网络地址储存库管理的制作方法

网络地址储存库管理的制作方法
【专利摘要】使用执行第一发现任务的第一被动发现传感器来识别网络中的特定计算装置的第一因特网协议版本6（IPv6）地址。使用第一IPv6地址使得第二发现任务将要被执行，并且从第二发现任务的结果识别特定计算装置的属性。将特定装置的第一IPv6地址和属性添加到维持网络中的所检测的IPv6地址的记录的储存库中。在一些实例中，第一被动发现传感器可以是基于事件的发现传感器、延迟型发现传感器以及间接型发现传感器中的一个。
【专利说明】网络地址储存库管理

【技术领域】
[0001]本公开通常涉及计算安全领域，并且更特别地，涉及网络发现和安全。

【背景技术】
[0002]现代网络中的安全管理可以包括相对于网络中的装置指派和实施安全策略。实施安全策略可以包括网络上的装置的识别或在网络上的装置的识别之后进行。地址扫视和因特网包探索(Ping)扫视被用来发现网络装置。这样的技术包括人用户手动配置一个或多个范围的网络地址(例如因特网协议(“IP”)地址)，然后要求软件“扫视”或“探测”规定范围中的每个地址以便发现生存的装置。这样的扫视可以产生指示特定地址是否在使用的结果，其暗示在那个地址的网络装置的存在。在采用因特网协议版本4 (“IPv4”)寻址的网络中，这样的非理性的强迫扫描可用于用合理的时间量扫描广阔的地址范围中的每个地址(包括所有可能的IPv4地址)。

【专利附图】

【附图说明】
[0003]图1是根据至少一个实施例的包括多个资产和系统实体的示例计算系统的简化示意图；
图2是根据至少一个实施例的结合一个或多个网络操作的包括资产管理系统和一个或多个资产检测引擎的示例计算系统的简化框图；
图3是根据至少一个实施例图示示例系统的示例资产储存库的简化组织图；
图4根据至少一个实施例与示例资产管理系统通信的示例可扩大资产检测引擎的简化框图；
图5是根据至少一个实施例图示示例系统的两个或者更多网络中的资产检测引擎和扫描引擎的部署的简化框图；
图6A-6H是根据至少一个实施例的图示包括示例资产检测引擎的示例操作的简化框图；
图7A-7C是根据至少一个实施例图示用于管理一个或多个网络中的资产的示例技术的简化流程图。
[0004]各图中的类似参考标号和名称指示类似元件。

【具体实施方式】
[0005]概观
一般而言，在本说明书中所描述的主题的一个方面可以实现在包含使用执行第一发现任务的第一被动发现传感器来识别网络内的特定计算装置的第一因特网协议版本6(IPv6)地址的动作的方法中。可以使用第一 IPv6地址使得第二发现任务被执行，并且可以从第二发现任务的结果识别特定计算装置的属性。特定装置的第一 IPv6地址和属性可以添加到维持网络内的所检测到的IPv6地址的记录的储存库。
[0006]在本说明书中所描述的主题的另一一般方面可以实现在包括至少一个处理器装置、至少一个存储器元件和资产管理系统的系统中。当由至少一个处理器装置运行时，资产管理系统可以适配成使用执行第一发现任务的第一被动发现传感器来识别网络内的特定计算装置的第一 IPv6地址，使用第一 IPv6地址使得第二发现任务被执行，以及从第二发现任务的结果来识别特定计算装置的属性。资产管理系统还可以将特定装置的第一 IPv6地址和属性添加到维持网络内的所检测到的IPv6地址的记录的储存库。
[0007]这些和其它实施例每个可以可选地包括一个或多个下列特征。可以根据预定发现任务序列执行第二发现任务，并且第二发现任务可以在序列中在第一发现任务之后。可以响应于使用第一发现任务的IPv6地址的识别而在序列中执行第二发现任务。第二发现任务可以是由主动发现传感器执行的主动发现任务，并且第二发现任务可以包括发送数据到第一 IPv6地址处的特定计算装置并且监测特定计算装置对所发送的数据的响应。属性可以包括特定计算装置的另一地址。其它的地址可以具有除IPv6以外的类型。其它的地址可用于确定特定计算装置的第二 IPv6地址。其它的地址可以是特定计算装置的域名服务(DNS)名称,第二发现任务可以包括使用第一 IPv6地址的反向DNS查询，并且可以从使用该DNS名称的DNS查询确定第二 IPv6地址。可以确定特定计算装置是否已经在储存库中识别，并且可以响应于确定在第一 IPv6地址的识别以前特定计算装置是网络上的未被发现的计算装置来执行第二发现任务。
[0008]另外，这些和其它实施例每个还可可选地包括一个或多个下列特征。第一发现任务可以是从描述由网络上的事件管理服务识别的网络中的事件的事件记录数据而识别IPv6地址的基于事件的发现任务，并且第一被动发现传感器可以适配成访问动态主机配置协议(DHCP)服务器事件、主动发现审计事件、防火墙事件、入侵防止系统(IPS)事件以及其它示例中的至少一个的事件记录数据。第一发现任务可以是从由第一被动发现传感器所监测的网络业务识别IPv6地址的延迟型发现任务，并且第一被动发现传感器可以适配成监测网络业务中的NetB1S广播包、因特网控制消息协议版本6 (ICMPv6)网络业务、经由端口镜像的网络业务以及其它示例中的至少一个。第一发现任务可以是从查询远离特定计算装置而寄宿的网络的网络服务的记录而识别IPv6地址的间接型发现任务，并且第一被动发现传感器可以适配成查询简单网络管理协议(SNMP)管理信息库(MIB)、查询DHCP数据库、查询MAC地址表、发出关于网络中的另一计算装置的网络开始(netstat)命令以及其它示例。第一被动发现传感器可以是结合部署在网络中的一个或多个资产检测引擎使用的特定可插拔传感器的实例。每个资产检测引擎可以包括来自包括可插拔主动发现传感器、可插拔延迟发现传感器、基于事件的发现传感器以及间接发现传感器的集合中的两个或者更多个可插拔传感器。第一被动发现传感器可以是包括在特定资产检测引擎上的可插拔传感器，第二发现任务可以由包括在特定资产检测引擎上的第二可插拔发现传感器执行，并且第二发现传感器可以具有不同于第一发现传感器的类型。弓I起第二发现任务被执行可以包括识别适配成执行第二发现任务的特定发现传感器并且调用该特定发现传感器来使用第一 IPv6地址执行第二发现任务。
[0009]这些特征中的一些或全部可以是计算机实现的方法或还包含在相应系统或用于执行该所描述的功能性的其它装置中。这些和本公开的其它特征、方面以及实现的细节在附图和以下描述中阐述。本公开的其它特征、目标和优点从描述和图以及从权利要求将是明显的。
[0010]示例实施例
图1是图示包括多个系统实体的计算环境的示例实现的简化框图100，这些系统实体包括网络(例如，110、115)、网络中的系统装置(B卩，计算装置(例如，120、125、130、135、140、145、150、155、160、165)、包括端点装置、网络元件(例如路由器、交换机、防火墙)、以及在网络上通信或便于网络的其它装置(例如，110、115)、由网络上的各种系统服务、寄宿、安装、加载或以其它方式使用的应用和其它软件程序和服务(例如，170、172、174、175、176、178、180、182)，以及已知使用计算环境及其组成系统和应用的人(例如，184、185、186、188)。
[0011]在实践中，包括在网络中的端点装置、网络元件以及其它计算装置(或“系统型系统实体”)可以与网络上的其它装置通信和/或便于这些其它装置之间的通信。例如，端点装置(例如，120、125、130、140、150)可以向使用计算环境的人(例如，184、185、186、188)提供与由网络(例如，110)和系统内的其它网络(例如，115)、因特网190以及其它网络上的计算装置所寄宿的各种资源交互并消费这些资源的接口。另外，一些端点装置(例如，120、140、150)还可以寄宿有可以由用户(例如，184、185、186、188)在相应端点在本地消费以及提供服务到网络(例如，110、115)上的其它装置的应用和其它软件资源(例如，170、174、176)。网络110、115上的其它装置(例如，135、145、155、160、165)还可以将软件资源(即，应用(例如，172、175、178、180、182))提供服务到一个或多个客户端(包括其它服务器)用于消费。作为示例，这样的软件资源可以包括数据库、网页、环球网(web)应用、软件应用和其它程序、虚拟机、企业资源规划、文档管理系统、邮件服务器以及其它软件资源。
[0012]在特定计算环境中的“系统实体”(也被称作“资产”)可以在一个或多个安全上下文中被定义为包括计算环境内的(或参与计算环境的)“网络型实体”、“系统型实体”、“应用型实体”以及“人型实体”。“人型实体”代表使用计算环境的个人，在此示例中，可以认为系统实体以及网络型实体、系统型实体和应用型实体可以不同于在计算环境中所识别的用户。人可以与系统中的一个或多个用户账户或特定用户标识符关联或者由其定义。然而，用户并不总是准确地映射到使用该计算环境的实际的人。例如，单个人可以具有(或有权访问)系统中的多个用户名或用户账户。此外，一些人可能并不具有注册的用户名或用户账户。然而，当对特定人的使用爱好或属性量身定做安全上下文时，人的实际身份可能比由计算环境中的人所使用的用户简档、用户名或化名更加相关。
[0013]在一些示例中，可以向资产管理系统105提供能力来发现和维持计算环境中的各种系统实体的记录，以及指派安全策略到各种系统实体和使得安全策略被遍及计算环境实施。还可发现所发现的系统实体的属性(包括系统实体的标识符)。例如，可以对于计算环境内的各种系统和网络发现IP地址和IP地址范围。另外，利用现代网络中的因特网协议版本6 (“IPv6”)寻址的到来和部署，IP地址的大小被设计为从(IPv4中的)32位增加到IPv6下的128位。因此，尽管IPv4提供了 232 (4，294，967，296)个可能的地址的可管理地址空间，但是IPv6的128位地址允许2128 (近似340乘1000的12次幂或3.4xl038)个地址的地址空间。为了将IPv6地址空间的大小放入上下文，如果对于“生存”地址的IPv6地址空间中的每个地址的非理性强迫扫描可以到达每地址单个皮秒的速率，则仍然会花费
10.78X10'19年来扫描整个IPv6空间。采用IPv6寻址因此可以显著地复杂化映射网络中的装置以及监测网络的相应装置的安全和其它活动的努力。因此，资产管理系统105可以采用技术来更有效率地识别活动IPv6地址从而允许采用IPv6的网络的更有目标的分析。另外，除能够发现计算环境中的装置和网络元件的IPv6地址和其它地址信息以外，资产管理系统105还可以管理发现技术，从而允许附加的属性信息(例如装置的操作系统、装置所使用的端口、装置所采用的协议等等)的发现。从装置级，可以发现附加的信息(包括其它系统实体分层填塞)，从系统级，可以发现例如由装置所寄宿的个别应用和使用装置的个人。
[0014]资产管理系统105的实现可以利用各种系统实体的属性来将实体分组为系统实体的一个或多个逻辑分组。另外，资产管理系统105可以识别各种安全策略并向分组指派各种安全策略。这样的逻辑分组可以根据由特定计算环境中的系统实体所共享的属性或名称来将不同的系统实体分组在一起。向分组指派的安全策略可以对应于或针对分组中所包括的系统实体的共享属性和特性。例如，系统的分组可以在系统储存库内标记为“关键系统”。因此，被识别为关键的那些系统可以具有应用于它们的安全策略的公共集合(例如，根据计算环境内的它们关键性)。在另一示例中，网络的分组可以根据特定网络类型(例如DMZ网络的分组)、根据所关联的地址(例如，基于IP地址范围、内部和外部IP地址、域名等)或根据所关联的地理区域以及其它示例来识别，并且这样的分组可以对应地标记。还可以根据类型、关键性、软件提供商、操作系统等将应用标记或分组。例如可以指派标签到应用型实体来指示应用是数据库或数据库的类型(例如，产出数据库、平台数据库等)、web应用、中间件、web服务器以及许多其它示例。另外，还可标记人型实体，例如以将人的这样的个人属性识别为他们在组织中的角色、安全间隙、权限、办公室、地理位置、事业部等。此外，在一些示例中，系统实体可以强力地定型(例如，“网络”、“系统”、“应用”和“人”)，并且系统实体的特定组可以限于系统实体的特定类型。在这样的示例中，应用于分组的安全策略还可是类型特定的。在其它示例中，分组和标签可以是“跨类型的”，并且关联的安全策略也可以是跨类型的。例如，特定分组可以包括一个或多个系统和一个或多个应用和/或一个或多个人等。
[0015]一般而言，“服务器”、“客户端”、“计算装置”、“网络元件”、“主机”、“系统型系统实体”以及“系统”(包括示例计算环境100中的计算装置(例如，105、120、125、130、135、140、145、150、155、160、165、195等))可以包括可操作来接收、传送、处理、存储或管理与计算环境100关联的数据和信息的电子计算装置。如此文档中所使用的，术语“计算机”、“处理器”、“处理器装置”或“处理装置”旨在包含任何合适的处理装置。例如，在计算环境100中示出为单个装置的元件可以使用多个装置实现，例如，包括多个服务器计算机的服务器池。另外，计算装置中的任何、全部或一些可以适配成执行任何操作系统，包括Linux、UNIX、Microsoft ffindows>Apple 0S、Apple 1S、Google AndroicUWindows Server 等，以及适配成虚拟化特定操作系统(包括定制和专有操作系统)的执行的虚拟机。
[0016]另外，服务器、客户端、网络元件、系统和计算装置(例如，105、120、125、130、135、140、145、150、155、160、165、195等)每个可以包括一个或多个处理器、计算机可读存储器和一个或多个接口、以及其它特征和硬件。服务器可以包括任何合适的软件部件或模块，或能够寄宿和/或服务软件应用和服务的计算装置(例如，资产管理系统105、服务器(例如，135、145、155、160、165)的服务和应用(例如，172、175、178、180、182)，包括分布式、企业或基于云的软件应用、数据以及服务。例如，服务器可以配置为寄宿、服务或以其它方式管理与其它服务和装置交互、协调或取决于其它服务和装置或被其使用的模型和数据结构、数据集、软件服务和应用。在一些实例中，服务器、系统、子系统或计算装置可以实现为可以寄宿在公共计算系统、服务器、服务器池或云计算环境并且共享计算资源(包括共享存储器、处理器和接口)的装置的某个组合。
[0017]用户、端点或客户端计算装置(例如，120、125、140、150、195)可以包括传统的和移动计算装置，包括个人计算机、膝上计算机、平板计算机、智能电话、个人数字助理、功能电话、手持式视频游戏控制台、台式计算机、启用因特网的电视以及设计为与人用户对接和能够通过一个或多个网络(例如，110、115)与另外的装置通信的其它装置。用户计算装置的属性以及计算装置(例如，105、120、125、130、135、140、145、150、155、160、165、195 等)通常可以在不同装置之间较大变化，其包括被每个装置加载、安装、执行、操作或以其它方式可访问的相应操作系统和软件程序的集合。例如，计算装置可以运行、执行、已经安装了或以其它方式包括各种程序集，包括操作系统、应用、插件、小程序、虚拟机、机器图像、驱动器、可执行文件以及能够被相应装置运行、执行或以其它方式使用的其它基于软件的程序的各种组合。
[0018]一些计算装置(例如，120、125、140、150、195)还可以包含至少一个图形显示装置和用户接口从而允许用户观看在系统100中提供的应用和其它程序的图形用户接口并且与其交互，其包括与寄宿在计算装置中的应用交互的程序的用户接口和图形表示以及与资产管理系统105关联的图形用户接口。此外，尽管用户计算装置(例如，120、125、140、150、195)可以在被一个用户使用方面进行描述，但是本公开预期许多用户可以使用一个计算机或一个用户可以使用多个计算机。
[0019]尽管图1描述为包含多个元件或者与多个元件关联，但并不是图1的计算环境100中所图示的所有元件都可以在本公开的每个备选实现中利用。此外，结合图1的示例描述的一个或多个元件可以位于计算环境100的外部，但是在其它实例中，某些元件可以包含在一个或多个其它所描述的元件以及在所图示的实现中未描述的其它元件中或作为其一部分。另外，图1中所图示的某些元件可以与其它部件组合，以及用于除了本文所描述的目的之外的备选或附加的目的。
[0020]图2是图示包括示例资产管理系统205的示例系统的简化框图200，该资产管理系统205与部署在一个或多个网络(例如，215)中的一个或多个资产检测引擎(例如，210)协作操作并且被赋予发现网络215中的计算装置(例如，分类为“系统型系统实体”)(例如，220、225、230、235、240)以及所发现的装置的地址和属性的任务。此信息然后又可以被资产管理系统205使用来发现计算装置的另外的属性以及发现计算环境的其它类型的系统实体(例如，使用该计算环境的人和在计算环境中使用装置所服务的应用)。另外，使用此信息，资产管理系统205可以将所识别的系统实体分组和使用这些分组和为个别系统实体确定的其它属性，来识别和关联用于实体的有关的安全策略。另外，远离各种计算装置(例如，220、225、230、235、240)部署的安全工具(例如，安全工具242)或者在各种计算装置(例如，220、225、230、235、240)上在本地部署的安全工具(例如，代理244)可用于实施用于系统实体(例如，网络、系统、应用以及人实体)的安全策略。
[0021]示例资产管理系统205可以包括一个或多个处理器装置245以及存储器元件248用于执行在一些实现中在资产管理系统205中的一个或多个部件中所包含的功能性。例如，在一个示例实现中，可以提供资产管理系统205、资产储存库管理器255、策略管理员260以及实施协调器265。资产储存库管理器255例如可以包括功能性用于使用例如一个或多个资产检测引擎210来构建和维持资产储存库250 (包括描述在计算环境中所发现的系统实体的记录)。资产储存库管理器255可以包括检测引擎接口 256，其可以允许资产储存库管理器255与部署在计算环境中的资产检测引擎210对接并且从识别计算环境中最新发现的系统实体的资产检测引擎获得结果以及对于系统实体检测出的属性(例如地址数据和其它信息)。其它装置和服务还可以被资产管理系统205在发现系统实体属性时使用，例如适配成从资产管理系统205接收扫描脚本和执行所发现的系统实体的更特别的扫描(例如，以识别应用、计算装置220、225、230的用户以及应用等等)的各种扫描引擎290。另外，资产储存库管理器255还可以包括标记引擎258，适配成将标签或分类学指派到资产储存库内的所发现的系统实体以便扩展和修改在资产储存库的默认或原始组织方案中所定义的默认关系以外的系统实体之间的关系的类型。
[0022]转到图3，示出表示分层组织的资产储存库的框图300。在一些实现(例如图3的示例)中，资产储存库(例如，250)可以(至少近似地)对应于给定计算环境中的系统实体的物理实现而分层组织。分层的资产储存库可用于定义计算环境中的系统实体之间的关系的至少一些。例如，网络(例如，网络型系统实体)可以包含定型为系统型实体(或“系统”)的多个计算装置和网络元件。在一些实例中，网络与其子系统之间的关系可以是多对多(具有多个网络与典型地包括多个组成系统的网络之间的一些系统迁移)。另外，系统装置可以被视为包含定型为“应用”的软件程序。再次，系统装置和应用之间的关系可以是多对多。另夕卜，在计算装置中识别的人可以被视为是示例资产储存库的层次的上下文中的“子”系统和/或应用。
[0023]作为示例图示，框图300示出了用于包含多个网络(例如，N1、N2)、多个系统计算装置(例如，S1、S2、S3、S4、S5)、多个应用软件程序、数据结构和服务(例如，Al、A2、A3、A4、A5、A6、A7、A8)、以及多个人(例如，P1、P2、P3、P4、P5、P6、P7、P8、P9)的简化的计算环境的分层资产储存库的表示。如此特定示例环境中所图示的，系统可以属于一个或多个网络(例如，系统S3属于网络NI和N2两者)，应用可以结合一个或多个系统计算装置(例如，寄宿在系统SI的应用Al)属于、寄宿或者服务于或以其它方式提供，并且人可以与计算环境中的一个或多个系统计算装置和/或特定应用关联(例如，人P7与系统S3和应用A5两者关联、并且人P9与系统S4与S5两者关联等)、以及其它示例。
[0024]各种其它组织方案可以适配用于识别系统实体之间的关系的基础集合的资产储存库。例如，其它分层的资产储存库可以对计算环境的系统实体定目录来定义处网络:系统:应用等以外的其它依赖性和层次。例如，资产储存库可以被维持通过地理分层地组织系统实体。例如，单个系统实体(或“资产”)可以定义为与在冰岛中的企业操作分层地相关的贝尔法斯特中的特定办公室中(其包含于企业的西欧区域中)等，以及许多其它可能的示例。
[0025]虽然资产储存库可用于将系统实体集最初组织为某个逻辑布置，例如，该逻辑布置至少部分定义在实体之间的已知关系上(例如，系统包含在网络中，等)，但是更细微差另IJ、动态和较不传统的分组还可对于关系的顶部的系统实体和资产储存库自身的结构中建模的实体属性而定义。在一些示例中，这可以通过标记和分类学来实现。这样的标签、分类学、类别等(本文统称作“标签”)可以定制地定义，从而允许系统实体的用户特定的或企业特定的分组。以此方式，可重复使用的资产储存库模板或系统可以提供给在系统实体的相应计算环境中的它们的目录中的多个企业和组织。标记还可以允许企业定义系统实体之间的附加关系。不仅如此，而且标签还可捕获资产储存库的默认组织或结构中所定义的关系之外的特定系统实体之间的更标准化的、备选关系和公共性。作为示例，标签可以应用于具有特定操作系统的特定版本的所有系统装置。在另一示例中，标签可以被指派给被识别为“关键”或以其它方式在一个或多个安全上下文中特定重要或感兴趣的计算装置(或网络、或应用、或以上所有)的子集中的每个。可以根据与它们关联的地理位置来标记系统和/或人。可以根据装置类型、制造商、年龄、使用率以及其它以装置为中心的属性来标记系统。可以根据类型(例如，数据库、网页、web服务、内部、公用、私有等)、能力、用户数量以及其它以应用为中心的属性来标记应用。类似地，可以标记网络，并且可以根据以用户为中心的属性(例如角色、权限等级、计算环境或组织中的职位、人口统计等)来标记人。
[0026]图3的示例图示了(预先存在的)资产储存库中的各种系统实体的标记。例如，标签A (305)已经被应用于网络NI和N2，而标签B (310)已经被应用于网络NI。一旦系统实体被发现或者以其它方式识别和包含在资产储存库中就可以发生标记。在一些实例中，系统实体大体上可以与资产储存库中的系统实体的发现和记录同时地标记。系统实体的标记可以利用所识别的或者创建标签并将其与特定实体关联的管理员用户来手动进行。系统实体的标记还可至少部分地自动化。例如，可以根据用于标签的规则集来自动地将标签应用到系统实体。例如，可以定义规则(例如，由用户定义)以自动地应用标签到检测为具备一个或多个特定属性的任何系统实体，该属性包括使用资产检测引擎、扫描引擎以及由资产管理系统(例如，205)所使用的其它基于软件(和硬件)的工具而发现的属性。确定新的、以前未发现的、或已经发现的系统实体具备这样的属性可以导致标签被应用到系统实体。
[0027]共享特定标签的系统实体可以分类为系统实体的对应集。例如，应用A4、A6和A7可以全部用标签K标记，该标签K指派给作为计算环境中的数据库的的应用型系统实体。因此，计算环境中的数据库可以从标签便利地识别，并且作为示例，数据库特定的安全策略、扫描和策略实施技术可以特别地应用于用标签K标记的系统实体。
[0028]多种安全策略能够适用应用于计算环境中的系统实体。例如，安全策略可以规定特定网络中的可以通过特定装置、通过特定用户或应用访问的网站、文件以及其它数据。安全策略可以支配何人可以访问特定文件和数据，他们可以如何对待数据(例如，保存到外部介质、修改、发电子邮件、发送等)。附加的安全策略可以规定在某些交易期间的加密的等级和类型、某些装置、应用和网络所使用的密码的长度和类型、和其它最小安全参数、以及其它示例。此外，在一些示例中，安全策略可以针对安全遵守规则，例如由政府和管理体、标准设置组织所设置的遵守标准、工业标准、和其它规则、以及其它示例。某些策略可以是网络、用户、应用或装置特定的。某些策略可以仅仅与具备某些特性(例如何地、何时和什么人使用它们、它们的能力)的系统实体有关。因此，使用资产检测引擎和扫描引擎所发现的系统实体的属性可用于自动地指派特定安全策略到特定系统实体。
[0029]回到图2的论述，资产管理系统205还可以包含策略管理员260，其可用于定义和应用安全策略到在资产储存库250中所识别和定目录的系统实体。在一些示例中，策略管理员260可以包括策略指派引擎264和策略实施引擎265。可以使用策略管理员260来维持和构建安全策略的库262。在一些实现中，安全策略262可以包括标准安全策略(例如，通常跨计算环境可应用)以及环境特定的安全策略。实际上，在一些示例中，策略管理员260可以包括允许管理员用户定义和生成新的、定制的安全策略以用于它们相应计算环境的功能性。另外，策略指派引擎264可用于创建和维持计算环境中(S卩，资产储存库250中)所识别的安全实体和各种策略(例如，262)之间的关联。另外，可以提供实施引擎265从而定义如何在计算环境中实施特定安全策略。
[0030]在一些实例中，策略实施引擎265可用于与计算环境中所部署的各种安全工具(例如，242、244)对接。安全工具可以远离系统实体(例如系统型实体220、225、230、235、240)部署，从而允许策略实施远离目标装置、应用或人并且代表其发生，由此允许安全实施而不将策略(或实施)推送到目标自身。例如，在移动装置的在所监测的网络上线和下线移动以及未管理的装置(例如不包括能够实施重要安全策略的代理或其它本地安全工具的装置)的安全实施中，这可以是有用的。这样的安全工具242可以包括，例如，防火墙、web网关、邮件网关、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、反恶意软件工具、防数据丢失(DLP)工具、系统弱点管理器、系统策略遵守管理器、资产危险程度工具、入侵检测系统(IDS)、入侵保护系统(IPS)、和/或安全信息管理(SM)工具、以及其它示例。另外，实施引擎265还可以基于使用传感器280、285、扫描引擎290等所识别的目标的属性而结合计算环境的安全管理来启用推送到目标系统实体的补丁、更新和其它数据。此外，还可以通过运行、加载或以其它方式直接与目标装置对接并且向资产管理系统205 (例如，通过实施引擎265)提供用于直接在目标装置实施策略的接口的代理和其它工具(例如，244)而执行本地安全实施。
[0031]每个系统实体可以具有与其不可分割的基本特性。例如，对于系统型系统实体，这样的特性或属性可以包括IP地址(或多个IP地址)、一个或多个对应媒体接入控制(MAC)地址、完全合格域名(FQDN)、操作系统等。知道这样的特性可以是用于要发生的有效风险分析和安全实施的前提。搜集实体属性可以涉及各种技术。例如，代理可以部署在可以从系统实体直接获得实体属性的网络、系统和应用中。尽管是准确的和方便的，但并不是所有系统实体都“被管理”，其中它们具有代理(或能够具有代理)。还可以或改为通过执行每个系统实体的远程评估而在网络上搜集系统实体属性。尽管可以使用任一方式，或组合两种方式，但是系统实体的存在(特别是系统型实体)应当首先被建立。
[0032]当系统实体加入网络时，保护和支配网络的安全进程应当尽可能即刻地变得意识到其存在。在被管理的环境中，由于每个实体上的代理(例如244)可以直接通知资产管理系统205，所以这相当容易适应。然而，在未管理的资产的情况下，通过可用于资产管理系统205并且与资产管理系统205通信的发现进程来促进环境内的系统实体的发现。
[0033]资产检测引擎(例如，210)和其它网络发现工具可以由允许网络上的资产的存在被查明的一组技术组成。这样的工具的示例是Ping扫视器、动态主机配置协议(DHCP)监测器、地址解析协议(ARP)高速缓存承包主等。这些工具可以包括主动或被动地监测用于搜索新资产的环境的主动或被动工具。一旦识别新的资产，工具可以通知资产管理系统205准许开始(或继续)另外的资产属性识别进程。
[0034]在传统的计算环境(包括采用IPv4寻址的环境)中，资产识别可以包括与被管理装置的代理通信以确定装置的不可分割的特性。此外或备选地，每个可能的IP地址可以被Ping以从对ping的响应来识别其它潜在的(例如，未管理的)资产和它们的属性。作为响应，所识别的潜在资产的不可分割的特性可以相对于已经与资产储存库(例如，250)归档的实体的属性相比以尝试将它们匹配到系统中的现存的资产，或另外作为新系统将它们添加到资产储存库(例如，250)。
[0035]为了尝试相对于变得未检测和未保证安全的未管理装置保证，可使用非理性强迫地址ping扫视。然而，在一些实例中，ping扫视可以使一些装置(例如具有暂时性网络连接或改变地址的装置)容易丢失。另外，在采用IPv6寻址的计算环境中，ping扫视或地址扫视可能是用于在计算环境中发现未管理的装置的不切实际的解决方案。
[0036]图2和本公开的其它地方的示例中所描述的系统的实现解决了传统的系统的以上论述的缺点以及其它。例如，资产检测引擎210可以是附连网络的装置或软件系统，其部署来使用多个发现技术中的一个或多个(包括可用于资产检测引擎210的被动发现技术)自动地发现生存的网络装置，以及其后触发附加的活动(例如，使用资产管理系统205)以及在一些情况下根据所定义的序列。这样的附加的活动可以包括，例如，面向网络的服务的清查、对于弱点评估系统、清查所安装的软件、应用软件补丁、安装新的软件等等。
[0037]在一些实例中，一个或多个资产检测引擎(例如，210 )可以具备对于包括一个或多个装置地址通信或识别的各种活动而被动监测网络的功能性。所识别的地址然后可以从所监测的信息中提取并且进一步用于ping、探测和以其它方式与所识别的地址处的装置通信以识别装置是否记录在资产储存库250中并且发现装置的附加属性。另外，装置(即，系统型实体)的检测可以导致其它实体类型(包括应用型实体和人型实体)的检测。应用型和人型实体还可以独立于系统型实体的检测来检测，例如，通过嗅测网络业务和其它技术。例如，web服务器、数据库、聊天客户端、媒体客户端、媒体播放器等可以从使用资产检测引擎210所监测的业务而检测。
[0038]在一些实现中，示例资产检测引擎210可以包括一个或多个处理器272和一个或多个存储器元件274并且部署在网络中来执行与网络中的装置和装置的地址的检测关联的多个不同的发现任务。在一些实现中，示例资产检测引擎210可以至少部分部署作为插入到在线网络中(例如，在交换机或路由器处)、并行(例如，离开路由器扩展端口)的硬件装置，或至少部分作为可以遍及子网部署的软件，例如在网络内的特定或任意的主机、在例如网络DHCP服务器等专用的主机或者在其它部署中。资产检测引擎210可以包括根据类似刀片的架构配置的多个可插拔传感器部件(例如，280、285)，其中新的传感器可以根据例如网络中可用的或优选的工具的特性而添加到可重复使用的资产检测传感器框架275或从其中移除。以此方式，随着新的传感器的开发或变得可用，新的传感器可以被添加到传感器框架275以补充(或代替)通过资产检测引擎210的传感器框架275而部署的其它传感器技术。
[0039]在一些实现中，可以提供传感器框架275用于主动传感器280和被动传感器285的组合。主动传感器280可以包括涉及直接发送业务给装置以及网络中的地址和测试对该业务的响应的传感器。这样的主动传感器可以包括基于硬件和/或基于软件的传感器部件，具有适配为执行组播查询、Ping扫视以及其它示例的功能性。另一方面，被动传感器285可以包括具有尝试获得网络中的装置的地址信息和从与该装置或对应于地址本身的通信识别该装置的功能性的传感器部件。被动传感器285可以包括被动发现型传感器、基于事件的发现型传感器、以及间接发现型传感器。传感器框架275可以包括一个或者多个类型的主动传感器和被动传感器285。实际上，在一些实现中，相同类型的多个传感器可以提供在单个传感器框架刀片(例如，275)上。例如，示例传感器框架可以包括一个或多个主动传感器、两个间接发现型被动传感器、基于事件的发现型传感器等。传感器的最小或优化集合可以取决于使用资产发现引擎210监测或扫视的网络的特定特性，但是一般而言，传感器框架275中所包括和利用的传感器的种类越广泛，覆盖和资产发现结果越全面。
[0040]在一些实例中，主动传感器280可以包括适配成利用IP组播(包括IPv6组播)发现网络中的装置的传感器。在IP网络的上下文中，组播寻址是其中将消息同时发送到一组目的地系统而导致路由器创建这些包的副本用于最佳分布的一对多通信技术。IPv6的用于发现网络上的装置的示例组播查询可以利用链路本地范围的所有节点组播地址(例如，“FFQ2::1”前缀)进行查询。例如，示例主动传感器可以发送DHCPv6 UDP探测到组播地址FF02:0:0:0:0:0:1:2处的端口 547以发现所有DHCP服务器和中继器代理。在另一示例中，示例主动传感器可以发送ICMPv6查询到“所有节点”组播地址FF02::1以发现本地网络上的系统。在又一示例中，示例主动传感器可以发送ICMPv6查询到“所有路由器”组播地址FF02::2以发现网络上的路由器、以及其它示例。
[0041]在其它示例中，在传感器框架275中所包括的一个或多个主动传感器280可以包括适配成执行非理性强迫地址、或ping、扫视以发现网络上的装置的传感器。尽管通常对于典型IPv6网络、ping扫视或更一般的地址扫视无效，但是仍然可以是检测小范围的IPv6地址和IPv4地址上的装置的有效手段。ping扫视可以在检测总是沉默并具有固定地址的装置方面特别有效。Ping扫视可以利用传统的ICMP ping扫视技术，由此一个或多个包被发送到潜在的生存地址，以及其它技术。如果接收到特定类型的响应，则目标地址被视为存活。Ping扫视可以包括ICMP ping扫视(用于若干包类型)、用于使用全TCP连接测试的开放端口的扫视、用于使用半开放(SYN)测试的开放端口的扫视、以及发送“推进(nudge)”包到具体的已知UDP端口、以及其它示例。
[0042]另外，尽管地址扫视可以被应用于基于目标的地址扫视发现(例如，目标为特定的、已知IP地址或以前识别的或基于一个或多个资产检测引擎210的被动发现任务所选择的IP地址范围)，主动发现传感器还可持续地扫视地址范围以发现新的活动地址以及验证以前的活动地址仍然是活动的或已经变为不活动、熄火事件(例如，使用资产管理系统205的属性发现尝试任务)以在检测到状态改变时接近实时地执行有用的工作。
[0043]被动传感器(例如，285)可以包括延迟发现型传感器、基于事件的发现型传感器以及间接发现型传感器。延迟发现型传感器可以包括适配成延迟监测各种网络活动(其包括装置地址信息的通信或识别)并提取地址而不直接与主机系统(即对应于地址)接触的传感器。延迟发现传感器可以包括传感器，该传感器适配成例如监测NetB1S广播包、监测因特网控制消息协议(ICMP)业务(包括ICMP版本6 (ICMPv6)业务)、嗅测一般网络业务、嗅测经由交换机端口镜像的业务(例如通过交换机端口分析器(或“SPAN端口 ”))、以及其它示例。至少一些延迟发现传感器可以操作而不要具体配置(例如，由管理员最终用户提供)。例如，适配成拦截NetB1S广播包的延迟发现传感器可以确定网络上的装置的地址信息以及其它系统实体属性。许多系统(包括那些基于例如Microsoft的Windows ?操作系统的系统)可以广播数据报包到它们的本地网络，例如，结合用于Μ)Ρ端口 138上的无连接通信的NetB1S数据报分布服务、以及其它示例。NetB1S数据报广播包可以识别被拦截的NetB1S包起源的发送装置的IP地址和MAC地址并且还可以包含数据，在一些实例中，当表示并且处理该数据时，揭露发送装置的操作系统以及其它信息。可以使用此方法可靠地识别的操作系统，包括 Windows 9x/Me/NT 4.0> NetApp Device、Windows 2000、WindowsXP、Windows Server 2003、Windows XP (64 位)、Windows Server 2008、Windows Vista、Windows Server 2008 R2、以及Windows 7。因此，适配成拦截NetB1S广播包的延迟发现传感器可以识别发送装置、它们的相应地址数据以及发送装置的操作系统。
[0044]在另一示例中，另一(或同一)延迟发现型传感器可以适配成监测ICMPv6业务。大部分业务可以经由ICMPv6协议通过网络中的IPv6装置生成和发送。适当适配的延迟发现型传感器可以收听特定类型的组播ICMPv6业务(例如邻居教唆包和邻居广告包)，以识别业务中所识别的一个或多个装置的地址(即，MAC地址和IPv6地址)、以及其它示例。
[0045]在又一示例中，延迟发现型传感器可以适配成对于可用于识别网络中的以前未知的装置的地址信息、或以前不知道是由网络中的以前识别的装置所使用的地址而嗅测一般网络业务。IPv4和IPv6包包括来源和目的地地址信息，以及来源和目的地端口和来源和目的地的相应MAC地址。因此，嗅测所有网络业务可以允许新地址数据的发现，并且由此在所监测的网络上通信的新装置的发现。通过被动嗅测所有网络业务，无论何时这样的装置在网络上通信，就可以发现新装置地址。嗅测一般业务在一些网络中可能是成问题的，然而，由于许多临时网络被“交换”，由此网络装置以及也许还有所部属的资产检测引擎210，仅接收广播包、组播包以及直接寻址到寄宿资产检测引擎的装置的包。在其它实例中，端口镜像可以被影响以识别网络中的以前已知的装置地址。一些网络路由器和交换机可以配置为转发或“镜像”特定装置端口上的所有业务，或甚至整个虚拟局域网(VLAN)的所有业务到交换机上的另一端口，例如交换端口分析器(SPAM)和不固定分析端口(RAP)、以及其它示例。可用于传感器框架275的延迟发现型传感器的一些实现可以适配成嗅测网络交换机的所配置的SPAN端口(或其它业务镜像端口)上的业务，由此允许传感器监测在包括针对交换网络上的其它装置的业务的端口上所镜像的所有网络业务，而不用传感器在物理上连接到镜像端口。
[0046]被动传感器还可包括基于事件的发现传感器。一般而言，当一个或多个特定预先识别类型的事件发生时，基于事件的发现传感器可以注册或以其它方式与网络服务对接以接收通知。这样的事件(到或通过相应网络服务)的报告或检测可以包括资产管理系统205感兴趣的装置寻址信息(例如IP地址和DNS名称)的识别。这样的事件可以包括，例如，DHCP服务器事件、Microsoft Active Directory ?审计事件、以及防火墙和入侵防止系统(IPS)事件、以及其它示例。基于事件的发现传感器可以与记录这样的事件的相应装置和系统对接，并且识别可以对于在构建或补充资产储存库250的记录中使用的地址数据挖掘的这些特定事件和事件记录。
[0047]作为示例，基于事件的发现传感器的一个实现可以包括传感器，该传感器适配成与DHCP网络环境中的一个或多个DHCP服务器对接。在DHCP网络环境中，每当系统被打开并加入网络时，它广播请求以从最近的DHCP服务器接收IP地址。最近的服务器然后通常分配地址租借并且通知目标(请求)系统其地址应当是什么。另外，一旦系统的租借期满，将其从活动地址的DHCP服务器列表中移除。在一些实现中，DHCP服务器监测和/或参与此地址租借过程，并且基于事件的发现传感器可以包括功能性来与DHCP服务器交互并查询DHCP服务器的记录，从DHCP服务器接收提醒和其它消息，或以其它方式从DHCP服务器取得关于涉及网络中的装置的近来的租借事件的信息。例如，DHCP服务器的一些实现提供API到其它装置和服务(例如Microsoft DHCP服务器的“DHCP Server Callout API”)以及日志文件(例如Unix/Linux DHCP服务器“dhcpd”日志租借事件)、以及其它示例和实现。一般而言，通过传感器从DHCP服务器所获得的信息又可以用来识别网络中的潜在的新装置或以前未知的装置。
[0048]在另一示例中，示例基于事件的发现传感器可以适配成与Microsoft Windows主动目录服务器对接以获得由主动目录服务器所记录或识别的特定类型的事件的记录。例如，在组织中，当用户执行加入到主动目录域的系统的登入和登出时，可以在主动目录服务器的事件日志中创建事件。一些特定事件以及这些事件的日志可以包括网络中的一个或多个装置的IP地址和DNS名称信息的识别。基于事件的发现传感器可以提取此地址数据以供资产管理系统205使用。例如，主动目录事件的日志，例如在表I中所指出的示例(以及其它未列出的示例)，可以包括用于在补充资产储存库250中使用的地址信息。
U !."'I',"~"一Wiiidovvs 2008~I
讨丨Ml..1Pm IR
—“_丨.未 KerfaiToslK/^l^j- —4769................................................................................................................673―一I
^Kerberos........丽瓦
Kcrberm■■4--2........................................................................................................................6/2I
4776^爾681I
…1.务''::1?..Window's Statb?.........................…『『?S 『 "...6821.................................................................................................................4ijj................................................................?ΙΓ?ο..........................................|
[0049]此外，基于事件的发现传感器还可与防火墙、IPS和其它安全工具(例如，242)对接以获得描述由工具所监测的事件的日志和其它信息。例如，防火墙是基于用户所规定的规则集而允许或拒绝网络传送的装置。入侵防止系统(IPS)是当注意到特定业务模式时进行深度包检验并且生成事件的装置。IPS还可修改或防止这样的业务。防火墙和IPS两者都可以用于在网络攻击事件时通知网络管理员，或有助于在实际上防止闯入、病毒的扩散、蠕虫等。在一些实现中，IPS或防火墙还可以配置为生成与特定类型或模式的网络业务相关的事件并且生成事件可以包括列出来源和目的地地址、DNS名称、与事件有关的所监测的业务所涉及的开放端口的记录或消息的创建。另外，基于事件的发现传感器可以配置为与防火墙和IPS对接以与服务通信以及从服务接收所报告的事件，包括含有地址信息的特定类型的包的检测，例如DHCP地址请求、DNS名称查询、以及其它示例。
[0050]间接发现型传感器还可以包括在被动传感器285之中。间接发现型传感器可以适配成与记录和维持装置地址信息的各种网络服务对接并查询这些网络服务以提取那些地址而不直接与对应主机接触。这样的目标网络服务和装置可以包括，例如，简单网络管理协议(SNMP)服务器(例如，SNMP管理信息库2(MIB2 ))、主机的邻居数据库(例如，经由netstat命令)、DHCP数据库、和路由器所维持的邻居信息数据库、以及其它示例。
[0051]在一个特定示例中，间接发现型传感器可以适配成查询SNMP服务器(包括MIB2)的管理信息库(MIB)。根据MIB2，可以获得信息的财富，其可用于进一步构建资产储存库250。例如，可以查询MIB21以获得SNMP服务器的ARP表、以及由此还有SNMP服务器/装置曾经通过本地网络接触的装置的列表(包括装置的地址信息)。可以从连接表获得列出的系统、它们的IP地址、以及SNMP服务器/装置所连接的或曾经发送或接收数据的端口。还可以访问路线表以及包如何从装置路由到网络上的其它装置的细节，包括路由所涉及的其它装置的IP地址。附加的示例数据还可以从SNMP装置获得，以及其它SNMP查询还可揭露SNMP装置在其中通信的网络中的装置的地址信息和其它有用数据。
[0052]在另一示例中，间接发现型传感器可以适配成获得网络中的远程装置上的命令壳，并且通过远程装置利用其已经连接到其它系统或与其它的系统交换数据和端口信息的IP地址来发起netstat命令以获得网络中的系统的列表。其它间接发现型传感器可以适配成与DHCP服务器对接并且查询由一个或多个DHCP服务器保持的服务器以获得网络上的装置的地址信息。例如，间接发现型传感器可以适配成识别网络上的DHCP系统并且使用远程API来查询DHCP服务器数据库(例如，使用DhcpEnumServers、DhcpEnumSubnets、DhcpEnumSubnetClinetsV5等)或访问DHCP租借列表(例如，Linux系统中所维持的平整文本文件租借列表)，使用例如远程命令壳、以及其它示例。此外，一些间接发现型传感器还可对于装置地址信息而查询路由器，例如，通过查询网络中的各种路由器的“ipv6邻居信息数据库”。这样的数据库可以维持相应路由器已知的(例如，自从路由器最后一次初始化以来曾经生成过网络业务的所有装置的)IP地址和MAC地址的列表，其可以对应间接发现型传感器来获取。在一些实例中，这样的传感器可以适配成对于每个要支持的个别路由器或网络装置维持和利用具体连接器，以及，在一些实例中，路由器凭证、类型和地址的记录。
[0053]被动传感器285可以包括其它类型的传感器，例如地址映射型传感器。地址映射型传感器可以适配成使用来自资产储存库250的地址数据或使用一个或多个其它主动或被动传感器(例如，280、285)所发现的地址数据以查询其它网络装置(例如DNS服务器、路由器、IPS、或防火墙)以便发现所发现的装置的附加的地址信息。一般而言，通过这样的查询，单个装置地址可以映射到该装置的一个或多个其它地址。这样的其它地址信息可以包括，例如，一个或多个人类可读名称(例如，DNS名称)、一个或多个逻辑装置地址(例如，IP地址)、一个或多个物理装置地址(例如，MAC地址)等。
[0054]在一些实例中，一个或多个地址映射传感器可以包括在传感器框架275中，其适配成使用从资产储存库250获得的地址数据和/或通过在对应计算环境中所部属的资产检测引擎210中的一个或多个其它传感器280、285来执行DNS服务器查询。DNS服务器可以从人类可读装置名称(例如，DNS名称)前向映射到所命名的装置的烦恼的逻辑地址。此外，DNS服务器还可从一个逻辑装置地址反向映射回到装置的DNS名称。因此，给定单个IP地址，可以通过首先进行对于那个地址的DNS名称的反向查找、然后进行对于装置的所返回的DNS名称的所有IP地址的前向查找来发现附加的地址。
[0055]在其它示例中，地址映射传感器可以适配成查询其它网络系统和数据库以执行计算环境中的装置的地址映射和发现附加的地址数据。例如，可以通过地址映射传感器查询本地IPv4 ARP高速缓存、IPv6目的地高速缓存、或IPv6邻居高速缓存以及其它示例，以发现网络中的以前所识别的装置的附加的地址。例如，对于系统以前曾经通信过的系统的任何IPv4地址，任何系统的本地ARP高速缓存可用于从IPv4地址到对应系统的MAC地址的映射。此外，利用此高速缓存允许发生此映射而不导致要求本地网络路由器提供此转换的成本。另外，在IPv6环境中，目的地高速缓存和邻居高速缓存可以类似地用于识别通过一个或多个IPv6地址识别的装置的MAC地址，以及其它示例。此外，此信息可以经由例如PowerShell v2远程地检索，以从可以获得远程访问的任何系统承包附加的目的地地址。另外，类似于其它传感器，地址映射传感器还可以适配成维持凭证并且配置网络装置和用于鉴定和访问遍及计算环境以各种形式维持事件、装置和地址信息的数据库。
[0056]转到图4，示出与示例资产管理系统205通信的示例可扩大资产检测引擎210的简化框图400。如在图2的示例中那样，资产检测引擎210可以包括传感器框架或平台，适配成容纳和使用资产检测引擎210可以组合使用来识别装置并从网络提取对应装置地址信息的各种主动和被动传感器(例如，280、285)，在该网络上部署资产检测引擎(及其部件传感器280、285)。另外，传感器还可以在传感器框架上方便地添加、移除或代替，从而允许资产检测引擎210的功能性得以扩展、修改和以其它方式为部署了资产检测引擎210的网络量身定做(例如，基于资产检测引擎传感器可以对接的网络上可用的网络装置和服务)。
[0057]在图4中所示出的一个说明性的示例中，示例资产检测引擎210可以包括可插拔地部署在资产检测引擎上的主动和被动传感器280、285。例如，在部署在资产检测引擎210的可插拔主动传感器280之中，可以提供TCP SYN/ACK主动发现传感器、ICMP ping扫视传感器、以及M)P ping传感器。在一些实例中，TCP SYN/ACK传感器可以发送一组一个或多个TCP包(例如SYM包、TCP全连接包序列等)到网路中的地址。在一些实例中，TCP SYN/ACK传感器可以以识别为更有可能在网络中使用的特定端口为目标，并且发送TCP SYN包到每个目标IP地址的每个所识别的端口。以TCP SYN ACK进行响应的目标装置可以被识别为触发目标装置的另外的属性探测的生存装置。ICMP ping扫视传感器可以适配成发送ICMPping请求到每个目标IP地址并且监听响应以识别网络上的生存的装置。UDP ping传感器可以适配成发送特定UDP包到设计成从预计要使用的特定服务引出响应并且与目标装置的特定端口关联的目标装置。UDP ping传感器可以然后监听对所发送的UDP包的响应以识别网络上的生存装置。
[0058]另外，在图4的示例中，各种不同的可插拔被动传感器285还可提供在资产管理引擎210上。例如，在图4的特定示例中，一组被动传感器(每个尝试以特定方式被动地发现IP地址信息)可以包括SPAN端口传感器、IPv6邻居查询传感器、ARP高速缓存查询传感器、反向DNS查找传感器、DHCP承包传感器、交换机MAC传感器、以及其它。此外，传感器还可以提供并实现在可扩大传感器框架上，其适配成与也捕获和维持系统中的地址数据的记录的第三方开发者的产品和服务一起工作(并且在一些情况下由它们提供)。另外，作为对于网络识别的装置地址数据的资产检测引擎210上的每个传感器，结果可以通过资产检测引擎210传递以供资产管理系统205处理。
[0059]一旦接收到由部署在计算环境中的一个或多个资产检测引擎210所获得的装置地址数据，资产管理系统205可以检查资产储存库以查看是否已经识别地址数据，添加尚未被发现的地址数据(例如，对于在储存库中已经发现的装置)，并且基于从资产检测引擎210所接收的结果更新或确认以前识别的地址数据。另外，资产管理系统205可以处理从资产检测引擎210所接收的数据并且根据某些返回的数据的公共性来确定由资产检测引擎所获得的新地址信息对应于网络上的以前发现的装置。此外，在地址信息被确定为对应于尚未在资产储存库中识别的装置的情况下，地址信息的发现可以被认为是表示网络中的装置自身的发现。
[0060]装置和地址数据(例如所发现的IPv6地址)可被资产管理系统205 (或在一些实现中资产检测引擎210自身)使用来触发附加的探测以及使用资产检测引擎传感器(例如，210)的传感器活动。例如，一旦识别新的IP地址资产管理系统205可以使地址映射传感器执行地址映射查询以识别对应于新发现的IP地址的装置的附加的IP地址和/或MAC地址。在其它实例中，新发现的地址数据可以传递到资产检测引擎上的其它传感器(例如，通过资产检测引擎210或资产管理系统205)来尝试发现对应于目标装置的附加信息。实际上，在一些示例中，通过被动传感器285发现的地址数据可被传递到资产管理系统205上的主动传感器280以供由主动传感器用作它们的主动发现技术中的目标地址。例如，主动传感器280可以用来验证(以及周期性地重新验证)特定地址处的装置在网络中是生存的或活动、当装置上线和离线时监测它们、以及监测与地址关联的装置的状态。
[0061]在一些实例中，为了确定装置是否将状态从网络在线改变为网络离线或反之亦然，可以维持对于每个装置所检测的以前的状态，以便提供比较点。这可以例如通过保持在资产检测引擎210 (或在资产储存库250中)的盘上的存储器中的表或数据库而完成，其包含每个已知装置的最后检测的状态。当发现装置生存并且网络在线时(例如，使用主动发现传感器(例如，280))，检查装置状态表。如果没有条目存在或者装置的条目指示其离线，则添加条目或更新现存的条目以指示新的装置状态。无论如何，装置状态表中的条目可以被定时间戳以指示装置被检测为生存并且网络在线的最后的时间。
[0062]另外，可以经由一个或多个主动发现传感器来周期性地探测指示为生存的每个地址。如果地址被检测为生存，则可以再次定时间戳装置状态表中的对应条目以指示装置被检测为网络在线的最后的时间。如果以前经由主动发现传感器将地址检测为网络在线，并且它不再被检测为生存，则装置的条目可以标记为现在网络离线。如果装置从未经由主动方法检测为生存，则检查上次经由一些其它方法视为活动的装置的时间戳，并且如果条目被检测为陈旧(即，比一些规定的阈值旧)，则装置可以被标记为离线。作为最优，如果装置的主动发现失败了一定次数，则它可以被禁用以便保护网络、存储器和CPU使用。
[0063]此外，改变状态的装置的检测可以引起生成指示装置现在是网络在线或离线的事件。如产业中充分理解的，此处可以使用任何产生软件事件的手段。另外，在一些实现中，包括在资产储存库250中的装置被识别为在线(例如，通过对应的生成的事件)可以使一个或多个扫描引擎被报警、激活或部署来执行所发现的装置的一个或多个扫描以确定例如在对装置的标签、安全策略和安全任务的指派中，是否要使用关于装置的另外的信息。
[0064]如图5的简化框图500所示，在一些示例中，计算环境可以包括由资产管理系统205管理的多个网络和子网络(例如，505、510)。每个网络505、510可以具有一个或多个资产检测引擎210a、210b以及一个或多个扫描引擎515、520，其适配成执行关于所发现的装置的任务(例如特定化、后发现扫描以确定操作系统、硬件、端口、应用、弱点、用户、以及例如在计算环境中的其它系统实体(包括应用型实体和人型实体)的识别中可使用的其它信息。这样的信息还可用于对计算环境中的特定网络、装置、应用以及人的安全策略的指派。
[0065]如图5的示例中所示，每个网络505、510可以包括多个资产检测引擎(例如，210a、210b)。在一些实现中，资产检测引擎210a、210b自身可以不具备在缺失一个或多个可插拔传感器存在和使用时扫描或执行其它发现任务的能力，实际上，资产检测引擎210a、210b每个可以利用公共传感器框架但具有适配成监测网络(例如，505、510)的特定特性和服务的所安装的多组传感器。例如，一个资产检测引擎可以具有第一组传感器，然而在相同或不同网络(例如，505、510)中的第二资产检测引擎可以具有不同的第二组传感器(其中至少一个传感器包括在多组传感器之一中，而不在其它中)。例如，资产检测引擎的传感器可以从包括在第一网络但不包括在第二网络中的特定装置或服务(例如DHCP服务器、SPAM端口等)拉出数据、查询或以其它方式与其交互。因此，在这样的示例中，第一网络中的资产检测引擎可以包括适配成与特定装置或服务交互的传感器，然而第二网络中的资产检测引擎可以忽略这样的传感器。此外，一些传感器可以集成或在本地实现于特定装置或服务上，并且对应资产检测引擎的能力可以受限为与其它网络服务通信并且由此利用依赖于与网络服务的通信(或，在一些情况下，同位)的其它传感器、以及其它示例。因此，在一些实例中，多个资产检测引擎可以部署在单个网络中，每个具有不同的一组传感器。一些不同组的传感器可以包括一个或多个相同传感器。此外，尽管多个资产检测引擎210a、210b可以部署在计算环境的网络505、510中，但是资产检测引擎平台(例如，没有传感器的传感器框架)可以跨资产检测引擎210a、210b相同，从而允许每个资产检测引擎上的传感器的自由添加(或移除)。
[0066]如上面和本文中其它地方所述，通过资产检测引擎(例如，使用包括在资产检测引擎中的一个或多个传感器资产检测引擎)的装置和对应地址信息的发现可被其它服务和装置(例如其它资产检测引擎和/或扫描引擎(例如，515、520)所使用。然而，在一些实例中，地址信息单独可能不足以由目标为特定装置的其它资产检测引擎或扫描引擎引导或触发任务。例如，可以在每个子网络505和510中重复单个IPv6地址，忽略驻留在相同计算环境中的网络505、510 (例如企业软件环境)。因此，资产管理系统205可以利用附加的信息来识别包括在对应于单个IPv6地址的特定实例的网络中的合适的扫描引擎或资产检测引擎。
[0067]作为说明性的示例，在图5中在每个网络505、510中提供主机装置(即，系统型实体)。例如，寄宿有网站530的主机装置525、寄宿有数据库540的主机装置535、和打印机装置545、以及其它，可以包括在网络505中。另外，在此特定示例中，路由器550、主机装置555、以及移动计算装置560可以包括在网络510中。在此特定示例中，主机525和主机555可以具备相同的IPv6地址，以便识别和调用合适的引擎(例如，扫描引擎520之一)来探测主机555，资产管理系统205可以维持检测引擎的到扫描引擎的映射或其它关联。例如，资产管理系统205可以将资产检测引擎210a映射到扫描引擎515以及将资产检测引擎210b映射到扫描引擎520，以由此也识别用于通过特定资产检测引擎发现的主机或其它装置的合适的扫描引擎(或其它资产检测引擎)。
[0068]继续根据图5的以前的示例，发现引擎210b可以识别主机555的IPv6地址并且将所发现的地址信息报告给资产管理系统205。在此示例中，资产管理系统205可以使用所返回的IPv6地址挑选执行目标为对应装置(例如主机555)的附加的探测和任务，并且获得关于主机555的附加的信息。为实现此，资产管理系统可以识别主机555的IPv6地址从资产检测引擎210b返回并且商议映射以识别位于与510相同的网络并且适配成执行所希望的任务的一个或多个扫描引擎。实际上，在一些实例中，资产检测引擎(例如，210b)自身可以查询或以其它方式范围映射以识别和直接调用关联的扫描引擎(例如，520)。例如，在一些示例中，可以由调用多个资产检测引擎210a、210b和/或扫描引擎515、520的资产管理系统(或资产检测引擎210a，210b)发起任务的所定义的序列。执行任务序列可以包括识别在获得关于一个或多个系统实体(例如，525、530、535、540、545、550、555、560，等)的地址和其它属性的信息中所涉及的多个资产检测引擎210a、210b和/或扫描引擎515、520之间的关联。任务的序列还可取决于以前的任务的结果(例如，是否识别或识别了什么类型的地址信息或其它属性信息，装置是否被检测为活动等)。
[0069]可以使用各种技术构建所关联的资产检测引擎210a、210b和扫描引擎515、520的映射。例如，资产检测引擎可以手动并且显式(例如，通过用户)与扫描引擎关联。在另一示例中，资产检测引擎和扫描引擎可以例如通过例如在相同主机装置上与扫描引擎合作而部署资产检测引擎来严格关联(即，一个资产检测引擎对一个扫描引擎，并且反之亦然)。在另外的其它示例中，可以自动映射。例如，资产检测引擎210a、21b和扫描引擎515、520每个可以识别并映射到一个或多个特定网络505、510并且资产管理系统205可以识别从特定网络(例如，510 )中的特定资产检测弓I擎(例如，210b )收集特定地址信息(例如，对应于特定装置，例如，550、555、560)。在其它实例中，特定资产检测引擎210a、210b可以直接映射到特定扫描引擎515、520。
[0070]在一些实现中，资产检测引擎210a、210b所收集的地址信息可用于关联资产检测引擎210a、210b和扫描引擎515、520 (和/或可用于识别资产检测引擎处于与一个或多个扫描引擎相同的网络中，等)。例如，如果特定资产检测引擎(来自210a)识别资产管理系统205已知的地址信息对应于寄宿有一个或多个特定扫描引擎(例如，515)的特定装置，则资产管理系统205可以使用所返回的地址信息以确认特定资产检测引擎(例如，210a)处于与对应特定扫描引擎(例如，515)相同的网络(例如，205)上，以及特定扫描引擎将扫描目标的地址信息视为对应于网络(例如，205)，而不是将扫描目标与不同网络(例如，510)上的另一目标混淆，以及其它示例。例如，扫描引擎和/或检测引擎可以识别与资产检测引擎或扫描引擎的业务或行为相似的业务或行为，并且由此识别它们每个处于相同的网络中，或特定扫描引擎515以其它方式能够到达对应于由关联资产检测引擎所发现的地址信息的特定目标装置。
[0071]转到图6A-6H的示例,示出图示包括示例资产检测引擎(例如,210)的示例操作的简化框图600a-h。如图6A所示，多个未被发现的装置(B卩，系统型系统实体)610、615、620、625可以连接到网络605、通过网络605通信、或以其它方式结合网络605操作而没有由资产管理系统205在关联安全策略到系统实体和执行与系统实体相关的安全任务(包括所指派的安全策略的实施)时使用的由资产管理系统205维持的资产储存库。资产检测引擎210(包括包含被动和主动传感器的多个可插拔传感器)可用于识别网络605中的未发现的装置，以及未发现的装置的地址数据。
[0072]在图6A的示例中，资产检测引擎210上的基于事件的发现传感器可用于识别网络上的一个或多个装置。例如，调用装置610的事件可以由一个或多个网络服务在网络上识别，例如主动目录服务器、IDS、防火墙或其它工具或服务(例如，事件管理服务器630)。事件管理服务器630可以检测、注册或记录网络上的事件(包括所检测的事件中所涉及的装置(例如，610)的地址标识符。在一些实例中，对于由事件管理服务器630所检测的新事件，基于事件的发现传感器可以被报警和/或转发事件数据。例如，事件管理服务器630可以转发特定事件到以前被识别为可能包括网络中的装置的地址信息的基于事件的发现传感器。在其它实例中，基于事件的发现传感器可以与事件管理服务器630对接并且查询事件管理服务器630的事件记录以识别新的事件数据和从该事件数据提取装置地址数据。这样的事件数据然后可以被资产检测引擎210处理并且发送到资产管理系统205。另外，资产检测引擎210可以从资产管理系统205接收指令以及其它通信，例如用于根据一个或多个发现任务序列(包括多路径发现任务序列树)来执行所发现的装置的附加的探测的指令，例如主动发现探测或所发现的IPIP地址的地址映射、DNS名称等。
[0073]转到图6B，表示装置610的发现(B卩，呈现比装置615、620、625的表示更高对比，下文的遍及图6A-6H的会议)，包括对于由与资产检测引擎610 —起包含的基于事件的发现传感器的装置610所发现的地址数据“地址I”。如图6B所图示，装置610和所关联的地址信息“地址I”(例如，装置610的IPv6地址)的识别还可以被其它传感器用来获得附加的地址信息，以及发现装置610的其它属性。在一些示例中，一旦识别出特定地址数据的发现，资产检测引擎210可以促进另外的发现任务(例如，使用资产检测引擎210上的其它传感器)。在其它实例中，资产管理系统205可以驱动由资产检测引擎的传感器所执行的任务，例如基于新的地址信息的发现的任务。例如，资产检测引擎210可以返回装置610的“地址I”的识别到资产管理系统205并且资产管理系统205可以处理“地址I”来确定地址信息(和/或关联的装置)是否已知。在任一种情况下，资产管理系统205可以请求附加的发现任务，例如DNS映射或ARP映射任务，由此调用资产检测引擎(例如，210)上的特定传感器。例如，如图6B的示例所示，资产检测引擎210可以使用资产检测引擎210上的DNS映射传感器来在DNS服务器635处利用新发现的“地址I”作为输入来执行反向DMS映射。DNS服务器635可以将地址I映射到例如特定DNS名称。此外，资产检测引擎210处的DNS映射传感器还可以请求对于“地址I”所返回的DNS名称的前向DNS映射以确定是否任何其它地址数据(例如，IP地址)映射到DNS名称，该DNS名称映射到“地址I ”。以此方式(并且根据这样的序列)，DNS映射传感器可以影响新发现的IP地址(例如，IPv6地址)以发现其它IP地址(例如，“地址2”)，以及装置610的其它地址数据(例如DNS名称)。实际上，如图6C的示例所示，对于装置610已经基于在图6B的示例中所执行的DNS查找638而返回一个附加的地址(“地址2”)。
[0074]在图6C的示例中，可以通过资产检测引擎210的传感器执行附加的发现任务，例如延迟型发现任务。例如，资产检测引擎210可以包括SPAN端口传感器，或能够监听一个或多个交换机、路由器或网络605中的其它网络元件处的端口镜像的其它传感器。例如，资产检测引擎210的传感器可以使用交换机640处的镜像功能性(例如，642)跨交换机640识别业务(包括特定网络通信641的来源和目的地地址)。在此特定示例中，由资产检测引擎发现的来源IP地址可以对应于以前未识别的装置620 (或装置620的以前未识别的IP地址)并且目的地IP地址还可以是资产管理系统205 (即，不包含在由资产管理系统205所维持的资产储存库中的地址)并且对应于另一装置615的IP地址。如图6D所示，由资产检测210使用捕获端口镜像数据的传感器(例如，在交换机640的SPAN端口处)所发现的IP地址(例如，“地址3”和“地址4”)可以被通信到资产管理系统205。另外，如图6B的示例中那样，新发现的地址“地址3”和“地址4”还可以被资产检测引擎210用来(例如，响应于来自资产管理系统205的命令)执行附加的发现任务，例如通过资产检测引擎210上的另一传感器(或者网络605的另一资产检测引擎或扫描引擎)邻居发现请求、ARP查询、DNS映射等以发现所发现的装置615、620的附加的地址(例如，“地址5”、“地址6”和“地址7”)(例如，基于资产管理系统205和/或资产检测引擎210所引导的特定任务序列)。
[0075]转到图6E，附加的传感器可以包含于适配为执行附加的发现任务(包括间接型发现任务)的示例资产检测引擎210中。作为示例，如图6E所示，间接型传感器可以查询网络(例如，605)上的其它网络元件、服务和计算装置的记录以识别网络605上的已知和未知的装置的以前未识别的地址信息。例如，在图6E的示例中，间接型传感器可以用于查询寄宿有一个或多个网络服务的网络管理服务器645 (例如DHCP服务器、入侵检测系统(IDS)系统或其它服务器)的数据结构(例如数据库)，在该其它服务器的操作中，在由网络管理服务器645管理的数据结构中记录网络605中的装置的地址信息。在其它示例中，间接型传感器可以用来查询由网络605中的网络元件650所维持的数据结构，例如，由如图6F的路由器650或网络605中的其它计算装置(包括网络元件)所维持的MAC地址表。在任一实例中，通过间接发现型传感器的网络605中的其它服务或网络元件的查询可以用于识别更进一步的地址信息(例如，“地址8”)以及网络605中的对应装置(例如，装置625)。
[0076]间接型传感器可以查询来源网络管理服务器(例如，645)或网络元件(例如，650)以获得含有由地址数据来源(例如，645、650)所收集的地址信息的数据结构的全集或子集。例如，在一些示例中，可以响应于查询而由资产检测引擎210的传感器返回一组未过滤的数据，并且由资产检测引擎210和/或资产管理系统205处理来识别资产管理系统205感兴趣的地址信息(例如，与由资产储存库维持的地址信息相比新的或不同的地址信息的识别)。在其它实例中，资产检测引擎210的间接发现型传感器可以执行来源网络管理服务器645的过滤的查询，例如，以返回来自网络管理服务器645的数据的子集，例如由网络管理服务器645最新收集的数据、在特定时间段期间收集的数据等。此外，如在其它示例中那样，通过由资产检测引擎210的间接发现型传感器所执行的间接发现技术而收集的地址信息可用作由其它传感器执行的其它发现任务(例如DNS映射(例如,655)或其它任务)的输入或催化剂，该其它任务可用于发现更进一步的属性和地址信息(例如，“地址9”、“地址10”)，如图6G和6H的示例所示。
[0077]转到图6H，除执行被动发现和在一些情况下的间接发现任务链或系列(例如，根据在可能的任务序列库中的一个特定任务序列而使用被动传感器285)以发现新的地址信息和对应网络装置(例如，610、615、620、625)之外，资产检测引擎210还可以利用由以前的被动发现任务所发现的信息而激励主动发现传感器(例如，280)来执行针对所发现的装置610、615、620、625的主动发现任务(例如，另外根据特定所定义的任务序列)。在一些实现中，主动发现传感器在不具有目标装置的特定识别(例如，目标装置IP地址)的情况下，有可能不能够执行其发现任务。因此，特定装置的一个或多个地址的发现可用于资产检测引擎210的一个或多个主动发现传感器来发现附加的地址信息和所发现的装置610、615、620,625的属性。另外，资产管理系统205还可以识别扫描引擎和其它工具(其可以使用所发现的装置610、615、620、625的地址信息)来执行装置610、615、620、625的扫描并识别装置610、615、620、625的属性(包括装置610、615、620、625的类型、硬件、外围设备、操作系统、弱点、软件安装等)，以及其它示例。
[0078]作为示例，在图6H中，资产检测引擎210的一个或多个主动发现传感器可以使用所发现的地址信息(例如，“地址1-10 ”)来执行附加的发现任务(例如，660、665、670、675 )以及获得对应装置610、615、620、625的此外的地址信息和/或属性，以及网络605上的其它装置或实体(例如，人和应用)。主动发现传感器从以前收集的地址信息识别装置610、615、620,625并且发送包到装置610、615、620、625并且探测装置对包的响应以便将这样的信息识别为在装置上活动的端口、装置的操作系统、由装置所使用的协议、由装置提供的服务等等。在一些实例中，可以并行实现通过资产检测引擎210的一个或多个主动发现传感器的装置610、615、620、625的直接探测。另外，资产管理系统可以引导资产检测引擎210关于要由传感器执行的探测的类型以及要被探测的装置。附加的装置信息(包括从探测所检索的地址信息)然后可以被检索并通信到资产管理系统以进一步补充和改进其资产储存库，从而允许所探测的装置的人和应用被识别，装置(以及其它系统实体)被标记或以其它方式分组，使安全策略指派给它们，以及基于使用一个或多个资产检测引擎(以及在一些实现中为扫描引擎)所发现的属性而执行的附加的安全任务。
[0079]图7A-7C是图示在计算环境中利用发现技术的示例技术的简化流程图700a_c。例如，在图7A的示例中，可以使用安装在采用刀片架构的可插拔资产检测引擎上的第一可插拔传感器来识别705网络中的特定计算装置的地址信息。第一传感器可以采用被动发现技术来识别地址信息。地址信息可以包括特定计算装置的IPv4地址、IPv6地址、MAC地址等。安装在相同的资产检测引擎上的第二可插拔传感器可用于识别210特定计算装置的附加的地址信息。第二传感器还可采用被动发现技术，或可以是主动发现传感器，补充对于使用第一传感器的特定计算装置所发现的地址信息进行补充的任何实例中。此外，第二传感器可以响应于由第一传感器的地址信息的识别705而执行发现任务。例如，当使用第一传感器发现地址信息时，可以利用通过第二传感器的触发动作的所定义的任务序列。在其它实例中，当第一传感器未成功发现使用资产检测引擎可插拔传感器所识别和收集的地址信息可以通信215到资产管理系统时，可以采取其它动作，例如，对于与由资产管理系统所维持的资产储存库中所描述的特定计算装置的关联，用于触发特定计算装置的资产管理系统的使用、以及以其它方式指派(或实施)安全策略到特定计算装置(以及代表特定计算装置实施安全策略)，以及其它示例。
[0080]转到图7B的流程图700b，可以在定义计算环境中的系统实体之间的关系的特定集合的分层的资产储存库中识别720特定系统实体。特定标签可以指派给包括在资产储存库中的特定系统实体的记录。标签可以由用户指派725或可以由资产管理系统自动指派725，例如结合识别特定系统实体的一个或多个属性并且基于一个或多个所识别的属性而应用标记规则。这样的属性可以由与资产管理系统通信的资产检测引擎和扫描引擎中的一个或两者识别。特定系统实体的标记可以使特定安全策略基于标签的指派725而与特定系统实体关联730。实际上，所指派的特定安全策略可以应用于或关联于730至少包括该标签的一组特定标签的一组系统实体。在一些实例中，可以基于用单个特定标签或标签的特定组合标记的系统实体来将安全策略应用于系统实体(例如，仅具有组合中的每个标签的实体会具有应用于其的安全策略)，在其它实例中，一组标签可以包括备选标签，其中，被指派了特定组的标签的任何一个的任何系统实体会具有与系统实体关联并且应用于系统实体的相关联的安全策略。
[0081]转到图7C的流程图700c，可以构建IPv6地址的储存库以由此辅助采用IPv6寻址的装置和网络的识别和扫描。可用对于特定计算环境(例如特定企业或组织的计算环境)开发这样的储存库，或可以开发尝试捕获在许多网络(包括跨因特网)中使用的所有IPv6地址的储存库。可使用储存库，例如，识别特定装置，其可以被扫描或探测，对于附加的属性并且发现附加的系统实体，例如计算装置上的特定应用、计算装置的用户等。网络中的特定计算装置的IPv6地址可以使用被动发现传感器来识别740。被动发现传感器可以是，例如，延迟型发现传感器、基于事件的发现传感器、或间接型发现传感器，并且在一些实现中可以是适配成包括在资产检测引擎的可扩充、类似刀片架构中的可插拔传感器。可以使用所识别的IPv6地址来使得第二发现任务被执行745。可以通过相同的被动发现传感器、另一被动发现传感器(例如地址映射传感器)或主动发现传感器以及其它示例来执行第二发现任务。在一些实例中，可以响应于IPv6地址的识别740来使得第二发现任务被执行745，例如，结合所定义的任务序列。可以从第二发现任务的结果来识别750特定计算装置的附加的属性(包括附加的IPv6地址和非地址属性)。在一些情况下，IPv6地址和附加的属性可以被添加到表示第一地址信息和特定装置存在于网络上的证据的资产储存库。
[0082]虽然已经在某些实现和通常关联的方法方面来描述本公开，但是这些实现和方法的改变和置换将对于本领域技术人员而言是显而易见的。例如，本文描述的动作可以用不同于所描述的次序来执行并且仍然实现合意的结果。作为一个示例，在附图中描绘的过程不一定需要所示出的特定次序或顺序，来实现所希望的结果。图示的系统和工具可以类似地采用备选架构、部件和模块来实现类似结果和功能性。例如，在某些实现中，多任务、并行处理、和基于云的解决方案可以是有利的。在一个备选系统或工具中，在可移除存储装置(例如，便携式硬驱动、拇指驱动等)上可以采用简化的移动通信装置的无线认证功能性。在这样的实例中，可移除存储装置可以缺乏用户接口但是具备无线接入功能性用于连接到短范围网络(例如，蓝牙)上的协作计算装置，并且与短范围网络上的协作计算装置共享认证数据来鉴别到一个或多个协作计算装置的无线、便携式存储装置的持有者，允许用户既通过无线存储装置获得接入(并且保护)协作计算装置，又使用鉴别的协作计算装置来接入、消耗、并且修改在硬驱动上存储的数据。其它系统和工具还可使用本公开的原理。此外，可以支持不同的用户接口布局和功能性。其它变化是在下文的权利要求的范围内。
[0083]主题的实施例和在本说明书中描述的操作可以实现在数字电子电路中，或在计算机软件、固件、或硬件中(包含在本说明书中公开的结构和它们的结构等效)，或在它们的一个或多个的组合中。在本说明书中描述的主题的实施例可以实现为一个或多个计算机程序(B卩，计算机程序指令的一个或多个模块)，它们是在计算机存储介质上编码用于执行或控制数据处理器件的操作。备选地或此外，程序指令可以在人工生成的传播信号上编码，例如，机器生成的电、光、或电磁信号，被生成来编码信息用于到合适的接收器器件的传送用于由数据处理器件执行。计算机存储介质可以是、或包含于计算机可读存储装置、计算机可读存储基板、随机或串行访问存储器阵列或装置、或它们的一个或多个的组合。此外，虽然计算机存储介质本身不是传播信号，但是计算机存储介质可以是在人工生成的传播信号中编码的计算机程序指令的来源或目的地。计算机存储介质还可以是、或包含于一个或多个单独的物理部件或介质(例如，多个CD、磁盘、或其它存储装置)，包含分布式软件环境或云计算环境。
[0084]网络(包含核心和接入网络，包含无线接入网络)可以包含一个或多个网络元件。网络元件可以包含各种类型的路由器、交换器、网关、网桥、负载平衡器、防火墙、服务器、工作站、内联服务节点、代理器、处理器、模块、或用于在网络环境中交换信息的任何其它合适的装置、部件、元件、或对象。网络元件可包含适当的处理器、存储器元件、硬件和/或软件来支持(或以其它方式执行)与使用处理器用于屏幕管理功能性关联的活动，如本文勾勒的。此外，网络元件可包含促进其操作的任何合适的部件、模块、接口、或对象。此可包含适当的算法和通信协议，它们允许数据或信息的有效交换。
[0085]在本说明书中描述的操作可以实现为由数据处理器件对数据(存储在一个或多个计算机可读存储装置上或接收自其它来源)执行的操作。术语〃数据处理器件〃、“处理器”、〃处理装置〃和〃计算装置〃可以包含用于处理数据的所有种类的器件、装置、机器，以示例的方式包含可编程处理器、计算机、片上系统、或以上的多个或组合。器件可以包括通用或专用逻辑电路，例如，中央处理单元(CPU)、叶片、专用集成电路(ASIC)、或现场可编程门阵列(FPGA)，除了其它合适的选项。虽然一些处理器和计算装置已经描述和/或图示为单个处理器，但是可根据关联的服务器的特定需要来使用多个处理器。对单个处理器的参考旨在包含其中可应用的多个处理器。一般而言，处理器执行指令并且操纵数据来执行某些操作。除硬件以外，器件还可包含为正被讨论的计算机程序创建执行环境的代码，例如，组成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时间环境、虚拟机、或它们的一个或多个的组合的代码。器件和执行环境可以实现各种不同的计算模型基础结构，例如网络服务、分布式计算和网格计算基础结构。
[0086]计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎、或代码)可以用任何形式的编程语言来编写，包含汇编或解释语言、陈述性或程序性语言，并且可以用任何形式来部署，包含作为独立的程序或作为模块、部件、子例程、对象、或适用于计算环境的其它单元。例如，计算机程序可包含计算机可读指令、固件、有线或编程硬件、或有形介质的任何其组合(当执行时，用于至少执行本文描述的过程和操作)。计算机程序可，但不需要对应于文件系统中的文件。程序可以存储在保存其它程序或数据(例如，存储在标注语言文档中的一个或多个脚本)的文件的一部分中，存储在专用于正被讨论的程序的单个文件中，或存储在多个协作文件(例如，存储一个或多个模块、子程序、或代码的一部分的文件)中。计算机程序可以部署为在一个计算机或多个计算机(位于一个站点或跨过多个站点分布并且由通信网络互连)上执行。
[0087]程序可以实现为通过各种对象、方法、或其它过程来实现各种特征和功能性的个别模块，或可反而包含多个子模块、第三方服务、部件、库、等等合适的。相反地，各种部件的特征和功能性可以合适地组合到单个部件中。在某些情况下，程序和软件系统可实现为复合主机应用。例如，复合应用的一部分可实现为企业Java Beans (EJB)或设计时间部件可具有能力来将运行时间实现生成到不同的平台，例如J2EE (Java 2平台，企业版本)、ABAP(高级商业应用编程)对象、或微软的.NET，除了其它以外。此外，应用可表示经由网络(例如，通过因特网)接入并且执行的基于网络的应用。另外，可存储、参考、或远程执行与特定主机应用或服务关联的一个或多个过程。例如，特定主机应用或服务的一部分可以是与远程调用的应用关联的网络服务，而主机应用的另一部分可以是捆绑用于在远程客户端处处理的接口对象或代理器。此外，任何或所有主机应用和软件服务可以是另一软件模块或企业应用(未图示)的子成员或子模块而不背离本公开的范围。更进一步，主机应用的一部分可以由直接工作在托管应用的服务器处(以及远程在客户端处)的用户来执行。
[0088]在本说明书中描述的过程和逻辑流可以由执行一个或多个计算机程序的一个或多个可编程处理器来执行以通过在输入数据上操作并且生成输出而执行动作。过程和逻辑流还可由专用逻辑电路(例如，FPGA (现场可编程门阵列)或ASIC (专用集成电路))来执行，并且器件还可实现为专用逻辑电路(例如，FPGA (现场可编程门阵列)或ASIC (专用集成电路))。
[0089]适合于计算机程序的执行的处理器以示例的方式包含通用和专用微处理器两者、以及任何种类的数字计算机的任何一个或多个处理器。一般而言，处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于根据指令来执行动作的处理器和用于存储指令和数据的一个或多个存储器装置。一般而言，计算机将也包含、或操作地耦合到接收数据自或传递数据至(或两者)用于存储数据的一个或多个大容量存储装置(例如，磁性、磁光盘、或光盘)。然而，计算机不需要具有这样的装置。此外，计算机可以嵌在另一装置中，例如，移动电话、个人数字助理(PDA)、平板计算机、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器、或便携式存储装置(例如，通用串行总线(USB)闪存驱动)、仅举几例。适合于存储计算机程序指令和数据的装置包含所有形式的非易失性存储器、介质和存储器装置，以示例的方式包含半导体存储器装置(例如，EPR0M、EEPR0M、和闪速存储器装置)；磁盘(例如，内部硬盘或可移除磁盘)；磁光盘；以及⑶ROM和DVD-ROM磁盘。处理器和存储器可以由专用逻辑电路补充，或并入专用逻辑电路。
[0090]为提供与用户的交互，在本说明书中描述的主题的实施例可以实现在具有显示装置(例如，CRT (阴极射线管)或LCD (液晶显示器)监视器，用于向用户显示信息)以及键盘和指向装置(例如，鼠标或跟踪球，用户借此可以向计算机提供输入)的计算机上。其它种类的装置也可用于提供与用户的交互；例如，向用户提供的反馈可以是任何形式的传感器反馈(例如，视觉反馈、听觉反馈、或触觉反馈)；并且来自用户的输入可以用任何形式来接收，包含声学、语音、或触觉输入。此外，计算机可以通过发送文档至并且接收文档自用户所使用的装置(包含远程装置)来与用户交互。
[0091]在本说明书中描述的主题的实施例可以实现在计算系统中，计算系统包含后端部件(例如，数据服务器)、或包含中间件部件(例如，应用服务器)、或包含前端部件(例如，具有图形用户接口或网络浏览器的客户端计算机，用户可以通过图形用户接口或网络浏览器来与在本说明书中描述的主题的实现交互)、或包含一个或多个这样的后端部件、中间件或前端部件的任何组合。系统的部件可以由任何形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包含用于促进系统中的各种计算部件之间的通信的任何内部或外部网络、网络、子网络、或其组合。例如，网络可通信因特网协议(IP)包、帧中继器帧、异步传递模式(ATM)小区、语音、视频、数据、和网络地址之间的其它合适的信息。网络还可包含一个或多个局域网(LAN)、无线电接入网络(RAN)、城域网(MAN)、广域网(WAN)、所有或部分因特网、对等体对对等体网络(例如，特别的对等体对对等体网络)，和/或在一个或多个位置处的任何其它通信系统或系统。
[0092]计算系统可以包括客户端和服务器。客户端服务器通常彼此远离并且典型地通过通信网络来交互。客户端和服务器的关系是由于在相应计算机上运行并且彼此具有客户端服务器关系的计算机程序而出现。在一些实施例中，服务器传送数据(例如，HTML页面)到客户端装置(例如，出于显示数据至并且接收用户输入自与客户端装置交互的用户的目的)。在客户端装置处生成的数据(例如，用户交互的结果)可以在服务器处接收自客户端装置。
[0093]虽然本说明书包含许多具体实现细节，但是这些不应解释为对任何发明或可要求保护的范围的限制，而是具体到特定发明的特定实施例的特征的描述。在本说明书中在单独实施例的上下文中描述的某些特征还可组合实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征还可单独地实现在多个实施例中或实现在任何合适的子组合中。此外，虽然特征可以上描述为以某些组合起作用并且甚至最初是如此要求保护的，但是来自要求保护的组合的一个或多个特征可以在一些情况下脱离组合，并且要求保护的组合可指向子组合或子组合的变化。
[0094]类似地，虽然图中的操作是以特定次序来描绘，但是这不应该理解为需要以示出的特定次序或顺序来执行这样的操作，或需要执行所有图示的操作来实现合意的结果。在某些情况下，多任务和并行处理可以是有利的。此外，在上述实施例中的各种系统部件的分离不应理解为在所有实施例中都需要这样的分离，并且应该理解描述的程序部件和系统可以通常一起整合在单个软件产品中或封装到多个软件产品中。
[0095]因此，已经描述主题的特定实施例。其它实施例是在下文的权利要求的范围内。在一些情况下，在权利要求中叙述的动作可以用不同的次序来执行并且仍然实现合意的结果。此外，在附图中描绘的过程不一定需要示出的特定次序或顺序来实现合意的结果。
【权利要求】
1.一种方法，包括: 使用执行第一发现任务的第一被动发现传感器来识别网络内的特定计算装置的第一因特网协议版本6 (IPv6)地址； 使用所述第一 IPv6地址使得第二发现任务被执行； 从所述第二发现任务的结果识别所述特定计算装置的属性；以及 将所述特定装置的所述第一 IPv6地址和属性添加到维持网络中的所检测到的IPv6地址的记录的储存库。
2.如权利要求1所述的方法，其中根据预定发现任务序列来执行所述第二发现任务，并且所述第二发现任务在所述序列中在所述第一发现任务之后。
3.如权利要求2所述的方法，其中响应于使用所述第一发现任务的IPv6地址的识别而在序列中执行所述第二发现任务。
4.如权利要求1所述的方法，其中所述第二发现任务是由主动发现传感器执行的主动发现任务，以及所述第二发现任务包括发送数据到在所述第一 IPv6地址的所述特定计算装置并且监测所述特定计算装置对所发送的数据的响应。
5.如权利要求1所述的方法，其中所述属性包括所述特定计算装置的另一地址。
6.如权利要求2所述的方法，其中其它地址具有不同于IPv6的类型。
7.如权利要求6所述的方法，还包括使用所述其它地址来确定所述特定计算装置的第二 IPv6地址。
8.如权利要求7所述的方法，其中所述其它地址是所述特定计算装置的域名服务(DNS)名称，所述第二发现任务包括使用所述第一 IPv6地址的反向DNS查询、以及从使用所述DNS名称的DNS查询确定所述第二 IPv6地址。
9.如权利要求1所述的方法，还包括确定所述特定计算装置是否已经在所述储存库中被识别，其中响应于确定所述特定计算装置是在所述第一 IPv6地址的识别之前所述网络上的未发现的计算装置来执行所述第二发现任务。
10.如权利要求1所述的方法，其中所述第一发现任务是从描述由所述网络上的事件管理服务所识别的网络中的事件的事件记录数据来识别IPv6地址的基于事件的发现任务。
11.如权利要求10所述的方法，其中所述第一被动发现传感器适配成访问动态主机配置协议(DHCP)服务器事件、主动目录审计事件、防火墙事件、以及入侵防止系统(IPS)事件中的至少一个的事件记录数据。
12.如权利要求1所述的方法，其中所述第一发现任务是从由所述第一被动发现传感器所监测的网络业务识别IPv6地址的延迟型发现任务。
13.如权利要求12所述的方法，其中所述第一被动发现传感器适配成监测所述网络业务中的NetB1S广播包、因特网控制消息协议版本6 (ICMPv6)网络业务和经由端口镜像的网络业务中的至少一个。
14.如权利要求1所述的方法，其中所述第一发现任务是从查询远离所述特定计算装置而寄宿的所述网络的网络服务的记录而识别IPv6地址的间接型发现任务。
15.如权利要求14所述的方法，其中所述第一被动发现传感器适配成以下中的至少一个:查询简单网络管理协议(SNMP)管理信息库(MIB)、查询DHCP数据库、查询MAC地址表、以及发出关于所述网络中的另一计算装置的netstat命令。
16.如权利要求1所述的方法，其中所述第一被动发现传感器是结合在所述网络中采用的一个或多个资产检测引擎使用的特定可插拔传感器的实例。
17.如权利要求16所述的方法，其中每个资产检测引擎包括来自包括可插拔主动发现传感器、可插拔延迟发现传感器、基于事件的发现传感器以及间接发现传感器的集合的两个或者更多可插拔传感器。
18.如权利要求16所述的方法，其中所述第一被动发现传感器是包括在特定资产检测引擎上的可插拔传感器，所述第二发现任务由包含在所述特定资产检测引擎上的第二可插拔发现传感器来执行，其中所述第二发现传感器具有不同于所述第一发现传感器的类型。
19.在非暂时性介质中编码的逻辑，所述逻辑包括用于执行的代码并且当由处理器执行时可操作来执行以下操作，包括: 使用执行第一发现任务的第一被动发现传感器来识别网络内的特定计算装置的第一IPv6地址； 使用所述第一 IPv6使得第二发现任务被执行； 从所述第二发现任务的结果识别所述特定计算装置的属性；以及 将所述特定装置的所述第一 IPv6地址和属性添加到维持网络中的所检测到的IPv6地址的记录的储存库。
20.—种系统,包括: 至少一个处理器装置； 至少一个存储器元件；以及 资产管理系统，当被所述至少一个处理器装置执行时适配成: 使用执行第一发现任务的第一被动发现传感器来识别网络内的特定计算装置的第一IPv6地址； 使用所述第一 IPv6地址使得第二发现任务被执行； 从所述第二发现任务的结果识别所述特定计算装置的属性；以及 将所述特定装置的所述第一 IPv6地址和属性添加到维持网络中的所检测到的IPv6地址的记录的储存库。
21.如权利要求20所述的系统，其中使得所述第二发现任务被执行包括识别适配成执行所述第二发现任务的特定发现传感器，以及调用所述特定发现传感器来使用所述第一IPv6地址执行所述第二发现任务。
【文档编号】H04L29/06GK104205774SQ201380017128
【公开日】2014年12月10日 申请日期:2013年4月11日 优先权日:2012年4月11日
【发明者】J.M.胡加德四世, R.凯尔, J.C.雷贝罗, O.阿金, S.施雷克 申请人:迈可菲公司