CN110574349A - 网络系统的行为基线化 - Google Patents

Abstract

一种用于行为基线化的方法包括：存储关于资产的信息，其中每个资产包括属性；存储关于关系的信息，其中每个关系包括属性；基于属性值从资产属性数据库选择资产；基于属性值从关系数据库选择一个或多个关系，选定的关系包括第一关系；创建基线，其中基线包括选定的资产和选定的关系；将第一事件流连接到基线，其中第一事件流包括事件集合，并且每个事件包括属性；并且检测从基线的漂移，其中漂移是使用第一事件流确定的，并且是基于第一事件流的第一事件中的属性值与第一关系的属性值匹配的失败。

Description

网络系统的行为基线化

相关申请

本申请要求2017年2月27日提交的、标题为“BEHAVIORAL BASELINING OF NETWORKSYSTEMS”的美国专利申请第15/443,857号的优先权，该申请的全部公开内容特此通过引用并入。

本申请涉及2015年9月17日公布的、标题为“SYSTEMS AND METHODS FOR DYNAMICNETWORK SECURITY CONTROL AND CONFIGURATION”的美国专利申请公开No.US 2015/0264012，该申请的全部公开内容特此通过引用并入。

本申请还涉及2016年3月10日公布的、标题为“SYSTEMS AND METHODS FORNETWORK ANALYSIS AND REPORTING”的美国专利申请公开No.US 2016/0072831，该申请的全部公开内容特此通过引用并入。

本申请还涉及2016年3月10日公布的、标题为“SYSTEMS AND MMETHODS FORCREATING AND MODIFYING ACCESS CONTROL LISTS”的美国专利公开No.US 2016/0072815，该申请的全部公开内容特此通过引用并入。

技术领域

本文中所公开的至少一些实施例总体上涉及网络安全控制，更具体地，但不限于，网络系统的行为基线化。

背景技术

信息安全架构师和安全操作员、以及计算机和网络管理员和操作者、以及治理、风险和遵从人员全都面临关于监视和控制公司计算环境内的基于网络的计算机系统的各种挑战。

发明内容

本文中公开了用于网络系统的行为基线化的系统和方法。本节中总结了一些实施例。

在一个实施例中，一种由至少一个计算装置实现的方法包括：将关于资产的信息存储在资产属性数据库中，其中每个资产包括至少一个属性；将关于关系的信息存储在关系数据库中，其中每个关系包括至少一个属性；基于至少一个属性值从资产属性数据库选择资产；基于至少一个属性值从关系数据库选择一个或多个关系，选定的关系包括第一关系；创建基线，其中基线包括选定的资产和选定的关系；将第一事件流连接到基线，其中第一事件流包括事件集合，并且每个事件包括属性；并且检测从基线的漂移，其中漂移是使用第一事件流确定的，并且是基于第一事件流的第一事件中的至少一个属性值通过或未能通过第一关系中包含的评估的失败。

除了别的之外，本公开的各种实施例可以呈现关于网络上的各种资产托管和使用的服务的信息，并且允许用户为各种行为创建基线并且为与这些基线的偏离创建警告。具体地说，本公开的各种实施例可以用于选择网络数据连接的一个或多个操作属性并且当偏离发生时向操作者提供可行动的情报。这通过各种安全技术控制的操作使得可以对网络活动中的偏离进行上下文分析，并且呈现在网络中可能不利的或错误的那些活动的更特定的图片。

在一个实施例中，一种计算机实现方法包括：计算机系统从网络上的多个不同类型的源收集数据；计算机系统基于收集的数据来标识一个或多个计算资产、一个或多个操作事件、与这些资产和事件相关联的数据属性；计算机系统呈现图形表示，所述图形表示包括计算资产、操作事件、资产和操作事件的属性的表示，其中所述图形表示经由与计算机系统通信的用户界面的显示而呈现；计算机系统经由用户界面接收用户输入，所述用户输入包括：一个或多个计算资产、一个或多个操作事件、一个或多个资产属性、一个或多个操作事件属性以及一个或多个评估准则的选择，并且响应于所述用户输入，创建多个操作事件流的实时或批量分析，并且作为这些分析的结果，经由所述用户界面或任何适当的消息传送机制向用户呈现这些操作事件流中的偏离，这些偏离表示计算系统的行为中的相对于基线的定性变化和定量变化。此外，随着时间的过去，这些基线和分析可以通过操作事件流的观测自动地创建。

本公开包括方法和执行这些方法的设备，包括数据处理系统(例如，包括至少一个处理器和存储器的系统，存储器存储使所述至少一个处理器执行这些方法的指令)和包含指令的计算机可读介质，所述指令当被至少一个计算装置执行时使所述系统执行这些方法。

其他特征从附图和下面的具体实施方式将是显而易见的。

附图说明

在附图的各图中作为例子、而非限制例示说明实施例，在附图中，相似的引用指示类似的元件。

图1描绘根据一个实施例的、计算系统所用的示例性资产、资产属性如何与逻辑区或信任区中的成员资格相关、以及在本公开的各种实施例中针对所述系统的操作内的显现和分析目的、这些可以如何在功能上等同。

图2描绘根据一个实施例的、所述系统所用的示例性关系、关系可以如何与一个资产、多个资产相关或者与资产无关、以及资产和关系这二者如何具有属性。此外，所述系统可以维护任意数量的关系。

图3A-3B描绘根据一个实施例的、关系如何基于所述系统实时地或者经由查询存储的数据而收集或检索的属性或属性值与资产相关、以及关系如何基于信任区成员资格属性而传递(因为它们可以要么关连资产，要么关连资产的逻辑组)、此外关系本质上可以如何传递(因为将Asset1与Asset2相关的一个关系、结合将Asset2与Asset3相关的第二关系的评估可以通过本公开的在将Asset1与Asset3相关的第三关系的评估中的操作而导致)。

图4描绘根据一个实施例的、关系如何基于事件属性被评估或验证为存在(特别是在规范化的IPFix网络流程事件的这个图中)、以及任意的事件属性可以如何被用于关系的评估、此外资产和关系的不同的显现(要么是基于资产的、要么是基于逻辑组的)可以如何通过本公开描绘。

图5A-5B描绘根据一个实施例的、多个操作事件(在这种情况下，规范化的IPFix网络流程事件)、以及资产和关系可以如何基于这个简单的事件集合而构造和显现。图5A-5B的底部的关系描绘还描绘了关系可以如何具有从数据流推导的数据，在这种情况下，Attribute 3示出了运行流程事件计数3(即，事件计数是图5A-5B的事件流T1、T2、T3中的事件的数量)。

图6A-6B描绘根据一个实施例的、多个操作事件(在这种情况下，规范化的IPFix网络流程事件)、以及关系可以如何具有基于来自操作事件(在这种情况下，求和和平均)的数据元素流的数学评估而推导的数据。

图7描绘根据一个实施例的、用于定义包括用逻辑运算符选择资产的基线的操作的流程、描绘将被评估的事件的简单的事件流、以及使用逻辑运算符从现有关系的集合选择与事件流有关的关系的选择。

图8A-8B描绘根据一个实施例的、由资产集合和关系、与包含偏离事件(偏离基线的一个事件)的事件集合组成的基线、以及事件基于评估如何偏离。此外，基线的状态和偏离的两个可能的显现可以由所述系统描绘(例如，通过呈现在用户计算装置的显示器上)。

图9A-9B描绘根据一个实施例的、资产集合和基于逻辑运算的资产选择处理、以及替代类型的资产选择表达。基于所描绘的资产体系，资产的两个显现、资产视图和等同的基于信任区成员资格的逻辑组视图也被描绘。

图10A-10B描绘根据一个实施例的事件流、与该事件流有关的按时间排序的现有关系的集合、以及基于逻辑运算的关系选择处理。

图11A-11C描绘根据一个实施例的、图9A-10B中构造的基线和包含偏离事件的事件流。这种情况下的事件未能通过关系中的多个评估，并且可以被说成是在多个维度上偏离。基线的状态与偏离或漂移的显现也被描绘。

图12描绘根据一个实施例的资产集合和基于逻辑运算的资产选择处理。

图13描绘根据一个实施例的由单个事件组成的事件流和与该事件流相关的关系集合。关系选择处理被示为基于其中运算符选择基线中将被评估的两个关系的逻辑运算。该图还展示了关系可以如何包含作为复合数据结构(诸如集合DST Group)的属性。

图14A-14B描绘根据一个实施例的、图12-13中构造的基线、示出偏离基线的两个事件的事件流、以及基线的状态和偏离或漂移的显现。

图15描绘根据一个实施例的资产集合和基于逻辑运算的资产选择处理。

图16描绘根据一个实施例的、事件流(在这种情况下，认证事件)、与该事件流相关的关系的集合、以及基于逻辑运算的关系选择处理。

图17描绘根据一个实施例的、图15-16中构造的基线、示出偏离基线的单个事件的事件流、以及基线的状态和偏移或漂移的显现。这示出了相对于单个资产的事件可以如何被所述系统评估。

图18描绘根据一个实施例的资产集合和基于逻辑运算的资产选择处理。该资产集合包含具有由被称为“Asset Ports”的数据元素的列表组成的属性的资产。

图19描绘根据一个实施例的、事件流(在这种情况下，“扫描事件”)、与该事件流相关的关系的集合、以及基于具有被命名为“Detected Ports”的属性的关系的关系选择处理。此外，这例示说明了关系可以如何对与资产属性相关的事件属性进行评估，因为关系检查“Detected Ports”的列表是否等于“Asset Ports”的列表。

图20描绘根据一个实施例的、图18-19中构造的基线、示出偏离基线的单个事件的事件流、以及基线的状态和偏离或漂移的显现。

图21描绘可以与本公开的各种实施例结合使用的示例性事件、规范化、资产、关系和基线架构。

图22描绘可以与本公开的各种实施例结合使用的示例性事件头和数据可以如何被表示在事件中的描绘。

图23描绘可以与本公开的各种实施例结合使用的示例性事件、示例性数据属性分类、以及用于事件数据属性的评估方法的示例性集合。

图24描绘根据本公开的各种实施例的示例性方法的两个流程图。

图25描绘可以与本公开的各种实施例结合使用的示例性计算环境。

图26描绘根据本公开的各种实施例的示例性安全控制和管理组件。

图27是根据本公开的各种实施例的示例性系统的框图。

图28描绘根据一个实施例的基线的示例性时间评估。例示说明的“自由运行”评估时间段由时间T1和T2之间的时间段组成。图28中还例示说明了由一天组成的时间D1的七个划分组成的加时间框的评估时间段。描绘了由一小时组成的时间D1、D2和由一分钟组成的D3的两个再分级别。

图29描绘根据一个实施例的具有命名的重叠再分的加时间框的评估时间段。

具体实施方式

用于网络监视和控制的常规系统通常具有有限的生成指示正常操作或与正常的偏离的信息的能力或者不能生成指示正常操作或与正常的偏离的信息。这样的挑战在分布式计算、虚拟化计算系统或“云计算”系统中可能是特别困难的，其中这样的系统的组件和环境可以频繁地且快速地改变。

另外，用于网络监视和控制的常规系统通常仅使用来自单个源的数据、或者仅使用一种类型的数据(诸如网络流程数据)，从而排除重要的上下文支持的数据的潜在源并且提供联网的系统之间的信息流程的一维、以网络-协议为中心的视图。

此外，常规系统通常不向用户(诸如网络管理员、操作者和安全架构师)提供诸如是允许、还是拒绝对于网络上的另一个资产托管的服务的特定的资产访问权的决策所基于的综合的且可行动的信息。本公开的各种实施例帮助解决如以下进一步描述的这样的挑战。

本文中提供系统、方法和计算机程序产品。在本文中的详细描述中，对于“各种实施例”、“一个实施例”、“实施例”、“示例性实施例”等的论述指示所描述的实施例可以包括特定的特征、结构或特性，但是每一个实施例可能不一定包括该特定的特征、结构或特性。而且，这样的措辞不一定是指同一个实施例。此外，当特定的特征、结构或特性被结合实施例描述时，认为连同其他实施例实施这样的特征、结构或特性(不管是否被明确地描述)在本领域技术人员的知识内。在阅读描述之后，如何在替代实施例中实现本公开对于相关领域技术人员将是显而易见的。

在各种实施例中，本文中所描述的方法使用本文中所描述的各种特定机器来实现。如本领域技术人员立即将意识到的，本文中所描述的方法可以使用以下特定的机器和下文中阐述的那些机器、按任何合适的组合来实现。此外，如从本公开明确的，本文中所描述的方法可以导致某些物品的各种变换。

为了简洁起见，在本文中可能不会详细描述所述系统(和所述系统的单个的操作组件中的组件的)常规的数据联网、应用开发和其他功能方面。此外，本文中所包含的各图中所示的连接线意图表示各种元素之间的示例性功能关系和/或物理耦合，所述各种元素包括例如，事件流(诸如IPFIX数据馈送)、数据信道、直接网络检查(诸如在入侵检测系统中)、日志馈送、日志检查、和/或可编程交互(诸如利用应用编程接口(API)的那些)。应注意，许多替代的或附加的功能关系或物理连接可以存在于实际的系统中。

本公开可以引用以下列表中定义的以下术语。该列表中的定义仅仅是示例性的。基于术语的不同定义以及不同术语的改变、修改和变化意图包括在本公开的范围内。

资产——基于在数据中心、虚拟化计算机或虚拟机中对数据进行处理的虚拟化计算系统的分立的硬件。资产可以要么通过如成员资格策略中表达的自动化方法、要么手动地通过用户交互而变为信任区的成员。

资产属性——资产的命名的性质，包括，但不限于，任何操作系统配置设置、部署在资产上的数据处理应用、应用配置设置、基于硬件的或虚拟化的系统组件(包括网络接口、存储器、硬盘、联网组件互连、唯一标识符、名称、或与资产、资产配置或资产在物理的或虚拟化的数据中心系统内的位置相关联的任何分立的数据组件或标签)。作为一个例子，资产的信任区成员资格是该资产的属性。

属性值对——属性标识符或名称的具有值的实例。该值可以是适合于存储属性所表示的数据的任何数据类型。

事件流——来源于计算、网络或安全系统中的任何元件的、原始的或规范化的数据结构序列。事件流包含与计算机的操作、网络、或计算环境中的表示某个组件一般、但不一定是在特定时间的状态的安全元件相关的数据序列。

基线——暂时地或瞬间地对一个或多个事件集合评估的一个或多个资产和一个或多个关系的组合。

漂移——计算或联网系统的以聚合事件体系表达的条件，其中一个事件或一系列的事件通过或未能通过如本文中所描述的关系所表达的评估。

安全技术控制——执行安全功能或者改变元件的安全姿态或状态的装置、技术、软件程序或元件的配置或属性，所述安全姿态或状态包括，但不限于：防火墙、入侵检测和预防、漏洞扫描、漏洞管理和缓解、反恶意软件、基于主机的入侵检测和预防、文件完整性监视、认证-授权-审计、运动加密、静止加密、加密密钥和令牌管理、用户权利管理、网络访问控制、密码长度规范、规定各种安全级别的一个上下文或另一个上下文中的系统或元件的操作的配置设置。

策略——策略是用于指导系统或系统组件/元件的操作或行为的规则、规则集合和或数据集合。具体地说，与规定行为的安全技术控制和该控制的功能相关联的数据的主体。

逻辑区——可以具有或者可以没有与一套策略相关联的公共属性的任意分组的资产。逻辑区在本文中也被称为组或逻辑组。

管理程序——创建并且运行虚拟机的一件计算机软件、固件或硬件。

虚拟交换机——管理程序上的提供虚拟机的网络互连的一件软件。

防火墙——基于软件或硬件的安全技术控制，该控制通过对通信量组件(分组)进行分析并且基于规则集合做出通过或阻挡通信量的决策来控制通过该控制的网络通信量。

入侵预防系统(IPS)——基于软件或硬件的安全技术控制，该控制基于签名或行为建模来检查网络连接以用于检测并且中断不合需要的网络通信量的目的。

漏洞扫描器——基于软件或硬件的安全技术控制，该控制通过网络连接到资产或者将资产作为处理运行并且基于已知的漏洞签名、漏洞指示器、资产的观测的行为、在资产上运行的程序、和/或资产的操作属性对资产进行评定的处理来对网络上的资产的漏洞状态进行评定。

遵从框架——为了根据建立的规章、规范或立法定义的目的而公布的一组结构化的指导方针、处理和过程。

组——参见以上“逻辑区”。“猫鹊”信任区是组或逻辑组和一套策略的非限制性例子。

信任区——由一批策略组成的逻辑分区构造，所述一批策略包括控制配置策略、成员资格策略、以及实现响应于计算环境中的改变的动态控制重新配置的一批方法。信任区是组的非限制性例子。

GRC——治理风险和遵从，组织内的分别处理公司治理、企业风险管理(ERM)和对于适用法律和规章的公司遵从的三个相关功能的广义化分组。

关系——从所述系统用各种方法评估的资产属性和或事件属性派生的属性集合，所述各种方法包括，但不限于：集合论、数学变换、概率图形模型、以及对于属性暂时性地或瞬间地通过也包含在关系中的评估而包含的、根据已知的和适当地设计的数据类型学(例如，Chrisman类型学)的数据类型的任何适当的评估。

现在参照图25，描绘了可以结合本公开的实施例操作的示例性计算环境100。环境100的组件可以使用硬件和软件组件的任何期望组合来实现，并且可以由例如图27中描绘的主机计算系统810(下面更详细地讨论)托管。可替代地，或者另外地，图27的系统800(或其任何部分)可以包括在环境100中。

在图25所示的例子中，环境100包括四种不同类型的组件：计算元件(CE)、联网元件(NE)、管理元件(ME)和安全元件(SE)。本公开的实施例可以与任何数量的这样的组件以及其他组件进行交互。每个单个的组件可以表示计算机或虚拟机，所述计算机或虚拟机包括任何期望的物理的或虚拟化的硬件计算资源，诸如处理器、存储器、开关、路由器、载荷均衡器、操作系统、软件应用和/或配置元件(文件、处理、策略、程序)。图25中所描绘的任何元件或其衍生物可以使用物理组件和虚拟组件的任何期望组合来实现。虚拟化元件可以通过使用任何期望的管理程序软件(诸如VMware ESXi、Microsoft Hyper-V和/或KernelVirtual Machine(KVM))而被绑定到物理硬件。

计算元件的特征在于它们用作专用于数据处理和向各种特权级别的用户群体提供应用的形式的计算机服务的应用平台的功能。计算元件的一个例子可以包括运行应用的物理的或虚拟化的Microsoft Windows服务器或Linux服务器。

网络元件的特征在于它们使用联网技术和协议来提供计算环境内的各种元件的(部分的或整个的)互连并且提供计算环境元件之间的数据传输的功能。网络元件的例子可以包括路由器、交换机、虚拟化交换机、网络、VLAN、和/或软件定义的联网组件(包括虚拟可扩展LAN(VXLAN))。

管理元件的特征在于它们用作专用于计算环境的管理和操作、数据处理、以及向有特权的管理用户的用户群体提供管理和操作应用的形式的管理和操作服务的托管应用的功能。管理元件可以管理其他元件，包括计算元件、网络元件或其他管理元件。管理元件的一个例子可以包括运行VMware vSphere服务器软件的Microsoft Windows服务器，VMware vSphere服务器软件管理计算环境中的管理程序。

安全元件的特征在于它们提供网络、主机、虚拟机、资产、程序处的或处理级别上的各种技术安全控制的实现的功能。安全元件可以具有分层部署架构，这些架构包括任何期望数量的以物理的和/或虚拟化的格式实现的网络元件、管理元件、计算元件、程序、处理和方法。安全元件的例子可以包括防火墙应用及其管理元件或软件、防恶意软件及其管理和更新机制、漏洞扫描器、和/或用于访问或用户权利的集中式公钥基础设施。

图26描绘根据本公开的实施例的安全控制管理系统(SCMS)200的组件以及程序化输入和输出。该实施例可以包括实现SCMS 200的各种功能的各种硬件和软件组件、软件算法、数据结构和数据库。替代的SCMS可以具有更多的、更少的或不同的组件和功能性。

在图26中描绘的示例性实施例中，SCMS 200通过经由一个或多个标准化和/或专有接口或应用编程接口(API)实现的程序化消息传送机制来与计算环境进行交互。所述接口可以利用安全套接字层(SSL)加密、以及任何其他的期望的加密技术来确保消息、事件、指令和命令的隐私性和完整性。本公开的实施例所用的加密技术可以包括对于发送元件和接收元件的相互认证。程序化消息传送机制可以通过本公开的示例性实施例以任何合适的方式实现，诸如经由API、命令行接口集成、数据库查询、显示数据的程序化类集(即，屏幕抓取)、处理间通信方法、文件系统访问及其他方式。

通过程序化消息传送机制，SCMS 200发现关于计算环境的信息。这样的信息可以包括与单个的元件、元件的组合或所有元件相关的信息。发现的信息可以被SCMS 200用于任何期望的目的，诸如标识将被所述系统进行安全保护的元件和/或启发式地确定用于配置安全技术控制的元件属性。发现的信息还可以用于评估对于政府规章或行业规章、安全姿态、安全控制功能、安全控制功效、安全控制覆盖范围和/或安全控制操作的遵从。

程序化消息传送机制可以包括一个元件或多个元件和SCMS 200之间的交换(在被一个元件或多个元件支持的情况下)、元件相关的消息、日志、遥测技术、配置设置、通过包括或不包括SCMS 200的程序或处理产生的数据、元件属性、反映元件的当前状态和配置的数据、以及相对于元件本身的或者从所述元件或计算环境中的其他元件可获得的与安全技术控制、策略或基准相关的任何其他的数据，所有这些都是事件的例子。

程序化消息传送机制还可以包括命令和/或配置接口，该接口用于就配置设置、策略、配置文件、包括程序和处理的元件组件的启动和停止来重新配置元件、和/或将用于改变元件的操作状态的命令直接发给元件或者发起通过相同机制执行的重新配置，所有这些都是指令的例子。

在图26中所描绘的示例性实施例中，各种组件可以包括执行各种功能的硬件和/或软件组件的任何期望的组合。例如，事件处理和管理组件可以对这样的事件进行规范化或变换以用于被其他组件归档和进一步处理。规范化和变换可以包括通过添加用于将事件与信息资产相关联的目的的资产相关标识符来替换或添加资产属性、从事件移除数据以为了归档的目的缩小空间、添加被所述系统确定为通过事件或从来源于其他元件的事件产生的、从所述系统输出的算法输出与发起元件相关的属性。事件处理可以包括从事件提取数据流和与策略、资产标识、安全技术控制的配置的创建、维护和执行相关的信息、以及与元件相关的数据和元件的与基准或基线相关的状态，所述与基准或基线相关的状态与所述基准或基线一致并且影响对于所述基准或基线的遵从程度。

逻辑区创建和配置执行与信任区创建和配置相关的任务。该组件处理信息资产到逻辑区(信任区)的映射，并且提供安全技术控制策略与信息资产的关联。

策略和基准逻辑和启发组件执行与逻辑区和在元件事件流的上下文内它们内的信息资产相关的并且在这些逻辑区和信息资产的上下文内的安全技术控制的策略和配置的分析。该组件对事件中包含的数据进行测量以用于验证仍在适当位置上的控制进行验证的目的，并且将这些控制验证映射到各种遵从框架，诸如PCI DSS 2.0、HIPAA、COBIT 4.1、DIACAP和/或FISMA、以及任意的框架，诸如由操作者通过规定以下各项的各种组合决断设计的那些：策略、技术控制、资产属性、与通过事件验证的SCMS的所需交互、和/或各种类型的元件的属性(诸如图25中描绘的那些)。该逻辑对安全技术控制配置和资产属性中的改变进行评估，并且基于这些资产属性改变来执行安全技术控制策略重新配置以用于维护安全技术控制的策略和应用以及对于基准的遵从的目的。该逻辑对各种策略设置进行评估，并且响应于资产属性改变和资产信任区成员资格改变来采取适当的动作。

控制管理和指令组件执行指令的构造，并且发起向计算环境元件的指令递送以从元件实施适当的一个动作或多个动作，包括：产生事件、在任一方向上传送配置和处理数据、启动并且停止安全技术控制、用更新的策略重新配置安全技术控制、重新配置任何类型的元件、启动并且停止程序或处理、改变配置或影响配置的属性、以及验证所述控制被应用于通过事件或指令供应的配置数据所限定的任何信息资产。

事件数据库是用于存储、检索和管理来自任何一个和所有的元件(包括安全控制软件本身)的事件的数据库。该数据库用于存储以及随后查询关于资产属性数据、安全控制配置数据、策略数据和事件数据的事件以用于在其他组件中实现的各种逻辑块和启发的目的。

资产/属性数据库用于存储、检索和管理资产和资产属性数据。该数据库用于存储以及随后查询资产和资产属性数据以用于在其他组件中实现的各种逻辑块和启发的目的。

信任区数据库是用于存储、检索和管理逻辑区(信任区)的数据库组件。该组件用于存储以及随后查询、更新、修改信任区、信任区内的信息资产、与信任区相关联的安全技术控制策略以用于在其他组件中实现的各种逻辑块和启发的目的。

策略数据库是用于存储、检索、查询和管理用于安全技术控制、资产、实现本公开的实施例的软件(或其部分)和环境的策略的数据库组件。

图21描绘SCMS的支持根据本公开的实施例的功能和特征的附加元件。该实施例可以包括实现SCMS 200的各种功能的各种硬件和软件组件、软件算法、数据结构和数据库。替代的SCMS可以具有更多的、更少的或不同的组件和功能性。

在图21中所描绘的附加组件的示例性实施例中，SCMS通过经由一个或多个标准化和/或专有接口或应用编程接口(API)实现的程序化消息传送机制来与计算环境进行交互。所述接口可以利用安全套接字层(SSL)加密、以及任何其他的期望的加密技术来确保消息、事件、指令和命令的隐私性和完整性。本公开的实施例所用的加密技术可以包括对于发送元件和接收元件的相互认证。程序化消息传送机制可以通过本公开的示例性实施例以任何合适的方式实现，诸如经由API、命令行接口集成、数据库查询、显示数据的程序化类集(即，屏幕抓取)、处理间通信方法、文件系统访问及其他方式。

具体地说，图21描绘在有必要呈现足以用于评估关系的目的的事件流时、多个操作消息(不限于所描绘的那些)如何被收集、然后被规范化、相关、净化和变换、被共同规范化。关系被存储，并且被从关系数据库检索。资产和关系通过运算符组合以形成基线，基线然后被查看、检索、和或直接地或通过引用被存储在基线数据库中。例如，基线数据库可以是引用关系数据库和资产属性数据库的数据结构，或者可替代地，该数据结构可以被存储在单独的数据库中。

在一个实施例中，信任区成员资格策略可以规定资产如何基于资产属性和来源于SCMS收集的任何元素的事件被自动地放置到一个或多个信任区中。每个资产可以被评定，因为指示资产属性已经改变的事件在所有的信任区成员资格策略的上下文内被安全控制软件接收以便通过将资产从一个信任区移到另一个信任区或者将资产添加到另一个信任区来实施信任区成员资格改变。

本文中所描绘的方法的元素的任何组合和/或子集可以按任何合适的次序并且与任何合适的系统、装置和/或处理结合实施。本文中所描述的和描绘的方法可以以任何合适的方式实现，诸如通过在一个或多个计算机系统(包括图27中所描绘的主机系统810)上操作的安全控制软件。安全控制软件可以包括存储在有形的计算机可读介质(诸如主机计算机系统810的存储器814)中的计算机可读指令，并且可以被一个或多个处理器(诸如主机计算机系统810的处理器812)执行以执行各种实施例的方法。

在一个实施例中，一种方法包括：标识与一个或多个逻辑区相关联的一个或多个资产，与一个或多个组件建立连接，将一个或多个安全策略与一个或多个逻辑区相关联，检测一个或多个资产的一个或多个属性中的改变，检测安全漏洞和对这些安全漏洞的校正，改变一个或多个资产的区域成员资格，修改一个或多个防火墙配置设置，将一个或多个遵从策略与一个或多个逻辑区相关联，分析对于防火墙配置设置的修改，确定一个或多个遵从级别，并且显示一个或多个遵从级别。该方法的步骤可以用在计算机系统(诸如图27中所描绘的示例性主机计算系统810)上操作的软件来实现(整个地或部分地，并且按任何期望的次序)。

如以上所讨论的，本公开的实施例可以用于(例如，在诸如客户端或用户装置的计算装置的显示器上)描绘关于网络资产和这样的资产之间的网络连接的多种多样的信息。这样的信息可以以各种方式提供给用户，诸如经由上述流程信息图。各种实施例也可以被改为执行如对于本文中的各种实施例所描述的网络系统行为基线化。

具体地说，本公开的实施例可以用于选择网络数据连接的一个或多个操作属性并且当偏离发生时向操作者提供可行动的情报(例如，经由如上所述的显示器)。这通过各种安全技术控制的操作使得可以对网络活动中的偏离进行上下文分析，并且呈现在网络中可能不利的或错误的那些活动的更特定的图片。

根据本公开的一个实施例的计算机实现方法包括：计算机系统从网络上的多个不同类型的源收集数据；计算机系统基于收集的数据来标识一个或多个计算资产、一个或多个操作事件、与这些资产和事件相关联的数据属性；计算机系统呈现图形表示，所述图形表示包括计算资产、操作事件、资产和操作事件的属性的表示，其中所述图形表示经由与计算机系统通信的用户界面的显示而呈现；计算机系统经由用户界面接收用户输入，所述用户输入包括：一个或多个计算资产、一个或多个操作事件、一个或多个资产属性、一个或多个操作事件属性以及一个或多个评估准则的选择，并且响应于所述用户输入，创建多个操作事件流的实时或批量分析，并且作为这些分析的结果，经由所述用户界面或任何适当的消息传送机制向用户呈现这些操作事件流中的偏离，这些偏离表示计算系统的行为中的相对于基线的定性变化和定量变化。此外，随着时间的过去，本公开的实施例可以通过操作事件流的观测创建这些基线和分析。

图24描绘根据本公开的各种实施例的两个示例性处理。创建基线(2400)方法包括：收集资产和事件数据并且将它放置到适当的属性中(2410)，对该数据执行各种规范化、相关、净化和变换(2415)，设置用于分析的时间边界和约定(2420)，选择资产(2425)，选择事件流(2430)，创建关系(2435)，选择关系(2440)，创建基线(2445)，根据基线对事件流进行评估(2450)，显现基线和与基线的偏离(2455)，并且创建对于标识的偏离的警告(2460)。方法2400的步骤可以用在计算机系统(诸如图27中所描绘的示例性主机计算系统810(下面进一步讨论))上操作的软件来实现(整个地或部分地，并且按任何期望的次序)。

在一个实施例中，可以根据诸如2016年3月10日公布的、标题为“Systems andMethods for Network Analysis and Reporting”的国际公布No.WO/2016/036485中所描述的事件收集方法来从多个不同的源收集资产和事件数据(2410)，该申请特此整个地通过引用并入。

在一个实施例中，根据如2016年3月10日公布的、标题为“SYSTEMS AND METHODSFOR NETWORK ANALYSIS AND REPORTING”的国际申请公布No.US 2016/0072831中所描述的方法来进行事件数据的规范化，该申请特此整个地通过引用并入。

在一个实施例中，基于时间边界来对基线进行评估，所述时间边界可以包括加时间框的或自由运行的分析。例如，参照图28，自由运行的评估时间段可以经由用户输入来确定，诸如通过任意地选择起始时间、然后停止时间、通过选择按钮、或者通过录入任意的或时间对齐的边界的预定义时间段(例如，“在下一个小时内进行评估”)来标记评估时间段。操作者可以选择在固定的时间段(比如一小时、一天、一周或一个月)内对基线进行评估。

评估时间段也可以加上由任何数量的预定义时间段(诸如：七天、三十天)组成的时间段组成的时间框。时间段或时间线可以被再分为子时间线以提供时间线内的变化。通过该方法，具有最短持续时间的每个再分是主要评估单元，总时间段的总评估由主要单元的持续时间的评估的集合组成。通过该方法，可以基于与在具有更长持续时间的划分内的类似的序数位置的主要单元中发生的活动的偏离来推导与基线的偏离，所述处理对于每个划分和再分继续进行。

例如，参照图28，时间D1(一天)的七个划分可以表示一周。一周的每天可以被进一步再分为小时，每小时被再分为分钟。因为网络通信量和计算机使用率可以基于在评估时间段内发生的周期(诸如营业周)而变化，所以该方法可以用于比较基线，这些基线捕捉周一早上8am和9pm之间的通信量之间的偏离、或营业时间期间的每日通信量、和/或与对于雇员的工作时间和非工作时间的偏离、或在时间空间的任何分区上发生的偏离(例如，在周日与不同的周日的相同分钟偏离分钟01:01)。

时间段还可以具有命名的叠加，这些叠加具体地标识划分。例如，参照图29，考虑一个日历周的时间线。第七天(周六)的21:00-24:00之间的三小时窗口可以表示保持窗口，在该窗口中，可以预期会发生仅在这周的这个时间段期间发生的某些事件。这周的其余时间期间的这样的事件的标识将被认为是偏离。

在一个实施例中，在目前公开的上下文下，持续时间、划分、再分和命名的叠加基于日历和时钟的标准划分而被呈现给用户，并且用户可以基于任何起始时间和结束时间来指定命名的叠加。时间参数的设置(2420)向用户呈现各种时间配置方法以标识周期性的、周期性重复的、子时间线、子时间线标识符、和所述系统的自由运行的操作。

在一个实施例中，资产的选择(2425)可以如2014年12月4日公布的、标题为“Systems and Methods for Dynamic Network Security Control and Configuration”的美国专利申请公布No.2014/0359749(该申请特此整个地通过引用并入)中所描述的那样执行，并且可以用基于对于资产和信任区属性的查询的组合的任何类型的调理逻辑来进行。

可以选择各种事件流以用于在所述系统中通过关系来进行评估(2430)。例如，在目前公开的一个实施例中，操作者可以选择创建对来自被称为NetFlow的特定事件类型的事件属性进行评估的关系(2435)。在这种情况下，这些关系将被所述系统关联到其中事件类型＝“Netflow”的所有的事件。当属性被选择时，适当的事件流被呈现给操作者以用于包括。

方法2400进一步包括创建关系(2430)。在一个实施例中，本公开的上下文下的关系表示从所述系统用各种数学方法和其他方法评估的资产属性和或事件属性派生的属性的集合，所述各种数学方法和其他方法包括，但不限于：集合论、统计分析、概率图形模型、矢量分析、以及对于属性暂时性地或瞬间地并且单个地或组合地包含的、根据已知的和适当设计的数据类型学(例如，Chrisman类型学)的数据类型的任何适当的评估。

在一个实施例中，关系可以包括一个或多个属性的分析，并且可以包括对于被共同看作一个矢量或多个矢量的多个属性的同时分析。关系由标识的属性和对应的评估或评估器组成，所述评估或评估器表示对来自事件的属性执行的处理(例如，图23示出用于某些属性的评估的各种例子)。因此，作为例子，第一关系可以由属性和评估器组成，第二关系可以标识相同的属性，但是不同的评估器。

例如，在本公开的一个实施例中，图23描绘具有其相关联的属性(在被标记为“事件数据”的框中标识)的类型NetFlow的类型的事件的图形表示。图23中还包括描绘用于每个属性的几个不同的评估，这些评估可以在作为类型NetFlow的处理事件的关系内执行。图23包括基于简单的数据属性分类方案的简单的评估。

在一个实施例中，在目前公开的上下文下，基于多个简单的属性的复杂的组合属性可以被组合为矢量、被作为聚类进行分析、或者经由矢量分析、贝叶斯网络、马尔可夫网络、动态贝叶斯网络、K均值聚类、K最近邻、或具有在首次运行中适当的或者基于先前的对于相似数据的分析的监督式或非监督式分析的任何适当的机器学习算法被顺序地分析。

现在在下面呈现的一系列例子例示说明方法2400如何在本公开的各种实施例内实现。

参照图7(其涉及从资产集合和关系集合定义基线)，操作者(例如，图27中的主机系统810的用户)被呈现所述系统经由例如如2014年12月4日提交的、标题为“Systems andMethods for Dynamic Network Security Control and Configuration”的美国专利申请公布No.2014/0359749中更详细地讨论的方法获得和定义的资产集合，该申请特此整个地通过引用并入。利用逻辑运算符和资产属性(例如，经由主机系统810的显示器上的用户界面录入)，操作者选择或定义资产集合，在该例子中，基于“Name＝Z1Asset1 OR Name＝Z4Asset6”来选择或定义。该逻辑表达将标识两个资产。

操作者然后选择表事件集合E所表示的事件流。该表表示与关系相对应的适当的事件流，并且意在于例示说明这样的事件的序列将在基线实例化时被评估。操作者然后被呈现已经被创建的现有关系的集合。这些也可以由用户经由类似的方法创建。通过使用类似的逻辑选择处理，操作者基于具有关系中所包含的两个文本串“Z1Asset1”和“Z4Asset6”的关系来选择关系。这可以通过任何适当的属性或值匹配机制来实现。通过该逻辑选择，被命名为Relationship3的关系被选择。用户保存基线以使得它包含或指代选定的资产、事件流和关系(注意，例如，“保存”按钮可以被用户用于发起保存该数据，但是该按钮在附图中没有示出)。

在一个实施例中，根据方法2460，用户被呈现警告策略，该警告策略使得用户可以定义是否产生警告消息(例如，显示在主机系统和/或客户端装置上)和适当的警告限流参数。例子是包含如上所述的信息、加上警告的电子邮件接受者的列表(如果操作者想要使用电子邮件来发出电子邮件通知)的警告策略。注意，在资产选择处理中，多个资产可以包括在基线中，多个关系也可以被如以下所讨论的那样选择。

参照图8A-8B(其涉及对基线就漂移进行评估)，基线元素被例示说明，并且包括选定的资产、关系和事件流。当基线被实例化、保存它、因此将它提交到所述系统进行评估时，所述系统然后将开始对事件流进行评估。这是飞速实例化的例子。这暗示着操作者“现在”在时间T0保存基线，并且事件流表示在时间T1或之后发生的事件的流，其中T1>T0。此外，事件流将是连续的，表示这样的收集的事件的序列，每个事件在时间>T0发生。

在描绘中，为了例示说明基线的评估，只示出了在时间T1-T4发生的四个事件。事件被一个接一个地评估，与方法2450一致，并且每个事件是基于关系Relationship3中的评估器评估的。当时间T4时的事件被评估时，目的地资产和目的地端口属性与评估匹配，但是源资产与评估不匹配。这里的符号“＝”或等号被像“在集合中”那样评估，所以本公开的实施例还可以基于如以下说明的关系(例如，参见图13中的Relationship3)中所定义的列表来对事件属性进行评估。

在图8A-8B的底部，呈现了基线的两个不同的显现。第一个显现展示显现可以呈现多个事件。第二个显现示出本公开的视觉元素可以如何用拓扑图中的线或节点的形式表示合并的或总结的数据。这两个描述都说明了方法2455。2016年3月10日公布的、标题为“Systems and Methods for Network Analysis and Reporting”的国际公布No.WO/2016/036485中描述了可以用于这样的拓扑图的拓扑用户界面的例子，该申请特此整个地通过引用并入。

另外，按照选定的策略，所述系统还可以产生包含或引用基线和偏离的事件的警告消息。

在替代例子中，参照图9A-9B，操作者被呈现所述系统获得和定义的资产集合。2014年12月4日公布的、标题为“Systems and Methods for Dynamic Network SecurityControl and Configuration”的美国专利申请公布No.2014/0359749中描述了可以用于这样的资产选择的资产类集的例子，该申请特此整个地通过引用并入。通过利用逻辑运算符和资产属性，操作者选择或定义资产集合(例如，通过使用显示上呈现的用户界面)。该例子中的这个选择是基于“Group＝TrustZones1 OR Group＝TrustZone4”。该逻辑表达将标识如所示的四个资产。可替代地，本公开的实施例提供基于适当的数据类型和评估的不同的资产或事件属性的附加的查询机制。

例如，在图9A-9B中，呈现了替代的表达，“IP＝192.168.1.0.24OR IP＝10.10.10.0/24”和“Name in Set A where NAME in[Z1Asset1,Z1Asset2,Z4Asset6,Z4Asset7]”。前述的后者在功能上等同于组评估，因为集合中的那些资产表示以下信任区的所有成员：TrustZone1和TrustZone4。所有的选择的结果是Z1Asset1、Z1Asset2、Z4Asset6和Z4Asset7的集合。当利用诸如信任区的分组构造时，本公开的实施例可以显现基于如图9A-9B的底部描绘的信任区成员资格的这样的选择。

图10A-10B描绘如表“事件集合E”所表示的事件流，该表表示类型NetFlow的事件的替代流。在这种情况下，来自事件的更多的数据属性包括在内以用于评估。操作者被呈现已经为该事件流创建的四个关系(例如，由所述系统在用户的当前选择处理之前创建)，并且操作者基于逻辑运算“Src TZ＝TrustZone4AND Dest TZ＝TrustZone1”来选择关系，该逻辑运算导致关系4被选择。

图11A-11C描绘由四个资产(Z1Asset1、Z1Asset2、Z4Asset6、Z4Asset7)和一个关系(关系4)组成的所得基线。如前一个例子中那样，用户对基线进行实例化，所述系统开始对事件流进行评估。图11A-11C中的表中描绘了事件流。一直到时间T7时的事件的所有事件都对关系4肯定地评估。

在时间T8，对未能通过对于以下各项的评估的事件进行评估：Src TZ、Dest TZ和Dest Port。该事件被说成是在三个维度上偏离基线。通过本公开呈现的可能的显现呈现在图9A-9B的底部，该显现示出与拓扑线(其可以例如为红色)的偏离和节点边界着色。

在替代例子中，参照图12，操作者被呈现所述系统获得和先前定义的资产集合。2014年12月4日公布的、标题为“Systems and Methods for Dynamic Network SecurityControl and Configuration”的美国专利申请公布No.2014/0359749中描述了可以用于这样的资产选择的资产类集的例子，该申请特此整个地通过引用并入。通过利用逻辑运算符和资产属性，操作者选择或定义资产集合。在该例子中，基于“Group＝TrustZones3 ORGroup＝TrustZone2 OR Group＝TrustZone1”。基于该例子中的资产体系，该逻辑表达将标识如所示的四个资产，这些资产被认为是选定的资产。

图13描绘类型NetFlow的单个事件的形式的事件流，但是这表示事件流，并且意不在于限制。在该例子中，事件流具有三个定义的关系。此时，操作者基于逻辑表达“DestPort＝3389OR Src Group＝TrustZone3”来选择关系。该逻辑表达标识这三个关系中的两个：Relationship2和Relationship3。操作者选择两个关系包括到基线中，并且如以上所讨论的那样对基线进行实例化。

图14A-14B描绘包括四个资产和两个关系的基线。事件流被如前那样评估。流中的每个事件是对照Relationship2和Relationship3这两个关系评估的。时间T13和T14时的事件偏离基线，因为Dest Port＝22，并且不“在集合中”，所述集合为Relationship2中定义的集合3389。基线和偏离的显现被描绘在图14A-14B的底部。在描绘两个组之间的连接的显现线中，如果它们所表示的连接没有偏离或者未能通过关系中的评估，则是一种颜色(例如，黑色)。如果组之间的连接偏离或者未能通过关系中的评估，则描绘这些连接的线将是不同的颜色(例如，红色)。

在替代例子中，参照图15，操作者被呈现所述系统获得和定义的资产集合。2014年12月4日公布的、标题为“Systems and Methods for Dynamic Network Security Controland Configuration”的美国专利申请公布No.2014/0359749中描述了可以使用的例子，该申请特此整个地通过引用并入。通过利用逻辑运算符和资产属性，操作者选择或定义资产集合。在该例子中，基于“Group＝TrustZone1”。基于该例子中的资产体系，该逻辑表达将标识如所示的两个资产。

在图16中，操作者选择由来自活动目录服务器的认证事件组成的事件流。用于该事件流的三个现有的关系存在于所述系统中。关系可以要么默认地基于连接模型(例如，在本公开中被先验地实例化)的先前的分析提供，要么事先由操作者通过选择属性和评估的处理创建。关系由属性和评估(比如例如图23中描述的那些)组成。通过使用逻辑运算符，操作者基于“Name＝Relationship3”选择关系，从而显式地选择Relationship3。Relationship3包含以下属性和评估器：“Event Type＝Auth”、“Group＝TrustZone1”和“User＝[alice,bob,charles]”。如前面的例子中那样，该关系包含集合数据。

如下详述每个评估。“Event Type＝Auth”意味着对于类型“Auth”的每个事件，所描绘的事件流是类型Auth的所有事件。“Group＝TrustZone1”意味着对于类型Auth的每个事件，与TrustZone1中的资产或具有“Group＝TrustZone1”的任何资产有关。如果在认证事件中指示的用户在集合[alice,bob,charles]中，则该事件在基线内。如上所述，操作者对基线进行实例化。对基线进行实例化将评估连接到事件流，并且要么在实例化时开始评估处理(例如，开始所有的后续事件的评估)，要么基于对于基线的时间设置开始对先前存储的事件集合进行评估处理。

图17描绘具有选定的资产和关系的基线。对于图17所示的事件流，时间T15时的事件偏离基线，因为该事件的User属性等于“dan”。“User＝dan”属性值对未能通过评估器“User＝[alice,bob,charles]”。该例子示出本公开的实施例可以如何评估不同类型的事件流，在这种情况下，与单个资产有关的一元事件，而在前面的例子中，事件是二元的，因为它们与作为类型NetFlow的事件的两个资产有关。可以说，在这种情况下，两个相关的资产是活动目录服务器“ADSrv 1”，并且每个单个的资产被定义在基线中。这是可选的(即，不是必要的)，但是不被目前公开的可能的实施例排除。

在图17的底部，描绘了通过目前公开的实施例生成的一个可能的显现。这种类型的事件流与拓扑图中的节点有关，因此，在资产描绘的边缘上提供描绘偏离的色差(例如，在呈现给操作者的矩形或其他形状的周边上使用有色边界)。

替代显现可以包括对任何一个/所有的图描绘中的诸如信任区的组结构(甚至与诸如NetFlow评估的二元事件有关的那些)简单地描画阴影或者添加图示。这表明在显现中从基线的所有漂移都持续存在，不管特定的基线是否被选择用于显现。

在替代例子中，参照图18，操作者被呈现所述系统获得和定义的资产集合。2014年12月4日公布的、标题为“Systems and Methods for Dynamic Network Security Controland Configuration”的美国专利申请公布No.2014/0359749中描述了可以使用的例子，该申请特此整个地通过引用并入。

通过利用逻辑运算符和资产属性，操作者选择或定义资产集合。在该例子中，基于“Group＝TrustZones1”。基于该例子中的资产体系，该逻辑表达将标识如所示的两个资产。在该例子中，描绘了资产的不同属性。与Name和Group属性一起，示出了被称为“AssetPorts”的新的属性类型。这些属性是通过与漏洞扫描仪的交互而分配的。如所描绘的，并非所有的资产都具有分配的这些属性，这表明资产从未被扫描。

图19描绘来自一组漏洞扫描器“Appliance1”和“Appliance2”的事件流。事件示出用端口号标识监听服务的简单的端口扫描的结果。如前，操作者被呈现现有关系的集合，并且基于逻辑运算“Detected Ports”选择一个关系，这表明她想要选择具有属性“DetectedPorts”的所有关系(即，选择具有该属性的、对于该属性的任何值来说的所有关系)。这里，关系Relationship3被选择。

在该关系中，存在评估器“Detected Ports[]＝Asset Ports[]”。该评估器是在实例化时、针对所有的资产、基于基线中的每个资产的Asset Ports属性的值而填充的。本公开的替代实施例可以提示操作者表明Asset Port分配对于选定的资产存在，并且向操作者呈现现有的Asset Port值的显现或列表以用于在对基线进行实例化之前进行审阅和修改。在没有对资产设置该属性的情况下，评估器将具有将该属性设置为任何适当的值(包括空值)的选项，或者可替代地经由其他方法启动扫描以使得资产属性将经由其他方法设置，例如诸如2016年3月10公布的、标题为“SYSTEMS AND METHODS FOR CREATING ANDMODIFYING ACCESS CONTROL LISTS”的美国专利申请公布No.US 2016/0072815中描述的那些方法，该申请的全部公开内容特此通过引用并入。如前，操作者对基线进行实例化。

图20描绘由两个资产和关系组成的基线。事件流中的时间T26时的事件偏离基线，因为在时间T26，扫描设备“Appliance 2”在资产Z1Asset1上检测到三个开放端口[443,3389,37337]。基线具有如在实例化时动态地定义的、对于Z1Asset1被定义为[443,3389]的“Detected Ports”属性。

在图20的底部，描绘了通过目前公开的实施例生成的一个示例性显现。这种类型的事件流与拓扑图中的节点有关，因此，在资产描绘的边缘上提供描绘偏离的色差。替代显现可以包括对任何一个/所有的图描绘中的诸如信任区的组结构(甚至与诸如NetFlow评估的二元事件有关的那些)简单地描画阴影或者添加图示。这表明在显现中从基线的所有漂移都持续存在，不管特定的基线是否被选择用于显现。

现在在下面讨论包括以上出于非限制性的、示例性例示说明的目的对附图的各种论述的各种实施例。在一个实施例中，一种方法包括：将关于资产的信息存储在资产属性数据库中，其中每个资产包括至少一个属性(例如，图7中的用于Asset1的名称)；将关于关系的信息存储在关系数据库中，其中每个关系包括至少一个属性(例如，图7中的Relationship1的Protocol、或图7中的Relationship2的Port)；基于至少一个属性值从资产属性数据库选择资产(例如，基于逻辑OR运算符选择具有图7中的Z1Asset1或Z4Asset6的Name属性的值的资产)；基于至少一个属性值从关系数据库选择一个或多个关系，选定的关系包括第一关系(例如，基于图7中的逻辑运算符AND选择具有Z1Asset1和Z4Asset6这二者的属性值的关系)；创建基线，其中基线包括选定的资产和选定的关系(例如，图7中的Asset1和Asset4以及Relationship3)；将第一事件流(例如，图8A-8B中的时间T1至T4内的事件序列)连接到基线，其中第一事件流包括事件集合，并且每个事件包括属性(例如，图8A-8B中的事件流的属性Source Asset；或图17中的在时间T15具有“dan”的值的属性User)；并且检测从基线的漂移，其中漂移是使用第一事件流确定的，并且是基于第一事件流的第一事件中的至少一个属性值与第一关系的至少一个属性值匹配的失败(在该实施例中，评估是匹配，并且匹配未能通过关系中的评估)(例如，在图7中在时间T4，Relationship3的评估器“Source Asset＝Z4Asset6”的评估失败，因为用于事件流中的Source Asset的Z4Asset7的值与SourceAsset评估器中指定的值不匹配)。用于执行评估的评估器的另一个例子是图17中的Relationship3的评估器User＝[alice,bob,charles]。

在一个实施例中，连接第一事件流可以通过将每个事件中包含的数据结构提交给将执行评估的软件的编程来执行。

在一个实施例中，检测从基线的漂移可以通过经由任何适当的技术对事件中的数据进行评估的编程来执行，所述各种适当的技术包括，但不限于，数学方法、集合论方法或机器学习方法。

在一个实施例中，所述方法进一步包括将来自包括第一事件流的多个事件流的信息记录到至少一个数据库中。

在一个实施例中，创建基线包括基于属性值选择资产并且基于属性值选择关系。

在一个实施例中，所述方法进一步包括：定义警告策略，并且响应于检测到漂移，基于警告策略产生警告。

在一个实施例中，所述方法进一步包括基于与选定的关系中的属性相对应的评估来对第一事件流的每个事件进行评估。

在一个实施例中，第一关系包括第一属性和与第一属性相对应的第一评估，并且检测漂移进一步包括：对来自事件流中的第一事件的关于第一属性的事件数据进行评估，并且确定评估的事件数据未能通过评估。

在一个实施例中，第一事件包括将使用选定的关系评估的数据，并且其中所述数据是以下中的至少一个：源端口、目的地端口、源资产、目的地资产、源组或目的地组。

在一个实施例中，选定的关系中的每个引用具有事件类型的至少一个事件流，并且其中每个事件流的事件类型是流程(例如，对于图7中的Relationship3，Event type＝Flow)、认证或端口扫描。

在一个实施例中，第一关系的事件类型是认证，并且第一关系包括与被授权用户集合相对应的用户属性。

在一个实施例中，检测漂移至少部分是基于事件的评估，所述事件包括不在被授权用户集合中的用户进行的注册。

在一个实施例中，每个选定的关系引用具有端口扫描的事件类型的事件流，并且每个选定的关系包括具有当选定的关系被实例化时确定的属性值的被检测端口(detectedports)属性。

在一个实施例中，第一关系包括具有与第一组资产相对应的值的属性，并且第一资产包括在基于具有与第一组匹配的属性值的资产的选择的选定的资产中。

在一个实施例中，每个选定的关系的每个属性是资产属性、事件属性、其值是使用来自资产属性或事件属性的评估的至少一个值推导得到的属性(例如，图6A-6B的Attribute5，其表示计算的每一IPFix记录的字节的运行平均数量)、或其值是使用来自资产属性和事件属性中的每个的评估的至少一个值推导得到的属性(例如，与资产相关联的IPFix记录的平均字节计数可以被存储为随着时间的过去的属性值，并且被与经由数学手段(诸如均值、模式或平均值)观测的连接的运行字节计数进行比较)。

在一个实施例中，选定的关系是基于使用逻辑运算符指定标识一组资产的属性的值而选定的，其中包括等于所述值的组(group)属性的每个关系被如图10A-10B中描绘的那样选择。

在一个实施例中，每个事件包括具有基于所述事件发生的时间的值(例如，图7中的与时间T1相对应的值)的时间(time)属性，并且其中所述事件的与选定的关系的至少一个属性相对应的评估包括将所述时间与一个或多个时间范围进行比较。

在一个实施例中，选定的资产的每个资产包括资产端口(asset port)属性(例如，图20中的Asset1的Asset Ports)，第一事件流是从漏洞扫描器集合(例如，图20中的Appliance1和Appliance2)提供的，并且第一事件流的每个事件包括来自标识被检测端口(例如，从时间T24到T26内的事件流的Detected Ports)的端口号的端口扫描的数据。

在一个实施例中，选定的关系中的每个的detected port属性的属性值是基于当相应的选定的关系被实例化时、选定的资产的asset port属性的值，并且其中检测漂移是基于对于选定的资产的第一资产的第一事件中的被检测端口与用于如图20中所描绘的基线中的第一关系中的第一资产的被检测端口匹配的失败。

在一个实施例中，第一关系包括派生属性，所述派生属性具有使用来自第一多个事件的数据确定的值，每个事件具有流程的事件类型(例如，来自图6A-6B的表的字节计数，其表示类型IPFix的事件所表示的连接中的数据字节的数量)，并且来自第一多个事件的数据在与第一关系的属性相对应的数学评估中被用于计算派生属性的值(例如，图6A-6B的Relationship1的Attribute6，其描绘每一流程的平均数据字节)。

在一个实施例中，第一关系引用第一事件类型的事件流，并且第一关系进一步包括第一属性和第二属性，其中第一关系对第一属性进行评估以提供第一值，并且对第二属性进行评估以提供第二值，并且其中第一值和第二值是从来自第一事件流中的第一事件类型的事件的数据进行数学推导而得到的。

在一个实施例中，选定的关系进一步包括第二关系，所述第二关系引用不同于第一事件类型的第二事件类型的第二事件流，并且第二关系进一步包括第三属性和第四属性，其中第二关系对第三属性进行评估以提供第三值，并且对第四属性进行评估以提供第四值，其中第三值和第四值均是从来自第二事件流中的第二事件类型的事件的数据进行数学推导而得到的，其中第二关系的评估包括来自第二事件流中的事件的数据是否遵从所述评估的确定，并且其中第一关系和第二关系被用于基于对于第一关系和第二关系这二者中的属性的评估来检测漂移。

图27示出可以与各种实施例结合使用的系统的框图。虽然图27例示说明计算机系统的各种组件，但是并非意图表示互连组件的任何特定的架构或方式。具有更少的或更多的组件的其他系统也可以被使用。

在图27中，系统800包括主机计算机系统810，主机计算机系统810包括处理器812、存储器814和用户接口816。主机计算机系统810可以包括任何数量的不同的处理器、存储器组件和用户接口组件，并且可以与本公开的实施例结合来与任何其他的期望的系统和装置进行交互。

主机系统810的功能性(包括图24中所描绘的方法)(整个地或部分地)可以通过处理器812执行存储在系统810的存储器814中的计算机可读指令来实现。存储器814可以存储任何计算机可读指令和数据，包括软件应用和嵌入式操作代码。

主机系统810或与本公开的实施例结合操作的其他系统和装置的功能性也可以通过存储机器可读指令的各种硬件组件来实现，诸如专用集成电路(ASIC)、现场可编程门阵列(FPGA)和/或复杂可编程逻辑器件(CPLD)。根据某些实施例的各方面的系统可以与软件和/或硬件组件的任何期望组合结合操作。处理器812检索并且执行存储在存储器814中的指令以控制系统810的操作。任何类型的处理器(诸如集成电路微处理器、微控制器和/或数字信号处理器(DPS))可以与本公开的实施例结合使用。与本公开的实施例结合使用的存储器814可以包括不同的存储器存储装置的任何组合，诸如硬盘驱动器、随机存取存储器(RAM)、只读存储器(ROM)、闪存、或任何其他类型的易失性和/或非易失性存储器。数据可以被以任何期望的方式存储在存储器814中。

主机系统810包括用户接口816，用户接口816可以包括接收命令、数据和其他合适的用户输入的任何数量的输入装置(未示出)、以及向用户提供数据、通知和其他合适的信息的任何数量的输出装置(未示出)。典型的I/O装置可以包括鼠标、键盘、调制解调器、网络接口、打印机、扫描仪、摄像机和其他装置。

主机系统810可以以任何期望的方式(包括经由网络830)与一个或多个客户端装置820以及其他系统和装置进行通信。客户端装置820可以包括与本公开的系统和方法结合操作的任何计算装置。客户端装置820可以是或者可以包括膝上型计算机、台式计算机、移动用户通信装置、移动电话、个人数字助理(PDA)、平板计算机、电子书或图书阅读器、数字相机、摄像机、视频游戏控制台、和/或任何其他合适的计算装置。

网络830可以包括任何电子通信系统或方法。与本公开的实施例结合操作的组件之间的通信可以使用任何合适的通信方法来执行，诸如，例如，电话网络、外联网、内联网、互联网、交互点装置(销售点装置、个人数字助理(例如，Palm)、蜂窝电话、信息亭等)、在线通信、卫星通信、离线通信、无线通信、应答机通信、局域网(LAN)、广域网(WAN)、虚拟私有网(VPN)、联网的或链接的装置、键盘、鼠标和/或任何合适的通信或数据输入形态。本公开的系统和装置可以利用TCP/IP通信协议以及IPX、Appletalk、IP-6、NetBIOS、OSI、任何隧穿协议(例如，IPsec、SSH)、或任何数量的现有的或未来的协议。

各种功能性可以经由web浏览器和/或利用web浏览器的应用接口来执行。这样的浏览器应用可以包括安装在计算单元或系统内以执行各种功能的互联网浏览软件。这些计算单元或系统可以采取一个计算机或一组计算机的形式，并且任何类型的计算装置或系统可以被使用，包括膝上型计算机、笔记本、平板、手持计算机、个人数字助理、机顶盒、工作站、计算机服务器、大型机、迷你计算机、PC服务器、普及计算机、计算机的网络集合、个人计算机和平板计算机(诸如iPad、iMAC和MacBook)、信息亭、终端、销售点(POS)装置和/或终端、电视机、或能够通过网络接收数据的任何其他的装置。各种实施例可以利用MicrosoftInternet Explorer、Mozilla Firefox、Google Chrome、Apple Safari、或可用于浏览互联网的无数的软件包中的任何其他的软件包。

各种实施例可以与任何合适的操作系统(例如，Windows NT、95/98/2000/CE/Mobile、OS2、UNIX、Linux、Solaris、MacOS、PalmOS等)以及通常与计算机相关联的各种常规的支持软件和驱动器结合操作。各种实施例可以包括任何合适的个人计算机、网络计算机、工作站、个人数字助理、蜂窝电话、智能电话、迷你计算机、大型机等。实施例可以实现安全协议，诸如安全套接字层(SSL)、传输层安全(TLS)和安全壳(SSH)。实施例可以实现任何期望的应用层协议，包括http、https、ftp和sftp。

各种组件、模块和/或引擎可以被实现为微应用或微app。微app通常被部署在移动操作系统(包括例如，Plam移动操作系统、Windows移动操作系统、Android操作系统、AppleiOS、Blackberry操作系统等)的上下文中。微app可以被配置为经由管控各种操作系统和硬件资源的操作的一套预定规则来利用更大的操作系统和相关联的硬件的资源。例如，在微app期望与除了移动装置或移动操作系统之外的装置或网络进行通信的情况下，微app可以在移动操作系统的预定规则下利用操作系统和相关联的装置硬件的通信协议。而且，在微app期望用户输入的情况下，微app可以被配置为向监视各种硬件组件的操作系统请求响应，然后将来自硬件的被检测输入传送给微app。

如本文中所使用的，术语“网络”包括合并硬件和/或软件组件的任何云、云计算系统或电子通信系统或方法。各方之间的通信可以通过任何合适的通信信道来实现，诸如，例如，电话网络、外联网、内联网、互联网、交互点装置(销售点装置、个人数字助理(例如，iPhone商标)、Palm蜂窝电话、信息亭等)、在线通信、卫星通信、离线通信、无线通信、应答机通信、局域网(LAN)、广域网(WAN)、虚拟私有网(VPN)、联网的或链接的装置、键盘、鼠标和/或任何合适的通信或数据输入形态。系统可以利用TCP/IP通信协议以及IPX、Appletalk、IP-6、NetBIOS、OSI、任何隧穿协议(例如，IPsec、SSH)、或任何数量的现有的或未来的协议。与互联网有关地利用的协议、标准和应用软件相关的特定信息对于本领域技术人员一般是已知的，就这一点而论，在本文中无需被详述。

各种系统组件可以经由数据链路独立地、单独地或共同地合适地耦合到网络，所述数据链路包括，例如，通过如通常与标准调制解调器通信有关地使用的本地环路与互联网服务提供商(ISP)的连接、线缆调制解调器、卫星网络、ISDN、数字用户线路(DSL)、或各种无线通信方法。注意，网络可以被实现为其他类型的网络，诸如交互电视(ITV)网络。

所述系统可以部分地或全部地使用云计算来实现。“云”或“云计算”包括用于能够实现对于可以以最小的管理工作或服务提供商交互被快速地调配和释放的可配置的计算资源(例如，网络、服务器、储存器、应用和服务)的共享池的方便的、按需的网络访问的模型。云计算可以包括地点无关的计算，由此共享的服务器按需地向计算机和其他装置提供资源、软件和数据。

各种实施例可以与web服务、效用计算、普及的和个体化的计算、安全和身份解决方案、自主的计算、云计算、商品计算、移动和无线解决方案、开放源、生物计量、网格计算和/或网状计算结合使用。

本文中所讨论的任何数据库可以包括关系数据库、分层数据库、图形数据库或面向对象的结构和/或任何其他的数据库配置。而且，数据库可以按任何合适的方式组织，例如，被组织为数据表或查找表。每个记录可以是单个文件、一系列文件、链接的一系列数据字段、或任何其他的数据结构。某个数据的关联可以通过任何期望的数据关联技术(诸如本领域中已知的或实施的那些)来实现。例如，关联可以要么手动地实现，要么自动地实现。

任何数据库、系统、装置、服务器或所述系统的其他组件可以由单个地点处的或多个地点处的它们的任何组合组成，其中每个数据库或系统包括各种合适的安全特征中的任何一个，诸如防火墙、访问代码、加密、解密、压缩、解压缩等。

加密可以通过本领域中现在可用的或者可以变得可用的技术中的任何一个来执行——例如，Twofish、RSA、EI Gamal、Schorr签名、DSA、PGP、PKI以及对称的和不对称的密码系统。

实施例可以使用标准的拨号、线缆、DSL或本领域中已知的任何其他的互联网协议连接到互联网或内联网。事务可以通过防火墙以便防止其他网络的用户未授权访问。

本文中所讨论的计算机可以提供可供用户访问的合适的网站或其他的基于互联网的图形用户界面。例如，微软互联网信息服务器(IIS)、微软事务服务器(MTS)和微软SQL服务器可以与微软操作系统、微软NT web服务器软件、微软SQL服务器数据库系统和微软商务服务器结合使用。另外，诸如访问或微软SQL服务器、Oracle、Sybase、Informix MySQL、Interbase等的组件可以用于提供遵从活动数据对象(ADO)的数据管理系统。在另一个例子中，Apache web服务器可以与Linux操作系统、MySQL数据库和Perl、PHP和/或Python编程语言结合使用。

本文中所讨论的通信、输入、储存器、数据库或显示器中的任何一个都可以通过具有网页的网站来促进。术语“网页”如它在本文中所使用的那样并不意在于限制可以用于与用户交互的文档和应用的类型。例如，除了标准的HTML文档之外，典型的网站还可以包括各种形式、Java applet、JavaScript、活动服务器页面(ASP)、公共网关接口脚本(CGI)、可扩展标记语言(XML)、动态HTML、层叠样式表(CSS)、AJAX(异步Javascript和XML)、助手应用、插件等。服务器可以包括从web服务器接收请求的web服务器，该请求包括URL和IP地址。web服务器检索适当的网页，并且将用于这些网页的数据或应用发送到IP地址。web服务是能够通过通信手段(诸如互联网)与其他应用交互的应用。

各种实施例可以采用任何期望数量的用于显示基于浏览器的文档内的数据的方法。例如，数据可以被表示为标准文本或者被表示在固定列表、可滚动列表、下拉列表、可编辑文本字段、固定的文本字段、弹出窗口等内。同样地，实施例可以利用任何期望数量的用于修改网页中的数据的方法，诸如，例如，使用键盘的自由文本录入、菜单项的选择、复选框、选项框等。

本文中例示说明的示例性系统和方法可以用功能块组件、抓屏、可选的选择和各种处理步骤来描述。应意识到，这样的功能块可以用被配置为执行指定的功能的任何数量的硬件和/或软件组件来实现。例如，所述系统可以采用可以在一个或多个微处理器或其他控制装置的控制下执行各种功能的各种集成电路组件，例如，存储器元件、处理元件、逻辑元件、查找表等。类似地，所述系统的软件元件可以用任何编程或脚本撰写语言来实现，诸如C、C++、C#、Java、JavaScript、VBScript、Macromedia Cold Fusion、COBOL、微软活动服务器页面、汇编、PERL、PHP、awk、Python、Visual Basic、SQL存储进程、PL/SQL、任何UNIXshell脚本、以及具有用数据结构、对象、处理、例程或其他编程元件的任何组合实现的各种算法的可扩展标记语言(XML)。此外，应注意到，所述系统可以采用任何数量的用于数据传输、信令、数据处理、网络控制等的常规技术。更进一步地，所述系统可以用于检测或防止客户端侧脚本撰写语言(诸如JavaScript、VBScript等)的安全问题。

如本领域的普通技术人员将意识到的，所述系统可以被实施为现有系统、附加产品、执行升级的软件的处理设备、独立系统、分布式系统、方法、数据处理系统、用于数据处理的装置和/或计算机程序产品的定制。因此，所述系统或模块的任何部分都可以采取执行代码的处理设备、基于互联网的实施例、完全硬件实施例、或组合互联网、软件和硬件的各方面的实施例的形式。此外，所述系统可以采取计算机可读存储介质上的计算机程序产品的形式，所述计算机可读存储介质具有包含在该存储器介质中的计算机可读程序代码。任何合适的计算机可读存储介质可以被利用，包括硬盘、CD-ROM、光学存储装置、磁性存储装置等。

所述系统和方法在本文中是参照根据各种实施例的方法、设备(例如，系统)和计算机程序产品的抓屏、框图和流程图描述的。将理解，框图和流程图的每个功能块以及框图和流程图中的功能块的组合分别可以通过计算机程序指令来实现。

这些计算机程序指令可以被加载到通用计算机、专用计算机或其他可编程数据处理设备上以生成机器，以使得在该计算机或其他可编程数据处理设备上执行的指令创建用于实现一个流程图方框或多个流程图方框中指定的功能的手段。这些计算机程序指令也可以被存储在可以指导计算机或其他可编程数据处理设备以特定方式运行的计算机可读存储器中，以使得存储在计算机可读存储器中的指令生成包括实现一个流程图方框或多个流程图方框中指定的功能的指令部件的制造品。所述计算机程序指令也可以被加载到计算机或其他可编程数据处理设备中以使一系列操作步骤在计算机或其他可编程设备上被执行以生成计算机实现处理，以使得在所述计算机或其他可编程设备上执行的指令提供用于实现一个流程图方框或多个流程图方框中指定的功能。

因此，框图和流程图的功能块支持用于执行指定的功能的部件的组合、用于执行指定的功能的步骤的组合、以及用于执行指定的功能的程序指令部件。还将理解，框图和流程图的每个功能块、以及框图和流程图中的功能块的组合可以要么通过执行指定的功能或步骤的专用的基于硬件的计算机系统来实现，要么通过专用硬件和计算机指令的合适的组合来实现。此外，处理流程和它们的描述的例示说明可以参考用户窗口、网页、网站、web表单、提示等。从业者将意识到，本文中所描述的例示说明的步骤可以包括在任何数量的配置中，包括窗口、网页、web表单、弹出窗口、提示等的使用。应进一步意识到，如例示说明的和描述的多个步骤可以被组合到单个网页和/或窗口中，但是为了简单起见，已经被扩大。在其他情况下，被作为单个处理步骤例示说明和描述的步骤可以被划分到多个网页和/或窗口中，但是为了简单起见，已经被组合。

术语“非暂时性”要被理解为从权利要求范围仅移除传播暂时性信号本身，而不放弃对于不仅传播暂时性信号本身的所有的标准的计算机可读介质。换句话说，术语“非暂时性计算机可读介质”的意义应被解释为仅排除在In Re Nuijten中发现根据35U.S.C.§101落在可取得专利权的主题的范围之外的那些类型的暂时性计算机可读介质。

益处、其他优点和对于问题的解决方案已经在本文中就特定实施例进行了描述。然而，益处、优点、对于问题的解决方案、以及可以使任何益处、优点或解决方案发生或者变得更明显的任何元件不被解释为本公开的关键的、必需的或必要的特征或元件。

尽管本公开包括方法，但是设想它可以被实施为有形的计算机可读载体(诸如磁性或光学存储器或磁盘或光学)上的计算机程序指令。本领域的普通技术人员已知的与上述示例性实施例的元件等同的所有的结构等同物、化学等同物和功能等同物通过引用被明确地并入本文，并且意图被目前的权利要求所包含。而且，没有必要使装置或方法解决力图通过本公开解决的每一个问题、使它被目前的权利要求所包含。此外，本公开中没有元件、组件或方法步骤意图贡献给公众，不管该元件、组件或方法步骤是否被明确地记载在权利要求中。本文中没有权利要求元素要根据35U.S.C.112第六段的规定进行解释，除非该元件通过使用措辞“用于…….的部件”被明确地记载。如本文中所使用的，术语“包括”、“包含”或它们的任何其他的变型意图涵盖非排他性的包含，以使得包括元件列表的处理、方法、物品或设备不仅包括那些元件，而且还可以包括没有被明确地列出的或这样的处理、方法、物品或设备固有的其他元件。

在不脱离本公开的范围的情况下，可以对所公开的实施例做出改变和修改。这些及其他改变或修改意图包括在权利要求中所表达的本公开的范围内。

Claims (22)

1.一种方法，包括：

将关于资产的信息存储在资产属性数据库中，其中每个资产包括至少一个属性；

将关于关系的信息存储在关系数据库中，其中每个关系包括至少一个属性；

基于至少一个属性值从所述资产属性数据库选择资产；

基于至少一个属性值从所述关系数据库选择一个或多个关系，所述选定的关系包括第一关系；

创建基线，其中所述基线包括选定的资产和选定的关系；

将第一事件流连接到所述基线，其中所述第一事件流包括事件集合，并且每个事件包括属性；并且

检测从所述基线的漂移，其中所述漂移是使用所述第一事件流确定的，并且是基于所述第一事件流的第一事件中的至少一个属性值与所述第一关系的至少一个属性值匹配的失败。

2.根据权利要求1所述的方法，进一步包括将来自包括所述第一事件流的多个事件流的信息记录到至少一个数据库中。

3.根据权利要求1所述的方法，其中创建所述基线包括基于属性值选择资产并且基于属性值选择关系。

4.根据权利要求1所述的方法，进一步包括定义警告策略，并且响应于检测到所述漂移，基于所述警告策略产生警告。

5.根据权利要求1所述的方法，进一步包括基于与选定的关系中的属性相对应的评估来对所述第一事件流的每个事件进行评估。

6.根据权利要求5所述的方法，其中所述第一关系包括第一属性和与所述第一属性相对应的第一评估，并且检测所述漂移进一步包括使用所述第一评估来对来自所述事件流中的第一事件的关于第一属性的事件数据进行评估，并且确定评估的事件数据未能通过所述第一评估。

7.根据权利要求6所述的方法，其中所述第一事件包括将使用选定的关系评估的数据，并且其中所述数据是以下中的至少一个：源端口、目的地端口、源资产、目的地资产、源组或目的地组。

8.根据权利要求1所述的方法，其中所述选定的关系中的每个引用具有事件类型的至少一个事件流，并且其中每个事件流的事件类型是流程、认证或端口扫描。

9.根据权利要求8所述的方法，其中所述第一关系的事件类型是认证，并且所述第一关系包括与被授权用户集合相对应的用户(user)属性。

10.根据权利要求9所述的方法，其中检测所述漂移至少部分是基于事件的评估，所述事件包括不在所述被授权用户集合中的用户进行的注册。

11.根据权利要求8所述的方法，其中每个选定的关系引用具有端口扫描的事件类型的事件流，并且每个选定的关系包括具有当选定的关系被实例化时确定的属性值的被检测端口(detected ports)属性。

12.根据权利要求1所述的方法，其中所述第一关系包括具有与第一组资产相对应的值的属性，并且第一资产包括在基于具有与第一组匹配的属性值的资产的选择的选定的资产中。

13.根据权利要求1所述的方法，其中每个选定的关系的每个属性是资产属性、事件属性、其值是使用来自资产属性或事件属性的评估的至少一个值推导得到的属性、或其值是使用来自资产属性和事件属性中的每个的评估的至少一个值推导得到的属性。

14.根据权利要求1所述的方法，其中所述选定的关系是基于使用逻辑运算符指定标识一组资产的属性的值而选定的，其中包括等于所述值的组(group)属性的每个关系被选择。

15.根据权利要求1所述的方法，其中每个事件包括具有基于所述事件发生的时间的值的时间(time)属性，并且其中所述事件的与选定的关系的至少一个属性相对应的评估包括将所述时间与一个或多个时间范围进行比较。

16.根据权利要求11所述的方法，其中所述选定的资产的每个资产包括资产端口(asset port)属性，所述第一事件流是从漏洞扫描器集合提供的，并且所述第一事件流的每个事件包括来自标识被检测端口的端口号的端口扫描的数据。

17.根据权利要求11所述的方法，其中所述选定的关系中的每个的被检测端口(detected port)属性的属性值是基于当相应的选定的关系被实例化时、选定的资产的资产端口(asset port)属性的值，并且其中检测所述漂移是基于对于选定的资产的第一资产的第一事件中的被检测端口与用于所述基线中的第一关系中的第一资产的被检测端口匹配的失败。

18.根据权利要求1所述的方法，其中所述第一关系包括派生属性，所述派生属性具有使用来自第一多个事件的数据确定的值，每个事件具有流程的事件类型，并且来自所述第一多个事件的数据在与第一关系的属性相对应的数学评估中被用于计算所述派生属性的值。

19.根据权利要求8所述的方法，其中所述第一关系引用第一事件类型的事件流，并且所述第一关系进一步包括第一属性和第二属性，其中所述第一关系对第一属性进行评估以提供第一值，并且对第二属性进行评估以提供第二值，并且其中所述第一值和所述第二值是从来自第一事件流中的第一事件类型的事件的数据进行数学推导而得到的。

20.根据权利要求19所述的方法，其中所述选定的关系进一步包括第二关系，所述第二关系引用不同于第一事件类型的第二事件类型的第二事件流，并且所述第二关系进一步包括第三属性和第四属性，其中所述第二关系对第三属性进行评估以提供第三值，并且对第四属性进行评估以提供第四值，其中所述第三值和所述第四值均是从来自第二事件流中的第二事件类型的事件的数据进行数学推导而得到的，其中所述第二关系的评估包括来自第二事件流中的事件的数据是否遵从所述评估的确定，并且其中所述第一关系和所述第二关系被用于基于对于第一关系和第二关系这二者中的属性的评估来检测所述漂移。

21.一种存储指令的非暂时性计算机可读介质，所述指令当被执行时使计算装置执行以下步骤：

至少一个处理器存储关于资产的信息，其中每个资产包括至少一个属性；

将关于关系的信息存储在至少一个存储器中，其中每个关系包括至少一个属性；

基于至少一个属性值选择资产；

基于至少一个属性值选择一个或多个关系，所述选定的关系包括第一关系；

创建基线，其中所述基线包括选定的资产和选定的关系；

将第一事件流连接到所述基线，其中所述第一事件流包括事件集合，并且每个事件包括属性；并且

检测从所述基线的漂移，其中所述漂移是使用所述第一事件流确定的，并且是基于所述第一事件流的第一事件中的至少一个属性值通过所述第一关系的评估的失败。

22.一种系统，包括：

至少一个数据库；

至少一个处理器；以及

至少一个存储器，所述至少一个存储器与所述至少一个处理器通信，并且存储指令，所述指令当被所述至少一个处理器执行时使所述系统执行以下步骤：

将关于资产的信息存储在所述至少一个数据库中，其中每个资产包括至少一个属性；

将关于关系的信息存储在所述至少一个数据库中，其中每个关系包括至少一个属性；

基于至少一个属性值从所述至少一个数据库选择资产；

基于至少一个属性值从所述至少一个数据库选择一个或多个关系，所述选定的关系包括第一关系；

创建基线，其中所述基线包括选定的资产和选定的关系；

将第一事件流连接到所述基线，其中所述第一事件流包括事件集合，并且每个事件包括属性；并且

检测从所述基线的漂移，其中所述漂移是使用所述第一事件流确定的，并且是基于所述第一事件流的第一事件中的至少一个属性值与所述第一关系的至少一个属性值匹配的失败。