CN110462623B - 用于基于角色的计算机安全配置的系统和方法 - Google Patents
用于基于角色的计算机安全配置的系统和方法 Download PDFInfo
- Publication number
- CN110462623B CN110462623B CN201880020915.5A CN201880020915A CN110462623B CN 110462623 B CN110462623 B CN 110462623B CN 201880020915 A CN201880020915 A CN 201880020915A CN 110462623 B CN110462623 B CN 110462623B
- Authority
- CN
- China
- Prior art keywords
- computing device
- client computing
- user
- processor
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Social Psychology (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种装置包括可操作地耦合到存储器的处理器。处理器检测安装在客户端计算设备上的软件应用和/或使用数据。检测到的使用数据与客户端计算设备的当前用户以及软件应用相关联。处理器基于软件应用和/或使用数据识别当前用户的用户角色。处理器基于用户角色将安全配置应用于客户端计算设备。安全配置限制当前用户对软件应用的一部分的访问。处理器将用户角色的标识符发送到管理服务器以存储在活动目录(AD)数据库中。
Description
相关申请的交叉引用
本申请要求于2017年2月27日提交的标题为“Systems and Methods toDetermine User Roles”的美国临时专利申请No.62/464222的权益,该申请的全部内容通过引用整体并入本文。
技术领域
本公开一般而言涉及计算机和计算机相关的技术。更具体而言,本公开涉及基于用户角色确定计算机安全配置的系统和方法。
背景技术
电子设备的使用在现代社会中已变得越来越普遍。随着电子设备的成本下降,并且随着电子设备的有用性增加,人们正在将它们用于各种各样的目的。例如,许多人使用电子设备来执行工作任务以及寻求娱乐。一种类型的电子设备是计算机。
计算机技术继续快速发展。通常使用的计算机包括从手持计算设备到大型多处理器计算机系统的所有设备。这些计算机包括软件(诸如包括用户界面的应用)以使这些计算机对最终用户有用和可访问。计算机越来越多地通过网络与其它计算机链接。随着计算机技术的扩展,网络的规模不断扩大。网络可以将相距很远的计算机链接在一起。
计算机安全对于维护安全且高效的网络是重要的。计算机安全的一部分是确定个体是什么类型的用户。相应地,利用例如基于软件特性和标记来确定用户的行为规范(behavior norm)的系统和方法可以实现益处。
发明内容
一种装置包括可操作地耦合到存储器的处理器。处理器检测安装在客户端计算设备上的软件应用和/或使用数据。检测到的使用数据与客户端计算设备的当前用户以及软件应用相关联。处理器基于软件应用和/或使用数据识别当前用户的用户角色。处理器基于用户角色将安全配置应用于客户端计算设备。安全配置限制当前用户对软件应用的一部分的访问。处理器将用户角色的标识符发送到管理服务器以存储在活动目录(ActiveDirectory,AD)数据库中。
附图说明
图1A是图示了根据一个实施例的用于用户行为确定和计算机安全实现的联网系统的框图。
图1B是图示了根据另一个实施例的用于用户行为确定和计算机安全实现的联网系统的框图。
图1C是图示了根据一个实施例的用于用户行为确定和计算机安全实现的方法的流程图。
图2是图示了根据另一个实施例的用于用户行为确定和计算机安全实现的方法的流程图。
图3是图示了根据另一个实施例的用于用户角色确定的方法的流程图。
图4是图示了根据一个实施例的用于用户行为确定和计算机安全实现的方法的流程图。
图5是图示了根据一个实施例的用于用户行为确定和计算机安全实现的联网系统的框图。
图6图示了根据一个实施例的用于用户行为确定和计算机安全实现的计算设备的框图。
具体实施方式
在一些实施例中,一种装置包括可操作地耦合到存储器的处理器。处理器和存储器可以位于客户端计算设备处或管理服务器处。处理器检测安装在客户端计算设备上的软件应用和/或使用数据。处理器可以例如基于软件使用日志或通过监视在预定时间段内客户端计算设备的当前用户的软件使用来检测使用数据。检测到的使用数据与客户端计算设备的当前用户以及软件应用相关联。处理器基于软件应用和/或使用数据识别当前用户的用户角色。处理器基于用户角色将安全配置应用于客户端计算设备。安全配置限制当前用户对软件应用的一部分的访问。例如通过发送编码有实现对客户端计算设备的安全配置的指令的信号,或者通过在客户端计算设备处实现安全配置,处理器可以应用安全配置。在一些实现中,处理器还可以从服务器接收编码有实现对客户端计算设备的安全配置的指令的信号。处理器可以将用户角色的标识符发送到管理服务器以存储在获得目录(AD)数据库中。处理器还可以基于当前用户的用户角色来识别客户端计算设备的当前用户的预期行为。
在一些实施例中,处理器还可以检测偏离客户端计算设备的当前用户的预期行为的客户端计算设备的当前用户的行为。响应于检测到行为的偏离,处理器可以向管理服务器发送警报。在其它实施例中,用户角色是第一用户角色,并且处理器还可以监视在预定时间段内客户端计算设备的当前用户的软件使用。然后,处理器基于所监视的软件使用来识别与第一用户角色不同的第二用户角色。在其它实施例中,处理器还可以基于用户角色和使用数据来识别客户端计算设备的当前用户的安全风险。
在一些实施例中,一种装置包括可操作地耦合到存储器的处理器。处理器识别安装在客户端计算设备上的软件应用和/或使用数据。处理器可以例如基于软件使用日志或通过监视在预定时间段内客户端计算设备的当前用户的软件使用来识别使用数据。识别出的使用数据与客户端计算设备的当前用户以及软件应用相关联。使用数据可以包括软件应用的使用频率、软件应用的特征的使用频率、尝试使用软件应用的被屏蔽特征的频率、软件应用的一组访问特征,和/或客户端计算设备的桌面的远程访问量。处理器基于软件应用和/或使用数据识别当前用户的用户角色。处理器基于用户角色预测客户端计算设备的当前用户的预期行为。处理器基于当前用户的预期行为来修改客户端计算设备处的当前用户的特权级别。特权级别与软件应用相关联。处理器将用户角色的标识符发送到管理服务器以存储在活动目录(AD)数据库中。
在一些实现中,软件应用是第一软件应用,并且处理器还识别安装在客户端计算设备上的第二软件应用。然后,处理器基于存储在存储器内的第一软件应用、第二软件应用和用户角色的标识符之间的关联来识别当前用户的用户角色。
在一些实施例中,一种方法包括在客户端计算设备处识别安装在客户端计算设备上的软件应用和/或使用数据。例如,基于软件使用日志或通过监视在预定时间段内客户端计算设备的当前用户的软件使用而生成使用数据,可以识别使用数据。识别出的使用数据与客户端计算设备的当前用户以及软件应用相关联。该方法还包括基于软件应用或使用数据识别当前用户的用户角色。该方法还包括基于用户角色识别当前用户的预期行为。该方法还包括基于当前用户的预期行为在客户端计算设备处应用设备控制策略。设备控制策略定义被授权设备,当被授权设备可操作地耦合(例如,无线耦合)到客户端计算设备时,客户端计算设备的当前用户可以访问该被授权设备。被授权设备可以是以下中的至少一个:通用串行总线(USB)设备、软盘驱动器、紧凑碟(CD)驱动器、打印机、相机、麦克风、计算机鼠标、键盘、扬声器等等。该方法还包括将识别出的用户角色发送到管理服务器。该方法还可以包括使存储在存储器中的用户记录与识别出的用户角色相关联。
在一些实现中,识别用户角色包括向管理服务器发送编码有查询的信号并从管理服务器接收对查询的响应。查询可以包括软件应用的指示符和使用数据。响应可以包括客户端计算设备的当前用户的用户角色的指示符。
在一些实施例中,识别使用数据包括向管理服务器发送编码有查询的信号并从管理服务器接收对查询的响应。查询可以包括当前用户的指示符、客户端计算设备的指示符和/或软件应用的指示符。响应可以包括使用数据。
现在参考各图描述用于用户行为确定和计算机安全实现的系统和方法的各种配置,其中相同的附图标记可以指示相同或功能相似的元素。如本文各图中一般描述和图示的,本系统和方法的配置可以以各种不同的配置来布置和设计。因此,如各图中所表示的,若干配置的以下更详细描述并非旨在限制系统和方法的范围,而是仅代表系统和方法的各种配置。
图1A是图示了根据一个实施例的用于用户行为确定和计算机安全实现的联网系统100A的框图。联网系统100A可以基于软件特性和标记来确定用户的行为规范。联网系统100A包括经由网络(图1A中未示出)彼此进行电子通信的一组电子设备。例如,联网系统100A可以包括一个或多个局域网(LAN)、广域网(WAN)、无线局域网(WLAN)、互联网等。联网系统100A包括一个或多个计算设备108A和至少一个管理服务器102A。一个或多个计算设备108A和至少一个管理服务器102A均可以包括相关联的处理器和与相应的处理器可操作地通信的存储器(图1A中未示出)。
计算设备108A可以经由网络(图1A中未示出)与联网系统100A的管理服务器102A通信。计算设备108A可以物理地位于地理上远离管理服务器102A的位置。在实现中,管理服务器102A是基于云的服务器,其可以例如经由互联网连接来访问。替代地,管理服务器102A可以与一个或多个计算设备108A物理上共址。在一些实现中,管理服务器102A是域控制器。
取决于实现,一个或多个计算设备108A可以包括服务器、台式计算机、膝上型计算机、平板计算机、智能电话、路由器、打印机等。在实现中,一个或多个更多计算设备108A是被配置为加入多个不同网络的移动设备(例如,膝上型计算机、智能电话、平板计算机等)。
管理服务器102A和/或计算设备108A的处理器可以是例如基于硬件的集成电路(IC)或被配置为运行和/或执行一组指令或代码的任何其它合适的处理设备。例如,管理服务器102A和/或计算设备108A的处理器可以是通用处理器、中央处理单元(CPU)、加速处理单元(APU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、复杂可编程逻辑器件(CPLD)、可编程逻辑控制器(PLC)等等。管理服务器102A和/或计算设备108A的处理器通过系统总线(例如,地址总线、数据总线和/或控制总线)可操作地耦合到存储器。
计算设备108A可以包括软件安装确定模块114A、用户角色确定模块116A、软件安装110A的一个或多个软件应用112A、以及行为规范确定模块120A。软件安装确定模块114A、用户角色确定模块116A、(一个或多个)软件应用112A和行为规范确定模块120A中的每一个可以是存储在存储器(例如,易失性存储器或非易失性存储器,诸如硬盘驱动器)中并由计算设备108A的处理器执行的软件(例如,用于使计算设备108A的处理器执行软件安装确定模块114A、用户角色确定模块116A和行为规范确定模块120A的代码可以存储在存储器中)和/或基于硬件的设备,诸如例如ASIC、FPGA、CPLD、PLA、PLC等。软件安装110A包括存储在存储器中的一批或一组软件应用112A。
计算机安全对于保护一个或多个计算设备108A、一个或多个管理服务器102A以及一个或多个计算设备108A和一个或多个管理服务器102A所连接的网络是重要的。计算机安全也可称为“网际(cyber)安全”或信息技术(IT)安全。计算机安全性包括控制对于一个或多个计算设备108A的硬件和软件的访问。计算机安全还包括保护网络免受可能经由网络访问、数据和代码(例如,受损软件应用)中的漏洞而带来的伤害。
随着越来越多的计算设备通过一个或多个网络连接,计算机安全变得越来越重要。例如,随着社会变得依赖于复杂的计算系统和互联网,计算设备可能被恶意实体利用以危害特权信息。随着无线网络(例如,蜂窝)的使用和“智能”设备(例如,智能电话、电视和作为物联网的一部分的设备)的增长,这个问题尤其重要。
计算机安全的一部分是确定个体是什么类型的用户。确定用户的类型可以包括确定计算设备的用户的一个或多个角色。在确定用户的角色后,可以集中管理该用户的安全行为或模式。
在某些实现中,可以基于查看活动目录组来确定用户的角色。例如,用户可以被包括在一个或多个活动目录组中。在另一个实现中,可以基于查看用户的许可级别来确定用户的角色。例如,具有管理特权的用户可以被确定为管理员。但是,这些实现可能过于僵化。例如,活动目录组可能不足以定义用户在组织中的实际角色。此外,许可级别可能无法提供足够的分辨率来区分不同类型的用户。此外,这些途径针对用户广泛地应用规则而不管其角色如何。例如,用户可能受制于未考虑该用户的特定角色的需求的管理规则。例如,相比于信息技术(IT)管理员角色中的用户,财务角色中的用户可以使用不同的软件资源和/或网络资源。
本文描述的系统和方法(例如,联网系统100A和100B)将面向用户的途径应用于计算机安全,使得可以确定个体用户的行为和需求,而不是以约束行为的方式广泛地应用安全实践。在一些实现中,可以基于用户的软件使用来识别用户的身份和/或角色。然后,用户可以被“标记成”组和/或角色(或与之相关联),该组和/或角色可以用于确定可以被集中管理的适用的安全行为或行为模式。
在一些实现中,可以基于安装在用户的计算设备上的软件应用的一个或多个标识符来识别、确定和/或检测用户角色。基于确定的角色,可以推断出用户的行为规范。例如,联网系统100A可以检测到用户的计算设备已经安装了Microsoft Visual Studio。基于检测到Microsoft Visual Studio,联网系统100A可以使用户与“开发人员”角色相关联(例如,通过参考计算设备108A和/或管理服务器102A的存储器中的表)。
作为第二示例,联网系统100A可以检测到用户的计算设备已经安装了MicrosoftVisual Test Suite。基于检测到Microsoft Visual Test Suite,联网系统100A可以使用户与质量保证(QA)技术人员角色或“测试人员”角色相关联。作为第三示例,联网系统100A可以检测到用户的计算设备已经安装了活动目录工具(Active Directory Tools)。基于检测到活动目录工具,联网系统100A可以使用户与IT管理员角色相关联。作为第四示例,联网系统100A可以检测到用户的计算设备已经安装了Microsoft Excel和Outlook而没有额外安装Microsoft Office Suite工具。基于这样的检测,联网系统100A可以使用户与财务角色相关联。
如本文所述,软件“标记”(例如,用户与一个或多个角色的关联)可以促进基于用户的软件安装(例如,存储在存储器中的一批或一组软件应用)定义和/或创建启发式角色推断。在检测/确定了一个或多个角色之后,可以做出关于用户在(一个或多个)角色中操作的行为规范的一个或多个推断。作为示例,可以由联网系统100A确定财务用户不具有管理访问权,或者可以防止财务用户在其相关联的计算设备108A上运行服务进程(例如,通过使(一个或多个)角色与例如存储在计算设备108A和管理服务器102A中的一者或两者中的数据库的记录中的一个或多个安全性简档、特权定义等相关联)。作为对照,由联网系统100A确定具有研究和开发角色的用户可以与安全性简档相关联,该安全性简档指定他/她具有(例如,经由网络或经由计算设备108A和/或管理服务器102A的本地存储器)对关键/敏感资源的管理访问权。
如图1A所示,计算设备108A包括软件安装确定模块114A。软件安装确定模块114A可以确定用户在计算设备108A上运行/使用哪些软件应用。替代地或附加地,软件安装确定模块114A可以确定用户已经在计算设备108A上安装了哪些软件应用。替代地或附加地,软件安装确定模块114A可以监视用户运行了哪些软件应用(例如,在预定时间段内)。例如,软件安装确定模块114A可以监视在一段时间内用户的软件应用使用。软件安装确定模块114可以例如在软件使用日志中记录软件应用使用。在一些实现中,假设已经进行第一用户角色确定,可以基于所监视的软件使用对用户进行第二用户角色确定,使得第二用户角色与第一用户角色不同(例如,随着用户的角色变化)。
计算设备108A还包括用户角色确定模块116A,用户角色确定模块116A基于用户运行的软件确定用户的一个或多个角色(用户角色118A)。在实现中,计算设备108A的处理器使用用户角色确定模块116A来查询或分析用户的计算设备108A上的软件安装110A(例如,包括一个或多个软件应用112A),例如,以识别一个或多个软件应用112A的标识符。在另一个实现中,用户角色确定模块116A接收软件使用日志的副本,并基于使用日志确定软件使用。用户角色确定模块116A可以基于软件安装和/或软件使用来“标记”用户或使用户与一个或多个用户角色118A相关联(例如,通过将用户的指示符和一个或多个分配的角色包括在存储在计算设备108A的存储器中的表的公共记录中,或者通过将编码有用户的指示符和分配的(一个或多个)角色的信号发送到管理服务器102A以存储在其存储器中)。
取决于实现,某些软件应用或软件应用的组合可以被映射到不同的角色。例如,如果联网系统100A检测到用户已经在他/她的计算设备108A上安装或使用集成开发环境(“IDE”)(例如,Microsoft Visual Studio),则用户可以被映射到“开发人员”角色。如果联网系统100A检测到用户已经安装或使用软件测试应用(例如,Microsoft Test Manager),则用户可以被映射到QA/测试人员角色。如果联网系统100A检测到用户已经安装或使用目录服务工具(例如,活动目录工具),则用户可以被映射到IT管理员角色。如果联网系统100A检测到用户已经安装或使用电子表格软件应用(例如,Microsoft Excel)而没有一个或多个其它Microsoft Office Suite产品,则用户可以被映射到财务角色。
计算设备108A还包括行为规范确定模块120A。行为规范确定模块120A基于所确定/检测到的用户角色确定用户的一个或多个行为“规范”(即,与用户对计算设备108A上的一个或多个软件应用的使用相关联的预期行为和/或行为模式)。为了确定一个或多个行为规范,行为规范确定模块120A可以基于所确定的用户角色做出关于用户的行为规范的“推断”(例如,基于机器学习算法的推断和/或统计推断)。替代地或附加地,行为规范确定模块120A可以例如基于客户端计算设备的当前用户的用户角色来预测客户端计算设备的当前用户的预期行为和/或行为模式。行为规范确定模块120A在由计算设备108A的处理器执行时可以基于所确定的一个或多个行为规范来配置或修改计算设备108A的一个或多个设置,例如,以针对该用户角色促进计算设备108A的期望功能。
作为示例,当处理器经由行为规范确定模块120A确定用户要与财务用户角色相关联时,处理器(再次经由行为规范确定模块120A)可以配置计算设备108A以许可对于财务资源(例如,驱动器、软件)的访问以及禁止/屏蔽管理访问权和/或在计算设备108A上运行用户的服务进程的能力。作为对照,对于被确定为具有研究和开发角色的用户,处理器(再次经由行为规范确定模块120A)可以配置计算设备108A,使得用户具有对一个或多个关键/敏感网络资源的管理访问权(例如,可经由网络和/或本地访问,例如计算设备108A的存储器中的关键/敏感网络资源)。
在实现中,已经为计算设备108A的用户确定的用户角色被发送到管理服务器102A。管理服务器102A将用户角色存储在例如用户角色数据库104A的用户角色记录106A中。用户角色记录106A可以各自包括一个或多个角色的标识符、一个或多个用户的标识符、一个或多个安全级别指示符和/或一个或多个设备设置。用户角色数据库104A可以是存储在联网系统100A的存储器中(例如,计算设备108A的存储器中和/或管理服务器102A的存储器中)的活动目录(AD)数据库。在一些实现中,例如通过修改用户角色数据库的记录的用户角色字段以包括所确定的用户角色和/或通过生成包括所确定的用户角色的新记录并将其插入到用户角色数据库中,管理服务器102A(例如,在检测到编码有一个或多个用户角色的标识符的接收信号时,和/或根据预定调度)自动更新用户角色数据库以包括接收到的确定的用户角色。管理服务器102A可以使用户角色数据库104A的角色记录106A根据用户角色进行分组。例如,多个用户可以与具有财务用户角色的用户角色记录106A相关联。可以说这些用户被分配给用户角色数据库的财务用户角色“组”。
图1B是图示了根据另一个实施例的用于用户行为确定和计算机安全实现的联网系统100B的框图。如图1B所示,管理服务器102B包括软件安装数据库122、软件使用数据库126、行为规范确定模块120B(例如,具有与图1A的行为规范确定模块120A的功能类似的功能)、用户角色确定模块116B(例如,具有与图1A的用户角色确定模块116A的功能类似的功能)以及用户角色数据库104B(例如,具有与图1A的用户角色数据库104A的功能类似的功能)。软件安装数据库122包括用于在“端点”(例如,计算设备108B)上运行/安装的软件应用的一组软件安装记录124。软件使用数据库126包括一组软件使用记录128(其可以统称为软件使用日志)。用户角色确定模块116B包括用户角色定义118B。用户角色数据库104B包括一组用户角色记录106B。
管理服务器102B的行为规范确定模块120B和用户角色确定模块116B均可以是存储在存储器中并由管理服务器102B的处理器执行的软件(例如,用于使管理服务器102B的处理器执行行为规范确定模块120B和用户角色确定模块116B的代码可以存储在存储器中)和/或基于硬件的设备,诸如例如ASIC、FPGA、CPLD、PLA、PLC等等。
还如图1B所示,计算设备108B包括软件安装110B(例如,具有与图1A的软件安装110A的功能类似的功能)、软件安装确定模块114B(例如,具有与图1A的软件安装确定模块114A的功能类似的功能)、软件安装使用模块136和一个或多个行为规范强制执行模块120B(例如,具有与图1A的一个或多个行为规范强制执行模块120A的功能类似的功能)。软件安装110B可以包括存储在存储器中的一批或一组软件应用112B。
软件安装确定模块114B、软件安装使用模块136、(一个或多个)软件应用112A和一个或多个行为规范强制执行120B均可以是存储在存储器中并由计算设备108B的处理器执行的软件(例如,用于使计算设备108B的处理器执行软件安装确定模块114B、软件安装使用模块136以及一个或多个行为规范强制执行模块120B的代码可以存储在存储器中)和/或基于硬件的设备,诸如例如ASIC、FPGA、CPLD、PLA、PLC等等。
在一些实施例中,经由一个或多个行为规范强制执行模块120B,计算设备108B的处理器可以基于一个或多个所确定的用户角色在计算设备108B上强制执行和/或应用应用控制策略或配置,以只许可用户运行与计算设备108B上的用户角色有关或相关联的软件应用。应用控制策略或配置的强制执行和/或应用可以自动执行。替代地,经由行为规范强制执行模块120B,管理服务器102B的处理器可以通过向计算设备108B发送信号来应用应用控制策略或配置。信号可以编码有基于一个或多个所确定的用户角色实现对计算设备108B的应用控制策略或配置的指令。例如,与开发人员的角色或系统管理员的角色相关联的用户可以与允许他/她运行注册表编辑器以进行高级系统修改的安全策略相关联,而与财务角色相关联的用户可以与防止他/她启动注册表编辑器的安全策略相关联。类似地,计算设备108B的处理器可以基于所确定的(一个或多个)用户角色向计算设备108B应用限制,以指定/限制哪些应用被允许使用提升的特权运行。例如,与开发人员的角色或系统管理员的角色相关联的用户可以与允许他/她以“管理”模式启动互联网浏览器的安全策略相关联,而销售人员可以与防止他/她以“管理”模式启动互联网浏览器的安全策略相关联。
在一些实施例中,经由一个或多个行为规范强制执行模块120B,计算设备108B的处理器可以基于一个或多个所确定的用户角色将设备控制策略应用于计算设备108B以限制哪些物理设备可以用在计算设备108B上和/或连接到计算设备108B。替代地,管理服务器102B的处理器可以经由其行为规范强制执行模块120B、通过基于一个或多个所确定的用户角色向计算设备108B发送信号来应用设备控制策略,该信号编码有实现对计算设备108B的设备控制策略以限制哪些物理设备可以在计算设备108B上使用和/或连接到计算设备108B的指令。例如,如果用户被确定为财务用户,则处理器可以防止计算机允许财务用户写入通用串行总线(USB)设备,但是可以允许系统管理员写入USB设备。这可以通过任何物理或网络附连的设备来完成,包括但不限于:软盘驱动器、CD驱动器、USB驱动器、打印机、相机、麦克风、鼠标、键盘、扬声器等。
在一些实现中,经由一个或多个行为规范强制执行模块120B,计算设备108B的处理器可以在计算设备108B的用户的动作或行为偏离与该用户和/或该计算设备108B相关联的行为规范(或预期行为)时(例如,向计算设备108B的用户和/或向管理服务器102B)发送警报。在其它情况下,当计算设备108B的用户的动作或行为偏离行为规范时,管理服务器102B的处理器可以经由其行为规范强制执行模块120B(例如,向管理服务器102B的用户和/或向计算设备108B)发送警报。计算设备108B的用户的动作或行为偏离行为规范(或预期行为)的示例是当财务用户启动可能指示感染风险的“powershell”或“命令行”进程时。
图1C是图示了根据一个实施例的用于用户行为确定和计算机安全实现的方法100C的处理流程图,该方法100C可由图1A的联网系统100A和/或图1B的联网系统100B实现。如图1C所示,方法100C包括在135a处识别安装在客户端计算设备上的软件应用和/或客户端计算设备(例如,分别图1A和图1B的108A或108B)处的使用数据。使用数据可以包括软件应用的使用频率、软件应用的特征的使用频率、尝试使用软件应用的被屏蔽特征的频率、软件应用的一组访问特征、客户端计算设备的桌面的远程访问量或其任何组合。
例如,基于软件使用日志或通过在预定时间段内监视客户端计算设备的当前用户的软件使用来生成使用数据,可以识别使用数据。识别出的使用数据与客户端计算设备的当前用户和/或与软件应用相关联。方法100C还包括在135b处基于软件应用或使用数据识别当前用户的用户角色。方法100B还包括在135c处基于用户角色识别当前用户的预期行为。在一些实施例中,可以识别基于客户端计算设备的当前用户的用户角色和使用数据的安全风险。当识别出安全风险时,可以(例如,自动地或响应于管理员的指令)选择和/或实现一种或多种缓解技术。例如,如果检测到偏离与用户角色相关联的预期行为的使用行为,则可以调整计算设备的当前用户的特权级别(例如,以减少用户可以访问的一组资源)。方法100B还包括在135d处基于当前用户的预期行为在客户端计算设备处应用设备控制策略。设备控制策略可以指定一个或多个被授权设备,当被授权设备可操作地耦合(例如,无线耦合)到客户端计算设备时,客户端计算设备的当前用户被许可访问该一个或多个被授权设备。被授权设备可以是以下中的至少一个:通用串行总线(USB)设备、软盘驱动器、紧凑碟(CD)驱动器、打印机、相机、麦克风、计算机鼠标、键盘、扬声器等等。方法100B还包括在135e处将识别出的用户角色发送到管理服务器(例如,分别图1A和图1B的管理服务器102A或管理服务器102B)。方法100B还可以包括使存储在用户角色数据库中的用户记录(例如,图1A中的用户角色数据库104A的用户角色106A或图1B的用户角色数据库104B的用户角色106B)与识别出的用户角色(未示出)相关联。
本文描述的系统(诸如分别图1和图2的联网系统100A和100B)和方法(诸如图1C的方法100C,或分别图2、图3和图4的方法200、300和400)提供了一种动态和自动化的途径来确定组织内的用户的角色。基于计算设备的软件安装和/或软件使用,可以确定用户角色。可以基于(一个或多个)用户角色确定来识别预期的行为/行为模式和安全配置,从而提供针对计算机安全的个性化的、面向用户的途径。
下面的表1A示出了用户角色数据库(例如,图1A的用户角色数据库104A和/或图1B的用户角色数据库104B)的示例表,其示出了变量/字段之间的“映射”或关联,变量/字段包括“可执行程序名称”(即,软件应用的标识符)、软件应用名称、机器名称(例如,标识诸如分别图1A和图1B的计算设备108A或计算设备108B之类的计算设备)、用户名、与记录/行中的用户名相关联的用户是否具有与由该记录/行中的软件应用名称引用的软件应用相关联的“提升特权”的指示符、以及软件应用已被用户使用的次数。本文公开的系统和方法(例如,使用分别图1A和图1B的联网系统100A或100B)可以使用前述变量的任何组合来确定、识别或检测用户角色(例如,基于由如本文所述的计算设备和/或管理服务器的处理器执行的查询)。表1B示出了具有管理角色(由表1B中和表1A的示例相关联记录中的“*”指定)、财务/会计角色(由表1B中和表1A的示例相关联记录中的“**”指定)和开发人员角色(由表1B中和表1A的示例相关联记录中的“***”指定)的用户的示例预期行为。
表1A中示出了在用户角色数据库内的变量/字段和用户角色之间的示例对应关系。例如,与用户名“Mike Miller”匹配的记录(或行)包括记录42、43和47,分别指示“devenv.env”、“vstest.exe”和“git.exe”的可执行程序名称和相关联的“使用次数”值(即,使用级别)156、368和1,358。表1A的“使用次数”列中的值是指在固定时间段内软件应用被启动的次数。记录42还指示“devenv.exe”被使用156次。与用户名“Mike Miller”匹配的记录还包括记录38和39,其显示可执行程序“powershell.exe”和“cmd.exe”已使用提升的特权被运行并且使用频率分别为23次和86次。与用户名“Mike Miller”匹配的记录还包括:记录44、48、51、53和55。记录44显示“notepad++.exe”软件被使用97次。记录48显示“mstsc.exe”(具有“Remote Desktop”的软件名称)软件被使用294次。记录51显示“chrome.exe”软件被使用2596次。记录53显示“slack.exe”软件被使用79次。记录55显示“iis.exe”软件被使用43次。基于与用户名“Mike Miller”匹配的记录中的信息和表1B的预期用户行为,可以识别“开发人员”的用户角色。例如,根据表1B,从分配给开发人员角色的用户预期以下行为:(1)运行开发工具,诸如DevEnv和vstest(如所示出的,对于用户“MikeMiller”,在表1A的记录42和43处);(2)运行源控制实用程序,诸如git.exe(如所示出的,对于用户“Mike Miller”,在表1A的记录47处);(3)中度到高度的远程桌面使用(如所示出的,对于用户“Mike Miller”,在图1A的记录48处);以及(4)协作工具的使用,诸如slack.exe(如所示出的,对于用户“Mike Miller”,在
图1A的记录53处)。虽然参考用于识别用户角色的变量/字段的特定组合和值来示出和描述,但是可以额外或替代地使用其它组合。
图2是图示了根据另一个实施例的用于用户行为确定和计算机安全实现的方法200的流程图,该方法可由图1A的联网系统100A和/或图1B的联网系统100B实现。方法200可以用于例如基于软件特性和/或标记确定一个或多个相关联用户的一个或多个行为规范。该方法可以由计算设备(例如,分别图1A和图1B的108A或108B)实现。如图2所示,计算设备确定(在236a处)用户在计算设备上运行哪些软件应用。例如,计算设备通过检测安装在计算设备上的一个或多个软件应用来确定用户在计算设备上运行哪些软件应用。在其它情况下,计算设备可以通过监视和/或检测用户运行哪些软件应用来确定用户在计算设备上运行哪些软件应用。
表1A:用户角色数据库的示例表
表1B:预期用户行为示例
计算设备在236b处基于用户运行的软件应用确定用户角色。例如,计算设备的处理器经由角色确定模块可以分析或查询用户的计算设备上的软件安装以识别一个或多个软件应用并将识别出的一个或多个软件应用与用户角色数据库进行比较。替代地或附加地,处理器可以经由角色确定模块分析和/或查询由计算设备接收的和/或存储在计算设备内的软件使用日志,以识别用户的软件使用行为。处理器可以经由用户角色确定模块基于软件安装和/或软件使用行为“标记”用户或将用户与用户角色相关联。如以上所讨论的,某些软件应用或软件应用的组合可以被映射到某些角色。
在236c处,计算设备基于所确定的用户角色来确定用户的一个或多个行为规范。例如,计算设备可以检测期望集中控制的一个或多个用户行为和/或行为模式(例如,经由在与计算设备进行网络通信的管理服务器处实现的策略)。计算设备还可以将用户角色信息发送到管理服务器。管理服务器可以存储包括与多个不同角色相关联的多个不同角色记录的用户角色目录。用户可以与角色记录中的不同角色相关联。在一些实现中,用户角色目录是活动目录。
图3是图示了根据另一个实施例的用于用户角色确定的方法300的流程图,该方法可由图1A的联网系统100A和/或图1B的联网系统100B实现。该方法可以由计算设备(例如,分别图1A和图1B的108A或108B)的处理器实现。如图3所示,计算设备在337a处将软件应用或软件应用的组合映射到某些用户角色。例如,第一组一个或多个软件应用的使用和/或安装可以指示第一用户角色,而第二组一个或多个软件应用的使用和/或安装可以指示第二用户角色。在337b处,计算设备确定用户已在计算设备上安装哪些软件应用。在337c处,计算设备基于用户已安装的软件应用确定用户角色。例如,计算设备的处理器可以将用户已经安装的软件应用与(例如,存储在计算设备的存储器中或者在与计算设备进行可操作网络通信的管理服务器中的)软件映射进行比较以识别分配给用户或与用户相关联的一个或多个用户角色。在337d处,计算设备用识别出的一个或多个用户角色“标记”用户或使用户与识别出的一个或多个用户角色相关联。在一些实施例中,在337d处对用户的标记是自动执行的。虽然被示出和描述为由计算设备实现,但是方法300也可以在管理服务器上实现,或者经由在网络上彼此通信的计算设备和管理服务器之间的协作来实现。虽然图3图示了基于当前安装的软件应用(例如,在给定时间)用户与用户角色的关联,但是也可以响应于随时间的推移对由用户使用的软件应用的主动监视而使用户与用户角色相关联,如参考图4所示出和描述的。
图4是图示了根据一个实施例的用于用户角色确定的方法400的流程图,该方法可由图1A的联网系统100A和/或图1B的联网系统100B实现。该方法可以由计算设备(例如,分别图1A和图1B的108A或108B)来实现。如图4所示,计算设备在438a处将多个软件应用和/或软件应用的组合映射或关联到一个或多个用户角色。例如,第一组一个或多个软件应用的使用和/或安装可以指示第一用户角色,而第二组一个或多个软件应用的使用和/或安装可以指示第二用户角色。在438b处,计算设备监视用户运行了哪些软件应用(例如,“软件使用”)。例如,计算设备可以监视用户在预定时间段内使用了哪些软件应用。计算设备可以将这种软件应用使用记录在软件使用日志中。在438c处,计算设备基于软件使用来确定一个或多个用户角色。例如,计算设备可以基于软件使用日志确定用户运行了哪些软件应用。通过使用软件使用日志中识别出的软件应用,计算设备可以评估软件映射以识别用户所属的用户角色。在438d处,计算设备标记用户或将用户与映射的用户角色相关联。在一些实施例中,在438d处自动执行对用户的标记。虽然示出和描述为由计算设备实现,但是方法400也可以在管理服务器上实现,或者经由在网络上彼此通信的计算设备和管理服务器之间的协作来实现。
图5是图示了根据一个实施例的可由图1A的联网系统100A和/或图1B的联网系统100B实现的用于用户行为确定和计算机安全实现的联网系统的框图。通过使用联网系统500,可以例如基于软件特性和/或使用来确定用户的行为规范,并且可以实现标记。如图5所示,管理服务器302连接到路由器344。路由器344连接到交换机346a、346b和346c。交换机346a经由它们各自的子网348a、348b和348c连接到若干节点304a、304b、304c等。交换机346b经由它们各自的子网348d、348e和348f连接到若干节点304d、304e,304f等。交换机346c经由它们各自的子网348g、348h和348i连接到若干节点304g、304h和304i等。子网I348i包括一个或多个节点304。虽然图5仅示出了一个路由器344和有限数量的交换机346、子网348和节点304,但是许多且不同数量的路由器344、交换机346、子网348和节点304可以被包括在可以实现用于基于上下文的特权缓解的系统和方法的网络和/或系统中。
管理服务器302可以根据分别结合图1A和图1B描述的管理服务器102A和102B来实现。此外,节点304可以是分别结合图1A和图1B描述的计算设备108A和108B中的一个或多个的示例。
图6图示了根据一个实施例的用于用户行为确定和计算机安全实现的计算设备。计算设备404可以根据分别结合图1A和图1B描述的管理服务器102A和102B和/或分别结合图1A和图1B描述的计算设备108A和108B来实现。如图6所示,计算设备404包括处理器452和存储器454。存储器454包括指令456a和数据458a。处理器452控制计算设备404的操作,并且可以是例如微处理器、微控制器、数字信号处理器(DSP)或本领域已知的其它设备。处理器452被配置为基于从存储器454接收到的程序指令456b和/或数据458b来执行逻辑和算术运算。例如,处理器452可以执行一个或多个模块,诸如图1A的软件安装确定模块1414A、用户角色确定模块116A和/或行为规范确定模块120A和/或图1B的行为规范确定模块120B、用户角色确定模块116B、软件安装确定模块114B和/或软件安装使用模块136。
计算设备404包括用于与其它电子设备通信的一个或多个通信接口460。通信接口460可以基于有线通信技术、无线通信技术或这两者。不同类型的通信接口460的示例包括串行端口、并行端口、通用串行总线(USB)、以太网适配器、IEEE总线接口、小型计算机系统接口(SCSI)总线接口、红外线(IR)通信端口、无线通信适配器等。
计算设备404可以包括一个或多个输入设备462和一个或多个输出设备464。不同种类的输入设备462的示例包括键盘、鼠标、麦克风、遥控设备、按钮、操纵杆、轨迹球、触摸板、光笔等。不同种类的输出设备464的示例包括扬声器、打印机等。计算机系统中可包括的一种特定类型的输出设备是显示设备466。与本文公开的配置一起使用的显示设备466可以使用任何合适的图像投影技术,诸如液晶显示器(LCD)、发光二极管(LED)、气体等离子体、电致发光、阴极射线管(CRT)等等。
计算设备404还包括显示控制器468,用于将存储在存储器454中的数据转换成在显示设备466上显示的文本、图形和/或移动图像(视情况而定)。图6图示了计算设备404的一种示例配置,并且也可以使用各种其它体系架构和组件。
在以上描述中,有时结合各种术语使用附图标记。在术语与附图标记结合使用的情况下,这意味着指代在一个或多个图中示出的特定元素。在不带附图标记地使用术语的情况下,这意味着一般性指代术语而不限于任何特定的图。
术语“自动地”在本文中用于修改在没有诸如用户的外部源的直接输入或提示的情况下发生的动作。自动地发生的动作可以周期性地、偶尔地、响应于检测到的事件(例如,用户登录)或者根据预定的调度发生。
术语“确定”包含各种各样的动作,因此,“确定”可以包括运算、计算、处理、推导、调查、查找(例如,在表、数据库或其它数据结构中查找)、查明等。而且,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。而且,“确定”可以包括解析、选择、筛选、建立等。
除非另有明确说明,否则短语“基于”并不意味着“仅基于”。换句话说,短语“基于”描述了“仅基于”和“至少基于”这两者。
术语“处理器”应该被广义地解释为包括通用处理器、中央处理单元(CPU)、微处理器、数字信号处理器(DSP)、控制器、微控制器、状态机等。在一些情况下,“处理器”可以指专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)等。术语“处理器”可以指处理设备的组合(例如DSP和微处理器的组合)、多个微处理器、结合DSP内核的一个或多个微处理器或任何其它这样的配置。
术语“存储器”应该被广义地解释为包括能够存储电子信息的任何电子组件。术语存储器可以指各种类型的处理器可读介质,诸如随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除PROM(EEPROM)、闪存、磁或光数据存储装置、寄存器等。如果处理器可以从处理器读取信息和/或将信息写入存储器,则该存储器被称为与处理器进行电子通信。与处理器集成一体的存储器与处理器进行电子通信。
术语“指令”和“代码”应该被广义地解释为包括任何类型的(一个或多个)计算机可读语句。例如,术语“指令”和“代码”可以指一个或多个程序、例程、子例程、函数、过程等。“指令”和“代码”可以包括单个计算机可读语句或许多计算机可读语句。
虽然上面已经描述了各种实施例,但是应该理解的是,它们仅以示例的方式而不是限制的方式呈现。在上述方法和/或示意图指示以某种顺序发生的某些事件和/或流程模式的情况下,可以修改某些事件和/或流程模式的顺序。虽然已经特别示出和描述了实施例,但是将理解的是,可以在形式和细节上进行各种改变。
虽然已经将各种实施例描述为具有特定特征和/或组件的组合,但是其它实施例也可以具有如上所讨论的任何实施例中的任何特征和/或组件的组合。
本文描述的一些实施例涉及具有非瞬态计算机可读介质(也可以被称为非瞬态处理器可读介质)的计算机存储产品,该非瞬态计算机可读介质上具有用于执行各种计算机实现的操作的指令或计算机代码。计算机可读介质(或处理器可读介质)在其本身不包括瞬时传播信号(例如,在诸如空间或电缆的传输介质上传播携带信息的电磁波)的意义上是非瞬态的。介质和计算机代码(也可以被称为代码)可以是为特定目的而设计和构造的代码。非瞬态计算机可读介质的示例包括但不限于磁存储介质,诸如硬盘、软盘和磁带;光学存储介质,诸如紧凑碟/数字视频碟(CD/DVD)、紧凑碟只读存储器(CD-ROM)和全息设备;磁光存储介质,诸如光盘;载波信号处理模块;以及专门被配置为存储和执行程序代码的硬件设备,诸如专用集成电路(ASIC)、可编程逻辑器件(PLD)、只读存储器(ROM)和随机存取存储器(RAM)设备。本文描述的其它实施例涉及可以包括例如本文所讨论的指令和/或计算机代码的计算机程序产品。
本文描述的一些实施例和/或方法可以由(在硬件上执行的)软件、硬件或其组合来执行。硬件模块可以包括例如通用处理器、现场可编程门阵列(FPGA)和/或专用集成电路(ASIC)。软件模块(在硬件上执行)可以用各种软件语言(例如,计算机代码)表达,包括C、C++、JavaTM、Ruby、Visual BasicTM和/或其它面向对象、过程式或其它编程语言和开发工具。计算机代码的示例包括但不限于微代码或微指令、诸如由编译器产生的机器指令、用于产生web服务的代码,以及包含由计算机使用解释器执行的更高级指令的文件。例如,实施例可以使用命令式编程语言(例如,C、Fortran等)、函数编程语言(Haskell、Erlang等)、逻辑编程语言(例如,Prolog)、面向对象的编程语言(例如,Java、C++等)或其它合适的编程语言和/或开发工具。计算机代码的附加示例包括但不限于控制信号、加密代码和压缩代码。
术语“计算机可读介质”是指可以由计算机或处理器访问的任何可用的非瞬态有形介质。作为示例而非限制,计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁存储设备或可以用于以指令或数据结构的形式携带或存储所需的程序代码并且可以由计算机访问的任何其它介质。如本文所使用的,盘和碟包括紧凑碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和碟,其中盘通常以磁性方式再现数据,而碟通过激光以光学方式再现数据。
还可以通过传输介质传输软件或指令。例如,如果使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)或无线技术(诸如红外线、无线电和微波)从网站、服务器或其它远程源传输软件,则同轴电缆、光纤电缆、双绞线、DSL或无线技术(诸如红外线、无线电和微波)都被包含在传输介质的定义中。
本文公开的方法包括用于实现所描述的方法的一个或多个步骤或动作。在不脱离权利要求的范围的情况下,方法步骤和/或动作可以彼此互换。换句话说,除非正在被描述的方法的正确操作需要特定的步骤或动作的顺序,否则可以在不脱离权利要求的范围的情况下修改特定步骤和/或动作的顺序和/或使用。
应该理解的是,权利要求不限于上面说明的精确配置和组件。在不脱离权利要求的范围的情况下,可以对本文描述的系统、方法和装置的布置、操作和细节进行各种修改、改变和变化。
Claims (24)
1.一种用于基于角色的计算机安全配置的装置,所述装置包括:
处理器;以及
可操作地耦合到所述处理器的存储器,所述处理器被配置为:
检测以下中的至少一项:
客户端计算设备上安装的软件应用,或者
与客户端计算设备的当前用户相关联和与所述软件应用相关联的使用数据;
基于客户端计算设备上安装的软件应用或使用数据中的至少一项,识别客户端计算设备的当前用户的用户角色;
基于客户端计算设备的当前用户的用户角色,识别客户端计算设备的当前用户的预期行为;
基于客户端计算设备的当前用户的用户角色的期望行为,向客户端计算设备应用安全配置,以仅允许用户在客户端计算设备上运行与所述用户角色有关或相关联的软件应用;以及
将用户角色的标识符发送到管理服务器以存储在活动目录AD数据库中。
2.如权利要求1所述的装置,其中,所述处理器还被配置为:
检测偏离客户端计算设备的当前用户的预期行为的客户端计算设备的当前用户的行为;以及
响应于检测到客户端计算设备的当前用户的行为,向管理服务器发送警报。
3.如权利要求1所述的装置,其中,所述处理器被配置为基于软件使用日志来检测使用数据。
4.如权利要求1所述的装置,其中,所述处理器被配置为通过监视在预定时间段内客户端计算设备的当前用户的软件使用来识别使用数据。
5.如权利要求1所述的装置,其中,所述处理器还被配置为从服务器接收编码有实现对客户端计算设备的安全配置的指令的信号。
6.如权利要求1所述的装置,其中,所述处理器被配置为通过发送编码有实现对客户端计算设备的安全配置的指令的信号来向客户端计算设备应用安全配置。
7.如权利要求1所述的装置,其中,所述处理器被配置为通过在客户端计算设备处实现安全配置来向客户端计算设备应用安全配置。
8.如权利要求1所述的装置,其中,所述处理器和所述存储器位于客户端计算设备处。
9.如权利要求1所述的装置,其中,所述处理器和所述存储器位于管理服务器处。
10.如权利要求1所述的装置,其中,所述用户角色是第一用户角色,所述处理器还被配置为:
监视在预定时间段内客户端计算设备的当前用户的软件使用;以及
基于监视的软件使用,识别与第一用户角色不同的第二用户角色。
11.如权利要求1所述的装置,其中,所述处理器还被配置为基于用户角色和使用数据来识别客户端计算设备的当前用户的安全风险。
12.一种用于基于角色的计算机安全配置的装置,所述装置包括:
处理器;以及
可操作地耦合到所述处理器的存储器,所述处理器被配置为:
识别以下中的至少一项:
在客户端计算设备上安装的软件应用,或者
与客户端计算设备的当前用户相关联并且针对所述软件应用的使用数据;
基于客户端计算设备上安装的软件应用或使用数据,识别客户端计算设备的当前用户的用户角色;
基于客户端计算设备的当前用户的用户角色,预测客户端计算设备的当前用户的预期行为;
在客户端计算设备处并基于客户端计算设备的当前用户的预期行为,针对客户端计算设备的当前用户修改应用控制策略的特权级别,所述应用控制策略的特权级别与所述软件应用相关联;
基于所述预期行为,在客户端计算设备处运用具有修改的特权级别的应用控制策略,其中所述应用控制策略的运用允许用户运行与所述用户角色有关或相关联的软件应用;以及
将用户角色的标识符发送到管理服务器以存储在活动目录AD数据库中。
13.如权利要求12所述的装置,其中,所述处理器被配置为基于软件使用日志来识别使用数据。
14.如权利要求12所述的装置,其中,所述处理器被配置为通过监视在预定时间段内客户端计算设备的当前用户的软件使用来识别所述使用数据。
15.如权利要求12所述的装置,其中,所述使用数据包括以下中的至少一个:所述软件应用的使用频率、所述软件应用的特征的使用频率、尝试使用所述软件应用的被屏蔽特征的频率、所述软件应用的一组访问特征、或客户端计算设备的桌面的远程访问量。
16.如权利要求12所述的装置,其中,所述软件应用是第一软件应用,所述处理器还被配置为识别在客户端计算设备上安装的第二软件应用,所述处理器被配置为基于存储在存储器内的第一软件应用、第二软件应用和用户角色的标识符之间的关联来识别客户端计算设备的当前用户的用户角色。
17.一种用于基于角色的计算机安全配置的方法,所述方法包括:
在客户端计算设备处识别以下中的至少一项:
在客户端计算设备上安装的软件应用,或者
与客户端计算设备的当前用户相关联并且针对软件应用的使用数据;
基于在客户端计算设备上安装的软件应用或使用数据,识别客户端计算设备的当前用户的用户角色;
基于客户端计算设备的当前用户的用户角色,识别客户端计算设备的当前用户的预期行为;
基于客户端计算设备的当前用户的预期行为,应用客户端计算设备处的设备控制策略以定义至少一个被授权设备,当所述至少一个被授权设备可操作地耦合到客户端计算设备时,客户端计算设备的当前用户能访问所述至少一个被授权设备;以及
将识别出的用户角色发送到管理服务器。
18.如权利要求17所述的方法,其中所述至少一个被授权设备包括以下中的至少一个:通用串行总线USB设备、软盘驱动器、光盘CD驱动器、打印机、相机、麦克风、计算机鼠标、键盘或扬声器。
19.如权利要求17所述的方法,其中,当所述至少一个被授权设备无线连接到客户端计算设备时,所述设备控制策略识别客户端计算设备的当前用户能访问的所述至少一个被授权设备。
20.如权利要求17所述的方法,还包括使存储在所述存储器中的用户记录与识别出的用户角色相关联。
21.如权利要求17所述的方法,其中,识别所述使用数据基于软件使用日志。
22.如权利要求17所述的方法,其中,识别所述使用数据包括通过监视在预定时间段内客户端计算设备的当前用户的软件使用来生成所述使用数据。
23.如权利要求17所述的方法,其中,识别客户端计算设备的当前用户的用户角色包括:
将编码有查询的信号发送到管理服务器,所述查询包括安装在客户端计算设备上的至少一个软件应用的指示符和使用数据,以及
从管理服务器接收对于所述查询的响应,所述响应包括客户端计算设备的当前用户的用户角色的指示符。
24.如权利要求17所述的方法,其中,识别所述使用数据包括:
将编码有查询的信号发送到管理服务器,所述查询包括客户端计算设备的当前用户的指示符、客户端计算设备的指示符以及软件应用的指示符,以及
从管理服务器接收对所述查询的响应,所述响应包括所述至少一个软件应用的软件应用的使用数据。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762464222P | 2017-02-27 | 2017-02-27 | |
US62/464,222 | 2017-02-27 | ||
PCT/US2018/019940 WO2018157127A1 (en) | 2017-02-27 | 2018-02-27 | Systems and methods for role-based computer security configurations |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110462623A CN110462623A (zh) | 2019-11-15 |
CN110462623B true CN110462623B (zh) | 2023-10-10 |
Family
ID=61622745
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880020915.5A Active CN110462623B (zh) | 2017-02-27 | 2018-02-27 | 用于基于角色的计算机安全配置的系统和方法 |
Country Status (7)
Country | Link |
---|---|
US (2) | US10834091B2 (zh) |
EP (1) | EP3586262B1 (zh) |
JP (1) | JP7030133B2 (zh) |
CN (1) | CN110462623B (zh) |
AU (1) | AU2018223809B2 (zh) |
CA (1) | CA3054609A1 (zh) |
WO (1) | WO2018157127A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3019559A4 (en) | 2013-08-22 | 2017-04-05 | Sony Corporation | Water soluble fluorescent or colored dyes and methods for their use |
CN114806218A (zh) | 2016-04-01 | 2022-07-29 | 索尼公司 | 超亮二聚或多聚染料 |
BR112018073199A2 (pt) | 2016-05-11 | 2019-04-16 | Sony Corporation | corantes diméricos ou poliméricos ultrabrilhantes |
KR20200083605A (ko) | 2017-11-16 | 2020-07-08 | 소니 주식회사 | 프로그램가능한 중합체성 약물 |
WO2019182765A1 (en) | 2018-03-19 | 2019-09-26 | Sony Corporation | Use of divalent metals for enhancement of fluorescent signals |
JP2021529194A (ja) | 2018-06-27 | 2021-10-28 | ソニーグループ株式会社 | デオキシリボースを含むリンカー基を有するポリマー色素 |
US11115421B2 (en) * | 2019-06-26 | 2021-09-07 | Accenture Global Solutions Limited | Security monitoring platform for managing access rights associated with cloud applications |
KR20190106950A (ko) * | 2019-08-31 | 2019-09-18 | 엘지전자 주식회사 | 지능형 디바이스 및 그 제어 방법 |
JP7239904B2 (ja) | 2019-09-26 | 2023-03-15 | ソニーグループ株式会社 | リンカー基を有するポリマータンデム色素 |
CN112231336B (zh) * | 2020-07-17 | 2023-07-25 | 北京百度网讯科技有限公司 | 识别用户的方法、装置、存储介质及电子设备 |
US10965686B1 (en) * | 2020-12-30 | 2021-03-30 | Threatmodeler Software Inc. | System and method of managing privilege escalation in cloud computing environments |
US20230336542A1 (en) * | 2022-04-13 | 2023-10-19 | Webshare Software Company | Proxy direct connect |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105981333A (zh) * | 2013-12-13 | 2016-09-28 | 国际商业机器公司 | 安全应用调试 |
Family Cites Families (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0697662B1 (en) * | 1994-08-15 | 2001-05-30 | International Business Machines Corporation | Method and system for advanced role-based access control in distributed and centralized computer systems |
US9213836B2 (en) * | 2000-05-28 | 2015-12-15 | Barhon Mayer, Batya | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages |
US20060015450A1 (en) * | 2004-07-13 | 2006-01-19 | Wells Fargo Bank, N.A. | Financial services network and associated processes |
US9323922B2 (en) * | 2005-01-06 | 2016-04-26 | Oracle International Corporation | Dynamically differentiating service in a database based on a security profile of a user |
US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
US20060294580A1 (en) * | 2005-06-28 | 2006-12-28 | Yeh Frank Jr | Administration of access to computer resources on a network |
US8145241B2 (en) * | 2005-06-30 | 2012-03-27 | Armstrong, Quinton Co. LLC | Methods, systems, and computer program products for role- and locale-based mobile user device feature control |
US20070043716A1 (en) * | 2005-08-18 | 2007-02-22 | Blewer Ronnie G | Methods, systems and computer program products for changing objects in a directory system |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20080086473A1 (en) * | 2006-10-06 | 2008-04-10 | Prodigen, Llc | Computerized management of grouping access rights |
US8438611B2 (en) * | 2007-10-11 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
US20090293121A1 (en) * | 2008-05-21 | 2009-11-26 | Bigus Joseph P | Deviation detection of usage patterns of computer resources |
JP5083042B2 (ja) * | 2008-05-30 | 2012-11-28 | 富士通株式会社 | アクセス制御ポリシーの遵守チェック用プログラム |
JP5035129B2 (ja) | 2008-06-13 | 2012-09-26 | 富士通株式会社 | アクセス制御プログラム |
US7783752B2 (en) * | 2008-10-15 | 2010-08-24 | Microsoft Corporation | Automated role based usage determination for software system |
CN101854340B (zh) * | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
US8972325B2 (en) * | 2009-07-01 | 2015-03-03 | Oracle International Corporation | Role based identity tracker |
US8806578B2 (en) * | 2010-05-05 | 2014-08-12 | Microsoft Corporation | Data driven role based security |
US20130283283A1 (en) * | 2011-01-13 | 2013-10-24 | Htc Corporation | Portable electronic device and control method therefor |
US8745759B2 (en) * | 2011-01-31 | 2014-06-03 | Bank Of America Corporation | Associated with abnormal application-specific activity monitoring in a computing network |
US8983877B2 (en) * | 2011-03-21 | 2015-03-17 | International Business Machines Corporation | Role mining with user attribution using generative models |
US8689298B2 (en) * | 2011-05-31 | 2014-04-01 | Red Hat, Inc. | Resource-centric authorization schemes |
US20130247222A1 (en) * | 2011-09-16 | 2013-09-19 | Justin Maksim | Systems and Methods for Preventing Access to Stored Electronic Data |
US8600995B1 (en) * | 2012-01-25 | 2013-12-03 | Symantec Corporation | User role determination based on content and application classification |
US8793489B2 (en) * | 2012-03-01 | 2014-07-29 | Humanconcepts, Llc | Method and system for controlling data access to organizational data maintained in hierarchical |
US8949931B2 (en) * | 2012-05-02 | 2015-02-03 | Cisco Technology, Inc. | System and method for monitoring application security in a network environment |
US9154507B2 (en) | 2012-10-15 | 2015-10-06 | International Business Machines Corporation | Automated role and entitlements mining using network observations |
US9342606B2 (en) * | 2012-12-11 | 2016-05-17 | International Business Machines Corporation | Intelligent software installation |
US9467465B2 (en) | 2013-02-25 | 2016-10-11 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
US9148416B2 (en) * | 2013-03-15 | 2015-09-29 | Airwatch Llc | Controlling physical access to secure areas via client devices in a networked environment |
US20150113614A1 (en) * | 2013-10-18 | 2015-04-23 | Sehrope Sarkuni | Client based systems and methods for providing users with access to multiple data bases |
US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
US9563771B2 (en) * | 2014-01-22 | 2017-02-07 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
US9692765B2 (en) * | 2014-08-21 | 2017-06-27 | International Business Machines Corporation | Event analytics for determining role-based access |
US9836598B2 (en) | 2015-04-20 | 2017-12-05 | Splunk Inc. | User activity monitoring |
US10536478B2 (en) * | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
WO2017177077A2 (en) * | 2016-04-08 | 2017-10-12 | Cloud Knox, Inc. | Method and system to detect discrepancy in infrastructure security configurations from translated security best practice configurations in heterogeneous environments |
US10972495B2 (en) * | 2016-08-02 | 2021-04-06 | Invincea, Inc. | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
US10402564B2 (en) * | 2016-08-16 | 2019-09-03 | Nec Corporation | Fine-grained analysis and prevention of invalid privilege transitions |
US10120786B2 (en) * | 2016-12-13 | 2018-11-06 | Sap Se | Programmatic access control validation |
US10409367B2 (en) * | 2016-12-21 | 2019-09-10 | Ca, Inc. | Predictive graph selection |
-
2018
- 2018-02-27 CA CA3054609A patent/CA3054609A1/en active Pending
- 2018-02-27 WO PCT/US2018/019940 patent/WO2018157127A1/en unknown
- 2018-02-27 CN CN201880020915.5A patent/CN110462623B/zh active Active
- 2018-02-27 EP EP18710658.8A patent/EP3586262B1/en active Active
- 2018-02-27 AU AU2018223809A patent/AU2018223809B2/en active Active
- 2018-02-27 US US15/906,573 patent/US10834091B2/en active Active
- 2018-02-27 JP JP2019546018A patent/JP7030133B2/ja active Active
-
2020
- 2020-11-09 US US17/092,619 patent/US11700264B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105981333A (zh) * | 2013-12-13 | 2016-09-28 | 国际商业机器公司 | 安全应用调试 |
Also Published As
Publication number | Publication date |
---|---|
JP7030133B2 (ja) | 2022-03-04 |
AU2018223809A1 (en) | 2019-09-05 |
AU2018223809B2 (en) | 2022-12-15 |
US11700264B2 (en) | 2023-07-11 |
EP3586262B1 (en) | 2022-04-20 |
WO2018157127A1 (en) | 2018-08-30 |
US10834091B2 (en) | 2020-11-10 |
US20180248889A1 (en) | 2018-08-30 |
JP2020508523A (ja) | 2020-03-19 |
US20210160249A1 (en) | 2021-05-27 |
CN110462623A (zh) | 2019-11-15 |
EP3586262A1 (en) | 2020-01-01 |
CA3054609A1 (en) | 2018-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110462623B (zh) | 用于基于角色的计算机安全配置的系统和方法 | |
US11100232B1 (en) | Systems and methods to automate networked device security response priority by user role detection | |
CN113949557B (zh) | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 | |
US10333986B2 (en) | Conditional declarative policies | |
US10356121B2 (en) | Systems and methods for dynamic network security control and configuration | |
CN110084039B (zh) | 用于端点安全与网络安全服务之间的协调的框架 | |
US8776180B2 (en) | Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms | |
US10572240B2 (en) | Operating system update management for enrolled devices | |
US20190034647A1 (en) | Managing access to documents with a file monitor | |
CN110476167A (zh) | 基于上下文的计算机安全风险缓解的系统和方法 | |
US11750642B1 (en) | Automated threat modeling using machine-readable threat models | |
US10601876B1 (en) | Detecting and actively resolving security policy conflicts | |
EP3468145B1 (en) | Automated vulnerability grouping | |
US20210385252A1 (en) | Dynamic, Runtime Application Programming Interface Parameter Labeling, Flow Parameter Tracking and Security Policy Enforcement Using API Call Graph | |
US11038892B2 (en) | Dynamically generating restriction profiles for managed devices | |
US11409895B2 (en) | Automatic discovery of computing components within a hierarchy of accounts defining the scope and services of components within the computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |