使用库存规则来识别计算机网络设备的系统及方法技术方案

本发明专利技术涉及一种使用库存规则来识别计算机网络设备的方法，其包括跨计算机网络的一个或多个通信链路拦截数据业务。分析所拦截的数据业务以确定所拦截的数据业务是否满足多个库存规则中的一个以上库存规则。多个库存规则中的每一个均包括一个或多个条件，该一个或多个条件指示存在具有一组参数的特定计算机网络设备。使用一个或多个所满足的库存规则来识别计算机网络设备。

【技术实现步骤摘要】
使用库存规则来识别计算机网络设备的系统及方法
本公开涉及计算机联网领域，更具体地涉及使用库存规则来识别计算机网络设备的系统和方法。
技术介绍
当今世界，大规模使用诸如桌面型和便携式个人计算机以及智能电话、平板型计算机和其他移动设备等计算机设备，各种类型的计算机威胁已经日益普遍。计算机威胁的实例包括网络蠕虫、特洛伊木马程序、键盘侧录程序、勒索软件、计算机病毒和计算机攻击。计算机攻击可进一步分类为针对赛博物理系统(CyberPhysicalSystem-CPS)和信息系统的定向攻击(又称为目标攻击-TA)和复杂攻击(高级持续性威胁-APT)。信息系统是计算设备和用于它们互连的通信设备的集合体，又称为企业基础设施。黑客可能具有各种各样的目标，从简单地窃取员工的个人数据到工业间谍活动。黑客常常获得有关企业网络架构、内部文件流原理、用于保护网络和计算机设备的手段的信息或信息系统专用的任何其他信息。这类信息允许黑客绕过现有的防御手段，而这些防御手段时常缺乏足够的灵活性来满足信息系统的所有需求。现代计算机网络(尤其是CPS网络)通常包括多个设备，即控制器、传感器、执行器和其他网络节点。许多设备可能使用过时软件，其中包含已知的漏洞。考虑到存在各种复杂且至少部分过时的技术设备，为这类设备更新软件的进程需要大量时间和资源。至少在某些情形下，由于制造方停止支持，甚至可能无法更新这类过时软件。因而，为了保证CPS网络的安全性，可能有必要创建网络设备的库存，以便在诸如网关级的更高级上搜索和消除计算机设备的漏洞。本文采用的术语“设备库存”或简称“库存”泛指连接到网络的设备的标识以及这些设备的属性/参数(包括但不限于操作系统的版本、固件、软件等)。另外，设备库存为网络管理员提供有关网络正使用的设备和网络服务的完整又准确的数据，目的是确保网络安全。现有技术中存在至少两种公知的生成计算机网络库存的方法。第一种方法称为网络扫描，与网络对象进行主动网络交互。但这种方法涉及到中断设备(例如CPS控制器-PLC)运行进程的风险。在本例中，PLC可能从控制设备和传感器接收到有关控制客体状态的信息。响应于接收到该信息，PLC可以作用于执行器。PLC未编程为与其他网络对象相交互。因而，从系统接收到库存请求后，PLC执行指令可能受到中断，并且可能需要操作者干预才能重启PLC或更新其固件。第二种方法称为被动分析网络业务以收集有关CPS设备的信息，它解决了主动(网络扫描)分析中固有的风险。但该方法也具有若干缺点，诸如确定CPS网络设备属性的水平较低。有鉴于此，需要更有效地识别计算机网络设备和/或识别和确定设备属性/参数。
技术实现思路
本公开的各方面涉及计算机网络领域。本公开的各方面设计为使用库存规则来识别网络设备并识别/确定与所识别的网络设备相关联的参数。本公开的技术效果是更有效地识别网络设备。在某一示例性方面，一种使用库存规则来识别计算机网络设备的方法包括跨计算机网络的一个或多个通信链路拦截数据业务。分析所拦截的数据业务以确定所拦截的数据业务是否满足多个库存规则中的一个以上库存规则。多个库存规则中的每一个均包括一个或多个条件，该一个或多个条件指示存在具有一组参数的特定计算机网络设备。使用一个或多个所满足的库存规则来识别计算机网络设备。在某一方面，所述多个库存规则中的每一个均具有加权因子值，该加权因子值指示应用相应规则的优先级。该加权因子值取决于先前识别的设备。在某一方面，分析多个库存规则以确定是否满足多个库存规则中的一个以上库存规则进一步包括：在多个数据包的报头部分和有效载荷部分中的至少一个中搜索与包含在多个库存规则中的相应参数值相匹配的值。在某一方面，所述一组参数包括以下至少一项：设备标识符，设备名称，设备型号，设备类型，设备安全状态，设备制造方，协议，相应设备上所安装的操作系统的一个或多个特征，相应设备上所安装的软件程序的一个或多个特征。在某一方面，所述多个库存规则至少包括：i)卖方规则，其列出与多个设备中的每一个相关联的一个或多个网络地址；ii)资产规则，其配置为搜索标识一个或多个设备以及与之相关联的一个或多个参数的数字签名；iii)协议规则，其配置为搜索数字签名以识别所拦截的数据业务正使用的一个或多个网络协议；iv)指纹规则，其配置为使用数字指纹来确定一个或多个设备参数。在某一方面，如果一个设备参数已被至少两个不同的库存规则识别，则选择具有最大加权因子值的库存规则以便进行设备识别。附图说明附图并入本说明书并构成本说明书的一部分，图中示出本公开的一个或多个实施方面，附图结合下文的具体实施方式来阐释这些实例方面的原理和实施方式。图1a示意性示出可实施本专利技术各方面的技术系统的实例。图1b示意性示出可实施本专利技术各方面的技术系统的具体实例。图2示出根据本公开各方面所述的使用库存规则来识别计算机网络设备的系统的图示。图3示出根据本公开各方面所述的使用库存规则来识别计算机网络设备的方法的流程图。图4示出通用计算机系统的实例。具体实施方式本文在使用库存规则来识别计算机网络设备的系统、方法和计算机程序产品的背景下描述各示例性方面。本领域普通技术人员应认识到，下述内容仅为说明性，而非旨在限制性意义。鉴于本公开，本领域技术人员很容易获得其他方面的启示。现参照附图详述各实例方面的具体实施方式。在全部附图和下述内容中，尽量使用相同的附图标记来指代相同或相似的项目。现将介绍描述本公开各方面时使用的许多定义和概念。术语“妥协指标(IOC)”，又称为“感染指标”，是指入侵信息系统且可在计算机或网络上观察到的伪影或残留特征。典型的妥协指示可能包括已触发杀毒记录、未知的因特网协议(IP)地址、可疑文件的校验和、可疑网站的统一资源定位符(URL)、僵尸网络命令中心的域名等。妥协指标存在许多标准，包括但不限于：OpenIOC(https://www.fireeye.com/blog/threat-research/2013/09/history-openioc.html)，STIX(https://stix.mitre.org/)，CybOX(https://cybox.mitre.org)，等等。术语“信息系统安全体系中的事件”(下文简称为事件)是指检测到的系统状态、服务或网络状态指示可能违反信息系统安全策略、违反监控手段和措施或其失效或者事先未知的信息系统安全相关情况。术语“信息安全事故”(下文简称为事故)是指一个或多个可能危害商务运营并威胁信息系统安全的非期望或非预期事件。术语“控制客体”是指为了改变这种技术客体的状态而受外部作用(控制和/或扰动)的技术客体。一方面，这类控制客体可以包括设备(例如电动机)或技术过程(或其一部分)。术语“技术过程(TP)”是指物料生产过程，由物料实体(工作对象)的顺序状态变化组成。术语“技术过程控制(过程控制)”是指最终产品生产期间用于本文档来自技高网...

【技术保护点】
1.一种使用库存规则来识别计算机网络设备的方法，所述方法包括：/n跨计算机网络的一个或多个通信链路拦截数据业务；/n分析所拦截的数据业务以确定所拦截的数据业务是否满足多个库存规则中的一个以上库存规则，其中，所述多个库存规则中的每一个均包括一个或多个条件，所述一个或多个条件指示存在具有一组参数的特定计算机网络设备；以及/n使用一个或多个所满足的库存规则来识别所述计算机网络的一个或多个设备。/n

【技术特征摘要】
20190930 RU 2019130602;20200319 US 16/823,5411.一种使用库存规则来识别计算机网络设备的方法，所述方法包括：
跨计算机网络的一个或多个通信链路拦截数据业务；
分析所拦截的数据业务以确定所拦截的数据业务是否满足多个库存规则中的一个以上库存规则，其中，所述多个库存规则中的每一个均包括一个或多个条件，所述一个或多个条件指示存在具有一组参数的特定计算机网络设备；以及
使用一个或多个所满足的库存规则来识别所述计算机网络的一个或多个设备。


2.根据权利要求1所述的方法，其中，所述多个库存规则中的每一个均具有加权因子值，所述加权因子值指示应用相应规则的优先级。


3.根据权利要求2所述的方法，其中，所述加权因子值取决于先前识别的设备。


4.根据权利要求3所述的方法，其中，分析所述多个库存规则以确定是否满足所述多个库存规则中的一个以上库存规则进一步包括：在多个数据包的报头部分和有效载荷部分中的至少一个中搜索与包含在所述多个库存规则中的相应参数值相匹配的值。


5.根据权利要求1所述的方法，其中，所述一组参数包括以下至少一项：设备标识符，设备名称，设备型号，设备类型，设备安全状态，设备制造方，协议，相应设备上所安装的操作系统的一个或多个特征，相应设备上所安装的软件程序的一个或多个特征。


6.根据权利要求1所述的方法，其中，所述多个库存规则至少包括：i)卖方规则，其列出与所述多个设备中的每一个相关联的一个或多个网络地址；ii)资产规则，其配置为搜索标识一个或多个设备以及与之相关联的一个或多个参数的数字签名；iii)协议规则，其配置为搜索所述数字签名以识别所拦截的数据业务正使用的一个或多个网络协议；iv)指纹规则，其配置为使用数字指纹来确定一个或多个设备参数。


7.根据权利要求2所述的方法，其中，如果一个设备参数已被至少两个不同的库存规则识别，则选择具有最大加权因子值的库存规则以便进行设备识别。


8.一种使用库存规则来识别计算机网络设备的系统，所述系统包括：
硬件处理器，其配置为：
跨计算机网络的一个或多个通信链路拦截数据业务；
分析所拦截的数据业务以确定所拦截的数据业务是否满足多个库存规则中的一个以上库存规则，其中，所述多个库存规则中的每一个均包括一个或多个条件，所述一个或多个条件指示存在具有一组参数的特定计算机网络设备；以及
使用一个或多个所满足的库存规则来识别所述计算机网络的一个或多个设备。


9.根据权利要求8所述的系统，其中，所述多个库存规则中的每一个均具有加权因子值，所述加权因子值指示应用相应规则的优先级。


10.根据权利要求9所述的系统，其中，所述加权因子值取决于先前识别的设备。


11.根据权利要求10所述的系统，其中，所述硬件处理器配置为分析所述多个库存规则以确定是否...

【专利技术属性】
技术研发人员：叶夫根尼·E·普鲁苏，安德烈·A·基留欣，德米特里·N·萨塔尼，德米特里·S·鲁奇安，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：俄罗斯;RU