網(wǎng)絡(luò)地址儲存庫管理的制作方法
【專利摘要】使用執(zhí)行第一發(fā)現(xiàn)任務(wù)的第一被動發(fā)現(xiàn)傳感器來識別網(wǎng)絡(luò)中的特定計算裝置的第一因特網(wǎng)協(xié)議版本6(IPv6)地址����。使用第一IPv6地址使得第二發(fā)現(xiàn)任務(wù)將要被執(zhí)行���,并且從第二發(fā)現(xiàn)任務(wù)的結(jié)果識別特定計算裝置的屬性��。將特定裝置的第一IPv6地址和屬性添加到維持網(wǎng)絡(luò)中的所檢測的IPv6地址的記錄的儲存庫中����。在一些實例中�,第一被動發(fā)現(xiàn)傳感器可以是基于事件的發(fā)現(xiàn)傳感器、延遲型發(fā)現(xiàn)傳感器以及間接型發(fā)現(xiàn)傳感器中的一個�����。
【專利說明】網(wǎng)絡(luò)地址儲存庫管理
【技術(shù)領(lǐng)域】
[0001]本公開通常涉及計算安全領(lǐng)域,并且更特別地���,涉及網(wǎng)絡(luò)發(fā)現(xiàn)和安全���。
【背景技術(shù)】
[0002]現(xiàn)代網(wǎng)絡(luò)中的安全管理可以包括相對于網(wǎng)絡(luò)中的裝置指派和實施安全策略。實施安全策略可以包括網(wǎng)絡(luò)上的裝置的識別或在網(wǎng)絡(luò)上的裝置的識別之后進(jìn)行���。地址掃視和因特網(wǎng)包探索(Ping)掃視被用來發(fā)現(xiàn)網(wǎng)絡(luò)裝置��。這樣的技術(shù)包括人用戶手動配置一個或多個范圍的網(wǎng)絡(luò)地址(例如因特網(wǎng)協(xié)議(“IP”)地址)��,然后要求軟件“掃視”或“探測”規(guī)定范圍中的每個地址以便發(fā)現(xiàn)生存的裝置��。這樣的掃視可以產(chǎn)生指示特定地址是否在使用的結(jié)果����,其暗示在那個地址的網(wǎng)絡(luò)裝置的存在�。在采用因特網(wǎng)協(xié)議版本4 (“IPv4”)尋址的網(wǎng)絡(luò)中�,這樣的非理性的強(qiáng)迫掃描可用于用合理的時間量掃描廣闊的地址范圍中的每個地址(包括所有可能的IPv4地址)。
【專利附圖】
【附圖說明】
[0003]圖1是根據(jù)至少一個實施例的包括多個資產(chǎn)和系統(tǒng)實體的示例計算系統(tǒng)的簡化示意圖�����;
圖2是根據(jù)至少一個實施例的結(jié)合一個或多個網(wǎng)絡(luò)操作的包括資產(chǎn)管理系統(tǒng)和一個或多個資產(chǎn)檢測引擎的示例計算系統(tǒng)的簡化框圖;
圖3是根據(jù)至少一個實施例圖示示例系統(tǒng)的示例資產(chǎn)儲存庫的簡化組織圖�����;
圖4根據(jù)至少一個實施例與示例資產(chǎn)管理系統(tǒng)通信的示例可擴(kuò)大資產(chǎn)檢測引擎的簡化框圖�����;
圖5是根據(jù)至少一個實施例圖示示例系統(tǒng)的兩個或者更多網(wǎng)絡(luò)中的資產(chǎn)檢測引擎和掃描引擎的部署的簡化框圖�;
圖6A-6H是根據(jù)至少一個實施例的圖示包括示例資產(chǎn)檢測引擎的示例操作的簡化框圖;
圖7A-7C是根據(jù)至少一個實施例圖示用于管理一個或多個網(wǎng)絡(luò)中的資產(chǎn)的示例技術(shù)的簡化流程圖���。
[0004]各圖中的類似參考標(biāo)號和名稱指示類似元件�����。
【具體實施方式】
[0005]概觀
一般而言�,在本說明書中所描述的主題的一個方面可以實現(xiàn)在包含使用執(zhí)行第一發(fā)現(xiàn)任務(wù)的第一被動發(fā)現(xiàn)傳感器來識別網(wǎng)絡(luò)內(nèi)的特定計算裝置的第一因特網(wǎng)協(xié)議版本6(IPv6)地址的動作的方法中��?��?梢允褂玫谝?IPv6地址使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行�,并且可以從第二發(fā)現(xiàn)任務(wù)的結(jié)果識別特定計算裝置的屬性。特定裝置的第一 IPv6地址和屬性可以添加到維持網(wǎng)絡(luò)內(nèi)的所檢測到的IPv6地址的記錄的儲存庫�����。
[0006]在本說明書中所描述的主題的另一一般方面可以實現(xiàn)在包括至少一個處理器裝置����、至少一個存儲器元件和資產(chǎn)管理系統(tǒng)的系統(tǒng)中。當(dāng)由至少一個處理器裝置運(yùn)行時�����,資產(chǎn)管理系統(tǒng)可以適配成使用執(zhí)行第一發(fā)現(xiàn)任務(wù)的第一被動發(fā)現(xiàn)傳感器來識別網(wǎng)絡(luò)內(nèi)的特定計算裝置的第一 IPv6地址�,使用第一 IPv6地址使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行,以及從第二發(fā)現(xiàn)任務(wù)的結(jié)果來識別特定計算裝置的屬性���。資產(chǎn)管理系統(tǒng)還可以將特定裝置的第一 IPv6地址和屬性添加到維持網(wǎng)絡(luò)內(nèi)的所檢測到的IPv6地址的記錄的儲存庫�����。
[0007]這些和其它實施例每個可以可選地包括一個或多個下列特征���。可以根據(jù)預(yù)定發(fā)現(xiàn)任務(wù)序列執(zhí)行第二發(fā)現(xiàn)任務(wù)���,并且第二發(fā)現(xiàn)任務(wù)可以在序列中在第一發(fā)現(xiàn)任務(wù)之后��?�?梢皂憫?yīng)于使用第一發(fā)現(xiàn)任務(wù)的IPv6地址的識別而在序列中執(zhí)行第二發(fā)現(xiàn)任務(wù)���。第二發(fā)現(xiàn)任務(wù)可以是由主動發(fā)現(xiàn)傳感器執(zhí)行的主動發(fā)現(xiàn)任務(wù),并且第二發(fā)現(xiàn)任務(wù)可以包括發(fā)送數(shù)據(jù)到第一 IPv6地址處的特定計算裝置并且監(jiān)測特定計算裝置對所發(fā)送的數(shù)據(jù)的響應(yīng)��。屬性可以包括特定計算裝置的另一地址�����。其它的地址可以具有除IPv6以外的類型���。其它的地址可用于確定特定計算裝置的第二 IPv6地址�����。其它的地址可以是特定計算裝置的域名服務(wù)(DNS)名稱,第二發(fā)現(xiàn)任務(wù)可以包括使用第一 IPv6地址的反向DNS查詢��,并且可以從使用該DNS名稱的DNS查詢確定第二 IPv6地址�����?���?梢源_定特定計算裝置是否已經(jīng)在儲存庫中識別,并且可以響應(yīng)于確定在第一 IPv6地址的識別以前特定計算裝置是網(wǎng)絡(luò)上的未被發(fā)現(xiàn)的計算裝置來執(zhí)行第二發(fā)現(xiàn)任務(wù)�����。
[0008]另外�����,這些和其它實施例每個還可可選地包括一個或多個下列特征��。第一發(fā)現(xiàn)任務(wù)可以是從描述由網(wǎng)絡(luò)上的事件管理服務(wù)識別的網(wǎng)絡(luò)中的事件的事件記錄數(shù)據(jù)而識別IPv6地址的基于事件的發(fā)現(xiàn)任務(wù)�����,并且第一被動發(fā)現(xiàn)傳感器可以適配成訪問動態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器事件��、主動發(fā)現(xiàn)審計事件�����、防火墻事件、入侵防止系統(tǒng)(IPS)事件以及其它示例中的至少一個的事件記錄數(shù)據(jù)�����。第一發(fā)現(xiàn)任務(wù)可以是從由第一被動發(fā)現(xiàn)傳感器所監(jiān)測的網(wǎng)絡(luò)業(yè)務(wù)識別IPv6地址的延遲型發(fā)現(xiàn)任務(wù)����,并且第一被動發(fā)現(xiàn)傳感器可以適配成監(jiān)測網(wǎng)絡(luò)業(yè)務(wù)中的NetB1S廣播包����、因特網(wǎng)控制消息協(xié)議版本6 (ICMPv6)網(wǎng)絡(luò)業(yè)務(wù)、經(jīng)由端口鏡像的網(wǎng)絡(luò)業(yè)務(wù)以及其它示例中的至少一個�。第一發(fā)現(xiàn)任務(wù)可以是從查詢遠(yuǎn)離特定計算裝置而寄宿的網(wǎng)絡(luò)的網(wǎng)絡(luò)服務(wù)的記錄而識別IPv6地址的間接型發(fā)現(xiàn)任務(wù),并且第一被動發(fā)現(xiàn)傳感器可以適配成查詢簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)管理信息庫(MIB)�����、查詢DHCP數(shù)據(jù)庫����、查詢MAC地址表、發(fā)出關(guān)于網(wǎng)絡(luò)中的另一計算裝置的網(wǎng)絡(luò)開始(netstat)命令以及其它示例��。第一被動發(fā)現(xiàn)傳感器可以是結(jié)合部署在網(wǎng)絡(luò)中的一個或多個資產(chǎn)檢測引擎使用的特定可插拔傳感器的實例�。每個資產(chǎn)檢測引擎可以包括來自包括可插拔主動發(fā)現(xiàn)傳感器、可插拔延遲發(fā)現(xiàn)傳感器、基于事件的發(fā)現(xiàn)傳感器以及間接發(fā)現(xiàn)傳感器的集合中的兩個或者更多個可插拔傳感器�。第一被動發(fā)現(xiàn)傳感器可以是包括在特定資產(chǎn)檢測引擎上的可插拔傳感器,第二發(fā)現(xiàn)任務(wù)可以由包括在特定資產(chǎn)檢測引擎上的第二可插拔發(fā)現(xiàn)傳感器執(zhí)行����,并且第二發(fā)現(xiàn)傳感器可以具有不同于第一發(fā)現(xiàn)傳感器的類型。弓I起第二發(fā)現(xiàn)任務(wù)被執(zhí)行可以包括識別適配成執(zhí)行第二發(fā)現(xiàn)任務(wù)的特定發(fā)現(xiàn)傳感器并且調(diào)用該特定發(fā)現(xiàn)傳感器來使用第一 IPv6地址執(zhí)行第二發(fā)現(xiàn)任務(wù)����。
[0009]這些特征中的一些或全部可以是計算機(jī)實現(xiàn)的方法或還包含在相應(yīng)系統(tǒng)或用于執(zhí)行該所描述的功能性的其它裝置中。這些和本公開的其它特征����、方面以及實現(xiàn)的細(xì)節(jié)在附圖和以下描述中闡述。本公開的其它特征�����、目標(biāo)和優(yōu)點從描述和圖以及從權(quán)利要求將是明顯的�。
[0010]示例實施例
圖1是圖示包括多個系統(tǒng)實體的計算環(huán)境的示例實現(xiàn)的簡化框圖100,這些系統(tǒng)實體包括網(wǎng)絡(luò)(例如�,110、115)��、網(wǎng)絡(luò)中的系統(tǒng)裝置(B卩��,計算裝置(例如,120���、125���、130、135���、140、145�、150、155����、160、165)���、包括端點裝置���、網(wǎng)絡(luò)元件(例如路由器、交換機(jī)����、防火墻)�、以及在網(wǎng)絡(luò)上通信或便于網(wǎng)絡(luò)的其它裝置(例如�����,110���、115)�����、由網(wǎng)絡(luò)上的各種系統(tǒng)服務(wù)�����、寄宿���、安裝、加載或以其它方式使用的應(yīng)用和其它軟件程序和服務(wù)(例如�����,170����、172�、174��、175����、176、178��、180����、182),以及已知使用計算環(huán)境及其組成系統(tǒng)和應(yīng)用的人(例如�����,184�����、185��、186���、188)���。
[0011]在實踐中,包括在網(wǎng)絡(luò)中的端點裝置�����、網(wǎng)絡(luò)元件以及其它計算裝置(或“系統(tǒng)型系統(tǒng)實體”)可以與網(wǎng)絡(luò)上的其它裝置通信和/或便于這些其它裝置之間的通信���。例如���,端點裝置(例如,120�、125、130��、140��、150)可以向使用計算環(huán)境的人(例如�����,184�����、185、186��、188)提供與由網(wǎng)絡(luò)(例如���,110)和系統(tǒng)內(nèi)的其它網(wǎng)絡(luò)(例如��,115)�����、因特網(wǎng)190以及其它網(wǎng)絡(luò)上的計算裝置所寄宿的各種資源交互并消費(fèi)這些資源的接口��。另外����,一些端點裝置(例如�,120���、140��、150)還可以寄宿有可以由用戶(例如���,184��、185�、186�����、188)在相應(yīng)端點在本地消費(fèi)以及提供服務(wù)到網(wǎng)絡(luò)(例如���,110�����、115)上的其它裝置的應(yīng)用和其它軟件資源(例如���,170、174��、176)���。網(wǎng)絡(luò)110�、115上的其它裝置(例如����,135�����、145�、155�����、160���、165)還可以將軟件資源(即�����,應(yīng)用(例如���,172、175��、178�、180�����、182))提供服務(wù)到一個或多個客戶端(包括其它服務(wù)器)用于消費(fèi)。作為示例���,這樣的軟件資源可以包括數(shù)據(jù)庫���、網(wǎng)頁、環(huán)球網(wǎng)(web)應(yīng)用��、軟件應(yīng)用和其它程序���、虛擬機(jī)���、企業(yè)資源規(guī)劃、文檔管理系統(tǒng)�����、郵件服務(wù)器以及其它軟件資源�。
[0012]在特定計算環(huán)境中的“系統(tǒng)實體”(也被稱作“資產(chǎn)”)可以在一個或多個安全上下文中被定義為包括計算環(huán)境內(nèi)的(或參與計算環(huán)境的)“網(wǎng)絡(luò)型實體”、“系統(tǒng)型實體”����、“應(yīng)用型實體”以及“人型實體”。“人型實體”代表使用計算環(huán)境的個人���,在此示例中���,可以認(rèn)為系統(tǒng)實體以及網(wǎng)絡(luò)型實體、系統(tǒng)型實體和應(yīng)用型實體可以不同于在計算環(huán)境中所識別的用戶�����。人可以與系統(tǒng)中的一個或多個用戶賬戶或特定用戶標(biāo)識符關(guān)聯(lián)或者由其定義。然而,用戶并不總是準(zhǔn)確地映射到使用該計算環(huán)境的實際的人���。例如�,單個人可以具有(或有權(quán)訪問)系統(tǒng)中的多個用戶名或用戶賬戶。此外��,一些人可能并不具有注冊的用戶名或用戶賬戶�。然而,當(dāng)對特定人的使用愛好或?qū)傩粤可矶ㄗ霭踩舷挛臅r����,人的實際身份可能比由計算環(huán)境中的人所使用的用戶簡檔、用戶名或化名更加相關(guān)�����。
[0013]在一些示例中�,可以向資產(chǎn)管理系統(tǒng)105提供能力來發(fā)現(xiàn)和維持計算環(huán)境中的各種系統(tǒng)實體的記錄,以及指派安全策略到各種系統(tǒng)實體和使得安全策略被遍及計算環(huán)境實施�����。還可發(fā)現(xiàn)所發(fā)現(xiàn)的系統(tǒng)實體的屬性(包括系統(tǒng)實體的標(biāo)識符)���。例如��,可以對于計算環(huán)境內(nèi)的各種系統(tǒng)和網(wǎng)絡(luò)發(fā)現(xiàn)IP地址和IP地址范圍��。另外���,利用現(xiàn)代網(wǎng)絡(luò)中的因特網(wǎng)協(xié)議版本6 (“IPv6”)尋址的到來和部署,IP地址的大小被設(shè)計為從(IPv4中的)32位增加到IPv6下的128位���。因此��,盡管IPv4提供了 232 (4��,294�����,967���,296)個可能的地址的可管理地址空間��,但是IPv6的128位地址允許2128 (近似340乘1000的12次冪或3.4xl038)個地址的地址空間����。為了將IPv6地址空間的大小放入上下文���,如果對于“生存”地址的IPv6地址空間中的每個地址的非理性強(qiáng)迫掃描可以到達(dá)每地址單個皮秒的速率�,則仍然會花費(fèi)
10.78X10'19年來掃描整個IPv6空間����。采用IPv6尋址因此可以顯著地復(fù)雜化映射網(wǎng)絡(luò)中的裝置以及監(jiān)測網(wǎng)絡(luò)的相應(yīng)裝置的安全和其它活動的努力。因此���,資產(chǎn)管理系統(tǒng)105可以采用技術(shù)來更有效率地識別活動IPv6地址從而允許采用IPv6的網(wǎng)絡(luò)的更有目標(biāo)的分析���。另外,除能夠發(fā)現(xiàn)計算環(huán)境中的裝置和網(wǎng)絡(luò)元件的IPv6地址和其它地址信息以外�,資產(chǎn)管理系統(tǒng)105還可以管理發(fā)現(xiàn)技術(shù)�����,從而允許附加的屬性信息(例如裝置的操作系統(tǒng)���、裝置所使用的端口�����、裝置所采用的協(xié)議等等)的發(fā)現(xiàn)���。從裝置級���,可以發(fā)現(xiàn)附加的信息(包括其它系統(tǒng)實體分層填塞),從系統(tǒng)級���,可以發(fā)現(xiàn)例如由裝置所寄宿的個別應(yīng)用和使用裝置的個人��。
[0014]資產(chǎn)管理系統(tǒng)105的實現(xiàn)可以利用各種系統(tǒng)實體的屬性來將實體分組為系統(tǒng)實體的一個或多個邏輯分組��。另外�����,資產(chǎn)管理系統(tǒng)105可以識別各種安全策略并向分組指派各種安全策略���。這樣的邏輯分組可以根據(jù)由特定計算環(huán)境中的系統(tǒng)實體所共享的屬性或名稱來將不同的系統(tǒng)實體分組在一起����。向分組指派的安全策略可以對應(yīng)于或針對分組中所包括的系統(tǒng)實體的共享屬性和特性��。例如����,系統(tǒng)的分組可以在系統(tǒng)儲存庫內(nèi)標(biāo)記為“關(guān)鍵系統(tǒng)”。因此����,被識別為關(guān)鍵的那些系統(tǒng)可以具有應(yīng)用于它們的安全策略的公共集合(例如,根據(jù)計算環(huán)境內(nèi)的它們關(guān)鍵性)�。在另一示例中,網(wǎng)絡(luò)的分組可以根據(jù)特定網(wǎng)絡(luò)類型(例如DMZ網(wǎng)絡(luò)的分組)��、根據(jù)所關(guān)聯(lián)的地址(例如����,基于IP地址范圍、內(nèi)部和外部IP地址�、域名等)或根據(jù)所關(guān)聯(lián)的地理區(qū)域以及其它示例來識別����,并且這樣的分組可以對應(yīng)地標(biāo)記�����。還可以根據(jù)類型���、關(guān)鍵性、軟件提供商�、操作系統(tǒng)等將應(yīng)用標(biāo)記或分組。例如可以指派標(biāo)簽到應(yīng)用型實體來指示應(yīng)用是數(shù)據(jù)庫或數(shù)據(jù)庫的類型(例如��,產(chǎn)出數(shù)據(jù)庫�����、平臺數(shù)據(jù)庫等)���、web應(yīng)用���、中間件、web服務(wù)器以及許多其它示例��。另外,還可標(biāo)記人型實體���,例如以將人的這樣的個人屬性識別為他們在組織中的角色���、安全間隙、權(quán)限�����、辦公室����、地理位置、事業(yè)部等�����。此外�����,在一些示例中�����,系統(tǒng)實體可以強(qiáng)力地定型(例如,“網(wǎng)絡(luò)”��、“系統(tǒng)”��、“應(yīng)用”和“人”)�,并且系統(tǒng)實體的特定組可以限于系統(tǒng)實體的特定類型。在這樣的示例中�,應(yīng)用于分組的安全策略還可是類型特定的。在其它示例中��,分組和標(biāo)簽可以是“跨類型的”����,并且關(guān)聯(lián)的安全策略也可以是跨類型的���。例如����,特定分組可以包括一個或多個系統(tǒng)和一個或多個應(yīng)用和/或一個或多個人等�。
[0015]一般而言,“服務(wù)器”�、“客戶端”、“計算裝置”、“網(wǎng)絡(luò)元件”���、“主機(jī)”����、“系統(tǒng)型系統(tǒng)實體”以及“系統(tǒng)”(包括示例計算環(huán)境100中的計算裝置(例如�,105、120�、125、130�����、135�、140、145�、150、155��、160���、165����、195等))可以包括可操作來接收、傳送����、處理、存儲或管理與計算環(huán)境100關(guān)聯(lián)的數(shù)據(jù)和信息的電子計算裝置��。如此文檔中所使用的���,術(shù)語“計算機(jī)”����、“處理器”���、“處理器裝置”或“處理裝置”旨在包含任何合適的處理裝置����。例如�,在計算環(huán)境100中示出為單個裝置的元件可以使用多個裝置實現(xiàn)�����,例如����,包括多個服務(wù)器計算機(jī)的服務(wù)器池����。另外����,計算裝置中的任何、全部或一些可以適配成執(zhí)行任何操作系統(tǒng)��,包括Linux�、UNIX、Microsoft ffindows>Apple 0S�、Apple 1S、Google AndroicUWindows Server 等����,以及適配成虛擬化特定操作系統(tǒng)(包括定制和專有操作系統(tǒng))的執(zhí)行的虛擬機(jī)。
[0016]另外���,服務(wù)器�����、客戶端��、網(wǎng)絡(luò)元件�����、系統(tǒng)和計算裝置(例如����,105、120�����、125�、130、135�����、140�、145、150��、155��、160���、165����、195等)每個可以包括一個或多個處理器�、計算機(jī)可讀存儲器和一個或多個接口、以及其它特征和硬件��。服務(wù)器可以包括任何合適的軟件部件或模塊�����,或能夠寄宿和/或服務(wù)軟件應(yīng)用和服務(wù)的計算裝置(例如�,資產(chǎn)管理系統(tǒng)105、服務(wù)器(例如���,135�����、145���、155、160�����、165)的服務(wù)和應(yīng)用(例如,172����、175、178�、180、182)��,包括分布式����、企業(yè)或基于云的軟件應(yīng)用、數(shù)據(jù)以及服務(wù)���。例如�����,服務(wù)器可以配置為寄宿��、服務(wù)或以其它方式管理與其它服務(wù)和裝置交互�、協(xié)調(diào)或取決于其它服務(wù)和裝置或被其使用的模型和數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)集���、軟件服務(wù)和應(yīng)用。在一些實例中����,服務(wù)器、系統(tǒng)����、子系統(tǒng)或計算裝置可以實現(xiàn)為可以寄宿在公共計算系統(tǒng)、服務(wù)器��、服務(wù)器池或云計算環(huán)境并且共享計算資源(包括共享存儲器����、處理器和接口)的裝置的某個組合。
[0017]用戶��、端點或客戶端計算裝置(例如�,120、125����、140、150��、195)可以包括傳統(tǒng)的和移動計算裝置,包括個人計算機(jī)�、膝上計算機(jī)、平板計算機(jī)����、智能電話、個人數(shù)字助理����、功能電話、手持式視頻游戲控制臺����、臺式計算機(jī)、啟用因特網(wǎng)的電視以及設(shè)計為與人用戶對接和能夠通過一個或多個網(wǎng)絡(luò)(例如��,110�、115)與另外的裝置通信的其它裝置。用戶計算裝置的屬性以及計算裝置(例如����,105、120����、125�、130�����、135�����、140��、145�、150����、155、160��、165�、195 等)通常可以在不同裝置之間較大變化����,其包括被每個裝置加載、安裝、執(zhí)行��、操作或以其它方式可訪問的相應(yīng)操作系統(tǒng)和軟件程序的集合����。例如,計算裝置可以運(yùn)行�����、執(zhí)行�、已經(jīng)安裝了或以其它方式包括各種程序集,包括操作系統(tǒng)�����、應(yīng)用�����、插件�、小程序、虛擬機(jī)���、機(jī)器圖像����、驅(qū)動器、可執(zhí)行文件以及能夠被相應(yīng)裝置運(yùn)行�、執(zhí)行或以其它方式使用的其它基于軟件的程序的各種組合。
[0018]一些計算裝置(例如��,120���、125��、140、150����、195)還可以包含至少一個圖形顯示裝置和用戶接口從而允許用戶觀看在系統(tǒng)100中提供的應(yīng)用和其它程序的圖形用戶接口并且與其交互,其包括與寄宿在計算裝置中的應(yīng)用交互的程序的用戶接口和圖形表示以及與資產(chǎn)管理系統(tǒng)105關(guān)聯(lián)的圖形用戶接口���。此外��,盡管用戶計算裝置(例如�����,120��、125���、140����、150���、195)可以在被一個用戶使用方面進(jìn)行描述�����,但是本公開預(yù)期許多用戶可以使用一個計算機(jī)或一個用戶可以使用多個計算機(jī)�。
[0019]盡管圖1描述為包含多個元件或者與多個元件關(guān)聯(lián)���,但并不是圖1的計算環(huán)境100中所圖示的所有元件都可以在本公開的每個備選實現(xiàn)中利用�。此外�,結(jié)合圖1的示例描述的一個或多個元件可以位于計算環(huán)境100的外部,但是在其它實例中���,某些元件可以包含在一個或多個其它所描述的元件以及在所圖示的實現(xiàn)中未描述的其它元件中或作為其一部分���。另外���,圖1中所圖示的某些元件可以與其它部件組合,以及用于除了本文所描述的目的之外的備選或附加的目的���。
[0020]圖2是圖示包括示例資產(chǎn)管理系統(tǒng)205的示例系統(tǒng)的簡化框圖200����,該資產(chǎn)管理系統(tǒng)205與部署在一個或多個網(wǎng)絡(luò)(例如�����,215)中的一個或多個資產(chǎn)檢測引擎(例如�,210)協(xié)作操作并且被賦予發(fā)現(xiàn)網(wǎng)絡(luò)215中的計算裝置(例如,分類為“系統(tǒng)型系統(tǒng)實體”)(例如�����,220��、225��、230����、235、240)以及所發(fā)現(xiàn)的裝置的地址和屬性的任務(wù)�。此信息然后又可以被資產(chǎn)管理系統(tǒng)205使用來發(fā)現(xiàn)計算裝置的另外的屬性以及發(fā)現(xiàn)計算環(huán)境的其它類型的系統(tǒng)實體(例如,使用該計算環(huán)境的人和在計算環(huán)境中使用裝置所服務(wù)的應(yīng)用)����。另外,使用此信息����,資產(chǎn)管理系統(tǒng)205可以將所識別的系統(tǒng)實體分組和使用這些分組和為個別系統(tǒng)實體確定的其它屬性,來識別和關(guān)聯(lián)用于實體的有關(guān)的安全策略�。另外,遠(yuǎn)離各種計算裝置(例如�����,220�����、225��、230���、235�、240)部署的安全工具(例如,安全工具242)或者在各種計算裝置(例如�,220、225����、230、235����、240)上在本地部署的安全工具(例如,代理244)可用于實施用于系統(tǒng)實體(例如��,網(wǎng)絡(luò)�、系統(tǒng)、應(yīng)用以及人實體)的安全策略���。
[0021]示例資產(chǎn)管理系統(tǒng)205可以包括一個或多個處理器裝置245以及存儲器元件248用于執(zhí)行在一些實現(xiàn)中在資產(chǎn)管理系統(tǒng)205中的一個或多個部件中所包含的功能性��。例如�����,在一個示例實現(xiàn)中,可以提供資產(chǎn)管理系統(tǒng)205�、資產(chǎn)儲存庫管理器255����、策略管理員260以及實施協(xié)調(diào)器265����。資產(chǎn)儲存庫管理器255例如可以包括功能性用于使用例如一個或多個資產(chǎn)檢測引擎210來構(gòu)建和維持資產(chǎn)儲存庫250 (包括描述在計算環(huán)境中所發(fā)現(xiàn)的系統(tǒng)實體的記錄)。資產(chǎn)儲存庫管理器255可以包括檢測引擎接口 256���,其可以允許資產(chǎn)儲存庫管理器255與部署在計算環(huán)境中的資產(chǎn)檢測引擎210對接并且從識別計算環(huán)境中最新發(fā)現(xiàn)的系統(tǒng)實體的資產(chǎn)檢測引擎獲得結(jié)果以及對于系統(tǒng)實體檢測出的屬性(例如地址數(shù)據(jù)和其它信息)����。其它裝置和服務(wù)還可以被資產(chǎn)管理系統(tǒng)205在發(fā)現(xiàn)系統(tǒng)實體屬性時使用�,例如適配成從資產(chǎn)管理系統(tǒng)205接收掃描腳本和執(zhí)行所發(fā)現(xiàn)的系統(tǒng)實體的更特別的掃描(例如,以識別應(yīng)用��、計算裝置220�、225、230的用戶以及應(yīng)用等等)的各種掃描引擎290��。另外��,資產(chǎn)儲存庫管理器255還可以包括標(biāo)記引擎258�,適配成將標(biāo)簽或分類學(xué)指派到資產(chǎn)儲存庫內(nèi)的所發(fā)現(xiàn)的系統(tǒng)實體以便擴(kuò)展和修改在資產(chǎn)儲存庫的默認(rèn)或原始組織方案中所定義的默認(rèn)關(guān)系以外的系統(tǒng)實體之間的關(guān)系的類型。
[0022]轉(zhuǎn)到圖3,示出表示分層組織的資產(chǎn)儲存庫的框圖300�。在一些實現(xiàn)(例如圖3的示例)中,資產(chǎn)儲存庫(例如��,250)可以(至少近似地)對應(yīng)于給定計算環(huán)境中的系統(tǒng)實體的物理實現(xiàn)而分層組織���。分層的資產(chǎn)儲存庫可用于定義計算環(huán)境中的系統(tǒng)實體之間的關(guān)系的至少一些�����。例如�,網(wǎng)絡(luò)(例如�,網(wǎng)絡(luò)型系統(tǒng)實體)可以包含定型為系統(tǒng)型實體(或“系統(tǒng)”)的多個計算裝置和網(wǎng)絡(luò)元件。在一些實例中�����,網(wǎng)絡(luò)與其子系統(tǒng)之間的關(guān)系可以是多對多(具有多個網(wǎng)絡(luò)與典型地包括多個組成系統(tǒng)的網(wǎng)絡(luò)之間的一些系統(tǒng)遷移)�����。另外�,系統(tǒng)裝置可以被視為包含定型為“應(yīng)用”的軟件程序。再次����,系統(tǒng)裝置和應(yīng)用之間的關(guān)系可以是多對多。另夕卜����,在計算裝置中識別的人可以被視為是示例資產(chǎn)儲存庫的層次的上下文中的“子”系統(tǒng)和/或應(yīng)用。
[0023]作為示例圖示����,框圖300示出了用于包含多個網(wǎng)絡(luò)(例如,N1�、N2)、多個系統(tǒng)計算裝置(例如�����,S1��、S2�����、S3����、S4、S5)、多個應(yīng)用軟件程序��、數(shù)據(jù)結(jié)構(gòu)和服務(wù)(例如��,Al����、A2、A3�����、A4���、A5�、A6����、A7、A8)����、以及多個人(例如,P1��、P2、P3����、P4�����、P5����、P6、P7�、P8、P9)的簡化的計算環(huán)境的分層資產(chǎn)儲存庫的表示�����。如此特定示例環(huán)境中所圖示的�����,系統(tǒng)可以屬于一個或多個網(wǎng)絡(luò)(例如���,系統(tǒng)S3屬于網(wǎng)絡(luò)NI和N2兩者)���,應(yīng)用可以結(jié)合一個或多個系統(tǒng)計算裝置(例如�����,寄宿在系統(tǒng)SI的應(yīng)用Al)屬于����、寄宿或者服務(wù)于或以其它方式提供���,并且人可以與計算環(huán)境中的一個或多個系統(tǒng)計算裝置和/或特定應(yīng)用關(guān)聯(lián)(例如���,人P7與系統(tǒng)S3和應(yīng)用A5兩者關(guān)聯(lián)、并且人P9與系統(tǒng)S4與S5兩者關(guān)聯(lián)等)��、以及其它示例�����。
[0024]各種其它組織方案可以適配用于識別系統(tǒng)實體之間的關(guān)系的基礎(chǔ)集合的資產(chǎn)儲存庫���。例如���,其它分層的資產(chǎn)儲存庫可以對計算環(huán)境的系統(tǒng)實體定目錄來定義處網(wǎng)絡(luò):系統(tǒng):應(yīng)用等以外的其它依賴性和層次����。例如�����,資產(chǎn)儲存庫可以被維持通過地理分層地組織系統(tǒng)實體���。例如,單個系統(tǒng)實體(或“資產(chǎn)”)可以定義為與在冰島中的企業(yè)操作分層地相關(guān)的貝爾法斯特中的特定辦公室中(其包含于企業(yè)的西歐區(qū)域中)等����,以及許多其它可能的示例。
[0025]雖然資產(chǎn)儲存庫可用于將系統(tǒng)實體集最初組織為某個邏輯布置���,例如�,該邏輯布置至少部分定義在實體之間的已知關(guān)系上(例如����,系統(tǒng)包含在網(wǎng)絡(luò)中,等)��,但是更細(xì)微差另IJ��、動態(tài)和較不傳統(tǒng)的分組還可對于關(guān)系的頂部的系統(tǒng)實體和資產(chǎn)儲存庫自身的結(jié)構(gòu)中建模的實體屬性而定義。在一些示例中�,這可以通過標(biāo)記和分類學(xué)來實現(xiàn)。這樣的標(biāo)簽��、分類學(xué)�����、類別等(本文統(tǒng)稱作“標(biāo)簽”)可以定制地定義����,從而允許系統(tǒng)實體的用戶特定的或企業(yè)特定的分組。以此方式�����,可重復(fù)使用的資產(chǎn)儲存庫模板或系統(tǒng)可以提供給在系統(tǒng)實體的相應(yīng)計算環(huán)境中的它們的目錄中的多個企業(yè)和組織��。標(biāo)記還可以允許企業(yè)定義系統(tǒng)實體之間的附加關(guān)系�。不僅如此,而且標(biāo)簽還可捕獲資產(chǎn)儲存庫的默認(rèn)組織或結(jié)構(gòu)中所定義的關(guān)系之外的特定系統(tǒng)實體之間的更標(biāo)準(zhǔn)化的�����、備選關(guān)系和公共性����。作為示例�����,標(biāo)簽可以應(yīng)用于具有特定操作系統(tǒng)的特定版本的所有系統(tǒng)裝置�����。在另一示例中�,標(biāo)簽可以被指派給被識別為“關(guān)鍵”或以其它方式在一個或多個安全上下文中特定重要或感興趣的計算裝置(或網(wǎng)絡(luò)�����、或應(yīng)用�、或以上所有)的子集中的每個�。可以根據(jù)與它們關(guān)聯(lián)的地理位置來標(biāo)記系統(tǒng)和/或人����。可以根據(jù)裝置類型�、制造商、年齡���、使用率以及其它以裝置為中心的屬性來標(biāo)記系統(tǒng)����。可以根據(jù)類型(例如����,數(shù)據(jù)庫、網(wǎng)頁����、web服務(wù)、內(nèi)部��、公用���、私有等)�、能力�、用戶數(shù)量以及其它以應(yīng)用為中心的屬性來標(biāo)記應(yīng)用。類似地���,可以標(biāo)記網(wǎng)絡(luò)�����,并且可以根據(jù)以用戶為中心的屬性(例如角色���、權(quán)限等級�、計算環(huán)境或組織中的職位����、人口統(tǒng)計等)來標(biāo)記人。
[0026]圖3的示例圖示了(預(yù)先存在的)資產(chǎn)儲存庫中的各種系統(tǒng)實體的標(biāo)記����。例如,標(biāo)簽A (305)已經(jīng)被應(yīng)用于網(wǎng)絡(luò)NI和N2��,而標(biāo)簽B (310)已經(jīng)被應(yīng)用于網(wǎng)絡(luò)NI�。一旦系統(tǒng)實體被發(fā)現(xiàn)或者以其它方式識別和包含在資產(chǎn)儲存庫中就可以發(fā)生標(biāo)記。在一些實例中���,系統(tǒng)實體大體上可以與資產(chǎn)儲存庫中的系統(tǒng)實體的發(fā)現(xiàn)和記錄同時地標(biāo)記。系統(tǒng)實體的標(biāo)記可以利用所識別的或者創(chuàng)建標(biāo)簽并將其與特定實體關(guān)聯(lián)的管理員用戶來手動進(jìn)行���。系統(tǒng)實體的標(biāo)記還可至少部分地自動化����。例如,可以根據(jù)用于標(biāo)簽的規(guī)則集來自動地將標(biāo)簽應(yīng)用到系統(tǒng)實體�����。例如�,可以定義規(guī)則(例如,由用戶定義)以自動地應(yīng)用標(biāo)簽到檢測為具備一個或多個特定屬性的任何系統(tǒng)實體�����,該屬性包括使用資產(chǎn)檢測引擎�����、掃描引擎以及由資產(chǎn)管理系統(tǒng)(例如����,205)所使用的其它基于軟件(和硬件)的工具而發(fā)現(xiàn)的屬性。確定新的��、以前未發(fā)現(xiàn)的�、或已經(jīng)發(fā)現(xiàn)的系統(tǒng)實體具備這樣的屬性可以導(dǎo)致標(biāo)簽被應(yīng)用到系統(tǒng)實體。
[0027]共享特定標(biāo)簽的系統(tǒng)實體可以分類為系統(tǒng)實體的對應(yīng)集���。例如�����,應(yīng)用A4���、A6和A7可以全部用標(biāo)簽K標(biāo)記�����,該標(biāo)簽K指派給作為計算環(huán)境中的數(shù)據(jù)庫的的應(yīng)用型系統(tǒng)實體���。因此,計算環(huán)境中的數(shù)據(jù)庫可以從標(biāo)簽便利地識別��,并且作為示例�����,數(shù)據(jù)庫特定的安全策略����、掃描和策略實施技術(shù)可以特別地應(yīng)用于用標(biāo)簽K標(biāo)記的系統(tǒng)實體��。
[0028]多種安全策略能夠適用應(yīng)用于計算環(huán)境中的系統(tǒng)實體。例如����,安全策略可以規(guī)定特定網(wǎng)絡(luò)中的可以通過特定裝置、通過特定用戶或應(yīng)用訪問的網(wǎng)站����、文件以及其它數(shù)據(jù)。安全策略可以支配何人可以訪問特定文件和數(shù)據(jù)�����,他們可以如何對待數(shù)據(jù)(例如�,保存到外部介質(zhì)、修改���、發(fā)電子郵件��、發(fā)送等)���。附加的安全策略可以規(guī)定在某些交易期間的加密的等級和類型、某些裝置��、應(yīng)用和網(wǎng)絡(luò)所使用的密碼的長度和類型�、和其它最小安全參數(shù)�����、以及其它示例�����。此外���,在一些示例中,安全策略可以針對安全遵守規(guī)則��,例如由政府和管理體��、標(biāo)準(zhǔn)設(shè)置組織所設(shè)置的遵守標(biāo)準(zhǔn)��、工業(yè)標(biāo)準(zhǔn)����、和其它規(guī)則、以及其它示例����。某些策略可以是網(wǎng)絡(luò)、用戶���、應(yīng)用或裝置特定的��。某些策略可以僅僅與具備某些特性(例如何地�����、何時和什么人使用它們����、它們的能力)的系統(tǒng)實體有關(guān)�。因此,使用資產(chǎn)檢測引擎和掃描引擎所發(fā)現(xiàn)的系統(tǒng)實體的屬性可用于自動地指派特定安全策略到特定系統(tǒng)實體�。
[0029]回到圖2的論述,資產(chǎn)管理系統(tǒng)205還可以包含策略管理員260���,其可用于定義和應(yīng)用安全策略到在資產(chǎn)儲存庫250中所識別和定目錄的系統(tǒng)實體���。在一些示例中,策略管理員260可以包括策略指派引擎264和策略實施引擎265����。可以使用策略管理員260來維持和構(gòu)建安全策略的庫262���。在一些實現(xiàn)中���,安全策略262可以包括標(biāo)準(zhǔn)安全策略(例如�����,通?��?缬嬎悱h(huán)境可應(yīng)用)以及環(huán)境特定的安全策略。實際上���,在一些示例中��,策略管理員260可以包括允許管理員用戶定義和生成新的���、定制的安全策略以用于它們相應(yīng)計算環(huán)境的功能性。另外���,策略指派引擎264可用于創(chuàng)建和維持計算環(huán)境中(S卩�����,資產(chǎn)儲存庫250中)所識別的安全實體和各種策略(例如��,262)之間的關(guān)聯(lián)���。另外�����,可以提供實施引擎265從而定義如何在計算環(huán)境中實施特定安全策略。
[0030]在一些實例中�,策略實施引擎265可用于與計算環(huán)境中所部署的各種安全工具(例如,242�����、244)對接���。安全工具可以遠(yuǎn)離系統(tǒng)實體(例如系統(tǒng)型實體220�����、225�、230����、235����、240)部署����,從而允許策略實施遠(yuǎn)離目標(biāo)裝置、應(yīng)用或人并且代表其發(fā)生�����,由此允許安全實施而不將策略(或?qū)嵤?推送到目標(biāo)自身�。例如,在移動裝置的在所監(jiān)測的網(wǎng)絡(luò)上線和下線移動以及未管理的裝置(例如不包括能夠?qū)嵤┲匾踩呗缘拇砘蚱渌镜匕踩ぞ叩难b置)的安全實施中����,這可以是有用的。這樣的安全工具242可以包括�,例如,防火墻��、web網(wǎng)關(guān)���、郵件網(wǎng)關(guān)�、主機(jī)入侵保護(hù)(HIP)工具、網(wǎng)絡(luò)入侵保護(hù)(NIP)工具���、反惡意軟件工具�、防數(shù)據(jù)丟失(DLP)工具����、系統(tǒng)弱點管理器、系統(tǒng)策略遵守管理器����、資產(chǎn)危險程度工具���、入侵檢測系統(tǒng)(IDS)�、入侵保護(hù)系統(tǒng)(IPS)�、和/或安全信息管理(SM)工具、以及其它示例��。另外�����,實施引擎265還可以基于使用傳感器280�、285、掃描引擎290等所識別的目標(biāo)的屬性而結(jié)合計算環(huán)境的安全管理來啟用推送到目標(biāo)系統(tǒng)實體的補(bǔ)丁、更新和其它數(shù)據(jù)����。此外,還可以通過運(yùn)行�����、加載或以其它方式直接與目標(biāo)裝置對接并且向資產(chǎn)管理系統(tǒng)205 (例如��,通過實施引擎265)提供用于直接在目標(biāo)裝置實施策略的接口的代理和其它工具(例如�����,244)而執(zhí)行本地安全實施��。
[0031]每個系統(tǒng)實體可以具有與其不可分割的基本特性���。例如���,對于系統(tǒng)型系統(tǒng)實體,這樣的特性或?qū)傩钥梢园↖P地址(或多個IP地址)���、一個或多個對應(yīng)媒體接入控制(MAC)地址�、完全合格域名(FQDN)、操作系統(tǒng)等����。知道這樣的特性可以是用于要發(fā)生的有效風(fēng)險分析和安全實施的前提。搜集實體屬性可以涉及各種技術(shù)����。例如,代理可以部署在可以從系統(tǒng)實體直接獲得實體屬性的網(wǎng)絡(luò)�、系統(tǒng)和應(yīng)用中。盡管是準(zhǔn)確的和方便的�����,但并不是所有系統(tǒng)實體都“被管理”�,其中它們具有代理(或能夠具有代理)�����。還可以或改為通過執(zhí)行每個系統(tǒng)實體的遠(yuǎn)程評估而在網(wǎng)絡(luò)上搜集系統(tǒng)實體屬性�����。盡管可以使用任一方式����,或組合兩種方式����,但是系統(tǒng)實體的存在(特別是系統(tǒng)型實體)應(yīng)當(dāng)首先被建立�����。
[0032]當(dāng)系統(tǒng)實體加入網(wǎng)絡(luò)時�,保護(hù)和支配網(wǎng)絡(luò)的安全進(jìn)程應(yīng)當(dāng)盡可能即刻地變得意識到其存在。在被管理的環(huán)境中����,由于每個實體上的代理(例如244)可以直接通知資產(chǎn)管理系統(tǒng)205,所以這相當(dāng)容易適應(yīng)���。然而�,在未管理的資產(chǎn)的情況下��,通過可用于資產(chǎn)管理系統(tǒng)205并且與資產(chǎn)管理系統(tǒng)205通信的發(fā)現(xiàn)進(jìn)程來促進(jìn)環(huán)境內(nèi)的系統(tǒng)實體的發(fā)現(xiàn)���。
[0033]資產(chǎn)檢測引擎(例如���,210)和其它網(wǎng)絡(luò)發(fā)現(xiàn)工具可以由允許網(wǎng)絡(luò)上的資產(chǎn)的存在被查明的一組技術(shù)組成����。這樣的工具的示例是Ping掃視器����、動態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)測器、地址解析協(xié)議(ARP)高速緩存承包主等��。這些工具可以包括主動或被動地監(jiān)測用于搜索新資產(chǎn)的環(huán)境的主動或被動工具�����。一旦識別新的資產(chǎn)��,工具可以通知資產(chǎn)管理系統(tǒng)205準(zhǔn)許開始(或繼續(xù))另外的資產(chǎn)屬性識別進(jìn)程���。
[0034]在傳統(tǒng)的計算環(huán)境(包括采用IPv4尋址的環(huán)境)中�����,資產(chǎn)識別可以包括與被管理裝置的代理通信以確定裝置的不可分割的特性。此外或備選地���,每個可能的IP地址可以被Ping以從對ping的響應(yīng)來識別其它潛在的(例如���,未管理的)資產(chǎn)和它們的屬性����。作為響應(yīng)�,所識別的潛在資產(chǎn)的不可分割的特性可以相對于已經(jīng)與資產(chǎn)儲存庫(例如,250)歸檔的實體的屬性相比以嘗試將它們匹配到系統(tǒng)中的現(xiàn)存的資產(chǎn)����,或另外作為新系統(tǒng)將它們添加到資產(chǎn)儲存庫(例如,250)�����。
[0035]為了嘗試相對于變得未檢測和未保證安全的未管理裝置保證����,可使用非理性強(qiáng)迫地址ping掃視。然而�,在一些實例中,ping掃視可以使一些裝置(例如具有暫時性網(wǎng)絡(luò)連接或改變地址的裝置)容易丟失��。另外�����,在采用IPv6尋址的計算環(huán)境中,ping掃視或地址掃視可能是用于在計算環(huán)境中發(fā)現(xiàn)未管理的裝置的不切實際的解決方案��。
[0036]圖2和本公開的其它地方的示例中所描述的系統(tǒng)的實現(xiàn)解決了傳統(tǒng)的系統(tǒng)的以上論述的缺點以及其它�����。例如�,資產(chǎn)檢測引擎210可以是附連網(wǎng)絡(luò)的裝置或軟件系統(tǒng),其部署來使用多個發(fā)現(xiàn)技術(shù)中的一個或多個(包括可用于資產(chǎn)檢測引擎210的被動發(fā)現(xiàn)技術(shù))自動地發(fā)現(xiàn)生存的網(wǎng)絡(luò)裝置����,以及其后觸發(fā)附加的活動(例如,使用資產(chǎn)管理系統(tǒng)205)以及在一些情況下根據(jù)所定義的序列���。這樣的附加的活動可以包括���,例如,面向網(wǎng)絡(luò)的服務(wù)的清查��、對于弱點評估系統(tǒng)�����、清查所安裝的軟件���、應(yīng)用軟件補(bǔ)丁���、安裝新的軟件等等。
[0037]在一些實例中�,一個或多個資產(chǎn)檢測引擎(例如,210 )可以具備對于包括一個或多個裝置地址通信或識別的各種活動而被動監(jiān)測網(wǎng)絡(luò)的功能性����。所識別的地址然后可以從所監(jiān)測的信息中提取并且進(jìn)一步用于ping、探測和以其它方式與所識別的地址處的裝置通信以識別裝置是否記錄在資產(chǎn)儲存庫250中并且發(fā)現(xiàn)裝置的附加屬性�����。另外���,裝置(即����,系統(tǒng)型實體)的檢測可以導(dǎo)致其它實體類型(包括應(yīng)用型實體和人型實體)的檢測�����。應(yīng)用型和人型實體還可以獨(dú)立于系統(tǒng)型實體的檢測來檢測,例如����,通過嗅測網(wǎng)絡(luò)業(yè)務(wù)和其它技術(shù)。例如�����,web服務(wù)器����、數(shù)據(jù)庫、聊天客戶端�����、媒體客戶端����、媒體播放器等可以從使用資產(chǎn)檢測引擎210所監(jiān)測的業(yè)務(wù)而檢測。
[0038]在一些實現(xiàn)中��,示例資產(chǎn)檢測引擎210可以包括一個或多個處理器272和一個或多個存儲器元件274并且部署在網(wǎng)絡(luò)中來執(zhí)行與網(wǎng)絡(luò)中的裝置和裝置的地址的檢測關(guān)聯(lián)的多個不同的發(fā)現(xiàn)任務(wù)��。在一些實現(xiàn)中��,示例資產(chǎn)檢測引擎210可以至少部分部署作為插入到在線網(wǎng)絡(luò)中(例如,在交換機(jī)或路由器處)����、并行(例如����,離開路由器擴(kuò)展端口)的硬件裝置,或至少部分作為可以遍及子網(wǎng)部署的軟件�����,例如在網(wǎng)絡(luò)內(nèi)的特定或任意的主機(jī)�、在例如網(wǎng)絡(luò)DHCP服務(wù)器等專用的主機(jī)或者在其它部署中。資產(chǎn)檢測引擎210可以包括根據(jù)類似刀片的架構(gòu)配置的多個可插拔傳感器部件(例如�,280、285)�����,其中新的傳感器可以根據(jù)例如網(wǎng)絡(luò)中可用的或優(yōu)選的工具的特性而添加到可重復(fù)使用的資產(chǎn)檢測傳感器框架275或從其中移除���。以此方式���,隨著新的傳感器的開發(fā)或變得可用,新的傳感器可以被添加到傳感器框架275以補(bǔ)充(或代替)通過資產(chǎn)檢測引擎210的傳感器框架275而部署的其它傳感器技術(shù)。
[0039]在一些實現(xiàn)中�����,可以提供傳感器框架275用于主動傳感器280和被動傳感器285的組合�����。主動傳感器280可以包括涉及直接發(fā)送業(yè)務(wù)給裝置以及網(wǎng)絡(luò)中的地址和測試對該業(yè)務(wù)的響應(yīng)的傳感器�����。這樣的主動傳感器可以包括基于硬件和/或基于軟件的傳感器部件��,具有適配為執(zhí)行組播查詢����、Ping掃視以及其它示例的功能性。另一方面�,被動傳感器285可以包括具有嘗試獲得網(wǎng)絡(luò)中的裝置的地址信息和從與該裝置或?qū)?yīng)于地址本身的通信識別該裝置的功能性的傳感器部件。被動傳感器285可以包括被動發(fā)現(xiàn)型傳感器��、基于事件的發(fā)現(xiàn)型傳感器���、以及間接發(fā)現(xiàn)型傳感器����。傳感器框架275可以包括一個或者多個類型的主動傳感器和被動傳感器285。實際上����,在一些實現(xiàn)中,相同類型的多個傳感器可以提供在單個傳感器框架刀片(例如���,275)上。例如��,示例傳感器框架可以包括一個或多個主動傳感器���、兩個間接發(fā)現(xiàn)型被動傳感器�����、基于事件的發(fā)現(xiàn)型傳感器等�����。傳感器的最小或優(yōu)化集合可以取決于使用資產(chǎn)發(fā)現(xiàn)引擎210監(jiān)測或掃視的網(wǎng)絡(luò)的特定特性��,但是一般而言����,傳感器框架275中所包括和利用的傳感器的種類越廣泛,覆蓋和資產(chǎn)發(fā)現(xiàn)結(jié)果越全面���。
[0040]在一些實例中�,主動傳感器280可以包括適配成利用IP組播(包括IPv6組播)發(fā)現(xiàn)網(wǎng)絡(luò)中的裝置的傳感器��。在IP網(wǎng)絡(luò)的上下文中���,組播尋址是其中將消息同時發(fā)送到一組目的地系統(tǒng)而導(dǎo)致路由器創(chuàng)建這些包的副本用于最佳分布的一對多通信技術(shù)�����。IPv6的用于發(fā)現(xiàn)網(wǎng)絡(luò)上的裝置的示例組播查詢可以利用鏈路本地范圍的所有節(jié)點組播地址(例如����,“FFQ2::1”前綴)進(jìn)行查詢����。例如,示例主動傳感器可以發(fā)送DHCPv6 UDP探測到組播地址FF02:0:0:0:0:0:1:2處的端口 547以發(fā)現(xiàn)所有DHCP服務(wù)器和中繼器代理��。在另一示例中�,示例主動傳感器可以發(fā)送ICMPv6查詢到“所有節(jié)點”組播地址FF02::1以發(fā)現(xiàn)本地網(wǎng)絡(luò)上的系統(tǒng)����。在又一示例中�,示例主動傳感器可以發(fā)送ICMPv6查詢到“所有路由器”組播地址FF02::2以發(fā)現(xiàn)網(wǎng)絡(luò)上的路由器、以及其它示例��。
[0041]在其它示例中�,在傳感器框架275中所包括的一個或多個主動傳感器280可以包括適配成執(zhí)行非理性強(qiáng)迫地址、或ping��、掃視以發(fā)現(xiàn)網(wǎng)絡(luò)上的裝置的傳感器����。盡管通常對于典型IPv6網(wǎng)絡(luò)���、ping掃視或更一般的地址掃視無效�,但是仍然可以是檢測小范圍的IPv6地址和IPv4地址上的裝置的有效手段����。ping掃視可以在檢測總是沉默并具有固定地址的裝置方面特別有效。Ping掃視可以利用傳統(tǒng)的ICMP ping掃視技術(shù)���,由此一個或多個包被發(fā)送到潛在的生存地址�����,以及其它技術(shù)��。如果接收到特定類型的響應(yīng)��,則目標(biāo)地址被視為存活��。Ping掃視可以包括ICMP ping掃視(用于若干包類型)����、用于使用全TCP連接測試的開放端口的掃視、用于使用半開放(SYN)測試的開放端口的掃視���、以及發(fā)送“推進(jìn)(nudge)”包到具體的已知UDP端口��、以及其它示例���。
[0042]另外,盡管地址掃視可以被應(yīng)用于基于目標(biāo)的地址掃視發(fā)現(xiàn)(例如���,目標(biāo)為特定的�、已知IP地址或以前識別的或基于一個或多個資產(chǎn)檢測引擎210的被動發(fā)現(xiàn)任務(wù)所選擇的IP地址范圍)�����,主動發(fā)現(xiàn)傳感器還可持續(xù)地掃視地址范圍以發(fā)現(xiàn)新的活動地址以及驗證以前的活動地址仍然是活動的或已經(jīng)變?yōu)椴换顒印⑾ɑ鹗录?例如���,使用資產(chǎn)管理系統(tǒng)205的屬性發(fā)現(xiàn)嘗試任務(wù))以在檢測到狀態(tài)改變時接近實時地執(zhí)行有用的工作�。
[0043]被動傳感器(例如�����,285)可以包括延遲發(fā)現(xiàn)型傳感器����、基于事件的發(fā)現(xiàn)型傳感器以及間接發(fā)現(xiàn)型傳感器。延遲發(fā)現(xiàn)型傳感器可以包括適配成延遲監(jiān)測各種網(wǎng)絡(luò)活動(其包括裝置地址信息的通信或識別)并提取地址而不直接與主機(jī)系統(tǒng)(即對應(yīng)于地址)接觸的傳感器�。延遲發(fā)現(xiàn)傳感器可以包括傳感器��,該傳感器適配成例如監(jiān)測NetB1S廣播包�����、監(jiān)測因特網(wǎng)控制消息協(xié)議(ICMP)業(yè)務(wù)(包括ICMP版本6 (ICMPv6)業(yè)務(wù))��、嗅測一般網(wǎng)絡(luò)業(yè)務(wù)�、嗅測經(jīng)由交換機(jī)端口鏡像的業(yè)務(wù)(例如通過交換機(jī)端口分析器(或“SPAN端口 ”))���、以及其它示例。至少一些延遲發(fā)現(xiàn)傳感器可以操作而不要具體配置(例如����,由管理員最終用戶提供)。例如�,適配成攔截NetB1S廣播包的延遲發(fā)現(xiàn)傳感器可以確定網(wǎng)絡(luò)上的裝置的地址信息以及其它系統(tǒng)實體屬性。許多系統(tǒng)(包括那些基于例如Microsoft的Windows ?操作系統(tǒng)的系統(tǒng))可以廣播數(shù)據(jù)報包到它們的本地網(wǎng)絡(luò)��,例如��,結(jié)合用于Μ)Ρ端口 138上的無連接通信的NetB1S數(shù)據(jù)報分布服務(wù)���、以及其它示例���。NetB1S數(shù)據(jù)報廣播包可以識別被攔截的NetB1S包起源的發(fā)送裝置的IP地址和MAC地址并且還可以包含數(shù)據(jù),在一些實例中���,當(dāng)表示并且處理該數(shù)據(jù)時�,揭露發(fā)送裝置的操作系統(tǒng)以及其它信息�����。可以使用此方法可靠地識別的操作系統(tǒng)�,包括 Windows 9x/Me/NT 4.0> NetApp Device、Windows 2000�����、WindowsXP��、Windows Server 2003��、Windows XP (64 位)����、Windows Server 2008、Windows Vista�����、Windows Server 2008 R2����、以及Windows 7����。因此�����,適配成攔截NetB1S廣播包的延遲發(fā)現(xiàn)傳感器可以識別發(fā)送裝置��、它們的相應(yīng)地址數(shù)據(jù)以及發(fā)送裝置的操作系統(tǒng)���。
[0044]在另一示例中,另一(或同一)延遲發(fā)現(xiàn)型傳感器可以適配成監(jiān)測ICMPv6業(yè)務(wù)�。大部分業(yè)務(wù)可以經(jīng)由ICMPv6協(xié)議通過網(wǎng)絡(luò)中的IPv6裝置生成和發(fā)送。適當(dāng)適配的延遲發(fā)現(xiàn)型傳感器可以收聽特定類型的組播ICMPv6業(yè)務(wù)(例如鄰居教唆包和鄰居廣告包)�,以識別業(yè)務(wù)中所識別的一個或多個裝置的地址(即,MAC地址和IPv6地址)�����、以及其它示例��。
[0045]在又一示例中��,延遲發(fā)現(xiàn)型傳感器可以適配成對于可用于識別網(wǎng)絡(luò)中的以前未知的裝置的地址信息��、或以前不知道是由網(wǎng)絡(luò)中的以前識別的裝置所使用的地址而嗅測一般網(wǎng)絡(luò)業(yè)務(wù)���。IPv4和IPv6包包括來源和目的地地址信息���,以及來源和目的地端口和來源和目的地的相應(yīng)MAC地址����。因此�����,嗅測所有網(wǎng)絡(luò)業(yè)務(wù)可以允許新地址數(shù)據(jù)的發(fā)現(xiàn)���,并且由此在所監(jiān)測的網(wǎng)絡(luò)上通信的新裝置的發(fā)現(xiàn)�����。通過被動嗅測所有網(wǎng)絡(luò)業(yè)務(wù)��,無論何時這樣的裝置在網(wǎng)絡(luò)上通信�����,就可以發(fā)現(xiàn)新裝置地址�����。嗅測一般業(yè)務(wù)在一些網(wǎng)絡(luò)中可能是成問題的���,然而,由于許多臨時網(wǎng)絡(luò)被“交換”��,由此網(wǎng)絡(luò)裝置以及也許還有所部屬的資產(chǎn)檢測引擎210�����,僅接收廣播包���、組播包以及直接尋址到寄宿資產(chǎn)檢測引擎的裝置的包����。在其它實例中��,端口鏡像可以被影響以識別網(wǎng)絡(luò)中的以前已知的裝置地址��。一些網(wǎng)絡(luò)路由器和交換機(jī)可以配置為轉(zhuǎn)發(fā)或“鏡像”特定裝置端口上的所有業(yè)務(wù)�����,或甚至整個虛擬局域網(wǎng)(VLAN)的所有業(yè)務(wù)到交換機(jī)上的另一端口���,例如交換端口分析器(SPAM)和不固定分析端口(RAP)��、以及其它示例��?��?捎糜趥鞲衅骺蚣?75的延遲發(fā)現(xiàn)型傳感器的一些實現(xiàn)可以適配成嗅測網(wǎng)絡(luò)交換機(jī)的所配置的SPAN端口(或其它業(yè)務(wù)鏡像端口)上的業(yè)務(wù)���,由此允許傳感器監(jiān)測在包括針對交換網(wǎng)絡(luò)上的其它裝置的業(yè)務(wù)的端口上所鏡像的所有網(wǎng)絡(luò)業(yè)務(wù),而不用傳感器在物理上連接到鏡像端口�。
[0046]被動傳感器還可包括基于事件的發(fā)現(xiàn)傳感器。一般而言��,當(dāng)一個或多個特定預(yù)先識別類型的事件發(fā)生時����,基于事件的發(fā)現(xiàn)傳感器可以注冊或以其它方式與網(wǎng)絡(luò)服務(wù)對接以接收通知。這樣的事件(到或通過相應(yīng)網(wǎng)絡(luò)服務(wù))的報告或檢測可以包括資產(chǎn)管理系統(tǒng)205感興趣的裝置尋址信息(例如IP地址和DNS名稱)的識別�。這樣的事件可以包括,例如�����,DHCP服務(wù)器事件��、Microsoft Active Directory ?審計事件、以及防火墻和入侵防止系統(tǒng)(IPS)事件�����、以及其它示例�?��;谑录陌l(fā)現(xiàn)傳感器可以與記錄這樣的事件的相應(yīng)裝置和系統(tǒng)對接���,并且識別可以對于在構(gòu)建或補(bǔ)充資產(chǎn)儲存庫250的記錄中使用的地址數(shù)據(jù)挖掘的這些特定事件和事件記錄。
[0047]作為示例����,基于事件的發(fā)現(xiàn)傳感器的一個實現(xiàn)可以包括傳感器,該傳感器適配成與DHCP網(wǎng)絡(luò)環(huán)境中的一個或多個DHCP服務(wù)器對接����。在DHCP網(wǎng)絡(luò)環(huán)境中,每當(dāng)系統(tǒng)被打開并加入網(wǎng)絡(luò)時����,它廣播請求以從最近的DHCP服務(wù)器接收IP地址。最近的服務(wù)器然后通常分配地址租借并且通知目標(biāo)(請求)系統(tǒng)其地址應(yīng)當(dāng)是什么����。另外�����,一旦系統(tǒng)的租借期滿���,將其從活動地址的DHCP服務(wù)器列表中移除。在一些實現(xiàn)中����,DHCP服務(wù)器監(jiān)測和/或參與此地址租借過程,并且基于事件的發(fā)現(xiàn)傳感器可以包括功能性來與DHCP服務(wù)器交互并查詢DHCP服務(wù)器的記錄��,從DHCP服務(wù)器接收提醒和其它消息�����,或以其它方式從DHCP服務(wù)器取得關(guān)于涉及網(wǎng)絡(luò)中的裝置的近來的租借事件的信息���。例如�����,DHCP服務(wù)器的一些實現(xiàn)提供API到其它裝置和服務(wù)(例如Microsoft DHCP服務(wù)器的“DHCP Server Callout API”)以及日志文件(例如Unix/Linux DHCP服務(wù)器“dhcpd”日志租借事件)����、以及其它示例和實現(xiàn)。一般而言��,通過傳感器從DHCP服務(wù)器所獲得的信息又可以用來識別網(wǎng)絡(luò)中的潛在的新裝置或以前未知的裝置���。
[0048]在另一示例中����,示例基于事件的發(fā)現(xiàn)傳感器可以適配成與Microsoft Windows主動目錄服務(wù)器對接以獲得由主動目錄服務(wù)器所記錄或識別的特定類型的事件的記錄���。例如,在組織中���,當(dāng)用戶執(zhí)行加入到主動目錄域的系統(tǒng)的登入和登出時���,可以在主動目錄服務(wù)器的事件日志中創(chuàng)建事件。一些特定事件以及這些事件的日志可以包括網(wǎng)絡(luò)中的一個或多個裝置的IP地址和DNS名稱信息的識別����。基于事件的發(fā)現(xiàn)傳感器可以提取此地址數(shù)據(jù)以供資產(chǎn)管理系統(tǒng)205使用���。例如���,主動目錄事件的日志�,例如在表I中所指出的示例(以及其它未列出的示例)�,可以包括用于在補(bǔ)充資產(chǎn)儲存庫250中使用的地址信息。
U !."'I',"~"一Wiiidovvs 2008~I
討丨Ml..1Pm IR
—“_丨.未 KerfaiToslK/^l^j- —4769................................................................................................................673―一I
^Kerberos........麗瓦
Kcrberm■■4--2........................................................................................................................6/2I
4776^爾681I
…1.務(wù)''::1?..Window's Statb?.........................…『『?S 『 "...6821.................................................................................................................4ijj................................................................?ΙΓ?ο..........................................|
[0049]此外���,基于事件的發(fā)現(xiàn)傳感器還可與防火墻���、IPS和其它安全工具(例如,242)對接以獲得描述由工具所監(jiān)測的事件的日志和其它信息���。例如��,防火墻是基于用戶所規(guī)定的規(guī)則集而允許或拒絕網(wǎng)絡(luò)傳送的裝置�����。入侵防止系統(tǒng)(IPS)是當(dāng)注意到特定業(yè)務(wù)模式時進(jìn)行深度包檢驗并且生成事件的裝置����。IPS還可修改或防止這樣的業(yè)務(wù)。防火墻和IPS兩者都可以用于在網(wǎng)絡(luò)攻擊事件時通知網(wǎng)絡(luò)管理員��,或有助于在實際上防止闖入���、病毒的擴(kuò)散����、蠕蟲等�。在一些實現(xiàn)中,IPS或防火墻還可以配置為生成與特定類型或模式的網(wǎng)絡(luò)業(yè)務(wù)相關(guān)的事件并且生成事件可以包括列出來源和目的地地址���、DNS名稱��、與事件有關(guān)的所監(jiān)測的業(yè)務(wù)所涉及的開放端口的記錄或消息的創(chuàng)建。另外�,基于事件的發(fā)現(xiàn)傳感器可以配置為與防火墻和IPS對接以與服務(wù)通信以及從服務(wù)接收所報告的事件,包括含有地址信息的特定類型的包的檢測����,例如DHCP地址請求、DNS名稱查詢�、以及其它示例。
[0050]間接發(fā)現(xiàn)型傳感器還可以包括在被動傳感器285之中����。間接發(fā)現(xiàn)型傳感器可以適配成與記錄和維持裝置地址信息的各種網(wǎng)絡(luò)服務(wù)對接并查詢這些網(wǎng)絡(luò)服務(wù)以提取那些地址而不直接與對應(yīng)主機(jī)接觸�����。這樣的目標(biāo)網(wǎng)絡(luò)服務(wù)和裝置可以包括�����,例如��,簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)服務(wù)器(例如���,SNMP管理信息庫2(MIB2 ))、主機(jī)的鄰居數(shù)據(jù)庫(例如�,經(jīng)由netstat命令)、DHCP數(shù)據(jù)庫����、和路由器所維持的鄰居信息數(shù)據(jù)庫、以及其它示例��。
[0051]在一個特定示例中���,間接發(fā)現(xiàn)型傳感器可以適配成查詢SNMP服務(wù)器(包括MIB2)的管理信息庫(MIB)���。根據(jù)MIB2�,可以獲得信息的財富���,其可用于進(jìn)一步構(gòu)建資產(chǎn)儲存庫250��。例如��,可以查詢MIB21以獲得SNMP服務(wù)器的ARP表�����、以及由此還有SNMP服務(wù)器/裝置曾經(jīng)通過本地網(wǎng)絡(luò)接觸的裝置的列表(包括裝置的地址信息)�����?�?梢詮倪B接表獲得列出的系統(tǒng)、它們的IP地址�、以及SNMP服務(wù)器/裝置所連接的或曾經(jīng)發(fā)送或接收數(shù)據(jù)的端口。還可以訪問路線表以及包如何從裝置路由到網(wǎng)絡(luò)上的其它裝置的細(xì)節(jié)��,包括路由所涉及的其它裝置的IP地址����。附加的示例數(shù)據(jù)還可以從SNMP裝置獲得���,以及其它SNMP查詢還可揭露SNMP裝置在其中通信的網(wǎng)絡(luò)中的裝置的地址信息和其它有用數(shù)據(jù)。
[0052]在另一示例中�,間接發(fā)現(xiàn)型傳感器可以適配成獲得網(wǎng)絡(luò)中的遠(yuǎn)程裝置上的命令殼,并且通過遠(yuǎn)程裝置利用其已經(jīng)連接到其它系統(tǒng)或與其它的系統(tǒng)交換數(shù)據(jù)和端口信息的IP地址來發(fā)起netstat命令以獲得網(wǎng)絡(luò)中的系統(tǒng)的列表�。其它間接發(fā)現(xiàn)型傳感器可以適配成與DHCP服務(wù)器對接并且查詢由一個或多個DHCP服務(wù)器保持的服務(wù)器以獲得網(wǎng)絡(luò)上的裝置的地址信息。例如��,間接發(fā)現(xiàn)型傳感器可以適配成識別網(wǎng)絡(luò)上的DHCP系統(tǒng)并且使用遠(yuǎn)程API來查詢DHCP服務(wù)器數(shù)據(jù)庫(例如�����,使用DhcpEnumServers��、DhcpEnumSubnets���、DhcpEnumSubnetClinetsV5等)或訪問DHCP租借列表(例如����,Linux系統(tǒng)中所維持的平整文本文件租借列表)���,使用例如遠(yuǎn)程命令殼���、以及其它示例�����。此外����,一些間接發(fā)現(xiàn)型傳感器還可對于裝置地址信息而查詢路由器��,例如�,通過查詢網(wǎng)絡(luò)中的各種路由器的“ipv6鄰居信息數(shù)據(jù)庫”。這樣的數(shù)據(jù)庫可以維持相應(yīng)路由器已知的(例如���,自從路由器最后一次初始化以來曾經(jīng)生成過網(wǎng)絡(luò)業(yè)務(wù)的所有裝置的)IP地址和MAC地址的列表�,其可以對應(yīng)間接發(fā)現(xiàn)型傳感器來獲取��。在一些實例中,這樣的傳感器可以適配成對于每個要支持的個別路由器或網(wǎng)絡(luò)裝置維持和利用具體連接器��,以及�����,在一些實例中�,路由器憑證、類型和地址的記錄����。
[0053]被動傳感器285可以包括其它類型的傳感器,例如地址映射型傳感器�。地址映射型傳感器可以適配成使用來自資產(chǎn)儲存庫250的地址數(shù)據(jù)或使用一個或多個其它主動或被動傳感器(例如,280��、285)所發(fā)現(xiàn)的地址數(shù)據(jù)以查詢其它網(wǎng)絡(luò)裝置(例如DNS服務(wù)器���、路由器��、IPS���、或防火墻)以便發(fā)現(xiàn)所發(fā)現(xiàn)的裝置的附加的地址信息。一般而言���,通過這樣的查詢����,單個裝置地址可以映射到該裝置的一個或多個其它地址���。這樣的其它地址信息可以包括���,例如�,一個或多個人類可讀名稱(例如��,DNS名稱)��、一個或多個邏輯裝置地址(例如�����,IP地址)��、一個或多個物理裝置地址(例如�����,MAC地址)等��。
[0054]在一些實例中����,一個或多個地址映射傳感器可以包括在傳感器框架275中����,其適配成使用從資產(chǎn)儲存庫250獲得的地址數(shù)據(jù)和/或通過在對應(yīng)計算環(huán)境中所部屬的資產(chǎn)檢測引擎210中的一個或多個其它傳感器280�、285來執(zhí)行DNS服務(wù)器查詢�����。DNS服務(wù)器可以從人類可讀裝置名稱(例如���,DNS名稱)前向映射到所命名的裝置的煩惱的邏輯地址�����。此外����,DNS服務(wù)器還可從一個邏輯裝置地址反向映射回到裝置的DNS名稱。因此�����,給定單個IP地址�,可以通過首先進(jìn)行對于那個地址的DNS名稱的反向查找、然后進(jìn)行對于裝置的所返回的DNS名稱的所有IP地址的前向查找來發(fā)現(xiàn)附加的地址��。
[0055]在其它示例中���,地址映射傳感器可以適配成查詢其它網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫以執(zhí)行計算環(huán)境中的裝置的地址映射和發(fā)現(xiàn)附加的地址數(shù)據(jù)�。例如���,可以通過地址映射傳感器查詢本地IPv4 ARP高速緩存、IPv6目的地高速緩存�、或IPv6鄰居高速緩存以及其它示例,以發(fā)現(xiàn)網(wǎng)絡(luò)中的以前所識別的裝置的附加的地址����。例如,對于系統(tǒng)以前曾經(jīng)通信過的系統(tǒng)的任何IPv4地址����,任何系統(tǒng)的本地ARP高速緩存可用于從IPv4地址到對應(yīng)系統(tǒng)的MAC地址的映射��。此外�����,利用此高速緩存允許發(fā)生此映射而不導(dǎo)致要求本地網(wǎng)絡(luò)路由器提供此轉(zhuǎn)換的成本���。另外��,在IPv6環(huán)境中�,目的地高速緩存和鄰居高速緩存可以類似地用于識別通過一個或多個IPv6地址識別的裝置的MAC地址��,以及其它示例�。此外�����,此信息可以經(jīng)由例如PowerShell v2遠(yuǎn)程地檢索�����,以從可以獲得遠(yuǎn)程訪問的任何系統(tǒng)承包附加的目的地地址。另外����,類似于其它傳感器,地址映射傳感器還可以適配成維持憑證并且配置網(wǎng)絡(luò)裝置和用于鑒定和訪問遍及計算環(huán)境以各種形式維持事件��、裝置和地址信息的數(shù)據(jù)庫�。
[0056]轉(zhuǎn)到圖4,示出與示例資產(chǎn)管理系統(tǒng)205通信的示例可擴(kuò)大資產(chǎn)檢測引擎210的簡化框圖400。如在圖2的示例中那樣���,資產(chǎn)檢測引擎210可以包括傳感器框架或平臺��,適配成容納和使用資產(chǎn)檢測引擎210可以組合使用來識別裝置并從網(wǎng)絡(luò)提取對應(yīng)裝置地址信息的各種主動和被動傳感器(例如��,280���、285),在該網(wǎng)絡(luò)上部署資產(chǎn)檢測引擎(及其部件傳感器280�����、285)��。另外���,傳感器還可以在傳感器框架上方便地添加、移除或代替��,從而允許資產(chǎn)檢測引擎210的功能性得以擴(kuò)展����、修改和以其它方式為部署了資產(chǎn)檢測引擎210的網(wǎng)絡(luò)量身定做(例如�����,基于資產(chǎn)檢測引擎?zhèn)鞲衅骺梢詫拥木W(wǎng)絡(luò)上可用的網(wǎng)絡(luò)裝置和服務(wù))���。
[0057]在圖4中所示出的一個說明性的示例中,示例資產(chǎn)檢測引擎210可以包括可插拔地部署在資產(chǎn)檢測引擎上的主動和被動傳感器280����、285。例如��,在部署在資產(chǎn)檢測引擎210的可插拔主動傳感器280之中���,可以提供TCP SYN/ACK主動發(fā)現(xiàn)傳感器、ICMP ping掃視傳感器��、以及M)P ping傳感器�����。在一些實例中�����,TCP SYN/ACK傳感器可以發(fā)送一組一個或多個TCP包(例如SYM包、TCP全連接包序列等)到網(wǎng)路中的地址����。在一些實例中,TCP SYN/ACK傳感器可以以識別為更有可能在網(wǎng)絡(luò)中使用的特定端口為目標(biāo)��,并且發(fā)送TCP SYN包到每個目標(biāo)IP地址的每個所識別的端口����。以TCP SYN ACK進(jìn)行響應(yīng)的目標(biāo)裝置可以被識別為觸發(fā)目標(biāo)裝置的另外的屬性探測的生存裝置。ICMP ping掃視傳感器可以適配成發(fā)送ICMPping請求到每個目標(biāo)IP地址并且監(jiān)聽響應(yīng)以識別網(wǎng)絡(luò)上的生存的裝置��。UDP ping傳感器可以適配成發(fā)送特定UDP包到設(shè)計成從預(yù)計要使用的特定服務(wù)引出響應(yīng)并且與目標(biāo)裝置的特定端口關(guān)聯(lián)的目標(biāo)裝置�����。UDP ping傳感器可以然后監(jiān)聽對所發(fā)送的UDP包的響應(yīng)以識別網(wǎng)絡(luò)上的生存裝置�����。
[0058]另外��,在圖4的示例中����,各種不同的可插拔被動傳感器285還可提供在資產(chǎn)管理引擎210上����。例如��,在圖4的特定示例中����,一組被動傳感器(每個嘗試以特定方式被動地發(fā)現(xiàn)IP地址信息)可以包括SPAN端口傳感器、IPv6鄰居查詢傳感器���、ARP高速緩存查詢傳感器���、反向DNS查找傳感器、DHCP承包傳感器�、交換機(jī)MAC傳感器�、以及其它。此外��,傳感器還可以提供并實現(xiàn)在可擴(kuò)大傳感器框架上�����,其適配成與也捕獲和維持系統(tǒng)中的地址數(shù)據(jù)的記錄的第三方開發(fā)者的產(chǎn)品和服務(wù)一起工作(并且在一些情況下由它們提供)��。另外,作為對于網(wǎng)絡(luò)識別的裝置地址數(shù)據(jù)的資產(chǎn)檢測引擎210上的每個傳感器���,結(jié)果可以通過資產(chǎn)檢測引擎210傳遞以供資產(chǎn)管理系統(tǒng)205處理���。
[0059]一旦接收到由部署在計算環(huán)境中的一個或多個資產(chǎn)檢測引擎210所獲得的裝置地址數(shù)據(jù),資產(chǎn)管理系統(tǒng)205可以檢查資產(chǎn)儲存庫以查看是否已經(jīng)識別地址數(shù)據(jù)���,添加尚未被發(fā)現(xiàn)的地址數(shù)據(jù)(例如�,對于在儲存庫中已經(jīng)發(fā)現(xiàn)的裝置)���,并且基于從資產(chǎn)檢測引擎210所接收的結(jié)果更新或確認(rèn)以前識別的地址數(shù)據(jù)��。另外�,資產(chǎn)管理系統(tǒng)205可以處理從資產(chǎn)檢測引擎210所接收的數(shù)據(jù)并且根據(jù)某些返回的數(shù)據(jù)的公共性來確定由資產(chǎn)檢測引擎所獲得的新地址信息對應(yīng)于網(wǎng)絡(luò)上的以前發(fā)現(xiàn)的裝置�。此外,在地址信息被確定為對應(yīng)于尚未在資產(chǎn)儲存庫中識別的裝置的情況下����,地址信息的發(fā)現(xiàn)可以被認(rèn)為是表示網(wǎng)絡(luò)中的裝置自身的發(fā)現(xiàn)。
[0060]裝置和地址數(shù)據(jù)(例如所發(fā)現(xiàn)的IPv6地址)可被資產(chǎn)管理系統(tǒng)205 (或在一些實現(xiàn)中資產(chǎn)檢測引擎210自身)使用來觸發(fā)附加的探測以及使用資產(chǎn)檢測引擎?zhèn)鞲衅?例如����,210)的傳感器活動����。例如���,一旦識別新的IP地址資產(chǎn)管理系統(tǒng)205可以使地址映射傳感器執(zhí)行地址映射查詢以識別對應(yīng)于新發(fā)現(xiàn)的IP地址的裝置的附加的IP地址和/或MAC地址���。在其它實例中,新發(fā)現(xiàn)的地址數(shù)據(jù)可以傳遞到資產(chǎn)檢測引擎上的其它傳感器(例如��,通過資產(chǎn)檢測引擎210或資產(chǎn)管理系統(tǒng)205)來嘗試發(fā)現(xiàn)對應(yīng)于目標(biāo)裝置的附加信息����。實際上,在一些示例中����,通過被動傳感器285發(fā)現(xiàn)的地址數(shù)據(jù)可被傳遞到資產(chǎn)管理系統(tǒng)205上的主動傳感器280以供由主動傳感器用作它們的主動發(fā)現(xiàn)技術(shù)中的目標(biāo)地址。例如����,主動傳感器280可以用來驗證(以及周期性地重新驗證)特定地址處的裝置在網(wǎng)絡(luò)中是生存的或活動�����、當(dāng)裝置上線和離線時監(jiān)測它們、以及監(jiān)測與地址關(guān)聯(lián)的裝置的狀態(tài)�����。
[0061]在一些實例中����,為了確定裝置是否將狀態(tài)從網(wǎng)絡(luò)在線改變?yōu)榫W(wǎng)絡(luò)離線或反之亦然,可以維持對于每個裝置所檢測的以前的狀態(tài)�����,以便提供比較點��。這可以例如通過保持在資產(chǎn)檢測引擎210 (或在資產(chǎn)儲存庫250中)的盤上的存儲器中的表或數(shù)據(jù)庫而完成�,其包含每個已知裝置的最后檢測的狀態(tài)。當(dāng)發(fā)現(xiàn)裝置生存并且網(wǎng)絡(luò)在線時(例如��,使用主動發(fā)現(xiàn)傳感器(例如����,280)),檢查裝置狀態(tài)表�。如果沒有條目存在或者裝置的條目指示其離線,則添加條目或更新現(xiàn)存的條目以指示新的裝置狀態(tài)。無論如何����,裝置狀態(tài)表中的條目可以被定時間戳以指示裝置被檢測為生存并且網(wǎng)絡(luò)在線的最后的時間。
[0062]另外���,可以經(jīng)由一個或多個主動發(fā)現(xiàn)傳感器來周期性地探測指示為生存的每個地址�����。如果地址被檢測為生存�,則可以再次定時間戳裝置狀態(tài)表中的對應(yīng)條目以指示裝置被檢測為網(wǎng)絡(luò)在線的最后的時間����。如果以前經(jīng)由主動發(fā)現(xiàn)傳感器將地址檢測為網(wǎng)絡(luò)在線,并且它不再被檢測為生存�,則裝置的條目可以標(biāo)記為現(xiàn)在網(wǎng)絡(luò)離線。如果裝置從未經(jīng)由主動方法檢測為生存��,則檢查上次經(jīng)由一些其它方法視為活動的裝置的時間戳�����,并且如果條目被檢測為陳舊(即�,比一些規(guī)定的閾值舊)����,則裝置可以被標(biāo)記為離線��。作為最優(yōu)����,如果裝置的主動發(fā)現(xiàn)失敗了一定次數(shù)��,則它可以被禁用以便保護(hù)網(wǎng)絡(luò)����、存儲器和CPU使用。
[0063]此外�����,改變狀態(tài)的裝置的檢測可以引起生成指示裝置現(xiàn)在是網(wǎng)絡(luò)在線或離線的事件�����。如產(chǎn)業(yè)中充分理解的���,此處可以使用任何產(chǎn)生軟件事件的手段��。另外�����,在一些實現(xiàn)中���,包括在資產(chǎn)儲存庫250中的裝置被識別為在線(例如�����,通過對應(yīng)的生成的事件)可以使一個或多個掃描引擎被報警�����、激活或部署來執(zhí)行所發(fā)現(xiàn)的裝置的一個或多個掃描以確定例如在對裝置的標(biāo)簽��、安全策略和安全任務(wù)的指派中���,是否要使用關(guān)于裝置的另外的信息。
[0064]如圖5的簡化框圖500所示����,在一些示例中,計算環(huán)境可以包括由資產(chǎn)管理系統(tǒng)205管理的多個網(wǎng)絡(luò)和子網(wǎng)絡(luò)(例如����,505�����、510)。每個網(wǎng)絡(luò)505����、510可以具有一個或多個資產(chǎn)檢測引擎210a、210b以及一個或多個掃描引擎515�����、520�,其適配成執(zhí)行關(guān)于所發(fā)現(xiàn)的裝置的任務(wù)(例如特定化、后發(fā)現(xiàn)掃描以確定操作系統(tǒng)����、硬件、端口��、應(yīng)用��、弱點�����、用戶、以及例如在計算環(huán)境中的其它系統(tǒng)實體(包括應(yīng)用型實體和人型實體)的識別中可使用的其它信息����。這樣的信息還可用于對計算環(huán)境中的特定網(wǎng)絡(luò)、裝置�、應(yīng)用以及人的安全策略的指派。
[0065]如圖5的示例中所示��,每個網(wǎng)絡(luò)505����、510可以包括多個資產(chǎn)檢測引擎(例如,210a����、210b)。在一些實現(xiàn)中�,資產(chǎn)檢測引擎210a、210b自身可以不具備在缺失一個或多個可插拔傳感器存在和使用時掃描或執(zhí)行其它發(fā)現(xiàn)任務(wù)的能力��,實際上���,資產(chǎn)檢測引擎210a��、210b每個可以利用公共傳感器框架但具有適配成監(jiān)測網(wǎng)絡(luò)(例如��,505���、510)的特定特性和服務(wù)的所安裝的多組傳感器�����。例如,一個資產(chǎn)檢測引擎可以具有第一組傳感器��,然而在相同或不同網(wǎng)絡(luò)(例如����,505、510)中的第二資產(chǎn)檢測引擎可以具有不同的第二組傳感器(其中至少一個傳感器包括在多組傳感器之一中����,而不在其它中)。例如���,資產(chǎn)檢測引擎的傳感器可以從包括在第一網(wǎng)絡(luò)但不包括在第二網(wǎng)絡(luò)中的特定裝置或服務(wù)(例如DHCP服務(wù)器�����、SPAM端口等)拉出數(shù)據(jù)����、查詢或以其它方式與其交互。因此���,在這樣的示例中����,第一網(wǎng)絡(luò)中的資產(chǎn)檢測引擎可以包括適配成與特定裝置或服務(wù)交互的傳感器��,然而第二網(wǎng)絡(luò)中的資產(chǎn)檢測引擎可以忽略這樣的傳感器����。此外,一些傳感器可以集成或在本地實現(xiàn)于特定裝置或服務(wù)上���,并且對應(yīng)資產(chǎn)檢測引擎的能力可以受限為與其它網(wǎng)絡(luò)服務(wù)通信并且由此利用依賴于與網(wǎng)絡(luò)服務(wù)的通信(或��,在一些情況下����,同位)的其它傳感器��、以及其它示例。因此�,在一些實例中,多個資產(chǎn)檢測引擎可以部署在單個網(wǎng)絡(luò)中���,每個具有不同的一組傳感器�����。一些不同組的傳感器可以包括一個或多個相同傳感器���。此外�,盡管多個資產(chǎn)檢測引擎210a、210b可以部署在計算環(huán)境的網(wǎng)絡(luò)505����、510中,但是資產(chǎn)檢測引擎平臺(例如�,沒有傳感器的傳感器框架)可以跨資產(chǎn)檢測引擎210a、210b相同����,從而允許每個資產(chǎn)檢測引擎上的傳感器的自由添加(或移除)。
[0066]如上面和本文中其它地方所述�,通過資產(chǎn)檢測引擎(例如����,使用包括在資產(chǎn)檢測引擎中的一個或多個傳感器資產(chǎn)檢測引擎)的裝置和對應(yīng)地址信息的發(fā)現(xiàn)可被其它服務(wù)和裝置(例如其它資產(chǎn)檢測引擎和/或掃描引擎(例如�,515、520)所使用����。然而,在一些實例中���,地址信息單獨(dú)可能不足以由目標(biāo)為特定裝置的其它資產(chǎn)檢測引擎或掃描引擎引導(dǎo)或觸發(fā)任務(wù)�。例如����,可以在每個子網(wǎng)絡(luò)505和510中重復(fù)單個IPv6地址,忽略駐留在相同計算環(huán)境中的網(wǎng)絡(luò)505��、510 (例如企業(yè)軟件環(huán)境)����。因此,資產(chǎn)管理系統(tǒng)205可以利用附加的信息來識別包括在對應(yīng)于單個IPv6地址的特定實例的網(wǎng)絡(luò)中的合適的掃描引擎或資產(chǎn)檢測引擎�����。
[0067]作為說明性的示例,在圖5中在每個網(wǎng)絡(luò)505�����、510中提供主機(jī)裝置(即�����,系統(tǒng)型實體)���。例如����,寄宿有網(wǎng)站530的主機(jī)裝置525��、寄宿有數(shù)據(jù)庫540的主機(jī)裝置535�����、和打印機(jī)裝置545�、以及其它�����,可以包括在網(wǎng)絡(luò)505中。另外�����,在此特定示例中����,路由器550、主機(jī)裝置555��、以及移動計算裝置560可以包括在網(wǎng)絡(luò)510中����。在此特定示例中,主機(jī)525和主機(jī)555可以具備相同的IPv6地址��,以便識別和調(diào)用合適的引擎(例如�,掃描引擎520之一)來探測主機(jī)555,資產(chǎn)管理系統(tǒng)205可以維持檢測引擎的到掃描引擎的映射或其它關(guān)聯(lián)�。例如,資產(chǎn)管理系統(tǒng)205可以將資產(chǎn)檢測引擎210a映射到掃描引擎515以及將資產(chǎn)檢測引擎210b映射到掃描引擎520�,以由此也識別用于通過特定資產(chǎn)檢測引擎發(fā)現(xiàn)的主機(jī)或其它裝置的合適的掃描引擎(或其它資產(chǎn)檢測引擎)。
[0068]繼續(xù)根據(jù)圖5的以前的示例�����,發(fā)現(xiàn)引擎210b可以識別主機(jī)555的IPv6地址并且將所發(fā)現(xiàn)的地址信息報告給資產(chǎn)管理系統(tǒng)205。在此示例中���,資產(chǎn)管理系統(tǒng)205可以使用所返回的IPv6地址挑選執(zhí)行目標(biāo)為對應(yīng)裝置(例如主機(jī)555)的附加的探測和任務(wù)���,并且獲得關(guān)于主機(jī)555的附加的信息。為實現(xiàn)此����,資產(chǎn)管理系統(tǒng)可以識別主機(jī)555的IPv6地址從資產(chǎn)檢測引擎210b返回并且商議映射以識別位于與510相同的網(wǎng)絡(luò)并且適配成執(zhí)行所希望的任務(wù)的一個或多個掃描引擎。實際上�����,在一些實例中��,資產(chǎn)檢測引擎(例如���,210b)自身可以查詢或以其它方式范圍映射以識別和直接調(diào)用關(guān)聯(lián)的掃描引擎(例如,520)����。例如,在一些示例中,可以由調(diào)用多個資產(chǎn)檢測引擎210a���、210b和/或掃描引擎515�、520的資產(chǎn)管理系統(tǒng)(或資產(chǎn)檢測引擎210a����,210b)發(fā)起任務(wù)的所定義的序列。執(zhí)行任務(wù)序列可以包括識別在獲得關(guān)于一個或多個系統(tǒng)實體(例如����,525、530�、535、540�、545、550����、555、560�����,等)的地址和其它屬性的信息中所涉及的多個資產(chǎn)檢測引擎210a����、210b和/或掃描引擎515����、520之間的關(guān)聯(lián)���。任務(wù)的序列還可取決于以前的任務(wù)的結(jié)果(例如�,是否識別或識別了什么類型的地址信息或其它屬性信息����,裝置是否被檢測為活動等)。
[0069]可以使用各種技術(shù)構(gòu)建所關(guān)聯(lián)的資產(chǎn)檢測引擎210a�、210b和掃描引擎515、520的映射�����。例如���,資產(chǎn)檢測引擎可以手動并且顯式(例如����,通過用戶)與掃描引擎關(guān)聯(lián)��。在另一示例中����,資產(chǎn)檢測引擎和掃描引擎可以例如通過例如在相同主機(jī)裝置上與掃描引擎合作而部署資產(chǎn)檢測引擎來嚴(yán)格關(guān)聯(lián)(即,一個資產(chǎn)檢測引擎對一個掃描引擎���,并且反之亦然)���。在另外的其它示例中,可以自動映射��。例如�����,資產(chǎn)檢測引擎210a�����、21b和掃描引擎515���、520每個可以識別并映射到一個或多個特定網(wǎng)絡(luò)505����、510并且資產(chǎn)管理系統(tǒng)205可以識別從特定網(wǎng)絡(luò)(例如,510 )中的特定資產(chǎn)檢測弓I擎(例如���,210b )收集特定地址信息(例如��,對應(yīng)于特定裝置���,例如,550���、555��、560)���。在其它實例中,特定資產(chǎn)檢測引擎210a�����、210b可以直接映射到特定掃描引擎515��、520���。
[0070]在一些實現(xiàn)中�,資產(chǎn)檢測引擎210a、210b所收集的地址信息可用于關(guān)聯(lián)資產(chǎn)檢測引擎210a�����、210b和掃描引擎515�����、520 (和/或可用于識別資產(chǎn)檢測引擎處于與一個或多個掃描引擎相同的網(wǎng)絡(luò)中���,等)。例如�����,如果特定資產(chǎn)檢測引擎(來自210a)識別資產(chǎn)管理系統(tǒng)205已知的地址信息對應(yīng)于寄宿有一個或多個特定掃描引擎(例如����,515)的特定裝置,則資產(chǎn)管理系統(tǒng)205可以使用所返回的地址信息以確認(rèn)特定資產(chǎn)檢測引擎(例如�,210a)處于與對應(yīng)特定掃描引擎(例如,515)相同的網(wǎng)絡(luò)(例如����,205)上�����,以及特定掃描引擎將掃描目標(biāo)的地址信息視為對應(yīng)于網(wǎng)絡(luò)(例如��,205)���,而不是將掃描目標(biāo)與不同網(wǎng)絡(luò)(例如,510)上的另一目標(biāo)混淆��,以及其它示例���。例如�����,掃描引擎和/或檢測引擎可以識別與資產(chǎn)檢測引擎或掃描引擎的業(yè)務(wù)或行為相似的業(yè)務(wù)或行為����,并且由此識別它們每個處于相同的網(wǎng)絡(luò)中�����,或特定掃描引擎515以其它方式能夠到達(dá)對應(yīng)于由關(guān)聯(lián)資產(chǎn)檢測引擎所發(fā)現(xiàn)的地址信息的特定目標(biāo)裝置。
[0071]轉(zhuǎn)到圖6A-6H的示例,示出圖示包括示例資產(chǎn)檢測引擎(例如,210)的示例操作的簡化框圖600a-h����。如圖6A所示,多個未被發(fā)現(xiàn)的裝置(B卩���,系統(tǒng)型系統(tǒng)實體)610����、615���、620、625可以連接到網(wǎng)絡(luò)605��、通過網(wǎng)絡(luò)605通信����、或以其它方式結(jié)合網(wǎng)絡(luò)605操作而沒有由資產(chǎn)管理系統(tǒng)205在關(guān)聯(lián)安全策略到系統(tǒng)實體和執(zhí)行與系統(tǒng)實體相關(guān)的安全任務(wù)(包括所指派的安全策略的實施)時使用的由資產(chǎn)管理系統(tǒng)205維持的資產(chǎn)儲存庫。資產(chǎn)檢測引擎210(包括包含被動和主動傳感器的多個可插拔傳感器)可用于識別網(wǎng)絡(luò)605中的未發(fā)現(xiàn)的裝置����,以及未發(fā)現(xiàn)的裝置的地址數(shù)據(jù)。
[0072]在圖6A的示例中���,資產(chǎn)檢測引擎210上的基于事件的發(fā)現(xiàn)傳感器可用于識別網(wǎng)絡(luò)上的一個或多個裝置�。例如,調(diào)用裝置610的事件可以由一個或多個網(wǎng)絡(luò)服務(wù)在網(wǎng)絡(luò)上識別��,例如主動目錄服務(wù)器���、IDS�、防火墻或其它工具或服務(wù)(例如��,事件管理服務(wù)器630)����。事件管理服務(wù)器630可以檢測、注冊或記錄網(wǎng)絡(luò)上的事件(包括所檢測的事件中所涉及的裝置(例如��,610)的地址標(biāo)識符���。在一些實例中��,對于由事件管理服務(wù)器630所檢測的新事件���,基于事件的發(fā)現(xiàn)傳感器可以被報警和/或轉(zhuǎn)發(fā)事件數(shù)據(jù)。例如�,事件管理服務(wù)器630可以轉(zhuǎn)發(fā)特定事件到以前被識別為可能包括網(wǎng)絡(luò)中的裝置的地址信息的基于事件的發(fā)現(xiàn)傳感器����。在其它實例中�,基于事件的發(fā)現(xiàn)傳感器可以與事件管理服務(wù)器630對接并且查詢事件管理服務(wù)器630的事件記錄以識別新的事件數(shù)據(jù)和從該事件數(shù)據(jù)提取裝置地址數(shù)據(jù)。這樣的事件數(shù)據(jù)然后可以被資產(chǎn)檢測引擎210處理并且發(fā)送到資產(chǎn)管理系統(tǒng)205���。另外��,資產(chǎn)檢測引擎210可以從資產(chǎn)管理系統(tǒng)205接收指令以及其它通信����,例如用于根據(jù)一個或多個發(fā)現(xiàn)任務(wù)序列(包括多路徑發(fā)現(xiàn)任務(wù)序列樹)來執(zhí)行所發(fā)現(xiàn)的裝置的附加的探測的指令����,例如主動發(fā)現(xiàn)探測或所發(fā)現(xiàn)的IPIP地址的地址映射��、DNS名稱等��。
[0073]轉(zhuǎn)到圖6B����,表示裝置610的發(fā)現(xiàn)(B卩,呈現(xiàn)比裝置615���、620���、625的表示更高對比�,下文的遍及圖6A-6H的會議)����,包括對于由與資產(chǎn)檢測引擎610 —起包含的基于事件的發(fā)現(xiàn)傳感器的裝置610所發(fā)現(xiàn)的地址數(shù)據(jù)“地址I”。如圖6B所圖示���,裝置610和所關(guān)聯(lián)的地址信息“地址I”(例如����,裝置610的IPv6地址)的識別還可以被其它傳感器用來獲得附加的地址信息�����,以及發(fā)現(xiàn)裝置610的其它屬性�。在一些示例中,一旦識別出特定地址數(shù)據(jù)的發(fā)現(xiàn)�,資產(chǎn)檢測引擎210可以促進(jìn)另外的發(fā)現(xiàn)任務(wù)(例如,使用資產(chǎn)檢測引擎210上的其它傳感器)��。在其它實例中���,資產(chǎn)管理系統(tǒng)205可以驅(qū)動由資產(chǎn)檢測引擎的傳感器所執(zhí)行的任務(wù)����,例如基于新的地址信息的發(fā)現(xiàn)的任務(wù)。例如����,資產(chǎn)檢測引擎210可以返回裝置610的“地址I”的識別到資產(chǎn)管理系統(tǒng)205并且資產(chǎn)管理系統(tǒng)205可以處理“地址I”來確定地址信息(和/或關(guān)聯(lián)的裝置)是否已知。在任一種情況下����,資產(chǎn)管理系統(tǒng)205可以請求附加的發(fā)現(xiàn)任務(wù),例如DNS映射或ARP映射任務(wù)��,由此調(diào)用資產(chǎn)檢測引擎(例如�,210)上的特定傳感器。例如�,如圖6B的示例所示�����,資產(chǎn)檢測引擎210可以使用資產(chǎn)檢測引擎210上的DNS映射傳感器來在DNS服務(wù)器635處利用新發(fā)現(xiàn)的“地址I”作為輸入來執(zhí)行反向DMS映射���。DNS服務(wù)器635可以將地址I映射到例如特定DNS名稱����。此外,資產(chǎn)檢測引擎210處的DNS映射傳感器還可以請求對于“地址I”所返回的DNS名稱的前向DNS映射以確定是否任何其它地址數(shù)據(jù)(例如�,IP地址)映射到DNS名稱,該DNS名稱映射到“地址I ”����。以此方式(并且根據(jù)這樣的序列),DNS映射傳感器可以影響新發(fā)現(xiàn)的IP地址(例如�,IPv6地址)以發(fā)現(xiàn)其它IP地址(例如,“地址2”)�,以及裝置610的其它地址數(shù)據(jù)(例如DNS名稱)。實際上�����,如圖6C的示例所示�,對于裝置610已經(jīng)基于在圖6B的示例中所執(zhí)行的DNS查找638而返回一個附加的地址(“地址2”)。
[0074]在圖6C的示例中���,可以通過資產(chǎn)檢測引擎210的傳感器執(zhí)行附加的發(fā)現(xiàn)任務(wù)�,例如延遲型發(fā)現(xiàn)任務(wù)�。例如,資產(chǎn)檢測引擎210可以包括SPAN端口傳感器��,或能夠監(jiān)聽一個或多個交換機(jī)、路由器或網(wǎng)絡(luò)605中的其它網(wǎng)絡(luò)元件處的端口鏡像的其它傳感器����。例如,資產(chǎn)檢測引擎210的傳感器可以使用交換機(jī)640處的鏡像功能性(例如����,642)跨交換機(jī)640識別業(yè)務(wù)(包括特定網(wǎng)絡(luò)通信641的來源和目的地地址)。在此特定示例中����,由資產(chǎn)檢測引擎發(fā)現(xiàn)的來源IP地址可以對應(yīng)于以前未識別的裝置620 (或裝置620的以前未識別的IP地址)并且目的地IP地址還可以是資產(chǎn)管理系統(tǒng)205 (即,不包含在由資產(chǎn)管理系統(tǒng)205所維持的資產(chǎn)儲存庫中的地址)并且對應(yīng)于另一裝置615的IP地址����。如圖6D所示,由資產(chǎn)檢測210使用捕獲端口鏡像數(shù)據(jù)的傳感器(例如�,在交換機(jī)640的SPAN端口處)所發(fā)現(xiàn)的IP地址(例如,“地址3”和“地址4”)可以被通信到資產(chǎn)管理系統(tǒng)205�。另外,如圖6B的示例中那樣���,新發(fā)現(xiàn)的地址“地址3”和“地址4”還可以被資產(chǎn)檢測引擎210用來(例如,響應(yīng)于來自資產(chǎn)管理系統(tǒng)205的命令)執(zhí)行附加的發(fā)現(xiàn)任務(wù)�����,例如通過資產(chǎn)檢測引擎210上的另一傳感器(或者網(wǎng)絡(luò)605的另一資產(chǎn)檢測引擎或掃描引擎)鄰居發(fā)現(xiàn)請求、ARP查詢����、DNS映射等以發(fā)現(xiàn)所發(fā)現(xiàn)的裝置615、620的附加的地址(例如�����,“地址5”�、“地址6”和“地址7”)(例如,基于資產(chǎn)管理系統(tǒng)205和/或資產(chǎn)檢測引擎210所引導(dǎo)的特定任務(wù)序列)��。
[0075]轉(zhuǎn)到圖6E�,附加的傳感器可以包含于適配為執(zhí)行附加的發(fā)現(xiàn)任務(wù)(包括間接型發(fā)現(xiàn)任務(wù))的示例資產(chǎn)檢測引擎210中。作為示例���,如圖6E所示���,間接型傳感器可以查詢網(wǎng)絡(luò)(例如,605)上的其它網(wǎng)絡(luò)元件���、服務(wù)和計算裝置的記錄以識別網(wǎng)絡(luò)605上的已知和未知的裝置的以前未識別的地址信息���。例如��,在圖6E的示例中����,間接型傳感器可以用于查詢寄宿有一個或多個網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)管理服務(wù)器645 (例如DHCP服務(wù)器�、入侵檢測系統(tǒng)(IDS)系統(tǒng)或其它服務(wù)器)的數(shù)據(jù)結(jié)構(gòu)(例如數(shù)據(jù)庫),在該其它服務(wù)器的操作中�,在由網(wǎng)絡(luò)管理服務(wù)器645管理的數(shù)據(jù)結(jié)構(gòu)中記錄網(wǎng)絡(luò)605中的裝置的地址信息。在其它示例中�����,間接型傳感器可以用來查詢由網(wǎng)絡(luò)605中的網(wǎng)絡(luò)元件650所維持的數(shù)據(jù)結(jié)構(gòu)�,例如,由如圖6F的路由器650或網(wǎng)絡(luò)605中的其它計算裝置(包括網(wǎng)絡(luò)元件)所維持的MAC地址表�����。在任一實例中�����,通過間接發(fā)現(xiàn)型傳感器的網(wǎng)絡(luò)605中的其它服務(wù)或網(wǎng)絡(luò)元件的查詢可以用于識別更進(jìn)一步的地址信息(例如,“地址8”)以及網(wǎng)絡(luò)605中的對應(yīng)裝置(例如�,裝置625)����。
[0076]間接型傳感器可以查詢來源網(wǎng)絡(luò)管理服務(wù)器(例如,645)或網(wǎng)絡(luò)元件(例如�����,650)以獲得含有由地址數(shù)據(jù)來源(例如����,645、650)所收集的地址信息的數(shù)據(jù)結(jié)構(gòu)的全集或子集����。例如,在一些示例中�,可以響應(yīng)于查詢而由資產(chǎn)檢測引擎210的傳感器返回一組未過濾的數(shù)據(jù),并且由資產(chǎn)檢測引擎210和/或資產(chǎn)管理系統(tǒng)205處理來識別資產(chǎn)管理系統(tǒng)205感興趣的地址信息(例如�,與由資產(chǎn)儲存庫維持的地址信息相比新的或不同的地址信息的識別)。在其它實例中��,資產(chǎn)檢測引擎210的間接發(fā)現(xiàn)型傳感器可以執(zhí)行來源網(wǎng)絡(luò)管理服務(wù)器645的過濾的查詢��,例如,以返回來自網(wǎng)絡(luò)管理服務(wù)器645的數(shù)據(jù)的子集����,例如由網(wǎng)絡(luò)管理服務(wù)器645最新收集的數(shù)據(jù)、在特定時間段期間收集的數(shù)據(jù)等�����。此外��,如在其它示例中那樣�����,通過由資產(chǎn)檢測引擎210的間接發(fā)現(xiàn)型傳感器所執(zhí)行的間接發(fā)現(xiàn)技術(shù)而收集的地址信息可用作由其它傳感器執(zhí)行的其它發(fā)現(xiàn)任務(wù)(例如DNS映射(例如,655)或其它任務(wù))的輸入或催化劑����,該其它任務(wù)可用于發(fā)現(xiàn)更進(jìn)一步的屬性和地址信息(例如,“地址9”����、“地址10”),如圖6G和6H的示例所示�����。
[0077]轉(zhuǎn)到圖6H,除執(zhí)行被動發(fā)現(xiàn)和在一些情況下的間接發(fā)現(xiàn)任務(wù)鏈或系列(例如��,根據(jù)在可能的任務(wù)序列庫中的一個特定任務(wù)序列而使用被動傳感器285)以發(fā)現(xiàn)新的地址信息和對應(yīng)網(wǎng)絡(luò)裝置(例如�����,610����、615��、620�、625)之外,資產(chǎn)檢測引擎210還可以利用由以前的被動發(fā)現(xiàn)任務(wù)所發(fā)現(xiàn)的信息而激勵主動發(fā)現(xiàn)傳感器(例如���,280)來執(zhí)行針對所發(fā)現(xiàn)的裝置610�����、615���、620、625的主動發(fā)現(xiàn)任務(wù)(例如�,另外根據(jù)特定所定義的任務(wù)序列)���。在一些實現(xiàn)中,主動發(fā)現(xiàn)傳感器在不具有目標(biāo)裝置的特定識別(例如�,目標(biāo)裝置IP地址)的情況下,有可能不能夠執(zhí)行其發(fā)現(xiàn)任務(wù)��。因此��,特定裝置的一個或多個地址的發(fā)現(xiàn)可用于資產(chǎn)檢測引擎210的一個或多個主動發(fā)現(xiàn)傳感器來發(fā)現(xiàn)附加的地址信息和所發(fā)現(xiàn)的裝置610�、615、620,625的屬性��。另外��,資產(chǎn)管理系統(tǒng)205還可以識別掃描引擎和其它工具(其可以使用所發(fā)現(xiàn)的裝置610�����、615���、620���、625的地址信息)來執(zhí)行裝置610、615��、620、625的掃描并識別裝置610����、615、620����、625的屬性(包括裝置610、615�����、620�、625的類型���、硬件�、外圍設(shè)備�、操作系統(tǒng)、弱點�����、軟件安裝等)�,以及其它示例���。
[0078]作為示例,在圖6H中��,資產(chǎn)檢測引擎210的一個或多個主動發(fā)現(xiàn)傳感器可以使用所發(fā)現(xiàn)的地址信息(例如���,“地址1-10 ”)來執(zhí)行附加的發(fā)現(xiàn)任務(wù)(例如���,660、665���、670����、675 )以及獲得對應(yīng)裝置610����、615、620����、625的此外的地址信息和/或?qū)傩裕约熬W(wǎng)絡(luò)605上的其它裝置或?qū)嶓w(例如�,人和應(yīng)用)���。主動發(fā)現(xiàn)傳感器從以前收集的地址信息識別裝置610、615�����、620,625并且發(fā)送包到裝置610���、615�����、620����、625并且探測裝置對包的響應(yīng)以便將這樣的信息識別為在裝置上活動的端口�����、裝置的操作系統(tǒng)�、由裝置所使用的協(xié)議����、由裝置提供的服務(wù)等等����。在一些實例中�,可以并行實現(xiàn)通過資產(chǎn)檢測引擎210的一個或多個主動發(fā)現(xiàn)傳感器的裝置610、615�、620、625的直接探測�����。另外�,資產(chǎn)管理系統(tǒng)可以引導(dǎo)資產(chǎn)檢測引擎210關(guān)于要由傳感器執(zhí)行的探測的類型以及要被探測的裝置。附加的裝置信息(包括從探測所檢索的地址信息)然后可以被檢索并通信到資產(chǎn)管理系統(tǒng)以進(jìn)一步補(bǔ)充和改進(jìn)其資產(chǎn)儲存庫�,從而允許所探測的裝置的人和應(yīng)用被識別,裝置(以及其它系統(tǒng)實體)被標(biāo)記或以其它方式分組����,使安全策略指派給它們,以及基于使用一個或多個資產(chǎn)檢測引擎(以及在一些實現(xiàn)中為掃描引擎)所發(fā)現(xiàn)的屬性而執(zhí)行的附加的安全任務(wù)���。
[0079]圖7A-7C是圖示在計算環(huán)境中利用發(fā)現(xiàn)技術(shù)的示例技術(shù)的簡化流程圖700a_c����。例如,在圖7A的示例中����,可以使用安裝在采用刀片架構(gòu)的可插拔資產(chǎn)檢測引擎上的第一可插拔傳感器來識別705網(wǎng)絡(luò)中的特定計算裝置的地址信息。第一傳感器可以采用被動發(fā)現(xiàn)技術(shù)來識別地址信息�����。地址信息可以包括特定計算裝置的IPv4地址�����、IPv6地址�����、MAC地址等�����。安裝在相同的資產(chǎn)檢測引擎上的第二可插拔傳感器可用于識別210特定計算裝置的附加的地址信息����。第二傳感器還可采用被動發(fā)現(xiàn)技術(shù)���,或可以是主動發(fā)現(xiàn)傳感器��,補(bǔ)充對于使用第一傳感器的特定計算裝置所發(fā)現(xiàn)的地址信息進(jìn)行補(bǔ)充的任何實例中��。此外��,第二傳感器可以響應(yīng)于由第一傳感器的地址信息的識別705而執(zhí)行發(fā)現(xiàn)任務(wù)�����。例如�����,當(dāng)使用第一傳感器發(fā)現(xiàn)地址信息時�����,可以利用通過第二傳感器的觸發(fā)動作的所定義的任務(wù)序列��。在其它實例中�,當(dāng)?shù)谝粋鞲衅魑闯晒Πl(fā)現(xiàn)使用資產(chǎn)檢測引擎可插拔傳感器所識別和收集的地址信息可以通信215到資產(chǎn)管理系統(tǒng)時,可以采取其它動作����,例如,對于與由資產(chǎn)管理系統(tǒng)所維持的資產(chǎn)儲存庫中所描述的特定計算裝置的關(guān)聯(lián),用于觸發(fā)特定計算裝置的資產(chǎn)管理系統(tǒng)的使用���、以及以其它方式指派(或?qū)嵤?安全策略到特定計算裝置(以及代表特定計算裝置實施安全策略)����,以及其它示例�����。
[0080]轉(zhuǎn)到圖7B的流程圖700b���,可以在定義計算環(huán)境中的系統(tǒng)實體之間的關(guān)系的特定集合的分層的資產(chǎn)儲存庫中識別720特定系統(tǒng)實體����。特定標(biāo)簽可以指派給包括在資產(chǎn)儲存庫中的特定系統(tǒng)實體的記錄��。標(biāo)簽可以由用戶指派725或可以由資產(chǎn)管理系統(tǒng)自動指派725��,例如結(jié)合識別特定系統(tǒng)實體的一個或多個屬性并且基于一個或多個所識別的屬性而應(yīng)用標(biāo)記規(guī)則�。這樣的屬性可以由與資產(chǎn)管理系統(tǒng)通信的資產(chǎn)檢測引擎和掃描引擎中的一個或兩者識別。特定系統(tǒng)實體的標(biāo)記可以使特定安全策略基于標(biāo)簽的指派725而與特定系統(tǒng)實體關(guān)聯(lián)730��。實際上��,所指派的特定安全策略可以應(yīng)用于或關(guān)聯(lián)于730至少包括該標(biāo)簽的一組特定標(biāo)簽的一組系統(tǒng)實體���。在一些實例中�,可以基于用單個特定標(biāo)簽或標(biāo)簽的特定組合標(biāo)記的系統(tǒng)實體來將安全策略應(yīng)用于系統(tǒng)實體(例如����,僅具有組合中的每個標(biāo)簽的實體會具有應(yīng)用于其的安全策略),在其它實例中��,一組標(biāo)簽可以包括備選標(biāo)簽�����,其中����,被指派了特定組的標(biāo)簽的任何一個的任何系統(tǒng)實體會具有與系統(tǒng)實體關(guān)聯(lián)并且應(yīng)用于系統(tǒng)實體的相關(guān)聯(lián)的安全策略。
[0081]轉(zhuǎn)到圖7C的流程圖700c���,可以構(gòu)建IPv6地址的儲存庫以由此輔助采用IPv6尋址的裝置和網(wǎng)絡(luò)的識別和掃描���。可用對于特定計算環(huán)境(例如特定企業(yè)或組織的計算環(huán)境)開發(fā)這樣的儲存庫�����,或可以開發(fā)嘗試捕獲在許多網(wǎng)絡(luò)(包括跨因特網(wǎng))中使用的所有IPv6地址的儲存庫?����?墒褂脙Υ鎺?���,例如,識別特定裝置�,其可以被掃描或探測,對于附加的屬性并且發(fā)現(xiàn)附加的系統(tǒng)實體���,例如計算裝置上的特定應(yīng)用�����、計算裝置的用戶等����。網(wǎng)絡(luò)中的特定計算裝置的IPv6地址可以使用被動發(fā)現(xiàn)傳感器來識別740��。被動發(fā)現(xiàn)傳感器可以是����,例如���,延遲型發(fā)現(xiàn)傳感器���、基于事件的發(fā)現(xiàn)傳感器�����、或間接型發(fā)現(xiàn)傳感器�����,并且在一些實現(xiàn)中可以是適配成包括在資產(chǎn)檢測引擎的可擴(kuò)充��、類似刀片架構(gòu)中的可插拔傳感器�����?��?梢允褂盟R別的IPv6地址來使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行745?�?梢酝ㄟ^相同的被動發(fā)現(xiàn)傳感器、另一被動發(fā)現(xiàn)傳感器(例如地址映射傳感器)或主動發(fā)現(xiàn)傳感器以及其它示例來執(zhí)行第二發(fā)現(xiàn)任務(wù)�����。在一些實例中��,可以響應(yīng)于IPv6地址的識別740來使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行745���,例如����,結(jié)合所定義的任務(wù)序列���?��?梢詮牡诙l(fā)現(xiàn)任務(wù)的結(jié)果來識別750特定計算裝置的附加的屬性(包括附加的IPv6地址和非地址屬性)。在一些情況下�����,IPv6地址和附加的屬性可以被添加到表示第一地址信息和特定裝置存在于網(wǎng)絡(luò)上的證據(jù)的資產(chǎn)儲存庫����。
[0082]雖然已經(jīng)在某些實現(xiàn)和通常關(guān)聯(lián)的方法方面來描述本公開���,但是這些實現(xiàn)和方法的改變和置換將對于本領(lǐng)域技術(shù)人員而言是顯而易見的。例如����,本文描述的動作可以用不同于所描述的次序來執(zhí)行并且仍然實現(xiàn)合意的結(jié)果。作為一個示例����,在附圖中描繪的過程不一定需要所示出的特定次序或順序��,來實現(xiàn)所希望的結(jié)果��。圖示的系統(tǒng)和工具可以類似地采用備選架構(gòu)��、部件和模塊來實現(xiàn)類似結(jié)果和功能性�����。例如��,在某些實現(xiàn)中����,多任務(wù)�����、并行處理���、和基于云的解決方案可以是有利的。在一個備選系統(tǒng)或工具中��,在可移除存儲裝置(例如���,便攜式硬驅(qū)動���、拇指驅(qū)動等)上可以采用簡化的移動通信裝置的無線認(rèn)證功能性。在這樣的實例中����,可移除存儲裝置可以缺乏用戶接口但是具備無線接入功能性用于連接到短范圍網(wǎng)絡(luò)(例如,藍(lán)牙)上的協(xié)作計算裝置���,并且與短范圍網(wǎng)絡(luò)上的協(xié)作計算裝置共享認(rèn)證數(shù)據(jù)來鑒別到一個或多個協(xié)作計算裝置的無線����、便攜式存儲裝置的持有者,允許用戶既通過無線存儲裝置獲得接入(并且保護(hù))協(xié)作計算裝置�����,又使用鑒別的協(xié)作計算裝置來接入���、消耗�����、并且修改在硬驅(qū)動上存儲的數(shù)據(jù)��。其它系統(tǒng)和工具還可使用本公開的原理。此外����,可以支持不同的用戶接口布局和功能性。其它變化是在下文的權(quán)利要求的范圍內(nèi)��。
[0083]主題的實施例和在本說明書中描述的操作可以實現(xiàn)在數(shù)字電子電路中��,或在計算機(jī)軟件���、固件����、或硬件中(包含在本說明書中公開的結(jié)構(gòu)和它們的結(jié)構(gòu)等效),或在它們的一個或多個的組合中���。在本說明書中描述的主題的實施例可以實現(xiàn)為一個或多個計算機(jī)程序(B卩�,計算機(jī)程序指令的一個或多個模塊)����,它們是在計算機(jī)存儲介質(zhì)上編碼用于執(zhí)行或控制數(shù)據(jù)處理器件的操作。備選地或此外�����,程序指令可以在人工生成的傳播信號上編碼����,例如,機(jī)器生成的電�����、光�����、或電磁信號,被生成來編碼信息用于到合適的接收器器件的傳送用于由數(shù)據(jù)處理器件執(zhí)行��。計算機(jī)存儲介質(zhì)可以是���、或包含于計算機(jī)可讀存儲裝置����、計算機(jī)可讀存儲基板����、隨機(jī)或串行訪問存儲器陣列或裝置、或它們的一個或多個的組合�。此外,雖然計算機(jī)存儲介質(zhì)本身不是傳播信號���,但是計算機(jī)存儲介質(zhì)可以是在人工生成的傳播信號中編碼的計算機(jī)程序指令的來源或目的地。計算機(jī)存儲介質(zhì)還可以是�、或包含于一個或多個單獨(dú)的物理部件或介質(zhì)(例如,多個CD����、磁盤、或其它存儲裝置)��,包含分布式軟件環(huán)境或云計算環(huán)境。
[0084]網(wǎng)絡(luò)(包含核心和接入網(wǎng)絡(luò)�,包含無線接入網(wǎng)絡(luò))可以包含一個或多個網(wǎng)絡(luò)元件。網(wǎng)絡(luò)元件可以包含各種類型的路由器�����、交換器���、網(wǎng)關(guān)��、網(wǎng)橋����、負(fù)載平衡器���、防火墻��、服務(wù)器��、工作站�、內(nèi)聯(lián)服務(wù)節(jié)點��、代理器���、處理器�����、模塊�����、或用于在網(wǎng)絡(luò)環(huán)境中交換信息的任何其它合適的裝置���、部件�、元件�����、或?qū)ο?�。網(wǎng)絡(luò)元件可包含適當(dāng)?shù)奶幚砥?���、存儲器元件����、硬件?或軟件來支持(或以其它方式執(zhí)行)與使用處理器用于屏幕管理功能性關(guān)聯(lián)的活動�,如本文勾勒的�。此外,網(wǎng)絡(luò)元件可包含促進(jìn)其操作的任何合適的部件��、模塊����、接口、或?qū)ο?��。此可包含適當(dāng)?shù)乃惴ê屯ㄐ艆f(xié)議��,它們允許數(shù)據(jù)或信息的有效交換��。
[0085]在本說明書中描述的操作可以實現(xiàn)為由數(shù)據(jù)處理器件對數(shù)據(jù)(存儲在一個或多個計算機(jī)可讀存儲裝置上或接收自其它來源)執(zhí)行的操作����。術(shù)語〃數(shù)據(jù)處理器件〃����、“處理器”、〃處理裝置〃和〃計算裝置〃可以包含用于處理數(shù)據(jù)的所有種類的器件�、裝置、機(jī)器��,以示例的方式包含可編程處理器、計算機(jī)����、片上系統(tǒng)、或以上的多個或組合����。器件可以包括通用或?qū)S眠壿嬰娐罚?����,中央處理單?CPU)����、葉片、專用集成電路(ASIC)�����、或現(xiàn)場可編程門陣列(FPGA)��,除了其它合適的選項����。雖然一些處理器和計算裝置已經(jīng)描述和/或圖示為單個處理器,但是可根據(jù)關(guān)聯(lián)的服務(wù)器的特定需要來使用多個處理器�����。對單個處理器的參考旨在包含其中可應(yīng)用的多個處理器��。一般而言����,處理器執(zhí)行指令并且操縱數(shù)據(jù)來執(zhí)行某些操作。除硬件以外��,器件還可包含為正被討論的計算機(jī)程序創(chuàng)建執(zhí)行環(huán)境的代碼���,例如����,組成處理器固件�����、協(xié)議棧��、數(shù)據(jù)庫管理系統(tǒng)���、操作系統(tǒng)����、跨平臺運(yùn)行時間環(huán)境、虛擬機(jī)���、或它們的一個或多個的組合的代碼�。器件和執(zhí)行環(huán)境可以實現(xiàn)各種不同的計算模型基礎(chǔ)結(jié)構(gòu)�����,例如網(wǎng)絡(luò)服務(wù)�����、分布式計算和網(wǎng)格計算基礎(chǔ)結(jié)構(gòu)����。
[0086]計算機(jī)程序(也稱為程序、軟件�����、軟件應(yīng)用、腳本���、模塊�、(軟件)工具��、(軟件)引擎���、或代碼)可以用任何形式的編程語言來編寫,包含匯編或解釋語言�、陳述性或程序性語言,并且可以用任何形式來部署�,包含作為獨(dú)立的程序或作為模塊、部件�����、子例程�、對象、或適用于計算環(huán)境的其它單元����。例如,計算機(jī)程序可包含計算機(jī)可讀指令����、固件�、有線或編程硬件���、或有形介質(zhì)的任何其組合(當(dāng)執(zhí)行時����,用于至少執(zhí)行本文描述的過程和操作)����。計算機(jī)程序可,但不需要對應(yīng)于文件系統(tǒng)中的文件��。程序可以存儲在保存其它程序或數(shù)據(jù)(例如�,存儲在標(biāo)注語言文檔中的一個或多個腳本)的文件的一部分中,存儲在專用于正被討論的程序的單個文件中��,或存儲在多個協(xié)作文件(例如��,存儲一個或多個模塊�、子程序、或代碼的一部分的文件)中�。計算機(jī)程序可以部署為在一個計算機(jī)或多個計算機(jī)(位于一個站點或跨過多個站點分布并且由通信網(wǎng)絡(luò)互連)上執(zhí)行。
[0087]程序可以實現(xiàn)為通過各種對象�����、方法、或其它過程來實現(xiàn)各種特征和功能性的個別模塊���,或可反而包含多個子模塊�、第三方服務(wù)�����、部件�、庫����、等等合適的。相反地�,各種部件的特征和功能性可以合適地組合到單個部件中。在某些情況下���,程序和軟件系統(tǒng)可實現(xiàn)為復(fù)合主機(jī)應(yīng)用�����。例如�,復(fù)合應(yīng)用的一部分可實現(xiàn)為企業(yè)Java Beans (EJB)或設(shè)計時間部件可具有能力來將運(yùn)行時間實現(xiàn)生成到不同的平臺,例如J2EE (Java 2平臺���,企業(yè)版本)����、ABAP(高級商業(yè)應(yīng)用編程)對象�����、或微軟的.NET�,除了其它以外。此外����,應(yīng)用可表示經(jīng)由網(wǎng)絡(luò)(例如,通過因特網(wǎng))接入并且執(zhí)行的基于網(wǎng)絡(luò)的應(yīng)用���。另外����,可存儲�����、參考、或遠(yuǎn)程執(zhí)行與特定主機(jī)應(yīng)用或服務(wù)關(guān)聯(lián)的一個或多個過程��。例如�,特定主機(jī)應(yīng)用或服務(wù)的一部分可以是與遠(yuǎn)程調(diào)用的應(yīng)用關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù),而主機(jī)應(yīng)用的另一部分可以是捆綁用于在遠(yuǎn)程客戶端處處理的接口對象或代理器��。此外�,任何或所有主機(jī)應(yīng)用和軟件服務(wù)可以是另一軟件模塊或企業(yè)應(yīng)用(未圖示)的子成員或子模塊而不背離本公開的范圍。更進(jìn)一步�,主機(jī)應(yīng)用的一部分可以由直接工作在托管應(yīng)用的服務(wù)器處(以及遠(yuǎn)程在客戶端處)的用戶來執(zhí)行。
[0088]在本說明書中描述的過程和邏輯流可以由執(zhí)行一個或多個計算機(jī)程序的一個或多個可編程處理器來執(zhí)行以通過在輸入數(shù)據(jù)上操作并且生成輸出而執(zhí)行動作�。過程和邏輯流還可由專用邏輯電路(例如,F(xiàn)PGA (現(xiàn)場可編程門陣列)或ASIC (專用集成電路))來執(zhí)行�����,并且器件還可實現(xiàn)為專用邏輯電路(例如�,F(xiàn)PGA (現(xiàn)場可編程門陣列)或ASIC (專用集成電路))��。
[0089]適合于計算機(jī)程序的執(zhí)行的處理器以示例的方式包含通用和專用微處理器兩者�����、以及任何種類的數(shù)字計算機(jī)的任何一個或多個處理器�。一般而言����,處理器將從只讀存儲器或隨機(jī)存取存儲器或兩者接收指令和數(shù)據(jù)�。計算機(jī)的基本元件是用于根據(jù)指令來執(zhí)行動作的處理器和用于存儲指令和數(shù)據(jù)的一個或多個存儲器裝置。一般而言���,計算機(jī)將也包含��、或操作地耦合到接收數(shù)據(jù)自或傳遞數(shù)據(jù)至(或兩者)用于存儲數(shù)據(jù)的一個或多個大容量存儲裝置(例如���,磁性、磁光盤��、或光盤)���。然而����,計算機(jī)不需要具有這樣的裝置���。此外�,計算機(jī)可以嵌在另一裝置中��,例如,移動電話����、個人數(shù)字助理(PDA)、平板計算機(jī)�����、移動音頻或視頻播放器�、游戲控制臺、全球定位系統(tǒng)(GPS)接收器�、或便攜式存儲裝置(例如,通用串行總線(USB)閃存驅(qū)動)�����、僅舉幾例�。適合于存儲計算機(jī)程序指令和數(shù)據(jù)的裝置包含所有形式的非易失性存儲器�、介質(zhì)和存儲器裝置,以示例的方式包含半導(dǎo)體存儲器裝置(例如���,EPR0M�、EEPR0M���、和閃速存儲器裝置)���;磁盤(例如����,內(nèi)部硬盤或可移除磁盤)��;磁光盤���;以及⑶ROM和DVD-ROM磁盤����。處理器和存儲器可以由專用邏輯電路補(bǔ)充���,或并入專用邏輯電路���。
[0090]為提供與用戶的交互,在本說明書中描述的主題的實施例可以實現(xiàn)在具有顯示裝置(例如���,CRT (陰極射線管)或LCD (液晶顯示器)監(jiān)視器���,用于向用戶顯示信息)以及鍵盤和指向裝置(例如�����,鼠標(biāo)或跟蹤球����,用戶借此可以向計算機(jī)提供輸入)的計算機(jī)上����。其它種類的裝置也可用于提供與用戶的交互;例如����,向用戶提供的反饋可以是任何形式的傳感器反饋(例如,視覺反饋���、聽覺反饋���、或觸覺反饋);并且來自用戶的輸入可以用任何形式來接收���,包含聲學(xué)、語音�、或觸覺輸入�。此外���,計算機(jī)可以通過發(fā)送文檔至并且接收文檔自用戶所使用的裝置(包含遠(yuǎn)程裝置)來與用戶交互�。
[0091]在本說明書中描述的主題的實施例可以實現(xiàn)在計算系統(tǒng)中��,計算系統(tǒng)包含后端部件(例如���,數(shù)據(jù)服務(wù)器)����、或包含中間件部件(例如���,應(yīng)用服務(wù)器)�����、或包含前端部件(例如�����,具有圖形用戶接口或網(wǎng)絡(luò)瀏覽器的客戶端計算機(jī)�����,用戶可以通過圖形用戶接口或網(wǎng)絡(luò)瀏覽器來與在本說明書中描述的主題的實現(xiàn)交互)�、或包含一個或多個這樣的后端部件、中間件或前端部件的任何組合����。系統(tǒng)的部件可以由任何形式或介質(zhì)的數(shù)字?jǐn)?shù)據(jù)通信(例如,通信網(wǎng)絡(luò))互連�。通信網(wǎng)絡(luò)的示例包含用于促進(jìn)系統(tǒng)中的各種計算部件之間的通信的任何內(nèi)部或外部網(wǎng)絡(luò)、網(wǎng)絡(luò)�����、子網(wǎng)絡(luò)�、或其組合。例如���,網(wǎng)絡(luò)可通信因特網(wǎng)協(xié)議(IP)包����、幀中繼器幀����、異步傳遞模式(ATM)小區(qū)�����、語音、視頻��、數(shù)據(jù)�����、和網(wǎng)絡(luò)地址之間的其它合適的信息��。網(wǎng)絡(luò)還可包含一個或多個局域網(wǎng)(LAN)����、無線電接入網(wǎng)絡(luò)(RAN)、城域網(wǎng)(MAN)��、廣域網(wǎng)(WAN)��、所有或部分因特網(wǎng)���、對等體對對等體網(wǎng)絡(luò)(例如���,特別的對等體對對等體網(wǎng)絡(luò))���,和/或在一個或多個位置處的任何其它通信系統(tǒng)或系統(tǒng)。
[0092]計算系統(tǒng)可以包括客戶端和服務(wù)器���?��?蛻舳朔?wù)器通常彼此遠(yuǎn)離并且典型地通過通信網(wǎng)絡(luò)來交互?�?蛻舳撕头?wù)器的關(guān)系是由于在相應(yīng)計算機(jī)上運(yùn)行并且彼此具有客戶端服務(wù)器關(guān)系的計算機(jī)程序而出現(xiàn)�。在一些實施例中,服務(wù)器傳送數(shù)據(jù)(例如����,HTML頁面)到客戶端裝置(例如,出于顯示數(shù)據(jù)至并且接收用戶輸入自與客戶端裝置交互的用戶的目的)�。在客戶端裝置處生成的數(shù)據(jù)(例如,用戶交互的結(jié)果)可以在服務(wù)器處接收自客戶端裝置��。
[0093]雖然本說明書包含許多具體實現(xiàn)細(xì)節(jié)���,但是這些不應(yīng)解釋為對任何發(fā)明或可要求保護(hù)的范圍的限制��,而是具體到特定發(fā)明的特定實施例的特征的描述���。在本說明書中在單獨(dú)實施例的上下文中描述的某些特征還可組合實現(xiàn)在單個實施例中�。相反地�,在單個實施例的上下文中描述的各種特征還可單獨(dú)地實現(xiàn)在多個實施例中或?qū)崿F(xiàn)在任何合適的子組合中。此外�,雖然特征可以上描述為以某些組合起作用并且甚至最初是如此要求保護(hù)的��,但是來自要求保護(hù)的組合的一個或多個特征可以在一些情況下脫離組合��,并且要求保護(hù)的組合可指向子組合或子組合的變化�����。
[0094]類似地��,雖然圖中的操作是以特定次序來描繪��,但是這不應(yīng)該理解為需要以示出的特定次序或順序來執(zhí)行這樣的操作����,或需要執(zhí)行所有圖示的操作來實現(xiàn)合意的結(jié)果。在某些情況下����,多任務(wù)和并行處理可以是有利的���。此外���,在上述實施例中的各種系統(tǒng)部件的分離不應(yīng)理解為在所有實施例中都需要這樣的分離,并且應(yīng)該理解描述的程序部件和系統(tǒng)可以通常一起整合在單個軟件產(chǎn)品中或封裝到多個軟件產(chǎn)品中����。
[0095]因此,已經(jīng)描述主題的特定實施例��。其它實施例是在下文的權(quán)利要求的范圍內(nèi)�����。在一些情況下�����,在權(quán)利要求中敘述的動作可以用不同的次序來執(zhí)行并且仍然實現(xiàn)合意的結(jié)果�����。此外��,在附圖中描繪的過程不一定需要示出的特定次序或順序來實現(xiàn)合意的結(jié)果�。
【權(quán)利要求】
1.一種方法�����,包括: 使用執(zhí)行第一發(fā)現(xiàn)任務(wù)的第一被動發(fā)現(xiàn)傳感器來識別網(wǎng)絡(luò)內(nèi)的特定計算裝置的第一因特網(wǎng)協(xié)議版本6 (IPv6)地址��; 使用所述第一 IPv6地址使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行�; 從所述第二發(fā)現(xiàn)任務(wù)的結(jié)果識別所述特定計算裝置的屬性����;以及 將所述特定裝置的所述第一 IPv6地址和屬性添加到維持網(wǎng)絡(luò)中的所檢測到的IPv6地址的記錄的儲存庫���。
2.如權(quán)利要求1所述的方法��,其中根據(jù)預(yù)定發(fā)現(xiàn)任務(wù)序列來執(zhí)行所述第二發(fā)現(xiàn)任務(wù)����,并且所述第二發(fā)現(xiàn)任務(wù)在所述序列中在所述第一發(fā)現(xiàn)任務(wù)之后�。
3.如權(quán)利要求2所述的方法,其中響應(yīng)于使用所述第一發(fā)現(xiàn)任務(wù)的IPv6地址的識別而在序列中執(zhí)行所述第二發(fā)現(xiàn)任務(wù)���。
4.如權(quán)利要求1所述的方法�,其中所述第二發(fā)現(xiàn)任務(wù)是由主動發(fā)現(xiàn)傳感器執(zhí)行的主動發(fā)現(xiàn)任務(wù)�,以及所述第二發(fā)現(xiàn)任務(wù)包括發(fā)送數(shù)據(jù)到在所述第一 IPv6地址的所述特定計算裝置并且監(jiān)測所述特定計算裝置對所發(fā)送的數(shù)據(jù)的響應(yīng)�����。
5.如權(quán)利要求1所述的方法�����,其中所述屬性包括所述特定計算裝置的另一地址���。
6.如權(quán)利要求2所述的方法,其中其它地址具有不同于IPv6的類型����。
7.如權(quán)利要求6所述的方法,還包括使用所述其它地址來確定所述特定計算裝置的第二 IPv6地址�����。
8.如權(quán)利要求7所述的方法�,其中所述其它地址是所述特定計算裝置的域名服務(wù)(DNS)名稱,所述第二發(fā)現(xiàn)任務(wù)包括使用所述第一 IPv6地址的反向DNS查詢�����、以及從使用所述DNS名稱的DNS查詢確定所述第二 IPv6地址。
9.如權(quán)利要求1所述的方法��,還包括確定所述特定計算裝置是否已經(jīng)在所述儲存庫中被識別���,其中響應(yīng)于確定所述特定計算裝置是在所述第一 IPv6地址的識別之前所述網(wǎng)絡(luò)上的未發(fā)現(xiàn)的計算裝置來執(zhí)行所述第二發(fā)現(xiàn)任務(wù)��。
10.如權(quán)利要求1所述的方法�����,其中所述第一發(fā)現(xiàn)任務(wù)是從描述由所述網(wǎng)絡(luò)上的事件管理服務(wù)所識別的網(wǎng)絡(luò)中的事件的事件記錄數(shù)據(jù)來識別IPv6地址的基于事件的發(fā)現(xiàn)任務(wù)��。
11.如權(quán)利要求10所述的方法����,其中所述第一被動發(fā)現(xiàn)傳感器適配成訪問動態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器事件�、主動目錄審計事件�、防火墻事件、以及入侵防止系統(tǒng)(IPS)事件中的至少一個的事件記錄數(shù)據(jù)�����。
12.如權(quán)利要求1所述的方法�����,其中所述第一發(fā)現(xiàn)任務(wù)是從由所述第一被動發(fā)現(xiàn)傳感器所監(jiān)測的網(wǎng)絡(luò)業(yè)務(wù)識別IPv6地址的延遲型發(fā)現(xiàn)任務(wù)。
13.如權(quán)利要求12所述的方法�����,其中所述第一被動發(fā)現(xiàn)傳感器適配成監(jiān)測所述網(wǎng)絡(luò)業(yè)務(wù)中的NetB1S廣播包�����、因特網(wǎng)控制消息協(xié)議版本6 (ICMPv6)網(wǎng)絡(luò)業(yè)務(wù)和經(jīng)由端口鏡像的網(wǎng)絡(luò)業(yè)務(wù)中的至少一個��。
14.如權(quán)利要求1所述的方法�����,其中所述第一發(fā)現(xiàn)任務(wù)是從查詢遠(yuǎn)離所述特定計算裝置而寄宿的所述網(wǎng)絡(luò)的網(wǎng)絡(luò)服務(wù)的記錄而識別IPv6地址的間接型發(fā)現(xiàn)任務(wù)�。
15.如權(quán)利要求14所述的方法,其中所述第一被動發(fā)現(xiàn)傳感器適配成以下中的至少一個:查詢簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)管理信息庫(MIB)��、查詢DHCP數(shù)據(jù)庫���、查詢MAC地址表�����、以及發(fā)出關(guān)于所述網(wǎng)絡(luò)中的另一計算裝置的netstat命令�。
16.如權(quán)利要求1所述的方法,其中所述第一被動發(fā)現(xiàn)傳感器是結(jié)合在所述網(wǎng)絡(luò)中采用的一個或多個資產(chǎn)檢測引擎使用的特定可插拔傳感器的實例�。
17.如權(quán)利要求16所述的方法,其中每個資產(chǎn)檢測引擎包括來自包括可插拔主動發(fā)現(xiàn)傳感器���、可插拔延遲發(fā)現(xiàn)傳感器����、基于事件的發(fā)現(xiàn)傳感器以及間接發(fā)現(xiàn)傳感器的集合的兩個或者更多可插拔傳感器�。
18.如權(quán)利要求16所述的方法,其中所述第一被動發(fā)現(xiàn)傳感器是包括在特定資產(chǎn)檢測引擎上的可插拔傳感器�,所述第二發(fā)現(xiàn)任務(wù)由包含在所述特定資產(chǎn)檢測引擎上的第二可插拔發(fā)現(xiàn)傳感器來執(zhí)行,其中所述第二發(fā)現(xiàn)傳感器具有不同于所述第一發(fā)現(xiàn)傳感器的類型�。
19.在非暫時性介質(zhì)中編碼的邏輯,所述邏輯包括用于執(zhí)行的代碼并且當(dāng)由處理器執(zhí)行時可操作來執(zhí)行以下操作��,包括: 使用執(zhí)行第一發(fā)現(xiàn)任務(wù)的第一被動發(fā)現(xiàn)傳感器來識別網(wǎng)絡(luò)內(nèi)的特定計算裝置的第一IPv6地址���; 使用所述第一 IPv6使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行; 從所述第二發(fā)現(xiàn)任務(wù)的結(jié)果識別所述特定計算裝置的屬性�;以及 將所述特定裝置的所述第一 IPv6地址和屬性添加到維持網(wǎng)絡(luò)中的所檢測到的IPv6地址的記錄的儲存庫。
20.—種系統(tǒng),包括: 至少一個處理器裝置�����; 至少一個存儲器元件;以及 資產(chǎn)管理系統(tǒng)����,當(dāng)被所述至少一個處理器裝置執(zhí)行時適配成: 使用執(zhí)行第一發(fā)現(xiàn)任務(wù)的第一被動發(fā)現(xiàn)傳感器來識別網(wǎng)絡(luò)內(nèi)的特定計算裝置的第一IPv6地址; 使用所述第一 IPv6地址使得第二發(fā)現(xiàn)任務(wù)被執(zhí)行���; 從所述第二發(fā)現(xiàn)任務(wù)的結(jié)果識別所述特定計算裝置的屬性�;以及 將所述特定裝置的所述第一 IPv6地址和屬性添加到維持網(wǎng)絡(luò)中的所檢測到的IPv6地址的記錄的儲存庫�。
21.如權(quán)利要求20所述的系統(tǒng),其中使得所述第二發(fā)現(xiàn)任務(wù)被執(zhí)行包括識別適配成執(zhí)行所述第二發(fā)現(xiàn)任務(wù)的特定發(fā)現(xiàn)傳感器�,以及調(diào)用所述特定發(fā)現(xiàn)傳感器來使用所述第一IPv6地址執(zhí)行所述第二發(fā)現(xiàn)任務(wù)。
【文檔編號】H04L29/06GK104205774SQ201380017128
【公開日】2014年12月10日 申請日期:2013年4月11日 優(yōu)先權(quán)日:2012年4月11日
【發(fā)明者】J.M.胡加德四世, R.凱爾, J.C.雷貝羅, O.阿金, S.施雷克 申請人:邁可菲公司