網(wǎng)絡(luò)保護(hù)的制作方法
【專利摘要】用于網(wǎng)絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)��,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工具,所述安全系統(tǒng)包括一個(gè)或多個(gè)安全設(shè)備���,其中所述一個(gè)或多個(gè)安全設(shè)備中的每個(gè)安全設(shè)備與多個(gè)網(wǎng)絡(luò)安全工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)安全工具相關(guān)聯(lián)�����,并且其中每個(gè)安全設(shè)備包括:網(wǎng)絡(luò)接口�����,其包括一個(gè)或多個(gè)端口��,其中一個(gè)或多個(gè)網(wǎng)絡(luò)安全工具中的與安全設(shè)備相關(guān)聯(lián)的每個(gè)網(wǎng)絡(luò)安全工具經(jīng)由端口中的不同端口與安全設(shè)備可操作地耦合�����;至少一個(gè)處理器��,其被配置為:在所述安全設(shè)備初始設(shè)置時(shí)�,創(chuàng)建網(wǎng)絡(luò)的活動的基準(zhǔn)配置文件�,以及在保護(hù)模式啟動之后,通過檢測通過端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配置文件的偏離來識別非常規(guī)事件���。
【專利說明】網(wǎng)絡(luò)保護(hù) 技術(shù)領(lǐng)域 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���。 【背景技術(shù)】 存在許多由于機(jī)構(gòu)使用數(shù)量漸增的物理安全元件而帶來的新的危險(xiǎn)。監(jiān)視攝像機(jī)����、訪 問控制系統(tǒng)、傳感器和控制器都使用TCP/IP(傳輸控制協(xié)議/因特網(wǎng)協(xié)議)和聯(lián)網(wǎng)技術(shù)來連 接�����,并且依賴于置于站點(diǎn)和現(xiàn)場的不安全的通信網(wǎng)絡(luò)�����。這些不安全網(wǎng)絡(luò)的使用使得站點(diǎn)暴 露于網(wǎng)絡(luò)與物理組合攻擊��。 網(wǎng)絡(luò)安全是一種對應(yīng)任何組織的明顯的威脅���。既提供安全性又提供連接在諸如本國安 全�、安全城市�����、公共設(shè)施���、工業(yè)���、運(yùn)輸?shù)仍S多企業(yè)和組織的計(jì)算與聯(lián)網(wǎng)領(lǐng)域產(chǎn)生了沖突的情 況����。典型的網(wǎng)絡(luò)體系結(jié)構(gòu)包括通過網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)連接的多個(gè)網(wǎng)絡(luò)工具構(gòu)成���,為用戶和組織 提供大量的服務(wù)��。具備可靠且一致的網(wǎng)絡(luò)是世界范圍內(nèi)任何組織的首要事項(xiàng)�����。 Demopoulos等人的美國專利申請公開No. 20050193429公開了一種集成數(shù)據(jù)業(yè)務(wù)監(jiān)控 系統(tǒng)����,其監(jiān)控從通信網(wǎng)絡(luò)接收且以受保護(hù)網(wǎng)絡(luò)為目的地的數(shù)據(jù)業(yè)務(wù)��。監(jiān)控系統(tǒng)包括安全工 具以及一種或多種安全與監(jiān)控技術(shù)����,諸如硬件和開源以及專用軟件產(chǎn)品。安全工具和安全 與監(jiān)控技術(shù)可以實(shí)現(xiàn)為單獨(dú)的且不同的模塊����,或者組合成單個(gè)安全工具�。安全與監(jiān)控技術(shù) 監(jiān)控受保護(hù)網(wǎng)絡(luò)上或者引導(dǎo)至受保護(hù)網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)���。監(jiān)控系統(tǒng)將來自各種技術(shù)的數(shù) 據(jù)收集到事件數(shù)據(jù)庫中,并且基于該數(shù)據(jù)����,自動地生成指導(dǎo)一種或多種技術(shù)來防止來自特 定源的后續(xù)通信業(yè)務(wù)進(jìn)入受保護(hù)網(wǎng)絡(luò)的規(guī)則。 Sheleheda等人的美國專利申請公開No. 2013127618公開了一種用于提供通信網(wǎng)絡(luò)中 的網(wǎng)絡(luò)安全監(jiān)控的方法�、非暫態(tài)計(jì)算機(jī)可讀介質(zhì)以及裝置。例如����,該方法可以從作為傳感器 網(wǎng)絡(luò)的構(gòu)件的傳感器接收與傳感器網(wǎng)絡(luò)相關(guān)聯(lián)的通信業(yè)務(wù),分析通信業(yè)務(wù)以判定在傳感器 網(wǎng)絡(luò)上是否發(fā)生攻擊�����,并且如果在傳感器網(wǎng)絡(luò)上發(fā)生攻擊則生成警報(bào)�����。 Atsou的日本專利申請公開No . 2004086880公開了一種用于檢測相應(yīng)連接點(diǎn)處的非法 訪問并且通知警告信息的系統(tǒng)�,用于存儲所通知的警告信息的部件��、用于從每個(gè)連接點(diǎn)處 的通信內(nèi)容中提取網(wǎng)絡(luò)的訪問狀態(tài)的監(jiān)控器��,以及用于存儲所提取的訪問狀態(tài)的部件�����。另 外�����,該系統(tǒng)包括設(shè)在每個(gè)連接點(diǎn)處且執(zhí)行訪問控制的門節(jié)點(diǎn)����、基于存儲的訪問狀態(tài)和警告 信息來分析并通知檢測到的非法訪問的入侵路徑的系統(tǒng)�、基于分析的入侵路徑和警告信息 在門節(jié)點(diǎn)處生成訪問控制規(guī)則的部件,以及將其分布到門節(jié)點(diǎn)的部件���。 Seiji等人的日本專利申請公開No.206244141公開了一種具有通過檢查網(wǎng)絡(luò)上的數(shù)據(jù) 包來監(jiān)控對網(wǎng)絡(luò)的非授權(quán)訪問以及當(dāng)檢測到非授權(quán)訪問時(shí)生成非授權(quán)訪問信息的多個(gè)傳 感器以及用于統(tǒng)一管理多個(gè)傳感器并且基于非授權(quán)訪問信息來監(jiān)控對網(wǎng)絡(luò)的非授權(quán)訪問 的管理設(shè)備的系統(tǒng)���。管理設(shè)備設(shè)有存儲部,在存儲部中存儲有根據(jù)多個(gè)傳感器的屬性分組 的管理表�,并且該管理設(shè)備基于管理表來統(tǒng)一地將用于監(jiān)控非授權(quán)訪問所需的簽名信息發(fā) 送到屬于同一組的傳感器,并且多個(gè)傳感器基于簽名信息來監(jiān)控非授權(quán)訪問���。 前面的現(xiàn)有技術(shù)的實(shí)施例和與其有關(guān)的局限性旨在例示而不排他��。對于本領(lǐng)域技術(shù)人 員而言�,在閱讀了說明書以及研究了附圖之后,現(xiàn)有技術(shù)的其他局限性將是顯而易見的�����。 發(fā)明概述 下面的實(shí)施方案及其方面與意在示范和例示而非限制范圍的系統(tǒng)�、工具和方法相結(jié)合 進(jìn)行描述和圖示說明���。 根據(jù)實(shí)施方案��,提供了一種用于網(wǎng)絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)�,該網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工具�����,該安 全系統(tǒng)包括一個(gè)或多個(gè)安全設(shè)備�����,其中一個(gè)或多個(gè)安全設(shè)備中的每個(gè)安全設(shè)備與多個(gè)網(wǎng)絡(luò) 安全工具的一個(gè)或多個(gè)網(wǎng)絡(luò)安全工具相關(guān)聯(lián)�,并且其中每個(gè)安全設(shè)備包括:包括一個(gè)或多 個(gè)端口的網(wǎng)絡(luò)接口�����,其中與安全設(shè)備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)安全工具中的每個(gè)網(wǎng)絡(luò)安全 工具經(jīng)由端口中的不同端口與安全設(shè)備可操作地耦合;至少一個(gè)硬件處理器��,其被配置為: 在初始設(shè)置所述安全設(shè)備時(shí)�,創(chuàng)建網(wǎng)絡(luò)活動的基準(zhǔn)配置文件�,并且在保護(hù)模式啟動之后,通 過檢測通過所述端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配置文件的偏差來識別非常規(guī)事件��。 根據(jù)另一實(shí)施方案���,提供了一種用于保護(hù)網(wǎng)絡(luò)的安全設(shè)備����,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工 具�,所述安全設(shè)備包括:包括一個(gè)或多個(gè)的端口的網(wǎng)絡(luò)接口,其中多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或 多個(gè)網(wǎng)絡(luò)工具中的每一個(gè)經(jīng)由端口中的不同端口與安全設(shè)備可操作地耦合;至少一個(gè)硬件 處理器����,其被配置為:在所述安全設(shè)備初始設(shè)置時(shí),創(chuàng)建網(wǎng)絡(luò)的活動的基準(zhǔn)配置文件�����,以及 在保護(hù)模式啟動之后,通過檢測通過端口中的一個(gè)的端口的網(wǎng)絡(luò)的業(yè)務(wù)與所述基準(zhǔn)配置文 件的偏差來識別非常規(guī)事件��。 根據(jù)進(jìn)一步的實(shí)施方案�,提供了一種用于保護(hù)網(wǎng)絡(luò)的方法,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工 具����,其中所述多個(gè)網(wǎng)絡(luò)工具中的每個(gè)與多個(gè)端口中的不同端口可操作地耦合,所述方法包 括使用至少一個(gè)硬件處理器:初始地創(chuàng)建網(wǎng)絡(luò)活動的基準(zhǔn)配置文件���;以及在保護(hù)模式啟動 之后��,通過檢測通過所述多個(gè)端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配置文件的偏離來識別 非常規(guī)事件����。 根據(jù)又一實(shí)施方案��,一種用于保護(hù)網(wǎng)絡(luò)的計(jì)算機(jī)程序產(chǎn)品�����,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工 具�,其中所述多個(gè)網(wǎng)絡(luò)工具中的每一個(gè)與多個(gè)端口中的不同的端口可操作地耦合,所述計(jì) 算機(jī)程序產(chǎn)品包括具有與其一起實(shí)施的程序代碼的非暫態(tài)計(jì)算機(jī)可讀存儲介質(zhì)�����,所述程序 代碼能由至少一個(gè)硬件處理器來執(zhí)行以便:在初始模式下�,創(chuàng)建網(wǎng)絡(luò)的活動的基準(zhǔn)配置文 件;以及在保護(hù)模式啟動之后���,通過檢測通過所述多個(gè)端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基 準(zhǔn)配置文件的偏離來識別非常規(guī)事件�。 在一些實(shí)施方案中���,在識別出非常規(guī)事件時(shí)���,所述至少一個(gè)硬件處理器進(jìn)一步配置為 采取至少一個(gè)措施來保護(hù)網(wǎng)絡(luò)。 在一些實(shí)施方案中����,至少一個(gè)措施從由如下構(gòu)成的組中選出:生成事件日志,發(fā)出警 告��,禁用端口��,注銷所述非常規(guī)事件�����,執(zhí)行反攻,阻止來自所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多 個(gè)網(wǎng)絡(luò)工具或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信����,以及發(fā)送關(guān)于所述 非常規(guī)事件的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析。 在一些實(shí)施方案中�,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合,所述基準(zhǔn)配置文件包括光纖的長度��,并且所述端口包括裝備有光學(xué)時(shí)域反射計(jì)(OTDR) 的小形狀因數(shù)可插入收發(fā)器(SFP)�,其中所述SFP用于監(jiān)控所述光纖的反射率,并且其中所 述反射率表示所述光纖的長度���。 在一些實(shí)施方案中����,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合���,所述基準(zhǔn)配置文件包括光纖的衰減率,并且所述端口包括裝備有OTDR的SFP�,其中SFP被 查詢從光纖接收到的功率,并且其中從光纖接收到的功率的變化指示光纖衰減率的變化���。 在一些實(shí)施方案中�,端口包括至少一個(gè)電端口,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具 通過電纜與電端口耦合�����,所述基準(zhǔn)配置文件包括電纜的長度和狀態(tài)����,并且硬件處理器被進(jìn) 一步配置為監(jiān)控電端口以得到電纜的長度和狀態(tài)。 在一些實(shí)施方案中�����,端口包括具有電源支持的一個(gè)或多個(gè)的端口���,多個(gè)網(wǎng)絡(luò)工具的網(wǎng) 絡(luò)工具與具有電源支持的一個(gè)或多個(gè)端口中的具有電源支持的端口耦合���,其中具有電源支 持的端口向網(wǎng)絡(luò)工具供電,基準(zhǔn)配置文件包括網(wǎng)絡(luò)工具的功率使用���,并且硬件處理器被進(jìn) 一步配置為監(jiān)控具有電源支持的端口以得到網(wǎng)絡(luò)工具的功率使用�。 在一些實(shí)施方案中����,一個(gè)或多個(gè)安全設(shè)備中的安全設(shè)備進(jìn)一步包括網(wǎng)絡(luò)端口�,該網(wǎng)絡(luò) 端口被配置為將與安全設(shè)備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合�����,所述基準(zhǔn)配置文件 包括多個(gè)網(wǎng)絡(luò)工具的特性����,并且硬件處理器被進(jìn)一步配置為:(i)從安全設(shè)備的端口中選定 一個(gè)或多個(gè)端口,以及(ii)監(jiān)控通過選定的一個(gè)或多個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)以得到由與選定的 一個(gè)或多個(gè)端口耦合的一個(gè)或多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具生成的指示網(wǎng)絡(luò)工具特性的入 站業(yè)務(wù)�����。 在一些實(shí)施方案中�����,硬件處理器被進(jìn)一步配置為獲取通過選定的一個(gè)或多個(gè)端口中的 每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的一部分,其中在選定的一個(gè)或多個(gè)端口中的每個(gè)端口中的監(jiān)控針對 所獲取的業(yè)務(wù)部分來執(zhí)行。 在一些實(shí)施方案中���,一個(gè)或多個(gè)安全設(shè)備中的安全設(shè)備進(jìn)一步包括網(wǎng)絡(luò)端口,該網(wǎng)絡(luò) 端口被配置為將與安全設(shè)備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合,基準(zhǔn)配置文件包括 容許網(wǎng)絡(luò)流列表����,并且硬件處理器被進(jìn)一步配置為:(i)從端口中選擇一個(gè)或多個(gè)端口��,以 及(ii)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定端口耦合的網(wǎng)絡(luò)工具所生成的入 站和出站業(yè)務(wù)中的網(wǎng)絡(luò)流��。 在一些實(shí)施方案中����,硬件處理器被進(jìn)一步配置為獲取通過選定的一個(gè)或多個(gè)端口中的 每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的一部分,其中在選定的一個(gè)或多個(gè)端口中的每個(gè)端口中的監(jiān)控是針 對所獲取的業(yè)務(wù)的部分來來執(zhí)行的��。 在一些實(shí)施方案中����,一個(gè)或多個(gè)安全設(shè)備的至少一個(gè)安全設(shè)備進(jìn)一步包括按鈕,該按 鈕被配置為控制至少一個(gè)安全設(shè)備的遠(yuǎn)程管理和配置��。 在一些實(shí)施方案中�,網(wǎng)絡(luò)安全系統(tǒng)進(jìn)一步包括第一安全設(shè)備和第二安全設(shè)備,該第一 安全設(shè)備和第二安全設(shè)備在光纖的兩相對側(cè)與光纖耦合���,并且其中:第一安全設(shè)備被指定 為主設(shè)備并且執(zhí)行網(wǎng)絡(luò)上的策略實(shí)施�����,第二安全設(shè)備被指定為從設(shè)備并且被配置為:執(zhí)行 網(wǎng)絡(luò)業(yè)務(wù)的測量以及將測量轉(zhuǎn)送到第一安全設(shè)備��。 在一些實(shí)施方案中�,在識別出非常規(guī)事件時(shí),所述至少一個(gè)硬件處理器被進(jìn)一步配置 為采取至少一種措施來保護(hù)網(wǎng)絡(luò)����。 在一些實(shí)施方案中,措施從由如下構(gòu)成的組中選出:生成事件日志����,發(fā)出警告,禁用端 口���,注銷所述非常規(guī)事件���,執(zhí)行反攻,阻止來自所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具 或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信�,以及發(fā)送關(guān)于所述非常規(guī)事件 的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析。 在一些實(shí)施方案中��,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合���,并且基準(zhǔn)配置文件包括光纖的長度�,并且其中端口包括裝備有光學(xué)時(shí)域反射計(jì)(OTDR) 的SFP���,其中所述SFP用于監(jiān)控光纖以得到反射率�,并且其中反射率表示光纖的長度�。 在一些實(shí)施方案中,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合���,并且基準(zhǔn)配置文件包括光纖的衰減率�����,并且其中端口包括裝備有0TDR的SFP��,其中SFP被 查詢以得到從光纖接收到的功率���,并且其中從光纖接收到的功率的變化指示光纖衰減率的 變化。 在一些實(shí)施方案中�,端口包括至少一個(gè)電端口,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具 通過電纜與電端口耦合���,基準(zhǔn)配置文件包括電纜的長度和狀態(tài)���,并且硬件處理器被進(jìn)一步 配置為監(jiān)控電端口以得到電纜的長度和狀態(tài)。 在一些實(shí)施方案中��,端口包括具有電源支持的一個(gè)或多個(gè)端口;多個(gè)網(wǎng)絡(luò)工具中的網(wǎng) 絡(luò)工具與具有電源支持的一個(gè)或多個(gè)端口中的具有電源支持的端口耦合��,具有電源支持的 端口向網(wǎng)絡(luò)工具供電��,基準(zhǔn)配置文件包括網(wǎng)絡(luò)工具的功率使用���,并且硬件處理器被進(jìn)一步 配置為監(jiān)控具有電源支持的端口以得到網(wǎng)絡(luò)工具的功率使用����。 在一些實(shí)施方案中�����,安全設(shè)備進(jìn)一步包括網(wǎng)絡(luò)端口����,該網(wǎng)絡(luò)端口被配置為將與安全設(shè) 備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合,其中:基準(zhǔn)配置文件包括多個(gè)網(wǎng)絡(luò)工具的特 性�����,并且硬件處理器被進(jìn)一步配置為:(i)從端口中選定一個(gè)或多個(gè)端口���,以及(ii)監(jiān)控通 過選定的一個(gè)或多個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)以得到由與選定的一個(gè)或多個(gè)端口中耦合的多個(gè)網(wǎng) 絡(luò)工具中的網(wǎng)絡(luò)工具生成的指示網(wǎng)絡(luò)工具特性的入站業(yè)務(wù)����。 在一些實(shí)施方案中,硬件處理器被進(jìn)一步配置為獲取通過選定的一個(gè)或多個(gè)端口中的 每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分�����,其中通過選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的 監(jiān)控是針對獲取的業(yè)務(wù)部分來執(zhí)行的����。 在一些實(shí)施方案中��,安全設(shè)備進(jìn)一步包括網(wǎng)絡(luò)端口�����,該網(wǎng)絡(luò)端口被配置為將與安全設(shè) 備相關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合����,其中:基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表,并且硬件 處理器被進(jìn)一步配置為:(i)從端口中選擇一個(gè)或多個(gè)端口���,以及(ii)監(jiān)控每個(gè)選定的一個(gè) 或多個(gè)端口以得到由與選定端口耦合的多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具生成的入站和出站業(yè) 務(wù)中的網(wǎng)絡(luò)流����。 在一些實(shí)施方案中,硬件處理器被進(jìn)一步配置為獲取通過選定的一個(gè)或多個(gè)端口中的 每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分���,其中通過選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的 監(jiān)控是針對所獲取的業(yè)務(wù)部分來執(zhí)行的�����。 在一些實(shí)施方案中�,安全設(shè)備進(jìn)一步包括按鈕��,該按鈕被配置為控制安全設(shè)備的遠(yuǎn)程 管理和配置����。 在一些實(shí)施方案中,該方法進(jìn)一步包括:在識別出非常規(guī)事件時(shí)�����,使用至少一個(gè)硬件處 理器來采取至少一種措施來保護(hù)網(wǎng)絡(luò)��。 在一些實(shí)施方案中��,措施從由如下構(gòu)成的組中選出:生成事件日志�,發(fā)出警告�����,禁用端 口�����,注銷所述非常規(guī)事件�,執(zhí)行反攻��,阻止來自所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具 或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信�,以及發(fā)送關(guān)于所述非常規(guī)事件 的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析。 在一些實(shí)施方案中��,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合�,基準(zhǔn)配置文件包括光纖的長度���,端口進(jìn)一步包括裝備有光學(xué)時(shí)域反射計(jì)(0TDR)的SFP���, 并且其中該方法進(jìn)一步包括使用至少一個(gè)硬件處理器來使用SPF監(jiān)控光纖以得到反射率, 并且其中反射率表示光纖的長度�����。 在一些實(shí)施方案中,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合����,基準(zhǔn)配置文件包括光纖的衰減率,并且端口進(jìn)一步包括裝備有OTDR的SFP�����,并且其中該 方法進(jìn)一步包括使用至少一個(gè)硬件處理器來查詢SPF以得到從光纖接收到的功率�����,并且其 中從光纖接收到的功率的變化指示光纖衰減率的變化���。 在一些實(shí)施方案中��,端口包括至少一個(gè)電端口�����,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具 通過電纜與電端口耦合�����,基準(zhǔn)配置文件包括電纜的長度和狀態(tài)���,并且其中該方法進(jìn)一步包 括使用所述至少一個(gè)硬件處理器來監(jiān)控電端口以得到電纜的長度和狀態(tài)�。 在一些實(shí)施方案中�,端口包括具有電源支持的一個(gè)或多個(gè)端口;多個(gè)網(wǎng)絡(luò)工具中的網(wǎng) 絡(luò)工具與具有電源支持的一個(gè)或多個(gè)端口中的具有電源支持的端口耦合����,其中具有電源支 持的端口向網(wǎng)絡(luò)工具供電,并且基準(zhǔn)配置文件包括網(wǎng)絡(luò)工具的功率使用��,并且其中該方法 進(jìn)一步包括使用所述至少一個(gè)硬件處理器來監(jiān)控具有電源支持的端口以得到網(wǎng)絡(luò)工具的 功率使用�����。 在一些實(shí)施方案中�,端口包括被配置為將多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合的網(wǎng)絡(luò)端口,并且 基準(zhǔn)配置文件包括多個(gè)網(wǎng)絡(luò)工具的特性���,并且其中該方法進(jìn)一步包括使用是至少一個(gè)硬件 處理器:(i)從端口中選定一個(gè)或多個(gè)端口,以及(ii)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得 到由與選定的一個(gè)或多個(gè)端口耦合的多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的指示 一個(gè)或多個(gè)網(wǎng)絡(luò)工具的特性的入站業(yè)務(wù)����。 在一些實(shí)施方案中,該方法進(jìn)一步包括使用所述至少一個(gè)硬件處理器來獲取通過選定 的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分����,其中由一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入 站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)部分來執(zhí)行的�。 在一些實(shí)施方案中��,端口包括被配置為將多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合的網(wǎng)絡(luò)端口�,并且 基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表,并且其中該方法進(jìn)一步包括使用所述至少一個(gè)硬件處 理器:(i)從端口中選定一個(gè)或多個(gè)端口���,以及(ii)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到 由與選定的一個(gè)或多個(gè)端口耦合的多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入站和 出站業(yè)務(wù)中的網(wǎng)絡(luò)流�。 在一些實(shí)施方案中���,該方法進(jìn)一步包括使用所述至少一個(gè)硬件處理器來獲取通過選定 的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分���,其中由一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入 站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)部分來執(zhí)行的。 在一些實(shí)施方案中�,該方法進(jìn)一步包括使用所述至少一個(gè)硬件處理器來控制端口的遠(yuǎn) 程管理和配置。 在一些實(shí)施方案中�����,程序代碼進(jìn)一步能由至少一個(gè)硬件處理器執(zhí)行以便在識別出非常 規(guī)事件時(shí)采取至少一種措施來保護(hù)網(wǎng)絡(luò)���。 在一些實(shí)施方案中�����,措施從由如下構(gòu)成的組中選出:生成事件日志��,發(fā)出警告�,禁用端 口,注銷所述非常規(guī)事件�,執(zhí)行反攻,阻止來自所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具 或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信��,以及發(fā)送關(guān)于所述非常規(guī)事件 的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析��。 在一些實(shí)施方案中�,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合,基準(zhǔn)配置文件包括光纖的長度���,并且端口進(jìn)一步包括裝備有OTDR的SFP����,并且其中程序 代碼進(jìn)一步能由至少一個(gè)硬件處理器來執(zhí)行以便使用SFP來監(jiān)控光纖以得到反射率���,并且 其中反射率表示光纖的長度。 在一些實(shí)施方案中���,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與端口中的端口耦 合���,基準(zhǔn)配置文件包括光纖的衰減率�,并且端口進(jìn)一步包括裝備有0TDR的SFP����,并且其中程 序代碼進(jìn)一步能由至少一個(gè)硬件處理器執(zhí)行以查詢SFP得到從光纖接收到的功率,并且其 中從光纖接收到的功率的變化指示光纖衰減率的變化�。 在一些實(shí)施方案中,端口包括至少一個(gè)電端口��,多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具 通過電纜與電端口耦合��,基準(zhǔn)配置文件包括電纜的長度和狀態(tài)��,并且其中程序代碼進(jìn)一步 能由至少一個(gè)硬件處理器執(zhí)行以監(jiān)控電端口而得到電纜的長度和狀態(tài)�����。 在一些實(shí)施方案中����,端口包括具有電源支持的一個(gè)或多個(gè)端口,多個(gè)網(wǎng)絡(luò)工具中的網(wǎng) 絡(luò)工具與具有電源支持的一個(gè)或多個(gè)端口中的具有電源支持的端口耦合����,其中具有電源支 持的端口向網(wǎng)絡(luò)工具供電�����,并且基準(zhǔn)配置文件包括網(wǎng)絡(luò)工具的功率使用��,并且其中程序模 塊進(jìn)一步能由至少一個(gè)硬件處理器執(zhí)行來監(jiān)控具有電源支持的端口以得到網(wǎng)絡(luò)工具的功 率使用�����。 在一些實(shí)施方案中��,端口包括被配置為將多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合的網(wǎng)絡(luò)端口���,并且 基準(zhǔn)配置文件包括多個(gè)網(wǎng)絡(luò)工具的特性,并且其中程序代碼進(jìn)一步能由至少一個(gè)硬件處理 器執(zhí)行以便:(i)從端口中選定一個(gè)或多個(gè)端口�,以及(ii)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口 以得到由與選定的一個(gè)或多個(gè)端口耦合的多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的 指示一個(gè)或多個(gè)網(wǎng)絡(luò)工具的特性的入站業(yè)務(wù)。 在一些實(shí)施方案中���,程序代碼能進(jìn)一步由至少一個(gè)硬件處理器執(zhí)行以便:獲取通過選 定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分�,其中由一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的 入站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分執(zhí)行的����。 在一些實(shí)施方案中,端口包括被配置為將多個(gè)網(wǎng)絡(luò)工具與網(wǎng)絡(luò)耦合的網(wǎng)絡(luò)端口�,并且 基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表,并且其中程序代碼能夠進(jìn)一步由至少一個(gè)硬件處理器 執(zhí)行以便:(i)從端口中選擇一個(gè)或多個(gè)端口���,以及(ii)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以 得到由與選定的一個(gè)或多個(gè)端口耦合的多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入 站和出站業(yè)務(wù)中的網(wǎng)絡(luò)流����。 在一些實(shí)施方案中�����,程序代碼進(jìn)一步能夠由至少一個(gè)硬件處理器執(zhí)行以便:獲取通過 選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分�,其中由一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成 的入站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)部分來執(zhí)行的。 在一些實(shí)施方案中�,程序代碼進(jìn)一步能夠由至少一個(gè)硬件處理器來執(zhí)行以便控制端口 的遠(yuǎn)程管理和配置。 除了上述的示范性的方面和實(shí)施方案之外�����,通過參考附圖以及通過研究下面的發(fā)明詳 述��,進(jìn)一步的方面和實(shí)施方案將變得顯而易見����。 【附圖說明】 在參考的圖中圖示出了示例性的實(shí)施方案��。圖中所示的組件和特征的尺寸一般選擇為 方便和清晰呈現(xiàn)的目的����,不一定顯示為按標(biāo)度繪制�。下面列出了圖。 圖1示出了與示范性的網(wǎng)絡(luò)耦合的示范性的網(wǎng)絡(luò)安全系統(tǒng)��;以及 圖2示出了根據(jù)公開的技術(shù)的實(shí)施方案構(gòu)造和運(yùn)行的用于保護(hù)網(wǎng)絡(luò)的方法的流程圖�����。 發(fā)明詳述 公開的網(wǎng)絡(luò)保護(hù)可以通過檢驗(yàn)所檢測到的物理和網(wǎng)絡(luò)相關(guān)事件以及采取相應(yīng)措施來 提供物理和網(wǎng)絡(luò)域內(nèi)的集成保護(hù)���?���;谂渲玫囊唤M規(guī)則����,諸如生成事件、產(chǎn)生警告以及禁用 端口或其它網(wǎng)絡(luò)元件的措施可以被執(zhí)行�??梢圆扇∵@些措施來防止對網(wǎng)絡(luò)有非期望效果或 破壞以及防止網(wǎng)絡(luò)元件之間的非法通信企圖��。公開的網(wǎng)絡(luò)保護(hù)易于管理并且可以提供高度 靈活性�����,這可以允許例如進(jìn)行若干改動和/或明顯的網(wǎng)絡(luò)擴(kuò)展而不減低網(wǎng)絡(luò)保護(hù)����。因此����,在 這些情況下,網(wǎng)絡(luò)保護(hù)可以相應(yīng)地以簡單的����、容易地方式進(jìn)行改動和/或擴(kuò)展。 本文所使用的術(shù)語"網(wǎng)絡(luò)業(yè)務(wù)"和"網(wǎng)絡(luò)的業(yè)務(wù)"可以涉及到任何類型的經(jīng)由網(wǎng)絡(luò)接收��、 發(fā)送或傳遞的數(shù)據(jù)��,包括消息��、從網(wǎng)絡(luò)的光纖接收到的功率��、網(wǎng)絡(luò)工具的功率使用、網(wǎng)絡(luò)的 光學(xué)反射率和/或網(wǎng)絡(luò)流���。 術(shù)語"讀"和"測量"及其變化形式可以在下文中互換使用����。術(shù)語"異常"和"非常規(guī)"及其 變化形式可以在下文中互換使用��。術(shù)語"保護(hù)"和"安全"及其變化形式可以在下文中互換使 用���。 現(xiàn)在參考圖1�,該圖示出了與示范性的網(wǎng)絡(luò)170耦合的示范性的網(wǎng)絡(luò)安全系統(tǒng)100���。網(wǎng)絡(luò) 安全系統(tǒng)1〇〇(或僅稱為系統(tǒng)100)可以包括兩個(gè)安全設(shè)備120A和120B����。網(wǎng)絡(luò)安全系統(tǒng)100可 以與網(wǎng)絡(luò)170耦合���,以實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)170免于物理和網(wǎng)絡(luò)攻擊的目的����。網(wǎng)絡(luò)170可以包括網(wǎng)絡(luò) 工具 110A-110C���。 安全設(shè)備120A和120B可以相應(yīng)地包括網(wǎng)絡(luò)接口 130A和130B以及相應(yīng)地包括硬件處理 器140A和140B�����。安全設(shè)備120A和120B可以相應(yīng)地進(jìn)一步包括存儲設(shè)備150A和150B�����。網(wǎng)絡(luò)接 口 130A可以包括端口 160A和160B��。網(wǎng)絡(luò)接口 130B可以包括端口 160C和160D���。 網(wǎng)絡(luò)安全工具110-110C中的每一個(gè)可以與安全設(shè)備120A和120B中的一個(gè)可操作地耦 合。因此�����,網(wǎng)絡(luò)工具110A可以經(jīng)由端口 160A與安全設(shè)備120A可操作地耦合����;網(wǎng)絡(luò)工具110B可 以經(jīng)由端口 160B與安全設(shè)備120A可操作地耦合;以及網(wǎng)絡(luò)工具110C可以經(jīng)由端口 160C與安 全設(shè)備120B可操作地耦合����。硬件處理器140A和140B可被配置為對通過端口 160A��、160B和 160C的網(wǎng)絡(luò)170的業(yè)務(wù)進(jìn)行測量�。網(wǎng)絡(luò)接口 130A和130B以及存儲設(shè)備150A和150B中的每一 個(gè)可以相應(yīng)地與硬件處理器140A和140B中的一個(gè)可操作地耦合��。 網(wǎng)絡(luò)安全工具110A-110C可以通過諸如光纖或電纜(例如�����,銅纜)的導(dǎo)電介質(zhì)或者通過 諸如無線保真(Wi-Fi)�����、蜂窩通信�、藍(lán)牙等的輻射介質(zhì)與端口 160A、160B和160C耦合���。 網(wǎng)絡(luò)安全工具110A-110C可以為例如計(jì)算機(jī)����、攝像機(jī)��、傳感器�、無線保真(Wi-Fi)接入點(diǎn) 和/或因特網(wǎng)協(xié)議語音(VoIP)電話。安全設(shè)備120A和120B可以實(shí)施為交換機(jī)或路由器或者 可以并入諸如交換機(jī)或路由器的網(wǎng)設(shè)備中�。網(wǎng)絡(luò)接口 130A和130B可以實(shí)現(xiàn)到安全設(shè)備120A 和120B的單向或雙向有線和/或無線通信以及來自安全設(shè)備120A和120B的單向或雙向有線 和/或無線通信�。存儲設(shè)備150A和150B可以是非暫態(tài)的�。端口 160A-160D可以為例如:諸如以 太網(wǎng)的電端口,其可以包括以太網(wǎng)供電(P〇E)(即�,支持PoE、增強(qiáng)型PoE和/或超PoE標(biāo)準(zhǔn))���;導(dǎo) 電端口(例如����,使用RS-232標(biāo)準(zhǔn)和/或令牌環(huán)體系結(jié)構(gòu))����;和/或輻射端口(例如�,使用Wi-Fi技 術(shù)或藍(lán)牙標(biāo)準(zhǔn))。端口可以包括用于小形狀因數(shù)可插收發(fā)機(jī)(SPF)的護(hù)罩���?���?蛇x地��,端口可以 包括內(nèi)置式光學(xué)端口�。SPF或光學(xué)端口可以裝備有可用于測量的光學(xué)時(shí)域反射計(jì)(0TDR)����。端 口同樣可以具有數(shù)據(jù)流測量能力��。例如��,安全設(shè)備可以包括八個(gè)RJ45每秒具有以太網(wǎng)10或 100或1000兆比特的電端口�����。 在一些實(shí)施方案中�����,公開的網(wǎng)絡(luò)安全系統(tǒng)可以包括一個(gè)或多個(gè)安全設(shè)備����。每個(gè)安全設(shè) 備可以與一個(gè)或多個(gè)網(wǎng)絡(luò)工具耦合。每個(gè)安全設(shè)備可以包括一個(gè)或多個(gè)端口���、一個(gè)或多個(gè) 硬件處理器以及一個(gè)或多個(gè)存儲設(shè)備����。在一些實(shí)施方案中,公開的網(wǎng)絡(luò)安全系統(tǒng)可用于保 護(hù)多于一個(gè)網(wǎng)絡(luò)����。在該配置中,網(wǎng)絡(luò)安全系統(tǒng)可以包括用于每個(gè)網(wǎng)絡(luò)的至少一個(gè)安全設(shè)備���。 現(xiàn)在參考圖2,該圖示出了依照公開的技術(shù)的實(shí)施方案構(gòu)造的和運(yùn)行的用于保護(hù)網(wǎng)絡(luò) 的方法的流程圖��。網(wǎng)絡(luò)可以包括多個(gè)網(wǎng)絡(luò)工具����。每個(gè)網(wǎng)絡(luò)用具可以與多個(gè)端口中的不同端 口可操作地耦合�����。 在步驟200中����,可以初始地創(chuàng)建網(wǎng)絡(luò)活動的基準(zhǔn)配置文件��。網(wǎng)絡(luò)活動可以為入站(例如�, 進(jìn)入)和/或出站(即,外出)網(wǎng)絡(luò)活動�����。基準(zhǔn)配置文件可以包括用于網(wǎng)絡(luò)的各種提供的�����、可詢 問的和/或可測量的特性的基準(zhǔn)值����,包括表示網(wǎng)絡(luò)體系結(jié)構(gòu)和拓?fù)浣Y(jié)構(gòu)的特性(例如,網(wǎng)絡(luò) 工具和其它網(wǎng)絡(luò)元件的數(shù)量�、標(biāo)識和位置)、網(wǎng)絡(luò)工具的特性(例如���,網(wǎng)絡(luò)工具消耗的功率��、 網(wǎng)絡(luò)工具所生成的入站和出站業(yè)務(wù)及其特性)和/或諸如電纜和光纖的其它網(wǎng)絡(luò)元件的特 性(例如�,電纜長度����、光纖長度、光纖反射率和/或光纖衰減率)��。特性使得這些特性的詢問的 或測量的值的變化可以表明該網(wǎng)絡(luò)處于物理或網(wǎng)絡(luò)攻擊下��。 在步驟210中,在保護(hù)模式啟動之后����,可以通過檢測通過端口的網(wǎng)絡(luò)業(yè)務(wù)與基準(zhǔn)配置文 件的偏離來識別非常規(guī)事件。一旦保護(hù)模式啟動����,則端口可以被連續(xù)地監(jiān)控從而檢測該偏 離。非常規(guī)事件可以根據(jù)預(yù)定的一組規(guī)則以及根據(jù)網(wǎng)絡(luò)缺省來識別���。例如�,可以需要檢測偏 離的確認(rèn)以便判定正在發(fā)生非常規(guī)事件以及以便防止錯(cuò)誤警報(bào)�����。該確認(rèn)可以為額外測量的 形式��。 在任選的步驟220中����,在識別出非常規(guī)事件時(shí),可以采取至少一個(gè)措施來保護(hù)網(wǎng)絡(luò)���。配 置的安全策略可以規(guī)定如果識別出該非常規(guī)事件的行為方案。 根據(jù)系統(tǒng)的具體動作配置,一旦檢測到偏離于基準(zhǔn)值(即���,超過了誤差范圍)�,則系統(tǒng)可 以采取措施或者參與一組動作�����。任選地��,動作配置可以由用戶來設(shè)定�。在一些實(shí)施方案中, 系統(tǒng)可被配置為執(zhí)行額外的測量以便確認(rèn)異常測量以及防止錯(cuò)誤警報(bào)����。例如,系統(tǒng)可被配 置為在其采取措施之前在三次連續(xù)的測量中接收非常規(guī)結(jié)果���。 一旦檢測到或確認(rèn)非常規(guī)事件�����,系統(tǒng)可以采取的措施可以包括事件日志的生成(例如����, 通過使用系統(tǒng)日志或簡單網(wǎng)絡(luò)管理協(xié)議自陷),發(fā)出警告���,禁用端口��,阻止來自具體網(wǎng)絡(luò)工 具的通信和/或到具體網(wǎng)絡(luò)工具的通信�����,和/或發(fā)送關(guān)于非常規(guī)事件的可疑數(shù)據(jù)以便在外部 專門系統(tǒng)中進(jìn)行進(jìn)一步分析����。 在禁用端口的情況下��,僅可以在網(wǎng)絡(luò)偏離的基準(zhǔn)配置文件或配置文件的相關(guān)值被再次 設(shè)定之后才可以恢復(fù)到端口的鏈接�。 圖1的網(wǎng)絡(luò)安全系統(tǒng)100可以根據(jù)圖200的方法來運(yùn)行。方法步驟可以由硬件處理器 140A-140C 來執(zhí)行��。 網(wǎng)絡(luò)可以具有各種體系結(jié)構(gòu)和配置����,這是本領(lǐng)域公知的。公開的安全系統(tǒng)可以通過其 與網(wǎng)絡(luò)工具的連接來與網(wǎng)絡(luò)核心耦合�。在一些實(shí)施方案中,安全設(shè)備可以包括可用于到網(wǎng) 絡(luò)核心的上行鏈路連接的專用端口����。 下文公開了用于公開的網(wǎng)絡(luò)保護(hù)的各個(gè)實(shí)施方案的各個(gè)實(shí)施例。 光纖 在一些實(shí)施方案中���,端口可以包括裝備有OTDR的光學(xué)SFP�。通過SFP端口的網(wǎng)絡(luò)業(yè)務(wù)可 以被監(jiān)控以進(jìn)行物理測量和/或網(wǎng)絡(luò)測量�。物理測量可以涉及與端口耦合的光纖(或僅稱為 纖維),并且可以包括長度�、反射率、接收功率����、發(fā)送功率、衰減率等���。網(wǎng)絡(luò)測量可以涉及到諸 如發(fā)送和/或接收的字節(jié)的數(shù)據(jù)流信息�、虛擬局域網(wǎng)(VLAN)�����、媒體訪問控制(MAC)地址����、因特 網(wǎng)協(xié)議(IP)地址�、四層服務(wù)端口等�。 如果識別出非常規(guī)事件系統(tǒng)可以執(zhí)行的動作可以包括可疑事件的記錄或通過禁用端 口對威脅的隔離,例如通過將端口的管理狀態(tài)變成"禁用"狀態(tài)�����。 在一些實(shí)施方案中�,在光纖一側(cè)的一個(gè)安全設(shè)備可以指定為主設(shè)備并且因此可以執(zhí)行 除了測量之外的策略實(shí)施(例如,動作配置)����。在光纖另一側(cè)的另一安全設(shè)備則可以被指定 為從設(shè)備并且因此可以僅執(zhí)行測量并且隨后利用發(fā)信協(xié)議將測量信息轉(zhuǎn)送到主設(shè)備。該配 置可以由于雙重校驗(yàn)測量的能力而提高系統(tǒng)的可靠性并且提供來自光纖兩側(cè)的測量��。該配 置可在例如光纖或兩線傳輸系統(tǒng)中執(zhí)行多次截除時(shí)有用���。 光纖長度 SFP 0TDR可以被周期性(例如���,每五秒)被查詢(例如,經(jīng)由內(nèi)部集成電路(12C)接口)以 得到在鏈路上行或下行的同時(shí)在纖維中檢測到的反射率�。反射率可以例如經(jīng)由纖維的末端 (例如,纖維的原末端��,其通常是最遠(yuǎn)的�����,或者通過切口而形成的端部)或者通過物體(例如, 連接器和分裂器)或疊接件而生成或者沿著纖維形成的彎曲部)��。查詢周期可以由安全系統(tǒng) 的用戶來確定����。SFP 0TDR可被提供在距端口的各距離處檢測到的反射率的限值的列表�。典 型地,接收到的最大數(shù)量可以代表纖維長度���,并且其余數(shù)量可以表示諸如連接器��、彎曲部��、 疊接件等纖維上的其它反射率����。該列表可以添加到網(wǎng)絡(luò)的基準(zhǔn)配置文件中����。 在一些實(shí)施方案中,纖維可以與兩個(gè)安全設(shè)備耦合�����,在每側(cè)有一個(gè)安全設(shè)備。然后�,通 過鏈路的兩側(cè)(即,通過纖維形成)測量纖維長度�����,以及使用諸如鏈路層發(fā)現(xiàn)協(xié)議(LLDP)的 發(fā)信協(xié)議�����,安全設(shè)備可以將其各自檢測到的纖維長度通過信號形式從一個(gè)安全設(shè)備發(fā)送到 另一安全設(shè)備���。這可以允許纖維長度測量的雙重椒鹽并且提供更加綜合的信息(例如�����,在纖 維在兩個(gè)部位被切割的情況下)��。 纖維長度的基準(zhǔn)值可以根據(jù)初始測量來設(shè)定��。該系統(tǒng)隨后可以監(jiān)控與基準(zhǔn)值相比的纖 維長度的任何變化��。 纖維長度的測量可以由于測量誤差而關(guān)于基準(zhǔn)值變化�����?����?山邮艿恼`差范圍可以任選地 通過系統(tǒng)的用戶來設(shè)定���,從而防止錯(cuò)誤警報(bào)。例如�����,可以設(shè)定十米的閾值����。任選地,可以由用 戶根據(jù)現(xiàn)場的具體環(huán)境調(diào)節(jié)以及精調(diào)誤差范圍�。 功率讀數(shù)和衰減率變化 安全設(shè)備可以監(jiān)控在安全設(shè)備與網(wǎng)絡(luò)之間的鏈路為上行時(shí)由纖維接收到的功率。SFP 0TDR可被周期性地查詢以得到接收到的功率�����。例如,五秒的缺省值可以被預(yù)定義為查詢周 期(即�����,每五秒)��,并且任選地�,可以由用戶重新定義。查詢可以例如經(jīng)由I2C接口來執(zhí)行�。 功率讀數(shù)的變化可以指示纖維衰減率的變化。在正常纖維行為中��,該變化可以由于諸 如在相對長時(shí)間段內(nèi)發(fā)生的晝夜溫度變化的物理原因而發(fā)生��。然而���,在短時(shí)間段內(nèi)的突然 變化可以指示諸如纖維彎曲或?qū)饫w篡改和搭接的企圖的異常情況���。如果超過預(yù)定義閾 值,則可以檢測到異?��;蚍浅R?guī)行為�。任選地���,可以讀取接收功率的若干連續(xù)測量(例如����,三 個(gè)),如果在最后測量中的至少兩次測量中超過了閾值�����,則可以識別為異常����。在該情況下,系 統(tǒng)可以采取措施來解決該問題��。 在一些實(shí)施方案中��,接收的功率可以由連接到纖維的安全色好吧來測量�����,在纖維的不 同側(cè)各有一個(gè)安全設(shè)備��,同時(shí)安全設(shè)備可以使用諸如LLDP的發(fā)信協(xié)議來就其接收功率的測 量彼此發(fā)信號���。在該配置中,系統(tǒng)的可靠性可由于其能夠?qū)τ诶w維以及從纖維的每一側(cè)進(jìn) 行雙重校驗(yàn)測量的能力來得以提高。該配置可在例如當(dāng)在多個(gè)位置處切割纖維時(shí)或者當(dāng)使 用兩纖維傳輸系統(tǒng)時(shí)(即�,一個(gè)纖維用于發(fā)送,另一個(gè)用于接收)有用���。在該配置中�,安全設(shè) 備可以考慮測量的相對變化��,因?yàn)椴煌陌踩O(shè)備可以接收到不同的絕對值���。 接收到的功率隨時(shí)間的小的變化是可接受的并且正常地發(fā)生��。然而���,接收功率的突然 急劇變化可以指示纖維衰減率的變化并且因此可以被識別為涉及在物理攻擊方案中可能 對纖維進(jìn)行篡改企圖的非常規(guī)事件。 因此��,在例如15秒的短時(shí)間段內(nèi)小于預(yù)設(shè)閾值例如ldB的變化可以表示���,已經(jīng)發(fā)生了異 常事件�����。利用該閾值和值旨在防止錯(cuò)誤警報(bào)���。錯(cuò)誤警告會由于諸如由于如日夜間的緩慢溫 度變化的自然原因引起的讀數(shù)變化的正常原因而發(fā)生�。任選地����,讀數(shù)可以在識別異常事件 之前進(jìn)行雙重校驗(yàn)。閾值和時(shí)間段的上述值可以由用戶針對具體的現(xiàn)場環(huán)境進(jìn)行調(diào)節(jié)和精 調(diào)�����。 電纜 在一些實(shí)施方案中���,安全設(shè)備可以包括一個(gè)或多個(gè)電端口���。通過電端口的網(wǎng)絡(luò)業(yè)務(wù)可 以被監(jiān)控從而執(zhí)行物理和網(wǎng)絡(luò)測量。物理測量可以涉及電纜長度����、短路���、端狀態(tài)(開或關(guān)) 等���。網(wǎng)絡(luò)測量可以涉及諸如發(fā)送和/或接收的字節(jié)的數(shù)據(jù)流信息�����、VLAN����、MAC地址����、IP地址、4 層服務(wù)端口等等�����。 電纜可以為例如銅纜����。電纜可以包括多根電線,例如兩對或四對電線�,同時(shí)一對或兩對 可用于發(fā)送,而另一對或兩對可用于接收�����。電端口可以被周期性地查詢以便得到在安全設(shè) 備與網(wǎng)絡(luò)之間的鏈路為上行或下行的同時(shí)的電纜測量�����。例如,電端口可以經(jīng)由12C接口缺省 地每五秒被查詢��。時(shí)間段可以由系統(tǒng)的用戶重新配置��。長度測量可以通過使用本領(lǐng)域公知 的各種方法來執(zhí)行�,諸如時(shí)域反射計(jì)的行業(yè)慣例。測量可涉及例如一對電線的長度和/或一 對電線的狀態(tài)(例如���,終止(0K)或關(guān)或交叉對短接或異常交叉對耦合)�。 可以根據(jù)一些初始測量來設(shè)定基準(zhǔn)配置文件的電纜長度和/或狀態(tài)基準(zhǔn)值����。電端口隨 后可以被監(jiān)控電纜長度或狀態(tài)關(guān)于基準(zhǔn)值的任何偏離。 可以設(shè)定電纜長度測量的誤差的缺省值(例如���,三米)從而防止錯(cuò)誤警報(bào)���。該值可以由 用戶針對具體現(xiàn)場環(huán)境來調(diào)節(jié)和精調(diào)。 網(wǎng)絡(luò)工具電源 在一些實(shí)施方案中�����,安全設(shè)備可以包括具有電源支持的一個(gè)或多個(gè)端口����,諸如P〇E。在 這些實(shí)施方案中���,安全設(shè)備還可以對關(guān)聯(lián)的網(wǎng)絡(luò)工具供電���。 安全交換機(jī)隨后可以監(jiān)控通過電源支持的端口的網(wǎng)絡(luò)業(yè)務(wù),例如得到與這些支持的端 口耦合的網(wǎng)絡(luò)工具所消耗的功率�����。 如果識別出非常規(guī)事件�,則系統(tǒng)可以采取措施,措施可以包括記錄非常規(guī)事件或者通 過禁用識別出威脅的端口來隔離威脅�����。 網(wǎng)絡(luò)工具的電源可以被周期性地查詢以得到在饋送時(shí)網(wǎng)絡(luò)工具所消耗的功率使用���。例 如����,可以經(jīng)由例如12C接口缺省地每五秒進(jìn)行查詢。該缺省值可以由用戶重新配置����。 網(wǎng)絡(luò)工具的就其功率消耗的正常行為是公知的。例如����,已經(jīng)打開的固定攝像機(jī)具有穩(wěn) 定的功率使用。平移���、傾斜和/或變焦距攝像機(jī)的功率使用可以從靜態(tài)速率期間的最小使用 編程攝像機(jī)運(yùn)動期間的較高使用���,并且在已知的值范圍內(nèi)。超過這些已知的值可以指示用 諸如諸如膝上型計(jì)算機(jī)的惡意的安全工具取代合法安全工具以達(dá)到饋送例如虛假視頻的 目的的企圖的可能性���。因此��,功率使用的變化會得出如下結(jié)論:網(wǎng)絡(luò)正受到在功率使用方面 表現(xiàn)不同于預(yù)期的設(shè)備攻擊���。 最小和最大功率使用范圍可以被預(yù)設(shè)(任選地由用戶)并且添加到網(wǎng)絡(luò)活動的基準(zhǔn)配 置文件中。安全設(shè)備隨后可以監(jiān)控功率使用關(guān)于設(shè)定范圍的任意偏離����。那些值是因工具而 不同的�����,并且因此可以根據(jù)具體的工具銷售商提供的值來設(shè)定。典型地為0.25瓦的小裕度 添加到提供的范圍的每端作為誤差裕度�����,來防止錯(cuò)誤警報(bào)�。這些值可由用戶針對現(xiàn)場的具 體裝備和環(huán)境來調(diào)節(jié)和精調(diào)。 網(wǎng)絡(luò)工具 在一些實(shí)施方案中�����,安全設(shè)備可以充當(dāng)其關(guān)聯(lián)的網(wǎng)絡(luò)工具的接入點(diǎn)����,將這些網(wǎng)絡(luò)工具 與網(wǎng)絡(luò)耦合。因此�����,安全設(shè)備可以進(jìn)一步包括為網(wǎng)絡(luò)核心提供上行鏈路的網(wǎng)絡(luò)端口�。與安全 設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)工具可以彼此通信并且經(jīng)由上行鏈路連接來與網(wǎng)絡(luò)的其余部分通信。上 行鏈路可以本領(lǐng)域公知的各種方式來配置。該配置可允許安全設(shè)備監(jiān)控到其關(guān)聯(lián)的網(wǎng)絡(luò)工 具和來自其關(guān)聯(lián)的網(wǎng)絡(luò)工具的所有的網(wǎng)絡(luò)入站和出站業(yè)務(wù)���。 任選地�����,網(wǎng)絡(luò)業(yè)務(wù)的監(jiān)控可以是選擇性的���,使得不需要大的處理功率。另外��,監(jiān)控可以 被動的(即�����,被動竊聽)使得業(yè)務(wù)可以不中斷地流經(jīng)安全設(shè)備���,網(wǎng)絡(luò)性能可以不受監(jiān)控和分 析操作影響�。 因此��,例如���,通過安全設(shè)備的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的一部分可被獲取以用于相關(guān)聯(lián)的 網(wǎng)絡(luò)工具的特性分析的目的��。 業(yè)務(wù)獲取 在選擇每個(gè)端口的待分析的業(yè)務(wù)部分中可以采用獲取算法���。提供的示范性的獲取算法 可以一方面允許檢驗(yàn)�,另一方面可以防止端口的不足���。提供的獲取算法基于本領(lǐng)域技術(shù)人 員公知的方法���。 總處理容量是中央處理器(CPU)性能的已知函數(shù)�����。該數(shù)字由每秒最大幀(FPS)來定義����。 用戶可以選擇監(jiān)控哪個(gè)端口。多個(gè)端口可以被存儲作為多個(gè)端口參數(shù)�����。 所監(jiān)控的端口可以根據(jù)在前一間隔中執(zhí)行的測量從低到高依據(jù)其所產(chǎn)生的業(yè)務(wù)負(fù)荷 來排序���。 算法可以基于如下假設(shè):低業(yè)務(wù)端口(即�,具有低業(yè)務(wù)負(fù)荷)會比較高業(yè)務(wù)端口(即,具 有較高業(yè)務(wù)負(fù)荷)造成更高的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)�����。因此��,可供的處理能力�����,即每秒幀數(shù)��,可以按照 低端口完全被檢驗(yàn)的方式從低到高根據(jù)其負(fù)荷排序獎(jiǎng)勵(lì)給所監(jiān)控的端口�����。產(chǎn)生高業(yè)務(wù)負(fù)荷 的端口可以僅被獎(jiǎng)勵(lì)處理能力的一部分并且使得執(zhí)行充分的校驗(yàn)(即���,從而檢測非常規(guī)事 件)���。 該計(jì)算是對于每個(gè)采樣間隔來進(jìn)行的,該采樣間隔可以通過缺省方式設(shè)定成例如一 秒��,任選地可以由用戶來更改�����。 所提出的獲取方法基于安全設(shè)備能力如使用因子的sFlow、訪問控制列表(ACL)��、業(yè)務(wù) 警察等���。這些方法可以作為非侵入性函數(shù)實(shí)現(xiàn)于安全設(shè)備中���,因而不影響業(yè)務(wù)流。 表格描繪了對于每秒1���,〇〇〇幀處理容量以及五個(gè)端口的示范性情況的獲取算法操作。 'FPS'可以代表在前一間隔中測得的每秒幀數(shù)���。'檢驗(yàn)'可以表示在下一間隔中要分析的期 望幀數(shù)�����。
網(wǎng)絡(luò)工具 在一些實(shí)施方案中�,可以監(jiān)控每個(gè)選定的端口以得到由與特定端口耦合的網(wǎng)絡(luò)工具生 成的入站業(yè)務(wù)�����。與選定端口相關(guān)聯(lián)的每個(gè)網(wǎng)絡(luò)工具可以由其關(guān)聯(lián)端口以及網(wǎng)絡(luò)工具的標(biāo)識 符如其MAC地址來識別。任選地��,網(wǎng)絡(luò)工具可以由額外的標(biāo)識符如VLAN����、網(wǎng)絡(luò)工具類型和/或 配置文件以及IP地址來識別。在端口中產(chǎn)生入站業(yè)務(wù)的每個(gè)這樣的組合(即���,相關(guān)聯(lián)的網(wǎng)絡(luò) 工具的端口和至少一個(gè)標(biāo)識符)可以視為新的網(wǎng)絡(luò)工具并且因此可以注冊在容許的新網(wǎng)絡(luò) 工具列表中��。該列表可以存儲在存儲設(shè)備中并且可以添加到網(wǎng)絡(luò)的基準(zhǔn)配置文件中��??梢?(例如���,在存儲設(shè)備中)存儲該網(wǎng)絡(luò)工具被檢測到的第一時(shí)間以及該網(wǎng)絡(luò)工具被看到的最后 的時(shí)間����。 用戶可以標(biāo)記或者手動添加網(wǎng)絡(luò)工具到列表中�。被檢測到且未在列表中的任何網(wǎng)絡(luò)工 具則可以被視為禁止的網(wǎng)絡(luò)工具。 可以任選地由用戶為每個(gè)端口定義關(guān)于檢測到的禁止網(wǎng)絡(luò)工具的安全策略���。該安全策 略可以規(guī)定行動方案是這樣的情況�����,該情況可以包括:非常規(guī)事件的記錄�,通過禁用端口來 隔離威脅和/或通過諸如地址分辨率協(xié)議(ARP)施毒的方案進(jìn)行反攻。 安全設(shè)備可以監(jiān)控選定端口中的業(yè)務(wù)��,并且在檢測到禁止網(wǎng)絡(luò)工具時(shí)����,可以為具體的 端口實(shí)施安全策略規(guī)則,例如通過禁用該端口����。 在到端口的鏈路是下行的情況下(即,該端口沒有接收到任何信號)�����,則與該端口相關(guān) 聯(lián)且活躍的所有容許的網(wǎng)絡(luò)工具可以被指定為斷開的�����。這些網(wǎng)絡(luò)工具可以被懷疑遭遇篡改 企圖�����。 當(dāng)活躍的網(wǎng)絡(luò)工具在一定時(shí)間段內(nèi)沒有產(chǎn)生業(yè)務(wù)時(shí)��,網(wǎng)絡(luò)元件可被指定為沉默的�����。該 時(shí)間段可以缺省地設(shè)置成例如五分鐘����,并且任選地可由用戶來重置。該網(wǎng)絡(luò)工具可被懷疑 為遭遇篡改企圖����。 可以通過例如網(wǎng)絡(luò)用戶采取適當(dāng)?shù)男袆臃桨福瑩?jù)此可以刪除或允許禁止的網(wǎng)絡(luò)工具����。 如果端口被禁用,則用戶可以啟用端口以便更新該端口的業(yè)務(wù)流�����。 網(wǎng)絡(luò)工具行為 在一些實(shí)施方案中����,選定的端口可以被監(jiān)控以得到由與具體端口耦合的網(wǎng)絡(luò)工具生成 的入站業(yè)務(wù)����。 選定的端口可以監(jiān)控業(yè)務(wù)特性�,諸如網(wǎng)絡(luò)使用率的變化、業(yè)務(wù)量��、沉默端口��、誤差業(yè)務(wù)���、 所有層中的無效數(shù)據(jù)包結(jié)構(gòu)����、無效數(shù)據(jù)包地址��、業(yè)務(wù)方向和/或來回切換鏈接狀態(tài)的變化��。 可以生成允許網(wǎng)絡(luò)工具行為列表�。該允許網(wǎng)絡(luò)工具行為列表可以存儲在例如存儲設(shè)備中, 以實(shí)現(xiàn)持久性���,并且可以添加到網(wǎng)絡(luò)的基準(zhǔn)配置文件中。用戶可以標(biāo)記或者手動添加允許 網(wǎng)絡(luò)工具行為到列表中�。因此���,未在該列表中的任何檢測到的網(wǎng)絡(luò)工具行為可被視為禁止 網(wǎng)絡(luò)工具行為。 如果網(wǎng)絡(luò)工具的配置的最小或最大網(wǎng)絡(luò)使用率被超過���,則可以指示正常行為的變化并 且因此可被視為非常規(guī)���。例如,高清(HD)1080P/2MP每秒30幀運(yùn)動JPEG預(yù)期生成大約每秒12 兆比特(Mbps)�。測量到3Mbps的網(wǎng)絡(luò)使用率可以暗示,攝像機(jī)由另一未經(jīng)授權(quán)的網(wǎng)絡(luò)工具替 代��。 如果網(wǎng)絡(luò)工具配置的每時(shí)間段(例如��,一個(gè)小時(shí))內(nèi)的最小或最大業(yè)務(wù)量被超過����,則可 以指示正常行為的變化并且因此可被視為非常規(guī)。例如��,網(wǎng)絡(luò)工具的簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)預(yù)期生成大約200千比特(Kb)/小時(shí)�。測量到3兆比特(Mb)的業(yè)務(wù)量可以暗示該設(shè)備 可能受到在另一未經(jīng)授權(quán)網(wǎng)絡(luò)工具的映射攻擊。 如果網(wǎng)絡(luò)工具在其配置的最小時(shí)間段(例如�����,五分鐘)內(nèi)沒有生成任何業(yè)務(wù),則可以指 示正常行為的變化并且因此可被視為非常規(guī)���。例如���,監(jiān)督控制與數(shù)據(jù)獲取(SCADA)網(wǎng)絡(luò)工具 預(yù)期每分鐘發(fā)送溫度測量。如果來自該網(wǎng)絡(luò)元件的任何發(fā)送在五分鐘的期間內(nèi)沒有接收 到��,則可以暗示該設(shè)備受到未經(jīng)授權(quán)的網(wǎng)絡(luò)工具的拒絕服務(wù)(DoS)攻擊���。 如果網(wǎng)絡(luò)工具生成超過配置的最大幀誤差率的誤差業(yè)務(wù)(例如��,具有每分鐘一個(gè)誤差 的幀誤差率的循環(huán)冗余校驗(yàn)(CRC)誤差)��,則可以指示正常行為的變化并且因此可視為非常 規(guī)�����。例如�����,產(chǎn)生100個(gè)錯(cuò)誤/秒的錯(cuò)誤率的業(yè)務(wù)的VoIP電話暗示了����,該設(shè)備可能受損并且被指 示產(chǎn)生旨在妨礙正常網(wǎng)絡(luò)運(yùn)行或利用對錯(cuò)誤幀敏感的脆弱性的惡意業(yè)務(wù)��。 如果網(wǎng)絡(luò)工具生成超過配置的最大無效數(shù)據(jù)包結(jié)構(gòu)速率的無效結(jié)構(gòu)數(shù)據(jù)包(例如�,具 有每分鐘一個(gè)錯(cuò)誤的速率的IP報(bào)頭版本10),這可能指示正常行為的變化并且因此可被視 為非常規(guī)���。例如�,以每秒100個(gè)無效結(jié)構(gòu)數(shù)據(jù)包的速率產(chǎn)生業(yè)務(wù)的Wi-Fi接入點(diǎn)可以暗示�,該 工具可能受損并且可能被指示產(chǎn)生旨在妨礙正常網(wǎng)絡(luò)或服務(wù)器運(yùn)行或利用對無效結(jié)構(gòu)數(shù) 據(jù)包敏感的脆弱性的惡意業(yè)務(wù)。 如果網(wǎng)絡(luò)工具生成超過了配置的最大取消數(shù)據(jù)包地址速率(例如��,以太網(wǎng)源MAC地址以 每分鐘一個(gè)錯(cuò)誤的速率被廣播��,例如ff :ff :ff :ff :ff :ff)的無效地址數(shù)據(jù)包��,則可以指示 正常行為的變化并且可被視為非常規(guī)��。例如��,以每秒100個(gè)無效地址數(shù)據(jù)包的速率產(chǎn)生業(yè)務(wù) 的Wi-Fi接入點(diǎn)可暗示���,該工具可能受損并且可能被指示生成旨在妨礙正常網(wǎng)絡(luò)或服務(wù)器 運(yùn)行或利用對無效結(jié)構(gòu)數(shù)據(jù)包敏感的脆弱性的惡意業(yè)務(wù)���。 如果網(wǎng)絡(luò)工具超過了每一定時(shí)間段(例如�����,15分鐘)的總業(yè)務(wù)的配置的最小或最大界限 百分比���,則可以指示正常行為的變化并且可以被視為非常規(guī)。例如��,網(wǎng)絡(luò)元件的業(yè)務(wù)預(yù)期為 100%入站�����。測量到60%百分比的入站業(yè)務(wù)可以暗示�����,該工具可能受到另一未經(jīng)授權(quán)的網(wǎng)絡(luò) 工具的http攻擊��。 如果網(wǎng)絡(luò)工具引起超過配置的最大磁盤狀態(tài)變化率(例如��,每天一個(gè))的頻繁的上行和 下行的鏈路狀態(tài)變化����,則可以指示正常行為的變化并且可被視為非常規(guī)�����。例如�,每分鐘產(chǎn)生 10個(gè)鏈路狀態(tài)變化的速率的小單元網(wǎng)絡(luò)元件可能暗示�,該設(shè)備可能受損并且可能被指示產(chǎn) 生旨在妨礙正常網(wǎng)絡(luò)運(yùn)行或利用對鏈接狀態(tài)變化敏感的脆弱性的網(wǎng)絡(luò)事件����。 例如,用戶可以確定每個(gè)端口針對檢測到的禁止網(wǎng)絡(luò)元件工具行為的安全策略����。安全 策略可以規(guī)定在該情況下的行動方案,可以包括采取如下措施:記錄非常規(guī)事件����,通過禁用 端口來隔離威脅和/或通過諸如ARP施毒的方案進(jìn)行反攻。 在到端口的鏈路為下行的情況下�,所有活躍的與該端口相關(guān)聯(lián)的容許的網(wǎng)絡(luò)工具行為 可以指定為斷開。這可以提供預(yù)期活躍的網(wǎng)絡(luò)工具現(xiàn)在與網(wǎng)絡(luò)斷開并且被視為可能指示對 該網(wǎng)絡(luò)工具的篡改企圖的非常規(guī)的指示��。 在活躍的網(wǎng)絡(luò)工具在一定時(shí)間段(例如����,缺省地為五分鐘)內(nèi)沒有產(chǎn)生業(yè)務(wù)的情況下�����, 網(wǎng)絡(luò)工具行為可被指定為沉默���。這可以提供網(wǎng)絡(luò)工具被視為可以指示對該網(wǎng)絡(luò)工具的篡改 企圖的非常規(guī)的指示。 可以采取適當(dāng)?shù)男袆?�,諸如任選地由用戶允許或刪除禁止的網(wǎng)絡(luò)工具�。在端口被禁用 的情況下,端口可任選地由用戶為更新該端口的業(yè)務(wù)流而被啟用��。 沉默端口 在該設(shè)置中�����,端口上的鏈路變成上行����,但是在初始期間(例如,五分鐘)內(nèi)該端口上沒有 業(yè)務(wù)�。該端口可視為沉默的,因?yàn)樗粦岩蔀樘幱趥刹楹陀成涞木W(wǎng)絡(luò)攻擊下��。 因此����,沉默端口監(jiān)控可被執(zhí)行�?����?梢匀芜x地通過用戶來確定每個(gè)端口的關(guān)于沉默端口 的安全策略����。安全策略可以規(guī)定采取諸如記錄非常規(guī)事件���、通過禁用端口來隔離威脅和/或 通過諸如ARP施毒的方案進(jìn)行反攻的措施�����。在端口被禁用的情況下��,僅在用戶清除了警報(bào)之 后到該端口的鏈接才能恢復(fù)��。 網(wǎng)絡(luò)流 在一些實(shí)施方案中���,網(wǎng)絡(luò)端口可以用于(另外地或者可選地)監(jiān)控網(wǎng)絡(luò)流。任選地��,通過 安全設(shè)備的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分可以被獲取以用于處理單元分析的目的?���?梢愿鶕?jù) 上文詳述的獲取算法來選擇業(yè)務(wù)部分。 網(wǎng)絡(luò)流可以包括任意組網(wǎng)絡(luò)工具之間的諸如為MAC地址��、VLAN�、IP地址、協(xié)議����、服務(wù)端口 號或統(tǒng)一資源定位符(URL)地址的業(yè)務(wù)。網(wǎng)絡(luò)流可以顯示給用戶���,例如如下: VLAN:100 源: MAC 地址:02:03:04:05:06:07 IP 地址:192.168.10.20 協(xié)議:IPD 端口 : 3000 目的地: MAC 地址:02:03:04:55:55:55 IP 地址:10.20.30.40 協(xié)議:IPD 端口 :5555
[0001]為了監(jiān)控網(wǎng)絡(luò)流��,至少一些端口可被監(jiān)控由與具體端口相關(guān)聯(lián)的網(wǎng)絡(luò)工具生成或 者以與具體端口相關(guān)聯(lián)的網(wǎng)絡(luò)工具為目的地的入站和出站業(yè)務(wù)�����。 在被監(jiān)控的端口中��,檢測到的任何新的網(wǎng)絡(luò)流可以被注冊并且視為禁止���。檢測到網(wǎng)絡(luò) 流的第一時(shí)間以及網(wǎng)絡(luò)流被看到的最后的時(shí)間可以被存儲����。 用戶可以標(biāo)記或者手動添加網(wǎng)絡(luò)流到容許網(wǎng)絡(luò)流列表中�����。容許網(wǎng)絡(luò)流列表可以被存儲 且添加到網(wǎng)絡(luò)的基準(zhǔn)配置文件中���。因此�,未在列表中的任何檢測到的網(wǎng)絡(luò)流可以被視為禁 止的網(wǎng)絡(luò)流����。 可以任選地由用戶針對檢測到的禁止網(wǎng)絡(luò)流來對每個(gè)端口定義安全策略��。安全策略可 以規(guī)定采取措施��,諸如注銷非常規(guī)事件����,通過禁用端口來隔離威脅和/或通過諸如ARP施毒 的方案進(jìn)行反攻。 可以任選地通過用戶來允許或刪除禁止網(wǎng)絡(luò)流���。在端口被禁用的情況下�,可以任選地 通過用戶來啟用端口從而更新該端口的業(yè)務(wù)流。 纖維 在一些實(shí)施方案中��,系統(tǒng)可以包括至少兩個(gè)安全設(shè)備����。每個(gè)安全設(shè)備可以與網(wǎng)絡(luò)可操 作地耦合,例如通過電接口或光學(xué)接口���。兩個(gè)安全設(shè)備通過至少兩根光纖彼此可操作地耦 合�。例如�����,每個(gè)安全設(shè)備可以包括具有內(nèi)置OTDR的兩個(gè)光學(xué)SFP��。一根光纖可以充當(dāng)工作纖 維��,第二根光纖可以充當(dāng)保護(hù)纖維����。缺省地,業(yè)務(wù)可以在工作纖維上流動�,然而,在諸如由于 對工作纖維的攻擊企圖而導(dǎo)致鏈路故障的網(wǎng)絡(luò)事件的情況下,業(yè)務(wù)可以切換到保護(hù)纖維�����。 根據(jù)系統(tǒng)配置(任選地由用戶)�,一旦再次處于上行狀態(tài),業(yè)務(wù)可以自動或手動地切換回到 工作纖維����。 安全設(shè)備可以監(jiān)控物理域和網(wǎng)絡(luò)域的可能的攻擊以及纖維上的網(wǎng)絡(luò)事件。 物理攻擊企圖可以由非常規(guī)事件來識別���,該非常規(guī)事件諸如為由于衰減率變化引起的 接收功率的突然變化��、纖維長度變化�、光學(xué)反射率變化等��。這些事件可以被視為安全破壞企 圖并且可以由系統(tǒng)通過禁用端口直至用戶清除該情形來處理�����。 纖維保護(hù)可以在每個(gè)纖維中單獨(dú)地實(shí)現(xiàn)�����,如上文關(guān)于固定光纖所詳述的�。 數(shù)據(jù)流 下文公開了用于數(shù)據(jù)流保護(hù)的示范性的方法。使用生成樹協(xié)議����,工作纖維端口可以被 分配較低的路徑代價(jià)(例如,100)�����,而保護(hù)纖維端口可以被分配較高的路徑代價(jià)(例如��,1�����, 000)�����。這可以確保網(wǎng)絡(luò)將自動優(yōu)選工作纖維����,但是在工作纖維故障的情況下將切換到保護(hù) 纖維。 保護(hù)安全設(shè)備可以監(jiān)控鏈路并且可以應(yīng)用冗余模式功能����。冗余模式可以任選地由用戶 定義為如下模式之一:自動��、故障不還原���、強(qiáng)制工作、強(qiáng)制保護(hù)�、從動或禁用。 在自動模式下���,在正常操作中����,工作纖維可以是活躍的并且可以承載業(yè)務(wù)��。保護(hù)纖維可 以處于代碼模式并且系統(tǒng)受到保護(hù)�����。 當(dāng)兩種纖維都可以承載業(yè)務(wù)時(shí)���,可以采用該正常模式,而優(yōu)選的纖維是工作纖維���,包括 當(dāng)其故障且隨后恢復(fù)的情況����。 纖維鏈路可以是可操作(即,在正常工作狀態(tài)下鏈路上行)或者是不可操作的(鏈路下 行���,例如由于如上文關(guān)于光纖安全性所詳述的纖維安全事件之后電纜斷開或者鏈路關(guān)斷引 起)�����。 在保護(hù)纖維由于安全性事件而關(guān)斷的情況下����,該保護(hù)纖維僅能在警報(bào)狀態(tài)被清除之后 才能任選地由用戶被再次啟用���。業(yè)務(wù)可仍由工作纖維承載���,但是系統(tǒng)會不受保護(hù)。 在工作纖維下行的情況下��,業(yè)務(wù)會故障而轉(zhuǎn)移到保護(hù)纖維(如果可操作)��,但是系統(tǒng)不 再受保護(hù)�����。一旦工作纖維鏈路再次為上行,業(yè)務(wù)可以自動切換回到工作纖維而使得系統(tǒng)可 以恢復(fù)保護(hù)��。 在工作纖維由于安全性事件而關(guān)斷的情況下�����,工作纖維僅能任選地由用戶清除警報(bào)狀 態(tài)之后才能再次啟用�����。業(yè)務(wù)仍由保護(hù)纖維(如果可操作)承載�,但是系統(tǒng)不受保護(hù)。 在兩個(gè)鏈路均不可操作的情況下��,系統(tǒng)會處于故障模式并且沒有承載任何業(yè)務(wù)��。 在故障轉(zhuǎn)移而不還原的情況下�����,在正常操作中�,工作纖維可以是活躍的,并且可以承載 業(yè)務(wù)���,而保護(hù)纖維可以處于待命模式并且系統(tǒng)可以受保護(hù)�。 當(dāng)兩個(gè)纖維都承載業(yè)務(wù)時(shí)���,可以采用該正常模式��,優(yōu)選的纖維是工作纖維但是在其故 障的情況下可以被視為受損���,因此業(yè)務(wù)不會自動重返它。保護(hù)纖維是唯一可以使用直至任 選地由用戶評估工作纖維的狀況且重返到它的纖維��。 纖維鏈路可以是可操作地(在正常工作狀態(tài)下鏈路上行)或者不可操作(例如由于如上 文關(guān)于光纖安全性所詳述的纖維安全性事件之后由于電纜斷開或鏈路關(guān)斷導(dǎo)致的鏈路下 行)�����。 在保護(hù)纖維下行的情況下�,業(yè)務(wù)可仍由工作纖維承載,但是系統(tǒng)會不受保護(hù)���。一旦保護(hù) 纖維鏈路再次上行���,系統(tǒng)恢復(fù)保護(hù)。 在保護(hù)纖維由于安全事件而關(guān)斷的情況下����,其僅在任選地用戶清除警報(bào)狀態(tài)之后才被 再次啟用��。業(yè)務(wù)仍可由工作纖維承載��,但是系統(tǒng)不會受到保護(hù)�。 在工作纖維下行的情況下�,業(yè)務(wù)可以故障而轉(zhuǎn)移到保護(hù)纖維(如果可操作),但是系統(tǒng) 不會受到保護(hù)�����。一旦工作纖維鏈路再次上行�����,業(yè)務(wù)可以重返工作纖維���,任選地通過手動方 式�����,并且系統(tǒng)可以恢復(fù)保護(hù)���。在此之前����,系統(tǒng)不受保護(hù)����。 在工作纖維由于安全事件而被關(guān)斷的情況下��,其僅能在用戶清除該警報(bào)狀態(tài)之后才能 再被啟用�。業(yè)務(wù)仍由保護(hù)纖維(如果可操作)承載,但是系統(tǒng)不受保護(hù)�。 在兩個(gè)鏈路均不可操作的情況下,系統(tǒng)會處于故障模式����,并且不承載任何業(yè)務(wù)。 在強(qiáng)制工作模式下��,在正常操作中�����,工作纖維可以是活躍的并且可以承載業(yè)務(wù)�����,但是保 護(hù)纖維可以被關(guān)斷并且系統(tǒng)會受到保護(hù)。 工作纖維鏈路可以是可操作的(鏈路上下�����,因此是正常工作狀態(tài))或者不可操作(例如�, 由于如上文關(guān)于光纖安全性詳述的光纖安全性事件之后的電纜斷開或鏈路關(guān)斷導(dǎo)致的鏈 路下行)。 在保護(hù)纖維下行的情況下��,系統(tǒng)會處于故障模式并且沒有承載任何業(yè)務(wù)��。 在保護(hù)纖維由于安全性事件被關(guān)斷的情況下�,其僅在任選地用戶清除警報(bào)狀態(tài)之后才 能再被啟用。系統(tǒng)處于故障模式����。 在強(qiáng)制保護(hù)模式下,在正常操作中��,保護(hù)纖維可以是活躍的并且可以承載業(yè)務(wù)�,但是工 作纖維可以關(guān)斷并且系統(tǒng)可以受保護(hù)。 保護(hù)纖維鏈路可以是可操作的(例如�����,鏈路上行和正常工作狀態(tài))或者是不可操作的 (即,由于如上文關(guān)于光纖安全性詳述的光纖安全性事件之后的電纜斷開或鏈路關(guān)斷而導(dǎo) 致的鏈路下行)�����。 在保護(hù)纖維下行的情況下����,系統(tǒng)會處于故障模式并且沒有承載任何業(yè)務(wù)。 在保護(hù)纖維由于安全事件而被關(guān)斷的情況下����,其僅能在任選地用戶清除警報(bào)狀態(tài)之后 才能再被啟用�����。系統(tǒng)會處于故障模式����。 在從動模式下,所有的決策由主設(shè)備做出�����。發(fā)信可用于將測量自從設(shè)備傳送給主設(shè)備����, 如上文關(guān)于光纖安全性所詳述的�。 在禁用模式下�,功能可被禁用,并且端口以標(biāo)準(zhǔn)方式起作用��。 配置凍結(jié) 在一些實(shí)施方案中��,安全設(shè)備可以包括按鈕�,該按鈕可以用于控制安全設(shè)備的遠(yuǎn)程管 理功能。在一些實(shí)施方案中�,按鈕可被隱藏。任選地�����,安全設(shè)備可以進(jìn)一步包括鎖發(fā)光二極 管(LED)從而指示安全設(shè)備的模式�。這些特征可以為安全設(shè)備本身提供安全性和保護(hù)。 安全設(shè)備可以缺省地允許遠(yuǎn)程管理和配置�。 一旦結(jié)束安全設(shè)備的配置和準(zhǔn)備過程,不再需要進(jìn)一步對配置的任何變化����。因此,在該 階段����,通過按下按鈕一次或者通過經(jīng)由網(wǎng)絡(luò)���、命令線接口(CLI)或簡單網(wǎng)絡(luò)管理協(xié)議(SNMP) 的遠(yuǎn)程命令,安全設(shè)備的遠(yuǎn)程變化可被鎖定�。 在該新的鎖定模式下,安全設(shè)備可以不執(zhí)行任何配置動作��,直至按鈕被物理地按下且 鎖定被釋放���。在鎖定模式下����,前面板上的鎖LED可以接通����。例如���,可以阻止所有的SNMP設(shè)置命 令��、網(wǎng)絡(luò)登記和CLI配置��。僅可以啟用讀功能���。上述的異?���?梢允遣挥绊懼T如改變離散輸出 狀態(tài)的配置的功能�。甚至當(dāng)安全設(shè)備處于鎖定模式時(shí),這些功能也可以保持活躍����。 一旦安全設(shè)備上行且在正常模式下運(yùn)行,其可以監(jiān)控按鈕狀態(tài)���。阻止模式可以通過執(zhí) 行對于每個(gè)安全設(shè)備配置的各種操作來實(shí)現(xiàn)���。這些操作的一些實(shí)施例詳述于下文中。 可通過禁用到相關(guān)URL的相關(guān)超文本傳輸協(xié)議(HTTP)登記命令來阻止網(wǎng)絡(luò)接口實(shí)現(xiàn)的 任何配置變化����; 通過禁止到管理信息庫(MIB)中的相關(guān)對象標(biāo)識符(OID)的SNMP設(shè)置命令,可以阻止通 過SNMP接口實(shí)現(xiàn)的任何配置變化��; 通過禁用相關(guān)的配置命令�����,可以阻止通過CLI(串行的或ssh/遠(yuǎn)程注冊)實(shí)現(xiàn)的任何配 置變化; 鎖LED可以接通�����; 當(dāng)處于鎖定模式時(shí)����,可以持續(xù)地監(jiān)控按鈕狀態(tài)。通過再次物理地按壓按鈕�,可以執(zhí)行解 鎖,從而切換狀態(tài)���。 安全設(shè)備隨后可以例如通過禁用到相關(guān)URL的相關(guān)http注冊命令來解鎖通過網(wǎng)絡(luò)接口 實(shí)現(xiàn)的配置變化���。安全設(shè)備可以通過禁用到MIB中的相關(guān)OID的SNMP設(shè)置命令來解鎖通過 S匪P接口實(shí)現(xiàn)的配置變化。通過禁用相關(guān)配置命令����,安全設(shè)備可以解鎖通過CLI (串行的或 ssh/遠(yuǎn)程注冊)實(shí)現(xiàn)的配置變化���。鎖LED隨后可以關(guān)斷����。 本發(fā)明可以是系統(tǒng)、方法和/或計(jì)算機(jī)程序產(chǎn)品�。計(jì)算機(jī)程序產(chǎn)品可以包括計(jì)算機(jī)可讀 存儲介質(zhì)(或多個(gè)介質(zhì)),其上有使得處理器實(shí)施本發(fā)明的方案的計(jì)算機(jī)可讀程序指令���。 計(jì)算機(jī)可讀存儲介質(zhì)可以是能夠保持并且存儲指令以便通過指令執(zhí)行設(shè)備使用的有 形設(shè)備���。計(jì)算機(jī)可讀存儲介質(zhì)可以是例如但不限于電子存儲設(shè)備、磁存儲設(shè)備����、光存儲設(shè) 備、電磁存儲設(shè)備�、半導(dǎo)體存儲設(shè)備或上述任何適合的組合。計(jì)算機(jī)可讀存儲介質(zhì)的更具體 實(shí)施例的非窮盡列表包括如下:其中記錄有指令的便攜式計(jì)算機(jī)磁盤�����、硬盤�����、隨機(jī)存取存儲 器(RAM)����、只讀存儲器(ROM)���、可擦除可編程只讀存儲器(EPROM或閃速存儲器)、靜態(tài)隨機(jī)存 取存儲器(SRAM)��、便攜式壓縮盤只讀存儲器(CD-ROM)���、數(shù)字多功能盤(DVD)�����、記憶棒���、軟盤、 諸如在打孔卡或凹槽中有凸起結(jié)構(gòu)的機(jī)械編碼設(shè)備����,以及前述任何適合的組合。本文所使 用的計(jì)算機(jī)可讀存儲介質(zhì)本身不應(yīng)解釋為暫態(tài)信號����,諸如無線電波或其它自由傳播的電磁 波、通過波導(dǎo)或其它傳輸介質(zhì)傳播的電磁波(例如���,通過光纖電纜的光脈沖)或通過電線傳 送的電信號���。 本文所描述的計(jì)算機(jī)可讀程序指令可以從計(jì)算機(jī)可讀存儲介質(zhì)下載到相應(yīng)的計(jì)算/處 理設(shè)備,或者經(jīng)由例如因特網(wǎng)���、局域網(wǎng)���、廣域網(wǎng)和/或無線網(wǎng)的網(wǎng)絡(luò)下載到外部計(jì)算機(jī)或外 部存儲設(shè)備。網(wǎng)絡(luò)可以包括銅傳輸電纜���、光纖傳輸�、無線傳輸���、路由器���、防火墻、交換機(jī)�����、網(wǎng)關(guān) 計(jì)算機(jī)和/或邊緣服務(wù)器�����。各個(gè)計(jì)算/處理設(shè)備中的網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口從網(wǎng)絡(luò)接收計(jì)算 機(jī)可讀程序指令并且轉(zhuǎn)送計(jì)算機(jī)可讀程序指令以便存儲在相應(yīng)的計(jì)算/處理設(shè)備內(nèi)的計(jì)算 機(jī)可讀存儲介質(zhì)中。 用于實(shí)施本發(fā)明的操作的計(jì)算機(jī)可讀程序指令可以是匯編指令����、指令集體系結(jié)構(gòu) (ISA)指令、機(jī)器指令���、機(jī)器相關(guān)指令��、微碼���、固件指令、狀態(tài)設(shè)置數(shù)據(jù)�、或以源碼或以包括面 向?qū)ο缶幊陶Z言如Small talk、C++等以及常規(guī)程式編程語言如"C"編程語言或類似編程語 言在內(nèi)的一種或多種編程語言的任何組合便攜的對象代碼����。計(jì)算機(jī)可讀程序指令可以完全 在用戶計(jì)算機(jī)上執(zhí)行,部分地在用戶計(jì)算機(jī)上執(zhí)行�,作為獨(dú)立軟件包執(zhí)行,部分地在用戶計(jì) 算機(jī)上以及部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行��,或者完全在遠(yuǎn)程計(jì)算機(jī)或服務(wù)器上執(zhí)行�����。在后者方 案中,遠(yuǎn)程計(jì)算機(jī)可以通過包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)在內(nèi)的任何類型的網(wǎng)絡(luò)連接到 用戶計(jì)算機(jī)��,或者可以實(shí)現(xiàn)到外部計(jì)算機(jī)的連接(例如�,利用因特網(wǎng)服務(wù)提供商經(jīng)由因特 網(wǎng))��。在一些實(shí)施方案中�����,包括例如可編程邏輯電路�、現(xiàn)場可編程門陣列(FPGA)或可編程邏 輯陣列(PLA)在內(nèi)的電子電路系統(tǒng)可以通過使用計(jì)算機(jī)可讀程序指令的狀態(tài)信息個(gè)性化電 子電路系統(tǒng)來執(zhí)行計(jì)算機(jī)可讀程序指令,從而執(zhí)行本發(fā)明的方案�����。 本文中參考了根據(jù)本發(fā)明的實(shí)施方案的流程圖和/或方法����、裝置(系統(tǒng))和計(jì)算機(jī)程序 產(chǎn)品的框圖描述了本發(fā)明的方案。將理解的是�����,流程圖和/或框圖的各個(gè)塊以及流程圖和/ 或框圖的框的組合能夠通過計(jì)算機(jī)可讀程序指令來實(shí)現(xiàn)。 這些計(jì)算機(jī)可讀程序指令可以提供給通用計(jì)算機(jī)��、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理 裝置的處理器以制成機(jī)器�����,使得經(jīng)由計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行的指 令產(chǎn)生了用于實(shí)現(xiàn)在流程圖和/或框圖的一個(gè)或多個(gè)框所規(guī)定的功能/行為的手段�。這些計(jì) 算機(jī)可讀程序指令還可以存儲在計(jì)算機(jī)可讀存儲介質(zhì)中,計(jì)算機(jī)可讀存儲介質(zhì)能夠指引計(jì) 算機(jī)�、可編程數(shù)據(jù)處理裝置和/或其它設(shè)備以特定方式運(yùn)作,使得其中存儲有指令的計(jì)算機(jī) 可讀存儲介質(zhì)包括包含能夠?qū)崿F(xiàn)流程圖和/或框圖的一個(gè)或多個(gè)框中規(guī)定的功能/行為的 方案的指令的制造品��。 計(jì)算機(jī)可讀程序指令還可以裝載到計(jì)算機(jī)��、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備上以 使得在計(jì)算機(jī)�、其它可編程裝置或其它設(shè)備上執(zhí)行一系列操作步驟而生成計(jì)算機(jī)實(shí)現(xiàn)過 程,使得在計(jì)算機(jī)���、其它可編程裝置或其它設(shè)備上執(zhí)行的指令實(shí)現(xiàn)流程圖和/或框圖的一個(gè) 或多個(gè)框中規(guī)定的功能/行為�����。 圖中的流程圖和框圖圖示出了根據(jù)本發(fā)明的各個(gè)實(shí)施方案的系統(tǒng)���、方法和計(jì)算機(jī)程序 產(chǎn)品的可能的實(shí)現(xiàn)方式的體系結(jié)構(gòu)�����、功能和操作����。在這方面�,流程圖或框圖中的各個(gè)框可以 代表模塊��、區(qū)段或指令部分�,其包括用于實(shí)現(xiàn)規(guī)定的邏輯功能的一個(gè)或多個(gè)可執(zhí)行指令。在 一些可選的實(shí)現(xiàn)方式中�,在框中提到的功能可以不按圖中給出的順序而發(fā)生。例如���,連續(xù)顯 示的兩個(gè)框事實(shí)上可以基本同時(shí)執(zhí)行��,或者框有時(shí)可以按相反的順序執(zhí)行�,取決于所涉及 的功能����。還值得注意的是,框圖和/或流程圖中所示的各個(gè)框以及框圖和/或流程圖中的框 的組合能夠通過執(zhí)行規(guī)定的功能或行為或?qū)嵤S糜布陀?jì)算機(jī)指令的組合的基于專用 硬件的系統(tǒng)來實(shí)現(xiàn)��。 本發(fā)明的各個(gè)實(shí)施方案的描述已經(jīng)為圖示目的而提供,但是不意在窮盡或局限于公開 的實(shí)施方案�。許多變型例和變換對于本領(lǐng)域普通技術(shù)人員而言將是顯而易見的,而不偏離 所描述的實(shí)施方案的范圍和精神��。本文所使用的術(shù)語經(jīng)過選擇以便最佳地解釋實(shí)施方案的 原理��、實(shí)際應(yīng)用或相對于在市場算上所見技術(shù)的技術(shù)改進(jìn)��,或者使得本領(lǐng)域普通技術(shù)任意 能夠理解本文公開的實(shí)施方案�����。
【主權(quán)項(xiàng)】
1. 用于網(wǎng)絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)��,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工具�,所述安全系統(tǒng)包括一個(gè)或 多個(gè)安全設(shè)備,其中所述一個(gè)或多個(gè)安全設(shè)備中的每個(gè)安全設(shè)備與所述多個(gè)網(wǎng)絡(luò)安全工具 中的一個(gè)或多個(gè)網(wǎng)絡(luò)安全工具相關(guān)聯(lián)����,并且其中每個(gè)安全設(shè)備包括: i)網(wǎng)絡(luò)接口,其包括一個(gè)或多個(gè)端口�����,其中與所述安全設(shè)備相關(guān)聯(lián)的所述一個(gè)或多個(gè) 網(wǎng)絡(luò)安全工具中的每個(gè)網(wǎng)絡(luò)安全工具經(jīng)由所述端口中的不同的端口與所述安全設(shè)備可操 作地耦合����; i i)至少一個(gè)硬件處理器�,其被配置為: (a) 在所述安全設(shè)備初始設(shè)置時(shí)�,創(chuàng)建所述網(wǎng)絡(luò)的活動的基準(zhǔn)配置文件,以及 (b) 在保護(hù)模式啟動之后���,通過檢測通過所述端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配 置文件的偏離來識別非常規(guī)事件����。2. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)���,其中在識別出非常規(guī)事件時(shí),所述至少一個(gè)硬件 處理器被進(jìn)一步配置為采取至少一種措施來保護(hù)網(wǎng)絡(luò)�。3. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng),其中所述至少一個(gè)措施從由如下構(gòu)成的組中選 出:生成事件日志�,發(fā)出警告,禁用端口���,注銷所述非常規(guī)事件����,執(zhí)行反攻���,阻止來自所述多 個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具 的通信�,以及發(fā)送關(guān)于所述非常規(guī)事件的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析。4. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)��,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合�����, 所述基準(zhǔn)配置文件包括所述光纖的長度�����,以及 所述端口包括裝備有光學(xué)時(shí)域反射計(jì)(OTDR)的小形狀因數(shù)可插入收發(fā)器(SFP)��,其中 所述SFP用于監(jiān)控所述光纖的反射率�����,并且其中所述反射率表示所述光纖的長度����。5. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng),其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合�����, 所述基準(zhǔn)配置文件包括所述光纖的衰減率,以及 所述端口包括裝備有OTDR的SFP���,其中所述SFP被查詢從所述光纖接收到的功率�,并且 其中從所述光纖接收到的功率的變化指示所述光纖的衰減率的變化��。6. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)�����,其中: 所述端口包括至少一個(gè)電端口���, 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過電纜與所述電端口耦合�����, 所述基準(zhǔn)配置文件包括所述電纜的長度和狀態(tài),以及 所述硬件處理器被進(jìn)一步配置為監(jiān)控所述電端口以得到所述電纜的長度和狀態(tài)���。7. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)�����,其中: 所述端口包括具有電源支持的一個(gè)或多個(gè)端口�; 所述多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具與具有電源支持的所述一個(gè)或多個(gè)端口中的具有電 源支持的端口耦合,其中具有電源支持的所述端口向所述網(wǎng)絡(luò)工具供電����, 所述基準(zhǔn)配置文件包括所述網(wǎng)絡(luò)工具的功率使用,以及 所述硬件處理器被進(jìn)一步配置為監(jiān)控具有電源支持的所述端口以得到所述網(wǎng)絡(luò)工具 的功率使用�����。8. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)�,其中: 所述一個(gè)或多個(gè)安全設(shè)備中的安全設(shè)備進(jìn)一步包括網(wǎng)絡(luò)端口,所述網(wǎng)絡(luò)端口被配置為 將與所述安全設(shè)備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦合�, 所述基準(zhǔn)配置文件包括所述多個(gè)網(wǎng)絡(luò)工具的特性,以及 所述硬件處理器被進(jìn)一步配置為: (i) 從所述安全設(shè)備的端口中選定一個(gè)或多個(gè)端口����,以及 (ii) 監(jiān)控通過選定的一個(gè)或多個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)以得到由與選定的一個(gè)或多個(gè)端口 耦合的一個(gè)或多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具生成的指示所述網(wǎng)絡(luò)工具的特性的入站業(yè)務(wù)。9. 如權(quán)利要求8所述的網(wǎng)絡(luò)安全系統(tǒng)��,其中所述硬件處理器被進(jìn)一步配置為獲取通過 選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分��,其中在選定的一個(gè)或多個(gè)端口中 的每個(gè)端口處的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來執(zhí)行的��。10. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)�����,其中: 所述一個(gè)或多個(gè)安全設(shè)備中的安全設(shè)備進(jìn)一步包括網(wǎng)絡(luò)端口,所述網(wǎng)絡(luò)端口被配置為 將與所述安全設(shè)備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦合�, 所述基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表,以及 所述硬件處理器被進(jìn)一步配置為: (i) 從所述端口中選定一個(gè)或多個(gè)端口��,以及 (ii) 監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定端口耦合的網(wǎng)絡(luò)工具生成的入 站或出站業(yè)務(wù)中的網(wǎng)絡(luò)流�。11. 如權(quán)利要求10所述的網(wǎng)絡(luò)安全系統(tǒng),其中所述硬件處理器被進(jìn)一步配置為獲取通 過選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分�,其中在選定的一個(gè)或多個(gè)端口 中的每個(gè)端口處的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來執(zhí)行的。12. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)���,其中所述一個(gè)或多個(gè)安全設(shè)備中的至少一個(gè)安 全設(shè)備進(jìn)一步包括按鈕��,所述按鈕被配置為控制所述至少一個(gè)安全設(shè)備的遠(yuǎn)程管理和配 置�。13. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全系統(tǒng)����,進(jìn)一步包括在光纖的兩個(gè)相對側(cè)與所述光纖耦 合的第一安全設(shè)備和第二安全設(shè)備,并且其中: 所述第一安全設(shè)備被指定為主設(shè)備并且執(zhí)行網(wǎng)絡(luò)上的策略實(shí)施��,以及 所述第二安全設(shè)備被指定為從設(shè)備并且被配置為: (i)執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)的測量�����,以及 (i i)將所述測量轉(zhuǎn)送到所述第一安全設(shè)備�。14. 用于保護(hù)網(wǎng)絡(luò)的安全設(shè)備,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工具�����,所述安全設(shè)備包括|: 網(wǎng)絡(luò)接口����,其包括一個(gè)或多個(gè)端口,其中所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具 中的每一個(gè)經(jīng)由端口中的不同端口與所述安全設(shè)備可操作地耦合��; 至少一個(gè)硬件處理器����,其被配置為: (a) 在所述安全設(shè)備初始設(shè)置時(shí),創(chuàng)建所述網(wǎng)絡(luò)的活動的基準(zhǔn)配置文件���,以及 (b) 在保護(hù)模式啟動之后���,通過檢測通過所述端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配 置文件的偏離來識別非常規(guī)事件。15. 如權(quán)利要求14所述的安全設(shè)備��,其中在識別出非常規(guī)事件時(shí)���,所述至少一個(gè)硬件處 理器被進(jìn)一步配置為采取至少一種措施來保護(hù)網(wǎng)絡(luò)�����。16. 如權(quán)利要求14所述的安全設(shè)備���,其中所述措施從如下構(gòu)成的組中選出:生成事件日 志�����,發(fā)出警告�,禁用端口��,注銷所述非常規(guī)事件�����,執(zhí)行反攻��,阻止來自所述多個(gè)網(wǎng)絡(luò)工具中的 一個(gè)或多個(gè)網(wǎng)絡(luò)工具或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信�����,以及發(fā)送 關(guān)于所述非常規(guī)事件的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析�。17. 如權(quán)利要求14所述的安全設(shè)備�����,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合,以及 所述基準(zhǔn)配置文件包括所述光纖的長度��, 并且其中所述端口包括裝備有光學(xué)時(shí)域反射計(jì)(OTDR)的SFP���,其中所述SFP用于監(jiān)控所 述光纖的反射率����,并且其中所述反射率表示所述光纖的長度����。18. 如權(quán)利要求14所述的安全設(shè)備,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合�,以及 所述基準(zhǔn)配置文件包括所述光纖的衰減率, 并且其中所述端口包括裝備有OTDR的SFP���,其中所述SFP被查詢從所述光纖接收到的功 率�����,并且其中從所述光纖接收到的功率的變化指示所述光纖的衰減率的變化�。19. 如權(quán)利要求14所述的安全設(shè)備,其中: 所述端口包括至少一個(gè)電端口��, 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過電纜與所述電端口耦合���, 所述基準(zhǔn)配置文件包括所述電纜的長度和狀態(tài)�,以及 所述硬件處理器被進(jìn)一步配置為監(jiān)控所述電端口以得到所述電纜的長度和狀態(tài)�����。20. 如權(quán)利要求14所述的安全設(shè)備���,其中: 所述端口包括具有電源支持的一個(gè)或多個(gè)端口�����; 所述多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具與具有電源支持的所述一個(gè)或多個(gè)端口中的具有電 源支持的端口耦合��,其中具有電源支持的所述端口向所述網(wǎng)絡(luò)工具供電���, 所述基準(zhǔn)配置文件包括所述網(wǎng)絡(luò)工具的功率使用,以及 所述硬件處理器被進(jìn)一步配置為監(jiān)控具有電源支持的所述端口以得到所述網(wǎng)絡(luò)工具 的功率使用��。21. 如權(quán)利要求14所述的安全設(shè)備����,進(jìn)一步包括網(wǎng)絡(luò)端口�,所述網(wǎng)絡(luò)端口被配置為將與 所述安全設(shè)備相關(guān)聯(lián)的一個(gè)或多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦合��,其中: 所述基準(zhǔn)配置文件包括所述多個(gè)網(wǎng)絡(luò)工具的特性����,以及 所述硬件處理器被進(jìn)一步配置為: (i) 從所述端口中選定一個(gè)或多個(gè)端口�����,以及 (ii) 監(jiān)控通過選定的一個(gè)或多個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)以得到由與選定的一個(gè)或多個(gè)端口 耦合的一個(gè)或多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具生成的指示所述網(wǎng)絡(luò)工具的特性的入站業(yè)務(wù)���。22. 如權(quán)利要求21所述的安全設(shè)備���,其中所述硬件處理器被進(jìn)一步配置為獲取通過選 定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分,其中通過選定的一個(gè)或多個(gè)端口中 的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來執(zhí)行的���。23. 如權(quán)利要求14所述的安全設(shè)備���,進(jìn)一步包括網(wǎng)絡(luò)端口,所述網(wǎng)絡(luò)端口被配置為將與 所述安全設(shè)備相關(guān)聯(lián)的多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦合��,其中: 所述基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表,以及 所述硬件處理器被進(jìn)一步配置為: (i) 從所述端口中選定一個(gè)或多個(gè)端口���,以及 (ii) 監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定端口耦合的多個(gè)網(wǎng)絡(luò)工具中的 網(wǎng)絡(luò)工具生成的入站或出站業(yè)務(wù)中的網(wǎng)絡(luò)流�����。24. 如權(quán)利要求14所述的安全設(shè)備����,其中所述硬件處理器被進(jìn)一步配置為獲取通過選 定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分����,其中通過選定的一個(gè)或多個(gè)端口中 的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來執(zhí)行的。25. 如權(quán)利要求14所述的安全設(shè)備���,進(jìn)一步包括按鈕�����,所述按鈕被配置為控制所述安全 設(shè)備的遠(yuǎn)程管理和配置�。26. 保護(hù)網(wǎng)絡(luò)的方法��,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工具,其中所述多個(gè)網(wǎng)絡(luò)工具中的每個(gè)與 多個(gè)端口中的不同端口可操作地耦合����,所述方法包括使用至少一個(gè)硬件處理器: 初始地創(chuàng)建所述網(wǎng)絡(luò)的活動的基本配置文件;以及 在保護(hù)模式啟動之后�,通過檢測通過所述多個(gè)端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配 置文件的偏離來識別非常規(guī)事件。27. 如權(quán)利要求26所述的方法���,進(jìn)一步包括:在識別出非常規(guī)事件時(shí)����,使用所述至少一 個(gè)硬件處理器來采取至少一個(gè)措施來保護(hù)所述網(wǎng)絡(luò)���。28. 如權(quán)利要求26所述的方法,其中所述措施從由如下構(gòu)成的組中選出:生成事件日 志�����,發(fā)出警告�,禁用端口,注銷所述非常規(guī)事件��,執(zhí)行反攻����,阻止來自所述多個(gè)網(wǎng)絡(luò)工具中的 一個(gè)或多個(gè)網(wǎng)絡(luò)工具或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信�����,以及發(fā)送 關(guān)于所述非常規(guī)事件的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析�。29. 如權(quán)利要求26所述的方法����,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合, 所述基準(zhǔn)配置文件包括所述光纖的長度�,以及 所述端口進(jìn)一步包括裝備有光學(xué)時(shí)域反射計(jì)(OTDR)的SFP, 并且其中所述方法進(jìn)一步包括利用所述至少一個(gè)硬件處理器來使用所述SFP監(jiān)控所述 光纖的反射爐�,并且其中所述反射率表示所述光纖的長度。30. 如權(quán)利要求26所述的方法�����,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合�����, 所述基準(zhǔn)配置文件包括所述光纖的衰減率����,以及 所述端口包括裝備有OTDR的SFP��, 并且其中所述方法進(jìn)一步包括利用至少一個(gè)硬件處理器查詢SFP以得到從所述光纖接 收到的功率��,并且其中從所述光纖接收到的功率的變化指示所述光纖的衰減率的變化����。31. 如權(quán)利要求26所述的方法��,其中: 所述端口包括至少一個(gè)電端口��, 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過電纜與所述電端口耦合���, 所述基準(zhǔn)配置文件包括所述電纜的長度和狀態(tài)�,并且其中所述方法進(jìn)一步包括利用所 述至少一個(gè)硬件處理器來監(jiān)控所述電端口以得到所述電纜的長度和狀態(tài)��。32. 如權(quán)利要求26所述的方法���,其中: 所述端口包括具有電源支持的一個(gè)或多個(gè)端口; 所述多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具與具有電源支持的所述一個(gè)或多個(gè)端口中的具有電 源支持的端口耦合��,其中具有電源支持的所述端口向所述網(wǎng)絡(luò)工具供電���,以及 所述基準(zhǔn)配置文件包括所述網(wǎng)絡(luò)工具的功率使用��, 并且其中所述方法進(jìn)一步包括使用所述至少一個(gè)硬件處理器來監(jiān)控具有電源支持的 所述端口以得到所述網(wǎng)絡(luò)工具的功率使用����。33. 如權(quán)利要求26所述的方法,其中: 所述端口包括網(wǎng)絡(luò)端口�,所述網(wǎng)絡(luò)端口被配置為將所述多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦 合,以及 所述基準(zhǔn)配置文件包括所述多個(gè)網(wǎng)絡(luò)工具的特性�, 并且其中所述方法進(jìn)一步包括使用所述至少一個(gè)硬件處理器: (i)從所述端口中選定一個(gè)或多個(gè)端口,以及 (i i)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定的一個(gè)或多個(gè)端口親合的多個(gè) 網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的指示所述一個(gè)或多個(gè)網(wǎng)絡(luò)工具的特性的入站業(yè) 務(wù)��。34. 如權(quán)利要求33所述的方法�����,進(jìn)一步包括:利用所述至少一個(gè)硬件處理器來獲取通過 選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分�����,其中由所述一個(gè)或多個(gè)網(wǎng)絡(luò)工具 所生成的入站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來執(zhí)行的���。35. 如權(quán)利要求26所述的方法����,其中: 所述端口包括網(wǎng)絡(luò)端口�,所述網(wǎng)絡(luò)端口被配置為將多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦合����,以 及 所述基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表���, 并且其中所述方法進(jìn)一步包括利用所述至少一個(gè)硬件處理器: (i) 從所述端口中選定一個(gè)或多個(gè)端口����,以及 (ii) 監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定端口耦合的多個(gè)網(wǎng)絡(luò)工具中的 一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入站或出站業(yè)務(wù)中的網(wǎng)絡(luò)流���。36. 如權(quán)利要求35所述的方法�����,進(jìn)一步包括利用所述至少一個(gè)硬件處理器來獲取通過 選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部分��,其中由一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成 的入站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來執(zhí)行的����。37. 如權(quán)利要求26所述的方法���,進(jìn)一步包括利用所述至少一個(gè)硬件處理器來控制所述 端口的遠(yuǎn)程管理和配置。38. 用于保護(hù)網(wǎng)絡(luò)的計(jì)算機(jī)程序產(chǎn)品����,所述網(wǎng)絡(luò)包括多個(gè)網(wǎng)絡(luò)工具�����,其中所述多個(gè)網(wǎng)絡(luò) 工具中的每個(gè)與多個(gè)端口中的不同端口可操作地耦合���,所述計(jì)算機(jī)程序產(chǎn)品包括具有與其 一起實(shí)施的程序代碼的非暫態(tài)計(jì)算機(jī)可讀存儲介質(zhì),所述程序代碼能夠由至少一個(gè)硬件處 理器來執(zhí)行以便: 在初始模式下��,創(chuàng)建所述網(wǎng)絡(luò)的活動的基準(zhǔn)配置文件�;以及 在保護(hù)模式啟動之后,通過檢測通過所述多個(gè)端口中的端口的網(wǎng)絡(luò)業(yè)務(wù)與所述基準(zhǔn)配 置文件的偏離來識別非常規(guī)事件��。39. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中所述程序代碼進(jìn)一步能由所述至少一 個(gè)硬件處理器來執(zhí)行以在識別出非常規(guī)事件時(shí)采取至少一種措施來保護(hù)所述網(wǎng)絡(luò)。40. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中所述措施從如下構(gòu)成的組中選出:生成 事件日志,發(fā)出警告���,禁用端口�,注銷所述非常規(guī)事件,執(zhí)行反攻�����,阻止來自所述多個(gè)網(wǎng)絡(luò)工 具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具或者到所述多個(gè)網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具的通信����,以 及發(fā)送關(guān)于所述非常規(guī)事件的數(shù)據(jù)以便在外部專用系統(tǒng)中進(jìn)一步分析。41. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合, 所述基準(zhǔn)配置文件包括所述光纖的長度���,以及 所述端口進(jìn)一步包括裝備有OTDR的SFP�����, 并且其中所述程序代碼進(jìn)一步由所述至少一個(gè)硬件處理器執(zhí)行以使用所述SFP來監(jiān)控 所述光纖的反射率�����,并且其中所述反射率表示所述光纖的長度。42. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中: 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過光纖與所述端口中的端口耦合��, 所述基準(zhǔn)配置文件包括所述光纖的衰減率�,以及 所述端口進(jìn)一步包括裝備有OTDR的SFP���,并且其中所述程序代碼進(jìn)一步能由所述至少 一個(gè)硬件處理器執(zhí)行以查詢SFP以得到從所述光纖接收到的功率���,并且其中從所述光纖接 收到的功率的變化指示所述光纖的衰減率的變化。43. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中: 所述端口包括至少一個(gè)電端口, 所述多個(gè)網(wǎng)絡(luò)工具中的至少一個(gè)網(wǎng)絡(luò)工具通過電纜與所述電端口耦合��, 所述基準(zhǔn)配置文件包括所述電纜的長度和狀態(tài)���,以及 并且其中所述程序代碼進(jìn)一步能由所述至少一個(gè)硬件處理器執(zhí)行以監(jiān)控所述電端口 以得到所述電纜的長度和狀態(tài)����。44. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品��,其中: 所述端口包括具有電源支持的一個(gè)或多個(gè)端口�; 所述多個(gè)網(wǎng)絡(luò)工具中的網(wǎng)絡(luò)工具與具有電源支持的所述一個(gè)或多個(gè)端口中的具有電 源支持的端口耦合�,其中具有電源支持的所述端口向所述網(wǎng)絡(luò)工具供電���,以及 所述基準(zhǔn)配置文件包括所述網(wǎng)絡(luò)工具的功率使用�����, 并且其中所述程序代碼進(jìn)一步能由所述至少一個(gè)硬件處理器執(zhí)行以監(jiān)控具有電源支 持的所述端口以得到所述網(wǎng)絡(luò)工具的功率使用����。45. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中: 所述端口包括網(wǎng)絡(luò)端口,所述網(wǎng)絡(luò)端口被配置為將所述多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦 合���,以及 所述基準(zhǔn)配置文件包括所述多個(gè)網(wǎng)絡(luò)工具的特性�����, 并且其中所述程序代碼進(jìn)一步能由所述至少一個(gè)硬件處理器執(zhí)行以便: (i)從所述端口中選定一個(gè)或多個(gè)端口����,以及 (i i)監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定的一個(gè)或多個(gè)端口親合的多個(gè) 網(wǎng)絡(luò)工具中的一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的指示所述一個(gè)或多個(gè)網(wǎng)絡(luò)工具的特性的入站業(yè) 務(wù)。46. 如權(quán)利要求45所述的計(jì)算機(jī)程序產(chǎn)品�,其中所述程序代碼進(jìn)一步能由所述至少一 個(gè)硬件處理器執(zhí)行以便:獲取通過選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部 分,其中由所述一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來 執(zhí)行的���。47. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品,其中: 所述端口包括網(wǎng)絡(luò)端口���,所述網(wǎng)絡(luò)端口被配置為將多個(gè)網(wǎng)絡(luò)工具與所述網(wǎng)絡(luò)耦合�����,以 及 所述基準(zhǔn)配置文件包括容許網(wǎng)絡(luò)流列表����, 并且其中所述程序代碼進(jìn)一步能由所述至少一個(gè)硬件處理器執(zhí)行以便: (i) 從所述端口中選定一個(gè)或多個(gè)端口����,以及 (ii) 監(jiān)控每個(gè)選定的一個(gè)或多個(gè)端口以得到由與選定端口耦合的多個(gè)網(wǎng)絡(luò)工具中的 一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入站或出站業(yè)務(wù)中的網(wǎng)絡(luò)流。48. 如權(quán)利要求47所述的計(jì)算機(jī)程序產(chǎn)品��,其中所述程序代碼進(jìn)一步能由所述至少一 個(gè)硬件處理器執(zhí)行以便:獲取通過選定的一個(gè)或多個(gè)端口中的每個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)的部 分�,其中由所述一個(gè)或多個(gè)網(wǎng)絡(luò)工具生成的入站業(yè)務(wù)的監(jiān)控是針對所獲取的業(yè)務(wù)的部分來 執(zhí)行的。49. 如權(quán)利要求38所述的計(jì)算機(jī)程序產(chǎn)品����,其中所述程序代碼進(jìn)一步能由所述至少一 個(gè)硬件處理器來執(zhí)行以便控制所述端口的遠(yuǎn)程管理和配置���。
【文檔編號】G08B13/00GK105981079SQ201480046955
【公開日】2016年9月28日
【申請日】2014年7月15日
【發(fā)明人】I·布拉茲皮斯, Y·阿普勒鮑姆, B·本-阿塔, G·班德爾
【申請人】賽博賽爾有限公司