CN103975331A - 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 - Google Patents
并入了被管理基础设施设备的安全的数据中心基础设施管理系统 Download PDFInfo
- Publication number
- CN103975331A CN103975331A CN201280059885.1A CN201280059885A CN103975331A CN 103975331 A CN103975331 A CN 103975331A CN 201280059885 A CN201280059885 A CN 201280059885A CN 103975331 A CN103975331 A CN 103975331A
- Authority
- CN
- China
- Prior art keywords
- managed
- engine
- infrastructure equipment
- security
- cep
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3058—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
- G06F11/3062—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations where the monitored property is the power consumption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于增强对在数据中心内操作的被管理基础设施设备的安全威胁的检测的系统。该系统可以具有用于监视被管理基础设施设备的操作的数据中心基础设施管理(DCIM)系统。DCIM系统可以包括用于与被管理基础设施设备通信的远程访问装置。被管理基础设施设备可以包括板载计算机。远程访问装置可以包括引擎,该引擎配置成检测要被传送至板载计算机的信息是否对被管理基础设施设备构成安全威胁。
Description
相关申请的引用
本申请要求于2011年12月6日提交的美国临时申请No.61/567,400的优先权,其通过引用并入本文中。
技术领域
本申请涉及用于管理与数据中心相关联的基础设施的系统和方法。更具体地,本申请涉及对被管理基础设施设备例如计算机控制的计算机机房空调(CRAC,computer controlled computer room air conditioning)系统、计算机控制的配电子系统(PDU,power distribution subsystem)以及支持数据中心设备例如服务器、交换机、路由器等的其他被管理基础设施组件提供实时安全监视的系统和方法。实时安全监视使得病毒、恶意软件、误用能够被检测到、被隔离和/或被去除,以因此降低影响被管理基础设施设备的安全风险,该安全风险会潜在地负面影响数据中心的操作。
背景技术
该部分提供了与本公开有关的、不一定是现有技术的背景信息。
现代数据中心通常包括多个被管理基础设施设备,这些设备用于向各种服务器、路由器、交换机和其他数据中心组件提供制冷和电力。这样的被管理基础设施设备可以包括计算机机房空调(CRAC)单元、配电单元(PDU)和其他设备。很多被管理基础设施设备在复杂度方面已发展到它们每个均包括有它们自己的板载计算机或处理器这一点。计算机或处理器可以传送设备的操作状态,并且可以由独立的子系统控制。独立的子系统可以用于例如通过在数据中心设备(即,服务器、路由器等)的使用较低的时段期间关闭CRAC单元以节省成本来控制CRAC单元和PDU的操作。在一些情况下,独立的子系统可以是管理所有数据中心设备例如服务器、路由器、处理器以及网络交换机的总数据中心基础设施管理(DCIM,data center infrastructure management)系统的一部分,并且还使得能够从远程终端远程访问数据中心设备。
然而,与各种被管理基础设施设备例如CRAC单元和PDU的计算机通信的能力也带来安全问题的潜在性。感染CRAC单元、PDU或任何其他被管理基础设施设备的板载计算机的病毒感染文件或恶意软件可能潜在地干扰设备的操作,并且潜在地影响数据中心中其他设备例如服务器、PDU、路由器等的操作。使病毒或恶意软件感染甚至仅一个CRAC单元也可能潜在地导致需要关闭服务器的整个装备行。在一些大规模数据中心中,这可能涉及关闭几十个或甚至数百个服务器。因此,明显的会是,强烈需要能够对CRAC单元、PDU和其他重要的被管理基础设施设备执行实时安全扫描。理想地,实时安全扫描将进行操作以检测安全威胁以向IT人员提供安全通知,并且隔离或移除可能影响非常重要的数据中心基础设施设备的操作的潜在安全威胁。
发明内容
在一个方面中,本公开涉及一种用于增强对在数据中心内操作的被管理基础设施设备的安全威胁的检测的系统。该系统可以包括用于监视被管理基础设施设备的操作的数据中心基础设施管理(DCIM)系统。DCIM系统可以包括用于与被管理基础设施设备通信的远程访问装置。被管理基础设施设备可以包括板载计算机。远程访问装置可以包括引擎,该引擎配置成检测要传送至被管理基础设施设备的板载计算机的信息是否对被管理基础设施设备构成安全威胁。
在另一方面中,本公开涉及一种用于增强对在数据中心内操作的被管理基础设施设备的安全威胁的检测的系统。该系统可以包括用于监视数据中心内的被管理基础设施设备的操作的数据中心基础设施管理(DCIM)系统。DCIM系统可以包括用于与被管理基础设施设备通信的远程访问装置,其中,被管理基础设施设备中的每个均包括板载计算机。远程访问装置可以包括多个复杂事件处理器(CEP)引擎、发现引擎和安全检测引擎,其中,复杂事件处理器(CEP)引擎配置成被用于与安全威胁有关的信息的日志采集;发现引擎包括使得能够扫描安全威胁并且识别被管理基础设施设备中任何一个中的安全弱点的定制定义(custom definition)或算法中的至少一个;以及安全检测引擎配置成扫描并且检测与被管理基础设施设备中任何一个的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
在又一方面中,本公开涉及一种用于增强对在数据中心内操作的被管理基础设施设备的安全威胁的检测的方法。该方法可以包括使用数据中心基础设施管理(DCIM)系统来监视数据中心中的被管理基础设施设备的操作。使用DCIM系统可以包括使用远程访问装置,该远程访问装置配置为DCIM系统的一部分、用于与被管理基础设施设备的板载计算机通信。使用远程访问装置可以包括使用具有适于在处理器上运行的机器可执行代码的引擎,以检测要传送至板载计算机的信息是否对被管理基础设施设备构成安全威胁。
附图说明
本文中所描述的附图为了仅例示所选择的实施例而并非为了例示所有可能的实现方式,也不意在限制本公开的范围。在附图中:
图1是根据本公开的系统的一个实施例的高级框图,其中,DCIM系统包括具有多个模块或引擎的远程访问装置,该模块或引擎用于检测可能潜在地影响被管理基础设施设备例如数据中心中使用的CRAC单元、PDU和其他设备的操作的安全威胁;
图2是图1的CEP引擎可以包括的各种组件的高级框图;以及
图3是本公开的另一实施例的高级框图,其类似于图1,但是其并入了用于控制被管理基础设施设备与远程访问装置之间的通信的代理/中介(brokering)引擎。
所有附图的几个视图,相应的附图标记表示相应的部分。
具体实施方式
参照图1,示出了根据本公开的系统10的实现方式的一个示例。系统10可以包括由附图标记12标识的数据中心基础设施管理(DCIM)系统。DCIM系统12包括远程访问装置14,在一个实施例中远程访问装置可以是可从亚拉巴马州亨茨维尔的阿沃森特公司(Avocent Corp.)商购得到的“通用管理网关”(“UMG,Universal Management Gateway”)。然而,应当理解的是,任何形式的远程访问装置可以潜在地用作远程访问装置。仅为了方便,在所有下面的讨论中,将远程访问装置称为“UMG14”。UMG14可以在广域网(WAN,wide area network)或者可能的局域网(LAN,local area network)上与远程计算机18(例如,台式电脑、笔记本电脑、平板电脑或可能地智能手机)的客户端浏览器16通信。UMG14可以经由IP(因特网协议(Internet Protocol))连接20a、22a和24a或可能的话经由串行连接与多个被管理基础设施设备20、22和24通信。如果使用IP连接,则可以实施立博特(Liebert)公司的“速度(Velocity)”协议。可替代地,也可以使用现场总线(Modbus)协议或任何其他适合的协议来与被管理基础设施设备20、22和24通信。虽然仅示出了三个被管理基础设施设备20-24,但是应当理解的是,可以存在数量更多或更少的这种设备。另外,UMG虽然作为DCIM系统12的一部分示出,但是也可以以独立模式(即,不是DCIM系统12的一部分)来操作。
通常现代大规模数据中心可以使用几十个或甚至数百个或数千个不同类型的被管理基础设施设备。被管理基础设施设备可以包括计算机控制的CRAC(计算机机房空调)单元、PDU(配电单元)以及各种其他组件,每个都具有与UMG14通信的板载计算机。在一些情况下,被管理设备可以包括更普遍地作为“服务处理器”为人所知的特定形式的板载计算机,其协助监视与被管理设备相关联的重要操作参数(例如,电压、风扇速度、主处理器利用率)。由于被管理基础设施设备20-24中的每个的板载计算机或者直接地或者通过UMG14与计算机网络通信,所以被管理基础设施设备潜在地容易遭受病毒、恶意软件和其他安全威胁的影响。感染被管理基础设施设备20-24中的一个的板载计算机或处理器的病毒可以潜在地不利地影响一个或更多个关键的计算设备例如一个或更多服务器、路由器、网络交换机等的操作。如果CRAC单元受到影响,则潜在地,可能使数据中心的重要分部例如整排装备机架中的服务器潜在地无法操作。如果不止一个CRAC单元受到病毒或恶意软件的影响,则存在整个数据中心都可被影响的可能性。因此,应当理解的是,保持被管理基础设施设备20-24免受安全威胁是管理数据中心的重要考量。
还参照图1,UMG14可以包括与一个或更多个安全引擎或模块——每个都在处理器上并入了可执行的机器可读代码——通信的独立的安全管理控制台14a,以完成对被管理基础设施设备20-24的安全监视。一个这样的引擎是复杂事件处理器(CEP)引擎26。另一安全引擎可以包括发现引擎28,而又一引擎可以包括安全检测引擎30。独立的安全管理控制台14a使得用户能够直接访问由UMG14采集的数据并且控制UMG14。
CEP引擎26的一个示例在图2中示出,并且可以被用于使得CEP引擎26能够检测即将要发送至被管理基础设施设备20-24的信息是否可能感染上病毒的所存储的模式或序列26a的日志采集和关联。CEP引擎26还可以包括存储的预定规则26b,存储的预定规则26b使得CEP引擎26能够评估其从被管理基础设施设备20-24中的一个接收的信息,并且使得CEP引擎26能够检测异常操作状况是否已影响被管理基础设施设备20-24中给定的一个设备。CEP引擎26还可以包括适合的模式识别软件26c,模式识别软件26c检测被管理基础设施设备的CPU利用率或功耗何时已变得超过可接受的预定极限,从而可能指示病毒或恶意软件已影响该设备的板载计算机或处理器。
还参照图1,发现引擎28可以与定制定义或算法一起使用,定制定义或算法使得发现引擎28能够扫描安全威胁并且识别被管理基础设施设备20-24中的安全弱点。一个这样的发现引擎可以包括OEM或开放源漏洞扫描器(open source vulnerability scanner),例如,Nmap(“网络映射器”),其是用于网络检索或安全审核的开放源实用程序(open sourceutility)。发现引擎28还能够扫描特定网络地址,以确定特定设备是否具有过时的软件或者端口是否具有常见的弱点如SMB(微软服务器消息块,Microsoft Server Message Block)或其他网络协议漏洞。发现引擎28还可以识别被管理基础设施设备的特定端口是否在其原本不应开放时是开放的,从而可能指示设备出现了安全威胁。
还参照图1,安全检测引擎30可以用于扫描和检测与被管理基础设施设备20-24中的任何设备的操作相关联的恶意软件或被感染的文件、文件夹或过程。安全检测引擎30还可以配置成防止从已知恶意软件URL下载潜在不安全的文件。安全检测引擎30还可以识别和保护给定客户端的专有文件,或者以其他方式提供客户端的专有文件已被移动或复制的通知。安全检测引擎30可以包括其自己的数据库30a,或其可以经由WAN(例如,因特网)或可能的话经由LAN来访问远程数据库。安全检测引擎30可以是开放源安全引擎,例如OpenDLP,其是基于代理的、集中管理的、可分布的(distributable)数据丢失防止(DLP,data loss prevention)工具。可替代地,可以实施可从各个制造商例如,加州圣迭戈的韦伯森斯(Websense)、加州山景城的赛门铁克(Symantec)公司、以及明尼苏达州贝德福德的RSA(EMC的安全部门)得到的OEM DLP工具。安全检测引擎30还可以在设备比如CRAC单元、PDU和其他数据中心管理系统上设置更安全的配置设置,从而降低客户的风险。
还可以向安全检测引擎30提供对在数据中心中使用的全部各种类型的被管理基础设施设备进行扫描的能力。可替代地,可以使用多个不同的安全检测引擎30,其中每个引擎被定制成处理被管理基础设施设备20-24中特定的一个设备(或者可能的话,特定类别/类型/模型的被管理基础设施设备)。如果特定被管理基础设施设备的操作是关键的,则还可以将引擎26、28或30中的一个、两个或更多个分配给被管理基础设施设备20-24中特定的一个。
虽然可以预料到,在大多数应用中,引擎26、28和30可以是独立模块(包括软件组件且潜在地包括硬件组件),但是可以将引擎26-30中的一个或更多个集成到DCIM系统12的另一事件/警报监视子系统(未示出)中,或者至少被布置成与其他事件/警报监视子系统通信。如果将引擎26-30中的任何引擎布置成与其他事件/警报监视子系统通信,则其他事件/警报监视子系统的生成和/或报告能力可以潜在地用于向与DCIM系统12一起使用的其他应用通告安全威胁。如果其他事件/警报监视子系统用于与被管理基础设施设备通信,则将文件例如病毒签名文件并入到其他事件/警报监视子系统中也会是有利的。
还参照图1,安全信息和事件管理(SIEM,Security Information andEvent Management)(使用例如系统日志(syslog)协议)服务器32(在下文中“SIEM服务器32”)也可以经由LAN连接或WAN连接与DCIM系统12通信。将理解的是,系统日志协议以外的其他协议可以很容易地与SIEM服务器32一起使用。SIEM服务器32可以将数据(通常为日志文件;例如,事件日志)采集到中央存储库中用于趋势分析。SIEM产品一般包括可以在SIEM服务器32上运行的软件代理(即,组件)。SIEM产品可以采集关于安全相关事件的信息,并且可以显示所采集的信息的报告、图表和曲线图。可以实时执行这样的采集。SIEM产品可以并入本地过滤器以减少和操纵由SIEM服务器32采集和记录的数据。SIEM服务器32所采集的数据在其由在SIEM服务器32上运行的SIEM产品来记录时可以进行关联、分析、和/或规范化、和/或累积。SIEM服务器32可以是开放源软件,或可从各个OEM公司如新罕布什尔州朴茨茅斯的NitroSecurity公司(现在是迈克菲公司的一部分)、或加州库伯蒂诺的ArcSight,L.L.C.(现在是惠普公司的一部分)、或赛门铁克公司得到的软件。
还参照图1,安全管理控制台34也可以形成DCIM系统12的一部分。安全管理控制台34可以经由LAN连接或经由WAN连接被访问,以使得IT安全人员能够设置策略、监视和查看安全事件,并且初始化或调度对被管理基础设施设备的扫描。安全管理控制台34可以用于查找安全威胁,设置关于警报触发和通知的策略,启用SIEM整合以及从远程终端36配置和管理一个或多个引擎26、28和30在一个或多个UMG14上的部署。
在图3所示的另一实施例10’中,将DCIM系统12修改成还包括代理/中介引擎38。代理/中介引擎38有效地作为“连接”中介来操作,并且使得能够安全且保密地访问被管理基础设施设备比如CRAC单元20、22和PDU24。代理/中介引擎38通过检查与被管理基础设施设备的通信还可以用作被管理基础设施设备20-24的中介方。代理/中介引擎38可以仅允许在DCIM系统12外部或当UMG14以独立模式操作时安全且授权的通信。图3还例示了代理/中介引擎38a的可选实现,其使得远程终端能够直接访问被管理基础设施设备20、24和26。
系统10在确保病毒、恶意软件以及其他安全威胁不通过攻击和侵害在数据中心内操作的一个或更多个被管理基础设施设备来影响数据中心的持续操作方面会有显著差异。系统10使得能够及时报告安全威胁或病毒,并且还对可能以其他方式传输至被管理基础设施设备的板载计算机或处理器的安全威胁提供实时扫描、检测和隔离/移除。系统10还能够检测文件何时已被复制或移动,并且能够提供关于这些事件的警报。
此外,将理解的是,虽然已经结合在数据中心内操作的被管理基础设施设备描述了系统10,但是系统10可以在很少或没有修改的情况下在其他环境中实现。其他环境可以潜在包括工厂和制造设施、仓储设施、保健设施、军队和政府设施、以及其中多个计算机控制的设备的操作需要被监视以确保防御可能危及计算机控制的设备的操作的病毒、恶意软件和其他安全威胁的几乎任何其他类型的设施。
虽然已经描述了各种实施例,但是本领域技术人员将认识到在不偏离本公开的情况下可以进行修改或变型。示例例示了各种实施例并且并不意在限制本公开。因此,应当仅鉴于相关现有技术所必需的限制来自由地解释本说明书和权利要求书。
权利要求书(按照条约第19条的修改)
1.一种用于增强对试图感染在数据中心内操作的被管理基础设施设备的恶意软件或病毒中的至少一个的检测的系统,所述系统包括:
数据中心基础设施管理(DCIM)系统,其用于监视所述被管理基础设施设备的操作,所述DCIM系统包括:
远程访问装置,其用于与所述被管理基础设施设备通信,所述被管理基础设施设备包括板载计算机;并且
所述远程访问装置包括引擎,所述引擎配置成检测要被传送至所述被管理基础设施设备的板载计算机的信息是否对所述被管理基础设施设备构成安全威胁。
2.根据权利要求1所述的系统,其中,所述引擎包括复杂事件处理器(CEP)引擎,并且其中,所述CEP引擎配置成被用于使得所述CEP引擎能够检测即将要发送至所述被管理基础设施设备的所述信息是否感染上安全威胁的预存储的模式或序列的日志采集和关联。
3.根据权利要求1所述的系统,其中,所述引擎包括复杂事件处理器(CEP)引擎,并且其中,所述CEP引擎包括多个预定规则,所述多个预定规则使得所述CEP引擎能够评估所述CEP引擎从所述被管理基础设施设备接收的信息,并且检测异常操作状况是否已影响所述被管理基础设施设备。
4.根据权利要求1所述的系统,其中,所述引擎包括复杂事件处理器(CEP)引擎,并且其中,所述CEP引擎包括模式识别软件,所述模式识别软件检测所述被管理基础设施设备的中央处理单元(CPU)使用率或功耗中的至少一个何时已变得超过可接受的预定极限,从而潜在地指示病毒或恶意软件已影响所述被管理基础设施设备的所述板载计算机。
5.根据权利要求1所述的系统,其中,所述引擎包括发现引擎,所述发现引擎包括定制定义或算法中的至少一个,所述定制定义或算法使得所述发现引擎能够扫描安全威胁并且识别所述被管理基础设施设备中的安全弱点。
6.根据权利要求1所述的系统,其中,所述引擎包括安全检测引擎,所述安全检测引擎配置成扫描并且检测与所述被管理基础设施设备的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
7.根据权利要求1所述的系统,其中,所述引擎包括安全检测引擎,所述安全检测引擎被配置成进行以下项中的至少一个:
防止从已知恶意软件URL下载潜在不安全的文件;
识别和保护给定客户端的专有文件;以及
提供客户端的专有文件已被移动或复制的通知。
8.根据权利要求1所述的系统,其中,所述远程访问装置与安全管理控制台通信,所述安全管理控制台配置成经由局域网连接或广域网连接中的至少一个被访问,并且其中,所述安全管理控制台使得个人能够执行下面的操作中的至少一个:
设置用于所述被管理基础设施设备的操作的策略;
监视和检查影响所述被管理基础设施设备的安全事件;
初始化或调度对所述被管理基础设施设备的扫描以查找安全威胁;
设置关于与所述被管理基础设施设备有关的警报触发和通知的策略;以及
配置和管理所述引擎的部署。
9.根据权利要求1所述的系统,还包括通过局域网连接或广域网连接中的至少一个与所述DCIM系统通信的安全信息和事件管理(SIEM)服务器,所述SIEM服务器配置成将数据采集到中央存储库中用于趋势分析。
10.根据权利要求9所述的系统,其中,所述SIEM服务器包括软件组件,所述软件组件配置成采集关于安全相关事件的信息,并且显示所采集的关于所述安全相关事件的信息的报告、图表和曲线图中的至少一个。
11.一种用于增强对影响在数据中心内操作的被管理基础设施设备的操作的安全威胁的检测的系统,所述系统包括:
数据中心基础设施管理(DCIM)系统,其用于监视所述被管理基础设施设备的操作,所述DCIM系统包括:
远程访问装置,其用于与所述被管理基础设施设备通信,所述被管理基础设施设备每个均包括板载计算机和能够被监视操作的至少一个组件,当所述被管理基础设施组件感染上安全威胁时,所述至少一个组件对可检测的在操作上的异常变化敏感;并且
所述远程访问装置包括多个:
复杂事件处理器(CEP)引擎,其配置成被用于与安全威胁有关的信息的日志采集;
发现引擎,其包括定制定义或算法中的至少一个,所述定制定义或算法使得所述发现引擎能够扫描安全威胁,并且识别所述可检测的在操作上的异常变化,从而指示所述被管理基础设施设备中任何一个中的安全弱点;以及
安全检测引擎,其配置成扫描并且检测与所述被管理基础设施设备中任何一个的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
12.根据权利要求11所述的系统,其中,所述CEP引擎包括多个预定规则,所述多个预定规则使得所述CEP引擎能够评估所述CEP引擎从所述被管理基础设施设备接收的信息,并且检测所述可检测的在操作上的异常变化是否已影响所述被管理基础设施设备中的任何一个。
13.根据权利要求11所述的系统,其中,所述CEP引擎包括模式识别软件,所述模式识别软件检测对于所述被管理基础设施设备中的任何设备的中央处理单元(CPU)使用率或功耗中的至少一个而言何时已出现所述可检测的在操作上的异常变化,从而潜在地指示安全威胁已影响所述被管理基础设施设备中的一个的所述板载计算机。
14.根据权利要求11所述的系统,还包括发现引擎,所述发现引擎包括能够在处理器上执行的代码,所述代码包括定制定义或算法中的至少一个,所述定制定义或算法使得所述发现引擎能够扫描安全威胁并且识别所述被管理基础设施设备中任何一个中的安全弱点。
15.根据权利要求11所述的系统,其中,所述安全检测引擎包括能够在处理器上执行的代码,所述代码配置成扫描并且检测与所述被管理基础设施设备中的任何一个的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
16.根据权利要求11所述的系统,还包括通过局域网连接或广域网连接中的至少一个与所述DCIM系统通信的安全信息和事件管理(SIEM)服务器,所述SIEM服务器配置成将数据采集到中央存储库中用于趋势分析。
17.根据权利要求16所述的系统,其中,所述SIEM服务器包括软件组件,所述软件组件配置成采集关于安全相关事件的信息,并且显示所采集的关于所述安全相关事件的信息的报告、图表和曲线图中的至少一个。
18.根据权利要求11所述的系统,还包括代理/中介引擎,所述代理/中介引擎配置成用作所述引擎与所述被管理基础设施设备之间的中介者,以使得能够通过检查与所述被管理基础设施设备的通信来安全且保密地访问所述被管理基础设施设备。
19.一种用于增强对在数据中心内操作的被管理基础设施设备的安全威胁的检测的方法,所述方法包括:
使用数据中心基础设施管理(DCIM)系统来监视所述数据中心中的被管理基础设施设备的操作;
使用形成所述DCIM系统的一部分的远程访问装置来与所述被管理基础设施设备的板载计算机通信;
使用设置在所述远程访问装置内并且具有适于在处理器上运行的机器可执行代码的引擎来检测要被传送至所述被管理基础设施设备的板载计算机的信息是否对所述被管理基础设施设备构成安全威胁;并且
其中,使用CEP引擎包括使用多个预定规则,所述多个预定规则使得所述CEP引擎能够评估从所述被管理基础设施设备接收的信息,以检测与所述被管理基础设施设备的硬件组件有关的异常操作状况是否正在影响所述被管理基础设施设备。
20.根据权利要求19所述的方法,其中,使用引擎的操作包括使用复杂事件处理器(CEP)引擎,并且其中,使用所述CEP引擎包括执行预存储模式或预存储序列中的至少一个的日志采集和关联,以检测即将要发送至所述被管理基础设施设备的所述信息是否感染上安全威胁。
21.根据权利要求20所述的方法,其中,使用所述CEP引擎包括使用多个预定规则,所述多个预定规则使得所述CEP引擎能够评估从所述被管理基础设施设备接收的信息,以检测所述异常操作状况是否存在。
22.根据权利要求19所述的方法,其中,使用所述引擎还包括使用以下引擎中的至少一个:
发现引擎,其具有定制定义或算法中的至少一个,以扫描安全威胁并且识别所述被管理基础设施设备中的安全弱点;以及
安全检测引擎,其扫描并且检测与所述被管理基础设施设备的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
23.一种远程访问装置,所述远程访问装置配置成用于在数据中心中使用以监视所述数据中心内的被管理基础设施设备的操作,并且配置成用于增强对试图感染所述被管理基础设施设备的恶意软件或病毒中的至少一个的检测,并且其中,所述远程访问装置配置成与所述被管理基础设施设备通信,并且其中,所述被管理基础设施设备具有板载计算机,所述远程访问装置包括:
引擎,其配置成接收即将要发送至所述被管理基础设施设备的信息;
所述引擎配置成分析所述信息以确定所述信息是否对所述被管理基础设施设备的所述板载计算机构成安全威胁;并且
CEP引擎还配置成使用多个预定规则,所述多个预定规则使得所述CEP引擎能够评估从所述被管理基础设施设备接收的信息,以检测异常操作状况是否已影响所述被管理基础设施设备。
Claims (23)
1.一种用于增强对试图感染在数据中心内操作的被管理基础设施设备的恶意软件或病毒中的至少一个的检测的系统,所述系统包括:
数据中心基础设施管理(DCIM)系统,其用于监视所述被管理基础设施设备的操作,所述DCIM系统包括:
远程访问装置,其用于与所述被管理基础设施设备通信,所述被管理基础设施设备包括板载计算机;并且
所述远程访问装置包括引擎,所述引擎配置成检测要传送至所述被管理基础设施设备的板载计算机的信息是否对所述被管理基础设施设备构成安全威胁。
2.根据权利要求1所述的系统,其中,所述引擎包括复杂事件处理器(CEP)引擎,并且其中,所述CEP引擎配置成被用于使得所述CEP引擎能够检测即将要发送至所述被管理基础设施设备的所述信息是否感染上安全威胁的预存储的模式或序列的日志采集和关联。
3.根据权利要求1所述的系统,其中,所述引擎包括复杂事件处理器(CEP)引擎,并且其中,所述CEP引擎包括多个预定规则,所述多个预定规则使得所述CEP引擎能够评估所述CEP引擎从所述被管理基础设施设备接收的信息,并且检测异常操作状况是否已影响所述被管理基础设施设备。
4.根据权利要求1所述的系统,其中,所述引擎包括复杂事件处理器(CEP)引擎,并且其中,所述CEP引擎包括模式识别软件,所述模式识别软件检测所述被管理基础设施设备的中央处理单元(CPU)使用率或功耗中的至少一个何时已变得超过可接受的预定极限,从而潜在地指示病毒或恶意软件已影响所述被管理基础设施设备的所述板载计算机。
5.根据权利要求1所述的系统,其中,所述引擎包括发现引擎,所述发现引擎包括定制定义或算法中的至少一个,所述定制定义或算法使得所述发现引擎能够扫描安全威胁并且识别所述被管理基础设施设备中的安全弱点。
6.根据权利要求1所述的系统,其中,所述引擎包括安全检测引擎,所述安全检测引擎配置成扫描并且检测与所述被管理基础设施设备的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
7.根据权利要求1所述的系统,其中,所述引擎包括安全检测引擎,所述安全检测引擎配置成进行以下项中至少一个:
防止从已知恶意软件URL下载潜在不安全的文件;
识别和保护给定客户端的专有文件;以及
提供客户端的专有文件已被移动或复制的通知。
8.根据权利要求1所述的系统,其中,所述远程访问装置与安全管理控制台通信,所述安全管理控制台配置成经由局域网连接或广域网连接中的至少一个被访问,并且其中,所述安全管理控制台使得个人能够执行下面的操作中的至少一个:
设置用于所述被管理基础设施设备的操作的策略;
监视和检查影响所述被管理基础设施设备的安全事件;
初始化或调度对所述被管理基础设施设备的扫描以查找安全威胁;
设置关于与所述被管理基础设施设备有关的警报触发和通知的策略;以及
配置和管理所述引擎的部署。
9.根据权利要求1所述的系统,还包括通过局域网连接或广域网连接中的至少一个与所述DCIM系统通信的安全信息和事件管理(SIEM)服务器,所述SIEM服务器配置成将数据采集到中央存储库中用于趋势分析。
10.根据权利要求9所述的系统,其中,所述SIEM服务器包括软件组件,所述软件组件配置成采集关于安全相关事件的信息,并且显示所采集的关于所述安全相关事件的信息的报告、图表和曲线图中的至少一个。
11.一种用于增强对影响在数据中心内操作的被管理基础设施设备的操作的安全威胁的检测的系统,所述系统包括:
数据中心基础设施管理(DCIM)系统,其用于监视所述被管理基础设施设备的操作,所述DCIM系统包括:
远程访问装置,其用于与所述被管理基础设施设备通信,所述被管理基础设施设备每个均包括板载计算机;并且
所述远程访问装置包括多个:
复杂事件处理器(CEP)引擎,其配置成被用于与安全威胁有关的信息的日志采集;
发现引擎,其包括定制定义或算法中的至少一个,所述定制定义或算法使得所述发现引擎能够扫描安全威胁,并且识别所述被管理基础设施设备中任何一个中的安全弱点;以及
安全检测引擎,其配置成扫描并且检测与所述被管理基础设施设备中任何一个的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
12.根据权利要求11所述的系统,其中,所述CEP引擎包括多个预定规则,所述多个预定规则使得所述CEP引擎能够评估所述CEP引擎从所述被管理基础设施设备接收的信息,并且检测异常操作状况是否已影响所述被管理基础设施设备中的任何一个。
13.根据权利要求11所述的系统,其中,所述CEP引擎包括模式识别软件,所述模式识别软件检测所述被管理基础设施设备中的任何设备的中央处理单元(CPU)使用率或功耗中的至少一个何时已变得超过可接受的预定极限,从而潜在地指示安全威胁已影响所述被管理基础设施设备中的一个的所述板载计算机。
14.根据权利要求11所述的系统,还包括发现引擎,所述发现引擎包括能够在处理器上执行的代码,所述代码包括定制定义或算法中的至少一个,所述定制定义或算法使得所述发现引擎能够扫描安全威胁并且识别所述被管理基础设施设备中任何一个中的安全弱点。
15.根据权利要求11所述的系统,其中,所述安全检测引擎包括能够在处理器上执行的代码,所述代码配置成扫描并且检测与所述被管理基础设施设备中的任何一个的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
16.根据权利要求11所述的系统,还包括通过局域网连接或广域网连接中的至少一个与所述DCIM系统通信的安全信息和事件管理(SIEM)服务器,所述SIEM服务器配置成将数据采集到中央存储库中用于趋势分析。
17.根据权利要求16所述的系统,其中,所述SIEM服务器包括软件组件,所述软件组件配置成采集关于安全相关事件的信息,并且显示所采集的关于所述安全相关事件的信息的报告、图表和曲线图中的至少一个。
18.根据权利要求11所述的系统,还包括代理/中介引擎,所述代理/中介引擎配置成用作所述引擎与所述被管理基础设施设备之间的中介者,以使得能够通过检查与所述被管理基础设施设备的通信来安全且保密地访问所述被管理基础设施设备。
19.一种用于增强对在数据中心内操作的被管理基础设施设备的安全威胁的检测的方法,所述方法包括:
使用数据中心基础设施管理(DCIM)系统来监视所述数据中心中的被管理基础设施设备的操作;
使用形成所述DCIM系统的一部分的远程访问装置来与所述被管理基础设施设备的板载计算机通信;以及
使用设置在所述远程访问装置内并且具有适于在处理器上运行的机器可执行代码的引擎来检测要被传送至所述被管理基础设施设备的板载计算机的信息是否对所述被管理基础设施设备构成安全威胁。
20.根据权利要求19所述的方法,其中,使用引擎的操作包括使用复杂事件处理器(CEP)引擎,并且其中,使用所述CEP引擎包括执行预存储模式或预存储序列中的至少一个的日志采集和关联,以检测即将要发送至所述被管理基础设施设备的所述信息是否感染上安全威胁。
21.根据权利要求20所述的方法,其中,使用所述CEP引擎包括使用多个预定规则,所述多个预定规则使得所述CEP引擎能够评估从所述被管理基础设施设备接收的信息,以检测异常操作状况是否已影响所述被管理基础设施设备。
22.根据权利要求19所述的方法,其中,使用所述引擎还包括使用以下引擎中的至少一个:
发现引擎,其具有定制定义或算法中的至少一个,以扫描安全威胁并且识别所述被管理基础设施设备中的安全弱点;以及
安全检测引擎,其扫描并且检测与所述被管理基础设施设备的操作相关联的恶意软件、或被感染文件、或被感染文件夹、或被感染过程中的至少一个。
23.一种远程访问装置,所述远程访问装置配置成用于在数据中心中使用以监视所述数据中心内的被管理基础设施设备的操作,并且配置成用于增强对试图感染所述被管理基础设施设备的恶意软件或病毒中的至少一个的检测,并且其中,所述远程访问装置配置成与所述被管理基础设施设备通信,并且其中,所述被管理基础设施设备具有板载计算机,所述远程访问装置包括:
引擎,其配置成接收即将要发送至所述被管理基础设施设备的信息;并且
所述引擎配置成分析所述信息以确定所述信息是否对所述被管理基础设施设备的所述板载计算机构成安全威胁。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161567400P | 2011-12-06 | 2011-12-06 | |
| US61/567,400 | 2011-12-06 | ||
| PCT/US2012/066072 WO2013085717A1 (en) | 2011-12-06 | 2012-11-20 | Data center infrastructure management system incorporating security for managed infrastructure devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103975331A true CN103975331A (zh) | 2014-08-06 |
| CN103975331B CN103975331B (zh) | 2017-06-13 |
Family
ID=48574777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280059885.1A Active CN103975331B (zh) | 2011-12-06 | 2012-11-20 | 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9661016B2 (zh) |
| EP (1) | EP2788913B1 (zh) |
| CN (1) | CN103975331B (zh) |
| WO (1) | WO2013085717A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2350770A4 (en) | 2008-10-21 | 2012-09-05 | Raritan Americas Inc | PROCESS FOR CONSCIOUS PERFORMANCE MANAGEMENT |
| US20160012231A1 (en) * | 2014-07-08 | 2016-01-14 | International Business Machines Corporation | Computer security responsive to an operating environment |
| US9938019B2 (en) * | 2015-05-21 | 2018-04-10 | The Boeing Company | Systems and methods for detecting a security breach in an aircraft network |
| US9912192B2 (en) | 2015-06-22 | 2018-03-06 | Iron Mountain Incorporated | Power distribution visibility in data center environments |
| US11075804B2 (en) | 2018-10-22 | 2021-07-27 | International Business Machines Corporation | Network modeling and device configuration based on observed network behavior |
| CN109582534B (zh) * | 2018-11-01 | 2022-05-17 | 创新先进技术有限公司 | 系统的操作入口的确定方法、装置和服务器 |
| US11695787B2 (en) | 2020-07-01 | 2023-07-04 | Hawk Network Defense, Inc. | Apparatus and methods for determining event information and intrusion detection at a host device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007016478A2 (en) * | 2005-07-29 | 2007-02-08 | Bit9, Inc. | Network security systems and methods |
| US20090297043A1 (en) * | 2008-05-28 | 2009-12-03 | International Business Machines Corporation | Pattern scanner and editor for security audit systems |
| US20090307705A1 (en) * | 2008-06-05 | 2009-12-10 | Neocleus Israel Ltd | Secure multi-purpose computing client |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127743B1 (en) * | 2000-06-23 | 2006-10-24 | Netforensics, Inc. | Comprehensive security structure platform for network managers |
| KR100794136B1 (ko) | 2000-06-30 | 2008-01-10 | 주식회사 케이티 | 원격 바이러스 검색 서비스 방법 |
| US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| JP5038887B2 (ja) * | 2004-04-15 | 2012-10-03 | クリアパス・ネットワークス・インコーポレーテッド | ネットワークを管理するシステムおよび方法 |
| US7665133B2 (en) * | 2004-06-12 | 2010-02-16 | Toshbia Tec Kabushiki Kaisha | System and method for monitoring processing in a document processing peripheral |
| US20060031934A1 (en) | 2004-08-04 | 2006-02-09 | Stonewater Control Systems, Inc. | Monitoring system |
| US20070058657A1 (en) | 2005-08-22 | 2007-03-15 | Graham Holt | System for consolidating and securing access to all out-of-band interfaces in computer, telecommunication, and networking equipment, regardless of the interface type |
| US7852873B2 (en) | 2006-03-01 | 2010-12-14 | Lantronix, Inc. | Universal computer management interface |
| US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US20080295173A1 (en) * | 2007-05-21 | 2008-11-27 | Tsvetomir Iliev Tsvetanov | Pattern-based network defense mechanism |
| US20100268818A1 (en) * | 2007-12-20 | 2010-10-21 | Richmond Alfred R | Systems and methods for forensic analysis of network behavior |
| US20090260074A1 (en) | 2008-04-10 | 2009-10-15 | Qlayer Nv | System and method for application level access to virtual server environments |
| US8955107B2 (en) * | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
| US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
-
2012
- 2012-11-20 WO PCT/US2012/066072 patent/WO2013085717A1/en active Application Filing
- 2012-11-20 US US14/363,197 patent/US9661016B2/en active Active
- 2012-11-20 CN CN201280059885.1A patent/CN103975331B/zh active Active
- 2012-11-20 EP EP12856500.9A patent/EP2788913B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007016478A2 (en) * | 2005-07-29 | 2007-02-08 | Bit9, Inc. | Network security systems and methods |
| US20090297043A1 (en) * | 2008-05-28 | 2009-12-03 | International Business Machines Corporation | Pattern scanner and editor for security audit systems |
| US20090307705A1 (en) * | 2008-06-05 | 2009-12-10 | Neocleus Israel Ltd | Secure multi-purpose computing client |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140366139A1 (en) | 2014-12-11 |
| US9661016B2 (en) | 2017-05-23 |
| EP2788913B1 (en) | 2019-10-23 |
| EP2788913A1 (en) | 2014-10-15 |
| EP2788913A4 (en) | 2015-07-29 |
| CN103975331B (zh) | 2017-06-13 |
| WO2013085717A1 (en) | 2013-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601844B2 (en) | Non-rule based security risk detection | |
| US9537879B2 (en) | Cyber security monitoring system and method for data center components | |
| CN103975331A (zh) | 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 | |
| CN109617813B (zh) | 增强的智能过程控制交换机端口锁定 | |
| US20170289191A1 (en) | Infiltration Detection and Network Rerouting | |
| US20130219500A1 (en) | Network intrusion detection in a network that includes a distributed virtual switch fabric | |
| US20170093910A1 (en) | Dynamic security mechanisms | |
| CN115486105A (zh) | Iot设备发现和标识 | |
| US20070050777A1 (en) | Duration of alerts and scanning of large data stores | |
| EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| WO2010005545A1 (en) | Techniques for agent configuration | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| EP1894443A2 (en) | Duration of alerts and scanning of large data stores | |
| EP2593896A1 (en) | Supervision of the security in a computer system | |
| WO2023076127A1 (en) | Iot device identification with packet flow behavior machine learning model | |
| CN115917513A (zh) | 使用统计有效载荷指纹自动化iot设备标识 | |
| EP3767913B1 (en) | Systems and methods for correlating events to detect an information security incident | |
| US11399036B2 (en) | Systems and methods for correlating events to detect an information security incident | |
| CN116662112A (zh) | 一种使用全自动扫描和系统状态评估的数字监控平台 | |
| Debar et al. | Security information management as an outsourced service | |
| CA3122328A1 (en) | A system for, and a method of creating cybersecurity situational awareness, threat detection and risk detection within the internet-of-things space | |
| Whyte | Using a systems-theoretic approach to analyze cyber attacks on cyber-physical systems | |
| KR102229613B1 (ko) | 머신러닝 자가점검 기능을 이용하는 비대면 인증 기반 웹방화벽 유지보수 방법 및 장치 | |
| JP2019083478A (ja) | 通信システム、制御装置、ゲートウェイ、通信制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: alabama Applicant after: AVOCENT HUNTSVILLE Corp. Address before: alabama Applicant before: Avocent |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Delaware Patentee after: Weidi Information Technology System Co.,Ltd. Address before: Delaware Patentee before: Avocent Corp. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190417 Address after: Delaware Patentee after: AVOCENT Corp. Address before: alabama Patentee before: AVOCENT HUNTSVILLE Corp. |
|
| TR01 | Transfer of patent right |