資產(chǎn)檢測(cè)系統(tǒng)的制作方法
【專利摘要】使用一種可插資產(chǎn)檢測(cè)引擎來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)的設(shè)備?�?刹遒Y產(chǎn)檢測(cè)引擎包括一組可插發(fā)現(xiàn)傳感器�,并且適于利用一組發(fā)現(xiàn)傳感器中的第一可插發(fā)現(xiàn)傳感器來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)的特定計(jì)算設(shè)備的特定地址信息,并且將特定計(jì)算設(shè)備的特定地址信息的識(shí)別發(fā)送到資產(chǎn)管理系統(tǒng)以便在由資產(chǎn)管理系統(tǒng)管理的資產(chǎn)倉(cāng)庫(kù)中包括特定地址信息���。
【專利說(shuō)明】資產(chǎn)檢測(cè)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本公開一般涉及計(jì)算安全領(lǐng)域���,更特別地涉及網(wǎng)絡(luò)發(fā)現(xiàn)和安全。
【背景技術(shù)】
[0002] 現(xiàn)在網(wǎng)絡(luò)內(nèi)的安全管理可以包括對(duì)網(wǎng)絡(luò)中的設(shè)備分配和實(shí)施安全策略�。實(shí)施安全 策略可以包括識(shí)別網(wǎng)絡(luò)上的設(shè)備或者之前進(jìn)行網(wǎng)絡(luò)上設(shè)備的識(shí)別。地址掃描和ping掃描 已經(jīng)用于發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備����。這些技術(shù)包括人類用戶手動(dòng)地配置網(wǎng)絡(luò)地址的一個(gè)或多個(gè)范圍, 諸如互聯(lián)網(wǎng)協(xié)議("IP")地址����,然后請(qǐng)求軟件來(lái)"掃描"或"探測(cè)"規(guī)定范圍內(nèi)的每個(gè)地址 以試圖找到活動(dòng)的設(shè)備。這種掃描能夠產(chǎn)生表明特定地址是否正在使用的結(jié)果���,暗示在該 地址處存在網(wǎng)絡(luò)設(shè)備�。在采用互聯(lián)網(wǎng)協(xié)議版本4("IPv4")尋址的網(wǎng)絡(luò)中,這種強(qiáng)力掃描能 夠用于在合理時(shí)間量?jī)?nèi)掃描寬范圍地址(包括所有可能的IPv4地址)中的每個(gè)地址�����。
【專利附圖】
【附圖說(shuō)明】
[0003] 圖1是依照至少一個(gè)實(shí)施例的包括多個(gè)資產(chǎn)和系統(tǒng)實(shí)體的示例計(jì)算系統(tǒng)的簡(jiǎn)化 示意圖���;
[0004] 圖2是依照至少一個(gè)實(shí)施例的包括與一個(gè)或多個(gè)網(wǎng)絡(luò)相結(jié)合操作的資產(chǎn)管理系 統(tǒng)和一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎的示例計(jì)算系統(tǒng)的簡(jiǎn)化框圖����;
[0005] 圖3是圖示出依照至少一個(gè)實(shí)施例的示例系統(tǒng)的示例資產(chǎn)倉(cāng)庫(kù)的簡(jiǎn)化組織圖��;
[0006] 圖4是圖示出依照至少一個(gè)實(shí)施例的與示例的資產(chǎn)管理系統(tǒng)通信的示例的可擴(kuò) 展資產(chǎn)檢測(cè)引擎的簡(jiǎn)化框圖����;
[0007] 圖5是圖示出依照至少一個(gè)實(shí)施例的在示例系統(tǒng)的兩個(gè)或更多網(wǎng)絡(luò)中的資產(chǎn)檢 測(cè)引擎和掃描引擎的部署的簡(jiǎn)化框圖;
[0008] 圖6A-6H是圖示出依照至少一個(gè)實(shí)施例的包括示例的資產(chǎn)檢測(cè)引擎的示例操作 的簡(jiǎn)化框圖�;
[0009] 圖7A-7C是圖示出依照至少一個(gè)實(shí)施例的用于管理一個(gè)或多個(gè)網(wǎng)絡(luò)內(nèi)的資產(chǎn)的 示例技術(shù)的簡(jiǎn)化流程圖。
[0010] 在各附圖中相似的附圖標(biāo)記和符號(hào)表示相似的元件���。
【具體實(shí)施方式】 [0011]皿
[0012] 一般地�����,在本說(shuō)明書中所描述的主題的一個(gè)方面能夠用方法來(lái)具體實(shí)施���,該方法 包括如下動(dòng)作:利用資產(chǎn)檢測(cè)引擎來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)特定的計(jì)算設(shè)備的地址信息;以及將地址 信息的識(shí)別發(fā)送到資產(chǎn)管理系統(tǒng)以便在由資產(chǎn)管理系統(tǒng)管理的資產(chǎn)倉(cāng)庫(kù)中包括地址信息�����。 可以通過(guò)包含在資產(chǎn)檢測(cè)引擎中的一組發(fā)現(xiàn)傳感器中的第一可插發(fā)現(xiàn)傳感器來(lái)促成地址 息的識(shí)別����。
[0013] 在本說(shuō)明書中所描述的主題的另一一般性方面能夠在包括至少一個(gè)處理器設(shè)備、 至少一個(gè)存儲(chǔ)器元件和可插資產(chǎn)檢測(cè)引擎的系統(tǒng)中具體實(shí)施���??刹遒Y產(chǎn)檢測(cè)引擎可以包括 一組可插發(fā)現(xiàn)傳感器�,并且當(dāng)通過(guò)至少一個(gè)處理器設(shè)備執(zhí)行時(shí)適于利用一組發(fā)現(xiàn)傳感器中 的第一可插發(fā)現(xiàn)傳感器來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)的特定計(jì)算設(shè)備的特定地址信息,以及將特定計(jì)算設(shè) 備的特定地址信息的識(shí)別發(fā)送到資產(chǎn)管理系統(tǒng)以便在由資產(chǎn)管理系統(tǒng)管理的資產(chǎn)倉(cāng)庫(kù)中 包括特定地址信息�。
[0014] 這些以及其他的實(shí)施例可以各自任選地包括以下特征中的一個(gè)或多個(gè)。特定計(jì)算 設(shè)備的附加屬性可以利用一組發(fā)現(xiàn)傳感器中的第二可插發(fā)現(xiàn)傳感器來(lái)識(shí)別�。基于利用一組 發(fā)現(xiàn)傳感器中的可插發(fā)現(xiàn)傳感器識(shí)別出的經(jīng)識(shí)別屬性����,可以將安全策略分配給所述特定計(jì) 算設(shè)備。附加屬性可以包括特定計(jì)算設(shè)備的活動(dòng)端口��、特定計(jì)算設(shè)備的操作系統(tǒng)、特定計(jì)算 設(shè)備的應(yīng)用以及其他屬性����。特定計(jì)算設(shè)備可以被加標(biāo)簽以將特定計(jì)算設(shè)備與特定計(jì)算設(shè)備 群組相關(guān)聯(lián),并且安全策略可以與特定計(jì)算設(shè)備群組相關(guān)聯(lián)��。一組發(fā)現(xiàn)傳感器中的每個(gè)發(fā) 現(xiàn)傳感器可以是可插發(fā)現(xiàn)傳感器����。資產(chǎn)管理系統(tǒng)能夠確定:識(shí)別的地址信息未包含在資產(chǎn) 倉(cāng)庫(kù)中,并且地址信息的識(shí)別可以與網(wǎng)絡(luò)內(nèi)的特定計(jì)算設(shè)備的發(fā)現(xiàn)相結(jié)合�。可插發(fā)現(xiàn)傳感 器能夠添加到一組發(fā)現(xiàn)傳感器中����。一組發(fā)現(xiàn)傳感器中的一個(gè)可插發(fā)現(xiàn)傳感器能夠由另一可 插發(fā)現(xiàn)傳感器取代。
[0015] 此外�,這些以及其他的實(shí)施例還可以各自任選地包括以下特征中的一個(gè)或多個(gè)。 基于事件的可插發(fā)現(xiàn)傳感器可以包括在一組發(fā)現(xiàn)傳感器中����,并且適于根據(jù)描述由網(wǎng)絡(luò)上的 事件管理服務(wù)所識(shí)別的網(wǎng)絡(luò)中的事件的事件記錄數(shù)據(jù)來(lái)識(shí)別網(wǎng)絡(luò)上的計(jì)算設(shè)備的地址信 息?�;谑录目刹灏l(fā)現(xiàn)傳感器可以適于訪問(wèn)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器的事件、活 動(dòng)目錄審核事件��、防火墻事件����、防入侵系統(tǒng)(IPS)事件和其他事件管理服務(wù)的事件記錄數(shù) 據(jù)�。潛伏型可插發(fā)現(xiàn)傳感器可以包含在一組發(fā)現(xiàn)傳感器中,并且適于根據(jù)由被動(dòng)型可插發(fā) 現(xiàn)傳感器監(jiān)控的網(wǎng)絡(luò)業(yè)務(wù)識(shí)別網(wǎng)絡(luò)上的計(jì)算設(shè)備的地址信息�����。潛伏型可插發(fā)現(xiàn)傳感器可以 適于監(jiān)控網(wǎng)絡(luò)業(yè)務(wù)中的NetBIOS廣播分組�、互聯(lián)網(wǎng)控制消息協(xié)議版本6 (ICMPv6)網(wǎng)絡(luò)業(yè)務(wù)、 經(jīng)由端口鏡像的網(wǎng)絡(luò)業(yè)務(wù)����,等其他示例。間接型可插發(fā)現(xiàn)傳感器可以包含在一組發(fā)現(xiàn)傳感 器中�,并且適于查詢網(wǎng)絡(luò)服務(wù)以獲取包括網(wǎng)絡(luò)內(nèi)的計(jì)算設(shè)備的地址信息的數(shù)據(jù)。間接型可 插發(fā)現(xiàn)傳感器可以適于查詢簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)管理信息庫(kù)(MIB)���,查詢DHCP數(shù)據(jù) 庫(kù)�����,查詢路由器表�,在網(wǎng)絡(luò)中的另一計(jì)算設(shè)備上發(fā)布netstat命令,等其他示例����。主動(dòng)型可 插發(fā)現(xiàn)傳感器可以包括在一組發(fā)現(xiàn)傳感器中,并且適于將數(shù)據(jù)發(fā)送到特定計(jì)算設(shè)備��,諸如 一組互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)分組���、一組傳輸控制協(xié)議(TCP)分組��,以及一組用戶數(shù)據(jù) 報(bào)協(xié)議(UDP)分組����,并且進(jìn)一步適于監(jiān)控對(duì)發(fā)送數(shù)據(jù)的響應(yīng)��。一組發(fā)現(xiàn)傳感器可以包括主 動(dòng)型可插發(fā)現(xiàn)傳感器以及至少一個(gè)被動(dòng)型可插發(fā)現(xiàn)傳感器���,諸如潛伏型發(fā)現(xiàn)傳感器�、基于 事件的發(fā)現(xiàn)傳感器或間接型發(fā)現(xiàn)傳感器�����。當(dāng)通過(guò)至少一個(gè)處理器設(shè)備執(zhí)行時(shí),資產(chǎn)管理系 統(tǒng)可以適于從資產(chǎn)檢測(cè)引擎接收特定地址信息����,確定地址信息是否與資產(chǎn)倉(cāng)庫(kù)中所描述的 設(shè)備相關(guān)聯(lián),并且用不包含在資產(chǎn)倉(cāng)庫(kù)中的地址信息來(lái)增補(bǔ)資產(chǎn)倉(cāng)庫(kù)��。資產(chǎn)檢測(cè)引擎可以 是系統(tǒng)中的多個(gè)資產(chǎn)檢測(cè)引擎中的第一資產(chǎn)檢測(cè)引擎�����。多個(gè)資產(chǎn)檢測(cè)引擎可以包括第二資 產(chǎn)檢測(cè)引擎�,其中第一資產(chǎn)檢測(cè)引擎的一組發(fā)現(xiàn)傳感器是第一組�����,并且第二資產(chǎn)檢測(cè)引擎 包括第二組發(fā)現(xiàn)傳感器�,第一組發(fā)現(xiàn)傳感器不同于第二組發(fā)現(xiàn)傳感器。第一組發(fā)現(xiàn)傳感器 可以包括也包含在第二組發(fā)現(xiàn)傳感器中的特定發(fā)現(xiàn)傳感器�。
[0016] 一些或全部特征可以是計(jì)算機(jī)實(shí)現(xiàn)的方法或者進(jìn)一步包含在用于實(shí)施該所述功 能的相應(yīng)系統(tǒng)或其他設(shè)備中。本公開的這些以及其他特征��、方面和實(shí)現(xiàn)方式的細(xì)節(jié)在附圖 和下面的說(shuō)明書中進(jìn)行了闡述�����。公開的其他的特征、方面和優(yōu)點(diǎn)將從說(shuō)明書和附圖以及從 權(quán)利要求書中變得顯而易見(jiàn)����。
[0017] 示例件實(shí)施例
[0018] 圖1是圖示出包括多個(gè)系統(tǒng)實(shí)體的計(jì)算環(huán)境的示例性實(shí)現(xiàn)的簡(jiǎn)化框圖100,包括 網(wǎng)絡(luò)(例如,110��、115)�����,網(wǎng)絡(luò)內(nèi)的系統(tǒng)設(shè)備(S卩���,計(jì)算設(shè)備(例如���,120、125�����、130��、135��、140����、 145�、150�����、155�、160、165)�����,包括端點(diǎn)設(shè)備��,諸如路由器���、交換機(jī)、防火墻和通過(guò)網(wǎng)絡(luò)(例如�, 110U15)通信或有利于網(wǎng)絡(luò)(例如,110U15)的其他設(shè)備的網(wǎng)絡(luò)元件����、由在網(wǎng)絡(luò)上的各個(gè) 系統(tǒng)服務(wù)、掌管����、安裝���、裝載或以其他方式使用的應(yīng)用和其他軟件程序和服務(wù)(例如,170��、 172��、174��、175����、176、178�、180、182)����,以及已知使用計(jì)算環(huán)境及其構(gòu)成系統(tǒng)和應(yīng)用的人(例 如,184����、185、186����、188)��。
[0019] 實(shí)際上����,端點(diǎn)設(shè)備�、網(wǎng)絡(luò)元件和包含在網(wǎng)絡(luò)中的其他計(jì)算設(shè)備(或"系統(tǒng)型系統(tǒng)實(shí) 體")能夠與網(wǎng)絡(luò)上的其他設(shè)備通信和/或有利于網(wǎng)絡(luò)上的其他設(shè)備之間的通信。例如����,端 點(diǎn)設(shè)備(例如,120�、125、130����、140�、150)能夠利用計(jì)算環(huán)境為人(例如,184���、185����、186、188) 提供接口����,其用于與網(wǎng)絡(luò)(例如110)以及系統(tǒng)內(nèi)的其他網(wǎng)絡(luò)(例如,115)����、因特網(wǎng)190和其 他網(wǎng)絡(luò)上的計(jì)算設(shè)備掌管的各種資源交互和消耗這些資源。此外����,一些端點(diǎn)設(shè)備(例如, 120�����、140���、150)能夠另外地掌管能夠由相應(yīng)端點(diǎn)本地的用戶(例如���,184、185���、186�、188)消耗 以及服務(wù)于網(wǎng)絡(luò)(例如,11〇�����、115)上的其他設(shè)備的應(yīng)用和其他軟件資源(例如���,170���、174、 176)�����。網(wǎng)絡(luò)110U15上的其他設(shè)備(例如����,135、145��、155����、160����、165)能夠另外地將軟件資源 (艮P�,應(yīng)用(例如��,172����、175、178��、180����、182))服務(wù)于一個(gè)或多個(gè)客戶端(包括其他服務(wù)器) 以進(jìn)行消耗。這些軟件資源可以包括例如數(shù)據(jù)庫(kù)�����、網(wǎng)頁(yè)����、網(wǎng)絡(luò)應(yīng)用、軟件應(yīng)用和其他程序�、虛 擬機(jī)、企業(yè)資源規(guī)劃、文檔管理系統(tǒng)����、郵件服務(wù)器和其他軟件資源。
[0020] 特定計(jì)算環(huán)境內(nèi)的"系統(tǒng)實(shí)體"也稱為"資產(chǎn)"���,其能夠限定在一個(gè)或多個(gè)安全背景 內(nèi)��,在計(jì)算環(huán)境內(nèi)包括"網(wǎng)絡(luò)型實(shí)體"����、"系統(tǒng)型實(shí)體"���、"應(yīng)用型實(shí)體"和"人類型實(shí)體"(或參 與到計(jì)算環(huán)境中)�����。"人類型實(shí)體"在該示例中代表了使用計(jì)算環(huán)境的個(gè)體人�����,其能夠被視 為與網(wǎng)絡(luò)型實(shí)體�����、系統(tǒng)型實(shí)體和應(yīng)用型實(shí)體一起的系統(tǒng)實(shí)體����,可以不同于在計(jì)算環(huán)境內(nèi)識(shí) 別的用戶����。人能夠與系統(tǒng)內(nèi)的一個(gè)或多個(gè)用戶賬戶或特定用戶標(biāo)識(shí)符相關(guān)聯(lián)或者由系統(tǒng)內(nèi) 的一個(gè)或多個(gè)用戶賬戶或特定用戶標(biāo)識(shí)符限定。然而��,用戶不總是利用計(jì)算環(huán)境精確地映 射到實(shí)際的人��。例如����,單個(gè)人可具有(或能夠訪問(wèn))系統(tǒng)內(nèi)的多個(gè)用戶名或用戶賬戶。另 夕卜��,一些人可能不具有注冊(cè)的用戶名或用戶賬戶���。然而�,當(dāng)將安全背景調(diào)整至特定人的使用 傾向和屬性時(shí)��,人的實(shí)際身份會(huì)比計(jì)算環(huán)境內(nèi)的人使用的用戶簡(jiǎn)檔���、用戶名或別名更貼切���。
[0021] 可以提供資產(chǎn)管理系統(tǒng)105,在一些示例中��,能夠發(fā)現(xiàn)并保持計(jì)算環(huán)境內(nèi)的各系統(tǒng) 實(shí)體的記錄����,以及將安全策略分配給各系統(tǒng)實(shí)體并且使安全策略在整個(gè)計(jì)算環(huán)境中實(shí)施����。 還可以發(fā)現(xiàn)所發(fā)現(xiàn)的系統(tǒng)實(shí)體的屬性,包括系統(tǒng)實(shí)體的標(biāo)識(shí)符�����。例如�,對(duì)于計(jì)算環(huán)境內(nèi)的各 個(gè)系統(tǒng)和網(wǎng)絡(luò),可以發(fā)現(xiàn)IP地址和IP地址范圍���。此外�,隨著現(xiàn)代網(wǎng)絡(luò)中互聯(lián)網(wǎng)協(xié)議版本 6 ("IPv6")尋址的出現(xiàn)和部署��,IP地址的大小設(shè)計(jì)成從32位(在IPv4中)增加到IPv6下 的128位���。結(jié)果���,雖然IPv4提供了 232 (4, 294, 967, 296)個(gè)可能地址的可管理地址空間��,但是 IPv6的128位地址允許有2128(近似340澗或3. 4X 1038)個(gè)地址的地址空間�。為置于IPv6 地址空間的大小的背景下�,如果在IPv6地址空間內(nèi)為"活動(dòng)"地址的每個(gè)地址進(jìn)行強(qiáng)力掃 描可以在每個(gè)地址單微微秒的速率來(lái)實(shí)現(xiàn)��,則掃描整個(gè)IPv6空間仍會(huì)花費(fèi)10. 78Χ10λ19 年�����。因此���,采用IPv6尋址使得映射網(wǎng)絡(luò)內(nèi)的設(shè)備以及監(jiān)控網(wǎng)絡(luò)相應(yīng)設(shè)備的安全和其他活動(dòng) 的工作顯著復(fù)雜化���。因此,資產(chǎn)管理系統(tǒng)105能夠采用技術(shù)來(lái)更高效地識(shí)別活動(dòng)的IPv6地 址�����,允許對(duì)采用IPv6的網(wǎng)絡(luò)進(jìn)行更有針對(duì)性的分析�。此外����,除了能夠發(fā)現(xiàn)IPv6地址和計(jì)算 環(huán)境內(nèi)的設(shè)備和網(wǎng)絡(luò)元件的其他地址信息之外����,資產(chǎn)管理系統(tǒng)105能夠進(jìn)一步管理發(fā)現(xiàn)技 術(shù),允許發(fā)現(xiàn)額外的屬性信息��,諸如設(shè)備的操作系統(tǒng)���、設(shè)備所使用的端口�、設(shè)備所采用的協(xié) 議����,等等。從設(shè)備級(jí)�����,能夠發(fā)現(xiàn)額外信息���,包括分層級(jí)地源自于系統(tǒng)級(jí)的其他系統(tǒng)實(shí)體��,諸如 設(shè)備所掌管的個(gè)體應(yīng)用以及使用該設(shè)備的個(gè)體人�����。
[0022] 資產(chǎn)管理系統(tǒng)105的實(shí)現(xiàn)能夠利用各系統(tǒng)實(shí)體的屬性來(lái)將實(shí)體分組成一個(gè)或多 個(gè)系統(tǒng)實(shí)體的邏輯群組�。此外,資產(chǎn)管理系統(tǒng)105能夠識(shí)別各安全策略并且將各安全策略 分配給各群組�。這些邏輯群組能夠根據(jù)特定計(jì)算環(huán)境內(nèi)的系統(tǒng)實(shí)體所共享的屬性或標(biāo)志將 不同的系統(tǒng)實(shí)體組合在一起。分配給群組的安全策略能夠?qū)?yīng)于包含在群組中的系統(tǒng)實(shí)體 的共享屬性和特性或者對(duì)包含在群組中的系統(tǒng)實(shí)體的共享屬性和特性進(jìn)行尋址�����。例如�����,一 個(gè)系統(tǒng)群組能夠在系統(tǒng)的倉(cāng)庫(kù)內(nèi)被加標(biāo)簽為"重要系統(tǒng)"����。因此����,識(shí)別為重要的那些系統(tǒng)能 夠具有應(yīng)用于它們的共同的一組安全策略(例如,根據(jù)其在計(jì)算環(huán)境內(nèi)的重要性)�����。在另外 的示例中,可以根據(jù)諸如DMZ網(wǎng)絡(luò)群組的特定類型的網(wǎng)絡(luò)��,根據(jù)關(guān)聯(lián)地址(例如����,基于IP地 址范圍、內(nèi)部和外部的IP地址����、域名等),或者根據(jù)關(guān)聯(lián)的地理區(qū)域等����,來(lái)識(shí)別一個(gè)網(wǎng)絡(luò)群 組,并且可以相應(yīng)地對(duì)這些群組加標(biāo)簽����。還可以根據(jù)類型、重要性��、軟件提供商�、操作系統(tǒng)等 對(duì)應(yīng)用進(jìn)行加標(biāo)簽和分組。例如�����,標(biāo)簽可以分配給應(yīng)用型實(shí)體以表明應(yīng)用是數(shù)據(jù)庫(kù)或數(shù)據(jù) 庫(kù)的類型(例如,生產(chǎn)數(shù)據(jù)庫(kù)��、臨時(shí)數(shù)據(jù)庫(kù)等)�����、網(wǎng)絡(luò)應(yīng)用���、中間件�、網(wǎng)絡(luò)服務(wù)器���,等許多其他 示例�����。此外,人類型實(shí)體也可以被加標(biāo)簽��,例如���,以識(shí)別人的這些個(gè)人屬性作為其在組織��、安 全許可��、許可�����、辦公室���、地理位置�、商業(yè)單元等中的角色����。另外,在一些示例中��,可以對(duì)系統(tǒng)實(shí) 體進(jìn)行強(qiáng)力分類(例如�,"網(wǎng)絡(luò)"、"系統(tǒng)"�����、"應(yīng)用"和"人")��,并且特定組的系統(tǒng)實(shí)體可以局限 于特定類型的系統(tǒng)實(shí)體����。在這些示例中����,應(yīng)用于群組的安全策略還可以是類型特定的���。在 其他示例中�����,可以對(duì)群組和標(biāo)簽進(jìn)行"交叉分類"��,并且還可以對(duì)關(guān)聯(lián)的安全策略進(jìn)行交叉 分類��。例如�,特定群組可以包括一個(gè)或多個(gè)系統(tǒng)和一個(gè)或多個(gè)應(yīng)用和/或一個(gè)或多個(gè)人��,等 等���。
[0023] 一般地,"服務(wù)器"���、"客戶端"����、"計(jì)算設(shè)備"、"網(wǎng)絡(luò)元件"�����、"主機(jī)"�����、"系統(tǒng)型系統(tǒng)實(shí)體" 和"系統(tǒng)"�,包括示例性計(jì)算環(huán)境100中的計(jì)算設(shè)備(例如,105��、120���、125���、130、135�����、140��、145、 150�、155、160�、165、195等)����,可以包括可操作以接收、發(fā)送����、處理、存儲(chǔ)或管理與計(jì)算環(huán)境 100相關(guān)聯(lián)的數(shù)據(jù)和信息的電子計(jì)算設(shè)備��。如該文獻(xiàn)中所使用的���,術(shù)語(yǔ)"計(jì)算機(jī)"��、"處理器"�����、 "處理器設(shè)備"或"處理設(shè)備"意在涵蓋任何適當(dāng)?shù)奶幚碓O(shè)備��。例如,顯示為計(jì)算環(huán)境100內(nèi) 的單個(gè)設(shè)備的元件可以利用多個(gè)設(shè)備來(lái)實(shí)現(xiàn),諸如包括多個(gè)服務(wù)器計(jì)算機(jī)的服務(wù)器池��。此 夕卜����,任意的、所有的或一些計(jì)算設(shè)備可適于執(zhí)行任何操作系統(tǒng)��,包括Linux�����、UNIX��、Microsoft Windows�、Apple 0S、Apple iOS����、Google AndroicUWindows Server 等,以及適于將特定操作 系統(tǒng)的虛擬化執(zhí)行的虛擬機(jī)��,操作系統(tǒng)包括定制和專有的操作系統(tǒng)�。
[0024] 此外,服務(wù)器��、客戶端、網(wǎng)絡(luò)元件���、系統(tǒng)和計(jì)算設(shè)備(例如�,105�、120、125�����、130�����、135��、 140���、145�����、150����、155、160�����、165����、195等)可以各自包括一個(gè)或多個(gè)處理器���、計(jì)算機(jī)可讀存儲(chǔ)器 以及一個(gè)或多個(gè)接口�����,等其他特征和硬件��。服務(wù)器可以包括任何適合的軟件部件或模塊����,或 能夠掌管和/或服務(wù)軟件應(yīng)用和服務(wù)的計(jì)算設(shè)備(例如����,資產(chǎn)管理系統(tǒng)105、服務(wù)器(例如����, 135�、145����、155、160���、165)的服務(wù)和應(yīng)用(例如�,172�、175、178�����、180���、182))����,包括分布式的��、企 業(yè)的或基于云的軟件應(yīng)用����、數(shù)據(jù)和服務(wù)����。例如����,服務(wù)器可配置為掌管�、服務(wù)或以其他方式管 理模型和數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)集���、軟件服務(wù)和與其他服務(wù)和設(shè)備接口�����、配合或者依賴于其他服務(wù) 和設(shè)備或者由其他服務(wù)和設(shè)備使用的應(yīng)用����。在一些實(shí)例中�����,服務(wù)器�����、系統(tǒng)、子系統(tǒng)����、或計(jì)算設(shè) 備可以實(shí)現(xiàn)為能夠寄存在共同的計(jì)算系統(tǒng)、服務(wù)器�、服務(wù)器池、或云計(jì)算環(huán)境上且共享包括 共享存儲(chǔ)器��、處理器和接口的計(jì)算資源的設(shè)備的某種組合��。
[0025] 用戶����、端點(diǎn)或客戶端計(jì)算設(shè)備(例如,120����、125、140�、150、195)可以包括傳統(tǒng)的和 移動(dòng)的計(jì)算設(shè)備�����,包括個(gè)人計(jì)算機(jī)、膝上型計(jì)算機(jī)���、平板式計(jì)算機(jī)��、智能手機(jī)����、個(gè)人數(shù)字助 理��、特征電話���、手持式視頻游戲平臺(tái)、臺(tái)式計(jì)算機(jī)�、支持互聯(lián)網(wǎng)電視以及設(shè)計(jì)成與人類用戶 接口且能夠通過(guò)一個(gè)或多個(gè)網(wǎng)絡(luò)(例如,110U15)與其他設(shè)備通信的其他設(shè)備�����。用戶計(jì)算 設(shè)備以及計(jì)算設(shè)備(例如���,105����、120、125�、130、135�、140、145��、150���、155����、160��、165��、195 等)的屬 性通常會(huì)從一個(gè)設(shè)備到另一設(shè)備大幅變化�����,包括相應(yīng)的操作系統(tǒng)以及裝載到��、安裝到�����、執(zhí)行 于、操作于或以其他方式訪問(wèn)各設(shè)備的軟件程序集合�����。例如�,計(jì)算設(shè)備能夠運(yùn)行、執(zhí)行��、安裝 或以其他方式包括各程序集合�,包括操作系統(tǒng)、應(yīng)用����、插件、小應(yīng)用程序����、虛擬機(jī)���、機(jī)器圖像����、 驅(qū)動(dòng)器、可執(zhí)行文件和其他能夠由相應(yīng)設(shè)備運(yùn)行�、執(zhí)行或以其他方式使用的基于軟件的程 序的各種組合。
[0026] 一些計(jì)算設(shè)備(例如�����,120�、125、140���、150���、195)可以進(jìn)一步包括至少一個(gè)圖形顯示 設(shè)備以及允許用戶查看且與系統(tǒng)100中提供的應(yīng)用和其他程序的圖形用戶接口交互的用 戶接口,包括與寄存在計(jì)算設(shè)備內(nèi)的應(yīng)用交互的用戶接口和程序的圖形表示��,以及與資產(chǎn) 管理系統(tǒng)105相關(guān)聯(lián)的圖形用戶接口���。而且�,雖然可以根據(jù)一個(gè)用戶使用來(lái)描述用戶計(jì)算 設(shè)備(例如����,120、125�、140��、150�����、195)���,但是本公開構(gòu)思的是許多用戶可以使用一臺(tái)計(jì)算機(jī) 或者一個(gè)用戶可以使用多臺(tái)計(jì)算機(jī)。
[0027] 雖然圖1描述為包含多個(gè)要素或者與多個(gè)要素相關(guān)聯(lián)�����,大門在本公開的各可選實(shí) 現(xiàn)中可以不使用圖1的計(jì)算環(huán)境100內(nèi)圖示的所有要素����。另外,結(jié)合圖1的示例所描述的 要素中的一個(gè)或多個(gè)可以位于計(jì)算環(huán)境100之外�,而在其他實(shí)例中,一些要素可以包含在 其他所述要素以及在圖示實(shí)現(xiàn)中未描述的其他要素中的一個(gè)或多個(gè)要素內(nèi)或者作為其中 一部分��。此外��,圖1所示的一些要素可以與其他部件組合����,以及用于除了本文所描述的那些 用途之外的可選的或額外的用途。
[0028] 圖2是圖示出示例系統(tǒng)的簡(jiǎn)化框圖200,該系統(tǒng)包括示例的資產(chǎn)管理系統(tǒng)205,資 產(chǎn)管理系統(tǒng)205與布置在一個(gè)或多個(gè)網(wǎng)絡(luò)(例如����,215)中且任務(wù)為發(fā)現(xiàn)網(wǎng)絡(luò)215內(nèi)的計(jì)算 設(shè)備(例如,分類為"系統(tǒng)型系統(tǒng)實(shí)體(例如�,220、225�����、230�、235、240)以及所發(fā)現(xiàn)設(shè)備的 地址和屬性的一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎(例如�,210)配合地操作。依次地����,該信息隨后可由 資產(chǎn)管理系統(tǒng)205使用來(lái)發(fā)現(xiàn)計(jì)算設(shè)備的另外的屬性以及發(fā)現(xiàn)計(jì)算環(huán)境的其他類型的系 統(tǒng)實(shí)體,諸如使用計(jì)算環(huán)境的人以及利用計(jì)算環(huán)境中的設(shè)備來(lái)服務(wù)的應(yīng)用��。此外��,利用該信 息�,資產(chǎn)管理系統(tǒng)205能夠?qū)ψR(shí)別的系統(tǒng)實(shí)體進(jìn)行分組以及利用這些群組,以及對(duì)于個(gè)體 系統(tǒng)實(shí)體所確定的其他屬性�����,來(lái)識(shí)別和關(guān)聯(lián)實(shí)體的相關(guān)安全策略。此外���,布置成遠(yuǎn)離各計(jì)算 設(shè)備(例如�,220���、225��、230���、235、240)的安全工具(例如�,安全工具242)或者位于各計(jì)算設(shè) 備(例如,220����、225、230���、235�����、240)本地的安全工具(例如�����,代理程序244)能夠用于對(duì)系統(tǒng) 實(shí)體(例如����,網(wǎng)絡(luò)�、系統(tǒng)、應(yīng)用和人實(shí)體)實(shí)施安全策略��。
[0029] 示例的資產(chǎn)管理系統(tǒng)205可以包括一個(gè)或多個(gè)處理器設(shè)備245以及存儲(chǔ)器元件 248,其用于執(zhí)行在一些實(shí)現(xiàn)中包括在資產(chǎn)管理系統(tǒng)205的一個(gè)或多個(gè)部件中的功能�。例 如,在資產(chǎn)管理系統(tǒng)205的一個(gè)示例實(shí)現(xiàn)中��,可以提供資產(chǎn)倉(cāng)庫(kù)管理器255�、策略管理器260 和實(shí)施協(xié)調(diào)器265。例如��,資產(chǎn)倉(cāng)庫(kù)管理器255可以包括用于構(gòu)建和維護(hù)資產(chǎn)倉(cāng)庫(kù)250的功 能�,所述資產(chǎn)倉(cāng)庫(kù)250包括描述利用例如一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎210在計(jì)算環(huán)境內(nèi)發(fā)現(xiàn) 的系統(tǒng)實(shí)體的記錄。資產(chǎn)倉(cāng)庫(kù)管理器255可以包括檢測(cè)引擎接口 256,其能夠允許資產(chǎn)倉(cāng)庫(kù) 管理器255與布置在計(jì)算環(huán)境內(nèi)的資產(chǎn)檢測(cè)引擎210接口����,并且從識(shí)別計(jì)算環(huán)境內(nèi)新發(fā)現(xiàn) 的系統(tǒng)實(shí)體以及針對(duì)這些系統(tǒng)實(shí)體所檢測(cè)到的屬性(諸如地址數(shù)據(jù)和其他信息)的資產(chǎn)檢 測(cè)引擎獲得結(jié)果�����。與系統(tǒng)實(shí)體屬性的發(fā)現(xiàn)相結(jié)合�,資產(chǎn)管理系統(tǒng)205還可以使用其他設(shè)備 和服務(wù)����,諸如適于接收來(lái)自資產(chǎn)管理系統(tǒng)205的掃描腳本且執(zhí)行所發(fā)現(xiàn)系統(tǒng)實(shí)體的更專門 的掃描(例如,識(shí)別應(yīng)用�����、計(jì)算設(shè)備220�、225、230和應(yīng)用的用戶���,等等)的各掃描引擎290��。 此外���,資產(chǎn)倉(cāng)庫(kù)管理器255可以額外地包括加標(biāo)簽引擎258,其適于將標(biāo)簽或分類分配給資 產(chǎn)倉(cāng)庫(kù)內(nèi)所發(fā)現(xiàn)的系統(tǒng)實(shí)體,從而擴(kuò)展和修改超越了在資產(chǎn)倉(cāng)庫(kù)的缺省或原始組織方案中 限定的缺省關(guān)系的系統(tǒng)實(shí)體之間的關(guān)系類型�����。
[0030] 轉(zhuǎn)到圖3,示出了表示分級(jí)組織的資產(chǎn)倉(cāng)庫(kù)的框圖300。在一些實(shí)現(xiàn)中��,諸如圖3的 示例��,資產(chǎn)倉(cāng)庫(kù)(例如����,250)可以以至少近似地對(duì)應(yīng)于既定計(jì)算環(huán)境內(nèi)的系統(tǒng)實(shí)體的物理 實(shí)現(xiàn)的層級(jí)來(lái)組織����。分級(jí)資產(chǎn)倉(cāng)庫(kù)能夠用于定義計(jì)算環(huán)境內(nèi)的系統(tǒng)實(shí)體之間的至少一些關(guān) 系。例如��,網(wǎng)絡(luò)(例如����,網(wǎng)絡(luò)型系統(tǒng)實(shí)體)能夠包含多個(gè)計(jì)算設(shè)備和分類為系統(tǒng)型實(shí)體(或 "系統(tǒng)")的網(wǎng)絡(luò)元件。在一些示例中�,網(wǎng)絡(luò)及其子系統(tǒng)之間的關(guān)系可以是多對(duì)多(一些系 統(tǒng)在多個(gè)網(wǎng)絡(luò)之間遷移,并且網(wǎng)絡(luò)通常包括多個(gè)構(gòu)成系統(tǒng))����。此外,系統(tǒng)設(shè)備可視為包含分 類為"應(yīng)用"的軟件程序。而且����,系統(tǒng)設(shè)備和應(yīng)用之間的關(guān)系可以是多對(duì)多。此外����,在計(jì)算 環(huán)境內(nèi)識(shí)別的人可以視為示例的資產(chǎn)倉(cāng)庫(kù)的分級(jí)背景內(nèi)的系統(tǒng)和/或應(yīng)用的"孩子"。
[0031] 作為示例性的說(shuō)明����,框圖300示出了用于簡(jiǎn)化計(jì)算環(huán)境的分級(jí)資產(chǎn)倉(cāng)庫(kù)的表示, 該簡(jiǎn)化計(jì)算環(huán)境包括多個(gè)網(wǎng)絡(luò)(例如���,Nl��、N2)���、多個(gè)系統(tǒng)計(jì)算設(shè)備(例如,SI���、S2�����、S3����、S4、 S5)���、多個(gè)應(yīng)用軟件程序�、數(shù)據(jù)結(jié)構(gòu)���,和服務(wù)(例如,A1����、A2、A3��、A4����、A5、A6�、A7、A8)�,以及多個(gè) 人(例如���,PI、P2�、P3、P4��、P5�����、P6�、P7、P8���、P9)�����。如該特定示例環(huán)境中所圖示的��,系統(tǒng)可以屬 于一個(gè)或多個(gè)網(wǎng)絡(luò)(例如���,系統(tǒng)S3屬于兩個(gè)網(wǎng)絡(luò)N1和N2),應(yīng)用可以屬于一個(gè)或多個(gè)系統(tǒng) 計(jì)算設(shè)備、由一個(gè)或多個(gè)系統(tǒng)計(jì)算設(shè)備掌管或服務(wù)或其他方式結(jié)合一個(gè)或多個(gè)系統(tǒng)計(jì)算設(shè) 備來(lái)提供(例如��,應(yīng)用A1由系統(tǒng)S1掌管),并且人可以與計(jì)算環(huán)境內(nèi)的一個(gè)或多個(gè)系統(tǒng)計(jì) 算設(shè)備和/或特定應(yīng)用相關(guān)聯(lián)(例如�,人P7與系統(tǒng)S3和應(yīng)用A5相關(guān)聯(lián),人P9與系統(tǒng)S4 和S5相關(guān)聯(lián)����,等等),還可以有其他示例����。
[0032] 對(duì)于資產(chǎn)倉(cāng)庫(kù)而言,可以采用各種其他組織方案來(lái)識(shí)別系統(tǒng)實(shí)體當(dāng)中的關(guān)系的基 本集合����。例如���,其他分級(jí)資產(chǎn)倉(cāng)庫(kù)能夠?qū)τ?jì)算環(huán)境的系統(tǒng)實(shí)體進(jìn)行分類以定義除了網(wǎng)絡(luò): 系統(tǒng):應(yīng)用之外的其他相依性和層級(jí)等����。例如�,可以維護(hù)按地理分層級(jí)地組織系統(tǒng)實(shí)體 的資產(chǎn)倉(cāng)庫(kù)。例如����,在許多其他可能的例子中�����,單個(gè)系統(tǒng)實(shí)體(或"資產(chǎn)")可以限定為在 Belfast的特定辦公室內(nèi)�����,其與包含在企業(yè)的西歐區(qū)域內(nèi)的愛(ài)爾蘭內(nèi)的企業(yè)操作分級(jí)相關(guān)�, 等等�����。
[0033] 雖然資產(chǎn)倉(cāng)庫(kù)能夠用來(lái)初始地將一組系統(tǒng)實(shí)體組織成一些例如至少部分地定義 在實(shí)體之間的已知關(guān)系上的邏輯布置(例如�,系統(tǒng)包含在網(wǎng)絡(luò)中,等)�����,還可以根據(jù)在資產(chǎn) 倉(cāng)庫(kù)本身的結(jié)構(gòu)中建模的關(guān)系和實(shí)體屬性來(lái)為系統(tǒng)實(shí)體定義更細(xì)微的�����、動(dòng)態(tài)的和不太傳統(tǒng) 的群組�����。在一些示例中,這能夠通過(guò)加標(biāo)簽或分類來(lái)實(shí)現(xiàn)�����。這些標(biāo)簽���、分類�����、類別等(本文 統(tǒng)稱為"標(biāo)簽")可以是客戶定義的����,允許對(duì)系統(tǒng)實(shí)體進(jìn)行用戶或企業(yè)特定的分組���。這樣��,可 以為其相應(yīng)計(jì)算環(huán)境內(nèi)的系統(tǒng)實(shí)體目錄中的多個(gè)企業(yè)和組織提供可再利用資產(chǎn)倉(cāng)庫(kù)模板 或系統(tǒng)。加標(biāo)簽可以額外地允許企業(yè)來(lái)定義系統(tǒng)實(shí)體之間的額外關(guān)系����。不僅如此,標(biāo)簽還 能夠捕獲在資產(chǎn)倉(cāng)庫(kù)的缺省組織或結(jié)構(gòu)中定義的關(guān)系之外的特定系統(tǒng)實(shí)體之間的更加標(biāo) 準(zhǔn)化的���、交替的關(guān)系和共同特性�。作為示例,標(biāo)簽?zāi)軌驊?yīng)用于具有特定操作系統(tǒng)的特定版本 的所有系統(tǒng)設(shè)備���。在另一示例中�����,標(biāo)簽?zāi)軌蚍峙浣o被識(shí)別為"重要"或在一個(gè)或多個(gè)安全背 景下特別重要或感興趣的計(jì)算設(shè)備子集(或網(wǎng)絡(luò)�����、或應(yīng)用或上述全部)中的每一個(gè)��?���?梢愿?據(jù)與其相關(guān)聯(lián)的地理位置對(duì)系統(tǒng)和/或人加標(biāo)簽�����?���?梢愿鶕?jù)設(shè)備類型�����、制造商�、年限���、使用 率以及其他設(shè)備相關(guān)屬性來(lái)對(duì)系統(tǒng)加標(biāo)簽�����?�?梢愿鶕?jù)類型(例如���,數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)���、網(wǎng)絡(luò)服務(wù)����、 內(nèi)部的�����、公共的���、私有的等)����、能力����、用戶數(shù)量和其他應(yīng)用相關(guān)屬性對(duì)應(yīng)用加標(biāo)簽。類似地���,可 以根據(jù)諸如計(jì)算環(huán)境或組織內(nèi)的角色����、許可級(jí)�����、保有期�����、人口統(tǒng)計(jì)學(xué)等用戶相關(guān)屬性對(duì)網(wǎng)絡(luò) 加標(biāo)簽以及對(duì)人加標(biāo)簽。
[0034] 圖3的示例圖示說(shuō)明了(預(yù)先存在的)資產(chǎn)倉(cāng)庫(kù)內(nèi)的各個(gè)系統(tǒng)實(shí)體的加標(biāo)簽��。例 如����,標(biāo)簽A (305)已應(yīng)用于網(wǎng)絡(luò)N1和N2,而標(biāo)簽B (310)已應(yīng)用于網(wǎng)絡(luò)N1。一旦系統(tǒng)實(shí)體已 經(jīng)被發(fā)現(xiàn)或以其他方式被識(shí)別或包含在資產(chǎn)倉(cāng)庫(kù)內(nèi)�,加標(biāo)簽就會(huì)發(fā)生。在一些實(shí)例中����,對(duì)系 統(tǒng)實(shí)體加標(biāo)簽可以與資產(chǎn)倉(cāng)庫(kù)內(nèi)系統(tǒng)實(shí)體的發(fā)現(xiàn)和記錄基本同時(shí)發(fā)生。系統(tǒng)實(shí)體的加標(biāo)簽 可以手動(dòng)進(jìn)行����,管理員用戶識(shí)別或創(chuàng)建標(biāo)簽并且將它們與特定實(shí)體相關(guān)聯(lián)。系統(tǒng)實(shí)體的加 標(biāo)簽還可以至少部分地自動(dòng)化進(jìn)行��。例如��,標(biāo)簽可以根據(jù)標(biāo)簽的規(guī)則集而自動(dòng)地應(yīng)用于系 統(tǒng)實(shí)體���。例如�����,可以定義規(guī)則(例如�,通過(guò)用戶)以將標(biāo)簽自動(dòng)地應(yīng)用于被檢測(cè)為擁有一個(gè) 或多個(gè)特定屬性的任何系統(tǒng)實(shí)體�����,屬性包括利用資產(chǎn)檢測(cè)引擎��、掃描引擎和資產(chǎn)管理系統(tǒng) (例如�,205)使用的其他基于軟件(硬件)的工具所發(fā)現(xiàn)的屬性。確定新的��、之前未發(fā)現(xiàn)的�、 或已經(jīng)發(fā)現(xiàn)的系統(tǒng)實(shí)體擁有這些屬性會(huì)使得標(biāo)簽應(yīng)用于該系統(tǒng)實(shí)體。
[0035] 共享特定標(biāo)簽的系統(tǒng)實(shí)體可分組成對(duì)應(yīng)一組系統(tǒng)實(shí)體��。例如��,應(yīng)用A4����、A6和A7可 以均加有分配給作為計(jì)算環(huán)境內(nèi)的數(shù)據(jù)庫(kù)的應(yīng)用型系統(tǒng)實(shí)體的標(biāo)簽K。結(jié)果是���,可以根據(jù)標(biāo) 簽來(lái)方便地識(shí)別計(jì)算環(huán)境內(nèi)的數(shù)據(jù)庫(kù)�,并且數(shù)據(jù)庫(kù)特定的安全策略、掃描和策略實(shí)施技術(shù) 可以專門地應(yīng)用于加有標(biāo)簽K(作為示例)的系統(tǒng)實(shí)體��。
[0036] 可以提供各種安全策略以應(yīng)用于計(jì)算環(huán)境內(nèi)的系統(tǒng)實(shí)體���。例如�,安全策略可以規(guī) 定在特定網(wǎng)絡(luò)內(nèi)由特定設(shè)備����、特定用戶或應(yīng)用所能夠訪問(wèn)的網(wǎng)站、文件和其他數(shù)據(jù)����。安全策 略可以指定誰(shuí)能夠訪問(wèn)特定的文件和數(shù)據(jù),它們能夠?qū)υ摂?shù)據(jù)進(jìn)行何種操作(例如����,保存 到外部介質(zhì)、修改����、發(fā)電子郵件、發(fā)送等)���。另外的安全策略可以規(guī)定在一些事務(wù)期間加密 的級(jí)別和類型、用于一些設(shè)備、應(yīng)用和網(wǎng)絡(luò)的密碼的長(zhǎng)度和類型�,以及其他最小安全參數(shù)���, 這僅是一些例子���。另外�����,在一些示例中���,安全策略可涉及安全遵守規(guī)則�,諸如政府和管理主 體、標(biāo)準(zhǔn)設(shè)定組織設(shè)定的遵守標(biāo)準(zhǔn)�、行業(yè)標(biāo)準(zhǔn)和其他規(guī)則�����,這是一些例子��。一些策略可以是 網(wǎng)絡(luò)�����、用戶��、應(yīng)用或設(shè)備所特定的�。一些策略可以僅與擁有某些特性的系統(tǒng)實(shí)體相關(guān),諸如 它們應(yīng)在何處����、何時(shí)以及由誰(shuí)來(lái)使用,它們的能力���,等等����。因此���,利用資產(chǎn)檢測(cè)引擎和掃描引 擎發(fā)現(xiàn)的系統(tǒng)實(shí)體的屬性能夠用于將特定安全策略自動(dòng)分配給特定的系統(tǒng)實(shí)體��。
[0037] 返回到圖2的討論����,資產(chǎn)管理系統(tǒng)205可以進(jìn)一步包括策略管理器260,其能夠用 于定義安全策略且將安全策略應(yīng)用于在資產(chǎn)倉(cāng)庫(kù)250中識(shí)別和分類的系統(tǒng)實(shí)體�����。在一些不 例中��,策略管理器260可以包括策略分配引擎264和策略實(shí)施引擎265?��?梢岳貌呗怨芾?器260來(lái)維護(hù)和構(gòu)建安全策略262的庫(kù)��。在一些實(shí)現(xiàn)中�,安全策略262可以包括標(biāo)準(zhǔn)安全 策略(例如�,在計(jì)算環(huán)境內(nèi)通用),以及環(huán)境特定的安全策略�����。事實(shí)上���,在一些示例中���,策略 管理器260可以包括允許管理員用戶來(lái)定義和生成其相應(yīng)計(jì)算環(huán)境的新的����、定制的安全策 略的功能。此外�����,策略分配引擎264能夠用于創(chuàng)建和維護(hù)各策略(例如,262)和在計(jì)算環(huán)境 內(nèi)(即�,資產(chǎn)倉(cāng)庫(kù)250內(nèi))所識(shí)別的安全實(shí)體之間的關(guān)聯(lián)。此外�����,可以提供實(shí)施引擎265,定 義在計(jì)算環(huán)境內(nèi)如何實(shí)施特定的安全策略����。
[0038] 在一些示例中,策略實(shí)施引擎265能夠用于與布置在計(jì)算環(huán)境內(nèi)的各種安全工具 (例如��,242,244)接口���。安全工具可以遠(yuǎn)離系統(tǒng)實(shí)體(諸如系統(tǒng)型實(shí)體220���、225、230�����、235����、 240)布置�,允許遠(yuǎn)離且代表目標(biāo)設(shè)備��、應(yīng)用或人而發(fā)生策略實(shí)施����,從而允許在不將策略(或 實(shí)施)推送至目標(biāo)本身的情況下進(jìn)行安全實(shí)施。這在例如移動(dòng)到監(jiān)控網(wǎng)絡(luò)上和移動(dòng)離開監(jiān) 控網(wǎng)絡(luò)的移動(dòng)設(shè)備以及不受管理的設(shè)備(諸如不包括代理程序或其他能夠?qū)嵤┲匾踩?策略的本地安全工具的設(shè)備)的安全實(shí)施中是有用的��。這些安全工具242可以包括例如防 火墻�����、網(wǎng)關(guān)����、郵件網(wǎng)關(guān)、主機(jī)侵入防護(hù)(HIP)工具��、網(wǎng)絡(luò)侵入防護(hù)(NIP)工具����、防惡意軟件工 具���、防數(shù)據(jù)丟失(DLP)工具��、系統(tǒng)脆弱性管理器����、系統(tǒng)策略遵守管理器、資產(chǎn)重要性工具��、侵 入檢測(cè)系統(tǒng)(IDS)��、侵入防護(hù)系統(tǒng)(IPS)和/或安全信息管理(SM)工具����,等其它示例。此 夕卜�����,實(shí)施引擎265可以進(jìn)一步支持基于利用傳感器280��、285���、掃描引擎290等識(shí)別的目標(biāo)的 屬性���,與計(jì)算環(huán)境的安全管理相結(jié)合,將補(bǔ)丁��、更新和其他數(shù)據(jù)推送到目標(biāo)系統(tǒng)實(shí)體。另外���, 還可以通過(guò)例如運(yùn)行于��、裝載到或直接接口目標(biāo)設(shè)備的且為資產(chǎn)管理系統(tǒng)205提供(例如�����, 通過(guò)實(shí)施引擎265)用于在目標(biāo)設(shè)備處直接實(shí)施策略的接口的代理或其他工具(例如���,244) 來(lái)執(zhí)行本地安全實(shí)施。
[0039] 每個(gè)系統(tǒng)實(shí)體可以具有對(duì)其是原子的基本特性�。例如,對(duì)于系統(tǒng)型系統(tǒng)實(shí)體���,這些 特性或?qū)傩钥梢园ㄒ粋€(gè)IP地址(或多個(gè)IP地址)��、對(duì)應(yīng)的介質(zhì)訪問(wèn)控制(MAC)地址�、全 限定域名(FQDN)�����、操作系統(tǒng)等���。獲知這些特性可以是進(jìn)行有效風(fēng)險(xiǎn)分析和安全實(shí)施發(fā)生的 前提條件��。聚集實(shí)體屬性可以涉及到各種技術(shù)�。例如��,代理可以布置在能夠從系統(tǒng)實(shí)體直 接收獲實(shí)體屬性的網(wǎng)絡(luò)����、系統(tǒng)和應(yīng)用中。雖然精確且方便�,但是不是所有的系統(tǒng)實(shí)體都"被 管理",因?yàn)樗鼈兙哂写恚ɑ蛘吣軌蚓哂写恚?����。系統(tǒng)實(shí)體屬性還可以或者通過(guò)對(duì)每個(gè)系 統(tǒng)實(shí)體進(jìn)行遠(yuǎn)程評(píng)估來(lái)通過(guò)網(wǎng)絡(luò)采集��。雖然可以使用任一種方法�����,或者組合使用兩種方法���, 但是應(yīng)當(dāng)首先建立系統(tǒng)實(shí)體(特別是系統(tǒng)型實(shí)體)的存在���。
[0040] 當(dāng)系統(tǒng)實(shí)體加入網(wǎng)絡(luò)時(shí)�����,保護(hù)和監(jiān)管網(wǎng)絡(luò)的安全進(jìn)程應(yīng)當(dāng)盡可能快地得知其存 在���。在受管理的環(huán)境中,這極其容易適應(yīng)���,因?yàn)槊總€(gè)實(shí)體上的代理(例如���,244)能夠直接通 知資產(chǎn)管理系統(tǒng)205。然而���,在不受管理資產(chǎn)的情況下��,通過(guò)可用于資產(chǎn)管理系統(tǒng)205且與 資產(chǎn)管理系統(tǒng)205通信的發(fā)現(xiàn)進(jìn)程來(lái)促進(jìn)環(huán)境內(nèi)系統(tǒng)實(shí)體的發(fā)現(xiàn)����。
[0041] 資產(chǎn)檢測(cè)引擎(例如�,210)和其他網(wǎng)絡(luò)發(fā)現(xiàn)工具可以包括一組技術(shù),其允許確定 網(wǎng)絡(luò)上資產(chǎn)的存在。這些工具的示例是ping掃描儀�����、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)控器��、地 址解析協(xié)議(ARP)高速緩存承包者等�。這些工具可以包括主動(dòng)或被動(dòng)工具�,其主動(dòng)地或被 動(dòng)地監(jiān)控環(huán)境以搜索新資產(chǎn)。一旦新資產(chǎn)被識(shí)別出�����,工具可以通知資產(chǎn)管理系統(tǒng)205,允許 開始(或繼續(xù))進(jìn)一步的資產(chǎn)屬性識(shí)別進(jìn)程����。
[0042] 在傳統(tǒng)的計(jì)算環(huán)境中,包括采用IPv4尋址的環(huán)境��,資產(chǎn)識(shí)別可以包括與所管理設(shè) 備的代理通信以確定設(shè)備的原子特性��。另外地�,或者可選地,可以對(duì)每個(gè)可能的IP地址進(jìn) 行ping以根據(jù)ping的響應(yīng)而識(shí)別其他可能(例如�,未受管理的)資產(chǎn)及其屬性。作為響 應(yīng)�����,可以將所識(shí)別的可能資產(chǎn)的原子特性與已經(jīng)記載在資產(chǎn)倉(cāng)庫(kù)(例如,250)中的實(shí)體的 屬性進(jìn)行比較�����,以試圖將它們與系統(tǒng)中現(xiàn)有的資產(chǎn)進(jìn)行匹配��,或者將它們作為新系統(tǒng)添加 到資產(chǎn)倉(cāng)庫(kù)(例如�����,250)中���。
[0043] 為試圖確保防止未受管理的設(shè)備不經(jīng)過(guò)檢測(cè)和保險(xiǎn)��,可以使用強(qiáng)力地址ping掃 描����。然而�����,在一些實(shí)例中,ping掃描會(huì)遭遇到一些設(shè)備丟失的問(wèn)題���,諸如具有暫時(shí)網(wǎng)絡(luò)連接 或改變地址的設(shè)備��。此外��,在采用IPv6尋址的計(jì)算環(huán)境中���,ping掃描或地址掃描是用于發(fā) 現(xiàn)計(jì)算環(huán)境中的未受管理設(shè)備的不切實(shí)際的解決方案����。
[0044] 在圖2的示例和本公開其他地方所描述的系統(tǒng)的實(shí)現(xiàn)解決了傳統(tǒng)系統(tǒng)的上述缺 點(diǎn)以及其他缺點(diǎn)。例如����,資產(chǎn)檢測(cè)引擎210可以是網(wǎng)絡(luò)連接設(shè)備或布置為這樣的軟件系統(tǒng): 其利用包括可用于資產(chǎn)檢測(cè)引擎210的被動(dòng)發(fā)現(xiàn)技術(shù)的多種發(fā)現(xiàn)技術(shù)中的一種或多種來(lái) 自動(dòng)發(fā)現(xiàn)活動(dòng)網(wǎng)絡(luò)設(shè)備,且隨后在一些情況下根據(jù)定義的順序觸發(fā)附加活動(dòng)(例如�����,使用 資產(chǎn)管理系統(tǒng)205)��。這些附加活動(dòng)可以包括例如面向網(wǎng)絡(luò)服務(wù)的盤存���,評(píng)估系統(tǒng)脆弱性���,盤 存安裝的軟件�,應(yīng)用軟件補(bǔ)丁����,安全新軟件,等等�。
[0045] 在一些實(shí)例中,一個(gè)或多個(gè)資產(chǎn)檢測(cè)引擎(例如���,210)可以擁有被動(dòng)地監(jiān)控網(wǎng)絡(luò) 的各活動(dòng)的功能����,各活動(dòng)包括一個(gè)或多個(gè)設(shè)備地址的傳送或識(shí)別����。識(shí)別出的地址隨后可以 從監(jiān)控信息中提取出,并進(jìn)一步用于連通測(cè)試����、探測(cè),以及以其他方式與所識(shí)別地址處的設(shè) 備通信以識(shí)別設(shè)備是否記錄在資產(chǎn)倉(cāng)庫(kù)250內(nèi)以及發(fā)現(xiàn)設(shè)備的附加屬性�����。此外����,設(shè)備(即, 系統(tǒng)型實(shí)體)的檢測(cè)會(huì)導(dǎo)致檢測(cè)其他實(shí)體類型,包括應(yīng)用型實(shí)體和人型實(shí)體。應(yīng)用型實(shí)體 和人型實(shí)體還可以獨(dú)立于系統(tǒng)型實(shí)體的檢測(cè)來(lái)進(jìn)行檢測(cè)���,例如�,通過(guò)嗅探網(wǎng)絡(luò)業(yè)務(wù)和其他 技術(shù)�����。例如�,能夠通過(guò)利用資產(chǎn)檢測(cè)引擎210監(jiān)控的業(yè)務(wù)來(lái)檢測(cè)網(wǎng)絡(luò)服務(wù)器�、數(shù)據(jù)庫(kù)�����、聊天 客戶端���、媒體客戶端���、媒體播放器等。
[0046] 在一些實(shí)現(xiàn)中���,示例的資產(chǎn)檢測(cè)引擎210可以包括一個(gè)或多個(gè)處理器272和一個(gè) 或多個(gè)存儲(chǔ)器元件274,并且布置在網(wǎng)絡(luò)內(nèi)以執(zhí)行與檢測(cè)網(wǎng)絡(luò)內(nèi)的設(shè)備和設(shè)備地址相關(guān)聯(lián) 的多個(gè)不同的發(fā)現(xiàn)任務(wù)���。在一些實(shí)現(xiàn)中,示例的資產(chǎn)檢測(cè)引擎210可以至少部分地布置為 串聯(lián)(例如�,在交換機(jī)或路由器處)、并聯(lián)(例如���,離開路由器span端口)而插入網(wǎng)絡(luò)的硬 件設(shè)備�����,或至少部分地布置為能夠遍布子網(wǎng)絡(luò)布置的軟件,諸如在網(wǎng)絡(luò)內(nèi)特定或任意的主 機(jī)上��、在諸如網(wǎng)絡(luò)DHCP服務(wù)器的專用主機(jī)上���,或在其他部署中�����。資產(chǎn)檢測(cè)引擎210可以包 括多個(gè)可插傳感器部件(例如�,280、285)���,其能夠根據(jù)葉片狀體系結(jié)構(gòu)來(lái)配置����,因?yàn)榭梢砸?照例如網(wǎng)絡(luò)內(nèi)可用或優(yōu)選的特征和工具來(lái)添加新傳感器或者從可再利用資產(chǎn)檢測(cè)傳感器 框架275中移除����。以此方式,因?yàn)殚_發(fā)新傳感器或者使得新傳感器可用�����,可以將新傳感器添 加到傳感器框架275中以增補(bǔ)(或取代)通過(guò)資產(chǎn)檢測(cè)引擎210的傳感器框架275部署的 其他傳感器技術(shù)�。
[0047] 在一些實(shí)現(xiàn)中,傳感器框架275能夠提供主動(dòng)傳感器280和被動(dòng)傳感器285的組 合����。主動(dòng)傳感器280可以包括涉及直接發(fā)送業(yè)務(wù)到網(wǎng)絡(luò)中的設(shè)備和地址以及測(cè)試對(duì)業(yè)務(wù)的 響應(yīng)的傳感器。這些主動(dòng)傳感器可以包括基于硬件和/或基于軟件的傳感器部件����,其功能 適于執(zhí)行多播查詢�����、ping掃描和其他不例�。另一方面�����,被動(dòng)傳感器285可以包括這樣的傳感 器部件����,其功能為試圖獲得不與設(shè)備通信的網(wǎng)絡(luò)或?qū)?yīng)于地址本身的網(wǎng)絡(luò)內(nèi)的地址信息以 及識(shí)別不與設(shè)備通信的網(wǎng)絡(luò)或?qū)?yīng)于地址本身的網(wǎng)絡(luò)內(nèi)的設(shè)備。被動(dòng)傳感器285可以包括 被動(dòng)發(fā)現(xiàn)型傳感器���、基于事件的發(fā)現(xiàn)型傳感器和間接發(fā)現(xiàn)型傳感器����。傳感器框架275可以 包括一種或多種類型的主動(dòng)傳感器和被動(dòng)傳感器285�����。事實(shí)上����,在一些實(shí)現(xiàn)中,相同類型的 多個(gè)傳感器可以設(shè)置在單個(gè)傳感器框架葉片(例如����,275)上。例如���,示例的傳感器框架可以 包括一個(gè)或多個(gè)主動(dòng)傳感器����、兩個(gè)間接發(fā)現(xiàn)型被動(dòng)傳感器��、基于事件的發(fā)現(xiàn)型傳感器等��。最 小或優(yōu)化的傳感器集合可以依賴于利用資產(chǎn)發(fā)現(xiàn)引擎210監(jiān)控或掃描的網(wǎng)絡(luò)的特定特性���, 但是��,一般地��,在傳感器框架275內(nèi)所包含和使用的傳感器的種類越廣�,覆蓋率和資產(chǎn)發(fā)現(xiàn) 結(jié)果越全面��。
[0048] 在一些實(shí)例中,主動(dòng)傳感器280可以包括適于發(fā)現(xiàn)使用IP多播的網(wǎng)絡(luò)內(nèi)的設(shè)備�, IP多播包括IPv6多播。在IP網(wǎng)絡(luò)背景下���,多播尋址是用于一對(duì)多通信的技術(shù)���,其中將消息 發(fā)送到一組目的地系統(tǒng),同時(shí)使得路由器創(chuàng)建那些分組的副本以進(jìn)行最佳分布�。示例的用 于發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備的IPv6的多播查詢可以包括使用鏈路本地范圍全節(jié)點(diǎn)多播地址(例 如,"FF02: : 1"前綴)的查詢��。例如���,示例的主動(dòng)傳感器可以將DHCPv6UDP探頭發(fā)送到多播 地址FF02:0 :0:0:0:0:1:2處的端口 547,以發(fā)現(xiàn)所有的DHCP服務(wù)器和中繼代理�。在另一示 例中��,示例的主動(dòng)傳感器可以將ICMPv6查詢發(fā)送到"所有節(jié)點(diǎn)"的多播地址FF02: : 1以發(fā) 現(xiàn)本地網(wǎng)絡(luò)上的系統(tǒng)���。在另外的示例中�����,示例的主動(dòng)傳感器可以將ICMPv6查詢發(fā)送到"所 有路由器"多播地址FF02: :2以發(fā)現(xiàn)網(wǎng)絡(luò)上的路由器���,這是一些例子。
[0049] 在其他示例中�����,傳感器框架275中所包含的一個(gè)或多個(gè)主動(dòng)傳感器280可以包括 適于執(zhí)行強(qiáng)力尋址或連通測(cè)試���、掃描以發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備的傳感器��。雖然通常在典型的 IPv6網(wǎng)絡(luò)中發(fā)現(xiàn)設(shè)備不起作用��,但是ping掃描或更一般的地址掃描仍能夠是檢測(cè)小范圍 的IPv6地址和IPv4網(wǎng)絡(luò)上的設(shè)備的有效手段�����。ping掃描在檢測(cè)大部分沉默且具有固定 地址的設(shè)備方面特別有效�����。ping掃描能夠利用傳統(tǒng)的ICMP ping掃描技術(shù)�����,由此一個(gè)或多 個(gè)分組發(fā)送到可能活動(dòng)的地址��,還可以使用其他技術(shù)����。如果接收到特定類型的響應(yīng),則目標(biāo) 地址被視為活動(dòng)的���。ping掃描可以包括ICMP ping掃描(用于多個(gè)分組類型)��,使用全TCP 連接測(cè)試掃描開放端口����,利用半開放(SYN)測(cè)試掃描開放端口���,以及發(fā)送"微移"分組到具 體的已知UDP端口�����,還有其他示例���。
[0050] 此外,雖然地址掃描可應(yīng)用于基于目標(biāo)的地址掃描發(fā)現(xiàn)(例如����,以之前基于一個(gè) 或多個(gè)資產(chǎn)檢測(cè)引擎210的被動(dòng)發(fā)現(xiàn)任務(wù)識(shí)別或選擇的具體的已知IP地址或IP地址范圍 為目標(biāo))�,但是主動(dòng)發(fā)現(xiàn)傳感器還可以連續(xù)地掃描地址范圍以發(fā)現(xiàn)最新活動(dòng)的地址且認(rèn)證 之前活動(dòng)的地址仍活動(dòng)或變得不活動(dòng)���,觸發(fā)(fire off)事件(例如�����,利用資產(chǎn)管理系統(tǒng)205 的屬性發(fā)現(xiàn)嘗試任務(wù))以在檢測(cè)到狀態(tài)變化時(shí)幾乎實(shí)時(shí)地執(zhí)行有用的工作。
[0051] 被動(dòng)傳感器(例如�,285)可以包括潛伏發(fā)現(xiàn)型傳感器、基于事件的發(fā)現(xiàn)型傳感器 以及間接發(fā)現(xiàn)型傳感器�。潛伏發(fā)現(xiàn)型傳感器可以包括適于隱伏地監(jiān)控網(wǎng)絡(luò)的各種活動(dòng)以及 提取地址信息而不與主機(jī)系統(tǒng)(即,對(duì)應(yīng)于地址)直接接觸的傳感器����,各種活動(dòng)可以包括設(shè) 備地址信息的傳送或識(shí)別。潛伏發(fā)現(xiàn)型傳感器可以包括適于以下操作的傳感器����,例如監(jiān)控 NetBIOS廣播分組、監(jiān)控互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)業(yè)務(wù)(包括ICMP版本6 (ICMPv6)業(yè) 務(wù))�����、嗅探普通網(wǎng)絡(luò)通信�����、經(jīng)由交換機(jī)端口鏡像嗅探業(yè)務(wù)(諸如通過(guò)交換機(jī)端口分析器(或 "SPAN端口 ")),還有其他例子���。至少一些潛伏發(fā)現(xiàn)傳感器能夠在不具有具體配置(例如�, 由管理器端用戶提供)的情況下操作��。例如�����,適于攔截NetBIOS廣播分組的潛伏發(fā)現(xiàn)傳感 器能夠確定網(wǎng)絡(luò)上的設(shè)備的其他系統(tǒng)實(shí)體屬性之中的地址信息�。許多系統(tǒng),包括那些基于 例如Microsoft's Windows?操作系統(tǒng)的系統(tǒng)��,可以將數(shù)據(jù)報(bào)分組廣播到它們的本地網(wǎng)絡(luò)����, 例如,與用于Μ)Ρ端口 138上的無(wú)連接通信的NetBIOS數(shù)據(jù)報(bào)分布服務(wù)相結(jié)合�����,還可有其他 示例��。NetBIOS數(shù)據(jù)報(bào)廣播分組可以識(shí)別被攔截的NetBIOS分組所源起的發(fā)送設(shè)備的IP地 址和MAC地址,并且可以進(jìn)一步包括在一些示例中當(dāng)被識(shí)別和處理時(shí)顯現(xiàn)出其他信息之中 的發(fā)送設(shè)備的操作系統(tǒng)的數(shù)據(jù)�����?���?梢岳迷摲椒煽康刈R(shí)別的操作系統(tǒng)包括例如Windows 9x/Me/NT 4. 0>NetApp Device>ffindows 2000>ffindows XP>ffindows Server 2003>ffindows XP (64 位)、Windows Server 2008�、Windows Vista���、Windows Server 2008R2 和 Windows 7�。因此�,適于攔截NetBIOS廣播分組的潛伏發(fā)現(xiàn)傳感器能夠識(shí)別發(fā)送設(shè)備、其相應(yīng)的地址 數(shù)據(jù)以及發(fā)送設(shè)備的操作系統(tǒng)����。
[0052] 在另一示例中,另一(或同一)潛伏發(fā)現(xiàn)型傳感器可以適于監(jiān)控ICMPv6業(yè)務(wù)�����。大 量的業(yè)務(wù)可以生成且通過(guò)網(wǎng)絡(luò)內(nèi)的IPv6設(shè)備經(jīng)由ICMPv6協(xié)議來(lái)發(fā)送��。適當(dāng)改造的潛伏發(fā) 現(xiàn)型傳感器能夠監(jiān)聽特定類型的多播ICMPv6業(yè)務(wù),諸如鄰近請(qǐng)求分組以及鄰近廣告分組��, 以識(shí)別業(yè)務(wù)中所識(shí)別的一個(gè)或多個(gè)設(shè)備的地址(即���,MAC地址和IPv6地址)���,還有其他例 子。
[0053] 在另外的示例中��,潛伏發(fā)現(xiàn)型傳感器可以適于對(duì)普通網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行地址信息嗅 探���,所述地址信息能夠用于識(shí)別網(wǎng)絡(luò)中之前未知的設(shè)備��,或者網(wǎng)絡(luò)中先前識(shí)別的設(shè)備所使 用的先前未知的地址�。IPv4和IPv6分組包括源地址信息和目的地地址信息�,以及源端口 和目的地端口以及源和目的地的相應(yīng)MAC地址。因此���,對(duì)全部網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行嗅探能夠允許 發(fā)現(xiàn)新的地址數(shù)據(jù)����,從而還可以發(fā)現(xiàn)經(jīng)由監(jiān)控網(wǎng)絡(luò)通信的新設(shè)備�。通過(guò)對(duì)全部網(wǎng)絡(luò)業(yè)務(wù)進(jìn) 行被動(dòng)嗅探���,每當(dāng)這些設(shè)備經(jīng)由網(wǎng)絡(luò)通信時(shí),就能夠發(fā)現(xiàn)新設(shè)備地址����。然而,對(duì)普通業(yè)務(wù)嗅 探在一些網(wǎng)絡(luò)中會(huì)遇到困難�����,因?yàn)樵S多臨時(shí)網(wǎng)絡(luò)被"交換"��,由此網(wǎng)絡(luò)設(shè)備��,以及可能的部署 的資產(chǎn)檢測(cè)引擎210,僅接收廣播分組���、多播分組以及直接尋址到掌管資產(chǎn)檢測(cè)引擎的設(shè)備 的分組。在其他實(shí)例中�����,可以平衡端口鏡像以識(shí)別網(wǎng)絡(luò)內(nèi)之前已知的設(shè)備地址�����。一些網(wǎng)絡(luò) 路由器和交換機(jī)可配置為將特定設(shè)備端口上或者甚至是整個(gè)虛擬局域網(wǎng)(VLAN)上的所有 業(yè)務(wù)轉(zhuǎn)發(fā)或"鏡像"到交換機(jī)上的另一端口,諸如交換端口分析器(SPAN)和漫游分析端口 (RAP)���,還有其他例子�??捎糜趥鞲衅骺蚣?75的潛伏發(fā)現(xiàn)型傳感器的一些實(shí)現(xiàn)可適于對(duì)網(wǎng) 絡(luò)交換機(jī)的配置SPAN端口(或其他業(yè)務(wù)鏡像端口)上的業(yè)務(wù)進(jìn)行嗅探,從而允許傳感器來(lái) 監(jiān)控在端口上鏡像的包括指向交換網(wǎng)絡(luò)中的其他設(shè)備的業(yè)務(wù)的所有網(wǎng)絡(luò)業(yè)務(wù)�,而無(wú)需傳感 器與鏡像端口進(jìn)行物理連接。
[0054] 被動(dòng)傳感器還可以包括基于事件的發(fā)現(xiàn)傳感器��。一般地��,基于事件的發(fā)現(xiàn)傳感器 可以向網(wǎng)絡(luò)服務(wù)注冊(cè)或接口����,以便當(dāng)一個(gè)或多個(gè)特定的預(yù)識(shí)別類型的事件發(fā)生時(shí)接收通 知。這些事件的報(bào)告或檢測(cè)(報(bào)告給相應(yīng)的網(wǎng)絡(luò)服務(wù)或者通過(guò)相應(yīng)的網(wǎng)絡(luò)服務(wù)檢測(cè))可以 包括資產(chǎn)管理系統(tǒng)205感興趣的設(shè)備尋址信息的識(shí)別�����,諸如IP地址和DNS名稱���。這些事件 可以包括例如DHCP服務(wù)器事件�、Microsoft Active Directory?審核事件、以及防火墻和 防入侵系統(tǒng)(IPS)事件��,還有其他示例���?;谑录陌l(fā)現(xiàn)傳感器能夠與記錄這些事件的相 應(yīng)設(shè)備和系統(tǒng)接口�,并且識(shí)別那些能夠被挖掘以得到可用于構(gòu)建或增補(bǔ)資產(chǎn)倉(cāng)庫(kù)250的記 錄的地址數(shù)據(jù)的特定事件和事件記錄。
[0055] 作為示例����,基于事件的發(fā)現(xiàn)傳感器的一種實(shí)現(xiàn)可以包括適于與DHCP網(wǎng)絡(luò)環(huán)境中 的一個(gè)或多個(gè)DHCP服務(wù)器接口的傳感器。在DHCP網(wǎng)絡(luò)環(huán)境中�����,每當(dāng)系統(tǒng)打開且加入網(wǎng)絡(luò) 時(shí)�,其廣播從最近的DHCP服務(wù)器接收IP地址的請(qǐng)求。最近的服務(wù)器隨后一般分配地址租 賃且通知目標(biāo)(請(qǐng)求)系統(tǒng)其地址應(yīng)當(dāng)為何種地址��。此外�����,一旦系統(tǒng)的租賃到期�����,其從活動(dòng) 地址的DHCP服務(wù)器列表中移除����。在一些實(shí)現(xiàn)中,DHCP服務(wù)器監(jiān)控和/或參與該地址租賃 進(jìn)程����,并且基于事件的發(fā)現(xiàn)傳感器可以包括以下功能:與DHCP服務(wù)器接口并查詢DHCP服務(wù) 器的記錄、從DHCP服務(wù)器接收警告和其他消息����,或者以其他方式獲取來(lái)自DHCP服務(wù)器的關(guān) 于涉及到網(wǎng)絡(luò)中設(shè)備的近期租賃事件的信息。例如����,DHCP服務(wù)器的一些實(shí)現(xiàn)將API提供給 其他設(shè)備和服務(wù)(諸如 Microsoft DHCP Server's〃DHCP Server Callout API〃)和日志文 件(諸如Unix/Linux DHCP Server〃dhcpd〃記錄租賃事件),還可以有其他例子和實(shí)現(xiàn)方 式�。一般地,通過(guò)傳感器從DHCP服務(wù)器獲得的信息可以依次用于識(shí)別網(wǎng)絡(luò)中可能新的或之 前未知的設(shè)備���。
[0056] 在另一示例中�,示例的基于事件的發(fā)現(xiàn)傳感器能夠適于與Microsoft Windows活 動(dòng)目錄服務(wù)器接口�����,以獲得由活動(dòng)目錄服務(wù)器所記錄或識(shí)別的特定類型事件的記錄。例如�, 在組織中,當(dāng)用戶登錄或注銷加入到活動(dòng)目錄域的系統(tǒng)時(shí)��,能夠在活動(dòng)目錄服務(wù)器的事件 日志中創(chuàng)建事件�。一些特定事件以及這些事件的記錄可以包括識(shí)別網(wǎng)絡(luò)中一個(gè)或多個(gè)設(shè)備 的IP地址和DNS名稱信息?��;谑录陌l(fā)現(xiàn)傳感器能夠提取該地址數(shù)據(jù)以便由資產(chǎn)管理 系統(tǒng)205使用�����。例如��,活動(dòng)目錄事件的日志����,諸如在表1中所提到的那些例子(以及其他未 列出的)��,可以包括用于增補(bǔ)資產(chǎn)倉(cāng)庫(kù)250的地址信息:
[0057] 表 1
[0058]
【權(quán)利要求】
1. 一種方法�����,包括: 利用資產(chǎn)檢測(cè)引擎來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)的特定計(jì)算設(shè)備的地址信息�����,其中所述地址信息的識(shí) 別是通過(guò)包含于所述資產(chǎn)檢測(cè)引擎中的一組發(fā)現(xiàn)傳感器中的第一可插發(fā)現(xiàn)傳感器來(lái)促成 的����;以及 將所述特定計(jì)算設(shè)備的所述地址信息的識(shí)別發(fā)送到資產(chǎn)管理系統(tǒng),以便在由所述資產(chǎn) 管理系統(tǒng)管理的資產(chǎn)倉(cāng)庫(kù)中包括所述地址信息�。
2. 如權(quán)利要求1所述的方法,還包括:利用所述一組發(fā)現(xiàn)傳感器中的第二可插發(fā)現(xiàn)傳 感器來(lái)識(shí)別所述特定計(jì)算設(shè)備的附加屬性�。
3. 如權(quán)利要求2所述的方法,其中���,基于利用所述一組發(fā)現(xiàn)傳感器中的可插發(fā)現(xiàn)傳感 器所識(shí)別出的經(jīng)識(shí)別屬性�,將安全策略分配給所述特定計(jì)算設(shè)備����。
4. 如權(quán)利要求3所述的方法,其中����,所述附加屬性包括如下中的至少一項(xiàng):所述特定計(jì) 算設(shè)備的活動(dòng)端口、所述特定計(jì)算設(shè)備的操作系統(tǒng)���、以及所述特定計(jì)算設(shè)備的應(yīng)用��。
5. 如權(quán)利要求3所述的方法�����,其中�����,對(duì)所述特定計(jì)算設(shè)備加標(biāo)簽以將所述特定計(jì)算設(shè) 備與特定計(jì)算設(shè)備群組相關(guān)聯(lián)����,并且所述安全策略與所述特定計(jì)算設(shè)備群組相關(guān)聯(lián)。
6. 如權(quán)利要求1所述的方法�,其中,所述一組發(fā)現(xiàn)傳感器中的每個(gè)發(fā)現(xiàn)傳感器是可插 發(fā)現(xiàn)傳感器��。
7. 如權(quán)利要求1所述的方法���,其中�,所述資產(chǎn)管理系統(tǒng)確定識(shí)別出的地址信息未包含 于所述資產(chǎn)倉(cāng)庫(kù)中��,所述地址信息的識(shí)別發(fā)現(xiàn)所述網(wǎng)絡(luò)內(nèi)的所述特定計(jì)算設(shè)備����。
8. 如權(quán)利要求1所述的方法,還包括:將可插發(fā)現(xiàn)傳感器添加到所述一組發(fā)現(xiàn)傳感器 中����。
9. 如權(quán)利要求1所述的方法,還包括:將所述一組發(fā)現(xiàn)傳感器中的一個(gè)可插發(fā)現(xiàn)傳感 器用另一可插發(fā)現(xiàn)傳感器來(lái)代替�����。
10. 如權(quán)利要求1所述的方法���,其中�����,所述一組發(fā)現(xiàn)傳感器包括基于事件的可插發(fā)現(xiàn)傳 感器����,其適于根據(jù)描述由所述網(wǎng)絡(luò)上的事件管理服務(wù)所識(shí)別的所述網(wǎng)絡(luò)中的事件的事件記 錄數(shù)據(jù)來(lái)識(shí)別所述網(wǎng)絡(luò)上的計(jì)算設(shè)備的地址信息����。
11. 如權(quán)利要求10所述的方法,其中�,所述基于事件的可插發(fā)現(xiàn)傳感器適于訪問(wèn)動(dòng)態(tài) 主機(jī)配置協(xié)議(DHCP)服務(wù)器事件�、活動(dòng)目錄審核事件����、防火墻事件和防入侵系統(tǒng)(IPS)事 件中的至少一個(gè)的事件記錄數(shù)據(jù)。
12. 如權(quán)利要求1所述的方法�����,其中����,所述一組發(fā)現(xiàn)傳感器包括潛伏型可插發(fā)現(xiàn)傳感 器,其適于根據(jù)由被動(dòng)型可插發(fā)現(xiàn)傳感器所監(jiān)控的網(wǎng)絡(luò)業(yè)務(wù)來(lái)識(shí)別所述網(wǎng)絡(luò)上的計(jì)算設(shè)備 的地址信息����。
13. 如權(quán)利要求12所述的方法,其中���,所述潛伏型可插發(fā)現(xiàn)傳感器適于監(jiān)控所述網(wǎng)絡(luò) 業(yè)務(wù)中的NetBIOS廣播分組�����、互聯(lián)網(wǎng)控制消息協(xié)議版本6 (ICMPv6)網(wǎng)絡(luò)業(yè)務(wù)以及經(jīng)由端口 鏡像的網(wǎng)絡(luò)業(yè)務(wù)中的至少一項(xiàng)�����。
14. 如權(quán)利要求1所述的方法�����,其中����,所述一組發(fā)現(xiàn)傳感器包括間接型可插發(fā)現(xiàn)傳感 器����,其適于查詢所述網(wǎng)絡(luò)的服務(wù)以獲取包括所述網(wǎng)絡(luò)內(nèi)的計(jì)算設(shè)備的地址信息的數(shù)據(jù)。
15. 如權(quán)利要求14所述的方法�,其中,所述間接型可插發(fā)現(xiàn)傳感器適于進(jìn)行如下中的 至少一項(xiàng):查詢簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)管理信息庫(kù)(MIB)��,查詢DHCP數(shù)據(jù)庫(kù)����,查詢路由 器表,以及在網(wǎng)絡(luò)中的另一計(jì)算設(shè)備上發(fā)布netstat命令�����。
16. 如權(quán)利要求1所述的方法����,其中����,所述一組發(fā)現(xiàn)傳感器包括主動(dòng)型可插發(fā)現(xiàn)傳感 器�,其適于將數(shù)據(jù)發(fā)送到所述特定計(jì)算設(shè)備并且監(jiān)控所述特定計(jì)算設(shè)備對(duì)所發(fā)送的數(shù)據(jù)的 響應(yīng)。
17. 如權(quán)利要求16所述的方法�����,其中�,所述主動(dòng)型可插發(fā)現(xiàn)傳感器所發(fā)送的數(shù)據(jù)包括 如下中的至少一項(xiàng):一組互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)分組、一組傳輸控制協(xié)議(TCP)分組��、 以及一組用戶數(shù)據(jù)報(bào)協(xié)議(UDP)分組���。
18. 如權(quán)利要求16所述的方法��,其中���,所述一組發(fā)現(xiàn)傳感器包括所述主動(dòng)型可插發(fā)現(xiàn) 傳感器和至少一個(gè)被動(dòng)型可插發(fā)現(xiàn)傳感器,其中所述被動(dòng)型發(fā)現(xiàn)傳感器是潛伏型發(fā)現(xiàn)傳感 器���、基于事件的發(fā)現(xiàn)傳感器和間接型發(fā)現(xiàn)傳感器之一�����。
19. 一種在非暫態(tài)介質(zhì)中編碼的邏輯���,包括用于執(zhí)行的代碼���,當(dāng)通過(guò)處理器執(zhí)行時(shí),所 述邏輯能操作以執(zhí)行包括以下的操作: 利用資產(chǎn)檢測(cè)引擎來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)的特定計(jì)算設(shè)備的地址信息�����,其中所述地址信息的識(shí) 別是通過(guò)包含于所述資產(chǎn)檢測(cè)引擎中的一組發(fā)現(xiàn)傳感器中的第一可插發(fā)現(xiàn)傳感器來(lái)促成 的����;以及 將所述特定計(jì)算設(shè)備的所述地址信息的識(shí)別發(fā)送到資產(chǎn)管理系統(tǒng)�����,以便在由所述資產(chǎn) 管理系統(tǒng)管理的資產(chǎn)倉(cāng)庫(kù)中包括所述地址信息���。
20. -種系統(tǒng)�����,包括: 至少一個(gè)處理器設(shè)備��; 至少一個(gè)存儲(chǔ)器元件����;以及 可插資產(chǎn)檢測(cè)引擎,其包括一組可插發(fā)現(xiàn)傳感器�����,當(dāng)通過(guò)所述至少一個(gè)處理器設(shè)備執(zhí) 行時(shí)適于: 利用所述一組發(fā)現(xiàn)傳感器中的第一可插發(fā)現(xiàn)傳感器來(lái)識(shí)別網(wǎng)絡(luò)內(nèi)的特定計(jì)算設(shè)備的 特定地址信息����;以及 將所述特定計(jì)算設(shè)備的所述特定地址信息的識(shí)別發(fā)送到資產(chǎn)管理系統(tǒng),以便在由所述 資產(chǎn)管理系統(tǒng)管理的資產(chǎn)倉(cāng)庫(kù)中包括所述特定地址信息�����。
21. 如權(quán)利要求20所述的系統(tǒng)���,還包括所述資產(chǎn)管理系統(tǒng)�����,當(dāng)通過(guò)所述至少一個(gè)處理 器設(shè)備執(zhí)行時(shí)��,所述資產(chǎn)管理系統(tǒng)適于: 從所述資產(chǎn)檢測(cè)引擎接收所述特定地址信息���; 確定所述地址信息是否與在所述資產(chǎn)倉(cāng)庫(kù)中描述的設(shè)備相關(guān)聯(lián)�;以及 用不包括在所述資產(chǎn)倉(cāng)庫(kù)中的地址信息來(lái)增補(bǔ)所述資產(chǎn)倉(cāng)庫(kù)����。
22. 如權(quán)利要求20所述的系統(tǒng),其中����,所述資產(chǎn)檢測(cè)引擎是所述系統(tǒng)中的多個(gè)資產(chǎn)檢 測(cè)引擎中的第一資產(chǎn)檢測(cè)引擎。
23. 如權(quán)利要求22所述的系統(tǒng)���,其中,所述多個(gè)資產(chǎn)檢測(cè)引擎包括第二資產(chǎn)檢測(cè)引擎�����, 所述第一資產(chǎn)檢測(cè)引擎的一組發(fā)現(xiàn)傳感器是第一組�,所述第二資產(chǎn)檢測(cè)引擎包括第二組發(fā) 現(xiàn)傳感器,并且所述第一組發(fā)現(xiàn)傳感器不同于所述第二組發(fā)現(xiàn)傳感器��。
24. 如權(quán)利要求23所述的系統(tǒng),其中��,所述第一組發(fā)現(xiàn)傳感器包括也包含在所述第二 組發(fā)現(xiàn)傳感器中的特定發(fā)現(xiàn)傳感器�。
【文檔編號(hào)】H04L12/24GK104272650SQ201380017020
【公開日】2015年1月7日 申請(qǐng)日期:2013年4月11日 優(yōu)先權(quán)日:2012年4月11日
【發(fā)明者】J·M·于加爾四世, R·基爾, J·C·雷貝洛, O·阿爾金, S·施雷克 申請(qǐng)人:邁克菲公司