具有威胁可视化的集成安全系统的制作方法

相关申请的引证

本申请要求于2015年11月3日提交的印度专利申请5944/che/2015的权益，通过引证将其全部内容结合于此。

本发明涉及计算机网络，并且更具体地，涉及网络安全设备的管理和配置技术。

背景技术：

存储在计算机系统及网络中的数据和技术易于受到水平增加的网络威胁的危害。常见的网络攻击类型包括拒绝服务(dos)攻击、欺骗攻击、数据包窃听或拦截等。由于网络威胁的复杂性增加，所以被分配保护计算机网络的任务的管理员的负担越来越重并且装备不足以有效且高效地缓和并解决网络威胁以及网络攻击。当前，为了响应于网络威胁，管理员必须参与手动的、劳动密集型的过程以便配置策略或其他保护系统以试图阻止这样的威胁。

技术实现要素：

总体上，本公开描述了一种集成安全管理系统，该集成安全管理系统提供遍及网络分布的安全设备的集中威胁可视化以及自动控制。

例如，在一个示例性实现方式中，安全管理系统包括一个或多个处理器、存储指令的一个或多个计算机可读存储器，当指令被运行时，所述指令实现实时或近实时地生成并显示动画网络威胁的实时威胁可视化的复杂的用户界面以及可视化引擎。此外，安全管理系统包括威胁数据聚合器，该威胁数据聚合器从部署在安全域(例如，企业网络)内的一个或多个安全设备聚合关于一个或多个威胁的数据。安全管理系统还可包括威胁控制模块，该威胁控制模块能够显示一个或多个威胁并配置部署在网络内的安全设备，包括例如，响应于一个或多个检测的网络攻击来部署创建的或更新的安全策略。管理员可例如，基于从分布式安全设备聚合的数据与由威胁控制模块渲染的威胁的图形表示交互，并且响应于该交互，安全管理系统可识别相关的一组安全设备，在用于所识别的一组安全设备的策略内自动构建具有有序规则的安全策略，并且使用集成安全管理系统的底层网络管理组件的策略部署引擎在所识别的一组安全设备中自动通信和安装策略。

以此方式，安全管理系统使管理员能够在监控来自威胁的图形表示的事件的同时，采取直接动作，诸如选择性阻止或允许流量及应用。因此，企业中的管理员与由安全管理系统渲染的威胁的图形表示交互，以便自动调用安全管理系统的策略/规则模块来配置并更新用于遍及企业的计算机网络部署的安全设备的安全策略。

在附图和以下描述中阐述本发明的一个或多个实施方式的细节。通过该描述、附图和权利要求，本发明的其它特征、目的和优点将是显而易见的。

附图说明

图1是示出具有如本文描述的集成安全管理系统的示例性企业网络的框图。

图2示出在本公开的一个方面中的示例性集成安全管理系统的框图。

图3是在本公开的一个方面中的处理网络流以识别潜在网络威胁的示例性安全设备。

图4a至图4c示出在本公开的各个方面中的由安全管理系统生成的向管理员呈现聚合威胁数据的表示的示例性用户界面。

图5a至图5e示出在本公开的各个方面中的由安全管理系统生成的向管理员呈现与威胁有关的过滤事件数据的表示的示例性用户界面。

图6a至图6d示出在本公开的各个方面中的由安全管理系统生成的示例性用户界面，通过该示例性用户界面，管理员可自动查看并发布与安全策略有关的创建的规则。

图7示出在本公开的一个方面中的由安全管理系统生成的示例性用户界面，通过该示例性用户界面，管理员可进行自动创建的安全策略的部署和/或发布。

图8示出由安全管理系统生成的示例性用户界面，通过该示例性用户界面，管理员可浏览发布或更新的安全策略的作业状态。

图9示出在本公开的一个方面中的由安全管理系统生成的示例性界面，通过该示例性界面，管理员可浏览威胁设备的来源或目的地细节。

图10是示出安全管理系统的示例性操作的流程图。

图11示出计算设备的详细实例，该计算设备可被配置为实现根据本公开的一些实施方式。

具体实施方式

图1是示出具有如本文描述的集成安全管理系统的示例性企业网络的框图。在图1的实例中，企业网络2包括集成安全管理系统10以及以分布式方式遍及网络部署的一个或多个安全设备5。

企业网络2的一个或多个安全设备5a-5c(统称为“安全设备5”)经由形成通信拓扑的通信链路互相连接。通常，安全设备5监控网络2内的数据包流，并且向那些数据包流应用安全服务以保护网络内的计算资源(未示出)，诸如提供网络连接的网络服务器、终端用户计算机以及基础设施设备。例如，安全设备5可对数据包流执行深度包检测，以检测指示威胁(诸如，网络攻击、病毒、恶意软件等)的数据包流内的模式或异常。在该处理过程中，安全设备5通常应用限定与数据包流比较的标准(例如，报头信息、模式、异常信息)的策略，并且采取由策略指定的动作，诸如丢弃数据包流、记录数据包流或者将数据包流重定向至数据包分析器以用于进一步分析。安全设备5可包括例如，防火墙或其他入侵检测系统(ids)或入侵防御系统(idp)，或者甚至被配置为向网络2内的数据包流应用网络安全服务的高端路由器或服务节点。

尽管在本公开中被描述为传输、传送或以另外方式支持数据包，但是企业网络2可根据由任意其他协议限定的任意其他离散数据单元来传输数据，诸如由异步传输模式(atm)协议限定的小区或者由用户数据报协议(udp)限定的数据报。将安全设备5互相连接的通信链路可以是物理链路(例如，光纤、铜等)或无线链路。企业网络2可耦接至一个或多个额外专用网络或公共网络，例如，因特网(未示出)。

在图1的实例中，企业网络2被示出为经由通信链路7a-7c分别耦接至公共网络4a-4c(统称为“公共网络4”)(例如，因特网)。公共网络4可包括例如，一个或多个客户端计算设备。公共网络4可提供向网络服务器、应用服务器、公共数据库、媒体服务器、终端用户设备以及其他类型的网络资源设备及内容的访问。公共网络4中的网络设备可向企业网络2呈现大量安全威胁。例如，公共网络4中的设备可试图向安全设备5中的一个或多个传递蠕虫、木马和/或病毒。作为另一实例，使用公共网络4中的设备的黑客可试图潜入企业网络2以监听、损坏、破坏或窃取由一个或多个安全设备5存储的信息。

如本文描述的，安全管理系统10使得能够通过收集并聚合来自安全设备5的威胁信息并且呈现遍及企业网络2呈现的网络威胁的统一、实时的可视化，来进行安全设备5的集中管理。此外，安全管理系统10提供了一种集成系统，该集成系统响应于网络威胁，向网络管理员(例如，管理员12)提供用于管理安全设备5的集中、单点控制。

例如，当在安全域(例如，企业网络2)内检测和识别到威胁时，安全管理系统10从安全设备5实时接收并聚合数据。安全管理系统10基于从分布式安全设备5聚合的数据渲染并维持所识别的威胁的动画表示。响应于来自管理员12的交互，安全管理系统10识别相关的一组安全设备5，在用于所识别一组安全设备5的策略内自动构建具有有序规则的安全策略，并且使用在安全管理系统10内集成的底层策略部署引擎在所识别的一组安全设备5中自动通信和安装策略。在图1的实例中，安全管理系统10被示出为参与和安全设备5的配置会话9a-9c(统称为“配置会话9”)，以便在所识别的一组安全设备5中通信和安装策略。

以此方式，安全管理系统10使管理员12能够在监控来自网络2内的任意地方识别的威胁的表示的事件的同时，采取直接动作，诸如选择性阻止或允许流量及应用。因此，管理员能够与由安全管理系统10渲染的威胁的表示交互，以便自动配置并更新遍及网络2部署的安全设备5的安全策略。

在通常的实践中，安全管理系统10以及由安全管理系统10管理的安全设备5可由企业的it部集中维护。管理员12可与安全管理系统10交互以远程监控和配置安全设备5。例如，管理员12可接收来自安全管理系统10的关于安全设备5的警报，浏览安全设备5的实时威胁和配置信息数据，挖掘过滤威胁数据的过滤表示，创建或更新用于安全设备5的安全策略，向企业网络2添加新的安全设备，从企业网络2移除现有安全设备，或以另外方式操纵企业网络2以及其中的安全设备。尽管相对于企业网络进行描述，但是本发明的技术可适用于其他公共和私人的网络类型，包括lan、vlan、vpn等。

管理员12可使用安全管理系统10来向安全设备5配置安全策略，其中，每个安全策略表示指定管理员12的目标的某些操作特征(进一步为对象)的一组一个或多个有序规则。例如，管理员12可使用具有一批有序规则组的策略，来为安全设备5指定关于传入或传出因特网协议(ip)流量的安全的具体安全策略。尽管相对于策略和规则进行描述，但是本公开的技术可适用于安全设备的其他方面，包括修改路由表或涉及更新或重排预先存在的安全策略或规则的其他方面。

通常，安全设备5将用于特定策略(例如，安全)的数据维持为各自键入至唯一标识符的一个或多个规则的有序列表。当在所管理安全设备5中的一个中出现触发事件(诸如接收网络数据包)时，安全设备5依次遍历有序列表以确定应用至触发事件数据的列表中的第一策略规则。如果安全设备发现可适用的策略规则，则安全设备继续以执行指定动作(例如，丢弃数据包、更新流量记录或重定向数据包以用于进一步分析和检查、阻止或允许数据包)。在题为“确定用于政策规则的远程重排的重排命令(determiningreordercommandsforremotereorderingofpolicyrules)”的美国专利8,429,255以及题为“使用用于远程数据包的设备管理协议的网络设备配置的远程生效(remotevalidationofnetworkdeviceconfigurationusingadevicemanagementprotocolforremotepacket)”的美国专利第8,248,958号中描述了能够管理安全设备以及向其部署策略的集中网络管理系统的进一步示例性细节，其每一个的内容通过引证结合于此。在如瞻博网络(junipernetworks)，“瞻博网络网络和安全管理器管理指南修订2009.1(junipernetworksnetworkandsecuritymanageradministrationguiderevision2009.1)”，2009年8月(可通过访问http://www.juniper.net/techpubs/software/management/security-manager/nsm2009_1/nsm-admin-guide.pdf获得)中描述的网络和安全管理器(nsm)应用中描述了进一步实例，其全部内容通过引证全部结合于此。

图2是示出在本公开的一个方面中的示例性集成安全管理系统10的框图。如本文描述的，安全管理系统10提供系统和界面，管理员12利用该系统和界面来浏览实时或近实时威胁，快速评估与给定威胁有关的过滤威胁数据的过滤表示以用于全面分析，并且响应于威胁来配置或修改安全设备5的各个安全策略。在图2中，例如，安全管理系统10的威胁控制模块17构建并输出界面以使管理员12浏览例如，网格、图表或地图上的实时威胁，以便挖掘与威胁有关的过滤威胁数据的各种过滤表示，以在用于安全设备5中的一个或多个的当前策略或新的策略中插入或配置新的规则，以生成用于安全设备5的更新策略，并删除或改变现有规则的顺序。响应于生成新的策略或更新的策略，管理员12可基于新的策略或更新的策略，将安全管理系统10引导为通过策略部署引擎26向安全设备5中的一个或多个部署配置。在某些方面中，作为例如，对威胁的检测的响应，安全管理系统10自动修改安全设备5的策略。

不同于传统系统，在一些示例性实现方式中，安全管理系统10实时或近实时地提供企业范围威胁的实时威胁可视化，并且在可视化过程中向安全设备5集成自动策略生成和部署，由此在集中管理系统中提供用于监控并对威胁采取行动的无缝用户体验。在网络攻击的过程中，当解决和缓和攻击的速度可能是关键性的时候，与安全管理系统10的自动策略生成和部署耦接的集中的、企业范围的实时威胁可视化可能是有优势的。安全管理系统10将威胁聚合及可视化与底层设备管理系统集成，该底层设备管理系统能够集中管理用于网络2的网络设备(包括安全设备5)的配置信息。例如，如本文描述的安全管理系统10的各个实现方式和特征使管理员12能够浏览实时网络流量信息，并且快速诊断并防止攻击，诸如通过使管理员12无缝地快速阻止或临时阻止用于给定组的用户、应用、地理区域、其组合等的网络流量。安全管理系统10可进一步使管理员12允许并非威胁的、但是可能以另外方式被传统技术阻挡的网络流量。因此，安全管理系统10使管理员(多个管理员)12能够向安全设备5无缝更新(例如，构建和部署)安全策略，诸如在特定源地址与目的地地址之间阻止或允许数据包流，只阻止或允许来自源地址的流量，或者只阻止或允许至目的地ip地址的流量。

在图2的实例中，安全管理系统10可从安全设备5中的每一个接收数据包的详细分析。在一个实例中，例如，如本文进一步描述的，安全设备5(诸如ids或idp系统)可分析客户端到服务器和服务器到客户端数据包流，处理数据包以执行应用分类以便识别与每个数据包流有关的应用类型和通信协议(例如，网络电话、雅虎即时通、比特流对等协议)，执行数据包的详细分析，以识别数据包流中的数据包内的专用字段。在图2的实例中，安全管理系统10包括威胁数据聚合器14，该威胁数据聚合器在安全管理系统10的一个或多个处理器上运行以便相对于在网络内检测的任意威胁，聚合从一个或多个安全设备5接收的数据包的详细分析。

安全管理系统10可利用威胁数据聚合器14聚合威胁数据，并且可存储描述存在于威胁数据库16内的网络流量内的每个主动数据包流(activepacketflow)的信息。威胁数据库16可存储安全设备5的与每个主动数据包流有关的规范(即，低水平信息)，诸如与数据包流有关的源设备和目的地设备以及端口。此外，安全设备5可识别共同形成客户端与服务器之间的单个通信会话的成对数据包流。例如，ids200可将通信会话指定为用于共享至少一些共用网络地址、端口和协议的流的相反方向上的成对数据包流。在另一实例中，如果安全设备5不提供系统更新，则安全管理系统10可轮询(poll)安全设备5的流量信息。

在图2的实例中，如图2所示，管理员12可浏览从安全设备5收集的由威胁数据聚合器14聚合并以例如列表、网格、图表或地图的格式存储在威胁数据库16中的聚合威胁数据。在本公开的一个方面中，威胁数据聚合器14可聚合ip流量信息并且收集与威胁有关的各种相关信息，诸如，威胁名称、计数、开始时间、威胁严重性、源位置、源ip地址、目的地位置、目的地ip地址、设备信息、攻击种类、攻击类型、服务、威胁影响以及所采取动作。威胁数据聚合器14可进一步聚合应用使用数据值(诸如，往返应用的流量)以及用户数据(诸如，带宽和会话)。

安全管理系统10的威胁控制模块17可进一步包括可视化模块18，以便诸如在网格、图表或地图视图中生成实时聚合威胁数据的各种过滤表示。可视化模块18也可以以应用使用视图或用户使用视图的形式生成实时聚合威胁数据的过滤表示。随后，威胁控制模块17可向管理员12呈现生成的聚合数据的图形表示以用于安全设备5的交互和配置。

如图2所示，安全管理系统10还可包括在安全管理系统10的一个或多个处理器上运行的策略/规则模块20，其中，策略/规则模块20可基于由安全管理系统10自动生成的或由管理员12限定的以及从威胁控制模块17接收的配置信息而生成用于安全设备5的配置信息。如本文将更详细讨论的，响应于策略/规则模块20创建或修改安全策略，安全管理系统10可在候选策略数据库22中存储配置参数以用于查看和最终发布至提交策略数据库24。安全管理系统10还可包括策略部署引擎26，该策略部署引擎向安全设备5发送更新的安全策略的配置信息。

通常，安全管理系统10的底层策略部署引擎26可使用设计为用于所管理安全设备5内的配置信息数据的管理的一个或多个网络管理协议，诸如简单网络管理协议(snmp)协议或网络配置协议(netconf)协议或其衍生物，诸如瞻博设备管理界面，以管理安全设备5内的安全策略。可在哈林顿等人，rfc3411，“用于描述简单网络管理协议(snmp)管理框架的架构(anarchitecturefordescribingsimplenetworkmanagementprotocol(snmp)managementframeworks)”，网络工作组，因特网工程任务组草案，2002年12月(可通过访问http://tools.ietf.org/html/rfc3411获得)中发现snmp协议的更多细节，其全部内容通过引证结合于此。在r·恩斯等人，rfc4741：“netconf配置协议(netconfconfigurationprotocol)”，网络工作组，因特网工程任务组草案，2006年12月(可通过访问http://tools.ietf.org/html/rfc4741获得)中描述了netconf，其全部内容通过引证结合于此。使用网络管理协议，安全管理系统10可创建与一个或多个安全设备5的配置会话9，该配置会话允许安全管理系统10遍历并修改所识别的安全设备5内的配置信息数据。

图3是示例性入侵检测系统(ids)200，其表示图1的安全设备5中的任一个的示例性实现方式。如下所述，在本公开的一个方面中，ids200处理进入和外出网络2的网络入站和出站数据包流并且对数据包流执行深度包检测，以便识别潜在网络威胁并且向安全管理系统10通信威胁信息以及应用识别和流信息。此外，如以下进一步描述的，ids200从安全管理系统10接收策略和其他配置数据并且将那些策略应用于网络内的数据包流。

在所示实例中，ids200包括转发平面222，该转发平面透明监控入站网络流量224并将网络流量转发为出站网络流量226。在由图3所示的实例中，转发平面222包括流分析模块225、状态检查引擎228、协议解码器230以及转发组件231。

安全管理客户端244提供用于根据一个或多个设备配置协议与安全管理系统10通信的配置界面245。例如，响应于来自管理员12的输入，安全管理系统10可向配置界面245输出通信以更新策略247，由此控制和配置ids200来监控企业网络2的特定子网并且应用从安全管理系统10接收的安全策略规则。如另一实例，安全管理系统10可提供并安装指定攻击定义233的策略247，在一些示例性方法中，安全管理客户端244将该攻击定义中继至状态检查引擎228。在一个实施方式中，攻击定义233可以是复合攻击定义。此外，安全管理系统10可呈现用户界面，通过该用户界面，管理员12可修改关于数据包流特征的假设，诸如用于监控的最高优先级数据包流，用于应用的端口绑定，或确定与数据包流有关的应用和协议的类型的其他特征。安全管理客户端244可经由配置界面245接收上述信息以用于存储在策略247内，并且向状态检查引擎228中继信息以用于向数据包流实时应用。

流分析模块225接收入站流量224，并且识别流量内的单独网络流。每个网络流表示在网络流量内的一个方向上的数据包的流，并且至少通过源地址、目的地地址和通信协议来识别。流分析模块225可利用额外信息来指定网络流，包括源媒体访问控制(“mac”)地址、目的地mac地址、源端口和目的地端口。其他实例可使用其他信息来识别网络流，诸如ip地址、应用会话以及带宽使用。

流分析模块225在描述存在于网络流量内的每个主动数据包流的流表235内保持流数据。流表235指定与每个主动数据包流有关的网络元素，即，低水平信息，诸如与数据包流有关的源设备和目的地设备以及端口。此外，流表235可识别共同形成客户端与服务器之间的单个通信会话的成对数据包流。例如，流表235可将通信会话指定为用于共享至少一些共用网络地址、端口和协议的流的相反方向上的成对数据包流。

如以下更详细描述的，状态检查引擎228检查客户端到服务器数据包流以及服务器到客户端数据包流，以更准确地识别用于每个通信会话的应用以及底层协议的类型。当例如，恶意用户尝试欺骗(即，模仿)一类应用并且反而使用另一类型应用来试图绕过ids时，这可能会有帮助。作为实例，当恶意用户事实上使用http协议时，他可试图通过伪装smtp请求来绕过ids。ids200可从来自服务器的响应确定初始数据包流仅是绕过ids200的尝试，并且可采取适当动作，诸如丢弃与数据包流有关的未来数据包和/或警告攻击的目标设备。

在一些示例性方法中，除了签名以外，ids200可使用重新组装tcp分段的最小数据尺寸以识别应用类型。某些应用可需要最小量数据，所以ids200可通过确定数据包流是否包含用于所识别协议的足够数据来区别恶意数据包流。此外，ids200可不必识别每个应用。在一个实例中，当应用未知时，ids200可仅转发数据包流。如果ids200不能识别给定应用，则可能是因为该应用不是用于恶意数据包流的典型目标。然而，其他实例可采取用于未识别应用的其他动作，诸如，丢弃定向未知应用的所有数据包或者向与未知应用类型有关的所有数据包流应用默认签名。其他实例也可利用其他协议，诸如用户数据报协议(udp)；因此，ids200可需要udp分段的最小数据尺寸以识别与udp分段有关的应用。

对于每个数据包流，状态检查引擎228缓冲数据包流的副本并且重新组装缓冲的数据包流以形成应用层通信232。例如，状态检查引擎228可将tcp分段重构为表示协议特定消息的应用层通信232。

状态检查引擎228基于识别的应用确定类型来调用协议解码器230中的适当一个以分析应用层通信232。协议解码器230表示一组一个或多个协议特定软件模块。协议解码器230中的每一个对应于不同通信协议或服务。可由协议解码器230支持的通信协议的实例包括超文本传输协议(“http”)、文件传输协议(“ftp”)、网络新闻传输协议(“nntp”)、简单邮件传输协议(“smtp”)、远程登录、域名系统(“dns”)、黄鼠工具(gopher)、指示服务(finger)、邮局协议(“pop”)、安全套接层(“ssl”)协议、轻量目录访问协议(“ldap”)、安全外壳(“ssh”)、服务器消息块(“smb”)以及其他协议。

协议解码器230分析重新组装的应用层通信232并且输出识别应用层事务(application-layertransaction)的事务数据234。具体地，事务数据234表示两个对等设备之间的一系列相关应用层通信何时开始和结束。

状态检查引擎228从协议解码器230接收事务数据234、应用层元素236以及协议异常数据238。状态检查引擎228向协议特定应用层元素236以及异常数据238应用策略247(例如，攻击定义233或其他规则)以检测和防止网络攻击以及其他安全风险。

如果检测到安全风险，状态检查引擎228向安全管理客户端244输出警报240以用于记录和进一步分析作为威胁数据249。例如，威胁数据249可包括来自流表235的用于已被识别为潜在威胁的那些数据包流的数据包流识别信息。此外，对于数据包流中的每一个，威胁数据249可存储由流分析模块225提供的识别与数据包流有关的应用层应用的类型的应用分类信息。此外，对于数据包流中的每一个，威胁数据249可包括来自状态检查引擎228的表征威胁的特定类型的威胁信息，诸如触发用于将数据包流分类为威胁的一个或多个策略的识别模式、异常或相应数据包流的其他性质。

安全管理客户端244向安全管理系统10中继关于目前检测的安全风险(多个风险)的威胁数据249。此外，状态检查引擎228可采取额外动作，诸如，丢弃与通信会话有关的数据包，自动关闭通信会话或其他动作。如果对于给应用层通信会话未检测到安全风险，则转发组件231继续在对等体之间转发数据包流。例如，转发组件231可维持根据企业网络的拓扑来存储路由的路由表，以用于在转发数据包流时使用。在题为“使用全局设备指纹的攻击检测和预防(attackdetectionandpreventionusingglobaldevicefingerprinting)”的美国专利9,106,693中进一步描述了idp和ids设备的操作，通过引证将其讨论结合于此。

图4a至图4c示出在本公开的各个方面中的由安全管理系统10生成的示例性用户界面，该示例性用户界面向管理员12呈现聚合威胁数据的表示。安全管理系统10的威胁控制模块17可呈现动态威胁动画并且以各种图形表示呈现可用来组织网络事件以及相关联威胁数据的用户界面。

图4a示出由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，管理员12可以以地图视图浏览威胁的实时威胁图形表示。例如，可视化模块18可生成与安全域(例如，企业或服务供应商网络)有关的地图400的图形表示(本文中，世界地图)，并且显示统计学数据，诸如，总威胁计数(totalthreatcount)401、总入侵防御系统(ips)事件402、总防病毒(anti-virus，av)事件403、总反垃圾(anti-spam)事件404、总设备授权(deviceauthorization)405(例如，成功和/或不成功登入)、顶端目的地设备(topdestinationdevices)406、顶端目的地国家(topdestinationcountries)407、顶部源国家(topsourcecountries408)、顶部源设备(未示出)以及与聚合威胁相关的其他信息。在一个实施方式中，可视化模块18可生成实时威胁聚合表示以包括与威胁有关的一个或多个可变图形指示符(例如，颜色代码、线粗细的变化、尺寸变化)以表示威胁的变化的大小或类别。例如，来自安全设备5a的威胁可以以一个颜色表示，然而来自安全设备5b的威胁可以以另一颜色表示；或者，具有更大强度的威胁可以以一个颜色表示，然而较低强度可以以另一颜色表示。在另一方法中，可视化模块18可以以连接源ip地址与目的地ip地址的线生成聚合威胁数据的图形表示。线的视觉表示(例如，粗细、颜色等)可表示源ip地址与目的地ip地址之间的流量的大小(例如，流量的量、攻击数量等)。

图4b示出在本公开的一个方面中的由安全管理系统10生成的另一示例性用户界面，通过该示例性用户界面，管理员12可浏览应用使用的聚合威胁数据。在一个实例中，威胁数据聚合器14可聚合用于数据包流的已被安全设备5识别为特定软件应用的威胁数据，其中，用户界面提供表示与不同类型的应用有关的使用的图形指示符，诸如，具有应用和/或由应用消耗的带宽的用户会话的数量。可视化模块18可生成与应用使用有关的聚合威胁数据的图形表示，诸如图4b中的示例性图表视图。在另一方法中，可视化模块18可利用可表示应用使用和/或威胁严重性的大小(例如，从应用使用消耗的带宽、会话的数量等)的图形指示符421(例如，可变大小和/或颜色)，生成聚合威胁数据的图形表示。随后，威胁控制模块17可基于种类(例如，网络(web)411、多媒体(multimedia)412、消息(messaging)413、社交(social)414和/或基础设施(infrastructure)415)呈现聚合威胁数据的图形表示，该图形表示通过应用显示顶端会话或带宽使用。威胁控制模块17可进一步呈现界面，该界面基于特性(例如，产率损耗(lossofproductivity)416、易于误操作(pronetomisuse)417、可泄漏信息(canleakinformation)418、支持文件传输(supportsfiletransfer)419和/或已消耗带宽(bandwidthconsumed)420)通过应用显示顶端会话或带宽使用并且用于响应于检测威胁来配置安全设备5。

例如，图4b示出显示由应用使用聚合以及由风险分组的威胁数据的图表视图中的示例性界面。具体地，图4b示出显示各种应用和各种图形指示符421的示例性图表。在图4b中，例如，具有较大尺寸气泡的应用可表示用于应用的较高数量的会话。气泡的颜色，诸如红色、橘色和黄色，可表示威胁的严重性。在一些示例性方法中，下拉菜单429用于选择是否通过风险或通过其他参数来分组应用图标，同时设备选择下拉菜单430允许威胁控制模块将显示过滤至示出的具体设备5。威胁控制模块17也可呈现用户界面，通过该用户界面，管理员12可选择响应以根据受影响的安全设备5自动创建安全策略。

图4c示出在本公开的一个方面中的由安全管理系统10生成的另一示例性用户界面，通过该示例性用户界面，管理员12可基于用户使用来浏览聚合威胁数据。在一个实例中，威胁数据聚合器14可聚合来自安全设备5的与网络用户的应用使用有关的威胁数据，诸如与应用的会话的数量和/或由具体用户消耗的带宽。可视化模块18可以以上在图4a或图4b中所示的方式生成与具体用户的应用使用有关的聚合威胁数据的图形表示。在一个示例性方法中，威胁控制模块17可呈现用户界面，该用户界面与聚合威胁数据的显示顶端网络用户使用的图形表示重合。

例如，图4c以显示由网络用户使用聚合的威胁数据的网格视图示出示例性界面。具体地，图4c示出显示各个网络用户及其使用的顶端应用的示例性网格。在一个方法中，可视化模块18可进一步生成包括关于顶端用户(topusers)422、顶端应用(topapplications)423、用户的名字424、会话总数(totalnumberofsessions)425、已消耗带宽(bandwidthconsumed)426和/或使用的顶端应用(topapplication)427的信息的网络使用的图形表示。威胁控制模块17也可呈现用户界面(例如，复选框428)，通过该用户界面，管理员12可选择响应以根据受影响的安全设备5自动创建安全策略。

图5a至图5e示出在本公开的各个方面中的由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，向管理员12呈现与威胁有关的过滤事件数据的表示。可视化模块18可基于来自管理员12的用户界面元素的选择，以各种视图(诸如网格、图表和地图视图)生成过滤威胁数据的各种过滤表示。安全管理系统10的威胁控制模块17可向管理员12呈现用户界面以选择具体用户界面元素，诸如来自实时威胁聚合表示的数据，以便挖掘在由可视化模块18生成的过滤威胁数据(覆盖聚合表示)的过滤表示中显示的额外威胁细节。例如，如图5a所示，管理员12可从实时威胁地图中选择国家或其他指定地理位置以浏览与威胁有关的过滤数据的网格，诸如威胁名称501、威胁计数502、开始时间503、威胁严重性504、源位置505、源ip地址506、目的地位置507、目的地ip地址508、威胁种类509、威胁类型510、服务511、影响512以及威胁动作状态513(例如，允许或阻止)。威胁名称501可包括潜在恶意活动的名称，诸如病毒名称或恶意软件名称。计数502可包括指出在安全设备5内重复出现的威胁的数量的计数。开始时间503可包括威胁的时间和日期信息。严重性504可包括关于威胁的严重性水平的信息，并且可显示为图形或数值表示。源位置505可包括关于攻击源自的位置的信息。源位置可进一步包括更高精细度，诸如与源ip地址有关的机构的名称，或国家、州、城市或与源有关的其他具体位置。源ip地址506可包括可疑威胁源自的计算机系统的ip地址。目的地位置507可包括关于攻击从其出现的位置的信息。目的地位置可进一步包括更高精细度，诸如国家、州、城市或其他具体位置。目的地ip地址508可包括由可疑攻击所定向的计算机系统的互联网协议地址。种类509可包括关于恶意活动的信息，其包括恶意软件的形式(例如，病毒、蠕虫、木马)。攻击类型510可包括关于威胁类型的信息，诸如签名或复合物(compound)。服务511可包括关于攻击所使用的协议(包括超文本传输协议(http)或因特网控制消息协议(icmp))的信息。威胁影响512可包括威胁可具有的影响的水平(例如，高或低)。威胁动作状态513可包括关于威胁是否被允许或阻止的信息。在一些图形表示中，用户可利用以上信息过滤威胁。威胁控制模块17也可向管理员12呈现用户界面以选择响应，以用于自动生成安全策略以根据受影响的安全设备5来阻止或允许所选择威胁的流量。

如图5b的实例所示，可视化模块18也可在呈现与选择的用户界面元素(诸如，地理位置)有关的过滤威胁数据的图表视图中生成聚合威胁数据的过滤表示。在所示实例中，界面覆盖威胁的地图视图表示。当选择具体国家时，可视化模块18可以以感兴趣的各种图表生成聚合威胁数据的过滤表示以及过滤威胁细节，诸如，源国家(sourcecountries)521、源ip地址(sourceips)522、目的地设备(destinationdevices)523、传入病毒/蠕虫)(incomingvirus/worms)524、传入ips攻击(incomingipsattacks)525、具有传入ddos攻击的设备(deviceswithincomingddosattacks)526或其他威胁细节。在一种情况下，管理员12可从实时威胁聚合表示中选择国家(例如，美国)以浏览与所选择的国家有关的过滤威胁细节作为目的地或作为源。如图5b所示，威胁控制模块17可呈现由可视化模块18生成的用户界面，通过该用户界面，管理员12可浏览并与过滤威胁细节进一步交互，并且选择用于额外信息的各种过滤威胁细节。威胁控制模块17也可呈现用户界面，通过该用户界面，管理员12可选择用于自动生成安全策略的响应以根据受影响的安全设备5阻止或允许图表视图中的选择的流量。

图5c示出在本公开的一个方面中的由安全管理系统10生成的另一示例性用户界面，该示例性用户界面可以以与基于地理威胁有关的过滤事件数据的地图视图向管理员12呈现图形表示。可视化模块18可生成聚合威胁数据的地图表示，并且还可包括与管理员12的选择地点有关的过滤威胁数据。如图5c所示，威胁控制模块17可向管理员12呈现界面以浏览并与额外过滤威胁细节进一步交互，并且选择性阻止或允许与大概地理位置有关的流量或流量的类型。在与威胁有关的过滤表示的一个实例中，过滤威胁细节可包括与具体国家有关的总事件(totalevents)531、允许事件(allowedevents)532以及阻止事件(blockedevents)533。在另一实例中，可呈现来自源ip地址或目的地ip地址的威胁数据。威胁动作响应560允许用户阻止直接来自威胁细节界面的流量。

图5d示出由安全管理系统10生成的另一示例性用户界面，该示例性用户界面可以以图表视图向管理员12呈现与所选择应用相关的聚合威胁数据的过滤表示。在一个实例中，可视化模块18可生成与从威胁的聚合表示选择的应用有关过滤威胁细节的过滤表示。威胁控制模块17可呈现用户界面，通过该用户界面，管理员12可选择用户界面元素，诸如来自实时威胁的聚合表示的具体应用，以挖掘与应用使用有关的额外威胁细节，诸如，在一定量时间中应用的会话数量(numberofsessions)541、应用种类(categoryofapplication)542(例如，网络、多媒体、消息、社交、基础设施)、威胁特性543(例如，产率损耗、易于误操作、可泄漏信息、支持文件传输、已消耗带宽)、在一定量时间中使用的总字节(totalbytes)544、应用的子种类(sub-category)545(例如，社交网络)、风险水平(risklevel)546和/或应用的顶端用户547。威胁控制模块17也可呈现用户界面，通过该用户界面，管理员12可选择用于自动生成安全策略的响应以根据受影响的安全设备5阻止或允许来自具体应用的流量。在图5d所示的实例中，威胁动作响应560允许管理员阻止直接来自威胁细节界面的流量。

在一个示例性方法中，威胁控制模块17显示图标反映参数，诸如用于具体应用的会话数量或由应用使用的带宽，并且管理员可阻止与应用有关的流量或对应用进行速率限制。

在另一示例性方法中，威胁控制模块17显示图标反映参数，诸如用于具体用户的会话数量或由用户使用的带宽，并且管理员可阻止用于该用户的具体流量或对用户进行速率限制。

在又一示例性方法中，威胁控制模块17显示图标反映参数，诸如，用于具体用户或具体设备的每一应用的会话数量，或由用户或具体设备使用的每一应用的带宽，并且管理员可阻止用于该用户或设备的具体应用的流量，或对关于具体应用的用户或设备进行速率限制。

图5e示出由安全管理系统10生成的另一示例性用户界面，该示例性用户界面可以以网格视图向管理员12呈现与应用的用户使用相关的过滤威胁细节的过滤表示。在一个实例中，可视化模块18可生成与所选择网络用户有关的过滤威胁细节的过滤表示。威胁控制模块17可呈现用户界面，通过该用户界面，管理员12可选择用户界面元素，诸如来自实时威胁的聚合表示的具体用户，以便挖掘与网络用户有关的过滤威胁细节，诸如用户名字(username)551、用户的会话数量(numberofsessions)552、由用户消耗的带宽(bandwidthconsumed)553、用户角色(userrole)554、上次会话的日期和时间(dateandtimeoflastsession)555以及上次看到的ip(lastseenip)556。在另一实例中，图5e的用户界面也可包括基于一段时间558，由所选择用户使用的顶端应用(topapplications)557。威胁控制模块17也可向管理员12呈现用户界面以选择用于自动生成安全策略的响应以根据受影响的安全设备5阻止或允许来自具体用户的流量。在图5e所示的实例中，威胁动作响应560允许管理员阻止直接来自用户威胁细节界面的流量。

安全管理系统10也可呈现用户界面，通过该用户界面，管理员12可与由安全管理系统10渲染的实时威胁的聚合表示以及过滤威胁细节交互，并且响应于该交互，集成安全管理系统10可识别一组相关的安全设备5，使用策略/规则模块20在策略内为安全设备5自动构建具有有序规则的更新策略，并且使用底层安全管理系统10的策略部署引擎26在安全设备5中自动通信和安装策略。

如前所述，安全管理系统10可通过威胁控制模块17提供系统和界面，管理员12可使用该系统和界面来浏览实时威胁并且快速评估与威胁有关的过滤威胁数据以用于全面分析。响应于实时威胁，管理员12可将安全管理系统10引导为响应于检测的威胁而自动创建用于部署至安全设备5的安全策略。例如，安全管理系统10的威胁控制模块17可呈现界面以使管理员12能够在安全设备5中的一个的当前策略中插入新的规则，以便配置用于安全设备5的更新策略，并且删除或改变现有规则的顺序。

在一种情况下，管理员12可选择浏览来自实时威胁聚合表示的过滤威胁细节。随后，安全管理系统10可呈现用户界面，通过该用户界面，管理员12可基于过滤威胁细节而自动创建用于受影响的安全设备5的安全策略。例如，在图5a中，威胁控制模块17可呈现用户界面，通过该用户界面，管理员12可在威胁的图形表示中的任一个内选择威胁名称501，应用：tun：tor-1，并且可选择威胁动作响应560，诸如阻止来自源ip地址或去往源ip地址的流量，阻止往返源ip地址的流量，只阻止来自源ip地址的流量，或只阻止去往源ip地址的流量。管理员12可响应于检测来自威胁的图形表示的具体威胁而选择阻止或允许流量。

在另一实例中，管理员12可选择图表视图(例如，图5b)的图形表示中的源ip地址以浏览与所选择的源ip地址有关的威胁数据(例如，在相似于图5a的界面中)。管理员12可进一步选择威胁动作响应以阻止或允许来自图表视图的图形表示中的流量，这将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户界面。

在另一实例中，管理员12可选择地图视图(例如，图5c)的图形表示中的国家以浏览与所选择的地理位置有关的威胁数据。管理员12可进一步选择威胁动作响应560以阻止或允许直接来自地图视图的图形表示中的流量，这将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户界面。在其他实例中，管理员12可选择具有更高精细度的位置，诸如州、城市和其他区域。

在另一实例中，管理员12可选择显示由应用使用聚合的威胁数据的图表视图的图形表示中的具体应用以浏览与所选择应用有关的额外细节(例如，图5d)。管理员12可进一步选择威胁动作响应560以阻止或允许直接来自图表视图的图形表示中的流量，这将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户界面。

在另一实例中，管理员12可选择显示由应用使用聚合的威胁数据的图形表示中的具体网络用户以浏览与所选择网络用户有关的额外细节(例如，图5e)。管理员12可进一步选择威胁动作响应560以阻止或允许来自图形表示的流量，这将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户界面。

图6a至图6c示出在本公开的各个方面中的由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，管理员12可自动查看并发布与安全策略有关的创建规则。在一个实例中，图6a至图6c可以是覆盖威胁或过滤威胁数据的表示的界面。如图6a所示，响应于选择威胁动作响应560以阻止或允许与威胁相关的流量，安全管理系统10可生成界面，通过该界面，管理员12可配置自动生成的修改策略以用于阻止或允许流量。图6a示出在本公开的一个方面中的呈现至给管理员12以浏览和选择性部署自动生成的安全策略的示例性用户界面。用户界面使管理员12能够选择性部署自动生成的策略中的任一个或所有以用于配置安全设备5。在该实例中，在本公开的一个方面中，安全管理系统10响应于选择威胁动作响应560而自动生成对安全策略中的每一个内的有序规则组的修改，包括修改策略内的内部规则以及规则顺序，以阻止来自和/或去往源ip地址(多个源ip地址)的流量。

图6a的示例性界面可提供自动生成的修改策略的列表以供选择。在一个实例中，图6a的用户界面可向管理员12提供关于创建策略601、添加的规则的数量602、策略应用至的设备5的数量603以及具有与策略变化相关的待执行更新604的设备5的数量的信息。在另一实例中，预先存在的安全策略以及存储在提交数据库26中的受影响安全设备5的相关联信息可被检索并呈现给管理员12以用于进一步查看。在另一实例中，图6a的界面也可包括与已调用先前时间段(例如，月、周、天等)内的策略的受影响设备有关的信息。

如图6b所示，响应于具体策略的选择，安全管理系统10的威胁控制模块17也可呈现界面以配置与所选择威胁有关的策略规则。图6b示出在本公开的一个方面中的由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，管理员12可浏览自动创建以用于由安全管理系统10生成的给定策略的具体规则。例如，如图6b所示，管理员12可选择图6a的界面内的具体策略，并且可进一步创建、编辑、删除或排序用于防火墙策略的一个或多个规则。在一个实例中，自动生成的规则可建议生成的安全策略中的规则布置。在另一实例中，图6b的界面可向管理员12呈现诸如，表示或修改规则的顺序的选项611、规则名称612、限定源区域613和/或目的地区域615是否可信或不受信任、限定规则应用至的源地址614和/或目的地地址616、限定规则服务617、限定规则选项618或限定安全策略内的规则的动作619，以允许流量或拒绝流量。例如，管理员12可使用由威胁控制模块17呈现的界面图6b来指定“规则2”和“规则3”分别具有序列号808和809，并且指定拒绝用于策略ccc的ip流量的动作。

如图2所示，安全管理系统10也可包括在安全管理系统10的一个或多个处理器上运行的策略/规则模块20，其中，策略/规则模块20可基于由安全管理系统10自动生成的或由管理员12限定的以及从威胁控制模块17接收的配置信息，生成用于安全设备5的配置信息。响应于策略/规则模块20创建或修改安全策略，安全管理系统10可在候选策略数据库22中存储配置参数。

响应于如图6a所示的具体设备的选择，安全管理系统10的威胁控制模块17也可呈现界面，如图6c所示，通过该界面，管理员12可浏览安全设备5上的与所选择威胁有关的信息。图6c示出在本公开的一个方面中的由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，管理员12可浏览与受到自动创建安全策略的影响的设备有关的安全设备细节。威胁控制模块17可呈现具有存储在候选策略数据库22和/或提交策略数据库24中的安全策略以及设备信息的界面。在一个实例中，图6c的界面可包括设备名称(devicename)621、域(domain)622、管理状态(managedstatus)623、连接状态(connectionstatus)624、策略类型(policytype)625以及δ配置(deltaconfiguration)626。δ配置可包括对设备的命令行界面(cli)和/或可扩展标记语言(xml)配置的访问。例如，响应于如图6c所示的设备的δ配置的选择，安全管理系统10的威胁控制模块17可进一步呈现界面，如图6d所示，通过该界面，管理员12可浏览所选择设备的cli和/或xml配置。

图7示出在本公开的一个方面中的由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，管理员12可进行自动创建的安全策略的部署和/或发布。如图2所示，安全管理系统10可包括与安全管理系统10的威胁控制模块17和策略/规则模块20连接的候选策略数据库22和提交策略数据库24。威胁控制模块17可向管理员12呈现用户界面以选择是否更新702(例如，部署)、发布704(例如，存储用于进一步查看)或保存(706)自动创建的安全策略(单独保存或保存为组)。在一个实例中，选择发布自动创建的安全策略可在候选数据库22中存储安全策略以用于进一步查看。安全策略的发布可允许其他管理员12通过由安全管理系统10生成的用户界面在部署之前查看存储在候选策略数据库22中的自动创建的安全策略。在进一步查看之后，其他管理员12可选择更新(例如，部署)发布的安全策略或重新配置安全策略。

在一个实例中，选择更新安全策略可在提交策略数据库24中存储自动创建的安全策略。管理员12可选择更新由安全管理系统10生成的用户界面呈现的安全策略(如图7所示)以便诸如，通过snmp或netconf协议向安全设备5推送自动创建的安全策略。安全管理系统10可包括策略部署引擎26，该策略部署引擎在系统10的一个或多个处理器上运行以便向安全设备5发送安全策略的更新配置信息。

图7的界面也可呈现由安全管理系统10生成的用户界面，通过该用户界面，管理员12可限定具体日期708或时间710以更新(702)或发布(704)自动创建的安全策略。例如，威胁控制模块17可向管理员12呈现界面以调度用于2015年9月27日，上午5：15pst的更新。当选择更新(702)策略时，安全管理系统10可在2015年9月27日，上午5：15pst之前将这些更新的安全策略存储至候选策略数据库22。当策略在2015年9月27日，上午5：15pst更新至安全设备5时，安全管理系统10随后可在提交策略数据库24中存储更新的安全策略。安全管理系统10可利用策略部署引擎26向安全设备5进一步部署存储在提交策略数据库24内的更新的安全策略。在一个实例中，提交策略数据库24可位于安全管理系统10中。在另一实例中，安全管理系统10可与外部提交策略数据库24通信。

图8示出由安全管理系统10生成的示例性用户界面，通过该示例性用户界面，管理员12可浏览发布或更新的安全策略的作业状态。在一个实施方式中，安全管理系统10的威胁控制模块17可呈现用户界面，通过该用户界面，管理员12可在配置策略更新阶段，提供来自候选策略数据库22和/或提交策略数据库24的信息，诸如状态快照策略801、发布策略802和更新设备803。由安全管理系统10生成的图8的界面可进一步显示包括作业类型(jobtype)804、作业id(jobid)805、作业名称(jobname)806、用户(user807、作业状态(jobstatus)808、完成比(percentcomplete)809、调度开始时间(scheduledstarttime)810、实际开始时间(actualstarttime)811以及结束时间(endtime)812的信息。在另一实例中，图8的界面也可搜索设备发布细节813，包括设备名称、发布状态、服务和/或消息。

图9示出在本公开的一个方面中的由安全管理系统10生成的示例性界面，通过该示例性界面，管理员12可浏览威胁设备的源细节或目的地细节。在一个实例中，安全管理系统10的威胁控制模块17可呈现用户界面，该用户界面呈现包括源设备细节(sourcedevicedetails)901和目的地设备细节(destinationdevicedetails)902的设备信息。用户界面可呈现包括如下的设备细节：设备ip、设备名称、机构名称、机构id、设备的物理地址(例如，街道地址、城市、州/省份、邮编、国家)、注册日期、更新日期以及对关于设备的更多信息的参考链接。

图10是示出安全管理系统10的示例性操作的流程图。如图10所示，安全设备5可首先分析数据包流以识别应用和潜在威胁数据(100)。安全设备5可继续向安全管理系统10传送潜在威胁数据(102)。安全管理系统10可接收从安全设备5传送的威胁数据并且利用威胁数据聚合器14聚合接收的数据(104)。通过威胁控制模块17，安全管理系统10可进一步构建并显示已被威胁数据聚合器14聚合并存储在威胁数据库16中的实时或近实时威胁，其中，显示可以是由威胁控制模块17生成的以地图、图表、网格视图等的可视化。通过威胁控制模块17，安全管理系统10可进一步接收来自管理员12的输入以配置包括规则顺序的策略(108)。例如，管理员12可配置直接来自实时或近实时威胁的显示和/或通过与威胁有关的过滤事件数据的各种图形表示的策略。当接收来自管理员12的配置输入时，安全管理系统10可使用策略/规则模块20自动生成包括有序规则的新配置的或更新的安全策略(110)。安全管理系统10可通过策略部署引擎26向安全设备5进一步部署生成的或更新的策略(112)。随后，安全设备5可从安全管理系统10接收所部署的生成的安全策略(114)。安全设备5可继续更新与来自安全管理系统10的安全策略相关的生成的配置数据(116)。当利用安全策略来更新配置数据时，安全设备5可根据更新的安全策略处理流量(118)。

图11示出计算设备的详细实例，该计算设备可被配置为实现根据本公开的一些实施方式。例如，设备1100可以是服务器、工作站、计算中心、服务器集群或集中定位或分布式定位的能够执行本文描述的技术的计算环境的其他示例性实施方式。设备中的任一个或所有可例如，实现本文描述的用于安全管理系统的技术的一部分。在该实例中，计算机1100包括基于硬件的处理器1110，该处理器可并入安全管理系统10以执行程序指令或软件，使得计算机执行各种方法或任务，诸如执行本文描述的技术。

处理器1110可以是通用处理器、数字信号处理器(dsp)、专用集成电路(asic)的核心处理器等。处理器1110经由总线1120耦接至存储器1130，该存储器用于在计算机操作的同时存储诸如程序指令以及其他数据的信息。诸如硬盘驱动、非易失性存储器或其他非易失性存储设备的存储设备1140存储诸如程序指令、多维数据的数据文件以及缩减数据集合的信息以及其他信息。作为另一实例，计算机1150可提供用于执行一个或多个虚拟机的操作环境，该虚拟机转而提供用于软件的执行环境以用于实现本文描述的技术。

计算机也包括各种输入输出元件1150(包括并行或串行端口、usb、火线或ieee1394、以太网以及其他这种端口)以便将计算机连接至外部设备，诸如键盘、触摸屏、鼠标、指示器等。其他输入输出元件包括诸如蓝牙、wi-fi以及蜂窝数据网络的无线通信接口。

计算机本身可以是传统个人计算机、机架安装或商业计算机或服务器或者任意其他类型的计算机化系统。在进一步实例中，计算机可包括比以上所列的更少元件，诸如瘦客户端或只具有所示元件中的一些的移动设备。在另一实例中，计算机分布在多个计算机系统中，诸如具有协同工作以提供各种功能的许多计算机的分布式服务器。

本文描述的技术可在硬件、软件、固件或其任意组合中实现。描述为模块、单元或组件的各种特征可一起实现在集成逻辑设备中或单独实现为离散的但是互操作的逻辑设备或其他硬件设备中。在某些情况下，电子电路的各种特征可实现为一个或多个集成电路设备，诸如，集成电路芯片或芯片集。

如果实现在硬件中，本公开可被导向至诸如处理器或集成电路设备的装置，诸如集成电路芯片或芯片集。可选地或另外地，如果实现在软件或固件中，本技术可至少部分地由包括指令的计算机可读数据存储介质实现，当运行指令时，使得一个或多个处理器执行上述方法中的一个或多个。例如，计算机可读数据存储介质或设备可存储这种指令以用于由处理器执行。可利用一个或多个计算机可读介质(多个计算机可读介质)的任意组合。

计算机可读存储介质(设备)可形成可包括封装材料的计算机程序产品的部分。计算机可读存储介质(设备)可包括诸如随机存取存储器(ram)、只读存储器(rom)、非易失性随机存取存储器(nvram)、电可擦除可编程只读存储器(eeprom)、闪存、磁性或光学数据存储介质等的计算机数据存储介质。通常，计算机可读存储介质可以是任意有形介质，该有形介质可包含或存储用于由指令执行系统、装置或设备使用或结合指令执行系统、装置或设备的程序。计算机可读介质的额外实例包括计算机可读存储设备、计算机可读存储器以及有形计算机可读介质。在一些实例中，制造商品可包括一个或多个计算机可读存储介质。

在一些实例中，计算机可读存储介质可包括非易失性介质。术语“非易失性”可指示存储介质不以载波或传播信号体现。在某些实例中，非易失性存储介质可存储可随时间变化的数据(例如，在ram或缓存器中)。

代码或指令可以是由包括一个或多个处理器的处理线路(诸如，一个或多个数字信号处理器(dsp)、通用微处理器、专用集成电路(asic)、现场可编程门阵列(fpga)或其他等效集成或离散逻辑线路)运行的软件和/或固件。因此，如本文使用的术语“处理器”可指代上述结构中的任一个或适于实现本文描述的技术的任意其他处理线路。此外，在某些方面中，本公开描述的功能可提供在软件模块或硬件模块内。

除了以上的或作为以上的替代，描述以下实例。在以下实例中的任一个中描述的特征可与本文描述的其他实例中的任一个一起利用。

实例1.一种安全管理系统，包括：一个或多个处理器；

一个或多个计算机可读存储器；威胁数据聚合器，该威胁数据聚合器在处理器中的一个或多个上运行以便聚合从位于网络内的多个安全设备接收的数据，并且威胁数据聚合器被配置为对网络内的数据包流执行深度包检测，其中，从多个安全设备接收的数据识别由安全设备检测的多个威胁；以及威胁控制模块，该威胁控制模块具有可视化模块，该可视化模块在处理器中的一个或多个上运行以便以用于整个网络的单个的、聚合的表示显示与由威胁数据聚合器聚合的威胁数据相对应的威胁，其中，可视化模块基于由管理员选择的一个或多个用户界面元素而生成所聚合的威胁数据的一个或多个过滤表示。

实例2.根据实例1的安全管理系统，其中，所聚合的表示是一个或多个威胁的实时威胁可视化。

实例3.根据实例1的安全管理系统，其中，过滤表示包括网格视图、图表视图或地图视图中的至少一个的显示。

实例4.根据实例1的安全管理系统，其中，过滤表示包括应用使用视图或用户使用视图中的至少一个的显示。

实例5.根据实例1的安全管理系统，其中，过滤表示包括与威胁有关的大概地理位置细节、互联网协议地址细节、威胁动作状态细节或安全设备细节中的至少一个。

实例6.根据实例1的安全管理系统，其中，可视化模块生成与威胁有关的图形指示符。

实例7.根据实例1的安全管理系统，其中，由管理员选择的用户界面元素包括，响应于来自管理员的输入能操作以选择地理位置、软件应用或用户中的至少一个的用户界面元素，并且其中，可视化模块根据选择基于所聚合的威胁数据的子集而生成威胁的子集的一个或多个过滤表示。

实例8.一种方法，包括：从多个安全设备接收关于多个威胁的数据；聚合来自安全设备的威胁；显示威胁的聚合表示；从聚合表示选择一个或多个用户界面元素；以及响应于选择用户界面元素，显示威胁的过滤表示。

实例9.根据实例8的方法，其中，显示威胁的聚合表示包括显示威胁的实时威胁可视化。

实例10.根据实例8的方法，其中，显示威胁的聚合表示包括显示与威胁有关的图形指示符。

实例11.根据实例8的方法，其中，显示威胁的聚合表示包括基于对应于与威胁有关的大概地理位置的位置来显示威胁。

实例12.根据实例8的方法，其中，显示过滤表示包括将过滤表示显示为网格视图、图表视图或地图视图中的一个。

实例13.根据实例12的方法，其中，地图视图基于对应于与威胁的来源有关的大概地理位置的位置来显示威胁。

实例14.根据实例12的方法，其中，地图视图基于对应于与威胁的目的地有关的大概地理位置的位置来显示威胁。

实例15.根据实例8的方法，其中，显示威胁的过滤表示包括将过滤表示显示为应用使用视图或用户使用视图中的一个。

实例16.根据实例8的方法，其中，显示过滤表示包括显示与威胁有关的大概地理位置细节、互联网协议地址细节、威胁动作状态细节或安全设备细节中的至少一个。

实例17.根据实例8的方法，其中，显示威胁的过滤表示包括将过滤表示显示为威胁的聚合表示上的覆盖。

实例18.根据实例8的方法，其中，从聚合表示选择用户界面元素包括选择地理位置、应用或用户中的至少一个。

此外，可将在上述实例中的任一个中阐述的特定特征中的任一个组合为所述技术的有利实施方式。也就是说，特定特征中的任一个通常可适用于本发明的所有实例。已描述了技术的各种实例。这些和其他实例在所附权利要求的范围内。