一種用于動態補救安全系統實體的方法，包括：基于支持可信網絡的安全系統實體(SSE)的安全配置，建立針對SSE的基準安全分數。該方法還包括由SSE接收指向可信網絡的傳入網絡業務流以及基于SSE的安全配置和允許經由SSE進入可信網絡的傳入網絡業務流，確定針對SSE的更新后的安全分數。該方法還包括如果更新后的安全分數與基準安全分數相差預定量，則補救SSE的安全配置。

優先權聲明

本申請要求2019年2月26日提交的美國專利申請序列號16/286,508的優先權，其公開通過引用整體并入本文。

技術領域

這里描述的主題涉及動態評估網絡業務流以補救與企業網絡相關聯的安全系統。更具體地，這里描述的主題涉及用于動態補救安全系統實體的方法、系統和計算機可讀介質。

背景技術

目前，企業組網應用安全系統在很大程度上依賴于安全策略，安全策略被定義為在任務為保護可信網絡(諸如，企業網絡環境)的網絡功能或應用服務器上實施。值得注意的是，以這種方式使用安全系統涉及配置管理以及日志和事件分析的利用。然而，這些技術通常不能區分安全系統設備是被故意、意外還是惡意地重新配置的情況。此外，即使安全系統的配置中的改變是有意的，也不總是清楚這樣的改變是否會產生更安全的系統。

因此，需要用于動態補救安全系統實體的方法、系統和計算機可讀介質。

發明內容

這里描述的主題包括用于動態補救安全系統實體的方法、系統和計算機可讀介質。一種方法包括基于支持可信網絡的安全系統實體(SSE)的安全配置，建立針對所述SSE的基準安全分數。該方法還包括由所述SSE接收指向所述可信網絡的傳入網絡業務流以及基于所述SSE的安全配置和允許經由所述SSE進入所述可信網絡的傳入網絡業務流，確定針對所述SSE的更新后的安全分數。該方法還包括如果所述更新后的安全分數與所述基準安全分數相差預定量，則補救所述SSE的安全配置。

一種用于動態補救安全系統實體的系統包括：安全系統實體(SSE)，包括至少一個處理器和存儲器。該系統還包括安全評估引擎(SAE)，其被存儲在所述存儲器中并且當由所述至少一個處理器執行時，被配置為：基于支持可信網絡的SSE的安全配置，建立針對所述SSE的基準安全分數，處理經由所述SSE指向所述可信網絡的傳入網絡業務流，基于所述SSE的安全配置和允許經由所述SSE進入所述可信網絡的傳入網絡業務流的一部分確定針對所述SSE的更新后的安全分數，以及如果所述更新后的安全分數與所述基準安全分數相差預定量，則補救所述SSE的安全配置。如這里所使用的，網絡業務流(例如，分組流或網絡流)包括從源計算機傳送到目的地的分組(或幀)的序列，目的地可以是另一主機、多播組或廣播域。在一些實施例中，網絡業務流的特征可以在于包含相似的源網際協議(IP)地址和端口號以及相似的目的地IP地址和端口號。

這里描述的主題可以用硬件、軟件、固件或其任意組合來實現。因此，這里使用的術語“功能”、“節點”或“引擎”指的是用于實現所描述的特征的硬件，其還可以包括軟件和/或固件組件。在一個示例性實現中，這里描述的主題可以使用其上存儲有計算機可執行指令的非瞬態計算機可讀介質來實現，計算機可執行指令當由計算機的處理器執行時，控制計算機執行步驟。適于實現這里描述的主題的示例性計算機可讀介質包括非瞬態計算機可讀介質，諸如盤存儲設備、芯片存儲設備、可編程邏輯設備和專用集成電路。此外，實現這里描述的主題的計算機可讀介質可以位于單個設備或計算平臺上，或者可以分布在多個設備或計算平臺上。

附圖說明

圖1是示出根據這里描述的主題的實施例的用于動態補救安全系統實體的示例性網絡的框圖；

圖2是示出根據這里描述的主題的實施例的示例性安全系統實體的框圖；以及

圖3A和3B是示出根據這里描述的主題的實施例的用于動態補救安全系統實體的示例性過程的流程圖。

具體實施方式