CN101133398A - 询问多个计算机化设备的方法和设备 - Google Patents
询问多个计算机化设备的方法和设备 Download PDFInfo
- Publication number
- CN101133398A CN101133398A CNA2005800414472A CN200580041447A CN101133398A CN 101133398 A CN101133398 A CN 101133398A CN A2005800414472 A CNA2005800414472 A CN A2005800414472A CN 200580041447 A CN200580041447 A CN 200580041447A CN 101133398 A CN101133398 A CN 101133398A
- Authority
- CN
- China
- Prior art keywords
- inquiry
- computerized
- equipment
- data
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明的一些实施方式可涉及一种询问组织网络内的计算机化设备的设备和方法。根据本发明的一些实施方式,所述设备可包括询问模块和无代理模块。所述询问模块可适合于接收指定要被询问的多个计算机化设备的数据,和接收指示在所述所指定的计算机化设备上选择哪一或更多询问对象来询问的数据。所述无代理模块可适合于调用和配置至少一远程访问程序来询问远程计算机化设备的至少注册表。根据本发明的一些实施方式,所述询问模块可适合于使用所述无代理模块的多个线程来调用和配置多个远程访问程序,以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
Description
相关申请的相互参照
本申请要求下面的美国临时申请的权益:美国临时申请No.60/672,050,其于2005年4月18日提交;美国临时申请No.60/672,072,于2005年4月18日提交;美国临时申请No.60/672,045,于2005年4月18日提交;以及美国临时申请No.60/672,046,于2005年4月18日提交;以及要求于2004年10月5日提交的以色列专利申请No.IL164402的权益,以上均据此参考引入。
技术领域
本发明通常涉及信息安全领域。更具体地,本发明涉及一种方法和一种设备,其用于在普通管理域下使多个计算机化设备的至少注册表的无代理和并行询问能够进行以例如检测潜在威胁的指示。
背景技术
信息和尤其数字信息现在处于大多数组织的中心。可惜,现在,信息系统处于不断的威胁下,以及珍贵的数据通常处于被公开的破坏或甚至被未授权方窃取的风险中。这些风险的财政后果太大,因此这些风险不能被忽视。令人遗憾地,现有的信息安全解决方案不能提供全面的解决方案,确保可靠和持续地保护以免受危及组织数据的现有的威胁。
对传送组织网络内以及与外部世界(公共、远程位置、商业合作者等)的不同种类的通信的互联网的依赖、以及许多复杂的小型存储设备(例如用作磁盘的USB可连接的设备)和其它先进技术进入市场和增长,对没有满意的解决方案提出了新的安全挑战。大多数现有的IT安全解决方案基本为现有解决方案的改进,以及基于过时的假设:威胁仅来自外部源(例如,互联网)。因此,大多数现在的IT安全解决方案将组织网络内的实体看作“可信的”,而组织网络内外的实体被看作“不可信的”。使用简单的装置和方法来产生进入组织内网的后门的威胁的数量增多是警告外围防护方法的缺点的证据,其包括例如所有现有的网关安全产品(例如防火墙、防病毒、内容检测、IDS/IPS和其它的过滤器)。实际上,世界著名的研究团体最近估计,超过80%的破坏组织信息安全的事件来源于组织本身内(恶意或由于缺乏意识);因此关键重要的是实现防备外部威胁和内部威胁(例如,雇员、承包者等)间的平衡,以及给安全人员提供集中的解决方案,允许其有效地监控涉及内网计算机的活动(例如监控信息安全政策的顺应性)。
对于填补上述的部分安全空白已进行了尝试,然而,迄今,所有所提议的解决方案具有主要的缺点,以及仅提供防备广泛的威胁的部分解决方案,和/或具有技术不足,以及没有一个是足够全面的、直接的、灵活和/或有效的。例如,一些解决方案需要一个计算机接着一个计算机地扫描网络。为了数据安全,由于完成任何相当数量的设备的询问循环所需的时间数量,因此这是不可接受的。其它所建议的部分解决方案依赖于代理应用程序,其必须安装在每一待询问的设备上且其后必须在每个安装的设备上被管理。基于代理的解决方案要求每一计算机化设备安装有合适的代理应用程序,所述计算机化设备被允许与组织网络通信。单独的所述安装,不管其是自动、半自动还是手动的,都需要很多的人力资源且可能是相当耗时的。在许多服务器和工作站上的代理安装可能不能操作,且这样的故障不被注意到,这引起严重且末被检出的安全破坏。从技术角度来看,代理安装也是有问题的。当安装代理时,以及只要安装了代理,就必须确保对于在其上安装了或正在安装所述代理的每一计算机化设备,代理应用软件和所述计算机化设备上的其它软件组件没有任何冲突。这样的冲突可妨碍代理操作或甚至使代理操作无效。这对系统管理资源和人员产生进一步的事务负担。除了以上之外,代理应用程序即使在正常操作期间也会浪费本地和网络资源。
一组不同的信息安全工具包括多种漏洞扫描器(vulnerabilityscanner)。漏洞扫描器一般用于检测不需要/未授权的服务,例如开放的端口,以及其它漏洞,其仅是网络和/或操作系统级上的一部分漏洞。漏洞扫描器不能寻址操作系统级上的所有威胁以及操作于应用程序级的威胁,其是相当普遍的且可引起对组织相当的损害。另外一组感兴趣的工具是目录/资产(inventory/asset)模块,尽管并不特定用于信息安全。目录模块通常由系统管理员或由后勤人员使用以产生目录列表,其包括安装在由目录模块所监控的计算机上的各种硬件和软件资源。然而,如上述,目录模块并不旨在用于安全目的,因此不能产生集中关注于安全威胁的目录数据。可由目录模块产生的数据一般包括大量的无关的数据,且与安全威胁有关的数据可通常仅部分地来自于信息安全的角度。此外,出于信息安全的目的,为了具有一些相关性(尽管有限),需要分析由目录模块返回的大量的数据的附加的处理以分析潜在的威胁。此分析需要特殊的专业知识和大的关注,以及是漫长的。此外,目录模块不能在基本短的时间内扫描大量的计算机,因此可存在相当长的时间安全威胁未被目录模块检测出和可能甚至根本未检测出的一些可能性。一些安全威胁仅需要短的时间就引起相当大的损害,且必须被尽可能快地检测出和阻止。因此,由于获得目录列表需要长的时间和分析返回的数据需要额外数量的时间,以及其缺乏对于安全威胁的集中关注,目录模块不能提供适合的IT安全解决方案。
发明内容
因此需要一种系统、方法和设备来有效地询问组织网络内的计算机化设备。进一步需要提供一种系统和方法,其能够不使用代理应用程序而对于与安全威胁有关的一或更多主题来并行远程扫描多个计算机化设备。进一步需要提供基本全面、直接和灵活的这样的系统和方法。
本发明的一些实施方式可涉及用于询问组织网络内的计算机化设备的一种设备和一种方法。根据本发明的一些实施方式,所述设备可包括询问模块,所述询问模块可适合于接收指定要被询问的多个计算机化设备的数据,和接收指示在所指定的计算机化设备上询问哪一个或更多询问主题的数据。根据本发明的一些实施方式,所述询问模块可适合于调用和配置多个远程访问程序,以根据所述所选的询问主题来并行地且不使用代理地询问所述所指定的计算机化设备的至少注册表。
根据本发明的进一步的实施方式,所述用于询问组织网络内的计算机化设备的询问设备可包括询问模块和无代理模块。所述询问模块可适合于接收指定要被询问的多个计算机化设备的数据,和接收指示在所述所指定的计算机化设备上选择哪一个或更多询问主题来询问的数据。所述无代理模块适合于调用和配置至少一远程访问程序来询问远程计算机化设备的至少注册表。根据本发明的一些实施方式,所述询问模块可适合于使用所述无代理模块的多个线程来并行调用和配置多个远程访问程序,以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。根据本发明的一些实施方式,所述询问模块适合于并行使用所述无代理模块的相当大数量的线程。
根据本发明的另一些实施方式,所述询问主题与安全威胁有关。根据本发明的进一步的实施方式,所述询问主题可以与计算机化设备的至少所述注册表内的一或更多特定位置有关,在询问期间,在此位置可能发现安全威胁的指示。
根据本发明的一些实施方式,所述询问模块可适合于选择在各所述计算机化设备上要询问哪一个或更多所述询问主题。根据本发明进一步的实施方式,所述设备可进一步包括用户接口。例如,所述用户接口可使用户能够直接或间接选择一或更多所述要被询问的计算机化设备。所述用户接口可进一步使用户能够直接或间接选择在一或更多所述要被询问的指定的计算机化设备上要询问哪一个或更多询问主题。
根据本发明的一些实施方式,所述询问模块可适合于确定用于询问所述所指定的计算机化设备的所述无代理模块的线程数。所述询问模块可适合于根据一或更多下列各项来确定所要使用的所述无代理模块的线程数,所述下列各项为:要被询问的计算机化设备的数量、所期望的扫描速度、一或更多网络性能参数、所述要被询问的主题和/或威胁严重性。例如,在确定或指明所述计算机化设备上确定的一或更多要被询问的询问对象与严重的安全威胁有关的情况下,所述询问模块可配置成例如调用所述无代理模块的相当大数量的线程。
根据本发明的一些实施方式,所述询问模块可适合于向所述无代理模块的每一线程分配一或更多所述所指定的计算机化设备。根据本发明进一步的实施方式,所述询问模块可适合于向所述无代理模块的每一线程分配一或更多询问主题,所述询问主题在被分配给所述无代理模块的所述线程的一或更多所述所指定的计算机化设备上被选择来询问。
根据本发明的一些实施方式,所述无代理模块的每一线程可适合于配置各所述所调用的远程访问程序,以根据分配到所述线程的计算机化设备上被选择来询问的所述询问主题,来询问所述计算机化设备内的一或更多特定位置。根据本发明进一步的实施方式,所述无代理模块的每一线程可适合于配置各所述所调用的远程访问程序,以根据被选择用于各所述计算机化设备且已分配给所述线程的所述询问主题,来询问所述被分配到所述线程的计算机化设备的至少注册表内的一或更多特定位置,。
根据本发明的一些实施方式,所述询问模块可适合于向所述无代理模块的一或更多线程分配预定的数据,所述预定的数据与可在一或更多所述特定位置发现的确定数据相应,与分配给此线程或这些线程的一或更多所述询问主题有关。根据本发明进一步的实施方式,一或更多所述无代理模块可适合于配置一或更多所述所调用的远程访问程序以比较实际数据与预定的数据,所述实际数据发现于所述计算机化设备内的一或更多特定位置上,其与分配到此或这些线程的一或更多所述询问主题有关,所述预定数据与一或更多所述询问主题有关,其与所述可在一或更多所述特定位置发现的数据相应。
根据本发明的一些实施方式,所述设备可进一步包括一或更多数据库。根据本发明进一步的实施方式,一或更多所述数据库可包括与一或更多计算机化设备相应的预存储的数据。根据本发明进一步的实施方式,作为指定所述要被询问的计算机化设备的一部分,与计算机化设备相应的预存储的数据可自所述数据库获得。根据本发明的一些实施方式,一或更多所述数据库可包括包括与一或更多询问主题相应的预存储的数据。根据本发明进一步的实施方式,作为在所述指定的计算机化设备上选择要被询问的一或更多询问主题的一部分,与一或更多询问主题相应的预存储的数据可自所述数据库获得。
根据本发明的一些实施方式,所述设备可进一步包括结果分析模块。所述结果分析模块可适合于处理所接收的结果,以响应对所述所指定的计算机化设备的至少所述注册表的询问。所述结果分析模块可适合于产生与所述结果相应的报告。根据本发明进一步的实施方式,所述结果分析模块适合于基于一或更多所述所接收的结果来执行一或更多预定的操作或过程。例如,根据本发明的实施方式,所述结果分析模块可适合于使用无代理模块的一或更多线程来调用和配置一或更多远程访问程序,以修改或删除被询问的一或更多所述远程计算机化设备上的特定数据。
根据本发明的一些实施方式,一种询问组织网络内的计算机化设备的方法可包括下面的步骤:指定要被询问的多个计算机化设备,选择所述指定的计算机化设备上要被询问的一或更多询问主题,以及并行调用和配置多个远程访问程序以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
根据本发明进一步的实施方式,所述选择一或更多询问主题的步骤可进一步包括选择询问各所述所指定的计算机化设备上哪一个或更多所述询问主题。
根据本发明的一些实施方式,所述方法可进一步包括并行使用无代理模块的多个线程的步骤,各所述线程适合于调用和配置至少一个远程访问程序来询问远程计算机化设备的至少注册表。根据本发明进一步的实施方式,所述使用的步骤进一步包括向所述无代理模块的所述多个线程的每一线程分配一或更多所述所指定的计算机化设备,以及所述一或更多计算机化设备上要被询问的一或更多所述询问主题。
根据本发明的一些实施方式,所述方法可进一步包括根据一或更多下列各项来确定调用的无代理模块的线程的数量的步骤,所述下列各项为:要被询问的计算机化设备的数量、所期望的扫描速度、一或更多网络性能参数、所述要被询问的主题和/或威胁严重性。根据本发明进一步的实施方式,所述分配步骤进一步可包括根据在所述计算机化设备上被选择来询问的一或更多所述询问主题,来向所述无代理模块的所述一或更多线程分配与所述计算机化设备内一或更多特定位置相应的数据,所述计算机化设备被分配到此或这些线程。
根据本发明的方法的一些实施方式,所述方法可进一步包括下面的步骤:接收结果以响应于所述所指定的计算机化设备的至少所述注册表的询问,和产生与所述所接收的结果相应的报告,以响应于所述所指定的计算机化设备的询问。根据本发明进一步的实施方式,所述方法可进一步包括基于一或更多所述所接收的结果来执行一或更多预定操作或过程的步骤。根据本发明的方法的进一步的实施方式,所述方法可进一步包括下面的步骤:使用所述无代理模块的一或更多线程来调用和配置一或更多远程访问程序,以修改或删除被询问的一或更多所述远程计算机化设备上的特定数据。
附图说明
为了理解本发明以及了解可如何实施其,现在参考附图,通过非限制性实施例来描述优选实施方式,其中:
图1为根据本发明的一些实施方式的、用于询问组织网络内的计算机化设备的设备的放大图;
图2为根据本发明的一些实施方式的询问组织网络内的计算机化设备的方法的一些实施方式的流程图;
图3为作为本发明的一些实施方式的一部分的、典型的组织网络的方框图,其包括用于询问组织网络内的计算机化设备的设备;
图4A为可能的询问主题数据库的一实施例的图示,所述数据库包括与询问主题有关的数据;以及
图4B为根据本发明的一些实施方式的表的一实施例的图示,所述表包括用于要使用的无代理模块的各线程的项目,以及与所述计算机化设备和分配给所述无代理模块的此线程的询问主题相应的数据。
应理解,为了简化和说明清楚,附图所示的元件不一定按比例绘出。例如,为了清楚,一些元件的尺寸相对于其它元件被放大。此外,在考虑合适的情况下,在附图中可重复标号以表示相应或相似的元件。
具体实施方式
在下面详细的说明中,解释了许多具体的细节以提供对本发明的完整的理解。然而,本领域的技术人员应理解,没有这些具体的细节也可实施本发明。在其它情况下,没有详细描述公知的方法、步骤和部分,以不模糊本发明。
除非另具体地指出,如从下面的论述中明显的,应理解,在整个说明书的论述中,使用术语例如“处理”、“运算”、“计算”、“确定”、“生成”、“分配”等指的是计算机或计算系统或类似的电子计算设备的操作和/或处理,其操纵和/或将代表计算系统寄存器和/或存储器内的物理量例如电量的数据变换成类似地代表计算系统存储器、寄存器或其它这样的信息存储、传送或显示设备内的物理量的其它数据。
本发明的实施方式可包括执行本文操作的装置。此装置可特别构造成用于期望的目的,或其可包括通用计算机,所述通用计算机由存储在所述计算机中的计算机程序来选择激活或重新配置。这样的计算机程序可存储在计算机可读存储介质中,其例如但并不局限于任何类型的盘,包括软盘、光盘、CD-ROMs、磁光盘、只读存储器(ROMs)、随机存取存储器(RAMs)、电可编程只读存储器(EPROMs)、电可擦可编程只读存储器(EEPROMs)、磁或光卡、或适用于存储电子指令和能够连接到计算机系统总线上的任何其它类型的介质。
在此所提出的过程和显示并不固有地与任何特定的计算机或其它装置有关。多种通用系统可用于根据这里的教导的程序,或可证明方便的是构造更专用的装置来执行期望的方法。用于多种这些系统的期望的结构从下面的说明中变得显而易见。另外,本发明的实施方式未参考任何具体的编程语言来描述。应理解,多种编程语言可用于实现这里所述的本发明的教导。
在整个说明书和权利要求书中,术语“组织网络”除非另外说明,应理解成意指形成组织网络的任何计算机化设备组。除非另外说明,这里所用的组织网络可包括在任何类型连接上的一或更多互连的LAN(局域网)、WAN(广域网)、和/或无线通信网等以及其任何组合。所述组织网络可在单个管理域下或在多于一个的管理域下,以及可包括在常规基础上并不连接到组织网络但至少部分受组织网络管理控制的一或更多额外的计算机化设备。
现在参考图1,图1为根据本发明的一些实施方式的询问设备的放大图,其用于询问组织网络内的计算机化设备。根据本发明的一些实施方式,用于询问组织网络内的计算机化设备的设备200可包括询问模块220和无代理模块230。根据本发明的一些实施方式,询问模块220可操作连接到无代理模块230。应注意,根据本发明的一些实施方式,无代理模块230可集成到询问模块220。
现在另外参照图2,图2为根据本发明的一些实施方式的、询问组织网络内的计算机化设备的方法的一些实施方式的流程图。根据本发明的一些实施方式,询问模块220可适合于接收指定要被询问的多个计算机化设备的数据(方框110)。另外,询问模块220可适合于接收与所指定的计算机化设备上的被询问的一或更多所选的询问主题相应的数据(方框120)。下面参考本发明的进一步的实施方式,提供关于询问主题的性质的另外的论述。
根据本发明的一些实施方式,根据所指定的要被询问的计算机化设备和/或根据要被询问的所选的询问主题,询问模块220可适合于确定要使用和激活的无代理模块230的线程数(方框130)。询问模块220可适合于给无代理模块230的各线程分配要被询问的一或更多(指定的)计算机化设备,和此或这些计算机化设备上要被询问的一或更多(所选的)询问主题(方框140)。根据本发明的一些实施方式,在一些情况下,要被询问的一或更多计算机化设备与选择用于此或这些计算机化设备的所有询问主题一起可分配给无代理模块230的确定的线程,然而在其它情况下,确定的包括一或更多计算机化设备的组可分配给无代理模块230的两或更多线程,以及在已分配了所述组的线程中可划分选择用于所述计算机化设备组的询问主题。
根据本发明的一些实施方式,询问模块220可适合于获得和提供给无代理模块230的每一线程帮助询问分配到其的计算机化设备可能必要的任何数据,其根据选择用于此或这些计算机化设备的询问主题,以及其已分配给无代理模块230的此线程。下面更详细地描述这样的信息的一些实施例。下面提供与要使用的线程数有关和与要被询问的计算机化设备和询问主题的分配有关的进一步论述以及与可提供给无代理模块230的数据种类有关的论述。
根据本发明的一些实施方式,无代理模块230可操作连接到远程访问程序或模块260。根据本发明的一些实施方式,远程访问程序260可不使用代理就能够询问远程计算机化设备的至少注册表。根据本发明的进一步的实施方式,远程访问程序260还可适合于修改(写、重写、修改、删除等)存储在远程计算机化设备的至少注册表内的数据。根据本发明的进一步的实施方式,远程访问程序260当接收适当的指令时或当被适当地编程或配置以询问特定的计算机化设备的至少注册表内的特定的位置时,可适合于询问远程计算机化设备的至少注册表内的所述特定的位置。
根据本发明的一些实施方式,无代理模块230的各线程可适合于调用至少一个(以及例如,一般是一个)远程访问程序260。因此,根据本发明的一些实施方式,无代理模块230的多个线程可适合于同时调用多个远程访问程序260。作为调用所述远程访问程序一部分,无代理模块230的各线程可适合于配置至少一个远程程序260。根据本发明的进一步的实施方式,无代理模块230的各线程可适合于配置至少一远程访问程序260以访问(和询问)一或更多特定的计算机化设备的至少注册表内的一或更多特定的位置。根据本发明的一些实施方式,询问模块220可适合于并行使用无代理模块230的多个线程来调用多个远程访问程序260,以根据所选择的询问主题并行且不使用代理地询问指定的计算机化设备的至少注册表。根据本发明的一些实施方式,作为使用或激活无代理模块230的线程的一部分,询问模块220可适合于配置无代理模块230的每一线程,其用于引起以根据一或更多询问主题不使用代理远程访问一或更多计算机化设备的至少注册表的方式来调用一或更多远程访问程序260,所述计算机化设备分配到无代理模块230的此线程,所述询问主题在此或这些计算机化设备上被选择以待询问,以及其(选择用于此计算机化设备的询问主题)已被分配到无代理模230的此线程(方框150)。
作为本发明的一些实施方式的一部分,各远程访问程序260可配置成为一或更多计算机化设备上要被询问的一或更多询问主题产生合适的查询以及使用通信模块210来根据所述询问主题远程询问所述计算机化设备。作为本发明的进一步的实施方式的一部分,通信模块210可以被多个远程访问程序使用以并行询问所述指定的计算机化设备的至少注册表。作为本发明的进一步的实施方式的一部分,各远程访问程序260可适合于自正询问的远程计算机化设备提取与在与询问主题有关的特定位置所具有的数据(或其的缺乏)相应的任何相关指示。作为提取所述数据的一部分,各远程访问程序260可配置成将自与询问主题有关的远程计算机化设备所提取的所述指示返回给设备200或任何其的部件。作为本发明的进一步实施方式的一部分,在所述远程访问程序260配置期间,所述远程访问程序寻找所述数据(或缺乏其)的所述特定位置可通过无代理模块230的线程之一提供给所述远程访问程序。应注意,作为本发明的一些实施方式的一部分,各远程访问程序可适合于使用任何已知或在将来设计的工具来询问远程计算机化设备上的指定的目标,包括但并不局限于作为目前市场上销售的一些操作系统的一部分的多种工具。还应注意,本发明的一些实施方式并不局限于任何特定的远程访问程序的使用。
根据本发明的一些实施方式,上述程序可以被手动启动和/或可以自动开始。例如,上述的程序可以被调度以及可以在预定的时间被自动启动。根据进一步的实施例,所述程序可以响应于预定的事件而自动开始。
图3显示作为本发明的一些实施方式的一部分的典型的组织网络的方框图,其包括用于询问组织网络内的计算机化设备的设备。在图3中,显示组织网络10包括几个LNA20,使用不同类型的连接(例如专用线、互联网)连接在一起,形成WAN30,其例如可服务于所述组织的两个(或更多)不同位置或分部。应注意,本发明并不局限于任何特定的网络体系结构,而是,根据本发明的一些实施方式,形成组织网络的任何计算机化设备组可被认为是“组织网络”。
作为本发明的一些实施方式的一部分,用于询问组织网络10内的计算机化设备的设备200可连接到组织网络10。例如,如图3所示,设备200可以为LAN20之一的一部分,以及可操作地连接到WAN30以及与LAN20连接的远程计算机化设备(以及其至少部分受组织网络10管理的控制)。
现在返回到图1,根据本发明的一些实施方式,设备200可操作连接到通信模块210或可包括通信模块210。通信模块210可例如为安全管理器计算机202的网络接口卡(NIC),所述设备200可操作连接到其或包括在其内。通信模块210可配置成使设备200能够与组织网络10内的至少一些以及一般所有的计算机化设备通信。应注意,根据设备200的可选的实施方式,通信模块210可包括作为设备200的一部分,以及根据本发明的一些实施方式,通信模块210可从设备200省略,以及外部通信接口或模块可由设备200或由设备200的一或更多部件使用以与组织网络10中的计算机化设备通信。
根据本发明的一些实施方式,设备200可包括存储设备240。存储设备240可用于存储与组织网络内的计算机化设备有关的预定数据和/或与预定的询问主题有关的数据。存储设备240内的数据可在任何数据结构中组织,包括但不局限于一或更多数据库。根据本发明的进一步的实施方式,设备200可包括一用户接口或多个接口250。用户接口250可用于实现自设备200的用户接收数据,和/或向所述用户输出数据(例如,显示结果或打印报告)。例如,用户可使用用户接口250来输入与要被询问的计算机化设备有关的数据和/或产生新的询问主题或更新指定的计算机化设备上要被询问的现有询问主题,或选择指定的计算机化设备上要被询问的现有的询问主题。根据本发明的进一步的实施方式,设备200可连接到外部数据源,例如组织主域控制器(prime domain controler,PDC)、组织活动目录(active directory,AD)或多种文件,与要被询问的计算机化设备和/或要被询问的询问主题有关的数据可自其输入。各以上数据源可替换使用和或彼此组合使用以指定要备询问的计算机化设备和/或选择或产生指定的计算机化设备上要被询问的询问主题。例如,可自组织活动目录获得组织网络10内的所有用户的基本完全的列表,以及所述用户可使用用户接口来指定要询问这些计算机化设备的哪些设备。
根据本发明的一些实施方式,一旦指定要被询问的计算机化设备,若必要,询问模块220可适于自一或更多上述的数据源(或数据输入接口)获得与要被询问的计算机化设备的ID有关的数据。然而,在一些或所有指定的计算机化设备的ID提供给询问模块220作为其说明的一部分的情况下,对于这些计算机化设备,可不必独立获得一ID。所述要被询问的计算机化设备可由其网络地址(例如IP地址)和/或由所述网络内的计算机化设备的名称(主机名)指定。然而,根据本发明的一些实施方式,可以使用目前已知或将来要设计的任何其它合适的识别数据。根据本发明的一些实施方式,要被询问的计算机化设备的列表可暂时存储在存储介质中,例如设备200的存储介质240中。根据本发明的一些实施方式,作为使用无代理模块230的多个线程的一部分,询问模块220可向无代理模块230的各线程提供已经或正在被分配到无代理模块230的所述线程的计算机化设备的ID。
根据本发明的一些实施方式,一或更多以及可能所有的询问主题与计算机化设备的至少注册表内的特定位置(以及可能多于一个位置)有关。现在参照图2,根据本发明的一些实施方式,一旦选择了指定的计算机化设备上要被询问的询问主题,询问模块220可适合于对于各所选的询问主题获得指向远程计算机化设备的至少注册表内的一特定位置或多个特定位置的数据(或提供到特定位置的路径的数据)(方框122)。所述指向远程计算机化设备的至少注册表内的一位置或多个特定位置的数据可指示在计算机化设备上何处可发现或期望发现与询问主题有关的数据。
根据本发明的进一步的实施方式,另外,对于一或更多所选的询问主题,通过询问模块220还可获得与在特定的位置可发现的特定数据(例如特定的值)有关的数据(方框124)。根据本发明的进一步的实施方式,若在特定位置发现指示,与在特定位置可发现的特定指示数据有关的数据可指示安全威胁。
根据本发明的一些实施方式,对于各所选的询问主题或仅对于其一些,所述指向远程计算机化设备一特定位置或多个特定位置的数据和/或与在所述特定位置可发现的特定数据有关的数据可被预分类和可自动获得。然而,根据本发明的进一步的实施方式,在选择之后,对于一或更多所选的询问主题,所述指向远程计算机化设备一特定位置或多个特定位置的数据和/或与在所述特定位置可发现的特定数据有关的数据可由用户手动提供。
根据本发明的一些实施方式,作为使用无代理模块230的多个线程的一部分,根据分配到无代理模块230的每一线程的询问主题,询问模块220可向无代理模块230的所述线程提供指向远程计算机化设备上的一特定位置或多个特定位置的相关数据和/或与在所述特定位置可发现的特定数据有关的相关数据。
根据本发明的进一步的实施方式,作为调用一或更多远程访问程序260的一部分,无代理模块230的每一线程可适合于配置或编程远程访问程序260,以确定所述计算机化设备是否包括与所述询问主题有关的位置上的数据,作为询问所述远程计算机化设备的一部分。根据本发明的进一步的实施方式,作为对于询问主题询问远程计算机化设备的一部分,用于询问的远程访问程序260可配置成使所述远程计算机化设备返回关于在与询问主题有关的特定位置上数据存在或其缺乏的指示,以及在发现数据的情况下,作为所述询问的另一部分,返回与在所述特定位置发现的实际数据有关的指示。可与所述指示有关的所述位置可以为与所述计算机化设备上被询问的询问主题有联系的位置。根据本发明的进一步的实施方式,对于各询问主题和对于其上询问所述询问主题的各计算机化设备,可返回合适的指示。应注意,根据本发明的一些实施方式,远程访问程序可以例如为,但并不局限于多种API,其可使用任何必要的工具以产生合适的查询来根据所述询问主题询问所述远程计算机化设备。
根据本发明的进一步的实施方式,作为调用一或更多远程访问程序的一部分,无代理模块230的每一线程可适合于配置或编程远程访问程序260以确定在远程计算机化设备上所发现的与确定的询问主题有关的实际数据是否满足和与所述询问主题相联系的预定值的预定关系(或是否所发现的数据为确定的类型)。根据本发明的进一步的实施方式,作为调用一或更多远程访问程序的一部分,无代理模块230的每一线程可适合于配置或编程远程访问程序260以确定所述在计算机化设备的注册表内的特定位置所发现数据是否满足和预定的注册表项(key)名、注册表值名和/或注册表值数据的预定关系,其与所述询问主题相关联,所述询问主题与所述特定的位置相关联。应注意,为了使所述远程访问程序能够确定在与确定的询问主题有关的远程计算机化设备上所发现的实际数据是否满足与预定的值的预定关系,一些目前已知的远程访问程序可需要一些更改和/或增强,这对于本领域的普通技术人员是容易显而易见的。应进一步注意,将结果与预定值比较的过程可以可选地执行,作为结果分析过程的一部分,或作为备选,或加到上述比较。下面更详细地论述询问结果的处理。
根据本发明的进一步的实施方式,作为调用一或更多远程访问程序的一部分,无代理模块230的每一线程可适合于配置或编程正被所述线程调用的远程访问程序260,以根据分配到所述线程的计算机化设备的ID,以及根据指向与已被分配到所述线程的询问主题相应的一特定位置或多个特定位置的数据,来为了一或更多询问主题而询问一或更多指定的计算机化设备。根据本发明的进一步可选的实施方式,作为调用一或更多远程访问程序的一部分,无代理模块230的一或更多线程可适合于配置或编程正被此(或这些)线程调用的远程访问程序260,以将在远程计算机化设备上的特定位置所发现的实际数据和与在所述特定位置可发现的一或更多特定的指示有关的所预分类的数据进行比较。根据本发明的进一步的实施方式,作为调用一或更多远程访问程序的一部分,无代理模块230的一或更多线程可适合于配置或编程正被此(或这些)线程调用的远程访问程序260,以在所述特定位置所发现的实际数据和所预分类的数据满足确定的关系的情况下,返回确定的预定的指示。可以预定多于一个关系,以及不同的指示可以与各关系关联。因此,无代理模块230的线程可配置远程访问程序。
根据本发明的一些实施方式,要被询问的指定的计算机化设备可以被预定或可以对于每一扫描具体地选择。根据本发明的进一步的实施方式,在每一扫描之前,可提供计算机化设备的列表,例如,包括与组织网络10连接或联系的所有计算机化设备的列表,以及可从全面的列表选择要被询问的计算机化设备。在要被询问的计算机化设备的列表是预定的情况下,所述列表可存储在数据库中或任何其它数据结构中,其可存储在存储器或存储设备240(例如硬盘)上。根据本发明的进一步的实施方式,在计算机化设备的列表是对于所述计算机化设备的每一扫描而具体产生的情况下,许多方法学和技术以及其任何组合可用于编译所述列表。例如,根据预定的标准可自动选择要被询问的计算机化设备,和/或要被询问的计算机化设备可以由用户例如通过用户接口250而手动选择。上述的任何技术或方法学可以结合任何其它技术和方法学来使用以产生要被询问的计算机化设备的列表。
根据本发明的一些实施方式,询问模块220可适合于给要被询问的各所指定的计算机化设备分配在所述计算机化设备上要被询问的一或更多询问主题。根据本发明的一些实施方式,对于各询问过程,各计算机化设备上要被询问的询问主题可以被提前预先选择,或可以对每一询问过程由用户手动选择。根据本发明的一些实施方式,所述询问主题可与安全威胁有关,例如各询问主题可以与一或更多特定的威胁有关。根据本发明的进一步的实施方式,所述询问主题可以与各种应用程序、服务和/或硬件服务(一般,但不一定为辅助硬件设备,如USB存储设备)有关,若在与组织网络连接或联系的计算机上被发现,其或其的确定的组合的显示(evidence)可以指示安全威胁。
根据本发明的一些实施方式,所述询问主题可以被预先确定和/或可由用户手动或半手动定义。在确定的询问主题由用户定义的情况下,所述用户可以使用用户接口250来可能除了与询问主题有关的所预分类数据外,还向询问模块220提供关于询问主题的数据。根据本发明的一些实施方式,与预定的询问主题有关的数据可以在存储介质例如存储介质240中分类,以及当所选的计算机化设备上的要被询问的询问主题被选择时,可自所述存储介质检索有关数据。例如,根据本发明的一些实施方式,存储介质240可用于存储包括与多个预定的询问主题有关的数据的数据结构或数据库。根据本发明的一些实施方式,所述存储在所述数据库中的数据可以但不一定与已知的安全威胁有关。
图4A示出可能的询问主题数据库的实施例,所述数据库包括与询问主题有关的数据,现在参照图4A。各询问主题可以由确定的名称识别。例如,所述主题的名称可以为通常用于指出与所述主题有关的威胁的名称,然而可以使用任何名称。除了所述主题的名称外,如图4A所示,对于各询问主题,可提供指向远程计算机化设备上的一特定位置或多个特定位置的一或更多路径。根据本发明的一些实施方式,所述多个路径或一路径可以与远程计算机化设备上的一位置或多个位置关联,在例如与询问主题有关的安全威胁出现在计算机化设备上的情况下,在其中可发现或可预期发现与询问主题有关的数据。例如,所述多个路径或一路径可以与远程计算机化设备上的一位置或多个位置关联,在此位置,可以发现应用程序、服务或硬件设备存在的指示,以及若发现(例如在所述特定位置)其指示可以指示已知的安全威胁。
根据本发明的进一步的实施方式,询问主题数据库对于其中的一或更多询问主题可包括与在提供给这个或这些询问主题的特定位置可发现的特定指示(数据)或值有关的数据。例如,若在计算机化设备内的特定位置被发现,所述指示可以指示已知的安全威胁,或在已知的安全威胁出现在正被询问的计算机化设备上的情况下,可预期发现所述指示。这样的指示一可能的例子可以为状态指示。例如,所述状态指示可以指示已知的安全威胁是否出现在已发现所述指示的计算机化设备上,和/或其是否已安装在已发现所述状态指示的计算机化设备上,和/或与所述指示有关的安全威胁是否在已发现所述指示的计算机化设备上活动。根据本发明的一些实施方式,一或更多询问主题可以与计算机化设备的注册表内的一或更多位置有关,和/或所述计算机化设备上的其它一位置或多个位置有关。
根据本发明的一些实施方式,对于至少一个询问主题,所述数据库可包括与计算机化设备的注册表内的、预期会发现与所述询问主题有关的数据的一或更多位置有关的数据。根据本发明的进一步的实施方式,除了所述与计算机化设备的注册表内的、预期会发现与所述询问主题有关的数据的一或更多位置有关的数据外,所述数据库可包括指向计算机化设备内的、预期会发现与所述询问主题有关的数据的其它位置的数据。这样的位置可包括但不局限于计算机化设备的添加/删除列表、服务列表、进程列表、最近所使用的文件以及其它。
应注意,可与一个询问主题或与一组询问主题有关的附加数据也可包括在询问主题数据库中。例如,这样的数据可包括与多种询问主题有关的各种独特的特征、图标、所述主题的描述、可以与所述主题有联系的范畴、与可以在与所述询问主题有关的计算机化设备内的所述位置发现的信息(例如,特定的注册表项或注册表值)有关的数据、在与所述主题联系的计算机设备内的所述位置的许可值和/或未许可值。
根据本发明的一些实施方式,如上所述,作为使用无代理模块230的线程的一部分,询问模块220可适合于配置正被使用的无代理模块230的各线程以引起调用一或更多远程访问程序260,使得根据已分配给所述线程的且在一或更多计算机化设备已被选择要被询问的询问主题,不使用代理地远程询问分配给所述线程的这个或这些计算机化设备的至少注册表。可以被无代理模块230的线程调用来询问所述指定的计算机化设备的至少注册表的远程访问程序260的一例子可包括一或更多应用程序设计接口(API),包括能够远程询问远程计算机化设备的注册表的API。本领域的普通技术人员应理解,包括多种API的多种远程访问程序260可以为一些在市场上销售的操作系统的集成部件,然而,也可使用其它API。根据本发明的进一步的实施方式,无代理模块230的线程可以调用各种API,使得根据所述询问主题询问指定的计算机化设备的至少注册表,但可能为在预期会发现与所述询问主题有关的数据的计算机化设备内的其它位置,例如添加/删除列表、服务列表、最近所使用的文件或活动进程列表。应理解,无代理模块230的线程可配置成调用不同的远程访问程序和各种API,使得引起所述远程访问程序来询问要被询问的指定的计算机化设备上的多个位置和/或数据源。
为了说明,根据本发明的一实施方式,在所述无代理模块的线程之一确定注册表API用于询问一或更多计算机化设备的注册表的情况下,无代理模块230可调用所述注册表API。接下来,所述无代理模块的线程可请求操作系统以命令所述注册表API开启与确定的询问主题有关的确定的路径、项或库。所述无代理模块的线程可请求操作系统以命令所述注册表API向所述设备返回关于在所述指定位置是否发现数据的指示,或所述无代理模块可请求操作系统以命令所述注册表API向所述设备返回关于在所述指定位置所发现的实际数据的指示。
根据本发明的一些实施方式,询问模块220可适合于确定并行使用的无代理模块的线程数。根据预定的参数,例如网络性能或可用的带宽参数,可以由用户手动选择或可以自动确定无代理模块230的线程数。根据本发明的一实施方式,询问模块220可预先配置成使用无代理模块230的多个数目的线程,以及例如,用户可通过选择期望的操作速度(例如-很慢、慢、中等、高和很高)来选择所期望的无代理模块230的线程数。
根据本发明的一些实施方式,当询问模块220确定并行使用的无代理模块230的线程数时,询问模块220可适合于向无代理模块230的各线程分配一或更多指定的计算机化设备。根据本发明的一些实施方式,询问模块220可适合于确定哪一指定的计算机化设备将被分配给无代理模块230的哪一线程,和/或多少数目的指定的计算机化设备将被分配给无代理模块230的各线程。根据本发明的一些实施方式,要被询问的指定的计算机化设备可在要被使用的无代理模块230的线程之间随机地和平等地分配。根据本发明的进一步的实施方式,要被询问的指定的计算机化设备可根据预定的规则和/或基于预定的参数,例如可用于自设备200到要被询问的确定的计算机化设备通信的带宽数,而在要被使用的无代理模块230的线程中间分配,以及可不必在无代理模块230的线程中间平等分配。然而,本发明并不局限于此方面,以及询问模块220可配置成以其他方式确定哪一指定的计算机化设备将被分配给无代理模块230的哪一线程,和/或多少数目的指定的计算机化设备将被分配给无代理模块230的各线程。例如,根据本发明的一实施方式,询问模块220可配置成在将被使用的无代理模块230的所有线程之间基本平均分配要被询问的指定的计算机化设备。
现在参照图4B,其中显示根据本发明的一些实施方式的表的图示,所述表包括用于要被使用的无代理模块的各线程的项目和与所述计算机化设备和分配给所述线程的询问主题相应的数据。根据本发明的一些实施方式,作为无代理模块230配置的一部分,询问模块220可适合于产生包括用于要被使用的无代理模块的各线程的项目的表,其由询问模块220确定。根据本发明的一些实施方式,对于要被使用的无代理模块230的每一线程,询问模块220可适合于在所述表中记录与计算机化设备和与分配给所述线程的询问主题相应的数据。上面已较详细地论述了由询问模块220做出的关于无代理模块230的线程数的决定。根据任何预定的规则和/或基于任何预定的参数,包括但并不局限于各种相等分配的方案,可得出由询问模块220做出的关于哪一计算机化设备和/或哪一询问主题分配给无代理模块230的哪一线程的决定。
根据本发明的进一步的实施方式,询问模块220可适合于在用于无代理模块230的各线程的所述表中记录通过所述线程识别要被询问的计算机化设备的数据。询问模块220可适合于在用于无代理模块230的各线程的所述表中记录指向远程计算机化设备上的一特定位置或多个特定位置的数据,其中与分配给所述线程的询问主题相应的数据可在计算机化设备上发现。根据本发明的进一步的实施方式,询问模块220可适合于在用于无代理模块230的一或更多线程的所述表中记录与一或更多特定的指示(数据)或值相应的数据,可在一特定位置或多个特定位置发现所述指示或值,以及若在所述一特定位置或多个特定位置被发现,那么其可例如指示安全威胁。询问模块220可适合于在用于无代理模块230的各线程的所述表中记录任何其它数据,包括但不局限于下述数据,其可由无代理模块230使用来配置一或更多远程访问程序260,以根据指定的计算机化设备上要被询问的询问主题,远程询问一或更多指定的计算机化设备。
根据本发明的一些实施方式,对于每一询问过程,可产生包括用于要被使用的无代理模块230的各进程的项目的表,以及其可(暂时)存储在存储介质240中。根据本发明的进一步的实施方式,询问模块220可使用所述表中的数据来配置无代理模块230的各线程具有各无代理模块230用于调用和配置远程访问程序260所必要的数据,以及配置各所述程序以根据分配给所述无代理模块的该线程的一或更多计算机化设备上要被选为的询问主题,不使用代理地远程询问这个或这些计算机化设备的至少注册表。
根据本发明的一些实施方式,无代理模块230的各线程可适合于使用所述表(例如如图4B所示的表,或任何其它类似的表)中的数据,以调用和配置一或更多远程访问程序260来根据在分配到所述线程的多个计算机化设备之一上被选择询问的一或更多询问主题,远程询问所述计算机化设备的至少注册表。无代理模块230可包括必要的数据,例如用于调用和配置一或更多远程访问程序260以根据选择用于一或更多计算机化设备的询问主题来询问所述计算机化设备的至少注册表所需要的必要的逻辑。例如,在远程访问程序260包括开放API(open API)之一的情况下,其中所述API可作为微软视窗(Microsoft Windows)操作系统之一的一部分而被包括,无代理模块230可包括用于使无代理模块230的一或更多线程能够调用所述API和配置所述API以根据一或更多询问主题来远程询问一或更多计算机化设备的必要的数据或逻辑。例如,无代理模块230可包括用于产生合适的查询来引起API产生远程扫描程序的必要的数据或逻辑,所述远程扫描程序用于根据一或更多询问主题来询问一或更多计算机化设备。应理解,根据本发明的一些实施方式,所述远程访问程序的调用和配置可以为上述操作的一部分。
根据本发明的一些实施方式,无代理模块230的多个线程可同时调用远程访问程序260。例如,每一线程可产生一或更多查询,所述查询旨在引起远程访问程序260根据已被分配给所述线程以及计算机化设备上要被询问的一或更多询问主题来远程且不使用代理地询问所述计算机化设备的至少注册表。来自多个线程的无代理模块230的多个查询可引起多个远程访问程序260被调用。根据本发明的进一步的实施方式,来自多个线程的无代理模块230的多个查询可引起多个远程访问程序260根据被选择用于指定的计算机化设备的询问主题来并行且不使用代理地询问所述指定的计算机化设备的至少注册表。
根据本发明的一些实施方式,可以由一或更多远程访问程序260以引起存储在各指定的计算机化设备内的一或更多预定位置的数据被检索(根据选择用于所述计算机化设备的询问主题)的方式产生一或更多查询。根据本发明的进一步的实施方式,至少一个查询可配置成引起(一或更多)远程访问程序根据选择用于指定的计算机化设备的询问主题来询问所述计算机化设备的注册表内的一或更多预定位置。根据本发明的一些实施方式,一或更多远程访问程序可配置成将存储在一或更多计算机化设备内特定位置的数据或值与预定值或预定数据进行比较。
根据本发明的一些实施方式,所述查询可配置成引起远程访问程序250根据选择用于各指定的计算机化设备的询问主题来询问各所述计算机化设备内的一或更多预定位置。根据本发明的进一步实施方式,所述查询可被产生以引起与各计算机化设备的询问结果相应的数据返回给设备200,例如询问模块220。根据本发明的进一步实施方式,所述结果可与各计算机化设备上被询问的各询问主题有关。
根据本发明的一些实施方式,作为询问过程的一部分,远程访问程序260可产生一或更多查询使得引起与根据指定的计算机化设备上被询问的询问主题在所述计算机化设备选定位置内所发现的数据(或其的缺乏)相应的数据被返回。与根据计算机化设备上被询问的询问主题在所述计算机化设备内发现的数据相应的所返回的数据可以在设备200,例如在询问模块220处被接收(方框160)。下面详细地描述根据本发明的一些实施方式处理从计算机化设备所接收的数据。
根据本发明的一些实施方式,询问模块220可包括结果分析模块225。根据本发明的一些实施方式,结果分析模块225可适合于接收在设备200所接收的查询结构以响应于所述查询。根据本发明的一些实施方式,结果分析模块25可适合于收集一些或所有查询结果,以及可产生包括与所述结果相应的各种数据的报告。所述报告可包括关于查询结果的各种细节,例如,其可包括一或更多项目,每一项目包括与指定的计算机化设备上在特定位置被发现的数据有关的细节,所述特定位置与所述计算机化设备上被询问的确定的主题联系。所述报告可包括附加数据,例如关于与确定的结果联系的计算机化设备和/或与确定的结果联系的询问主题的数据,以及附加数据。根据本发明的进一步实施方式,所述报告可仅包括关于不和一或更多条件一致的查询结果的数据,所述条件与一或更多询问主题联系,而所述询问主题与所述查询联系。任何技术可用于产生所述报告,以及所述报告可以为许多格式和许多形式。
根据本发明的进一步实施方式,相应于所述查询结果的数据可开始经历处理,以及处理的数据可用于产生所述报告。例如,关于确定的计算机化设备内确定的位置数据存在/不存在的数据可以与预定的规则相比较,所述预定的规则与询问主题有关,所述询问主题与所述数据联系,例如,根据规定数据被允许存储在计算机化设备内哪些位置和数据不被允许存储在哪些位置的规则。在这种情况下,若在被指明不被允许的地方发现数据,所述报告可包括对此结果的指示,但否则没有说明可出现在所述报告中。然而,本发明并不局限于此方面,任何其它的规则可应用于所述查询结果。
根据本发明的一些实施方式,询问模块220以及尤其结果分析模块225可存储来自结果报告的特定记录或其全部的结果报告。作为存储所述结果的一部分,结果分析模块225可为每一结果记录时间戳(timestamp),所述时间戳与接收所述结果的时间相应。结果分析模块225可将各报告的结果与任何一或更多在先报告的结果相比较。根据本发明的进一步的实施方式,结果分析模块225可为每一计算机化设备存储所述设备的询问结果。因此,例如,所述结果可反映在确定的时期被询问的一或更多设备上的活动。
此外,根据本发明的一些实施方式,可以由结果分析模块225分析所述查询结果,以及基于所述分析结果,结果分析模块225可适合于例如在一或更多结果并不符合一或更多预定规则的情况下,执行一或更多预定的操作(或不)。根据本发明的一些实施方式,一或更多所述结果可涉及在远程计算机化设备上发现或未发现的在先数据。可用于分析所述结果的规则的一些例子可包括,但不局限于,关于确定的位置数据的存在、确定的位置数据的删除、确定的位置数据的添加、关于特定位置数据的类型和/或值等的规则。可以由结果分析模块225执行的所述操作可包括,例如向使用确定的计算机化设备的用户发送电子邮件消息,自组织网络断开确定的计算机化设备、关闭确定的进程、删除确定的应用程序等。此外,根据本发明的一些实施方式,结果分析模块225可适合于使用无代理模块230的一或更多线程来调用一或更多远程访问程序260(例如,用于询问指定的计算机的远程访问程序),以及配置远程访问程序260以修改(写、重写、修改、删除等)远程计算机化设备上的确定的数据。例如,结果分析模块225可适合于使用无代理模块230的一或更多线程来调用一或更多远程访问程序260和配置所述远程访问程序以将新数据写在一或更多计算机化设备上的特定位置,所述计算机化设备例如为被询问以及已被确定包括不符合所述预定规则的数据的计算机化设备。
尽管在此已说明和描述了本发明的一些特征,然而本领域的技术人员可想到许多更改、替换、改变和等同物。因此应理解,所附权利要求旨在覆盖落在本发明的实际范围内的所有这样的更改和改变。
Claims (30)
1.一种用于询问组织网络内的计算机化设备的设备,所述设备包括:
询问模块,其适合于接收指定要被询问的多个计算机化设备的数据,和接收指示在所述所指定的计算机化设备上选择哪一或更多询问主题来询问的数据;和
无代理模块,其适合于调用和配置至少一远程访问程序来询问远程计算机化设备的至少注册表;
其中所述询问模块适合于使用所述无代理模块的多个线程来调用和配置多个远程访问程序,以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
2.根据权利要求1所述的设备,其中所述询问主题与安全威胁有关。
3.根据权利要求2所述的设备,其中所述询问主题与计算机化设备的至少注册表内的一或更多特定位置有关,在询问期间,在此位置可发现安全威胁的指示。
4.根据权利要求1所述的设备,其中所述询问模块适合于并行使用所述无代理模块的相当大数量的线程。
5.根据权利要求1所述的设备,其中所述询问模块适合于选择在各所述计算机化设备上哪一或更多所述询问主题要被询问。
6.根据权利要求5所述的设备,进一步包括用户接口,其使用户能够直接或间接选择一或更多所述要被询问的计算机化设备。
7.根据权利要求6所述的设备,其中所述用户接口可进一步使用户能够直接或间接选择在一或更多所述要被询问的所指定的计算机化设备上要询问哪一或更多询问主题。
8.根据权利要求1所述的设备,其中所述询问模块适合于确定询问所述所指定的计算机化设备所使用的所述无代理模块的线程数。
9.根据权利要求8所述的设备,其中所述询问模块适合于根据一或更多下列各项来确定所使用的所述无代理模块的线程数,所述下列各项为:要被询问的计算机化设备数、所期望的扫描速度、一或更多网络性能参数、要被询问的主题和/或威胁的严重性。
10.根据权利要求1所述的设备,其中所述询问模块适合于向所述无代理模块的每一线程分配一或更多所述所指定的计算机化设备。
11.根据权利要求10所述的设备,其中所述询问模块适合于向所述无代理模块的每一线程分配一或更多询问主题,所述询问主题在被分配给所述无代理模块的所述线程的一或更多所述所指定的计算机化设备上被选择来询问。
12.根据权利要求11所述的设备,其中所述无代理模块的每一线程适合于配置各所述所调用的远程访问程序,以根据在分配到所述线程的所述计算机化设备上被选择来询问的所述询问主题,来询问所述计算机化设备内的一或更多特定位置。
13.根据权利要求12所述的设备,其中所述无代理模块的每一线程适合于配置各所述所调用的远程访问程序,以根据被选择用于被分配到所述线程的各所述计算机化设备的且已分配给所述线程的所述询问主题,来询问被分配到所述线程的所述计算机化设备的至少注册表内的一或更多特定位置。
14.根据权利要求12所述的设备,其中所述询问模块适合于向所述无代理模块的一或更多线程分配预定的数据,所述预定的数据与可在一或更多所述特定位置发现的确定数据相应,所述特定位置与分配给此线程或这些线程的一或更多所述询问主题有关。
15.根据权利要求14所述的设备,其中一或更多所述无代理模块适合于配置一或更多所述所调用的远程访问程序以比较实际数据与预定的数据,所述实际数据在所述计算机化设备内的一或更多特定位置上被发现,其与分配到此或这些线程的一或更多所述询问主题有关,所述预定数据与一或更多所述询问主题有关,其与所述可在一或更多所述特定位置发现的数据相应。
16.根据权利要求7所述的设备,进一步包括一或更多数据库,其包括与一或更多计算机化设备相应的预存储的数据,以及其中作为指定所述要被询问的计算机化设备的一部分,与计算机化设备相应的预存储的数据可自所述数据库获得。
17.根据权利要求7所述的设备,进一步包括一或更多数据库,其包括与一或更多询问主题相应的预存储的数据,以及其中作为在所述所指定的计算机化设备上选择要被询问的一或更多询问主题的一部分,与一或更多询问主题相应的预存储的数据可自所述数据库获得。
18.根据权利要求1所述的设备,进一步包括结果分析模块,其适合于处理所接收的结果,以响应所述所指定的计算机化设备的至少所述注册表的询问,以及产生与所述结果相应的报告。
19.根据权利要求18所述的设备,其中作为处理所述结果的一部分,所述结果分析模块可适合于将涉及所述实际数据的一或更多所述结果与预定数据相比较,所述实际数据被发现作为一或更多所述所指定的计算机化设备的询问的一部分。
20.根据权利要求19所述的设备,其中所述结果分析模块适合于基于一或更多所述所接收的结果来执行一或更多预定的操作或过程。
21.根据权利要求20所述的设备,其中所述结果分析模块适合于使用所述无代理模块的一或更多线程来调用和配置一或更多远程访问程序,以修改或删除被询问的一或更多所述远程计算机化设备上的确定数据。
22.一种询问组织网络内的计算机化设备的方法,所述方法包括下面的步骤:
指定要被询问的多个计算机化设备;
选择在所述要被询问的所指定的计算机化设备上要被询问的一或更多询问主题;以及
并行调用和配置多个远程访问程序以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
23.根据权利要求22所述的方法,其中所述选择一或更多询问主题的步骤进一步包括选择在各所述所指定的计算机化设备上询问哪一或更多所述询问主题。
24.根据权利要求23所述的方法,进一步包括并行使用无代理模块的多个线程的步骤,各所述线程适合于代用和配置至少一个所述远程访问程序来询问远程计算机化设备的至少注册表。
25.根据权利要求24所述的方法,其中所述使用的步骤进一步包括向所述无代理模块的所述多个线程的每一线程分配一或更多所述所指定的计算机化设备,以及在所述一或更多计算机化设备上要被询问的一或更多所述询问主题。
26.根据权利要求25所述的方法,进一步包括根据一或更多下列各项来确定被并行调用的远程访问程序的数量的步骤,所述下列各项为:要被询问的计算机化设备数、所期望的扫描速度、一或更多网络性能参数、要被询问的主题和/或威胁的严重性。
27.根据权利要求25所述的方法,其中所述分配步骤进一步包括根据在所述计算机化设备上被选择来询问的一或更多所述询问主题,来向所述无代理模块的一或更多所述线程分配与所述计算机化设备内一或更多特定位置相应的数据,所述计算机化设备被分配到此或这些线程。
28.根据权利要求22所述的方法,进一步包括下面的步骤:
接收结果以响应于所述所指定的计算机化设备的至少所述注册表的询问;和
产生与所述所接收的结果相应的报告,以响应于所述所指定的计算机化设备的询问。
29.根据权利要求28所述的方法,进一步包括基于一或更多所述所接收的结果来执行一或更多预定操作或过程。
30.根据权利要求29所述的方法,进一步包括下面的步骤:使用所述无代理模块的一或更多线程来调用和配置一或更多远程访问程序,以修改或删除被询问的一或更多所述远程计算机化设备上的确定数据。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IL16440204A IL164402A0 (en) | 2004-10-04 | 2004-10-04 | A program and method to perform security checks ofand users computers |
IL164402 | 2004-10-04 | ||
US60/672,046 | 2005-04-18 | ||
US60/672,050 | 2005-04-18 | ||
US60/672,045 | 2005-04-18 | ||
US60/672,072 | 2005-04-18 | ||
US11/226,451 | 2005-09-15 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101133398A true CN101133398A (zh) | 2008-02-27 |
CN100549974C CN100549974C (zh) | 2009-10-14 |
Family
ID=36650003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2005800414472A Expired - Fee Related CN100549974C (zh) | 2004-10-04 | 2005-09-29 | 询问多个计算机化设备的方法和设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN100549974C (zh) |
IL (1) | IL164402A0 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105306414A (zh) * | 2014-06-13 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 端口漏洞的检测方法、装置及系统 |
-
2004
- 2004-10-04 IL IL16440204A patent/IL164402A0/xx unknown
-
2005
- 2005-09-29 CN CNB2005800414472A patent/CN100549974C/zh not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105306414A (zh) * | 2014-06-13 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 端口漏洞的检测方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN100549974C (zh) | 2009-10-14 |
IL164402A0 (en) | 2005-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1805641B1 (en) | A method and device for questioning a plurality of computerized devices | |
US6775658B1 (en) | Notification by business rule trigger control | |
CN1791871B (zh) | 企业控制台 | |
US9083748B2 (en) | Modelling network to assess security properties | |
US7979494B1 (en) | Systems and methods for monitoring messaging systems | |
US7944355B2 (en) | Security techniques in the RFID framework | |
CN100490388C (zh) | 基于程序行为的入侵检测方法 | |
CN104509034A (zh) | 模式合并以识别恶意行为 | |
US20160344772A1 (en) | Modelling network to assess security properties | |
CN109871690A (zh) | 设备权限的管理方法及装置、存储介质、电子装置 | |
US20160119380A1 (en) | System and method for real time detection and prevention of segregation of duties violations in business-critical applications | |
WO2008157755A1 (en) | An architecture and system for enterprise threat management | |
CN101595465A (zh) | 系统管理策略的确认、发布和实施 | |
CN103026345A (zh) | 用于事件监测优先级的动态多维模式 | |
CN110188543A (zh) | 白名单库、白名单程序库更新方法及工控系统 | |
KR102260273B1 (ko) | 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 | |
US20080091983A1 (en) | Dynamic account provisions for service desk personnel | |
JP2003085139A (ja) | 侵入検知管理システム | |
CN111400720A (zh) | 一种终端信息处理方法、系统及装置和一种可读存储介质 | |
CN100549974C (zh) | 询问多个计算机化设备的方法和设备 | |
KR102197590B1 (ko) | 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법 | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN109120448A (zh) | 一种告警方法及系统 | |
US10084749B2 (en) | Automatic blocking of bad actors across a network | |
Awodele et al. | A Multi-Layered Approach to the Design of Intelligent Intrusion Detection and Prevention System (IIDPS). |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20180918 Address after: Israel carina Patentee after: Pun Mo Mo Er Co.,Ltd. Address before: Israel Tel Aviv Patentee before: Promisec Ltd. |
|
TR01 | Transfer of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091014 Termination date: 20210929 |
|
CF01 | Termination of patent right due to non-payment of annual fee |