CN104272650A - 资产检测*** - Google Patents

资产检测*** Download PDF

Info

Publication number
CN104272650A
CN104272650A CN201380017020.3A CN201380017020A CN104272650A CN 104272650 A CN104272650 A CN 104272650A CN 201380017020 A CN201380017020 A CN 201380017020A CN 104272650 A CN104272650 A CN 104272650A
Authority
CN
China
Prior art keywords
transducer
network
address
group
discovery
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201380017020.3A
Other languages
English (en)
Inventor
J·M·于加尔四世
R·基尔
J·C·雷贝洛
O·阿尔金
S·施雷克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
McAfee LLC
Original Assignee
McAfee LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by McAfee LLC filed Critical McAfee LLC
Publication of CN104272650A publication Critical patent/CN104272650A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4541Directories for service discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

使用一种可插资产检测引擎来识别网络内的设备。可插资产检测引擎包括一组可插发现传感器,并且适于利用一组发现传感器中的第一可插发现传感器来识别网络内的特定计算设备的特定地址信息,并且将特定计算设备的特定地址信息的识别发送到资产管理***以便在由资产管理***管理的资产仓库中包括特定地址信息。

Description

资产检测***
技术领域
本公开一般涉及计算安全领域,更特别地涉及网络发现和安全。
背景技术
现在网络内的安全管理可以包括对网络中的设备分配和实施安全策略。实施安全策略可以包括识别网络上的设备或者之前进行网络上设备的识别。地址扫描和ping扫描已经用于发现网络设备。这些技术包括人类用户手动地配置网络地址的一个或多个范围,诸如互联网协议(“IP”)地址,然后请求软件来“扫描”或“探测”规定范围内的每个地址以试图找到活动的设备。这种扫描能够产生表明特定地址是否正在使用的结果,暗示在该地址处存在网络设备。在采用互联网协议版本4(“IPv4”)寻址的网络中,这种强力扫描能够用于在合理时间量内扫描宽范围地址(包括所有可能的IPv4地址)中的每个地址。
附图说明
图1是依照至少一个实施例的包括多个资产和***实体的示例计算***的简化示意图;
图2是依照至少一个实施例的包括与一个或多个网络相结合操作的资产管理***和一个或多个资产检测引擎的示例计算***的简化框图;
图3是图示出依照至少一个实施例的示例***的示例资产仓库的简化组织图;
图4是图示出依照至少一个实施例的与示例的资产管理***通信的示例的可扩展资产检测引擎的简化框图;
图5是图示出依照至少一个实施例的在示例***的两个或更多网络中的资产检测引擎和扫描引擎的部署的简化框图;
图6A-6H是图示出依照至少一个实施例的包括示例的资产检测引擎的示例操作的简化框图;
图7A-7C是图示出依照至少一个实施例的用于管理一个或多个网络内的资产的示例技术的简化流程图。
在各附图中相似的附图标记和符号表示相似的元件。
具体实施方式
概览
一般地,在本说明书中所描述的主题的一个方面能够用方法来具体实施,该方法包括如下动作:利用资产检测引擎来识别网络内特定的计算设备的地址信息;以及将地址信息的识别发送到资产管理***以便在由资产管理***管理的资产仓库中包括地址信息。可以通过包含在资产检测引擎中的一组发现传感器中的第一可插发现传感器来促成地址信息的识别。
在本说明书中所描述的主题的另一一般性方面能够在包括至少一个处理器设备、至少一个存储器元件和可插资产检测引擎的***中具体实施。可插资产检测引擎可以包括一组可插发现传感器,并且当通过至少一个处理器设备执行时适于利用一组发现传感器中的第一可插发现传感器来识别网络内的特定计算设备的特定地址信息,以及将特定计算设备的特定地址信息的识别发送到资产管理***以便在由资产管理***管理的资产仓库中包括特定地址信息。
这些以及其他的实施例可以各自任选地包括以下特征中的一个或多个。特定计算设备的附加属性可以利用一组发现传感器中的第二可插发现传感器来识别。基于利用一组发现传感器中的可插发现传感器识别出的经识别属性,可以将安全策略分配给所述特定计算设备。附加属性可以包括特定计算设备的活动端口、特定计算设备的操作***、特定计算设备的应用以及其他属性。特定计算设备可以被加标签以将特定计算设备与特定计算设备群组相关联,并且安全策略可以与特定计算设备群组相关联。一组发现传感器中的每个发现传感器可以是可插发现传感器。资产管理***能够确定:识别的地址信息未包含在资产仓库中,并且地址信息的识别可以与网络内的特定计算设备的发现相结合。可插发现传感器能够添加到一组发现传感器中。一组发现传感器中的一个可插发现传感器能够由另一可插发现传感器取代。
此外,这些以及其他的实施例还可以各自任选地包括以下特征中的一个或多个。基于事件的可插发现传感器可以包括在一组发现传感器中,并且适于根据描述由网络上的事件管理服务所识别的网络中的事件的事件记录数据来识别网络上的计算设备的地址信息。基于事件的可插发现传感器可以适于访问动态主机配置协议(DHCP)服务器的事件、活动目录审核事件、防火墙事件、防入侵***(IPS)事件和其他事件管理服务的事件记录数据。潜伏型可插发现传感器可以包含在一组发现传感器中,并且适于根据由被动型可插发现传感器监控的网络业务识别网络上的计算设备的地址信息。潜伏型可插发现传感器可以适于监控网络业务中的NetBIOS广播分组、互联网控制消息协议版本6(ICMPv6)网络业务、经由端口镜像的网络业务,等其他示例。间接型可插发现传感器可以包含在一组发现传感器中,并且适于查询网络服务以获取包括网络内的计算设备的地址信息的数据。间接型可插发现传感器可以适于查询简单网络管理协议(SNMP)管理信息库(MIB),查询DHCP数据库,查询路由器表,在网络中的另一计算设备上发布netstat命令,等其他示例。主动型可插发现传感器可以包括在一组发现传感器中,并且适于将数据发送到特定计算设备,诸如一组互联网控制消息协议(ICMP)分组、一组传输控制协议(TCP)分组,以及一组用户数据报协议(UDP)分组,并且进一步适于监控对发送数据的响应。一组发现传感器可以包括主动型可插发现传感器以及至少一个被动型可插发现传感器,诸如潜伏型发现传感器、基于事件的发现传感器或间接型发现传感器。当通过至少一个处理器设备执行时,资产管理***可以适于从资产检测引擎接收特定地址信息,确定地址信息是否与资产仓库中所描述的设备相关联,并且用不包含在资产仓库中的地址信息来增补资产仓库。资产检测引擎可以是***中的多个资产检测引擎中的第一资产检测引擎。多个资产检测引擎可以包括第二资产检测引擎,其中第一资产检测引擎的一组发现传感器是第一组,并且第二资产检测引擎包括第二组发现传感器,第一组发现传感器不同于第二组发现传感器。第一组发现传感器可以包括也包含在第二组发现传感器中的特定发现传感器。
一些或全部特征可以是计算机实现的方法或者进一步包含在用于实施该所述功能的相应***或其他设备中。本公开的这些以及其他特征、方面和实现方式的细节在附图和下面的说明书中进行了阐述。公开的其他的特征、方面和优点将从说明书和附图以及从权利要求书中变得显而易见。
示例性实施例
图1是图示出包括多个***实体的计算环境的示例性实现的简化框图100,包括网络(例如,110、115),网络内的***设备(即,计算设备(例如,120、125、130、135、140、145、150、155、160、165),包括端点设备,诸如路由器、交换机、防火墙和通过网络(例如,110、115)通信或有利于网络(例如,110、115)的其他设备的网络元件、由在网络上的各个***服务、掌管、安装、装载或以其他方式使用的应用和其他软件程序和服务(例如,170、172、174、175、176、178、180、182),以及已知使用计算环境及其构成***和应用的人(例如,184、185、186、188)。
实际上,端点设备、网络元件和包含在网络中的其他计算设备(或“***型***实体”)能够与网络上的其他设备通信和/或有利于网络上的其他设备之间的通信。例如,端点设备(例如,120、125、130、140、150)能够利用计算环境为人(例如,184、185、186、188)提供接口,其用于与网络(例如110)以及***内的其他网络(例如,115)、因特网190和其他网络上的计算设备掌管的各种资源交互和消耗这些资源。此外,一些端点设备(例如,120、140、150)能够另外地掌管能够由相应端点本地的用户(例如,184、185、186、188)消耗以及服务于网络(例如,110、115)上的其他设备的应用和其他软件资源(例如,170、174、176)。网络110、115上的其他设备(例如,135、145、155、160、165)能够另外地将软件资源(即,应用(例如,172、175、178、180、182))服务于一个或多个客户端(包括其他服务器)以进行消耗。这些软件资源可以包括例如数据库、网页、网络应用、软件应用和其他程序、虚拟机、企业资源规划、文档管理***、邮件服务器和其他软件资源。
特定计算环境内的“***实体”也称为“资产”,其能够限定在一个或多个安全背景内,在计算环境内包括“网络型实体”、“***型实体”、“应用型实体”和“人类型实体”(或参与到计算环境中)。“人类型实体”在该示例中代表了使用计算环境的个体人,其能够被视为与网络型实体、***型实体和应用型实体一起的***实体,可以不同于在计算环境内识别的用户。人能够与***内的一个或多个用户账户或特定用户标识符相关联或者由***内的一个或多个用户账户或特定用户标识符限定。然而,用户不总是利用计算环境精确地映射到实际的人。例如,单个人可具有(或能够访问)***内的多个用户名或用户账户。另外,一些人可能不具有注册的用户名或用户账户。然而,当将安全背景调整至特定人的使用倾向和属性时,人的实际身份会比计算环境内的人使用的用户简档、用户名或别名更贴切。
可以提供资产管理***105,在一些示例中,能够发现并保持计算环境内的各***实体的记录,以及将安全策略分配给各***实体并且使安全策略在整个计算环境中实施。还可以发现所发现的***实体的属性,包括***实体的标识符。例如,对于计算环境内的各个***和网络,可以发现IP地址和IP地址范围。此外,随着现代网络中互联网协议版本6(“IPv6”)寻址的出现和部署,IP地址的大小设计成从32位(在IPv4中)增加到IPv6下的128位。结果,虽然IPv4提供了232(4,294,967,296)个可能地址的可管理地址空间,但是IPv6的128位地址允许有2128(近似340涧或3.4×1038)个地址的地址空间。为置于IPv6地址空间的大小的背景下,如果在IPv6地址空间内为“活动”地址的每个地址进行强力扫描可以在每个地址单微微秒的速率来实现,则扫描整个IPv6空间仍会花费10.78×10Λ19年。因此,采用IPv6寻址使得映射网络内的设备以及监控网络相应设备的安全和其他活动的工作显著复杂化。因此,资产管理***105能够采用技术来更高效地识别活动的IPv6地址,允许对采用IPv6的网络进行更有针对性的分析。此外,除了能够发现IPv6地址和计算环境内的设备和网络元件的其他地址信息之外,资产管理***105能够进一步管理发现技术,允许发现额外的属性信息,诸如设备的操作***、设备所使用的端口、设备所采用的协议,等等。从设备级,能够发现额外信息,包括分层级地源自于***级的其他***实体,诸如设备所掌管的个体应用以及使用该设备的个体人。
资产管理***105的实现能够利用各***实体的属性来将实体分组成一个或多个***实体的逻辑群组。此外,资产管理***105能够识别各安全策略并且将各安全策略分配给各群组。这些逻辑群组能够根据特定计算环境内的***实体所共享的属性或标志将不同的***实体组合在一起。分配给群组的安全策略能够对应于包含在群组中的***实体的共享属性和特性或者对包含在群组中的***实体的共享属性和特性进行寻址。例如,一个***群组能够在***的仓库内被加标签为“重要***”。因此,识别为重要的那些***能够具有应用于它们的共同的一组安全策略(例如,根据其在计算环境内的重要性)。在另外的示例中,可以根据诸如DMZ网络群组的特定类型的网络,根据关联地址(例如,基于IP地址范围、内部和外部的IP地址、域名等),或者根据关联的地理区域等,来识别一个网络群组,并且可以相应地对这些群组加标签。还可以根据类型、重要性、软件提供商、操作***等对应用进行加标签和分组。例如,标签可以分配给应用型实体以表明应用是数据库或数据库的类型(例如,生产数据库、临时数据库等)、网络应用、中间件、网络服务器,等许多其他示例。此外,人类型实体也可以被加标签,例如,以识别人的这些个人属性作为其在组织、安全许可、许可、办公室、地理位置、商业单元等中的角色。另外,在一些示例中,可以对***实体进行强力分类(例如,“网络”、“***”、“应用”和“人”),并且特定组的***实体可以局限于特定类型的***实体。在这些示例中,应用于群组的安全策略还可以是类型特定的。在其他示例中,可以对群组和标签进行“交叉分类”,并且还可以对关联的安全策略进行交叉分类。例如,特定群组可以包括一个或多个***和一个或多个应用和/或一个或多个人,等等。
一般地,“服务器”、“客户端”、“计算设备”、“网络元件”、“主机”、“***型***实体”和“***”,包括示例性计算环境100中的计算设备(例如,105、120、125、130、135、140、145、150、155、160、165、195等),可以包括可操作以接收、发送、处理、存储或管理与计算环境100相关联的数据和信息的电子计算设备。如该文献中所使用的,术语“计算机”、“处理器”、“处理器设备”或“处理设备”意在涵盖任何适当的处理设备。例如,显示为计算环境100内的单个设备的元件可以利用多个设备来实现,诸如包括多个服务器计算机的服务器池。此外,任意的、所有的或一些计算设备可适于执行任何操作***,包括Linux、UNIX、Microsoft Windows、Apple OS、Apple iOS、Google Android、Windows Server等,以及适于将特定操作***的虚拟化执行的虚拟机,操作***包括定制和专有的操作***。
此外,服务器、客户端、网络元件、***和计算设备(例如,105、120、125、130、135、140、145、150、155、160、165、195等)可以各自包括一个或多个处理器、计算机可读存储器以及一个或多个接口,等其他特征和硬件。服务器可以包括任何适合的软件部件或模块,或能够掌管和/或服务软件应用和服务的计算设备(例如,资产管理***105、服务器(例如,135、145、155、160、165)的服务和应用(例如,172、175、178、180、182)),包括分布式的、企业的或基于云的软件应用、数据和服务。例如,服务器可配置为掌管、服务或以其他方式管理模型和数据结构、数据集、软件服务和与其他服务和设备接口、配合或者依赖于其他服务和设备或者由其他服务和设备使用的应用。在一些实例中,服务器、***、子***、或计算设备可以实现为能够寄存在共同的计算***、服务器、服务器池、或云计算环境上且共享包括共享存储器、处理器和接口的计算资源的设备的某种组合。
用户、端点或客户端计算设备(例如,120、125、140、150、195)可以包括传统的和移动的计算设备,包括个人计算机、膝上型计算机、平板式计算机、智能手机、个人数字助理、特征电话、手持式视频游戏平台、台式计算机、支持互联网电视以及设计成与人类用户接口且能够通过一个或多个网络(例如,110、115)与其他设备通信的其他设备。用户计算设备以及计算设备(例如,105、120、125、130、135、140、145、150、155、160、165、195等)的属性通常会从一个设备到另一设备大幅变化,包括相应的操作***以及装载到、安装到、执行于、操作于或以其他方式访问各设备的软件程序集合。例如,计算设备能够运行、执行、安装或以其他方式包括各程序集合,包括操作***、应用、插件、小应用程序、虚拟机、机器图像、驱动器、可执行文件和其他能够由相应设备运行、执行或以其他方式使用的基于软件的程序的各种组合。
一些计算设备(例如,120、125、140、150、195)可以进一步包括至少一个图形显示设备以及允许用户查看且与***100中提供的应用和其他程序的图形用户接***互的用户接口,包括与寄存在计算设备内的应用交互的用户接口和程序的图形表示,以及与资产管理***105相关联的图形用户接口。而且,虽然可以根据一个用户使用来描述用户计算设备(例如,120、125、140、150、195),但是本公开构思的是许多用户可以使用一台计算机或者一个用户可以使用多台计算机。
虽然图1描述为包含多个要素或者与多个要素相关联,大门在本公开的各可选实现中可以不使用图1的计算环境100内图示的所有要素。另外,结合图1的示例所描述的要素中的一个或多个可以位于计算环境100之外,而在其他实例中,一些要素可以包含在其他所述要素以及在图示实现中未描述的其他要素中的一个或多个要素内或者作为其中一部分。此外,图1所示的一些要素可以与其他部件组合,以及用于除了本文所描述的那些用途之外的可选的或额外的用途。
图2是图示出示例***的简化框图200,该***包括示例的资产管理***205,资产管理***205与布置在一个或多个网络(例如,215)中且任务为发现网络215内的计算设备(例如,分类为“***型***实体”)(例如,220、225、230、235、240)以及所发现设备的地址和属性的一个或多个资产检测引擎(例如,210)配合地操作。依次地,该信息随后可由资产管理***205使用来发现计算设备的另外的属性以及发现计算环境的其他类型的***实体,诸如使用计算环境的人以及利用计算环境中的设备来服务的应用。此外,利用该信息,资产管理***205能够对识别的***实体进行分组以及利用这些群组,以及对于个体***实体所确定的其他属性,来识别和关联实体的相关安全策略。此外,布置成远离各计算设备(例如,220、225、230、235、240)的安全工具(例如,安全工具242)或者位于各计算设备(例如,220、225、230、235、240)本地的安全工具(例如,代理程序244)能够用于对***实体(例如,网络、***、应用和人实体)实施安全策略。
示例的资产管理***205可以包括一个或多个处理器设备245以及存储器元件248,其用于执行在一些实现中包括在资产管理***205的一个或多个部件中的功能。例如,在资产管理***205的一个示例实现中,可以提供资产仓库管理器255、策略管理器260和实施协调器265。例如,资产仓库管理器255可以包括用于构建和维护资产仓库250的功能,所述资产仓库250包括描述利用例如一个或多个资产检测引擎210在计算环境内发现的***实体的记录。资产仓库管理器255可以包括检测引擎接口256,其能够允许资产仓库管理器255与布置在计算环境内的资产检测引擎210接口,并且从识别计算环境内新发现的***实体以及针对这些***实体所检测到的属性(诸如地址数据和其他信息)的资产检测引擎获得结果。与***实体属性的发现相结合,资产管理***205还可以使用其他设备和服务,诸如适于接收来自资产管理***205的扫描脚本且执行所发现***实体的更专门的扫描(例如,识别应用、计算设备220、225、230和应用的用户,等等)的各扫描引擎290。此外,资产仓库管理器255可以额外地包括加标签引擎258,其适于将标签或分类分配给资产仓库内所发现的***实体,从而扩展和修改超越了在资产仓库的缺省或原始组织方案中限定的缺省关系的***实体之间的关系类型。
转到图3,示出了表示分级组织的资产仓库的框图300。在一些实现中,诸如图3的示例,资产仓库(例如,250)可以以至少近似地对应于既定计算环境内的***实体的物理实现的层级来组织。分级资产仓库能够用于定义计算环境内的***实体之间的至少一些关系。例如,网络(例如,网络型***实体)能够包含多个计算设备和分类为***型实体(或“***”)的网络元件。在一些示例中,网络及其子***之间的关系可以是多对多(一些***在多个网络之间迁移,并且网络通常包括多个构成***)。此外,***设备可视为包含分类为“应用”的软件程序。而且,***设备和应用之间的关系可以是多对多。此外,在计算环境内识别的人可以视为示例的资产仓库的分级背景内的***和/或应用的“孩子”。
作为示例性的说明,框图300示出了用于简化计算环境的分级资产仓库的表示,该简化计算环境包括多个网络(例如,N1、N2)、多个***计算设备(例如,S1、S2、S3、S4、S5)、多个应用软件程序、数据结构,和服务(例如,A1、A2、A3、A4、A5、A6、A7、A8),以及多个人(例如,P1、P2、P3、P4、P5、P6、P7、P8、P9)。如该特定示例环境中所图示的,***可以属于一个或多个网络(例如,***S3属于两个网络N1和N2),应用可以属于一个或多个***计算设备、由一个或多个***计算设备掌管或服务或其他方式结合一个或多个***计算设备来提供(例如,应用A1由***S1掌管),并且人可以与计算环境内的一个或多个***计算设备和/或特定应用相关联(例如,人P7与***S3和应用A5相关联,人P9与***S4和S5相关联,等等),还可以有其他示例。
对于资产仓库而言,可以采用各种其他组织方案来识别***实体当中的关系的基本集合。例如,其他分级资产仓库能够对计算环境的***实体进行分类以定义除了网络:***:应用之外的其他相依性和层级等。例如,可以维护按地理分层级地组织***实体的资产仓库。例如,在许多其他可能的例子中,单个***实体(或“资产”)可以限定为在Belfast的特定办公室内,其与包含在企业的西欧区域内的爱尔兰内的企业操作分级相关,等等。
虽然资产仓库能够用来初始地将一组***实体组织成一些例如至少部分地定义在实体之间的已知关系上的逻辑布置(例如,***包含在网络中,等),还可以根据在资产仓库本身的结构中建模的关系和实体属性来为***实体定义更细微的、动态的和不太传统的群组。在一些示例中,这能够通过加标签或分类来实现。这些标签、分类、类别等(本文统称为“标签”)可以是客户定义的,允许对***实体进行用户或企业特定的分组。这样,可以为其相应计算环境内的***实体目录中的多个企业和组织提供可再利用资产仓库模板或***。加标签可以额外地允许企业来定义***实体之间的额外关系。不仅如此,标签还能够捕获在资产仓库的缺省组织或结构中定义的关系之外的特定***实体之间的更加标准化的、交替的关系和共同特性。作为示例,标签能够应用于具有特定操作***的特定版本的所有***设备。在另一示例中,标签能够分配给被识别为“重要”或在一个或多个安全背景下特别重要或感兴趣的计算设备子集(或网络、或应用或上述全部)中的每一个。可以根据与其相关联的地理位置对***和/或人加标签。可以根据设备类型、制造商、年限、使用率以及其他设备相关属性来对***加标签。可以根据类型(例如,数据库、网页、网络服务、内部的、公共的、私有的等)、能力、用户数量和其他应用相关属性对应用加标签。类似地,可以根据诸如计算环境或组织内的角色、许可级、保有期、人口统计学等用户相关属性对网络加标签以及对人加标签。
图3的示例图示说明了(预先存在的)资产仓库内的各个***实体的加标签。例如,标签A(305)已应用于网络N1和N2,而标签B(310)已应用于网络N1。一旦***实体已经被发现或以其他方式被识别或包含在资产仓库内,加标签就会发生。在一些实例中,对***实体加标签可以与资产仓库内***实体的发现和记录基本同时发生。***实体的加标签可以手动进行,管理员用户识别或创建标签并且将它们与特定实体相关联。***实体的加标签还可以至少部分地自动化进行。例如,标签可以根据标签的规则集而自动地应用于***实体。例如,可以定义规则(例如,通过用户)以将标签自动地应用于被检测为拥有一个或多个特定属性的任何***实体,属性包括利用资产检测引擎、扫描引擎和资产管理***(例如,205)使用的其他基于软件(硬件)的工具所发现的属性。确定新的、之前未发现的、或已经发现的***实体拥有这些属性会使得标签应用于该***实体。
共享特定标签的***实体可分组成对应一组***实体。例如,应用A4、A6和A7可以均加有分配给作为计算环境内的数据库的应用型***实体的标签K。结果是,可以根据标签来方便地识别计算环境内的数据库,并且数据库特定的安全策略、扫描和策略实施技术可以专门地应用于加有标签K(作为示例)的***实体。
可以提供各种安全策略以应用于计算环境内的***实体。例如,安全策略可以规定在特定网络内由特定设备、特定用户或应用所能够访问的网站、文件和其他数据。安全策略可以指定谁能够访问特定的文件和数据,它们能够对该数据进行何种操作(例如,保存到外部介质、修改、发电子邮件、发送等)。另外的安全策略可以规定在一些事务期间加密的级别和类型、用于一些设备、应用和网络的密码的长度和类型,以及其他最小安全参数,这仅是一些例子。另外,在一些示例中,安全策略可涉及安全遵守规则,诸如政府和管理主体、标准设定组织设定的遵守标准、行业标准和其他规则,这是一些例子。一些策略可以是网络、用户、应用或设备所特定的。一些策略可以仅与拥有某些特性的***实体相关,诸如它们应在何处、何时以及由谁来使用,它们的能力,等等。因此,利用资产检测引擎和扫描引擎发现的***实体的属性能够用于将特定安全策略自动分配给特定的***实体。
返回到图2的讨论,资产管理***205可以进一步包括策略管理器260,其能够用于定义安全策略且将安全策略应用于在资产仓库250中识别和分类的***实体。在一些示例中,策略管理器260可以包括策略分配引擎264和策略实施引擎265。可以利用策略管理器260来维护和构建安全策略262的库。在一些实现中,安全策略262可以包括标准安全策略(例如,在计算环境内通用),以及环境特定的安全策略。事实上,在一些示例中,策略管理器260可以包括允许管理员用户来定义和生成其相应计算环境的新的、定制的安全策略的功能。此外,策略分配引擎264能够用于创建和维护各策略(例如,262)和在计算环境内(即,资产仓库250内)所识别的安全实体之间的关联。此外,可以提供实施引擎265,定义在计算环境内如何实施特定的安全策略。
在一些示例中,策略实施引擎265能够用于与布置在计算环境内的各种安全工具(例如,242,244)接口。安全工具可以远离***实体(诸如***型实体220、225、230、235、240)布置,允许远离且代表目标设备、应用或人而发生策略实施,从而允许在不将策略(或实施)推送至目标本身的情况下进行安全实施。这在例如移动到监控网络上和移动离开监控网络的移动设备以及不受管理的设备(诸如不包括代理程序或其他能够实施重要安全策略的本地安全工具的设备)的安全实施中是有用的。这些安全工具242可以包括例如防火墙、网关、邮件网关、主机侵入防护(HIP)工具、网络侵入防护(NIP)工具、防恶意软件工具、防数据丢失(DLP)工具、***脆弱性管理器、***策略遵守管理器、资产重要性工具、侵入检测***(IDS)、侵入防护***(IPS)和/或安全信息管理(SIM)工具,等其它示例。此外,实施引擎265可以进一步支持基于利用传感器280、285、扫描引擎290等识别的目标的属性,与计算环境的安全管理相结合,将补丁、更新和其他数据推送到目标***实体。另外,还可以通过例如运行于、装载到或直接接口目标设备的且为资产管理***205提供(例如,通过实施引擎265)用于在目标设备处直接实施策略的接口的代理或其他工具(例如,244)来执行本地安全实施。
每个***实体可以具有对其是原子的基本特性。例如,对于***型***实体,这些特性或属性可以包括一个IP地址(或多个IP地址)、对应的介质访问控制(MAC)地址、全限定域名(FQDN)、操作***等。获知这些特性可以是进行有效风险分析和安全实施发生的前提条件。聚集实体属性可以涉及到各种技术。例如,代理可以布置在能够从***实体直接收获实体属性的网络、***和应用中。虽然精确且方便,但是不是所有的***实体都“被管理”,因为它们具有代理(或者能够具有代理)。***实体属性还可以或者通过对每个***实体进行远程评估来通过网络采集。虽然可以使用任一种方法,或者组合使用两种方法,但是应当首先建立***实体(特别是***型实体)的存在。
当***实体加入网络时,保护和监管网络的安全进程应当尽可能快地得知其存在。在受管理的环境中,这极其容易适应,因为每个实体上的代理(例如,244)能够直接通知资产管理***205。然而,在不受管理资产的情况下,通过可用于资产管理***205且与资产管理***205通信的发现进程来促进环境内***实体的发现。
资产检测引擎(例如,210)和其他网络发现工具可以包括一组技术,其允许确定网络上资产的存在。这些工具的示例是ping扫描仪、动态主机配置协议(DHCP)监控器、地址解析协议(ARP)高速缓存承包者等。这些工具可以包括主动或被动工具,其主动地或被动地监控环境以搜索新资产。一旦新资产被识别出,工具可以通知资产管理***205,允许开始(或继续)进一步的资产属性识别进程。
在传统的计算环境中,包括采用IPv4寻址的环境,资产识别可以包括与所管理设备的代理通信以确定设备的原子特性。另外地,或者可选地,可以对每个可能的IP地址进行ping以根据ping的响应而识别其他可能(例如,未受管理的)资产及其属性。作为响应,可以将所识别的可能资产的原子特性与已经记载在资产仓库(例如,250)中的实体的属性进行比较,以试图将它们与***中现有的资产进行匹配,或者将它们作为新***添加到资产仓库(例如,250)中。
为试图确保防止未受管理的设备不经过检测和保险,可以使用强力地址ping扫描。然而,在一些实例中,ping扫描会遭遇到一些设备丢失的问题,诸如具有暂时网络连接或改变地址的设备。此外,在采用IPv6寻址的计算环境中,ping扫描或地址扫描是用于发现计算环境中的未受管理设备的不切实际的解决方案。
在图2的示例和本公开其他地方所描述的***的实现解决了传统***的上述缺点以及其他缺点。例如,资产检测引擎210可以是网络连接设备或布置为这样的软件***:其利用包括可用于资产检测引擎210的被动发现技术的多种发现技术中的一种或多种来自动发现活动网络设备,且随后在一些情况下根据定义的顺序触发附加活动(例如,使用资产管理***205)。这些附加活动可以包括例如面向网络服务的盘存,评估***脆弱性,盘存安装的软件,应用软件补丁,安全新软件,等等。
在一些实例中,一个或多个资产检测引擎(例如,210)可以拥有被动地监控网络的各活动的功能,各活动包括一个或多个设备地址的传送或识别。识别出的地址随后可以从监控信息中提取出,并进一步用于连通测试、探测,以及以其他方式与所识别地址处的设备通信以识别设备是否记录在资产仓库250内以及发现设备的附加属性。此外,设备(即,***型实体)的检测会导致检测其他实体类型,包括应用型实体和人型实体。应用型实体和人型实体还可以独立于***型实体的检测来进行检测,例如,通过嗅探网络业务和其他技术。例如,能够通过利用资产检测引擎210监控的业务来检测网络服务器、数据库、聊天客户端、媒体客户端、媒体播放器等。
在一些实现中,示例的资产检测引擎210可以包括一个或多个处理器272和一个或多个存储器元件274,并且布置在网络内以执行与检测网络内的设备和设备地址相关联的多个不同的发现任务。在一些实现中,示例的资产检测引擎210可以至少部分地布置为串联(例如,在交换机或路由器处)、并联(例如,离开路由器span端口)而***网络的硬件设备,或至少部分地布置为能够遍布子网络布置的软件,诸如在网络内特定或任意的主机上、在诸如网络DHCP服务器的专用主机上,或在其他部署中。资产检测引擎210可以包括多个可插传感器部件(例如,280、285),其能够根据叶片状体系结构来配置,因为可以依照例如网络内可用或优选的特征和工具来添加新传感器或者从可再利用资产检测传感器框架275中移除。以此方式,因为开发新传感器或者使得新传感器可用,可以将新传感器添加到传感器框架275中以增补(或取代)通过资产检测引擎210的传感器框架275部署的其他传感器技术。
在一些实现中,传感器框架275能够提供主动传感器280和被动传感器285的组合。主动传感器280可以包括涉及直接发送业务到网络中的设备和地址以及测试对业务的响应的传感器。这些主动传感器可以包括基于硬件和/或基于软件的传感器部件,其功能适于执行多播查询、ping扫描和其他示例。另一方面,被动传感器285可以包括这样的传感器部件,其功能为试图获得不与设备通信的网络或对应于地址本身的网络内的地址信息以及识别不与设备通信的网络或对应于地址本身的网络内的设备。被动传感器285可以包括被动发现型传感器、基于事件的发现型传感器和间接发现型传感器。传感器框架275可以包括一种或多种类型的主动传感器和被动传感器285。事实上,在一些实现中,相同类型的多个传感器可以设置在单个传感器框架叶片(例如,275)上。例如,示例的传感器框架可以包括一个或多个主动传感器、两个间接发现型被动传感器、基于事件的发现型传感器等。最小或优化的传感器集合可以依赖于利用资产发现引擎210监控或扫描的网络的特定特性,但是,一般地,在传感器框架275内所包含和使用的传感器的种类越广,覆盖率和资产发现结果越全面。
在一些实例中,主动传感器280可以包括适于发现使用IP多播的网络内的设备,IP多播包括IPv6多播。在IP网络背景下,多播寻址是用于一对多通信的技术,其中将消息发送到一组目的地***,同时使得路由器创建那些分组的副本以进行最佳分布。示例的用于发现网络上的设备的IPv6的多播查询可以包括使用链路本地范围全节点多播地址(例如,“FF02::1”前缀)的查询。例如,示例的主动传感器可以将DHCPv6UDP探头发送到多播地址FF02:0:0:0:0:0:1:2处的端口547,以发现所有的DHCP服务器和中继代理。在另一示例中,示例的主动传感器可以将ICMPv6查询发送到“所有节点”的多播地址FF02::1以发现本地网络上的***。在另外的示例中,示例的主动传感器可以将ICMPv6查询发送到“所有路由器”多播地址FF02::2以发现网络上的路由器,这是一些例子。
在其他示例中,传感器框架275中所包含的一个或多个主动传感器280可以包括适于执行强力寻址或连通测试、扫描以发现网络上的设备的传感器。虽然通常在典型的IPv6网络中发现设备不起作用,但是ping扫描或更一般的地址扫描仍能够是检测小范围的IPv6地址和IPv4网络上的设备的有效手段。ping扫描在检测大部分沉默且具有固定地址的设备方面特别有效。ping扫描能够利用传统的ICMP ping扫描技术,由此一个或多个分组发送到可能活动的地址,还可以使用其他技术。如果接收到特定类型的响应,则目标地址被视为活动的。ping扫描可以包括ICMP ping扫描(用于多个分组类型),使用全TCP连接测试扫描开放端口,利用半开放(SYN)测试扫描开放端口,以及发送“微移”分组到具体的已知UDP端口,还有其他示例。
此外,虽然地址扫描可应用于基于目标的地址扫描发现(例如,以之前基于一个或多个资产检测引擎210的被动发现任务识别或选择的具体的已知IP地址或IP地址范围为目标),但是主动发现传感器还可以连续地扫描地址范围以发现最新活动的地址且认证之前活动的地址仍活动或变得不活动,触发(fire off)事件(例如,利用资产管理***205的属性发现尝试任务)以在检测到状态变化时几乎实时地执行有用的工作。
被动传感器(例如,285)可以包括潜伏发现型传感器、基于事件的发现型传感器以及间接发现型传感器。潜伏发现型传感器可以包括适于隐伏地监控网络的各种活动以及提取地址信息而不与主机***(即,对应于地址)直接接触的传感器,各种活动可以包括设备地址信息的传送或识别。潜伏发现型传感器可以包括适于以下操作的传感器,例如监控NetBIOS广播分组、监控互联网控制消息协议(ICMP)业务(包括ICMP版本6(ICMPv6)业务)、嗅探普通网络通信、经由交换机端口镜像嗅探业务(诸如通过交换机端口分析器(或“SPAN端口”)),还有其他例子。至少一些潜伏发现传感器能够在不具有具体配置(例如,由管理器端用户提供)的情况下操作。例如,适于拦截NetBIOS广播分组的潜伏发现传感器能够确定网络上的设备的其他***实体属性之中的地址信息。许多***,包括那些基于例如Microsoft's WindowsTM操作***的***,可以将数据报分组广播到它们的本地网络,例如,与用于UDP端口138上的无连接通信的NetBIOS数据报分布服务相结合,还可有其他示例。NetBIOS数据报广播分组可以识别被拦截的NetBIOS分组所源起的发送设备的IP地址和MAC地址,并且可以进一步包括在一些示例中当被识别和处理时显现出其他信息之中的发送设备的操作***的数据。可以利用该方法可靠地识别的操作***包括例如Windows 9x/Me/NT 4.0、NetApp Device、Windows 2000、Windows XP、Windows Server 2003、Windows XP(64位)、Windows Server 2008、WindowsVista、Windows Server 2008R2和Windows 7。因此,适于拦截NetBIOS广播分组的潜伏发现传感器能够识别发送设备、其相应的地址数据以及发送设备的操作***。
在另一示例中,另一(或同一)潜伏发现型传感器可以适于监控ICMPv6业务。大量的业务可以生成且通过网络内的IPv6设备经由ICMPv6协议来发送。适当改造的潜伏发现型传感器能够监听特定类型的多播ICMPv6业务,诸如邻近请求分组以及邻近广告分组,以识别业务中所识别的一个或多个设备的地址(即,MAC地址和IPv6地址),还有其他例子。
在另外的示例中,潜伏发现型传感器可以适于对普通网络业务进行地址信息嗅探,所述地址信息能够用于识别网络中之前未知的设备,或者网络中先前识别的设备所使用的先前未知的地址。IPv4和IPv6分组包括源地址信息和目的地地址信息,以及源端口和目的地端口以及源和目的地的相应MAC地址。因此,对全部网络业务进行嗅探能够允许发现新的地址数据,从而还可以发现经由监控网络通信的新设备。通过对全部网络业务进行被动嗅探,每当这些设备经由网络通信时,就能够发现新设备地址。然而,对普通业务嗅探在一些网络中会遇到困难,因为许多临时网络被“交换”,由此网络设备,以及可能的部署的资产检测引擎210,仅接收广播分组、多播分组以及直接寻址到掌管资产检测引擎的设备的分组。在其他实例中,可以平衡端口镜像以识别网络内之前已知的设备地址。一些网络路由器和交换机可配置为将特定设备端口上或者甚至是整个虚拟局域网(VLAN)上的所有业务转发或“镜像”到交换机上的另一端口,诸如交换端口分析器(SPAN)和漫游分析端口(RAP),还有其他例子。可用于传感器框架275的潜伏发现型传感器的一些实现可适于对网络交换机的配置SPAN端口(或其他业务镜像端口)上的业务进行嗅探,从而允许传感器来监控在端口上镜像的包括指向交换网络中的其他设备的业务的所有网络业务,而无需传感器与镜像端口进行物理连接。
被动传感器还可以包括基于事件的发现传感器。一般地,基于事件的发现传感器可以向网络服务注册或接口,以便当一个或多个特定的预识别类型的事件发生时接收通知。这些事件的报告或检测(报告给相应的网络服务或者通过相应的网络服务检测)可以包括资产管理***205感兴趣的设备寻址信息的识别,诸如IP地址和DNS名称。这些事件可以包括例如DHCP服务器事件、Microsoft Active DirectoryTM审核事件、以及防火墙和防入侵***(IPS)事件,还有其他示例。基于事件的发现传感器能够与记录这些事件的相应设备和***接口,并且识别那些能够被挖掘以得到可用于构建或增补资产仓库250的记录的地址数据的特定事件和事件记录。
作为示例,基于事件的发现传感器的一种实现可以包括适于与DHCP网络环境中的一个或多个DHCP服务器接口的传感器。在DHCP网络环境中,每当***打开且加入网络时,其广播从最近的DHCP服务器接收IP地址的请求。最近的服务器随后一般分配地址租赁且通知目标(请求)***其地址应当为何种地址。此外,一旦***的租赁到期,其从活动地址的DHCP服务器列表中移除。在一些实现中,DHCP服务器监控和/或参与该地址租赁进程,并且基于事件的发现传感器可以包括以下功能:与DHCP服务器接口并查询DHCP服务器的记录、从DHCP服务器接收警告和其他消息,或者以其他方式获取来自DHCP服务器的关于涉及到网络中设备的近期租赁事件的信息。例如,DHCP服务器的一些实现将API提供给其他设备和服务(诸如Microsoft DHCP Server's"DHCP Server Callout API")和日志文件(诸如Unix/Linux DHCP Server"dhcpd"记录租赁事件),还可以有其他例子和实现方式。一般地,通过传感器从DHCP服务器获得的信息可以依次用于识别网络中可能新的或之前未知的设备。
在另一示例中,示例的基于事件的发现传感器能够适于与MicrosoftWindows活动目录服务器接口,以获得由活动目录服务器所记录或识别的特定类型事件的记录。例如,在组织中,当用户登录或注销加入到活动目录域的***时,能够在活动目录服务器的事件日志中创建事件。一些特定事件以及这些事件的记录可以包括识别网络中一个或多个设备的IP地址和DNS名称信息。基于事件的发现传感器能够提取该地址数据以便由资产管理***205使用。例如,活动目录事件的日志,诸如在表1中所提到的那些例子(以及其他未列出的),可以包括用于增补资产仓库250的地址信息:
表1
另外,基于事件的发现传感器还可以与防火墙、IPS和其他安全工具(例如,242)接口,以获得描述工具所监控的事件的日志和其他信息。例如,防火墙是基于一组用户指定规则来允许或拒绝网络传输的设备。防侵入***(IPS)是进行深层分组检验且当具体业务模式被记录时生成事件的设备。IPS还能够修改或防止这种业务。防火墙和IPS能够起到在网络攻击的情况下通知网络管理员的作用,或者有助于切实防止闯入、病毒、蠕虫扩散等。在一些实现中,IPS或防火墙能够另外地配置为生成与特定类型或模式的网络业务有关的事件,并且生成的事件可以包括列出在结合事件监控的业务中所涉及的源地址和目的地地址、DNS名称和开放端口的记录或消息的创建。此外,基于事件的发现传感器可以配置为与防火墙和IPS接口以与服务通信且接收来自服务的报告事件,报告事件包括特定类型的分组的检测,包括地址信息,诸如,DHCP地址请求、DNS名称查询,还有其他例子。
间接发现型传感器还可以包括在被动传感器285中。间接发现型传感器可以适于与记录和维护设备地址信息的各种网络服务接口并查询这些服务以提取那些地址,而不与对应的主机直接接触。这种目标网络服务和设备可以包括例如简单网络管理协议(SNMP)服务器(例如,SNMP管理信息库2(MIB2))、主机的邻近数据库(例如,经由netstat命令)、DHCP数据库和路由器维护的邻近信息数据库,还有其他例子。
在一个特定示例中,间接发现型传感器可以适于查询SNMP服务器(包括MIB2)的管理信息库(MIB)。从MIB2能够获得丰富的信息,这些信息能够用于进一步构建资产仓库250。例如,MIB21能够被查询以获得SNMP服务器的ARP表,且因此也是SNMP服务器/设备已经经由本地网络接触的设备列表,包括设备的地址信息。能够获得连接表,其列出了***、其IP地址和SNMP服务器/设备所连接的或者发送数据到的或者接收到数据的端口。还可以连同从网络上的设备到其它设备如何路由分组的细节一起访问路由表,包括路由中涉及的其它设备的IP地址。还可以从SNMP设备获得另外的示例数据,其他SNMP查询还能够显现出SNMP设备在其中通信的网络中的设备的地址信息和其他有用数据。
在另一示例中,间接发现型传感器能够适于获得网络中远程设备上的命令shell,并且发布netstat命令以按IP地址来获得网络中远程设备所连接或者连同其他***的端口信息一起交换数据的***的列表。其他间接发现型传感器可以适于与DHCP服务器接口,并且查询一个或多个DHCP服务器所保持的数据库以获得网络上设备的地址信息。例如,间接发现型传感器可以适于识别网络上的DHCP***,并且使用远程API来查询DHCP服务器数据库(例如,使用DhcpEnumServers、DhcpEnumSubnets、DhcpEnumSubnetClientsV5等),或者利用例如远程命令shell来访问DHCP租赁列表(例如,在Linux***中维护的普通文本文件最小列表),还有其他例子。另外,一些间接发现型传感器还可以查询路由器设备地址信息,例如,通过查询网络内各个路由器的“ipv6邻近信息数据库”。这种数据库能够维护相应路由器已知的(例如,自路由器上次初始化起已经生成网络业务的所有设备的)IP地址和MAC地址的列表,这些列表能够利用对应的间接发现型传感器来收获。在一些示例中,这种传感器可适于维护和使用具体连接器以便支持每个个体路由器或网络设备,而且,在一些实例中记录路由器证书、类型和地址。
被动传感器285可以包括其他类型的传感器,诸如地址映射型传感器。地址映射型传感器可以适于使用来自资产仓库250的或者利用一个或多个其他主动或被动传感器(例如,280,285)发现的地址数据,以查询其他网络设备,诸如DNS服务器、路由器、IPS或防火墙,从而发现所发现设备的额外的地址信息。一般地,通过这种查询,单个设备地址可以映射到该设备的一个或多个其他地址。这些其他地址信息可以包括例如一个或多个人类可读名称(例如,DNS名称)、一个或多个逻辑设备地址(例如,IP地址)、一个或多个物理设备地址(例如,MAC地址),等等。
在一些实例中,一个或多个地址映射传感器可以包括在传感器框架275中,这些地址映射传感器适于利用从资产仓库250获得的和/或通过布置在对应的计算环境内的资产检测引擎210中的一个或多个其他传感器280、285获得的地址数据来进行DNS服务器查询。DNS服务器能够从人类可读设备名称(例如,NDS名称)转发映射到该命名设备的所有逻辑地址。另外,DNS服务器还可以将一个逻辑设备地址反向映射返回到设备的DNS名称。因此,给定单个IP地址,可以通过首先对该地址进行DNS名称的反向查找,然后对于该设备的返回的DNS名称的所有IP地址进行正向查找,来发现附加地址。
在其他示例中,地址映射传感器可适于查询其他网络***和数据库,以执行地址映射且发现计算环境内设备的附加地址数据。例如,在众多其他示例中,本地IPv4ARP高速缓存、IPv6目的地高速缓存、或IPv6邻近高速缓存,可以由地址映射传感器来查询以发现网络中之前识别的设备的附加地址。例如,任意***的本地ARP高速缓存能够用于将***之前与其通信的任意IPv4地址从IPv4地址映射到对应***的MAC地址。另外,利用该高速缓存允许该映射在无需招致请求本地网络路由器来提供该转换的成本的情况下发生。此外,在IPv6环境中,目的地高速缓存和邻近高速缓存可以类似地用于识别由一个或多个IPv6地址识别的设备的MAC地址,还有其他示例。另外,该信息能够经由例如PowerShell v2远程地取回,以从能够获得远程访问的任意***收获附加的目的地地址。此外,地址映射传感器,类似于其他传感器,能够进一步适于维护证书和配置,用于认证和访问遍及计算环境中以各种形式维护事件、设备和地址信息的网络设备和数据库。
转到图4,示出了与示例的资产管理***205通信的示例的可扩展资产检测引擎210的简化框图400。如图2的示例中那样,资产检测引擎210可以包括传感器框架,或者平台适于接受并使用各种主动和被动传感器(例如,280,285),资产检测引擎210可以组合地使用这些传感器来识别设备以及从布置了资产检测引擎(及其构成传感器280,285)的网络上提取对应的设备地址信息。此外,可以方便地在传感器框架上添加、移除或替换传感器,允许对布置了资产检测引擎210的网络扩展、修改和以其他方式调整资产检测引擎210的功能(例如,基于可在资产检测引擎传感器能够与其接口的网络上可用的网络设备和服务)。
在一个示例性示例中,如图4所示,示例的资产检测引擎210可以包括可插地布置在资产检测引擎上的主动和被动传感器280、285。例如,在布置在资产检测引擎210上的可插主动传感器280中,可以提供TCPSYN/ACK主动发现传感器、ICMP ping扫描传感器和UDP ping传感器。在一些实例中,TCP SYN/ACK传感器可以将一组一个或多个TCP分组(诸如SYN分组、TCP全连接分组序列等)发送到网络内的地址。在一些实例中,TCP SYN/ACK传感器能够以被识别为极可能在网络内使用的特定端口为目标,并且将TCP SYN分组发送到用于每个目标IP地址的每个识别的端口。以TCP SYN ACK响应的目标设备能够识别为活动设备,触发目标设备的进一步的属性探测。ICMP ping扫描传感器能够适于将ICMP ping请求发送到每个目标IP地址,并且监听响应以识别网络上的活动设备。UDP ping传感器可以适于将特定UDP分组发送到目标设备,该目标设备被设计成从预测待使用且与目标设备的特定端口相关联的特定服务引出响应。UDPping传感器随后可监听对所发送的UDP分组的响应以识别网络上的活动设备。
此外,在图4的示例中,各种不同的可插被动传感器285还可以设置在资产管理引擎210上。例如,在图4的特定示例中,一组被动传感器,其每个都试图以特定方式被动地发现IP地址信息,可以包括SPAN端口传感器、IPv6邻近查询传感器、ARP高速缓存查询传感器、反向DNS查找传感器、DHCP获取传感器、交换机MAC传感器,等等。另外,传感器还可以设置和实现在可扩展传感器框架上,可扩展传感器框架适于与也捕获和保持***内地址数据的记录的产品和服务的第三方开发者一起工作(并且在一些情况下由该第三方开发者提供)。此外,由于资产检测引擎210上的每个传感器识别网络的设备地址数据,所以结果可以通过资产检测引擎210传递以便由资产管理***205处理。
在接收到由布置在计算环境内的一个或多个资产检测引擎210所获得的设备地址数据时,资产管理***205可以检查资产仓库以查看地址数据是否已经被识别出,添加尚未发现的地址数据(例如,用于仓库中已经发现的设备),以及基于从资产检测引擎210接收到的结果来更新或确认之前识别的地址数据。此外,资产管理***205可以处理从资产检测引擎210接收到的数据,并且根据一些返回数据中的共同特性来确定由资产检测引擎获得的新地址信息对应于网络上之前发现的设备。另外,在地址信息被确定为对应于在资产仓库内尚未识别的设备的情形下,地址信息的发现可被视为代表了网络内设备本身的发现。
设备和地址数据(诸如所发现的IPv6地址)可以由资产管理***205使用(或者在一些实现中,由资产检测引擎210本身来使用)以利用资产检测引擎(例如,210)来触发附加的探头和传感器活动。例如,在识别出新的IP地址时,资产管理***205可以使得地址映射传感器执行地址映射查询,以识别对应于新发现的IP地址的设备的附加IP地址和/或MAC地址。在其他情况下,新发现的地址数据可以传递到资产检测引擎上的其他传感器(例如,通过资产检测引擎210或资产管理***205)以试图发现对应于目标设备的附加信息。事实上,在一些示例中,通过被动传感器285发现的地址数据能够传递到资产管理***205上的主动传感器280,以便由主动传感器在它们的主动发现技术中作为目标地址使用。例如,主动传感器280可以用于验证(以及周期性地重新验证),在特定地址处的设备在网络内是活动的或活动的,在它们上线和离线时监控设备,以及监控与地址相关联的设备的状态。
在一些实例中,为了判定设备是否从在网络上改变状态到离开网络,或者反之亦然,可以保持对于每个设备检测到的先前状态,从而提供比较点。这可以通过例如将包含最近检测到的每个已知设备的状态的存储器内表或数据库保持在资产检测引擎210的盘上(或资产仓库250内)来完成。由于设备被发现是活动的且在网络上(例如,使用主动发现传感器(如280)),检查设备状态表。如果不存在条目或者设备的条目表明其是离线的,则添加条目或者更新现有的条目以指示新设备状态。尽管如此,设备状态表中的条目可以被加上时间戳以表明检测到设备是活动的且在网络上的最后时间。
此外,指示为活动的每个地址可以经由一个或多个主动发现传感器来周期性探索。如果检测到地址为活动的,则设备状态表中的对应条目可再次被加上时间戳以表明设备被检测到位于网络上的最后时间。如果之前经由主动发现传感器检测到地址位于网络上,并且不再检测到处于活动状态,则设备的条目可以标记为现在离开网络。如果设备从未被经由主动方法检测到是活动的,则检查经由某种其他方法将视为活动的最后时间的时间戳,如果条目被检测到为陈旧的(即,比某规定阈值旧),则设备可被标记为离线。作为优化法,如果设备的主动发现失败某次数,则其会被禁用从而节约网络、存储器和CPU的使用。
另外,设备改变状态的检测会使得生成事件,表明设备现在处于网络上或者离开网络。任何触发软件事件的手段可以在此处使用,也是本行业易于理解的。此外,在一些实现中,包括在资产仓库250中的设备被识别为在线(例如,通过对应生成的事件)会引起一个或多个扫描引擎被警告、激活或部署,以执行所发现设备的一次或多次扫描以判定关于待使用设备的进一步的信息,例如,在将标签、安全策略和安全任务分配给设备时。
如图5的简化框图500所示,在一些示例中,计算环境可以包括由资产管理***205管理的多个网络和子网络(例如,505、510)。每个网络505、510可以具有一个或多个资产检测引擎210a、210b,而且具有适于在所发现设备上执行任务的一个或多个扫描引擎515、520,诸如执行特殊化的、后发现扫描以确定在例如计算环境中的其他***实体的识别中使用的操作***、硬件、端口、应用、脆弱性、用户和其他信息,***实体包括应用型实体和人型实体。这种信息还可以用于将安全策略分配到计算环境内的特定的网络、设备、应用和人。
如图5的示例所示,每个网络505、510可以包括多个资产检测引擎(例如,210a,210b)。在一些实现中,资产检测引擎210a、210b本身可以不具有在一个或多个可插传感器不存在和使用的情况下扫描或执行其他发现任务的能力。事实上,资产检测引擎210a、210b可以各自使用共同的传感器框架,但是具有安装为适合于它们监控的网络(例如,505、510)的特定特性和服务的传感器组。例如,一个资产检测引擎可以具有第一组传感器,而第二资产检测引擎在相同的或不同的网络(例如,505、510)中可以具有不同的第二组传感器(其中至少一个传感器包含在传感器组中的一个中,而不在另一个传感器组中)。例如,资产检测引擎的传感器可以从特定设备或服务拉出数据,查询特定设备或服务,或以其他方式与特定的设备或服务交互,特定的设备或服务包括在第一网络中而不包含在第二网络中,诸如为DHCP服务器、SPAN端口等。因此,在该示例中,第一网络中的资产检测引擎可以包括适于与特定设备或服务交互的传感器,而第二网络中的资产检测引擎可以省去这些传感器。另外,一些传感器可以集成或本地实现在特定设备或服务上,并且对应的资产检测引擎在其与其他网络服务通信以及因此使用有赖于与网络服务通信(或者在一些情况下搭配)的其他传感器的能力上受限制,还可有其他示例。因此,在一些情况下,多个资产检测引擎可布置在单个网络内,每个具有不同组的传感器组。一些不同组的传感器可以包括一个或多个相同的传感器。另外,虽然多个资产检测引擎210a、210b可以布置在计算环境的网络505、510内,但是资产检测引擎平台(例如,不具有传感器的传感器框架)可以在整个资产检测引擎210a、210b上相同,允许在每个资产检测引擎上自由添加(或移除)传感器。
如上文所提到的以及本文其他地方所提到的,资产检测引擎(例如,使用包括在资产检测引擎上的一个或多个传感器)发现设备和对应的地址信息可以由其他服务和设备来使用,诸如其他资产检测引擎和/或扫描引擎(例如,515、520)。然而,在一些情况下,地址信息单独地可能不足以通过以特定设备为目标的其他资产检测引擎或扫描引擎来引导或触发任务。例如,在子网络505和510的每一个中可以重复单个IPv6地址,尽管网络505、510位于同一计算环境内,诸如企业软件环境。因此,资产管理***205可以使用附加信息来识别包括在与单个IPv6地址的特定实例对应的网络中的适当的扫描引擎或资产检测引擎。
作为说明性的示例,在图5中,在网络505、510的每一个中提供主机设备(即,***型实体)。例如,掌管网站530的主机设备525、掌管数据库540的主机设备535以及打印机设备545等可以包含在网络505中。此外,在该特定示例中,路由器550、主机设备555和移动计算设备560可以包含在网络510中。在该特定示例中,主机525和主机555可以拥有相同的IPv6地址。为了识别和调用适当的扫描引擎(例如,一个扫描引擎520)来探测主机555,资产管理***205能够保持检测引擎与扫描引擎的映射或其他关联。例如,资产管理***205能够将资产检测引擎210a映射到扫描引擎515,并且将资产检测引擎210b映射到扫描引擎520,从而还为特定资产检测引擎发现的主机或其他设备识别出适当的扫描引擎(或其他资产检测引擎)。
继续之前的图5的示例,发现引擎210b可以识别主机555的IPv6地址,并且将发现的地址信息报告给资产管理***205。在该示例中,资产管理***205可以选择利用返回的IPv6地址来执行附加的探测和任务,以瞄准对应设备(例如,主机555)并且获得关于主机555的附加信息。为实现这点,资产管理***能够识别出,主机555的IPv6地址从资产检测引擎210b返回且查阅映射以识别出位于与510相同的网络中的一个或多个扫描引擎520并且适于执行期望的任务。事实上,在一些实例中,资产检测引擎(例如,210b)本身可以查询或以其他方式访问映射以识别出且直接调用关联的扫描引擎(例如,520)。例如,在一些示例中,可以通过包含多个资产检测引擎210a、210b和/或扫描引擎515、520的资产管理***(或资产检测引擎210a、210b)来开始所定义的任务序列。执行任务序列可以包括识别出在获得关于一个或多个***实体(例如,525、530、535、540、545、550、555、560等)的地址和其他属性的信息时所涉及到的多个资产检测引擎210a、210b和/或扫描引擎515、520之间的关联。任务序列还可以取决于在先任务的结果(例如,是否识别出地址信息或其他属性信息以及识别出何种类型的地址信息或其他属性信息,设备是否被检测为活动的,等等)。
可以利用各种技术来构建关联的资产检测引擎210a、210b和扫描引擎515、520的映射。例如,资产检测引擎能够手动地且明确地与扫描引擎关联(例如,通过用户)。在另一示例中,资产检测引擎和扫描引擎能够严格地关联(即,一个资产检测引擎对一个扫描引擎,反之亦然),诸如通过例如在同一主机设备上将资产检测引擎与扫描引擎串联地布置。在另外的示例中,能够使得映射自动化。例如,资产检测引擎210a、210b和扫描引擎515、520可以各自被识别出且映射到一个或多个特定网络505、510,并且资产管理***205能够识别出从特定网络(例如,510)内的特定资产检测引擎(例如,210b)收集特定地址信息(例如,对应于特定设备,例如550、555、560)。在其他情形下,特定的资产检测引擎210a、210b能够直接映射到特定的扫描引擎515、520。
在一些实现中,资产检测引擎210a、210b收集到的地址信息能够用于将资产检测引擎210a、210b和扫描引擎515、520相关联(和/或识别出资产检测引擎位于与一个或多个扫描引擎相同的网络中,等等)。例如,如果特定的资产检测引擎(来自210a)识别出资产管理***205已知的地址信息以对应于掌管一个或多个特定扫描引擎(例如,515)的特定设备,则资产管理***205能够使用返回的地址信息来确认特定的资产检测引擎(例如,210a)位于与对应的、特定扫描引擎(例如,515)相同的网络(例如,205)上,并且特定的扫描引擎将扫描目标的地址信息看作对应于网络(例如,205),而不将扫描目标与不同网络(例如,510)上的另一个扫描目标混淆,还有其他示例。例如,扫描引擎和/或检测引擎能够识别出类似于资产检测引擎或扫描引擎的业务或行为,从而识别出它们均位于同一网络中,或者特定的扫描引擎515能够到达对应于关联的资产检测引擎所发现的地址信息的特定目标设备。
转到图6A-6H的示例,显示了简化框图600a-h,图示出包括示例的资产检测引擎(例如,210)的示例操作。如图6A所示,多个未发现的设备(即,***型***实体)610、615、620、625能够连接到网络605、通告网络605通信或以其他方式与网络605相结合而操作,但是不存在于由资产管理***205所维护的资产仓库,以便在将安全策略与***实体关联且执行与***实体有关的安全任务时由资产管理***205使用,包括所分配的安全策略的实施。资产检测引擎210,包括多个可插传感器,包括被动和主动传感器,能够用于识别网络605内的未发现的设备以及未发现设备的地址数据。
在图6A的示例中,资产检测引擎210上的基于事件的发现传感器能够用于识别出网络上的一个或多个设备。例如,事件涉及设备610能够由一个或多个网络服务在网络上识别出,诸如活动目录服务器、IDS、防火墙或其他工具或服务(例如,事件管理服务器630)。事件管理服务器630能够检测、登记和记录在网络上的事件,包括在检测事件中所涉及到的设备(例如,610)的地址标识符。在一些实例中,对于由事件管理服务器630检测到的新事件,基于事件的发现传感器能够被警告和/或转发事件数据。例如,事件管理服务器630能够将特定事件转发到之前被识别为极可能包含网络中设备的地址信息的基于事件的发现传感器。在其他实例中,基于事件的发现传感器能够与事件管理服务器630接口,且查询事件管理服务器630的事件记录以识别出新的事件数据并且从事件数据中提取设备地址数据。然后,这些事件数据可由资产检测引擎210处理且发送到资产管理***205。此外,资产检测引擎210能够接收来自资产管理***205的指令和其他通信内容,诸如根据一个或多个发现任务序列(包括多路径发现任务序列树)来执行所发现设备的附加探索的指令,例如,所发现的IP地址、DNS名称等的主动发现探索或地址映射。
转到图6B,表示出设备610的发现(即,以比设备615、620、625的表征有更高的对比度呈现,在图6A-6H中遵循该约定),包括通过包含资产检测引擎610的基于事件的发现传感器为设备610发现的地址数据“地址1”。如图6B所示,设备610和关联的地址信息“地址1”(例如,设备610的IPv6地址)的识别能够进一步由其他传感器使用来获得额外的地址信息,以及发现设备610的其他属性。在一些示例中,资产检测引擎210在认识到特定地址数据的发现时,能够协调进一步发现任务(例如,使用资产检测引擎210上的其他传感器)。在其他实例中,资产管理***205能够驱动通过资产检测引擎的传感器所执行的任务,诸如基于新地址信息的发现的任务。例如,资产检测引擎210能够将设备610的“地址1”的识别返回到资产管理***205,并且资产管理***205能够处理“地址1”以判定地址信息(和/或关联设备)是否是已知的。在任一情况下,资产管理***205能够请求额外的发现任务,诸如DNS映射或ARP映射任务,从而调用资产检测引擎(例如,210)上的特定传感器。例如,如图6B的示例所示,资产检测引擎210能够使用资产检测引擎210上的DNS映射传感器,来在使用新发现的“地址1”作为输入的DNS服务器635处执行反向DNS映射。DNS服务器635能够将例如地址1映射到特定DNS名称。另外,资产检测引擎210处的DNS映射传感器能够另外地请求“地址1”所返回的DNS名称的正向DNS映射,以判定任何其他地址数据(例如,IP地址)是否映射到映射到“地址1”的DNS名称。以此方式,(以及根据该序列),DNS映射传感器能够衡量新发现的IP地址(例如,IPv6地址)以发现其他IP地址(例如,“地址2”),以及设备610的其他地址数据,诸如DNS名称。事实上,如图6C的示例所示,一个附加地址--“地址2”,已经基于在图6B的示例中所执行的DNS查找638为设备610而返回。
在图6C的示例中,通过资产检测引擎210的传感器能够执行附加的发现任务,诸如潜伏型发现任务。例如,资产检测引擎210可以包括SPAN端口传感器、或其他传感器,能够监听网络605内的一个或多个交换机、路由器或其他网络元件处的端口镜像。例如,资产检测引擎210的传感器能够利用交换机640处的镜像功能(例如,642)来识别出跨越交换机640的业务,包括特定网络通信641的源和目的地的地址。在该特定示例中,通过资产检测引擎发现的源IP地址能够对应于之前未识别的设备620(或者设备620的之前未识别的IP地址),并且目的地IP地址还可以是资产管理***205未知的IP地址(即,不包含在由资产管理***205维护的资产仓库中的地址)并且对应于另一设备615。资产检测210利用捕获端口镜像数据(例如,在交换机640的SPAN端口处)的传感器发现的IP地址(例如,“地址3”和“地址4”)能够传送到资产管理***205,如图6D所示。此外,如图6B的示例中那样,新发现的地址“地址3”和“地址4”能够由资产检测引擎210进一步使用(例如,响应于来自资产管理***205的命令),以通过资产检测引擎210(或网络605的另一资产检测引擎或扫描引擎)上的另一传感器实施额外的发现任务,诸如相邻发现请求、ARP查询、DNS映射等,从而发现所发现设备615、620的额外地址(例如,“地址5”、“地址6”和“地址7”)(例如,基于资产管理***205和/或资产检测引擎210所引导的特定任务序列)。
转到图6E,附加传感器可以包括在适于执行包括间接型发现任务的附加发现任务的示例的资产检测引擎210上。作为示例,如图6E所示,间接型传感器能够查询网络(例如,605)上的其他网络元件、服务和计算设备的记录,以识别网络605上已知和未知设备的之前未识别的地址信息。例如,在图6E的示例中,间接型传感器能够用于查询掌管一个或多个网络服务的网络管理服务器645的数据结构,诸如数据库,网络管理服务器诸如为DHCP服务器、入侵检测***(IDS)***、或在其操作过程中在由网络管理服务器645所管理的数据结构中记录网络605内的设备的地址信息的其他服务器。在其他示例中,间接型传感器能够用于查询由网络605中的网络元件650所维护的数据结构,诸如由路由器650所维护的MAC地址表,如在图6F中,或者网络605内的其他计算设备(包括网络元件)。在任一情况下,通过间接发现型传感器查询网络605中的其他服务或网络元件能够用来识别网络605内的另外的地址信息(例如,“地址8”)和对应设备(例如,设备625)。
间接型传感器能够查询源网络管理服务器(例如,645)或网络元件(例如,650),以获得包含地址数据源(例如,645、650)所收集的地址信息的数据结构的全部或子集。例如,在一些示例中,未经过滤的数据集能够由资产检测引擎210的传感器响应于查询而返回,且由资产检测引擎210和/或资产管理***205处理以识别资产管理***205所感兴趣的地址信息(例如,来自资产仓库中维护的信息的新的或不同的地址信息的识别)。在其他实例中,资产检测引擎210的间接发现型传感器能够执行例如源网络管理服务器645的过滤查询,以从网络管理服务器645返回数据子集,诸如通过网络管理服务器645最近收集的数据、在特定时间段内收集的数据等。另外,如在其他示例中那样,通过资产检测引擎210的间接发现型传感器所执行的间接发现技术所收集的地址信息能够用作其他传感器执行的其他发现任务的输入或催化剂,发现任务诸如为DNS映射(例如,655)或其他任务,其能够用于发现另外的属性和地址信息(例如,“地址9”、“地址10”),如图6G和6H的示例中所示。
转到图6H,除了执行被动发现以及在一些情况下执行一系列或一连串间接发现任务(例如,根据可能的任务序列库中的一个特定任务序列而使用被动传感器285),以发现新地址信息和对应的网络设备(例如,610、615、620、625),资产检测引擎210能够使用之前的被动发现任务所发现的信息来接合主动发现传感器(例如,280),从而在发现的设备610、615、620、625上执行主动发现任务(例如,进一步依照特别定义的任务序列)。在一些实现中,主动发现传感器在不具有目标设备的特定识别(例如,目标设备IP地址)的情况下不能够执行其发现任务。因此,特定设备的一个或多个地址的发现能够由资产检测引擎210的一个或多个主动发现传感器使用,来发现所发现设备610、615、620、625的附加的地址信息和属性。此外,资产管理***205能够额外地识别扫描引擎以及其他工具,所述工具能够使用所发现设备610、615、620、625的地址信息来执行设备610、615、620、625的扫描并且识别设备610、615、620、625的属性,包括设备610、615、620、625的类型、硬件、***部件、操作***、脆弱性、软件安装等,还可以有其他示例。
作为示例,在图6H中,资产检测引擎210的一个或多个主动发现传感器能够使用所发现的地址信息(例如,“地址1-10”)来执行附加的发现任务(例如,660、665、670、675)并且获得对应设备610、615、620、625的附加地址信息和/或属性,以及网络605上的其他设备或实体(例如,人和应用)。主动发现传感器能够从之前收集的地址信息识别设备610、615、620、625,并且将分组发送到设备610、615、620、625并且探测设备对分组的相应响应,从而将这些信息识别为设备上的活动端口、设备的操作***、设备所使用的协议、设备所提供的服务,等等。在一些实例中,通过资产检测引擎210的一个或多个主动发现传感器对设备610、615、620、625进行直接探测能够并行地实施。此外,资产管理***能够就传感器所执行的探测类型以及待探测设备来引导资产检测引擎210。附加的设备信息(包括根据探测取回的地址信息)随后能够被取回并传送到资产管理***以进一步增补和改善其资产仓库,允许识别出人和探测设备的应用,允许将设备(以及其他***实体)加标签或以其他方式进行分组,将安全策略分配给它们,以及基于利用一个或多个资产检测引擎(在一些实现中为扫描引擎)发现的属性而执行的附加安全任务。
图7A-7C是简化流程图700a-c,图示说明了在计算环境内使用发现技术的示例技术。例如,在图7A的示例中,利用安装在采用叶片体系结构的可插资产检测引擎上的第一可插传感器,能够识别705在网络内的特定计算设备的地址信息。第一传感器能够采用被动发现技术来识别地址信息。地址信息可以包括特定计算设备的IPv4地址、IPv6地址、MAC地址等。安装在同一资产检测引擎上的第二可插传感器能够用于识别210特定计算设备的附加地址信息。第二传感器也能够采用被动发现技术,或者可以是主动发现传感器,在任一情况下,增补利用第一传感器对于特定计算设备所发现的地址信息。另外,第二传感器能够响应于第一传感器对地址信息的识别705来执行发现任务。例如,当利用第一传感器来发现地址信息时,能够由第二传感器使用触发动作的定义的任务序列。在其他实例中,当第一传感器在发现利用资产检测引擎的可插传感器识别和收集的地址信息能够传送215到资产管理***(例如,与在资产管理***所维护的资产仓库中描述的特定计算设备相关联、在资产管理***对特定计算设备加标签以及以其他方式将安全策略分配(以及实施)到特定计算设备(以及代表特定计算设备实施安全策略,等等)方面不成功时,可以采取其他措施。
转到图7B的流程图700b,能够在定义计算环境中的***实体之间的特定一组关系的分级资产仓库中识别720特定***实体。特定标签能够分配给资产仓库中所包含的特定***实体的记录。标签能够通过用户来分配725,或者能够通过资产管理***自动分配725,例如,与识别特定***实体的一个或多个属性以及基于一个或多个识别的属性来应用加标签规则相结合。通过与资产管理***通信的资产检测引擎和扫描引擎中的一个或两个来识别这些属性。特定***实体的加标签会使得特定安全策略基于标签的分配725而与特定***实体相关联730。事实上,分配的特定安全策略能够应用或者关联于730包括至少包含标签的特定一组标签的一组***实体。在一些实例中,安全策略能够基于被加有单个特定标签或特定标签组合的***实体而应用于***实体(例如,仅具有组合中的每个标签的实体将具有适用于它的安全策略)。在其他实例中,一组标签可以包括可选的标签,因为被分配了特定一组标签中的任一标签的任何***实体将具有与***实体关联且应用于***实体的关联的安全策略。
转到图7C的流程图700c,能够构建IPv6地址的仓库以由此辅助采用IPv6寻址的设备和网络的识别和扫描。可以对于特定计算环境来开发这些仓库,诸如特定企业或组织的计算环境,或者可以开发试图捕获在许多网络内使用(包括遍布因特网的)所有IPv6地址的仓库。仓库能够用于例如,识别能够被扫描或探测附加属性的特定设备以及发现附加***实体,诸如计算设备上的特定应用、计算设备的用户,等等。可以利用被动发现传感器来识别740网络中的特定计算设备的IPv6地址。被动发现传感器可以是例如,潜伏型发现传感器、基于事件的发现传感器、或间接型发现传感器,并且在一些实现中可以是适于包含在资产检测引擎的可扩展的、叶片状体系结构中的可插传感器。可以利用所识别的IPv6地址来使得执行745第二发现任务。第二发现任务能够由相同的被动发现传感器、诸如地址映射传感器的另一被动发现传感器或主动发现传感器来执行,还有其他示例。在一些实例中,能够响应于IPv6地址的识别740来使得执行745第二发现任务,例如,与定义的任务序列相结合。能够从第二发现任务的结果识别出750特定计算设备的附加属性,包括附加的IPv6地址和非地址属性。IPv6地址和附加属性可以添加到资产仓库中,在一些情况下,表示存在于网络上的特定设备的第一地址信息和证据。
虽然已经结合一些实现和通常关联的方法描述了本公开,但这些实现和方法的改动和置换对于本领域技术人员而言将是显而易见的。例如,此处所描述的动作能够与所描述的次序不同的次序来执行,而仍实现所期望的结果。作为一个示例,在附图中所描绘的过程不一定需要图示的特定次序或顺序化次序来实现期望结果。图示的***和工具能够类似地采用可选的体系结构、部件和模块来实现相似的结果和功能。例如,在一些实现中,多任务、并行处理和基于云的解决方案会是有益的。在一个可选的***或工具中,简化的移动通信设备的无线认证功能能够用在可移除存储设备上,诸如便携式硬盘驱动器、拇指驱动器等。在这些实例中,可移除存储设备会缺乏用户接口,但是拥有无线访问能力,其用于通过诸如蓝牙的短距离网络连接到配合的计算设备,以及通过短距离网络与配合计算设备共享认证数据以认证无线、便携式存储设备对一个或多个配合计算设备的持有,允许用户既能通过无线存储设备来获得对配合计算设备的访问权(以及保证)配合计算设备,又能利用经认证的配合计算设备来访问、消耗和修正存储在硬盘驱动器上的数据。其他的***和工具也能够利用本公开的原理。另外,能够支持各式各样的用户接口布局和功能。其他变型例也在随附权利要求的范围内。
在本说明书中描述的主题和操作的实施例能够实现在数字电子电路***中,或者实现在计算机软件、固件或硬件中,包括在本说明书中披露的结构及其结构等同布置,或者它们其中一个或多个的组合。在本说明书中描述的主题的实施例能够实现为编码在计算机存储介质上以便由数据处理装置执行或者控制数据处理装置的操作的一个或多个计算机程序,即,计算机程序指令的一个或多个模块。可选地或者另外地,程序指令能够编码在人工生成的传播信号上,例如,机器生成的电信号、光信号或电磁信号,生成这些信号以对信息编码以便传输到适当的接收装置,从而由数据处理装置来执行。计算机存储介质可以是或者包括在计算机可读存储设备、计算机可读存储基板、随机或串行访问存储器阵列或设备或其中一个或多个的组合。而且,虽然计算机存储介质本身不是传播信号,但是计算机存储介质可以是在人工生成的传播信号中编码的计算机程序指令的源或目的地。计算机存储介质还可以是或者包括在一个或多个单独的物理部件或介质(例如,多个CD、磁盘或其他存储设备)中,包括分布式软件环境或云计算环境。
包括核心网络和访问网络的网络(包括无线访问网络)可以包括一个或多个网络元件。网络元件可以涵盖各种类型的路由器、交换机、网关、桥接器、负载平衡器、防火墙、服务器、工作站、在线服务节点、代理、处理器、模块或任何其他适合的设备、部件、元件、或可工作以在网络环境中交换信息的对象。网络元件可以包括适合的处理器、存储器元件、硬件和/或软件来支持(或其他方式执行)与使用处理器相关联的活动用于屏幕管理功能,如本文所列出的。而且,网络元件可以包括促进其操作的任何适当的部件、模块、接口或对象。这可以包含允许有效交换数据或信息的适当的算法和通信协议。
在本说明书中描述的操作能够实现为通过数据处理器装置对存储在一个或多个计算机可读存储设备上或者从其他源接收到的数据执行的操作。术语“数据处理装置”、“处理器”、“处理设备”和“计算设备”能够涵盖所有类型的装置、设备和用于处理数据的机器,举例说明,包括可编程处理器、计算机、片上***或前述的多个或其组合。该装置可以包括通用或专用逻辑电路,例如,中央处理单元(CPU)、叶片、专用集成电路(ASIC)、或现场可编程门阵列(FPGA),还可有其他适合的选择。虽然一些处理器和计算设备被描述为和/或图示为单个处理器,可以根据关联服务器的特定需要而使用多个处理器。参考单个处理器意在可适用的情况下包含多个处理器。一般地,处理器执行指令且操纵数据以执行一些操作。除了硬件之外,装置还可以包括创建所讨论的计算机程序的执行环境的代码,例如构成处理器固件、协议栈、数据库管理***、操作***、交叉平台运行时环境、虚拟机或其中一个或多个的组合的代码。装置和执行环境能够实现各种不同的计算模型基础结构,诸如网络服务、分布式计算和网格计算基础结构。
计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎或代码)能够以任何形式的编程语言来编写,包括汇编语言或解释语言、描述性语言或程序化语言,并且能够以任意形式来布置,包括作为独立程序或作为适合在计算环境中使用的模块、部件、子程序、对象或其他单元。例如,计算机程序可以包括位于在执行时可工作以至少执行本文所描述的过程和操作的有形介质上的计算机可读指令、固件、有线或可编程硬件、或其任意组合。计算机程序可以,但无需,对应于文件***中的文件。程序可以存储在保存了其他程序或数据(例如,存储在标记语言文档中的一个或多个脚本)的文件的一部分中,在专用于所讨论的程序的单个文件中,或者在多个协调文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。计算机程序能够部署成在位于一个场所或者遍布多个场所分布且通过通信网络互连的一台计算机或多台计算机上执行。
程序能够实现为通过各个对象、方法或其他进程实现了各种特征和功能的单个模块,或者反而可以包括多个子模块、第三方服务、部件、库以及此类。相反,各种部件的特征和功能能够适当地组合成单个部件。在一些情况下,程序和软件***可以实现为复合掌管应用。例如,复合应用的部分可以实现为Enterprise Java Beans(EJB),或设计时间部件可以具有生成运行时实现到不同平台的能力,诸如J2EE(Java 2平台,企业版)、ABAP(先进商业应用编程)对象、或Microsoft的.NET,还有其他例子。另外地,应用可以代表经由网络(例如,通过因特网)访问和执行的基于网络的应用。此外,与特定掌管应用或服务相关联的一个或多个进程可以被远程地存储、引用或执行。例如,特定掌管应用或服务的一部分可以是与远程调用的应用相关联的网络服务,而掌管应用的另一部分可以是被绑定用于在远程客户端处处理的接口对象或代理。而且,掌管应用和软件服务的任意或全部可以是另一软件模块或企业应用(未图示)的孩子或子模块,而不偏离本公开的范围。此外,掌管应用的部分能够由直接工作在掌管应用的服务器处的用户来执行,以及远程地工作于客户端处的用户来执行。
在本说明书中描述的进程和逻辑流可以通过一个或多个可编程处理器来执行,这些可编程处理器执行一个或多个计算机程序以通过操作输入数据且生成输出来执行动作。进程和逻辑流还可以通过专用逻辑电路来执行,并且装置也能够实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
例如,适合于执行计算机程序的处理器包括通用微处理器和专用微处理器,以及任何类型的数字计算机的任意一个或多个处理器。一般地,处理器将接收来自只读存储器或随机存取存储器或两者的指令和数据。计算机的重要元件是用于依照指令来执行动作的处理器以及用于存储指令和数据的一个或多个存储器设备。一般地,计算机还将包括,或者可操作地耦合以接收来自一个或多个大容量存储设备的数据或者向其传递数据,或者两者,该大容量存储设备用于存储数据,例如磁盘、磁光盘或光盘。然而,计算机无需具有这样的设备。而且,计算机能够嵌入到另一设备中,例如移动电话、个人数字助理(PDA)、平板式计算机、移动音频或视频播放器、游戏控制台、全球定位***(GPS)接收机、或便携式存储设备(例如,通用串行总线(USB)闪存驱动器),这仅列举了几个例子。适合于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储设备,举例说明,包括半导体存储设备,例如,EPROM、EEPROM、和闪存设备;磁盘,例如内部硬盘或可移除磁盘;磁光盘;以及CD ROM和DVD-ROM磁盘。处理器和存储器可以由专用逻辑电路来增补或者并入专用逻辑电路中。
为了提供与用户的交互,本说明书中所描述的主题的实施例可以实现在具有以下部件的计算机上:用于将信息显示给用户的显示设备(例如,CRT(阴极射线管)或LCD(液晶显示)监控器)、以及用户能够借以将输入提供给计算机的键盘和定点设备(例如,鼠标或跟踪球)。其他类型的设备同样能够用于提供与用户的交互;例如,提供给用户的反馈可以是任意形式的传感器反馈,例如,可视反馈、可听反馈、或触觉反馈;以及来自用户的输入能够以任意形式接收,包括声音、语言或触觉的输入。另外,计算机能够通过将文件发送到用户使用的设备(包括远程设备)以及从用户使用的设备接收文件来与用户交互。
在该说明书中描述的主题的实施例可以在包括后端部件的计算***中实现,例如,实现为数据服务器,或者在包括中间件部件的计算***中实现,例如,实现为应用服务器,或者在包括前端部件的计算***中实现,例如,实现为具有用户能够借以与本说明书中描述的主题的实现交互的图形用户接口或网络浏览器的客户端计算机,或者一个或多个这样的后端部件、中间件部件或前端部件的任意组合。***的部件能够通过任何形式的数字数据通信或数字数据通信介质来相互连接,例如,通信网络。通信网络的示例包括可操作以便于***中各计算部件之间的通信的任何内部或外部网络、网络、子网络或其组合。网络可以在网络地址之间传送例如因特网协议(IP)分组、帧中继帧、异步传输模式(ATM)单元、语音、视频、数据和其他适合的信息。网络还可以包括一个或多个局域网(LAN)、无线访问网络(RAN)、城域网(MAN)、广域网(WAN)、因特网的全部或一部分、对等网络(例如,特定的对等网络)、和/或在一个或多个位置处的任何一个或多个其他通信***。
计算***可以包括客户端和服务器。客户端和服务器通常彼此远离且典型地通过通信网络交互。客户端和服务器的关系仅借助于在相应计算机上运行且彼此具有客户端-服务器关系的计算机程序而存在。在一些实施例中,服务器将数据(例如,HTML页面)发送到客户端设备(例如,为了向与客户端设备交互的用户显示数据以及从其接收用户输入的目的)。可以在服务器处从客户端设备接收在客户端设备处所生成的数据(例如,用户交互的结果)。
虽然该说明书包含了许多具体的实现细节,但这些不应解释为对任何发明或所主张的范围的限制,相反应解释为特定于特定发明的特定实施例的特征的描述。在单独的实施例的背景下本说明书中所描述的一些特征还可以在单个实施例中组合实现。相反,在单个实施例的背景下描述的各特征也可以单独地或者在任何适当的子组合中在多个实施例中实现。而且,虽然在上文特征被描述为在一些组合中起作用以及甚至在最初如此主张,但来自所主张的组合的一个或多个特征在一些情况下可以从组合中删除,并且所主张的组合可以涉及到一个子组合或各种子组合。
类似地,虽然在附图中按特定次序描绘了操作,但这不应理解为,要求按图示的特定次序或者按顺序的次序来执行这些操作,或者要求执行所有图示的操作来实现期望的结果。在一些情形下,多任务和并行处理会是有益的。而且,上文所述的实施例中的各***部件的分离不应理解为,在所有实施例中需要这样的分离,应当理解为,所描述的程序部件和***通常能够集成在一起作为单个软件产品或者包装成多个软件产品。
因此,已经描述了主题的特定实施例。其他实施例在随附权利要求书的范围内。在一些情况下,在权利要求中所记述的动作可按不同的次序来执行,而仍实现期望的结果。另外,在附图中描绘的进程不一定要求按图示的特定次序或顺序化的次序来实现期望结果。

Claims (24)

1.一种方法,包括:
利用资产检测引擎来识别网络内的特定计算设备的地址信息,其中所述地址信息的识别是通过包含于所述资产检测引擎中的一组发现传感器中的第一可插发现传感器来促成的;以及
将所述特定计算设备的所述地址信息的识别发送到资产管理***,以便在由所述资产管理***管理的资产仓库中包括所述地址信息。
2.如权利要求1所述的方法,还包括:利用所述一组发现传感器中的第二可插发现传感器来识别所述特定计算设备的附加属性。
3.如权利要求2所述的方法,其中,基于利用所述一组发现传感器中的可插发现传感器所识别出的经识别属性,将安全策略分配给所述特定计算设备。
4.如权利要求3所述的方法,其中,所述附加属性包括如下中的至少一项:所述特定计算设备的活动端口、所述特定计算设备的操作***、以及所述特定计算设备的应用。
5.如权利要求3所述的方法,其中,对所述特定计算设备加标签以将所述特定计算设备与特定计算设备群组相关联,并且所述安全策略与所述特定计算设备群组相关联。
6.如权利要求1所述的方法,其中,所述一组发现传感器中的每个发现传感器是可插发现传感器。
7.如权利要求1所述的方法,其中,所述资产管理***确定识别出的地址信息未包含于所述资产仓库中,所述地址信息的识别发现所述网络内的所述特定计算设备。
8.如权利要求1所述的方法,还包括:将可插发现传感器添加到所述一组发现传感器中。
9.如权利要求1所述的方法,还包括:将所述一组发现传感器中的一个可插发现传感器用另一可插发现传感器来代替。
10.如权利要求1所述的方法,其中,所述一组发现传感器包括基于事件的可插发现传感器,其适于根据描述由所述网络上的事件管理服务所识别的所述网络中的事件的事件记录数据来识别所述网络上的计算设备的地址信息。
11.如权利要求10所述的方法,其中,所述基于事件的可插发现传感器适于访问动态主机配置协议(DHCP)服务器事件、活动目录审核事件、防火墙事件和防入侵***(IPS)事件中的至少一个的事件记录数据。
12.如权利要求1所述的方法,其中,所述一组发现传感器包括潜伏型可插发现传感器,其适于根据由被动型可插发现传感器所监控的网络业务来识别所述网络上的计算设备的地址信息。
13.如权利要求12所述的方法,其中,所述潜伏型可插发现传感器适于监控所述网络业务中的NetBIOS广播分组、互联网控制消息协议版本6(ICMPv6)网络业务以及经由端口镜像的网络业务中的至少一项。
14.如权利要求1所述的方法,其中,所述一组发现传感器包括间接型可插发现传感器,其适于查询所述网络的服务以获取包括所述网络内的计算设备的地址信息的数据。
15.如权利要求14所述的方法,其中,所述间接型可插发现传感器适于进行如下中的至少一项:查询简单网络管理协议(SNMP)管理信息库(MIB),查询DHCP数据库,查询路由器表,以及在网络中的另一计算设备上发布netstat命令。
16.如权利要求1所述的方法,其中,所述一组发现传感器包括主动型可插发现传感器,其适于将数据发送到所述特定计算设备并且监控所述特定计算设备对所发送的数据的响应。
17.如权利要求16所述的方法,其中,所述主动型可插发现传感器所发送的数据包括如下中的至少一项:一组互联网控制消息协议(ICMP)分组、一组传输控制协议(TCP)分组、以及一组用户数据报协议(UDP)分组。
18.如权利要求16所述的方法,其中,所述一组发现传感器包括所述主动型可插发现传感器和至少一个被动型可插发现传感器,其中所述被动型发现传感器是潜伏型发现传感器、基于事件的发现传感器和间接型发现传感器之一。
19.一种在非暂态介质中编码的逻辑,包括用于执行的代码,当通过处理器执行时,所述逻辑能操作以执行包括以下的操作:
利用资产检测引擎来识别网络内的特定计算设备的地址信息,其中所述地址信息的识别是通过包含于所述资产检测引擎中的一组发现传感器中的第一可插发现传感器来促成的;以及
将所述特定计算设备的所述地址信息的识别发送到资产管理***,以便在由所述资产管理***管理的资产仓库中包括所述地址信息。
20.一种***,包括:
至少一个处理器设备;
至少一个存储器元件;以及
可插资产检测引擎,其包括一组可插发现传感器,当通过所述至少一个处理器设备执行时适于:
利用所述一组发现传感器中的第一可插发现传感器来识别网络内的特定计算设备的特定地址信息;以及
将所述特定计算设备的所述特定地址信息的识别发送到资产管理***,以便在由所述资产管理***管理的资产仓库中包括所述特定地址信息。
21.如权利要求20所述的***,还包括所述资产管理***,当通过所述至少一个处理器设备执行时,所述资产管理***适于:
从所述资产检测引擎接收所述特定地址信息;
确定所述地址信息是否与在所述资产仓库中描述的设备相关联;以及
用不包括在所述资产仓库中的地址信息来增补所述资产仓库。
22.如权利要求20所述的***,其中,所述资产检测引擎是所述***中的多个资产检测引擎中的第一资产检测引擎。
23.如权利要求22所述的***,其中,所述多个资产检测引擎包括第二资产检测引擎,所述第一资产检测引擎的一组发现传感器是第一组,所述第二资产检测引擎包括第二组发现传感器,并且所述第一组发现传感器不同于所述第二组发现传感器。
24.如权利要求23所述的***,其中,所述第一组发现传感器包括也包含在所述第二组发现传感器中的特定发现传感器。
CN201380017020.3A 2012-04-11 2013-04-11 资产检测*** Pending CN104272650A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/444,143 US9049207B2 (en) 2012-04-11 2012-04-11 Asset detection system
US13/444,143 2012-04-11
PCT/US2013/036168 WO2013155302A1 (en) 2012-04-11 2013-04-11 Asset detection system

Publications (1)

Publication Number Publication Date
CN104272650A true CN104272650A (zh) 2015-01-07

Family

ID=49326090

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380017020.3A Pending CN104272650A (zh) 2012-04-11 2013-04-11 资产检测***

Country Status (4)

Country Link
US (2) US9049207B2 (zh)
EP (1) EP2837135B1 (zh)
CN (1) CN104272650A (zh)
WO (1) WO2013155302A1 (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106533747A (zh) * 2016-11-03 2017-03-22 合肥微梦软件技术有限公司 一种网络服务器运行状况监测***
US10104013B2 (en) 2015-02-10 2018-10-16 Nanning Fugui Precision Industrial Co., Ltd. Openflow controller and switch installing an application
CN109034222A (zh) * 2018-07-13 2018-12-18 杭州安恒信息技术股份有限公司 一种硬件资产分类方法、***、装置及可读存储介质
CN109257455A (zh) * 2018-09-03 2019-01-22 广东电网有限责任公司信息中心 一种终端资产实名制实现方法和***
CN109768870A (zh) * 2017-11-09 2019-05-17 国网青海省电力公司电力科学研究院 一种基于主动探测技术的工控网络资产发现方法及***
CN110113345A (zh) * 2019-05-13 2019-08-09 四川长虹电器股份有限公司 一种基于物联网流量的资产自动发现的方法
CN115277826A (zh) * 2022-05-23 2022-11-01 深圳铸泰科技有限公司 一种物联网设备的发现方法及***
CN116471130A (zh) * 2023-06-20 2023-07-21 荣耀终端有限公司 一种网络资产探测方法和装置

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9516451B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. Opportunistic system scanning
US8955036B2 (en) 2012-04-11 2015-02-10 Mcafee, Inc. System asset repository management
US8954573B2 (en) 2012-04-11 2015-02-10 Mcafee Inc. Network address repository management
US9049207B2 (en) 2012-04-11 2015-06-02 Mcafee, Inc. Asset detection system
US9026367B2 (en) 2012-06-27 2015-05-05 Microsoft Technology Licensing, Llc Dynamic destination navigation system
US9294574B2 (en) * 2012-09-12 2016-03-22 Electronics For Imaging, Inc. Device discovery using broadcast technology
JP2014135592A (ja) * 2013-01-09 2014-07-24 Sony Corp 情報処理装置、情報処理方法及び情報処理システム
US8978101B2 (en) * 2013-01-22 2015-03-10 Dell Products L.P. Systems and methods for security tiering in peer-to-peer networking
CN104079507B (zh) * 2013-03-27 2019-04-09 联想企业解决方案(新加坡)私人有限公司 同步ip信息的方法和装置
KR101466729B1 (ko) * 2013-05-28 2014-12-01 삼성에스디에스 주식회사 IPv6 환경에서의 단말 정보 통합 관리 장치 및 방법
US9497083B1 (en) * 2013-06-10 2016-11-15 Palo Alto Networks, Inc. Discovering network nodes
US9992230B1 (en) * 2013-09-27 2018-06-05 Tripwire, Inc. Assessing security control quality and state in an information technology infrastructure
US20150121471A1 (en) * 2013-10-25 2015-04-30 Nordstrom Inc. System and Method for Providing Access to a Proximate Accessory Device for a Mobile Device
US10063654B2 (en) 2013-12-13 2018-08-28 Oracle International Corporation Systems and methods for contextual and cross application threat detection and prediction in cloud applications
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US9571427B2 (en) * 2013-12-31 2017-02-14 Google Inc. Determining strength of association between user contacts
US20170061339A1 (en) 2014-01-02 2017-03-02 Jeremy Lynn Littlejohn Method for facilitating network external computing assistance
US10404658B1 (en) * 2014-06-03 2019-09-03 Xevo Inc. Naming services extensions to URLs to handle inconstant resources, non-addressable resources, and large numbers of resources
US20160373319A1 (en) * 2014-09-24 2016-12-22 Jeremy Lynn Littlejohn Method and device for evaluating the system assets of a communication network
US10171318B2 (en) 2014-10-21 2019-01-01 RiskIQ, Inc. System and method of identifying internet-facing assets
US10320739B2 (en) * 2014-12-12 2019-06-11 Donuts Inc. Communication using DNS repurposing
US9401933B1 (en) 2015-01-20 2016-07-26 Cisco Technology, Inc. Classification of security policies across multiple security products
US9680875B2 (en) 2015-01-20 2017-06-13 Cisco Technology, Inc. Security policy unification across different security products
US9571524B2 (en) 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
US9531757B2 (en) 2015-01-20 2016-12-27 Cisco Technology, Inc. Management of security policies across multiple security products
US9521167B2 (en) 2015-01-20 2016-12-13 Cisco Technology, Inc. Generalized security policy user interface
US10572449B2 (en) * 2015-03-02 2020-02-25 Walmart Apollo, Llc Systems, devices, and methods for software discovery using application ID tags
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
US10200241B2 (en) 2015-05-13 2019-02-05 Stryker Corporation Method of wireless discovery and networking of medical devices in care environments
US9641540B2 (en) 2015-05-19 2017-05-02 Cisco Technology, Inc. User interface driven translation, comparison, unification, and deployment of device neutral network security policies
US10826777B2 (en) * 2015-06-23 2020-11-03 A10 Networks, Incorporated Techniques for passively gleaning properties of computing entities
US9474042B1 (en) * 2015-09-16 2016-10-18 Ivani, LLC Detecting location within a network
US10665284B2 (en) 2015-09-16 2020-05-26 Ivani, LLC Detecting location within a network
US10389742B2 (en) * 2015-10-21 2019-08-20 Vmware, Inc. Security feature extraction for a network
US20210360032A1 (en) * 2015-10-28 2021-11-18 Qomplx, Inc. Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US10536478B2 (en) 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
KR101835315B1 (ko) * 2016-03-07 2018-03-08 주식회사 윈스 Ips 스위치 장치 및 처리 방법
WO2017176428A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
MX2018012186A (es) * 2016-04-05 2019-02-07 Wellaware Holdings Inc Dispositivo para monitorear y controlar equipo industrial.
WO2017176429A1 (en) 2016-04-05 2017-10-12 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
US10425430B2 (en) * 2016-04-22 2019-09-24 Expanse, Inc. Hierarchical scanning of internet connected assets
US10282699B2 (en) 2016-06-14 2019-05-07 International Business Machines Corporation Self-organizing software scan scheduling based on neural network cognitive classification
US20190124153A1 (en) * 2016-06-16 2019-04-25 Center Of Human-Centered Interaction For Coexistence Data processing device and method for data sharing among multiple users, and computer program
JP6662220B2 (ja) * 2016-06-29 2020-03-11 富士通株式会社 情報処理システム、情報処理装置、位置特定方法及び位置特定プログラム
US10749857B2 (en) * 2016-09-26 2020-08-18 Expanse, Inc. Network mapping using a fingerprint
US10601636B2 (en) 2016-11-04 2020-03-24 Crosscode, Inc. Method and system for architecture analysis of an enterprise
JP6253751B1 (ja) * 2016-11-29 2017-12-27 キヤノン株式会社 印刷装置及び印刷装置の制御方法
US11153376B2 (en) * 2017-02-23 2021-10-19 Centurylink Intellectual Property Llc Systems and methods for an internet of things computing shell
US20180270200A1 (en) * 2017-03-14 2018-09-20 T-Mobile Usa, Inc. Active Inventory Discovery for Network Security
US11170011B2 (en) * 2017-03-20 2021-11-09 Palo Alto Networks, Inc. Triggered scanning using provided configuration information
US10831838B2 (en) 2017-03-20 2020-11-10 Expanse, Inc. Triggered scanning based on network available data change
US10958623B2 (en) * 2017-05-26 2021-03-23 Futurewei Technologies, Inc. Identity and metadata based firewalls in identity enabled networks
US10708139B2 (en) * 2017-08-01 2020-07-07 Servicenow, Inc. Automatic grouping of similar applications and devices on a network map
US10594735B2 (en) * 2017-09-28 2020-03-17 At&T Intellectual Property I, L.P. Tag-based security policy creation in a distributed computing environment
US10628591B2 (en) * 2017-11-20 2020-04-21 Forcepoint Llc Method for fast and efficient discovery of data assets
WO2019117852A1 (en) * 2017-12-11 2019-06-20 Siemens Aktiengesellschaft System and method for semantics assisted asset onboarding for industrial digital services
US11677627B2 (en) * 2018-06-29 2023-06-13 Forescout Technologies, Inc. Dynamic segmentation management
US11411822B2 (en) * 2018-06-29 2022-08-09 Forescout Technologies, Inc. Segmentation management including translation
US11271812B2 (en) 2018-06-29 2022-03-08 Forescout Technologies, Inc. Segmentation management including visualization, configuration, simulation, or a combination thereof
US11025638B2 (en) 2018-07-19 2021-06-01 Forcepoint, LLC System and method providing security friction for atypical resource access requests
US11134087B2 (en) 2018-08-31 2021-09-28 Forcepoint, LLC System identifying ingress of protected data to mitigate security breaches
US10893018B2 (en) * 2018-09-10 2021-01-12 Level 3 Communications, Llc Systems and methods for automatic inventory and DNS record generation
US11245723B2 (en) 2018-11-02 2022-02-08 Forcepoint, LLC Detection of potentially deceptive URI (uniform resource identifier) of a homograph attack
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US11295026B2 (en) 2018-11-20 2022-04-05 Forcepoint, LLC Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone
US11297099B2 (en) 2018-11-29 2022-04-05 Forcepoint, LLC Redisplay computing with integrated data filtering
US11050767B2 (en) 2018-12-17 2021-06-29 Forcepoint, LLC System for identifying and handling electronic communications from a potentially untrustworthy sending entity
US11379426B2 (en) 2019-02-05 2022-07-05 Forcepoint, LLC Media transfer protocol file copy detection
US11562093B2 (en) 2019-03-06 2023-01-24 Forcepoint Llc System for generating an electronic security policy for a file format type
CN110311931A (zh) * 2019-08-02 2019-10-08 杭州安恒信息技术股份有限公司 资产自动发现方法及装置
US11281794B2 (en) * 2019-09-26 2022-03-22 Microsoft Technology Licensing, Llc Fine grained access control on procedural language for databases based on accessed resources
CN112995352B (zh) * 2019-12-17 2022-06-28 北京白帽汇科技有限公司 基于流量分析的IPv6网络空间测绘***及测绘方法
US11900314B2 (en) 2020-02-06 2024-02-13 International Business Machines Corporation Asset and sensor mapping
US11748458B2 (en) 2020-04-15 2023-09-05 Codelogic, Inc. Systems and methods for a governance engine
US11687657B2 (en) 2020-07-08 2023-06-27 Codelogic, Inc. Systems and methods for software security analysis
CN112202629B (zh) * 2020-09-11 2023-08-25 智网安云(武汉)信息技术有限公司 一种网络资产监控方法及一种网络资产监控装置
US11487904B2 (en) 2020-10-21 2022-11-01 Charter Communications Operating, Llc Methods and systems for underlying operating system shell discovery
CN112637159A (zh) * 2020-12-14 2021-04-09 杭州安恒信息技术股份有限公司 一种基于主动探测技术的网络资产扫描方法、装置及设备
US20220239628A1 (en) * 2021-01-22 2022-07-28 Dell Products L.P. Managing internet protocol (ip) address detection with a system management console
US11962469B2 (en) * 2021-02-10 2024-04-16 Cisco Technology, Inc. Identifying devices and device intents in an IoT network
US20220294788A1 (en) * 2021-03-09 2022-09-15 Oracle International Corporation Customizing authentication and handling pre and post authentication in identity cloud service
US11777907B2 (en) * 2021-03-24 2023-10-03 International Business Machines Corporation Computer asset discovery for digital transformation
CN113904910A (zh) * 2021-10-08 2022-01-07 安徽高颐科技有限公司 一种基于运维***的智能资产发现方法及装置
CN114025014B (zh) * 2021-10-29 2024-01-30 北京恒安嘉新安全技术有限公司 一种资产探测方法、装置、电子设备及存储介质
US11805041B2 (en) * 2021-12-03 2023-10-31 Hankuk University Of Foreign Studies Research & Business Foundation In-memory management system and method using user traffic
US20230336793A1 (en) * 2022-04-14 2023-10-19 Oxylabs, Uab Streaming proxy service
US20240015134A1 (en) * 2022-07-05 2024-01-11 Tweenznet Ltd. System and method of discovering a network asset from a network sample
CN116074214A (zh) * 2022-12-28 2023-05-05 四川新网银行股份有限公司 基于网络暴露面的企业it资产发现识别的***及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1394038A (zh) * 2001-06-26 2003-01-29 华为技术有限公司 Ip网络节点发现方法
CN1813442A (zh) * 2001-06-19 2006-08-02 西门子公司 网络配置管理和网络库存管理方法及***
CN1886935A (zh) * 2003-11-28 2006-12-27 因塞提克有限公司 用于收集有关通信网络的信息和用于收集有关在通信网络节点上运行的操作***的信息的方法和***
US20080005784A1 (en) * 2003-07-25 2008-01-03 Gary Miliefsky Proactive network security systems to protect against hackers
US20080228908A1 (en) * 2004-07-07 2008-09-18 Link David F Management techniques for non-traditional network and information system topologies
CN101933313A (zh) * 2007-12-18 2010-12-29 太阳风环球有限责任公司 将针对网络设备的网络流中的网络地址解析为主机名称的方法

Family Cites Families (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6574737B1 (en) 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US7003560B1 (en) 1999-11-03 2006-02-21 Accenture Llp Data warehouse computing system
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US20030018694A1 (en) 2000-09-01 2003-01-23 Shuang Chen System, method, uses, products, program products, and business methods for distributed internet and distributed network services over multi-tiered networks
KR100376618B1 (ko) 2000-12-05 2003-03-17 주식회사 싸이버텍홀딩스 에이전트 기반의 지능형 보안 시스템
JP4491980B2 (ja) * 2001-03-05 2010-06-30 ソニー株式会社 通信処理システム、通信処理方法、および通信端末装置、並びにプログラム
JP4572476B2 (ja) * 2001-03-13 2010-11-04 ソニー株式会社 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7299504B1 (en) 2002-03-08 2007-11-20 Lucent Technologies Inc. System and method for implementing security management using a database-modeled security policy
GB2408607A (en) 2002-09-27 2005-06-01 Hill Rom Services Inc Universal communications monitoring tracking and control system for a healthcare facility
US20040093408A1 (en) 2002-11-08 2004-05-13 Hirani Harikrishin W. IT asset tracking system
ATE449493T1 (de) * 2002-11-27 2009-12-15 Research In Motion Ltd Zuweisen einer temporären ipv6-adresse zu einer temporären ipv4-adresse, um in einem ipv4- netzwerk mit einem schnurlosen gerät zu kommunizieren
KR20040046431A (ko) 2002-11-27 2004-06-05 삼성전자주식회사 IPv6 주소를 이용하여 디바이스를 식별하는 방법
US7243147B2 (en) 2002-12-30 2007-07-10 Bellsouth Ip Corporation Systems and methods for the detection and management of network assets
US20040193918A1 (en) 2003-03-28 2004-09-30 Kenneth Green Apparatus and method for network vulnerability detection and compliance assessment
US7956742B2 (en) 2003-10-30 2011-06-07 Motedata Inc. Method and system for storing, retrieving, and managing data for tags
US8635350B2 (en) * 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US7418376B1 (en) * 2004-04-08 2008-08-26 Cisco Systems, Inc. Method for generating a simulated network based on an actual managed network
US20070180490A1 (en) 2004-05-20 2007-08-02 Renzi Silvio J System and method for policy management
KR101277016B1 (ko) * 2004-11-05 2013-07-30 텔코디아 테크놀로지스, 인코포레이티드 네트워크 발견 메커니즘
US8037036B2 (en) 2004-11-17 2011-10-11 Steven Blumenau Systems and methods for defining digital asset tag attributes
US20060161444A1 (en) 2005-01-18 2006-07-20 Microsoft Corporation Methods for standards management
US7941489B2 (en) 2005-01-24 2011-05-10 Daniel Measurement And Control, Inc. Method and system of determining a hierarchical structure
WO2006108162A2 (en) 2005-04-06 2006-10-12 Getty Images, Inc. Digital asset management system, including customizable metadata model for asset cataloging and permissioning of digital assets, such as for use with digital images and songs
US20070177550A1 (en) 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
JP5483884B2 (ja) 2006-01-17 2014-05-07 キダロ (イスラエル) リミテッド 複数のコンピューティング環境のシームレスな統合
US8331263B2 (en) 2006-01-23 2012-12-11 Microsoft Corporation Discovery of network nodes and routable addresses
KR100728040B1 (ko) 2006-04-28 2007-06-13 삼성전자주식회사 IPv6 유니크 로컬 주소 생성 방법 및 장치
US7929535B2 (en) 2006-07-07 2011-04-19 Qualcomm Incorporated Geolocation-based addressing method for IPv6 addresses
US8752045B2 (en) 2006-10-17 2014-06-10 Manageiq, Inc. Methods and apparatus for using tags to control and manage assets
US7937298B2 (en) 2007-05-17 2011-05-03 Oracle International Corporation Guaranteed RFID event delivery
EP2015535A1 (en) 2007-07-10 2009-01-14 Panasonic Corporation Detection of mobility functions implemented in a mobile node
KR100951144B1 (ko) 2007-10-19 2010-04-07 한국정보보호진흥원 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법
US20090138583A1 (en) 2007-11-28 2009-05-28 Childress Rhonda L Method and apparatus for generating statistics on information technology service management problems among assets
ES2376991T3 (es) * 2008-06-02 2012-03-21 Media Patents, S. L. Procedimientos y aparatos para el envío de paquetes de datos entre nodos móviles
US20100064362A1 (en) 2008-09-05 2010-03-11 VolPshield Systems Inc. Systems and methods for voip network security
US8392567B2 (en) * 2009-03-16 2013-03-05 International Business Machines Corporation Discovering and identifying manageable information technology resources
US8565119B2 (en) * 2009-04-14 2013-10-22 Schweitzer Engineering Laboratories Inc Network discovery and data transfer using SNMP in an electric power transmission or distribution system
US8140669B2 (en) * 2009-08-31 2012-03-20 International Business Machines Corporation Resolving hostnames on a private network with a public internet server
US8578034B2 (en) * 2010-11-24 2013-11-05 Verizon Patent And Licensing Inc. Optimized network device discovery
KR20120070957A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 근거리 무선 센서 네트워크에서 종단 디바이스를 위한 라우팅 방법 및 그 종단 디바이스
US9111094B2 (en) 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
US8880669B2 (en) * 2011-03-03 2014-11-04 Cisco Technology, Inc. Method and apparatus to detect unidentified inventory
US8719450B2 (en) * 2011-10-31 2014-05-06 Cable Television Laboratories, Inc. Internet protocol (IP) address translation
US9049207B2 (en) 2012-04-11 2015-06-02 Mcafee, Inc. Asset detection system
US8955036B2 (en) 2012-04-11 2015-02-10 Mcafee, Inc. System asset repository management
US8954573B2 (en) 2012-04-11 2015-02-10 Mcafee Inc. Network address repository management

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1813442A (zh) * 2001-06-19 2006-08-02 西门子公司 网络配置管理和网络库存管理方法及***
CN1394038A (zh) * 2001-06-26 2003-01-29 华为技术有限公司 Ip网络节点发现方法
US20080005784A1 (en) * 2003-07-25 2008-01-03 Gary Miliefsky Proactive network security systems to protect against hackers
CN1886935A (zh) * 2003-11-28 2006-12-27 因塞提克有限公司 用于收集有关通信网络的信息和用于收集有关在通信网络节点上运行的操作***的信息的方法和***
US20080228908A1 (en) * 2004-07-07 2008-09-18 Link David F Management techniques for non-traditional network and information system topologies
CN101933313A (zh) * 2007-12-18 2010-12-29 太阳风环球有限责任公司 将针对网络设备的网络流中的网络地址解析为主机名称的方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10104013B2 (en) 2015-02-10 2018-10-16 Nanning Fugui Precision Industrial Co., Ltd. Openflow controller and switch installing an application
CN106533747A (zh) * 2016-11-03 2017-03-22 合肥微梦软件技术有限公司 一种网络服务器运行状况监测***
CN109768870A (zh) * 2017-11-09 2019-05-17 国网青海省电力公司电力科学研究院 一种基于主动探测技术的工控网络资产发现方法及***
CN109034222A (zh) * 2018-07-13 2018-12-18 杭州安恒信息技术股份有限公司 一种硬件资产分类方法、***、装置及可读存储介质
CN109257455A (zh) * 2018-09-03 2019-01-22 广东电网有限责任公司信息中心 一种终端资产实名制实现方法和***
CN110113345A (zh) * 2019-05-13 2019-08-09 四川长虹电器股份有限公司 一种基于物联网流量的资产自动发现的方法
CN110113345B (zh) * 2019-05-13 2021-04-06 四川长虹电器股份有限公司 一种基于物联网流量的资产自动发现的方法
CN115277826A (zh) * 2022-05-23 2022-11-01 深圳铸泰科技有限公司 一种物联网设备的发现方法及***
CN116471130A (zh) * 2023-06-20 2023-07-21 荣耀终端有限公司 一种网络资产探测方法和装置
CN116471130B (zh) * 2023-06-20 2023-11-10 荣耀终端有限公司 一种网络资产探测方法和装置

Also Published As

Publication number Publication date
US20160057101A1 (en) 2016-02-25
US9847965B2 (en) 2017-12-19
EP2837135A1 (en) 2015-02-18
US9049207B2 (en) 2015-06-02
WO2013155302A1 (en) 2013-10-17
US20130275574A1 (en) 2013-10-17
EP2837135B1 (en) 2021-03-10
EP2837135A4 (en) 2015-12-02

Similar Documents

Publication Publication Date Title
CN104272650A (zh) 资产检测***
CN104205773B (zh) ***资产储存库管理
CN104205774B (zh) 网络地址储存库管理
US10284516B2 (en) System and method of determining geographic locations using DNS services
Shin et al. Privacy protection for users of location-based services
Fabian et al. Security challenges of the EPCglobal network
CN103563302B (zh) 网络资产信息管理
US11122411B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using block chain
US9516451B2 (en) Opportunistic system scanning
CN102055813A (zh) 一种网络应用的访问控制方法及其装置
CA2515015A1 (en) Mobility management in wireless networks
CN103929429A (zh) 基于RESTful Web服务的网络漏洞扫描***及方法
WO2009093226A2 (en) A method and apparatus for fingerprinting systems and operating systems in a network
KR20120097599A (ko) 네트워크 시스템 및 그 제어방법
JP2012520502A (ja) 複数のアクセス統計サーバを統合して運営するシステム及びその方法
CN104936202B (zh) 基于CoAP协议的6LoWPAN无线传感网络管理***
CN104734869A (zh) 基于动态探测的智能dns域名***及方法
US20210203600A1 (en) Method and apparatus for collecting data in network communication using concealed user address
Hatzivasilis et al. Secure semantic interoperability for IoT applications with linked data
KR102314557B1 (ko) 보안 통제 관리 시스템 및 그 방법
KR20100070456A (ko) P2p 네트워크를 이용한 센서노드별 가상의 피어를 생성하는 방법 및 그 장치
Sooraj et al. Naming services in the Internet of Things
Fabian Secure name services for the Internet of Things
Fernández-Arruti et al. Real-Time Network Auditing System Based on Low-Cost IoT Devices
Oliveira da Silva et al. Towards service and user discovery on wireless networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150107