[发明专利]用于网络安全的方法和系统

说明书

描述了用于通过基于两种不同技术(例如，智能NIC和EPP软件)的集成，提供通信地耦合到端点保护平台(EPP)的网络接口设备来改善网络安全性的设备、系统和方法，允许每种技术自动发信号通知另一种并实现自动保护机制以隔离或保护主机、虚拟机和/或容器。

相关申请的交叉引用

本申请要求2017年8月24日提交的美国临时申请号62/549,785的优先权和权益，其全部内容通过引用并入本文。

背景技术

网络接口控制器(NIC)是将计算机连接到计算机网络的计算机硬件组件。一旦连接到网络，通常采用端点保护平台(EPP)来实现端点设备的安全。EPP可能涉及防病毒、反间谍软件、入侵检测/预防、个人防火墙和其他端点保护解决方案。

发明内容

使用当前技术，很难隔离主机、虚拟机和/或表现出安全问题迹象(诸如来自网络其他部分的恶意软件感染)的容器。隔离通常是手动过程，往往需要物理地断开主机与网络的连接。EPP可以检测主机、虚拟机或容器上的安全和网络问题。此外，当前的端点保护平台不会将与安全相关的信号直接传送到网络接口设备，诸如智能NIC。相反，现有网络接口设备未被配置用于将与安全相关的信号直接传送到端点保护平台。

形成鲜明对比的是，本文描述的设备、系统和方法采用智能NIC和EPP之间的信令来交换安全和网络相关事件以增加网络的安全性。本文描述的设备、系统和方法基于两种不同技术(例如，智能NIC和EPP软件)的集成，允许每种技术自动发信号通知另一种并实现自动保护机制以隔离或保护主机、虚拟机和/或容器。本文描述的设备、系统和方法可选地用于在裸机服务器、虚拟机或容器上实现自动安全平台。例如，一旦EPP检测到问题，就会向智能NIC发送自动信号以采取适当行动。此外，如果智能NIC检测到任何网络问题或网络安全相关事件，它会自动发信号通知EPP在主机上执行适当的保护行动。

因此，在一个方面，本文公开的是通信地耦合到端点保护平台(EPP)的网络接口设备，诸如智能NIC，所述网络接口设备包括：用于存储第一指令集的存储器和一个或多个处理器，所述一个或多个处理器被配置用于执行所述第一指令集以：从所述EPP接收报告消息，所述报告消息包括关于检测到的安全威胁，基础系统逻辑的安全状态或安全配置的信息，其中所述EPP托管在所述基础系统逻辑上；和响应于所述报告消息，指示所述网络接口设备执行包括以下中至少一个的一个或多个动作：暂停与所述检测到的安全威胁相关联的网络流量，将所述基础系统逻辑与网络隔离，基于预定的基于欺骗的技术将与所述检测到的安全威胁相关联的网络流量重定向到目标地址和目标端口，向所述网络发送与所述基础系统逻辑的所述安全状态有关的信标消息，防止所述基础系统与互联网主机通信，或暂停应用程序、用户名或服务。在一些实施方式中，所述网络接口设备还被配置用于：监视、控制或同时监视和控制网络流量活动；生成包括关于所述网络接口设备检测到的威胁的信息的警报；并将所述警报转发给所述EPP。在进一步的实施方式中，所述网络接口设备通过过滤所述网络流量来检测所述威胁。在其他实施方式中，所述网络接口设备通过将流量模式与预期的流量模式进行比较来检测所述威胁。在另一实施方式中，所述网络接口设备通过识别恶意软件、病毒、特洛伊木马、嵌入式宏、未经许可的应用程序访问、用于认证的未授权用户名，或尝试发起新服务或应用程序访问来检测所述威胁。在一些实施方式中，所述网络接口设备经由I/O总线或I/O总线的虚拟端口耦合到所述基础系统逻辑。在其他实施方式中，所述网络接口设备经由内部连接或虚拟网络连接耦合到所述基础系统逻辑。在一些实施方式中，所述EPP包括多个安全功能模块。在进一步的实施方式中，所述多个安全功能模块包括防火墙。在进一步的实施方式中，所述多个安全功能模块包括确定所述基础系统逻辑的所述安全状态的模块。在又进一步的实施方式中，所述基础系统逻辑的所述安全状态至少部分地基于对系统性能降低的检测、恶意软件明确证据的检测，或者系统性能降低和恶意软件明确证据两者的检测来确定。在更进一步的实施方式中，所述多个安全功能模块包括生成所述报告消息并将其转发到所述网络接口设备的模块。在一些实施方式中，所述基础系统逻辑包括用于存储第二指令集的存储器和被配置用于执行所述第二指令集以生成所述报告消息的一个或多个处理器。在一些实施方式中，所述基础系统逻辑包括一个或多个虚拟机或容器。在进一步的实施方式中，所述基础系统逻辑包括用于控制所述一个或多个虚拟机或容器的管理程序(hypervisor)或扩展坞底座(docker base)，并且其中所述管理程序或所述扩展坞底座被耦合到所述网络接口设备。在又进一步的实施方式中，所述管理程序或所述扩展坞底座托管在所述基础系统逻辑上。在其他实施方式中，所述管理程序或所述扩展坞底座是所述网络接口设备的组件。在一些实施方式中，所述安全配置包括用于网络接口设备的一个或多个指令。在进一步的实施方式中，所述一个或多个指令包括指引所述网络接口设备执行选自所述一个或多个动作的动作的指令。在一些实施方式中，分析所述报告消息以生成用于网络接口设备的一个或多个控制指令。在进一步的实施方式中，所述一个或多个控制指令包括激活或停用所述网络接口设备的指令，并且其中基于由所述报告消息提供的所述基础系统逻辑的所述安全状态来生成所述控制指令。在进一步的实施方式中，所述一个或多个控制指令包括用于暂停与所述检测到的安全威胁相关联的网络流量的指令，并且其中基于从所述检测到的安全威胁识别的地址来生成控制指令。在进一步的实施方式中，所述一个或多个控制指令包括基于所述预定的基于欺骗的技术将与所述检测到的安全威胁相关联的网络流量重定向到所述目标地址和目标端口的指令，并且其中根据所述报告消息提供的所述检测到的安全威胁和所述安全配置来生成控制指令。在进一步的实施方式中，所述一个或多个控制指令包括向所述网络发送信标消息以通知所述基础系统逻辑的所述安全状态的指令，并且其中当确定所述基础系统逻辑的所述安全状态低于预定阈值时，生成所述控制指令。在又进一步的实施方式中，所述阈值由所述网络接口设备确定。在其他实施方式中，所述阈值由所述EPP确定。