[发明专利]用于网络微分段和纳分段的安全规则的自动生成

权利要求书

1.一种用于生成网络安全规则的系统，所述系统包括：

一个或多个处理器；以及

一个或多个存储器设备，存储程序代码，所述程序代码被配置为由所述一个或多个处理器执行，所述程序代码包括：

允许连接确定器，包括：

安全规则确定器，被配置为确定跨包括多个资源的网络的安全规则，以及

拓扑映射图生成器，被配置为生成所述网络上的资源之间的许可连接的映射图；

网络流量数据收集器，被配置为收集与所述许可连接上的所述资源之间的数据流量相对应的网络流量数据，所述网络数据指示被用于数据流量的许可连接少于所述许可连接中的其他许可连接；以及

规则生成器，被配置为基于所述安全规则和所述网络流量数据，为所述映射图中指示的所述许可连接生成增强的安全规则，所述增强的安全规则被配置为减少所述许可连接上的数据流量。

2.根据权利要求1所述的系统，其中所述规则生成器还被配置为：

确定所述网络流量数据指示：在一定时间段内，所述许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个；以及

响应于所述网络流量数据指示以下的所述确定，来生成所述增强的安全规则：在一定时间段内，数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。

3.根据权利要求1所述的系统，其中所述规则生成器还被配置为：

标识在特定连接上发起数据流量的过程；以及

为所述特定连接生成增强的安全规则，所述增强的安全规则允许所标识的所述过程在所述特定连接上传输数据，并且拒绝其他过程在所述特定连接上的数据传输。

4.根据权利要求1所述的系统，其中所述规则生成器被配置为：

生成多个增强的安全规则，所述多个增强的安全规则中的每个增强的安全规则对应于多个特定资源中的特定资源；以及

组合所述增强的安全规则，以为包括所述多个特定资源的所述网络的子网生成优化规则。

5.根据权利要求1所述的系统，其中所述网络流量数据收集器被配置为部署多个网络监测代理，以监测所述许可连接上的数据流量。

6.根据权利要求1所述的系统，还包括：

规则测试器，被配置为在短暂持续时间上测试所述增强的安全规则的实现。

7.根据权利要求1所述的系统，还包括：

图形用户界面(GUI)，被配置为：

显示所述增强的安全规则；以及

经由与GUI元素的交互来使能所述安全规则的激活。

8.一种在计算设备中用于生成网络安全规则的方法，所述方法包括：

确定跨包括多个资源的网络的安全规则；

生成所述网络上的资源之间的许可连接的映射图；

收集与所述许可连接上的所述资源之间的数据流量相对应的网络流量数据，所述网络数据指示被用于数据流量的许可连接少于所述许可连接中的其他许可连接；以及

基于所述安全规则和所述网络流量数据，为所述映射图中指示的所述许可连接生成增强的安全规则，所述增强的安全规则被配置为减少所述许可连接上的数据流量。

9.一种在计算设备中用于生成网络安全规则的方法，所述方法包括：

确定跨包括多个资源的网络的安全规则；

生成所述网络上的资源之间的许可连接的映射图；

收集与所述许可连接上的所述资源之间的数据流量相对应的网络流量数据；以及

基于所述安全规则和所述网络流量数据，为所述映射图中指示的许可连接生成增强的安全规则，所述增强的安全规则被配置为减少所述许可连接上的数据流量，其中所述生成所述增强的安全规则包括：

确定所述网络流量数据指示：在一定时间段内，所述许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个；以及

响应于所述网络流量数据指示以下的所述确定，来生成所述增强的安全规则：在一定时间段内，数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。