用于確定和使用用戶和主機的本地聲譽來保護網絡環境中信息的系統和方法

用于確定和使用用戶和主機的本地聲譽來保護網絡環境中信息的系統和方法
【專利摘要】示例實施例中的方法包括關聯來自專用網絡的第一組事件數據，并且基于關聯第一組事件數據來確定專用網絡中的主機的本地聲譽分數。方法還包括將主機的本地聲譽分數提供給安全節點，其基于主機的本地聲譽分數將策略應用到與主機相關的網絡通信。在具體實施例中，將主機的本地聲譽分數映射到主機的網絡地址。在進一步的實施例中，第一組事件數據包括在專用網絡中相應表示一個或多個事件的一個或多個事件指示符。在更具體的實施例中，方法包括確定用戶的本地聲譽分數，并且將用戶的本地聲譽分數提供給安全節點。
【專利說明】用于確定和使用用戶和主機的本地聲譽來保護網絡環境中 信息的系統和方法

【技術領域】
[0001] 本公開一般涉及網絡安全的領域，并且更具體地涉及用于確定和使用用戶和主機 的本地聲譽（localreputation)來保護網絡環境中的信息的系統和方法。

【背景技術】
[0002] 在現今社會，網絡安全的領域已變得日益重要和多元化。商業和其它組織常常將 機密信息或敏感信息存儲在其專用計算機網絡中，所述專用計算機網絡通常由諸如防火墻 之類的各種安全機制來保護。由互聯網和由用戶對于保護專用網絡中的機密信息和敏感信 息的需要是復雜的。互聯網已實現在全世界不同計算機網絡的互聯，并且也為惡意運營商 為了開采其網絡而破壞諸如防火墻之類的安全機制呈現了許多機會。對于一些類型的惡意 軟件，一旦它感染了主機計算機，則惡意運營商可從遠程計算機發布命令以控制惡意軟件。 軟件能夠被命令來執行任意數量的惡意動作，諸如從主機計算機發出垃圾郵件或惡意電子 郵件、從與主機計算機相關的商業或個人盜取敏感信息，以及傳播到其它主機計算機。
[0003] 專用網絡內的授權用戶還能夠危及網絡中的機密信息和敏感信息的安全。不知情 的用戶能夠通過對與網絡相關的敏感信息從事風險行為來危害專用網絡。常常，風險行為 不被檢測到，直到網絡安全已被破壞。其它授權用戶可懷有更險惡的動機，并且能夠使用其 授權訪問來偷竊機密信息或敏感信息而不被網絡中的主機或其它資產注意到。因此，有效 保護和保持穩定的計算機和系統的能力對于組件制造商、系統設計者和網絡運營商繼續呈 現重大挑戰。

【專利附圖】

【附圖說明】
[0004] 為提供本公開及其特征和優點的更全面的理解，結合附圖參考下面的描述，附圖 中相同的參考標號表不相同的部件，其中：
[0005] 圖1是按照本說明書能夠實現用于確定和使用用戶和主機的本地聲譽來保護網 絡信息的系統的網絡環境的示例實施例的簡化框圖。
[0006] 圖2是在示例情境中作為時間的函數的對于專用網絡的風險圖，以及如何能夠使 用已知網絡安全技術將策略應用到網絡中；
[0007] 圖3是按照本說明書的實施例，作為時間的函數的專用網絡中的主機或用戶的本 地聲譽分數圖，以及如何能夠將策略應用到示例情境中；
[0008] 圖4是按照本說明書示出可與網絡環境的示例組件相關的附加細節的簡化框圖；
[0009] 圖5是按照本說明書示出可與系統的實施例相關的示例操作步驟的簡化流程圖；
[0010] 圖6是按照本說明書示出可與系統的實施例相關的附加示例操作步驟的簡化流 程圖。

【具體實施方式】
[0011] 腿
[0012] 示例實施例中的方法包括關聯來自專用網絡的第一組事件數據，以及基于關聯第 一組事件數據來確定專用網絡中的主機的本地聲譽分數。方法還包括將主機的本地聲譽分 數提供給安全節點，其中安全節點基于主機的本地聲譽分數將策略應用到與主機相關的網 絡通信。在具體實施例中，將主機的本地聲譽分數映射到主機的網絡地址。在進一步的實 施例中，第一組事件數據包括在專用網絡中相應表示一個或多個事件的一個或多個事件指 示符，并且一個或多個事件的每個與主機的網絡地址相關。在更具體的實施例中，方法包括 基于關聯第二組事件數據來確定用戶的本地聲譽分數，以及如果網絡通信與用戶相關，則 將用戶的本地聲譽分數提供給安全節點。
[0013] 另一示例實施例中的方法包括關聯來自專用網絡的第一組事件數據，以及基于關 聯第一組事件數據來確定專用網絡中的主機的本地聲譽分數。方法還包括將主機的本地 聲譽分數提供給主機，其中基于主機的本地聲譽分數來選擇策略，并且將策略應用到由主 機檢測的處理。在具體實施例中，該處理包括將文件復制到連接到主機的離線媒體。在更 具體的實施例中，方法包括基于關聯第二組事件數據來確定專用網絡的用戶的本地聲譽分 數，以及如果用戶是該處理的處理擁有者，則將用戶的本地聲譽分數提供給主機。
[0014] 示例實施例
[0015] 圖1是能夠實現用于確定和使用用戶和主機的本地聲譽來保護信息的系統的示 例網絡環境10的簡化框圖。在圖1中所示的示例實施例中，網絡環境10能夠包括專用網 絡14、遠程網絡16和廣域網12 (例如，互聯網），網絡環境10提供相應專用網絡14和遠程 網絡16之間的通信路徑。專用網絡14能夠包括主機20(1)到20(n)、聲譽服務器40、內部 網絡安全設備30(1)、面向外部網絡安全設備30 (2)和資產50(1)-50 (3)。另外，專用網絡 14還可包括郵件網關&服務器60和事件數據儲存庫55。遠程網絡16能夠包括面向外部 網絡安全設備30 (3)和遠程資產50 (4)。
[0016] 圖1中的網絡環境10表示用于接收和傳送通過網絡環境10傳播的信息分組的互 聯通信路線的一系列點或節點。如本文使用的術語"網絡節點"或"節點"意圖包括附連到 網絡的活動電子設備。一般地，節點能夠在通信信道上發送、接收或轉發信息。但是，一些 節點能夠是被動的（例如，入侵預防系統（IPS))，并且可能不能夠發送分組。另外，透明模 式IPS或防火墻可不具有互聯網協議（IP)地址。最后，網絡環境10提供包括透明模式和 被動模式這兩種的節點之間的可通信接口。
[0017] 能夠使用專用地址空間以任意適合的形式（例如，內聯網或外聯網、局域網 (LAN)、廣域網（WAN)、無線局域網（WLAN)、虛擬局域網（VLAN)等）配置專用網絡14。專用 網絡14和遠程網絡16能夠屬于相同的實體（例如，企業、教育組織、政府組織、非贏利組織 等），并且能夠配置成經由網絡業務橫跨本地網絡和遠程網絡之間的廣域網12來通信。遠 程網絡16還能夠以任意適合的形式被配置，并且能夠是專用網絡14的內聯網或外聯網的 一部分。在其它實施例中，遠程網絡16能夠配置為使用例如虛擬專用網絡（VPN)配置經由 互聯網與專用網絡14通信的另一個專用網絡。
[0018] 本文將資產50(1)-50 (4)共同稱作"網絡資產50"，并且資產50(1)-50 (4)能夠包 括以不同的等級由實體評價（例如，最高價值資產50(1)、中等價值資產50(2)和最低價值 資產50(3))的諸如包含內容、資源和服務的服務器之類的網絡元件。在圖1中所示的示例 中，由網絡安全設備30 (1)保護專用網絡14中的資產50 (1) -50 (3)，網絡安全設備30 (1)能 夠包括諸如網關、防火墻、入侵預防系統（IPS)、或其它適當的安全節點之類的網絡元件，以 阻止未授權的（例如，從主機20)到資產50的內部通信并且準許授權的內部通信。面向外 部網絡安全設備30(2)和30(3)還能夠包括諸如網關、防火墻或IPS之類的網絡元件，以控 制在相應網絡14和16中節點之間以及可通過廣域網12訪問的其它網路節點之間的通信。
[0019] 本文將主機20 (l)-20(n)共同稱作"主機20"，并且一般能夠配置為一種類型的網 絡節點，其包括但不限于網絡中任意類型的終端點，諸如桌面計算機、服務器、膝上型電腦、 移動電話、平板、或者可操作成在網絡環境中交換信息的任意其它適合的設備、組件、元件 或對象，其能夠接收或與另一個節點建立連接，并且其具有網絡地址（例如，互聯網（IP)地 址、媒體訪問控制（MAC)地址）。
[0020] 在一個示例實施例中，網絡安全設備30、聲譽服務器40、資產50和郵件網關&服 務器60是網絡元件，其是一種類型的網絡節點，并且意味著包含網絡裝置、服務器、路由 器、交換機、網關、橋、負載平衡器、防火墻、入侵預防系統（IPS)、處理器、模塊或可操作成在 網絡環境中交換信息的任意其它適合的設備、組件、元件或對象。網絡元件和主機可包括促 進其操作的任意適合的硬件、軟件、組件、模塊、接口或對象。這可包括允許有效交換數據或 信息的適當的算法和通信協議。
[0021] 圖1的元件可通過采用任意適合的（有線或無線）連接的一個或多個接口互相耦 合，其提供用于電子通信的可行途徑。另外，這些元件的任意一個或多個可基于具體配置需 要被組合或從架構被移除。網絡環境10可包括能夠用于在網絡中電子傳送或接收分組的 傳輸控制協議/互聯網協議（TCP/IP)通信的配置。網絡環境10還可在適當時并且基于具 體需要，結合用戶數據報協議/IP(UDP/IP)或任意其它適合的協議來操作。
[0022] 關于本公開的各種實施例本文使用了某些術語。如本文使用的術語"數據"，指任 意類型的數字、語音、視頻、或手錄數據、或任意類型的源代碼或目標代碼、或可在網絡節點 和/或網絡中從一個點到另一個點被傳送的以任意適當形式的任意其它信息。同樣，注意 到在本說明書中，在" 一個實施例"、"示例實施例"、"實施例"、"另一個實施例"、"一些實施 例"、"各種實施例"、"其它實施例"、"備選實施例"等中包括的對各種特征（例如，元件、結 構、模塊、組件、步驟、操作、特征等）的引用意圖表示任意這樣的特征被包括在本公開的一 個或多個實施例中。
[0023] 為了示出用于確定和使用用戶和主機的本地聲譽來保護網絡資產的系統的操作 方面的目的，重要的是理解在已知網絡內發生的活動。下面的基本信息可被視作基礎，從該 基礎可適當解釋本公開。僅為了解釋的目的而提供這樣的信息，并且不應因此以任意方式 被解釋以限制本公開及其潛在應用的廣義范圍。
[0024] 由企業或其它實體使用的典型網絡環境包括使用例如互聯網來訪問連接到互聯 網的服務器上駐留的網頁、發送或接收電子郵件（即，email)消息、與連接到互聯網的終端 用戶或服務器交換文件、或者提供或接入連接到互聯網的服務器上駐留的服務，與其它網 絡電子通信的能力。惡意用戶連續開發新的手段，其使用互聯網來散播惡意軟件并且得到 對專用網絡和機密信息的訪問。惡意軟件常常被構思來暗中破壞網絡內的主機，并且使用 其用于諸如信息盜取之類的惡意活動。當然，惡意軟件并不是對于網絡中存儲的信息的唯 一風險。已合法訪問專用網絡的一些個人可能是有危害的，并且故意地違反可適用的法規 和/或策略來傳送（或嘗試傳送）信息。其它個人可能沒有惡意目的，但是仍然可不經意 地或無意中違反這樣的法規和策略來傳送信息。
[0025] 對于實體的專用網絡的潛在威脅能夠在內部（例如，在內聯網內）和外部（例如， 從互聯網）都存在。在外部，互聯網能夠包括除非信任的網站和潛在惡意網站之外的非信 任的用戶和潛在惡意用戶。在內部，實體的專用網絡可由合法的外來者訪問，但是可能受限 訪問內聯網，諸如實體的游客和訂約人。另外，專用網絡通常配置成允許其自己的用戶具有 訪問其資產的不同的等級。至少一些所信任的用戶一般可訪問網絡內的最高價值資產。因 此，如果所信任的用戶具有惡意動機，則這樣的人能夠通過簡單的訪問和公開所信任的、惡 意用戶被授權訪問的危險信息或敏感信息潛在地引起重大的網絡安全破壞。但是，甚至沒 有惡意意圖的所信任的用戶能夠引起安全破壞。這樣的用戶能夠具有危害的主機，和/或 能夠使用可用的技術犯錯誤，促進機密信息或敏感信息的不經意的公開。
[0026] 管理專用網絡中的風險能夠是標識和評定對于網絡的風險的、以及按用戶的需要 平衡風險以繼續對于合法活動訪問網絡資源的耗時的過程。為了適當管理專用網絡中的風 險，應用到網絡的策略應該基于資產的價值的功能以及在該資產上操作的風險等級。此外， 必須按授權用戶的需要來平衡策略以訪問網絡并且在網絡中引導合法活動。因此，一些網 絡安全實現不可配置成觸發對于能夠被認為是風險的活動的策略違反（例如，在非值勤期 間訪問最高價值資產、在網絡內將機密信息發送電子郵件給他人），而不是結論性的惡意或 不合法。在這些類型的風險活動是觸發策略違反的其它網絡安全實現中，所檢測的策略違 反可簡單導致生成警告，而允許風險活動繼續。可將警告記錄日志，或者將其發送給管理員 以評估和采取適當動作，若被擔保的話。因此，在這些情形中，風險的活動可繼續，直到管理 員認出問題（例如，涉及相同來源的不同類型的策略違反、重復的策略違反等）并且采取適 當動作。
[0027] 監視警告并且關聯信息可能是繁重的，尤其是在較大網絡中。從而，潛在的問題可 能甚至不被標識，直到網絡安全已被破壞（例如，公開了機密信息）。例如，可認為專用網絡 內協作雇員之間的包含機密信息的一封電子郵件是低風險活動，因為活動自身沒有在實體 外面公開機密信息。因此，這樣的活動可簡單觸發要發送到管理員的警告。但是，包含機密 信息的一系列電子郵件能夠置實體于較大風險，但是觸發警告的策略會一般地被靜態地應 用并且獨立對于每封電子郵件實例。因此，將專用網絡內的機密信息發送電子郵件能夠繼 續，允許雇員積累和散布越來越多的機密信息，由此增加對于網絡的風險，直到離散的警告 被注意到并且依據管理員動作。
[0028] 在一些網絡環境中，在專用網絡中管理風險通過指定對于由風險閾值等級表征的 不同時間段要應用到網絡元件的不同策略來完成。圖2用圖70示出這種方法，示出在示例 網絡中，作為時間的函數的網絡風險，以及如何在由不同風險的等級表征的不同時間段期 間應用不同策略。在圖2中，沿著x軸描畫的時間段的特征為所增加的效率71 (低風險）、 以一些代價來保護72 (中等風險）、以及以最高代價來保護（高風險）。沿著y軸從高風險 到低風險指示網絡風險。圖線75表示在各種時間段期間總體上對于網絡的所確定的風險。 因此，當對于網絡的風險低時，較少限制的策略（P1)可被應用到網絡，并且因此，該時間段 由對于所增加的效率71的期望來表征，如允許網絡中的用戶和主機以最少限制來操作。當 網絡風險增加時，當對于網絡的風險是中等時，可將中等限制的策略（P2)應用到網絡，并 且因此，該時間段由對于以一些代價來保護72的期望來表征。因此，策略（P2)可包括預防 用戶和主機執行網絡內的某些功能的一些策略。最后，當對于網絡的風險高時，在由以高代 價來保護73的期望來表征的時間段期間，可將最多限制的策略（P3)應用到網絡。因此，在 這個時間段期間，策略可顯著限制可適用于網絡中的用戶和主機的網絡功能。
[0029] 但是，用圖2中所示方法的一個問題是在高風險時期高限制策略（P3)的應用，由 于高限制策略（P3)可影響其應用的網絡的所有主機和用戶，而不只是產生風險的特定主 機和/或用戶。例如，如果由于可疑的活動被指示為僵尸網絡攻擊77 (例如，夜間來自網 絡中的一個主機的許多連接嘗試），因此對于網絡的風險被確定為高，則最多限制的策略 (P3)適用于所有主機及其用戶，而不是檢測到可疑活動來源的特定主機和/或用戶。
[0030] 用于確定和使用用戶和主機的本地聲譽來保護（如圖1中所示的）網絡環境中的 信息的系統能夠解決許多這些問題。圖1示出本地聲譽分數能夠對于實體的網絡的每個主 機和/或每個用戶被計算，并且能夠用于動態選擇、并且將策略應用到與主機和/或用戶相 關的網絡通信、過程或兩者的一個實施例。包括專門網絡安全設備和具有其內并入策略驅 動安全應用的主機的多個網絡節點能夠每個生成包含事件數據的事件通知,該事件數據標 識與網絡策略被違反的安全事件或者某些可接受的行為的信息事件相關的主機和用戶。事 件數據還能夠包括其它信息，諸如標識觸發了策略違反（例如，所采取的動作、由動作影響 的信息等）的事件的事件指示符。附加地或備選地，事件數據儲存庫能夠被掃描，被挖掘數 據、或者對所記錄日志的事件數據可選擇地或有規則地抓取（即，所記錄日志的、或者以其 它方式所存儲的、并且是關于專用網絡的安全事件或信息事件的數據）。另外，還可對于特 定事件數據搜索事件數據儲存庫。在掃描、數據挖掘、抓取或搜索期間發現的事件數據能夠 由聲譽服務器40提取。能夠由聲譽服務器40將事件通知、所記錄日志的事件數據或者其 任意適合的組合進行聚合和關聯，聲譽服務器40能夠隨后確定對于每個主機和每個用戶 的本地聲譽分數，所述每個主機和每個用戶與所記錄日志的事件數據和由事件通知表示的 事件相關。聲譽服務器40能夠將主機和用戶的本地聲譽分數傳送到可配置成保護網絡資 產50的網絡安全設備，或者傳送到配置成保護其自身的主機。網絡安全設備能夠評估與其 已經接收的網絡通信相關的主機和/或用戶的本地聲譽分數，并且基于本地聲譽分數來動 態選擇要應用到網絡通信的策略。類似地，主機能夠評估其自身（或嘗試訪問第一主機的 第二主機）、以及與主機上的處理相關的用戶的本地聲譽，并且基于本地聲譽分數來動態選 擇要應用到該處理的策略。
[0031] 圖3用圖80示出這種方法，描繪作為時間的函數的本地聲譽分數，并且示出如何 基于其本地聲譽分數隨時間將策略動態應用到具體主機和/或用戶。本地聲譽分數能夠對 于專用網絡中與網絡通信或主機處理相關的每個主機和/或用戶提供歷史的和/或行為的 風險分數。能夠由本地聲譽分數表示的風險行為和歷史的示例包括網絡中涉及風險操作的 用戶、不遵循公司策略的用戶、近來感染惡意軟件的主機等。
[0032] 在圖3中，沿著x軸表示時間，并且沿著y軸表示本地聲譽分數且范圍從壞（低 分）到好（高分）。第一圖線81表示一段時間上的主機1的本地聲譽分數，第二圖線82表 示相同的時間段上的主機2的本地聲譽分數，并且第三圖線83表示相同的時間段上的用戶 1的本地聲譽分數。在圖80中表示的時間段期間，主機1由第一策略（P1)覆蓋，主機2由 所有可用的策略（P1、P2和P3)覆蓋，并且用戶1由第一策略和第二策略（P1和P2)覆蓋。 隨著用戶和主機的本地聲譽分數下降或上升，改變應用到其的策略。第一策略（P1)能夠是 當用戶和主機的本地聲譽分數好時，應用到其的較少限制的策略。第二策略（P2)能夠是比 第一策略（P1)稍微更多限制的策略，并且當用戶1和主機2的本地聲譽分數下降并且在好 的分數和壞的分數之間時應用到其的策略。第三策略（P3)能夠是最多限制的策略，并且當 主機2的本地聲譽分數下降到壞聲譽分數閾值時應用到其的策略。網絡安全設備30能夠 基于本地聲譽分數來動態選擇和應用策略。為了示出這個，在示例圖80中由垂直線84表 示的時刻tl時，基于時刻tl時的主機1、用戶1和主機2的不同的本地聲譽分數，將P1應 用到主機1，將P2應用到用戶1，并且將P3應用到主機2。
[0033] 轉到圖4,圖4是示出可與網絡環境10的實施例的所選擇的組件相關的附加細節 的簡化框圖。圖4還示出能夠在網絡環境10的專用網絡14發生的網絡通信流程的示例情 境。圖4包括主機20 (1)和20 (2)、網絡安全設備30、聲譽服務器40、網絡資產50、事件數 據儲存庫55和郵件網關&服務器60。主機20(1)和20 (2)、郵件網關&服務器60、網絡安 全設備30和聲譽服務器40每個包括相應的處理器21a_e和相應的存儲器元件22a_e，并且 另外可包括各種硬件、固件和/或軟件元件以促進本文所述的操作。
[0034] 更具體地，一些節點能夠配置為網絡環境10中的"事件檢測節點"。在一個示例 中，主機20 (1)、20 (2)、郵件服務器&網關60和網絡安全設備30每個能夠包括相應的事件 代理23a_d和相應的策略模塊24a_d以實現事件檢測、以及事件通知和/或事件數據日志 記錄。另外，網絡環境10中的一些節點還能夠（或備選地）被配置為"安全節點"，諸如例 如主機20 (1)和網絡安全設備30。主機20 (1)包括主機保護模塊26和本地聲譽策略模塊 28以實現基于主機（包括主機20(1)自身）和用戶的本地聲譽分數將策略動態應用到主機 20 (1)上的處理。網絡安全設備30能夠包括網絡保護模塊36和本地聲譽策略模塊38以實 現基于主機和用戶的本地聲譽分數將策略動態應用到網絡通信。為了易于說明，僅在主機 20(1)中示出主機保護模塊26和本地聲譽策略模塊28。但是，專用網絡中的任意主機能夠 配置有這些組件以由主機將本地聲譽分數插入到（例如，網絡通信和本地處理器的）策略 評估中。類似地，諸如郵件網關&服務器60之類的其它網絡元件為了由這些其它網絡元件 將本地聲譽分數插入到（例如，網絡通信的）策略評估中能夠配置有與網絡安全設備30的 組件類似的組件。
[0035] 聲譽服務器40能夠包括風險關聯模塊42和本地聲譽分數模塊44以實現接收包 含事件數據的事件通知、從事件數據儲存庫55提取所記錄日志的事件數據、關聯在專用網 絡14中發生的事件的事件數據、以及確定和存儲與事件相關的主機和用戶的本地聲譽分 數。資產50表示專用網絡14的任意網絡資產（例如，最高價值資產50(1)、中等價值資產 50 (2)、最低價值資產50 (3)、遠程資產50 (4))。由網絡安全設備30保護資產50,網絡設備 30能夠是保護專用網絡14的資產的任意網絡安全設備（例如，網絡安全設備30(1)-(3))。
[0036] 在圖4中所示的示例組件中，每個策略模塊24a_d能夠包含在其關聯的專用網絡 14的網絡節點中實現的其自身的策略。在諸如主機20 (1 )、主機20 (2)、郵件網關&服務 器60和網絡安全設備之類的相應的網絡節點中，能夠連同策略模塊24a-d實現事件代理 23a_d。每個事件代理23a_d能夠配置成檢測事件以標識與事件相關的主機和用戶，并且生 成包含事件數據的事件通知、并且/或者在事件數據儲存庫55中將事件數據記錄日志。在 一些實現中，事件代理23a-d還可確定與能夠在事件數據中包括的所檢測的事件相關的風 險等級。
[0037] 如本文所使用，"事件"指與專用網絡中的主機也可能是用戶相關的行為或活動， 并且能夠包括網絡通信（例如，電子郵件、文件傳輸、訪問網絡服務器、發送消息、嘗試網絡 連接等）和處理（例如，設置密碼、將信息傳輸到諸如CD-ROM或USB棒之類的離線媒體、運 行應用程序、系統處理等）。另外，事件能夠是有關安全的或信息事件。當由專用網絡中的 網絡節點（例如，能夠使主機自身或另一個節點的事件檢測節點）檢測到與主機也可能是 用戶相關的風險行為并且該風險行為違反與網絡節點相關的策略（例如，發送機密信息的 電子郵件、將機密信息傳送到諸如CD-ROM或USB棒之類的離線媒體、設置弱的密碼、執行未 知應用程序等）時，安全事件發生。風險事件能夠同時在網絡通信和主機上的處理中發生。 當與主機也可能是用戶相關的所接受的行為由網絡節點（例如，能夠是主機自身或另一個 節點的事件檢測節點）檢測到時，信息事件發生，所述可接受的行為可能不被確定成違反 網絡節點的策略，并且被標識用于跟蹤或記錄日志。所接受的行為能夠同時在網絡通信和 主機上的處理中發生。與安全事件和信息事件有關的事件數據可（例如，在事件數據儲存 庫55中）被存儲或被存檔或被發送到特定位置（例如，事件通知被發送到聲譽服務器40)。
[0038] 被監視用于策略違反的專用網絡14中的任意網絡節點能夠配置為事件檢測節 點，以生成包含事件數據的事件通知、并且/或者將事件數據記錄日志。例如，通常被監視 用于策略違反的專用網絡中的網絡節點能夠包括主機（例如，臺式機、膝上型電腦、服務 器、移動電話、平板等）、裝置、防火墻、路由器、網關等，并且這些節點的每個能夠配置有檢 測事件的事件代理（例如，事件代理23a_d)，以標識與事件相關的主機和用戶、并且將事件 通知發送到聲譽服務器40、并且/或者將與所檢測的事件有關的事件數據記錄日志。
[0039] 在示例實施例中，事件代理23a_d能夠配置成在其對應的節點上與安全應用（例 如，反病毒應用）合作以檢測安全事件。例如，如果主機20(1)上的反病毒應用檢測到與 (例如，從USB棒下載的）程序文件對應的處理的策略違反，隨后事件代理23a能夠從策略 違反檢測到事件，標識主機20(1)的網絡地址、標識主機上的處理擁有者（例如，登陸到主 機20(1)的用戶）的用戶標識符，并且將事件通知發送到聲譽服務器40、并且/或者在事 件數據儲存庫55中將事件數據記錄日志。在一些實施例中，事件代理23a還可確定與（例 如，由策略模塊24a指示的）特定策略違反相關的風險等級，然后在事件通知或在所記錄日 志的事件數據中包括該風險等級。
[0040] 專用網絡14中的一些事件檢測節點可在諸如事件數據儲存庫55之類的儲存庫中 存儲與安全事件和/或信息事件有關的事件數據。事件數據儲存庫55能夠在適合數據存儲 的任意存儲器元件中被配置，并且意圖包括分開的節點、附連到網絡的存儲裝置（NAS)、存 儲區域網絡、文件服務器等。事件數據儲存庫55還可意圖包括存儲器元件，所述存儲器元 件作為所記錄日志的事件數據的本地儲存庫集成在事件檢測節點中（例如，在主機20中、 在郵件網關&服務器60中、在網絡安全設備30中等）。具有本地事件數據儲存庫的事件檢 測節點可允許對其事件數據的遠程訪問，諸如來自聲譽服務器40的遠程訪問。在事件數據 儲存庫55中存儲的數據能夠包括與安全事件、信息事件、或者其任意適合的組合有關的數 據，包括例如與特定行為和該行為的事件指示符相關的主機和用戶的標識。因此，一些事件 檢測節點可以不實時傳送安全事件和/或信息事件的事件數據，而是，可存儲事件數據以 由聲譽服務器40后續訪問。在一個示例實現中，將用于安全事件的事件數據經由事件通知 發送到聲譽服務器40,而將用于信息事件的事件數據在事件數據儲存庫55中存儲或記錄 日志，并且后續由聲譽服務器40提取。
[0041] 郵件網關&服務器60能夠促進專用網絡14的內部和外部的郵件通信。另外，郵件 網關&服務器60能夠是事件檢測節點，其配置有事件代理23c以檢測諸如電子郵件消息之 類的事件，標識與電子郵件業務相關的主機和用戶，并且將事件通知發送到聲譽服務器40， 并且/或者將事件數據存儲在事件數據儲存庫55中。郵件網關&服務器60還能夠配置成 使用諸如簡單郵件傳輸協議（SMTP)之類的任意適合的協議。
[0042] 聲譽服務器40能夠配置成從事件檢測節點接收事件通知，從事件數據儲存庫提 取安全事件數據和/或信息事件數據，或者其任意適合的組合。在一些實施例中，聲譽服務 器40能夠從專用網絡14中的多個事件檢測節點（例如，主機20、網絡安全設備30、郵件網 關&服務器60等）實時接收事件通知。事件通知能夠包括諸如主機和用戶標識、以及引起 策略范圍的行為的指示符之類的安全事件數據。另外，聲譽服務器40能夠配置成從能夠對 于事件監測節點是本地或遠程的一個或多個事件數據儲存庫（例如，事件數據儲存庫55) 提取安全事件數據和/或信息事件數據。提取數據意圖包括任意形式的檢索、接收、取出或 以其它方式獲得數據。聲譽服務器40能夠是基于常規被安排以執行事件數據儲存庫55的 掃描、引導任意適合的數據挖掘技術（例如，評價信息事件以確定它們是否與聲譽分析有 關）、抓取事件數據儲存庫、并且提取有關信息事件數據和安全事件數據。另外，能夠對于特 定信息搜索事件數據儲存庫55，并且任意這樣的信息能夠由聲譽服務器40提取。例如，在 一些情境中，如果風險關聯模塊42確定事件的可疑模式或潛在地或確定地有風險的活動 的指示，則能夠執行對于特定信息的事件數據儲存庫55上的搜索（例如，是否當前登錄了 特定用戶），以證實存在對于網絡的風險。如果證實了風險，則可因此調節相關主機和/或 用戶的本地聲譽分數。
[0043] 風險關聯t吳塊42關聯與所檢測的事件相關的風險以確定對于與該事件相關的每 個主機和每個用戶的本地聲譽分數。能夠在本地聲譽分數模塊44中存儲本地聲譽分數。在 本地聲譽分數模塊44的一個實施例中，將主機的本地聲譽分數映射到該主機的相應的網 絡地址（例如，IP地址、MAC地址）。類似地，能夠將用戶的本地聲譽分數映射到用戶的相 應的用戶標識符（例如，用戶名）。
[0044] 聲譽分數能夠表示用于提供對于專用網絡中的主機和用戶的本地聲譽排名或評 級機制的各種類型的標記、屬性、值范圍等。另外，這些分數能夠包括絕對和相對的指示符。 例如，在一個實施例中，主機或用戶的聲譽分數能夠是在所定義的標度上的整數（例如， 1-10)。在另一個實施例中，對于主機或用戶的聲譽分數能夠是與對應主機或用戶相關的安 全事件和/或信息時間的位映射。因此，提供排名或評級機制的聲譽分數的可能類型能夠 配置有不同的粒度以傳達關于已經影響主機或用戶的聲譽的事件或條件的信息。
[0045] 能夠執行任意類型的關聯技術以確定本地聲譽分數。在一個實施例中，與專用網 絡或內聯網相關的每個主機和每個用戶能夠以好的本地聲譽分數開始。每次從聲譽服務器 40接收事件通知時，風險關聯t旲塊42能夠基于與該事件相關的風險，調節與該事件相關的 主機和用戶的本地聲譽分數。在一些實施例中，與事件相關的風險可以被量化（例如，作為 風險等級），并且被包括在發送到聲譽服務器40的事件通知的事件數據中、或者適當在事 件數據儲存庫55中存儲的事件數據中。在其它實施例中，事件通知能夠簡單標識事件（例 如，事件指示符），然后聲譽數據庫40能夠在接收到事件通知或者提取事件數據之后確定 對于事件的風險等級。風險等級能夠與分度標對應，使得對于事件的風險等級越大，與該事 件相關的主機和用戶的本地聲譽分數就越低。
[0046]在一些實現中，某些類型的事件的事件數據可由聲譽服務器40或在數據事件儲 存庫55中隨著時間聚合，使得風險關聯模塊42不基于這些類型的事件的事件數據來減少 (或增加）本地聲譽分數，直到所聚合的數到達預確定的閾值（例如，訪問敏感數據的事件 的閾值數），或者直到這些類型的事件與其它具體類型的事件組合（例如，訪問敏感信息的 事件與將敏感信息傳送給他人的事件組合）。重要的是，不由安全應用觸發立即補救或預防 動作的重復的策略違反可無論如何最終使與這樣的重復違反相關的主機和/或用戶的本 地聲譽分數降低到預定義的閾值。一旦本地聲譽分數已降低到預定義的閾值，則為了前攝 地保護網絡及其主機，可由安全節點（例如，網絡安全設備30和主機20 (1))應用策略以預 防某些主機和/或用戶的某些活動。
[0047]能夠提供機制以允許授權用戶（例如，網絡管理員）隨著某些風險行為平息，將用 戶或主機的本地聲譽分數恢復到可接受的等級或者逐漸增加本地聲譽分數。例如，能夠將 已獲得壞本地聲譽（例如，重復違反某些低風險公司策略），但是已經接收關于這些公司策 略的后續培訓的用戶的本地聲譽分數增加到中等本地聲譽分數，直到經過某時間段而沒有 引起用戶的本地聲譽分數進一步降低的附加的事件數據。如果由重復的策略違反引起不好 的本地聲譽，則指示所增加的策略服從的動作還可服務于增加聲譽。在這個實施例中，事件 檢測節點的事件代理23a_d可配置成當活動以不好的本地聲譽分數與主機和/或用戶相關 時，檢測服從某些策略的活動（網絡通信和/或主機處理）。對于這些所檢測的服從事件 的事件數據可包括策略服從指示符、主機標識和用戶標識，其能夠被提供給聲譽服務器40 并且與其它事件數據關聯。存在的主機和/或用戶的不好的本地聲譽分數能夠因此被更新 (例如，被增加，如果已檢測到了服從事件的閾值數的話）。
[0048] 網絡安全設備30能夠配置成消耗主機和用戶的本地聲譽，并且至少部分基于本 地聲譽來監視或控制網絡通信。因此，網絡安全設備30能夠包括諸如例如，防火墻、入侵保 護系統、網關、或者其它節點之類的任意適合的網絡元件，配置有網絡保護模塊36以主動 或被動將保護提供給專用網絡14的網絡資產50。例如，在一些實施例中，網絡安全設備30 能夠被動監視網絡通信并且提供事件的通知，其中管理員采取適當手動動作。這樣的通知 能夠適合地被給予，或者被發送到特定位置（例如，聲譽服務器40等），或者簡單地被存儲 或被存檔，并且/或者適當以任意適當形式被顯示。在網絡安全設備30配置成主動保護網 絡資產50的其它實施例中，網絡安全設備30能夠基于與網絡通信相關的主機和/或用戶 的本地聲譽分數，將策略動態應用到它接收的任意網絡通信。網絡安全設備30可與網絡業 務在線、或者諸如通過交換機上的鏡像端口，攔截或接收網絡業務的副本。在這種情況下， 網絡安全設備30可沒有與其相關的網絡地址（例如，沒有IP地址、以及沒有MAC地址）。
[0049] 與網絡通信和處理相關的主機和用戶可需要由事件檢測節點在檢測事件時標識， 并且由安全節點在消耗本地聲譽作為對策略評價的輸入時標識。能夠使用各種技術來完 成標識與網絡通信相關的主機和用戶。如果主機的網絡地址是網絡通信的源地址或目標 地址，則主機能夠與網絡通信相關。因此，與網絡通信相關的主機能夠由網絡地址標識，所 述網絡地址是網絡通信的源地址或目標地址，諸如互聯網協議（IP)地址或媒體訪問控制 (MAC)地址。
[0050] 與網絡通信相關的用戶標識符能夠由諸如例如由微軟公司所擁有的 ActiveDirectory?目錄服務、或遠程認證撥入用戶服務（RADIUS)之類外部帶外機制到目 錄機制標識。在另一個示例中，用戶標識符能夠通過經由目錄機制或用戶的內部列表來強 制用戶登錄以標識其用戶名來發現。在又一個示例中，用戶標識符能夠使用主機防火墻機 制被發現，在該主機防火墻機制中，主機代理與諸如防火墻（例如，網絡安全設備30)之類 的網絡網關設備通過使用帶外協議、或者通過使用密碼安全密隱帶內協議（其中信息被嵌 入在TCP/IP/ICMP網絡業務的冗余區域中）傳送信息來共享處理信息（例如，處理擁有者 或用戶）和主機信息。
[0051] 還可使用諸如發現網絡通信中的用戶名而不管加密之類的其它技術來確定用戶。 例如，文件傳輸協議（FTP)、超文本傳輸協議（HTTP)和即時消息傳送協議能夠具有為了確 定與這些網絡通信相關的用戶能夠被掃描的用戶名和密碼域。另外，即時消息傳送、傳輸層 安全（TLS)和安全套接層（SSL)協議能夠由客戶證書來標識用戶。當前或之前網絡通信內 的密碼認證還能夠用于標識用戶。在其它情境中，為了獲得用戶標識符能夠強制用戶登錄。 一旦被確定，則與網絡地址相關的用戶還能夠用于從相同的網路地址標識后續的通信。
[0052] -旦已經確定了與網絡通信相關的網絡地址和用戶標識符，則網絡保護模塊36 能夠與聲譽服務器40通信以（例如，從本地聲譽分數模塊44)獲得主機和用戶的本地聲譽 分數。一旦接收了本地聲譽分數，則網絡保護模塊36能夠基于本地聲譽分數來動態選擇適 當策略以應用到網絡通信。不同的方法能夠由網絡保護模塊36實現以基于本地聲譽分數 來動態選擇適當的策略。在一個實施例中，本地聲譽策略模塊38能夠提供策略到本地聲譽 分數的映射。如果主機和用戶本地聲譽分數都可適用于特定網絡通信，并且分數不同，則在 一個實施例中，網絡保護模塊36能夠配置成應用與主機和用戶本地聲譽分數對應的最多 限制的策略。在另一個實施例中，本地聲譽策略模塊38中的分開的策略規定能夠規定用戶 和主機聲譽分數，應用獨立于彼此的策略。此外，能夠與其它策略考慮評價本地聲譽分數以 選擇要應用的適當的策略。
[0053] 圖4中示出的網絡資產50能夠包括將信息、資源或服務提供給專用網絡14的用 戶的任意網絡元件，并且可具有對于與專用網絡相關的實體的不同等級值。例如，對于一些 實體，被指定作為最高價值資產的資產（例如，高敏感數據）能夠包括工程設計服務器、源 代碼服務器、財務服務器、公司"秘密武器"（例如，行業秘密信息）和面向外部的內容（即， 表示實體并且對于實體的外來者可適用的內容）。在附加的示例中，被指定作為實體的中等 價值資產的資產（例如，中等敏感度）能夠包括公司電話本、公共文件服務器和公司web服 務器（即，用戶用于共享或散布諸如公司公告、博客、文件儲存庫等之類的信息的專用網絡 內部或內聯網的服務器）。在又一個示例中，被指定作為低價值資產的資產能夠包括沒有被 指定為最高價值或中等價值的其它資產，其甚至對于"有風險的"用戶提供業務連續性。低 價值資產的示例能夠包括電子郵件服務器、幫助桌面和"howto"頁面。
[0054] 類似網絡安全設備，為了控制或被動監視主機上的活動，主機20還能夠配置成消 耗主機和用戶的本地聲譽。例如，主機上的處理、以及由主機發送和接收的網絡通信每個能 夠至少部分基于與主機和用戶相關的本地聲譽被監視或被控制。主機能夠配置有主機保護 模塊26以提供這些監視和控制功能。主機保護模塊26能夠檢測進入或輸出的網絡通信， 并且能夠基于主機自身的本地聲譽分數、輸出的網絡通信的目標主機的本地聲譽分數、進 入的網絡通信的起源主機的本地聲譽分數、以及/或者與網絡通信相關的用戶的本地聲譽 分數（例如，用戶發送或接收網絡通信），將策略動態應用到網絡通信。主機保護模塊26還 能夠通過使用與該處理相關的主機和/或用戶的本地聲譽分數來監視或控制主機上的處 理，諸如文件訪問活動（例如，嘗試訪問計算機源代碼或公司設計的處理）。在另一個示例 中，如果與復制相關的主機或用戶的本地聲譽分數不充足，則主機保護模塊26能夠監視或 控制主機自身內的文件復制、或者到離線媒體（例如，CD-ROM、USB棒等）的文件復制。能 夠由主機使用本地聲譽分數作為輸入來控制或監視的其它示例活動，包括對于加密和拒絕 顯示用于電子郵件的某些文件的要求（例如，在頁眉具有"機密"消息的文件或電子郵件， 對于顯示所選擇的特定文件夾等）。
[0055] 與主機上的處理相關的主機和用戶可需要被標識以使主機能夠消耗其本地聲譽 作為到策略評價的輸入。處理與該處理正在運行所在的主機相關，并且每個主機能夠由網 絡地址（例如，IP地址或MAC地址）標識。用戶還能夠與處理相關作為其處理擁有者或者 作為登錄到主機上的用戶。與主機的進入和輸出的網絡通信相關的主機和用戶能夠由網絡 通信的源地址和目標地址、或者如本文之前所述的任意其它適合的技術來標識。
[0056] 在系統中能夠發生的示例情境由圖4中的流程線（1)到（10)示出。為了說明的 目的，假設初始所有主機和用戶以好的本地聲譽分數開始。流程（1)表示來自登錄到主機 20(1)上的用戶（"用戶A"）的網絡通信，以訪問網絡資產50。在該示例情境中，用戶A嘗 試訪問實體的最高價值資產，諸如公司財務服務器。網絡安全設備30配置成將事件通知發 送到聲譽服務器40。在該情境中，用戶A可被授權來訪問公司財務服務器，但是策略模塊 24d可包括每次嘗試訪問最高價值資產之一時觸發事件通知的策略。因此，由流程（2)指 示，事件代理23d可將事件通知發送到標識用戶A(例如，用戶標識符）、主機20 (1)(例如， 網絡地址）和事件（例如，事件指示符）的聲譽服務器40。
[0057] 網絡安全元件30還可從聲譽服務器40請求對于用戶A和主機20 (1)的本地聲譽 分數。由流程（3)指示，聲譽服務器40將本地聲譽分數發送到網絡安全設備30。在該首次 嘗試訪問公司財務服務器中，用戶A和主機20(1)都具有好的本地聲譽分數，并且因此，由 流程（4)指示，網絡安全設備30允許網絡通信訪問公司財務服務器。
[0058] 在該示例情境中，在主機20(1)從公司財務服務器接收回信息之后，用戶A通過電 子郵件將公司財務信息發送到登錄到主機20(2)上的另一個用戶（"用戶B"）。電子郵件 由到電子郵件網關&服務器60的流程（5)表示，其具有用于檢測違反其策略的電子郵件 的事件代理23c和策略模塊24c。如果策略模塊24c包括由電子郵件違反的可適用的策略 (例如，電子郵件不包含公司財務數據、電子郵件不能夠包含來自最高價值資產的信息、用 戶A不能夠發送公司財務數據的電子郵件、用戶A不能夠發送任意敏感信息的電子郵件、電 子郵件必須被加密等），則事件代理23c可確定電子郵件的來源（例如，主機20(1)的網絡 地址和用戶A的用戶標識符）。由流程（6)指示，事件代理23c可隨后將事件通知發送到聲 譽服務器40。事件通知能夠包括指示主機20(1)、用戶A和所檢測的事件的事件數據。備 選地，事件代理23c能夠將事件數據存儲在事件數據儲存庫55中，其能夠相對于郵件網關 &服務器60被本地或遠程配置。
[0059] 因為該情況中的策略違反不要求補救動作（S卩，沒有阻止電子郵件），所以來自郵 件網關&服務器60的流程（7)表示電子郵件被轉發到主機20⑵上的用戶B。如果用戶A和B在項目上合作并且用戶A繼續從公司財務服務器檢索信息并經由電子郵件將財務信息 發送到用戶B的這種模式，則網絡安全設備30和郵件網關&服務器60能夠繼續將事件通 知發送到標識用戶A、主機20(1)和所檢測的事件的聲譽服務器40。在一些情境中，聲譽服 務器40還可從事件數據儲存庫55提取安全事件和/或信息事件的事件數據。風險關聯模 塊42可關聯在事件通知中被接收的事件數據以及從事件數據儲存庫55中被提取的事件數 據以確定對于主機20(1)和用戶A的本地聲譽分數。
[0060] 在接收到足夠數的事件通知之后，其指示用戶A通過訪問機密信息并且內部發送 該信息的電子郵件而重復違反數據丟失策略，被映射到主機20(1)的網絡地址以及映射到 用戶A的用戶標識符的本地聲譽分數可減少足以使網絡安全設備30拒絕由用戶A和/或 由主機20(1)對于公司財務服務器的進一步的訪問。因此，如由流程（8)所示，如果用戶A 將另一個網絡通信發送到網絡安全設備30,則由流程（9)指示，網絡安全設備30能夠將另 一個事件通知發送到聲譽服務器40,并且如由流程（10)所示，聲譽服務器40能夠將用戶A 和主機20(1)減少的本地聲譽分數發送回網絡安全設備30。網絡保護模塊36可隨后確定： 本地聲譽策略模塊38中的策略要求阻止與具有滿足某個閾值的本地聲譽分數的主機和/ 或用戶相關的網絡通信。因此，如果主機20(1)的本地聲譽分數，和/或如果用戶A的本地 聲譽分數滿足策略的閾值，則在該示例情境中，由流程（8)指示的網絡通信可由網絡安全 設備30阻止。用戶A的聲譽的減少有助于保護網絡，假設在一個情形中已經以風險方式動 作的用戶還可能以其它方式動作。例如，如果在該活動之后，用戶A犯錯誤并且將其登錄證 書暴露給惡意用戶C，則這些證書將不再有助于暴露公司財務數據。
[0061] 回到圖5,圖5示出用于確定和使用用戶和主機的本地聲譽分數來保護網絡環境 中的信息的總系統流程500。流程500在502開始，其中專用網絡或內聯網中的事件代理 (例如，主機20 (1)、主機20 (2)、郵件網關&服務器60和網絡安全設備30上相應的事件代 理23a-d)檢測其相應的事件檢測節點上的事件。事件檢測節點能夠是來自行為起源的主 機（"起源主機"）或者從起源主機接收網絡通信的節點。事件代理能夠在專用網絡內的 多個網絡節點上配置以檢測事件，并且由此作為事件檢測節點的功能。另外，這些事件代理 (例如，事件代理23a-d)能夠作為橫跨網絡的網絡通信、作為在起源主機上發生的其它有 風險的和可接受的活動、以及作為監視這些網絡通信和活動的安全應用同時來操作。
[0062] 在504,事件代理能夠由與所檢測的事件相關的網絡地址和用戶標識符相應地標 識主機和用戶。在506,具有所檢測的事件的事件代理能夠將包含事件數據的事件通知發送 到聲譽服務器40,其中每個事件通知包括主機標識（例如，IP地址、MAC地址），用戶標識 (例如，用戶名）和事件指示符。備選地或者附加地，這些事件代理能夠將事件數據存儲在 事件數據儲存庫55中。事件指示符能夠簡單標識關于違反策略的事件。在一些實現中，事 件數據能夠包括分配到所檢測的事件的量化的風險等級。例如，風險等級能夠是被映射到 事件檢測節點的策略模塊（例如，策略模塊24a-d)中的每個策略。
[0063] 在508,聲譽服務器40可從專用網絡中的各種事件檢測節點接收事件通知，并且 風險關聯模塊42可按用戶和按主機來關聯來自事件通知的事件數據。另外，聲譽服務器40 可提取用于安全事件和/或例如在事件數據儲存庫55中已由事件檢測節點記錄日志的信 息事件的事件數據。該所提取的事件數據還可被包括在關聯中。基于該關聯，在510,對于 在事件通知中標識的、和/或被關聯的事件數據所提取的每個主機和每個用戶，在本地聲 譽分數模塊44中相應的本地聲譽分數能夠被更新。
[0064]本地聲譽分數能夠在專用網絡中的網絡安全設備上被消耗以控制或被動監視網 絡通信。在512,網絡安全設備30可從專用網絡中的主機接收網絡通信。在接收到網絡 通信之后，網絡安全設備30的網絡保護模塊36能夠例如從指示網絡通信來源的網絡通信 中的IP地址標識主機。還可例如，如本文之前所述，使用外部頻帶外機制（例如，Active Directory或Radius)、通過目錄機制或內部的用戶列表來強制用戶登錄以標識其用戶名 的防火墻、或者主機防火墻機制，來標識與網絡通信相關的用戶的身份。一旦主機和用戶被 標識，則在514網絡安全設備30能夠獲得對于所標識的主機和用戶的本地聲譽分數。在 516,聲譽服務器40提供與網絡通信相關的主機和用戶的本地聲譽分數。在518,網絡安全 設備30的網絡保護模塊36能夠基于主機和用戶的本地聲譽分數，動態選擇來自本地聲譽 策略模塊38的策略并且將其應用到網絡通信。備選地，網絡安全設備30能夠被動監視網 絡通信并且提供事件通知，由此允許管理員采取適當手動動作。
[0065]本地聲譽分數還可由能夠控制或監視進入和輸出的網絡通信和主機處理的主機 來消耗，并且還能夠將其它策略本地應用到主機。在522,主機20(1)的主機保護模塊26可 檢測處理（例如，數據嘗試被寫入到USB棒）或進入和輸出的網絡通信。主機保護模塊26 能夠使用其IP地址或MAC地址來標識主機20(1)作為與該過程相關的主機。還可例如，如 本文之前所述，通過標識處理的處理擁有者、通過標識已經登錄到主機20(1)的用戶、或者 通過經由目錄機制或內部的用戶列表來強制用戶登錄以標識其用戶名，標識與處理相關的 用戶的身份。可如本文之前所述標識與網絡通信相關的主機和用戶。一旦主機和用戶被標 識，則在524,主機20 (1)能夠獲得對于所標識的主機和用戶的本地聲譽分數。在526,聲譽 服務器40提供與所檢測的處理或網絡通信相關的主機和用戶的本地聲譽分數。在528,網 絡安全設備30的主機保護模塊36能夠基于相關主機和用戶的本地聲譽分數，動態選擇來 自本地聲譽策略模塊28的策略并且將其應用到該處理或網絡通信。備選地，主機20(1)能 夠被動監視處理和/或網絡通信，并且提供事件通知，由此允許管理員采取適當手動動作。 [0066] 轉到圖6,圖6示出對于具體主機和用戶可在專用網絡14的聲譽服務器40中執行 的操作的更具體的流程600。流程600在602開始，其中聲譽服務器40從專用網絡14中的 事件檢測節點的事件代理（例如，事件代理23a-d)接收事件通知。這些事件通知能夠從任 意數量的網絡節點接收，所述任意數量的網絡節點配置有包括事件代理和策略模塊的安全 應用，并且能夠包括主機標識、用戶標識和事件的事件指示符。在603,聲譽服務器40可從 一個或多個事件儲存庫（例如，事件數據儲存庫55)提取事件數據，其能夠基于常規或按需 要來執行。此外，聲譽服務器40能夠通過接收事件通知、通過提取事件數據、或者通過其任 意適合的組合來獲得對于主機和用戶的事件數據。在604,事件數據可按主機和按用戶被關 聯。在606,風險關聯模塊42隨后更新對于用戶的本地聲譽分數和對于主機的本地聲譽分 數。
[0067]在608,能夠做出對于主機或用戶的本地聲譽分數是否改變的確定。如果本地聲 譽分數的至少之一已經改變，則流程能夠經至610,在此可采取適當動作，例如，將變化記錄 日志、警告網絡管理員該變化，或者報告該變化。一旦已采取了適當動作，或者如果對于用 戶和主機的本地聲譽分數沒有變化，則流程能夠經至612,在此聲譽服務器40從安全節點 (例如，網絡安全設備30、主機20 (1))接收對于主機和/或用戶的本地聲譽分數的請求。在 614,聲譽服務器40能夠將來自本地聲譽分數模塊44的適當本地聲譽分數發送到請求安全 節點。因此，請求安全節點能夠使用分數將策略動態應用到網絡通信或處理，或者能夠被動 監視網絡通信或處理、并且發送適當警告。
[0068] 在示例實現中，與本文論述的用于確定和使用用戶和主機的本地聲譽來保護網絡 環境中的信息的系統有關的活動的至少一些部分可以以例如事件代理23a_d、風險關聯模 塊42、主機保護模塊26和網絡保護模塊36中的軟件來實現。在一些實施例中，為了提供用 于確定和使用用戶和主機的本地聲譽來保護信息的該系統，能夠從web服務器接收或下載 該軟件，或者在計算機可讀媒體上提供該軟件。在一些實施例中，這些特征的一個或多個可 以以在這些元件以外的所提供的硬件來實現，或者以任意適當方式被合并以實現所意圖的 功能性。
[0069] 另外，本文所述和所示的系統的實施例還可包括用于在諸如網絡環境10之類的 網絡環境中接收、傳送和/或以其它方式傳送數據或信息的適合的接口。另外，與各種網絡 元件相關的一些處理器和存儲器元件可被移除，或者以其它方式被合并，使得單個的處理 器和單個的存儲器位置負責某些活動。備選地，某些處理功能能夠被分開，并且分開的處理 器和/或物理機器能夠實現各種功能性。在一般意義中，圖中描繪的布置可以是在其表示 中更合乎邏輯的，而物理架構可包括這些元件的各種排列、組合和/或混合。有必要注意， 無數可能的設計配置能夠用于實現本文論述的操作目標。因此，所相關的基礎設施具有千 變萬化的替代布置、設計機會、設備可能性、硬件配置、軟件實現、裝備選項等。
[0070]在一些示例實施例中，一個或多個存儲器元件（例如，存儲器元件22a_e)能夠存 儲本文所述的用于信息保護操作的數據。這包括能夠存儲被執行以實施本說明書中所述 的活動的指令（例如，軟件、邏輯、代碼等）的存儲器元件。處理器能夠執行與數據相關的 任意類型的指令以實現本文詳述的操作。在一個示例中，一個或多個處理器（例如，處理器 21a_e)能夠將元件或物件（例如，數據）從一種狀態或東西變換到另一狀態或東西。在另一 個示例中，本文論述的功能可以以固定邏輯或可編程邏輯（例如，由處理器執行的軟件/計 算機指令）來實現，并且本文標識的元件能夠是一些類型的可編程處理器、可編程數字邏 輯（例如，現場可編程門陣列（FPGA)、可擦除可編程只讀存儲器（EPROM)、電可擦除可編程 只讀存儲器（EEPR0M))、包括數字邏輯的ASIC、軟件、代碼、電子指令、閃存、光盤、⑶-ROM、 DVD-ROM、磁或光卡、適合存儲電子指令的其它類型的機器可讀媒體、或其任意組合。
[0071] 網絡環境10的組件（例如，主機20、網絡安全設備30、聲譽服務器40、資產50、郵 件網關&服務器60)可在任意適合類型的存儲器（例如，隨機訪問存儲器（RAM)、只讀存儲 器（ROM)、可擦除可編程ROM(EPROM)、電可擦除可編程ROM(EEPR0M)等）、軟件、硬件中，或者 在任意其它適合的組件、設備、元件或對象中在適當時且基于具體需要來保留信息。本文所 討論的任意存儲器項目（例如，存儲器元件22a_e、策略模塊24a_d、本地聲譽策略模塊28、 本地聲譽分數模塊44、本地聲譽策略模塊38,事件數據儲存庫55)應被解釋為被包含在廣 義術語"存儲器元件"內。由網絡環境10讀取、使用、跟蹤、發送、傳送、傳輸、存儲、更新、或 者接收的信息能夠在任意數據庫、寄存器、隊列、表、高速緩存、控制列表或其它存儲結構中 被提供，其全部能夠在任意適合的時間框架被引用。任意這樣的存儲選項可被包括在如本 文所使用的廣義術語"存儲器元件"內。類似地，本說明書所述的任意潛在的處理元件、模 塊和機器應被解釋為被包含在廣義術語"處理器"內。
[0072] 附加的硬件沒有在圖中示出，其可以以存儲器管理單元（MMU)、附加的對稱多處 理（SMP)元件、物理存儲器、外圍組件互聯（PCI)總線和對應的橋、小型計算機系統接口 (SCSI) /電子集成驅動器（IDE)元件等的形式適合耦合到處理器21a_e和其它組件。圖1 和4的網絡元件和主機（例如，主機20 (1) - (n)，網絡安全設備30、聲譽服務器40、郵件網關 &服務器60)可包括促進其操作的任意附加的適合的硬件、軟件、組件、模塊、接口或對象。 這可包括允許數據的有效保護和通信的適當算法和通信協議。另外，任意適合的操作系統 還可在網絡元件和主機中配置以適當管理其中硬件組件的操作。
[0073]注意到，用本文提供的許多示例，可關于兩個、三個、四個或更多網絡元件和主機 來描述交互。但是，僅為了清晰和示例的目的已完成了本文。應理解，系統能夠以任意適合 的形式被合并。隨著類似的設計備選，任意所示出的圖的計算機、模塊、組件和元件可以以 各種可能的配置被組合，其全部清晰地在本說明書的廣義范圍內。在某些情形中，（例如， 如圖4中）它可僅通過參考有限數量的網絡元件和主機來更易于描述已知流程組的一個或 多個功能性。應理解，如圖中所示，用于確定和使用用戶和主機的本地聲譽來保護網絡信息 的系統及其教導易于可擴展，并且能夠適應大量的組件，以及更復雜/更精密的布置和配 置。因此，所提供的示例隨著潛在被應用到千變萬化的其它架構，不應限定范圍或禁止系統 的廣義教導。
[0074]還重要的是注意到，參考前面的圖所述的操作和步驟僅示出可由系統或在系統內 執行的一些可能的情境。這些操作的一些可在適當時被刪除或被移除，或者這些步驟可在 不偏離所討論的概念的范圍內被顯著地修改或改變。另外，這些操作的時機可顯著地被變 更，并且仍然實現本公開所教導的結果。為了示例和討論的目的提供了前面的操作流程。由 系統提供基本靈活性，在該系統中可不偏離所討論的概念的教導提供任意適合的布置、時 序、配置和定時機制。
[0075]對于本領域的技術人員可分清許多其它變化、替代、變更、備選和修改，并且意圖 本公開包含所有這些變化、替代、變更、備選和修改作為落到所附權利要求的范圍內。
【權利要求】
1. 至少一個機器可讀媒體，具有存儲在其上的指令，所述指令當由處理器執行時，使所 述處理器： 關聯來自專用網絡的第一組事件數據； 基于所述第一組事件數據的關聯來確定所述專用網絡中的主機的本地聲譽分數；并且 將所述主機的本地聲譽分數提供給安全節點， 其中，所述安全節點配置成基于所述主機的本地聲譽分數將策略應用到與所述主機相 關的網絡通信。
2. 如權利要求1所述的媒體，其中，將所述主機的本地聲譽分數映射到所述主機的網 絡地址。
3.如權利要求2所述的媒體，其中，所述第一組事件數據包括在所述專用網絡中相應 表示一個或多個事件的一個或多個事件指示符，其中，所述一個或多個事件的每個與所述 主機的網絡地址相關。
4.如權利要求2所述的媒體，其中，所述主機的網絡地址是所述網絡通信的源地址和 目標地址之一。
5.如權利要求1所述的媒體，其中，所述指令當由所述處理器執行時，還使所述處理 器： 基于來自所述專用網絡的第二組事件數據的關聯來確定用戶的本地聲譽分數；并且 如果所述網絡通信與所述用戶相關，則將所述用戶的本地聲譽分數提供給所述安全節 點。
6.如權利要求5所述的媒體，其中，當基于所述主機的本地聲譽分數的策略比基于所 述用戶的本地聲譽分數的不同策略更多限制時，將基于所述主機的本地聲譽分數的策略應 用到所述網絡通信。
7.如權利要求5所述的媒體，其中，將所述用戶的本地聲譽分數映射到所述用戶的用 戶標識符。
8.如權利要求7所述的媒體，其中，所述第二組事件數據包括在所述專用網絡中相應 表示一個或多個事件的一個或多個事件指示符，其中，所述一個或多個事件的每個與所述 用戶標識符相關。
9.如權利要求1所述的媒體，其中，所述專用網絡包括具有一個或多個遠程網絡的內 聯網。
10. 如權利要求1所述的媒體，其中，從接收自所述專用網絡中的至少一個事件檢測節 點的一個或多個事件通知來選擇所述第一組事件數據的至少一部分。
11. 如權利要求1所述的媒體，其中，從所述專用網絡中的事件數據儲存庫提取所述第 一組事件數據的至少一部分，其中，一個或多個事件檢測節點配置成將所述第一組事件數 據存儲在所述事件數據儲存庫中。
12. 如權利要求1所述的媒體，其中，所述安全節點是網絡安全設備和主機之一。
13. -種方法，包括： 關聯來自專用網絡的第一組事件數據； 基于所述關聯所述第一組事件數據來確定所述專用網絡中的主機的本地聲譽分數；以 及 將所述主機的本地聲譽分數提供給安全節點， 其中，所述安全節點基于所述主機的本地聲譽分數將策略應用到與所述主機相關的網 絡通信。
14. 如權利要求13所述的方法，其中，將所述主機的本地聲譽分數映射到所述主機的 網絡地址。
15. 如權利要求14所述的方法，其中，所述第一組事件數據包括在所述專用網絡中相 應表示一個或多個事件的一個或多個事件指示符，其中，所述一個或多個事件的每個與所 述主機的網絡地址相關。
16. 如權利要求14所述的方法，其中，所述主機的網絡地址是所述網絡通信的源地址 和目標地址之一。
17. 如權利要求13所述的方法，還包括： 基于關聯來自所述專用網絡的第二組事件數據來確定用戶的本地聲譽分數；以及 如果所述網絡通信與所述用戶相關，則將所述用戶的本地聲譽分數提供給所述安全節 點。
18. 如權利要求17所述的方法，其中，當基于所述主機的本地聲譽分數的策略比基于 所述用戶的本地聲譽分數的不同策略更多限制時，將基于所述主機的本地聲譽分數的策略 應用到所述網絡通信。
19. 如權利要求17所述的方法，其中，將所述用戶的本地聲譽分數映射到所述用戶的 用戶標識符。
20. 如權利要求19所述的方法，其中，所述第二組事件數據包括在所述專用網絡中相 應表示一個或多個事件的一個或多個事件指示符，其中，所述一個或多個事件的每個與所 述用戶標識符相關。
21. 如權利要求13所述的方法，其中，所述專用網絡包括具有一個或多個遠程網絡的 內聯網。
22. 如權利要求13所述的方法，其中，從接收自所述專用網絡中的至少一個事件檢測 節點的一個或多個事件通知來選擇所述第一組事件數據的至少一部分。
23. 如權利要求13所述的方法，其中，從所述專用網絡中的事件數據儲存庫提取所述 第一組事件數據的至少一部分，其中，一個或多個事件檢測節點將所述第一組事件數據存 儲在所述事件數據儲存庫中。
24. 如權利要求13所述的方法，其中，所述安全節點是網絡安全設備和主機之一。
25. -種方法，包括： 關聯來自專用網絡的第一組事件數據； 基于所述關聯所述第一組事件數據來確定所述專用網絡的用戶的本地聲譽分數；以及 將所述用戶的本地聲譽分數提供給安全節點， 其中，所述安全節點基于所述用戶的本地聲譽分數將策略應用到與所述用戶相關的網 絡通信。
26. 如權利要求25所述的方法，其中，將所述用戶的本地聲譽分數映射到所述用戶的 用戶標識符。
27. 如權利要求26所述的方法，其中，所述第一組事件數據包括在所述專用網絡中相 應表示一個或多個事件的一個或多個事件指示符，其中，所述一個或多個事件的每個與所 述用戶的用戶標識符相關。
28. 如權利要求25所述的方法，其中，所述專用網絡中的主機上的處理發起了所述網 絡通信，并且其中，所述處理的處理擁有者與所述用戶的用戶標識符對應。
29. 如權利要求25所述的方法，還包括： 基于關聯來自所述專用網絡的第二組事件數據來確定所述專用網絡中的主機的本地 聲譽分數；以及 如果所述網絡通信與所述主機相關，則將所述主機的本地聲譽分數提供給所述安全節 點， 其中，將所述主機的本地聲譽分數映射到所述主機的網絡地址。
30. -種裝置，包括： 存儲器元件，配置成存儲數據； 處理器，可操作以執行與所述數據相關的指令；以及 風險關聯模塊，配置成與所述存儲器元件和所述處理器接口以： 關聯來自專用網絡的第一組事件數據； 基于所述關聯所述第一組事件數據來確定所述專用網絡中的主機的本地聲譽分數；并 且 將所述主機的本地聲譽分數提供給安全節點， 其中，所述安全節點配置成基于所述主機的本地聲譽分數將策略應用到與所述主機相 關的網絡通信。
31. 如權利要求30所述的裝置，其中，將所述主機的本地聲譽分數映射到所述主機的 網絡地址。
32. 如權利要求30所述的裝置，其中，所述裝置還配置成： 基于關聯來自所述專用網絡的第二組事件數據來確定用戶的本地聲譽分數；并且 如果所述網絡通信與所述用戶相關，則將所述用戶的本地聲譽分數提供給所述網絡安 全節點。
33. 一種方法，包括： 關聯來自專用網絡的第一組事件數據； 基于所述關聯所述第一組事件數據來確定所述專用網絡中的主機的本地聲譽分數；以 及 將所述主機的本地聲譽分數提供給所述主機， 其中，基于所述主機的本地聲譽分數來選擇策略，并且其中，將所述策略應用到由所述 主機檢測的處理。
34. 如權利要求33所述的方法，其中，所述處理包括將文件復制到連接到所述主機的 離線媒體。
35. 如權利要求33所述的方法，還包括： 基于關聯第二組事件數據來確定用戶的本地聲譽分數；以及 如果所述用戶是所述處理的處理擁有者，則將所述用戶的本地聲譽分數提供給所述主 機。
36. 如權利要求35所述的方法，其中，當基于所述主機的本地聲譽分數的策略比基于 所述用戶的本地聲譽分數的不同策略更多限制時，將基于所述主機的本地聲譽分數的策略 應用到所述處理。
37. 至少一個機器可讀媒體，包括指令，所述指令當被執行時，實現如權利要求25-29 中任一項所要求的方法。
38. 至少一個機器可讀媒體，包括指令，所述指令當被執行時，實現如權利要求33-36 中任一項所要求的方法。
【文檔編號】H04L12/22GK104380657SQ201380017286
【公開日】2015年2月25日 申請日期:2013年4月10日 優先權日:2012年4月10日
【發明者】G·庫珀, D·F·迪伊爾, M·W·格林, R·馬 申請人:邁可菲公司