ES2640191T3 - Sistemas y métodos para soporte informático automatizado - Google Patents

Sistemas y métodos para soporte informático automatizado Download PDF

Info

Publication number
ES2640191T3
ES2640191T3 ES04786501.9T ES04786501T ES2640191T3 ES 2640191 T3 ES2640191 T3 ES 2640191T3 ES 04786501 T ES04786501 T ES 04786501T ES 2640191 T3 ES2640191 T3 ES 2640191T3
Authority
ES
Spain
Prior art keywords
computers
condition
reference model
computer
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES04786501.9T
Other languages
English (en)
Inventor
David Eugene Hooks
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nehemiah Security
Original Assignee
Nehemiah Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nehemiah Security filed Critical Nehemiah Security
Application granted granted Critical
Publication of ES2640191T3 publication Critical patent/ES2640191T3/es
Anticipated expiration legal-status Critical
Active legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0748Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a remote unit communicating with a single-box computer node experiencing an error/fault
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Un método de soporte informático automatizado que comprende: i) recibir (602) una instantánea desde un ordenador (116a, b); ii) comparar (608) la instantánea con una base de datos de estados de ordenador; y, iii) identificar una anomalía basada en el resultado de la comparación; caracterizado por: iv) recibir (602) instantáneas desde una pluralidad de ordenadores (116a, b) dentro de una población de ordenadores, en donde las instantáneas individuales incluyen datos que indican un estado de un ordenador respectivo; v) almacenar (604) las instantáneas en un almacén de datos; vi) crear (606) automáticamente un modelo (206, 402) de referencia adaptativo basado al menos en parte en las instantáneas y que comprende un conjunto de reglas personalizado a las características de la población de ordenadores, estando desarrollado el conjunto de reglas identificando patrones entre las instantáneas de la pluralidad de ordenadores de manera que el modelo de referencia adaptativo es indicativo de estados normales en los ordenadores dentro de la población; vii) comparar (608) instantáneas de al menos uno de la pluralidad de ordenadores con el modelo de referencia adoptivo; y viii) determinar (610), basado en el resultado de la comparación, si está presente una anomalía (720) en el estado del al menos uno de los ordenadores.

Description

5
10
15
20
25
30
35
40
45
50
DESCRIPCION
Sistemas y metodos para soporte informatico automatizado CAMPO DE LA INVENCION
La presente invention se refiere de manera general a sistemas y metodos para soporte informatico automatizado. ANTECEDENTES
A medida que la tecnologla de la information continua aumentando en complejidad, los costes de gestion de problemas escalaran a medida que se eleva la frecuencia de los incidentes de soporte y los requisitos del conjunto de habilidades de los analistas humanos llegan a ser mas exigentes. Las herramientas convencionales de gestion de problemas estan disenadas para reducir los costes aumentando la eficiencia de los seres humanos que realizan estas tareas de soporte. Esto se logra tlpicamente automatizando al menos parcialmente la captura de informacion de tiques de problemas y facilitando el acceso a bases de conocimiento. Aunque es util, este tipo de automatization ha alcanzado el punto de disminuir los retornos, en la medida que no responde a la debilidad fundamental en el modelo de soporte en si mismo, su dependencia de los seres humanos.
La Tabla 1 ilustra la distribution de los costes de mano de obra asociados con la resolution de incidentes en el modelo de soporte convencional basado en seres humanos. Los datos mostrados se proporcionan por Motive Communications, Inc. de Austin, Texas (
www.motive.com), un importante proveedor de software de servicio de soporte tecnico. Las partidas de costes mas altas son aquellas asociadas con tareas que requieren analisis y/o interaction humana (por ejemplo, Diagnostico, Investigation, Resolucion).
Tabla 1
Tareas de Soporte
% Coste de Mano de Obra
Problemas Simples y Repetitivos (30%)
Configuracion de Escritorio (Infligidos por el usuario)
4%
Entorno de Escritorio (Malfuncionamiento del software)
9%
Interconexion y Conectividad
7%
Como (preguntas)
10%
Problemas Compleios y Dinamicos (70%)
Clasificacion (Identificar derechos del usuario y del soporte)
7%
Diagnostico (Analizar estado de la maquina)
11%
Investigacion (Encontrar la fuente del problema)
35%
Resolucion y Reparation (Caminar con el usuario a traves de la reparacion)
18%
Las soluciones convencionales de software para la gestion automatizada de problemas se esfuerzan por disminuir estos costes y anadir valor a traves de una amplia gama de niveles de servicio. Forrester Research, Inc. de Cambridge, MA (
www.forrester.com) proporciona una caracterizacion util de estos niveles de servicio. Forrester Research divide las soluciones convencionales de soporte informatico automatizado en cinco niveles de servicio, incluyendo: (1) La Curacion en Masa - resolver incidentes antes de que ocurran; (2) Autocuracion - resolver incidentes cuando ocurren; (3) Autoservicio - resolver incidentes antes de que un usuario llame; (4) Servicio Asistido - resolver incidentes cuando un usuario llama; y (5) Visita del Lado del Soporte Tecnico - resolver incidentes cuando todo lo demas falla. Segun Forrester, el coste por incidente usando un servicio convencional de autocuracion es menos de un dolar. Sin embargo, el coste escala rapidamente, alcanzando mas de trescientos dolares por incidente si finalmente se requiere una visita del soporte tecnico.
El objetivo de la Curacion en Masa es resolver incidentes antes de que ocurran. En sistemas convencionales, este objetivo se logra haciendo que todas las configuraciones de PC sean iguales o, como mlnimo, asegurandose de que un problema encontrado en un PC no pueda ser replicado en cualesquiera otros PC. Los productos convencionales asociados tlpicamente con este nivel de servicio consisten en herramientas de distribucion de software y herramientas de gestion de configuration. Productos de seguridad tales como exploradores antivirus, sistemas de detection de intrusion y comprobadores de integridad de datos tambien se consideran parte de este nivel, dado que se centran en prevenir que ocurran incidentes.
Los productos convencionales que intentan abordar este nivel de servicio operan limitando la poblacion gestionada a un pequeno numero de configuraciones buenas conocidas y detectando y eliminando un numero relativamente pequeno de configuraciones malas conocidas (por ejemplo, firmas de virus). El problema con este planteamiento es que supone que: (1) todas las configuraciones buenas y malas se pueden conocer antes de tiempo; y (2) una vez que se conocen que se mantengan relativamente estables. A medida que aumenta la complejidad de los sistemas informaticos y de interconexion, la estabilidad de cualquier nodo particular en la red tiende a disminuir. Es probable que cambie frecuentemente tanto el hardware como el software en cualquier nodo particular. Por ejemplo, muchos productos de software son capaces de actualizarse automaticamente a si mismos usando parches de software
5
10
15
20
25
30
35
40
45
50
55
60
65
accedidos sobre una red interna o Internet. Dado que hay un numero infinito de configuraciones buenas y malas y dado que cambian constantemente, estos productos convencionales de auto-curacion nunca pueden ser mas que parcialmente eficaces.
Ademas, los autores de virus continuan desarrollando virus cada vez mas inteligentes. El software convencional de deteccion y erradicacion de virus depende de la capacidad para identificar un patron conocido para detectar y erradicar un virus. Sin embargo, a medida que aumenta el numero y la complejidad de los virus, los recursos requeridos para mantener una base de datos de virus conocidos y correcciones para esos virus combinados con los recursos requeridos para distribuir las correcciones a la poblacion de nodos en una red llegan a ser abrumadores. Ademas, un PC convencional que utiliza un sistema operativo Microsoft Windows incluye mas de 7.000 archivos de sistema y mas de 100.000 claves de registro, todas ellas de multiples valores. Por consiguiente, a todos los efectos practicos, puede existir un numero infinito de estados buenos y un numero infinito de estados malos, haciendo mas complicada la tarea de identificacion los estados malos.
El objetivo del nivel de Auto-Curacion es detectar y corregir automaticamente los problemas antes de que den como resultado una llamada al servicio de soporte tecnico, idealmente antes de que el usuario incluso sea consciente de que existe un problema. Las herramientas y las utilidades convencionales de Auto-Curacion han existido desde finales de los 80 cuando Peter Norton introdujo un juego de herramientas de diagnostico y reparacion de PC (
www.Symantec.com). Estas herramientas tambien incluyen herramientas que permiten a un usuario restaurar un PC a un punto de restauracion establecido antes de la instalacion de un nuevo producto. Sin embargo, ninguna de las herramientas convencionales funciona bien bajo condiciones del mundo real.
Un problema fundamental de estas herramientas convencionales es la dificultad en la creacion de un modelo de referencia con suficiente alcance, granularidad y flexibilidad para permitir que “normal” sea distinguido con fiabilidad de “anormal”. Agravando el problema esta el hecho de que la definition de “normal” debe cambiar constantemente a medida que se despliegan nuevas actualizaciones y aplicaciones de software. Este es un desaflo tecnico formidable y uno que aun tiene que ser conquistado por cualquiera de las herramientas convencionales.
El objetivo del nivel de Autoservicio es reducir el volumen de llamadas al servicio de soporte tecnico proporcionando una coleccion de herramientas automatizadas y bases de conocimiento que permitan a los usuarios finales ayudarse a si mismos. Los productos convencionales de Autoservicio consisten en bases de conocimiento de “como” y colecciones de soluciones de software que automatizan funciones de soporte repetitivo, de bajo riesgo, tales como restablecer contrasenas olvidadas. Estas soluciones convencionales tienen una desventaja significativa en que aumentan la probabilidad de dano auto-infligido. Por esta razon se limitan a tipos especlficos de problemas y aplicaciones.
El objetivo del nivel de Servicio Asistido es mejorar la eficacia humana proporcionando una infraestructura automatizada para gestionar una solicitud de servicio y proporcionando capacidades para controlar remotamente un ordenador personal e interactuar con los usuarios finales. Los productos convencionales de Servicio Asistido incluyen software de servicio de soporte tecnico, materiales de referencia en llnea, y software de control remoto.
Aunque los productos en este nivel de servicio son quizas los mas maduros de los productos y soluciones convencionales descritos en la presente memoria, aun no satisfacen plenamente los requisitos de usuarios y organizaciones. Especlficamente, la capacidad de estos productos para diagnosticar automaticamente problemas esta gravemente limitada tanto en terminos de los tipos de problemas que se pueden identificar correctamente, as! como de la precision del diagnostico (a menudo de election multiple).
Una Visita del Lado del Soporte Tecnico llega a ser necesaria cuando todo lo demas falla. Este nivel de servicio incluye cualesquiera actividades de “acceso directo” que puedan ser necesarias para restaurar un ordenador que no pueda ser diagnosticado/reparado remotamente. Tambien incluye el seguimiento y la gestion de estas actividades para asegurar una resolution oportuna. De todos los niveles de servicio, lo mas probable es que este nivel requiera tiempo significativo de recursos humanos altamente capacitados y, por lo tanto, caros.
Los productos convencionales en este nivel consisten en herramientas de diagnostico y productos de software especializados que rastrean y resuelven los problemas de los clientes con el tiempo y potencialmente a traves de multiples representantes de servicio al cliente.
De esta manera, lo que se necesita es un cambio de paradigma, que es necesario para reducir significativamente los costes de soporte. Este cambio se caracterizara por la aparicion de un nuevo modelo de soporte en el que las maquinas serviran como agentes primarios para tomar decisiones e iniciar acciones
COMPENDIO DE LA TECNICA ANTERIOR
El documento US 2003/0028825 A1 (Hines) - 6 de febrero de 2003 se refiere a un metodo de correction de errores y depuration y describe:
5
10
15
20
25
30
35
40
45
50
55
60
65
“el sistema de guru de servicio funciona automaticamente para procesar una imagen de un sistema informatico para identificar, en su caso, que condiciones previas del problema se satisfacen (es decir, el caso proactivo) y luego identifica problemas particulares de este conjunto mas pequeno que coinciden con una descripcion precisa del slntoma del problema (es decir, el caso reactivo)”
El metodo descrito se limita a corregir un unico sistema informatico.
El documento US 2002/0194550 A1 (LOPKE) - 19 de diciembre de 2002 se refiere a un sistema de diagnostico de usuario final y describe:
“Como se muestra en la FIG. 1, el inspector 40 esta enlazado con el registro 26 del sistema. El inspector 40 obtiene datos de configuracion del registro 26. Los datos de configuration se refieren a information requerida para configurar los componentes de software y hardware que definen el sistema 20 informatico. Preferiblemente, el inspector 40 obtiene datos de configuracion que reflejan informacion de configuracion en tiempo real.”
El documento EP 1 172 732 A1 (HITACHI) - 16 de enero de 2002 se refiere a “[0014] un objeto de la presente invention es proporcionar un sistema informatico en el que un ordenador puede adquirir informacion de fallo incluso en el caso donde ocurre en el ordenador un fallo que deshabilita un OS de la ejecucion del procesamiento del fallo.”
El documento US 2003/0110248 A1 (RITCHE) - 12 de junio de 2003 se refiere a “un sistema informatico y un metodo asociado, con una herramienta para procesar alertas de error emitidas durante la distribution de paquetes de aplicaciones a dispositivos cliente de red” [resumen]
COMPENDIO DE LA INVENCION
Segun la presente invencion, un metodo de soporte informatico automatizado comprende:
i) recibir una instantanea desde una pluralidad de ordenadores:
ii) comparar la instantanea con una base de datos de estados de ordenador; y,
iii) identificar una anomalla, el metodo ademas que comprende:
iv) recibir instantaneas desde una pluralidad de ordenadores dentro de una poblacion de ordenadores, en donde las instantaneas individuales incluyen datos que indican un estado de un ordenador respectivo;
v) almacenar la pluralidad de instantaneas en un almacen de datos;
vi) crear automaticamente un modelo de referencia adaptativo basado al menos en parte en las instantaneas y que comprende un conjunto de reglas personalizado a las caracterlsticas de la poblacion de ordenadores, el conjunto de reglas que se desarrolla identificando patrones entre las instantaneas de la pluralidad de ordenadores de manera que el modelo de referencia adaptativo sea indicativo de estados normales en los ordenadores dentro de la poblacion;
vii) comparar instantaneas de al menos uno de la pluralidad de ordenadores con el modelo de referencia adaptativo; y
viii) determinar, el metodo ademas, si al menos una anomalla esta presente en el estado del al menos uno de los ordenadores.
Realizaciones adicionales del metodo, un sistema organizado y dispuesto para efectuar el metodo y un medio legible por ordenador sobre el que esta codificado el codigo de programa para efectuar el metodo de la presente invencion, se exponen en las reivindicaciones adjuntas 2 a 15.
Las realizaciones de la presente invencion proporcionan sistemas y metodos para soporte informatico automatizado. Un metodo segun una realization de la presente invencion comprende recibir una pluralidad de instantaneas desde una pluralidad de ordenadores, almacenar la pluralidad de instantaneas en un almacen de datos, y crear un modelo de referencia adaptativo basado al menos en parte en la pluralidad de instantaneas. El metodo comprende ademas comparar al menos una de la pluralidad de instantaneas con el modelo de referencia adaptativo, e identificar al menos una anomalla basada en la comparacion. En otra realizacion, un medio legible por ordenador (tal como, por ejemplo, una memoria de acceso aleatorio o un disco de ordenador) comprende un codigo para llevar a cabo tal metodo.
Estas realizaciones se mencionan no para limitar o definir la invencion, sino para proporcionar ejemplos de realizaciones de la invencion para ayudar a la comprension de la misma. Realizaciones ilustrativas se discuten en la Descripcion Detallada, y se proporciona all! una descripcion adicional de la invencion. Las ventajas ofrecidas por las diversas realizaciones de la presente invencion se pueden comprender aun mas examinando esta especificacion.
BREVE DESCRIPCION DE LAS FIGURAS
Estas y otras caracterlsticas, aspectos y ventajas de la presente invencion se comprenden mejor cuando se lee la siguiente Descripcion Detallada con referencia a los dibujos anexos, en los que:
la Figura 1 ilustra un entorno ejemplar para la implementation de una realizacion de la presente invencion;
5
10
15
20
25
30
35
40
45
50
55
60
65
la Figura 2 es un diagrama de bloques que ilustra un flujo de informacion y acciones en una realizacion de la presente invencion;
la Figura 3 es un diagrama de flujo que ilustra un proceso global de deteccion de anomallas en una realizacion de la presente invencion; y
la Figura 4 es un diagrama de bloques que ilustra componentes de un modelo de referencia adaptativo en una realizacion de la presente invencion;
la Figura 5 es un diagrama de flujo que ilustra un proceso de normalizacion de informacion de registro en un agente en una realizacion de la presente invencion;
la Figura 6 es un diagrama de flujo que ilustra un metodo para identificar y responder a una anomalla en una realizacion de la presente invencion;
la Figura 7 es un diagrama de flujo que ilustra un proceso para identificar ciertos tipos de anomallas en una realizacion de la presente invencion;
la Figura 8 es un diagrama de flujo que ilustra un proceso para generar un modelo de referencia adaptativo en una realizacion de la presente invencion;
la Figura 9 es un diagrama de flujo, que ilustra un proceso para deteccion proactiva de anomallas en una realizacion de la presente invencion;
la Figura 10 es un diagrama de flujo, que ilustra un proceso reactivo para deteccion de anomallas en una realizacion de la presente invencion;
la Figura 11 es una captura de pantalla de una interfaz de usuario para crear un modelo de referencia adaptativo en una realizacion de la presente invencion;
la Figura 12 es una captura de pantalla de una interfaz de usuario para gestionar un modelo de referencia adaptativo en una realizacion de la presente invencion;
la Figura 13 es una captura de pantalla de una interfaz de usuario para seleccionar una instantanea a usar para la creacion de un filtro de reconocimiento en una realizacion de la presente invencion; la Figura 14 es una captura de pantalla de una interfaz de usuario para gestionar un filtro de reconocimiento en una realizacion de la presente invencion;
la Figura 15 es una captura de pantalla que ilustra una interfaz de usuario para seleccionar un “sistema excelente” para uso en una plantilla de pollticas en una realizacion de la presente invencion; y la Figura 16 es una captura de pantalla de una interfaz de usuario para seleccionar activos de plantilla de pollticas en una realizacion de la presente invencion.
DESCRIPCION DETALLADA
Las realizaciones de la presente invencion proporcionan sistemas y un metodo para soporte informatico automatizado. Con referencia ahora a los dibujos en los que numeros similares indican elementos similares a lo largo de las diversas figuras, la Figura 1 es un diagrama de bloques que ilustra un entorno ejemplar para la implementacion de una realizacion de la presente invencion. La realizacion mostrada incluye una facilidad 102 de soporte automatizado. Aunque la facilidad 102 de soporte automatizado se muestra como una facilidad unica en la Figura 1, puede comprender multiples facilidades o ser incorporada en el emplazamiento donde reside la poblacion gestionada. La facilidad de soporte automatizado incluye un cortafuegos 104 en comunicacion con una red 106 para proporcionar seguridad a los datos almacenados dentro de la facilidad 102 de soporte automatizado. La facilidad 102 de soporte automatizado incluye tambien un componente 108 Colector. El componente 108 Colector proporciona, entre otras caracterlsticas, un mecanismo para transferir datos dentro y fuera de la facilidad 102 de soporte automatizado. La rutina de transferencia puede usar un protocolo estandar tal como el protocolo de transferencia de archivos (FTP) o el protocolo de transferencia de hipertexto (HTTP) o puede usar un protocolo propietario. El componente Colector tambien proporciona la logica de procesamiento necesaria para descargar, descomprimir y analizar sintacticamente las instantaneas entrantes.
La facilidad 102 de soporte automatizado mostrada tambien incluye un componente 110 Analltico en comunicacion con el componente 108 Colector. El componente 110 Analltico incluye hardware y software para implementar el modelo de referencia adaptativo descrito en la presente memoria y almacenar el modelo de referencia adaptativo en un componente 112 de Base de Datos. El componente 110 Analltico extrae modelos de referencia adaptativos e instantaneas de un componente 112 de Base de Datos, analiza la instantanea en el contexto del modelo de referencia, identifica y filtra cualesquiera anomallas, y transmite el agente o los agentes de respuesta cuando sea adecuado. El componente 110 Analltico tambien proporciona la interfaz de usuario para el sistema.
La realizacion mostrada tambien incluye un componente 112 de Base de Datos en comunicacion con el componente 108 Colector y el componente 110 Analltico. El componente 112 de Base de Datos proporciona unos medios para almacenar datos de los agentes y para los procesos realizados por una realizacion de la presente invencion. Una funcion primaria del componente de Base de Datos puede ser almacenar instantaneas y modelos de referencia adaptativos. Incluye un conjunto de tablas de bases de datos, as! como la logica de procesamiento necesaria para gestionar automaticamente esas tablas. La realizacion mostrada incluye solamente un componente 112 de Base de Datos y un componente 110 Analltico. Otras realizaciones incluyen muchos componentes 112, 110 de Base de Datos y Analltico. Una realizacion incluye un componente de Base de Datos y multiples componentes Anallticos, permitiendo que multiple personal de soporte comparta una unica base de datos mientras que realiza tareas anallticas en paralelo.
5
10
15
20
25
30
35
40
45
50
55
60
65
Una realizacion de la presente invencion proporciona soporte automatizado a una poblacion 114 gestionada que puede comprender una pluralidad de ordenadores 116a, b cliente. La poblacion gestionada proporciona datos a la facilidad 102 de soporte automatizado a traves de la red 106.
En la realizacion mostrada en la Figura 1, un componente 202 de Agente se despliega dentro de cada maquina 116a, b monitorizada. El componente 202 de Agente reune datos del cliente 116. A intervalos programados (por ejemplo, una vez al dla) o en respuesta a un comando del componente 110 Analltico, el componente 202 de Agente toma una instantanea detallada del estado de la maquina en la que reside. Esta instantanea incluye un examen detallado de todos los archivos del sistema, archivos de aplicaciones designadas, el registro, contadores de rendimiento, procesos, servicios, puertos de comunicacion, configuracion de hardware, y archivos de registro. Los resultados de cada exploracion se comprimen entonces y se transmiten en forma de una Instantanea a un componente 108 Colector.
Cada uno de los servidores, ordenadores, y componentes de red mostrados en la Figura 1 comprenden procesadores y medios legibles por ordenador. Como es bien conocido por los expertos en la tecnica, una realizacion de la presente invencion se puede configurar de numerosas formas combinando multiples funciones en un unico ordenador o, alternativamente, utilizando multiples ordenadores para realizar una unica tarea.
Los procesadores utilizados por una realizacion de la presente invencion pueden incluir, por ejemplo, procesadores logicos digitales capaces de procesar la entrada, ejecutar algoritmos y generar la salida en la medida que sea necesario en soporte de procesos segun la presente invencion. Tales procesadores pueden incluir un microprocesador, un ASIC, y maquinas de estado. Tales procesadores incluyen, o pueden estar en comunicacion con, medios, por ejemplo medios legibles por ordenador, que almacenan instrucciones que, cuando se ejecutan por el procesador, hacen que el procesador realice los pasos descritos en la presente memoria.
Realizaciones de medios legibles por ordenador incluyen, pero no se limitan a, un dispositivo de almacenamiento o de transmision electronico, optico, magnetico u otro capaz de proporcionar un procesador, tal como el procesador en comunicacion con un dispositivo de entrada sensible al tacto, con instrucciones legibles por ordenador. Otros ejemplos de medios adecuados incluyen, pero no se limitan a, un disquete, CD-ROM, disco magnetico, chip de memoria, ROM, RAM, un ASIC, un procesador configurado, todos los medios opticos, todas las cintas magneticas u otros medios magneticos, o cualquier otro medio desde el cual un procesador informatico pueda leer instrucciones. Tambien, otras diversas formas de medios legibles por ordenador pueden transmitir o transportar instrucciones a un ordenador, incluyendo un encaminador, una red privada o publica, u otro dispositivo o canal de transmision, tanto cableado como inalambrico. Las instrucciones pueden comprender codigo de cualquier lenguaje de programacion informatico, incluyendo, por ejemplo, C, C#, C++, Visual Basic, Java y JavaScript.
La Figura 2 es un diagrama de bloques que ilustra un flujo de information y acciones en una realizacion de la presente invencion. La realizacion mostrada comprende un componente 202 de Agente. El componente 202 de Agente es la parte del sistema que se despliega dentro de cada maquina monitorizada. Puede realizar tres funciones principales. En primer lugar, puede ser responsable de reunir datos. El componente 202 de Agente puede realizar una exploracion extensiva de la maquina 116a, b cliente a intervalos programados, en respuesta a un comando del componente 110 Analltico, o en respuesta a eventos de interes detectados por el componente 202 de Agente. Esta exploracion puede incluir un examen detallado de todos los archivos de sistema, archivos de aplicacion designados, el registro, contadores de rendimiento, configuracion de hardware, registros, tareas en ejecucion, servicios, conexiones de red y otros datos relevantes. Los resultados de cada exploracion se comprimen y se transmiten sobre la red 106 en forma de una “instantanea” al componente 108 Colector.
En una realizacion, el componente 202 de Agente lee cada byte de archivos a ser examinado y crea una firma digital o una comprobacion aleatoria para cada archivo. La firma digital identifica el contenido exacto de cada archivo en lugar de simplemente proporcionar metadatos, tales como el tamano y la fecha de creation. Algunos virus convencionales cambian la informacion de la cabecera del archivo en un intento de enganar a los sistemas que conflan en metadatos para la detection. Tal realizacion es capaz de detectar con exito tales virus.
La exploracion del cliente por el componente 202 de Agente puede ser intensiva en recursos. En una realizacion, una exploracion completa se realiza periodicamente, por ejemplo, diariamente, durante un tiempo cuando el usuario no esta usando la maquina cliente. En otra realizacion, el componente 202 de Agente realiza una exploracion delta de la maquina cliente, registrando solamente los cambios desde la ultima exploracion. En otra realizacion, las exploraciones por el componente 202 de Agente se ejecutan bajo demanda, proporcionando una herramienta valiosa para un tecnico o persona de soporte que intenta remediar una anomalla en la maquina cliente.
La segunda funcion principal realizada por el agente 202 es la de bloqueo de comportamiento. El agente 202 monitoriza constantemente (o sustancialmente constantemente) el acceso a los recursos del sistema de claves, tales como los archivos del sistema y el registro. Es capaz de bloquear selectivamente el acceso a estos recursos en tiempo real para evitar danos de software malicioso. Mientras que ocurre la monitorizacion del comportamiento sobre una base continua, el bloqueo de comportamiento se habilita como parte de una action de reparation. Por ejemplo, si el componente 110 Analltico sospecha de la presencia de un virus, puede descargar una accion de reparacion
5
10
15
20
25
30
35
40
45
50
55
60
65
para hacer que el cliente bloquee el acceso del virus a los recursos de information claves dentro del sistema gestionado. El componente 202 cliente proporciona informacion del proceso de monitorizacion como parte de la instantanea.
La tercera funcion principal realizada por el componente 202 de Agente es proporcionar un entorno de ejecucion para agentes de respuesta. Los agentes de respuesta son componentes de software moviles que implementan procedimientos automatizados para abordar diversos tipos de condiciones problematicas. Por ejemplo, si el componente 110 Analltico sospecha de la presencia de un virus, puede descargar un agente de respuesta para hacer que el componente 202 de Agente elimine los activos sospechosos del sistema gestionado. El componente 202 de Agente puede ejecutarse como un servicio u otro proceso en segundo plano en el ordenador que se monitoriza. Debido al alcance y la granularidad de la informacion proporcionada por una realization de la presente invention, la reparation se puede realizar con mas precision que con sistemas convencionales. Aunque se describe en terminos de un cliente, la poblacion 114 gestionada puede comprender PC, estaciones de trabajo, servidores o cualquier otro tipo de ordenador.
La realizacion mostrada tambien incluye un componente 206 de modelo de referencia adaptativo. Un reto tecnico diflcil en la construction de un producto de soporte automatizado es la creation de un modelo de referencia que se pueda usar para distinguir entre estados normales y anormales del sistema. El estado del sistema de un ordenador moderno se determina por muchas variables de multiples valores y, en consecuencia, hay virtualmente un numero casi infinito de estados normales y anormales. Para empeorar las cosas, estas variables cambian con frecuencia a medida que se despliegan nuevas actualizaciones de software y a medida que se comunican los usuarios finales. El modelo 206 de referencia adaptativo en la realizacion mostrada analiza las instantaneas de muchos ordenadores e identifica estadlsticamente patrones significativos usando un algoritmo generico de extraction de datos o un algoritmo propietario de extraccion de datos disenado especlficamente para este proposito. El conjunto de reglas resultante es extremadamente rico (cientos de miles de reglas) y se personaliza a las caracterlsticas unicas de la poblacion gestionada. En la realizacion mostrada, el proceso de construccion de un nuevo modelo de referencia es completamente automatico y se puede ejecutar periodicamente para permitir que el modelo se adapte a los cambios deseables tales como el despliegue planificado de una actualization de software.
Dado que el modelo 206 de referencia adaptativo se usa para el analisis de patrones estadlsticamente significativos de una poblacion de maquinas, en una realizacion, se analiza un numero mlnimo de maquinas para asegurar la precision de las medidas estadlsticas. En una realizacion, se prueba una poblacion minima de aproximadamente 50 maquinas para lograr patrones sistematicamente relevantes para el analisis de las maquinas. Una vez se establece una referencia, se pueden usar muestras para determinar si esta ocurriendo algo anormal dentro de la poblacion entera o cualquier miembro de la poblacion.
En otra realizacion, el componente 110 Analltico calcula un conjunto de metricas de madurez que permiten al usuario determinar cuando se ha acumulado un numero suficiente de muestras para proporcionar un analisis preciso. Estas metricas de madurez indican el porcentaje de relaciones disponibles en cada nivel del modelo que han cumplido criterios predefinidos correspondientes a diversos niveles de confianza (por ejemplo, Alto, Medio y Bajo). En una realizacion tal, el usuario monitoriza las metricas y asegura que se han asimilado suficientes instantaneas para crear un modelo maduro. En otra realizacion tal, el componente 110 Analltico asimila muestras hasta que alcanza una meta de madurez predefinida establecida por el usuario. En cualquiera de tales realizaciones, no es necesario asimilar un cierto numero de muestras (por ejemplo, 50).
La realizacion mostrada en la Figura 2 tambien comprende un componente 208 de Plantilla de Politicas. El componente 208 de Plantilla de Politicas permite al proveedor de servicios insertar manualmente reglas en forma de “politicas” en el modelo de referencia adaptativo. Las politicas son combinaciones de atributos (archivos, claves de registro, etc.) y valores que cuando se aplican a un modelo, anulan una parte de la informacion generada estadlsticamente en el modelo. Este mecanismo se puede usar para automatizar una variedad de actividades comunes de mantenimiento tales como la verification de cumplimiento de las politicas de seguridad y la comprobacion para asegurar que se han instalado las actualizaciones de software adecuadas.
Cuando algo va mal con un ordenador, a menudo impacta a una serie de activos de informacion diferentes (archivos, claves de registro, etc.). Por ejemplo, un “Troyano” podria instalar archivos maliciosos, anadir ciertas claves de registro para asegurar que se ejecutan esos archivos y abrir puertos para la comunicacion. La realizacion mostrada en la Figura 2 detecta estos cambios indeseables como anomallas comparando la instantanea de la maquina infectada con la norma incorporada en el modelo de referencia adaptativo. Una anomalla se define como un activo presente de manera inesperada, un activo ausente de manera inesperada, o un activo que tiene un valor desconocido. Las anomallas se comparan frente a una biblioteca de Filtros 216 de Reconocimiento. Un Filtro 216 de Reconocimiento comprende un patron particular de anomallas que indica la presencia de una condition de causa ralz particular o una clase generica de condiciones. Los Filtros 216 de Reconocimiento tambien asocian las condiciones con una indication de gravedad, una description textual y un enlace a un agente de respuesta. En otra realizacion, un Filtro 216 de Reconocimiento se puede usar para identificar e interpretar anomallas benignas. Por ejemplo, si un usuario anade una nueva aplicacion que el administrador confia que no causara ningun problema, el sistema segun la presente invencion seguira informando la nueva aplicacion como un conjunto de anomallas. Si la
5
10
15
20
25
30
35
40
45
50
55
60
65
aplicacion es nueva, entonces la notificacion de los activos que anade como anomallas es correcta. Sin embargo, el administrador puede usar un Filtro 216 de Reconocimiento para interpretar las anomallas producidas anadiendo la aplicacion como benigna.
En una realizacion de la presente invencion, ciertos atributos se refieren a procesos continuos. Por ejemplo, los datos de rendimiento estan compuestos por diversos contadores. Estos contadores miden la aparicion de diversos eventos durante un perlodo de tiempo particular. Para determinar si el valor de tal contador es normal a traves de una poblacion, una realizacion de la presente invencion calcula una desviacion media y una estandar. Se declara una anomalla si el valor del contador cae mas de un cierto numero de desviaciones estandar lejos de la media.
En otra realizacion, un mecanismo maneja el caso en el que el modelo 206 de referencia adaptativo asimila una instantanea que contiene una anomalla. Una vez que un modelo logra el nivel de madurez deseado se somete a un proceso que elimina las anomallas que se puedan haber asimilado. Estas anomallas son visibles en un modelo maduro como excepciones aisladas a relaciones fuertes. Por ejemplo, si el archivo A aparece en conjunto con el archivo B en 999 maquinas, pero en 1 maquina el archivo A esta presente, pero el archivo B esta ausente, el proceso asumira que la relacion posterior es anomala y se eliminara del modelo. Cuando el modelo se usa posteriormente para comprobar, cualquier maquina que contenga el archivo A, pero no el archivo B, se marcara como anomala.
La realizacion de la invencion mostrada en la Figura 2 tambien incluye una biblioteca 212 de agentes de respuesta. La biblioteca 212 de agentes de respuesta permite al proveedor de servicios autorizar y almacenar respuestas automatizadas para condiciones problematicas especlficas. Estas respuestas automatizadas se construyen a partir de una coleccion de secuencias de comandos que se pueden despachar a una maquina gestionada para realizar acciones como sustituir un archivo o cambiar un valor de registro. Una vez que se ha analizado una condicion problematica y se ha definido un agente de respuesta, se deberla corregir automaticamente cualquier aparicion posterior de la misma condicion problematica.
La Figura 3 es un diagrama de flujo que ilustra un proceso global de deteccion de anomallas en una realizacion de la presente invencion. En la realizacion mostrada, el componente (202) de Agente realiza una instantanea de una forma periodica, por ejemplo, una vez al dla 302. Esta instantanea implica recoger una cantidad masiva de datos y puede tardar en cualquier sitio desde unos pocos minutos hasta horas en ejecutar, dependiendo de la configuracion del cliente. Cuando la exploracion esta completa, los resultados se comprimen, formatean y transmiten en forma de una instantanea a un servidor seguro conocido como el componente 304 Colector. El componente Colector actua como un repositorio central para todas las instantaneas que se envlan desde la poblacion gestionada. Cada instantanea entonces se descomprime, se analiza sintacticamente y se almacena en diversas tablas en la base de datos por el componente Colector.
La funcion (218) de deteccion usa los datos almacenados en el componente (206) del modelo de referencia adaptativo para comprobar los contenidos de la instantanea frente a cientos de miles de relaciones estadlsticamente relevantes que se conoce que son normales para esa poblacion 308 gestionada. Si no se encuentra 310 ninguna anomalla, el proceso termina 324.
Si se encuentra 310 una anomalla, se consultan los Filtros (210) de Reconocimiento para determinar si la anomalla coincide con cualesquiera condiciones 312 conocidas. Si la respuesta es si, entonces la anomalla se notifica segun la condicion que se ha diagnosticado 314. De otro modo, la anomalla se notifica como una anomalla 316 no reconocida. El Filtro (216) de Reconocimiento tambien indica si se ha autorizado o no una respuesta automatizada para ese tipo particular de condicion 318.
En una realizacion, los Filtros (216) de Reconocimiento pueden reconocer y consolidar multiples anomallas. El proceso de coincidencia de Filtros de Reconocimiento con anomallas se realiza despues de que se haya analizado la instantanea entera y se hayan detectado todas las anomallas asociadas con esa instantanea. Si se encuentra una coincidencia entre un subconjunto de anomallas y un Filtro de Reconocimiento, el nombre del Filtro de Reconocimiento se asociara con el subconjunto de anomallas en el flujo de salida. Por ejemplo, la presencia de un virus podrla generar un conjunto de anomallas de archivo, anomallas de proceso y anomallas de registro. Un Filtro de Reconocimiento se podrla usar para consolidar estas anomallas, de modo que el usuario simplemente verla un nombre descriptivo relacionando todas las anomallas con una causa comun probable, es decir, un virus.
Si se ha autorizado la respuesta automatizada, entonces la biblioteca (212) de agentes de respuesta descarga los agentes de respuesta adecuados a la maquina 320 afectada. El componente 202 de Agente en la maquina afectada entonces ejecuta la secuencia de las secuencias de comandos necesaria para corregir la condicion 322 problematica. El proceso mostrado entonces termina 324.
Las realizaciones de la presente invencion reducen sustancialmente el coste de mantenimiento de una poblacion de ordenadores personales y servidores. Una realizacion logra este objetivo detectando y corrigiendo automaticamente las condiciones problematicas antes de que se escalen al servicio de soporte tecnico y proporcionando informacion
5
10
15
20
25
30
35
40
45
50
55
60
65
de diagnostico para acortar el tiempo requerido para que un analista de soporte resuelva cualesquiera problemas no abordados automaticamente.
Cualquier cosa que reduzca la frecuencia con la que ocurren incidentes tiene un impacto positivo significativo en el coste del soporte informatico. Una realizacion de la presente invention monitoriza y ajusta el estado de una maquina gestionada de modo que sea mas resistente a las amenazas. Usando Plantillas de Pollticas, los proveedores de servicios pueden monitorizar rutinariamente la postura de seguridad de cada sistema gestionado, ajustando automaticamente los ajustes de seguridad e instalando las actualizaciones de software para eliminar vulnerabilidades conocidas.
En un modelo de soporte basado en seres humanos, las condiciones problematicas se detectan por los usuarios finales, se notifican a un servicio de soporte tecnico y se diagnostican por expertos humanos. Este proceso acumula costes de una serie de formas. En primer lugar, hay costes asociados con la perdida de productividad mientras el usuario final espera la resolution. Tambien, existe el coste de la recogida de datos, normalmente realizada por el personal del servicio de soporte tecnico. Ademas, existe el coste del diagnostico, que requiere los servicios de un analista de soporte formado (caro). Por el contrario, un modelo de soporte basado en maquina implementado segun la presente invencion detecta, notifica y diagnostica automaticamente muchas condiciones problematicas relacionadas con el software. La tecnologla del modelo de referencia adaptativo permite la detection de condiciones anomalas en presencia de extrema diversidad y cambian con una sensibilidad y precision imposibles anteriormente.
En una realizacion de la presente invencion, para evitar falsos positivos, el sistema se puede configurar para operar en diversos niveles de confianza, y las anomallas que se conocen que son benignas se pueden filtrar usando Filtros de Reconocimiento. Los Filtros de Reconocimiento tambien se pueden usar para alertar al proveedor de servicios sobre la presencia de tipos especlficos de software no deseado o malicioso.
En sistemas convencionales, los incidentes informaticos se resuelven normalmente por seres humanos a traves de la aplicacion de una serie de acciones de reparation de ensayo y error. Estas acciones de reparation tienden a ser de la variedad “maza”, es decir, soluciones que afectan mucho mas que las condiciones problematicas que estaban destinadas a corregir. Los procedimientos de reparacion de multiples opciones y las soluciones de maza son una consecuencia de una comprension inadecuada del problema y una fuente de costes innecesarios. Debido a que un sistema segun la presente invencion tiene los datos para caracterizar completamente el problema, puede reducir el coste de reparacion de dos formas. En primer lugar, puede resolver automaticamente el incidente si se ha definido un Filtro de Reconocimiento que especifica la respuesta automatizada requerida. En segundo lugar, si la reparacion automatica no es posible, las capacidades de diagnostico del sistema eliminan las conjeturas inherentes en el proceso de reparacion basado en seres humanos, reduciendo el tiempo de ejecucion y permitiendo una mayor precision.
La Figura 4 es un diagrama de bloques que ilustra componentes de un modelo de referencia adaptativo en una realizacion de la presente invencion. La Figura 4 es meramente ejemplar.
La realizacion mostrada en la Figura 4 ilustra un modelo 402 de referencia adaptativo de multiples capa, de silo unico. En la realizacion mostrada, el silo 404 comprende tres capas: la capa 406 de valor, la capa 408 de agrupacion y la capa 410 de perfil.
La capa 406 de valor rastrea los valores de pares activo/valor proporcionados por el componente (202) de Agente descrito en la presente memoria a traves de la poblacion (114) gestionada de la Figura 1. Cuando se compara una instantanea con el modelo 402 de referencia adaptativo, la capa 406 de valor del modelo 402 de referencia adaptativo evalua la parte de valor de cada par activo/valor contenido en la misma. Esta evaluation consiste en determinar si un valor de activo en la instantanea viola un patron estadlsticamente significativo de valores de activos dentro de la poblacion gestionada como se representa por el modelo 402 de referencia adaptativo.
Por ejemplo, un Agente (116b) transfiere una instantanea que incluye una firma digital para un archivo de sistema particular. Durante el proceso de asimilacion (cuando se esta construyendo el modelo de referencia adaptativo), el modelo registra los valores que encuentra para cada nombre de activo y el numero de veces que se encuentra ese valor. De esta manera, para cada nombre de activo, el modelo conoce los valores “legales” que ha visto en la poblacion. Cuando se usa el modelo para comprobacion, la capa 406 de valor determina si el valor de cada atributo en la instantanea coincide con uno de los valores “legales” en el modelo. Por ejemplo, en el caso de un archivo, es posible una serie de valores “legales” debido a que diversas versiones del archivo podrlan existir en la poblacion gestionada. Se declararla una anomalla si el modelo contuviese uno o mas valores de archivo que eran estadlsticamente coherentes y la instantanea contuviese un valor de archivo que no coincidla con ninguno de los valores de archivo en el modelo. El modelo tambien puede detectar situaciones donde no hay un valor “legal” para un atributo. Por ejemplo, los archivos de registro no tienen un valor legal dado que cambian frecuentemente. Si no existe ningun valor “legal”, entonces el valor del atributo en la instantanea se ignorara durante la comprobacion.
En una realizacion, el modelo 402 de referencia adaptativo implementa criterios para asegurar que una anomalla es verdaderamente una anomalla y no solo una nueva variante de archivo. Los criterios pueden incluir un nivel de
5
10
15
20
25
30
35
40
45
50
55
60
65
confianza. Los niveles de confianza no detienen que un archivo unico sea notificado como una anomalla. Los niveles de confianza limitan las relaciones usadas en el modelo durante el proceso de comprobacion a aquellas relaciones que cumplan ciertos criterios. Los criterios asociados con cada nivel estan disenados para lograr una cierta probabilidad estadlstica. Por ejemplo, en una realizacion, los criterios para el alto nivel de confianza estan disenados para alcanzar una probabilidad estadlstica mayor que el 90%. Si se especifica un nivel de confianza inferior, entonces se incluyen en el proceso de comprobacion relaciones adicionales que no son tan fiables estadlsticamente. El proceso de consideracion de relaciones viables, pero menos probables, es similar al proceso humano de especulacion cuando necesitamos tomar una decision sin toda la informacion que nos permitirla estar seguros. En un entorno que cambia continuamente, el administrador puede desear filtrar las anomallas asociadas con niveles de confianza bajos, es decir, el administrador puede desear eliminar tantos falsos positivos como sea posible.
En una realizacion que implementa el nivel de confianza, si un usuario informa que algo esta mal con una maquina, pero el administrador es incapaz de ver cualesquiera anomallas en el nivel de confianza por defecto, el administrador puede reducir el nivel de confianza, permitiendo que el proceso de analisis considere relaciones que tienen menor significacion estadlstica y se ignoran en niveles de confianza mas altos. Reduciendo el nivel de confianza, el administrador permite que el modelo 402 de referencia adaptativo incluya patrones que pueden no tener suficientes muestras para ser estadlsticamente significativos, pero podrlan proporcionar pistas en cuanto a cual es el problema. En otras palabras, el administrador esta permitiendo a la maquina especular.
En otra realizacion, la capa 406 de valor elimina automaticamente los valores de activos del modelo 402 de referencia adaptativo si, despues de asimilar un numero especificado de instantaneas, los valores de activos no han presentado ningun patron estable. Por ejemplo, muchas aplicaciones generan archivos de registro. Los valores de los archivos de registro cambian constantemente y rara vez son los mismos de una maquina a otra. En una realizacion, estos valores de archivo se evaluan inicialmente y entonces, despues de un numero especificado de evaluaciones, se eliminan del modelo 402 de referencia adaptativo. Eliminando estos tipos de valores de archivo del modelo 402, el sistema elimina comparaciones innecesarias durante el proceso de deteccion 218 y reduce los requisitos de almacenamiento de la base de datos reduciendo la informacion de bajo valor.
Una realizacion de la presente invencion no esta limitada a eliminar valores de activos del modelo 402 de referencia adaptativo. En una realizacion, el proceso tambien se aplica a los nombres de activos. Ciertos nombres de activos son “unicos por naturaleza”, es decir, son unicos para una maquina particular, pero son un subproducto de la operacion normal. En una realizacion, un proceso separado maneja nombres de activos inestables. Este proceso en tal realizacion identifica nombres de activos que son unicos por naturaleza y les permite permanecer en el modelo de modo que no se notifiquen como anomallas.
La segunda capa mostrada en la Figura 4 es la capa 408 de agrupacion. La capa 408 de agrupacion rastrea las relaciones entre los nombres de activos. Un nombre de activo puede aplicarse a una variedad de entidades, incluyendo un nombre de archivo, un nombre de clave de registro, un numero de puerto, un nombre de proceso, un nombre de servicio, un nombre de contador de rendimiento o una caracterlstica de hardware. Cuando un conjunto particular de nombres de activos esta presente de manera general en tandem en las maquinas en una poblacion (114) gestionada, la capa 408 de agrupacion es capaz de marcar una anomalla cuando esta ausente un miembro del conjunto de nombres de activos.
Por ejemplo, muchas aplicaciones en un ordenador que ejecuta un sistema operativo Microsoft Windows requieren una multitud de bibliotecas de vlnculos dinamicos (DLL). Cada DLL dependera a menudo de una o mas DLL. Si la primera DLL esta presente, entonces las otras DLL tambien deben estar presentes. La capa 408 de agrupacion rastrea esta dependencia y si una de las DLL falta o se altera, la capa 408 de agrupacion alerta al administrador de que ha ocurrido una anomalla.
La tercera capa en el modelo 402 de referencia adaptativo mostrado en la Figura 4 es la capa 410 de perfil. La capa 410 de perfil en la realizacion mostrada detecta anomallas basadas en violaciones de relaciones de agrupacion. Hay dos tipos de relaciones, asociativas (las agrupaciones aparecen juntas) y excluyentes (las agrupaciones nunca aparecen juntas). La capa 410 de perfil permite que el modelo de referencia adaptativo detecte activos que faltan no detectados por la capa de agrupacion, as! como conflictos entre activos. La capa 410 de perfil determina que agrupaciones tienen fuertes relaciones asociativas y excluyentes entre si. En tal realizacion, si no se detecta una agrupacion particular en una instantanea donde normalmente se esperarla en virtud de la presencia de otras agrupaciones con las que tiene fuertes relaciones asociativas, entonces la capa 410 de perfil detecta la ausencia de esa agrupacion como una anomalla. Del mismo modo, si se detecta una agrupacion en una instantanea donde no se esperarla normalmente debido a la presencia de otras agrupaciones con las cuales tiene fuertes relaciones excluyentes, entonces la capa 410 de perfil detecta la presencia de la primera agrupacion como anomalla. La capa 410 de perfil permite al modelo 402 de referencia adaptativo detectar anomallas que no serlan detectables en niveles inferiores del silo 404.
El modelo 402 de referencia adaptativo mostrado en la Figura 4 se puede implementar de diversas formas que son bien conocidas por los expertos en la tecnica. Optimizando el procesamiento del modelo 402 de referencia adaptativo y proporcionando recursos de procesamiento y almacenamiento suficientes, una realizacion de la
5
10
15
20
25
30
35
40
45
50
55
60
65
presente invencion es capaz de soportar un numero ilimitado de poblaciones gestionadas y clientes individuales. Tanto la asimilacion de un nuevo modelo como el uso del modelo en la comprobacion implican la comparacion de cientos de miles de nombres y valores de atributo. Realizar estas comparaciones usando las cadenas de texto para los nombres y valores es una tarea de procesamiento muy exigente. En una realizacion de la presente invencion, cada cadena unica en una instantanea entrante se asigna a un identificador entero. Las comparaciones se realizan entonces usando los identificadores enteros mas que las cadenas. Debido a que los ordenadores pueden comparar enteros mucho mas rapido que las largas cadenas asociadas con nombres de archivo o nombres de clave de registro, la eficiencia de procesamiento se mejora extremadamente.
El modelo 402 de referencia adaptativo depende de datos del componente (202) de Agente. La funcionalidad del componente (202) de Agente se ha descrito anteriormente, que es un resumen funcional de la interfaz de usuario y el componente (202) de Agente en una realizacion de la presente invencion.
Una realizacion de la presente invencion es capaz de comparar entradas de registro a traves de las maquinas cliente en una poblacion gestionada. Una dificultad en la comparacion de las claves de registro a traves de diferentes maquinas que ejecutan un sistema operativo Microsoft Windows se deriva del uso de un Identificador Global Unico (“GUlD”). Un GUlD para un elemento particular en una maquina puede diferir del GUID para el mismo elemento en una segunda maquina. Por consiguiente, una realizacion del presente sistema proporciona un mecanismo para normalizar los GUlD con propositos de comparacion.
La Figura 5 es un diagrama de flujo que ilustra un proceso de normalization de information de registro de un cliente en una realizacion de la presente invencion. En la realizacion mostrada, los GUlD se agrupan primero en dos grupos 502. El primer grupo es para los GUlD que no son unicos (duplicados) a traves de las maquinas en la poblacion gestionada. El segundo grupo incluye los GUlD que son unicos a traves de las maquinas, es decir, la misma clave tiene un GUlD diferente en diferentes maquinas dentro de la poblacion gestionada. Las claves para el segundo grupo se clasifican 504 a continuation. De esta forma, se puede identificar la relation entre dos o mas claves dentro de la misma maquina. La intention es normalizar tales relaciones de una forma que las permitira que sean comparadas a traves de multiples maquinas.
La realizacion mostrada a continuacion crea una comprobacion aleatoria para los valores en las claves 506. Esto crea una firma unica para todos los nombres, nombres de caminos y otros valores contenidos en la clave. La comprobacion aleatoria se sustituye entonces por el GUlD 508. De esta manera, la singularidad se mantiene dentro de la maquina, pero la misma comprobacion aleatoria aparece en cada maquina de modo que se pueda identificar la relacion. La relacion permite al modelo de referencia adaptativo identificar anomallas dentro de la poblacion gestionada.
Por ejemplo, los virus convencionales a menudo cambian las claves de registro de modo que la maquina infectada ejecutara el ejecutable que propaga el virus. Una realizacion de la presente invencion es capaz de identificar los cambios al registro en una o mas maquinas de la poblacion debido a su capacidad para normalizar las claves de registro.
La Figura 6 es un diagrama de flujo que ilustra un metodo para identificar y responder a una anomalla en una realizacion de la presente invencion. En la realizacion mostrada, un procesador, tal como el componente (108) Colector, recibe una pluralidad de instantaneas desde una pluralidad de ordenadores 602. Aunque la siguiente discusion describe el proceso mostrado en la Figura 6 como que se realiza por el componente (110) Analltico, cualquier procesador adecuado puede realizar el proceso mostrado. La pluralidad de instantaneas puede comprender tan pocas como dos instantaneas de dos ordenadores. Alternativamente, la pluralidad de instantaneas puede comprender miles de instantaneas. Las instantaneas comprenden datos acerca de los ordenadores en una poblacion para ser examinados. Por ejemplo, la pluralidad de instantaneas se puede recibir desde cada uno de los ordenadores en comunicacion con una red de area local de la organization. Cada instantanea comprende una coleccion de pares de activo/valor que representan el estado de un ordenador en un punto particular en el tiempo.
A medida que el componente (108) Colector recibe las instantaneas, las almacena 604. Almacenar las instantaneas puede comprender almacenarlas en un almacen de datos, tal como en la base de datos (112) o en memoria (no mostrada). Las instantaneas se pueden almacenar temporal o permanentemente. Tambien, en una realizacion de la presente invencion, la instantanea entera se almacena en un almacen de datos. En otra realizacion, solamente se almacenan las partes de la instantanea que han cambiado desde una version anterior (es decir, una instantanea delta).
El componente (110) Analltico utiliza los datos en la pluralidad de instantaneas para crear un modelo 606 de referencia adaptativo. Cada una de las instantaneas comprende una pluralidad de activos, que comprenden una pluralidad de pares de nombres de activos y valores de activos. Un activo es un atributo de un ordenador, tal como un nombre de archivo, un nombre de clave de registro, un parametro de rendimiento, o un puerto de comunicacion. Los activos reflejan un estado de un ordenador, real o virtual, dentro de la poblacion de ordenadores analizados. Un valor de activo es el estado de un activo en un punto particular en el tiempo. Por ejemplo, para un archivo, el valor
5
10
15
20
25
30
35
40
45
50
55
60
65
puede comprender una comprobacion aleatoria MD5 que representa los contenidos del archivo; para una clave de registro, el valor puede comprender una cadena de texto que representa los datos asignados a la clave.
El modelo de referencia adaptativo tambien comprende una pluralidad de activos. Los activos del modelo de referencia adaptativo se pueden comparar con los recursos de una instantanea para identificar anomallas y con otros propositos. En una realizacion, el modelo de referencia adaptativo comprende una coleccion de datos acerca de diversas relaciones entre activos que caracterizan uno o mas ordenadores normales en un punto particular en el tiempo.
En una realizacion, el componente (110) Analltico identifica una agrupacion de nombres de activos. Una agrupacion comprende uno o mas grupos no solapados de nombres de activos que aparecen juntos. El componente (110) Analltico tambien puede intentar identificar relaciones entre las agrupaciones. Por ejemplo, el componente (110) Analltico puede calcular una matriz de probabilidades que predice, dada la existencia de una agrupacion particular en una instantanea, la probabilidad de la existencia de cualquier otra agrupacion en la instantanea. Las probabilidades que se basan en un numero grande de instantaneas y que son o bien muy altas (por ejemplo, mayores que el 95%) o bien muy bajas (por ejemplo, menores que el 5%) se pueden usar por el modelo para detectar anomallas. Las probabilidades que se basan en un numero pequeno de instantaneas, (es decir, un numero que no es estadlsticamente significativo) o que no son ni muy altas ni muy bajas no se usan para detectar anomallas.
El modelo de referencia adaptativo puede comprender un criterio de confianza para determinar cuando se puede usar una relacion para probar una instantanea. Por ejemplo, el criterio de confianza puede comprender un umbral mlnimo para un numero de instantaneas contenidas en el modelo de referencia adaptativo. Si no se excede el umbral, la relacion no se usara. La referencia adaptativa puede comprender, tambien o en su lugar, un umbral mlnimo para un numero de instantaneas contenidas en el modelo de referencia adaptativo que incluyen la relacion, utilizando la relacion solamente si se excede el umbral. En una realizacion, el modelo de referencia adaptativo comprende un umbral maximo para una proporcion del numero de valores de activos diferentes al numero de instantaneas que contienen los valores de activos. El modelo de referencia adaptativo puede comprender uno o mas umbrales mlnimo y maximo asociados con valores de activos numericos.
Cada uno de la pluralidad de activos en el modelo de referencia adaptativo o en una instantanea se puede asociar con un tipo de activo. El tipo de activo puede comprender, por ejemplo, un archivo, una clave de registro, una medida de rendimiento, un servicio, un componente hardware, un proceso de ejecucion, un registro y un puerto de comunicacion. Tambien se pueden utilizar otros tipos de activos por las realizaciones de la presente invencion. Con el fin de conservar espacio, se pueden comprimir los nombres de activos y los valores de activos. Por ejemplo, en una realizacion de la presente invencion, el componente (108) Colector identifica la primera aparicion de un nombre de activo o valor de activo en una de la pluralidad de instantaneas y genera un identificador asociado con esa primera aparicion. Posteriormente, si el componente (108) Colector identifica una segunda aparicion del nombre de activo o valor de activo, el componente (108) Colector asocia el identificador con el segundo nombre de activo y valor de activo. El identificador y nombre de activo o valor de activo entonces se puede almacenar en un Indice, mientras que solamente el identificador se almacena con los datos en el modelo de referencia adaptativo o instantanea. De esta forma, se minimiza el espacio necesario para almacenar nombres o valores de activos repetidos frecuentemente.
El modelo de referencia adaptativo se puede generar automaticamente. En una realizacion, el modelo de referencia adaptativo se genera automaticamente y luego se revisa manualmente para contar con el conocimiento de personal de soporte tecnico u otros. La Figura 11 es una captura de pantalla de una interfaz de usuario para crear un modelo de referencia adaptativo en una realizacion de la presente invencion. En la realizacion mostrada, un usuario selecciona las instantaneas a ser incluidas en el modelo moviendolas desde la ventana de Menu 1102 de Selection de Maquina a la ventana 1104 de Maquinas en Tarea. Cuando el usuario completa el proceso de seleccion y pulsa el boton 1106 Terminar se crea una tarea automatica que hace que el modelo sea generado. Una vez se ha creado el modelo, el usuario puede usar otra pantalla de interfaz para gestionarlo. La Figura 12 es una captura de pantalla de una interfaz de usuario para gestionar un modelo de referencia adaptativo en una realizacion de la presente invencion.
Con referencia de nuevo a la Figura 6, una vez que se ha creado el modelo de referencia adaptativo, el componente (110) Analltico compara al menos una de la pluralidad de instantaneas con el modelo 608 de referencia adaptativo. Por ejemplo, el componente (108) Colector puede recibir y almacenar en el componente (112) de Base de Datos cien instantaneas. El componente (110) Analltico usa las cien instantaneas para crear un modelo de referencia adaptativo. El componente (110) Analltico entonces comienza comparando cada una de las instantaneas en la pluralidad de instantaneas con el modelo de referencia adaptativo. En algun momento mas tarde el componente (108) Colector puede recibir 100 nuevas instantaneas desde los componentes de Agente, que entonces se pueden usar por el componente Analltico para generar una version revisada del modelo de referencia adaptativo y para identificar anomallas.
5
10
15
20
25
30
35
40
45
50
55
60
65
En una realizacion de la presente invencion, la comparacion de una o mas instantaneas con un modelo de referenda adaptativo comprende examinar relaciones entre nombres de activos. Por ejemplo, la probabilidad de existencia de un primer nombre de activo puede ser alta cuando esta presente un segundo nombre de activo. En una realizacion, la comparacion comprende determinar si todos los nombres de activos en una instantanea existen dentro del modelo de referencia adaptativo y son coherentes con una pluralidad de relaciones de alta probabilidad entre nombres de activos.
Con referencia aun a la Figura 6, en una realizacion, el componente (110) Analltico compara la instantanea con el modelo de referencia adaptativo con el fin de identificar cualesquiera anomallas que puedan estar presentes en un ordenador 610. Una anomalla es una indicacion de que alguna parte de una instantanea se desvla de lo normal como se define por el modelo de referencia adaptativo. Por ejemplo, un nombre o valor de activo puede desviarse del nombre de activo normal y valor de activo esperado en una situacion particular como se define por un modelo de referencia adaptativo. La anomalla puede senalar o no que un problema o condicion problematica conocida o nueva existe sobre o en relacion con el ordenador con el cual esta asociada la instantanea. Una condicion es un grupo de anomallas que estan relacionadas. Por ejemplo, un grupo de anomallas se puede relacionar porque surgen de una causa ralz unica. Por ejemplo, una anomalla puede indicar la presencia de una aplicacion particular sobre un ordenador cuando la aplicacion no esta presente de manera general en los otros ordenadores dentro de una poblacion dada. El reconocimiento de anomallas tambien se puede usar para funciones tales como balanceo de capacidad. Por ejemplo, evaluando las medidas de rendimiento de varios servidores, el componente (110) Analltico es capaz de determinar cuando desencadenar el despliegue y la configuracion automaticos de un nuevo servidor para abordar las demandas cambiantes.
Una condicion comprende un grupo de anomallas relacionadas. Por ejemplo, un grupo de anomallas pueden estar relacionadas debido a que surgen de una causa ralz unica, como la instalacion de un programa de aplicaciones o la presencia de un “gusano”. Una condicion puede comprender una clase de condicion. La clase de condicion permite que diversas condiciones sean agrupadas unas con otras.
En la realizacion mostrada en la Figura 6, si se encuentra una anomalla, el componente (110) Analltico intenta hacer coincidir la anomalla con un filtro de reconocimiento con el fin de diagnosticar una condicion 612. La anomalla se puede identificar como una anomalla benigna con el fin de eliminar el ruido durante el analisis, es decir, con el fin de evitar oscurecer condiciones problematicas reales debido a la presencia de anomallas que son el resultado de procesos operativos normales. Una comprobacion es una comparacion de una instantanea con un modelo de referencia adaptativo. Se puede realizar automaticamente una comprobacion. La salida de una comprobacion puede comprender un conjunto de anomallas y condiciones que se han detectado. En una realizacion, la anomalla se hace coincidir con a una pluralidad de filtros de reconocimiento. Un filtro de reconocimiento comprende una firma de una condicion o de una clase de condiciones. Por ejemplo, un filtro de reconocimiento puede comprender una coleccion de pares de nombres y valores de activos que, cuando se toman juntos, representan la firma de una condicion que es deseable reconocer, tal como la presencia de un gusano. Un filtro de reconocimiento generico puede proporcionar una plantilla para crear filtros mas especlficos. Por ejemplo, un filtro de reconocimiento que esta adaptado para buscar gusanos en general se puede adaptar para buscar un gusano especlfico.
En una realizacion de la presente invencion, un filtro de reconocimiento comprende al menos uno de: un nombre de activo asociado con la condicion, un valor de activo asociado con la condicion, una combinacion de nombre de activo y valor de activo asociados con la condicion, un umbral maximo asociado con un valor de activo y con la condicion, y un umbral mlnimo asociado con un valor de activo y con la condicion. Los pares nombre/valor de activo de una instantanea se pueden comparar con los pares nombre/valor del filtro de reconocimiento para encontrar una coincidencia y diagnosticar una condicion. La coincidencia de nombre/valor puede ser exacta o el filtro de reconocimiento puede comprender un comodln, que permite que un valor parcial sea introducido en el filtro de reconocimiento y luego hecho coincidir con la instantanea. Un nombre y/o un valor de activo particular se pueden hacer coincidir con una pluralidad de filtros de reconocimiento con el fin de diagnosticar una condicion.
Se puede crear un filtro de reconocimiento de diversas formas. Por ejemplo, en una realizacion de la presente invencion, un usuario copia las anomallas de una maquina donde esta presente la condicion de interes. Las anomallas se pueden presentar en un resumen de anomallas a partir del cual se pueden seleccionar y copiar al filtro. En otra realizacion, un usuario introduce un caracter comodln en una definicion de filtro. Por ejemplo, una parte de programa espla llamado Gator genera miles de claves de registro que comienzan con la cadena “hklm\software\gator\”. Una realizacion de la presente invencion puede proporcionar un mecanismo de comodln para tratar eficazmente esta situacion. El caracter de comodln puede ser, por ejemplo, el signo de porcentaje (%), y se puede usar antes de una cadena de texto, despues de una cadena de texto o en medio de una cadena de texto. Continuando con el ejemplo de Gator, si el usuario introduce la cadena “hklm\software\gator\%” en el cuerpo del filtro, entonces cualquier clave que comience con “hkml\software\gator” se reconocera por el filtro. El usuario puede desear construir un filtro para una condicion que aun no se ha experimentado en la poblacion gestionada. Por ejemplo, un filtro para un virus basado en informacion publicamente disponible en Internet en lugar de un caso real del virus dentro de la poblacion gestionada. Para abordar esta situacion, el usuario introduce la informacion relevante directamente en un filtro.
5
10
15
20
25
30
35
40
45
50
55
60
65
La Figura 13 es una captura de pantalla de una interfaz de usuario para seleccionar una instantanea a usar para la creacion de un filtro de reconocimiento en una realizacion de la presente invencion. Un usuario accede a la captura de pantalla mostrada para seleccionar las instantaneas a ser usadas para crear el filtro de reconocimiento. La Figura 14 es una captura de pantalla de una interfaz de usuario para crear o editar un filtro de reconocimiento en una realizacion de la presente invencion. En la realizacion mostrada, los activos de la instantanea seleccionada en la interfaz ilustrada en la Figura 13 se muestran en la ventana 1402 Fuente de Datos. El usuario selecciona estos activos y los copia en la ventana 1404 Fuente para crear el filtro de reconocimiento.
En una realizacion, la coincidencia entre un filtro de reconocimiento y un conjunto de anomallas esta asociada con una medida de calidad. Por ejemplo, una coincidencia exacta de todos los nombres de activos y valores de activos en el filtro de reconocimiento con nombres de activos y valores de activos en el conjunto de anomallas puede estar asociada con una medida de calidad mas alta que una coincidencia de un subconjunto de los nombres de activos y valores de activos en el filtro de reconocimiento con nombres de activos y valores de activos en el conjunto de anomallas.
El filtro de reconocimiento puede comprender tambien otros atributos. Por ejemplo, en una realizacion, el filtro de reconocimiento comprende una marca de control para determinar si incluir el nombre de activo y el valor de activo en el modelo de referencia adaptativo. En otra realizacion, el filtro de reconocimiento comprende una o mas descripciones textuales asociadas con una o mas condiciones. Aun en otra realizacion, el filtro de reconocimiento comprende un indicador de gravedad que indica la gravedad de una condicion en terminos de, por ejemplo, cuanto dano puede causar, cuan diflcil puede ser de eliminar, o alguna otra medida adecuada.
El filtro de reconocimiento puede comprender campos que son de naturaleza administrativa. Por ejemplo, en una realizacion, el filtro de reconocimiento comprende un identificador de filtro de reconocimiento, un nombre de creador y una fecha-hora de actualizacion.
Aun con referencia a la Figura 6, el componente (110) Analltico a continuacion responde a la condicion 614. Responder a la condicion puede comprender, por ejemplo, generar una notification, tal como un correo electronico a un tecnico de soporte, enviar un tique de problema a un sistema de gestion de problemas, solicitar permiso para tomar una action, por ejemplo, pedir la confirmation de un tecnico de soporte para instalar un parche, y eliminar la condicion de al menos uno de la pluralidad de ordenadores. Eliminar la condicion puede comprender, por ejemplo, hacer que se ejecute un agente de respuesta en cualquiera de la pluralidad de ordenadores afectados por la condicion. La condicion puede estar asociada con una respuesta automatica. Los pasos de diagnostico 612 y de respuesta a las condiciones 614 se pueden repetir para cada condicion. Tambien, el proceso de encontrar anomallas 610 se puede repetir para cada instantanea individual.
En la realizacion mostrada en la Figura 6, el componente (110) Analltico determina a continuacion si han de ser analizadas 616 instantaneas adicionales. Si es asl, los pasos de comparar la instantanea con el modelo 608 de referencia adaptativo, encontrar anomallas 610, hacer coincidir las anomallas con un filtro de reconocimiento para diagnosticar una condicion 612, y responder a la condicion 614 se repiten para cada instantanea. Una vez que han sido analizadas todas las instantaneas, el proceso termina 618.
En una realizacion de la presente invencion, una vez que el componente (110) Analltico ha identificado una condicion, el componente (110) Analltico intenta determinar cuales de la pluralidad de ordenadores dentro de una poblacion estan afectados por la condicion. Por ejemplo, el componente (110) Analltico puede examinar las instantaneas para identificar un conjunto particular de anomallas. El componente (110) Analltico entonces puede hacer que una respuesta a la condicion sea ejecutada en nombre de cada uno de los ordenadores afectados. Por ejemplo, en una realizacion, un componente (202) de Agente reside en cada uno de la pluralidad de ordenadores. El componente (202) de Agente genera la instantanea que se evalua por el componente (110) Analltico. En una realizacion tal, el componente (110) Analltico utiliza el componente (202) de Agente para ejecutar un programa de respuesta si el componente (110) Analltico identifica una condicion en uno de los ordenadores. En el diagnostico de una condicion, el componente (110) Analltico puede ser capaz de identificar o no una causa ralz de una condicion.
La Figura 7 es un diagrama de flujo que ilustra un proceso para identificar ciertos tipos de anomallas en una realizacion de la presente invencion. En la realizacion mostrada, el componente (110) Analltico evalua instantaneas para una pluralidad de ordenadores 702. Estas instantaneas pueden ser instantaneas base que comprenden el estado completo del ordenador o instantaneas delta que comprenden los cambios en el estado del ordenador desde la ultima Instantanea base. El componente (110) Analltico usa las instantaneas para crear un modelo 704 de referencia adaptativo. Senalar que cuando se usan instantaneas delta para este proposito, el componente Analltico debe reconstituir primero el equivalente de una instantanea base aplicando los cambios descritos en la instantanea delta a la instantanea base mas reciente. El componente (110) Analltico recibe posteriormente una segunda instantanea (base o delta) para al menos uno de la pluralidad de ordenadores 706. La instantanea se puede crear basada en diversos eventos, tales como el paso de una cantidad de tiempo predeterminada, la instalacion de un nuevo programa, o algun otro evento adecuado.
5
10
15
20
25
30
35
40
45
50
55
60
65
El componente (110) Analltico compara la segunda instantanea con el modelo de referenda adaptativo para intentar y detectar anomallas. Pueden existir diversos tipos de anomallas en un ordenador. En la realizacion mostrada, el componente (110) Analltico primero intenta identificar nombres de activos que esten ausentes inesperadamente 710. Por ejemplo, todos o sustancialmente todos los ordenadores dentro de una poblacion pueden incluir un archivo particular. La existencia del archivo se senala en el modelo de referencia adaptativo mediante la presencia de un nombre de activo. Si el archivo esta ausente inesperadamente de uno de los ordenadores dentro de la poblacion, es decir, no se encuentra el nombre de activo, alguna condicion puede estar afectando al ordenador en el que falta el archivo. Si el nombre de activo esta ausente inesperadamente, la ausencia se identifica como una anomalla 712. Por ejemplo, una entrada que identifica el ordenador, la fecha y un activo ausente inesperadamente se puede introducir en un almacen de datos.
El componente (110) Analltico intenta a continuacion identificar los nombres de activos que estan presentes inesperadamente 714. La presencia de un nombre de activo inesperado, tal como un nombre de archivo o entrada de registro, puede indicar la presencia de una condicion problematica, como un gusano informatico. Un nombre de activo esta presente inesperadamente si nunca se ha visto antes o si nunca se ha visto antes en el contexto en el que se encuentra. Si el nombre de activo esta presente inesperadamente, la presencia se identifica como una anomalla 720.
El componente (110) Analltico intenta a continuacion identificar un valor 718 de activo inesperado. Por ejemplo, en una realizacion, el componente (110) Analltico intenta identificar un valor de activo de cadena que es desconocido para el nombre de activo asociado con el. En otra realizacion, el componente (110) Analltico compara un activo numerico con los umbrales mlnimo o maximo asociados con el nombre de activo correspondiente. En realizaciones de la presente invention, los umbrales se pueden ajustar automaticamente basados en la desviacion media y estandar para valores de activos dentro de una poblacion. Segun la realizacion mostrada, si se detecta un valor de activo inesperado, se identifica como una anomalla 720. El proceso termina entonces 722.
Aunque el proceso en la Figura 7 se muestra como un proceso en serie, la comparacion de una instantanea con el modelo de referencia adaptativo y la identification de anomallas pueden ocurrir en paralelo. Ademas, cada uno de los pasos representados se puede repetir numerosas veces. Ademas, o bien las instantaneas delta o bien las instantaneas base se pueden comparar con el modelo de referencia adaptativo durante cada ciclo.
Una vez que se ha completado el analisis, el componente (110) Analltico puede generar un resultado, tal como un informe de anomalla. Este informe se puede proporcionar ademas a un usuario. Por ejemplo, el componente (110) Analltico puede generar una pagina web que comprende los resultados de una comparacion de una instantanea con un modelo de referencia adaptativo. Las realizaciones de la presente invencion pueden proporcionar unos medios para realizar auditorlas de seguridad automatizadas, comprobacion de integridad de archivos y registros, detection de virus basada en anomallas, y reparation automatizada.
La Figura 8 es un diagrama de flujo que ilustra un proceso para generar un modelo de referencia adaptativo en una realizacion de la presente invencion. En la realizacion mostrada, el componente (110) Analltico accede a una pluralidad de instantaneas desde una pluralidad de ordenadores a traves del componente de Base de Datos. Cada una de las instantaneas comprende una pluralidad de pares de nombres de activos y valores de activos. El componente (110) Analltico crea automaticamente un modelo de referencia adaptativo que se basa, al menos en parte, en las instantaneas.
El modelo de referencia adaptativo puede comprender cualquiera de una serie de atributos, relaciones, y medidas de los diversos nombres y valores de activos. En la realizacion mostrada en la Figura 8, el componente (110) Analltico encuentra primero uno o mas nombres de activos unicos y entonces determina el numero de veces que ocurre cada nombre de activo unico dentro de la pluralidad de instantaneas 804. Por ejemplo, puede ocurrir un archivo para un controlador de sistema operativo basico sustancialmente en todos los ordenadores dentro de una poblacion. El nombre de archivo es un nombre de activo unico; aparecera solamente una vez dentro de una instantanea, pero probablemente ocurrira sustancialmente en todas las instantaneas.
En la realizacion mostrada, el componente (110) Analltico determina a continuacion los valores de activos unicos asociados con cada nombre de activo 806. Por ejemplo, el activo de nombre de archivo para el controlador descrito en relation con el paso 804 probablemente tendra el mismo valor para cada aparicion del activo de nombre de archivo. Por el contrario, el valor de archivo para un archivo de registro probablemente tendra tantos valores diferentes como apariciones, es decir, un archivo de registro en cualquier ordenador particular contendra un numero diferente de entradas de todos los otros ordenadores en una poblacion.
Dado que la poblacion puede ser muy grande, en la realizacion mostrada en la Figura 8, si el numero de valores unicos asociados con un nombre de activo excede un umbral 808, se detiene 810 la determination. En otras palabras, en el ejemplo del archivo de registro descrito anteriormente, si el ordenador esta o no en un estado normal no depende de un archivo de registro que tenga un valor coherente. Los contenidos de archivo de registro se espera que varlen en cada ordenador. Senalar, sin embargo, que la presencia o ausencia del archivo de registro se puede almacenar en el modelo de referencia adaptativo como una indication de normalidad o de una anomalla.
5
10
15
20
25
30
35
40
45
50
55
60
65
En la realizacion mostrada en la Figura 8, el componente (110) Analltico determina a continuacion los valores de activos de cadena unicos asociados con cada nombre de activo 812. Por ejemplo, en una realizacion, solamente hay dos tipos de valores de activos, cadenas y numeros. Los valores de comprobaciones aleatorias de archivos y claves de registro son ejemplos de cadenas; un valor de contador de rendimiento es un ejemplo de un numero.
El componente (110) Analltico determina a continuacion una medida estadlstica asociada con valores numericos unicos asociados con un nombre de activo 814. Por ejemplo, en una realizacion, el componente (110) Analltico captura una medida de rendimiento, tal como una busqueda de memoria. Si un ordenador en una poblacion a menudo busca en la memoria, puede ser una indicacion de que un programa malicioso esta ejecutandose en segundo plano y requiriendo recursos de memoria sustanciales. Sin embargo, si todos o un numero considerable de ordenadores de una poblacion a menudo buscan en la memoria, puede indicar que los ordenadores generalmente carecen de recursos de memoria. En una realizacion, el componente (110) Analltico determina una desviacion media y una estandar para valores numericos asociados con un nombre de activo unico. En el ejemplo de la memoria, si la medida de la busqueda de memoria para un ordenador cae lejos fuera de la media estadlstica para la poblacion, se puede identificar una anomalla.
En una realizacion de la presente invencion, el modelo de referencia adaptativo se puede modificar aplicando una plantilla de pollticas. Una plantilla de pollticas es una coleccion de pares de activo/valor que se identifican y se aplican a un modelo de referencia adaptativo para establecer una norma que refleja una polltica especlfica. Por ejemplo, la plantilla de pollticas puede comprender una pluralidad de pares de nombres de activos y valores de activos que se espera que esten presentes en un ordenador normal. En una realizacion, la aplicacion de la plantilla de pollticas comprende modificar el modelo de referencia adaptativo de modo que los pares de nombres de activos y valores de activos presentes en la plantilla de pollticas parecen haber estado presentes en cada una de la pluralidad de instantaneas, es decir, parecen ser el estado normal de un ordenador en la poblacion.
La Figura 15 es una captura de pantalla que ilustra una interfaz de usuario para seleccionar un “sistema excelente” para uso en una plantilla de pollticas en una realizacion de la presente invencion. Como se ha descrito anteriormente, el usuario selecciona primero el sistema excelente en el que se ha de basar la plantilla de pollticas. La Figura 16 es una captura de pantalla de una interfaz de usuario para seleccionar activos de plantilla de pollticas en una realizacion de la presente invencion. Como con la interfaz de usuario para crear filtros de reconocimiento. El usuario selecciona activos desde una ventana 1602 de Fuente de Datos y los copia a una ventana de contenidos, la ventana 1604 de contenido de Plantilla.
La Figura 9 es un diagrama de flujo, que ilustra un proceso para la deteccion proactiva de anomallas en una realizacion de la presente invencion. En la realizacion mostrada, cuando ocurre un analisis, el componente (110) Analltico establece una conexion con la base de datos (112) que almacena las instantaneas a ser analizadas 902. En la realizacion mostrada, se utiliza solamente una base de datos. Sin embargo, en otras realizaciones, se pueden analizar datos de multiples bases de datos.
Antes de que se ejecuten las comprobaciones de diagnostico, se crean 904 uno o mas modelos de referencia. Los modelos de referencia se actualizan periodicamente, por ejemplo, una vez por semana, para asegurar que la information que contienen permanece actual. Una realizacion de la presente invencion proporciona un programador de tareas que permite que la creation del modelo sea configurada como un procedimiento completamente automatizado.
Una vez que se ha creado un modelo de referencia, se puede procesar de diversas formas para permitir diferentes tipos de analisis. Por ejemplo, es posible definir una plantilla 906 de pollticas como se ha descrito anteriormente. Por ejemplo, una plantilla de pollticas puede requerir que todas las maquinas de una poblacion gestionada tengan un software antivirus instalado y operativo. Una vez que se ha aplicado una plantilla de pollticas a un modelo, las comprobaciones de diagnostico frente a ese modelo incluiran una prueba de cumplimiento de pollticas. Las plantillas de pollticas se pueden usar en una variedad de aplicaciones incluyendo auditorlas de seguridad automatizadas, comprobacion de umbral de rendimiento y gestion de actualizaciones de Windows. Una plantilla de pollticas comprende el conjunto de activos y valores que seran forzados dentro del modelo como norma. En una realizacion, el proceso de edition de plantillas se basa en un planteamiento de “sistema excelente”. Un sistema excelente es uno que presenta los activos y valores que un usuario desea incorporar dentro de la plantilla. El usuario localiza la instantanea que corresponde al sistema excelente y luego selecciona cada par de activo/valor que el usuario desea incluir en la plantilla.
En el proceso mostrado en la Figura 9, la plantilla de pollticas se aplica entonces a un modelo para modificar su definition de normal 908. Esto permite que el modelo sea formado de formas que le permita comprobar el cumplimiento frente a las pollticas definidas por el usuario como se describe en la presente memoria.
Un modelo tambien se puede convertir 910. El proceso de conversion altera un modelo de referencia. Por ejemplo, en una realizacion, el proceso de conversion elimina del modelo cualesquiera activos de informacion que sean unicos, es decir, cualesquiera activos que ocurran en una y solo una instantanea. Cuando se ejecuta una
5
10
15
20
25
30
35
40
45
50
55
60
65
comprobacion frente a un modelo convertido, todos los activos de informacion unicos se notificaran como anomallas. Este tipo de comprobacion es util en emerger condiciones problematicas previamente desconocidas que existen en el momento en que se instalan por primera vez los componentes de Agente. Los modelos convertidos son utiles en el establecimiento de una llnea base inicial dado que exponen caracterlsticas unicas. Por esta razon los modelos convertidos algunas veces se llaman modelos de llnea de base en las realizaciones de la presente invencion.
En otra realizacion, el proceso de construction del modelo elimina del modelo cualesquiera activos de informacion que coincidan con un filtro de reconocimiento, garantizando que las condiciones problematicas conocidas no se incorporen al modelo. Cuando el sistema se instala por primera vez, la poblacion gestionada contiene bastante a menudo una serie de condiciones problematicas conocidas que aun no han sido notificadas. Es importante descubrir estas condiciones y eliminarlas del modelo, dado que, de otro modo, se incorporaran al modelo de referencia adaptativo como parte del estado normal de una maquina.
El componente (202) de Agente toma una instantanea del estado de cada maquina gestionada de una forma programada 924. La instantanea se transmite y se introduce en la base de datos como una instantanea. Tambien se pueden generar instantaneas bajo demanda o en respuesta a un evento especlfico, tal como la instalacion de una aplicacion.
En el proceso proactivo de gestion de problemas mostrado, se realiza 912 una comprobacion periodica de las ultimas instantaneas frente a un modelo de referencia actualizado. La salida de una comprobacion periodica es un conjunto de anomallas, que se muestran a un usuario como resultados 914. Los resultados tambien incluyen cualesquiera condiciones que se identifican como resultado de la coincidencia de las anomallas con los filtros de reconocimiento. Los filtros de reconocimiento se pueden definir como se ha descrito anteriormente 916. Las anomallas se pasan a traves de los filtros de reconocimiento para su interpretation dando como resultado un conjunto de condiciones. Las condiciones pueden oscilar en gravedad de algo tan benigno como una actualizacion de Windows a algo tan grave como un Troyano.
Las condiciones problematicas que pueden ocurrir en un ordenador cambian a medida que evolucionan los componentes de hardware y de software que componen ese ordenador. En consecuencia, hay una necesidad continua de definir y compartir nuevos filtros de reconocimiento a medida que se descubren nuevas combinaciones de anomallas. Los filtros de reconocimiento se pueden considerar como una forma muy detallada y estructurada de documentar las condiciones problematicas y, como tales, representan un mecanismo importante para facilitar la colaboracion. La realizacion mostrada comprende un mecanismo para exportar filtros de reconocimiento a un archivo XML e importar filtros de reconocimiento desde un archivo XML.
Una vez que se identifican las condiciones, se generan 920, informes que documentan los resultados de una comprobacion proactiva. Los informes pueden comprender, por ejemplo, una description resumida de todas las condiciones detectadas o una descripcion detallada de una condition particular.
La Figura 10 es un diagrama de flujo, que ilustra un proceso reactivo en una realizacion de la presente invencion. En el proceso mostrado en la Figura 10, se supone que ya se ha creado un modelo de referencia adaptativo. El proceso mostrado comienza cuando un usuario llama a un servicio de soporte tecnico para notificar un problema 1002. En el paradigma tradicional de servicio de soporte tecnico, el siguiente paso serla recopilar verbalmente informacion acerca de los slntomas que se experimentan por el usuario. Por el contrario, en la realizacion de la presente invencion mostrada, el siguiente paso es ejecutar una comprobacion de diagnostico de la maquina sospechosa frente a la instantanea 1003 mas reciente. Si esto no produce un diagnostico inmediato de una condicion problematica, pueden existir tres posibilidades: (1) La condicion ha ocurrido desde que se tomo la ultima instantanea; (2) la condicion es nueva y no esta siendo reconocida por sus filtros; o (3) la condicion esta fuera del alcance del analisis, por ejemplo, un problema de hardware.
Si se sospecha que la condicion problematica ha ocurrido desde que se tomo la ultima instantanea, entonces el usuario puede hacer que el componente (202) de Agente en la maquina cliente tome otra instantanea 1006. Una vez que esta disponible la instantanea resultante, se puede ejecutar 1004 una nueva comprobacion de diagnostico.
Si se sospecha que la condicion problematica es nueva, el analista puede ejecutar una funcion de comparacion que proporciona un desglose de los cambios en el estado de una maquina sobre una ventana de tiempo especlfica tales como nuevas aplicaciones que pueden haber sido instaladas 1008. El usuario tambien puede ver una representation detallada del estado de una maquina en diversos puntos en el tiempo 1010. Si el analista identifica una nueva condicion problematica, el usuario puede identificar el conjunto de activos como un filtro de reconocimiento para analisis 1012 posteriores.
Aunque los productos convencionales se han centrado en mejorar la eficacia del modelo de soporte basado en seres humanos, las realizaciones de la presente invencion estan disenadas alrededor de un paradigma diferente, un modelo de soporte basado en maquina. Esta diferencia fundamental en el planteamiento se manifiesta a si misma mas profundamente en las areas de recopilacion y analisis de datos. Dado que una maquina en lugar de un ser humano realizara gran parte del analisis de los datos recogidos, los datos recogidos pueden ser voluminosos. Por
5
10
15
20
25
30
35
40
45
50
55
ejemplo, en una realization, los datos recogidos de una unica maquina, conocidos como “comprobacion de salud” o instantanea para la maquina, incluyen valores para cientos de miles de atributos. La capacidad de recoger un gran volumen de datos proporciona realizaciones de la presente invention con una ventaja significativa sobre los sistemas convencionales en terminos del numero y variedad de condiciones que se pueden detectar.
Otra realization de la presente invention proporciona una poderosa capacidad analltica. La base para el analisis de alto valor en tal realization es la capacidad de distinguir con precision entre condiciones normales y anormales. Por ejemplo, un sistema segun la presente invention sintetiza su modelo de referencia automaticamente extrayendo relaciones estadlsticamente significativas a partir de los datos de instantaneas que recoge de sus clientes. El modelo de referencia “adaptativo” resultante define que es normal para esa poblacion gestionada particular en ese momento particular en el tiempo.
Una realization de la presente invention combina la recopilacion de datos y las caracterlsticas de analisis adaptativo descritas anteriormente. En tal realization, las capacidades superiores de recopilacion de datos combinadas con la potencia analltica del modelo de referencia adaptativo se traducen en una serie de ventajas competitivas significativas, incluyendo la capacidad de proporcionar protection automatica frente a amenazas de seguridad dirigiendo auditorlas de seguridad diarias y comprobando las actualizaciones de software para eliminar vulnerabilidades. Tal realization tambien puede ser capaz de explorar proactivamente todos los sistemas gestionados de una forma rutinaria para encontrar problemas antes de que den como resultado una perdida de productividad o llamadas al servicio de soporte tecnico.
Una realization de la presente invention que implementa las capacidades del modelo de referencia adaptativo tambien es capaz de detectar condiciones problematicas previamente desconocidas. Ademas, tal realization se sintetiza y mantiene automaticamente, requiriendo pocas o ningunas actualizaciones del proveedor para ser eficaz. Tal realization se personaliza automaticamente para una poblacion gestionada particular, permitiendole detectar modos de fallo unicos para esa poblacion.
Una ventaja adicional de una realization de la presente invention es que en el caso de que una condition problematica no se pueda resolver automaticamente, tal realization puede proporcionar una cantidad masiva de information tecnica estructurada para facilitar el trabajo del analista de soporte.
Una realization de la presente invention proporciona la capacidad de reparar automaticamente un problema identificado. Tal realization, cuando se combina con el modelo de referencia adaptativo de la realization descrita previamente, es capaz unicamente de reparation automatizada debido a su capacidad de identificar todos los aspectos de una condicion problematica.
Las realizaciones de la presente invention tambien proporcionan muchas ventajas sobre los sistemas y metodos convencionales en terminos de los niveles de servicio descritos en la presente memoria. Por ejemplo, en terminos del nivel de servicio de Curacion en Masa, es considerablemente menos costoso prevenir un incidente que resolver un incidente una vez que ha ocurrido el dano. Las realizaciones de la presente invention aumentan sustancialmente el porcentaje de incidentes que se pueden detectar/prevenir sin necesidad de intervention humana y de una manera que abarque la naturaleza diversa y dinamica de los ordenadores en entornos del mundo real.
Ademas, una realization de la presente invention es capaz de dirigir el nivel de servicio de Auto-Curacion detectando y reparando automaticamente tanto anomallas conocidas como desconocidas. Una realization que implementa el modelo de referencia adaptativo descrito en la presente memoria esta adecuada de forma unica a la detection y reparation automaticas. El servicio y la reparation automaticos tambien ayudan a eliminar o al menos minimizar la necesidad de Autoservicio y de Visitas del lado del Soporte Tecnico.
Las realizaciones de la presente invention proporcionan ventajas en el nivel de Servicio Asistido proporcionando capacidades superiores de diagnostico y recursos de information extensos. Una realization recopila y analiza cantidades masivas de datos de usuario final, facilitando una variedad de necesidades asociadas con el modelo de soporte basado en seres humanos incluyendo: auditorlas de seguridad, auditorlas de configuration, gestion de inventario, analisis de rendimiento y diagnostico de problemas.

Claims (15)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo de soporte informatico automatizado que comprende:
    i) recibir (602) una instantanea desde un ordenador (116a, b);
    ii) comparar (608) la instantanea con una base de datos de estados de ordenador; y,
    iii) identificar una anomalla basada en el resultado de la comparacion;
    caracterizado por:
    iv) recibir (602) instantaneas desde una pluralidad de ordenadores (116a, b) dentro de una poblacion de ordenadores, en donde las instantaneas individuales incluyen datos que indican un estado de un ordenador respectivo;
    v) almacenar (604) las instantaneas en un almacen de datos;
    vi) crear (606) automaticamente un modelo (206, 402) de referencia adaptativo basado al menos en parte en las instantaneas y que comprende un conjunto de reglas personalizado a las caracterlsticas de la poblacion de ordenadores, estando desarrollado el conjunto de reglas identificando patrones entre las instantaneas de la pluralidad de ordenadores de manera que el modelo de referencia adaptativo es indicativo de estados normales en los ordenadores dentro de la poblacion;
    vii) comparar (608) instantaneas de al menos uno de la pluralidad de ordenadores con el modelo de referencia adoptivo; y
    viii) determinar (610), basado en el resultado de la comparacion, si esta presente una anomalla (720) en el estado del al menos uno de los ordenadores.
  2. 2. El metodo de la reivindicacion 1, que comprende ademas hacer coincidir (612) al menos una anomalla (720) con al menos un filtro (216) de reconocimiento para diagnosticar una condicion en al menos uno de la pluralidad de ordenadores (116a, b).
  3. 3. El metodo de la reivindicacion 2, en donde el filtro (216) de reconocimiento comprende un patron particular de anomallas que indica la presencia de una condicion de causa ralz particular o una clase generica de condiciones.
  4. 4. El metodo de la reivindicacion 3, que comprende responder (614) a la condicion mediante al menos uno de:-
    i) generar una notificacion;
    ii) enviar un tique de problema a un sistema de gestion de problemas;
    iii) solicitar permiso para tomar una accion; y,
    iv) eliminar la condicion de al menos uno de la pluralidad de ordenadores (116a, b).
  5. 5. El metodo de la reivindicacion 4, en donde la eliminacion de la condicion comprende hacer que un programa de reparacion sea ejecutado en al menos uno de la pluralidad de ordenadores (116a, b) afectados por la condicion.
  6. 6. El metodo de cualquiera de las reivindicaciones 3 a 5, que comprende ademas:
    i) determinar cuales de la pluralidad de ordenadores (116a, b) estan afectados por la condicion; y,
    ii) causar una respuesta (614) a la condicion a ser ejecutada en nombre de cada uno de la pluralidad de ordenadores afectados por la condicion.
  7. 7. El metodo de cualquiera de las reivindicaciones 3 a 6, en donde el diagnostico (612) de la condicion comprende identificar una causa ralz de al menos una anomalla (720).
  8. 8. El metodo de cualquiera de las reivindicaciones 2 a 7, en donde al menos un filtro (216) de reconocimiento esta asociado con una respuesta (214) automatizada para la condicion.
  9. 9. El metodo de cualquiera de las reivindicaciones 2 a 8, en donde la condicion es una clase que comprende un grupo de condiciones.
  10. 10. El metodo de cualquiera de las reivindicaciones 2 a 9, que ademas comprende determinar una calidad de una coincidencia (612) entre al menos un filtro (216) de reconocimiento y al menos una anomalla (720).
  11. 11. El metodo de cualquiera de las reivindicaciones 1 a 10, en donde el modelo (402) de referencia adaptativo comprende una pluralidad de activos cada uno asociado con un tipo de activo que comprende uno de:-
    i) un archivo,
    ii) una clave de registro,
    5
    10
    15
    20
    25
    30
    iii) una medida de rendimiento,
    iv) un servicio,
    v) un componente de hardware,
    vi) un proceso en ejecucion,
    vii) un registro,
    y
    viii) un puerto de comunicacion.
  12. 12. El metodo de cualquiera de las reivindicaciones 1 a 11, en donde comparar (912) al menos una de la pluralidad de instantaneas con el modelo (402) de referencia adaptativo comprende:-
    i) generar un resultado (914); y,
    ii) proporcionar (920) el resultado a un usuario.
  13. 13. El metodo de cualquiera de las reivindicaciones 1 a 12, en donde la pluralidad de instantaneas se crea mediante un agente de software que reside en cada uno de la pluralidad de ordenadores (116a, b).
  14. 14. Un sistema (102) de soporte informatico automatizado que comprende:
    i) un componente (108) Colector; y,
    ii) un componente (110) analltico en comunicacion con el componente colector; caracterizado por que:
    iii) el sistema (102) de soporte automatizado esta organizado y dispuesto para efectuar las reivindicaciones del metodo en cualquiera de las reivindicaciones 1 a 13.
  15. 15. Un medio legible por ordenador en el cual se codifica un codigo de programa que comprende instrucciones ejecutables por ordenador para efectuar el metodo de soporte informatico automatizado de cualquiera de las reivindicaciones 1 a 13.
ES04786501.9T 2003-08-11 2004-08-11 Sistemas y métodos para soporte informático automatizado Active ES2640191T3 (es)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US916800 1986-10-08
US49422503P 2003-08-11 2003-08-11
US494225P 2003-08-11
US10/916,800 US20050038818A1 (en) 2003-08-11 2004-08-11 Systems and methods for creation and use of an adaptive reference model
PCT/US2004/026186 WO2005020001A2 (en) 2003-08-11 2004-08-11 Systems and methods for automated computer support

Publications (1)

Publication Number Publication Date
ES2640191T3 true ES2640191T3 (es) 2017-11-02

Family

ID=34138820

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04786501.9T Active ES2640191T3 (es) 2003-08-11 2004-08-11 Sistemas y métodos para soporte informático automatizado

Country Status (6)

Country Link
US (1) US20050038818A1 (es)
EP (1) EP1661047B1 (es)
JP (1) JP4886512B2 (es)
CN (1) CN101882102A (es)
ES (1) ES2640191T3 (es)
WO (1) WO2005020001A2 (es)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1661025A4 (en) 2003-08-11 2010-05-26 Chorus Systems Inc SYSTEMS AND METHOD FOR GENERATING AND USING AN ADAPTIVE REFERENCE MODEL
IL158309A (en) * 2003-10-08 2011-06-30 Ammon Yacoby Centralized network control
US7987124B1 (en) * 2004-08-20 2011-07-26 Fannie Mae Method of and system for evaluating an appraisal value associated with a loan
US7574322B2 (en) * 2005-05-10 2009-08-11 Microsoft Corporation Automated client device management
WO2007038245A2 (en) 2005-09-23 2007-04-05 Widevine Technologies, Inc. Method for evolving detectors to detect malign behavior in an artificial immune system
US8065733B2 (en) * 2005-09-23 2011-11-22 Google, Inc. Method for evolving detectors to detect malign behavior in an artificial immune system
US20070168696A1 (en) * 2005-11-15 2007-07-19 Aternity Information Systems, Ltd. System for inventing computer systems and alerting users of faults
US8352589B2 (en) * 2005-11-15 2013-01-08 Aternity Information Systems Ltd. System for monitoring computer systems and alerting users of faults
US10528705B2 (en) * 2006-05-09 2020-01-07 Apple Inc. Determining validity of subscription to use digital content
US7551073B2 (en) 2007-01-10 2009-06-23 International Business Machines Corporation Method, system and program product for alerting an information technology support organization of a security event
US8260622B2 (en) * 2007-02-13 2012-09-04 International Business Machines Corporation Compliant-based service level objectives
US8655623B2 (en) 2007-02-13 2014-02-18 International Business Machines Corporation Diagnostic system and method
US9449047B2 (en) * 2007-06-19 2016-09-20 Sybase, Inc. Dynamic modification of schemas in streaming databases
US8104087B2 (en) * 2008-01-08 2012-01-24 Triumfant, Inc. Systems and methods for automated data anomaly correction in a computer network
US8139064B2 (en) 2008-01-11 2012-03-20 International Business Machines Corporation Method and apparatus for aligning an infrastructure to a template
US8359217B2 (en) * 2008-01-11 2013-01-22 International Business Machines Corporation Method and apparatus for determining optimized resolutions for infrastructures
CA2721567C (en) * 2008-05-14 2017-01-10 Real Enterprise Solutions Development B.V. System and method of tracking and communicating computing states
US8839036B2 (en) * 2010-12-30 2014-09-16 Schneider Electric It Corporation System and method for root cause analysis
EP2776928A4 (en) * 2011-11-11 2015-09-23 Level 3 Communications Llc SYSTEMS AND METHODS FOR AUTOMATIC REPLACEMENT AND REPAIR OF COMMUNICATION NETWORK DEVICES
US10326645B2 (en) 2011-11-11 2019-06-18 Level 3 Communications, Llc System and methods for configuration management
US10997042B2 (en) 2011-11-11 2021-05-04 Level 3 Communications, Llc Systems and methods for configuration management
US10163063B2 (en) * 2012-03-07 2018-12-25 International Business Machines Corporation Automatically mining patterns for rule based data standardization systems
US9471788B2 (en) * 2012-12-14 2016-10-18 Sap Se Evaluation of software applications
CN103248630A (zh) * 2013-05-20 2013-08-14 上海交通大学 基于数据挖掘的网络安全态势分析方法
US9734191B2 (en) * 2014-03-31 2017-08-15 Dell Products, L.P. Asynchronous image repository functionality
EP3152697A4 (en) * 2014-06-09 2018-04-11 Northrop Grumman Systems Corporation System and method for real-time detection of anomalies in database usage
US9590854B1 (en) * 2014-06-25 2017-03-07 Amazon Technologies, Inc. Automated network security
US11023449B2 (en) * 2014-12-19 2021-06-01 EMC IP Holding Company LLC Method and system to search logs that contain a massive number of entries
JP2018506088A (ja) * 2015-01-13 2018-03-01 ヒューレット パッカード エンタープライズ デベロップメント エル ピーHewlett Packard Enterprise Development LP 最適化シグネチャ比較およびデータレプリケーションのためのシステムおよび方法
US10318518B2 (en) * 2015-07-31 2019-06-11 Bank Of America Corporation Event notification tool
US10628801B2 (en) * 2015-08-07 2020-04-21 Tata Consultancy Services Limited System and method for smart alerts
US10164991B2 (en) 2016-03-25 2018-12-25 Cisco Technology, Inc. Hierarchical models using self organizing learning topologies
US9607058B1 (en) * 2016-05-20 2017-03-28 BlackBox IP Corporation Systems and methods for managing documents associated with one or more patent applications
EP3255562A1 (en) * 2016-06-09 2017-12-13 Mastercard International Incorporated Method and systems for monitoring changes for a server system
CN107357652B (zh) * 2017-06-16 2020-10-23 北京邮电大学 一种基于分段排序及标准差调整因子的云计算任务调度方法
KR101997695B1 (ko) * 2017-08-21 2019-07-09 국방과학연구소 라이브 포렌식 기반 공격 탐지 장치 및 방법
US20190102841A1 (en) 2017-10-04 2019-04-04 Servicenow, Inc. Mapping engine configurations with task managed workflows and grid user interfaces
US11615358B2 (en) 2017-10-04 2023-03-28 Servicenow, Inc. Data insights for performance analytics
CN109002261B (zh) * 2018-07-11 2022-03-22 佛山市云端容灾信息技术有限公司 差异区块大数据分析方法、装置、存储介质及服务器
CN109784096B (zh) * 2019-01-18 2023-04-18 电子科技大学 基于聚类算法的硬件木马检测和剔除方法
CN114417462B (zh) * 2021-12-29 2024-05-14 厦门安科科技有限公司 基于物联网调控的拆楼机的控制方法及控制装置
US11729075B1 (en) * 2022-03-31 2023-08-15 Juniper Networks, Inc. Time series data collection for a network management system

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US182312A (en) * 1876-09-19 Improvement in frames for show-cards or pictures
US4368462A (en) * 1979-07-10 1983-01-11 Teledyne Industries, Inc. Line follower
US5905988A (en) * 1996-11-13 1999-05-18 Imaginon Method and apparatus for database transformation and adaptive playback
US6243702B1 (en) * 1998-06-22 2001-06-05 Oracle Corporation Method and apparatus for propagating commit times between a plurality of database servers
US6324656B1 (en) * 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6948100B1 (en) * 1999-02-24 2005-09-20 Hitachi, Ltd. Computer system and method of handling trouble of computer system
US6742141B1 (en) * 1999-05-10 2004-05-25 Handsfree Networks, Inc. System for automated problem detection, diagnosis, and resolution in a software driven system
JP2002024039A (ja) * 2000-07-12 2002-01-25 Mitsubishi Electric Corp ソフトウェア管理システム
US20030110248A1 (en) * 2001-02-08 2003-06-12 Ritche Scott D. Automated service support of software distribution in a distributed computer network
JP2002373081A (ja) * 2001-03-30 2002-12-26 Seiko Epson Corp 機器の不具合対策のためのネットワーク技術
US20020183971A1 (en) * 2001-04-10 2002-12-05 Wegerich Stephan W. Diagnostic systems and methods for predictive condition monitoring
US6865696B2 (en) * 2001-06-15 2005-03-08 Hewlett-Packard Development Company, L.P. Enduser diagnostic system and method for computer-based error interpretation
US6859893B2 (en) 2001-08-01 2005-02-22 Sun Microsystems, Inc. Service guru system and method for automated proactive and reactive computer system analysis
US6662198B2 (en) * 2001-08-30 2003-12-09 Zoteca Inc. Method and system for asynchronous transmission, backup, distribution of data and file sharing
JP2003186702A (ja) * 2001-12-18 2003-07-04 Tsubasa System Co Ltd 端末稼働監視システムおよび端末稼働監視方法
US7010553B2 (en) * 2002-03-19 2006-03-07 Network Appliance, Inc. System and method for redirecting access to a remote mirrored snapshot

Also Published As

Publication number Publication date
WO2005020001A2 (en) 2005-03-03
EP1661047B1 (en) 2017-06-14
WO2005020001A3 (en) 2005-08-18
EP1661047A2 (en) 2006-05-31
JP4886512B2 (ja) 2012-02-29
EP1661047A4 (en) 2010-05-05
US20050038818A1 (en) 2005-02-17
CN101882102A (zh) 2010-11-10
JP2007502467A (ja) 2007-02-08

Similar Documents

Publication Publication Date Title
ES2640191T3 (es) Sistemas y métodos para soporte informático automatizado
US9940190B2 (en) System for automated computer support
US8418247B2 (en) Intrusion detection method and system
US8621278B2 (en) System and method for automated solution of functionality problems in computer systems
US8051028B2 (en) Method and apparatus for generating configuration rules for computing entities within a computing environment using association rule mining
US8707385B2 (en) Automated compliance policy enforcement in software systems
JP2018142372A (ja) コンピュータネットワークにおける自動化メモリおよびスレッド実行異常検出のためのシステムおよび方法
US20070050777A1 (en) Duration of alerts and scanning of large data stores
Cao et al. Preemptive intrusion detection: Theoretical framework and real-world measurements
Xu et al. Remote attestation with domain-based integrity model and policy analysis
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
Khan et al. Discovering and utilising expert knowledge from security event logs
Murtaza et al. A trace abstraction approach for host-based anomaly detection
Dai et al. Patrol: Revealing zero-day attack paths through network-wide system object dependencies
Murtaza et al. Total ADS: Automated software anomaly detection system
Li et al. An approach to model network exploitations using exploitation graphs
CN1860476B (zh) 用于自动化计算机支持的***和方法
US20230252143A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information