CN103563302B - 网络资产信息管理 - Google Patents
网络资产信息管理 Download PDFInfo
- Publication number
- CN103563302B CN103563302B CN201180071254.7A CN201180071254A CN103563302B CN 103563302 B CN103563302 B CN 103563302B CN 201180071254 A CN201180071254 A CN 201180071254A CN 103563302 B CN103563302 B CN 103563302B
- Authority
- CN
- China
- Prior art keywords
- assets
- asset
- rule
- information
- network activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种网络资产信息管理***(101)可以包括用于基于涉及资产(102)的网络活动来生成实时资产信息的资产确定和事件优先化模块(105)。规则模块(109)可以包括用于监测涉及资产的网络活动的规则集。信息分析模块(110)可以评估实时资产信息和规则以生成与资产相关的通知(111)。所述规则可以包括用于基于被识别往来于与资产相关的IP地址的业务的级别和预定阈值的比较来确定与资产关联的风险和脆弱性的规则。所述通知可以包括与资产关联的风险的级别。
Description
一个或多个相关申请的交叉引用
本申请要求2011年6月1日提交的临时专利申请美国系列号61/492,309的优先权,通过引用将其明确合并于此。
背景技术
对于许多大型信息技术(IT)组织,网络资产(即,计算机、笔记本计算机、路由器、交换机、web(网络)服务器、数据库机器、及连接在网络上的其他组件)能够变为如此众多、分散、并且被分散的IT人员所管理,这可能变得难以使用传统的手动或自动化方法对这些资产进行追踪和分类。在传统***中,使用自动化规则来对网络基础设施信息的实时更新不存在。
存在维护网络资产和拓扑信息的各种***。这些***通常使用各种网络发现技术来在任何给定的时间点发现网络节点和拓扑。所述发现能够被重新发行以更新关于网络的信息。然后可以使用市场上可购买的扫描器(scanner)或专利技术来扫描这些网络资产以确定这些资产上存在的脆弱性(vulnerability)。扫描器还可以检测在能够被用于到达资产并利用其脆弱性的给定资产上的开放端口。
对于前述方法,资产信息可能不总是完全最新的。另外,信息通常对应于资产的静态属性(例如,资产的事务分类、IP地址、脆弱性等)而不是实时的动态属性(诸如,当前和历史带宽利用率、发生在资产上的当前攻击集、基于网络业务和资产的静态属性的当前风险等)。
其他***也允许输入由网络扫描器所采集的静态资产数据和该数据的周期性更新(通常以周或月计,而在用户设施处可能以天计)。因而,网络资产信息不总是最新的。此类***还允许基于机器的IP地址、主机名称和媒体访问控制地址(MAC地址)而不是基于规则的方法的资产自动创建。类别还可以通过规则而不是资产信息的任何其他方面(例如,当前补丁级别、脆弱性、风险等以及任何其他用户定义的属性)被添加或从资产中移除。可以基于上一次扫描时间来维护资产的使用年限(age)并且可以使用该信息来计算针对在资产上发生的活动的资产模型置信度(confidence)。对于此类***,资产模型信息置信度是基于自从上一次扫描时间以来的持续时间。自从上一次扫描,资产可能已经针对某些脆弱性而被打补丁,针对不同的事务使用而被重新目的化,服务可能已经被添加或移除,并且可能已经做出其他改变。
附图说明
在下述描述中参考下述附图详细描述了实施例。
图1图示根据实施例包括网络资产信息管理***的环境;
图2图示根据实施例用于网络资产信息管理***的***交互图;
图3图示根据实施例用于网络资产信息管理的方法;以及
图4图示根据实施例可以用于***及相关方法的计算机***。
具体实施方式
为了简单和说明的目的,本实施例的原理主要通过参考其示例进行描述。在下述描述中,阐述了各种特定细节以便提供对实施例的透彻理解。显而易见的是可以在不对所有特定细节进行限制的情况下实践所述实施例。所述实施例还可以以各种组合被一起使用。
1.概述
网络资产信息管理***在本文中被描述并且通过对任何事件数据的基于规则的分析而自动地提供了对关于网络资产的信息的管理。所述数据可以例如由连接器来采集,并且可以例如包括与***内部观察到的或者在外部提供到***的关于网络资产的附加信息相关的***日志、应用日志、网络数据等。这些资产可以包括例如受管理的主机、服务器和网络设备,其可以是具有IP地址并连接到客户的网络的任何机器(物理的或虚拟的)。所述服务器在云产品中可以是共享的或者是专用的,其基于服务需求而可能出现和不出现在网络中。
网络资产信息管理***可以提供关于资产的丰富信息的发现和维护。该信息可以通过分析涉及这些资产的网络活动而实时更新,通过从客户环境中的各种网络设备采集数据的连接器而提供到网络资产信息管理***。与可以存储以供在随后的时间进行处理的静态数据相反,实时数据可以是在捕获时被评估和处理的所考虑数据。
此外,使用监测涉及资产的网络活动的规则,可以计算和维护关于资产的更丰富的数据集,包括例如识别与该资产关联的服务列表、应用、资源利用率、业务评定、脆弱性、攻击、病毒、蠕虫、安全损害(compromise)、流氓进程、流氓服务器、操作***(OS)版本、补丁级别、web客户端和风险。该关于资产的丰富信息可以进一步被网络资产信息管理***用于发布与资产损害和攻击相关的安全警报。所述信息还可以促进提供与单个资产或通过资产的任何特性(例如,服务、事务单元、网域等)所分组的多个资产关联的统计数据和风险的高级别概述。
本文描述的方法使用直接来自资产以及来自将业务发送到资产的其他设备的发生在资产上的网络和应用活动的事件馈送,并进一步使用基于规则的方法以识别资产上的当前活动提供了信息的丰富性,以及利用网络活动的实时分析对静态或周期性计算的信息的更新。
网络资产信息管理***在下文进一步详细描述并且可以包括资产确定和事件优先化模块以基于涉及资产的网络活动来生成实时资产信息。***的模块和其他组件可以包括机器可读指令、硬件或者机器可读指令和硬件的组合。实时资产信息可以包括例如诸如当前和历史带宽利用率、发生在资产上的当前攻击集、以及基于网络业务的当前风险等之类的动态属性。规则模块可以包括用于监测涉及资产的网络活动的规则集。信息分析模块可以评估实时资产信息和规则以生成与资产相关的通知。通知可以以报告的形式。规则可以包括用于基于被识别往来于与资产相关的IP地址的业务的级别与预定阈值的比较而确定与资产关联的脆弱性和风险的规则。脆弱性可以被定义为例如基于暴露于攻击的弱点,而风险可以被定义为例如发生不期望的事件的可能性。通知可以包括例如与资产关联的风险的级别。
对于本文描述的网络资产信息管理***,所述***可以进一步包括用于基于关于资产的静态信息而生成资产模型的资产模型模块。资产模型可以包括关于资产的静态信息。静态信息可以包括例如资产的事务分类、IP地址等。信息分析模块因而可以评估资产模型、实时资产信息、和规则以生成与资产相关的通知。关于资产的静态信息可以从扫描器和/或外部资产数据库获得。涉及资产的网络活动可以包括例如涉及资产的事件数据。事件数据可以包括例如资产日志、应用日志和/或网络数据。事件数据可以直接从资产或从与资产对接的其他设备(例如,路由器、连接到资产的其他机器等)接收。此外,与资产关联的风险可以从诸如例如病毒、恶意软件等之类的在与特定资产相同的网域中的其他资产上发现的风险得到。涉及资产的网络活动可以由例如连接器获得。资产可以包括例如受管理的主机、服务器或网络设备。用于监测涉及资产的网络活动的规则可以包括用于在被识别往来于与资产相关的IP地址的业务超过预定阈值量的数据或持续时间的情况下创建资产的规则,并且所述通知可以包括用于创建资产的指示。用于监测涉及资产的网络活动的规则还可以包括用于在预定时间段内没有从资产观察到业务的情况下删除资产的规则,并且所述通知可以包括用于删除资产的指示。用于监测涉及资产的网络活动的规则可以进一步包括用于在识别OS补丁或应用补丁的事件已经应用于资产的情况下更新资产的规则,并且所述通知可以包括用于更新资产的指示。用于监测涉及资产的网络活动的规则包括用于确定与资产关联的脆弱性和风险的规则。信息分析模块可以基于上一次扫描时间来维护资产的使用年限并使用该使用年限来计算针对发生在资产上的活动的资产模型信息置信度。信息分析模块可以使用资产模型信息置信度来计算发生在资产上的活动的优先级。与资产相关的通知可以包括例如与资产关联的服务、应用、资源利用率、业务评定、攻击、病毒、蠕虫、安全损害、流氓进程、流氓服务器、OS版本、补丁级别、web客户端、和/或风险。与资产相关的通知可以被用于发布与资产损害和攻击相关的安全警报。与资产相关的通知还可以被用于生成与资产关联的统计数据。
如在下文进一步详细描述的,用于网络资产信息管理的方法被提供并可以包括基于涉及资产的网络活动来生成实时资产信息。所述方法可以进一步包括执行对涉及资产的网络活动的基于规则的监测。所述方法还可以包括评估实时资产信息和监测的网络活动以生成与资产相关的通知。执行对涉及资产的网络活动的基于规则的监测可以包括基于被识别往来于与资产相关的IP地址的业务的级别和预定阈值的比较来确定与资产关联的脆弱性和风险,并且通知可以包括与资产关联的风险的级别。
对于本文所述的方法,所述方法可以进一步包括基于关于资产的静态信息来生成资产模型。评估可以进一步包括评估资产模型、实时资产信息和监测的网络活动以生成与资产相关的通知。所述方法可以包括由连接器获得涉及资产的网络活动。所述方法还可以包括基于上一次扫描时间来维护资产的使用年限并使用该使用年限来计算针对发生在资产上的活动的资产模型信息置信度。所述方法可以包括使用资产模型信息置信度来计算发生在资产上的活动的优先级。
又如在下文进一步详细描述的,提供了存储机器可读指令的非临时计算机可读介质。所述机器可读指令当被计算机***所运行时可以执行用于网络资产信息管理的方法,所述方法包括基于涉及资产的网络活动来生成实时资产信息。所述方法可以进一步包括执行对涉及资产的网络活动的基于规则的监测。所述方法还可以包括评估实时资产信息和监测的网络活动以生成与资产相关的通知。执行对涉及资产的网络活动的基于规则的监测可以包括基于被识别往来于与资产相关的IP地址的业务的级别和预定阈值的比较来确定与资产关联的脆弱性和风险,并且所述通知可以包括与资产关联的风险的级别。
2.***
图1图示根据实施例用于网络资产信息管理***101的环境100。环境100可以包括生成用于事件的事件数据的数据源102(即,资产),所述事件数据可以被网络资产信息管理***101所采集并且存储在数据存储103中。连接器104可以包括由机器可读指令组成的代码,所述机器可读指令将来自数据源102的事件数据提供到网络资产信息管理***101。连接器104可以提供高效、实时的本地事件数据捕获并从数据源102过滤。资产确定和事件优先化模块105可以基于被连接器104所捕获的事件数据来确定资产,并提供事件的优先化,如下所述。资产确定和事件优先化模块105还可以基于涉及数据源的网络活动来生成关于数据源102的实时信息。资产模型模块106可以从扫描器107和/或外部资产数据库108获得静态资产信息,并且基于关于数据源102的静态信息来生成资产模型。规则模块109可以从资产确定和事件优先化模块105和/或资产模型模块106获得信息,并且可以包括用于监测涉及数据源102的网络活动的规则集。信息分析模块110可以评估资产模型、实时资产信息、和规则以生成例如通知(在111)。因而,模块110可以基于由资产确定和事件优先化模块105、资产模型模块106、和规则模块109所提供的信息来执行事件处理。
如本文所讨论的,对于网络资产信息管理***101,事件可以是能够被监测和分析的任何活动。针对事件所捕获的数据可以被称作事件数据。所捕获的事件数据的分析可以被执行以确定是否事件与威胁或某一其他条件关联。与事件关联的活动的示例可以包括登入、登出、通过网络发送数据、发送电子邮件、访问应用、读取或写入数据、执行交易等。常见威胁的示例可以包括网络安全威胁,由此用户试图通过网络获得对秘密信息(诸如,社保号、信用***等)的未授权的访问。
数据源102可以包括可操作以提供可以被分析的事件数据的网络设备、应用或下文描述的其他类型的数据源。可以在由数据源102所生成的日志或消息中捕获事件数据。例如,入侵检测***(IDS)、入侵防御***(IPS)、脆弱性评定工具、防火墙、反病毒工具、反垃圾邮件工具、加密工具、和事务应用可以生成描述被源所执行的活动的日志。可以例如通过日志文件或***日志服务器中的条目、警报、警告、网络分组、电子邮件或通知页面来提供事件数据。
事件数据可以包括关于生成事件的设备或应用以及何时事件被从事件源接收(“接收时间”)的信息。接收时间可以是日期/时间戳,并且事件源可以是网络端点标识符(例如,IP地址或媒体访问控制(MAC)地址)和/或源的描述,可能包括关于产品的厂商和版本的信息。日期/时间戳、源信息和其他信息可以被用于将事件与用户相关并且针对威胁对事件进行分析。
数据源102的示例在图1中被示为数据库(DB)、UNIX、App1和App2。DB和UNIX是包括诸如服务器之类的网络设备的***,并且可以生成事件数据。App1和App2是分别由例如DB***所托管的应用,并且也生成事件数据。App1和App2可以是事务应用,诸如用于***和股票交易的金融应用、IT应用、人力资源应用、或任何其他类型的应用。
数据源102的其他示例可以包括安全检测和代理***、访问和策略控制、核心服务日志和日志合并程序(consolidator)、网络硬件、加密设备、和物理安全。安全检测和代理***的示例包括IDS、IPS、多用途安全装置、脆弱性评定和管理、反病毒、诱捕***(honeypot)、威胁响应技术、和网络监测。访问和策略控制***的示例包括访问和识别管理、虚拟专用网(VPN)、高速缓存引擎、防火墙和安全策略管理。核心服务日志和日志合并程序的示例包括操作***日志、数据库审计日志、应用日志、日志合并程序、web服务器日志和管理控制台。网络设备的示例包括路由器和交换机。加密设备的示例包括数据安全和完整性。物理安全***的示例包括卡键阅读器(card-key
reader)、生物计量、防盗警报器、和火情警报器。
数据存储103可以包括数据库或其他类型的数据存储***。数据存储103可以包括用于执行内存中处理和/或用于数据库存储和操作的非易失性存储的存储器。数据存储103可以存储被用于对事件数据进行相关和分析的网络资产信息管理***101所使用的任何数据。
连接器104可以包括由将来自数据源102的事件数据提供到网络资产信息管理***101的机器可读指令所组成的代码。可替代地,事件数据可以从直接或间接连接到数据源102的其他设备采集。连接器104可以提供高效、实时(或接近实时)的本地事件数据捕获并从数据源102过滤。连接器104例如从事件日志或消息采集事件数据。由连接器104采集事件数据被示为描述从数据源102发送到图1中的连接器104的某些数据的“事件”。连接器104可以存在于数据源102或在数据源102和网络资产信息管理***101之间的中间点处。例如,连接器104可以存在于网络设备处、在网络内的合并点处、和/或通过简单网络管理协议(SNMP)陷阱(trap)操作。连接器104可以将事件数据发送到网络资产信息管理***101。连接器104可以是通过手动和自动化过程二者以及经由关联的配置文件可配置的。每个连接器可以包括一个或多个软件模块,所述一个或多个软件模块包括标准化组件、时间校正组件、聚合组件、批处理组件、解析器(resolver)组件、传输组件和/或附加组件。这些组件可以通过配置文件中适当的命令而被激活和/或去激活。
资产确定和事件优先化模块105可以与信息分析模块110结合来采集和分析事件数据。可以由规则模块109将事件与规则互相关以创建元事件。相关包括例如发现事件之间的关系,(例如,通过生成元事件来)推断这些关系的重要性,对事件和元事件进行优先化,并且提供用于采取行动的框架。提供用于聚合、相关、检测、和研究性的追踪活动的网络资产信息管理***101(其一个实施例被表现为被诸如处理器之类的计算机硬件所运行的机器可读指令)。***101还支持网络威胁和活动的响应管理、自组织查询分辨率、针对取证分析的报告和重放、和图形可视化。
资产确定和事件优先化模块105可以从而确定哪些数据源102(即,资产)被登记。例如,路由器可以指示事件从IP地址192.168.10.1到达并去往IP地址192.168.2.1和端口60。基于该信息,模块105可以确定哪个数据源102具有在从其中获得信息的特定网络中的特定的192.168.10.1的IP地址。基于该类型的信息,信息分析模块110可以基于与由资产模型模块106和规则模块109所提供的信息结合来确定涉及的脆弱性。
参考图1,网络资产信息管理***101通过对网络业务的基于规则的分析来提供关于网络资产的信息的实时管理。***101还基于对数据的自动的基于规则的分析和维护来提供被维护的资产信息集的增强。此类附加信息可以包括例如业务利用率、对于OS和应用的补丁级别、与资产关联的风险、危害安全的脆弱性等、以及任何用户定义的属性。可以使用对于与关于这些资产的已经可用或推断的信息相关的业务的基于规则的分析来实时维护这些属性。因而,业务相关的数据可以被分析以发现资产、和/或确定关于资产的附加信息。例如,假定资产在端口处接收业务,基于所述业务,网络资产信息管理***101可以确定例如由资产提供的服务的类型。例如,***101可以确定由资产所运行的软件的类型。来自资产的业务的类型还可以被用于确定由资产所提供的服务的特定类型。例如,来自资产的活动日志可以被用于实时确定已经应用何种类型的补丁和资产脆弱性。该信息可以被用于实时确定针对其他类型的业务的资产脆弱性。
本文描述的网络资产信息管理***101的前述和其他方面可以利用或不利用与资产的静态属性相关的信息来实现。因而,在没有与由扫描器107和外部资产数据库108所提供的资产的静态属性相关的信息的情况下,网络资产信息管理***可以利用与由连接器104所提供的实时业务相关的信息来确定关于资产的信息。
新时间戳可以被添加到资产属性以追踪所述规则上一次更新资产信息的时间。这可以与上一次资产扫描时间结合使用来计算资产模型信息置信度,所述资产模型信息置信度可以被用于计算涉及这些资产的活动或事件的优先级。其他属性可以被添加到资产,包括例如可以被规则所更新的时间戳。时间戳可以促进理解资产的活动级别。例如,如果资产在一段时间内没有活动,则时间戳可以促进理解何时活动停止。此类时间戳信息也可以被用于确定资产的存在。时间戳还可以与规则结合使用来将模型置信度分配给由***101所生成的通知111。
使用资产确定和事件优先化模块105,资产模型信息可以被优先化组件利用用于除其他属性之外特别基于资产的开放端口和识别出的脆弱性来对事件进行优先化。优先化可以被信息分析模块110所分析。在不存在基于规则的方法的情况下,关于该信息的真实性的置信度可以被上一次扫描时间所影响。然而,利用由能够监测补丁安装、脆弱性损害、到各种端口的业务以及以资产为目标的其他事件的规则模块109所提供的规则,资产信息的某些组件可以被规则实时更新。因而,规则刷新资产信息的上一次时间的知识可以促进计算被事件优先化所利用的资产信息模型置信度。
考虑到事件优先化,如上所述,时间戳信息可以被用于提高或降低特定资产活动的风险的优先级。例如,对于从一个源去往资产的特定端口的业务,该业务可能包含指向某个脆弱性的利用的分组。来自该分组的信息可以与在特定时间戳的先前获得的信息进行比较以确定脆弱性的级别。
资产模型模块106可以从扫描器107和/或外部资产数据库108获得静态资产信息。从扫描器107和/或外部资产数据库108所采集的信息可以形成被规则模块109所使用的资产模型的基础。因而,对于分析中的任何资产,甚至在从连接器104采集任何实时信息之前,资产模型模块106可以基于从扫描器107和/或外部资产数据库108所采集的初始信息来确定资产模型。部分地基于由资产模型模块106所确定的资产模型,信息分析模块110可以确定被资产所执行的服务的类型或者是否资产易受攻击。
规则模块109可以包括例如用于资产创建、删除和更新的规则条件。规则条件可以适用于被网络资产信息管理***101所管理的多个数据源102(即,资产)中的任何一个。资产创建可以基于被识别往来于IP地址的业务超过多于阈值量的数据或持续时间的规则条件。资产删除可以基于在可以是用户定义的一段时间内没有从资产看到业务的规则条件。资产更新可以基于识别OS补丁或应用补丁的事件应用于资产的规则条件。附加的组件可以维护被寻址的脆弱性和OS补丁之间的映射。规则模块109可以更新资产脆弱性列表。对于资产更新,另一个规则条件可以包括识别出未已知开放的资产上的端口所接受的连接的事件。资产开放端口可以被更新。对于资产更新,另一个规则条件可以包括由基于复杂规则条件的规则而识别资产损害。规则可以从而提高资产风险。
资产信息可以从各种事件中直接或间接推断出,并且资产信息的置信度级别可以被如下影响。检索的事件可以直接报告设备厂商和设备产品信息(例如,名称、补丁级别、版本级别等)。这提供了资产/***信息是准确的高级置信度。例如,由于事件描述资产的各部分并且信息直接从资产到达,检索的事件可以从而提供资产/***信息是准确的高级置信度。事件还可以包含关于从资产/设备到另一个资产的连接的信息。这给出关于运行于资产/***上的服务的第二置信度。事件还可以报告用于web浏览的用户代理、OS版本、补丁级别以及甚至安装在***上的应用。基于该信息,可以推断出关于资产的更丰富的数据,诸如应用列表、web浏览器客户端和操作***版本。
网络资产信息管理***101还提供资产信息的丰富(例如,当前和历史带宽利用率、去往资产的当前攻击集、基于网络业务的当前风险、与网域中其他资产关联的风险、以及资产的静态属性等)。例如,网络信息可以利用来自资产的安全信息来丰富以从而实时更新与资产关联的风险。风险可以与预定的风险阈值进行比较以确定例如针对特定网络、部门或组织的实际风险。基于针对资产的安全信息,***101可以确定特定风险或攻击确实危及资产的安全,从而提高风险级别。例如,如果被识别往来于与资产相关的IP地址的业务超过预定阈值量的数据或持续时间,此类业务的增长可能使得资产易受攻击并因此可以提高与资产相关的风险的级别。***101还可以维护对于特定资产已经在预定时间段内被利用的所有脆弱性或已经被尝试但未被利用的脆弱性的的列表。此类安全信息可以被实时添加到资产模型。考虑到如本文所讨论的资产信息的丰富,规则模块109还可以包括识别哪些脆弱性可能被利用或可能不被利用的规则。
图2图示根据实施例用于网络资产信息管理***101的***交互图。例如,图2示出各种网络交换机120(即,PC1、PC2….PCn)和可以充当类似于图1的连接器104的采集器121。附加组件可以包括用于从域名***(DNS)服务器123获得信息的DNS采集器122、用于从防火墙服务器125获得信息的防火墙采集器124、以及用于从虚拟专用网(VPN)服务器127获得信息的VPN采集器126。DNS服务器123、防火墙服务器125和VPN服务器127可以连接到用于给网络资产信息管理***101提供信息的因特网128。
对于网络资产信息管理***101,通过对网络业务的基于规则的分析的关于网络资产的信息的自动管理,与被***内部或在外部提供到***的关于网络资产观察到的附加信息相关,从而提供信息的实时且准确的维护。***还提供资产信息的丰富(例如,当前和历史带宽利用率、去往资产的当前攻击集、基于网络业务的当前风险、以及资产的静态属性等)。此外,***提供通过能够进一步被用于识别信息的可能过时的规则来维护资产信息的上一次更新时间戳的能力。这能够进一步例如被信息分析模块110使用来计算资产模型置信度。***还提供灵活的框架(使用灵活的用户可定制规则)来管理和使用资产信息。
3.方法
图3图示根据实施例用于网络资产信息管理的方法300。以示例而非限制性方式,方法300可以被实现在参考图1和2在上文描述的网络资产信息管理***101上。所述方法300可以被实践在其他***中。
对于方法300,参考图1-3,在块301,方法可以包括基于关于资产的静态信息来生成资产模型。如图1所示,资产模型模块106可以基于关于数据源102(即,资产)的静态信息来生成资产模型。关于资产的静态信息可以从扫描器107和/或外部资产数据库108获得。资产可以包括例如受管理的主机、服务器或网络设备。
在块302,方法可以包括基于涉及资产的网络活动来生成实时资产信息。如图1所示,资产确定和事件优先化模块105可以基于涉及资产的网络活动来生成实时资产信息。涉及资产的网络活动可以包括例如涉及资产的事件数据。事件数据可以包括例如资产日志、应用日志和/或网络数据。涉及资产的网络活动可以例如由连接器104所获得。
在块303,方法可以包括执行对涉及资产的网络活动的基于规则的监测。如图1所示,规则模块109可以包括用于监测涉及资产的网络活动的规则集。执行对涉及资产的网络活动的基于规则的监测可以包括基于被识别往来于与资产相关的IP地址的业务的级别与预定阈值的比较来确定与资产关联的风险和脆弱性。就这点而言,下面在块304的通知可以包括与资产关联的风险的级别。用于监测涉及资产的网络活动的规则可以包括用于在被识别往来于与资产相关的IP地址的业务超过预定阈值量的数据或持续时间的情况下创建资产的规则。规则还可以包括用于在预定时间段内没有从资产观察到业务的情况下删除资产的规则。规则可以进一步包括用于在识别OS补丁或应用补丁的事件已经被应用于资产的情况下更新资产的规则。
在块304,方法可以包括评估资产模型、实时资产信息、以及监测的网络活动以生成与资产相关的通知。如图1所示,信息分析模块110可以评估资产模型,实时资产信息、和规则以生成与资产相关的通知111。信息分析模块110可以基于上一次扫描时间来维护资产的使用年限并使用该使用年限来计算针对发生在资产上的活动的资产模型信息置信度。信息分析模块110可以使用资产模型信息置信度来计算发生在资产上的活动的优先级。与资产相关的通知111可以包括例如与资产关联的服务、应用、资源利用率、业务评定、攻击、病毒、蠕虫、安全损害、流氓进程、流氓服务器、OS版本、补丁级别、web客户端和/或风险。通知111可以被用于发布与资产损害和攻击相关的安全警报。通知111还可以被用于生成与资产关联的风险和统计数据。
4.计算机可读介质
图4示出可以与本文所述的实施例一起使用的计算机***400。计算机***400表示包括可以在服务器或另一个计算机***中的组件的通用平台。计算机***400可以被用作用于***101的平台。计算机***400可以通过处理器或其他硬件处理电路来运行本文所述的方法、功能和其他过程。这些方法、功能和其他过程可以被具体化为存储在计算机可读介质上的机器可读指令,所述计算机可读介质可以是非临时的,诸如硬件存储设备(例如,RAM(随机存取存储器)、ROM(只读存储器)、EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)、硬盘驱动器和闪存)。
计算机***400包括可以实现或运行执行本文所述的全部或部分方法、功能和其他过程的机器可读指令的处理器402。来自处理器402的命令和数据通过通信总线404传递。计算机***400还包括用于处理器402的机器可读指令和数据可以在运行时间期间存在其中的主存储器406(诸如,随机存取存储器(RAM)),和可以是非易失性并且存储机器可读指令和数据的辅数据存储408。所述存储器和数据存储是计算机可读介质的示例。存储器406可以包括包含在运行时间期间存在于存储器406中并被处理器402所运行的机器可读指令的模块420。模块420可以包括图1所示的***101的模块105、106、109和110。
计算机***400可以包括I/O设备410,诸如键盘、鼠标、显示器、触摸屏等。计算机***400可以包括用于连接到网络的网络接口412。其他已知的电子组件可以在计算机***400中被添加或替换。
尽管已经参考示例描述了实施例,但是可以在不背离要求保护的实施例的范围的情况下对所述实施例做出各种修改。
Claims (15)
1.一种网络资产信息管理***(101),包括:
资产确定和事件优先化模块(105),用于基于涉及资产(102)的网络活动来生成实时资产信息;
规则模块(109),用于包含用于监测涉及资产的网络活动的规则集;以及
信息分析模块(110),被处理器所运行以评估实时资产信息和规则以生成与资产相关的通知(111),
其中用于监测涉及资产的网络活动的规则包括用于基于被识别去往或来自与资产相关的IP地址的业务的级别和预定阈值的比较来确定与资产关联的风险和脆弱性,并且其中所述通知包括与资产关联的风险的级别。
2.根据权利要求1所述的***,进一步包括用于基于关于资产的静态信息来生成资产模型的资产模型模块(106),其中信息分析模块用于评估资产模型、实时资产信息、和规则以生成与资产相关的通知。
3.根据权利要求2所述的***,其中关于资产的静态信息从扫描器(107)获得。
4.根据权利要求2所述的***,其中关于资产的静态信息从外部资产数据库(108)获得。
5.根据权利要求1所述的***,其中涉及资产的网络活动包括涉及资产的事件数据,并且其中事件数据包括资产日志、应用日志或网络数据。
6.根据权利要求1所述的***,其中涉及资产的网络活动由连接器(104)获得。
7.根据权利要求1所述的***,其中用于监测涉及资产的网络活动的规则包括用于在被识别去往或来自与资产相关的IP地址的业务超过预定阈值量的数据或持续时间的情况下创建资产的规则,并且其中所述通知包括用于创建资产的指示。
8.根据权利要求1所述的***,其中用于监测涉及资产的网络活动的规则包括用于在预定时间段内没有从资产观察到业务的情况下删除资产的规则,并且其中所述通知包括用于删除资产的指示。
9.根据权利要求1所述的***,其中用于监测涉及资产的网络活动的规则包括用于在识别OS补丁或应用补丁的事件已经被应用于资产的情况下更新资产的规则,并且其中所述通知包括用于更新资产的指示。
10.根据权利要求1所述的***,其中信息分析模块(110)用于基于上一次扫描时间来维护资产的使用年限并使用该使用年限来计算针对发生在资产上的活动的资产模型信息置信度和发生在资产上的活动的优先级。
11.根据权利要求1所述的***,其中与资产相关的通知包括与资产关联的服务、应用、资源利用率、业务评定、攻击、病毒、蠕虫、安全损害、流氓进程、流氓服务器、操作***(OS)版本、补丁级别、web客户端或风险。
12.根据权利要求1所述的***,其中与资产相关的通知被用于生成与资产关联的统计。
13.一种用于网络资产信息管理的方法(300),所述方法包括:
基于涉及资产(102)的网络活动来生成(302)实时资产信息;
执行(303)对涉及资产的网络活动的基于规则的监测;以及
由处理器来评估(304)实时资产信息和监测的网络活动以生成与资产相关的通知(111),
其中执行对涉及资产的网络活动的基于规则的监测包括基于被识别去往或来自与资产相关的IP地址的业务的级别与预定阈值的比较来确定与资产关联的风险和脆弱性,并且其中所述通知包括与资产关联的风险的级别。
14.根据权利要求13所述的方法,进一步包括基于关于资产的静态信息来生成(301)资产模型,其中评估进一步包括评估资产模型、实时资产信息、和监测的网络活动以生成与资产相关的通知。
15.一种网络资产信息管理的设备,所述设备包括:
用于基于涉及资产(102)的网络活动来生成(302)实时资产信息的装置;
用于执行(303)对涉及资产的网络活动的基于规则的监测的装置;以及
用于由处理器来评估(304)实时资产信息和监测的网络活动以生成与资产相关的通知(111)的装置,
其中用于执行对涉及资产的网络活动的基于规则的监测的装置包括用于基于被识别去往或来自与资产相关的IP地址的业务的级别与预定阈值的比较来确定与资产关联的风险和脆弱性的装置,并且其中所述通知包括与资产关联的风险的级别。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161492309P | 2011-06-01 | 2011-06-01 | |
US61/492309 | 2011-06-01 | ||
PCT/US2011/058673 WO2012166194A1 (en) | 2011-06-01 | 2011-10-31 | Network asset information management |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103563302A CN103563302A (zh) | 2014-02-05 |
CN103563302B true CN103563302B (zh) | 2016-09-14 |
Family
ID=47259703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180071254.7A Active CN103563302B (zh) | 2011-06-01 | 2011-10-31 | 网络资产信息管理 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9438616B2 (zh) |
EP (1) | EP2715975B1 (zh) |
CN (1) | CN103563302B (zh) |
WO (1) | WO2012166194A1 (zh) |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9954883B2 (en) | 2012-12-18 | 2018-04-24 | Mcafee, Inc. | Automated asset criticality assessment |
EP2951753A4 (en) * | 2013-01-31 | 2016-09-21 | Hewlett Packard Entpr Dev Lp | TARGETED SECURITY ALERTS |
US20140288996A1 (en) * | 2013-03-14 | 2014-09-25 | Digital River, Inc. | Technology asset tracking system and method |
US10171318B2 (en) | 2014-10-21 | 2019-01-01 | RiskIQ, Inc. | System and method of identifying internet-facing assets |
US10075474B2 (en) * | 2015-02-06 | 2018-09-11 | Honeywell International Inc. | Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications |
US10021125B2 (en) * | 2015-02-06 | 2018-07-10 | Honeywell International Inc. | Infrastructure monitoring tool for collecting industrial process control and automation system risk data |
US10594714B2 (en) * | 2015-10-28 | 2020-03-17 | Qomplx, Inc. | User and entity behavioral analysis using an advanced cyber decision platform |
WO2017106919A1 (en) * | 2015-12-23 | 2017-06-29 | Suez Water & Treatment Solutions Pty Ltd | Conducting a maintenance activity on an asset |
US10860715B2 (en) * | 2016-05-26 | 2020-12-08 | Barracuda Networks, Inc. | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets |
US10237240B2 (en) | 2016-07-21 | 2019-03-19 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
US10764311B2 (en) * | 2016-09-21 | 2020-09-01 | Cequence Security, Inc. | Unsupervised classification of web traffic users |
FR3058015A1 (fr) * | 2016-10-26 | 2018-04-27 | Orange | Procede de controle dynamique et interactif d'une passerelle residentielle connectee a un reseau de communication, dispositif et programme d'ordinateur correspondants |
US10284589B2 (en) | 2016-10-31 | 2019-05-07 | Acentium Inc. | Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system |
US10412110B2 (en) | 2016-10-31 | 2019-09-10 | Acentium, Inc. | Systems and methods for multi-tier cache visual system and visual modes |
US10158654B2 (en) | 2016-10-31 | 2018-12-18 | Acentium Inc. | Systems and methods for computer environment situational awareness |
US10904282B2 (en) * | 2017-08-08 | 2021-01-26 | American International Group, Inc. | System and method for assessing cybersecurity risk of computer network |
CN108055246B (zh) * | 2017-11-29 | 2020-11-24 | 国家计算机网络与信息安全管理中心 | 一种非正常网络空间资产自动加入黑名单的控制*** |
CN108494787B (zh) * | 2018-03-29 | 2019-12-06 | 北京理工大学 | 一种基于资产关联图的网络风险评估方法 |
WO2020080222A1 (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 脅威分析装置、脅威分析方法、および、プログラム |
US11132446B2 (en) | 2018-10-25 | 2021-09-28 | Bank Of America Corporation | Blockchain system for assessment and management of assets |
CN110336684B (zh) * | 2019-03-21 | 2022-03-18 | 北京天防安全科技有限公司 | 一种网络资产智能识别方法及*** |
GB2582590A (en) * | 2019-03-26 | 2020-09-30 | Ge Aviat Systems Ltd | Method and system for fusing disparate industrial asset event information |
CN110311927B (zh) * | 2019-07-30 | 2022-05-27 | 中国工商银行股份有限公司 | 数据处理方法及其装置、电子设备和介质 |
US11321213B2 (en) | 2020-01-16 | 2022-05-03 | Vmware, Inc. | Correlation key used to correlate flow and con text data |
CN111400720A (zh) * | 2020-03-16 | 2020-07-10 | 深信服科技股份有限公司 | 一种终端信息处理方法、***及装置和一种可读存储介质 |
CN111431753A (zh) * | 2020-04-02 | 2020-07-17 | 深信服科技股份有限公司 | 一种资产信息更新方法、装置、设备及存储介质 |
CN111724261B (zh) * | 2020-06-22 | 2024-03-15 | 安全能力生态聚合(北京)运营科技有限公司 | 一种多用户资产虚拟化管理的方法及*** |
CN112202629B (zh) * | 2020-09-11 | 2023-08-25 | 智网安云(武汉)信息技术有限公司 | 一种网络资产监控方法及一种网络资产监控装置 |
CN112258054A (zh) * | 2020-10-26 | 2021-01-22 | 福建奇点时空数字科技有限公司 | 一种基于流量感知的网络资产合规性分析方法 |
KR102408489B1 (ko) * | 2020-11-19 | 2022-06-13 | 주식회사 에이아이스페라 | Ip 기반 보안 관제 방법 및 그 시스템 |
CN112541573B (zh) * | 2020-12-02 | 2024-06-18 | 安徽常道信息技术有限公司 | 一种神经网络的训练方法和装置 |
CN113411378A (zh) * | 2021-05-26 | 2021-09-17 | 深圳万物安全科技有限公司 | 基于事件触发的资产管理方法、***及计算机可读介质 |
US11997120B2 (en) * | 2021-07-09 | 2024-05-28 | VMware LLC | Detecting threats to datacenter based on analysis of anomalous events |
CN114124913B (zh) * | 2021-09-24 | 2023-11-28 | 绿盟科技集团股份有限公司 | 一种网络资产变化监控的方法、装置及电子设备 |
US20230094208A1 (en) * | 2021-09-29 | 2023-03-30 | Bit Discovery Inc. | Asset Inventorying System with In-Context Asset Valuation Prioritization |
US12015591B2 (en) | 2021-12-06 | 2024-06-18 | VMware LLC | Reuse of groups in security policy |
CN114500024B (zh) * | 2022-01-19 | 2024-03-22 | 恒安嘉新(北京)科技股份公司 | 一种网络资产的管理方法、装置、设备及存储介质 |
CN114430347A (zh) * | 2022-01-31 | 2022-05-03 | 上海纽盾科技股份有限公司 | 网络资产的安全态势感知防御方法、装置及*** |
CN114978614A (zh) * | 2022-04-29 | 2022-08-30 | 广州市昊恒信息科技有限公司 | Ip资产快速扫描处理*** |
CN114866315A (zh) * | 2022-04-29 | 2022-08-05 | 广州市昊恒信息科技有限公司 | It资产数字化安全管理方法 |
CN115242463B (zh) * | 2022-06-30 | 2023-06-09 | 北京华顺信安科技有限公司 | 一种网络资产动态变更监测方法、***及计算机设备 |
CN115225533B (zh) * | 2022-07-26 | 2023-09-19 | 深圳证券通信有限公司 | 安全分析方法及相关装置 |
CN115834219B (zh) * | 2022-11-29 | 2024-05-17 | 中国联合网络通信集团有限公司 | 一种网络资产评估处理方法、装置、服务器及介质 |
CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、***和可读存储介质 |
CN116366316B (zh) * | 2023-03-16 | 2024-02-27 | 中国华能集团有限公司北京招标分公司 | 一种网络空间测绘方法 |
CN116975007B (zh) * | 2023-07-29 | 2024-03-22 | 上海螣龙科技有限公司 | 一种网络资产存储、展示的方法、***、设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101151868A (zh) * | 2005-03-31 | 2008-03-26 | 朗迅科技公司 | 防止3g无线网络被信令攻击的方法和设备 |
CN101174973A (zh) * | 2006-10-31 | 2008-05-07 | 华为技术有限公司 | 一种网络安全管理构架 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
US7840663B1 (en) * | 2001-12-21 | 2010-11-23 | Mcafee, Inc. | Desktop security in peer-to-peer networks |
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
US8201256B2 (en) * | 2003-03-28 | 2012-06-12 | Trustwave Holdings, Inc. | Methods and systems for assessing and advising on electronic compliance |
US8136163B2 (en) * | 2004-01-16 | 2012-03-13 | International Business Machines Corporation | Method, apparatus and program storage device for providing automated tracking of security vulnerabilities |
US20100312718A1 (en) | 2004-06-08 | 2010-12-09 | Rosenthal Collins Group, L.L.C. | Method and system for providing electronic information for risk assesement and management via net worth for multi-market electronic trading |
US8677496B2 (en) * | 2004-07-15 | 2014-03-18 | AlgoSec Systems Ltd. | Method and apparatus for automatic risk assessment of a firewall configuration |
US8171555B2 (en) * | 2004-07-23 | 2012-05-01 | Fortinet, Inc. | Determining technology-appropriate remediation for vulnerability |
US7665119B2 (en) * | 2004-09-03 | 2010-02-16 | Secure Elements, Inc. | Policy-based selection of remediation |
US7774848B2 (en) * | 2004-07-23 | 2010-08-10 | Fortinet, Inc. | Mapping remediation to plurality of vulnerabilities |
US7761920B2 (en) * | 2004-09-03 | 2010-07-20 | Fortinet, Inc. | Data structure for policy-based remediation selection |
US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
US8544098B2 (en) | 2005-09-22 | 2013-09-24 | Alcatel Lucent | Security vulnerability information aggregation |
US8069471B2 (en) | 2008-10-21 | 2011-11-29 | Lockheed Martin Corporation | Internet security dynamics assessment system, program product, and related methods |
US8479297B1 (en) * | 2010-11-23 | 2013-07-02 | Mcafee, Inc. | Prioritizing network assets |
US8590047B2 (en) * | 2011-01-04 | 2013-11-19 | Bank Of America Corporation | System and method for management of vulnerability assessment |
US8782796B2 (en) * | 2012-06-22 | 2014-07-15 | Stratum Security, Inc. | Data exfiltration attack simulation technology |
-
2011
- 2011-10-31 EP EP11866959.7A patent/EP2715975B1/en active Active
- 2011-10-31 WO PCT/US2011/058673 patent/WO2012166194A1/en active Application Filing
- 2011-10-31 US US14/116,128 patent/US9438616B2/en active Active
- 2011-10-31 CN CN201180071254.7A patent/CN103563302B/zh active Active
-
2015
- 2015-09-04 US US14/846,502 patent/US20160191352A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101151868A (zh) * | 2005-03-31 | 2008-03-26 | 朗迅科技公司 | 防止3g无线网络被信令攻击的方法和设备 |
CN101174973A (zh) * | 2006-10-31 | 2008-05-07 | 华为技术有限公司 | 一种网络安全管理构架 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
Also Published As
Publication number | Publication date |
---|---|
EP2715975A1 (en) | 2014-04-09 |
US20160191352A1 (en) | 2016-06-30 |
WO2012166194A1 (en) | 2012-12-06 |
EP2715975B1 (en) | 2016-03-23 |
EP2715975A4 (en) | 2015-01-21 |
CN103563302A (zh) | 2014-02-05 |
US9438616B2 (en) | 2016-09-06 |
US20140075564A1 (en) | 2014-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103563302B (zh) | 网络资产信息管理 | |
US11212299B2 (en) | System and method for monitoring security attack chains | |
US20230042552A1 (en) | Cyber security using one or more models trained on a normal behavior | |
CN111600856B (zh) | 数据中心运维的安全*** | |
US10601844B2 (en) | Non-rule based security risk detection | |
US11388186B2 (en) | Method and system to stitch cybersecurity, measure network cyber health, generate business and network risks, enable realtime zero trust verifications, and recommend ordered, predictive risk mitigations | |
US9069954B2 (en) | Security threat detection associated with security events and an actor category model | |
US10013318B2 (en) | Distributed event correlation system | |
CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
Ficco et al. | Intrusion detection in cloud computing | |
US20140165207A1 (en) | Method for detecting anomaly action within a computer network | |
US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
US20190044961A1 (en) | System and methods for computer network security involving user confirmation of network connections | |
CN104509034A (zh) | 模式合并以识别恶意行为 | |
Vaarandi et al. | Using security logs for collecting and reporting technical security metrics | |
US11258825B1 (en) | Computer network monitoring with event prediction | |
CN111510463B (zh) | 异常行为识别*** | |
WO2011149773A2 (en) | Security threat detection associated with security events and an actor category model | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
Wang et al. | Research of electric power information security protection on cloud security | |
US9100422B1 (en) | Network zone identification in a network security system | |
Hermanowski | Open source security information management system supporting it security audit | |
CN105025006A (zh) | 一种积极的信息安全运维平台 | |
Kumar | Distributed Intrusion Detection System Scalability Enhancement using Cloud Computing. | |
Shen et al. | Implementation of an evaluation platform for unwanted traffic control via trust management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20170111 Address after: American Texas Patentee after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Patentee before: Hewlett-Packard Development Company, L.P. |