专利名称:平台脆弱性评估用的嵌入式机制的制作方法
技术领域:
本发明的实施例涉及计算安全领域,更具体地说,涉及平台脆弱 性评估用的嵌入式机制。
背景技术:
对于越来越多的企业,诸如,例如,金融机构,顺应性管理是该 企业内平台总体管理的关键部分。例如,在一个众所周知的金融机构中,据估计,它们的全部网络业务30%涉及顺应性数据用的轮询 机。顺应性管理涉及共同工作的许多部件,以保证每个平台都符合 信息技术(IT)策略,而且这些策略没有被篡改。顺应性扫描的联网 强度较高的要素之一是针对已知脆弱性的扫描机器。这可能是联网 强度高的,因为它可能涉及端口扫描。发明内容本发明的的第一方面涉及一种方法,其中包括扫描,由被管理 平台的一个管理部件按照网络的管理控制台的安全策略针对脆弱性 扫描该被管理平台的至少一个主机部件,所述扫描以适于网络的方 式进行,该方式类似于所述管理控制台扫描所述至少一个主机部件 的基于网络的方式;以及处置,由所述管理部件向所述管理控制台 报告所述至少 一个主机部件的潜在脆弱性。本发明的第二方面涉及一种被管理的装置,其中包括至少一个 主机部件; 一个管理部件,该管理部件包括脆弱性扫描器,配置成 按照网络的管理控制台的安全策略针对脆弱性扫描所述至少一个主 才几部件;以及一个或多个适于网络的通信部件,在通信上连4矣所述至少一个主机部件和管理部件,以使所述管理部件能够以适于网络 的方式进行扫描,该方式类似于所述管理控制台扫描所述至少一个 主机部件的基于网络的方式。本发明的第三方面涉及一种制品,其中包括存储介质;以及 一组存入所述存储介质的指令,该组指令由被管理平台的处理器执 行时使所述处理器进行以下操作按照网络的管理控制台的安全策略,针对所述至少一个主机部件 的脆弱性,扫描所述被管理平台的至少一个主机部件,所述扫描以 适于网络的方式进行,该方式类似于所述管理控制台扫描所述至少 一个主机部件的基于网络的方式;以及处置所述至少 一个主机部件的潜在脆弱性。本发明的第四方面涉及一个^R管理系统,其中包括动态随机访 问存储器(DRAM),配置成存储与至少一个主机部件的一个或多个脆 弱性可能事项对应的内容,所述一个或多个脆弱性可能事项涉及网 络的管理控制台的安全策略;所述至少一个主机部件; 一个管理部 件,该管理部件包括脆弱性扫描器,用以就一个或多个脆弱性可能 事项针对脆弱性扫描所述至少一个主机部件;以及一个或多个类似 网络的通信部件,在通信上连4妾所述至少一个主机和管理部件,以 使所述管理部件能够以适于网络的方式进行扫描,该方式类似于所 述管理控制台扫描所述至少一个主机部件的基于网络的方式。
结合附图阅读以下详细说明将容易理解本发明的实施例。为了便 于对其进行描述,类似的标记指示类似的构成要素。附图中,本发 明各实施例是以举例方式而不是限制方式进行说明。图1根据本发明的各种实施例示意说明可使用脆弱性扫描器的计算机系统;图2根据本发明的各种实施例示意说明一个示范性的被管理平厶.图3根据本发明的各种实施例示意说明一个示范性的被管理平具体实施方式
以下参照附图进行详细说明,附图构成本说明书的一部分,其中 类似的附图标记指示类似的部件,而且其中是以举例方式描述实施 本发明的实施例。要明白,在不脱离本发明范围的条件下,也可以 采用其它的实施例,且在结构上或逻辑上可加以改变。因此,以下 的详细说明不是在限制性的,本发明各实施例的范围由后附的权利 要求书及其等效物加以规定。各种操作可以作为多个离散的操作依次描述,以有助于理解本发 明的实施例;但是,描述顺序不意味着这些操作取决于顺序。对于本发明的目的,"A/B" —词意味着A或B。对于本发明的 目的,"A和/或B" —词意味着"(A)、 (B)或(A和B)"。出于本发明 的目的,"A、 B和C中的至少一个" 一词意味着"(A)、 (B)、 (C)、 (A 和B)、(A和C)、 (B和C)或(A、 B和C)"。出于本发明的目的,"(A)B" 一词意味着"(B)或(AB)",就是说,A是一个任选单元。本说明书可以使用"在一个实施例中"或"在一些实施例中,,, 这些用语可以各自指一个或多个相同的或不同的实施例。另外,"包 括"、"包含","具有"等等用语对于本发明的实施例是同义词。本发明的实施例提供一个平台脆弱性评估用的嵌入式机制。按照本发明的各种实施例,脆弱性扫描在网络的被管理平台上的 执行容器(execution container)中完成。这使得脆弱性扫描可在该平 台上本地进行,而不使用外部网络或在主机操作系统(其本身会受 到攻击)上运行的代理,。根据一实施例, 一个独立的主机在该;波管 理平台上使用嵌入式硬件管理引擎(ME)来执行该脆弱性扫描,而在 第二实施例中,被管理平台的管理分区执行虚拟机的脆弱性扫描。8图1示意说明一个可以包括按照本发明的各种实施例的脆弱性扫描器的计算机系统100。如文中显而易见的,系统100的至少一些部分可以形成一个被管理平台,在一个网络内包括按照本发明的各种 实施例的脆弱性扫描器。系统100可以有一个执行环境104,它可以是执行操作系统(OS) 108的领域。OS 108可以是一个配置成执行和控制该执行环境104 内的部件,如软件部件112,它受管理模块116的管理。该管理模块 116可以仲裁一般部件对诸如一个或多个处理器120、网络接口控制 器124、存贮器128和/或存储器132等硬件资源的访问。在某些实施例中,部件112可以是监控级部件,例如核心部件。 在各种实施例中,核心部件可以是服务程序(例如,装入程序,调 度程序、存储器管理程序等),扩鳥驱动器(例如,网卡、USB (通 用串行总线)接口 、磁盘驱动器等)或服务-驱动器混合(监视代码 执行的入侵检测器)。处理器120可以执行系统100的各部件的编程指令。处理器120 可以是单核和/或多核处理器、控制器、ASIC (专用集成电路)等。在一个实施例中,存贮器128可以代表非易失存贮器,用以保存 要用来执行该系统100的部件的永久性内容,这些部件诸如(但不 限于)操作系统、程序文件、配置文件等。在一实施例中,存贮器128 可以包括可以代表该部件112用的源内容的永久性存储的已存内容 136。源内容的永久性存储可以包括,例如,可执行代码的存储,它 可包括可执行文件和/或代码段、与其它例程的链接(例如,调用动 态链接程序库(DLL))、数据段等。在各种实施例中,存贮器128可以包括集成的和/或外围的存贮 装置,例如(但不限于)磁盘、光盘及相关的驱动器、USB (通用串 行总线)存贮装置及相关端口、闪存存储器、只读存贮器、非易失 半导体器件等。在各种实施例中,存贮器128可以是存贮器资源系统100在物理9旦也未必)由系统100的一部分访问。例如,存贮器128可以由系统100经由网绍4矣口控制器124通过网络140 访问。另外,多个系统100可以通过网络140在运行上彼此连^t妄。一收到装入请求(例如从OS 108的装入代理收到),管理i^莫块116 和/或OS 108就可以从存贮器128将已存内容136装入存储器132, 作为执行环境104中部件112操作的有效内容144。在各种实施例中,存储器132可以是易失性存贮器,用以为系统 100上的部件的操作提供有效内容。在各种实施例中,存储器132可 以包括RAM (随机存取存储器)、动态RAM、静态RAM/同步 DRAM(SDRAM)、双数据速率RAM (DDRRAM)等。在某些实施例中,存储器132可以将贮存于其中的内容组织成若 干群存储单元。这些组织上的群可以为固定和/或大小可变,可便于进行虚拟存储管理。存储单元群可以是页面、段或其组合。正如文中使用的,"部件,, 一词指可以用来获得要求结局的编程 逻辑和相关的数据。术语"部件"可以是"模块"或"代理"的同 义词,而且可以指可以嵌入硬件或固件的编程逻辑,或可能具有入 口和出口的用诸如C++、 Intel体系结构32位(IA-32)可执行代码等编 程语言编写的一段软件指令。软件部件可被编译和链接成可执行程序或安装到动态链路程序库 中,或者可以用诸如BASIC等解释语言编写。会认识到,软件部件 可以由其它部件或由它们本身调用,和/或可以响应^r测出来的事件 或中断而被调用。软件指令可存在机器可访问的介质中,当它们被 访问时,可使机器进行与本发明的实施例的部件结合描述的操作或 执行。机器可访问的介质可以是固件,例如,电可擦除可编程的只 读存储器(EEPROM),或其它的可记录/不可记录介质,例如,只读 存储器(ROM)、随机访问存储器(RAM)、磁盘存贮器、光盘存贮器 等。还会看到,硬件部件可以包括诸如门和触发器等连接的逻辑单 元,和/或可以包括可编程装置,诸如可编程门阵列或处理器。在某些实施例中,这里描述的部件实现为软件模块,但尽管如此,可以 以硬件或固件呈现。另外,尽管只举例说明和/或描述若干离散的软 件/硬件部件,在不脱离本发明各实施例的精神和范围的情况下,这 样的部件可以用更多的或更少的部件来实现。在本发明各实施例中,可以用制品来实现正如这里^^开的 一个或 多个方法,例如,在示例性实施例中, 一个制品可以包括信息存储 介质和贮存在该信息存储介质上的多个编程指令,并适合用来对一 个装置编程,以使该装置能从代理服务器请求一个或多个位置限制, 以改变一个或多个用户优先。在这些实施例的各实施例中,编程指 令适合于用来改变一个或多个用户的优先选择,以使一个或多个用 户的优先选择受到一个或多个位置限制。在各种实施例中,制品可 以用来在一个或多个客户装置中实现正如这里公开的一个或多个方 法。在各种实施例中,编程指令适合于用来实现浏览器,并且在这 些实施例中的各实施例中,浏览器适合于用来让用户显示涉及网络 访问权的信息。在一个示例性实施例中,编程指令适合用来在一个 客户装置上实现浏览器。参照图2,按照本发明的各种实施例,被管理平台200包括主机 部件202和用作管理引擎的管理部件204。该管理部件可提供被管理 平台用的操作系统。主机部件可通过网^l矣口卡(NEC)驱动器206, 208 在通信上与嵌入的管理部件连接,该驱动器206, 208看起来像是网 络堆栈210的正常网络接口。网络的管理控制台212可以经由NIC 驱动器214在通信上连接到该管理部件。该NIC驱动器可以是专用 的,或者与该主机部件(214A)共享。现有技术中已知,该主机部件一力殳包括防火墙216,驱动器206, 214a通过端口在通信上连接于其上。根据本发明的各种实施例,该 管理部件包括脆弱性扫描器218。驱动器208, 214在通信上连接到网 络堆栈210。根据不同的实施例,NIC是带外(OOB)网^t矣口 ,根据各种实施例,该管理控制台通过该管理部fN々OOB网绍 接口配置并控制该脆 弱性扫描器。主机部件202的脆弱性可以是由于缺乏适当的补丁或防火墙的配 置,以及恶意软件(用220表示)的攻击结果而产生的。因而,在 操作时,管理控制台212以该网络用的不同的安全规则和策略来配 置脆弱性扫描器218。另外,该脆弱性扫描器配置成以某个周期性的 间隔时间完成扫描。例如,蠕虫或其它恶意软件会感染该主机部件。 蠕虫改变防火墙的规则,留下一个攻击该主机部件用的后门和/或令 其传播到该被管理平台内或该网络内的其它主机部件。该脆弱性扫 描器进行周期性的脆弱性扫描,并检测该防火墙中的开放端口。该 管理部件或者其自身或者通过该脆弱性扫描器按照该管理控制台的 策略和规则作出响应。这可以包括,例如向该管理控制台发送警报 和/或安装硬件包过滤器,以限制来/往于该主机的业务。参照图3,根据本发明的各种实施例,被管理平台300可以包括 一个或多个起到一个或多个虚拟机(VM) 302作用的分区。根据各 种实施例,包括至少一个管理分区304。因而,根据各种实施例,虛 拟机302对应于主4几部件,而管理分区304对应于管理部件。根据各种实施例,用作操作系统的虚拟机302,包括通过防火墙 310在通信上连接到网络堆栈308的虚拟的NIC驱动器306。根据各 种实施例,管理分区304包括一个虚拟的NIC驱动器314。虚拟的NIC 驱动器306, 314通过虛拟开关316在通信上彼此连接。如现有技术 已知,被管理平台内的不同的虚拟机可用作操作系铳,而虛拟开关316 可用来在通信上连接虛拟机和管理分区。根据各种实施例,NIC驱动器318在通信上连接到该网络的网络 堆栈308和管理控制台320。根据本发明的各种实施例,管理分区304 包括脆弱性扫描器312。管理分区304根据要求可^f皮配置成或可不被 配置成包括各种功能用的其它部件。该管理控制台用安全规则和策 略来配置脆弱性扫描器。该管理控制台还用目标虚拟机互联网协议(IP)地址来配置该脆弱性扫描器。该脆弱性扫描器被配置成以某个周期 性的间隔时间进行虚拟机302的扫描。根据各种实施例,该脆弱性扫描器可被配置成扫描被管理平台300的其它虚拟机(未示出)。当蠕虫或其它恶意软件322感染一个虚拟机时,该蠕虫一般改变 该防火墙的规则,以提供一个后门来攻击该主机和/或向该;故管理平 台和/或网络内的其它主机传播。该脆弱性扫描器完成周期性的脆弱 性扫描并检测该防火墙内的开》丈端口。该管理分区或者其自身或者 通过该脆弱性扫描器根据策略响应该检测出的开放端口 。这样的策 略可以包括,例如向该管理控制台发送警报、指令该管理分区限制 该虚拟机的业务和/或安装硬件包过滤器,以限制往/来于该虚拟机的 业务。根据各种实施例,管理分区304可以用管理分区或虚拟机管理器 (Virtual Machine Manager)自身的控制分区(例如Xen hypervisor (超 级管理者)的域0)中的代码实现。在图3的示例性实施例中的一个 特征是,该虚拟机包括要被扫描的主机部件(客户OS),可以使用 该虚拟机管理器(未示出)对访问至少一个网络的内置虚拟开关能 力。这样的拓朴支持共享NIC和私有虚拟以太网。于是, 一个主机部件的脆弱性可以由共处于该被管理平台上的管 理部件以网络的方式扫描,该方式类似于管理控制台针对脆弱性扫 描该主机部件的基于网络的方式。尽管为了描述此优选实施例,文中已说明和描述了某些实施例, 但是本专业的普通技术人员将会意识到,在不脱离本发明的范围的 情况下,极其多种多样的为达到同样目的而设计的替代和/或等效的 实施例或实现方式可以替换所表示和描述的实施例。本专业的技术 人员不难认识到,按照本发明的这些实施例可以用极其多种多样的 方法实现。本申请书拟覆盖这里讨论的实施例的任何适应或变动。 显然,本发明的实施例只受该权利要求书及其等效物的限制。
权利要求
1.一种方法,包括扫描,由被管理平台的一个管理部件按照网络的管理控制台的安全策略针对脆弱性扫描该被管理平台的至少一个主机部件,所述扫描以适于网络的方式进行,该方式类似于所述管理控制台扫描所述至少一个主机部件的基于网络的方式;以及处置,由所述管理部件向所述管理控制台报告所述至少一个主机部件的潜在脆弱性。
2. 权利要求l的方法,其中,扫描所述#1管理平台的至少一个主 机部件的步骤,包括扫描恶意软件攻击、病毒、蠕虫或防火墙内的开 放端口等项中的至少一项。
3. 权利要求l的方法,其中,扫描所述被管理平台的至少一个主 机部件的步骤,包括用一个嵌入与包括所述至少一个主机部件的装置 分离的装置中的管理部件进行扫描。
4. 权利要求l的方法,其中,扫描该所述管理平台的至少一个主 机部件的步骤,包括用位于包舍所述至少一个主机部件的装置中且与 所述至少 一个主机部件处于不同分区的管理部件进行扫描。
5. 权利要求l的方法,其中,处置所述至少一个主机部件的潜在 脆弱性的步骤包括如下的至少 一个操作向所述管理控制台发送警 报,或安装硬件包过滤器以限制往/来于所述至少一个主机部件的业务 量。
6. —种^支管理的装置,包4舌 至少一个主机部件;一个管理部件,该管理部件包括脆弱性扫描器,配置成按照网络 的管理控制台的安全策略针对脆弱性扫描所述至少一个主机部件;以 及一个或多个适于网络的通信部件,在通信上连"^妄所述至少一个主 机部件和管理部件,以使所述管理部件能够以适于网络的方式进行扫 描,该方式类似于所述管理控制台扫描所述至少一个主机部件的基于 网络的方式。
7. 权利要求6的被管理设备,其中,所述脆弱性扫描器配置成可 扫描恶意软件攻击、病毒、蠕虫或防火墙上开放端口等项中的至少一项。
8. 权利要求6的被管理设备,其中还包括第一装置,其上运行 所述至少一个主机部件;以及第二装置,独立于第一装置并与之截然 不同,所述管理部件嵌入其中。
9. 权利要求6的被管理设备,其中,还包括一个装置,其上所述 至少一个主机部件和所述管理部件分别运行于第一和第二分区。
10. 权利要求8的被管理设备,其中,所述装置还包括专用网络 _接口 ,用来将所述管理部件在通信上连^t娄到所述管理控制台。
11. 权利要求10的被管理设备,其中,还包括另一网^l妄口,所 述专用网络接口及其他网络接口分别作为带外和带内的网络接口运行。
12. 权利要求9的被管理设备,其中,还包括一个网络接口,由 所述至少一个主机部件和所述管理部件共享,所述网络^f妄口将该管理 部件在通信上连接到所述管理控制台。
13. 权利要求6的被管理设备,其中,所述管理部件适合于执行 如下至少一项操作向该管理控制台发送警^^良;或安装硬件包过滤器 以限制往/来于所述至少一个主才几部件的业务量。
14. 一种制品,包括存储介质;以及一组存入所述存储介质的指令,该组指令由^皮管理平台的处理器 执行时使所述处理器进行以下操作按照网络的管理控制台的安全策略,针对所述至少 一个主机部件的脆弱性,扫描所述被管理平台的至少一个主机部件,所述扫描以适 于网络的方式进行,该方式类似于所述管理控制台扫描所述至少 一个 主机部件的基于网络的方式;以及处置所述至少 一个主机部件的潜在脆弱性。
15. 权利要求14的物品,其中,扫描该-波管理平台的至少一个主 机部件的步骤,包括扫描恶意软件攻击、病毒、蠕虫或防火墙上开放 端口等项中的至少一项。
16. 权利要求14的物品,其中,所述处理器嵌入一个独立于所述 至少一个主机部件的装置中。
17. 权利要求14的物品,其中,所述处理器位于包含所述至少一 个主机部件且与所述至少一个主机部件处于不同分区的装置中。
18. 权利要求14的物品,其中,处置所述至少一个主机部件的潜 在脆弱性的步骤,包括如下至少一项操作向该管理控制台发送警报; 或安装硬件包过滤器以限制往/来于所述至少一个主机部件的业务 量。
19. 一个被管理系统,包括动态随机访问存储器(DRAM),配置成存储与至少一个主机部件的 一个或多个脆弱性可能事项对应的内容,所述一个或多个脆弱性可能 事项涉及网络的管理控制台的安全策略;所述至少 一个主才几部件;一个管理部件,该管理部件包括脆弱性扫描器,用以就一个或多 个脆弱性可能事项针对脆弱性扫描所述至少一个主机部件;以及一个或多个类似网络的通信部件,在通信上连接所述至少一个主 机和管理部件,以使所述管理部件能够以适于网络的方式进行扫描, 该方式类似于所述管理控制台扫描所述至少一个主机部件的基于网络 的方式。
20.权利要求19的被管理系统,其中,所述一个或多个脆弱性 可能事项包括恶意软件攻击、病毒、蠕虫或防火墙上开放端口等项中
21. 权利要求19的被管理系统,还包括第一装置,在其上运行所 述至少一个主机部件;以及第二装置,独立于第一装置并与之截然不 同,所述管理部件嵌入其中。
22. 权利要求19的被管理系统,还包括一个装置,其上所述至少 一个主机部件和所述管理部件分别运行于第一和第二分区。
23. 权利要求19的被管理系统,还包括专用网络接口,用来将所 述管理部件在通信上连接到所述管理控制台。
24. 权利要求23的被管理系统,还包括另一网络接口,所述专用 网络接口及其他网络接口作为带外和带内的网络接口运行。
25. 权利要求19的被管理系统,还包括一个网络接口,由所述至 少一个主机部件和所述管理部件共享,所述网络接口将所述管理部件 在通信上连接到所述管理控制台。
26. 权利要求19的被管理系统,其中,所述管理部件适合于执行 如下至少一项操作向所述管理控制台发送警报;或安装硬件包过滤器以限制往/来于所述主机部件的业务量。
全文摘要
本发明涉及平台脆弱性评估用的嵌入式机制,其方法包括由被管理平台的一个管理部件按照网络的管理控制台的安全策略针对脆弱性扫描该被管理平台的至少一个主机部件,所述扫描以适于网络的方式进行,该方式类似于所述管理控制台扫描所述至少一个主机部件的基于网络的方式;以及由所述管理部件向所述管理控制台报告所述至少一个主机部件的潜在脆弱性。
文档编号G06F21/00GK101262363SQ20071030528
公开日2008年9月10日 申请日期2007年12月28日 优先权日2006年12月29日
发明者W·P·梅纳德 申请人:英特尔公司