个网络工具中的一个或多个网络工具生成的入站和出站业务中的网络流。
在一些实施方案中,程序代码进一步能够由至少一个硬件处理器执行以便:获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由一个或多个网络工具生成的入站业务的监控是针对所获取的业务部分来执行的。
在一些实施方案中,程序代码进一步能够由至少一个硬件处理器来执行以便控制端口的远程管理和配置。
除了上述的示范性的方面和实施方案之外,通过参考附图以及通过研究下面的发明详述,进一步的方面和实施方案将变得显而易见。
附图说明
在参考的图中图示出了示例性的实施方案。图中所示的组件和特征的尺寸一般选择为方便和清晰呈现的目的,不一定显示为按标度绘制。下面列出了图。
图1示出了与示范性的网络耦合的示范性的网络安全***;以及
图2示出了根据公开的技术的实施方案构造和运行的用于保护网络的方法的流程图。
发明详述
公开的网络保护可以通过检验所检测到的物理和网络相关事件以及采取相应措施来提供物理和网络域内的集成保护。基于配置的一组规则,诸如生成事件、产生警告以及禁用端口或其它网络元件的措施可以被执行。可以采取这些措施来防止对网络有非期望效果或破坏以及防止网络元件之间的非法通信企图。公开的网络保护易于管理并且可以提供高度灵活性,这可以允许例如进行若干改动和/或明显的网络扩展而不减低网络保护。因此,在这些情况下,网络保护可以相应地以简单的、容易地方式进行改动和/或扩展。
本文所使用的术语“网络业务”和“网络的业务”可以涉及到任何类型的经由网络接收、发送或传递的数据,包括消息、从网络的光纤接收到的功率、网络工具的功率使用、网络的光学反射率和/或网络流。
术语“读”和“测量”及其变化形式可以在下文中互换使用。术语“异常”和“非常规”及其变化形式可以在下文中互换使用。术语“保护”和“安全”及其变化形式可以在下文中互换使用。
现在参考图1,该图示出了与示范性的网络170耦合的示范性的网络安全***100。网络安全***100(或仅称为***100)可以包括两个安全设备120A和120B。网络安全***100可以与网络170耦合,以实现保护网络170免于物理和网络攻击的目的。网络170可以包括网络工具110A-110C。
安全设备120A和120B可以相应地包括网络接口130A和130B以及相应地包括硬件处理器140A和140B。安全设备120A和120B可以相应地进一步包括存储设备150A和150B。网络接口130A可以包括端口160A和160B。网络接口130B可以包括端口160C和160D。
网络安全工具110-110C中的每一个可以与安全设备120A和120B中的一个可操作地耦合。因此,网络工具110A可以经由端口160A与安全设备120A可操作地耦合;网络工具110B可以经由端口160B与安全设备120A可操作地耦合;以及网络工具110C可以经由端口160C与安全设备120B可操作地耦合。硬件处理器140A和140B可被配置为对通过端口160A、160B和160C的网络170的业务进行测量。网络接口130A和130B以及存储设备150A和150B中的每一个可以相应地与硬件处理器140A和140B中的一个可操作地耦合。
网络安全工具110A-110C可以通过诸如光纤或电缆(例如,铜缆)的导电介质或者通过诸如无线保真(Wi-Fi)、蜂窝通信、蓝牙等的辐射介质与端口160A、160B和160C耦合。
网络安全工具110A-110C可以为例如计算机、摄像机、传感器、无线保真(Wi-Fi)接入点和/或因特网协议语音(VoIP)电话。安全设备120A和120B可以实施为交换机或路由器或者可以并入诸如交换机或路由器的网设备中。网络接口130A和130B可以实现到安全设备120A和120B的单向或双向有线和/或无线通信以及来自安全设备120A和120B的单向或双向有线和/或无线通信。存储设备150A和150B可以是非暂态的。端口160A-160D可以为例如:诸如以太网的电端口,其可以包括以太网供电(PoE)(即,支持PoE、增强型PoE和/或超PoE标准);导电端口(例如,使用RS-232标准和/或令牌环体系结构);和/或辐射端口(例如,使用Wi-Fi技术或蓝牙标准)。端口可以包括用于小形状因数可插收发机(SPF)的护罩。可选地,端口可以包括内置式光学端口。SPF或光学端口可以装备有可用于测量的光学时域反射计(OTDR)。端口同样可以具有数据流测量能力。例如,安全设备可以包括八个RJ45每秒具有以太网10或100或1000兆比特的电端口。
在一些实施方案中,公开的网络安全***可以包括一个或多个安全设备。每个安全设备可以与一个或多个网络工具耦合。每个安全设备可以包括一个或多个端口、一个或多个硬件处理器以及一个或多个存储设备。在一些实施方案中,公开的网络安全***可用于保护多于一个网络。在该配置中,网络安全***可以包括用于每个网络的至少一个安全设备。
现在参考图2,该图示出了依照公开的技术的实施方案构造的和运行的用于保护网络的方法的流程图。网络可以包括多个网络工具。每个网络用具可以与多个端口中的不同端口可操作地耦合。
在步骤200中,可以初始地创建网络活动的基准配置文件。网络活动可以为入站(例如,进入)和/或出站(即,外出)网络活动。基准配置文件可以包括用于网络的各种提供的、可询问的和/或可测量的特性的基准值,包括表示网络体系结构和拓扑结构的特性(例如,网络工具和其它网络元件的数量、标识和位置)、网络工具的特性(例如,网络工具消耗的功率、网络工具所生成的入站和出站业务及其特性)和/或诸如电缆和光纤的其它网络元件的特性(例如,电缆长度、光纤长度、光纤反射率和/或光纤衰减率)。特性使得这些特性的询问的或测量的值的变化可以表明该网络处于物理或网络攻击下。
在步骤210中,在保护模式启动之后,可以通过检测通过端口的网络业务与基准配置文件的偏离来识别非常规事件。一旦保护模式启动,则端口可以被连续地监控从而检测该偏离。非常规事件可以根据预定的一组规则以及根据网络缺省来识别。例如,可以需要检测偏离的确认以便判定正在发生非常规事件以及以便防止错误警报。该确认可以为额外测量的形式。
在任选的步骤220中,在识别出非常规事件时,可以采取至少一个措施来保护网络。配置的安全策略可以规定如果识别出该非常规事件的行为方案。
根据***的具体动作配置,一旦检测到偏离于基准值(即,超过了误差范围),则***可以采取措施或者参与一组动作。任选地,动作配置可以由用户来设定。在一些实施方案中,***可被配置为执行额外的测量以便确认异常测量以及防止错误警报。例如,***可被配置为在其采取措施之前在三次连续的测量中接收非常规结果。
一旦检测到或确认非常规事件,***可以采取的措施可以包括事件日志的生成(例如,通过使用***日志或简单网络管理协议自陷),发出警告,禁用端口,阻止来自具体网络工具的通信和/或到具体网络工具的通信,和/或发送关于非常规事件的可疑数据以便在外部专门***中进行进一步分析。
在禁用端口的情况下,仅可以在网络偏离的基准配置文件或配置文件的相关值被再次设定之后才可以恢复到端口的链接。
图1的网络安全***100可以根据图200的方法来运行。方法步骤可以由硬件处理器140A-140C来执行。
网络可以具有各种体系结构和配置,这是本领域公知的。公开的安全***可以通过其与网络工具的连接来与网络核心耦合。在一些实施方案中,安全设备可以包括可用于到网络核心的上行链路连接的专用端口。
下文公开了用于公开的网络保护的各个实施方案的各个实施例。
光纤
在一些实施方案中,端口可以包括装备有OTDR的光学SFP。通过SFP端口的网络业务可以被监控以进行物理测量和/或网络测量。物理测量可以涉及与端口耦合的光纤(或仅称为纤维),并且可以包括长度、反射率、接收功率、发送功率、衰减率等。网络测量可以涉及到诸如发送和/或接收的字节的数据流信息、虚拟局域网(VLAN)、媒体访问控制(MAC)地址、因特网协议(IP)地址、四层服务端口等。
如果识别出非常规事件***可以执行的动作可以包括可疑事件的记录或通过禁用端口对威胁的隔离,例如通过将端口的管理状态变成“禁用”状态。
在一些实施方案中,在光纤一侧的一个安全设备可以指定为主设备并且因此可以执行除了测量之外的策略实施(例如,动作配置)。在光纤另一侧的另一安全设备则可以被指定为从设备并且因此可以仅执行测量并且随后利用发信协议将测量信息转送到主设备。该配置可以由于双重校验测量的能力而提高***的可靠性并且提供来自光纤两侧的测量。该配置可在例如光纤或两线传输***中执行多次截除时有用。
光纤长度
SFP OTDR可以被周期性(例如,每五秒)被查询(例如,经由内部集成电路(I2C)接口)以得到在链路上行或下行的同时在纤维中检测到的反射率。反射率可以例如经由纤维的末端(例如,纤维的原末端,其通常是最远的,或者通过切口而形成的端部)或者通过物体(例如,连接器和***器)或叠接件而生成或者沿着纤维形成的弯曲部)。查询周期可以由安全***的用户来确定。SFP OTDR可被提供在距端口的各距离处检测到的反射率的限值的列表。典型地,接收到的最大数量可以代表纤维长度,并且其余数量可以表示诸如连接器、弯曲部、叠接件等纤维上的其它反射率。该列表可以添加到网络的基准配置文件中。
在一些实施方案中,纤维可以与两个安全设备耦合,在每侧有一个安全设备。然后,通过链路的两侧(即,通过纤维形成)测量纤维长度,以及使用诸如链路层发现协议(LLDP)的发信协议,安全设备可以将其各自检测到的纤维长度通过信号形式从一个安全设备发送到另一安全设备。这可以允许纤维长度测量的双重椒盐并且提供更加综合的信息(例如,在纤维在两个部位被切割的情况下)。
纤维长度的基准值可以根据初始测量来设定。该***随后可以监控与基准值相比的纤维长度的任何变化。
纤维长度的测量可以由于测量误差而关于基准值变化。可接受的误差范围可以任选地通过***的用户来设定,从而防止错误警报。例如,可以设定十米的阈值。任选地,可以由用户根据现场的具体环境调节以及精调误差范围。
功率读数和衰减率变化
安全设备可以监控在安全设备与网络之间的链路为上行时由纤维接收到的功率。SFP OTDR可被周期性地查询以得到接收到的功率。例如,五秒的缺省值可以被预定义为查询周期(即,每五秒),并且任选地,可以由用户重新定义。查询可以例如经由I2C接口来执行。
功率读数的变化可以指示纤维衰减率的变化。在正常纤维行为中,该变化可以由于诸如在相对长时间段内发生的昼夜温度变化的物理原因而发生。然而,在短时间段内的突然变化可以指示诸如纤维弯曲或对光纤篡改和搭接的企图的异常情况。如果超过预定义阈值,则可以检测到异常或非常规行为。任选地,可以读取接收功率的若干连续测量(例如,三个),如果在最后测量中的至少两次测量中超过了阈值,则可以识别为异常。在该情况下,***可以采取措施来解决该问题。
在一些实施方案中,接收的功率可以由连接到纤维的安全色好吧来测量,在纤维的不同侧各有一个安全设备,同时安全设备可以使用诸如LLDP的发信协议来就其接收功率的测量彼此发信号。在该配置中,***的可靠性可由于其能够对于纤维以及从纤维的每一侧进行双重校验测量的能力来得以提高。该配置可在例如当在多个位置处切割纤维时或者当使用两纤维传输***时(即,一个纤维用于发送,另一个用于接收)有用。在该配置中,安全设备可以考虑测量的相对变化,因为不同的安全设备可以接收到不同的绝对值。
接收到的功率随时间的小的变化是可接受的并且正常地发生。然而,接收功率的突然急剧变化可以指示纤维衰减率的变化并且因此可以被识别为涉及在物理攻击方案中可能对纤维进行篡改企图的非常规事件。
因此,在例如15秒的短时间段内小于预设阈值例如1dB的变化可以表示,已经发生了异常事件。利用该阈值和值旨在防止错误警报。错误警告会由于诸如由于如日夜间的缓慢温度变化的自然原因引起的读数变化的正常原因而发生。任选地,读数可以在识别异常事件之前进行双重校验。阈值和时间段的上述值可以由用户针对具体的现场环境进行调节和精调。
电缆
在一些实施方案中,安全设备可以包括一个或多个电端口。通过电端口的网络业务可以被监控从而执行物理和网络测量。物理测量可以涉及电缆长度、短路、端状态(开或关)等。网络测量可以涉及诸如发送和/或接收的字节的数据流信息、VLAN、MAC地址、IP地址、4层服务端口等等。
电缆可以为例如铜缆。电缆可以包括多根电线,例如两对或四对电线,同时一对或两对可用于发送,而另一对或两对可用于接收。电端口可以被周期性地查询以便得到在安全设备与网络之间的链路为上行或下行的同时的电缆测量。例如,电端口可以经由I2C接口缺省地每五秒被查询。时间段可以由***的用户重新配置。长度测量可以通过使用本领域公知的各种方法来执行,诸如时域反射计的行业惯例。测量可涉及例如一对电线的长度和/或一对电线的状态(例如,终止(OK)或关或交叉对短接或异常交叉对耦合)。
可以根据一些初始测量来设定基准配置文件的电缆长度和/或状态基准值。电端口随后可以被监控电缆长度或状态关于基准值的任何偏离。
可以设定电缆长度测量的误差的缺省值(例如,三米)从而防止错误警报。该值可以由用户针对具体现场环境来调节和精调。
网络工具电源
在一些实施方案中,安全设备可以包括具有电源支持的一个或多个端口,诸如PoE。在这些实施方案中,安全设备还可以对关联的网络工具供电。
安全交换机随后可以监控通过电源支持的端口的网络业务,例如得到与这些支持的端口耦合的网络工具所消耗的功率。
如果识别出非常规事件,则***可以采取措施,措施可以包括记录非常规事件或者通过禁用识别出威胁的端口来隔离威胁。
网络工具的电源可以被周期性地查询以得到在馈送时网络工具所消耗的功率使用。例如,可以经由例如I2C接口缺省地每五秒进行查询。该缺省值可以由用户重新配置。
网络工具的就其功率消耗的正常行为是公知的。例如,已经打开的固定摄像机具有稳定的功率使用。平移、倾斜和/或变焦距摄像机的功率使用可以从静态速率期间的最小使用编程摄像机运动期间的较高使用,并且在已知的值范围内。超过这些已知的值可以指示用诸如诸如膝上型计算机的恶意的安全工具取代合法安全工具以达到馈送例如虚假视频的目的的企图的可能性。因此,功率使用的变化会得出如下结论:网络正受到在功率使用方面表现不同于预期的设备攻击。
最小和最大功率使用范围可以被预设(任选地由用户)并且添加到网络活动的基准配置文件中。安全设备随后可以监控功率使用关于设定范围的任意偏离。那些值是因工具而不同的,并且因此可以根据具体的工具销售商提供的值来设定。典型地为0.25瓦的小裕度添加到提供的范围的每端作为误差裕度,来防止错误警报。这些值可由用户针对现场的具体装备和环境来调节和精调。
网络工具
在一些实施方案中,安全设备可以充当其关联的网络工具的接入点,将这些网络工具与网络耦合。因此,安全设备可以进一步包括为网络核心提供上行链路的网络端口。与安全设备相关联的网络工具可以彼此通信并且经由上行链路连接来与网络的其余部分通信。上行链路可以本领域公知的各种方式来配置。该配置可允许安全设备监控到其关联的网络工具和来自其关联的网络工具的所有的网络入站和出站业务。
任选地,网络业务的监控可以是选择性的,使得不需要大的处理功率。另外,监控可以被动的(即,被动窃听)使得业务可以不中断地流经安全设备,网络性能可以不受监控和分析操作影响。
因此,例如,通过安全设备的每个端口的网络业务的一部分可被获取以用于相关联的网络工具的特性分析的目的。
业务获取
在选择每个端口的待分析的业务部分中可以采用获取算法。提供的示范性的获取算法可以一方面允许检验,另一方面可以防止端口的不足。提供的获取算法基于本领域技术人员公知的方法。
总处理容量是中央处理器(CPU)性能的已知函数。该数字由每秒最大帧(FPS)来定义。
用户可以选择监控哪个端口。多个端口可以被存储作为多个端口参数。
所监控的端口可以根据在前一间隔中执行的测量从低到高依据其所产生的业务负荷来排序。
算法可以基于如下假设:低业务端口(即,具有低业务负荷)会比较高业务端口(即,具有较高业务负荷)造成更高的网络攻击风险。因此,可供的处理能力,即每秒帧数,可以按照低端口完全被检验的方式从低到高根据其负荷排序奖励给所监控的端口。产生高业务负荷的端口可以仅被奖励处理能力的一部分并且使得执行充分的校验(即,从而检测非常规事件)。
该计算是对于每个采样间隔来进行的,该采样间隔可以通过缺省方式设定成例如一秒,任选地可以由用户来更改。
所提出的获取方法基于安全设备能力如使用因子的sFlow、访问控制列表(ACL)、业务警察等。这些方法可以作为非侵入性函数实现于安全设备中,因而不影响业务流。
表格描绘了对于每秒1,000帧处理容量以及五个端口的示范性情况的获取算法操作。‘FPS’可以代表在前一间隔中测得的每秒帧数。‘检验’可以表示在下一间隔中要分析的期望帧数。
| 端口 | FPS | 检验 |
| 1 | 0 | 0 |
| 2 | 30 | 30 |
| 3 | 300 | 300 |
| 4 | 1,000 | 335 |
| 5 | 10,000 | 335 |
网络工具
在一些实施方案中,可以监控每个选定的端口以得到由与特定端口耦合的网络工具生成的入站业务。与选定端口相关联的每个网络工具可以由其关联端口以及网络工具的标识符如其MAC地址来识别。任选地,网络工具可以由额外的标识符如VLAN、网络工具类型和/或配置文件以及IP地址来识别。在端口中产生入站业务的每个这样的组合(即,相关联的网络工具的端口和至少一个标识符)可以视为新的网络工具并且因此可以注册在容许的新网络工具列表中。该列表可以存储在存储设备中并且可以添加到网络的基准配置文件中。可以(例如,在存储设备中)存储该网络工具被检测到的第一时间以及该网络工具被看到的最后的时间。
用户可以标记或者手动添加网络工具到列表中。被检测到且未在列表中的任何网络工具则可以被视为禁止的网络工具。
可以任选地由用户为每个端口定义关于检测到的禁止网络工具的安全策略。该安全策略可以规定行动方案是这样的情况,该情况可以包括:非常规事件的记录,通过禁用端口来隔离威胁和/或通过诸如地址分辨率协议(ARP)施毒的方案进行反攻。
安全设备可以监控选定端口中的业务,并且在检测到禁止网络工具时,可以为具体的端口实施安全策略规则,例如通过禁用该端口。
在到端口的链路是下行的情况下(即,该端口没有接收到任何信号),则与该端口相关联且活跃的所有容许的网络工具可以被指定为断开的。这些网络工具可以被怀疑遭遇篡改企图。
当活跃的网络工具在一定时间段内没有产生业务时,网络元件可被指定为沉默的。该时间段可以缺省地设置成例如五分钟,并且任选地可由用户来重置。该网络工具可被怀疑为遭遇篡改企图。
可以通过例如网络用户采取适当的行动方案,据此可以删除或允许禁止的网络工具。如果端口被禁用,则用户可以启用端口以便更新该端口的业务流。
网络工具行为
在一些实施方案中,选定的端口可以被监控以得到由与具体端口耦合的网络工具生成的入站业务。
选定的端口可以监控业务特性,诸如网络使用率的变化、业务量、沉默端口、误差业务、所有层中的无效数据包结构、无效数据包地址、业务方向和/或来回切换链接状态的变化。可以生成允许网络工具行为列表。该允许网络工具行为列表可以存储在例如存储设备中,以实现持久性,并且可以添加到网络的基准配置文件中。用户可以标记或者手动添加允许网络工具行为到列表中。因此,未在该列表中的任何检测到的网络工具行为可被视为禁止网络工具行为。
如果网络工具的配置的最小或最大网络使用率被超过,则可以指示正常行为的变化并且因此可被视为非常规。例如,高清(HD)1080P/2MP每秒30帧运动JPEG预期生成大约每秒12兆比特(Mbps)。测量到3Mbps的网络使用率可以暗示,摄像机由另一未经授权的网络工具替代。
如果网络工具配置的每时间段(例如,一个小时)内的最小或最大业务量被超过,则可以指示正常行为的变化并且因此可被视为非常规。例如,网络工具的简单网络管理协议(SNMP)预期生成大约200千比特(Kb)/小时。测量到3兆比特(Mb)的业务量可以暗示该设备可能受到在另一未经授权网络工具的映射攻击。
如果网络工具在其配置的最小时间段(例如,五分钟)内没有生成任何业务,则可以指示正常行为的变化并且因此可被视为非常规。例如,监督控制与数据获取(SCADA)网络工具预期每分钟发送温度测量。如果来自该网络元件的任何发送在五分钟的期间内没有接收到,则可以暗示该设备受到未经授权的网络工具的拒绝服务(DoS)攻击。
如果网络工具生成超过配置的最大帧误差率的误差业务(例如,具有每分钟一个误差的帧误差率的循环冗余校验(CRC)误差),则可以指示正常行为的变化并且因此可视为非常规。例如,产生100个错误/秒的错误率的业务的VoIP电话暗示了,该设备可能受损并且被指示产生旨在妨碍正常网络运行或利用对错误帧敏感的脆弱性的恶意业务。
如果网络工具生成超过配置的最大无效数据包结构速率的无效结构数据包(例如,具有每分钟一个错误的速率的IP报头版本10),这可能指示正常行为的变化并且因此可被视为非常规。例如,以每秒100个无效结构数据包的速率产生业务的Wi-Fi接入点可以暗示,该工具可能受损并且可能被指示产生旨在妨碍正常网络或服务器运行或利用对无效结构数据包敏感的脆弱性的恶意业务。
如果网络工具生成超过了配置的最大取消数据包地址速率(例如,以太网源MAC地址以每分钟一个错误的速率被广播,例如ff:ff:ff:ff:ff:ff)的无效地址数据包,则可以指示正常行为的变化并且可被视为非常规。例如,以每秒100个无效地址数据包的速率产生业务的Wi-Fi接入点可暗示,该工具可能受损并且可能被指示生成旨在妨碍正常网络或服务器运行或利用对无效结构数据包敏感的脆弱性的恶意业务。
如果网络工具超过了每一定时间段(例如,15分钟)的总业务的配置的最小或最大界限百分比,则可以指示正常行为的变化并且可以被视为非常规。例如,网络元件的业务预期为100%入站。测量到60%百分比的入站业务可以暗示,该工具可能受到另一未经授权的网络工具的http攻击。
如果网络工具引起超过配置的最大磁盘状态变化率(例如,每天一个)的频繁的上行和下行的链路状态变化,则可以指示正常行为的变化并且可被视为非常规。例如,每分钟产生10个链路状态变化的速率的小单元网络元件可能暗示,该设备可能受损并且可能被指示产生旨在妨碍正常网络运行或利用对链接状态变化敏感的脆弱性的网络事件。
例如,用户可以确定每个端口针对检测到的禁止网络元件工具行为的安全策略。安全策略可以规定在该情况下的行动方案,可以包括采取如下措施:记录非常规事件,通过禁用端口来隔离威胁和/或通过诸如ARP施毒的方案进行反攻。
在到端口的链路为下行的情况下,所有活跃的与该端口相关联的容许的网络工具行为可以指定为断开。这可以提供预期活跃的网络工具现在与网络断开并且被视为可能指示对该网络工具的篡改企图的非常规的指示。
在活跃的网络工具在一定时间段(例如,缺省地为五分钟)内没有产生业务的情况下,网络工具行为可被指定为沉默。这可以提供网络工具被视为可以指示对该网络工具的篡改企图的非常规的指示。
可以采取适当的行动,诸如任选地由用户允许或删除禁止的网络工具。在端口被禁用的情况下,端口可任选地由用户为更新该端口的业务流而被启用。
沉默端口
在该设置中,端口上的链路变成上行,但是在初始期间(例如,五分钟)内该端口上没有业务。该端口可视为沉默的,因为它被怀疑为处于侦查和映射的网络攻击下。
因此,沉默端口监控可被执行。可以任选地通过用户来确定每个端口的关于沉默端口的安全策略。安全策略可以规定采取诸如记录非常规事件、通过禁用端口来隔离威胁和/或通过诸如ARP施毒的方案进行反攻的措施。在端口被禁用的情况下,仅在用户清除了警报之后到该端口的链接才能恢复。
网络流
在一些实施方案中,网络端口可以用于(另外地或者可选地)监控网络流。任选地,通过安全设备的每个端口的网络业务的部分可以被获取以用于处理单元分析的目的。可以根据上文详述的获取算法来选择业务部分。
网络流可以包括任意组网络工具之间的诸如为MAC地址、VLAN、IP地址、协议、服务端口号或统一资源定位符(URL)地址的业务。网络流可以显示给用户,例如如下:
VLAN:100
源:
MAC地址:02:03:04:05:06:07
IP地址:192.168.10.20
协议:UPD
端口:3000
目的地:
MAC地址:02:03:04:55:55:55
IP地址:10.20.30.40
协议:UPD
端口:5555
为了监控网络流,至少一些端口可被监控由与具体端口相关联的网络工具生成或者以与具体端口相关联的网络工具为目的地的入站和出站业务。
在被监控的端口中,检测到的任何新的网络流可以被注册并且视为禁止。检测到网络流的第一时间以及网络流被看到的最后的时间可以被存储。
用户可以标记或者手动添加网络流到容许网络流列表中。容许网络流列表可以被存储且添加到网络的基准配置文件中。因此,未在列表中的任何检测到的网络流可以被视为禁止的网络流。
可以任选地由用户针对检测到的禁止网络流来对每个端口定义安全策略。安全策略可以规定采取措施,诸如注销非常规事件,通过禁用端口来隔离威胁和/或通过诸如ARP施毒的方案进行反攻。
可以任选地通过用户来允许或删除禁止网络流。在端口被禁用的情况下,可以任选地通过用户来启用端口从而更新该端口的业务流。
纤维
在一些实施方案中,***可以包括至少两个安全设备。每个安全设备可以与网络可操作地耦合,例如通过电接口或光学接口。两个安全设备通过至少两根光纤彼此可操作地耦合。例如,每个安全设备可以包括具有内置OTDR的两个光学SFP。一根光纤可以充当工作纤维,第二根光纤可以充当保护纤维。缺省地,业务可以在工作纤维上流动,然而,在诸如由于对工作纤维的攻击企图而导致链路故障的网络事件的情况下,业务可以切换到保护纤维。根据***配置(任选地由用户),一旦再次处于上行状态,业务可以自动或手动地切换回到工作纤维。
安全设备可以监控物理域和网络域的可能的攻击以及纤维上的网络事件。
物理攻击企图可以由非常规事件来识别,该非常规事件诸如为由于衰减率变化引起的接收功率的突然变化、纤维长度变化、光学反射率变化等。这些事件可以被视为安全破坏企图并且可以由***通过禁用端口直至用户清除该情形来处理。
纤维保护可以在每个纤维中单独地实现,如上文关于固定光纤所详述的。
数据流
下文公开了用于数据流保护的示范性的方法。使用生成树协议,工作纤维端口可以被分配较低的路径代价(例如,100),而保护纤维端口可以被分配较高的路径代价(例如,1,000)。这可以确保网络将自动优选工作纤维,但是在工作纤维故障的情况下将切换到保护纤维。
保护安全设备可以监控链路并且可以应用冗余模式功能。冗余模式可以任选地由用户定义为如下模式之一:自动、故障不还原、强制工作、强制保护、从动或禁用。
在自动模式下,在正常操作中,工作纤维可以是活跃的并且可以承载业务。保护纤维可以处于代码模式并且***受到保护。
当两种纤维都可以承载业务时,可以采用该正常模式,而优选的纤维是工作纤维,包括当其故障且随后恢复的情况。
纤维链路可以是可操作(即,在正常工作状态下链路上行)或者是不可操作的(链路下行,例如由于如上文关于光纤安全性所详述的纤维安全事件之后电缆断开或者链路关断引起)。
在保护纤维由于安全性事件而关断的情况下,该保护纤维仅能在警报状态被清除之后才能任选地由用户被再次启用。业务可仍由工作纤维承载,但是***会不受保护。
在工作纤维下行的情况下,业务会故障而转移到保护纤维(如果可操作),但是***不再受保护。一旦工作纤维链路再次为上行,业务可以自动切换回到工作纤维而使得***可以恢复保护。
在工作纤维由于安全性事件而关断的情况下,工作纤维仅能任选地由用户清除警报状态之后才能再次启用。业务仍由保护纤维(如果可操作)承载,但是***不受保护。
在两个链路均不可操作的情况下,***会处于故障模式并且没有承载任何业务。
在故障转移而不还原的情况下,在正常操作中,工作纤维可以是活跃的,并且可以承载业务,而保护纤维可以处于待命模式并且***可以受保护。
当两个纤维都承载业务时,可以采用该正常模式,优选的纤维是工作纤维但是在其故障的情况下可以被视为受损,因此业务不会自动重返它。保护纤维是唯一可以使用直至任选地由用户评估工作纤维的状况且重返到它的纤维。
纤维链路可以是可操作地(在正常工作状态下链路上行)或者不可操作(例如由于如上文关于光纤安全性所详述的纤维安全性事件之后由于电缆断开或链路关断导致的链路下行)。
在保护纤维下行的情况下,业务可仍由工作纤维承载,但是***会不受保护。一旦保护纤维链路再次上行,***恢复保护。
在保护纤维由于安全事件而关断的情况下,其仅在任选地用户清除警报状态之后才被再次启用。业务仍可由工作纤维承载,但是***不会受到保护。
在工作纤维下行的情况下,业务可以故障而转移到保护纤维(如果可操作),但是***不会受到保护。一旦工作纤维链路再次上行,业务可以重返工作纤维,任选地通过手动方式,并且***可以恢复保护。在此之前,***不受保护。
在工作纤维由于安全事件而被关断的情况下,其仅能在用户清除该警报状态之后才能再被启用。业务仍由保护纤维(如果可操作)承载,但是***不受保护。
在两个链路均不可操作的情况下,***会处于故障模式,并且不承载任何业务。
在强制工作模式下,在正常操作中,工作纤维可以是活跃的并且可以承载业务,但是保护纤维可以被关断并且***会受到保护。
工作纤维链路可以是可操作的(链路上下,因此是正常工作状态)或者不可操作(例如,由于如上文关于光纤安全性详述的光纤安全性事件之后的电缆断开或链路关断导致的链路下行)。
在保护纤维下行的情况下,***会处于故障模式并且没有承载任何业务。
在保护纤维由于安全性事件被关断的情况下,其仅在任选地用户清除警报状态之后才能再被启用。***处于故障模式。
在强制保护模式下,在正常操作中,保护纤维可以是活跃的并且可以承载业务,但是工作纤维可以关断并且***可以受保护。
保护纤维链路可以是可操作的(例如,链路上行和正常工作状态)或者是不可操作的(即,由于如上文关于光纤安全性详述的光纤安全性事件之后的电缆断开或链路关断而导致的链路下行)。
在保护纤维下行的情况下,***会处于故障模式并且没有承载任何业务。
在保护纤维由于安全事件而被关断的情况下,其仅能在任选地用户清除警报状态之后才能再被启用。***会处于故障模式。
在从动模式下,所有的决策由主设备做出。发信可用于将测量自从设备传送给主设备,如上文关于光纤安全性所详述的。
在禁用模式下,功能可被禁用,并且端口以标准方式起作用。
配置冻结
在一些实施方案中,安全设备可以包括按钮,该按钮可以用于控制安全设备的远程管理功能。在一些实施方案中,按钮可被隐藏。任选地,安全设备可以进一步包括锁发光二极管(LED)从而指示安全设备的模式。这些特征可以为安全设备本身提供安全性和保护。
安全设备可以缺省地允许远程管理和配置。
一旦结束安全设备的配置和准备过程,不再需要进一步对配置的任何变化。因此,在该阶段,通过按下按钮一次或者通过经由网络、命令线接口(CLI)或简单网络管理协议(SNMP)的远程命令,安全设备的远程变化可被锁定。
在该新的锁定模式下,安全设备可以不执行任何配置动作,直至按钮被物理地按下且锁定被释放。在锁定模式下,前面板上的锁LED可以接通。例如,可以阻止所有的SNMP设置命令、网络登记和CLI配置。仅可以启用读功能。上述的异常可以是不影响诸如改变离散输出状态的配置的功能。甚至当安全设备处于锁定模式时,这些功能也可以保持活跃。
一旦安全设备上行且在正常模式下运行,其可以监控按钮状态。阻止模式可以通过执行对于每个安全设备配置的各种操作来实现。这些操作的一些实施例详述于下文中。
可通过禁用到相关URL的相关超文本传输协议(HTTP)登记命令来阻止网络接口实现的任何配置变化;
通过禁止到管理信息库(MIB)中的相关对象标识符(OID)的SNMP设置命令,可以阻止通过SNMP接口实现的任何配置变化;
通过禁用相关的配置命令,可以阻止通过CLI(串行的或ssh/远程注册)实现的任何配置变化;
锁LED可以接通;
当处于锁定模式时,可以持续地监控按钮状态。通过再次物理地按压按钮,可以执行解锁,从而切换状态。
安全设备随后可以例如通过禁用到相关URL的相关http注册命令来解锁通过网络接口实现的配置变化。安全设备可以通过禁用到MIB中的相关OID的SNMP设置命令来解锁通过SNMP接口实现的配置变化。通过禁用相关配置命令,安全设备可以解锁通过CLI(串行的或ssh/远程注册)实现的配置变化。锁LED随后可以关断。
本发明可以是***、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质(或多个介质),其上有使得处理器实施本发明的方案的计算机可读程序指令。
计算机可读存储介质可以是能够保持并且存储指令以便通过指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或上述任何适合的组合。计算机可读存储介质的更具体实施例的非穷尽列表包括如下:其中记录有指令的便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、诸如在打孔卡或凹槽中有凸起结构的机械编码设备,以及前述任何适合的组合。本文所使用的计算机可读存储介质本身不应解释为暂态信号,诸如无线电波或其它自由传播的电磁波、通过波导或其它传输介质传播的电磁波(例如,通过光纤电缆的光脉冲)或通过电线传送的电信号。
本文所描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者经由例如因特网、局域网、广域网和/或无线网的网络下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。各个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令并且转送计算机可读程序指令以便存储在相应的计算/处理设备内的计算机可读存储介质中。
用于实施本发明的操作的计算机可读程序指令可以是汇编指令、指令集体系结构(ISA)指令、机器指令、机器相关指令、微码、固件指令、状态设置数据、或以源码或以包括面向对象编程语言如Smalltalk、C++等以及常规程式编程语言如“C”编程语言或类似编程语言在内的一种或多种编程语言的任何组合便携的对象代码。计算机可读程序指令可以完全在用户计算机上执行,部分地在用户计算机上执行,作为独立软件包执行,部分地在用户计算机上以及部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后者方案中,远程计算机可以通过包括局域网(LAN)或广域网(WAN)在内的任何类型的网络连接到用户计算机,或者可以实现到外部计算机的连接(例如,利用因特网服务提供商经由因特网)。在一些实施方案中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)在内的电子电路***可以通过使用计算机可读程序指令的状态信息个性化电子电路***来执行计算机可读程序指令,从而执行本发明的方案。
本文中参考了根据本发明的实施方案的流程图和/或方法、装置(***)和计算机程序产品的框图描述了本发明的方案。将理解的是,流程图和/或框图的各个块以及流程图和/或框图的框的组合能够通过计算机可读程序指令来实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器以制成机器,使得经由计算机或其它可编程数据处理装置的处理器执行的指令产生了用于实现在流程图和/或框图的一个或多个框所规定的功能/行为的手段。这些计算机可读程序指令还可以存储在计算机可读存储介质中,计算机可读存储介质能够指引计算机、可编程数据处理装置和/或其它设备以特定方式运作,使得其中存储有指令的计算机可读存储介质包括包含能够实现流程图和/或框图的一个或多个框中规定的功能/行为的方案的指令的制造品。
计算机可读程序指令还可以装载到计算机、其它可编程数据处理装置或其它设备上以使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤而生成计算机实现过程,使得在计算机、其它可编程装置或其它设备上执行的指令实现流程图和/或框图的一个或多个框中规定的功能/行为。
图中的流程图和框图图示出了根据本发明的各个实施方案的***、方法和计算机程序产品的可能的实现方式的体系结构、功能和操作。在这方面,流程图或框图中的各个框可以代表模块、区段或指令部分,其包括用于实现规定的逻辑功能的一个或多个可执行指令。在一些可选的实现方式中,在框中提到的功能可以不按图中给出的顺序而发生。例如,连续显示的两个框事实上可以基本同时执行,或者框有时可以按相反的顺序执行,取决于所涉及的功能。还值得注意的是,框图和/或流程图中所示的各个框以及框图和/或流程图中的框的组合能够通过执行规定的功能或行为或实施专用硬件和计算机指令的组合的基于专用硬件的***来实现。
本发明的各个实施方案的描述已经为图示目的而提供,但是不意在穷尽或局限于公开的实施方案。许多变型例和变换对于本领域普通技术人员而言将是显而易见的,而不偏离所描述的实施方案的范围和精神。本文所使用的术语经过选择以便最佳地解释实施方案的原理、实际应用或相对于在市场算上所见技术的技术改进,或者使得本领域普通技术任意能够理解本文公开的实施方案。
Claims (49)
1.用于网络的网络安全***,所述网络包括多个网络工具,所述安全***包括一个或多个安全设备,其中所述一个或多个安全设备中的每个安全设备与所述多个网络安全工具中的一个或多个网络安全工具相关联,并且其中每个安全设备包括:
i)网络接口,其包括一个或多个端口,其中与所述安全设备相关联的所述一个或多个网络安全工具中的每个网络安全工具经由所述端口中的不同的端口与所述安全设备可操作地耦合;
ii)至少一个硬件处理器,其被配置为:
(a)在所述安全设备初始设置时,创建所述网络的活动的基准配置文件,以及
(b)在保护模式启动之后,通过检测通过所述端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
2.如权利要求1所述的网络安全***,其中在识别出非常规事件时,所述至少一个硬件处理器被进一步配置为采取至少一种措施来保护网络。
3.如权利要求1所述的网络安全***,其中所述至少一个措施从由如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
4.如权利要求1所述的网络安全***,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,
所述基准配置文件包括所述光纤的长度,以及
所述端口包括装备有光学时域反射计(OTDR)的小形状因数可***收发器(SFP),其中所述SFP用于监控所述光纤的反射率,并且其中所述反射率表示所述光纤的长度。
5.如权利要求1所述的网络安全***,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,
所述基准配置文件包括所述光纤的衰减率,以及
所述端口包括装备有OTDR的SFP,其中所述SFP被查询从所述光纤接收到的功率,并且其中从所述光纤接收到的功率的变化指示所述光纤的衰减率的变化。
6.如权利要求1所述的网络安全***,其中:
所述端口包括至少一个电端口,
所述多个网络工具中的至少一个网络工具通过电缆与所述电端口耦合,
所述基准配置文件包括所述电缆的长度和状态,以及
所述硬件处理器被进一步配置为监控所述电端口以得到所述电缆的长度和状态。
7.如权利要求1所述的网络安全***,其中:
所述端口包括具有电源支持的一个或多个端口;
所述多个网络工具中的网络工具与具有电源支持的所述一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的所述端口向所述网络工具供电,
所述基准配置文件包括所述网络工具的功率使用,以及
所述硬件处理器被进一步配置为监控具有电源支持的所述端口以得到所述网络工具的功率使用。
8.如权利要求1所述的网络安全***,其中:
所述一个或多个安全设备中的安全设备进一步包括网络端口,所述网络端口被配置为将与所述安全设备相关联的一个或多个网络工具与所述网络耦合,
所述基准配置文件包括所述多个网络工具的特性,以及
所述硬件处理器被进一步配置为:
(i)从所述安全设备的端口中选定一个或多个端口,以及
(ii)监控通过选定的一个或多个端口的网络业务以得到由与选定的一个或多个端口耦合的一个或多个网络工具中的网络工具生成的指示所述网络工具的特性的入站业务。
9.如权利要求8所述的网络安全***,其中所述硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中在选定的一个或多个端口中的每个端口处的监控是针对所获取的业务的部分来执行的。
10.如权利要求1所述的网络安全***,其中:
所述一个或多个安全设备中的安全设备进一步包括网络端口,所述网络端口被配置为将与所述安全设备相关联的一个或多个网络工具与所述网络耦合,
所述基准配置文件包括容许网络流列表,以及
所述硬件处理器被进一步配置为:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控每个选定的一个或多个端口以得到由与选定端口耦合的网络工具生成的入站或出站业务中的网络流。
11.如权利要求10所述的网络安全***,其中所述硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中在选定的一个或多个端口中的每个端口处的监控是针对所获取的业务的部分来执行的。
12.如权利要求1所述的网络安全***,其中所述一个或多个安全设备中的至少一个安全设备进一步包括按钮,所述按钮被配置为控制所述至少一个安全设备的远程管理和配置。
13.如权利要求1所述的网络安全***,进一步包括在光纤的两个相对侧与所述光纤耦合的第一安全设备和第二安全设备,并且其中:
所述第一安全设备被指定为主设备并且执行网络上的策略实施,以及
所述第二安全设备被指定为从设备并且被配置为:
(i)执行网络业务的测量,以及
(ii)将所述测量转送到所述第一安全设备。
14.用于保护网络的安全设备,所述网络包括多个网络工具,所述安全设备包括|:
网络接口,其包括一个或多个端口,其中所述多个网络工具中的一个或多个网络工具中的每一个经由端口中的不同端口与所述安全设备可操作地耦合;
至少一个硬件处理器,其被配置为:
(a)在所述安全设备初始设置时,创建所述网络的活动的基准配置文件,以及
(b)在保护模式启动之后,通过检测通过所述端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
15.如权利要求14所述的安全设备,其中在识别出非常规事件时,所述至少一个硬件处理器被进一步配置为采取至少一种措施来保护网络。
16.如权利要求14所述的安全设备,其中所述措施从如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
17.如权利要求14所述的安全设备,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,以及
所述基准配置文件包括所述光纤的长度,
并且其中所述端口包括装备有光学时域反射计(OTDR)的SFP,其中所述SFP用于监控所述光纤的反射率,并且其中所述反射率表示所述光纤的长度。
18.如权利要求14所述的安全设备,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,以及
所述基准配置文件包括所述光纤的衰减率,
并且其中所述端口包括装备有OTDR的SFP,其中所述SFP被查询从所述光纤接收到的功率,并且其中从所述光纤接收到的功率的变化指示所述光纤的衰减率的变化。
19.如权利要求14所述的安全设备,其中:
所述端口包括至少一个电端口,
所述多个网络工具中的至少一个网络工具通过电缆与所述电端口耦合,
所述基准配置文件包括所述电缆的长度和状态,以及
所述硬件处理器被进一步配置为监控所述电端口以得到所述电缆的长度和状态。
20.如权利要求14所述的安全设备,其中:
所述端口包括具有电源支持的一个或多个端口;
所述多个网络工具中的网络工具与具有电源支持的所述一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的所述端口向所述网络工具供电,
所述基准配置文件包括所述网络工具的功率使用,以及
所述硬件处理器被进一步配置为监控具有电源支持的所述端口以得到所述网络工具的功率使用。
21.如权利要求14所述的安全设备,进一步包括网络端口,所述网络端口被配置为将与所述安全设备相关联的一个或多个网络工具与所述网络耦合,其中:
所述基准配置文件包括所述多个网络工具的特性,以及
所述硬件处理器被进一步配置为:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控通过选定的一个或多个端口的网络业务以得到由与选定的一个或多个端口耦合的一个或多个网络工具中的网络工具生成的指示所述网络工具的特性的入站业务。
22.如权利要求21所述的安全设备,其中所述硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中通过选定的一个或多个端口中的每个端口的网络业务的监控是针对所获取的业务的部分来执行的。
23.如权利要求14所述的安全设备,进一步包括网络端口,所述网络端口被配置为将与所述安全设备相关联的多个网络工具与所述网络耦合,其中:
所述基准配置文件包括容许网络流列表,以及
所述硬件处理器被进一步配置为:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控每个选定的一个或多个端口以得到由与选定端口耦合的多个网络工具中的网络工具生成的入站或出站业务中的网络流。
24.如权利要求14所述的安全设备,其中所述硬件处理器被进一步配置为获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中通过选定的一个或多个端口中的每个端口的网络业务的监控是针对所获取的业务的部分来执行的。
25.如权利要求14所述的安全设备,进一步包括按钮,所述按钮被配置为控制所述安全设备的远程管理和配置。
26.保护网络的方法,所述网络包括多个网络工具,其中所述多个网络工具中的每个与多个端口中的不同端口可操作地耦合,所述方法包括使用至少一个硬件处理器:
初始地创建所述网络的活动的基本配置文件;以及
在保护模式启动之后,通过检测通过所述多个端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
27.如权利要求26所述的方法,进一步包括:在识别出非常规事件时,使用所述至少一个硬件处理器来采取至少一个措施来保护所述网络。
28.如权利要求26所述的方法,其中所述措施从由如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
29.如权利要求26所述的方法,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,
所述基准配置文件包括所述光纤的长度,以及
所述端口进一步包括装备有光学时域反射计(OTDR)的SFP,
并且其中所述方法进一步包括利用所述至少一个硬件处理器来使用所述SFP监控所述光纤的反射炉,并且其中所述反射率表示所述光纤的长度。
30.如权利要求26所述的方法,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,
所述基准配置文件包括所述光纤的衰减率,以及
所述端口包括装备有OTDR的SFP,
并且其中所述方法进一步包括利用至少一个硬件处理器查询SFP以得到从所述光纤接收到的功率,并且其中从所述光纤接收到的功率的变化指示所述光纤的衰减率的变化。
31.如权利要求26所述的方法,其中:
所述端口包括至少一个电端口,
所述多个网络工具中的至少一个网络工具通过电缆与所述电端口耦合,
所述基准配置文件包括所述电缆的长度和状态,并且其中所述方法进一步包括利用所述至少一个硬件处理器来监控所述电端口以得到所述电缆的长度和状态。
32.如权利要求26所述的方法,其中:
所述端口包括具有电源支持的一个或多个端口;
所述多个网络工具中的网络工具与具有电源支持的所述一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的所述端口向所述网络工具供电,以及
所述基准配置文件包括所述网络工具的功率使用,
并且其中所述方法进一步包括使用所述至少一个硬件处理器来监控具有电源支持的所述端口以得到所述网络工具的功率使用。
33.如权利要求26所述的方法,其中:
所述端口包括网络端口,所述网络端口被配置为将所述多个网络工具与所述网络耦合,以及
所述基准配置文件包括所述多个网络工具的特性,
并且其中所述方法进一步包括使用所述至少一个硬件处理器:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控每个选定的一个或多个端口以得到由与选定的一个或多个端口耦合的多个网络工具中的一个或多个网络工具生成的指示所述一个或多个网络工具的特性的入站业务。
34.如权利要求33所述的方法,进一步包括:利用所述至少一个硬件处理器来获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由所述一个或多个网络工具所生成的入站业务的监控是针对所获取的业务的部分来执行的。
35.如权利要求26所述的方法,其中:
所述端口包括网络端口,所述网络端口被配置为将多个网络工具与所述网络耦合,以及
所述基准配置文件包括容许网络流列表,
并且其中所述方法进一步包括利用所述至少一个硬件处理器:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控每个选定的一个或多个端口以得到由与选定端口耦合的多个网络工具中的一个或多个网络工具生成的入站或出站业务中的网络流。
36.如权利要求35所述的方法,进一步包括利用所述至少一个硬件处理器来获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由一个或多个网络工具生成的入站业务的监控是针对所获取的业务的部分来执行的。
37.如权利要求26所述的方法,进一步包括利用所述至少一个硬件处理器来控制所述端口的远程管理和配置。
38.用于保护网络的计算机程序产品,所述网络包括多个网络工具,其中所述多个网络工具中的每个与多个端口中的不同端口可操作地耦合,所述计算机程序产品包括具有与其一起实施的程序代码的非暂态计算机可读存储介质,所述程序代码能够由至少一个硬件处理器来执行以便:
在初始模式下,创建所述网络的活动的基准配置文件;以及
在保护模式启动之后,通过检测通过所述多个端口中的端口的网络业务与所述基准配置文件的偏离来识别非常规事件。
39.如权利要求38所述的计算机程序产品,其中所述程序代码进一步能由所述至少一个硬件处理器来执行以在识别出非常规事件时采取至少一种措施来保护所述网络。
40.如权利要求38所述的计算机程序产品,其中所述措施从如下构成的组中选出:生成事件日志,发出警告,禁用端口,注销所述非常规事件,执行反攻,阻止来自所述多个网络工具中的一个或多个网络工具或者到所述多个网络工具中的一个或多个网络工具的通信,以及发送关于所述非常规事件的数据以便在外部专用***中进一步分析。
41.如权利要求38所述的计算机程序产品,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,
所述基准配置文件包括所述光纤的长度,以及
所述端口进一步包括装备有OTDR的SFP,
并且其中所述程序代码进一步由所述至少一个硬件处理器执行以使用所述SFP来监控所述光纤的反射率,并且其中所述反射率表示所述光纤的长度。
42.如权利要求38所述的计算机程序产品,其中:
所述多个网络工具中的至少一个网络工具通过光纤与所述端口中的端口耦合,
所述基准配置文件包括所述光纤的衰减率,以及
所述端口进一步包括装备有OTDR的SFP,并且其中所述程序代码进一步能由所述至少一个硬件处理器执行以查询SFP以得到从所述光纤接收到的功率,并且其中从所述光纤接收到的功率的变化指示所述光纤的衰减率的变化。
43.如权利要求38所述的计算机程序产品,其中:
所述端口包括至少一个电端口,
所述多个网络工具中的至少一个网络工具通过电缆与所述电端口耦合,
所述基准配置文件包括所述电缆的长度和状态,以及
并且其中所述程序代码进一步能由所述至少一个硬件处理器执行以监控所述电端口以得到所述电缆的长度和状态。
44.如权利要求38所述的计算机程序产品,其中:
所述端口包括具有电源支持的一个或多个端口;
所述多个网络工具中的网络工具与具有电源支持的所述一个或多个端口中的具有电源支持的端口耦合,其中具有电源支持的所述端口向所述网络工具供电,以及
所述基准配置文件包括所述网络工具的功率使用,
并且其中所述程序代码进一步能由所述至少一个硬件处理器执行以监控具有电源支持的所述端口以得到所述网络工具的功率使用。
45.如权利要求38所述的计算机程序产品,其中:
所述端口包括网络端口,所述网络端口被配置为将所述多个网络工具与所述网络耦合,以及
所述基准配置文件包括所述多个网络工具的特性,
并且其中所述程序代码进一步能由所述至少一个硬件处理器执行以便:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控每个选定的一个或多个端口以得到由与选定的一个或多个端口耦合的多个网络工具中的一个或多个网络工具生成的指示所述一个或多个网络工具的特性的入站业务。
46.如权利要求45所述的计算机程序产品,其中所述程序代码进一步能由所述至少一个硬件处理器执行以便:获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由所述一个或多个网络工具生成的入站业务的监控是针对所获取的业务的部分来执行的。
47.如权利要求38所述的计算机程序产品,其中:
所述端口包括网络端口,所述网络端口被配置为将多个网络工具与所述网络耦合,以及
所述基准配置文件包括容许网络流列表,
并且其中所述程序代码进一步能由所述至少一个硬件处理器执行以便:
(i)从所述端口中选定一个或多个端口,以及
(ii)监控每个选定的一个或多个端口以得到由与选定端口耦合的多个网络工具中的一个或多个网络工具生成的入站或出站业务中的网络流。
48.如权利要求47所述的计算机程序产品,其中所述程序代码进一步能由所述至少一个硬件处理器执行以便:获取通过选定的一个或多个端口中的每个端口的网络业务的部分,其中由所述一个或多个网络工具生成的入站业务的监控是针对所获取的业务的部分来执行的。
49.如权利要求38所述的计算机程序产品,其中所述程序代码进一步能由所述至少一个硬件处理器来执行以便控制所述端口的远程管理和配置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361846188P | 2013-07-15 | 2013-07-15 | |
| US61/846,188 | 2013-07-15 | ||
| PCT/IL2014/050638 WO2015008282A1 (en) | 2013-07-15 | 2014-07-15 | Network protection |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105981079A true CN105981079A (zh) | 2016-09-28 |
Family
ID=52345803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480046955.9A Pending CN105981079A (zh) | 2013-07-15 | 2014-07-15 | 网络保护 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10015176B2 (zh) |
| CN (1) | CN105981079A (zh) |
| WO (1) | WO2015008282A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603493A (zh) * | 2016-11-11 | 2017-04-26 | 北京安天电子设备有限公司 | 一种内置于网络设备中的安全防护装置及防护方法 |
| CN112866056A (zh) * | 2021-01-08 | 2021-05-28 | 山东摄云信息技术有限公司 | Tscm反窃视听监测预警分析方法 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150092574A1 (en) * | 2013-09-30 | 2015-04-02 | Fluke Corporation | Detecting the presence of rogue femtocells in enterprise networks |
| KR102083927B1 (ko) * | 2014-01-03 | 2020-03-03 | 한화테크윈 주식회사 | 네트워크카메라 및 네트워크 영상 감시 시스템 |
| US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
| EP3091692B1 (en) * | 2015-05-06 | 2020-07-15 | General Electric Technology GmbH | A network connection monitoring assembly for an industrial control system |
| US10404559B2 (en) * | 2015-07-17 | 2019-09-03 | Dataprobe Inc. | Apparatus and system for automatically rebooting an electronically powered device via power over ethernet |
| US10382215B2 (en) * | 2015-12-22 | 2019-08-13 | Forescout Technologies, Inc. | Device identification and policy enforcement using power over ethernet (POE) |
| US10333828B2 (en) | 2016-05-31 | 2019-06-25 | Cisco Technology, Inc. | Bidirectional multicasting over virtual port channel |
| US10084802B1 (en) * | 2016-06-21 | 2018-09-25 | Palantir Technologies Inc. | Supervisory control and data acquisition |
| US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
| US10419931B1 (en) | 2016-08-25 | 2019-09-17 | EMC IP Holding Company LLC | Security for network computing environment using centralized security system |
| US10193750B2 (en) | 2016-09-07 | 2019-01-29 | Cisco Technology, Inc. | Managing virtual port channel switch peers from software-defined network controller |
| US10650621B1 (en) | 2016-09-13 | 2020-05-12 | Iocurrents, Inc. | Interfacing with a vehicular controller area network |
| US9860257B1 (en) * | 2017-06-12 | 2018-01-02 | Cisco Technology, Inc. | Anomaly detection and threat prediction through combined power and network analytics |
| US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
| US10862911B2 (en) * | 2017-06-27 | 2020-12-08 | Allot Ltd. | System, device, and method of adaptive network protection for managed internet-of-things services |
| US10477400B2 (en) * | 2017-08-10 | 2019-11-12 | Qualcomm Incorporated | Forbidden network list management |
| KR102485368B1 (ko) | 2018-01-15 | 2023-01-05 | 삼성전자주식회사 | 전자 장치, 그 제어 방법 및 컴퓨터 판독가능 기록 매체 |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| US11316851B2 (en) | 2019-06-19 | 2022-04-26 | EMC IP Holding Company LLC | Security for network environment using trust scoring based on power consumption of devices within network |
| US20210099473A1 (en) * | 2019-09-26 | 2021-04-01 | Forescout Technologies, Inc. | Anomaly detection including property changes |
| US11546354B2 (en) * | 2019-11-26 | 2023-01-03 | Kyndryl, Inc. | Network shutdown for cyber security |
| US20220131878A1 (en) * | 2020-10-23 | 2022-04-28 | NoteAffect, L.L.C. | Breach detection of secured confidential content system and methods |
| US11941155B2 (en) | 2021-03-15 | 2024-03-26 | EMC IP Holding Company LLC | Secure data management in a network computing environment |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
| US20070120668A1 (en) * | 2000-03-10 | 2007-05-31 | Radio Systems Corporation | Security System Using Piezoelectric Sensors |
| CN101099134A (zh) * | 2005-02-25 | 2008-01-02 | 思科技术公司 | 对无线网络中的接入点进行动态测量和重分类 |
| CN101129010A (zh) * | 2004-02-19 | 2008-02-20 | 洛克威尔自动控制技术股份有限公司 | 用于基于开关的acl的ip |
| CN101253723A (zh) * | 2005-06-29 | 2008-08-27 | 霍尼韦尔国际公司 | 用于防止网络错误的设备和方法 |
| US20090254655A1 (en) * | 2008-04-04 | 2009-10-08 | Beau Kidwell | Generation and Control of Network Events and Conversion to SCADA Protocol Data Types |
| US20090273472A1 (en) * | 2008-04-30 | 2009-11-05 | Brooks Bradford O | Apparatus, system, and method for safely and securely storing materials |
| WO2010056379A1 (en) * | 2008-11-17 | 2010-05-20 | Donovan John J | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
| WO2012135103A2 (en) * | 2011-03-25 | 2012-10-04 | Ohio University | Security system for underground conduit |
| CN102934292A (zh) * | 2010-04-23 | 2013-02-13 | 立维腾制造有限公司 | 缆线窜改防止 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123434A (ja) | 2000-10-16 | 2002-04-26 | Denso Corp | ネットワークシステム |
| US20040059815A1 (en) * | 2001-01-24 | 2004-03-25 | Buckingham Duane W. | Guest room service and control system |
| JP4052983B2 (ja) | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | 警戒システム及び広域ネットワーク防護システム |
| KR100464567B1 (ko) | 2002-09-06 | 2005-01-03 | 한국전자통신연구원 | 센서를 이용한 액티브 네트워크 침입패킷 대응방법 |
| US7505416B2 (en) * | 2003-03-31 | 2009-03-17 | Finisar Corporation | Network tap with integrated circuitry |
| GB0307406D0 (en) | 2003-03-31 | 2003-05-07 | British Telecomm | Data analysis system and method |
| US20050193429A1 (en) | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
| JP2006244141A (ja) | 2005-03-03 | 2006-09-14 | Mitsubishi Electric Corp | 不正侵入監視装置 |
| JP3113937U (ja) | 2005-06-22 | 2005-09-22 | 有限会社Panaso | 監視ライブカメラ・セキュリティシステム |
| US8098658B1 (en) * | 2006-08-01 | 2012-01-17 | Hewett-Packard Development Company, L.P. | Power-based networking resource allocation |
| EA201000159A1 (ru) | 2010-02-05 | 2010-08-30 | Давид Иоффе | Система защиты персонального устройства от несанкционированного доступа к нему |
| US9813448B2 (en) * | 2010-02-26 | 2017-11-07 | Ixia | Secured network arrangement and methods thereof |
| US9058619B2 (en) * | 2011-05-19 | 2015-06-16 | Purushottaman Nandakumar | System and method for measurement, planning, monitoring, and execution of out-of-home media |
| HK1161817A2 (en) | 2011-06-24 | 2012-07-27 | Signal Comm Ltd | Methods of connecting network-based cameras to video stations, and corresponding video surveillance systems, video stations, and network-based cameras |
| US9450973B2 (en) | 2011-11-21 | 2016-09-20 | At&T Intellectual Property I, L.P. | Method and apparatus for machine to machine network security monitoring in a communications network |
| KR101186874B1 (ko) | 2011-12-30 | 2012-10-02 | 주식회사 정보보호기술 | 유무선 통합시스템의 무선침입 탐지 시스템의 운영방법 |
| GB201212341D0 (en) | 2012-07-11 | 2012-08-22 | Ea Tech Ltd | Direction of tampering with or theft of an electrical conductor |
| CA2894838C (en) * | 2012-12-11 | 2021-02-23 | Adt Us Holdings, Inc. | Security panel communication system |
-
2014
- 2014-07-15 WO PCT/IL2014/050638 patent/WO2015008282A1/en active Application Filing
- 2014-07-15 CN CN201480046955.9A patent/CN105981079A/zh active Pending
- 2014-07-15 US US14/904,983 patent/US10015176B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070120668A1 (en) * | 2000-03-10 | 2007-05-31 | Radio Systems Corporation | Security System Using Piezoelectric Sensors |
| CN1682516A (zh) * | 2002-09-16 | 2005-10-12 | 思科技术公司 | 用于防止网络地址盗用的方法和装置 |
| CN101129010A (zh) * | 2004-02-19 | 2008-02-20 | 洛克威尔自动控制技术股份有限公司 | 用于基于开关的acl的ip |
| CN101099134A (zh) * | 2005-02-25 | 2008-01-02 | 思科技术公司 | 对无线网络中的接入点进行动态测量和重分类 |
| CN101253723A (zh) * | 2005-06-29 | 2008-08-27 | 霍尼韦尔国际公司 | 用于防止网络错误的设备和方法 |
| US20090254655A1 (en) * | 2008-04-04 | 2009-10-08 | Beau Kidwell | Generation and Control of Network Events and Conversion to SCADA Protocol Data Types |
| US20090273472A1 (en) * | 2008-04-30 | 2009-11-05 | Brooks Bradford O | Apparatus, system, and method for safely and securely storing materials |
| WO2010056379A1 (en) * | 2008-11-17 | 2010-05-20 | Donovan John J | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
| CN102934292A (zh) * | 2010-04-23 | 2013-02-13 | 立维腾制造有限公司 | 缆线窜改防止 |
| WO2012135103A2 (en) * | 2011-03-25 | 2012-10-04 | Ohio University | Security system for underground conduit |
Non-Patent Citations (1)
| Title |
|---|
| 孙玉: "《电信网络安全总体防卫讨论》", 31 August 2008 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603493A (zh) * | 2016-11-11 | 2017-04-26 | 北京安天电子设备有限公司 | 一种内置于网络设备中的安全防护装置及防护方法 |
| CN106603493B (zh) * | 2016-11-11 | 2020-04-24 | 北京安天网络安全技术有限公司 | 一种内置于网络设备中的安全防护装置及防护方法 |
| CN112866056A (zh) * | 2021-01-08 | 2021-05-28 | 山东摄云信息技术有限公司 | Tscm反窃视听监测预警分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10015176B2 (en) | 2018-07-03 |
| US20160173511A1 (en) | 2016-06-16 |
| WO2015008282A1 (en) | 2015-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105981079A (zh) | 网络保护 | |
| EP2721801B1 (en) | Security measures for the smart grid | |
| Yang et al. | Multiattribute SCADA-specific intrusion detection system for power networks | |
| Liu et al. | Intruders in the grid | |
| McLaughlin et al. | Multi-vendor penetration testing in the advanced metering infrastructure | |
| Yang et al. | Stateful intrusion detection for IEC 60870-5-104 SCADA security | |
| Yang et al. | Rule-based intrusion detection system for SCADA networks | |
| US9894080B1 (en) | Sequence hopping algorithm for securing goose messages | |
| CN101296228B (zh) | 基于流量分析的ssl vpn协议检测方法 | |
| Wang et al. | A survey on bad data injection attack in smart grid | |
| US20140283074A1 (en) | Method and system for protective distribution system (pds) and infrastructure protection and management | |
| Morris et al. | A retrofit network transaction data logger and intrusion detection system for transmission and distribution substations | |
| Matoušek et al. | Increasing visibility of iec 104 communication in the smart grid | |
| Peacock et al. | An analysis of security issues in building automation systems | |
| Mai et al. | IEC 60870-5-104 network characterization of a large-scale operational power grid | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| Chromik et al. | Bro in SCADA: Dynamic intrusion detection policies based on a system model | |
| Sen et al. | Investigating man-in-the-middle-based false data injection in a smart grid laboratory environment | |
| Wei et al. | Data-centric threats and their impacts to real-time communications in smart grid | |
| Matoušek et al. | Security monitoring of iot communication using flows | |
| WO2014060964A2 (pt) | Método e sistema de deteção de intrusões em redes e sistemas com base na especificação de processos de negócio | |
| Yang et al. | Cybersecurity testing technology in smart substations | |
| Gamez et al. | Safeguarding critical infrastructures | |
| US20130332600A1 (en) | System for monitoring online interaction | |
| RU2586858C1 (ru) | Способ управления потоками данных на основе контроля заданного потребителем маршрута и обнаружения факта деструктивного воздействия |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160928 |
|
| WD01 | Invention patent application deemed withdrawn after publication |