[发明专利]经由边界网关进行信息安全性威胁中断的系统和方法

权利要求书

1.一种用于中断计算机网络中的多个计算设备的至少一个计算设备(105)上的信息安全性攻击的方法，所述方法包括：

接收来自连接至所述多个计算设备的多个监视设备的至少一个监视设备(117)的第一警报和第二警报，其中事件管理器系统(110)经由所述监视设备(117)被链接至所述多个计算设备(105)，其中所述多个计算设备中的每一者具有其由所述多个监视设备(117)中的至少一个监视设备监视的针对信息安全性攻击的网络活动，并且所述多个计算设备中的每一者位于所述多个监视设备中的至少一个监视设备的下游；

所述至少一个监视设备响应于信息安全性攻击的第一检测而生成第一警报并响应于信息安全性攻击的第二检测而生成所述第二警报，其中所述第一警报和所述第二警报两者都包括发起所述计算机网络(100)上的所检测到的信息安全性攻击的源的因特网协议地址及所述计算机网络(100)的所述信息安全性攻击所通过的中间上游网关(118)的身份，由此所述计算设备(105)上的所述信息安全性攻击经过所述中间上游网关(118)和所述计算机网络(100)中的至少一个其它网关，并且其中所述中间上游网关包括所述计算机网络上的网络节点，所述网络节点位于所述多个监视设备中的每一者以及所述计算机网络中的所述至少一个其它网关的上游；

由所述事件管理器系统基于所述第一警报和所述第二警报中包括的身份来确定所述中间上游网关的操作参数；

由所述事件管理器系统(110)基于从所述至少一个监视设备(117)接收的所述第一警报和所述第二警报来确定发起所述计算设备(105)上的所述信息安全性攻击的所述源的所述因特网协议地址是否要被中断；

如果发起所述计算设备(105)上的所述信息安全性攻击的所述源的所述因特网协议地址要被中断，则使用所述事件管理器系统(110)基于所述操作参数来生成第一组指令且将所述第一组指令从所述事件管理器系统(110)传输至所述中间上游网关(118)，其中所述第一组指令用于指令所述中间上游网关(118)以将发起所述信息安全性攻击的所述源的所述因特网协议地址添加至所述中间上游网关(118)的访问控制列表；

在第一时间段已经过去之后，使用所述事件管理器系统(110)基于所述操作参数来生成第二组指令且将所述第二组指令从所述事件管理器系统(110)传输至所述中间上游网关(118)，其中所述第二组指令用于指令所述中间上游网关(118)以将发起所述信息安全性攻击的所述源的所述因特网协议地址从所述中间上游网关(118)的所述访问控制列表移除；

在所述第一时间段期间，由所述事件管理器系统(110)基于安全性警报数据库来确定是否要创建新缓解动作以应对所述第一警报和所述第二警报；以及

如果要创建所述新缓解动作以应对所述第一警报和所述第二警报，则将所述第一警报和所述第二警报从所述事件管理器系统(110)传输至命令中心。

2.如权利要求1所述的方法，其特征在于，将所述第一组指令传输至所述计算机网络(100)的所述中间上游网关(118)包括：

确定是否能使用电信网络将所述第一组指令传输至所述计算机网络(100)的所述中间上游网关(118)；以及

如果确定不能使用所述电信网络传输所述第一组指令，则使用带外网络将所述第一组指令传输至所述计算机网络(100)的所述中间上游网关(118)。

3.如权利要求1所述的方法，其特征在于，生成所述第一组指令包括：

使用所述中间上游网关(118)的所述身份以从中间上游网关(118)品牌及型号数据库选择相关联指令集；以及

使用所选择的指令集编译所述第一组指令。

4.如权利要求1所述的方法，其特征在于，将所述第二组指令传输至所述计算机网络(100)的所述中间上游网关(118)包括：

确定是否能使用电信网络将所述第二组指令传输至所述计算机网络(100)的所述中间上游网关(118)；以及

如果确定不能使用所述电信网络传输所述第二组指令，则使用带外网络将所述第二组指令传输至所述计算机网络(100)的所述中间上游网关(118)。