资产检测系统技术方案

使用一种可插资产检测引擎来识别网络内的设备。可插资产检测引擎包括一组可插发现传感器，并且适于利用一组发现传感器中的第一可插发现传感器来识别网络内的特定计算设备的特定地址信息，并且将特定计算设备的特定地址信息的识别发送到资产管理系统以便在由资产管理系统管理的资产仓库中包括特定地址信息。

【技术实现步骤摘要】
【国外来华专利技术】资产检测系统
本公开一般涉及计算安全领域，更特别地涉及网络发现和安全。
技术介绍
现在网络内的安全管理可以包括对网络中的设备分配和实施安全策略。实施安全 策略可以包括识别网络上的设备或者之前进行网络上设备的识别。地址扫描和ping扫描 已经用于发现网络设备。这些技术包括人类用户手动地配置网络地址的一个或多个范围， 诸如互联网协议（IP）地址，然后请求软件来扫描或探测规定范围内的每个地址 以试图找到活动的设备。这种扫描能够产生表明特定地址是否正在使用的结果，暗示在该 地址处存在网络设备。在采用互联网协议版本4(IPv4）寻址的网络中，这种强力扫描能 够用于在合理时间量内扫描宽范围地址（包括所有可能的IPv4地址）中的每个地址。 【附图说明】 图1是依照至少一个实施例的包括多个资产和系统实体的示例计算系统的简化 示意图； 图2是依照至少一个实施例的包括与一个或多个网络相结合操作的资产管理系 统和一个或多个资产检测引擎的示例计算系统的简化框图； 图3是图示出依照至少一个实施例的示例系统的示例资产仓库的简化组织图； 图4是图示出依照至少一个实施例的与示例的资产管理系统通信的示例的可扩 展资产检测引擎的简化框图； 图5是图示出依照至少一个实施例的在示例系统的两个或更多网络中的资产检 测引擎和扫描引擎的部署的简化框图； 图6A-6H是图示出依照至少一个实施例的包括示例的资产检测引擎的示例操作 的简化框图； 图7A-7C是图示出依照至少一个实施例的用于管理一个或多个网络内的资产的 示例技术的简化流程图。 在各附图中相似的附图标记和符号表示相似的元件。 【具体实施方式】 皿 一般地，在本说明书中所描述的主题的一个方面能够用方法来具体实施，该方法 包括如下动作：利用资产检测引擎来识别网络内特定的计算设备的地址信息；以及将地址 信息的识别发送到资产管理系统以便在由资产管理系统管理的资产仓库中包括地址信息。 可以通过包含在资产检测引擎中的一组发现传感器中的第一可插发现传感器来促成地址 息的识别。 在本说明书中所描述的主题的另一一般性方面能够在包括至少一个处理器设备、 至少一个存储器元件和可插资产检测引擎的系统中具体实施。可插资产检测引擎可以包括 一组可插发现传感器，并且当通过至少一个处理器设备执行时适于利用一组发现传感器中 的第一可插发现传感器来识别网络内的特定计算设备的特定地址信息，以及将特定计算设 备的特定地址信息的识别发送到资产管理系统以便在由资产管理系统管理的资产仓库中 包括特定地址信息。 这些以及其他的实施例可以各自任选地包括以下特征中的一个或多个。特定计算 设备的附加属性可以利用一组发现传感器中的第二可插发现传感器来识别。基于利用一组 发现传感器中的可插发现传感器识别出的经识别属性，可以将安全策略分配给所述特定计 算设备。附加属性可以包括特定计算设备的活动端口、特定计算设备的操作系统、特定计算 设备的应用以及其他属性。特定计算设备可以被加标签以将特定计算设备与特定计算设备 群组相关联，并且安全策略可以与特定计算设备群组相关联。一组发现传感器中的每个发 现传感器可以是可插发现传感器。资产管理系统能够确定：识别的地址信息未包含在资产 仓库中，并且地址信息的识别可以与网络内的特定计算设备的发现相结合。可插发现传感 器能够添加到一组发现传感器中。一组发现传感器中的一个可插发现传感器能够由另一可 插发现传感器取代。 此外，这些以及其他的实施例还可以各自任选地包括以下特征中的一个或多个。 基于事件的可插发现传感器可以包括在一组发现传感器中，并且适于根据描述由网络上的 事件管理服务所识别的网络中的事件的事件记录数据来识别网络上的计算设备的地址信 息。基于事件的可插发现传感器可以适于访问动态主机配置协议（DHCP)服务器的事件、活 动目录审核事件、防火墙事件、防入侵系统（IPS)事件和其他事件管理服务的事件记录数 据。潜伏型可插发现传感器可以包含在一组发现传感器中，并且适于根据由被动型可插发 现传感器监控的网络业务识别网络上的计算设备的地址信息。潜伏型可插发现传感器可以 适于监控网络业务中的NetBIOS广播分组、互联网控制消息协议版本6 (ICMPv6)网络业务、 经由端口镜像的网络业务，等其他示例。间接型可插发现传感器可以包含在一组发现传感 器中，并且适于查询网络服务以获取包括网络内的计算设备的地址信息的数据。间接型可 插发现传感器可以适于查询简单网络管理协议（SNMP)管理信息库（MIB)，查询DHCP数据 库，查询路由器表，在网络中的另一计算设备上发布netstat命令，等其他示例。主动型可 插发现传感器可以包括在一组发现传感器中，并且适于将数据发送到特定计算设备，诸如 一组互联网控制消息协议（ICMP)分组、一组传输控制协议（TCP)分组，以及一组用户数据 报协议（UDP)分组，并且进一步适于监控对发送数据的响应。一组发现传感器可以包括主 动型可插发现传感器以及至少一个被动型可插发现传感器，诸如潜伏型发现传感器、基于 事件的发现传感器或间接型发现传感器。当通过至少一个处理器设备执行时，资产管理系 统可以适于从资产检测引擎接收特定地址信息，确定地址信息是否与资产仓库中所描述的 设备相关联，并且用不包含在资产仓库中的地址信息来增补资产仓库。资产检测引擎可以 是系统中的多个资产检测引擎中的第一资产检测引擎。多个资产检测引擎可以包括第二资 产检测引擎，其中第一资产检测引擎的一组发现传感器是第一组，并且第二资产检测引擎 包括第二组发现传感器，第一组发现传感器不同于第二组发现传感器。第一组发现传感器 可以包括也包含在第二组发现传感器中的特定发现传感器。 一些或全部特征可以是计算机实现的方法或者进一步包含在用于实施该所述功 能的相应系统或其他设备中。本公开的这些以及其他特征、方面和实现方式的细节在附图 和下面的说明书中进行了阐述。公开的其他的特征、方面和优点将从说明书和附图以及从 权利要求书中变得显而易见。 示例件实施例 图1是图示出包括多个系统实体的计算环境的示例性实现的简化框图100,包括 网络（例如，110、115)，网络内的系统设备（S卩，计算设备（例如，120、125、130、135、140、 145、150、155、160、165)，包括端点设备，诸如路由器、交换机、防火墙和通过网络（例如， 110U15)通信或有利于网络（例如，110U15)的其他设备的网络元件、由在网络上的各个 系统服务、掌管、安装、装载或以其他方式使用的应用和其他软件程序和服务（例如，170、 172、174、175、176、178、180、182)，以及已知使用计算环境及其构成系统和应用的人（例 如，184、185、186、188)。 实际上，端点设备、网络元件和包含在网络中的其他计算设备（或系统型系统实 体）能够与网络上的其他设备通信和/或有利于网络上的其他设备之间的通信。例如，端 点设备（例如，120、125、130、140、150)能够利用计算环境为人（例如，184、185、186、188) 提供接口，其用于与网络（例如110本文档来自技高网...

【技术保护点】
一种方法，包括：利用资产检测引擎来识别网络内的特定计算设备的地址信息，其中所述地址信息的识别是通过包含于所述资产检测引擎中的一组发现传感器中的第一可插发现传感器来促成的；以及将所述特定计算设备的所述地址信息的识别发送到资产管理系统，以便在由所述资产管理系统管理的资产仓库中包括所述地址信息。

【技术特征摘要】
【国外来华专利技术】2012.04.11 US 13/444,1431. 一种方法，包括： 利用资产检测引擎来识别网络内的特定计算设备的地址信息，其中所述地址信息的识 别是通过包含于所述资产检测引擎中的一组发现传感器中的第一可插发现传感器来促成 的；以及 将所述特定计算设备的所述地址信息的识别发送到资产管理系统，以便在由所述资产 管理系统管理的资产仓库中包括所述地址信息。2. 如权利要求1所述的方法，还包括：利用所述一组发现传感器中的第二可插发现传 感器来识别所述特定计算设备的附加属性。3. 如权利要求2所述的方法，其中，基于利用所述一组发现传感器中的可插发现传感 器所识别出的经识别属性，将安全策略分配给所述特定计算设备。4. 如权利要求3所述的方法，其中，所述附加属性包括如下中的至少一项：所述特定计 算设备的活动端口、所述特定计算设备的操作系统、以及所述特定计算设备的应用。5. 如权利要求3所述的方法，其中，对所述特定计算设备加标签以将所述特定计算设 备与特定计算设备群组相关联，并且所述安全策略与所述特定计算设备群组相关联。6. 如权利要求1所述的方法，其中，所述一组发现传感器中的每个发现传感器是可插 发现传感器。7. 如权利要求1所述的方法，其中，所述资产管理系统确定识别出的地址信息未包含 于所述资产仓库中，所述地址信息的识别发现所述网络内的所述特定计算设备。8. 如权利要求1所述的方法，还包括：将可插发现传感器添加到所述一组发现传感器 中。9. 如权利要求1所述的方法，还包括：将所述一组发现传感器中的一个可插发现传感 器用另一可插发现传感器来代替。10. 如权利要求1所述的方法，其中，所述一组发现传感器包括基于事件的可插发现传 感器，其适于根据描述由所述网络上的事件管理服务所识别的所述网络中的事件的事件记 录数据来识别所述网络上的计算设备的地址信息。11. 如权利要求10所述的方法，其中，所述基于事件的可插发现传感器适于访问动态 主机配置协议（DHCP)服务器事件、活动目录审核事件、防火墙事件和防入侵系统（IPS)事 件中的至少一个的事件记录数据。12. 如权利要求1所述的方法，其中，所述一组发现传感器包括潜伏型可插发现传感 器，其适于根据由被动型可插发现传感器所监控的网络业务来识别所述网络上的计算设备 的地址信息。13. 如权利要求12所述的方法，其中，所述潜伏型可插发现传感器适于监控所述网络 业务中的NetBIOS广播分组、互联网控制消息协议版本6 (ICMPv6)网络业务以及经由端口 镜像的网络业务中的至少一项。14. 如权利要求1所述的方法，其中，所述一组发现传感器包括间接型可插发现传感 器，其适于查询所述网络的服务以获取包括所述网络内的计算设备的地址信息的数据...

【专利技术属性】
技术研发人员：J·M·于加尔四世，R·基尔，J·C·雷贝洛，O·阿尔金，S·施雷克，
申请(专利权)人：迈克菲公司，
类型：发明
国别省市：美国;US