一个实施例中的系统和方法包括用于执行下列步骤的模块:识别具有弱点风险的资产;识别运行于资产上的端口上的服务;识别到该端口的连接;计算作为服务和连接的函数的资产的操作相关性作用;以及基于操作相关性作用来修改弱点风险。其它实施例包括:在端口识别数据分组的协议;将协议分类为具有协议重要性得分的协议类别;为资产计算连接平均数;将连接平均数分类为具有连接得分的连接类别;以及计算服务相关性得分。其它实施例包括:计算主机相关性得分;将数据重要性得分指配给资产所传递的数据;以及计算作为主机相关性得分和数据重要性得分的函数的操作相关性作用。
【技术实现步骤摘要】
【国外来华专利技术】用于基于网络的资产操作相关性评分的系统和方法
一般来说,本公开涉及计算机网络的领域,更具体来说,涉及用于基于网络的资产操作相关性评分的系统和方法。
技术介绍
计算机网络管理和支持的领域在当今社会已经变得越来越重要和复杂。计算机网络环境被配置用于几乎每一个企业或组织,通常具有多个互连的计算机(例如,最终用户计算机、膝上型电脑、服务器、打印装置等)。在许多这类企业中,信息技术(IT)管理员可被分派维护和控制网络环境(包括主机、服务器和其它网络计算机上的可执行软件文件)的任务。随着网络环境中的可执行软件文件的数量增加,有效地控制、维护和修补这些文件的能力可能变得更困难。另外,网络可具有弱点,黑客可使用所述弱点来危害万维网服务器及相关的连网装置上存储的安全信息。在具有数百万计算机和其它网络装置的组织中,修补这些文件和计算机系统一般能够耗尽可观的资源和时间。一般来说,网络上的计算机的更大数量转化为管理和修补计算机上的弱点方面的更大困难,例如当计算机系统被配置用于与组织内的其它计算机系统的操作相关性时。因此,需要创新的工具来辅助IT管理员切实有效地修补计算机网络环境内的计算机。附图说明为了提供对本公开及其特征和优点的更全面理解,参照结合附图进行的以下描述,其中相似的参考标号表示相似的部分,附图中:图1是示出按照一个示例实施例的、用于基于网络的资产操作相关性评分的系统的组件的简化框图;图2A和图2B示出简化框图,其中示出按照本公开的、用于基于网络的资产操作相关性评分的系统的示例实施例;图3是示出可与本公开的一个实施例关联的示例操作步骤的简化流程图;图4是示出按照本公开的一个实施例、可与确定服务相关性得分关联的示例操作步骤的简化流程图;以及图5是示出按照本公开的一个实施例、可与确定主机相关性得分关联的示例操作步骤的简化流程图。具体实施方式概述一个实施例中的方法包括识别具有弱点风险的资产,识别运行于资产上的端口上的服务,识别到该端口的连接,计算作为服务和连接的函数的资产的操作相关性作用,以及基于操作相关性作用来修改弱点风险。更具体的实施例包括在端口识别数据分组的协议,将协议分类为具有对应协议类别得分的协议类别,为资产计算连接平均数,将连接平均数分类为具有对应连接得分的连接类别,以及计算作为连接得分和协议得分的函数的服务相关性得分。其它实施例包括为运行于资产上的各服务计算服务相关性得分,对服务相关性得分排序,计算作为服务相关性得分的函数的主机相关性得分,将数据重要性得分指配给资产所传递的数据,以及计算作为主机相关性得分和数据重要性得分的函数的作用。更具体的实施例包括为多个端口计算服务相关性得分以及其它特征。示例实施例图1是示出用于基于网络的资产操作相关性评分的系统10的示例实现的简化框图。示范网络环境示出计算机网络12,其中包括连接资产16、18、20和22的交换机14。在示例实施例中,资产16可以是文件服务器,装置24、26、28和30可连接到文件服务器。资产18可以是连接装置34和32的游戏服务器。资产20可以是连接到因特网云的万维网服务器。在一个示例实施例中,资产20可由网络12上的其它资产(例如,资产16、18和22)通过适当的硬件和软件组件来远程访问。资产20可在任何时间与许多客户端进行通信,包括其它网络的最终用户计算机上的第三方客户端经由因特网云来访问资产20上的信息。资产22可以是网络打印机。评分引擎40可连接到交换机14,并且配置成为了作为网络弱点评估的一部分对基于网络的资产操作相关性进行评分,被动地监测和分析网络12上的网络业务。按照本公开的实施例,评分引擎40可包括服务相关性(SD)模块42,其中可包括端口模块44、协议模块46、分类器模块48和连接模块50。评分引擎40还可包括主机相关性(HD)模块54,其中包括主机模块56和排序模块58。评分引擎40还可包括数据重要性模块60、报告模块62、一个或多个处理器64和一个或多个存储元件66。评分引擎40可监测网络业务,以便确定网络12上的资产的操作相关性。如本文所使用的术语“操作相关性”包含计算机网络中的一些系统与另一些系统的相关性。如本文所使用的术语“资产”包含任何装置、元件或对象,它们被配置有网络上的因特网协议(IP)地址并且能够交换电子数据。具有许多相关体的资产可被当作“更重要的”资产,因为对该资产的服务中断或者其它损害/中断所引起的对组织的影响可能更大。例如,具有许多因特网客户端的万维网服务器20可比没有任何相关体/客户端的打印机22更重要。如果因计算机黑客入侵而使万维网服务器20不能工作,则与黑客入侵打印机22相比,对组织的中断更大。资产的重要性还可取决于运行于资产上的网络服务以及由这类服务导致的操作相关性。如本文所使用的术语“网络服务”包括向客户端计算机提供共享资源的网络元件(例如,服务器、网络设备等)上安装的任何类型的应用。例如,与只支持游戏功能的游戏服务器18相比,文件服务器16可能对组织更重要,因为文件服务器16可提供文件共享网络服务,这些网络服务比游戏功能网络服务更重要。如果因计算机黑客入侵而使文件服务器16不能工作,则与黑客入侵游戏服务器18相比,可存在对组织的更大金融影响和其它中断后果。因此,资产的操作相关性可提供与相对资产重要性相关的信息,该信息在从资产的弱点来评估对组织的风险时可能是有用的。具体来说,具有最大数量的相关体并且运行高需求网络服务的资产在组织的网络中可以是最重要的资产。相反,具有最少数量的相关体并且运行低需求网络服务的资产在网络中可以是最不重要的资产,即使这些资产具有明显弱点。例如,如果资产具有重大弱点,但是没有相关体,则其风险(或者在修复方面的紧急性)相对于具有更多相关体的另一资产可能被降低。因此,称作操作相关性作用R的操作相关性得分能够用于向上或者向下修改资产的弱点风险(或其它)值。按照系统10的实施例,评分引擎40可监测网络业务,并且确定网络12上的各种资产的这种操作相关性作用R。评分引擎40可从网络业务收集各种值,例如新连接、源和目的地IP地址、端口以及通过网络12传递的数据的部分。这些值可用于识别使用网络服务的网络资产。评分引擎40可按照协议、使用/容量和/或源地址扩散来对网络服务分级。然后,评分引擎40可对资产按照它们接管的网络服务的函数来分级。评分引擎40可提供输出,其中包括资产的分级列表,例如按操作相关性作用R从1-10分级。这个分级能够用于调整弱点风险得分或者与资产相关的其它元数据。图1所示的网络环境一般可配置或者设置成表示能够以电子方式交换分组的任何通信架构。另外,网络还可配置成与诸如例如因特网或其它LAN之类的其它网络交换分组。也可在网络中提供其它常见的网络元件(例如电子邮件网关、万维网网关、路由器、交换机、负荷平衡器、防火墙等)。为了说明系统10的技术,重要的是理解可能存在于给定网络(例如图1所示的网络12)中的活动和安全性问题。以下基本信息可被看作是可适当说明本公开的基础。这种信息真正是仅为了说明而提供的,因此,决不应当被解释为限制本公开的广义范围及其潜在应用。组织(例如商业、学校、政府机构等)以及家庭中的典型网络环境包括多个计算机,诸如最终用户台式计算机、膝上型计算机本文档来自技高网...
【技术保护点】
一种方法,包括:识别具有至少一个弱点风险的资产;识别运行于所述资产上的至少一个端口上的至少一个服务;识别到所述至少一个端口的至少一个连接;计算作为所述至少一个服务和所述至少一个连接的函数的所述资产的操作相关性作用;以及基于所述操作相关性作用来修改所述弱点风险。
【技术特征摘要】
【国外来华专利技术】2011.07.27 US 13/1922141.一种方法,包括:识别具有至少一个弱点风险的资产;识别运行于所述资产上的至少一个端口上的至少一个服务;识别到所述至少一个端口的至少一个连接;计算作为所述至少一个服务和所述至少一个连接的函数的所述资产的操作相关性作用;以及基于所述操作相关性作用来修改所述弱点风险,其中,计算所述操作相关性作用包括:在所述至少一个端口识别数据分组的协议;确定所述协议的协议重要性得分;为所述资产计算连接平均数;确定所述连接平均数的连接得分;以及为所述至少一个服务计算作为所述连接得分和所述协议重要性得分的函数的服务相关性得分。2.如权利要求1所述的方法,其中,修改所述弱点风险包括:将所述弱点风险标高所述操作相关性作用。3.如权利要求1所述的方法,其中,修改所述弱点风险包括:将所述弱点风险标低所述操作相关性作用。4.如权利要求1所述的方法,其中,所述函数是所述连接得分和所述协议重要性得分的加权和。5.如权利要求1所述的方法,其中,计算连接平均数包括:随着时间的过去而识别到所述资产的连接的数量;识别连接到所述资产的客户端的数量;以及将所述连接的数量除以所述客户端的数量。6.如权利要求1所述的方法,还包括:为运行于所述资产上的各服务计算相应服务相关性得分;对所述相应服务相关性得分排序;以及计算作为所述相应服务相关性得分的函数的主机相关性得分。7.如权利要求6所述的方法,还包括:将数据重要性得分指配给所述资产所传递的数据;以及计算作为所述主机相关性得分和所述数据重要性得分的函数的所述操作相关性作用。8.如权利要求7所述的方法,其中,指配所述数据重要性得分包括:向用户呈现具有多个数据重要性得分的下拉菜单。9.一种设备,包括:用于识别具有至少一个弱点风险的资产的部件;用于识别运行于所述资产上的至少一个端口上的至少一个服务的部件;用于识别到所述至少一个端口的至少一个连接的部件;用于计算作为所述至少一个服务和所述至少一个连接的函数的所述资产的操作相关性作用的部件;以及用于基于所述操作相关性作用来修改所述弱点风险的部件,其中,用于计算所述操作相关性作用的部件包括:用于在所述至少一个端口识别数据分组的协议的部件;用于确定所述协议的协议重要性得分的部件;用于为所述资产计算连接平均数的部件;用于确定所述连接平均数的连接得分的部件;以及用于为所述至少一个服务计算作为所述连接得分和所述协议重要性得分的函数的服务相关性得分的部件。10.如权利要求9所述的设备,其中,用于修改所述弱点风险的部件包括:用于将所述弱点风险标高所述操...
【专利技术属性】
技术研发人员:S麦克鲁雷,MM普里塞,
申请(专利权)人:迈可菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。