JP2017016650A - コンピュータネットワーク上の資産を検出および識別するための方法およびシステム - Google Patents

コンピュータネットワーク上の資産を検出および識別するための方法およびシステム Download PDF

Info

Publication number
JP2017016650A
JP2017016650A JP2016123539A JP2016123539A JP2017016650A JP 2017016650 A JP2017016650 A JP 2017016650A JP 2016123539 A JP2016123539 A JP 2016123539A JP 2016123539 A JP2016123539 A JP 2016123539A JP 2017016650 A JP2017016650 A JP 2017016650A
Authority
JP
Japan
Prior art keywords
packet
computer
given
fingerprint
implemented method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016123539A
Other languages
English (en)
Inventor
スカラベオ ニカンドロ
Scarabeo Nicandro
スカラベオ ニカンドロ
ラウリオン ティエリ
Laurion Thierry
ラウリオン ティエリ
ダレクス ギョーム
Daleux Guillaume
ダレクス ギョーム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Security Inc
Original Assignee
Above Security Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Above Security Inc filed Critical Above Security Inc
Publication of JP2017016650A publication Critical patent/JP2017016650A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】コンピュータネットワーク上の資産を検出および識別するための方法およびシステムを提供する。【解決手段】少なくとも1つの処理装置を使用して実行される、コンピュータ機器の資産を識別するためのコンピュータ実施方法であって、処理装置は、コンピュータ機器に接続されたデータパスから更新パケットを捕捉すること52、更新パケットから識別される資産に関連するアプリケーション層のデータを抽出すること54、抽出されたアプリケーションデータの層を使用して資産を識別すること56、そして、資産のIDを出力すること58、を行う。【選択図】図3

Description

本発明は、コンピュータ資産識別の分野に関し、より詳細には、コンピュータネットワーク上の資産を検出および識別するための方法およびシステムに関する。
資産の検出は、コンピュータネットワークやセキュリティに関連するいくつかの作業において重要なタスクを代表する。例えば、ネットワーク管理者は、彼らのコンピュータネットワーク内の重要な資産の最新の目録を維持する必要がある。同様に、セキュリティ管理者は、安全保障上の出来事における重大度および深刻度を判定するために、既存の資産を認識する必要がある。
コンピュータ資産は、オペレーティングシステム、サービス、アプリケーション等のソフトウェア資産や、ワークステーションまたはコンピュータ機器、サーバ、ルータ等のハードウェア装置を含むことができる。
コンピュータネットワーク上に見られるソフトウェア資産とハードウェア資産の増加およびソフトウェア資産の急速な進化により、手動による監査や静的な目録作成が非現実的である場合がある。コンピュータネットワーク上の資産を検出するための様々な技術が開発されている。資産検出技術の2つの主たるカテゴリが存在し、すなわち、受動的にトラフィックを監視する受動資産検出方法と、1つ以上のパケットがトラフィックを誘導するためにコンピュータ機器に送信される能動的資産検出方法とがある。能動的資産検出方法は、受動的手法よりも正確な結果を提供することができるが、テストされるコンピュータ機器やそれらのネットワークの機能を混乱させることがある。従って、トラフィックを注入することが許可されていない、もしくは推奨されていない場合、受動的ツールが有利な場合がある。
資産検出ツールの精度は、動作モードのみならず、すなわち、受動的モード対能動的モードのみならず、検出の基礎となる方法ならびにフィンガープリントのデータベースの品質と完全性とにも左右される。両技術における現在の実施では、いくつかの資産を完全に見落としたり誤認することや、また、例えばWindows XP(登録商標)ではなくWindows(登録商標)と識別するなど、製品を正確に識別するのではなく資産系統群のみを識別するなど部分的にしか識別できない場合がある。資産に対する知識の欠如や不正確または誤った知識は、すべての依存的ツールや作業の成果にマイナスの影響を与えることがある。このことは、誤った意思判断および/またはコンピュータネットワークに関連して取られる誤った作業につながる可能性がある。さらに、実際の資産検出ツールの一部は、オペレーティングシステムとサービスアプリケーションの検出のみをサポートし、ネットワーク相互作用を有せずにコンピュータにインストールされた、もしくはコンピュータ上で実行される、非サービスアプリケーションの検出をサポートしない。
したがって、コンピュータネットワーク上のコンピュータ資産を検出および識別するための改良された方法およびシステムが必要である。
第1の広義の観点によれば、少なくとも1つの処理装置を使用して実行するコンピュータ装置の資産を識別するためのコンピュータ実施方法において、前記処理装置は、前記コンピュータ装置に接続されたデータパスから更新パケットを捕捉すること、識別される資産に関連するアプリケーション層のデータを前記更新パケットから抽出すること、抽出されたアプリケーションデータの層を使用して資産を識別すること、そして資産の識別を出力すること、を行うことを特徴とする。
一実施例において、更新パケットを捕捉するステップは、コンピュータ機器に向かって伝播する更新パケットを捕捉することを含む。
他の実施例において、更新パケットを捕捉するステップは、コンピュータ機器から伝播する更新パケットを捕捉することを含む。
一実施例において、更新パケットを捕捉するステップは、所与のパケットを捕捉し、前記所与のパケットを更新パケットであるとして識別することを含む。
一実施例において、前記所与のパケットを更新パケットであるとして識別するステップは、前記所与のパケットのインターネットプロトコル(IP)ヘッダを復号して、復号されたIPヘッダに含まれる情報を抽出すること、前記所与のパケットが伝送制御プロトコル(TCP)トラフィックに属しているかどうかを、前記IPヘッダから抽出された情報を使用して判断すること、前記所与のパケットがTCPトラフィックに属していない場合は、前記所与のパケットを破棄すること、および、前記所与のパケットがTCPトラフィックに属している場合は、TCPフローを再構築して、前記所与のパケットが更新パケットであるとして、プロトコル識別を介して再構築されたTCPフローを使用して判断すること、
を含む。
一実施例において、前記復号されたIPヘッダに含まれる情報を抽出することは、IPバージョン、ソースIP、宛先IP、および生存時間のうち少なくとも1つを抽出することを含む。
一実施例において、前記資産を識別するステップは、アプリケーション層のデータを使用して所与のフィンガープリントを生成し、前記所与のフィンガープリントを、各資産のIDに対応する照合用フィンガープリントと比較することを含む。
一実施例において、各資産のIDは、名前とバージョンのうち少なくとも1つを含む。
一実施例において、前記所与のフィンガープリントを生成するステップは、アプリケーション層のデータのいくつかを抽出することを含む。
一実施例において、前記抽出されたアプリケーションデータの層は、MajorVersion、MinorVersion、SuiteMask、OldProductType、NewProductType、SystemMetrics、およびProcessorArchitectureのうち少なくとも1つに対する所与の値を含む。
一実施例において、本方法は、前記更新パケットが、Windows(登録商標)パケットとUnix(登録商標)系パケットの一方であるか否かを判断することをさらに含む。
前記更新パケットがWindowsパケットである場合の一実施例において、アプリケーション層のデータを抽出するステップは、前記更新パケットからWSUS SOAPメッセージを抽出してWSUSメッセージに含まれるWSUSフィールドを解析することを含み、前記資産を識別するステップは、解析されたWSUSフィールドを使用して所与のWindowsフィンガープリントを生成し、前記所与のWindowsフィンガープリントを照合用Windowsフィンガープリントと比較することを含む。
一実施例において、本方法は、所与のWindowsフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む。
一実施例において、本方法は、前記更新パケットがUnix系パケットである場合に、前記更新パケットがFTPパケットとHTTPパケットの一方であるか否かを判断することをさらに含む。
前記更新パケットがFTPパケットである場合の一実施例において、アプリケーション層のデータを抽出するステップは、FTP転送設定を抽出してFTP要求メッセージを解析および分析することを含み、前記資産を識別するステップは、解析されたFTP要求メッセージを使用して所与のUnixフィンガープリントを生成し、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む。
前記更新パケットがHTTPパケットである場合の一実施例において、アプリケーション層のデータを抽出するステップは、HTTPヘッダを抽出してHTTPフィールドを解析および分析することを含み、前記資産を識別するステップは、前記HTTPフィールドを使用して所与のUnixフィンガープリントを生成し、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む。
一実施例において、本方法は、所与のUnixフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む。
第2の広義の観点によれば、資産検出装置は、少なくとも、処理装置、メモリ、およびデータを送受信するための通信手段を備えており、前記メモリは、前記処理装置によって実行される時に上述した方法のステップを実行する命令を格納する。
第3の広義の観点によれば、コンピュータプログラム製品は、コンピュータによって実行される時に上述した方法ステップを実行する、コンピュータ実行可能な命令を格納するコンピュータ可読メモリを含む。
他の広義の観点によれば、少なくとも1つの処理装置を使用して行われる、コンピュータネットワーク上のコンピュータ資産を検出および識別するためのコンピュータ実施方法において、前記処理装置は、複数のコンピュータ機器を含むコンピュータネットワークから更新パケットを捕捉すること、そして、各更新パケットに対して、前記複数のコンピュータ機器のうち、捕捉された更新パケットに関連し対応する1つを識別すること、前記捕捉された更新パケットからアプリケーション層のデータを抽出すること、抽出されたアプリケーションデータの層を使用して、前記対応するコンピュータ機器の資産を識別すること、および、識別された前記資産及び前記対応するコンピュータ機器のIDを出力すること、を行うことを特徴とする。
一実施例において、前記更新パケットを捕捉するステップは、コンピュータ機器に向かって伝播する更新パケットを捕捉することを含む。
別の実施例において、前記更新パケットを捕捉するステップは、コンピュータ機器から伝播する更新パケットを捕捉することを含む。
一実施例において、更新パケットを捕捉するステップは、所与のパケットを捕捉して、前記所与のパケットを更新パケットであるとして識別することを含む。
一実施例において、前記所与のパケットを更新パケットであるとして識別するステップは、各所与のパケットに対して、前記所与のパケットのインターネットプロトコル(IP)ヘッダを復号して、復号されたIPヘッダに含まれる情報を抽出すること、前記所与のパケットが伝送制御プロトコル(TCP)トラフィックに属しているかどうかを、前記IPヘッダから抽出された情報を使って判断すること、前記所与のパケットがTCPトラフィックに属していない場合は、前記所与のパケットを破棄すること、および、前記所与のパケットがTCPトラフィックに属している場合は、TCPフローを再構成し、プロトコル識別を介して再構成された前記TCPフローを使用して、前記所与のパケットが更新パケットであると判断すること、を含む。
一実施例において、前記復号されたIPヘッダに含まれる情報を抽出するステップは、IPバージョン、ソースIP、宛先IP、および生存時間のうち少なくとも1つを抽出することを含む。
一実施例において、前記資産を識別するステップは、アプリケーション層のデータを使用して所与のフィンガープリントを生成し、前記所与のフィンガープリントを、各資産のIDに対応する照合用フィンガープリントと比較することを含む。
一実施例において、各資産のIDは、名前とバージョンのうち少なくとも1つを含む。
一実施例において、前記所与のフィンガープリントを生成するステップは、アプリケーション層のデータの一部を抽出することを含む。
一実施例において、前記抽出されたアプリケーションデータの層は、MajorVersion、MinorVersion、SuiteMask、OldProductType、NewProductType、SystemMetrics、およびProcessorArchitectureのうち少なくとも1つに対する所与の値を含む。
一実施例において、本方法は、前記更新パケットが、WindowsパケットとUnix系パケットの一方であるか否かを判断することをさらに含む。
前記更新パケットがWindowsパケットである場合の一実施例において、アプリケーション層のデータを抽出するステップは、前記更新パケットからWSUS SOAPメッセージを抽出して、WSUSメッセージに含まれるWSUSフィールドを解析することを含み、前記資産を識別するステップは、解析されたWSUSフィールドを使用して所与のWindowsフィンガープリントを生成し、前記所与のWindowsフィンガープリントを照合用Windowsフィンガープリントと比較することを含む。
一実施例において、本方法は、所与のWindowsフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む。
一実施例において、本方法は、前記更新パケットがUnix系パケットである場合に、前記更新パケットがFTPパケットとHTTPパケットの一方であるか否かを判断することをさらに含む。
前記更新パケットがFTPパケットである場合の一実施例において、アプリケーション層のデータを抽出するステップは、FTP転送設定を抽出して、FTP要求メッセージを解析および分析することを含み、前記資産を識別するステップは、解析されたFTP要求メッセージを使用して、所与のUnixフィンガープリントを生成し、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む。
前記更新パケットがHTTPパケットである場合の一実施例において、アプリケーション層のデータを抽出するステップは、HTTPヘッダを抽出してHTTPフィールドを解析および分析することを含み、前記資産を識別するステップは、HTTPフィールドを使用して所与のUnixフィンガープリントを生成して、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む。
一実施例において、本方法は、所与のUnixフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む。
一実施例において、前記コンピュータ機器のうち対応する1つを識別するステップは、更新パケットに関連するIPアドレスを使用して行う。
更なる広義の観点によれば、資産検出装置は、少なくとも、処理装置、メモリ、およびデータを送受信するための通信手段を備えており、前記メモリは、前記処理装置によって実行される時に上述した方法のステップを実行する命令を格納する。
更に他の広義の観点によれば、コンピュータプログラム製品は、コンピュータによって実行される時に上述した方法のステップを実行するコンピュータ実行可能な命令を格納するコンピュータ可読メモリを含む。
本発明の特徴および利点は、添付の図面と組み合わせた以下の説明より明らかになるであろう。
一実施例における、資産検出システムを備えたコンピュータネットワークのブロック図である。 一実施例における、資産検出装置のブロック図である。 一実施例における、コンピュータ機器が備える資産を検出および識別するための方法を示すフローチャートである。 一実施例における、コンピュータ機器、更新サーバ、およびウェブ更新リポジトリの間におけるデータの流れを示すブロック図である。 一実施例における、データストリームから更新パケットを抽出して識別する方法を示すフローチャートである。 一実施例における、パケット内に含まれるデータアプリケーション情報を使用してパケット用フィンガープリントを生成する方法を示す図である。 一実施例における、更新パケットを使用してWindowsオペレーティングシステムとLinux(登録商標)オペレーティングシステムを検出して識別するための方法を示すフローチャートである。 一実施例における、更新パケットを使用してWindowsオペレーティングシステムとLinuxオペレーティングシステムを検出して識別するための方法を示すフローチャートである。 一実施例における、コンピュータネットワーク上に存在する所与のコンピュータ機器の資産を識別して、前記所与のコンピュータ機器を識別する方法を示す図である。
添付の図面において、同一の要素には同一の参照記号を付すことに注意されたい。
一実施例において、コンピュータ機器の資産を検出および識別する受動的方法およびシステム、すなわち、いかなる走査も行わずにコンピュータ機器の資産を識別する方法およびシステムについて説明する。他の実施例において、複数のコンピュータ機器によって構成されたコンピュータネットワーク上に存在する資産を検出および識別する方法およびシステムについて説明する。この場合、本方法およびシステムは、資産を検出および識別し、識別された資産がインストールされた所与のコンピュータ機器をさらに識別するように構成される。
コンピュータ機器の資産は、オペレーティングシステム、サービス、アプリケーション等のソフトウェア資産とすることができる。コンピュータ機器の資産はまた、コンピュータ機器に含まれるもしくはコンピュータ機器に接続された、プリンタ、モニタ、スキャナ、サウンドカード、ビデオカード等のハードウェア部品であってもよい。
複数のコンピュータ機器から構成されるコンピュータネットワークの資産は、オペレーティングシステム、サービス、アプリケーション等の所与のコンピュータ機器にインストールされたソフトウェア資産とすることができる。コンピュータネットワークの資産はまた、ワークステーションまたはコンピュータ機器、サーバ、ルータ等のハードウェア部品であってもよい。
一実施例において、本発明の方法およびシステムは、資産を検出し、識別目的のために検出された資産の少なくとも1つの特性を判定することができる。例えば、本発明の方法およびシステムは、オペレーティングシステム、実行中のサービス、インストールされたアプリケーションの正確な名前とバージョン、および/または同様のものを検出および識別することができる。本方法およびシステムによって実行される資産の検出および識別によって、ユーザは検出された資産の変更履歴を記録することができる。
他の実施例において、複数の異なる資産識別技術の使用中にコンピュータネットワーク上の資産を検出および識別するための方法を記載する。異なる資産識別技術は、異なる識別結果を提供することができる。例えば、第1の識別方法は、所与のコンピュータ機器で実行されている所与のオペレーティングシステムがWindowsであるとして識別することができ、第2の異なる識別方法は、所与のオペレーティングシステムがLinuxであるとして識別することができる。この場合、本発明の方法及びシステムは、異なる識別結果のうちの1つがtrueまたは正しく識別したかを判断することを可能にする。
図1は、クラウド12などの通信ネットワークに接続されたコンピュータネットワーク10の一実施形態を示す。資産検出システム14は、コンピュータネットワーク10に含まれる資産を識別するために、コンピュータネットワーク10に接続される。
コンピュータネットワーク10は、複数のコンピュータ機器16aないし16h、2つのスイッチ18および20、ルータ22、およびファイアウォール24から構成される。コンピュータ機器16aないし16dはすべて第1スイッチ18に接続され、コンピュータ機器16eないし16hはそれぞれ第2スイッチ20に接続される。2つのスイッチ18および20はそれぞれ、ファイアウォール24を介してクラウド12に接続されたルータ22に接続される。図1に示すように、異なるオペレーティングシステムを、コンピュータ機器16aないし16hのうち少なくともいくつかで実行することができる。例えば、Macオペレーティングシステムをコンピュータ機器16aで実行可能であり、Windows XPをコンピュータ機器16bで実行可能であり、Windows 7をコンピュータ機器16cで実行可能であり、Ubuntu(登録商標) Linuxをコンピュータ機器16dで実行可能である。同様に、FreeBSDをコンピュータ機器16eで実行可能であり、Solarisをコンピュータ機器16fで実行可能であり、Windows 2003 Serverをコンピュータ機器16gで実行可能であり、Red Hat Enterprise(登録商標)(RHE)をコンピュータ機器16hで実行可能である。なお、コンピュータ機器16aないし16hの上記のオペレーティングシステムは、単なる例示にすぎない。
また、コンピュータネットワーク10は単なる例示であることを理解すべきである。コンピュータネットワーク10に含まれる構成要素/要素の数および種類は、異なってもよい。例えば、コンピュータネットワーク10は8台のコンピュータ機器16aないし16hで構成されるが、コンピュータネットワーク10が少なくとも2つのコンピュータ機器から構成される限りで、コンピュータ機器の数は異なってもよい。同様に、スイッチおよび/またはルータの数が異なってもよい。また、コンピュータネットワークが異なる構成であってもよい。例えば、コンピュータネットワークは、コンピュータ機器16aないし16hのうち2つにそれぞれ接続された4つのスイッチを含んでもよい。別の例では、コンピュータネットワークは、インターネットに対するルータアクセスに接続された複数のローカルエリアネットワーク(LAN)セグメントを含んでもよく、資産検出装置は、ルータに接続されてもよい。各LANセグメントは、資産検出装置が接続されたスイッチを介して互いに接続された複数のコンピュータ機器を含んでもよい。
資産検出システム14は、2つの資産検出装置30および34と、資産コンソリデータ36とを備える。資産検出器30および34はそれぞれ少なくとも、処理装置、メモリ、およびデータを受信および/または送信するための通信モジュールを備える。資産検出装置30および34はそれぞれ、コンピュータネットワーク10内の一点でのデータトラフィックを分析することによって資産を検出および識別するように構成される。例えば、資産検出装置30は、コンピュータ機器16aないし16dのグループに含まれる資産を識別するために、スイッチ18を通過するデータトラフィックを監視することができ、また、資産検出装置34は、コンピュータ機器16eないし16hのグループに含まれる資産を識別するために、スイッチ20を通過するデータトラフィックを監視することができる。資産検出装置30および34はそれぞれ、検出および識別された資産を資産コンソリデータ36に送信するように構成される。2つの資産検出装置30および34から受信した所与の資産のIDが異なる実施例においては、資産コンソリデータ36は、下記のように、資産のIDが正確であるかどうかを判断するように構成される。
一実施例において、2つの資産検出装置30および34は、コンピュータネットワーク10上の資産を識別するための異なる資産検出技術を使用するように構成される。例えば、資産検出装置30は、コンピュータ機器16aないし16dの資産を識別するために受動的検出技術を使用するように構成され、資産検出装置34は、コンピュータ機器16aないし16dの資産を識別するために能動的検出技術を使用するように構成することができる。
一実施例において、資産検出装置30および34の少なくともいずれか一方は、図2に示す受動的コンピュータ実施検出方法50を実行するように構成される。所与の資産検出装置は、そのIDが既知となるように、所与のコンピュータ機器とスイッチとの間の通信リンクに接続されてもよい。例えば、所与の資産検出装置は、スイッチ18とコンピュータ機器16aとの間の通信リンクまたはデータパスに接続されてもよい。この場合、コンピュータ機器16aのIDは既知であり、資産検出装置によって識別されたいずれの資産もコンピュータ機器16aに属するとみなされる。
この場合、所与の資産検出装置のメモリは、該メモリに格納された命令文および/または説明文を含み、これは、所与の資産検出装置の処理装置によって実行される時に、方法50のステップを実行する。
図2は、いくつかの実施形態による、資産検出装置30および34の例を示すブロック図である。資産検出装置30および34は、典型的には、メモリ42に格納されたモジュール、プログラムおよび/または命令を実行してそれにより処理操作を行う1つまたは複数の処理装置(CPU)41と、メモリ42と、これらの構成要素を相互接続するための1つまたは複数の通信バス43とを含む。通信バス43は、システム構成要素間を相互接続し、その通信を制御する回路(チップセットと呼ばれることもある)を任意で含んでもよい。メモリ42は、DRAM、SRAM、DDR RAM又は他のランダムアクセス固体記憶装置などの高速ランダムアクセスメモリを含み、1つまたは複数の磁気ディスク記憶装置、光ディスク記憶装置、フラッシュメモリ装置、または他の不揮発性固体記憶装置などの不揮発性メモリを含んでもよい。メモリ42は、CPU41から離れて位置する1つ以上の記憶媒体を任意で含んでもよい。メモリ42またはメモリ42内の不揮発性メモリ装置は、非一時的コンピュータ可読記憶媒体を含む。いくつかの実施形態では、メモリ42またはメモリ42の不揮発性コンピュータ可読記憶媒体は、以下のプログラム、モジュール、およびデータ構造、またはそのサブセットを格納する。
・更新パケットをデータパスから捕捉するための捕捉モジュール44
・識別される資産に関するデータを、捕捉されたパケットから抽出するための抽出モジュール45
・抽出された情報を使用して資産を識別するための識別モジュール46
・識別された資産を出力するための出力モジュール47
いくつかの実施形態では、メモリ42は下記のモジュールまたはサブモジュール、もしくはそのサブセットを任意で含んでもよい。
・捕捉されたパケットのIPヘッダを復号するための復号モジュール48a
・捕捉されたパケットがTCPトラフィックに属するかどうかを判断するためのTCPモジュール48b
・捕捉されたパケットのTCPフローを再構築するための再構築モジュール48c
・捕捉されたパケットが更新パケットであるか否かを、再構築されたTCPフローを使用して判断するための判断モジュール48d
上記要素のそれぞれは、1つまたは複数の前記メモリ装置に格納することができ、上記の機能を実行するための命令のセットに対応する。上記のモジュールまたはプログラム(すなわち、命令のセット)は、個別のソフトウェアプログラム、手順又はモジュールとして実施される必要はなく、従ってこれらのモジュールの種々のサブセットを組み合わせること、もしくは他の方法で再配置することができる。いくつかの実施形態において、メモリ42は、上記のモジュールおよびデータ構造のサブセットを格納することができる。さらに、メモリ42は、上記以外の追加モジュールおよびデータ構造を格納することができる。いくつかの実施形態では、メモリ42またはメモリ42のコンピュータ可読記憶媒体に格納されたプログラム、モジュール、およびデータ構造は、図3、図5、図7A、図7B、および図8を参照して以下に説明する方法のいずれかを実施するための命令を提供する。
図2は資産検出装置30および34を示すが、図2は、本明細書に記載された実施形態の構造概略としてよりも、むしろ管理モジュール中に存在し得る様々な特徴を機能的に記述することを意図している。実際に、そして当業者によって認識されるように、個別に示される項目を組み合わせたり、いくつかの項目を分離したりすることができる。
図3を参照して、所与のコンピュータ機器の少なくとも1つの資産を受動的に識別するための方法50の一実施形態を説明する。最初のステップ52において、所与のコンピュータ装置へ、または所与のコンピュータ装置から伝播するデータストリームを解析し、データストリームに含まれる更新パケットを捕捉する。図4に示すように、更新パケットは通常、コンピュータ機器と、ウェブ更新リポジトリに接続された更新サーバとの間で伝播する。オペレーティングシステム検出装置は、コンピュータ機器と更新サーバとの間に起こるデータストリームを聞き、コンピュータ機器と更新サーバとの間で伝播する更新パケットのコピーを得る。
ステップ54において、アプリケーション層が、捕捉された更新パケットのアプリケーション層から抽出される。ステップ56において、抽出されたアプリケーション層のデータを使用して資産が識別され、ステップ58において、資産のIDが出力される。例えば、判定された資産のIDはローカルメモリまたは外部メモリに格納しても良い。同一の、もしくは他の実施例において、判定された資産のIDは、例えば所与のコンピュータ機器のIDと共に資産コンソリデータ36に送信される。
ほとんどすべてのオペレーティングシステムとアプリケーションは、バグの修正、脆弱性の除去、新機能の追加等のために、頻繁な更新を必要とする。そして、コンピュータ機器は、インターネット上の更新サーバもしくはローカルコンピュータネットワーク上のミラー更新サーバと通信して、新規更新の可用性についての情報を得る。新規更新が利用可能になった場合、コンピュータ機器は、更新をダウンロードするために、更新サーバに接続するか、別のサーバにリダイレクトすることができる。更新処理中に、更新される資産についての情報を交換する初期化ステップがある。更新トラフィックは、次の理由の少なくともいくつかにおいて、資産検出の目的のために適切となり得る。第一に、更新はほとんどすべてのオペレーティングシステムとアプリケーションのために必要である。第二に、更新の可用性は頻繁に、もしくは定期的に(通常は週1回)発生し、この判定に関連する通信は、受動的に監視することができる。第三に、更新交換トラフィックは、オペレーティングシステムとサービスアプリケーションについてだけでなく、他のインストールされた非サービスアプリケーションについての情報を含む。第四に、資産名とバージョンまたは適用パッチに関する詳細情報は、通常、更新交換トラフィックに含まれている。さらに、更新通信は、多くの場合、暗号化されずに平文でやり取りされる。
図5は、方法50のステップ52で使用することができるデータストリーム内の更新パケットを識別するためのコンピュータ実施方法60の一実施形態を示す。ステップ62において、パケットがデータストリームから捕捉される。捕捉されたパケットのインターネットプロトコル(IP)ヘッダはステップ64にて復号される。捕捉されたパケットのIPヘッダが復号されると、IPバージョン、ソースIP、宛先IP、生存時間等のIPヘッダに含まれる情報にアクセス可能となる。捕捉されたパケットのIPヘッダに含まれる情報を使用して、捕捉されたパケットが伝送制御プロトコル(TCP)データトラフィックに属するかどうかが判断される。
捕捉されたパケットがTCPデータトラフィックに属さない場合、更新トラフィックのほとんどがTCP上に構築されているため、捕捉されたパケットは破棄され、さらにパケットが捕捉されて、それが更新パケットであるかどうかを判定するために分析される。
捕捉されたパケットがTCPデータトラフィックに属している場合、ステップ68でTCPフローを再構築する。同一のTCPセッションに属するパケットは、パケット検査(DPI)とプロトコル識別のために積層される。ステップ69において、再構築されたTCPフローを使用して、捕捉されたパケットがプロトコル識別を介して更新パケットに対応するかどうかを判断する。捕捉されたパケットが更新パケットに対応しない場合、捕捉されたパケットは破棄され、別のパケットが捕捉されて分析される。捕捉されたパケットが更新パケットに対応する場合、方法50のステップ54で説明したように、データ情報が更新パケットから抽出される。
図3に戻り、ステップ56において、コンピュータ機器の資産を識別することは、捕捉された更新パケットから抽出されたアプリケーション層のデータから捕捉された更新データ用のフィンガープリントを生成するステップと、判定されたフィンガープリントをデータベースに含まれる照合用フィンガープリントと比較するステップとを含んでもよい。データベースは、そこに格納された各照合用フィンガープリント用の所与の資産IDを含む。データベースに格納された資産IDは、資産名、資産のバージョン等を含んでもよい。したがって、判定されたフィンガープリントを照合用フィンガープリント指紋と照合することによって、資産のIDを判定することが可能である。
図6は、更新パケット用のフィンガープリントを生成する方法の一実施形態を示す。表70は、更新パケットのアプリケーション層に含まれるアプリケーション層情報72の例を示す。例えば、アプリケーション層情報72は、client identification(ID)、type、MajorVersion、MinorVersion、ServicePackMajorNumber、ServicePackMinorNumber、LocaleID、ProcessorArchitecture、BuildNumber、SuiteMask、OldProductType、NewProductType、SystemMetrics、OSName、Date、および/または同様のものを含むことができる。表74は、アプリケーション層情報72から生成されたフィンガープリントの例を示す。フィンガープリント74は、アプリケーション層情報72から抽出された更新パケットに含まれるいくつかのアプリケーション層データ76を含み、アプリケーション層データ76は更新パケット用のフィンガープリントを形成する。アプリケーション層データ76は、MajorVersion、MinorVersion、SuiteMask、OldProductType、 NewProductType、SystemMetrics、およびProcessorArchitectureの値を含む。表74にはなく表70に含まれる他の残りのアプリケーション層の情報は、フィンガープリントの一部ではない。
生成されたフィンガープリント74は、データベース内の照合用フィンガープリントと比較される。各照合用フィンガープリントは、MajorVersion、MinorVersion、SuiteMask、 OldProductType、NewProductType、SystemMetrics、ProcessorArchitectureのアプリケーション層情報用のそれぞれの値と、対応するオペレーティングシステムを含む。従って、捕捉された更新パケット用に生成されたフィンガープリントがデータベースに格納された所与の照合用フィンガープリントに一致する場合、該所与の照合用フィンガープリントに関連するオペレーティングシステムが、生成されたフィンガープリントに割り当てられ、従って、捕捉された更新パケットに割り当てられる。
図7aおよび7bは、更新パケットがWindowsのパケットとUnix系のパケットとの一方であるか否かが判定されたコンピュータのオペレーティングシステムを判定するためのコンピュータ実施方法100の一実施形態を示す。なお、方法100は、少なくとも処理装置が設けられた資産検出装置30または34、データを受信および/または送信するための通信モジュール、および、処理装置によって実施される時に方法100のステップを実行する命令文および/または説明文を格納したメモリ等を備えたコンピュータ機器によって実施される。
ステップ102において、更新パケットが受信される。ステップ104で、更新パケットが深層パケット検査によって分析されて、受信された更新パケットがWindowsのパケットであるか否かが、Windows Server更新サービス(WSUS)アプリケーションプロトコル検出を介して判断される。更新パケットがWindowsのパケットである場合、本方法はステップ106へ進む。更新パケットがWindowsのパケットでない場合、受信した更新パケットがUnix系のパケットであるか否かをステップ108で判断する。受信した更新パケットがUnix系のパケットであるとして識別された場合、本方法は図7bのステップ124へ続く。
ステップ104に戻り、受信した更新パケットがWindowsのパケットであると識別された場合、ステップ106において、HTTPのアプリケーション層プロトコル上にある処理リクエストまたは回答であるWSUSシンプルオブジェクトアクセスプロトコル(SOAP)メッセージが、更新パケットに含まれるHTTPペイロードから抽出される。ステップ110において、XMLパーサを使用してWSUSフィールドが解析され、オペレーティングシステムに関連する情報を含むSOAPメッセージのフィールドが抽出される。SOAPメッセージは、アプリケーション間の通信を許可し、また境界によって範囲限定されているため、境界間に含まれるメッセージが、非障害クライアント要求用に抽出される。ステップ112において、抽出された関連情報からWindowsフィンガープリントが生成される。フィンガープリント74のようなWSUSフィンガープリントは、ReportEventBatchクライアントレポートおよび初期RegisterComputerイベントを経て入手した特徴72などの利用可能情報のサブセットである。
一実施例において、SOAPメッセージのより精巧な分析が、SOAPメッセージの残りの部分に含まれるインストールされたアプリケーションまたはドライバの正確な名前とバージョンを抽出するために必要とされる。この場合、SyncUpdates要求を介してWSUSクライアントによって提供されたSystemSpec情報が抽出され、インストールされたアプリケーションまたはドライバの名前とバージョンがSystemSpec情報から判定される。
ステップ114において、判定されたWindowsフィンガープリントは、データベース16に格納されている照合用フィンガープリントと比較される。判定されたWindowsフィンガープリントが所与の照合用フィンガープリントに対応する場合、所与の照合用フィンガープリントに関連付けられているオペレーティングシステムのIDが、判定されたWindowsフィンガープリントに割り当てられ、それによって分析された更新パケットに割り当てられる。更新パケットに関連付けられたオペレーティングシステムのIDは、更新パケットが関連付けられたコンピュータ機器、すなわち、更新パケットの伝播先であり意図される、もしくは更新パケットの伝播元であるコンピュータ機器のIDと共に、ステップ118でメモリに格納される。
一実施例において、方法100はアプリケーションおよび/またはハードウェア検出モードをさらに備える。ステップ120にてこのモードが起動されると、ステップ112で判定したWindowsフィンガープリントは、ステップ122にて、アプリケーションおよび/またはハードウェアの検出及び識別のために更に使用される。識別されたアプリケーションおよび/またはハードウェアは、ステップ118でメモリに格納される。
ステップ108に戻り、深層パケット検査を使用して、更新パケットがUnix系の更新パケットであるとして識別された場合、ステップ124にて、更新パケットがファイル転送プロトコル(FTP)パケットであるか否かを判断する。
更新パケットがFTPパケットであるとして識別された場合、ステップ126でFTP転送設定が更新パケットから抽出される。ステップ128で、FTP要求メッセージが解析および分析される。DPIを使用して、URL/パスを抽出する。ファイル名とドメイン名のパス選択がダウンロードに先行する場合、構成、OS系統群、およびオペレーティングシステムのバージョンを判定することができ、一方ファイルパスは、ダウンロードされたサービス/アプリケーションとそのバージョンの判定を可能にする。次いで、ステップ128で行われた分析結果を使用して、ステップ130で、Unixフィンガープリントを生成する。例えば、Unixフィンガープリントは、ドメイン名、ファイルパス、および拡張子によって定義することができる。
ステップ124に戻り、更新パケットがFTPパケットではない場合、ステップ132において、更新パケットがハイパーテキスト転送プロトコル(HTTP)更新に対応するか否かを判断する。
更新されたパケットがHTTP更新に対応する場合、ステップ134にてHTTPヘッダが更新パケットから抽出される。136において、HTTPヘッダのフィールドが解析および分析される。特に、HTTPヘッダに含まれる「ユーザエージェント」フィールドおよび「URL」フィールドが分析される。ステップ128と同様に、DPIを使用して、URL/パスを抽出する。ファイル名とドメイン名のパス選択がダウンロードに先行する場合、構成、OS系統群、およびオペレーティングシステムのバージョンを判定することができ、一方ファイルパスは、ダウンロードされたサービス/アプリケーションとそのバージョンの判定を可能にする。次いで、ステップ136で行われた分析結果を使用して、ステップ130で、更新パケット用のフィンガープリントが生成される。更新クライアントユーザエージェントが見られた場合、フィンガープリントは、ドメイン名、ファイルパス、および拡張子によって定義することができる。
なお、FTP更新パケットを使用したOSフィンガープリントの生成およびHTTP更新パケットを使用したOSフィンガープリントの生成を、実質的に同時に実行できることが理解されるべきである。
ステップ138にて、更新パケット用の判定されたフィンガープリントは、データベース140に格納された照合用フィンガープリントと比較される。データベース140に格納された各照合用フィンガープリントは、少なくとも名前およびバージョンによって定義される各オペレーティングシステムに関連付けられる。更新パケット用の判定されたフィンガープリントと所与の照合用フィンガープリントとの間で明白な一致が発見された場合、更新パケットに関連付けられた所与の照合用フィンガープリントは更新パケットに割り当てられ、オペレーティングシステムが正常に確認されたと言われる。
ステップ142にて、更新パケットに関連するオペレーティングシステムが正常に識別されたか否かが判定される。正常に識別された場合、ステップ144にて、更新パケットに関連付けられたオペレーティングシステムのIDは、更新パケットが関連付けられているコンピュータ機器、すなわち、更新パケットの伝播先であり意図される、もしくは更新パケットの伝播元であるコンピュータ機器のIDと共に、メモリに格納される。
一実施例において、方法100はさらにアプリケーションおよび/またはハードウェア検出モードを含む。ステップ146にてこのモードが起動されると、ステップ138で判定した分配名およびバージョンが、ステップ150でアプリケーションおよび/またはハードウェアの検出および識別のためにさらに使用される。識別されたアプリケーションおよび/またはハードウェアは、ステップ144でメモリに格納される。
図8は、コンピュータネットワークに含まれる所与のコンピュータ装置のオペレーティングシステムを識別するためのコンピュータ実施方法151の一実施形態を示す。方法50は、更新パケットに関連付けられたコンピュータ装置の分析されるIDが既知である場合に使用されるが、方法150はコンピュータ装置のIDが未知である場合にも使用可能である。
なお、方法151は、資産検出器30または34のようなコンピュータ装置を使用して実行され、該コンピュータ装置は少なくとも、処理装置と、データを受信および/または送信するための通信モジュールと、処理装置によって実行される時に方法151のステップを実行する命令文および/または命令を格納したメモリとを備えることを理解されたい。
ステップ152において、複数のコンピュータ機器を含むコンピュータネットワーク内を伝搬するデータストリームから更新パケットが捕捉される。なお、更新パケットを捕捉するために、任意の適切な方法を用いることが可能であることを理解されたい。例えば、上記の方法60が使用可能である。
ステップ154において、更新パケットに関連付けられた所与のコンピュータ機器が識別される、すなわち、更新パケットが向けられた、もしくは更新パケットを伝播する所与のコンピュータ機器が識別される。一実施形態において、所与のコンピュータ装置は、それに関連するIPアドレス、通常は更新クライアントの観点で送信元IPアドレスを使用して識別される。
ステップ156において、アプリケーション層のデータを、捕捉された更新パケットのアプリケーション層から抽出する。抽出されたアプリケーション層のデータを使用して、ステップ158において、オペレーティングシステム等の資産を識別し、ステップ160において、資産と関連するコンピュータ機器のIDを出力する。例えば、判定された資産と所与のコンピュータ機器のIDを、ローカルメモリまたは外部メモリに格納してもよい。同じまたは別の実施形態では、判定された資産のIDは、所与のコンピュータ装置のIDと共に資産コンソリデータ36に送られる。
なお、方法150のステップ156は、方法50のステップ54に対応可能であることを理解されたい。同様に、方法150のステップ158は方法50のステップ56に対応可能であることを理解されたい。
一実施例において、上述の方法及びシステムは、資産を識別するために、登録コンピュータ(RC)更新パケットを使用する。同じまたは別の実施形態では、上記の方法およびシステムは、資産を識別するために、レポートバッチイベント(RBE)更新パケットを使用する。
表1は、RC更新パケットとRBE更新パケットに含まれるパラメータの一部を示す。いくつかのパラメータは、RC更新パケット内に存在してRBE更新パケットには存在しないか、もしくはその逆であるため、フィンガープリントに含まれるパラメータは、RC更新パケットが分析されるか否か、またはRBE更新パケットが分析されるか否かによって異なる場合がある。資産識別の精度は、RC更新パケットまたはRBE更新パケットが分析されるか否かによって異なる場合がある。例えば、RBE更新パケットのみを分析する場合、「Windows Server 2003のエディション」の仕様は判定されないが、RC更新パケットを解析することで、「Windows Server 2003のエディション」の仕様R1エディションとR2エディションを判定することができる。
上述する本発明の実施形態は、例示的なものにすぎない。したがって、本発明の範囲は、添付の特許請求の範囲によってのみ限定されるものである。

Claims (39)

  1. 少なくとも1つの処理装置を使用して実行される、コンピュータ機器の資産を識別するためのコンピュータ実施方法であって、
    前記処理装置は、
    前記コンピュータ機器に接続されたデータパスから更新パケットを捕捉すること、
    識別される資産に関連するアプリケーション層のデータを前記更新パケットから抽出すること、
    抽出されたアプリケーションデータの層を使用して前記資産を識別すること、そして、
    前記資産のIDを出力すること、
    を行う、コンピュータ実施方法。
  2. 前記更新パケットを捕捉することは、前記コンピュータ機器に向かって伝播する更新パケットを捕捉することを含む、請求項1に記載のコンピュータ実施方法。
  3. 前記更新パケットの捕捉は、前記コンピュータ機器から伝播する更新パケットを捕捉することを含む、請求項1に記載のコンピュータ実施方法。
  4. 前記更新パケットの捕捉は、所与のパケットを捕捉し、前記所与のパケットを更新パケットであるとして識別することを含む、請求項1ないし3のいずれか1つに記載のコンピュータ実施方法。
  5. 前記所与のパケットを更新パケットであるとして識別することは、
    前記所与のパケットのインターネットプロトコル(IP)ヘッダを復号して、復号されたIPヘッダに含まれる情報を抽出すること、
    前記パケットが伝送制御プロトコル(TCP)トラフィックに属しているか否かを、前記IPヘッダから抽出された情報を使用して判断すること、
    前記所与のパケットがTCPトラフィックに属していない場合は、前記所与のパケットを破棄すること、および
    前記所与のパケットがTCPトラフィックに属している場合は、TCPフローを再構築して、前記所与のパケットが更新パケットであるとして、プロトコル識別を介して再構築されたTCPフローを使用して判断すること、
    を含む、請求項4に記載のコンピュータ実施方法。
  6. 前記復号されたIPヘッダに含まれる情報を抽出することは、IPバージョン、ソースIP、宛先IP、および生存時間のうち少なくとも1つを抽出することを含む、請求項5に記載のコンピュータ実施方法。
  7. 前記資産を識別することは、アプリケーション層のデータを使用して所与のフィンガープリントを生成し、前記所与のフィンガープリントを、各資産のIDに対応する照合用フィンガープリントと比較することを含む、請求項1ないし6のいずれか1つに記載のコンピュータ実施方法。
  8. 各資産のIDは、名前とバージョンのうち少なくとも1つを含む、請求項7に記載のコンピュータ実施方法。
  9. 前記所与のフィンガープリントを生成することは、アプリケーション層のデータのいくつかを抽出することを含む、請求項7または8に記載のコンピュータ実施方法。
  10. 前記抽出されたアプリケーションデータの層は、MajorVersion、MinorVersion、SuiteMask、OldProductType、NewProductType、SystemMetrics、およびProcessorArchitectureのうち少なくとも1つに対する所与の値を含む、請求項9に記載のコンピュータ実施方法。
  11. 前記更新パケットが、WindowsパケットとUnix系パケットの一方であるか否かを判断することをさらに含む、請求項1ないし10のいずれか1つに記載のコンピュータ実施方法。
  12. 前記更新パケットがWindowsパケットである場合、アプリケーション層のデータを抽出することは、前記更新パケットからWSUS SOAPメッセージを抽出してWSUSメッセージに含まれるWSUSフィールドを解析することを含み、前記資産を識別することは、解析されたWSUSフィールドを使用して所与のWindowsフィンガープリントを生成し、前記所与のWindowsフィンガープリントを照合用Windowsフィンガープリントと比較することを含む、請求項11に記載のコンピュータ実施方法。
  13. 所与のWindowsフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む、請求項12に記載のコンピュータ実施方法。
  14. 前記更新パケットがUnix系パケットである場合に、前記更新パケットがFTPパケットとHTTPパケットの一方であるか否かを判断することをさらに含む、請求項11に記載のコンピュータ実施方法。
  15. 前記更新パケットがFTPパケットである場合、アプリケーション層のデータ抽出を抽出することは、FTP転送設定を抽出してFTP要求メッセージを解析および分析することを含み、前記資産を識別することは、解析されたFTP要求メッセージを使用して、所与のUnixフィンガープリントを生成し、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む、請求項14に記載のコンピュータ実施方法。
  16. 前記更新パケットがHTTPパケットである場合、アプリケーション層のデータを抽出することは、HTTPヘッダを抽出してHTTPフィールドを解析および分析することを含み、前記資産を識別することは、前記HTTPフィールドを使用して所与のUnixフィンガープリントを生成し、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む、請求項14に記載のコンピュータ実施方法。
  17. 所与のUnixフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む、請求項15または16に記載のコンピュータ実施方法。
  18. 資産検出装置であって、少なくとも、処理装置、メモリ、およびデータを送受信するための通信手段を備えており、前記メモリは、前記処理装置によって実行されるときに請求項1ないし17のいずれか1つに記載の方法のステップを実行する命令を格納する、資産検出装置。
  19. コンピュータプログラム製品であって、コンピュータによって実行される時に、請求項1ないし17のいずれか1つに記載の方法ステップを実行するコンピュータ実行可能な命令を格納するコンピュータ可読メモリを備える、コンピュータプログラム製品。
  20. 少なくとも1つの処理装置を使用して行われる、コンピュータネットワーク上のコンピュータ資産を検出および識別するためのコンピュータ実施方法であって、
    前記処理装置は、
    複数のコンピュータ機器を含むコンピュータネットワークから更新パケットを捕捉すること、そして、
    各更新パケットに対して、
    前記複数のコンピュータ機器のうち、捕捉された更新パケットに関連し対応する1つを識別すること、
    前記捕捉された更新パケットからアプリケーション層のデータを抽出すること、
    抽出されたアプリケーションデータの層を使用して、前記対応するコンピュータ機器の資産を識別すること、および
    識別された前記資産及び前記対応するコンピュータ機器のIDを出力すること、
    を行うことを特徴とする。
  21. 前記更新パケットを捕捉することは、コンピュータ機器に向かって伝播する更新パケットを捕捉することを含む、請求項20に記載のコンピュータ実施方法。
  22. 前記更新パケットを捕捉することは、コンピュータ機器から伝播する更新パケットを捕捉することを含む、請求項20に記載のコンピュータ実施方法。
  23. 前記更新パケットを捕捉することは、所与のパケットを捕捉して、前記所与のパケットを更新パケットであるとして識別することを含む、請求項20ないし22のいずれか1つに記載のコンピュータ実施方法。
  24. 前記所与のパケットを更新パケットであるとして識別することは、各所与のパケットに対して、
    前記所与のパケットのインターネットプロトコル(IP)ヘッダを復号して、復号されたIPヘッダに含まれる情報を抽出すること、
    前記所与のパケットが伝送制御プロトコル(TCP)トラフィックに属しているかどうかを、前記IPヘッダから抽出された情報を使って判断すること、
    前記所与のパケットがTCPトラフィックに属していない場合は、前記所与のパケットを破棄すること、および
    前記所与のパケットがTCPトラフィックに属している場合は、TCPフローを再構成し、プロトコル識別を介して再構成された前記TCPフローを使用して、前記所与のパケットが更新パケットであると判断すること、
    を含む、請求項23に記載のコンピュータ実施方法。
  25. 前記復号されたIPヘッダに含まれる情報を抽出することは、IPバージョン、ソースIP、宛先IP、および生存時間のうち少なくとも1つを抽出することを含む、請求項24に記載のコンピュータ実施方法。
  26. 前記資産を識別することは、アプリケーション層のデータを使用して所与のフィンガープリントを生成し、前記所与のフィンガープリントを、各資産のIDに対応する照合用フィンガープリントと比較することを含む、請求項20ないし25のいずれか1つに記載のコンピュータ実施方法。
  27. 各資産のIDは、名前とバージョンのうち少なくとも1つを含む、請求項26に記載のコンピュータ実施方法。
  28. 前記所与のフィンガープリントを生成することは、アプリケーション層のデータの一部を抽出することを含む、請求項26または27に記載のコンピュータ実施方法。
  29. 前記抽出されたアプリケーションデータの層は、MajorVersion、MinorVersion、SuiteMask、OldProductType、NewProductType、SystemMetrics、およびProcessorArchitectureのうち少なくとも1つに対する所与の値を含む、請求項28に記載のコンピュータ実施方法。
  30. 前記更新パケットが、WindowsパケットとUnix系パケットの一方であるか否かを判断することをさらに含む、請求項20ないし29のいずれか1つに記載のコンピュータ実施方法。
  31. 前記更新パケットがWindowsパケットである場合、アプリケーション層のデータを抽出することは、前記更新パケットからWSUS SOAPメッセージを抽出してWSUSメッセージに含まれるWSUSフィールドを解析することを含み、前記資産を識別することは、解析されたWSUSフィールドを使用して所与のWindowsフィンガープリントを生成し、前記所与のWindowsフィンガープリントを照合用Windowsフィンガープリントと比較することを含む、請求項30に記載のコンピュータ実施方法。
  32. 所与のWindowsフィンガープリントを使用して、アプリケーションと、コンピュータ機器のハードウェア構成要素との少なくとも一方を検出して識別することをさらに含む、請求項31に記載のコンピュータ実施方法。
  33. 前記更新パケットがUnix系パケットである場合に、前記更新パケットがFTPパケットとHTTPパケットの一方であるか否かを判断することをさらに含む、請求項30に記載のコンピュータ実施方法。
  34. 前記更新パケットがFTPパケットである場合、アプリケーション層のデータを抽出することは、FTP転送の設定を抽出して、FTP要求メッセージを解析および分析することを含み、前記資産を識別することは、解析されたFTP要求メッセージを使用して、所与のUnixフィンガープリントを生成し、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む、請求項33に記載のコンピュータ実施方法。
  35. 前記更新パケットがHTTPパケットである場合、アプリケーション層のデータを抽出することは、HTTPヘッダを抽出してHTTPフィールドを解析および分析することを含み、前記資産を識別することは、HTTPフィールドを使用して所与のUnixフィンガープリントを生成して、前記所与のUnixフィンガープリントを照合用Unixフィンガープリントと比較することを含む、請求項33に記載のコンピュータ実施方法。
  36. 所与のUnixフィンガープリントを使用して、コンピュータ機器のアプリケーションを検出して識別することをさらに含む、請求項34または35に記載のコンピュータ実施方法。
  37. 前記コンピュータ機器のうち対応する1つを識別することは、更新パケットに関連するIPアドレスを使用して行う、請求項20ないし36のいずれか1つに記載のコンピュータ実施方法。
  38. 資産検出装置であって、少なくとも、処理装置、メモリ、およびデータを送受信するための通信手段を備えており、前記メモリは、前記処理装置によって実行される時に請求項20ないし37のいずれか1つに記載の方法のステップを実行する命令を格納する、資産検出装置。
  39. コンピュータプログラム製品であって、コンピュータによって実行される時に請求項20ないし37のいずれか1つに記載の方法のステップを実行するコンピュータ実行可能な命令を格納するコンピュータ可読メモリを含む、コンピュータプログラム製品。
JP2016123539A 2015-06-23 2016-06-22 コンピュータネットワーク上の資産を検出および識別するための方法およびシステム Pending JP2017016650A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201562183468P 2015-06-23 2015-06-23
US62/183,468 2015-06-23

Publications (1)

Publication Number Publication Date
JP2017016650A true JP2017016650A (ja) 2017-01-19

Family

ID=57575319

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016123539A Pending JP2017016650A (ja) 2015-06-23 2016-06-22 コンピュータネットワーク上の資産を検出および識別するための方法およびシステム

Country Status (3)

Country Link
US (1) US20160380867A1 (ja)
JP (1) JP2017016650A (ja)
CA (1) CA2933669A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020004127A (ja) * 2018-06-28 2020-01-09 株式会社日立製作所 コンピュータ資産管理システムおよびコンピュータ資産管理方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10750336B2 (en) 2016-12-22 2020-08-18 Geotab Inc. System and method for managing a fleet of vehicles including electric vehicles
CN110166289B (zh) * 2019-05-15 2022-07-05 奇安信科技集团股份有限公司 一种识别目标信息资产的方法及装置
US11588664B2 (en) 2021-03-23 2023-02-21 Geotab Inc. Systems and methods for data message decoding and asset type fingerprinting
US11757676B2 (en) * 2021-03-23 2023-09-12 Geotab Inc. Systems and methods for asset type fingerprinting and data message decoding
CN113259467B (zh) * 2021-06-02 2021-10-08 浙江御安信息技术有限公司 一种基于大数据的网页资产指纹标签识别与发现方法
CN113973059A (zh) * 2021-10-21 2022-01-25 浙江大学 基于网络协议指纹的被动式工业互联网资产识别方法及装置
CN114363206B (zh) * 2021-12-28 2024-07-02 奇安信科技集团股份有限公司 终端资产识别方法、装置、计算设备及计算机存储介质
CN114338600B (zh) * 2021-12-28 2023-09-05 深信服科技股份有限公司 一种设备指纹的推选方法、装置、电子设备和介质
CN114827043B (zh) * 2022-03-31 2023-05-16 中国电子科技集团公司第三十研究所 基于指纹动态更新及关键报文识别的流量特征匹配方法
CN116599775B (zh) * 2023-07-17 2023-10-17 南京中新赛克科技有限责任公司 一种主被动探测结合的资产发现***及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020004127A (ja) * 2018-06-28 2020-01-09 株式会社日立製作所 コンピュータ資産管理システムおよびコンピュータ資産管理方法
JP7104574B2 (ja) 2018-06-28 2022-07-21 株式会社日立製作所 コンピュータ資産管理システムおよびコンピュータ資産管理方法

Also Published As

Publication number Publication date
US20160380867A1 (en) 2016-12-29
CA2933669A1 (en) 2016-12-23

Similar Documents

Publication Publication Date Title
JP2017016650A (ja) コンピュータネットワーク上の資産を検出および識別するための方法およびシステム
US9213832B2 (en) Dynamically scanning a web application through use of web traffic information
US10108801B2 (en) Web application vulnerability scanning
WO2015165296A1 (zh) 协议类型的识别方法和装置
CN111131320B (zh) 资产识别方法、装置、***和介质
CN110995656B (zh) 负载均衡方法、装置、设备及存储介质
WO2015141665A1 (ja) ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム
CN106921671B (zh) 一种网络攻击的检测方法及装置
CA3216355C (en) Generating synthetic transactions with packets
US7991827B1 (en) Network analysis system and method utilizing collected metadata
US10419351B1 (en) System and method for extracting signatures from controlled execution of applications and application codes retrieved from an application source
CN113055420B (zh) Https业务识别方法、装置及计算设备
Repetto et al. Automating mitigation of amplification attacks in NFV services
US11057395B2 (en) Monitoring for authentication information
Garn et al. Browser fingerprinting using combinatorial sequence testing
CN115866101A (zh) 一种内外网联动多协议的资产归属识别方法、装置和介质
US11601406B2 (en) Decrypting synthetic transactions with beacon packets
CN110995717B (zh) 报文处理方法、装置、电子设备及漏洞扫描***
CN114301802A (zh) 密评检测方法、装置和电子设备
CN114172980A (zh) 一种识别操作***类型的方法、***、装置、设备及介质
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
US10586034B2 (en) Network communication method and network communication system
Vitale et al. Inmap-t: Leveraging TTCN-3 to test the security impact of intra network elements
US20240070037A1 (en) Multi-Computer System for Maintaining Application Programming Interface Stability with Shared Computing Infrastructure
CN109451068B (zh) Set-Cookie值的***方法和装置