CN104205773A - 系统资产储存库管理 - Google Patents
系统资产储存库管理 Download PDFInfo
- Publication number
- CN104205773A CN104205773A CN201380016950.7A CN201380016950A CN104205773A CN 104205773 A CN104205773 A CN 104205773A CN 201380016950 A CN201380016950 A CN 201380016950A CN 104205773 A CN104205773 A CN 104205773A
- Authority
- CN
- China
- Prior art keywords
- entity
- network
- address
- equipment
- transducer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
本发明标识了在资产储存库中描述的多个系统实体,资产储存库定义计算环境中多个系统实体的特定分层组织。多个系统实体中的特定系统实体是用特定标记来标记的。基于用特定标记来标记特定系统实体,特定系统实体与特定安全策略相关联。特定安全策略应用于资产储存库中、用包括特定标记的特定标记集中的一个或多个标记来标记的系统实体。
Description
技术领域
本公开一般地涉及计算安全,以及更具体地涉及网络发现和安全的领域。
背景技术
现代网络中的安全管理可以包括向网络中的设备分配和实施安全策略。实施安全策略可以包括识别网络上的设备,或在之前识别网络上的设备。地址扫描和ping扫描已经被用来发现网络设备。这样的技术包括人类用户手动地配置网络地址诸如因特网协议(IP)地址的一个或多个范围,然后让软件“扫描”或“探测”指定范围中的每个地址以求找到活动设备。这样的扫描可以产生指示是否在使用具体地址,从而暗示在此地址的网络设备的存在。在采用因特网协议版本4(IPv4)寻址的网络中,这样的蛮力扫描可以用来在合理的时间量内扫描广地址范围(包括所有可能的IPv4地址)中的每一个地址。
附图说明
图1是根据至少一个实施例的包括多个资产和系统实体的示例计算系统的简化示意图;
图2是根据至少一个实施例的包括资产管理系统和一个或多个结合一个或多个网络操作的资产检测引擎的示例计算系统的简化框图;
图3是示出根据至少一个实施例的示例系统的示例资产储存库的简化组织图;
图4是示出根据至少一个实施例的示例可扩展资产检测引擎与示例资产管理系统通信的简化框图;
图5是示出根据至少一个实施例在示例系统的两个或多个网络中部署资产检测引擎和扫描引擎的简化框图;
图6A-6H是示出根据至少一个实施例的包括示例资产检测引擎的示例操作的简化框图;
图7A-7C是示出根据至少一个实施例的用于管理一个或多个网络中的资产的示例技术的简化流程图。
各个附图中相同的附图标记和指派指示相同的元素。
具体实施方式
发明内容
一般而言,本说明书中所描述的主题的一个方面可以体现在包括标识资产储存库中描述的多个系统实体的动作的方法中,该资产存储库定义计算环境中的多个系统实体的特定分层组织。多个系统实体中的特定系统实体可以用特定标记来标记。基于用特定标记来标记特定系统实体,特定系统实体可与特定安全策略相关联。特定安全策略可以应用于资产储存库中、用包括特定标记的特定标记集中的一个或多个标记来标记的系统实体。
本说明书中所描述的主题的另一个一般方面可以体现在包括至少一个处理器设备、至少一个存储器元件和资产管理系统的系统中。当由至少一个处理器设备执行时,资产管理系统可以适于标识资产储存库中所描述的多个系统实体,该资产储存库定义计算环境中的多个系统的特定分层组织。资产管理系统还可以用特定标记来标记多个系统实体中的特定系统实体并基于用特定标记来标记特定系统实体,将特定系统实体与特定安全策略相关联。特定安全策略可以应用于资产储存库中、用包括特定标记的特定标记集中的一个或多个标记来标记的系统实体。
这些和其它实施例可以各自可选地包括以下特征中的一个或多个。可以用特定标记来标记包括特定系统实体的资产储存库中的两个或多个系统实体,并且可以在两个或多个系统实体之间定义关联。该关联可以不同于特定分层组织中定义的关联。可以标识特定系统实体的一个或多个属性,并且可以基于一个或多个所标识的属性用特定标记来标记特定系统实体。可以使用一个或多个在计算环境中部署的资产检测引擎标识一个或多个属性。资产检测引擎可以是包括一组可插入式发现传感器的可插入式资产检测引擎,该可插入式发现传感器使得能够由资产检测引擎标识属性。可插入式发现传感器可以包括一个或多个适于在不需要与特定系统实体通信的情况下而标识特定系统实体的属性的被动发现传感器。可插入式发现传感器还可以包括适于向特定系统实体发送数据并监视特定系统实体对所发送数据的响应的主动发现传感器。被动发现传感器可以包括潜在式类型的发现传感器、基于事件的发现传感器和间接类型的发现传感器中的至少一种。属性可以包括特定系统实体的地址信息、操作系统、活动端口和应用中的至少一种。标记可以由资产检测系统在不需要用户干预的情况下自动地执行,或者可以根据从用户接收的指令执行。
此外,这些和其它实施例也可以各自可选地包括以下特征中的一个或多个。多个系统实体中的每一个系统可以是包括网络类型的实体、系统类型的实体、人员类型的实体和应用类型的实体的组中的一个类型。特定分层组织可以将系统类型的实体定义为网络类型的实体的孩子,将人员类型的实体定义为系统类型的实体的孩子,和将应用类型的实体定义为系统类型的实体的孩子。特定标记可以是类型专用的标记。在其它情况中,可以用特定标记来标记不同类型的实体。应用特定安全策略可以包括使得特定安全策略对用特定标记集中的一个或多个来标记的系统实体中的每一个实施。特定安全策略可以使用特定系统实体上的代理在特定系统实体上实施。特定安全策略可以使用位于特定系统实体远程的网络安全组件对特定系统实体实施。网络安全组件可以包括计算环境的防火墙、web网关、邮件网关、主机入侵保护(HIP)工具、反恶意软件工具、数据丢失保护(DLP)工具、系统脆弱性管理器、系统策略顺从性管理器、资产关键性工具和安全信息管理(SIM)工具中的至少一个。应用特定安全策略可以包括使得补丁在用特定标记集中的一个或多个来标记的系统实体中的每一个上下载。
特征的一些或全部可以是计算机实现的方法或进一步包括在用于执行所描述的此功能的相应系统或其它设备中。结合下面的附图和描述阐述了本公开的这些或其它特征、方面和实现的细节。通过描述、附图和权利要求,本公开的其它特征、目的和优点将变得显而易见。
示例实施例
图1是示出了包括多个系统实体的计算环境的示例实现的简化框图100,包括网络(例如,110、115)、系统设备(即网络中的计算设备(例如,120、125、130、135、140、145、150、155、160、165),包括端点设备、网络元件诸如路由器、交换机、防火墙和其它通过网络通信或促进网络的设备(例如,110、115))、由网络上的各种系统所服务、托管、安装、加载或者以其它方式使用的应用和其它软件程序和服务(例如,170、172、174、175、176、178、180、182),以及已知使用计算环境和它的组成系统和应用的人(例如,184、185、186、188)。
在实践中,包括在网络中的端点设备、网络元件和其它计算设备(或“系统类型的系统实体”)可以与网络上的其它设备通信和/或促进网络上的其它设备之间的通信。例如,端点设备(例如,120、125、130、140、150)可以向使用计算环境的人(例如,184、185、186、188)提供接口用于与各种由网络(例如110)和系统中的其它网络(例如115)、因特网190和其它网络上的计算设备托管的资源交互或者消耗这些资源。此外,一些端点设备(例如,120、140、150)可以附加地托管可以由用户(例如,184、185、186、188)在相应的端点本地消耗的以及供应给网络(例如,110、115)上的其它设备的应用和其它软件资源(例如,170、174、176)。网络110、115上的其它设备(例如,135、145、155、160、165)可以附加地将软件资源(即应用(例如,172、175、178、180、182))供应给一个或多个客户端(包括其它服务器)用于消耗。这样的软件资源可以包括,例如,数据库、网页、web应用、软件应用和其它程序、虚拟机、企业资源规划、文档管理系统、邮件服务器和其它软件资源。
在特定计算环境中的“系统实体”,也称为“资产”,可以在一个或多个安全上下文中定义为包括计算环境中的(或者参与计算环境的)“网络类型的实体”、“系统类型的实体”、“应用类型的实体”和“人员类型的实体”。在此示例中,使用计算环境的各个人员的“人员类型的实体”表示可以与网络类型的实体、系统类型的实体和应用类型的实体一起被认为是系统实体,人员类型的实体可以不同于计算环境中标识的用户。人员可以与系统中的一个或多个用户帐户或特定用户标识符相关联或由其定义。然而,用户并不总是准确地映射到使用计算环境的实际人员。例如,单个人员可以有(或可以访问)系统中的多个用户名或用户帐户。附加地,一些人员可没有注册的用户名或者用户帐户。然而,在为特定人员的使用倾向性和属性定制安全上下文时,人员的实际身份可以比用户档案、用户名或由计算系统中的人员使用的别名更恰当。
在一些示例中,可以提供能够发现并维护计算环境中的各种系统实体的记录、以及将安全策略分配给各种系统实体和导致安全策略遍及计算环境实施的资产管理系统105。也可以发现所发现的系统实体的属性,包括系统实体的标识符。例如,可以发现计算环境中的各种系统和网络的IP地址和IP地址范围。此外,随着现代网络中因特网协议版本6(IPv6)寻址的出现和部署,IP地址的大小被设计为从32位(IPv4中)增长到IPv6下的128位。结果是,IPv4提供232(4,294,967,296)个可能地址的可管理的地址空间,而IPv6的128为地址允许2128(大概是340澗(undecillion)即3.4×1038)个地址的地址空间。在IPv6地址空间的大小的上下文中,如果蛮力扫描IPv6地址空间中的每一个地址以寻求“活的”地址可以达到每个地址一个微微秒的速率,那也仍然要花10.78×1019年来扫描整个IPv6空间。因而采用IPv6寻址可以使映射网络中的设备和监视安全和网络的相应设备的其它活动的努力显著地复杂化。因此,资产管理系统105可以采用技术来更有效地标识活动的IPv6地址以允许对采用IPv6的网络进行更有目的性的分析。此外,除了能够发现计算环境中的设备和网络元件的IPv6地址和其它地址信息之外,资产管理系统105还可以管理允许发现附加的属性信息的发现技术,附加的属性信息诸如设备的操作系统、设备使用的端口、设备采用的协议等等。在设备级别可以发现附加信息,包括分层地源于系统级别的其它系统实体,诸如由设备和使用设备的各个人员托管的各个应用。
资产管理系统105的实现可以利用各种系统实体的属性来将实体分组成一个或多个系统实体的逻辑分组。此外,资产管理系统105可以标识各种安全策略并将各种安全策略分配给分组。这样的逻辑分组可以根据特定计算环境中的系统实体共享的属性或指定而将不同的系统实体分组在一起。分配给分组的安全策略可以相对应于或寻址包括在分组中的系统实体的共享的属性和特性。例如,系统分组可以在系统储存库中被标记为“关键系统”。因此,这些标识为关键的系统可以有对他们应用(例如,根据他们在计算环境中的关键性)的公共安全策略集。在另一个示例中,可以根据特定类型的网络诸如DMZ网络分组、根据相关联的地址(例如,基于IP地址范围、内部和外部IP地址、域名等)、或者根据相关联的地理区域以及其它示例来标识网络分组,并且这样的分组可以相对应地标记。也可以根据类型、关键性、软件提供者、操作系统等来对应用标记和分组。例如,可以将标记分配给应用类型的实体以指示应用是数据库或数据库类型(例如,生产数据库、分级数据库等)、web应用、中间件、web服务器以及许多其它示例。此外,例如也可以对人员类型的实体进行标记以标识这样的人员的个人属性如他们在组织中的角色、忠诚调查、权限、办公室、地理位置、业务部门等。附加地,在一些示例中,系统实体可以是强类型的(例如,“网络”、“系统”、“应用”和“人员”),并且特定分组的系统实体可以限于特定类型的系统实体。在这样的示例中,应用到分组的安全策略也可以是类型专用的。在其它示例中,分组和标记可以是“交叉类型”的,并且相关联的安全策略也可以是交叉类型的。例如,特定分组可以包括一个或多个系统和一个或多个应用和/或一个或多个人员等。
一般而言,包括示例计算环境100中的计算设备(例如,105、120、125、130、135、140、145、150、155、160、165、195等)的“服务器”、“客户端”、“计算设备”、“网络元件”、“主机”、“系统类型的系统实体”和“系统”可以包括可操作来接收、发送、处理、存储或管理与计算环境100相关联的数据和信息的电子计算设备。如在此文档中使用的,术语“计算机”、“处理器”、“处理器设备”或“处理设备”旨在涵盖任何合适的处理设备。例如,示为计算环境100中的单个设备的元件可用多个设备实现,诸如包括多个服务器计算机的服务器池。此外,计算设备的任何、全部或一些可适于执行任何操作系统,包括Linux、UNIX、Microsoft Windows、Apple OS、Apple iOS、Google Android、Windows Server等,以及适于将特定操作系统的执行虚拟化的虚拟机,包括定制和专有的操作系统。
此外,服务器、客户端、网络元件、系统和计算设备(例如,105、120、125、130、135、140、145、150、155、160、165、195等)可以各自包括一个或多个处理器、计算机可读存储器和一个或多个接口,及其它特征和硬件。服务器可以包括任何合适的软件组件或模块,或者能够托管和/或服务软件应用和服务的计算设备(例如,资产管理系统105、服务器(例如,135、145、155、160、165)的服务和应用(例如,172、175、178、180、182)),包括分布式的、企业的或基于云的软件应用、数据和服务。例如,通过与其它服务和设备接口、合作或者依赖于其它服务和设备或由其使用,服务器可以配置为托管、服务或者以其它方式管理模型和数据结构、数据集、软件服务和应用。在一些实例中,服务器、系统、子系统或者计算设备可以实现为可以被托管在公共计算系统、服务器、服务器池或云计算环境上并共享包括共享的存储器、处理器和接口的计算资源的一些设备的组合。
用户、端点或客户端计算设备(例如,120、125、140、150、195)可以包括传统的和移动的计算设备,包括个人计算机、膝上型计算机、平板计算机、智能电话、个人数字助理、特征电话、手持式视频游戏控制台、台式计算机、启用因特网的电视和其它设计成与人类用户交互并能够通过一个或多个网络(例如,110、115)与其它设备通信的设备。用户计算设备的属性和计算设备一般可以在各个设备之间变化很大,包括各自的操作系统和经加载、安装、执行、操作或以其方式可由每一个设备访问的软件程序的集合。例如,计算设备可以运行、执行、安装或者以其它方式包括各种程序集,包括操作系统、应用、插件、小程序、虚拟机、机器图像、驱动器、可执行文件和其它能够由相对应的设备运行、执行或以其它方式使用的基于软件的程序的各种组合。
一些计算设备(例如,120、125、140、150、195)还可以包括至少一个图形显示设备和允许用户查看系统100中提供的应用和其它程序的图形用户界面并与之交互的用户接口,包括与被托管在计算设备中的应用交互的程序的用户接口和图形表示以及与资产管理系统105相关联的图形用户界面。此外,尽管用户计算设备(例如,120、125、140、150、195)可按由一个用户使用来描述,但本公开构想许多用户可使用一个计算机或者一个用户可使用多个计算机。
尽管图1被描述为包含多个元素或与多个元素相关联,但不是图1的计算环境100中示出的所有元素都可在本公开的每一个替换性实现中使用。附加地,结合图1的示例描述的元素的一个或多个可位于计算环境100外部,而在其它实例中,某些元素可包括在其它经描述的元素以及其它在所示的实现中没有描述的元素的一个或多个中或作为其一部分。而且,图1中示出的某些元素可与其它组件组合,以及用于此处所描述的那些目的之外替换性或附加目的。
图2是示出了包括示例资产管理系统205的示例系统的简化框图200,示例资产管理系统205与在一个或多个网络(例如215)中部署的并具有发现网络215中的计算设备(例如,类型为“系统类型的系统实体”)(例如,220、225、230、235、240)和所发现的设备的地址和属性的任务的一个或多个资产检测引擎(例如210)协同操作。然后此信息可以进而由资产管理系统205使用以发现计算设备的其它属性以及发现计算环境的其它类型系统实体,诸如使用计算环境的人员和使用计算环境中的设备服务的应用。此外,通过使用此信息,资产管理系统205可以将经标识的系统实体分组并使用这些分组和对各个系统实体确定的其它属性来标识和关联实体的相关安全策略。此外,或者远程地(例如,安全工具242)或者本地地(例如,代理244)部署在各种计算设备(例如,220、225、230、235、240)的安全工具可以用来实施系统实体(例如,网络、系统、应用和人员实体)的安全策略。
示例资产管理系统205可以包括一个或多个用来执行在一些实现中包括在资产管理系统205的一个和多个组件中的功能的处理器设备245和存储器元件248。例如,在资产管理系统205的一个示例实现中,可以提供资产储存库管理器255、策略管理器260和实施协调器265。例如,资产储存库管理器255可以包括用于构建和维护包括描述使用例如一个和多个资产检测引擎210在计算环境中发现的系统实体的记录的资产储存库250。资产储存库管理器255可以包括检测引擎接口256,其允许资产储存库管理器255与部署在计算环境中的资产检测引擎210接口并从资产检测引擎获得标识计算环境中新发现的系统实体的结果以及检测到的系统实体的属性诸如地址数据和其它信息。也可由资产管理系205结合系统实体属性的发现使用其它设备和服务,诸如各种适于接收来自资产管理系统205的扫描脚本并执行所发现的系统实体的更专门的扫描(例如,标识应用、计算设备220、225、230和应用的用户等等)的扫描引擎290。此外,资产储存库管理器255可以附加地包括标记引擎258,其适于向所发现的资产储存库中的系统实体分配标记和归类以便扩展和修改系统实体之间、在资产储存库的默认或原始组织方案中定义的默认关系之外的关系的类型。
转向图3,示出了表示经分层组织的资产储存库的框图300。在一些实现诸如图3的示例中,资产储存库(例如250)可以用至少近似地对应于给定计算环境中的系统实体的物理实现的分层结构来组织。分层的资产储存库可以用来定义计算环境中的系统实体之间的至少一些关系。例如,网络(例如,网络类型的系统实体)可以包含类型为系统类型的实体(或者“系统”)的多个计算设备和网络元件。在一些实例中,网络和他们的子系统之间的关系可以是多对多(有一些系统在多个网络之间迁移且网络通常包括多个组成系统)。此外,可以认为系统设备包含类型为“应用”的软件程序。再一次,系统设备和应用之间的关系可以是多对多。此外,在示例资产储存库的分层结构的上下文中,可以将计算环境中标识的人员考虑为系统和/或应用的“孩子”。
作为示例说明,框图300示出了包括多个网络(例如,N1、N2)、多个系统计算设备(例如,S1、S2、S3、S4、S5)、多个应用软件程序、数据结构和服务(例如,A1、A2、A3、A4、A5、A6、A7、A8)和多个人员(例如,P1、P2、P3、P4、P5、P6、P7、P8、P9)的简化的计算环境的分层资产储存库的表示。如此特定示例环境中示出的,系统可以属于一个或多个网络(例如,系统S3属于网络N1和N2),应用可以属于系统计算设备的一个或多个、由之托管或服务、或以其它方式与之结合而提供(例如,应用A1是由系统S1托管的),并且人员可以与一个或多个系统计算设备和/或计算环境中的特定应用相关联(例如,人员P7与系统S3和应用A5都相关联,且人员P9与系统S4和S5都相关联,等等),以及其它示例。
可以为标识系统实体之间的基本关系集的资产储存库采用各种各样的其它组织方案。例如,其它分层资产储存库可以登记计算环境的系统实体以定义除了网络:系统:应用之外的其它依赖性和分层结构等等。例如,可以维护根据地理分层地组织系统实体的资产储存库。例如,单个系统实体(或“资产”)可以定义为位于贝尔法斯特的特定办公室内,该办公室分层地与该企业在爱尔兰的运营有关,而爱尔兰被包含在该企业的西欧区域等等等等,以及许多其它可能的示例。
尽管资产储存库可以用来初始地将系统实体集组织成一些例如至少部分地在实体之间的已知关系(例如,系统被包括在网络中等等)上定义的逻辑安排,但也可以在资产储存库本身的结构中建模的关系和实体属性之上为系统实体定义更细微、动态和较不传统的分组。这在一些示例中也可以通过标记或分类来达到。这样的标记、分类、目录等(此处统称为“标记”)可以是允许系统的用户或企业专用分组的自定义的。以此方式,可以在为对系统实体在其相应的计算环境中建目录时,向多个企业和组织提供可重用的资产储存库模板或系统。标记可附加地允许企业定义系统实体之间的附加关系。不仅如此,标记也捕捉特定系统实体之间的、在资产储存库的默认组织或结构中定义的关系之外的更多标准化的替换性关系和共性。作为示例,可以对所有具有特定操作系统的特定版本的系统设备应用标记。在另一示例中,可以向标识为“关键”或者以其它方式具有一个或多个安全上下文中的特定重要性或兴趣的计算设备(或网络、或应用、或以上所有)的子集的每一个分配标记。系统和/或人员可以根据他们与之相关联的地理位置来标记。系统可以根据设备类型、制造商、年龄、使用率和其它以设备为中心的属性来标记。应用可以根据类型(例如,数据库、网页、web服务、内部的、公共的、私有的,等等)、容量、用户数量和其它以应用为中心的属性来标记。类似地,可以标记网络,且可根据以用户为中心的属性诸如角色、许可级别、在计算环境或组织中的任期、人口统计等来标记人员。
图3的示例示出了标记(之前存在的)资产储存库中的各种系统实体。例如,标记A(305)应用于网络N1和N2,而标记B(310)应用于网络N1。标记可以在系统实体一被发现或以其它方式被标识并包括在资产储存库中之后发生。在一些实例中,可以与发现并记录资产储存库中的系统实体基本同步地标记系统实体。标记系统实体可以手动地完成,管理员用户标识或创建标记并将它们与特定实体相关联。标记系统实体也可以是至少部分自动化的。例如,标记可以根据标记的规则集自动地应用于系统实体。例如,规则可以(例如,由用户)定义为自动地对任何检测为拥有一个或多个特定属性的系统实体应用标记,属性包括使用资产检测引擎、扫描引擎和其它由资产管理系统(例如,205)使用的基于软件(和硬件)的工具而发现的属性。确定新的、之前未发现的或以及发现的系统实体拥有这样的属性可以导致标记应用于该系统实体。
共享特定标记的系统实体可以分组进相对应的系统实体集。例如,应用A4、A6和A7可全部用分配给作为计算环境中的数据库的应用类型的系统实体的标记K来标记。因此,例如,计算环境中的数据库可以根据标记来方便地标识,而数据库专用的安全策略、扫描和策略实施技术可以专门应用于用标记K标记的系统实体。
可以得到各种各样的安全策略以应用于计算环境中的系统实体。例如,安全策略可以指定网站、文件和其它可以由特定设备、由特定用户或应用在特定网络中访问的数据。安全策略可以指示谁可以访问特定文件和数据,他们可以对数据做什么(例如,保存到外部介质、修改、电子邮件、发送,等等)。附加的安全策略可以指定某些交易期间的加密的级别和类型、用于某些设备、应用和网络的口令的长度和类型、和其它最小安全参数,以及其它示例。附加地,在一些示例中,可以将安全策略导向到安全顺从规则,诸如由政府和管理体设置的顺从标准、标准设置组织、行业标准和其它规则,以及其它示例。一些策略可以是网络、用户、应用或设备专用的。一些策略可只与拥有某些特性的系统实体相关,特性诸如是他们在哪里、什么时候和被谁使用、他们的容量等。因此,使用资产检测引擎和扫描引擎发现的系统实体的属性可以用来自动地将特定安全策略分配给特定系统实体。
返回到图2的讨论,资产管理系统205还可以包括可以用来定义安全策略并向在资产储存库250中标识和编目录的系统实体应用安全策略的策略管理器260。在一些示例中,策略管理器260可以包括策略分配引擎264和策略实施引擎265。安全策略262的库可以用策略管理器260来维护和构建。在一些实现中,安全策略262包括标准安全策略(例如,一般地可跨计算环境应用)以及环境专有的安全策略。实际上,在一些示例中,策略管理器260可以包括允许管理员用户为他们相应的计算环境定义和生成新的、定制的安全策略的功能。此外,策略分配引擎264可以用来创建和维护各种策略(例如,262)和在计算环境中(即,在资产储存库250中)标识的安全实体之间的关联。此外,可以将实施引擎265提供为定义特定安全策略如何在计算环境中实施。
在一些实例中,策略实施引擎265可以用来与部署在计算环境中的各种安全工具(例如,242,244)接口。安全工具可以远程于系统实体(诸如系统类型的实体220、225、230、235、240)而部署,允许策略实施远程于并代表目标设备、应用或人员而发生从而允许在无需将策略(或实施)推送到目标本身的情况下的安全实施。这在例如从受监视的网络移进和移出的移动设备以及未管理的设备(诸如不包括代理或其它能够实施重要的安全策略的本地安全工具的设备)的安全实施中可以是有用的。例如,这样的安全工具242可以包括防火墙、web网关、邮件网关、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、反恶意软件工具、数据丢失保护(DLP)工具、系统脆弱性管理器、系统策略顺从性管理器、资产关键性工具、入侵检测系统(IDS)、入侵保护系统(IPS)和/或安全信息管理(SIM)工具,以及其它示例。此外,实施引擎265还可以基于使用传感器280、285、扫描引擎290等标识的目标的属性结合计算系统的安全管理启用补丁、更新和其它推送到目标系统实体的数据。附加地,本地安全实施也可以通过例如在目标设备上运行、加载或以其它方式直接与之接口并向资产管理系统205提供(例如,通过实施引擎265)用于在目标设备上直接实施策略的接口的代理或其它工具(例如244)而执行。
每一个系统示例可以具有对其为原子性的基本特性。例如,对于系统类型的系统实体,这样的特性或属性可以包括IP地址(或各IP地址)、相对应的媒体访问控制(MAC)地址、完全合格的域名(FQDN)、操作系统等。了解这样的特性可以是有效的风险分析和安全实施得以发生的前提条件。收集实体属性可以涉及各种技术。例如,代理可以在可以从系统实体直接收获实体属性的网络、系统和应用中部署。尽管准确和方便,但不是所有的系统实体都是“受管理的”,因为它们有代理(或能够有代理)。系统实体属性也可以或者改为通过执行对每一个系统实体的远程评估而通过网络收集。尽管可以使用任一方案或者两个方案的组合,但首先应建立特定系统类型的实体中的系统实体的存在。
当系统实体加入网络时,保护和管控网络的安全进程应尽可能地立即知晓其存在。在受管理的环境中,这是相当容易适应的,因为每一个实体上的代理(例如244)可以直接通知资产管理系统205。然而,在不受管理的资产的情况中,发现环境中的系统实体是通过资产管理系统205可获得并与之通信的发现进程来促进的。
资产检测引擎(例如210)和其它网络发现工具可以由允许资产在网络上的存在被查明的技术分组组成。这样的工具的示例是ping扫描器、动态主机配置协议(DHCP)监视器、地址解析协议(ARP)高速缓存管理器等。这些工具可以包括或者主动地或者被动地监视环境以搜索新资产的主动的或被动的工具。一旦标识了新资产,工具就可以通知资产管理系统205以允许其它资产属性标识进程开始(或者继续)。
在包括采用IPv4寻址的环境的传统的计算环境中,资产标识可以包括与受管理的设备的代理通信以确定设备的原子特性。附加地或者可替换地,每一个可能的IP地址都可以被ping以根据对ping的响应来标识其它潜在的(例如,不受管理的)资产和他们的属性。作为响应,经标识的潜在资产的原子特性可以与已经记录在资产储存库(例如250)中的实体的属性相比较,以试图将他们匹配到系统中已有的资产,或者以其它方式将他们添加为资产储存库(例如250)中的新系统。
为了试图防止不受管理的设备不被检测和不被保护,可以使用蛮力地址ping扫描。然而,在一些情况中,ping扫描易于遗漏一些设备,诸如具有瞬态网络连接或者变化的地址的设备。此外,在采用IPv6寻址的计算环境中,ping扫描或地址扫描对于发现计算环境中不受管理的设备可能是不现实的解决方案。
在图2的示例中和本公开其它地方所描述的系统的实现解决以上所讨论的传统的系统的缺点及其它。例如,资产检测引擎210可以是部署为使用多个发现技术中的一个或多个自动地发现活动网络设备的附连网络的设备或软件系统,发现技术包括对资产检测引擎210可用的被动发现技术并随后触发附加活动(例如,使用资产管理系统205)和在一些情况中根据定义的序列触发附加活动。这样的附加活动可以包括,例如,盘存面向网络的服务、评估系统脆弱性、盘存已安装的软件、应用软件补丁、安装新软件等等。
在一些实例中,一个或多个资产检测引擎(例如210)可以拥有被动地监视网络以发现各种活动的功能,包括一个或多个设备地址的通信或标识。然后所标识的地址可以从所监视的信息中提取并进一步用来ping、探测和以其它方式与所标识的地址处的设备通信,以标识设备是否记录在资产储存库250中并发现设备的附加属性。此外,检测到设备(即系统类型的实体)可以导致检测到其它实体类型,包括应用类型的实体和人员类型的实体。也可以独立于检测到系统类型的实体而检测到应用类型和人员类型的实体,例如通过嗅探网络流量和其它技术。例如,可以从使用资产检测引擎210监视的流量检测web服务器、数据库、聊天客户端、媒体客户端、媒体播放器等。
在一些实现中,示例资产检测引擎210可以包括一个或多个处理器272和一个或多个存储器元件274并被部署在网络中以执行与设备和设备在网络中的地址的检测相关联的多个不同的发现任务。在一些实现中,示例资产检测引擎210可以至少部分地部署为内联地(例如,在交换机或路由器处)或并行地(例如,离开路由器镜像(span)端口)插入网络的硬件设备,或者至少部分地部署为可以遍及子网部署的软件,诸如在网络中特定的或任意的主机上、在专用的主机诸如网络DHCP服务器上或在其它部署中。资产检测引擎210可以包括多个可以根据刀片型架构配置的可插入式传感器组件(例如,280、285),在该架构中新传感器可以根据例如其在网络中的角色和网络中可用的或偏好的工具从可重用的资产检测传感器框架275中添加或去除。以此方式,当新传感器被开发了或变得可用了,新传感器可以添加到传感器框架275中以补充(或替代)通过资产检测引擎210的传感器框架275部署的其它传感器技术。
在一些实现中,传感器框架275可以提供主动传感器280和被动传感器285二者的组合。主动传感器280可以包括涉及直接向网络中的设备和地址发送流量和测试对流量的响应的传感器。这样的主动传感器可以包括具有适于执行多播查询、ping扫描和其它示例的功能的基于硬件和/或软件的传感器组件。另一方面,被动传感器285可以包括具有试图在与设备的通信之外或者相对应于地址本身获得网络中的设备的地址信息并标识网络中的设备的功能的传感器组件。被动传感器285可以包括被动发现类型传感器、基于事件的发现类型传感器和间接发现类型传感器。传感器框架275可以包括一种或多种类型的主动传感器和被动传感器285。实际上,在一些实现中,同一类型的多个传感器可以在单个传感器框架刀片(例如275)上提供。例如,示例传感器框架可以包括一个或多个主动传感器、两个间接发现类型被动传感器、一个基于事件的发现类型传感器等。最小的或优化的传感器集可以依赖于使用资产发现引擎210监视或扫描的网络的具体特性,但是一般来说,传感器框架275中包括和利用的传感器的多样性越广,则覆盖和资产发现的结果越全面。
在一些情况中,主动传感器280可以包括适于利用包括IPv6多播的IP多播发现网络中的设备的传感器。在IP网络的上下文中,多播寻址是用于其中向一组目标系统同时发送一条消息导致路由器创建那些分组的副本以求最优分布的一对多通信的技术。示例的用于发现网络上的设备的IPv6的多播查询可以利用链路本地范围内全部节点多播地址(例如,“FF02::1”前缀的)来查询。例如,示例主动传感器可以向多播地址FF02:0:0:0:0:0:1:2处的端口547发送DHCPv6UDP探测以发现所有DHCP服务器和中继代理。在另一示例中,示例主动传感器可以向“全部节点”多播地址FF02::1发送ICMPv6查询以发现本地网络上的系统。在又一示例中,示例活动传感器可以向“全部路由器”多播地址FF02::2发送ICMPv6查询以发现网络上的路由器,以及其它示例。
在其它示例中,包括在传感器框架275中的一个或多个主动传感器280可以包括适于执行蛮力寻址、或ping、扫描来发现网络上的设备的传感器。尽管一般而言对发现典型IPv6网络中的设备无效,但ping扫描或更一般而言地址扫描仍可以是检测小IPv6地址范围上和IPv4网络上的设备的有效手段。Ping扫描可以在检测大多数沉默和有固定地址的设备时特别地有效。Ping扫描可以利用传统的ICMP ping扫描技术,借此向潜在活动的地址发送一个或多个分组以及其它技术。如果接收到特定类型的响应,那么认为目标地址是活动的。Ping扫描可以包括ICMP ping扫描(用于若干分组类型的)、使用完整TCP连接测试的对开放端口的扫描、使用半开放(SYN)测试的对开放端口的扫描和向特定的已知的UDP端口发送“轻推(nudge)”分组,以及其它示例。
此外,尽管地址扫描可以应用于基于目标的地址扫描发现(例如,以先前或基于一个或多个资产检测引擎210的被动发现任务而标识或选择的特定的已知IP地址或IP地址范围为目标),但主动发现传感器也可以连续地扫描地址范围以发现新的活动地址并且验证先前活动的地址仍是活动的或变得不活动,在检测到状态改变时接近实时地启动事件(例如,使用资产管理系统205的属性发现尝试任务)以执行有用的工作。
被动传感器(例如285)可以包括潜在发现类型传感器、基于事件的发现类型传感器和间接发现类型传感器。潜在发现类型传感器可以包括适于潜在地监视网络以发现包括设备地址信息的通信和标识的各种活动并无需直接接触主机系统而提取地址信息(即对应于地址)的传感器。潜在发现传感器可以包括适于例如监视NetBIOS广播分组、监视因特网控制消息协议(ICMP)流量(包括ICMP版本6(ICMPv6)流量)、嗅探一般网络流量、经由交换端口镜像(诸如通过交换端口分析器(或“SPAN端口”))嗅探流量以及其它示例的传感器。至少一些潜在发现传感器可以不需特别配置而操作(例如,由管理员终端用户提供)。例如,适于截取NetBIOS广播分组的潜在发现传感器可以确定网络上的设备的地址信息,以及其它系统实体属性。许多系统,包括那些基于例如Microsoft WindowsTM操作系统的系统,可以向他们的本地网络广播数据报分组,例如结合用于UDP端口138上的无连接通信的NetBIOS数据报分发服务,以及其它示例。NetBIOS数据报广播分组可以标识所截取的NetBIOS分组所源自的发送设备的IP地址和MAC地址,并在一些情况中还可以包括当被标识和处理时揭示发送设备的操作系统以及其它信息的数据。可以使用此方法可靠地标识的操作系统包括例如Windows 9x/Me/NT 4.0、NetApp设备、Windows 2000、Windows XP、Windows服务器2003、Windows XP(64位)、Windows服务器2008、Windows Vista、Windows服务器2008R2、和Windows7。因此,适于截取NetBIOS广播分组的潜在发现传感器可以标识发送设备、他们相应的地址数据和发送设备的操作系统。
在另一示例中,另一(或同一)潜在发现类型传感器可以适于监视ICMPv6流量。可以由网络中的IPv6设备经由ICMPv6协议生成并发送大量流量。正确调整的潜在发现类型传感器可以监听特定类型的多播ICMPv6流量诸如邻居请求分组和邻居广告分组,以标识在流量中标识的一个或多个设备的地址(即,MAC地址和IPv6地址),以及其它示例。
在又一示例中,潜在发现类型传感器可以适于嗅探一般网络流量以得到可以用来标识网络中之前未知的设备或者之前未知的由之前标识的网络中的设备使用的地址的地址信息。IPv4和IPv6分组包括源和目的地地址信息,以及源和目的地端口及源和目的地的相应的MAC地址。因此,嗅探所有网络流量可以允许发现新的地址数据和由此发现在受监视的网络上通信的新设备。通过被动地嗅探所有网络流量,只要新设备在网络上通信,就可以发现新设备地址。嗅探一般流量在一些网络中可能是有问题的,然而,由于许多现代的网络是“交换”的,借此网络设备以及可能所部署的资产检测引擎210只接收广播分组、多播分组和直接定址到托管资产检测引擎的设备的分组。在其它情况中,端口镜像可以利用来标识网络中之前已知的设备地址。一些网络路由器和交换机可以配置为将特定设备端口或者甚至整个虚拟局域网(VLAN)上的所有流量转发或“镜像”到交换机上的另一个端口,诸如交换端口分析器(SPAN)和巡回分析端口(RAP),以及其它示例。一些在传感器框架275中可用的潜在发现类型传感器的实现可以适于嗅探网络交换机的经配置的SPAN端口(或其它流量镜像端口)上的流量,从而允许传感器监视所有在端口上镜像的网络流量,包括定向到交换网络中的其它设备的流量,而无需传感器物理地连接到镜像端口。
被动传感器也可以包括基于事件的发现传感器。一般地,基于事件的发现传感器可以向网络服务注册或者以其它方式与其接口以在一个或多个特定的预先标识的类型的事件发生时接收通知。(向或者由相应的网络服务)对这样的事件的报告或检测可以包括资产管理系统205有兴趣的设备寻址信息诸如IP地址和DNS名字的标识。这样的事件可以包括,例如,DHCP服务器事件、Microsoft活动目录TM审计事件以及防火墙和入侵防御系统(IPS)事件,以及其它示例。基于事件的发现传感器可以与记录这样的事件的相应的设备和系统接口并标识可以被挖掘以得到用于构建和补充资产储存库250的记录的地址数据的那些特定的事件和事件记录。
作为示例,基于事件的发现传感器的一个实现可以包括适于与DHCP网络环境中的一个或多个DHCP服务器接口的传感器。在DHCP网络环境中,每一次系统被打开并加入网络时,它广播请求以从最近的DHCP服务器接收IP地址。然后最近的服务器一般分配地址租约并通知目标(请求的)系统它的地址应该是什么。而且,一旦系统的租约到期,它就被从DHCP服务器的活动地址列表中移除。在一些实现中,DHCP服务器监视和/或参与此地址租赁过程,且基于事件的发现传感器可以包括用于与DHCP服务器接口和查询DHCP服务器的记录、从DHCP服务器接收警告和其它消息、或者以其它方式从DHCP服务器获取关于涉及网络中的设备的近期租约事件的信息的功能。例如,一些DHCP服务器的实现向其它设备和服务提供API(诸如Microsoft DHCP服务器的“DHCP服务器Callout API”)和日志文件(诸如Unix/Linux DHCP服务器“dhcpd”日志记录租约事件),以及其它示例和实现。一般地,由传感器从DHCP服务器获得的信息可以进而用来标识网络中潜在的新的或者先前未知的设备。
在另一示例中,示例的基于事件的发现传感器可以适于与MicrosoftWindows活动目录服务器接口以获得由活动目录服务器记录或标识的特定类型的事件的记录。例如,在组织中,当用户执行登入或登出加入活动目录域的系统时,可以在活动目录服务器的事件日志中创建事件。一些特定的事件和这些事件的日志记录可以包括网络中一个或多个设备的IP地址和DNS名字信息的标识。基于事件的发现传感器可以提取此地址数据供资产管理系统205使用。例如,活动目录事件的日志,诸如表1中标注的那些示例(和其它未列出的),可以包括地址信息供补充资产储存库250时使用:
表1
附加地,基于事件的发现传感器也可以与防火墙、IPS和其它安全工具(例如242)接口以获得描述由工具监视的事件的日志和其它信息。例如,防火墙是基于一组用户指定的规则允许或拒绝网络传输的设备。入侵防御系统(IPS)是进行深度分组检查并在注意到特定流量模式时生成事件的设备。IPS也可以修改或阻止这样的流量。防火墙和IPS都可以用来在网络攻击的事件中通知网络管理员,或帮助实际地阻止非法闯入、病毒的传播、蠕虫等。在一些实现中,IPS或防火墙可以附加地配置为生成关于特定类型或模式的网络流量的事件且所生成的事件可以包括列出结合事件监视的流量中涉及的源和目的地地址、DNS名字和开放端口的记录或信息的创建。此外,基于事件的发现传感器可以配置为与防火墙和IPS接口以与服务通信并从服务接收所报告的事件,包括检测到包括地址信息的特定类型的分组,诸如DHCP地址请求、DNS名字查询以及其它示例。
间接发现类型传感器也可以包括在被动传感器285中。间接发现类型传感器可以适于与记录并维护设备地址信息以在无需直接接触相对应的主机的情况下而提取那些地址的各种网络服务接口并向其查询。这样的目标网络服务和设备可以包括,例如,简单网络管理协议(SNMP)、服务器(例如,SNMP管理信息库2(MIB2))、主机的邻居数据库(例如,经由netstat命令)、DHCP数据库和路由器维护的邻居信息数据库,以及其它示例。
在一个特定示例中,间接发现类型传感器可以适于查询SNMP服务器的管理信息库(MIB)(包括MIB2)。从MIB2可以获得可以用来进一步构造资产储存库250的丰富的信息。例如,可以查询MIB21以获得SNMP服务器的ARP表和由此的SNMP服务器/设备已经通过本地网络接触过的设备的列表,包括设备的地址信息。可以获得列出系统、他们的IP地址和SNMP服务器/设备连接到的或已经发出或接收数据的端口的连接表。也可以与关于分组是怎么从设备被路由到网络上的其它设备的细节一起访问路由表,包括路由中涉及的其它设备的IP地址。附加示例数据也可以从SNMP设备获得,且其它SNMP查询也可以揭示SNMP设备在其中通信的网络中的设备的地址信息和其它有用的数据。
在另一示例中,间接发现类型传感器可以适于获得网络中的远程设备上的命令外壳并发出netstat命令以获得网络中的系统的按照P地址的列表,远程设备已经连接到该系统或与该系统交换了数据和其它系统的端口信息。其它间接发现类型传感器可以适于与DHCP服务器接口并查询由一个或多个DHCP服务器保持的数据库以获得网络上的设备的地址信息。例如,间接发现类型传感器可以适于标识网络上的DHCP系统并使用远程API来查询DHCP服务器数据库(例如,使用DhcpEnumServers、DhcpEnumSubnets、DhcpEnumSubnetClientsV5等)或使用例如远程命令外壳来访问DHCP租约列表(例如,Linux系统中维护的平面文本文件最少列表)。附加地,一些间接发现类型传感器也可以查询路由器以得到设备地址信息,例如通过查询网络中的各个路由器的“IPv6邻居信息数据库”。这样的数据库可以维护相应的路由器已知的IP地址和MAC地址的列表(例如,关于自路由器上一次初始化以来生成网络流量的所有设备),这可以使用相对应的间接发现类型传感器而收获。在一些情况中,这样的传感器可以适于对要支持的每一个各个路由器或网络设备维护和利用特定的连接器,以及在一些示例中未获奖和利用路由器凭证、类型和地址的记录。
被动传感器285可以包括其它类型的传感器,诸如地址映射类型的传感器。地址映射类型的传感器可以适于使用来自资产储存库250的或者使用一个和多个其它主动或被动的传感器(例如,280、285)发现的地址数据来查询其它网络设备,诸如DNS服务器、路由器、IPS、或防火墙,以发现所发现的设备的附加地址信息。一般地,通过这样的查询可以将单个设备地址映射到设备的一个和多个其它地址。这些其它地址信息可以包括,例如,一个或多个人可读的名字(例如,DNS名字)、一个或多个逻辑设备地址(例如,IP地址)、一个和多个物理设备地址(例如,MAC地址)等。
在一些情况中,一个或多个地址映射传感器可以被包括在传感器框架275中,该传感器框架275适于使用从资产储存库250和/或通过部署在相对应的计算环境中的资产检测引擎210中的一个或多个其它传感器280、285获得的地址数据来执行DNS服务器查询。DNS服务器可以从人可读的设备名字(例如,DNS名字)向前映射到所命名的设备的所有逻辑地址。此外,DNS服务器也可以从一个逻辑设备地址反向映射回设备的DNS名字。由此,给定单个IP地址时,可以通过首先进行对那个地址的反向DNS名字查找,然后进行对所返回的设备的DNS名字的所有IP地址的向前查找来发现附加的地址。
在其它示例中,地址映射传感器可以适于查询其它网络系统和数据库以执行地址映射和发现设备在计算环境中的附加地址数据。例如,本地IPv4ARP高速缓存、IPv6目的地高速缓存或IPv6邻居高速缓存以及其它示例可以由地址映射传感器查询以发现网络中之前标识的设备的附加地址。例如,对于系统之前与之通信过的任何IPv4地址,任何系统的本地ARP高速缓存可以用来从IPv4地址映射到相对应的系统的MAC地址。附加地,利用此高速缓存允许此映射发生而不会招致要求本地网络路由器提供此转换的成本。此外,在IPv6环境中,目的地高速缓存和邻居高速缓存可以类似地用来标识由一个或多个IPv6地址标识的设备的MAC地址,以及其它示例。此外,此信息可以经由例如PowerShell v2来远程地检索以管理来自可以获得远程访问的任何系统的附加目的地地址。此外,像其它传感器一样,地址映射传感器还可以适于维护用于认证和访问维护遍及计算环境的各种形式的事件、设备和地址信息的网络设备和数据库的凭证和配置。
转到图4,示出了与示例资产管理系统205通信的示例可扩展资产检测引擎210的简化框图400。如图2中的示例中的,资产检测引擎210可以包括适于接受和使用各种主动和被动的传感器(例如,280、285)的传感器框架或平台,资产检测引擎210可以组合使用所述传感器以标识设备和从资产检测引擎(和其组件传感器280、285)部署在其上的网络提取相对应的设备地址信息。此外,传感器可以方便地在传感器架构上添加、移除或替换,从而允许资产检测引擎210的功能被扩展、修改和以其它方式对资产检测引擎210部署在其上的网络定制(例如,基于资产检测引擎传感器可以与之接口的网络上可用的网络设备和服务)。
在图4中示出的一个说明性示例中,示例资产检测引擎210可以包括可插入式地部署在资产检测引擎上的主动和被动传感器280、285二者。例如,在部署在资产检测引擎210上的可插入式主动传感器280中,可以提供TCPSYN/ACK主动发现传感器、ICMP ping扫描传感器和UDP ping传感器。在一些情况中,TCP SYN/ACK传感器可以向网络中的地址发送一个或多个TCP分组(诸如SYN分组、TCP完全连接分组序列等)的集合。在一些情况中,TCPSYN/ACK传感器可以针对标识为更可能在网络中使用的特定端口并对每一个目标IP地址向每一个所标识的端口发送TCP SYN分组。用TCP SYN ACK响应的目标设备可以标识为触发进一步的目标设备的属性探测的活动设备。ICMP ping扫描传感器可以适于向每个目标IP地址发送ICMP ping请求并监听响应以标识网络上的活动设备。UDP ping传感器可以适于向设计为从被预测为使用的并与目标设备的特定端口相关联的特定服务引发响应的目标设备发送特定UDP分组。然后UDP ping传感器可以监听对所发送的UDP分组的响应以标识网络上的活动设备。
此外,在图4的示例中,也可以在资产管理引擎210上提供各种不同的可插入式被动传感器285。例如,在图4的特定示例中,各自试图以特定方式被动地发现IP地址信息的一组被动传感器可以包括SPAN端口传感器、IPv6邻居查询传感器、ARP高速缓存查询传感器、反向DNS查找传感器、DHCP管理传感器、交换机MAC传感器,以及其它。附加地,传感器也可以在适于与也捕捉和维护系统中的地址数据的记录的产品和服务的第三方开发者一起工作(并在一些情况下由第三方开发者提供)的可扩展的传感器框架上提供并实现。此外,由于资产检测引擎210上的每一个传感器标识网络的设备地址数据,其结果可以通过资产检测引擎210传递供资产管理系统205处理。
在接收了由一个或多个部署在计算环境中的资产检测引擎210获得的设备地址数据之后,资产管理系统205可以检查资产储存库以查看地址数据是否已经被标识了、添加还没有被发现的地址数据(例如,对于储存库中已经发现的设备)、和基于从资产检测引擎210接收的结果而更新或确认之前标识的地址数据。此外,资产管理系统205可以处理从资产检测引擎210接收的数据,并根据某些返回的数据中的共性确定由资产检测引擎获得的新地址信息对应于网络上之前发现的设备。附加地,如果确定地址信息对应于还没有在资产储存库中标识的设备,发现地址信息可以认为是表示在网络中发现了设备本身。
设备和地址数据(诸如所发现的IPv6地址)可以由资产管理系统205(或者在一些实现中由资产检测引擎210自己)使用以触发使用资产检测引擎传感器(例如210)的附加探测和传感器活动。例如,资产管理系统205在标识了新IP地址之后可以使得地址映射传感器执行地址映射查询以标识对应于新发现的IP地址的设备的附加的IP地址和/或MAC地址。在其它情况中,可以将新发现的地址数据传递给资产检测引擎上的其它传感器(例如,由资产检测引擎210或资产管理系统205)以试图发现对应于目标设备的附加信息。实际上,在一些示例中,可以将通过被动传感器285发现的地址数据传递给资产管理系统205上的主动传感器280供主动传感器用作它们的活动发现技术中的目标地址。例如,主动传感器280可以用来验证(和周期性重验证)在特定地址处的设备在网络中是活的或者活动的、在设备上线和离线的时候监视它们以及监视与地址相关联的设备的状态。
在一些情况中,为了确定设备是否将状态从在网络上改变到离开网络或反之,可以维护对每个设备维检测到的之前状态,以便提供比较的点。这可以通过例如保持包含每个已知设备的最后检测到的状态的存储器中的表或资产检测引擎(或资产储存库250中)的盘上的数据库来进行。当发现设备是存活的并在网络上的(例如,使用主动发现传感器(例如280))时候,检查设备状态表。如果没有条目存在或者设备的条目指示它是离线的,则添加条目或者更新已有的条目以指示新的设备状态。无论如何,设备状态表中的条目可以是带时间戳的,以指示设备被检测为存活的并在网络上的最后时间。
此外,每一个被指示为存活的地址都可以定期地经由一个或多个主动发现传感器探测。如果检测地址为存活的,那么设备状态表中相对应的条目可以再一次加上时间戳以指示设备被检测为在网络上的最后时间。如果地址之前经由主动发现传感器检测为在网络上,并且不再被检测为存活,那么可以将设备的条目标记为现在离开网络了。如果设备从未经由主动方法检测为存活,则检查该设备经由某种其它方法被看见存活的最后时间的时间戳,并且,如果条目被检测为陈旧的(即,比某一指定的阈值老),那么可以将设备标记为离线了。作为优化,如果设备的主动发现失败了某个数量的次数,则可以将它禁用以便节省网络、存储器和CPU使用。
附加地,检测到设备改变状态可以导致生成指示设备现在或者在网络上或者离开网络的事件。任何引发软件事件的手段都可以在这里使用,如行业中充分理解地。此外,在一些实现中,将包括在资产储存库250中的设备标识为在线(例如,通过相对应的生成的事件)可以使得一个或多个扫描引擎被警告、激活或部署以执行对一个或多个所发现的设备的扫描,以确定将使用的关于设备的其它信息,例如,关于向设备分配标记、安全策略和安全任务。
如图5的简化框图中所示,在一些示例中,计算环境可以包括多个由资产管理系统205所管理的网络和子网络(例如,505、510)。每一个网络505、510都可以有一个或多个资产检测引擎210a、210b,还有一个或多个扫描引擎515、520,扫描引擎适于执行所发现的设备上的任务,诸如确定操作系统、硬件、端口、应用、脆弱性、用户和其它可以用来例如标识计算环境中包括应用类型的实体和人员类型的实体的其它系统实体的信息的特殊化的、发现后的扫描。这样的信息也可以用来向网络中的特定网络、设备、应用和人员分配安全策略。
如图5的示例中所示,每一个网络505、510都可以包括多个资产检测引擎(例如210a、210b)。在一些实现中,资产检测引擎210a、210b本身在缺乏一个或多个可插入式传感器的存在和使用时可能不拥有扫描或执行其它发现任务的能力。实际上,资产检测引擎210a、210b可以各自利用公共传感器框架但安装了适于他们所监视的网络的特定特性和服务的传感器集。例如,一个资产检测引擎可以有第一组传感器,同时在同一或不同网络中的第二资产检测引擎可以有不同的、第二组传感器(其中至少一个传感器被包括在传感器组的一个组中但不在其它组中)。例如,资产检测引擎的传感器可以从包括在第一网络但不在第二网络中的特定设备或服务拉取数据、查询或以其它方式与之交互,特定设备和服务诸如DHCP服务器、SPAN端口等。因此,在这样的示例中,第一网络中的资产检测引擎可以包括适于与特定设备或服务交互的传感器,而第二网络中的资产检测引擎可省略这样的传感器。附加地,一些传感器可以在特定设备或服务上集成或本地地实现,并且相对应的资产检测引擎可在其与其它网络服务通信的能力上受限从而利用其它依赖于与网络服务的通信(或者,在一些情况下,搭配)的传感器,以及其它示例。因此,在一些情况中,可在单个网络中部署多个资产检测引擎,每一个有不同的传感器集。一些不同的传感器集可以包括一个或多个同样的传感器。附加地,尽管可在计算环境的网络505、510中部署多个资产检测引擎210a、210b,但资产检测引擎平台(例如,不带传感器的传感器框架)可以是跨资产检测引擎210a、210b相同的,从而允许在每一个资产检测引擎上自由添加(或移除)传感器。
如此处以上和其它处所述,资产检测引擎对设备和相对应的地址信息的发现(例如,使用一个或多个包括在资产检测引擎上的传感器)可以为其它服务和设备所用,诸如其它资产检测引擎和/或扫描引擎(例如,515、520)。然而在一些情况中,单单地址信息不足以指导或触发由其它针对特定设备的资产检测引擎或扫描引擎进行的任务。例如,单个IPv6地址可以在子网络505和510的每一个中重复,尽管网络505、510驻留在相同的计算环境诸如企业软件环境中。因此,资产管理系统205可利用附加信息来标识包括在对应于单个IPv6地址的特定实例的网络中的正确的扫描引擎或资产检测引擎。
作为说明性示例,在图5中,主机设备(即系统类型的实体)在网络505、510的每一个中提供。例如,在网络505中可以包括托管网站530的主机设备525、托管数据库540的主机设备535以及打印机设备545等等。此外,在此特定示例中,网络510中可以包括路由器550、主机设备555和移动计算设备560。在此特定示例中,主机525和主机555可以拥有同一个IPv6地址。为了标识和调用正确的扫描引擎(例如,扫描引擎520之一)以探测主机555,资产管理系统205可以维护检测引擎到扫描引擎的映射或其它关联。例如,资产管理系统205可以将资产检测引擎210a映射到扫描引擎515并将资产检测引擎210b映射到什么引擎520,以因此也为主机或其它由特定资产检测引擎发现的设备标识正确的扫描引擎(或其它资产检测引擎)。
继续来自图5的之前的示例,发现引擎210b可以标识主机555的IPv6地址并将所发现的地址信息报告给资产管理系统205。在此示例中,资产管理系统205可以选择使用所返回的IPv6地址执行附加的探测和任务来瞄准相对应的设备(例如,主机555)并获得关于主机555的附加信息。为了完成这个,资产管理系统可以标识主机555的IPv6地址是从资产检测引擎210b返回的并咨询映射来标识位于同一网络510并适于执行所要求的任务的一个或多个扫描引擎520。实际上,在一些情况中,资产检测引擎(例如210b)本身可以查询或以其它方式访问映射以标识和直接调用相关联的扫描引擎(例如520)。例如,在一些示例中,所定义的任务序列可以由资产管理系统(或资产检测引擎210a、210b)来初始化,涉及多个资产检测引擎210a、210b和/或扫描引擎515、520。执行任务序列可以包括标识获得关于一个或多个系统实体(例如,525、530、535、540、545、550、555、560等)的地址和其它属性的信息所涉及的多个资产检测引擎210a、210b和/或扫描引擎515、520之间的关联。任务序列也可以依赖于之前的任务的结果(例如,是否标识了或标识了什么类型的地址信息或其它属性信息、设备是否检测为活动的,等等)。
所关联的资产检测引擎210a、210b和扫描引擎515、520的映射可以使用各种技术来构建。例如,资产检测引擎可以手动地和显式地关联到扫描引擎(例如,由用户)。在另一示例中,资产检测引擎和扫描引擎可以严格地相关联(即,一个资产检测引擎到一个扫描引擎,反之亦然),诸如通过例如在同一主机设备上协力扫描引擎部署资产预测引擎。在又一示例中,映射可以是自动的。例如,资产检测引擎210a、210b和扫描引擎515、520各自可以在一个或多个特定网络505、510中标识和映射到这些网络,并且资产管理系统205可以标识该特定地址信息(例如,相对应于特定设备例如550、555、560)是从特定网络(例如510)中的特定资产检测引擎(例如210b)收集的。在其它实例中,特定资产检测引擎210a、210b可以直接映射到特定扫描引擎515、520。
在一些实现中,由资产检测引擎210a、210b收集的地址信息可以用来关联资产检测引擎210a、210b和扫描引擎515、520(和/或标识资产检测引擎处于一个或多个扫描引擎的同一网络中,等等)。例如,如果特定资产检测引擎(从210a)将资产管理系统205已知的地址信息标识为相对应于托管一个或多个特定扫描引擎(例如515)的特定设备,则资产管理系统205可以使用所返回的地址信息来确认特定资产检测引擎(例如210a)是与相对应的特定扫描引擎(例如515)处于同一网络(例如205)上,且特定扫描引擎将认为扫描目标的地址信息是对应于网络(例如205)的,而不是将扫描目标与不同网络上(例如510)的另一个设备相混淆,以及其它示例。例如,扫描引擎和/或检测引擎可以标识与资产检测引擎或扫描引擎的流量或行为相似的流量或行为,并由此标识他们各自在同一网络中或者特定扫描引擎515以其它方式能够到达对应于由相关联的资产检测引擎发现的地址信息的特定目标设备。
转到图6A-6H的示例,示出了示出包括示例资产检测引擎(例如210)的示例操作的简化框图600a-h。如图6A中所示,多个未发现的设备(即,系统类型的系统实体)610、615、620、625可以连接到网络605、在网络605上通信或以其它方式结合网络605操作但在由资产管理系统205维护的资产储存库中缺席,资产储存库由资产管理系统205用来将安全策略关联到系统实体以及执行包括实施所分配的安全策略在内的关于系统实体的安全任务。包括多个可插入式传感器(包括被动的和主动的传感器)的资产检测引擎210可以用来标识网络605中未发现的设备和未发现的设备的地址数据。
在图6A的示例中,资产检测引擎210上的基于事件的发现传感器可以用来标识网络上的一个或多个设备。例如,涉及设备610的事件可以在网络上由一个或多个网络服务标识,网络服务诸如活动目录服务器、IDS、防火墙或其它工具或服务(例如,事件管理服务器630)。事件管理服务器630可以检测、注册和记录网络上的事件,包括在检测到的事件中涉及的设备(例如610)的地址标识符。在一些情况中,基于事件的发现传感器可以由事件管理服务器630警告和/或转发新事件的事件数据。例如,事件管理服务器630可以将特定事件转发给之前已经标识为可能包括网络中的设备的地址信息的基于事件的发现传感器。在其它情况中,基于事件的发现传感器可以与事件管理服务器630接口并查询事件管理服务器630的事件记录以标识新事件数据和从事件数据提取设备地址数据。然后这样的事件数据可以由资产检测引擎210处理并发送到资产管理系统205。此外,资产检测引擎210可以从资产管理系统205接收指令和其它通信,诸对如执行对所发现的设备的附加探测的指令,诸如根据一个或多个发现任务序列(包括多路径发现任务序列树)的所发现的IP地址、DNS名字等的活动发现探测或地址映射。
转到图6B,设备610的发现被表示(即,以比设备615、620、625的标识更高的对比来呈现,贯穿图6A-6H遵循的约定)为包括由包括在资产检测引擎610中的基于事件的发现传感器对设备610发现的地址数据“地址1”。如图6B中所示,设备610的标识和相关联的地址信息“地址1”(例如,设备610的IPv6地址)还可以由其它传感器用来获得附加的地址信息,及发现设备610的其它属性。在一些示例中,资产检测引擎210在识别了特定地址数据的发现之后可以组织进一步的发现任务(例如,使用资产检测引擎210上的其它传感器)。在其它情况中,资产管理系统205可以驱动由资产检测引擎的传感器执行的任务,诸如基于新地址信息的发现的任务。例如,资产检测引擎210可以将设备610的“地址1”的标识返回给资产管理系统205且资产管理系统205可以处理“地址1”以确定地址信息(和/或相关联的设备)是否是已知的。在任一情况中,资产管理系统205可以请求附加的发现任务,诸如DNS映射或ARP映射任务,由此调用资产检测引擎(例如210)上的特定传感器。例如,如图6B的示例中所示,资产检测引擎210可以使用资产检测引擎210上的DNS映射传感器来利用新发现的“地址1”作为输入在DNS服务器635上执行反向DNS映射。DNS服务器635可以将地址1映射到例如特定DNS名字。附加地,资产检测引擎210处的DNS映射传感器可以附加地请求对为“地址1”返回的DNS名字的正向DNS映射以确定是否有任何其它地址数据(例如,IP地址)映射到被映射到“地址1”的DNS名字。以此方式(和根据这样的序列),DNS映射传感器可以利用新发现的IP地址(例如,IPv6地址)来发现设备610的其它的IP地址(例如,“地址2”),以及其它地址数据诸如DNS名字。实际上,如图6C的示例中所示,基于在图6B的示例中执行的DNS查找638,为设备610返回了一个附加地址“地址2”。
在图6C的示例中,附加的发现任务诸如潜在类型的发现任务可以由资产检测引擎120的传感器执行。例如,资产检测引擎210可以包括能够监听在网络605的一个或多个交换机、路由器或其它网络元件处镜像的端口的SPAN端口传感器或其它传感器。例如,资产检测引擎210的传感器可以标识跨交换机640的流量,包括使用交换机640处的镜像功能(例如642)的特定网络通信641的源和目的地地址。在此特定示例中,由资产检测引擎发现的源IP地址可以对应于之前未标识的设备620(或者设备620的之前未标识的IP地址)且目的地IP地址也可以是资产管理系统205未知的IP地址(即,不包括在由资产管理系统205维护的资产储存库中的地址)并对应于另一个设备615。由资产检测210使用捕捉端口镜像数据(例如,在交换机640的SPAN端口处)的传感器发现的IP地址(例如,“地址3”和“地址4”)可以如图6D中所示被传送给资产管理系统205。此外,如在图6B的示例中,新发现的地址“地址3”和“地址4”还可以由资产检测引擎210用来(例如,响应于来自资产管理系统205的命令)执行由资产检测引擎120上的另一个传感器(或者网络605的另一个资产检测引擎或扫描引擎)发现所发现的设备615、620的附加地址(例如,“地址5”、“地址6”和“地址7”)(例如,基于由资产管理系统205和/或资产检测引擎210指导的特定任务序列)的附加的发现任务,诸如邻居发现请求、ARP查询、DNS映射等。
转到图6E,附加传感器可以包括在适于执行附加发现任务(包括间接类型的发现任务)的示例资产检测引擎210上。作为示例,如图6E中所示,间接类型的传感器可以查询网络(例如605)上的其它网络元件、服务和计算设备的记录以标识网络605上已知的和未知的设备的之前未标识的地址信息。例如,在图6E的示例中,可以采用间接类型的传感器来查询托管一个或多个网络服务的网络管理服务器645的数据结构(诸如数据库),网络服务诸如DHCP服务器、入侵检测系统(IDS)系统或在其操作的过程中在由网络管理服务器645管理的数据结构中记录网络605中的设备的地址信息的其它服务器。在其它示例中,可以采用间接类型的传感器来查询由网络605中的网络元件650所维护的数据结构,诸如由如图6F中由路由器650或由网络605中的其它计算设备(包括网络元件)维护的MAC地址表。在任一实例中,由间接发现类型的传感器对网络605中的其它设备或网络元件的查询可以用来标识网络605中其它地址信息(例如,“地址8”)和相对应的设备(例如,设备625)。
间接类型的传感器可以查询源网络管理服务器(例如,645)或网络元件(例如,650)以获得包含由地址数据源(例如,645、650)收集的地址信息的数据结构的整体或子集。例如,在一些示例中,未过滤的数据集可以由资产检测引擎210的传感器响应于查询而返回,并由资产检测引擎210和/或资产管理系统205处理以标识资产管理系统205感兴趣的地址信息(例如,新的或者不同于资产储存库中所维护的地址信息的标识)。在其它情况中,资产检测引擎210的间接发现类型的传感器可以执行源网络管理服务器645的经过滤的查询,以例如返回来自网络管理服务器645的数据的子集,诸如最近由网络管理服务器645收集的数据、在特定时间段期间收集的数据等等。附加地,如在其它示例中,由资产检测引擎210的间接发现类型的传感器所执行的间接发现技术所收集的地址信息可以用作由其它传感器执行的其它发现任务的输入或催化剂,诸如DNS映射(例如,655)或如图6G和6H的示例中所示的可以用来发现其它属性和地址信息(例如,“地址9”、“地址10”)的其它任务。
转到图6H,除了执行被动发现和在一些情况中执行间接发现任务的链或系列(例如,根据可能的任务序列库中的一个特定任务序列使用被动传感器285)以发现新地址信息和相对应的网络设备(例如,610、615、620、625)之外,资产检测引擎210还可以利用由之前的被动发现任务发现的信息来接合主动发现传感器(例如280)以在所发现的设备610、615、620、625上执行主动发现任务(例如,进一步根据特定的所定义的任务序列)。在一些实现中,在没有目标设备的特定标识(例如,目标设备的IP地址)的情况下,主动发现传感器可能不能执行它的发现任务。因此,对特定设备的一个或多个地址的发现可以由资产检测引擎210的一个或多个主动发现传感器用来发现所发现的设备610、615、620、625的附加地址信息和属性。此外,资产管理系统205可以附加地标识扫描引擎和其它工具,它们可以使用所发现的设备610、615、620、625的地址信息执行对设备610、615、620、625的扫描并标识设备610、615、620、625的属性,包括设备610、615、620、625的类型、硬件、外设、操作系统、脆弱性、软件安装等等,以及其它示例。
作为示例,在图6H中,资产检测引擎210的一个或多个主动发现传感器可以使用所发现的地址信息(例如,“地址1”)来执行附加发现任务(例如,660、665、670、675)和获得对应的设备610、615、620、625以及网络605上的其它设备或实体(例如,人员和应用)的附加地址信息和/或属性。主动发现传感器可以根据之前收集的地址信息标识设备610、615、620、625并向设备610、615、620、625发送分组并探测设备对分组的相应响应,以便标识诸如设备上活动的端口、设备的操作系统、设备使用的协议、设备提供的服务等等的信息。在一些情况中,资产检测引擎210的一个或多个主动发现传感器对设备610、615、620、625的直接探测可以并行执行。此外,资产管理系统可以指导资产检测引擎210关于将由传感器执行的探测的类型以及将探测的设备。然后可以检索包括从探测检索的地址信息的附加设备信息并将其传送给资产管理系统以进一步补充和改善它的资产储存库,从而允许所探测到的设备的人员和应用被标识、设备(和其它系统实体)被标记或以其它方式分组、将安全策略分配给它们以及基于使用一个或多个资产检测引擎(和扫描引擎,在一些实现中)发现的属性执行附加的安全任务。
图7A-7C是示出了利用计算环境中的发现技术的示例技术的简化流程图700a-c。例如,在图7A的示例中,网络中的特定计算设备的地址信息可以使用安装在采用刀片架构的可插入式资产检测引擎上的第一可插入式传感器来标识705。第一传感器可以采用被动发现技术来标识地址信息。地址信息可以包括特定计算设备的IPv4地址、IPv6地址、MAC地址等。安装在同一资产检测引擎上的第二可插入式传感器可以用来标识210特定计算设备的附加地址信息。第二传感器也可以采用被动发现技术,或者可以是主动发现传感器,在任一情况中都补充对特定计算设备使用第一传感器发现的地址信息。附加地,第二传感器可以响应于第一传感器标识705地址信息来执行发现任务。例如,可以利用当使用第一传感器发现地址信息的时候触发第二传感器的动作的经定义的任务序列。在其它情况中,当第一传感器没有成功发现使用资产检测引擎的可插入式传感器标识和收集的地址信息时可以采取其它动作,这些信息传送215给资产管理系统,以供例如与在由资产管理系统维护的资产储存库中描述的特定计算设备关联、由资产管理系统在标记特定计算设备和以其它方式向特定计算设备分配(和实施)安全策略(和代其实施安全策略)时使用,以及其它示例。
转向图7B的流程图700b,特定系统实体可以在定义计算环境中的系统实体之间的特定关系集的分层资产储存库中标识720。特定标记可以被分配给包括在资产储存库中的特定系统实体的记录。标记可以由用户分配725或者由资产管理系统例如结合标识特定系统实体的一个或多个属性和基于所标识的属性的一个或多个应用标记则来自动地分配725。这样的属性可以由与资产管理系统通信的资产检测引擎和扫描引擎中之一或两者标识。标记特定的系统实体可以使得特定的安全策略基于标记的分配725与特定的系统实体相关联。实际上,所分配的特定安全策略可以应用到或者关联730到包括至少包括该标记的特定标记集的系统实体集。在一些情况中,可以基于用单个特定标记或特定的标记组合(例如,仅向具有组合中的每一个标记的实体应用安全策略)标记系统实体来将安全策略应用到系统实体。在其它情况中,标记集可以包括替换标记,因为任何分配了任何特定标记集中的任何一个标记的系统实体将具有与系统实体相关联并应用到系统实体的相关联的安全策略。
转到图7C的流程图700c,可以构建Pv6地址的储存库以由此帮助标识和扫描采用IPv6寻址的设备和网络。这样的储存库可以为特定计算环境开发,诸如特定企业或组织的计算环境,或者储存库可以开发为试图捕捉在许多网络(包括跨因特网)中使用的所有IPv6地址。例如,储存库可以用来标识可以扫描或探测以求附加的属性的特定设备和发现附加的系统实体,诸如计算设备上的特定应用、计算设备的用户等等。网络中的特定计算设备的IPv6地址可以使用被动发现传感器来标识740。被动发现传感器可以是例如潜在类型的发现传感器、基于事件的发现传感器或间接类型的发现传感器,并且在一些实现中可以是适于包括在资产检测引擎的可扩展的刀片式架构的可插入式传感器。可以使得第二发现任务使用所标识的IPv6地址来执行745。第二发现任务可以由同一个被动发现传感器、另一个被动发现传感器(诸如地址映射传感器)、或主动发现传感器以及其它示例来执行。在一些情况中,可以使得第二发现任务响应于例如结合所定义的任务序列的IPv6地址的标识740而执行。特定计算设备的附加属性可以根据第二发现任务的结果而标识,包括附加的IPv6地址和非地址属性。IPv6地址和附加属性可以添加到资产储存库,在一些情况中表示第一地址信息和特定设备在网络上存在的证据。
尽管以某些实现和一般相关联的方法描述了本公开,但这些实现的更改和替换应对本领域技术人员是显而易见的。例如,此处所描述的动作可以是以不同于所描述的次序执行的并仍然达到想要的结果。作为一个示例,附图中描绘的过程不必要求所示的特定次序、或顺序次序来达到所想要的结果。所示出的系统和工具可以类似地采用替换性的架构、组件和模块来达到类似的结果和功能。例如,在某些实现中,多任务并行处理和基于云的解决方案可能是有利的。在一个替换性系统或工具中,简化的移动通信设备的无线认证功能可以用在可移除的存储设备诸如便携式硬盘驱动器、拇指型驱动器等等之上。在这样的实例中,可移除的存储设备可以缺乏用户接口但拥有无线访问功能诸如蓝牙以用于在短范围网络上连接到协作的计算设备,并将认证数据在短范围网络上共享给协作的计算设备以向一个或多个协作计算设备认证无线、便携式存储设备的持有者,从而允许用户既获得通过无线存储设备对协作计算设备的访问又使用经认证协作的计算设备访问、消耗和修改存储在硬盘驱动器上的数据。其它系统和工具也可以使用本公开的原则。附加地,可以支持多样的用户接口布局和功能。其它变化也在权利要求的范围之内。
本说明书中所描述的主题和操作的各实施例可以以数字电子电路、或以包括本说明书中所公开的结构和其结构等效方案的计算机软件、固件或硬件、或以它们中的一个或多个的组合来实现。本说明书中所描述的主题的各实施例可以实现为一个或多个计算机程序,即一个或多个编码于计算机存储介质之上用于由数据处理装置执行或控制数据处理装置的操作的计算机程序指令模块。替换性地或附加地,程序指令可以在人工生成的传播信号上编码,传播信号例如用于编码信息以传输到合适的接收器装置供数据处理装置执行而生成的机器生成的电子、光学或电磁信号。计算机存储介质可以是或被包括于,计算机可读存储设备、计算机可读存储基座、随机或顺序访问存储器阵列或设备、或它们中的一个或多个的组合。此外,尽管计算机存储介质不是传播信号,但计算机存储介质可以是用人工生成的传播信号编码的计算机程序指令的源或目的地。计算机存储介质还可以是或被包括于一个或多个独立的物理组件或介质(例如,多个CD、盘或其它存储设备),包括分布式软件环境或云计算环境。
网络——包括核心和包括无线访问网络的访问网络——可以包括一个或多个网络元件。网络元件可以涵盖各种类型的路由器、交换机、网关、桥、负载平衡器、防火墙、服务器、工作站、在线服务节点、代理、处理器、模块或任何其它合适的可操作来在网络环境中交换信息的设备、组件、元件或对象。网络元件可包括适合的处理器、存储器元件、硬件和/或软件以支持(或以其它方式执行)与使用处理器用于过滤管理功能相关联的活动,如此处略述的。而且,网络元件可包括任何合适的促进其操作的组件、模块、接口或对象。这可包括允许数据或信息的有效交换的适合的算法和通信协议。
本说明书中所描述的各操作可以实现为由数据处理装置在存储在一个或多个计算机可读存储设备上的或从其它源接收的数据上执行的操作。术语“数据处理装置”、“处理器”、“处理设备”和“计算设备”可以涵盖用于处理数据的各种装置、设备和机器,作为示例包括可编程处理器、计算机、片上系统、或前述多个、或前述的组合。装置可以包括通用或专用逻辑电路,例如中央处理单元(CPU)、齿片、专用集成电路(ASIC)或场可编程门阵列(FPGA)以及其它合适的选项。尽管将一些处理器和计算设备描述和/或示为的那个处理器,但根据所关联的服务器的特定需求可使用多个处理器。对单个处理器的参考旨在当适用时包括多个处理器。一般地,处理器执行指令和操纵数据来执行某些操作。除了硬件之外,装置也可以包括为所述计算机程序创造执行环境的代码,例如构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或它们中的一个或多个的组合的代码。装置和执行环境可以实施各种不同的计算模型基础架构,诸如web服务、分布式计算和网格计算基础架构。
计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)程序或代码)可以以任何形式的编程语言,包括编译或解释语言、声明性或过程化语言撰写,并能以任何形式部署,包括作为独立程序或作为模块、组件、子例程、对象或其它适于在计算环境中使用的单元。例如,计算机程序可包括计算机可读执行、固件、连线的或编程的硬件、或其在当被运行时至少执行此处所描述的过程和操作的有形介质上的任何组合。计算机程序可以但不需要相对应于文件系统中的文件。程序可以保存在保持其它程序或数据的文件的一部分中(例如,存储在标记语言文档中的一个或多个脚本)、在专用于所述程序的单个文件中、或者多个协调的文件中(例如存储一个或多个模块、子程序或代码部分的文件)。计算机程序可被部署为在一个计算机或位于一个站上或跨多个站分布并由通信网络互连的多个计算机上执行。
程序可以实现为通过各种对象、方法或其它过程实现各种特征和功能的个别模块,或相反可包括多个子模块、第三方服务、组件、库等等,只要合适。相反,各种组件的特征和功能可以组合进单个组件,只要合适。在某些情况中,程序和软件系统可以实现为复合宿主的应用。例如,复合应用的部分可实现为Enterprise Java Beans(EJB)或者设计时的组件可有生成不同平台的运行时实现的能力,平台诸如Java 2平台企业版本(J2EE)、高级企业应用编程(ABAP)对象或Microsoft.Net以及其它。附加地,应用可以标识经由网络(例如,通过因特网)访问和执行的基于web的应用。而且,一个或多个与特定宿主的应用或服务相关联的过程可以远程地被存储、引用或执行。例如,特定宿主的应用或服务的一部分可与被远程调用的应用相关联,而宿主的应用的另一部分可以是捆绑了以供在远程客户端处理的接口对象或代理。而且,所宿主的应用和软件服务的任一或全部可以是另一软件模块或企业应用(未示出)的孩子或子模块而不偏离本公开的范围。更且,所宿主的应用的部分可以由直接在宿主应用的服务器上以及远程地在客户端工作的用户执行。
本说明书中所描述的过程和逻辑流可以由一个或多个可编程处理器执行,处理器通过在输入数据上操作和生成输出而执行一个或多个计算机程序以执行动作。过程和逻辑流还可以通过专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以被实现为专用逻辑线路。
适于计算机程序的执行的处理器包括,作为示例,通用和专用微处理器二者以及任何种类的数字计算机的任意一个或多个处理器。一般地,处理器接收来自只读存储器或随机存取存储器或二者的指令和数据。计算机的基本元素是用于根据指令执行动作的处理器和用于存储指令和数据的一个或多个存储器设备。一般地,计算机还会包括一个或多个大容量存储设备,例如,磁性、磁光盘、或光盘,或被操作地耦合以接收来自该一个或多个大容量存储设备的数据或将数据传送到该一个或多个大容量存储设备以供存储数据,或两者。然而计算机不需要有这样的设备。而且,计算机可以嵌入在另一设备中,例如,仅举几个例子,移动电话、个人数字助理(PDA)、平板计算机、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器、或便携存储设备(例如通用串行总线(USB)闪盘)。适于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,包括,作为示例,半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内置硬盘或可移动盘;磁光盘;以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或被合并到专用逻辑电路中。
为了提供与用户的交互,在本说明书中描述的主题的实施例可以在有显示设备例如阴极射线管(CRT)或液晶显示器(LCD)监视器)用于向用户显示信息以及用户能借此向计算机提供输入的键盘和定点设备例如,鼠标或追踪球的计算机上实现。其他类型的设备也能被用以提供与用户的交互;例如,向用户提供的反馈可以是任何形式的传感反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入能以任何形式接收,包括声音、语音或触觉输入。而且,计算机可以通过向设备发送文档和从设备接收文档来与用户交互,设备包括由用户使用的远程设备。
本说明书中所描述的主题的实施例可以在包括后端组件(例如,作为数据服务器)的计算系统中实现、或可在包括中间件组件(例如,应用服务器)的计算系统中实现、或可在包括前端组件(例如,具有用户通过其可以与本声明书中所描述的主题的实现交互的图形用户界面或Web浏览器的客户计算机)的计算系统中实现、或可在包括这样的后端、中间软件层或前端组件的任意组合的计算系统中实现。系统的组件可以通过数字数据通信的任何形式或介质(例如,通信网络)相互连接。通信网络的示例包括任何内部或外部的网络、众网络、子网或其可操作来促进系统中的各种计算组件之间的通信的组合。网络可以在网络地址之间通信例如因特网协议(IP)分组、帧中继(FR)帧、异步传输模式(ATM)单元、语言、视频、数据和其它合适的信息。网络也可包括一个或多个局域网(LAN)、无线电接入网络(RAN)、城域网(MAN)、广域网(WAN)、因特网的全部或部分、对等网络(例如,自组织对等网络)和/或任何其它在一个或多个地点的通信系统或众系统。
计算系统可以包括客户端和服务器。客户端和服务器一般互相远程并通常通过通信网络交互。客户端和服务器的关系通过运行在相应的计算机上并互相具有客户端-服务器关系的计算机程序来提升。在一些实施例中,服务器向客户端设备传输(例如,为了向与客户端设备交互的用户显示数据和接收用户输入的目的)数据(例如,HTML页面)。在客户端设备生成的数据(例如,用户交互的结果)可以在服务器上从客户端设备接收。
尽管本说明书包含许多具体实现细节,但这些不应被解释为任何发明或任何将被声明的内容的范围的限制,而是特定于特定发明的特定实施例的特征的描述。本说明书中在独立实施例的上下文中所描述的某些特征也可以组合在单个实施例中实现。相反,在单个实施例的上下文中所描述的各种特征也可以在多个实施例中独立地或在任何合适的子组合中实现。而且,尽管以上可以将特征描述为在某些组合中操作或甚至初始声明为如此,来自所声明的组合的一个或多个特征也可以在一些情况下从组合中删去,且所声明的组合可以被导向子组合或子组合的变体。
类似地,尽管各操作在图中以特定次序描绘,这不应被理解为要求以所示的特定次序或以顺序次序来执行这样的操作、或执行所有示出的操作以达到所要求的结果。在某些情况下,多任务和并行处理可以是有利的。而且,以上描述的各实施例中各种系统组件的独立不应被理解为在所有实施例中要求这样的独立,且应理解所描述的程序组件和系统可以基本整合进单个软件产品或封装进多个软件产品。
因此,描述了所述主题的特定实施例。其它实施例也在权利要求的范围之内。在一些情况中,权利要求中所述的动作可以以不同的次序执行而仍达到所需要的结果。另外,附图中描绘的过程不必要求所示的特定次序、或顺序次序来达到所需要的结果。
Claims (23)
1.一种方法,所述方法包括:
标识在资产储存库中描述的多个系统实体,所述资产储存库定义计算环境中所述多个系统实体的特定分层组织;
用特定标记来标记所述多个系统实体中的特定系统实体;
基于用所述特定标记来标记述特定系统实体,将所述特定系统实体与特定安全策略相关联,其中所述特定安全策略被应用于所述资产储存库中、用包括所述特定标记的特定标记集中的一个或多个标记来标记的系统实体。
2.如权利要求1所述的方法,其特征在于,用所述特定标记来标记所述资产储存库中、包括所述特定系统实体在内的两个或多个系统实体,所述方法还包括定义所述两个或多个系统实体之间的关联。
3.如权利要求2所述的方法,其特征在于,所述关联不同于在所述特定分层组织中定义的关联。
4.如权利要求1所述的方法,其特征在于,还包括标识特定系统实体的一个或多个属性,其中所述特定系统实体是至少部分地基于所述一个或多个所标识的属性用所述特定标记来标记的。
5.如权利要求4所述的方法,其特征在于,所述一个或多个属性是用一个或多个部署在所述计算环境中的资产检测引擎标识的。
6.如权利要求5所述的方法,其特征在于,所述资产检测引擎是包括一组可插入式发现传感器的可插入式资产检测引擎,其中所述可插入式发现传感器使得能够由所述资产检测引擎标识所述属性。
7.如权利要求6所述的方法,其特征在于,所述可插入式发现传感器包括一个或多个适于在不需要与所述特定系统实体通信的情况下标识所述特定系统实体的属性的被动发现传感器。
8.如权利要求7所述的方法,其特征在于,所述可插入式发现传感器还包括适于向所述特定系统实体发送数据并监视所述特定系统实体对所发送的数据的响应的主动发现传感器。
9.如权利要求7所述的方法,其特征在于,所述被动发现传感器包括潜在式类型的发现传感器、基于事件的发现传感器和间接类型的发现传感器中的至少一种。
10.如权利要求4所述的方法,其特征在于,所述属性可以包括所述特定系统实体的地址信息、操作系统、活动端口和应用中的至少一种。
11.如权利要求1所述的方法,其特征在于,所述标记是由用户执行的。
12.如权利要求1所述的方法,其特征在于,所述多个系统实体中的每一个系统实体是包括网络类型的实体、系统类型的实体、人员类型的实体和应用类型的实体的集合中的一种类型。
13.如权利要求12所述的方法,其特征在于,所述特定分层组织将系统类型的实体定义为网络类型的实体的孩子,将人员类型的实体定义为系统类型的实体的孩子,并将应用类型的实体定义为系统类型的实体的孩子。
14.如权利要求12所述的方法,其特征在于,所述特定标记是类型专用的标记。
15.如权利要求12所述的方法,其特征在于,不同类型的实体可以用所述特定标记来标记。
16.如权利要求1所述的方法,其特征在于,应用所述特定安全策略包括使得特定安全策略对用所述特定标记集中的一个或多个来标记的系统实体中的每一个实施。
17.如权利要求16所述的方法,其特征在于,所述特定安全策略是使用所述特定系统实体上的代理在所述特定系统实体上实施的。
18.如权利要求16所述的方法,其特征在于,所述特定安全策略是使用远程于所述特定系统实体的网络安全组件对所述特定系统实体实施的。
19.如权利要求18所述的方法,其特征在于,所述网络安全组件包括所述计算环境的防火墙、web网关、邮件网关、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、反恶意软件工具、数据丢失保护(DLP)工具、系统脆弱性管理器、系统策略顺从性管理器、资产关键性工具和安全信息管理(SIM)工具中的至少一个。
20.如权利要求1所述的方法,其特征在于,应用所述特定安全策略包括使得补丁在用所述特定标记集中的一个或多个来标记的系统实体中的每一个上被下载。
21.编码在非瞬态介质中的逻辑,所述逻辑包括用于执行且当由处理器执行时可操作来执行操作的代码,所述操作包括:
标识在资产储存库中描述的多个系统实体,所述资产储存库定义计算环境中所述多个系统实体的特定分层组织;
用特定标记来标记所述多个系统实体中的特定系统实体;
基于用所述特定标记来标记所述特定系统实体,将所述特定系统实体与特定安全策略相关联,其中所述特定安全策略被应用到所述资产储存库中用包括所述特定标记的特定标记集中的一个或多个标记来标记的系统实体。
22.一种系统,所述系统包括:
至少一个处理器设备;
至少一个存储器元件;以及
资产管理系统,当由所述至少一个处理器设备执行时适于:
标识在资产储存库中描述的多个系统实体,所述资产储存库定义计算环境中所述多个系统实体的特定分层组织;
用特定标记来标记所述多个系统实体中的特定系统实体;
基于用所述特定标记来标记所述特定系统实体,将所述特定系统实体与特定安全策略相关联,其中所述特定安全策略被应用到所述资产储存库中、用包括所述特定标记的特定标记集中的一个或多个标记来标记的系统实体。
23.如权利要22所述的系统,其特征在于,还包括包含可插入式发现传感器集的可插入式资产检测引擎,所述可插入式资产检测引擎在由所述至少一个处理器设备执行时适于:
使用所述发现传感器集中的第一可插入式发现传感器标识所述特定系统实体的属性;以及
将所述特定属性的标识发送给所述资产管理系统,其中标记所述特定系统实体是至少部分地基于所标识的属性的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/444,281 | 2012-04-11 | ||
| US13/444,281 US8955036B2 (en) | 2012-04-11 | 2012-04-11 | System asset repository management |
| PCT/US2013/036239 WO2013155344A1 (en) | 2012-04-11 | 2013-04-11 | System asset repository management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104205773A true CN104205773A (zh) | 2014-12-10 |
| CN104205773B CN104205773B (zh) | 2018-06-22 |
Family
ID=49326311
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380016950.7A Active CN104205773B (zh) | 2012-04-11 | 2013-04-11 | 系统资产储存库管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8955036B2 (zh) |
| EP (1) | EP2837159B1 (zh) |
| CN (1) | CN104205773B (zh) |
| WO (1) | WO2013155344A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637019A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种网络监测方法 |
| CN113225234A (zh) * | 2021-07-08 | 2021-08-06 | 鹏城实验室 | 资产探测方法、装置、终端设备以及计算机可读存储介质 |
Families Citing this family (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8903973B1 (en) | 2008-11-10 | 2014-12-02 | Tanium Inc. | Parallel distributed network management |
| US9516451B2 (en) | 2012-04-10 | 2016-12-06 | Mcafee, Inc. | Opportunistic system scanning |
| US8799482B1 (en) | 2012-04-11 | 2014-08-05 | Artemis Internet Inc. | Domain policy specification and enforcement |
| US9049207B2 (en) | 2012-04-11 | 2015-06-02 | Mcafee, Inc. | Asset detection system |
| US8955036B2 (en) | 2012-04-11 | 2015-02-10 | Mcafee, Inc. | System asset repository management |
| US9106661B1 (en) | 2012-04-11 | 2015-08-11 | Artemis Internet Inc. | Computing resource policy regime specification and verification |
| US9083727B1 (en) | 2012-04-11 | 2015-07-14 | Artemis Internet Inc. | Securing client connections |
| US8954573B2 (en) | 2012-04-11 | 2015-02-10 | Mcafee Inc. | Network address repository management |
| US9264395B1 (en) * | 2012-04-11 | 2016-02-16 | Artemis Internet Inc. | Discovery engine |
| US8990392B1 (en) | 2012-04-11 | 2015-03-24 | NCC Group Inc. | Assessing a computing resource for compliance with a computing resource policy regime specification |
| US11172470B1 (en) | 2012-12-21 | 2021-11-09 | Tanium Inc. | System, security and network management using self-organizing communication orbits in distributed networks |
| US9246977B2 (en) | 2012-12-21 | 2016-01-26 | Tanium Inc. | System, security and network management using self-organizing communication orbits in distributed networks |
| US9088541B2 (en) | 2013-05-31 | 2015-07-21 | Catbird Networks, Inc. | Systems and methods for dynamic network security control and configuration |
| US9912549B2 (en) | 2013-06-14 | 2018-03-06 | Catbird Networks, Inc. | Systems and methods for network analysis and reporting |
| US11196636B2 (en) | 2013-06-14 | 2021-12-07 | Catbird Networks, Inc. | Systems and methods for network data flow aggregation |
| US9769174B2 (en) | 2013-06-14 | 2017-09-19 | Catbird Networks, Inc. | Systems and methods for creating and modifying access control lists |
| JP6213038B2 (ja) * | 2013-08-16 | 2017-10-18 | 富士通株式会社 | 情報処理システム、情報処理システムの制御方法および制御装置の制御プログラム |
| US9779261B2 (en) | 2013-09-20 | 2017-10-03 | Oracle International Corporation | Entity security implied by an asset in a repository system |
| US9769037B2 (en) | 2013-11-27 | 2017-09-19 | Tanium Inc. | Fast detection and remediation of unmanaged assets |
| US9667738B2 (en) | 2014-03-24 | 2017-05-30 | Tanium Inc. | Local data caching for data transfers on a network of computational devices |
| US9769275B2 (en) | 2014-03-24 | 2017-09-19 | Tanium Inc. | Data caching and distribution in a local network |
| US10873645B2 (en) | 2014-03-24 | 2020-12-22 | Tanium Inc. | Software application updating in a local network |
| US9672489B1 (en) * | 2014-04-02 | 2017-06-06 | Sprint Communications Company L.P. | Inventory validator with notification manager |
| EP3238407A4 (en) | 2014-09-05 | 2018-08-15 | Catbird Networks, Inc. | Systems and methods for creating and modifying access control lists |
| US9641547B2 (en) * | 2014-12-13 | 2017-05-02 | Security Scorecard, Inc. | Entity IP mapping |
| US9438560B2 (en) * | 2014-12-31 | 2016-09-06 | Symantec Corporation | Systems and methods for automatically applying firewall policies within data center applications |
| US9910752B2 (en) | 2015-04-24 | 2018-03-06 | Tanium Inc. | Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network |
| US11461208B1 (en) | 2015-04-24 | 2022-10-04 | Tanium Inc. | Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network |
| US10135871B2 (en) * | 2015-06-12 | 2018-11-20 | Accenture Global Solutions Limited | Service oriented software-defined security framework |
| CN105045595A (zh) * | 2015-07-31 | 2015-11-11 | 百度在线网络技术(北京)有限公司 | 一种集成插件的方法和装置 |
| US10389742B2 (en) * | 2015-10-21 | 2019-08-20 | Vmware, Inc. | Security feature extraction for a network |
| US10372904B2 (en) | 2016-03-08 | 2019-08-06 | Tanium Inc. | Cost prioritized evaluations of indicators of compromise |
| US10929345B2 (en) | 2016-03-08 | 2021-02-23 | Tanium Inc. | System and method of performing similarity search queries in a network |
| US10498744B2 (en) | 2016-03-08 | 2019-12-03 | Tanium Inc. | Integrity monitoring in a local network |
| US11372938B1 (en) | 2016-03-08 | 2022-06-28 | Tanium Inc. | System and method for performing search requests in a network |
| US11886229B1 (en) | 2016-03-08 | 2024-01-30 | Tanium Inc. | System and method for generating a global dictionary and performing similarity search queries in a network |
| US11609835B1 (en) | 2016-03-08 | 2023-03-21 | Tanium Inc. | Evaluating machine and process performance in distributed system |
| US11153383B2 (en) | 2016-03-08 | 2021-10-19 | Tanium Inc. | Distributed data analysis for streaming data sources |
| US10282699B2 (en) | 2016-06-14 | 2019-05-07 | International Business Machines Corporation | Self-organizing software scan scheduling based on neural network cognitive classification |
| US20190124153A1 (en) * | 2016-06-16 | 2019-04-25 | Center Of Human-Centered Interaction For Coexistence | Data processing device and method for data sharing among multiple users, and computer program |
| US10853902B2 (en) * | 2016-06-24 | 2020-12-01 | Chromera, Inc. | Agents and systems for right's management |
| US10205736B2 (en) | 2017-02-27 | 2019-02-12 | Catbird Networks, Inc. | Behavioral baselining of network systems |
| US11429410B2 (en) * | 2017-05-09 | 2022-08-30 | Vmware, Inc. | Tag based firewall implementation in software defined networks |
| US10824729B2 (en) | 2017-07-14 | 2020-11-03 | Tanium Inc. | Compliance management in a local network |
| US11023812B2 (en) | 2017-08-28 | 2021-06-01 | Bank Of America Corporation | Event prediction and impact mitigation system |
| US10594735B2 (en) * | 2017-09-28 | 2020-03-17 | At&T Intellectual Property I, L.P. | Tag-based security policy creation in a distributed computing environment |
| US10341841B2 (en) * | 2017-10-02 | 2019-07-02 | Servicenow, Inc. | Operation of device and application discovery for a managed network |
| CN108121658B (zh) * | 2017-11-29 | 2020-11-20 | 北京轩宇信息技术有限公司 | 基于windows端测试工具测试linux端被测软件的方法 |
| US11343355B1 (en) | 2018-07-18 | 2022-05-24 | Tanium Inc. | Automated mapping of multi-tier applications in a distributed system |
| US10841365B2 (en) | 2018-07-18 | 2020-11-17 | Tanium Inc. | Mapping application dependencies in a computer network |
| CN110400221B (zh) * | 2018-09-29 | 2021-09-10 | 腾讯科技(深圳)有限公司 | 数据处理方法、系统、存储介质及计算机设备 |
| EP3799383A1 (en) | 2019-09-30 | 2021-03-31 | AO Kaspersky Lab | System and method for using inventory rules to identify devices of a computer network |
| RU2746101C2 (ru) | 2019-09-30 | 2021-04-07 | Акционерное общество "Лаборатория Касперского" | Система и способ определения устройств компьютерной сети с использованием правил инвентаризации |
| WO2021080283A1 (en) | 2019-10-25 | 2021-04-29 | Samsung Electronics Co., Ltd. | Methods and systems for determining icn capability of a node/server |
| US11831670B1 (en) | 2019-11-18 | 2023-11-28 | Tanium Inc. | System and method for prioritizing distributed system risk remediations |
| US11418395B2 (en) * | 2020-01-08 | 2022-08-16 | Servicenow, Inc. | Systems and methods for an enhanced framework for a distributed computing system |
| US11563764B1 (en) | 2020-08-24 | 2023-01-24 | Tanium Inc. | Risk scoring based on compliance verification test results in a local network |
| CN112202629B (zh) * | 2020-09-11 | 2023-08-25 | 智网安云(武汉)信息技术有限公司 | 一种网络资产监控方法及一种网络资产监控装置 |
| CN113259197A (zh) * | 2021-05-13 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种资产探测方法、装置及电子设备 |
| CN115706708A (zh) * | 2021-08-06 | 2023-02-17 | 中兴通讯股份有限公司 | 信息验证方法及装置、存储介质和电子装置 |
| CN115277826A (zh) * | 2022-05-23 | 2022-11-01 | 深圳铸泰科技有限公司 | 一种物联网设备的发现方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070113287A1 (en) * | 2004-11-17 | 2007-05-17 | Steven Blumenau | Systems and Methods for Defining Digital Asset Tag Attributes |
| US7299504B1 (en) * | 2002-03-08 | 2007-11-20 | Lucent Technologies Inc. | System and method for implementing security management using a database-modeled security policy |
| US20080284569A1 (en) * | 2007-05-17 | 2008-11-20 | Oracle International Corporation | Guaranteed RFID Event Delivery |
| CN101583940A (zh) * | 2006-01-17 | 2009-11-18 | 基达罗(以色列)有限公司 | 多计算环境的无缝集成 |
| US20120030241A1 (en) * | 2003-10-30 | 2012-02-02 | Peter Lupoli | Method and system for storing, retrieving, and managing data for tags |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6574737B1 (en) | 1998-12-23 | 2003-06-03 | Symantec Corporation | System for penetrating computer or computer network |
| US7003560B1 (en) * | 1999-11-03 | 2006-02-21 | Accenture Llp | Data warehouse computing system |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US20030018694A1 (en) | 2000-09-01 | 2003-01-23 | Shuang Chen | System, method, uses, products, program products, and business methods for distributed internet and distributed network services over multi-tiered networks |
| KR100376618B1 (ko) | 2000-12-05 | 2003-03-17 | 주식회사 싸이버텍홀딩스 | 에이전트 기반의 지능형 보안 시스템 |
| JP4491980B2 (ja) | 2001-03-05 | 2010-06-30 | ソニー株式会社 | 通信処理システム、通信処理方法、および通信端末装置、並びにプログラム |
| JP4572476B2 (ja) | 2001-03-13 | 2010-11-04 | ソニー株式会社 | 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム |
| US7152105B2 (en) | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| AU2003275297A1 (en) * | 2002-09-27 | 2004-04-23 | Hill-Rom Services, Inc. | Universal communications, monitoring, tracking, and control system for a healthcare facility |
| US20040093408A1 (en) | 2002-11-08 | 2004-05-13 | Hirani Harikrishin W. | IT asset tracking system |
| CA2507529C (en) | 2002-11-27 | 2011-03-08 | Research In Motion Limited | Data transfer from a host server via a tunnel server to a wireless device, and associating a temporary ipv6 address with a temporary ipv4 address for communicating in an ipv4 wireless network with the device |
| KR20040046431A (ko) | 2002-11-27 | 2004-06-05 | 삼성전자주식회사 | IPv6 주소를 이용하여 디바이스를 식별하는 방법 |
| US7243147B2 (en) * | 2002-12-30 | 2007-07-10 | Bellsouth Ip Corporation | Systems and methods for the detection and management of network assets |
| US20040193918A1 (en) | 2003-03-28 | 2004-09-30 | Kenneth Green | Apparatus and method for network vulnerability detection and compliance assessment |
| US7346922B2 (en) | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
| US20070180490A1 (en) * | 2004-05-20 | 2007-08-02 | Renzi Silvio J | System and method for policy management |
| WO2007089217A2 (en) | 2004-11-05 | 2007-08-09 | Kabushiki Kaisha Toshiba | Network discovery mechanisms |
| US20060161444A1 (en) * | 2005-01-18 | 2006-07-20 | Microsoft Corporation | Methods for standards management |
| US7941489B2 (en) | 2005-01-24 | 2011-05-10 | Daniel Measurement And Control, Inc. | Method and system of determining a hierarchical structure |
| US20070050467A1 (en) | 2005-04-06 | 2007-03-01 | Chris Borrett | Digital asset management system, including customizable metadata model for asset cataloging and permissioning of digital assets, such as for use with digital images and songs |
| US8331263B2 (en) | 2006-01-23 | 2012-12-11 | Microsoft Corporation | Discovery of network nodes and routable addresses |
| KR100728040B1 (ko) | 2006-04-28 | 2007-06-13 | 삼성전자주식회사 | IPv6 유니크 로컬 주소 생성 방법 및 장치 |
| US7929535B2 (en) | 2006-07-07 | 2011-04-19 | Qualcomm Incorporated | Geolocation-based addressing method for IPv6 addresses |
| US8752045B2 (en) * | 2006-10-17 | 2014-06-10 | Manageiq, Inc. | Methods and apparatus for using tags to control and manage assets |
| KR100951144B1 (ko) | 2007-10-19 | 2010-04-07 | 한국정보보호진흥원 | 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법 |
| US20090138583A1 (en) * | 2007-11-28 | 2009-05-28 | Childress Rhonda L | Method and apparatus for generating statistics on information technology service management problems among assets |
| EP2151142B1 (en) | 2008-06-02 | 2011-11-02 | Media Patents, S. L. | Methods and apparatus for sending data packets to and from mobile nodes |
| US20100064362A1 (en) | 2008-09-05 | 2010-03-11 | VolPshield Systems Inc. | Systems and methods for voip network security |
| US8392567B2 (en) | 2009-03-16 | 2013-03-05 | International Business Machines Corporation | Discovering and identifying manageable information technology resources |
| US8140669B2 (en) | 2009-08-31 | 2012-03-20 | International Business Machines Corporation | Resolving hostnames on a private network with a public internet server |
| US8719450B2 (en) | 2011-10-31 | 2014-05-06 | Cable Television Laboratories, Inc. | Internet protocol (IP) address translation |
| US8954573B2 (en) | 2012-04-11 | 2015-02-10 | Mcafee Inc. | Network address repository management |
| US8955036B2 (en) | 2012-04-11 | 2015-02-10 | Mcafee, Inc. | System asset repository management |
| US9049207B2 (en) | 2012-04-11 | 2015-06-02 | Mcafee, Inc. | Asset detection system |
-
2012
- 2012-04-11 US US13/444,281 patent/US8955036B2/en active Active
-
2013
- 2013-04-11 CN CN201380016950.7A patent/CN104205773B/zh active Active
- 2013-04-11 EP EP13775380.2A patent/EP2837159B1/en active Active
- 2013-04-11 WO PCT/US2013/036239 patent/WO2013155344A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7299504B1 (en) * | 2002-03-08 | 2007-11-20 | Lucent Technologies Inc. | System and method for implementing security management using a database-modeled security policy |
| US20120030241A1 (en) * | 2003-10-30 | 2012-02-02 | Peter Lupoli | Method and system for storing, retrieving, and managing data for tags |
| US20070113287A1 (en) * | 2004-11-17 | 2007-05-17 | Steven Blumenau | Systems and Methods for Defining Digital Asset Tag Attributes |
| CN101583940A (zh) * | 2006-01-17 | 2009-11-18 | 基达罗(以色列)有限公司 | 多计算环境的无缝集成 |
| US20080284569A1 (en) * | 2007-05-17 | 2008-11-20 | Oracle International Corporation | Guaranteed RFID Event Delivery |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637019A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种网络监测方法 |
| CN112637019B (zh) * | 2020-12-30 | 2022-04-19 | 绿盟科技集团股份有限公司 | 一种网络监测方法 |
| CN113225234A (zh) * | 2021-07-08 | 2021-08-06 | 鹏城实验室 | 资产探测方法、装置、终端设备以及计算机可读存储介质 |
| CN113225234B (zh) * | 2021-07-08 | 2021-09-07 | 鹏城实验室 | 资产探测方法、装置、终端设备以及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130276053A1 (en) | 2013-10-17 |
| US8955036B2 (en) | 2015-02-10 |
| EP2837159A1 (en) | 2015-02-18 |
| WO2013155344A1 (en) | 2013-10-17 |
| EP2837159B1 (en) | 2018-11-28 |
| CN104205773B (zh) | 2018-06-22 |
| EP2837159A4 (en) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104205773A (zh) | 系统资产储存库管理 | |
| CN104205774B (zh) | 网络地址储存库管理 | |
| CN104272650A (zh) | 资产检测系统 | |
| CN104169937B (zh) | 机会系统扫描 | |
| US10284516B2 (en) | System and method of determining geographic locations using DNS services | |
| US9705995B2 (en) | Capability monitoring in a service oriented architecture | |
| Fabian et al. | Security challenges of the EPCglobal network | |
| Reinfurt et al. | Internet of things patterns for communication and management | |
| US11245623B2 (en) | Method and apparatus for collecting data in network communication using concealed user address | |
| CN108282786A (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 | |
| Kałaska et al. | Some security features of selected IoT platforms | |
| CN102867152B (zh) | 使用主动化身保护资源的系统和方法 | |
| Sooraj et al. | Naming services in the Internet of Things | |
| Fabian | Secure name services for the Internet of Things | |
| Dahbi | Supply Chain Discovery Services in an Internet of Things Environment | |
| Oliveira da Silva et al. | Towards service and user discovery on wireless networks | |
| Jain et al. | Data Communication and Information Exchange in Distributed IoT Environment: Issues and Their Solutions | |
| Patnaik et al. | Internet of Things-Based Security Model and Solutions for Educational Systems | |
| KR100431247B1 (ko) | 전자 게시판 운영 및 조회 시스템 | |
| Hegna | Visualizing spatial and temporal dynamics of a class of irc-based botnets | |
| Adigun | Reputation based Trust in Service-Oriented Network Environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: MCAFEE, Inc. Address before: California, USA Patentee before: Mcafee, Inc. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230529 Address after: California, USA Patentee after: MASA ROBRA USA LLC Address before: California, USA Patentee before: MCAFEE, Inc. |