【技术实现步骤摘要】
【国外来华专利技术】通过选择性地并置主机计算机上的应用来减少攻击面
[0001]本专利技术一般涉及网络和系统安全,尤其涉及通过在同一主机计算机上选择性地并置(collocate)具有相似的系统资源利用足迹的一组应用来减少主机计算机上的攻击面(attack surface)。
技术介绍
[0002]网络安全包括用于防止和监视对计算机网络和网络可访问资源的未授权访问、误用、修改或拒绝的策略和实践。网络安全包括对计算机网络及其资源的访问的授权。例如,在网络用户通过认证时,防火墙可以实施定义允许网络用户访问什么资源的规则和策略。
[0003]然而,攻击者(即,未授权用户)可能利用与目标主机计算机对应的一个或多个系统资源来绕过网络安全并执行攻击。这样的系统资源可以包括例如应用中的代码或共享资源(诸如库)或系统堆栈(诸如操作系统)。此外,攻击者可以利用可达网络资产(诸如应用编程接口端点和服务等)来执行横向移动攻击。攻击者还可以对包含特权用户帐户和/或应用的目标主机计算机执行特权提升攻击。特权提升攻击是一种网络入侵,其利用编程错误或设计缺陷来授予攻击...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于通过在主机计算机上选择性地并置应用来减少攻击面的方法,所述方法包括:测量由在数据处理环境的多个主机计算机中运行的每个应用所利用的系统资源;确定在所述多个主机计算机中运行的哪些应用利用相似的系统资源;以及将利用相似的系统资源的这些应用并置在相应的主机计算机上。2.根据权利要求1所述的方法,还包括:确定未被在所述多个主机计算机中的一组主机计算机上运行的驻留应用利用的未使用的系统资源;以及移除与所述一组主机计算机中的每个相应主机计算机对应的未使用的系统资源,以减少所述数据处理环境中的攻击面。3.根据权利要求1或权利要求2所述的方法,还包括:在所述数据处理环境中的所述多个主机计算机上执行引导操作;将应用放置在所述多个主机计算机上;剖析在所述多个主机计算机上运行的所述应用以获得每个相应应用的系统资源利用足迹,其中系统资源利用足迹识别在主机计算机上运行的特定应用使用系统资源的模式;以及基于对所述应用的所述剖析来识别具有相似的系统资源利用足迹的多个不同应用集合。4.根据权利要求1所述的方法,还包括:获得与所述多个主机计算机中的每个相应主机计算机对应的系统资源的列表;识别与每个相应主机计算机对应的系统资源的列表中正由正在运行的驻留应用利用的一组已使用的系统资源;以及通过从与每个相应主机计算机对应的系统资源的列表中减去所述一组已使用的系统资源,确定与每个相应主机计算机对应的一组未使用的系统资源。5.根据权利要求1所述的方法,还包括:基于在特定主机计算机上放置具有相似的系统资源利用足迹的特定应用集合以及移除与运行该特定应用集合的该特定主机计算机对应的所确定的一组未使用的系统资源,确定每个相应主机计算机中的最大的攻击面减少量;将具有相似的系统资源利用足迹的每个相应应用集合分配给具有所确定的最大的攻击面减少量的指定主机计算机;以及将具有相似的系统资源利用足迹的每个相应应用集合放置在所述数据处理环境中的其被分配的主机计算机上。6.根据权利要求1所述的方法,还包括:将新应用放置在服务器上;剖析所述新应用以确定所述新应用的系统资源利用足迹;获得所述多个主机计算机中的每个相应主机计算机的系统资源可用性;基于所述新应用的所述系统资源利用足迹,识别具有用于运行所述新应用的可用系统资源的任何主机计算机;以及确定是否有任何主机计算机具有可用系统资源来运行所述新应用。
7.根据权利要求6所述的方法,还包括:响应于确定所述多个主机计算机中的一组主机计算机具有可用于运行所述新应用的系统资源,将所述新应用分配到所述组中具有带有与所述新应用相似的资源利用足迹的一个或多个正在运行的驻留应用的主机计算机;以及将所述新应用放置在具有带有与所述新应用相似的资源利用足迹的一个或多个正在运行的驻留应用的该主机计算机上。8.根据权利要求6所述的方法,还包括:响应于确定所述多个主机计算机中没有主机计算机具有用于运行所述新应用的可用系统资源,选择所述多个主机计算机中具有最少数量的正在运行的驻留应用的主机计算机;将驻留应用从所选择的主机计算机迁移到所述服务器;将所选择的主机计算机重置至初始默认状态以形成重置主机计算机;将先前从所选择的主机计算机迁移的应用从所述服务器迁移回所述重置主机计算机;将所述新应用放置在所述重置主机计算机上;以及移除未被所述重置主机计算机上的正在运行的驻留应用利用的系统资源,以减少所述重置主机计算机上的攻击面。9.根据权利要求1所述的方法,还包括:响应于确定定义的时间间隔期满,获得与包括在所监视的数据处理环境中的多个主机计算机中的每个主机计算机对应的可用系统资源的列表;获得在所述多个主机计算机中的每个主机计算机上运行的驻留应用的系统资源利用率;基于与每个相应主机计算机对应的可用系统资源的列表以及在每个相应主机计算机上运行的驻留应用的系统资源利用率,确定在任何主机系统上是否存在未使用的系统资源;以及响应于确定未使用的系统资源确实存在于一个或多个主机系统上,移除存在于所述一个或多个主机系统上的所述未使用的系统资源,以减少所述数据处理环境中的这些主机系统的攻击面。10.根据权利要求1所述的方法,还包括:识别并分析所述多个主机计算机中的所有可能的应用和主机计算机组合;以及选择应用并置指派,其中所述多个主机计算机中的所有未使用资源的集合的总和最大,以使得所述多个主机计算机中的所有主机计算机上的未使用资源的减少最大化。11.根据权利要求1所述的方法,其中,所述并置包括从第一客户端主机计算机移除应用并且在第二客户端主机计算机上安装应用。12.根据权利要求1所述的方法,其中,所述系统资源包括运行时环境,所述运行时环境包括主机计算机资源和网络资源,并且其中所述主机计算机资源和网络资源是从由库、内核系统调用、内核子系统、管理程序、网络服务、互联网协议地址、端口号、具有提升的访问权限的敏感网络用户账户和具有提升的访问权限的敏感网络应用所组成的组中选择的。13.根据权利要求1所述的方法,其中,所述数据处理环境是由集群和云环境组成的组中的一个。
14.一种用于通过在主机计算机上选择性地并置应用来减少攻击面的计算机系统,所述计算机系统包括:总线系统;连接到所述总线系统的存储设备,其中所述存储设备存储程序指令;以及处理器,所述处理器连接到所述总线系统,其中所述处理器执行所述程序指令以:测量由在数据处理环境的多个...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。