系統(tǒng)資產(chǎn)儲(chǔ)存庫(kù)管理的制作方法
【專利摘要】本發(fā)明標(biāo)識(shí)了在資產(chǎn)儲(chǔ)存庫(kù)中描述的多個(gè)系統(tǒng)實(shí)體���,資產(chǎn)儲(chǔ)存庫(kù)定義計(jì)算環(huán)境中多個(gè)系統(tǒng)實(shí)體的特定分層組織����。多個(gè)系統(tǒng)實(shí)體中的特定系統(tǒng)實(shí)體是用特定標(biāo)記來(lái)標(biāo)記的�����?����;谟锰囟?biāo)記來(lái)標(biāo)記特定系統(tǒng)實(shí)體���,特定系統(tǒng)實(shí)體與特定安全策略相關(guān)聯(lián)�。特定安全策略應(yīng)用于資產(chǎn)儲(chǔ)存庫(kù)中、用包括特定標(biāo)記的特定標(biāo)記集中的一個(gè)或多個(gè)標(biāo)記來(lái)標(biāo)記的系統(tǒng)實(shí)體�。
【專利說(shuō)明】系統(tǒng)資產(chǎn)儲(chǔ)存庫(kù)管理
【技術(shù)領(lǐng)域】
[0001]本公開一般地涉及計(jì)算安全,以及更具體地涉及網(wǎng)絡(luò)發(fā)現(xiàn)和安全的領(lǐng)域�。
【背景技術(shù)】
[0002]現(xiàn)代網(wǎng)絡(luò)中的安全管理可以包括向網(wǎng)絡(luò)中的設(shè)備分配和實(shí)施安全策略。實(shí)施安全策略可以包括識(shí)別網(wǎng)絡(luò)上的設(shè)備�,或在之前識(shí)別網(wǎng)絡(luò)上的設(shè)備。地址掃描和Ping掃描已經(jīng)被用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備�。這樣的技術(shù)包括人類用戶手動(dòng)地配置網(wǎng)絡(luò)地址諸如因特網(wǎng)協(xié)議(IP)地址的一個(gè)或多個(gè)范圍,然后讓軟件“掃描”或“探測(cè)”指定范圍中的每個(gè)地址以求找到活動(dòng)設(shè)備����。這樣的掃描可以產(chǎn)生指示是否在使用具體地址,從而暗示在此地址的網(wǎng)絡(luò)設(shè)備的存在���。在采用因特網(wǎng)協(xié)議版本4(IPv4)尋址的網(wǎng)絡(luò)中��,這樣的蠻力掃描可以用來(lái)在合理的時(shí)間量?jī)?nèi)掃描廣地址范圍(包括所有可能的IPv4地址)中的每一個(gè)地址�����。
【專利附圖】
【附圖說(shuō)明】
[0003]圖1是根據(jù)至少一個(gè)實(shí)施例的包括多個(gè)資產(chǎn)和系統(tǒng)實(shí)體的示例計(jì)算系統(tǒng)的簡(jiǎn)化示意圖;
[0004]圖2是根據(jù)至少一個(gè)實(shí)施例的包括資產(chǎn)管理系統(tǒng)和一個(gè)或多個(gè)結(jié)合一個(gè)或多個(gè)網(wǎng)絡(luò)操作的資產(chǎn)檢測(cè)引擎的示例計(jì)算系統(tǒng)的簡(jiǎn)化框圖�;
[0005]圖3是示出根據(jù)至少一個(gè)實(shí)施例的示例系統(tǒng)的示例資產(chǎn)儲(chǔ)存庫(kù)的簡(jiǎn)化組織圖;
[0006]圖4是示出根據(jù)至少一個(gè)實(shí)施例的示例可擴(kuò)展資產(chǎn)檢測(cè)引擎與示例資產(chǎn)管理系統(tǒng)通信的簡(jiǎn)化框圖�;
[0007]圖5是示出根據(jù)至少一個(gè)實(shí)施例在示例系統(tǒng)的兩個(gè)或多個(gè)網(wǎng)絡(luò)中部署資產(chǎn)檢測(cè)引擎和掃描引擎的簡(jiǎn)化框圖�����;
[0008]圖6A-6H是示出根據(jù)至少一個(gè)實(shí)施例的包括示例資產(chǎn)檢測(cè)引擎的示例操作的簡(jiǎn)化框圖�����;
[0009]圖7A-7C是示出根據(jù)至少一個(gè)實(shí)施例的用于管理一個(gè)或多個(gè)網(wǎng)絡(luò)中的資產(chǎn)的示例技術(shù)的簡(jiǎn)化流程圖����。
[0010]各個(gè)附圖中相同的附圖標(biāo)記和指派指示相同的元素。
【具體實(shí)施方式】
【發(fā)明內(nèi)容】
[0011]一般而言�,本說(shuō)明書中所描述的主題的一個(gè)方面可以體現(xiàn)在包括標(biāo)識(shí)資產(chǎn)儲(chǔ)存庫(kù)中描述的多個(gè)系統(tǒng)實(shí)體的動(dòng)作的方法中�,該資產(chǎn)存儲(chǔ)庫(kù)定義計(jì)算環(huán)境中的多個(gè)系統(tǒng)實(shí)體的特定分層組織���。多個(gè)系統(tǒng)實(shí)體中的特定系統(tǒng)實(shí)體可以用特定標(biāo)記來(lái)標(biāo)記�?����;谟锰囟?biāo)記來(lái)標(biāo)記特定系統(tǒng)實(shí)體�����,特定系統(tǒng)實(shí)體可與特定安全策略相關(guān)聯(lián)。特定安全策略可以應(yīng)用于資產(chǎn)儲(chǔ)存庫(kù)中��、用包括特定標(biāo)記的特定標(biāo)記集中的一個(gè)或多個(gè)標(biāo)記來(lái)標(biāo)記的系統(tǒng)實(shí)體。
[0012]本說(shuō)明書中所描述的主題的另一個(gè)一般方面可以體現(xiàn)在包括至少一個(gè)處理器設(shè)備�����、至少一個(gè)存儲(chǔ)器元件和資產(chǎn)管理系統(tǒng)的系統(tǒng)中。當(dāng)由至少一個(gè)處理器設(shè)備執(zhí)行時(shí)���,資產(chǎn)管理系統(tǒng)可以適于標(biāo)識(shí)資產(chǎn)儲(chǔ)存庫(kù)中所描述的多個(gè)系統(tǒng)實(shí)體,該資產(chǎn)儲(chǔ)存庫(kù)定義計(jì)算環(huán)境中的多個(gè)系統(tǒng)的特定分層組織�����。資產(chǎn)管理系統(tǒng)還可以用特定標(biāo)記來(lái)標(biāo)記多個(gè)系統(tǒng)實(shí)體中的特定系統(tǒng)實(shí)體并基于用特定標(biāo)記來(lái)標(biāo)記特定系統(tǒng)實(shí)體���,將特定系統(tǒng)實(shí)體與特定安全策略相關(guān)聯(lián)���。特定安全策略可以應(yīng)用于資產(chǎn)儲(chǔ)存庫(kù)中����、用包括特定標(biāo)記的特定標(biāo)記集中的一個(gè)或多個(gè)標(biāo)記來(lái)標(biāo)記的系統(tǒng)實(shí)體。
[0013]這些和其它實(shí)施例可以各自可選地包括以下特征中的一個(gè)或多個(gè)?����?梢杂锰囟?biāo)記來(lái)標(biāo)記包括特定系統(tǒng)實(shí)體的資產(chǎn)儲(chǔ)存庫(kù)中的兩個(gè)或多個(gè)系統(tǒng)實(shí)體����,并且可以在兩個(gè)或多個(gè)系統(tǒng)實(shí)體之間定義關(guān)聯(lián)。該關(guān)聯(lián)可以不同于特定分層組織中定義的關(guān)聯(lián)�?�?梢詷?biāo)識(shí)特定系統(tǒng)實(shí)體的一個(gè)或多個(gè)屬性�,并且可以基于一個(gè)或多個(gè)所標(biāo)識(shí)的屬性用特定標(biāo)記來(lái)標(biāo)記特定系統(tǒng)實(shí)體�����。可以使用一個(gè)或多個(gè)在計(jì)算環(huán)境中部署的資產(chǎn)檢測(cè)引擎標(biāo)識(shí)一個(gè)或多個(gè)屬性。資產(chǎn)檢測(cè)引擎可以是包括一組可插入式發(fā)現(xiàn)傳感器的可插入式資產(chǎn)檢測(cè)引擎���,該可插入式發(fā)現(xiàn)傳感器使得能夠由資產(chǎn)檢測(cè)弓I擎標(biāo)識(shí)屬性?��?刹迦胧桨l(fā)現(xiàn)傳感器可以包括一個(gè)或多個(gè)適于在不需要與特定系統(tǒng)實(shí)體通信的情況下而標(biāo)識(shí)特定系統(tǒng)實(shí)體的屬性的被動(dòng)發(fā)現(xiàn)傳感器�����。可插入式發(fā)現(xiàn)傳感器還可以包括適于向特定系統(tǒng)實(shí)體發(fā)送數(shù)據(jù)并監(jiān)視特定系統(tǒng)實(shí)體對(duì)所發(fā)送數(shù)據(jù)的響應(yīng)的主動(dòng)發(fā)現(xiàn)傳感器�����。被動(dòng)發(fā)現(xiàn)傳感器可以包括潛在式類型的發(fā)現(xiàn)傳感器���、基于事件的發(fā)現(xiàn)傳感器和間接類型的發(fā)現(xiàn)傳感器中的至少一種�����。屬性可以包括特定系統(tǒng)實(shí)體的地址信息����、操作系統(tǒng)、活動(dòng)端口和應(yīng)用中的至少一種���。標(biāo)記可以由資產(chǎn)檢測(cè)系統(tǒng)在不需要用戶干預(yù)的情況下自動(dòng)地執(zhí)行�,或者可以根據(jù)從用戶接收的指令執(zhí)行。
[0014]此外,這些和其它實(shí)施例也可以各自可選地包括以下特征中的一個(gè)或多個(gè)����。多個(gè)系統(tǒng)實(shí)體中的每一個(gè)系統(tǒng)可以是包括網(wǎng)絡(luò)類型的實(shí)體��、系統(tǒng)類型的實(shí)體�、人員類型的實(shí)體和應(yīng)用類型的實(shí)體的組中的一個(gè)類型��。特定分層組織可以將系統(tǒng)類型的實(shí)體定義為網(wǎng)絡(luò)類型的實(shí)體的孩子,將人員類型的實(shí)體定義為系統(tǒng)類型的實(shí)體的孩子�����,和將應(yīng)用類型的實(shí)體定義為系統(tǒng)類型的實(shí)體的孩子�����。特定標(biāo)記可以是類型專用的標(biāo)記。在其它情況中�����,可以用特定標(biāo)記來(lái)標(biāo)記不同類型的實(shí)體����。應(yīng)用特定安全策略可以包括使得特定安全策略對(duì)用特定標(biāo)記集中的一個(gè)或多個(gè)來(lái)標(biāo)記的系統(tǒng)實(shí)體中的每一個(gè)實(shí)施。特定安全策略可以使用特定系統(tǒng)實(shí)體上的代理在特定系統(tǒng)實(shí)體上實(shí)施�。特定安全策略可以使用位于特定系統(tǒng)實(shí)體遠(yuǎn)程的網(wǎng)絡(luò)安全組件對(duì)特定系統(tǒng)實(shí)體實(shí)施。網(wǎng)絡(luò)安全組件可以包括計(jì)算環(huán)境的防火墻�、web網(wǎng)關(guān)、郵件網(wǎng)關(guān)���、主機(jī)入侵保護(hù)(HIP)工具����、反惡意軟件工具����、數(shù)據(jù)丟失保護(hù)(DLP)工具、系統(tǒng)脆弱性管理器��、系統(tǒng)策略順從性管理器、資產(chǎn)關(guān)鍵性工具和安全信息管理(SM)工具中的至少一個(gè)���。應(yīng)用特定安全策略可以包括使得補(bǔ)丁在用特定標(biāo)記集中的一個(gè)或多個(gè)來(lái)標(biāo)記的系統(tǒng)實(shí)體中的每一個(gè)上下載���。
[0015]特征的一些或全部可以是計(jì)算機(jī)實(shí)現(xiàn)的方法或進(jìn)一步包括在用于執(zhí)行所描述的此功能的相應(yīng)系統(tǒng)或其它設(shè)備中。結(jié)合下面的附圖和描述闡述了本公開的這些或其它特征�、方面和實(shí)現(xiàn)的細(xì)節(jié)。通過(guò)描述�����、附圖和權(quán)利要求���,本公開的其它特征���、目的和優(yōu)點(diǎn)將變得顯而易見(jiàn)。
[0016]示例實(shí)施例
[0017]圖1是示出了包括多個(gè)系統(tǒng)實(shí)體的計(jì)算環(huán)境的示例實(shí)現(xiàn)的簡(jiǎn)化框圖100��,包括網(wǎng)絡(luò)(例如�,110、115)��、系統(tǒng)設(shè)備(即網(wǎng)絡(luò)中的計(jì)算設(shè)備(例如,120����、125、130���、135、140�����、145��、150����、155、160��、165)���,包括端點(diǎn)設(shè)備��、網(wǎng)絡(luò)元件諸如路由器����、交換機(jī)、防火墻和其它通過(guò)網(wǎng)絡(luò)通信或促進(jìn)網(wǎng)絡(luò)的設(shè)備(例如���,110�����、115))���、由網(wǎng)絡(luò)上的各種系統(tǒng)所服務(wù)、托管�、安裝、加載或者以其它方式使用的應(yīng)用和其它軟件程序和服務(wù)(例如�,170、172��、174�、175、176���、178�、180�、182),以及已知使用計(jì)算環(huán)境和它的組成系統(tǒng)和應(yīng)用的人(例如,184��、185���、186��、188)��。
[0018]在實(shí)踐中����,包括在網(wǎng)絡(luò)中的端點(diǎn)設(shè)備���、網(wǎng)絡(luò)元件和其它計(jì)算設(shè)備(或“系統(tǒng)類型的系統(tǒng)實(shí)體”)可以與網(wǎng)絡(luò)上的其它設(shè)備通信和/或促進(jìn)網(wǎng)絡(luò)上的其它設(shè)備之間的通信。例如�����,端點(diǎn)設(shè)備(例如�����,120����、125��、130����、140�、150)可以向使用計(jì)算環(huán)境的人(例如��,184�、185�、186,188)提供接口用于與各種由網(wǎng)絡(luò)(例如110)和系統(tǒng)中的其它網(wǎng)絡(luò)(例如115)、因特網(wǎng)190和其它網(wǎng)絡(luò)上的計(jì)算設(shè)備托管的資源交互或者消耗這些資源����。此外,一些端點(diǎn)設(shè)備(例如��,120�、140�����、150)可以附加地托管可以由用戶(例如,184�����、185、186�����、188)在相應(yīng)的端點(diǎn)本地消耗的以及供應(yīng)給網(wǎng)絡(luò)(例如,110��、115)上的其它設(shè)備的應(yīng)用和其它軟件資源(例如��,170�����、174、176)��。網(wǎng)絡(luò)110���、115上的其它設(shè)備(例如�,135���、145�、155����、160����、165)可以附加地將軟件資源(即應(yīng)用(例如,172���、175、178����、180、182))供應(yīng)給一個(gè)或多個(gè)客戶端(包括其它服務(wù)器)用于消耗�����。這樣的軟件資源可以包括���,例如,數(shù)據(jù)庫(kù)���、網(wǎng)頁(yè)�����、web應(yīng)用���、軟件應(yīng)用和其它程序、虛擬機(jī)���、企業(yè)資源規(guī)劃�、文檔管理系統(tǒng)、郵件服務(wù)器和其它軟件資源�����。
[0019]在特定計(jì)算環(huán)境中的“系統(tǒng)實(shí)體”�����,也稱為“資產(chǎn)”�,可以在一個(gè)或多個(gè)安全上下文中定義為包括計(jì)算環(huán)境中的(或者參與計(jì)算環(huán)境的)“網(wǎng)絡(luò)類型的實(shí)體”、“系統(tǒng)類型的實(shí)體”����、“應(yīng)用類型的實(shí)體”和“人員類型的實(shí)體”。在此示例中�����,使用計(jì)算環(huán)境的各個(gè)人員的“人員類型的實(shí)體”表示可以與網(wǎng)絡(luò)類型的實(shí)體�、系統(tǒng)類型的實(shí)體和應(yīng)用類型的實(shí)體一起被認(rèn)為是系統(tǒng)實(shí)體�,人員類型的實(shí)體可以不同于計(jì)算環(huán)境中標(biāo)識(shí)的用戶。人員可以與系統(tǒng)中的一個(gè)或多個(gè)用戶帳戶或特定用戶標(biāo)識(shí)符相關(guān)聯(lián)或由其定義�。然而�,用戶并不總是準(zhǔn)確地映射到使用計(jì)算環(huán)境的實(shí)際人員����。例如,單個(gè)人員可以有(或可以訪問(wèn))系統(tǒng)中的多個(gè)用戶名或用戶帳戶�����。附加地�,一些人員可沒(méi)有注冊(cè)的用戶名或者用戶帳戶。然而�����,在為特定人員的使用傾向性和屬性定制安全上下文時(shí)��,人員的實(shí)際身份可以比用戶檔案��、用戶名或由計(jì)算系統(tǒng)中的人員使用的別名更恰當(dāng)�����。
[0020]在一些示例中��,可以提供能夠發(fā)現(xiàn)并維護(hù)計(jì)算環(huán)境中的各種系統(tǒng)實(shí)體的記錄�����、以及將安全策略分配給各種系統(tǒng)實(shí)體和導(dǎo)致安全策略遍及計(jì)算環(huán)境實(shí)施的資產(chǎn)管理系統(tǒng)105�����。也可以發(fā)現(xiàn)所發(fā)現(xiàn)的系統(tǒng)實(shí)體的屬性��,包括系統(tǒng)實(shí)體的標(biāo)識(shí)符��。例如�����,可以發(fā)現(xiàn)計(jì)算環(huán)境中的各種系統(tǒng)和網(wǎng)絡(luò)的IP地址和IP地址范圍����。此外,隨著現(xiàn)代網(wǎng)絡(luò)中因特網(wǎng)協(xié)議版本6 (IPv6)尋址的出現(xiàn)和部署�����,IP地址的大小被設(shè)計(jì)為從32位(IPv4中)增長(zhǎng)到IPv6下的128位���。結(jié)果是�����,IPv4提供232 (4��,294�����,967����,296)個(gè)可能地址的可管理的地址空間,而IPv6的128為地址允許2128(大概是340澗(undecill1n)即3.4X 138)個(gè)地址的地址空間����。在IPv6地址空間的大小的上下文中����,如果蠻力掃描IPv6地址空間中的每一個(gè)地址以尋求“活的”地址可以達(dá)到每個(gè)地址一個(gè)微微秒的速率,那也仍然要花10.78X 119年來(lái)掃描整個(gè)IPv6空間���。因而采用IPv6尋址可以使映射網(wǎng)絡(luò)中的設(shè)備和監(jiān)視安全和網(wǎng)絡(luò)的相應(yīng)設(shè)備的其它活動(dòng)的努力顯著地復(fù)雜化����。因此,資產(chǎn)管理系統(tǒng)105可以采用技術(shù)來(lái)更有效地標(biāo)識(shí)活動(dòng)的IPv6地址以允許對(duì)采用IPv6的網(wǎng)絡(luò)進(jìn)行更有目的性的分析���。此外�����,除了能夠發(fā)現(xiàn)計(jì)算環(huán)境中的設(shè)備和網(wǎng)絡(luò)元件的IPv6地址和其它地址信息之外���,資產(chǎn)管理系統(tǒng)105還可以管理允許發(fā)現(xiàn)附加的屬性信息的發(fā)現(xiàn)技術(shù),附加的屬性信息諸如設(shè)備的操作系統(tǒng)�、設(shè)備使用的端口、設(shè)備采用的協(xié)議等等���。在設(shè)備級(jí)別可以發(fā)現(xiàn)附加信息����,包括分層地源于系統(tǒng)級(jí)別的其它系統(tǒng)實(shí)體����,諸如由設(shè)備和使用設(shè)備的各個(gè)人員托管的各個(gè)應(yīng)用。
[0021]資產(chǎn)管理系統(tǒng)105的實(shí)現(xiàn)可以利用各種系統(tǒng)實(shí)體的屬性來(lái)將實(shí)體分組成一個(gè)或多個(gè)系統(tǒng)實(shí)體的邏輯分組��。此外,資產(chǎn)管理系統(tǒng)105可以標(biāo)識(shí)各種安全策略并將各種安全策略分配給分組���。這樣的邏輯分組可以根據(jù)特定計(jì)算環(huán)境中的系統(tǒng)實(shí)體共享的屬性或指定而將不同的系統(tǒng)實(shí)體分組在一起����。分配給分組的安全策略可以相對(duì)應(yīng)于或?qū)ぶ钒ㄔ诜纸M中的系統(tǒng)實(shí)體的共享的屬性和特性�。例如,系統(tǒng)分組可以在系統(tǒng)儲(chǔ)存庫(kù)中被標(biāo)記為“關(guān)鍵系統(tǒng)”�����。因此����,這些標(biāo)識(shí)為關(guān)鍵的系統(tǒng)可以有對(duì)他們應(yīng)用(例如,根據(jù)他們?cè)谟?jì)算環(huán)境中的關(guān)鍵性)的公共安全策略集�����。在另一個(gè)示例中�����,可以根據(jù)特定類型的網(wǎng)絡(luò)諸如DMZ網(wǎng)絡(luò)分組���、根據(jù)相關(guān)聯(lián)的地址(例如�,基于IP地址范圍���、內(nèi)部和外部IP地址���、域名等)����、或者根據(jù)相關(guān)聯(lián)的地理區(qū)域以及其它示例來(lái)標(biāo)識(shí)網(wǎng)絡(luò)分組,并且這樣的分組可以相對(duì)應(yīng)地標(biāo)記�����。也可以根據(jù)類型��、關(guān)鍵性�、軟件提供者�、操作系統(tǒng)等來(lái)對(duì)應(yīng)用標(biāo)記和分組��。例如�����,可以將標(biāo)記分配給應(yīng)用類型的實(shí)體以指示應(yīng)用是數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)類型(例如�,生產(chǎn)數(shù)據(jù)庫(kù)����、分級(jí)數(shù)據(jù)庫(kù)等)、web應(yīng)用���、中間件�、web服務(wù)器以及許多其它示例��。此外�,例如也可以對(duì)人員類型的實(shí)體進(jìn)行標(biāo)記以標(biāo)識(shí)這樣的人員的個(gè)人屬性如他們?cè)诮M織中的角色、忠誠(chéng)調(diào)查��、權(quán)限����、辦公室、地理位置��、業(yè)務(wù)部門等��。附加地�����,在一些示例中,系統(tǒng)實(shí)體可以是強(qiáng)類型的(例如�,“網(wǎng)絡(luò)”、“系統(tǒng)”�����、“應(yīng)用”和“人員”)��,并且特定分組的系統(tǒng)實(shí)體可以限于特定類型的系統(tǒng)實(shí)體�。在這樣的示例中,應(yīng)用到分組的安全策略也可以是類型專用的��。在其它示例中����,分組和標(biāo)記可以是“交叉類型”的,并且相關(guān)聯(lián)的安全策略也可以是交叉類型的���。例如�,特定分組可以包括一個(gè)或多個(gè)系統(tǒng)和一個(gè)或多個(gè)應(yīng)用和/或一個(gè)或多個(gè)人員等���。
[0022]一般而言���,包括示例計(jì)算環(huán)境100中的計(jì)算設(shè)備(例如��,105���、120�、125、130���、135�����、140��、145�、150����、155、160���、165��、195等)的“服務(wù)器”��、“客戶端”�����、“計(jì)算設(shè)備”�、“網(wǎng)絡(luò)元件”、“主機(jī)”��、“系統(tǒng)類型的系統(tǒng)實(shí)體”和“系統(tǒng)”可以包括可操作來(lái)接收���、發(fā)送���、處理、存儲(chǔ)或管理與計(jì)算環(huán)境100相關(guān)聯(lián)的數(shù)據(jù)和信息的電子計(jì)算設(shè)備�����。如在此文檔中使用的��,術(shù)語(yǔ)“計(jì)算機(jī)”��、“處理器”��、“處理器設(shè)備”或“處理設(shè)備”旨在涵蓋任何合適的處理設(shè)備。例如�,示為計(jì)算環(huán)境100中的單個(gè)設(shè)備的元件可用多個(gè)設(shè)備實(shí)現(xiàn),諸如包括多個(gè)服務(wù)器計(jì)算機(jī)的服務(wù)器池����。此外,計(jì)算設(shè)備的任何�����、全部或一些可適于執(zhí)行任何操作系統(tǒng)�,包括Linux��、UNIX��、Microsoftffindows>Apple 0S�����、Apple 1S�����、Google AndroicUWindows Server 等�,以及適于將特定操作系統(tǒng)的執(zhí)行虛擬化的虛擬機(jī)����,包括定制和專有的操作系統(tǒng)���。
[0023]此外���,服務(wù)器、客戶端�、網(wǎng)絡(luò)元件、系統(tǒng)和計(jì)算設(shè)備(例如���,105����、120�、125、130�����、135�����、140、145��、150�、155、160��、165���、195等)可以各自包括一個(gè)或多個(gè)處理器��、計(jì)算機(jī)可讀存儲(chǔ)器和一個(gè)或多個(gè)接口����,及其它特征和硬件�。服務(wù)器可以包括任何合適的軟件組件或模塊�����,或者能夠托管和/或服務(wù)軟件應(yīng)用和服務(wù)的計(jì)算設(shè)備(例如��,資產(chǎn)管理系統(tǒng)105��、服務(wù)器(例如,135��、145�、155、160�、165)的服務(wù)和應(yīng)用(例如,172��、175�、178、180�����、182))���,包括分布式的�、企業(yè)的或基于云的軟件應(yīng)用�、數(shù)據(jù)和服務(wù)。例如��,通過(guò)與其它服務(wù)和設(shè)備接口��、合作或者依賴于其它服務(wù)和設(shè)備或由其使用��,服務(wù)器可以配置為托管、服務(wù)或者以其它方式管理模型和數(shù)據(jù)結(jié)構(gòu)���、數(shù)據(jù)集�、軟件服務(wù)和應(yīng)用���。在一些實(shí)例中����,服務(wù)器���、系統(tǒng)����、子系統(tǒng)或者計(jì)算設(shè)備可以實(shí)現(xiàn)為可以被托管在公共計(jì)算系統(tǒng)��、服務(wù)器����、服務(wù)器池或云計(jì)算環(huán)境上并共享包括共享的存儲(chǔ)器���、處理器和接口的計(jì)算資源的一些設(shè)備的組合����。
[0024]用戶、端點(diǎn)或客戶端計(jì)算設(shè)備(例如�,120、125����、140、150���、195)可以包括傳統(tǒng)的和移動(dòng)的計(jì)算設(shè)備���,包括個(gè)人計(jì)算機(jī)、膝上型計(jì)算機(jī)�����、平板計(jì)算機(jī)����、智能電話、個(gè)人數(shù)字助理�、特征電話、手持式視頻游戲控制臺(tái)�、臺(tái)式計(jì)算機(jī)����、啟用因特網(wǎng)的電視和其它設(shè)計(jì)成與人類用戶交互并能夠通過(guò)一個(gè)或多個(gè)網(wǎng)絡(luò)(例如�����,110���、115)與其它設(shè)備通信的設(shè)備�����。用戶計(jì)算設(shè)備的屬性和計(jì)算設(shè)備一般可以在各個(gè)設(shè)備之間變化很大��,包括各自的操作系統(tǒng)和經(jīng)加載��、安裝���、執(zhí)行、操作或以其方式可由每一個(gè)設(shè)備訪問(wèn)的軟件程序的集合�����。例如�,計(jì)算設(shè)備可以運(yùn)行、執(zhí)行�、安裝或者以其它方式包括各種程序集,包括操作系統(tǒng)���、應(yīng)用����、插件�����、小程序����、虛擬機(jī)、機(jī)器圖像����、驅(qū)動(dòng)器、可執(zhí)行文件和其它能夠由相對(duì)應(yīng)的設(shè)備運(yùn)行��、執(zhí)行或以其它方式使用的基于軟件的程序的各種組合����。
[0025]一些計(jì)算設(shè)備(例如���,120、125���、140����、150����、195)還可以包括至少一個(gè)圖形顯示設(shè)備和允許用戶查看系統(tǒng)100中提供的應(yīng)用和其它程序的圖形用戶界面并與之交互的用戶接口,包括與被托管在計(jì)算設(shè)備中的應(yīng)用交互的程序的用戶接口和圖形表示以及與資產(chǎn)管理系統(tǒng)105相關(guān)聯(lián)的圖形用戶界面���。此外��,盡管用戶計(jì)算設(shè)備(例如�,120����、125、140���、150���、195)可按由一個(gè)用戶使用來(lái)描述,但本公開構(gòu)想許多用戶可使用一個(gè)計(jì)算機(jī)或者一個(gè)用戶可使用多個(gè)計(jì)算機(jī)���。
[0026]盡管圖1被描述為包含多個(gè)元素或與多個(gè)元素相關(guān)聯(lián)��,但不是圖1的計(jì)算環(huán)境100中示出的所有元素都可在本公開的每一個(gè)替換性實(shí)現(xiàn)中使用����。附加地���,結(jié)合圖1的示例描述的元素的一個(gè)或多個(gè)可位于計(jì)算環(huán)境100外部�,而在其它實(shí)例中�����,某些元素可包括在其它經(jīng)描述的元素以及其它在所示的實(shí)現(xiàn)中沒(méi)有描述的元素的一個(gè)或多個(gè)中或作為其一部分���。而且���,圖1中示出的某些元素可與其它組件組合,以及用于此處所描述的那些目的之外替換性或附加目的�����。
[0027]圖2是示出了包括示例資產(chǎn)管理系統(tǒng)205的示例系統(tǒng)的簡(jiǎn)化框圖200,示例資產(chǎn)管理系統(tǒng)205與在一個(gè)或多個(gè)網(wǎng)絡(luò)(例如215)中部署的并具有發(fā)現(xiàn)網(wǎng)絡(luò)215中的計(jì)算設(shè)備(例如,類型為“系統(tǒng)類型的系統(tǒng)實(shí)體(例如��,220��、225�����、230�、235、240)和所發(fā)現(xiàn)的設(shè)備的地址和屬性的任務(wù)的一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎(例如210)協(xié)同操作�。然后此信息可以進(jìn)而由資產(chǎn)管理系統(tǒng)205使用以發(fā)現(xiàn)計(jì)算設(shè)備的其它屬性以及發(fā)現(xiàn)計(jì)算環(huán)境的其它類型系統(tǒng)實(shí)體,諸如使用計(jì)算環(huán)境的人員和使用計(jì)算環(huán)境中的設(shè)備服務(wù)的應(yīng)用����。此外,通過(guò)使用此信息����,資產(chǎn)管理系統(tǒng)205可以將經(jīng)標(biāo)識(shí)的系統(tǒng)實(shí)體分組并使用這些分組和對(duì)各個(gè)系統(tǒng)實(shí)體確定的其它屬性來(lái)標(biāo)識(shí)和關(guān)聯(lián)實(shí)體的相關(guān)安全策略。此外����,或者遠(yuǎn)程地(例如�,安全工具242)或者本地地(例如����,代理244)部署在各種計(jì)算設(shè)備(例如,220����、225�����、230�����、235��、240)的安全工具可以用來(lái)實(shí)施系統(tǒng)實(shí)體(例如��,網(wǎng)絡(luò)��、系統(tǒng)�、應(yīng)用和人員實(shí)體)的安全策略。
[0028]示例資產(chǎn)管理系統(tǒng)205可以包括一個(gè)或多個(gè)用來(lái)執(zhí)行在一些實(shí)現(xiàn)中包括在資產(chǎn)管理系統(tǒng)205的一個(gè)和多個(gè)組件中的功能的處理器設(shè)備245和存儲(chǔ)器元件248。例如����,在資產(chǎn)管理系統(tǒng)205的一個(gè)示例實(shí)現(xiàn)中,可以提供資產(chǎn)儲(chǔ)存庫(kù)管理器255���、策略管理器260和實(shí)施協(xié)調(diào)器265���。例如,資產(chǎn)儲(chǔ)存庫(kù)管理器255可以包括用于構(gòu)建和維護(hù)包括描述使用例如一個(gè)和多個(gè)資產(chǎn)檢測(cè)引擎210在計(jì)算環(huán)境中發(fā)現(xiàn)的系統(tǒng)實(shí)體的記錄的資產(chǎn)儲(chǔ)存庫(kù)250�����。資產(chǎn)儲(chǔ)存庫(kù)管理器255可以包括檢測(cè)引擎接口 256��,其允許資產(chǎn)儲(chǔ)存庫(kù)管理器255與部署在計(jì)算環(huán)境中的資產(chǎn)檢測(cè)引擎210接口并從資產(chǎn)檢測(cè)引擎獲得標(biāo)識(shí)計(jì)算環(huán)境中新發(fā)現(xiàn)的系統(tǒng)實(shí)體的結(jié)果以及檢測(cè)到的系統(tǒng)實(shí)體的屬性諸如地址數(shù)據(jù)和其它信息�����。也可由資產(chǎn)管理系205結(jié)合系統(tǒng)實(shí)體屬性的發(fā)現(xiàn)使用其它設(shè)備和服務(wù)���,諸如各種適于接收來(lái)自資產(chǎn)管理系統(tǒng)205的掃描腳本并執(zhí)行所發(fā)現(xiàn)的系統(tǒng)實(shí)體的更專門的掃描(例如�����,標(biāo)識(shí)應(yīng)用��、計(jì)算設(shè)備220��、225���、230和應(yīng)用的用戶等等)的掃描引擎290��。此外���,資產(chǎn)儲(chǔ)存庫(kù)管理器255可以附加地包括標(biāo)記引擎258�����,其適于向所發(fā)現(xiàn)的資產(chǎn)儲(chǔ)存庫(kù)中的系統(tǒng)實(shí)體分配標(biāo)記和歸類以便擴(kuò)展和修改系統(tǒng)實(shí)體之間�����、在資產(chǎn)儲(chǔ)存庫(kù)的默認(rèn)或原始組織方案中定義的默認(rèn)關(guān)系之外的關(guān)系的類型��。
[0029]轉(zhuǎn)向圖3��,示出了表示經(jīng)分層組織的資產(chǎn)儲(chǔ)存庫(kù)的框圖300��。在一些實(shí)現(xiàn)諸如圖3的示例中,資產(chǎn)儲(chǔ)存庫(kù)(例如250)可以用至少近似地對(duì)應(yīng)于給定計(jì)算環(huán)境中的系統(tǒng)實(shí)體的物理實(shí)現(xiàn)的分層結(jié)構(gòu)來(lái)組織��。分層的資產(chǎn)儲(chǔ)存庫(kù)可以用來(lái)定義計(jì)算環(huán)境中的系統(tǒng)實(shí)體之間的至少一些關(guān)系���。例如��,網(wǎng)絡(luò)(例如���,網(wǎng)絡(luò)類型的系統(tǒng)實(shí)體)可以包含類型為系統(tǒng)類型的實(shí)體(或者“系統(tǒng)”)的多個(gè)計(jì)算設(shè)備和網(wǎng)絡(luò)元件。在一些實(shí)例中���,網(wǎng)絡(luò)和他們的子系統(tǒng)之間的關(guān)系可以是多對(duì)多(有一些系統(tǒng)在多個(gè)網(wǎng)絡(luò)之間遷移且網(wǎng)絡(luò)通常包括多個(gè)組成系統(tǒng))�。此外��,可以認(rèn)為系統(tǒng)設(shè)備包含類型為“應(yīng)用”的軟件程序��。再一次�,系統(tǒng)設(shè)備和應(yīng)用之間的關(guān)系可以是多對(duì)多。此外��,在示例資產(chǎn)儲(chǔ)存庫(kù)的分層結(jié)構(gòu)的上下文中����,可以將計(jì)算環(huán)境中標(biāo)識(shí)的人員考慮為系統(tǒng)和/或應(yīng)用的“孩子”����。
[0030]作為示例說(shuō)明����,框圖300示出了包括多個(gè)網(wǎng)絡(luò)(例如,N1����、N2)、多個(gè)系統(tǒng)計(jì)算設(shè)備(例如���,S1���、S2����、S3、S4��、S5)����、多個(gè)應(yīng)用軟件程序���、數(shù)據(jù)結(jié)構(gòu)和服務(wù)(例如,A1���、A2����、A3����、A4、A5��、A6���、A7����、A8)和多個(gè)人員(例如�����,P1�����、P2、P3���、P4���、P5、P6�、P7、P8�、P9)的簡(jiǎn)化的計(jì)算環(huán)境的分層資產(chǎn)儲(chǔ)存庫(kù)的表示。如此特定示例環(huán)境中示出的���,系統(tǒng)可以屬于一個(gè)或多個(gè)網(wǎng)絡(luò)(例如����,系統(tǒng)S3屬于網(wǎng)絡(luò)NI和N2)�,應(yīng)用可以屬于系統(tǒng)計(jì)算設(shè)備的一個(gè)或多個(gè)���、由之托管或服務(wù)�、或以其它方式與之結(jié)合而提供(例如����,應(yīng)用Al是由系統(tǒng)SI托管的)��,并且人員可以與一個(gè)或多個(gè)系統(tǒng)計(jì)算設(shè)備和/或計(jì)算環(huán)境中的特定應(yīng)用相關(guān)聯(lián)(例如����,人員P7與系統(tǒng)S3和應(yīng)用A5都相關(guān)聯(lián)�����,且人員P9與系統(tǒng)S4和S5都相關(guān)聯(lián)�����,等等)�����,以及其它不例�。
[0031]可以為標(biāo)識(shí)系統(tǒng)實(shí)體之間的基本關(guān)系集的資產(chǎn)儲(chǔ)存庫(kù)采用各種各樣的其它組織方案。例如��,其它分層資產(chǎn)儲(chǔ)存庫(kù)可以登記計(jì)算環(huán)境的系統(tǒng)實(shí)體以定義除了網(wǎng)絡(luò):系統(tǒng):應(yīng)用之外的其它依賴性和分層結(jié)構(gòu)等等����。例如�����,可以維護(hù)根據(jù)地理分層地組織系統(tǒng)實(shí)體的資產(chǎn)儲(chǔ)存庫(kù)���。例如,單個(gè)系統(tǒng)實(shí)體(或“資產(chǎn)”)可以定義為位于貝爾法斯特的特定辦公室內(nèi)���,該辦公室分層地與該企業(yè)在愛(ài)爾蘭的運(yùn)營(yíng)有關(guān)��,而愛(ài)爾蘭被包含在該企業(yè)的西歐區(qū)域等等等等���,以及許多其它可能的示例。
[0032]盡管資產(chǎn)儲(chǔ)存庫(kù)可以用來(lái)初始地將系統(tǒng)實(shí)體集組織成一些例如至少部分地在實(shí)體之間的已知關(guān)系(例如���,系統(tǒng)被包括在網(wǎng)絡(luò)中等等)上定義的邏輯安排��,但也可以在資產(chǎn)儲(chǔ)存庫(kù)本身的結(jié)構(gòu)中建模的關(guān)系和實(shí)體屬性之上為系統(tǒng)實(shí)體定義更細(xì)微����、動(dòng)態(tài)和較不傳統(tǒng)的分組�。這在一些示例中也可以通過(guò)標(biāo)記或分類來(lái)達(dá)到。這樣的標(biāo)記��、分類�、目錄等(此處統(tǒng)稱為“標(biāo)記”)可以是允許系統(tǒng)的用戶或企業(yè)專用分組的自定義的。以此方式��,可以在為對(duì)系統(tǒng)實(shí)體在其相應(yīng)的計(jì)算環(huán)境中建目錄時(shí)��,向多個(gè)企業(yè)和組織提供可重用的資產(chǎn)儲(chǔ)存庫(kù)模板或系統(tǒng)���。標(biāo)記可附加地允許企業(yè)定義系統(tǒng)實(shí)體之間的附加關(guān)系����。不僅如此�,標(biāo)記也捕捉特定系統(tǒng)實(shí)體之間的、在資產(chǎn)儲(chǔ)存庫(kù)的默認(rèn)組織或結(jié)構(gòu)中定義的關(guān)系之外的更多標(biāo)準(zhǔn)化的替換性關(guān)系和共性����。作為示例,可以對(duì)所有具有特定操作系統(tǒng)的特定版本的系統(tǒng)設(shè)備應(yīng)用標(biāo)記���。在另一示例中��,可以向標(biāo)識(shí)為“關(guān)鍵”或者以其它方式具有一個(gè)或多個(gè)安全上下文中的特定重要性或興趣的計(jì)算設(shè)備(或網(wǎng)絡(luò)��、或應(yīng)用���、或以上所有)的子集的每一個(gè)分配標(biāo)記��。系統(tǒng)和/或人員可以根據(jù)他們與之相關(guān)聯(lián)的地理位置來(lái)標(biāo)記�����。系統(tǒng)可以根據(jù)設(shè)備類型����、制造商����、年齡、使用率和其它以設(shè)備為中心的屬性來(lái)標(biāo)記��。應(yīng)用可以根據(jù)類型(例如���,數(shù)據(jù)庫(kù)�、網(wǎng)頁(yè)��、web服務(wù)�����、內(nèi)部的、公共的�����、私有的��,等等)�、容量����、用戶數(shù)量和其它以應(yīng)用為中心的屬性來(lái)標(biāo)記。類似地����,可以標(biāo)記網(wǎng)絡(luò),且可根據(jù)以用戶為中心的屬性諸如角色����、許可級(jí)別、在計(jì)算環(huán)境或組織中的任期���、人口統(tǒng)計(jì)等來(lái)標(biāo)記人員�。
[0033]圖3的示例示出了標(biāo)記(之前存在的)資產(chǎn)儲(chǔ)存庫(kù)中的各種系統(tǒng)實(shí)體。例如�,標(biāo)記A(305)應(yīng)用于網(wǎng)絡(luò)NI和N2,而標(biāo)記B (310)應(yīng)用于網(wǎng)絡(luò)NI��。標(biāo)記可以在系統(tǒng)實(shí)體一被發(fā)現(xiàn)或以其它方式被標(biāo)識(shí)并包括在資產(chǎn)儲(chǔ)存庫(kù)中之后發(fā)生����。在一些實(shí)例中,可以與發(fā)現(xiàn)并記錄資產(chǎn)儲(chǔ)存庫(kù)中的系統(tǒng)實(shí)體基本同步地標(biāo)記系統(tǒng)實(shí)體����。標(biāo)記系統(tǒng)實(shí)體可以手動(dòng)地完成,管理員用戶標(biāo)識(shí)或創(chuàng)建標(biāo)記并將它們與特定實(shí)體相關(guān)聯(lián)�。標(biāo)記系統(tǒng)實(shí)體也可以是至少部分自動(dòng)化的。例如����,標(biāo)記可以根據(jù)標(biāo)記的規(guī)則集自動(dòng)地應(yīng)用于系統(tǒng)實(shí)體。例如�,規(guī)則可以(例如,由用戶)定義為自動(dòng)地對(duì)任何檢測(cè)為擁有一個(gè)或多個(gè)特定屬性的系統(tǒng)實(shí)體應(yīng)用標(biāo)記���,屬性包括使用資產(chǎn)檢測(cè)引擎�、掃描引擎和其它由資產(chǎn)管理系統(tǒng)(例如�,205)使用的基于軟件(和硬件)的工具而發(fā)現(xiàn)的屬性����。確定新的�����、之前未發(fā)現(xiàn)的或以及發(fā)現(xiàn)的系統(tǒng)實(shí)體擁有這樣的屬性可以導(dǎo)致標(biāo)記應(yīng)用于該系統(tǒng)實(shí)體�����。
[0034]共享特定標(biāo)記的系統(tǒng)實(shí)體可以分組進(jìn)相對(duì)應(yīng)的系統(tǒng)實(shí)體集����。例如����,應(yīng)用A4、A6和A7可全部用分配給作為計(jì)算環(huán)境中的數(shù)據(jù)庫(kù)的應(yīng)用類型的系統(tǒng)實(shí)體的標(biāo)記K來(lái)標(biāo)記�。因此,例如�,計(jì)算環(huán)境中的數(shù)據(jù)庫(kù)可以根據(jù)標(biāo)記來(lái)方便地標(biāo)識(shí),而數(shù)據(jù)庫(kù)專用的安全策略����、掃描和策略實(shí)施技術(shù)可以專門應(yīng)用于用標(biāo)記K標(biāo)記的系統(tǒng)實(shí)體�。
[0035]可以得到各種各樣的安全策略以應(yīng)用于計(jì)算環(huán)境中的系統(tǒng)實(shí)體���。例如�,安全策略可以指定網(wǎng)站���、文件和其它可以由特定設(shè)備����、由特定用戶或應(yīng)用在特定網(wǎng)絡(luò)中訪問(wèn)的數(shù)據(jù)�����。安全策略可以指示誰(shuí)可以訪問(wèn)特定文件和數(shù)據(jù)�,他們可以對(duì)數(shù)據(jù)做什么(例如,保存到外部介質(zhì)��、修改�、電子郵件、發(fā)送����,等等)。附加的安全策略可以指定某些交易期間的加密的級(jí)別和類型����、用于某些設(shè)備�、應(yīng)用和網(wǎng)絡(luò)的口令的長(zhǎng)度和類型���、和其它最小安全參數(shù)�,以及其它示例�����。附加地����,在一些示例中�����,可以將安全策略導(dǎo)向到安全順從規(guī)則����,諸如由政府和管理體設(shè)置的順從標(biāo)準(zhǔn)、標(biāo)準(zhǔn)設(shè)置組織��、行業(yè)標(biāo)準(zhǔn)和其它規(guī)則��,以及其它示例。一些策略可以是網(wǎng)絡(luò)���、用戶����、應(yīng)用或設(shè)備專用的�。一些策略可只與擁有某些特性的系統(tǒng)實(shí)體相關(guān),特性諸如是他們?cè)谀睦?���、什么時(shí)候和被誰(shuí)使用、他們的容量等����。因此,使用資產(chǎn)檢測(cè)引擎和掃描引擎發(fā)現(xiàn)的系統(tǒng)實(shí)體的屬性可以用來(lái)自動(dòng)地將特定安全策略分配給特定系統(tǒng)實(shí)體�。
[0036]返回到圖2的討論,資產(chǎn)管理系統(tǒng)205還可以包括可以用來(lái)定義安全策略并向在資產(chǎn)儲(chǔ)存庫(kù)250中標(biāo)識(shí)和編目錄的系統(tǒng)實(shí)體應(yīng)用安全策略的策略管理器260��。在一些示例中�����,策略管理器260可以包括策略分配引擎264和策略實(shí)施引擎265。安全策略262的庫(kù)可以用策略管理器260來(lái)維護(hù)和構(gòu)建���。在一些實(shí)現(xiàn)中��,安全策略262包括標(biāo)準(zhǔn)安全策略(例如����,一般地可跨計(jì)算環(huán)境應(yīng)用)以及環(huán)境專有的安全策略���。實(shí)際上�,在一些示例中�,策略管理器260可以包括允許管理員用戶為他們相應(yīng)的計(jì)算環(huán)境定義和生成新的、定制的安全策略的功能����。此外����,策略分配引擎264可以用來(lái)創(chuàng)建和維護(hù)各種策略(例如,262)和在計(jì)算環(huán)境中(即�,在資產(chǎn)儲(chǔ)存庫(kù)250中)標(biāo)識(shí)的安全實(shí)體之間的關(guān)聯(lián)。此外�,可以將實(shí)施引擎265提供為定義特定安全策略如何在計(jì)算環(huán)境中實(shí)施。
[0037]在一些實(shí)例中,策略實(shí)施引擎265可以用來(lái)與部署在計(jì)算環(huán)境中的各種安全工具(例如����,242,244)接口�。安全工具可以遠(yuǎn)程于系統(tǒng)實(shí)體(諸如系統(tǒng)類型的實(shí)體220、225���、230,235,240)而部署��,允許策略實(shí)施遠(yuǎn)程于并代表目標(biāo)設(shè)備��、應(yīng)用或人員而發(fā)生從而允許在無(wú)需將策略(或?qū)嵤?推送到目標(biāo)本身的情況下的安全實(shí)施�。這在例如從受監(jiān)視的網(wǎng)絡(luò)移進(jìn)和移出的移動(dòng)設(shè)備以及未管理的設(shè)備(諸如不包括代理或其它能夠?qū)嵤┲匾陌踩呗缘谋镜匕踩ぞ叩脑O(shè)備)的安全實(shí)施中可以是有用的�。例如,這樣的安全工具242可以包括防火墻��、web網(wǎng)關(guān)��、郵件網(wǎng)關(guān)�����、主機(jī)入侵保護(hù)(HIP)工具���、網(wǎng)絡(luò)入侵保護(hù)(NIP)工具����、反惡意軟件工具、數(shù)據(jù)丟失保護(hù)(DLP)工具���、系統(tǒng)脆弱性管理器���、系統(tǒng)策略順從性管理器、資產(chǎn)關(guān)鍵性工具���、入侵檢測(cè)系統(tǒng)(IDS)�����、入侵保護(hù)系統(tǒng)(IPS)和/或安全信息管理(SM)工具�����,以及其它示例�����。此外,實(shí)施引擎265還可以基于使用傳感器280、285���、掃描引擎290等標(biāo)識(shí)的目標(biāo)的屬性結(jié)合計(jì)算系統(tǒng)的安全管理啟用補(bǔ)丁����、更新和其它推送到目標(biāo)系統(tǒng)實(shí)體的數(shù)據(jù)�����。附加地���,本地安全實(shí)施也可以通過(guò)例如在目標(biāo)設(shè)備上運(yùn)行��、加載或以其它方式直接與之接口并向資產(chǎn)管理系統(tǒng)205提供(例如�,通過(guò)實(shí)施引擎265)用于在目標(biāo)設(shè)備上直接實(shí)施策略的接口的代理或其它工具(例如244)而執(zhí)行���。
[0038]每一個(gè)系統(tǒng)示例可以具有對(duì)其為原子性的基本特性����。例如�,對(duì)于系統(tǒng)類型的系統(tǒng)實(shí)體,這樣的特性或?qū)傩钥梢园↖P地址(或各IP地址)�����、相對(duì)應(yīng)的媒體訪問(wèn)控制(MAC)地址、完全合格的域名(FQDN)�、操作系統(tǒng)等。了解這樣的特性可以是有效的風(fēng)險(xiǎn)分析和安全實(shí)施得以發(fā)生的前提條件���。收集實(shí)體屬性可以涉及各種技術(shù)����。例如�����,代理可以在可以從系統(tǒng)實(shí)體直接收獲實(shí)體屬性的網(wǎng)絡(luò)����、系統(tǒng)和應(yīng)用中部署。盡管準(zhǔn)確和方便����,但不是所有的系統(tǒng)實(shí)體都是“受管理的”,因?yàn)樗鼈冇写?或能夠有代理)���。系統(tǒng)實(shí)體屬性也可以或者改為通過(guò)執(zhí)行對(duì)每一個(gè)系統(tǒng)實(shí)體的遠(yuǎn)程評(píng)估而通過(guò)網(wǎng)絡(luò)收集�����。盡管可以使用任一方案或者兩個(gè)方案的組合�,但首先應(yīng)建立特定系統(tǒng)類型的實(shí)體中的系統(tǒng)實(shí)體的存在��。
[0039]當(dāng)系統(tǒng)實(shí)體加入網(wǎng)絡(luò)時(shí)���,保護(hù)和管控網(wǎng)絡(luò)的安全進(jìn)程應(yīng)盡可能地立即知曉其存在�。在受管理的環(huán)境中��,這是相當(dāng)容易適應(yīng)的�����,因?yàn)槊恳粋€(gè)實(shí)體上的代理(例如244)可以直接通知資產(chǎn)管理系統(tǒng)205����。然而,在不受管理的資產(chǎn)的情況中��,發(fā)現(xiàn)環(huán)境中的系統(tǒng)實(shí)體是通過(guò)資產(chǎn)管理系統(tǒng)205可獲得并與之通信的發(fā)現(xiàn)進(jìn)程來(lái)促進(jìn)的�����。
[0040]資產(chǎn)檢測(cè)引擎(例如210)和其它網(wǎng)絡(luò)發(fā)現(xiàn)工具可以由允許資產(chǎn)在網(wǎng)絡(luò)上的存在被查明的技術(shù)分組組成。這樣的工具的示例是Ping掃描器�、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)視器、地址解析協(xié)議(ARP)高速緩存管理器等�。這些工具可以包括或者主動(dòng)地或者被動(dòng)地監(jiān)視環(huán)境以搜索新資產(chǎn)的主動(dòng)的或被動(dòng)的工具。一旦標(biāo)識(shí)了新資產(chǎn)�����,工具就可以通知資產(chǎn)管理系統(tǒng)205以允許其它資產(chǎn)屬性標(biāo)識(shí)進(jìn)程開始(或者繼續(xù))����。
[0041]在包括采用IPv4尋址的環(huán)境的傳統(tǒng)的計(jì)算環(huán)境中,資產(chǎn)標(biāo)識(shí)可以包括與受管理的設(shè)備的代理通信以確定設(shè)備的原子特性���。附加地或者可替換地���,每一個(gè)可能的IP地址都可以被Ping以根據(jù)對(duì)ping的響應(yīng)來(lái)標(biāo)識(shí)其它潛在的(例如,不受管理的)資產(chǎn)和他們的屬性�����。作為響應(yīng)��,經(jīng)標(biāo)識(shí)的潛在資產(chǎn)的原子特性可以與已經(jīng)記錄在資產(chǎn)儲(chǔ)存庫(kù)(例如250)中的實(shí)體的屬性相比較,以試圖將他們匹配到系統(tǒng)中已有的資產(chǎn)��,或者以其它方式將他們添加為資產(chǎn)儲(chǔ)存庫(kù)(例如250)中的新系統(tǒng)�。
[0042]為了試圖防止不受管理的設(shè)備不被檢測(cè)和不被保護(hù),可以使用蠻力地址ping掃描�����。然而���,在一些情況中,ping掃描易于遺漏一些設(shè)備�,諸如具有瞬態(tài)網(wǎng)絡(luò)連接或者變化的地址的設(shè)備。此外����,在采用IPv6尋址的計(jì)算環(huán)境中,ping掃描或地址掃描對(duì)于發(fā)現(xiàn)計(jì)算環(huán)境中不受管理的設(shè)備可能是不現(xiàn)實(shí)的解決方案��。
[0043]在圖2的示例中和本公開其它地方所描述的系統(tǒng)的實(shí)現(xiàn)解決以上所討論的傳統(tǒng)的系統(tǒng)的缺點(diǎn)及其它�。例如,資產(chǎn)檢測(cè)引擎210可以是部署為使用多個(gè)發(fā)現(xiàn)技術(shù)中的一個(gè)或多個(gè)自動(dòng)地發(fā)現(xiàn)活動(dòng)網(wǎng)絡(luò)設(shè)備的附連網(wǎng)絡(luò)的設(shè)備或軟件系統(tǒng)�,發(fā)現(xiàn)技術(shù)包括對(duì)資產(chǎn)檢測(cè)引擎210可用的被動(dòng)發(fā)現(xiàn)技術(shù)并隨后觸發(fā)附加活動(dòng)(例如,使用資產(chǎn)管理系統(tǒng)205)和在一些情況中根據(jù)定義的序列觸發(fā)附加活動(dòng)���。這樣的附加活動(dòng)可以包括��,例如��,盤存面向網(wǎng)絡(luò)的服務(wù)��、評(píng)估系統(tǒng)脆弱性����、盤存已安裝的軟件、應(yīng)用軟件補(bǔ)丁�、安裝新軟件等等。
[0044]在一些實(shí)例中�,一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎(例如210)可以擁有被動(dòng)地監(jiān)視網(wǎng)絡(luò)以發(fā)現(xiàn)各種活動(dòng)的功能,包括一個(gè)或多個(gè)設(shè)備地址的通信或標(biāo)識(shí)�。然后所標(biāo)識(shí)的地址可以從所監(jiān)視的信息中提取并進(jìn)一步用來(lái)ping、探測(cè)和以其它方式與所標(biāo)識(shí)的地址處的設(shè)備通信���,以標(biāo)識(shí)設(shè)備是否記錄在資產(chǎn)儲(chǔ)存庫(kù)250中并發(fā)現(xiàn)設(shè)備的附加屬性����。此外����,檢測(cè)到設(shè)備(即系統(tǒng)類型的實(shí)體)可以導(dǎo)致檢測(cè)到其它實(shí)體類型,包括應(yīng)用類型的實(shí)體和人員類型的實(shí)體。也可以獨(dú)立于檢測(cè)到系統(tǒng)類型的實(shí)體而檢測(cè)到應(yīng)用類型和人員類型的實(shí)體����,例如通過(guò)嗅探網(wǎng)絡(luò)流量和其它技術(shù)。例如���,可以從使用資產(chǎn)檢測(cè)引擎210監(jiān)視的流量檢測(cè)web服務(wù)器�����、數(shù)據(jù)庫(kù)、聊天客戶端����、媒體客戶端、媒體播放器等�����。
[0045]在一些實(shí)現(xiàn)中����,示例資產(chǎn)檢測(cè)引擎210可以包括一個(gè)或多個(gè)處理器272和一個(gè)或多個(gè)存儲(chǔ)器元件274并被部署在網(wǎng)絡(luò)中以執(zhí)行與設(shè)備和設(shè)備在網(wǎng)絡(luò)中的地址的檢測(cè)相關(guān)聯(lián)的多個(gè)不同的發(fā)現(xiàn)任務(wù)。在一些實(shí)現(xiàn)中����,示例資產(chǎn)檢測(cè)引擎210可以至少部分地部署為內(nèi)聯(lián)地(例如�����,在交換機(jī)或路由器處)或并行地(例如���,離開路由器鏡像(span)端口)插入網(wǎng)絡(luò)的硬件設(shè)備,或者至少部分地部署為可以遍及子網(wǎng)部署的軟件����,諸如在網(wǎng)絡(luò)中特定的或任意的主機(jī)上、在專用的主機(jī)諸如網(wǎng)絡(luò)DHCP服務(wù)器上或在其它部署中�����。資產(chǎn)檢測(cè)引擎210可以包括多個(gè)可以根據(jù)刀片型架構(gòu)配置的可插入式傳感器組件(例如�����,280�����、285)���,在該架構(gòu)中新傳感器可以根據(jù)例如其在網(wǎng)絡(luò)中的角色和網(wǎng)絡(luò)中可用的或偏好的工具從可重用的資產(chǎn)檢測(cè)傳感器框架275中添加或去除��。以此方式��,當(dāng)新傳感器被開發(fā)了或變得可用了�����,新傳感器可以添加到傳感器框架275中以補(bǔ)充(或替代)通過(guò)資產(chǎn)檢測(cè)引擎210的傳感器框架275部署的其它傳感器技術(shù)�。
[0046]在一些實(shí)現(xiàn)中,傳感器框架275可以提供主動(dòng)傳感器280和被動(dòng)傳感器285 二者的組合���。主動(dòng)傳感器280可以包括涉及直接向網(wǎng)絡(luò)中的設(shè)備和地址發(fā)送流量和測(cè)試對(duì)流量的響應(yīng)的傳感器�。這樣的主動(dòng)傳感器可以包括具有適于執(zhí)行多播查詢�、ping掃描和其它不例的功能的基于硬件和/或軟件的傳感器組件����。另一方面,被動(dòng)傳感器285可以包括具有試圖在與設(shè)備的通信之外或者相對(duì)應(yīng)于地址本身獲得網(wǎng)絡(luò)中的設(shè)備的地址信息并標(biāo)識(shí)網(wǎng)絡(luò)中的設(shè)備的功能的傳感器組件��。被動(dòng)傳感器285可以包括被動(dòng)發(fā)現(xiàn)類型傳感器����、基于事件的發(fā)現(xiàn)類型傳感器和間接發(fā)現(xiàn)類型傳感器��。傳感器框架275可以包括一種或多種類型的主動(dòng)傳感器和被動(dòng)傳感器285�。實(shí)際上��,在一些實(shí)現(xiàn)中�,同一類型的多個(gè)傳感器可以在單個(gè)傳感器框架刀片(例如275)上提供。例如���,示例傳感器框架可以包括一個(gè)或多個(gè)主動(dòng)傳感器�����、兩個(gè)間接發(fā)現(xiàn)類型被動(dòng)傳感器��、一個(gè)基于事件的發(fā)現(xiàn)類型傳感器等����。最小的或優(yōu)化的傳感器集可以依賴于使用資產(chǎn)發(fā)現(xiàn)引擎210監(jiān)視或掃描的網(wǎng)絡(luò)的具體特性�,但是一般來(lái)說(shuō),傳感器框架275中包括和利用的傳感器的多樣性越廣�,則覆蓋和資產(chǎn)發(fā)現(xiàn)的結(jié)果越全面。
[0047]在一些情況中���,主動(dòng)傳感器280可以包括適于利用包括IPv6多播的IP多播發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備的傳感器���。在IP網(wǎng)絡(luò)的上下文中��,多播尋址是用于其中向一組目標(biāo)系統(tǒng)同時(shí)發(fā)送一條消息導(dǎo)致路由器創(chuàng)建那些分組的副本以求最優(yōu)分布的一對(duì)多通信的技術(shù)���。示例的用于發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備的IPv6的多播查詢可以利用鏈路本地范圍內(nèi)全部節(jié)點(diǎn)多播地址(例如,“FF02::1"前綴的)來(lái)查詢��。例如,示例主動(dòng)傳感器可以向多播地址FF02:0:0:0:0:0:1:2處的端口 547發(fā)送DHCPv6UDP探測(cè)以發(fā)現(xiàn)所有DHCP服務(wù)器和中繼代理。在另一示例中����,示例主動(dòng)傳感器可以向“全部節(jié)點(diǎn)”多播地址FF02::1發(fā)送ICMPv6查詢以發(fā)現(xiàn)本地網(wǎng)絡(luò)上的系統(tǒng)���。在又一示例中,示例活動(dòng)傳感器可以向“全部路由器”多播地址FF02::2發(fā)送ICMPv6查詢以發(fā)現(xiàn)網(wǎng)絡(luò)上的路由器�,以及其它示例。
[0048]在其它示例中�����,包括在傳感器框架275中的一個(gè)或多個(gè)主動(dòng)傳感器280可以包括適于執(zhí)行蠻力尋址��、或ping�、掃描來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備的傳感器。盡管一般而言對(duì)發(fā)現(xiàn)典型IPv6網(wǎng)絡(luò)中的設(shè)備無(wú)效�����,但ping掃描或更一般而言地址掃描仍可以是檢測(cè)小IPv6地址范圍上和IPv4網(wǎng)絡(luò)上的設(shè)備的有效手段�����。Ping掃描可以在檢測(cè)大多數(shù)沉默和有固定地址的設(shè)備時(shí)特別地有效�����。Ping掃描可以利用傳統(tǒng)的ICMP ping掃描技術(shù)�,借此向潛在活動(dòng)的地址發(fā)送一個(gè)或多個(gè)分組以及其它技術(shù)。如果接收到特定類型的響應(yīng)���,那么認(rèn)為目標(biāo)地址是活動(dòng)的����。Ping掃描可以包括ICMP ping掃描(用于若干分組類型的)�����、使用完整TCP連接測(cè)試的對(duì)開放端口的掃描����、使用半開放(SYN)測(cè)試的對(duì)開放端口的掃描和向特定的已知的UDP端口發(fā)送“輕推(nudge) ”分組�����,以及其它示例�。
[0049]此外��,盡管地址掃描可以應(yīng)用于基于目標(biāo)的地址掃描發(fā)現(xiàn)(例如�,以先前或基于一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎210的被動(dòng)發(fā)現(xiàn)任務(wù)而標(biāo)識(shí)或選擇的特定的已知IP地址或IP地址范圍為目標(biāo)),但主動(dòng)發(fā)現(xiàn)傳感器也可以連續(xù)地掃描地址范圍以發(fā)現(xiàn)新的活動(dòng)地址并且驗(yàn)證先前活動(dòng)的地址仍是活動(dòng)的或變得不活動(dòng)��,在檢測(cè)到狀態(tài)改變時(shí)接近實(shí)時(shí)地啟動(dòng)事件(例如��,使用資產(chǎn)管理系統(tǒng)205的屬性發(fā)現(xiàn)嘗試任務(wù))以執(zhí)行有用的工作�。
[0050]被動(dòng)傳感器(例如285)可以包括潛在發(fā)現(xiàn)類型傳感器、基于事件的發(fā)現(xiàn)類型傳感器和間接發(fā)現(xiàn)類型傳感器���。潛在發(fā)現(xiàn)類型傳感器可以包括適于潛在地監(jiān)視網(wǎng)絡(luò)以發(fā)現(xiàn)包括設(shè)備地址信息的通信和標(biāo)識(shí)的各種活動(dòng)并無(wú)需直接接觸主機(jī)系統(tǒng)而提取地址信息(即對(duì)應(yīng)于地址)的傳感器���。潛在發(fā)現(xiàn)傳感器可以包括適于例如監(jiān)視NetB1S廣播分組、監(jiān)視因特網(wǎng)控制消息協(xié)議(ICMP)流量(包括ICMP版本6 (ICMPv6)流量)��、嗅探一般網(wǎng)絡(luò)流量��、經(jīng)由交換端口鏡像(諸如通過(guò)交換端口分析器(或“SPAN端口”))嗅探流量以及其它示例的傳感器�。至少一些潛在發(fā)現(xiàn)傳感器可以不需特別配置而操作(例如,由管理員終端用戶提供)����。例如,適于截取NetB1S廣播分組的潛在發(fā)現(xiàn)傳感器可以確定網(wǎng)絡(luò)上的設(shè)備的地址信息���,以及其它系統(tǒng)實(shí)體屬性�。許多系統(tǒng)�����,包括那些基于例如Microsoft Windows?操作系統(tǒng)的系統(tǒng)����,可以向他們的本地網(wǎng)絡(luò)廣播數(shù)據(jù)報(bào)分組,例如結(jié)合用于UDP端口 138上的無(wú)連接通信的NetB1S數(shù)據(jù)報(bào)分發(fā)服務(wù)����,以及其它示例。NetB1S數(shù)據(jù)報(bào)廣播分組可以標(biāo)識(shí)所截取的NetB1S分組所源自的發(fā)送設(shè)備的IP地址和MAC地址���,并在一些情況中還可以包括當(dāng)被標(biāo)識(shí)和處理時(shí)揭示發(fā)送設(shè)備的操作系統(tǒng)以及其它信息的數(shù)據(jù)����。可以使用此方法可靠地標(biāo)識(shí)的操作系統(tǒng)包括例如 Windows 9x/Me/NT 4.CKNetApp 設(shè)備��、Windows 2000> Windows XP>Windows 月艮務(wù)器 2003����、Windows XP (64 位)、Windows 月艮務(wù)器 2008����、Windows Vista、Windows服務(wù)器2008R2����、和Windows7。因此���,適于截取NetB1S廣播分組的潛在發(fā)現(xiàn)傳感器可以標(biāo)識(shí)發(fā)送設(shè)備���、他們相應(yīng)的地址數(shù)據(jù)和發(fā)送設(shè)備的操作系統(tǒng)。
[0051]在另一示例中����,另一(或同一)潛在發(fā)現(xiàn)類型傳感器可以適于監(jiān)視ICMPv6流量�����。可以由網(wǎng)絡(luò)中的IPv6設(shè)備經(jīng)由ICMPv6協(xié)議生成并發(fā)送大量流量���。正確調(diào)整的潛在發(fā)現(xiàn)類型傳感器可以監(jiān)聽(tīng)特定類型的多播ICMPv6流量諸如鄰居請(qǐng)求分組和鄰居廣告分組���,以標(biāo)識(shí)在流量中標(biāo)識(shí)的一個(gè)或多個(gè)設(shè)備的地址(即,MAC地址和IPv6地址)���,以及其它示例�。
[0052]在又一示例中����,潛在發(fā)現(xiàn)類型傳感器可以適于嗅探一般網(wǎng)絡(luò)流量以得到可以用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)中之前未知的設(shè)備或者之前未知的由之前標(biāo)識(shí)的網(wǎng)絡(luò)中的設(shè)備使用的地址的地址信息。IPv4和IPv6分組包括源和目的地地址信息���,以及源和目的地端口及源和目的地的相應(yīng)的MAC地址���。因此,嗅探所有網(wǎng)絡(luò)流量可以允許發(fā)現(xiàn)新的地址數(shù)據(jù)和由此發(fā)現(xiàn)在受監(jiān)視的網(wǎng)絡(luò)上通信的新設(shè)備。通過(guò)被動(dòng)地嗅探所有網(wǎng)絡(luò)流量���,只要新設(shè)備在網(wǎng)絡(luò)上通信�����,就可以發(fā)現(xiàn)新設(shè)備地址�。嗅探一般流量在一些網(wǎng)絡(luò)中可能是有問(wèn)題的���,然而�����,由于許多現(xiàn)代的網(wǎng)絡(luò)是“交換”的�����,借此網(wǎng)絡(luò)設(shè)備以及可能所部署的資產(chǎn)檢測(cè)引擎210只接收廣播分組�����、多播分組和直接定址到托管資產(chǎn)檢測(cè)引擎的設(shè)備的分組�。在其它情況中�����,端口鏡像可以利用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)中之前已知的設(shè)備地址。一些網(wǎng)絡(luò)路由器和交換機(jī)可以配置為將特定設(shè)備端口或者甚至整個(gè)虛擬局域網(wǎng)(VLAN)上的所有流量轉(zhuǎn)發(fā)或“鏡像”到交換機(jī)上的另一個(gè)端口��,諸如交換端口分析器(SPAN)和巡回分析端口(RAP)�����,以及其它示例�。一些在傳感器框架275中可用的潛在發(fā)現(xiàn)類型傳感器的實(shí)現(xiàn)可以適于嗅探網(wǎng)絡(luò)交換機(jī)的經(jīng)配置的SPAN端口(或其它流量鏡像端口)上的流量����,從而允許傳感器監(jiān)視所有在端口上鏡像的網(wǎng)絡(luò)流量,包括定向到交換網(wǎng)絡(luò)中的其它設(shè)備的流量���,而無(wú)需傳感器物理地連接到鏡像端口�。
[0053]被動(dòng)傳感器也可以包括基于事件的發(fā)現(xiàn)傳感器���。一般地�,基于事件的發(fā)現(xiàn)傳感器可以向網(wǎng)絡(luò)服務(wù)注冊(cè)或者以其它方式與其接口以在一個(gè)或多個(gè)特定的預(yù)先標(biāo)識(shí)的類型的事件發(fā)生時(shí)接收通知��。(向或者由相應(yīng)的網(wǎng)絡(luò)服務(wù))對(duì)這樣的事件的報(bào)告或檢測(cè)可以包括資產(chǎn)管理系統(tǒng)205有興趣的設(shè)備尋址信息諸如IP地址和DNS名字的標(biāo)識(shí)���。這樣的事件可以包括����,例如,DHCP服務(wù)器事件�����、Microsoft活動(dòng)目錄?審計(jì)事件以及防火墻和入侵防御系統(tǒng)(IPS)事件��,以及其它示例���?��;谑录陌l(fā)現(xiàn)傳感器可以與記錄這樣的事件的相應(yīng)的設(shè)備和系統(tǒng)接口并標(biāo)識(shí)可以被挖掘以得到用于構(gòu)建和補(bǔ)充資產(chǎn)儲(chǔ)存庫(kù)250的記錄的地址數(shù)據(jù)的那些特定的事件和事件記錄。
[0054]作為示例����,基于事件的發(fā)現(xiàn)傳感器的一個(gè)實(shí)現(xiàn)可以包括適于與DHCP網(wǎng)絡(luò)環(huán)境中的一個(gè)或多個(gè)DHCP服務(wù)器接口的傳感器。在DHCP網(wǎng)絡(luò)環(huán)境中��,每一次系統(tǒng)被打開并加入網(wǎng)絡(luò)時(shí)�����,它廣播請(qǐng)求以從最近的DHCP服務(wù)器接收IP地址。然后最近的服務(wù)器一般分配地址租約并通知目標(biāo)(請(qǐng)求的)系統(tǒng)它的地址應(yīng)該是什么�。而且,一旦系統(tǒng)的租約到期�����,它就被從DHCP服務(wù)器的活動(dòng)地址列表中移除���。在一些實(shí)現(xiàn)中����,DHCP服務(wù)器監(jiān)視和/或參與此地址租賃過(guò)程�,且基于事件的發(fā)現(xiàn)傳感器可以包括用于與DHCP服務(wù)器接口和查詢DHCP服務(wù)器的記錄�����、從DHCP服務(wù)器接收警告和其它消息�、或者以其它方式從DHCP服務(wù)器獲取關(guān)于涉及網(wǎng)絡(luò)中的設(shè)備的近期租約事件的信息的功能。例如��,一些DHCP服務(wù)器的實(shí)現(xiàn)向其它設(shè)備和服務(wù)提供API (諸如Microsoft DHCP服務(wù)器的“DHCP服務(wù)器Callout API”)和日志文件(諸如Unix/Linux DHCP服務(wù)器“dhcpd”日志記錄租約事件)�����,以及其它示例和實(shí)現(xiàn)。一般地���,由傳感器從DHCP服務(wù)器獲得的信息可以進(jìn)而用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)中潛在的新的或者先前未知的設(shè)備���。
[0055]在另一示例中,示例的基于事件的發(fā)現(xiàn)傳感器可以適于與Microsoft Windows活動(dòng)目錄服務(wù)器接口以獲得由活動(dòng)目錄服務(wù)器記錄或標(biāo)識(shí)的特定類型的事件的記錄�。例如,在組織中�,當(dāng)用戶執(zhí)行登入或登出加入活動(dòng)目錄域的系統(tǒng)時(shí),可以在活動(dòng)目錄服務(wù)器的事件日志中創(chuàng)建事件�����。一些特定的事件和這些事件的日志記錄可以包括網(wǎng)絡(luò)中一個(gè)或多個(gè)設(shè)備的IP地址和DNS名字信息的標(biāo)識(shí)�����?��;谑录陌l(fā)現(xiàn)傳感器可以提取此地址數(shù)據(jù)供資產(chǎn)管理系統(tǒng)205使用����。例如�����,活動(dòng)目錄事件的日志,諸如表I中標(biāo)注的那些示例(和其它未列出的)�����,可以包括地址信息供補(bǔ)充資產(chǎn)儲(chǔ)存庫(kù)250時(shí)使用:
[0056]表I
[0057]
事件描述Windows 2008小:件Windows 2003小:件
__ID__ID_
請(qǐng)求 T Kerberos 認(rèn)證權(quán)證(TGT) 4768672, 676_
請(qǐng)求了 Kerberos 服務(wù)權(quán)證__4769__673_
Kerberos 預(yù)認(rèn)證失敗__4771__675_
Kerberos認(rèn)證權(quán)證請(qǐng)求失敗__4772__672_
域控制器試圖驗(yàn)證帳戶的憑證 4776__680, 681_
會(huì)話重新連接到窗口站__4778__682_
帳戶成功登錄_ 4624_ 528�,540_
[0058]附加地,基于事件的發(fā)現(xiàn)傳感器也可以與防火墻�����、IPS和其它安全工具(例如242)接口以獲得描述由工具監(jiān)視的事件的日志和其它信息���。例如,防火墻是基于一組用戶指定的規(guī)則允許或拒絕網(wǎng)絡(luò)傳輸?shù)脑O(shè)備����。入侵防御系統(tǒng)(IPS)是進(jìn)行深度分組檢查并在注意到特定流量模式時(shí)生成事件的設(shè)備。IPS也可以修改或阻止這樣的流量�����。防火墻和IPS都可以用來(lái)在網(wǎng)絡(luò)攻擊的事件中通知網(wǎng)絡(luò)管理員����,或幫助實(shí)際地阻止非法闖入�����、病毒的傳播��、蠕蟲等����。在一些實(shí)現(xiàn)中��,IPS或防火墻可以附加地配置為生成關(guān)于特定類型或模式的網(wǎng)絡(luò)流量的事件且所生成的事件可以包括列出結(jié)合事件監(jiān)視的流量中涉及的源和目的地地址�、DNS名字和開放端口的記錄或信息的創(chuàng)建。此外����,基于事件的發(fā)現(xiàn)傳感器可以配置為與防火墻和IPS接口以與服務(wù)通信并從服務(wù)接收所報(bào)告的事件,包括檢測(cè)到包括地址信息的特定類型的分組����,諸如DHCP地址請(qǐng)求、DNS名字查詢以及其它示例�����。
[0059]間接發(fā)現(xiàn)類型傳感器也可以包括在被動(dòng)傳感器285中。間接發(fā)現(xiàn)類型傳感器可以適于與記錄并維護(hù)設(shè)備地址信息以在無(wú)需直接接觸相對(duì)應(yīng)的主機(jī)的情況下而提取那些地址的各種網(wǎng)絡(luò)服務(wù)接口并向其查詢����。這樣的目標(biāo)網(wǎng)絡(luò)服務(wù)和設(shè)備可以包括,例如���,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)����、服務(wù)器(例如��,SNMP管理信息庫(kù)2 (MIB2))�、主機(jī)的鄰居數(shù)據(jù)庫(kù)(例如,經(jīng)由netstat命令)���、DHCP數(shù)據(jù)庫(kù)和路由器維護(hù)的鄰居信息數(shù)據(jù)庫(kù)����,以及其它示例�。
[0060]在一個(gè)特定示例中���,間接發(fā)現(xiàn)類型傳感器可以適于查詢SNMP服務(wù)器的管理信息庫(kù)(MIB)(包括MIB2)�。從MIB2可以獲得可以用來(lái)進(jìn)一步構(gòu)造資產(chǎn)儲(chǔ)存庫(kù)250的豐富的信息。例如����,可以查詢MIB21以獲得SNMP服務(wù)器的ARP表和由此的SNMP服務(wù)器/設(shè)備已經(jīng)通過(guò)本地網(wǎng)絡(luò)接觸過(guò)的設(shè)備的列表,包括設(shè)備的地址信息��?����?梢垣@得列出系統(tǒng)���、他們的IP地址和SNMP服務(wù)器/設(shè)備連接到的或已經(jīng)發(fā)出或接收數(shù)據(jù)的端口的連接表�����。也可以與關(guān)于分組是怎么從設(shè)備被路由到網(wǎng)絡(luò)上的其它設(shè)備的細(xì)節(jié)一起訪問(wèn)路由表����,包括路由中涉及的其它設(shè)備的IP地址��。附加示例數(shù)據(jù)也可以從SNMP設(shè)備獲得��,且其它SNMP查詢也可以揭示SNMP設(shè)備在其中通信的網(wǎng)絡(luò)中的設(shè)備的地址信息和其它有用的數(shù)據(jù)。
[0061]在另一示例中����,間接發(fā)現(xiàn)類型傳感器可以適于獲得網(wǎng)絡(luò)中的遠(yuǎn)程設(shè)備上的命令外殼并發(fā)出netstat命令以獲得網(wǎng)絡(luò)中的系統(tǒng)的按照P地址的列表,遠(yuǎn)程設(shè)備已經(jīng)連接到該系統(tǒng)或與該系統(tǒng)交換了數(shù)據(jù)和其它系統(tǒng)的端口信息��。其它間接發(fā)現(xiàn)類型傳感器可以適于與DHCP服務(wù)器接口并查詢由一個(gè)或多個(gè)DHCP服務(wù)器保持的數(shù)據(jù)庫(kù)以獲得網(wǎng)絡(luò)上的設(shè)備的地址信息����。例如,間接發(fā)現(xiàn)類型傳感器可以適于標(biāo)識(shí)網(wǎng)絡(luò)上的DHCP系統(tǒng)并使用遠(yuǎn)程API來(lái)查詢DHCP服務(wù)器數(shù)據(jù)庫(kù)(例如���,使用DhcpEnumServers�����、DhcpEnumSubnets�����、DhcpEnumSubnetClientsV5等)或使用例如遠(yuǎn)程命令外殼來(lái)訪問(wèn)DHCP租約列表(例如��,Linux系統(tǒng)中維護(hù)的平面文本文件最少列表)�。附加地�����,一些間接發(fā)現(xiàn)類型傳感器也可以查詢路由器以得到設(shè)備地址信息�,例如通過(guò)查詢網(wǎng)絡(luò)中的各個(gè)路由器的“IPv6鄰居信息數(shù)據(jù)庫(kù)”。這樣的數(shù)據(jù)庫(kù)可以維護(hù)相應(yīng)的路由器已知的IP地址和MAC地址的列表(例如����,關(guān)于自路由器上一次初始化以來(lái)生成網(wǎng)絡(luò)流量的所有設(shè)備),這可以使用相對(duì)應(yīng)的間接發(fā)現(xiàn)類型傳感器而收獲�。在一些情況中,這樣的傳感器可以適于對(duì)要支持的每一個(gè)各個(gè)路由器或網(wǎng)絡(luò)設(shè)備維護(hù)和利用特定的連接器���,以及在一些示例中未獲獎(jiǎng)和利用路由器憑證����、類型和地址的記錄��。
[0062]被動(dòng)傳感器285可以包括其它類型的傳感器��,諸如地址映射類型的傳感器����。地址映射類型的傳感器可以適于使用來(lái)自資產(chǎn)儲(chǔ)存庫(kù)250的或者使用一個(gè)和多個(gè)其它主動(dòng)或被動(dòng)的傳感器(例如,280����、285)發(fā)現(xiàn)的地址數(shù)據(jù)來(lái)查詢其它網(wǎng)絡(luò)設(shè)備�,諸如DNS服務(wù)器����、路由器、IPS��、或防火墻�,以發(fā)現(xiàn)所發(fā)現(xiàn)的設(shè)備的附加地址信息。一般地�,通過(guò)這樣的查詢可以將單個(gè)設(shè)備地址映射到設(shè)備的一個(gè)和多個(gè)其它地址。這些其它地址信息可以包括�,例如,一個(gè)或多個(gè)人可讀的名字(例如�����,DNS名字)��、一個(gè)或多個(gè)邏輯設(shè)備地址(例如���,IP地址)���、一個(gè)和多個(gè)物理設(shè)備地址(例如����,MAC地址)等����。
[0063]在一些情況中��,一個(gè)或多個(gè)地址映射傳感器可以被包括在傳感器框架275中�,該傳感器框架275適于使用從資產(chǎn)儲(chǔ)存庫(kù)250和/或通過(guò)部署在相對(duì)應(yīng)的計(jì)算環(huán)境中的資產(chǎn)檢測(cè)引擎210中的一個(gè)或多個(gè)其它傳感器280、285獲得的地址數(shù)據(jù)來(lái)執(zhí)行DNS服務(wù)器查詢���。DNS服務(wù)器可以從人可讀的設(shè)備名字(例如��,DNS名字)向前映射到所命名的設(shè)備的所有邏輯地址��。此外���,DNS服務(wù)器也可以從一個(gè)邏輯設(shè)備地址反向映射回設(shè)備的DNS名字。由此�,給定單個(gè)IP地址時(shí),可以通過(guò)首先進(jìn)行對(duì)那個(gè)地址的反向DNS名字查找���,然后進(jìn)行對(duì)所返回的設(shè)備的DNS名字的所有IP地址的向前查找來(lái)發(fā)現(xiàn)附加的地址�。
[0064]在其它示例中,地址映射傳感器可以適于查詢其它網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫(kù)以執(zhí)行地址映射和發(fā)現(xiàn)設(shè)備在計(jì)算環(huán)境中的附加地址數(shù)據(jù)���。例如�,本地IPv4ARP高速緩存����、IPv6目的地高速緩存或IPv6鄰居高速緩存以及其它示例可以由地址映射傳感器查詢以發(fā)現(xiàn)網(wǎng)絡(luò)中之前標(biāo)識(shí)的設(shè)備的附加地址。例如���,對(duì)于系統(tǒng)之前與之通信過(guò)的任何IPv4地址�����,任何系統(tǒng)的本地ARP高速緩存可以用來(lái)從IPv4地址映射到相對(duì)應(yīng)的系統(tǒng)的MAC地址�。附加地���,利用此高速緩存允許此映射發(fā)生而不會(huì)招致要求本地網(wǎng)絡(luò)路由器提供此轉(zhuǎn)換的成本��。此外���,在IPv6環(huán)境中,目的地高速緩存和鄰居高速緩存可以類似地用來(lái)標(biāo)識(shí)由一個(gè)或多個(gè)IPv6地址標(biāo)識(shí)的設(shè)備的MAC地址�����,以及其它示例。此外����,此信息可以經(jīng)由例如PowerShell v2來(lái)遠(yuǎn)程地檢索以管理來(lái)自可以獲得遠(yuǎn)程訪問(wèn)的任何系統(tǒng)的附加目的地地址。此外���,像其它傳感器一樣,地址映射傳感器還可以適于維護(hù)用于認(rèn)證和訪問(wèn)維護(hù)遍及計(jì)算環(huán)境的各種形式的事件�、設(shè)備和地址信息的網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)的憑證和配置。
[0065]轉(zhuǎn)到圖4����,示出了與示例資產(chǎn)管理系統(tǒng)205通信的示例可擴(kuò)展資產(chǎn)檢測(cè)引擎210的簡(jiǎn)化框圖400。如圖2中的示例中的���,資產(chǎn)檢測(cè)引擎210可以包括適于接受和使用各種主動(dòng)和被動(dòng)的傳感器(例如�����,280����、285)的傳感器框架或平臺(tái),資產(chǎn)檢測(cè)引擎210可以組合使用所述傳感器以標(biāo)識(shí)設(shè)備和從資產(chǎn)檢測(cè)引擎(和其組件傳感器280�����、285)部署在其上的網(wǎng)絡(luò)提取相對(duì)應(yīng)的設(shè)備地址信息�。此外,傳感器可以方便地在傳感器架構(gòu)上添加�、移除或替換,從而允許資產(chǎn)檢測(cè)引擎210的功能被擴(kuò)展����、修改和以其它方式對(duì)資產(chǎn)檢測(cè)引擎210部署在其上的網(wǎng)絡(luò)定制(例如,基于資產(chǎn)檢測(cè)引擎?zhèn)鞲衅骺梢耘c之接口的網(wǎng)絡(luò)上可用的網(wǎng)絡(luò)設(shè)備和服務(wù))�����。
[0066]在圖4中示出的一個(gè)說(shuō)明性示例中�����,示例資產(chǎn)檢測(cè)引擎210可以包括可插入式地部署在資產(chǎn)檢測(cè)引擎上的主動(dòng)和被動(dòng)傳感器280�����、285 二者。例如���,在部署在資產(chǎn)檢測(cè)引擎210上的可插入式主動(dòng)傳感器280中�,可以提供TCP SYN/ACK主動(dòng)發(fā)現(xiàn)傳感器��、ICMP ping掃描傳感器和M)P ping傳感器����。在一些情況中,TCP SYN/ACK傳感器可以向網(wǎng)絡(luò)中的地址發(fā)送一個(gè)或多個(gè)TCP分組(諸如SYN分組�����、TCP完全連接分組序列等)的集合��。在一些情況中���,TCP SYN/ACK傳感器可以針對(duì)標(biāo)識(shí)為更可能在網(wǎng)絡(luò)中使用的特定端口并對(duì)每一個(gè)目標(biāo)IP地址向每一個(gè)所標(biāo)識(shí)的端口發(fā)送TCP SYN分組。用TCP SYN ACK響應(yīng)的目標(biāo)設(shè)備可以標(biāo)識(shí)為觸發(fā)進(jìn)一步的目標(biāo)設(shè)備的屬性探測(cè)的活動(dòng)設(shè)備�。ICMP ping掃描傳感器可以適于向每個(gè)目標(biāo)IP地址發(fā)送ICMP ping請(qǐng)求并監(jiān)聽(tīng)響應(yīng)以標(biāo)識(shí)網(wǎng)絡(luò)上的活動(dòng)設(shè)備。UDP ping傳感器可以適于向設(shè)計(jì)為從被預(yù)測(cè)為使用的并與目標(biāo)設(shè)備的特定端口相關(guān)聯(lián)的特定服務(wù)引發(fā)響應(yīng)的目標(biāo)設(shè)備發(fā)送特定UDP分組����。然后UDP ping傳感器可以監(jiān)聽(tīng)對(duì)所發(fā)送的UDP分組的響應(yīng)以標(biāo)識(shí)網(wǎng)絡(luò)上的活動(dòng)設(shè)備。
[0067]此外,在圖4的示例中�,也可以在資產(chǎn)管理引擎210上提供各種不同的可插入式被動(dòng)傳感器285。例如���,在圖4的特定示例中�,各自試圖以特定方式被動(dòng)地發(fā)現(xiàn)IP地址信息的一組被動(dòng)傳感器可以包括SPAN端口傳感器���、IPv6鄰居查詢傳感器��、ARP高速緩存查詢傳感器��、反向DNS查找傳感器����、DHCP管理傳感器���、交換機(jī)MAC傳感器����,以及其它���。附加地�,傳感器也可以在適于與也捕捉和維護(hù)系統(tǒng)中的地址數(shù)據(jù)的記錄的產(chǎn)品和服務(wù)的第三方開發(fā)者一起工作(并在一些情況下由第三方開發(fā)者提供)的可擴(kuò)展的傳感器框架上提供并實(shí)現(xiàn)。此夕卜���,由于資產(chǎn)檢測(cè)引擎210上的每一個(gè)傳感器標(biāo)識(shí)網(wǎng)絡(luò)的設(shè)備地址數(shù)據(jù)���,其結(jié)果可以通過(guò)資產(chǎn)檢測(cè)引擎210傳遞供資產(chǎn)管理系統(tǒng)205處理。
[0068]在接收了由一個(gè)或多個(gè)部署在計(jì)算環(huán)境中的資產(chǎn)檢測(cè)引擎210獲得的設(shè)備地址數(shù)據(jù)之后�,資產(chǎn)管理系統(tǒng)205可以檢查資產(chǎn)儲(chǔ)存庫(kù)以查看地址數(shù)據(jù)是否已經(jīng)被標(biāo)識(shí)了、添加還沒(méi)有被發(fā)現(xiàn)的地址數(shù)據(jù)(例如��,對(duì)于儲(chǔ)存庫(kù)中已經(jīng)發(fā)現(xiàn)的設(shè)備)���、和基于從資產(chǎn)檢測(cè)引擎210接收的結(jié)果而更新或確認(rèn)之前標(biāo)識(shí)的地址數(shù)據(jù)��。此外�����,資產(chǎn)管理系統(tǒng)205可以處理從資產(chǎn)檢測(cè)引擎210接收的數(shù)據(jù),并根據(jù)某些返回的數(shù)據(jù)中的共性確定由資產(chǎn)檢測(cè)引擎獲得的新地址信息對(duì)應(yīng)于網(wǎng)絡(luò)上之前發(fā)現(xiàn)的設(shè)備���。附加地�,如果確定地址信息對(duì)應(yīng)于還沒(méi)有在資產(chǎn)儲(chǔ)存庫(kù)中標(biāo)識(shí)的設(shè)備�����,發(fā)現(xiàn)地址信息可以認(rèn)為是表示在網(wǎng)絡(luò)中發(fā)現(xiàn)了設(shè)備本身。
[0069]設(shè)備和地址數(shù)據(jù)(諸如所發(fā)現(xiàn)的IPv6地址)可以由資產(chǎn)管理系統(tǒng)205(或者在一些實(shí)現(xiàn)中由資產(chǎn)檢測(cè)引擎210自己)使用以觸發(fā)使用資產(chǎn)檢測(cè)引擎?zhèn)鞲衅?例如210)的附加探測(cè)和傳感器活動(dòng)���。例如����,資產(chǎn)管理系統(tǒng)205在標(biāo)識(shí)了新IP地址之后可以使得地址映射傳感器執(zhí)行地址映射查詢以標(biāo)識(shí)對(duì)應(yīng)于新發(fā)現(xiàn)的IP地址的設(shè)備的附加的IP地址和/或MAC地址����。在其它情況中,可以將新發(fā)現(xiàn)的地址數(shù)據(jù)傳遞給資產(chǎn)檢測(cè)引擎上的其它傳感器(例如��,由資產(chǎn)檢測(cè)引擎210或資產(chǎn)管理系統(tǒng)205)以試圖發(fā)現(xiàn)對(duì)應(yīng)于目標(biāo)設(shè)備的附加信息�。實(shí)際上,在一些示例中�,可以將通過(guò)被動(dòng)傳感器285發(fā)現(xiàn)的地址數(shù)據(jù)傳遞給資產(chǎn)管理系統(tǒng)205上的主動(dòng)傳感器280供主動(dòng)傳感器用作它們的活動(dòng)發(fā)現(xiàn)技術(shù)中的目標(biāo)地址。例如�,主動(dòng)傳感器280可以用來(lái)驗(yàn)證(和周期性重驗(yàn)證)在特定地址處的設(shè)備在網(wǎng)絡(luò)中是活的或者活動(dòng)的、在設(shè)備上線和離線的時(shí)候監(jiān)視它們以及監(jiān)視與地址相關(guān)聯(lián)的設(shè)備的狀態(tài)��。
[0070]在一些情況中�,為了確定設(shè)備是否將狀態(tài)從在網(wǎng)絡(luò)上改變到離開網(wǎng)絡(luò)或反之,可以維護(hù)對(duì)每個(gè)設(shè)備維檢測(cè)到的之前狀態(tài)��,以便提供比較的點(diǎn)。這可以通過(guò)例如保持包含每個(gè)已知設(shè)備的最后檢測(cè)到的狀態(tài)的存儲(chǔ)器中的表或資產(chǎn)檢測(cè)引擎(或資產(chǎn)儲(chǔ)存庫(kù)250中)的盤上的數(shù)據(jù)庫(kù)來(lái)進(jìn)行���。當(dāng)發(fā)現(xiàn)設(shè)備是存活的并在網(wǎng)絡(luò)上的(例如����,使用主動(dòng)發(fā)現(xiàn)傳感器(例如280))時(shí)候���,檢查設(shè)備狀態(tài)表�。如果沒(méi)有條目存在或者設(shè)備的條目指示它是離線的���,則添加條目或者更新已有的條目以指示新的設(shè)備狀態(tài)��。無(wú)論如何����,設(shè)備狀態(tài)表中的條目可以是帶時(shí)間戳的��,以指示設(shè)備被檢測(cè)為存活的并在網(wǎng)絡(luò)上的最后時(shí)間��。
[0071]此外�,每一個(gè)被指示為存活的地址都可以定期地經(jīng)由一個(gè)或多個(gè)主動(dòng)發(fā)現(xiàn)傳感器探測(cè)����。如果檢測(cè)地址為存活的���,那么設(shè)備狀態(tài)表中相對(duì)應(yīng)的條目可以再一次加上時(shí)間戳以指示設(shè)備被檢測(cè)為在網(wǎng)絡(luò)上的最后時(shí)間。如果地址之前經(jīng)由主動(dòng)發(fā)現(xiàn)傳感器檢測(cè)為在網(wǎng)絡(luò)上�����,并且不再被檢測(cè)為存活����,那么可以將設(shè)備的條目標(biāo)記為現(xiàn)在離開網(wǎng)絡(luò)了。如果設(shè)備從未經(jīng)由主動(dòng)方法檢測(cè)為存活����,則檢查該設(shè)備經(jīng)由某種其它方法被看見(jiàn)存活的最后時(shí)間的時(shí)間戳,并且�,如果條目被檢測(cè)為陳舊的(即,比某一指定的閾值老)�����,那么可以將設(shè)備標(biāo)記為離線了����。作為優(yōu)化��,如果設(shè)備的主動(dòng)發(fā)現(xiàn)失敗了某個(gè)數(shù)量的次數(shù)�����,則可以將它禁用以便節(jié)省網(wǎng)絡(luò)��、存儲(chǔ)器和CPU使用�。
[0072]附加地����,檢測(cè)到設(shè)備改變狀態(tài)可以導(dǎo)致生成指示設(shè)備現(xiàn)在或者在網(wǎng)絡(luò)上或者離開網(wǎng)絡(luò)的事件。任何引發(fā)軟件事件的手段都可以在這里使用�,如行業(yè)中充分理解地。此外�����,在一些實(shí)現(xiàn)中��,將包括在資產(chǎn)儲(chǔ)存庫(kù)250中的設(shè)備標(biāo)識(shí)為在線(例如��,通過(guò)相對(duì)應(yīng)的生成的事件)可以使得一個(gè)或多個(gè)掃描引擎被警告���、激活或部署以執(zhí)行對(duì)一個(gè)或多個(gè)所發(fā)現(xiàn)的設(shè)備的掃描���,以確定將使用的關(guān)于設(shè)備的其它信息,例如��,關(guān)于向設(shè)備分配標(biāo)記����、安全策略和安全任務(wù)。
[0073]如圖5的簡(jiǎn)化框圖中所示���,在一些示例中�����,計(jì)算環(huán)境可以包括多個(gè)由資產(chǎn)管理系統(tǒng)205所管理的網(wǎng)絡(luò)和子網(wǎng)絡(luò)(例如����,505����、510)。每一個(gè)網(wǎng)絡(luò)505�、510都可以有一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎210a、210b����,還有一個(gè)或多個(gè)掃描引擎515���、520,掃描引擎適于執(zhí)行所發(fā)現(xiàn)的設(shè)備上的任務(wù)����,諸如確定操作系統(tǒng)、硬件��、端口����、應(yīng)用、脆弱性�、用戶和其它可以用來(lái)例如標(biāo)識(shí)計(jì)算環(huán)境中包括應(yīng)用類型的實(shí)體和人員類型的實(shí)體的其它系統(tǒng)實(shí)體的信息的特殊化的、發(fā)現(xiàn)后的掃描�����。這樣的信息也可以用來(lái)向網(wǎng)絡(luò)中的特定網(wǎng)絡(luò)���、設(shè)備��、應(yīng)用和人員分配安全策略�。
[0074]如圖5的示例中所示,每一個(gè)網(wǎng)絡(luò)505����、510都可以包括多個(gè)資產(chǎn)檢測(cè)引擎(例如210a�、210b)。在一些實(shí)現(xiàn)中����,資產(chǎn)檢測(cè)引擎210a、210b本身在缺乏一個(gè)或多個(gè)可插入式傳感器的存在和使用時(shí)可能不擁有掃描或執(zhí)行其它發(fā)現(xiàn)任務(wù)的能力�����。實(shí)際上�����,資產(chǎn)檢測(cè)引擎210a���、210b可以各自利用公共傳感器框架但安裝了適于他們所監(jiān)視的網(wǎng)絡(luò)的特定特性和服務(wù)的傳感器集�。例如��,一個(gè)資產(chǎn)檢測(cè)引擎可以有第一組傳感器,同時(shí)在同一或不同網(wǎng)絡(luò)中的第二資產(chǎn)檢測(cè)引擎可以有不同的��、第二組傳感器(其中至少一個(gè)傳感器被包括在傳感器組的一個(gè)組中但不在其它組中)��。例如����,資產(chǎn)檢測(cè)引擎的傳感器可以從包括在第一網(wǎng)絡(luò)但不在第二網(wǎng)絡(luò)中的特定設(shè)備或服務(wù)拉取數(shù)據(jù)、查詢或以其它方式與之交互��,特定設(shè)備和服務(wù)諸如DHCP服務(wù)器�����、SPAN端口等��。因此���,在這樣的示例中�,第一網(wǎng)絡(luò)中的資產(chǎn)檢測(cè)引擎可以包括適于與特定設(shè)備或服務(wù)交互的傳感器���,而第二網(wǎng)絡(luò)中的資產(chǎn)檢測(cè)引擎可省略這樣的傳感器���。附加地��,一些傳感器可以在特定設(shè)備或服務(wù)上集成或本地地實(shí)現(xiàn)��,并且相對(duì)應(yīng)的資產(chǎn)檢測(cè)引擎可在其與其它網(wǎng)絡(luò)服務(wù)通信的能力上受限從而利用其它依賴于與網(wǎng)絡(luò)服務(wù)的通信(或者����,在一些情況下��,搭配)的傳感器�����,以及其它示例����。因此��,在一些情況中�����,可在單個(gè)網(wǎng)絡(luò)中部署多個(gè)資產(chǎn)檢測(cè)引擎�,每一個(gè)有不同的傳感器集。一些不同的傳感器集可以包括一個(gè)或多個(gè)同樣的傳感器�����。附加地,盡管可在計(jì)算環(huán)境的網(wǎng)絡(luò)505�����、510中部署多個(gè)資產(chǎn)檢測(cè)引擎210a��、210b�����,但資產(chǎn)檢測(cè)引擎平臺(tái)(例如��,不帶傳感器的傳感器框架)可以是跨資產(chǎn)檢測(cè)引擎210a��、210b相同的��,從而允許在每一個(gè)資產(chǎn)檢測(cè)引擎上自由添加(或移除)傳感器�����。
[0075]如此處以上和其它處所述�����,資產(chǎn)檢測(cè)引擎對(duì)設(shè)備和相對(duì)應(yīng)的地址信息的發(fā)現(xiàn)(例如,使用一個(gè)或多個(gè)包括在資產(chǎn)檢測(cè)引擎上的傳感器)可以為其它服務(wù)和設(shè)備所用���,諸如其它資產(chǎn)檢測(cè)引擎和/或掃描引擎(例如�����,515�����、520)��。然而在一些情況中��,單單地址信息不足以指導(dǎo)或觸發(fā)由其它針對(duì)特定設(shè)備的資產(chǎn)檢測(cè)引擎或掃描引擎進(jìn)行的任務(wù)。例如���,單個(gè)IPv6地址可以在子網(wǎng)絡(luò)505和510的每一個(gè)中重復(fù)����,盡管網(wǎng)絡(luò)505��、510駐留在相同的計(jì)算環(huán)境諸如企業(yè)軟件環(huán)境中���。因此����,資產(chǎn)管理系統(tǒng)205可利用附加信息來(lái)標(biāo)識(shí)包括在對(duì)應(yīng)于單個(gè)IPv6地址的特定實(shí)例的網(wǎng)絡(luò)中的正確的掃描引擎或資產(chǎn)檢測(cè)引擎。
[0076]作為說(shuō)明性示例����,在圖5中,主機(jī)設(shè)備(即系統(tǒng)類型的實(shí)體)在網(wǎng)絡(luò)505����、510的每一個(gè)中提供。例如����,在網(wǎng)絡(luò)505中可以包括托管網(wǎng)站530的主機(jī)設(shè)備525、托管數(shù)據(jù)庫(kù)540的主機(jī)設(shè)備535以及打印機(jī)設(shè)備545等等�����。此外�,在此特定示例中,網(wǎng)絡(luò)510中可以包括路由器550�����、主機(jī)設(shè)備555和移動(dòng)計(jì)算設(shè)備560。在此特定示例中���,主機(jī)525和主機(jī)555可以擁有同一個(gè)IPv6地址�。為了標(biāo)識(shí)和調(diào)用正確的掃描引擎(例如�,掃描引擎520之一)以探測(cè)主機(jī)555,資產(chǎn)管理系統(tǒng)205可以維護(hù)檢測(cè)引擎到掃描引擎的映射或其它關(guān)聯(lián)�。例如,資產(chǎn)管理系統(tǒng)205可以將資產(chǎn)檢測(cè)引擎210a映射到掃描引擎515并將資產(chǎn)檢測(cè)引擎210b映射到什么引擎520��,以因此也為主機(jī)或其它由特定資產(chǎn)檢測(cè)引擎發(fā)現(xiàn)的設(shè)備標(biāo)識(shí)正確的掃描引擎(或其它資產(chǎn)檢測(cè)引擎)�。
[0077]繼續(xù)來(lái)自圖5的之前的示例,發(fā)現(xiàn)引擎210b可以標(biāo)識(shí)主機(jī)555的IPv6地址并將所發(fā)現(xiàn)的地址信息報(bào)告給資產(chǎn)管理系統(tǒng)205��。在此示例中����,資產(chǎn)管理系統(tǒng)205可以選擇使用所返回的IPv6地址執(zhí)行附加的探測(cè)和任務(wù)來(lái)瞄準(zhǔn)相對(duì)應(yīng)的設(shè)備(例如���,主機(jī)555)并獲得關(guān)于主機(jī)555的附加信息��。為了完成這個(gè)�,資產(chǎn)管理系統(tǒng)可以標(biāo)識(shí)主機(jī)555的IPv6地址是從資產(chǎn)檢測(cè)引擎210b返回的并咨詢映射來(lái)標(biāo)識(shí)位于同一網(wǎng)絡(luò)510并適于執(zhí)行所要求的任務(wù)的一個(gè)或多個(gè)掃描引擎520�。實(shí)際上��,在一些情況中��,資產(chǎn)檢測(cè)引擎(例如210b)本身可以查詢或以其它方式訪問(wèn)映射以標(biāo)識(shí)和直接調(diào)用相關(guān)聯(lián)的掃描引擎(例如520)�。例如�����,在一些示例中��,所定義的任務(wù)序列可以由資產(chǎn)管理系統(tǒng)(或資產(chǎn)檢測(cè)引擎210a�、210b)來(lái)初始化,涉及多個(gè)資產(chǎn)檢測(cè)引擎210a��、210b和/或掃描引擎515����、520。執(zhí)行任務(wù)序列可以包括標(biāo)識(shí)獲得關(guān)于一個(gè)或多個(gè)系統(tǒng)實(shí)體(例如�����,525����、530��、535�����、540���、545、550��、555��、560等)的地址和其它屬性的信息所涉及的多個(gè)資產(chǎn)檢測(cè)引擎210a����、210b和/或掃描引擎515、520之間的關(guān)聯(lián)�。任務(wù)序列也可以依賴于之前的任務(wù)的結(jié)果(例如,是否標(biāo)識(shí)了或標(biāo)識(shí)了什么類型的地址信息或其它屬性信息��、設(shè)備是否檢測(cè)為活動(dòng)的�,等等)。
[0078]所關(guān)聯(lián)的資產(chǎn)檢測(cè)引擎210a��、210b和掃描引擎515��、520的映射可以使用各種技術(shù)來(lái)構(gòu)建��。例如�����,資產(chǎn)檢測(cè)引擎可以手動(dòng)地和顯式地關(guān)聯(lián)到掃描引擎(例如���,由用戶)�����。在另一示例中�����,資產(chǎn)檢測(cè)引擎和掃描引擎可以嚴(yán)格地相關(guān)聯(lián)(即��,一個(gè)資產(chǎn)檢測(cè)引擎到一個(gè)掃描引擎��,反之亦然)���,諸如通過(guò)例如在同一主機(jī)設(shè)備上協(xié)力掃描引擎部署資產(chǎn)預(yù)測(cè)引擎。在又一示例中,映射可以是自動(dòng)的�����。例如�,資產(chǎn)檢測(cè)引擎210a、210b和掃描引擎515���、520各自可以在一個(gè)或多個(gè)特定網(wǎng)絡(luò)505�����、510中標(biāo)識(shí)和映射到這些網(wǎng)絡(luò)����,并且資產(chǎn)管理系統(tǒng)205可以標(biāo)識(shí)該特定地址信息(例如��,相對(duì)應(yīng)于特定設(shè)備例如550��、555����、560)是從特定網(wǎng)絡(luò)(例如510)中的特定資產(chǎn)檢測(cè)引擎(例如210b)收集的。在其它實(shí)例中�,特定資產(chǎn)檢測(cè)引擎210a�、210b可以直接映射到特定掃描引擎515����、520���。
[0079]在一些實(shí)現(xiàn)中����,由資產(chǎn)檢測(cè)引擎210a�����、210b收集的地址信息可以用來(lái)關(guān)聯(lián)資產(chǎn)檢測(cè)引擎210a�����、210b和掃描引擎515�、520 (和/或標(biāo)識(shí)資產(chǎn)檢測(cè)引擎處于一個(gè)或多個(gè)掃描引擎的同一網(wǎng)絡(luò)中,等等)��。例如��,如果特定資產(chǎn)檢測(cè)引擎(從210a)將資產(chǎn)管理系統(tǒng)205已知的地址信息標(biāo)識(shí)為相對(duì)應(yīng)于托管一個(gè)或多個(gè)特定掃描引擎(例如515)的特定設(shè)備�,則資產(chǎn)管理系統(tǒng)205可以使用所返回的地址信息來(lái)確認(rèn)特定資產(chǎn)檢測(cè)引擎(例如210a)是與相對(duì)應(yīng)的特定掃描引擎(例如515)處于同一網(wǎng)絡(luò)(例如205)上���,且特定掃描引擎將認(rèn)為掃描目標(biāo)的地址信息是對(duì)應(yīng)于網(wǎng)絡(luò)(例如205)的,而不是將掃描目標(biāo)與不同網(wǎng)絡(luò)上(例如510)的另一個(gè)設(shè)備相混淆�����,以及其它示例�。例如,掃描引擎和/或檢測(cè)引擎可以標(biāo)識(shí)與資產(chǎn)檢測(cè)弓丨擎或掃描引擎的流量或行為相似的流量或行為�,并由此標(biāo)識(shí)他們各自在同一網(wǎng)絡(luò)中或者特定掃描引擎515以其它方式能夠到達(dá)對(duì)應(yīng)于由相關(guān)聯(lián)的資產(chǎn)檢測(cè)引擎發(fā)現(xiàn)的地址信息的特定目標(biāo)設(shè)備。
[0080]轉(zhuǎn)到圖6A-6H的示例,示出了示出包括示例資產(chǎn)檢測(cè)引擎(例如210)的示例操作的簡(jiǎn)化框圖600a-h��。如圖6A中所示���,多個(gè)未發(fā)現(xiàn)的設(shè)備(即�,系統(tǒng)類型的系統(tǒng)實(shí)體)610���、615����、620���、625可以連接到網(wǎng)絡(luò)605��、在網(wǎng)絡(luò)605上通信或以其它方式結(jié)合網(wǎng)絡(luò)605操作但在由資產(chǎn)管理系統(tǒng)205維護(hù)的資產(chǎn)儲(chǔ)存庫(kù)中缺席��,資產(chǎn)儲(chǔ)存庫(kù)由資產(chǎn)管理系統(tǒng)205用來(lái)將安全策略關(guān)聯(lián)到系統(tǒng)實(shí)體以及執(zhí)行包括實(shí)施所分配的安全策略在內(nèi)的關(guān)于系統(tǒng)實(shí)體的安全任務(wù)���。包括多個(gè)可插入式傳感器(包括被動(dòng)的和主動(dòng)的傳感器)的資產(chǎn)檢測(cè)引擎210可以用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)605中未發(fā)現(xiàn)的設(shè)備和未發(fā)現(xiàn)的設(shè)備的地址數(shù)據(jù)�����。
[0081]在圖6A的示例中,資產(chǎn)檢測(cè)引擎210上的基于事件的發(fā)現(xiàn)傳感器可以用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)上的一個(gè)或多個(gè)設(shè)備�����。例如���,涉及設(shè)備610的事件可以在網(wǎng)絡(luò)上由一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)�,網(wǎng)絡(luò)服務(wù)諸如活動(dòng)目錄服務(wù)器����、IDS、防火墻或其它工具或服務(wù)(例如�����,事件管理服務(wù)器630)。事件管理服務(wù)器630可以檢測(cè)��、注冊(cè)和記錄網(wǎng)絡(luò)上的事件���,包括在檢測(cè)到的事件中涉及的設(shè)備(例如610)的地址標(biāo)識(shí)符�。在一些情況中���,基于事件的發(fā)現(xiàn)傳感器可以由事件管理服務(wù)器630警告和/或轉(zhuǎn)發(fā)新事件的事件數(shù)據(jù)���。例如,事件管理服務(wù)器630可以將特定事件轉(zhuǎn)發(fā)給之前已經(jīng)標(biāo)識(shí)為可能包括網(wǎng)絡(luò)中的設(shè)備的地址信息的基于事件的發(fā)現(xiàn)傳感器�����。在其它情況中�����,基于事件的發(fā)現(xiàn)傳感器可以與事件管理服務(wù)器630接口并查詢事件管理服務(wù)器630的事件記錄以標(biāo)識(shí)新事件數(shù)據(jù)和從事件數(shù)據(jù)提取設(shè)備地址數(shù)據(jù)�����。然后這樣的事件數(shù)據(jù)可以由資產(chǎn)檢測(cè)引擎210處理并發(fā)送到資產(chǎn)管理系統(tǒng)205�����。此外,資產(chǎn)檢測(cè)引擎210可以從資產(chǎn)管理系統(tǒng)205接收指令和其它通信�,諸對(duì)如執(zhí)行對(duì)所發(fā)現(xiàn)的設(shè)備的附加探測(cè)的指令,諸如根據(jù)一個(gè)或多個(gè)發(fā)現(xiàn)任務(wù)序列(包括多路徑發(fā)現(xiàn)任務(wù)序列樹)的所發(fā)現(xiàn)的IP地址�����、DNS名字等的活動(dòng)發(fā)現(xiàn)探測(cè)或地址映射��。
[0082]轉(zhuǎn)到圖6B���,設(shè)備610的發(fā)現(xiàn)被表示(即,以比設(shè)備615��、620��、625的標(biāo)識(shí)更高的對(duì)比來(lái)呈現(xiàn)���,貫穿圖6A-6H遵循的約定)為包括由包括在資產(chǎn)檢測(cè)引擎610中的基于事件的發(fā)現(xiàn)傳感器對(duì)設(shè)備610發(fā)現(xiàn)的地址數(shù)據(jù)“地址I”�。如圖6B中所示�����,設(shè)備610的標(biāo)識(shí)和相關(guān)聯(lián)的地址信息“地址I” (例如,設(shè)備610的IPv6地址)還可以由其它傳感器用來(lái)獲得附加的地址信息�,及發(fā)現(xiàn)設(shè)備610的其它屬性。在一些示例中��,資產(chǎn)檢測(cè)引擎210在識(shí)別了特定地址數(shù)據(jù)的發(fā)現(xiàn)之后可以組織進(jìn)一步的發(fā)現(xiàn)任務(wù)(例如�,使用資產(chǎn)檢測(cè)引擎210上的其它傳感器)。在其它情況中���,資產(chǎn)管理系統(tǒng)205可以驅(qū)動(dòng)由資產(chǎn)檢測(cè)引擎的傳感器執(zhí)行的任務(wù)�����,諸如基于新地址信息的發(fā)現(xiàn)的任務(wù)�。例如�,資產(chǎn)檢測(cè)引擎210可以將設(shè)備610的“地址I”的標(biāo)識(shí)返回給資產(chǎn)管理系統(tǒng)205且資產(chǎn)管理系統(tǒng)205可以處理“地址I”以確定地址信息(和/或相關(guān)聯(lián)的設(shè)備)是否是已知的。在任一情況中�����,資產(chǎn)管理系統(tǒng)205可以請(qǐng)求附加的發(fā)現(xiàn)任務(wù)����,諸如DNS映射或ARP映射任務(wù),由此調(diào)用資產(chǎn)檢測(cè)引擎(例如210)上的特定傳感器。例如�,如圖6B的示例中所示,資產(chǎn)檢測(cè)引擎210可以使用資產(chǎn)檢測(cè)引擎210上的DNS映射傳感器來(lái)利用新發(fā)現(xiàn)的“地址I”作為輸入在DNS服務(wù)器635上執(zhí)行反向DNS映射��。DNS服務(wù)器635可以將地址I映射到例如特定DNS名字��。附加地���,資產(chǎn)檢測(cè)引擎210處的DNS映射傳感器可以附加地請(qǐng)求對(duì)為“地址I”返回的DNS名字的正向DNS映射以確定是否有任何其它地址數(shù)據(jù)(例如��,IP地址)映射到被映射到“地址I”的DNS名字�。以此方式(和根據(jù)這樣的序列)���,DNS映射傳感器可以利用新發(fā)現(xiàn)的IP地址(例如��,IPv6地址)來(lái)發(fā)現(xiàn)設(shè)備610的其它的IP地址(例如,“地址2”)��,以及其它地址數(shù)據(jù)諸如DNS名字�����。實(shí)際上��,如圖6C的示例中所示,基于在圖6B的示例中執(zhí)行的DNS查找638��,為設(shè)備610返回了一個(gè)附加地址“地址2”����。
[0083]在圖6C的示例中,附加的發(fā)現(xiàn)任務(wù)諸如潛在類型的發(fā)現(xiàn)任務(wù)可以由資產(chǎn)檢測(cè)引擎120的傳感器執(zhí)行����。例如,資產(chǎn)檢測(cè)引擎210可以包括能夠監(jiān)聽(tīng)在網(wǎng)絡(luò)605的一個(gè)或多個(gè)交換機(jī)���、路由器或其它網(wǎng)絡(luò)元件處鏡像的端口的SPAN端口傳感器或其它傳感器����。例如�����,資產(chǎn)檢測(cè)引擎210的傳感器可以標(biāo)識(shí)跨交換機(jī)640的流量����,包括使用交換機(jī)640處的鏡像功能(例如642)的特定網(wǎng)絡(luò)通信641的源和目的地地址。在此特定示例中�����,由資產(chǎn)檢測(cè)引擎發(fā)現(xiàn)的源IP地址可以對(duì)應(yīng)于之前未標(biāo)識(shí)的設(shè)備620 (或者設(shè)備620的之前未標(biāo)識(shí)的IP地址)且目的地IP地址也可以是資產(chǎn)管理系統(tǒng)205未知的IP地址(即,不包括在由資產(chǎn)管理系統(tǒng)205維護(hù)的資產(chǎn)儲(chǔ)存庫(kù)中的地址)并對(duì)應(yīng)于另一個(gè)設(shè)備615����。由資產(chǎn)檢測(cè)210使用捕捉端口鏡像數(shù)據(jù)(例如,在交換機(jī)640的SPAN端口處)的傳感器發(fā)現(xiàn)的IP地址(例如��,“地址3”和“地址4”)可以如圖6D中所示被傳送給資產(chǎn)管理系統(tǒng)205�。此外,如在圖6B的示例中��,新發(fā)現(xiàn)的地址“地址3”和“地址4”還可以由資產(chǎn)檢測(cè)引擎210用來(lái)(例如����,響應(yīng)于來(lái)自資產(chǎn)管理系統(tǒng)205的命令)執(zhí)行由資產(chǎn)檢測(cè)引擎120上的另一個(gè)傳感器(或者網(wǎng)絡(luò)605的另一個(gè)資產(chǎn)檢測(cè)引擎或掃描引擎)發(fā)現(xiàn)所發(fā)現(xiàn)的設(shè)備615、620的附加地址(例如��,“地址5”�、“地址6”和“地址7”)(例如,基于由資產(chǎn)管理系統(tǒng)205和/或資產(chǎn)檢測(cè)引擎210指導(dǎo)的特定任務(wù)序列)的附加的發(fā)現(xiàn)任務(wù)��,諸如鄰居發(fā)現(xiàn)請(qǐng)求�����、ARP查詢�����、DNS映射等�。
[0084]轉(zhuǎn)到圖6E,附加傳感器可以包括在適于執(zhí)行附加發(fā)現(xiàn)任務(wù)(包括間接類型的發(fā)現(xiàn)任務(wù))的示例資產(chǎn)檢測(cè)引擎210上�����。作為示例�����,如圖6E中所示��,間接類型的傳感器可以查詢網(wǎng)絡(luò)(例如605)上的其它網(wǎng)絡(luò)元件����、服務(wù)和計(jì)算設(shè)備的記錄以標(biāo)識(shí)網(wǎng)絡(luò)605上已知的和未知的設(shè)備的之前未標(biāo)識(shí)的地址信息。例如�����,在圖6E的示例中����,可以采用間接類型的傳感器來(lái)查詢托管一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)管理服務(wù)器645的數(shù)據(jù)結(jié)構(gòu)(諸如數(shù)據(jù)庫(kù))���,網(wǎng)絡(luò)服務(wù)諸如DHCP服務(wù)器、入侵檢測(cè)系統(tǒng)(IDS)系統(tǒng)或在其操作的過(guò)程中在由網(wǎng)絡(luò)管理服務(wù)器645管理的數(shù)據(jù)結(jié)構(gòu)中記錄網(wǎng)絡(luò)605中的設(shè)備的地址信息的其它服務(wù)器�����。在其它示例中��,可以采用間接類型的傳感器來(lái)查詢由網(wǎng)絡(luò)605中的網(wǎng)絡(luò)元件650所維護(hù)的數(shù)據(jù)結(jié)構(gòu)���,諸如由如圖6F中由路由器650或由網(wǎng)絡(luò)605中的其它計(jì)算設(shè)備(包括網(wǎng)絡(luò)元件)維護(hù)的MAC地址表���。在任一實(shí)例中,由間接發(fā)現(xiàn)類型的傳感器對(duì)網(wǎng)絡(luò)605中的其它設(shè)備或網(wǎng)絡(luò)元件的查詢可以用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)605中其它地址信息(例如��,“地址8”)和相對(duì)應(yīng)的設(shè)備(例如����,設(shè)備625)。
[0085]間接類型的傳感器可以查詢?cè)淳W(wǎng)絡(luò)管理服務(wù)器(例如����,645)或網(wǎng)絡(luò)元件(例如,650)以獲得包含由地址數(shù)據(jù)源(例如�����,645��、650)收集的地址信息的數(shù)據(jù)結(jié)構(gòu)的整體或子集��。例如,在一些示例中��,未過(guò)濾的數(shù)據(jù)集可以由資產(chǎn)檢測(cè)引擎210的傳感器響應(yīng)于查詢而返回,并由資產(chǎn)檢測(cè)引擎210和/或資產(chǎn)管理系統(tǒng)205處理以標(biāo)識(shí)資產(chǎn)管理系統(tǒng)205感興趣的地址信息(例如��,新的或者不同于資產(chǎn)儲(chǔ)存庫(kù)中所維護(hù)的地址信息的標(biāo)識(shí))���。在其它情況中,資產(chǎn)檢測(cè)引擎210的間接發(fā)現(xiàn)類型的傳感器可以執(zhí)行源網(wǎng)絡(luò)管理服務(wù)器645的經(jīng)過(guò)濾的查詢�,以例如返回來(lái)自網(wǎng)絡(luò)管理服務(wù)器645的數(shù)據(jù)的子集,諸如最近由網(wǎng)絡(luò)管理服務(wù)器645收集的數(shù)據(jù)�、在特定時(shí)間段期間收集的數(shù)據(jù)等等�。附加地��,如在其它示例中�,由資產(chǎn)檢測(cè)引擎210的間接發(fā)現(xiàn)類型的傳感器所執(zhí)行的間接發(fā)現(xiàn)技術(shù)所收集的地址信息可以用作由其它傳感器執(zhí)行的其它發(fā)現(xiàn)任務(wù)的輸入或催化劑���,諸如DNS映射(例如�����,655)或如圖6G和6H的示例中所示的可以用來(lái)發(fā)現(xiàn)其它屬性和地址信息(例如�����,“地址9”、“地址10”)的其它任務(wù)��。
[0086]轉(zhuǎn)到圖6H�����,除了執(zhí)行被動(dòng)發(fā)現(xiàn)和在一些情況中執(zhí)行間接發(fā)現(xiàn)任務(wù)的鏈或系列(例如��,根據(jù)可能的任務(wù)序列庫(kù)中的一個(gè)特定任務(wù)序列使用被動(dòng)傳感器285)以發(fā)現(xiàn)新地址信息和相對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備(例如����,610、615��、620�����、625)之外��,資產(chǎn)檢測(cè)引擎210還可以利用由之前的被動(dòng)發(fā)現(xiàn)任務(wù)發(fā)現(xiàn)的信息來(lái)接合主動(dòng)發(fā)現(xiàn)傳感器(例如280)以在所發(fā)現(xiàn)的設(shè)備610、615����、620、625上執(zhí)行主動(dòng)發(fā)現(xiàn)任務(wù)(例如��,進(jìn)一步根據(jù)特定的所定義的任務(wù)序列)��。在一些實(shí)現(xiàn)中����,在沒(méi)有目標(biāo)設(shè)備的特定標(biāo)識(shí)(例如,目標(biāo)設(shè)備的IP地址)的情況下����,主動(dòng)發(fā)現(xiàn)傳感器可能不能執(zhí)行它的發(fā)現(xiàn)任務(wù)。因此�����,對(duì)特定設(shè)備的一個(gè)或多個(gè)地址的發(fā)現(xiàn)可以由資產(chǎn)檢測(cè)引擎210的一個(gè)或多個(gè)主動(dòng)發(fā)現(xiàn)傳感器用來(lái)發(fā)現(xiàn)所發(fā)現(xiàn)的設(shè)備610、615�����、620、625的附加地址信息和屬性���。此外�����,資產(chǎn)管理系統(tǒng)205可以附加地標(biāo)識(shí)掃描引擎和其它工具�,它們可以使用所發(fā)現(xiàn)的設(shè)備610��、615、620���、625的地址信息執(zhí)行對(duì)設(shè)備610����、615����、620、625的掃描并標(biāo)識(shí)設(shè)備610����、615�、620��、625的屬性,包括設(shè)備610���、615�、620、625的類型��、硬件����、外設(shè)、操作系統(tǒng)����、脆弱性、軟件安裝等等,以及其它示例。
[0087]作為示例��,在圖6H中����,資產(chǎn)檢測(cè)引擎210的一個(gè)或多個(gè)主動(dòng)發(fā)現(xiàn)傳感器可以使用所發(fā)現(xiàn)的地址信息(例如,“地址I”)來(lái)執(zhí)行附加發(fā)現(xiàn)任務(wù)(例如���,660�、665����、670���、675)和獲得對(duì)應(yīng)的設(shè)備610���、615�、620����、625以及網(wǎng)絡(luò)605上的其它設(shè)備或?qū)嶓w(例如����,人員和應(yīng)用)的附加地址信息和/或?qū)傩?��。主?dòng)發(fā)現(xiàn)傳感器可以根據(jù)之前收集的地址信息標(biāo)識(shí)設(shè)備610、615�����、620、625并向設(shè)備610�����、615����、620�����、625發(fā)送分組并探測(cè)設(shè)備對(duì)分組的相應(yīng)響應(yīng),以便標(biāo)識(shí)諸如設(shè)備上活動(dòng)的端口、設(shè)備的操作系統(tǒng)���、設(shè)備使用的協(xié)議����、設(shè)備提供的服務(wù)等等的信息。在一些情況中,資產(chǎn)檢測(cè)引擎210的一個(gè)或多個(gè)主動(dòng)發(fā)現(xiàn)傳感器對(duì)設(shè)備610���、615��、620、625的直接探測(cè)可以并行執(zhí)行�����。此外���,資產(chǎn)管理系統(tǒng)可以指導(dǎo)資產(chǎn)檢測(cè)引擎210關(guān)于將由傳感器執(zhí)行的探測(cè)的類型以及將探測(cè)的設(shè)備�。然后可以檢索包括從探測(cè)檢索的地址信息的附加設(shè)備信息并將其傳送給資產(chǎn)管理系統(tǒng)以進(jìn)一步補(bǔ)充和改善它的資產(chǎn)儲(chǔ)存庫(kù)��,從而允許所探測(cè)到的設(shè)備的人員和應(yīng)用被標(biāo)識(shí)、設(shè)備(和其它系統(tǒng)實(shí)體)被標(biāo)記或以其它方式分組�����、將安全策略分配給它們以及基于使用一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎(和掃描引擎���,在一些實(shí)現(xiàn)中)發(fā)現(xiàn)的屬性執(zhí)行附加的安全任務(wù)。
[0088]圖7A-7C是示出了利用計(jì)算環(huán)境中的發(fā)現(xiàn)技術(shù)的示例技術(shù)的簡(jiǎn)化流程圖700a_c�。例如,在圖7A的示例中�����,網(wǎng)絡(luò)中的特定計(jì)算設(shè)備的地址信息可以使用安裝在采用刀片架構(gòu)的可插入式資產(chǎn)檢測(cè)引擎上的第一可插入式傳感器來(lái)標(biāo)識(shí)705����。第一傳感器可以采用被動(dòng)發(fā)現(xiàn)技術(shù)來(lái)標(biāo)識(shí)地址信息����。地址信息可以包括特定計(jì)算設(shè)備的IPv4地址���、IPv6地址��、MAC地址等�����。安裝在同一資產(chǎn)檢測(cè)引擎上的第二可插入式傳感器可以用來(lái)標(biāo)識(shí)210特定計(jì)算設(shè)備的附加地址信息。第二傳感器也可以采用被動(dòng)發(fā)現(xiàn)技術(shù)�����,或者可以是主動(dòng)發(fā)現(xiàn)傳感器�����,在任一情況中都補(bǔ)充對(duì)特定計(jì)算設(shè)備使用第一傳感器發(fā)現(xiàn)的地址信息�����。附加地�����,第二傳感器可以響應(yīng)于第一傳感器標(biāo)識(shí)705地址信息來(lái)執(zhí)行發(fā)現(xiàn)任務(wù)�����。例如���,可以利用當(dāng)使用第一傳感器發(fā)現(xiàn)地址信息的時(shí)候觸發(fā)第二傳感器的動(dòng)作的經(jīng)定義的任務(wù)序列��。在其它情況中�����,當(dāng)?shù)谝粋鞲衅鳑](méi)有成功發(fā)現(xiàn)使用資產(chǎn)檢測(cè)引擎的可插入式傳感器標(biāo)識(shí)和收集的地址信息時(shí)可以采取其它動(dòng)作���,這些信息傳送215給資產(chǎn)管理系統(tǒng),以供例如與在由資產(chǎn)管理系統(tǒng)維護(hù)的資產(chǎn)儲(chǔ)存庫(kù)中描述的特定計(jì)算設(shè)備關(guān)聯(lián)���、由資產(chǎn)管理系統(tǒng)在標(biāo)記特定計(jì)算設(shè)備和以其它方式向特定計(jì)算設(shè)備分配(和實(shí)施)安全策略(和代其實(shí)施安全策略)時(shí)使用���,以及其它示例���。
[0089]轉(zhuǎn)向圖7B的流程圖700b����,特定系統(tǒng)實(shí)體可以在定義計(jì)算環(huán)境中的系統(tǒng)實(shí)體之間的特定關(guān)系集的分層資產(chǎn)儲(chǔ)存庫(kù)中標(biāo)識(shí)720��。特定標(biāo)記可以被分配給包括在資產(chǎn)儲(chǔ)存庫(kù)中的特定系統(tǒng)實(shí)體的記錄。標(biāo)記可以由用戶分配725或者由資產(chǎn)管理系統(tǒng)例如結(jié)合標(biāo)識(shí)特定系統(tǒng)實(shí)體的一個(gè)或多個(gè)屬性和基于所標(biāo)識(shí)的屬性的一個(gè)或多個(gè)應(yīng)用標(biāo)記則來(lái)自動(dòng)地分配725���。這樣的屬性可以由與資產(chǎn)管理系統(tǒng)通信的資產(chǎn)檢測(cè)引擎和掃描引擎中之一或兩者標(biāo)識(shí)����。標(biāo)記特定的系統(tǒng)實(shí)體可以使得特定的安全策略基于標(biāo)記的分配725與特定的系統(tǒng)實(shí)體相關(guān)聯(lián)。實(shí)際上����,所分配的特定安全策略可以應(yīng)用到或者關(guān)聯(lián)730到包括至少包括該標(biāo)記的特定標(biāo)記集的系統(tǒng)實(shí)體集��。在一些情況中���,可以基于用單個(gè)特定標(biāo)記或特定的標(biāo)記組合(例如��,僅向具有組合中的每一個(gè)標(biāo)記的實(shí)體應(yīng)用安全策略)標(biāo)記系統(tǒng)實(shí)體來(lái)將安全策略應(yīng)用到系統(tǒng)實(shí)體�。在其它情況中�����,標(biāo)記集可以包括替換標(biāo)記���,因?yàn)槿魏畏峙淞巳魏翁囟?biāo)記集中的任何一個(gè)標(biāo)記的系統(tǒng)實(shí)體將具有與系統(tǒng)實(shí)體相關(guān)聯(lián)并應(yīng)用到系統(tǒng)實(shí)體的相關(guān)聯(lián)的安全策略�����。
[0090]轉(zhuǎn)到圖7C的流程圖700c,可以構(gòu)建Pv6地址的儲(chǔ)存庫(kù)以由此幫助標(biāo)識(shí)和掃描采用IPv6尋址的設(shè)備和網(wǎng)絡(luò)����。這樣的儲(chǔ)存庫(kù)可以為特定計(jì)算環(huán)境開發(fā),諸如特定企業(yè)或組織的計(jì)算環(huán)境�����,或者儲(chǔ)存庫(kù)可以開發(fā)為試圖捕捉在許多網(wǎng)絡(luò)(包括跨因特網(wǎng))中使用的所有IPv6地址��。例如��,儲(chǔ)存庫(kù)可以用來(lái)標(biāo)識(shí)可以掃描或探測(cè)以求附加的屬性的特定設(shè)備和發(fā)現(xiàn)附加的系統(tǒng)實(shí)體����,諸如計(jì)算設(shè)備上的特定應(yīng)用、計(jì)算設(shè)備的用戶等等����。網(wǎng)絡(luò)中的特定計(jì)算設(shè)備的IPv6地址可以使用被動(dòng)發(fā)現(xiàn)傳感器來(lái)標(biāo)識(shí)740。被動(dòng)發(fā)現(xiàn)傳感器可以是例如潛在類型的發(fā)現(xiàn)傳感器���、基于事件的發(fā)現(xiàn)傳感器或間接類型的發(fā)現(xiàn)傳感器���,并且在一些實(shí)現(xiàn)中可以是適于包括在資產(chǎn)檢測(cè)引擎的可擴(kuò)展的刀片式架構(gòu)的可插入式傳感器?��?梢允沟玫诙l(fā)現(xiàn)任務(wù)使用所標(biāo)識(shí)的IPv6地址來(lái)執(zhí)行745。第二發(fā)現(xiàn)任務(wù)可以由同一個(gè)被動(dòng)發(fā)現(xiàn)傳感器�、另一個(gè)被動(dòng)發(fā)現(xiàn)傳感器(諸如地址映射傳感器)��、或主動(dòng)發(fā)現(xiàn)傳感器以及其它示例來(lái)執(zhí)行��。在一些情況中����,可以使得第二發(fā)現(xiàn)任務(wù)響應(yīng)于例如結(jié)合所定義的任務(wù)序列的IPv6地址的標(biāo)識(shí)740而執(zhí)行。特定計(jì)算設(shè)備的附加屬性可以根據(jù)第二發(fā)現(xiàn)任務(wù)的結(jié)果而標(biāo)識(shí)�����,包括附加的IPv6地址和非地址屬性。IPv6地址和附加屬性可以添加到資產(chǎn)儲(chǔ)存庫(kù),在一些情況中表示第一地址信息和特定設(shè)備在網(wǎng)絡(luò)上存在的證據(jù)�。
[0091]盡管以某些實(shí)現(xiàn)和一般相關(guān)聯(lián)的方法描述了本公開�,但這些實(shí)現(xiàn)的更改和替換應(yīng)對(duì)本領(lǐng)域技術(shù)人員是顯而易見(jiàn)的����。例如,此處所描述的動(dòng)作可以是以不同于所描述的次序執(zhí)行的并仍然達(dá)到想要的結(jié)果����。作為一個(gè)示例,附圖中描繪的過(guò)程不必要求所示的特定次序�����、或順序次序來(lái)達(dá)到所想要的結(jié)果�。所示出的系統(tǒng)和工具可以類似地采用替換性的架構(gòu)、組件和模塊來(lái)達(dá)到類似的結(jié)果和功能����。例如,在某些實(shí)現(xiàn)中��,多任務(wù)并行處理和基于云的解決方案可能是有利的。在一個(gè)替換性系統(tǒng)或工具中����,簡(jiǎn)化的移動(dòng)通信設(shè)備的無(wú)線認(rèn)證功能可以用在可移除的存儲(chǔ)設(shè)備諸如便攜式硬盤驅(qū)動(dòng)器�����、拇指型驅(qū)動(dòng)器等等之上��。在這樣的實(shí)例中�����,可移除的存儲(chǔ)設(shè)備可以缺乏用戶接口但擁有無(wú)線訪問(wèn)功能諸如藍(lán)牙以用于在短范圍網(wǎng)絡(luò)上連接到協(xié)作的計(jì)算設(shè)備��,并將認(rèn)證數(shù)據(jù)在短范圍網(wǎng)絡(luò)上共享給協(xié)作的計(jì)算設(shè)備以向一個(gè)或多個(gè)協(xié)作計(jì)算設(shè)備認(rèn)證無(wú)線��、便攜式存儲(chǔ)設(shè)備的持有者���,從而允許用戶既獲得通過(guò)無(wú)線存儲(chǔ)設(shè)備對(duì)協(xié)作計(jì)算設(shè)備的訪問(wèn)又使用經(jīng)認(rèn)證協(xié)作的計(jì)算設(shè)備訪問(wèn)、消耗和修改存儲(chǔ)在硬盤驅(qū)動(dòng)器上的數(shù)據(jù)�����。其它系統(tǒng)和工具也可以使用本公開的原則。附加地�����,可以支持多樣的用戶接口布局和功能��。其它變化也在權(quán)利要求的范圍之內(nèi)��。
[0092]本說(shuō)明書中所描述的主題和操作的各實(shí)施例可以以數(shù)字電子電路�����、或以包括本說(shuō)明書中所公開的結(jié)構(gòu)和其結(jié)構(gòu)等效方案的計(jì)算機(jī)軟件����、固件或硬件、或以它們中的一個(gè)或多個(gè)的組合來(lái)實(shí)現(xiàn)���。本說(shuō)明書中所描述的主題的各實(shí)施例可以實(shí)現(xiàn)為一個(gè)或多個(gè)計(jì)算機(jī)程序�,即一個(gè)或多個(gè)編碼于計(jì)算機(jī)存儲(chǔ)介質(zhì)之上用于由數(shù)據(jù)處理裝置執(zhí)行或控制數(shù)據(jù)處理裝置的操作的計(jì)算機(jī)程序指令模塊�����。替換性地或附加地,程序指令可以在人工生成的傳播信號(hào)上編碼�,傳播信號(hào)例如用于編碼信息以傳輸?shù)胶线m的接收器裝置供數(shù)據(jù)處理裝置執(zhí)行而生成的機(jī)器生成的電子、光學(xué)或電磁信號(hào)�。計(jì)算機(jī)存儲(chǔ)介質(zhì)可以是或被包括于,計(jì)算機(jī)可讀存儲(chǔ)設(shè)備���、計(jì)算機(jī)可讀存儲(chǔ)基座��、隨機(jī)或順序訪問(wèn)存儲(chǔ)器陣列或設(shè)備��、或它們中的一個(gè)或多個(gè)的組合���。此外,盡管計(jì)算機(jī)存儲(chǔ)介質(zhì)不是傳播信號(hào)�����,但計(jì)算機(jī)存儲(chǔ)介質(zhì)可以是用人工生成的傳播信號(hào)編碼的計(jì)算機(jī)程序指令的源或目的地�。計(jì)算機(jī)存儲(chǔ)介質(zhì)還可以是或被包括于一個(gè)或多個(gè)獨(dú)立的物理組件或介質(zhì)(例如,多個(gè)⑶�、盤或其它存儲(chǔ)設(shè)備),包括分布式軟件環(huán)境或云計(jì)算環(huán)境��。
[0093]網(wǎng)絡(luò)一包括核心和包括無(wú)線訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)網(wǎng)絡(luò)一可以包括一個(gè)或多個(gè)網(wǎng)絡(luò)元件。網(wǎng)絡(luò)元件可以涵蓋各種類型的路由器�、交換機(jī)、網(wǎng)關(guān)�����、橋�����、負(fù)載平衡器���、防火墻、服務(wù)器��、工作站����、在線服務(wù)節(jié)點(diǎn)、代理�����、處理器�����、模塊或任何其它合適的可操作來(lái)在網(wǎng)絡(luò)環(huán)境中交換信息的設(shè)備、組件�、元件或?qū)ο蟆>W(wǎng)絡(luò)元件可包括適合的處理器���、存儲(chǔ)器元件�����、硬件和/或軟件以支持(或以其它方式執(zhí)行)與使用處理器用于過(guò)濾管理功能相關(guān)聯(lián)的活動(dòng)��,如此處略述的���。而且,網(wǎng)絡(luò)元件可包括任何合適的促進(jìn)其操作的組件��、模塊���、接口或?qū)ο?���。這可包括允許數(shù)據(jù)或信息的有效交換的適合的算法和通信協(xié)議。
[0094]本說(shuō)明書中所描述的各操作可以實(shí)現(xiàn)為由數(shù)據(jù)處理裝置在存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)設(shè)備上的或從其它源接收的數(shù)據(jù)上執(zhí)行的操作�����。術(shù)語(yǔ)“數(shù)據(jù)處理裝置”�����、“處理器”���、“處理設(shè)備”和“計(jì)算設(shè)備”可以涵蓋用于處理數(shù)據(jù)的各種裝置��、設(shè)備和機(jī)器,作為示例包括可編程處理器�、計(jì)算機(jī)、片上系統(tǒng)�����、或前述多個(gè)�、或前述的組合。裝置可以包括通用或?qū)S眠壿嬰娐?,例如中央處理單?CPU)、齒片��、專用集成電路(ASIC)或場(chǎng)可編程門陣列(FPGA)以及其它合適的選項(xiàng)。盡管將一些處理器和計(jì)算設(shè)備描述和/或示為的那個(gè)處理器�,但根據(jù)所關(guān)聯(lián)的服務(wù)器的特定需求可使用多個(gè)處理器。對(duì)單個(gè)處理器的參考旨在當(dāng)適用時(shí)包括多個(gè)處理器���。一般地���,處理器執(zhí)行指令和操縱數(shù)據(jù)來(lái)執(zhí)行某些操作。除了硬件之外���,裝置也可以包括為所述計(jì)算機(jī)程序創(chuàng)造執(zhí)行環(huán)境的代碼����,例如構(gòu)成處理器固件�、協(xié)議棧、數(shù)據(jù)庫(kù)管理系統(tǒng)�、操作系統(tǒng)、跨平臺(tái)運(yùn)行時(shí)環(huán)境�、虛擬機(jī)或它們中的一個(gè)或多個(gè)的組合的代碼。裝置和執(zhí)行環(huán)境可以實(shí)施各種不同的計(jì)算模型基礎(chǔ)架構(gòu)�,諸如web服務(wù)、分布式計(jì)算和網(wǎng)格計(jì)算基礎(chǔ)架構(gòu)��。
[0095]計(jì)算機(jī)程序(也稱為程序��、軟件、軟件應(yīng)用��、腳本�、模塊、(軟件)工具���、(軟件)程序或代碼)可以以任何形式的編程語(yǔ)言�����,包括編譯或解釋語(yǔ)言����、聲明性或過(guò)程化語(yǔ)言撰寫�����,并能以任何形式部署�����,包括作為獨(dú)立程序或作為模塊����、組件、子例程���、對(duì)象或其它適于在計(jì)算環(huán)境中使用的單元���。例如,計(jì)算機(jī)程序可包括計(jì)算機(jī)可讀執(zhí)行���、固件���、連線的或編程的硬件、或其在當(dāng)被運(yùn)行時(shí)至少執(zhí)行此處所描述的過(guò)程和操作的有形介質(zhì)上的任何組合��。計(jì)算機(jī)程序可以但不需要相對(duì)應(yīng)于文件系統(tǒng)中的文件�����。程序可以保存在保持其它程序或數(shù)據(jù)的文件的一部分中(例如���,存儲(chǔ)在標(biāo)記語(yǔ)言文檔中的一個(gè)或多個(gè)腳本)��、在專用于所述程序的單個(gè)文件中�����、或者多個(gè)協(xié)調(diào)的文件中(例如存儲(chǔ)一個(gè)或多個(gè)模塊�、子程序或代碼部分的文件)。計(jì)算機(jī)程序可被部署為在一個(gè)計(jì)算機(jī)或位于一個(gè)站上或跨多個(gè)站分布并由通信網(wǎng)絡(luò)互連的多個(gè)計(jì)算機(jī)上執(zhí)行����。
[0096]程序可以實(shí)現(xiàn)為通過(guò)各種對(duì)象、方法或其它過(guò)程實(shí)現(xiàn)各種特征和功能的個(gè)別模塊��,或相反可包括多個(gè)子模塊�����、第三方服務(wù)�����、組件�、庫(kù)等等,只要合適����。相反�����,各種組件的特征和功能可以組合進(jìn)單個(gè)組件,只要合適�。在某些情況中,程序和軟件系統(tǒng)可以實(shí)現(xiàn)為復(fù)合宿主的應(yīng)用�����。例如��,復(fù)合應(yīng)用的部分可實(shí)現(xiàn)為Enterprise Java Beans (EJB)或者設(shè)計(jì)時(shí)的組件可有生成不同平臺(tái)的運(yùn)行時(shí)實(shí)現(xiàn)的能力�,平臺(tái)諸如Java 2平臺(tái)企業(yè)版本(J2EE)、高級(jí)企業(yè)應(yīng)用編程(ABAP)對(duì)象或Microsoft.Net以及其它���。附加地���,應(yīng)用可以標(biāo)識(shí)經(jīng)由網(wǎng)絡(luò)(例如,通過(guò)因特網(wǎng))訪問(wèn)和執(zhí)行的基于web的應(yīng)用��。而且��,一個(gè)或多個(gè)與特定宿主的應(yīng)用或服務(wù)相關(guān)聯(lián)的過(guò)程可以遠(yuǎn)程地被存儲(chǔ)�、引用或執(zhí)行。例如��,特定宿主的應(yīng)用或服務(wù)的一部分可與被遠(yuǎn)程調(diào)用的應(yīng)用相關(guān)聯(lián)�����,而宿主的應(yīng)用的另一部分可以是捆綁了以供在遠(yuǎn)程客戶端處理的接口對(duì)象或代理。而且����,所宿主的應(yīng)用和軟件服務(wù)的任一或全部可以是另一軟件模塊或企業(yè)應(yīng)用(未示出)的孩子或子模塊而不偏離本公開的范圍。更且���,所宿主的應(yīng)用的部分可以由直接在宿主應(yīng)用的服務(wù)器上以及遠(yuǎn)程地在客戶端工作的用戶執(zhí)行����。
[0097]本說(shuō)明書中所描述的過(guò)程和邏輯流可以由一個(gè)或多個(gè)可編程處理器執(zhí)行���,處理器通過(guò)在輸入數(shù)據(jù)上操作和生成輸出而執(zhí)行一個(gè)或多個(gè)計(jì)算機(jī)程序以執(zhí)行動(dòng)作��。過(guò)程和邏輯流還可以通過(guò)專用邏輯電路����,例如FPGA (現(xiàn)場(chǎng)可編程門陣列)或ASIC (專用集成電路)來(lái)執(zhí)行�����,并且裝置也可以被實(shí)現(xiàn)為專用邏輯線路�����。
[0098]適于計(jì)算機(jī)程序的執(zhí)行的處理器包括��,作為示例����,通用和專用微處理器二者以及任何種類的數(shù)字計(jì)算機(jī)的任意一個(gè)或多個(gè)處理器。一般地���,處理器接收來(lái)自只讀存儲(chǔ)器或隨機(jī)存取存儲(chǔ)器或二者的指令和數(shù)據(jù)����。計(jì)算機(jī)的基本元素是用于根據(jù)指令執(zhí)行動(dòng)作的處理器和用于存儲(chǔ)指令和數(shù)據(jù)的一個(gè)或多個(gè)存儲(chǔ)器設(shè)備���。一般地���,計(jì)算機(jī)還會(huì)包括一個(gè)或多個(gè)大容量存儲(chǔ)設(shè)備,例如��,磁性���、磁光盤��、或光盤�����,或被操作地耦合以接收來(lái)自該一個(gè)或多個(gè)大容量存儲(chǔ)設(shè)備的數(shù)據(jù)或?qū)?shù)據(jù)傳送到該一個(gè)或多個(gè)大容量存儲(chǔ)設(shè)備以供存儲(chǔ)數(shù)據(jù)���,或兩者���。然而計(jì)算機(jī)不需要有這樣的設(shè)備。而且����,計(jì)算機(jī)可以嵌入在另一設(shè)備中,例如�����,僅舉幾個(gè)例子���,移動(dòng)電話���、個(gè)人數(shù)字助理(PDA)、平板計(jì)算機(jī)、移動(dòng)音頻或視頻播放器���、游戲控制臺(tái)��、全球定位系統(tǒng)(GPS)接收器、或便攜存儲(chǔ)設(shè)備(例如通用串行總線(USB)閃盤)�����。適于存儲(chǔ)計(jì)算機(jī)程序指令和數(shù)據(jù)的設(shè)備包括所有形式的非易失性存儲(chǔ)器��、介質(zhì)和存儲(chǔ)器設(shè)備���,包括��,作為示例����,半導(dǎo)體存儲(chǔ)器設(shè)備�,例如EPROM、EEPROM和閃存設(shè)備�����;磁盤,例如內(nèi)置硬盤或可移動(dòng)盤�;磁光盤;以及⑶ROM和DVD-ROM盤���。處理器和存儲(chǔ)器可由專用邏輯電路補(bǔ)充或被合并到專用邏輯電路中���。
[0099]為了提供與用戶的交互,在本說(shuō)明書中描述的主題的實(shí)施例可以在有顯示設(shè)備例如陰極射線管(CRT)或液晶顯示器(LCD)監(jiān)視器)用于向用戶顯示信息以及用戶能借此向計(jì)算機(jī)提供輸入的鍵盤和定點(diǎn)設(shè)備例如�����,鼠標(biāo)或追蹤球的計(jì)算機(jī)上實(shí)現(xiàn)�����。其他類型的設(shè)備也能被用以提供與用戶的交互����;例如,向用戶提供的反饋可以是任何形式的傳感反饋����,例如視覺(jué)反饋、聽(tīng)覺(jué)反饋或觸覺(jué)反饋����;并且來(lái)自用戶的輸入能以任何形式接收���,包括聲音、語(yǔ)音或觸覺(jué)輸入��。而且���,計(jì)算機(jī)可以通過(guò)向設(shè)備發(fā)送文檔和從設(shè)備接收文檔來(lái)與用戶交互,設(shè)備包括由用戶使用的遠(yuǎn)程設(shè)備����。
[0100]本說(shuō)明書中所描述的主題的實(shí)施例可以在包括后端組件(例如,作為數(shù)據(jù)服務(wù)器)的計(jì)算系統(tǒng)中實(shí)現(xiàn)���、或可在包括中間件組件(例如���,應(yīng)用服務(wù)器)的計(jì)算系統(tǒng)中實(shí)現(xiàn)、或可在包括前端組件(例如�,具有用戶通過(guò)其可以與本聲明書中所描述的主題的實(shí)現(xiàn)交互的圖形用戶界面或Web瀏覽器的客戶計(jì)算機(jī))的計(jì)算系統(tǒng)中實(shí)現(xiàn)、或可在包括這樣的后端���、中間軟件層或前端組件的任意組合的計(jì)算系統(tǒng)中實(shí)現(xiàn)����。系統(tǒng)的組件可以通過(guò)數(shù)字?jǐn)?shù)據(jù)通信的任何形式或介質(zhì)(例如,通信網(wǎng)絡(luò))相互連接����。通信網(wǎng)絡(luò)的示例包括任何內(nèi)部或外部的網(wǎng)絡(luò)、眾網(wǎng)絡(luò)��、子網(wǎng)或其可操作來(lái)促進(jìn)系統(tǒng)中的各種計(jì)算組件之間的通信的組合�。網(wǎng)絡(luò)可以在網(wǎng)絡(luò)地址之間通信例如因特網(wǎng)協(xié)議(IP)分組、幀中繼(FR)幀��、異步傳輸模式(ATM)單元�����、語(yǔ)言����、視頻、數(shù)據(jù)和其它合適的信息����。網(wǎng)絡(luò)也可包括一個(gè)或多個(gè)局域網(wǎng)(LAN)、無(wú)線電接入網(wǎng)絡(luò)(RAN)�����、城域網(wǎng)(MAN)、廣域網(wǎng)(WAN)�����、因特網(wǎng)的全部或部分�����、對(duì)等網(wǎng)絡(luò)(例如�����,自組織對(duì)等網(wǎng)絡(luò))和/或任何其它在一個(gè)或多個(gè)地點(diǎn)的通信系統(tǒng)或眾系統(tǒng)�����。
[0101]計(jì)算系統(tǒng)可以包括客戶端和服務(wù)器�?���?蛻舳撕头?wù)器一般互相遠(yuǎn)程并通常通過(guò)通信網(wǎng)絡(luò)交互?��?蛻舳撕头?wù)器的關(guān)系通過(guò)運(yùn)行在相應(yīng)的計(jì)算機(jī)上并互相具有客戶端-服務(wù)器關(guān)系的計(jì)算機(jī)程序來(lái)提升�。在一些實(shí)施例中,服務(wù)器向客戶端設(shè)備傳輸(例如�����,為了向與客戶端設(shè)備交互的用戶顯示數(shù)據(jù)和接收用戶輸入的目的)數(shù)據(jù)(例如�����,HTML頁(yè)面)�����。在客戶端設(shè)備生成的數(shù)據(jù)(例如�,用戶交互的結(jié)果)可以在服務(wù)器上從客戶端設(shè)備接收。
[0102]盡管本說(shuō)明書包含許多具體實(shí)現(xiàn)細(xì)節(jié)�,但這些不應(yīng)被解釋為任何發(fā)明或任何將被聲明的內(nèi)容的范圍的限制,而是特定于特定發(fā)明的特定實(shí)施例的特征的描述����。本說(shuō)明書中在獨(dú)立實(shí)施例的上下文中所描述的某些特征也可以組合在單個(gè)實(shí)施例中實(shí)現(xiàn)。相反��,在單個(gè)實(shí)施例的上下文中所描述的各種特征也可以在多個(gè)實(shí)施例中獨(dú)立地或在任何合適的子組合中實(shí)現(xiàn)��。而且,盡管以上可以將特征描述為在某些組合中操作或甚至初始聲明為如此�����,來(lái)自所聲明的組合的一個(gè)或多個(gè)特征也可以在一些情況下從組合中刪去����,且所聲明的組合可以被導(dǎo)向子組合或子組合的變體。
[0103]類似地���,盡管各操作在圖中以特定次序描繪�����,這不應(yīng)被理解為要求以所示的特定次序或以順序次序來(lái)執(zhí)行這樣的操作�、或執(zhí)行所有示出的操作以達(dá)到所要求的結(jié)果�����。在某些情況下����,多任務(wù)和并行處理可以是有利的�����。而且,以上描述的各實(shí)施例中各種系統(tǒng)組件的獨(dú)立不應(yīng)被理解為在所有實(shí)施例中要求這樣的獨(dú)立�����,且應(yīng)理解所描述的程序組件和系統(tǒng)可以基本整合進(jìn)單個(gè)軟件產(chǎn)品或封裝進(jìn)多個(gè)軟件產(chǎn)品�。
[0104]因此,描述了所述主題的特定實(shí)施例����。其它實(shí)施例也在權(quán)利要求的范圍之內(nèi)。在一些情況中����,權(quán)利要求中所述的動(dòng)作可以以不同的次序執(zhí)行而仍達(dá)到所需要的結(jié)果。另外�,附圖中描繪的過(guò)程不必要求所示的特定次序、或順序次序來(lái)達(dá)到所需要的結(jié)果�。
【權(quán)利要求】
1.一種方法,所述方法包括: 標(biāo)識(shí)在資產(chǎn)儲(chǔ)存庫(kù)中描述的多個(gè)系統(tǒng)實(shí)體���,所述資產(chǎn)儲(chǔ)存庫(kù)定義計(jì)算環(huán)境中所述多個(gè)系統(tǒng)實(shí)體的特定分層組織���; 用特定標(biāo)記來(lái)標(biāo)記所述多個(gè)系統(tǒng)實(shí)體中的特定系統(tǒng)實(shí)體���; 基于用所述特定標(biāo)記來(lái)標(biāo)記述特定系統(tǒng)實(shí)體,將所述特定系統(tǒng)實(shí)體與特定安全策略相關(guān)聯(lián)�,其中所述特定安全策略被應(yīng)用于所述資產(chǎn)儲(chǔ)存庫(kù)中、用包括所述特定標(biāo)記的特定標(biāo)記集中的一個(gè)或多個(gè)標(biāo)記來(lái)標(biāo)記的系統(tǒng)實(shí)體�����。
2.如權(quán)利要求1所述的方法��,其特征在于��,用所述特定標(biāo)記來(lái)標(biāo)記所述資產(chǎn)儲(chǔ)存庫(kù)中�、包括所述特定系統(tǒng)實(shí)體在內(nèi)的兩個(gè)或多個(gè)系統(tǒng)實(shí)體,所述方法還包括定義所述兩個(gè)或多個(gè)系統(tǒng)實(shí)體之間的關(guān)聯(lián)����。
3.如權(quán)利要求2所述的方法,其特征在于�,所述關(guān)聯(lián)不同于在所述特定分層組織中定義的關(guān)聯(lián)。
4.如權(quán)利要求1所述的方法����,其特征在于,還包括標(biāo)識(shí)特定系統(tǒng)實(shí)體的一個(gè)或多個(gè)屬性�����,其中所述特定系統(tǒng)實(shí)體是至少部分地基于所述一個(gè)或多個(gè)所標(biāo)識(shí)的屬性用所述特定標(biāo)記來(lái)標(biāo)記的�。
5.如權(quán)利要求4所述的方法,其特征在于�����,所述一個(gè)或多個(gè)屬性是用一個(gè)或多個(gè)部署在所述計(jì)算環(huán)境中的資產(chǎn)檢測(cè)弓I擎標(biāo)識(shí)的�。
6.如權(quán)利要求5所述的方法,其特征在于��,所述資產(chǎn)檢測(cè)引擎是包括一組可插入式發(fā)現(xiàn)傳感器的可插入式資產(chǎn)檢測(cè)引擎����,其中所述可插入式發(fā)現(xiàn)傳感器使得能夠由所述資產(chǎn)檢測(cè)引擎標(biāo)識(shí)所述屬性。
7.如權(quán)利要求6所述的方法�,其特征在于,所述可插入式發(fā)現(xiàn)傳感器包括一個(gè)或多個(gè)適于在不需要與所述特定系統(tǒng)實(shí)體通信的情況下標(biāo)識(shí)所述特定系統(tǒng)實(shí)體的屬性的被動(dòng)發(fā)現(xiàn)傳感器��。
8.如權(quán)利要求7所述的方法��,其特征在于���,所述可插入式發(fā)現(xiàn)傳感器還包括適于向所述特定系統(tǒng)實(shí)體發(fā)送數(shù)據(jù)并監(jiān)視所述特定系統(tǒng)實(shí)體對(duì)所發(fā)送的數(shù)據(jù)的響應(yīng)的主動(dòng)發(fā)現(xiàn)傳感器����。
9.如權(quán)利要求7所述的方法,其特征在于�,所述被動(dòng)發(fā)現(xiàn)傳感器包括潛在式類型的發(fā)現(xiàn)傳感器、基于事件的發(fā)現(xiàn)傳感器和間接類型的發(fā)現(xiàn)傳感器中的至少一種�。
10.如權(quán)利要求4所述的方法,其特征在于����,所述屬性可以包括所述特定系統(tǒng)實(shí)體的地址信息、操作系統(tǒng)�����、活動(dòng)端口和應(yīng)用中的至少一種�。
11.如權(quán)利要求1所述的方法,其特征在于���,所述標(biāo)記是由用戶執(zhí)行的����。
12.如權(quán)利要求1所述的方法��,其特征在于,所述多個(gè)系統(tǒng)實(shí)體中的每一個(gè)系統(tǒng)實(shí)體是包括網(wǎng)絡(luò)類型的實(shí)體����、系統(tǒng)類型的實(shí)體����、人員類型的實(shí)體和應(yīng)用類型的實(shí)體的集合中的一種類型。
13.如權(quán)利要求12所述的方法�����,其特征在于��,所述特定分層組織將系統(tǒng)類型的實(shí)體定義為網(wǎng)絡(luò)類型的實(shí)體的孩子��,將人員類型的實(shí)體定義為系統(tǒng)類型的實(shí)體的孩子�����,并將應(yīng)用類型的實(shí)體定義為系統(tǒng)類型的實(shí)體的孩子��。
14.如權(quán)利要求12所述的方法����,其特征在于�����,所述特定標(biāo)記是類型專用的標(biāo)記���。
15.如權(quán)利要求12所述的方法,其特征在于��,不同類型的實(shí)體可以用所述特定標(biāo)記來(lái)
己 O
16.如權(quán)利要求1所述的方法�,其特征在于,應(yīng)用所述特定安全策略包括使得特定安全策略對(duì)用所述特定標(biāo)記集中的一個(gè)或多個(gè)來(lái)標(biāo)記的系統(tǒng)實(shí)體中的每一個(gè)實(shí)施���。
17.如權(quán)利要求16所述的方法��,其特征在于�����,所述特定安全策略是使用所述特定系統(tǒng)實(shí)體上的代理在所述特定系統(tǒng)實(shí)體上實(shí)施的���。
18.如權(quán)利要求16所述的方法,其特征在于�,所述特定安全策略是使用遠(yuǎn)程于所述特定系統(tǒng)實(shí)體的網(wǎng)絡(luò)安全組件對(duì)所述特定系統(tǒng)實(shí)體實(shí)施的。
19.如權(quán)利要求18所述的方法�����,其特征在于,所述網(wǎng)絡(luò)安全組件包括所述計(jì)算環(huán)境的防火墻����、web網(wǎng)關(guān)����、郵件網(wǎng)關(guān)、主機(jī)入侵保護(hù)(HIP)工具��、網(wǎng)絡(luò)入侵保護(hù)(NIP)工具��、反惡意軟件工具���、數(shù)據(jù)丟失保護(hù)(DLP)工具�����、系統(tǒng)脆弱性管理器�����、系統(tǒng)策略順從性管理器��、資產(chǎn)關(guān)鍵性工具和安全信息管理(SIM)工具中的至少一個(gè)���。
20.如權(quán)利要求1所述的方法�,其特征在于�,應(yīng)用所述特定安全策略包括使得補(bǔ)丁在用所述特定標(biāo)記集中的一個(gè)或多個(gè)來(lái)標(biāo)記的系統(tǒng)實(shí)體中的每一個(gè)上被下載。
21.編碼在非瞬態(tài)介質(zhì)中的邏輯����,所述邏輯包括用于執(zhí)行且當(dāng)由處理器執(zhí)行時(shí)可操作來(lái)執(zhí)行操作的代碼,所述操作包括: 標(biāo)識(shí)在資產(chǎn)儲(chǔ)存庫(kù)中描述的多個(gè)系統(tǒng)實(shí)體�,所述資產(chǎn)儲(chǔ)存庫(kù)定義計(jì)算環(huán)境中所述多個(gè)系統(tǒng)實(shí)體的特定分層組織; 用特定標(biāo)記來(lái)標(biāo)記所述多個(gè)系統(tǒng)實(shí)體中的特定系統(tǒng)實(shí)體����; 基于用所述特定標(biāo)記來(lái)標(biāo)記所述特定系統(tǒng)實(shí)體,將所述特定系統(tǒng)實(shí)體與特定安全策略相關(guān)聯(lián)���,其中所述特定安全策略被應(yīng)用到所述資產(chǎn)儲(chǔ)存庫(kù)中用包括所述特定標(biāo)記的特定標(biāo)記集中的一個(gè)或多個(gè)標(biāo)記來(lái)標(biāo)記的系統(tǒng)實(shí)體��。
22.—種系統(tǒng),所述系統(tǒng)包括: 至少一個(gè)處理器設(shè)備�����; 至少一個(gè)存儲(chǔ)器元件���;以及 資產(chǎn)管理系統(tǒng)��,當(dāng)由所述至少一個(gè)處理器設(shè)備執(zhí)行時(shí)適于: 標(biāo)識(shí)在資產(chǎn)儲(chǔ)存庫(kù)中描述的多個(gè)系統(tǒng)實(shí)體�,所述資產(chǎn)儲(chǔ)存庫(kù)定義計(jì)算環(huán)境中所述多個(gè)系統(tǒng)實(shí)體的特定分層組織���; 用特定標(biāo)記來(lái)標(biāo)記所述多個(gè)系統(tǒng)實(shí)體中的特定系統(tǒng)實(shí)體����; 基于用所述特定標(biāo)記來(lái)標(biāo)記所述特定系統(tǒng)實(shí)體�,將所述特定系統(tǒng)實(shí)體與特定安全策略相關(guān)聯(lián)�,其中所述特定安全策略被應(yīng)用到所述資產(chǎn)儲(chǔ)存庫(kù)中、用包括所述特定標(biāo)記的特定標(biāo)記集中的一個(gè)或多個(gè)標(biāo)記來(lái)標(biāo)記的系統(tǒng)實(shí)體�����。
23.如權(quán)利要22所述的系統(tǒng)�����,其特征在于�����,還包括包含可插入式發(fā)現(xiàn)傳感器集的可插入式資產(chǎn)檢測(cè)引擎,所述可插入式資產(chǎn)檢測(cè)引擎在由所述至少一個(gè)處理器設(shè)備執(zhí)行時(shí)適于: 使用所述發(fā)現(xiàn)傳感器集中的第一可插入式發(fā)現(xiàn)傳感器標(biāo)識(shí)所述特定系統(tǒng)實(shí)體的屬性����;以及 將所述特定屬性的標(biāo)識(shí)發(fā)送給所述資產(chǎn)管理系統(tǒng),其中標(biāo)記所述特定系統(tǒng)實(shí)體是至少部分地基于所標(biāo)識(shí)的屬性的��。
【文檔編號(hào)】H04L29/06GK104205773SQ201380016950
【公開日】2014年12月10日 申請(qǐng)日期:2013年4月11日 優(yōu)先權(quán)日:2012年4月11日
【發(fā)明者】J·M·哈賈德四世, R·基爾, J·C·瑞貝洛, O·阿爾欽, S·斯克瑞克 申請(qǐng)人:邁克菲股份有限公司