CN104169937B - 机会***扫描 - Google Patents
机会***扫描 Download PDFInfo
- Publication number
- CN104169937B CN104169937B CN201380017187.XA CN201380017187A CN104169937B CN 104169937 B CN104169937 B CN 104169937B CN 201380017187 A CN201380017187 A CN 201380017187A CN 104169937 B CN104169937 B CN 104169937B
- Authority
- CN
- China
- Prior art keywords
- scanning
- network
- detection
- computing device
- engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
能够通过使用至少一个处理装置以识别计算环境的网络上的特定计算装置的检测,来执行机会扫描。能够识别将要对所检测的特定计算装置所执行的至少一个扫描,识别适合执行至少一个扫描的多个扫描引擎中的特定扫描引擎。当所检测的特定计算装置处于网络上时,使用特定扫描引擎使至少一个扫描对所检测的特定计算装置来执行。
Description
技术领域
一般来说,本公开涉及计算安全领域,以及更具体来说,涉及安全扫描。
背景技术
给定计算机网络在实体内和实体间通信及事务中所起的关键作用,现代组织越来越关心保持其计算环境的可靠性和安全性。各种工具由网络管理员、政府、安全顾问和黑客用来测试目标网络的弱点,例如网络上的任何计算机是否能够未经授权来远程访问和控制。一些网络安全工具能够测试网络路径的可能侵入。从测试点,诸如跟踪路由(tranceroute)和试通(ping)之类的简单命令能够用来手动映射网络拓扑,并且大致确定哪些网络地址是“活跃的”以及哪些计算机在网络上“唤醒的”(即,确定哪些计算机是开启的并且对网络分组进行响应)。工具、例如端口扫描仪能够用来测试目标网络上的单独目标计算机,以确定哪些网络端口是开放的。如果找到开放端口,则那些端口可提供用于可能侵入的接入,并且潜在地表示能够由恶意黑客利用的弱点。网络安全工具能够执行网络中的计算机的各种测试和扫描,从而例如按照特定扫描会话来对计算环境的全部或部分执行扫描。
附图说明
图1是按照至少一个实施例、包括示例资产管理***的示例计算***的简化示意图;
图2是按照至少一个实施例、包括示例资产管理***、示例资产检测工具和示例扫描引擎的示例计算***的简化框图;
图3是示出按照至少一个实施例、示例计算环境的两个或更多网络中的资产检测引擎和扫描引擎的部署的简化框图;
图4A-4D是示出按照至少一个实施例的示例资产管理***和示例资产检测工具的示例操作的简化框图;
图5A-5E是示出按照至少一个实施例的示例资产管理***和示例扫描引擎的示例操作的简化框图;
图6是示出按照至少一个实施例、用于扫描计算环境的部分的示例技术的简化流程图。
各个图中的相似参考标号和表示指示相似元件。
具体实施方式
概述
一般来说,本说明书所述主题的一个方面能够通过方法来体现,这些方法包括使用至少一个处理装置来识别计算环境的网络上的特定计算装置的检测的动作。能够识别将要对所检测的特定计算装置所执行的至少一个扫描,并且能够识别适合执行至少一个扫描的多个扫描引擎中的特定扫描引擎。当所检测的特定计算装置处于网络上时,能够使用特定扫描引擎使至少一个扫描对所检测的特定计算装置来执行。
本说明书所述主题的另一个一般方面能够通过***来体现,这些***包括至少一个处理器装置、至少一个存储器元件和资产管理器。资产管理器能够适合在由至少一个处理器装置运行时接收识别计算环境的网络上的特定计算装置的检测的请求,识别将要对所检测的特定计算装置执行的至少一个扫描,识别适合执行至少一个扫描的多个扫描引擎中的特定扫描引擎,以及当所检测计算装置处于网络上时使用特定扫描引擎使至少一个扫描对所检测计算装置来执行。在一些实现中,***能够包括资产检测引擎,其适合检测网络中的计算装置的活动,并且得到所检测计算装置的标识,以及在一些情况的多个扫描引擎。
这些和其它实施例各能够可选地包括下列特征的一个或多个。特定扫描引擎能够远离所检测的特定计算装置。特定扫描引擎能够适合执行远程计算装置的基于网络的扫描。能够接收所执行的至少一个扫描的扫描结果。特定计算装置能够是移动计算装置。特定计算装置能够由网络上的资产检测工具来检测,以及特定计算装置的检测能够从来自资产检测工具的消息来识别。资产检测工具能够是被动检测工具。特定计算装置能够从由网络中的服务结合该服务所识别的事件所收集的数据来检测。特定计算装置也能够从与特定计算装置对应的、网络中传递的业务中包含的地址信息来检测。此外,特定计算装置能够从添加到网络中的服务的数据仓库的地址信息来检测。特定扫描引擎能够识别为与检测特定计算装置的资产检测工具关联,以及资产检测工具能够是计算环境中的多个资产检测工具其中之一。将特定扫描引擎识别为与资产检测工具关联能够包括查询扫描引擎到资产检测工具的映射。
此外,这些和其它实施例还各能够可选地包括下列特征的一个或多个。资产检测工具能够是主动检测工具,其适合探测计算装置,并且基于探测来检测计算装置是否存在于网络上。使至少一个扫描被执行能够包括向所识别的特定扫描引擎发送扫描请求。扫描请求能够包括扫描脚本,其在由特定扫描引擎运行时使特定扫描引擎执行至少一个扫描。多个扫描能够识别为对所检测的特定计算装置来执行。能够识别至少两个不同的扫描引擎,以执行多个扫描中的相应扫描,以及能够使多个扫描的两个或更多被执行。能够识别响应计算环境的网络中的特定计算装置的检测而将所识别的特定计算装置指定为使用至少一个扫描来扫描的装置。在一些实现中,能够识别计算环境的网络上的第二计算装置的检测,以及能够识别将要对所检测的第二计算装置执行的至少一个第二扫描。能够识别多个扫描引擎中的扫描引擎,其适合执行至少一个第二扫描,以及当所检测的第二计算装置处于网络上时,能够使至少一个第二扫描对所检测的第二计算装置来执行。
特征的部分或全部可以是计算机实现方法或者进一步包含在相应***或其它装置中,以用于执行这个所述功能性。在附图和以下描述中提出本公开的这些和其它特征、方面及实现的细节。通过描述和附图以及通过权利要求书,本公开的其它特征、目的和优点将会显而易见。
示例实施例
图1是示出包括管理计算环境100(其包括一个或多个网络(例如110、115)和网络110、115中的计算装置(例如120、125、130、140、145、150、155、160、165))的资产的资产管理***105的计算环境100的示例实现的简化框图。这类计算装置能够包括:用户计算装置(例如120、125、130、140、150、155);服务器装置,服务于计算环境中的各种服务、数据、应用和其它资源(例如135、145、160、165);以及其它主机装置。
计算环境100还能够包括扫描引擎170、175,其部署在网络110、115中,适合按照多种扫描的一个或多个来探测、测试、尝试接入并且以其它方式扫描计算环境中的装置(例如120、125、130、140、150、155)。一些扫描引擎170、175能够包括用于执行多种不同类型的扫描的功能性,而其它扫描引擎能够是专用扫描引擎,其适合执行特定类型的扫描、扫描计算环境上的特定类型的装置等。经过扫描,扫描引擎170、175能够尝试得到与计算环境100的各种元件、其相应主机装置(例如110、115、120、125、130、135、140)、装置所托管的应用和服务和计算环境100中的网络(例如145)以及诸如路由器、交换机、防火墙等的单独网络元件的属性有关的信息。这类属性能够包括主机的类型、主机的操作***、主机的硬件简档(profile)、主机的应用(以及这些应用的属性)、主机所使用的端口、主机所具有的弱点、主机的位置、主机的用户等。实际上,在一些实现中,扫描引擎170、175能够扫描主机装置,以便还得到描述使用计算环境100(例如经过被扫描主机)的各种用户/人的属性以及用户/人的行为趋势的信息。由扫描引擎170、175经过计算环境的各种扫描所生成、发现和/或收集的数据能够发送给至少部分集中的资产管理***105,以用于聚合、合成并且以其它方式处理结果数据(当它与计算环境100的安全相关评估结合生成时)。
在传统***中,扫描引擎能够按照特定时间表、周期地、按照管理员请求等运行。在一些情况下,扫描引擎的特定扫描能够尝试基本上同时(例如在扫描被认为是最小破坏性等的时间)、例如在所定义扫描窗口期间针对计算环境中的多个主机装置来运行。实际上,在这类情况下,扫描能够在关于大多数目标主机在扫描时存在于计算环境100的网络上的假设下运行。但是,实际上,情况不一定是这样。例如,具体来说,当计算装置成为更加移动时,计算装置可移动到和离开计算环境的网络。因此,计算环境的至少一部分的扫描可遗漏扫描时不在网络上的某些目标主机装置。在传统情形中,这类现实有时通过基于关于在前一扫描中遗漏的主机装置在将来扫描期间最终将在网络上的假设交错或随机化扫描的调度来解决。这不是最佳解决方案,特别是在将要执行紧急扫描或者特定主机装置(例如通过其用户的使用行为)比它们在网络上更频繁地离开网络110、115的情况下。此外,增加频率或者随机化扫描的调度还能够引起计算环境中的一些主机装置的冗余扫描以尝试捕捉先前扫描中遗漏的某些主机以及其它示例和困难。
在一些情况下,图1所述并且按照本文所述原理的至少一部分所实现的示例***能够克服上述缺陷以及本文没有明确描述的其它缺陷。例如,在一些实现中,示例资产管理***105能够至少部分集中化扫描引擎170、175所执行的扫描的控制以及从扫描所得到的扫描结果数据的处理,以便响应装置的检测而执行装置的按需扫描。此外,结合它对扫描引擎170、175的扫描的管理,资产检测工具(例如180、185)还能够被提供,并且结合计算环境100中的扫描引擎170、175的扫描的管理来与资产管理***105进行通信。这类资产检测工具能够提供有主动和被动收集计算环境中的数据和通信以检测计算环境的网络110、115中的各种计算装置的存在的功能性。这类检测能够传递给资产管理***105,以便为资产管理***105提供触发所检测计算装置的所尝试按需扫描的机会。
如上所述,***管理员能够将许多时间和资源投入保护计算环境(例如100)免于各种威胁(其利用计算环境中的***的特定弱点)。此外,计算环境100的至少部分能够受惠于特定策略或者由其来管理,以及符合这些策略的监测和审核对管理员以及他们在其***的管理中使用的工具会是繁重工作。例如,计算环境100中包含的端点或用户装置、网络元件、主机装置和其它计算装置能够与其它装置(包括计算环境外部的装置(例如通过一个或多个公共网络(例如190)))进行通信和/或促进其它装置之间的通信。弱点和威胁能够从装置参与计算环境100内部和外部的计算事务和通信来物化。***中的各种弱点的存在能够给计算环境100被利用弱点的威胁(包括计算机病毒、受损数据、未经授权***、数据或网络接入、数据盗用、蠕虫、恶意软件、黑客工具和其它威胁)损害打开方便之门。这类弱点和威胁能够对一个或多个装置、子网络或者计算环境本身造成风险。另外,在其下管理计算环境的各种策略还能够要求计算环境与一个或多个策略的特定合规。有效准确地扫描计算环境100中的装置和网络能够帮助确保维护各种安全标准和策略,并且保持总体计算环境100及其组成元件的安全和健康。
一般来说,“服务器”、“客户端”、“计算装置”、“网络元件”、“主机”、“主机装置”和“***”、包括示例计算环境100中的计算装置(例如120、125、130、140、145、150、155、160、165等)能够包括可操作以接收、传送、处理、存储或管理与计算环境100关联的数据和信息的电子计算装置。如本文档所使用的术语“计算机”、“处理器”、“处理器装置”或“处理装置”意在包含任何适当的处理装置。例如,计算环境100中示为单一装置的元件可使用多个装置、例如包括多个服务器计算机的服务器池来实现。此外,计算装置的任一个、全部或部分可适合运行任何操作***,包括Linux、UNIX、Microsoft Windows、Apple OS、Apple iOS、Google Android、Windows Server等以及虚拟机,其适合虚拟化包括定制和专有操作***的特定操作***的执行。
此外,服务器、客户端、网络元件、***和计算装置(例如120、125、130、140、145、150、155、160、165等)各能够包括一个或多个处理器、计算机可读存储器和一个或多个接口以及其它特征和硬件。服务器能够包括任何适当软件组件或模块或者能够托管和/或服务于软件应用和服务的(一个或多个)计算装置(例如资产管理***105、扫描引擎170和175、资产检测工具180和185、安全执行工具以及其它服务、应用和其它程序,包括分布式、企业或者基于云的软件应用、数据和服务)。例如,服务器能够配置成托管、服务于或者以其它方式管理数据结构、模型、数据集、软件服务和应用(其与其它服务和装置进行接口、协调或相关或者由其使用)。在一些情况下,服务器、***、子***或计算装置能够实现为在公共计算***、服务器、服务器池或者云计算环境上托管并且共享计算资源(包括共享存储器、处理器和接口)的装置的某种组合。
用户、端点或客户端计算装置(例如120、125、130、140、150、155等)能够包括传统和移动计算装置,其中包括个人计算机、膝上型计算机、平板计算机、智能电话、个人数字助理、功能电话、手持视频游戏控制台、台式计算机、因特网使能电视机以及设计成与人类用户进行接口并且能够通过一个或多个网络(例如110、115、190)与其它装置进行通信的其它装置。用户计算装置和计算装置的属性一般能够逐个装置广泛地改变,包括相应操作***以及各装置所加载、安装、运行、操作或者以其它方式可访问的软件程序的集合。例如,计算装置能够运行、执行、安装或者以其它方式包括各种程序集合,其中包括操作***、应用、插件、小应用程序,虚拟机、机器镜像、驱动程序、可执行文件以及能够由相应装置所运行、执行或者以其它方式使用的其它基于软件的程序。
一些计算装置还能够包括至少一个图形显示装置和用户界面,以允许用户查看计算环境100中提供的应用和其它程序的图形用户界面并且与其交互,包括与计算装置中托管的应用进行接口的程序的用户界面和图形表示以及与资产管理***105或者一个或多个扫描引擎170、175关联的图形用户界面)。此外,虽然用户计算装置可根据由一个用户所使用来描述,但是本公开预期许多用户可使用一个计算机,或者一个用户可使用多个计算机。
虽然图1示为包含或者关联多个元件,但是在本公开的各备选实现中可利用并非图1的计算环境100中所示的全部元件。另外,结合图1的示例所述元件的一个或多个可位于计算环境100的外部,而在其它情况下,某些元件可包含在其它所述元件以及所示实现中没有描述的其它元件的一个或多个之内或者作为其一部分。此外,图1所示的某些元件可与其它组件相结合,以及用于除了本文所述那些目的之外的备选或附加目的。
图2是示出包括示例资产管理***205(其与计算环境中的一个或多个主机(例如210)所托管的一个或多个扫描引擎(例如215)协同操作)的示例***的简化框图200。资产管理***205还能够与一个或多个资产检测引擎(例如220)(其也由计算环境中的装置所托管,并且分派有发现网络225中的计算装置连同所发现装置的地址和属性的任务(例如分派为“***类型***实体”)(例如228、230、235、240))进行通信并且在一些情况下对其进行管理。由资产检测引擎220对网络中的装置的检测能够传递给资产管理***,供资产管理***用于动态识别将要在所发现装置(当它(潜在地暂时)停留在网络上并且在适合执行所识别扫描的扫描引擎的可达范围之内时)执行的一个或多个扫描。网络215中的装置的扫描准许发现装置的其它属性,包括存在于或者经过资产管理***205能够尝试利用一个或多个安全工具(包括远离所检测装置(例如230)的基于网络的安全工具245以及本地运行(或者基于主机的)安全工具,例如存在于装置(例如230)的代理(例如244)所提供的工具以及其它示例)来阻遏的装置的弱点和策略违反。
示例资产管理***205能够包括一个或多个处理器装置250和存储器元件252,其用来运行在一些实现中包含于资产管理***205的一个或多个组件的功能性。例如,在资产管理***205的一个示例实现中,能够提供扫描控制器255、检测接口模块260、资产库管理器265和策略管理器268。例如,示例扫描控制器260能够包括用于与一个或多个扫描引擎(例如220、225)进行接口并且管理扫描引擎所执行的扫描集合和单独扫描的功能性。这样,资产管理***205能够在中心管理扫描以及经过计算环境的扫描(包括跨计算环境中的多个网络的扫描)所得到的信息。实际上,资产管理***205能够编排涉及由多个不同扫描引擎(包括基于网络和基于主机的扫描引擎)进行的许多扫描(即,扫描集合)的扫描,并且能够基于在扫描集合的一个或多个部分期间所接收的扫描结果来适配扫描引擎所使用的扫描脚本。此外,使用一个或多个不同扫描引擎所得到或生成的结果数据能够在中心向资产管理***报告,以供资产管理***进行聚合、合成和分析。
在一些情况下,策略(例如275)能够与计算环境的一个或多个组件关联,例如整个环境、网络、一个或多个子网、一个或多个装置、一个或多个应用、一个或多个用户等。这类策略能够包括以用户为中心的策略(例如针对特定用户对计算环境的装置和网络的使用所应用)、以装置为中心的策略(例如针对计算环境中的特定装置所应用)、以组织为中心的策略(例如由管理特定组织的计算环境中的使用和配置的组织所设置的策略)以及监管策略(例如由设置实体所管理的特定上下文中使用的计算***的***要求和方针的业界、政府或其它实体所设置的策略(例如Sarbanes-Oxley***合规策略、支付卡行业(PCI)策略、健康保险携带和责任法案(HiPAA)策略等))以及其它示例。扫描控制器255能够适合生成特定扫描(或者识别开发前(pre-developed)扫描,包括第三方扫描),其中包括涉及在一些情况下由多个不同扫描引擎所执行的扫描序列的扫描集合,针对与特定策略(例如275)的合规。多种扫描脚本272能够使用扫描控制器260来生成和保持,供用于结合一个或多个策略275来执行扫描。
扫描脚本272能够由扫描控制器255推送到一个或多个特定扫描引擎215,供扫描引擎用于执行对应扫描任务。扫描脚本272能够包括可执行指令,其在由扫描引擎读取或运行时识别特定扫描目标、将要执行的扫描以及一些情况下将要由扫描引擎用于执行扫描任务的计算语言的类型。扫描脚本的执行能够使扫描引擎执行一个或多个扫描任务。在一些情况下,扫描能够涉及来自计算环境中的特定装置或应用的数据的收集。扫描能够包括尝试(从目标的角度经授权或者未经授权)访问目标计算装置或应用的特定资源。扫描能够包括监测计算环境中的特定装置或应用对发送给计算装置或应用的特定激励或数据的响应。实际上,扫描能够包括由扫描引擎生成数据,以便作为输入提供给或传递给或者以其它方式发送给扫描的目标,扫描引擎还监测扫描目标对所发送数据的响应。由扫描引擎2105所发送的这种数据能够基于从扫描控制器255所接收的特定扫描脚本272,并且按照在扫描中生成和发送数据的(一种或多种)计算语言。此外,从目标所返回的数据能够使用扫描引擎215的一个或多个语言解释器来解释,以生成描述目标的响应和扫描的其它结果的扫描结果数据。
扫描控制器255还能够与扫描引擎(例如215)进行接口,以便得到从扫描引擎所执行的扫描任务所返回的扫描结果数据。此外,在一些实现中,扫描控制器255能够按照扫描的特定目标(例如测量与作为(一个或多个)扫描的基础的特定安全策略的合规、检查特定弱点等)来组织和聚合扫描结果数据(例如274)。此外,扫描控制器255能够处理扫描结果数据,以确定从扫描已经得到预期信息或者确定特定类型的扫描在得到特定扫描或者扫描集合所预期的特定信息(例如用于确定与作为扫描的基础的特定安全策略的合规的信息,以及其它示例)方面是成功的。在这类情况下,扫描控制器255能够通过过早取消扫描、采用另一个扫描脚本来替代扫描脚本、向扫描引擎发送补充扫描脚本、在另一个扫描引擎上调用另一个扫描以及其它示例,来适配扫描,以控制扫描的进度以及其它示例。
除了基于从先前或正进行扫描所得到的扫描结果来适配扫描之外,扫描控制器255还能够识别适合执行特定扫描的特定扫描引擎。例如,一些扫描引擎可特别适合执行特定扫描。例如,扫描引擎能够专用于扫描网络225中的特定装置、服务和应用并且与其通信的能力。在其它情况下,网络上可用的一些扫描引擎可以能够执行多种不同扫描。扫描引擎能够包括在目标装置上本地托管的基于主机的扫描引擎(例如经由目标装置上安装的代理)或者远离目标装置的基于网络的扫描引擎,其能够通过网络225来外部探测目标装置。在基于网络的扫描的情况下,扫描控制器255还可确定特定基于网络的扫描引擎(例如215)是否能够与特定远程扫描目标(例如计算装置228、230、235、240)进行通信并且由此对其进行扫描。这种确定可包括确定特定扫描引擎是否处于与扫描目标相同的网络上或者以其它方式能够与远程扫描目标进行接口。例如,在一些实现中,扫描控制器255能够从扫描目标到扫描引擎的映射来识别(即,识别哪些扫描控制器能够与哪些扫描目标进行通信)特定基于网络的扫描引擎适合与该扫描目标进行通信。如果扫描控制器255还确定所映射扫描引擎能够对扫描目标执行特定预期扫描,则扫描控制器255能够向扫描引擎(例如215)转发扫描脚本(例如272),供扫描引擎用于通过一个或多个网络(例如225)来扫描该扫描目标(例如计算装置240)。
在一些情况下,扫描引擎到扫描目标的映射能够结合对计算环境中的***资产编目录的资产库270来保持。***资产能够包括网络、应用和其它程序、计算环境中的单独装置或子***、识别为使用计算环境的特定用户或人等。资产库270还能够对各种***资产的所识别属性编目录,例如以便帮助识别***实体的弱点。资产库270中包含的信息也能够由扫描控制器255来访问,以便通知关于如何对特定扫描目标(即,待扫描***资产)执行特定扫描、要扫描哪些扫描目标、要调用哪些扫描引擎以扫描特定扫描目标、要考虑的扫描目标的属性等。另外,特定***资产的扫描能够引起***资产的附加信息和属性的发现。这种信息能够例如由资产库管理器265(其与扫描控制器255通信进行操作以及其它示例实现)来添加到或者替代资产库中所证明(documented)的相应***资产的其它信息。在一些实现中,资产库管理器255能够包括用于构建、更新并且以其它方式保持资产库270(其包括描述在计算环境中发现的***资产的记录)的功能性。
检测接口模块260还能够设置在资产管理***上,其能够允许资产管理***205与部署在计算环境中的资产检测引擎220进行接口,并且从资产检测引擎来得到结果,其识别在网络225上或者在计算环境的其它位置所发现的主机装置以及对所检测装置所检测的属性、例如地址数据和其它信息。在整个网络(例如225)所部署的资产检测引擎(例如220)能够识别指示网络225上的特定装置(例如228、230、235、240)的直接存在的数据。资产检测引擎220能够将告警、通知或者其它消息推送到资产管理***205,以指示特定所检测计算装置可以可用于扫描(例如使用扫描引擎215)。
在一些实现中,除了扫描控制器255、检测接口模块260和资产库管理器265之外,示例资产管理***205还能够包括策略管理器268,其能够用来定义安全策略并且将其应用于资产库270中识别和编目录的***资产。安全策略275资料库能够使用策略管理器268来保持和访问。在一些实现中,安全策略275能够包括标准安全策略(例如跨计算环境一般可适用的)以及环境特定安全策略。实际上,在一些示例中,策略管理器268能够包括允许管理员用户为其相应计算环境来定义和生成新的定制安全策略的功能性。此外,策略管理器268能够从用户输入关联或者自动化关联(例如基于资产库270中记录的相应***资产的属性的基于规则的策略指配)来关联哪些策略275应用于哪些***实体。这类关联也能够由扫描控制器255来考虑,以便识别在与特定策略275的执行或审核对应的扫描或扫描集合中将要扫描的计算环境的部分(例如特定扫描目标装置、特定子网络等),识别特定的所识别扫描目标的特定扫描以及其它示例。
从扫描所收集(例如由扫描引擎215以及由资产管理***205所控制的资产检测引擎220)的信息能够用来针对特定***资产来执行特定安全策略。例如,策略管理器270和/或资产库管理器265能够用来与计算环境中部署的多种安全工具(例如244、245)进行接口。安全工具245能够远离***资产(例如228、230、235、240)来部署,以允许策略执行远离并且代表目标(即,由安全工具245的一个或多个进行的安全执行动作的目标)进行,允许在策略(或执行工具)没有推送到目标本身的情况下的安全执行。这例如在移动装置(其移动到和离开被监测网络)以及未管理装置(例如没有包括能够执行重要安全策略的代理或者其它本地安全工具(例如计算装置230上的代理244)的装置)的安全执行中能够是有用的。这类基于网络的安全工具245能够包括例如防火墙、万维网网关、邮件网关、主机侵入保护(HIP)工具、网络侵入保护(NIP)工具、防恶意软件工具、数据丢失防护(DLP)工具、***弱点管理器、***策略合规管理器、资产临界性工具、侵入检测***(IDS)、侵入保护***(IPS)和/或安全信息管理(SIM)工具以及其它示例。然而,本地安全执行例如经过代理(例如244)或者运行、加载有目标装置(例如230)或者以其它方式与其直接接口并且为资产管理***205提供用于在目标装置直接执行策略的接口的其它工具以及其它示例也是可能的。
扫描引擎(例如215)能够部署在网络225中的主机装置(例如210)上。扫描引擎通过软件和/或硬件来体现,并且包括至少一个处理器和一个存储器装置。扫描引擎能够包括用于执行一个或多个扫描任务的功能性,其中包括利用一种或多种不同计算语言的扫描任务。扫描引擎能够按照特定计算语言来扫描装置,以得出对利用那种计算语言的特定服务、应用或装置的响应。由扫描引擎在特定扫描或扫描集合中使用的扫描任务和扫描语言能够基于从资产管理***所接收的、扫描请求中的扫描脚本和其它指令。此外,如上所述,扫描引擎能够包括基于网络的扫描引擎和基于主机的扫描引擎。例如,基于网络的扫描引擎能够运行扫描脚本,其使扫描引擎210模仿网络225上的另一个装置、服务或用户(包括恶意装置、服务和用户)来测试扫描目标对于与所模仿装置、服务或用户的交互如何作出反应以及其它示例。扫描引擎还能够捕获响应、获得对目标装置的接入以及尝试得到目标上存储的数据,并且经过其装置的交互(即,扫描)来执行其它动作。然后能够向资产管理***205报告从扫描所发现的属性和信息。
计算环境中的各主机装置能够具有对其是原子的基本特性。例如,特性或属性能够包括IP地址(或者多个IP地址)、(一个或多个)对应媒体接入控制(MAC)地址、完全合格域名(FQDN)、(一个或多个)操作***等。了解这类特性能够用于计算环境中的风险分析和安全执行,例如在结合扫描以及装置的扫描的结果与装置的先前扫描的结果的调和与装置的识别和通信中。检测网络225中的装置并且识别包括装置的地址信息的属性能够涉及多种技术。例如,代理能够部署在网络中的装置上,以直接从***实体采集实体属性。虽然准确和便利,但是并非所有主机装置均可“被管理”,因为它们具有或者能够具有代理(例如244)。
当装置加入网络时,保护和管理网络的安全过程应当尽可能立即获悉其存在。在被管理环境中,这是相当易于适应的,因为装置上的代理(例如244)能够直接通知资产管理***205。但是,在未管理资产的情况下,环境中的装置的检测能够经过资产管理***205可用并且与其通信的基于网络的检测过程来促进。
资产检测引擎(例如220)能够包括允许确定网络上的装置的在场或存在的功能性。这类工具的示例是试通扫掠器(sweeper)、动态主机配置协议(DHCP)监测器、地址解析协议(ARP)高速缓存“农场(farmer)”等。这些工具能够包括主动或被动工具或传感器,其主动或被动监测环境以搜索新资产。一旦识别新资产,工具能够通知资产管理***205,准许进一步资产属性识别过程开始(或继续进行)。示例资产检测引擎220能够是网络附连装置或软件***,其部署成使用多个检测技术的一个或多个来自动检测计算环境的网络225上的活跃网络装置,以及此后传递装置的检测,以触发附加活动(例如使用资产管理***205),其中包括尝试使用一个或多个扫描引擎(例如210)来扫描所检测装置。资产检测引擎220能够包括至少一个处理器280和一个或多个存储器元件282。在一些实现中,资产检测引擎220能够包括传感器框架285,其包括一个或多个检测传感器,其中包括实现各种主动和被动检测技术的主动和/或被动传感器。资产检测引擎能够使用传感器框架285的传感器来执行特定类型的检测任务,并且检测计算环境中的装置。
在一些情况下,一个或多个资产检测引擎(例如210)能够具有被动监测网络225的各种活动的功能性,其包括一个或多个装置地址的传递或识别。所识别地址则能够从被监测信息中提取,以识别网络225中的对应装置。这能够例如通过将所检测地址与网络(例如资产库270)中的地址到装置的映射进行比较(例如在资产检测引擎220或资产管理***205)来实现。此外,地址信息还能够用来试通、探测并且以其它方式扫描在所识别地址的所检测装置或者与其通信(例如使用资产管理***205和/或扫描引擎215)。
在一些实现中,示例资产检测引擎210能够部署在网络中,以便执行与网络中的装置和装置的地址的检测关联的多个不同检测任务。在一些实现中,示例资产检测引擎220能够至少部分作为硬件装置(其直插式(例如在交换机或路由器)、并行(例如,离开路由器跨越端口)***网络)、或者至少部分作为软件(其能够在整个子网来部署,例如在网络中的特定或任意主机、在例如网络DHCP服务器等的专用主机或者在其它部署)来部署。在一些情况下,资产检测引擎220能够包括传感器框架285上的多个传感器,其中包括可***传感器组件,其能够配置成允许单个资产检测部署(例如220)执行多个不同检测功能。
在一些实现中,传感器框架285能够提供主动传感器和被动传感器的组合。主动传感器能够包括涉及向网络中的装置和地址直接发送业务并且测试对业务的响应的传感器。这类主动传感器能够包括基于硬件和/或基于软件的传感器组件,其中具有适合执行多播查询、试通扫掠、地址扫掠和其它检测活动的功能性。另一方面,被动传感器能够包括传感器组件,其中具有尝试得到超出与装置的通信或者对应于地址本身的网络中的装置的地址信息并且识别装置的功能性。被动传感器能够包括被动检测类型传感器、基于事件的检测类型传感器和间接检测类型传感器。传感器框架285能够包括一种或多种类型的主动传感器和被动传感器。实际上,在一些实现中,相同类型的多个传感器能够设置在单个传感器框架285上。
在一些情况下,主动传感器能够包括适合利用IP多播来发现网络中的装置的传感器。在IP网络的上下文中的多播寻址是一种用于一对多通信的技术,其中同时向一组目标***发送消息使路由器创建那些分组的副本供最佳分布。用于检测(或者新发现)网络225上的装置的示例多播查询能够包括利用链路本地范围全节点多播地址(例如“FF02::1”前缀)的查询。例如,示例主动传感器能够向多播地址FF02:0:0:0:0:0:1:2的端口547发送DHCPv6 UDP探测,以发现所有DHCP服务器和中继代理。在另一个示例中,示例主动传感器能够向“所有节点”多播地址FF02::1发送ICMP查询,以发现本地网络上的***。在又一个示例中,示例主动传感器能够向“所有路由器”多播地址FF02::2发送ICMP查询,以发现本地网络上的路由器以及其它示例。
在其它示例中,包含在传感器框架285中的一个或多个主动传感器能够包括适合执行目标试通、强力地址或试通、扫掠以发现网络上的装置的传感器。例如,主动检测传感器能够尝试通过试通地址,来检测与特定地址对应的特定装置当前是否存在于网络225上。试通和试通扫掠能够利用传统ICMP试通扫掠技术,由此将一个或多个分组发送给潜在活跃地址以及其它技术。如果接收特定类型的响应,则认为目标地址存在并且是活跃的。试通扫掠能够包括ICMP试通扫掠(对于若干分组类型)、用于相对已知TCP端口的开放套接字的扫掠、用于相对已知TCP端口的半开放套接字的扫掠并且向特定已知UDP端口发送“轻推”分组以及其它示例。
此外,虽然地址扫掠能够应用于基于目标的地址扫掠检测(例如目标特定、已知IP地址或者先前基于一个或多个资产检测引擎210的被动检测任务所识别或所选的IP地址范围),但是主动检测传感器也能够连续扫掠地址范围,以检测已知装置、发现新活动地址(例如指示网络中的装置22%)以及检验先前活动地址仍然是活动的或者变成不活动,将事件发射到资产管理***205或者直接发射到扫描引擎(例如215),以在检测到状态变化时近实时地执行扫描和其它有用工作。
传感器框架285上的被动传感器也能够发现网络225上新活动和所检测装置。被动传感器能够包括潜在检测传感器、基于事件的检测传感器和间接检测传感器。潜在检测传感器能够包括适合潜在地监测网络的各种活动(其包括装置地址信息的传递或识别)并且无需与主机***(即,对应于地址)直接联络而提取地址信息的传感器。潜在检测传感器能够包括适合例如监测NetBIOS广播分组、监测因特网控制消息协议(ICMP)业务、嗅探一般网络业务、经由交换机端口镜像(例如经过交换机端口分析器(或者“SPAM端口”))来嗅探业务以及其它示例的传感器。例如,适合截取NetBIOS广播分组的潜在检测传感器能够确定网络上的装置的地址信息以及其它***实体属性。许多***、包括基于例如Microsoft’sWindows™操作***的那些***能够例如结合用于UDP端口138上的无连接通信的NetBIOS数据报分布服务向其本地网络来广播数据报分组以及其它示例。NetBIOS数据报广播分组能够识别始发所截取NetBIOS分组的发送装置的IP地址和MAC地址,并且还能够包括数据,其在经过处理时揭示发送装置的操作***以及其它信息。相应地,适合截取NetBIOS广播分组的潜在检测传感器能够识别发送装置、其相应地址数据以及发送装置的操作***。
在另一个示例中,另一个(或同一个)潜在检测传感器能够适合监测ICMP业务。大量业务能够由网络中的装置经由ICMP协议来生成和发送。适当适配的潜在检测传感器能够监听特定类型的多播ICMP业务、例如邻居请求分组和邻居公告分组,以识别在业务中识别的一个或多个装置的地址(即,MAC地址和IP地址)以及其它示例。在又一个示例中,潜在检测传感器能够适合嗅探一般网络业务的地址信息(其能够用来识别网络中的先前未知装置)或者如网络中的先前识别装置所使用的、先前未知的地址。IP分组包括源和目的地地址信息以及源和目的地端口和源和目的地的相应MAC地址。相应地,嗅探全网络业务能够允许发现新地址数据并且由此还发现通过被监测网络进行通信的新装置。通过被动嗅探全网络业务,每当这类装置通过网络进行通信时,能够发现新装置地址。但是,嗅探一般业务在一些网络中会成问题,因为许多当代网络是“交换的”,由此网络装置以及也许还有所部署资产检测引擎220仅接收广播分组、多播分组以及对托管资产检测引擎的装置直接寻址的分组。在其它情况下,端口镜像能够经过平衡,以识别网络中先前已知的装置地址。一些网络路由器和交换机能够配置成将特定装置端口上或者甚至整个虚拟局域网(VLAN)的所有业务转发或“镜像”到交换机上的另一个端口,例如Cisco装置上的交换端口分析器(SPAN)和3Com交换机上的漫游分析端口(RAP)以及其它示例。在传感器框架275中可使用的潜在检测传感器的一些实现能够适合嗅探网络交换机的所配置SPAN端口(或者其它业务镜像端口)上的业务,由此允许传感器监测通过端口所镜像的全网络业务,包括定向在交换网络中的其它装置的业务,而无需传感器在物理上连接到镜像端口。
被动传感器还能够包括基于事件的检测传感器。一般来说,基于事件的检测传感器能够登记网络服务或者以其它方式与网络服务进行接口,以便在一个或多个特定预先识别类型的事件发生时接收通知。(向或者由相应网络服务进行的)这类事件的报告或检测能够包括资产管理***205感兴趣的装置寻址信息、例如IP地址和DNS名称的标识。这类事件能够包括例如DHCP服务器事件、Microsoft Active Directory™审核事件以及防火墙和侵入防护***(IPS)事件以及其它示例。基于事件的检测传感器能够与记录这类事件的相应装置和***进行接口,并且识别那些特定事件和事件记录,对其能够挖掘地址数据,供构建或补充资产库250的记录中使用。
作为示例,基于事件的检测传感器的一个实现能够包括适合与DHCP网络环境中的一个或多个DHCP服务器进行接口的传感器。在DHCP网络环境中,每当***接通并且加入网络时,它广播从最近DHCP服务器接收IP地址的请求。最近服务器然后一般分配地址租赁,并且通知目标(请求)***关于其地址应当是哪一个。此外,一旦***的租赁到期,则将它从DHCP服务器的活动地址列表中去除。在一些实现中,DHCP服务器监测和/或参与这个地址租赁过程,以及基于事件的检测传感器能够包括用于与(一个或多个)DHCP服务器进行接口的功能性,以及查询DHCP服务器的记录,从DHCP服务器接收告警和其它消息,或者以其它方式从DHCP服务器获取与涉及网络中的装置的最近租赁事件有关的信息。例如,DHCP服务器的一些实现向其它装置和服务提供API(例如Microsoft DHCP服务器的“DHCP服务器调出API”和日志文件(例如记录租赁事件的Unix/Linux DHCP服务器“dhcpd”)以及其它示例和实现。一般来说,由传感器从DHCP服务器所得到的信息能够又用来识别网络中潜在新的或先前未知的装置。
在另一个示例中,示例基于事件的检测传感器能够适合与Microsoft WindowsActive Directory服务器进行接口,以便得到由Active Directory服务器所记录或识别的特定类型的事件的记录。例如,在组织中,当用户对加入Active Directory域的***执行登录或注销时,事件能够在Active Directory服务器的事件日志中创建。一些特定事件以及这些事件的记录能够包括网络中的一个或多个装置的IP地址和DNS名称信息的标识。基于事件的检测传感器能够提取这个地址数据,供资产管理***205使用。
另外,基于事件的检测传感器还能够与防火墙、IPS和其它安全工具(例如245)进行接口,以便得到描述工具245所识别和监测的事件的日志和其它信息。例如,防火墙是基于一组用户指定规则来允许或拒绝网络传输的装置。侵入防护***(IPS)是进行深层分组检查并且在注意到特定业务模式时生成事件的装置。IPS也能够修改或防止这种业务。防火墙和IPS均能够用来在网络攻击的情况下通知网络管理员或者帮助实际上防止非法进入、病毒、蠕虫蔓延等。在一些实现中,IPS或防火墙还能够配置成生成与特定类型或模式的网络业务相关的事件,并且所生成事件能够包括列示结合事件所监测的业务中涉及的源和目的地地址、DNS名称和开放端口的记录或消息的创建。此外,防火墙和IPS能够配置成与基于事件的检测传感器进行接口,并且作为事件来报告包括地址信息的特定类型的分组(例如DHCP地址请求、DNS名称查询以及其它示例)的检测。
间接检测类型传感器也能够包含在示例资产检测引擎220上的被动传感器之中。间接检测类型传感器能够适合与各种网络服务(其记录和保持装置地址信息)进行接口并且对其进行查询,以提取那些地址,而无需与对应主机直接联络。这类目标网络服务和装置能够包括例如简单网络管理协议(SNMP)服务器(例如SNMP管理信息库2(MIB2))、主机邻居数据库(例如经由netstat命令)、DHCP数据库和路由器保持邻居信息数据库以及其它示例。
在一个具体示例中,间接检测类型传感器能够适合查询SNMP服务器的管理信息库(MIB)(包括MIB2)。从MIB2,能够得到大量信息,其能够用来进一步增强资产库270。例如,能够查询MIB21,以得到SNMP服务器的ARP表,并且由此还得到SNMP服务器/装置通过本地网络已经与其联络的装置的列表,包括装置的地址信息。能够得到列示***、其IP地址以及SNMP服务器/装置与其连接或者已经发送或接收数据的端口的连接表。也能够访问路由表连同关于分组如何从装置路由到网络上的其它装置的细节,包括路由选择中涉及的其它装置的IP地址。附加示例数据也能够从SNMP装置来得到,并且其它SNMP查询也能够揭示SNMP装置在其中进行通信的网络中的装置的地址信息和其它有用数据。
在另一个示例中,间接检测传感器能够适合得到网络中的远程装置上的命令shell,并且发出netstat命令,以便根据IP地址(远程装置与其连接并且交换数据连同其它***的端口信息)得到网络中的***的列表。其它间接检测传感器能够适合与DHCP服务器进行接口,并且查询一个或多个DHCP服务器所保持的数据库,以得到网络上的装置的地址信息。例如,间接检测传感器能够适合识别网络上的DHCP***,并且使用远程API来查询DHCP服务器数据库(例如使用DhcpEnumServers、DhcpEnumSubnets、DhcpEnumSubnetClientsV5等)或者使用例如远程命令shell来访问DHCP租赁列表(例如Linux***中保持的纯文本文件最小列表)以及其它示例。另外,一些间接检测传感器也能够例如通过查询网络中的各种路由器的“ipv6邻居信息数据库”,来查询路由器的装置地址信息。这种数据库能够保持相应路由器已知的(例如自路由器上一次初始化以来已经生成网络业务的所有装置的)IP地址和MAC地址的列表,其能够使用对应间接检测传感器来采集。在一些情况下,这种传感器能够适合保持和利用特定连接器以用于待支持的各单独路由器或网络装置,以及在一些情况下的路由器凭证、类型和地址的记录。
与所使用的资产检测技术的类型无关,资产检测引擎(例如220)能够识别特定装置已经参与计算环境的网络中的通信、事件和事务。网络上的装置存在的证明的检测能够用作用于触发(一个或多个)特定所检测装置的扫描的基础。此外,在一些情况下,附加检测活动能够响应识别网络上的装置存在的证明而执行。例如,在请求扫描并且将扫描引擎主机的资源专用于所检测装置的扫描之前,在一些情况下,资产管理***205能够请求资产检测引擎提示其它任务以确认所检测装置的存在,例如在前一检测活动中检测的地址的装置的活动检测试通。在其它情况下,不是冒着丢失窗口以扫描所检测装置的风险、同时等待附加检测活动被执行以确认所检测装置的存在,所检测装置的所识别扫描而是能够由资产管理***205在收到关于目标装置的检测的通知时立即触发。
在一些情况下,资产管理***205能够尝试机会地扫描计算环境中的特定装置。资产检测引擎220能够返回识别计算环境中的装置检测的难以管理的大量实例的数据,包括潜在的数百或数千个不同装置。在一些实现中,不是对每一个所检测装置或者每当由一个或多个资产检测引擎220检测到装置时发起扫描,而是能够由资产管理***205识别装置的有限子集,对此,装置的检测(例如使用一个或多个资产检测引擎)会作为响应而提示装置的扫描。例如,能够保持在最近的特定扫描中没有扫描的装置的列表。在检测到未扫描装置时,资产管理***205能够确定所检测装置对应于未扫描装置之一,并且触发由适当扫描引擎对装置的对应扫描。在又一些示例中,只有(例如特别重要的)扫描的特定子集能够包括未扫描装置的列表的维护(由资产管理***205)。在其它示例中,***中特别重要的装置、识别为移动装置的装置(即,更可能周期地离网的装置)以及识别为具有在计算环境的网络上不定时存在的历史的装置(例如,特定用户、例如常常旅行或者以其它方式离开办公室的行政人员、销售人员、电信员工的移动计算装置)能够包含在装置(对其应当响应检测到网络中的装置而尝试机会扫描)的列表中,以及其它示例。
来看图3,如简化框图300所示,在一些示例中,计算环境能够包括资产管理***205所管理的多个网络和子网络(例如305、310)。各网络305、310能够具有一个或多个资产检测引擎315、320,但是也能够具有一个或多个扫描引擎325、330,其适合对所发现装置执行任务、例如特殊化检测后扫描,以确定操作***、硬件、端口、应用、弱点、用户和其它信息,其能够用于例如计算环境中的***实体的识别,包括应用类型实体和人类型实体。这种信息也能够用于将安全策略指配给计算环境中的特定网络、装置、应用和人。
如图3的示例所示,各网络305、310能够包括多个资产检测引擎(例如315、320)。此外,如以上和本文其它部分所述,由资产检测引擎(例如使用资产检测引擎上包含的一个或多个传感器)对装置和对应地址信息的检测能够由其它服务和装置、例如其它资产检测引擎和/或扫描引擎(例如325、330)来使用。但是,在一些情况下,地址信息单独地可能不足以指导或触发由其它资产检测引擎或扫描引擎进行的针对特定装置的任务。例如,单个IP地址能够在子网络305和310的每个中重复,尽管网络305、310驻留在同一计算环境、例如企业软件环境中。相应地,资产管理***205可利用附加信息来识别网络中包含的、与关联所检测装置的地址的特定实例对应的适当扫描引擎或资产检测引擎。
作为说明性示例,图3中,主机装置设置在网络305、310的每个中。例如,在网络305中能够包含托管网站340的主机装置335、托管数据库350的主机装置345以及打印机装置355等等。此外,在这个具体示例中,路由器360、主机装置365和移动计算装置370能够包含在网络310中。在这个具体示例中,主机335和主机365能够具有相同IP地址。为了识别和调用正确扫描引擎(例如扫描引擎330之一)以探测主机365,资产管理***205能够保持资产检测引擎到扫描引擎的映射或其它关联。例如,资产管理***205能够将资产检测引擎315中的资产检测引擎映射到扫描引擎515中的扫描引擎并且将资产检测引擎320中的资产检测映射到扫描引擎330中的扫描引擎,由此还识别用于特定资产检测引擎所检测的主机或其它装置的正确扫描引擎(或者其它资产检测引擎)。
继续图3的前一示例,资产检测引擎320能够识别主机365的IP地址,并且向资产管理***205报告如已经检测的所发现地址信息。在这个示例中,资产管理***205能够选择执行与所检测IP地址对应的装置(例如主机365)的扫描。为了实现这个方面,资产管理***205能够识别主机365的IP地址从资产检测引擎320返回,并且咨询映射,以识别位于与预期扫描相同的网络310中并且适合执行预期扫描的一个或多个扫描引擎330。实际上,在一些情况下,资产检测引擎(例如320中)本身能够查询或者以其它方式访问映射,以识别和直接调用关联扫描引擎(例如330中)。
关联资产检测引擎315、320和扫描引擎325、330的映射能够使用多种技术来构建。例如,资产检测引擎能够与扫描引擎手动并且明确关联(例如由用户管理员)。在另一个示例中,例如通过例如在同一主机装置上部署与扫描引擎级联的资产检测引擎,能够严格地关联资产检测引擎和扫描引擎(即,一个资产检测引擎对一个扫描引擎,反过来也是一样)。在又一些示例中,映射能够自动化。例如,资产检测引擎315、320和扫描引擎325、330各能够在一个或多个特定网络305、310中识别并且映射到一个或多个特定网络305、310,以及资产管理***205能够识别特定地址信息(例如对应于特定装置,例如360、365、370)从特定网络(例如310)中的特定资产检测引擎(例如320中)来收集。在其它情况下,特定资产检测引擎315、320能够直接映射到特定扫描引擎325、330。在一些情况下,扫描引擎能够查找或识别关联资产检测引擎,而在其它情况下,资产检测引擎能够查找或识别关联扫描引擎。在任一种情况下,扫描引擎和/或资产检测引擎能够报告关联资产检测引擎/扫描引擎的发现,以便将扫描引擎映射到关联资产检测引擎(反过来也是一样)。
在一些实现中,由资产检测引擎315、320所收集的地址信息能够用来关联资产检测引擎315、320和扫描引擎325、330(和/或识别资产检测引擎处于与一个或多个扫描引擎相同的网络中等等)。例如,如果特定资产检测引擎(来自315)将资产管理***205已知的地址信息识别成对应于托管一个或多个特定扫描引擎(例如325)的特定装置,则资产管理***205能够使用所返回地址信息来确认特定资产检测引擎(例如315)处于与对应的特定扫描引擎(例如325)相同的网络(例如305)上,并且特定扫描引擎会将扫描目标的地址信息看作对应于网络(例如305),而不是将扫描目标与不同网络(例如310)上的另一个装置混淆以及其它示例。例如,扫描引擎和/或检测引擎能够识别与资产检测引擎或扫描引擎相似的业务或行为,并且由此识别它们各在同一网络中,或者特定扫描引擎325以其它方式能够达到与关联资产检测引擎所发现的地址信息对应的特定目标装置。
来看图4A-4D,示出简化框图400a-d,示出利用一个或多个示例资产检测引擎(例如425a-d)的示例检测操作。如图4A所示,示出多个主机装置410、415、420,其处于或者已经处于特定网络405中,并且在装置出现于网络405时能够使用一个或多个各种资产检测引擎来检测。例如,在图4A的示例中,资产检测引擎425a上的基于事件的检测传感器能够用来识别网络上的一个或多个装置。例如,涉及装置410的事件能够在网络上由一个或多个网络服务、例如Active Directory服务器、IDS、防火墙或者其它工具或服务(例如事件管理服务器430)来识别。事件管理服务器430能够检测、登记和记录网络上的事件,包括所检测事件中涉及的装置(例如410)的地址标识符。在一些情况下,能够向基于事件的检测传感器通知和/或转发关于事件管理服务器430所检测的新事件的事件数据。例如,事件管理服务器430能够将特定事件转发到基于事件的检测传感器,其先前被识别为可能包括网络中的装置的地址信息。在其它情况下,基于事件的检测传感器能够与事件管理服务器430进行接口,并且查询事件管理服务器430的事件记录,以识别新事件,并且从事件数据中提取装置地址数据。这种事件数据则能够由资产检测引擎425a来处理,并且发送全资产管理***205。从事件数据,能够确定装置410处于/曾处于网络405上。
转到图4B,其它资产检测引擎或者同一资产检测引擎的其它传感器能够使用其它被动检测技术、例如潜在检测技术来检测主机装置410。例如,资产检测引擎425b能够包括SPAM端口传感器或者另一传感器,其能够监听在一个或多个交换机、路由器或者网络405的其它网络元件的端口镜像。例如,资产检测引擎425b的传感器能够识别跨交换机450的业务,其中包括经过交换机450上的端口镜像(例如465)的特定网络通信455的源和目的地的地址。在这个具体示例中,由资产检测引擎所发现的目的地IP地址能够对应于主机装置410。由资产检测425b使用捕获端口镜像数据(例如在交换机450的SPAN端口)的传感器所发现的IP地址则能够传递给资产管理***205,如图4B所示。
转到图4C,在其它情况下,示例资产检测引擎425c能够适合执行附加检测任务,包括使用间接检测技术。作为示例,如图4C所示,间接类型传感器能够查询网络(例如405)上的其它网络元件、服务和计算装置的记录,以识别网络405上的已知和未知装置的先前未识别地址信息。例如,在图4C的示例中,间接类型传感器能够用来查询网络装置470的数据结构(例如数据库、路由选择表等),例如路由器470的路由器表,或者一个或多个网络服务的其它主机,例如DHCP服务器、侵入检测***(IDS)***或者在其操作过程中记录网络405中的装置的地址信息的另一服务器。响应该查询,地址信息能够从数据结构返回,供用于识别特定装置(例如410、415、420)处于或曾处于网络405上。
间接类型传感器能够查询源网络管理服务器(例如网络元件(470)),以得到包含地址数据源(例如470)所收集的地址信息的数据结构的全部或子集。例如,在一些示例中,数据的未过滤集合能够响应查询(例如在475)返回给资产检测引擎425c的传感器,并且由资产检测引擎425c和/或资产管理***205来处理,以识别资产管理***205感兴趣的地址信息(例如新的、不同的或最近的地址信息的标识)。在其它情况下,资产检测引擎425c的间接检测传感器能够执行网络地址数据源(例如470)的过滤查询,例如以便从数据源仅返回数据的子集,例如数据源最近收集的数据、在特定时间周期期间所收集的数据等。
转到图4D,除了执行被动检测以检测网络405上的计算装置之外,在一些情况下,资产检测引擎425d能够利用主动检测传感器来执行网络405上的装置(例如415、420)的主动检测。在一些实现中,主动检测传感器在没有目标装置或者目标范围(例如一个或多个目标IP地址)的特定标识的情况下可能无法执行其检测任务。资产管理***205能够识别对资产检测引擎425d的特定目标装置,以及资产检测引擎425d的主动检测传感器能够探测和监测目标装置的响应(例如480、485、490),并且将包括关于哪些装置是“活跃”(例如,响应试通或其它扫描通信)或者以其它方式来检测的指示的结果传递给资产管理***205。
转到图5A-5E的示例,示出简化框图500a-e,示出包括示例资产管理***205和多个扫描引擎(例如扫描引擎510、515)的示例操作。例如,接着例如由资产检测引擎(例如425)采用与结合图4A-4D)所述的那些检测技术相似的检测技术对网络405上的主机装置(例如410)的检测之后,资产检测引擎能够向资产管理***205发送检测消息505,供资产管理***205结合它对计算环境中的安全、风险和策略相关扫描的管理来使用。检测消息505能够包括所检测装置的地址信息的标识、检测地址信息的时间、检测地址的方式、用来检测地址信息的资产检测引擎425、地址信息源以及其它示例。
基于所接收检测消息505,资产管理***205能够确定是否响应所检测资产(例如410)而提示扫描。例如,资产管理***205能够基于多种因素(例如主机仍然处于网络405上的可能性(例如基于检测在多久之前发生)、扫描引擎是否存在或可用(例如不是忙于其它扫描)以扫描特定主机装置、所识别主机装置是否包含在未扫描、关键、移动或其它目标装置等的列表中)来评估是否预期特定所检测主机410的扫描。此外,资产管理***205还能够识别应当对特定所检测主机装置410执行的一个或多个扫描,以及识别能够执行所识别扫描的特定扫描引擎。识别有能力的扫描引擎能够包括识别映射到所检测主机装置410和检测装置的资产检测引擎(例如425)中的任一个或两者的对应扫描引擎。识别扫描引擎还能够包括识别处理执行所识别扫描的功能性的扫描引擎,以及确定扫描引擎当前是否具有执行扫描的可用性以及其它示例。
转到图5B的示例,在基于一个或多个资产检测引擎对主机装置的检测、识别响应检测要执行的一个或多个特定扫描以及识别可用于执行扫描的扫描代理来确定是否触发主机装置410的扫描时,资产管理***205能够通过向所识别扫描代理(例如510)发送扫描请求520来触发所识别扫描。扫描请求520能够包括一个或多个扫描脚本以及在所请求扫描期间指导扫描引擎(例如510)的扫描活动的其它指令。在一些情况下,扫描请求520能够请求所检测主机装置410和/或多个所检测装置(例如除了主机装置410之外未示出的装置)以及其它示例的多个扫描。基于扫描请求520,如图5C所示,扫描引擎510能够运行扫描脚本或者按照在扫描请求520中接收的其它指令来执行扫描任务(例如525),以及尝试执行所检测装置410的所请求扫描525,并且将扫描的结果530返回给资产管理***。在一些情况下,例如因为主机装置不再处于网络上,或者因为扫描引擎无法完成所检测装置的扫描,所以尝试扫描所检测装置410将失败。在这类情况下,扫描结果530能够描述失败扫描的条件,其在一些情况下能够由资产管理***205用来例如更新对应资产库记录,优先化检测和扫描特定装置、开发特定装置的扫描等的将来工作。在至少算是成功的扫描525的情况下,扫描结果530能够传递扫描525中得到的被扫描装置的属性。
在一些实现中,当扫描结果(例如530)返回给资产管理***205时,扫描结果能够通知资产管理***205关于扫描525的进度或结果以及对网络上的所检测装置或其它装置的其它扫描。在一些情况下,基于从特定扫描引擎(例如510)所接收的扫描结果,资产管理***205能够添加、变更、省略或者以其它方式修改最初计划和将来的扫描或扫描集合。例如,来自计算环境中的一个或多个主机的基于网络的扫描的扫描结果能够影响(例如触发、添加、取消、修改)相同或其它远程主机的另一个基于网络的扫描。来自基于网络的扫描的扫描结果也能够用来影响(例如触发、添加、取消、修改)资产管理***205所管理的基于主机的扫描(例如在同一扫描集合中)以及其它示例。例如,如图5D的示例所示,除了扫描525对主机装置410所识别以响应资产检测引擎425对其的检测之外,还能够识别利用第二扫描引擎515的第二扫描。相应地,扫描请求535能够发送给扫描引擎515,其提供用于对所检测主机410执行第二扫描540的指令(如图5E所示)。在一个示例中,第二扫描能够是至少部分以扫描525的结果530为条件的扫描。例如,第二扫描的类型和实质以及第二扫描540完全执行能够至少部分基于另一个扫描525的结果530。在其它情况下,资产管理***205能够识别所检测装置的多个扫描,并且调用多个扫描引擎来完成扫描,从而使扫描请求520、535基本上同时发送给扫描引擎510、515,并且使对应扫描基本上并行地执行。最后,所有扫描525、540的扫描结果530、545由资产管理***205响应特定目标主机装置(例如410)的检测而请求。
应当理解,结合附图所述和所示的示例是只为了便于说明本公开所针对的各种概念而提供的非限制性示例。例如,能够采用与上述示例技术、***和工具不同的但是仍然适用于本公开所涉及的原理的至少一部分的技术、操作以及***和组件架构。例如,资产管理***能够将某个功能性分派给其它组件,包括扫描引擎、资产检测引擎或者托管扫描引擎和资产检测引擎的***。作为示例,在一些实现中,资产检测引擎在某些情况下可配备有触发使用资产检测引擎所检测的某些主机装置的某些扫描的逻辑(和授权)以及其它示例。另外,应当理解,实际上,计算环境能够包括不同类型和配置的混合的数百至数千各种潜在扫描目标。扫描的对应多样化阵列能够由至少部分集中的资产管理***来开发和保持,供各种扫描引擎用于扫描计算环境的全部或一部分、甚至包括计算环境的单个组件。类似地,能够采用资产检测技术的多样化和可扩大集合以及其它示例。
转到图6,示出简化流程图600,示出与基于网络上的装置的动态检测的网络中的装置的机会扫描相关的示例技术。例如,网络上的多个计算装置中的特定计算装置的检测能够例如从网络上的一个或多个资产检测工具所接收的检测消息来识别605。能够对所检测装置识别610扫描,例如尝试当装置保持在网络上并且能够由网络中的一个或多个扫描引擎来扫描的同时对所检测装置执行一个或多个扫描。实际上,能够识别615适合执行所识别扫描的扫描引擎,其能够对所检测装置执行所识别扫描。此外,能够使620所识别扫描引擎例如经过向所识别扫描引擎发送扫描请求来执行所识别扫描。在一些情况下,扫描请求能够包括一个或多个扫描脚本,其在由所识别扫描引擎运行时使扫描引擎执行所请求扫描。在一些情况下,例如基于将装置预先识别为其扫描为优先级的装置,扫描、用于执行扫描的扫描引擎和扫描的性能的标识能够在装置的检测时基本上立即执行。扫描结果能够从扫描来生成,以及这些扫描结果能够从执行扫描的扫描引擎来接收625。在一些实现中,至少部分集中的管理器能够识别605装置的检测(例如,如资产检测工具所传递),识别610扫描和扫描引擎(例如在615),并且向扫描引擎发送扫描请求,以及还接收625和处理扫描结果。这种管理器能够包括资产管理***,其与检测网络中的装置的资产检测引擎进行接口,以及还管理执行网络中的装置的扫描的扫描引擎并且与其接口。
虽然根据某些实现和一般关联的方法描述了本公开,但是,本领域的技术人员将会清楚地知道这些实现和方法的变更及置换。例如,本文所述的动作能够按照与如所述的不同顺序来执行,并且仍然取得合乎需要的结果。作为一个示例,附图所示的过程不一定要求所示的特定顺序或依次顺序来取得预期结果。所示的***和工具类似地能够采用备选架构、组件和模块来取得类似结果和功能性。例如,在某些实现中,多任务、并行处理和基于云的解决方案可以是有利的。在一个备选***或工具中,简化移动通信装置的无线认证功能性能够用于诸如便携硬盘驱动器、拇指(thumb)驱动器等的可拆卸存储装置上。在这类情况下,可拆卸存储装置能够没有用户接口,但是具有用于通过短程网络、例如蓝牙连接到协作计算装置的无线接入功能性,并且通过短程网络与协作计算装置共享认证数据,以便对一个或多个协作计算装置来认证无线便携存储装置的持有者,从而允许用户经过无线存储装置获得对协作计算装置的访问(以及保护协作计算装置)以及使用认证协作计算装置来访问、使用和修改硬盘驱动器上存储的数据。其它***和工具也能够利用本公开的原理。另外,能够支持多样化用户接口布局和功能性。其它变更处于以下权利要求书的范围之内。
本说明书中所述的主题的实施例和操作能够通过数字电子电路或者通过计算机软件、固件或硬件来实现,其中包括本说明书中公开的结构及其结构等效体或者其中一个或多个的组合。本说明书中所述的主题的实施例能够实现为一个或多个计算机程序,即,在计算机存储介质上编码以供数据处理设备执行或者控制数据处理设备的操作的计算机程序指令的一个或多个模块。作为替代或补充,程序指令能够在人工生成传播信号上编码,例如机器生成电、光或电磁信号,其被生成以对信息编码,以用于传输到适当的接收器设备供数据处理设备执行。计算机存储介质能够是或者包含于计算机可读存储装置、计算机可读存储衬底、随机或串行存取存储器阵列或装置或者其中一个或多个的组合。此外,虽然计算机存储介质本身不是传播信号,但是计算机存储介质能够是在人工生成传播信号中编码的计算机程序指令的源或目的地。计算机存储介质也能够是或者包含于一个或多个独立物理组件或介质(例如多个CD、磁盘或者其它存储装置),包括分布式软件环境或者云计算环境。
包括核心网和接入网(包括无线接入网)的网络能够包括一个或多个网络元件。网络元件能够包含各种类型的路由器、交换机、网关、桥接器、负荷平衡器、防火墙、服务器、直插服务节点、代理、处理器、模块或者可操作以在网络环境中交换信息的任何其它适当装置、组件、元件或对象。网络元件可包括适当处理器、存储器元件、支持(或者以其它方式运行)与将处理器用于屏幕管理功能性关联的活动的硬件和/或软件,如本文所述。此外,网络元件可包括促进其操作的任何适当组件、模块、接口或者对象。这可包含允许数据或信息的有效交换的适当算法和通信协议。
本说明书所述的操作能够实现为由数据处理设备对一个或多个计算机可读存储装置上存储或者从其它源所接收的数据所执行的操作。术语“数据处理设备”、“处理器”、“处理装置”和“计算装置”能够包含用于处理数据的所有种类的设备、装置和机器,作为法例包括可编程处理器、计算机、芯片上***或者上述多项或组合。设备能够包括通用或专用逻辑电路,例如中央处理器(CPU)、刀片、专用集成电路(ASIC)或者现场可编程门阵列(FPGA)以及其它适当选项。虽然一些处理器和计算装置描述和/或示为单个处理器,但是可按照关联服务器的特定需要来使用多个处理器。提到单个处理器意在适当地包括多个处理器。一般来说,处理器运行指令并且操纵数据,以执行某些操作。除了硬件之外,设备还能够包括创建所述的计算机程序的执行环境的代码,例如构成处理器固件、协议栈、数据库管理***、操作***、跨平台运行时环境、虚拟机或者其中一个或多个的组合的代码。设备和执行环境能够实现各种不同的计算模型基础设施,例如万维网服务、分布式计算和网格计算基础设施。
计算机程序(又称作程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎或代码)能够通过任何形式的编程语言来编写,其中包括编译或解释语言、说明性或过程语言,并且它能够按照任何形式来部署,作为独立程序或者作为模块包括组件、子例程、对象或者适合用于计算环境的其它单元。例如,计算机程序可包括有形介质上的计算机可读指令、固件、有线或编程硬件或者它们的任何组合,其可操作以在被运行时至少执行本文所述的过程和操作。计算机程序可以但不一定对应于文件***中的文件。程序能够存储在保存其它程序或数据(例如标记语言文档中存储的一个或多个脚本)的文件的一部分中、在专用于所述的程序的单个文件中、或者在多个协调文件(例如存储一个或多个模块、子程序或者代码的部分的文件)中。计算机程序能够部署成在一个计算机或者在位于一个站点或分布于多个站点并且通过通信网络互连的多个计算机上运行。
程序能够实现为单独模块,其经过各种对象、方法或其它过程来实现各种特征和功能性,或者而是可适当地包括多个子模块、第三方服务、组件、资料库等。相反,各种组件的特征和功能性能够适当地组合为单组件。在某些情况下,程序和软件***可实现为合成托管应用。例如,合成应用的部分可实现为Enterprise Java Bean (EJB),或者设计时组件可具有将运行时实现生成到不同平台(例如J2EE(Java 2平台,企业修订版)、ABAP(高级企业应用编程)对象或Microsoft .NET等等)中的能力。另外,应用可表示经由网络(例如经过因特网)所访问和运行的基于万维网的应用。此外,与特定托管应用或服务关联的一个或多个过程可远程存储、引用或运行。例如,特定托管应用或服务的一部分可以是与远程调用的应用关联的万维网服务,而托管应用的另一部分可以是经捆绑以用于在远程客户端进行处理的接口对象或代理。此外,托管应用和软件服务的任一个或全部可以是另一个软件模块或企业应用(未示出)的子或者亚模块,而没有背离本公开的范围。托管应用的部分又能够由直接在托管应用的服务器以及在客户端远程进行工作的用户来运行。
本说明书中所述的过程和逻辑流程能够由运行一个或多个计算机程序的一个或多个可编程处理器来执行,以便通过对输入数据进行操作并且生成输出来执行动作。过程和逻辑流程也能够由专用逻辑电路来执行并且设备也能够实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
适合运行计算机程序的处理器作为举例包括专用和通用微处理器以及任何种类的数字计算机的任何一个或多个处理器。一般来说,处理器将从只读存储器或随机存取存储器或者它们两者接收指令和数据。计算机的基本元件是用于按照指令来执行动作的处理器以及用于存储指令和数据的一个或多个存储器装置。一般来说,计算机还将包括用于存储数据的例如磁、磁光盘或光盘等一个或多个大容量存储装置,并且在操作上与其耦合以便从其中接收数据或者对其传递数据或者接收和传递数据。但是,计算机无需具有这类装置。此外,计算机能够嵌入另一个装置中,例如移动电话、个人数字助理(PDA)、平板计算机、移动音频或视频播放器、游戏控制台、全球定位***(GPS)接收器或便携存储装置(例如通用串行总线(USB)闪速驱动器),这里只列举几个例子。适合于存储计算机程序指令和数据的装置包括所有形式的非易失性存储器、介质和存储器装置,作为举例包括:半导体存储器装置,例如EPROM、EEPROM和闪速存储器装置;磁盘,例如内置硬盘或可移动磁盘;磁光盘;以及CD ROM和DVD-ROM光盘。处理器和存储器能够由专用逻辑电路来补充或者结合到其中。
要提供与用户的交互,本说明书中所述的主题的实施例能够在具有显示装置以及键盘和指针装置的计算机上实现,其中显示装置例如包括CRT(阴极射线管)或LCD(液晶显示器)监视器,用于向用户显示信息,指针装置例如包括鼠标或轨迹球,用户能够通过它们向计算机提供输入。其它种类的装置也能够用来提供与用户的交互;例如,提供给用户的反馈能够是任何形式的感测反馈,例如视觉反馈、听觉反馈或触觉反馈;以及来自用户的输入能够按照任何形式来接收,包括声、语音或触觉输入,另外,计算机能够通过向装置(包括由用户使用的远程装置)发送文档并且从装置接收文档来与用户交互。
本说明书所述主题的实施例能够在计算***中实现,计算***包括例如数据服务器等后端组件,或者包括例如应用服务器等中间件组件,或者包括客户端计算机(其具有图形用户界面或者万维网浏览器,用户能够经过其与本说明书所述主题的实现进行交互)等前端组件,或者一个或多个这种后端、中间件或前端组件的任何组合。***的组件能够通过数字数据通信的任何形式或介质、如通信网络来互连。通信网络的示例包括任何内部或外部网络、多个网络、子网络或者其组合,其可操作以促进***中的各种计算组件之间的通信。例如,网络可传递因特网协议(IP)分组、帧中继帧、异步传输模式(ATM)信元、语音、视频、数据以及网络地址之间的其它适当信息。网络还可包括一个或多个局域网(LAN)、无线电接入网(RAN)、城域网(MAN)、广域网(WAN)、因特网的全部或一部分、对等网络(例如自组对等网络)和/或在一个或多个位置的任何其它通信***或多个***。
计算***能够包括客户端和服务器。客户机和服务器一般相互远离,并且通常经过通信网络进行交互。客户端和服务器的关系依靠运行于相应计算机并且相互具有客户端-服务器关系的计算机程序而出现。在一些实施例中,服务器向客户端装置传送数据(例如HTML页面)(例如为了便于向与客户端装置进行交互的用户显示数据并且从其接收用户输入)。在客户端装置所生成的数据(例如用户交互的结果)能够在服务器从客户端接收。
虽然本说明书包含许多具体实现细节,但是这些不应当被理解为对任何发明或者可要求保护的范围的限制,而是应当被理解为具体发明的具体实施例特定的特征的描述。本说明书在独立实施例的上下文中描述的某些特征也能够在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也能够分别在多个实施例中或者在任何适当的子组合中实现。此外,虽然特征在上文中可描述为通过某些组合来起作用并且甚至最初这样要求保护,但是来自要求保护的组合的一个或多个特征在一些情况下能够脱离组合,并且要求保护的组合可针对子组合或者子组合的变化。
类似地,虽然在附图中按照特定顺序来示出操作,但是,这不应当被理解为要求这类操作按照所示的特定顺序或者按照依次顺序来执行或者执行所有所示操作以取得合乎需要的结果。在某些情况下,多任务和并行处理会是有利的。此外,以上所述实施例中的各种***组件的分离不应当被理解为要求所有实施例中的这种分离,并且应当理解,所述程序组件和***一般能够共同集成在单个软件产品中或者封装到多个软件产品中。
因此,描述了本主题的具体实施例。其它实施例处于以下权利要求书的范围之内。在一些情况下,权利要求书所述的动作能够按照不同顺序来执行,并且仍然取得合乎需要的结果。另外,附图所示的过程不一定要求所示的特定顺序或依次顺序来取得合乎需要的结果。
Claims (22)
1.一种管理计算机安全性的方法,所述方法包括:
使用至少一个处理装置来识别计算环境的网络上的特定计算装置的检测,所述特定计算装置由所述网络上的资产检测工具来检测以便确定所述特定计算装置是否处于/曾处于所述网络上;
基于所述资产检测工具的检测结果,识别将要对所述所检测的特定计算装置执行的至少一个扫描;
识别适合执行所述至少一个扫描的多个扫描引擎中的特定扫描引擎;以及
当所述所检测的特定计算装置处于所述网络上时,使用所述特定扫描引擎使所述至少一个扫描对所述所检测的特定计算装置来执行。
2.如权利要求1所述的方法,其中,所述特定扫描引擎远离所述所检测的特定计算装置。
3.如权利要求2所述的方法,其中,所述特定扫描引擎适合执行远程计算装置的基于网络的扫描。
4.如权利要求1所述的方法,还包括接收所述所执行的至少一个扫描的扫描结果。
5.如权利要求1所述的方法,其中,所述特定计算装置是移动计算装置。
6.如权利要求1所述的方法,其中所述特定计算装置的检测从来自所述资产检测工具的消息来识别。
7.如权利要求6所述的方法,其中,所述资产检测工具是被动检测工具。
8.如权利要求7所述的方法,其中,所述特定计算装置从由所述网络中的服务结合所述服务所识别的事件所收集的数据来检测。
9.如权利要求7所述的方法,其中,所述特定计算装置从与所述特定计算装置对应的、所述网络中传递的业务所包含的地址信息来检测。
10.如权利要求7所述的方法,其中,所述特定计算装置从添加到所述网络中的服务的数据仓库的地址信息来检测。
11.如权利要求6所述的方法,其中,所述特定扫描引擎识别为与检测所述特定计算装置的所述资产检测工具关联,以及所述资产检测工具是所述计算环境中的多个资产检测工具其中之一。
12.如权利要求11所述的方法,其中,将所述特定扫描引擎识别为与所述资产检测工具关联包括查询扫描引擎到资产检测工具的映射。
13.如权利要求6所述的方法,其中,所述资产检测工具是主动检测工具,其适合探测计算装置,并且基于所述探测来检测计算装置是否存在于所述网络上。
14.如权利要求1所述的方法,其中,使所述至少一个扫描被执行包括向所识别的特定扫描引擎发送扫描请求。
15.如权利要求14所述的方法,其中,所述扫描请求包括扫描脚本,其在由所述特定扫描引擎运行时使所述特定扫描引擎执行所述至少一个扫描。
16.如权利要求1所述的方法,其中,多个扫描识别成对所述所检测的特定计算装置来执行。
17.如权利要求16所述的方法,其中,识别至少两个不同的扫描引擎,以执行所述多个扫描中的相应扫描,以及使所述多个扫描的两个或更多被执行。
18.如权利要求1所述的方法,还包括识别响应所述计算环境的网络中的所述特定计算装置的检测而将所述所识别的特定计算装置指定为使用所述至少一个扫描来扫描的装置。
19.如权利要求1所述的方法,还包括:
识别所述计算环境的所述网络上的第二计算装置的检测;
识别将要对所述所检测的第二计算装置执行的至少一个第二扫描;
识别适合执行所述至少一个第二扫描的所述多个扫描引擎中的扫描引擎;以及
当所述所检测的第二计算装置处于所述网络上时,使所述至少一个第二扫描对所述所检测的第二计算装置来执行。
20.一种包括用于执行如权利要求1-19中的任一项所述的方法的软件模块的***。
21.一种管理计算机安全性的***,所述***包括:
至少一个处理器装置;
至少一个存储器元件;以及
资产管理器,在由所述至少一个处理器装置运行时适合:
识别计算环境的网络上的特定计算装置的检测,所述特定计算装置由所述网络上的资产检测工具来检测以便确定所述特定计算装置是否处于/曾处于所述网络上;
基于所述资产检测工具的检测结果,识别将要对所述所检测的特定计算装置执行的至少一个扫描;
识别适合执行所述至少一个扫描的多个扫描引擎中的特定扫描引擎;以及
当所述所检测的计算装置处于所述网络上时,使用所述特定扫描引擎使所述至少一个扫描对所述所检测的计算装置来执行。
22.如权利要求21所述的***,还包括所述多个扫描引擎。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/443,729 | 2012-04-10 | ||
| US13/443,729 US9516451B2 (en) | 2012-04-10 | 2012-04-10 | Opportunistic system scanning |
| PCT/US2013/036050 WO2013155236A1 (en) | 2012-04-10 | 2013-04-10 | Opportunistic system scanning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104169937A CN104169937A (zh) | 2014-11-26 |
| CN104169937B true CN104169937B (zh) | 2018-02-16 |
Family
ID=49293208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380017187.XA Active CN104169937B (zh) | 2012-04-10 | 2013-04-10 | 机会***扫描 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9516451B2 (zh) |
| EP (1) | EP2836954B1 (zh) |
| CN (1) | CN104169937B (zh) |
| WO (1) | WO2013155236A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9516451B2 (en) | 2012-04-10 | 2016-12-06 | Mcafee, Inc. | Opportunistic system scanning |
| US8954573B2 (en) * | 2012-04-11 | 2015-02-10 | Mcafee Inc. | Network address repository management |
| US20140137190A1 (en) * | 2012-11-09 | 2014-05-15 | Rapid7, Inc. | Methods and systems for passively detecting security levels in client devices |
| US10355962B2 (en) | 2013-02-11 | 2019-07-16 | Riverbed Technology, Inc. | Network topology generation using traceroute data |
| US9525750B2 (en) | 2013-02-13 | 2016-12-20 | Viavi Solutions Inc. | Method of collecting information about test devices in a network |
| US9733917B2 (en) * | 2013-02-20 | 2017-08-15 | Crimson Corporation | Predicting whether a party will purchase a product |
| CN103220299B (zh) * | 2013-04-27 | 2016-02-10 | 上海海事大学 | 一种云端“协同式”恶意检测引擎识别方法 |
| US20150365227A1 (en) * | 2014-06-11 | 2015-12-17 | International Business Machines Corporation | Shared security utility appliance for secure application and data processing |
| US10666544B1 (en) * | 2014-09-26 | 2020-05-26 | Lumeta Corporation | Method and apparatus for providing situational awareness |
| WO2018179413A1 (ja) * | 2017-03-31 | 2018-10-04 | 三菱電機株式会社 | 情報処理装置および情報処理方法 |
| US10684881B2 (en) * | 2017-11-07 | 2020-06-16 | International Business Machines Corporation | Batch processing of computing elements to conditionally delete virtual machine(s) |
| US10456673B1 (en) * | 2017-11-17 | 2019-10-29 | Amazon Technologies, Inc. | Resource selection for hosted game sessions |
| US10922453B2 (en) | 2018-05-10 | 2021-02-16 | Shenzhen Jingtai Technology Co., Ltd. | GROMACS cloud computing process control method |
| US11122071B2 (en) | 2018-06-29 | 2021-09-14 | Forescout Technologies, Inc. | Visibility and scanning of a variety of entities |
| WO2020232667A1 (en) * | 2019-05-22 | 2020-11-26 | Abb Schweiz Ag | Network topology discovery in substation |
| CN112583875B (zh) * | 2019-09-30 | 2023-04-07 | 浙江宇视科技有限公司 | 一种资产扫描方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6574737B1 (en) * | 1998-12-23 | 2003-06-03 | Symantec Corporation | System for penetrating computer or computer network |
| CN101569226A (zh) * | 2006-12-20 | 2009-10-28 | 华为技术有限公司 | 用于无线网络***中网络发现和选择的方法和*** |
Family Cites Families (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6289371B1 (en) | 1998-09-30 | 2001-09-11 | Hewlett-Packard Company | Network scan server support method using a web browser |
| US7003560B1 (en) | 1999-11-03 | 2006-02-21 | Accenture Llp | Data warehouse computing system |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US20030018694A1 (en) | 2000-09-01 | 2003-01-23 | Shuang Chen | System, method, uses, products, program products, and business methods for distributed internet and distributed network services over multi-tiered networks |
| KR100376618B1 (ko) | 2000-12-05 | 2003-03-17 | 주식회사 싸이버텍홀딩스 | 에이전트 기반의 지능형 보안 시스템 |
| US7340776B2 (en) | 2001-01-31 | 2008-03-04 | International Business Machines Corporation | Method and system for configuring and scheduling security audits of a computer network |
| JP4491980B2 (ja) | 2001-03-05 | 2010-06-30 | ソニー株式会社 | 通信処理システム、通信処理方法、および通信端末装置、並びにプログラム |
| JP4572476B2 (ja) | 2001-03-13 | 2010-11-04 | ソニー株式会社 | 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム |
| US7502939B2 (en) | 2001-04-19 | 2009-03-10 | Cybersoft, Inc. | Software virus detection methods and apparatus |
| US20030028803A1 (en) | 2001-05-18 | 2003-02-06 | Bunker Nelson Waldo | Network vulnerability assessment system and method |
| US6792543B2 (en) | 2001-08-01 | 2004-09-14 | Networks Associates Technology, Inc. | Virus scanning on thin client devices using programmable assembly language |
| US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7152105B2 (en) | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7257630B2 (en) * | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7299504B1 (en) | 2002-03-08 | 2007-11-20 | Lucent Technologies Inc. | System and method for implementing security management using a database-modeled security policy |
| AU2003275297A1 (en) | 2002-09-27 | 2004-04-23 | Hill-Rom Services, Inc. | Universal communications, monitoring, tracking, and control system for a healthcare facility |
| US20040093408A1 (en) | 2002-11-08 | 2004-05-13 | Hirani Harikrishin W. | IT asset tracking system |
| KR100680559B1 (ko) | 2002-11-11 | 2007-02-08 | 한국전자통신연구원 | 네트워크 바이러스 진단 및 치료 시스템과 방법 |
| CN1736077B (zh) | 2002-11-27 | 2012-09-26 | 捷讯研究有限公司 | 通过隧道服务器从主机服务器到无线装置进行数据传送,并且将临时ipv6地址与临时ipv4地址相关联以便与该装置在ipv4无线网络中通信 |
| KR20040046431A (ko) | 2002-11-27 | 2004-06-05 | 삼성전자주식회사 | IPv6 주소를 이용하여 디바이스를 식별하는 방법 |
| US7243147B2 (en) | 2002-12-30 | 2007-07-10 | Bellsouth Ip Corporation | Systems and methods for the detection and management of network assets |
| US8091117B2 (en) | 2003-02-14 | 2012-01-03 | Preventsys, Inc. | System and method for interfacing with heterogeneous network data gathering tools |
| US20040193918A1 (en) | 2003-03-28 | 2004-09-30 | Kenneth Green | Apparatus and method for network vulnerability detection and compliance assessment |
| US7451488B2 (en) | 2003-04-29 | 2008-11-11 | Securify, Inc. | Policy-based vulnerability assessment |
| US7346922B2 (en) | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
| US20050097199A1 (en) | 2003-10-10 | 2005-05-05 | Keith Woodard | Method and system for scanning network devices |
| US7956742B2 (en) | 2003-10-30 | 2011-06-07 | Motedata Inc. | Method and system for storing, retrieving, and managing data for tags |
| US20070180490A1 (en) | 2004-05-20 | 2007-08-02 | Renzi Silvio J | System and method for policy management |
| US9537731B2 (en) | 2004-07-07 | 2017-01-03 | Sciencelogic, Inc. | Management techniques for non-traditional network and information system topologies |
| US20060085852A1 (en) | 2004-10-20 | 2006-04-20 | Caleb Sima | Enterprise assessment management |
| EP1849259B1 (en) | 2004-11-05 | 2014-12-17 | Kabushiki Kaisha Toshiba | Network discovery mechanisms |
| US8037036B2 (en) | 2004-11-17 | 2011-10-11 | Steven Blumenau | Systems and methods for defining digital asset tag attributes |
| US20060161444A1 (en) | 2005-01-18 | 2006-07-20 | Microsoft Corporation | Methods for standards management |
| US7941489B2 (en) | 2005-01-24 | 2011-05-10 | Daniel Measurement And Control, Inc. | Method and system of determining a hierarchical structure |
| US20070050467A1 (en) | 2005-04-06 | 2007-03-01 | Chris Borrett | Digital asset management system, including customizable metadata model for asset cataloging and permissioning of digital assets, such as for use with digital images and songs |
| US20070177550A1 (en) | 2005-07-12 | 2007-08-02 | Hyeok Chan Kwon | Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same |
| CN101583940B (zh) | 2006-01-17 | 2012-10-31 | 基达罗(以色列)有限公司 | 多计算环境的无缝集成 |
| US8331263B2 (en) | 2006-01-23 | 2012-12-11 | Microsoft Corporation | Discovery of network nodes and routable addresses |
| KR100728040B1 (ko) | 2006-04-28 | 2007-06-13 | 삼성전자주식회사 | IPv6 유니크 로컬 주소 생성 방법 및 장치 |
| US8365286B2 (en) | 2006-06-30 | 2013-01-29 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
| US7929535B2 (en) | 2006-07-07 | 2011-04-19 | Qualcomm Incorporated | Geolocation-based addressing method for IPv6 addresses |
| US8406140B2 (en) * | 2006-08-22 | 2013-03-26 | Wal-Mart Stores, Inc. | Network device inventory system |
| KR100817799B1 (ko) | 2006-10-13 | 2008-03-31 | 한국정보보호진흥원 | 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법 |
| US8752045B2 (en) | 2006-10-17 | 2014-06-10 | Manageiq, Inc. | Methods and apparatus for using tags to control and manage assets |
| US8302196B2 (en) | 2007-03-20 | 2012-10-30 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
| US7937298B2 (en) | 2007-05-17 | 2011-05-03 | Oracle International Corporation | Guaranteed RFID event delivery |
| EP2015535A1 (en) | 2007-07-10 | 2009-01-14 | Panasonic Corporation | Detection of mobility functions implemented in a mobile node |
| EP2053530A1 (en) | 2007-10-05 | 2009-04-29 | Research In Motion Limited | Method and system for multifaceted scanning |
| KR100951144B1 (ko) | 2007-10-19 | 2010-04-07 | 한국정보보호진흥원 | 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법 |
| US20090138583A1 (en) | 2007-11-28 | 2009-05-28 | Childress Rhonda L | Method and apparatus for generating statistics on information technology service management problems among assets |
| US20100043066A1 (en) | 2008-05-21 | 2010-02-18 | Miliefsky Gary S | Multiple security layers for time-based network admission control |
| ATE532364T1 (de) | 2008-06-02 | 2011-11-15 | Media Patents Sl | Verfahren und vorrichtung zur sendung von datenpaketen an und von mobilen knoten |
| US20100064362A1 (en) | 2008-09-05 | 2010-03-11 | VolPshield Systems Inc. | Systems and methods for voip network security |
| US20100083381A1 (en) | 2008-09-30 | 2010-04-01 | Khosravi Hormuzd M | Hardware-based anti-virus scan service |
| US8392567B2 (en) | 2009-03-16 | 2013-03-05 | International Business Machines Corporation | Discovering and identifying manageable information technology resources |
| US8565119B2 (en) | 2009-04-14 | 2013-10-22 | Schweitzer Engineering Laboratories Inc | Network discovery and data transfer using SNMP in an electric power transmission or distribution system |
| US8856315B2 (en) * | 2009-05-29 | 2014-10-07 | Verizon Patent And Licensing Inc. | Device classification system |
| US8140669B2 (en) | 2009-08-31 | 2012-03-20 | International Business Machines Corporation | Resolving hostnames on a private network with a public internet server |
| US8590046B2 (en) | 2010-07-28 | 2013-11-19 | Bank Of America Corporation | Login initiated scanning of computing devices |
| US9111094B2 (en) * | 2011-01-21 | 2015-08-18 | F-Secure Corporation | Malware detection |
| US8719450B2 (en) | 2011-10-31 | 2014-05-06 | Cable Television Laboratories, Inc. | Internet protocol (IP) address translation |
| US9407653B2 (en) | 2012-04-10 | 2016-08-02 | Mcafee, Inc. | Unified scan management |
| US8800046B2 (en) | 2012-04-10 | 2014-08-05 | Mcafee, Inc. | Unified scan engine |
| US9516451B2 (en) | 2012-04-10 | 2016-12-06 | Mcafee, Inc. | Opportunistic system scanning |
| US9049207B2 (en) | 2012-04-11 | 2015-06-02 | Mcafee, Inc. | Asset detection system |
| US8955036B2 (en) | 2012-04-11 | 2015-02-10 | Mcafee, Inc. | System asset repository management |
| US8954573B2 (en) | 2012-04-11 | 2015-02-10 | Mcafee Inc. | Network address repository management |
-
2012
- 2012-04-10 US US13/443,729 patent/US9516451B2/en active Active
-
2013
- 2013-04-10 EP EP13774977.6A patent/EP2836954B1/en active Active
- 2013-04-10 WO PCT/US2013/036050 patent/WO2013155236A1/en active Application Filing
- 2013-04-10 CN CN201380017187.XA patent/CN104169937B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6574737B1 (en) * | 1998-12-23 | 2003-06-03 | Symantec Corporation | System for penetrating computer or computer network |
| CN101569226A (zh) * | 2006-12-20 | 2009-10-28 | 华为技术有限公司 | 用于无线网络***中网络发现和选择的方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104169937A (zh) | 2014-11-26 |
| EP2836954A1 (en) | 2015-02-18 |
| US9516451B2 (en) | 2016-12-06 |
| US20130268652A1 (en) | 2013-10-10 |
| WO2013155236A1 (en) | 2013-10-17 |
| EP2836954B1 (en) | 2020-08-05 |
| EP2836954A4 (en) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104169937B (zh) | 机会***扫描 | |
| CN104205774B (zh) | 网络地址储存库管理 | |
| CN104205773B (zh) | ***资产储存库管理 | |
| US9847965B2 (en) | Asset detection system | |
| CN104285219B (zh) | 统一扫描管理 | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN109964196A (zh) | 多因素认证作为网络服务 | |
| CN109076065A (zh) | 安全的基于资源的策略 | |
| EP2372954B1 (en) | Method and system for collecting information relating to a communication network | |
| Giotsas et al. | Periscope: Unifying looking glass querying | |
| CN103634289B (zh) | 通信屏蔽装置及通信屏蔽方法 | |
| Zirngibl et al. | QUIC Hunter: Finding QUIC Deployments and Identifying Server Libraries Across the Internet | |
| CN111385293B (zh) | 一种网络风险检测方法和装置 | |
| CN108282786A (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 | |
| CN110034977B (zh) | 一种设备安全性监测方法及安全性监测设备 | |
| JP2003514275A (ja) | データ通信ネットワーク上のコンピュータ・アクセス・セキュリティ・テスト方法 | |
| RU2480949C1 (ru) | Способ определения местоположения пропавших электронных устройств | |
| CN117857411A (zh) | 一种基于混合方式的资产识别方法 | |
| Loving | Enabling malware remediation in expanding home networks | |
| Sas | SnowWall: A Visual Firewall for the Surveillance society | |
| Oliveira da Silva et al. | Towards service and user discovery on wireless networks | |
| Ocean et al. | Wireless and physical security via embedded sensor networks | |
| Riordan et al. | Billy Goat, an Accurate Worm-Detection System (Revised Version) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |