对计算机系统中的安全性的监控的制作方法

专利名称：对计算机系统中的安全性的监控的制作方法
技术领域：
本发明涉及计算机系统中的安全领域。
背景技术：
计算机系统包括也称为“实体”或“对象”或“组件”的各种计算机项。计算机项是，例如，计算机机器，诸如各种计算机、固定的或移动终端、服务器、路由器、网关、交换机等等，安装在机器中的应用和操作系统，互连机器的通信网络，这样的服务器的网络和用户终端的网络，以及由机器所提供的服务。
更具体地，本发明涉及用于监控用于收集和分析涉及计算机系统中所包括的计算机项的状态的数据(取决于项的事件和行为)的计算机系统的安全性的方法和设备。
已知修改用于监控被收集到网络中的机器的安全的无Nagios监控或“开放源”软件工具。
修改过的Nagios工具通过与关键程度、脆弱性、对事件和服务的检测相关联的四个“低级别的”指标(indicator)来表征计算机机器的安全性。关键程度表示机器的重要性。它具有五个值:最小值、低、平均、高和最大值。脆弱性通过按它们的严重性(可以是信息、低、平均和高)来分类的脆弱性计数器的计数来表示。事件指标关联涉及机器的所有事件，无论其本质是什么，并取决于按它们的严重性(可以是信息、低、平均和高)来分类的事件计数器的计数。机器中的监控点是由机器所提供的服务，诸如监视端口的打开。监控点通过利用安装在机器上的Nagios代理执行的Nagios工具的控制来检查。服务指标通过用机器上存在的可适用的服务的百分比来表示的可用性比率来表示。服务级别是“可用”、“挂起”(待检查)、“危险”、“关键”和“未知”(不可用)。
对于每一个机器，安全性指标被确定为开头三个前面的“低级别的”指标的函数，并等于通过可在配置中参数化的严重性级别加权并乘以机器的关键程度的脆弱性和事件指标的总和。
对于每一个机器，总的指标被确定为安全性指标和服务指标的函数，并由这两个指标中的最大值构成。
脆弱性、事件和服务指标的含义严格地以代码设置，如果低级别指标的计算的模式将改变，导致修改应用。
机器被记录在Nagios配置文件中。只有当重新启动Nagios工具，然后通过机器中的服务来启动检查时，才考虑配置中记录的任何新机器。
机器可以由网络收集。网络被记录在Nagios配置文件中，只有在重新启动Nagios工具时才考虑配置中记录的任何新网络。网络具有从网络中所包含的计算机项(诸如网络和/或机器)的关键程度推断的关键程度，并等于包含的项的关键程度的平均值。对于每一个网络，总的指标被确定为网络中所包含的项的总的指标的函数，并等于包含的项(诸如网络和/或机器)的总的指标的加权平均值。
状态数据通过以Nagios本机模式安装在服务器中的Nagios工具和其扩展(对于服务指标)，或通过报警数据包或者“陷阱”根据SNMP (“简单网络管理协议”)监控协议(对于事件指标和脆弱性指标)来恢复。来自这些指标的数据不是标准化的，这不便于对其的读取。此外，参数化还只能通过手动更新Nagios工具和其扩展的配置文件来修改，服务器必须被重新启动才能考虑这些修改。指标的聚合功能是固定的，并以可适用的代码来确定。事件指标聚合事件的计数，无论涉及机器的事件的本质是什么，诸如，例如入侵。
此外，Nagios监控工具只向被监控的计算机系统的安全性的管理员示出系统中所包括的被监控的计算机项的技术布局的准确的反映。当被监控的计算机系统是复杂的并且允许它被描述的技术数据没有给出系统中的易于理解的安全性状态的任何表示时，此表示几乎不能被管理员处理。发明内容
本发明的目标是提供计算机系统中的安全性的监控，隐藏系统的技术复杂性，同时通过基本计算机项(诸如系统中所包括的机器和应用)的功能组的安全性状态来示出系统的安全性状态，这些功能组对应于系统用户的工作并为他所熟知。
为了实现此目标，用于监控包括多个(several，几个)基本计算机项和分别收集被监控的基本项的多个收集项的计算机系统的安全性的方法，每一基本项都根据表示基本项的预定状态的基本测量值而被监控，其特征在于，它包括对于每一个被监控的基本项，确定不同类型的多个安全性指标，每一安全性指标都是根据与安全性指标相关联的基本测量值的相应的函数而确定的，以及，对于每一个收集项，确定不同类型的多个安全性指标，给定类型的收集项的每一安全性指标都是根据在收集项中收集的给定类型的基本项的安全性指标的相应的函数而确定的。
几个安全性指标都根据共同的过程来确定，对于以快速可理解的方式指出基本项和收集项的安全性状态已足够。
从而，本发明的监控方法能够监控属于被监控的计算机系统中的基本项(诸如计算机机器和应用)的组织、逻辑和地理分布的各种类型的收集项。具体地，收集项可以是作为收集项中收集的基本项的计算机机器的网络，或作为收集项中收集的基本项的基于应用的服务，例如，在多个服务器上实现的服务，或作为收集项中收集的基本项的收集计算机机器和/或网络的地理站点。这些收集项对应于计算机系统的用户的技术，其安全性指标可以被同时显示，以便轻松地跟踪相对来说有缺陷的收集项。
为了知道被监控的计算机系统中的不同的基本项的安全性状态并相应地理解对系统的任何基本项中的安全问题的收集项的影响，每一基本项的安全性指标中的一个可以取决于涉及项的可用性的基本测量值，或取决于涉及项中的至少一种类型的事件的基本测量值并取决于该类型的事件的严重性因素，或取决于涉及项的脆弱性并表示预定的类型的至少一个安全性故障对项的影响的估计以及故障的严重性因素的基本测量值，或取决于涉及项相对于预先建立的安全策略的顺从性保证的基本测量值。对于每一个基本项以及对于每一个收集项，可以确立和显示这四种类型的指标。
根据用于确定诸如机器、应用或其部件之类的基本项的安全性指标的方法的另一个特征，根据可参数化的函数，按类别聚合与项相关联的基本测量值，以及标准化指标的更新过程，无论其类型是什么，确定给定类型的基本项的安全性指标包括，进一步与安全性指标相关联的基本测量值中的一个的修改，
估计根据修改的基本测量值的函数和与修改的基本测量值相互依赖的至少一个其他基本测量值的函数导出的测量值，以及
根据估计的导出的测量值和至少一个第二导出的测量值的函数，根据与给定类型的安全性指标相关联的相互依赖的并且不同于前面的基本测量值的基本测量值的函数，估计度量，
给定类型的安全性指标是根据取决于估计的度量的函数而确定的。
如果被监控的基本项包括一个或多个其他基本项，则确定给定类型的基本项的安全性指标可以包括将基本项中所包括的给定类型的父基本项的安全性指标聚合在聚合指标中，基本项的安全性指标是根据取决于估计的度量并取决于聚合指标的函数而确定的。
本发明还涉及用于监控包括多个基本计算机项的计算机系统的安全性的设备。该设备能够收集与每一基本项相关联的并表示基本项的预定状态的基本测量值。多个收集项分别收集基本项。设备的特征在于，它包括用于对于每一个被监控的基本项确定不同类型的多个安全性指标的装置，每一安全性指标都是根据与安全性指标相关联的基本测量值的相应的函数确定的，以及用于对于每一个收集项来确定不同类型的多个安全性指标的装置，给定类型的收集项的每一安全性指标都是根据在收集项中收集的给定类型的基本项的安全性指标的相应的函数而确定的。
收集项可以是下列收集项中的至少一个:作为收集的基本项的计算机机器的网络，作为收集的基本项的基于应用的服务，作为收集的基本项的收集计算机机器和/或网络的地理站点。如此，设备可以根据三种熟悉的朝向呈现待监控的计算机系统的安全性状态。
用于确定项安全性指标的装置可以用于确定基本项和收集项的下列安全性指标中的至少一个:取决于涉及项的可用性的基本测量值的安全性指标，取决于涉及项中的至少一种类型的事件以及该类型的事件的严重性因素的基本测量值的安全性指标，取决于涉及项的脆弱性并表示预定的类型的至少一个安全性故障对项的影响的估计以及故障的严重性因素的基本测量值的安全性指标，以及取决于涉及项相对于预先建立的安全策略的顺从性保证的基本测量值的安全性指标。如此，根据本发明的设备管理各种类型的指标，以及作为对任何指标的修改的结果应用的或将被应用的反应。通知对指标的修改导致设备管理员知道计算机系统的安全性的问题的细节，以便介入通过被修改的指标通知的项，以便解决对应的安全性的问题。
本发明还涉及能够被在本发明的监控设备中实现的计算机程序，所述程序包括指令，当程序在监控设备中执行时，指令执行本发明的方法的步骤。


通过阅读随后的参考对应的附图对作为非限制性的示例给出的本发明的多个实施例的描述，本发明的额外的特征和优点应该变得清晰，其中:
-图1是根据本发明的用于监控计算机系统的计算机项的监控设备的示意框-图2是根据本发明的用于确定，更具体地，基本项的安全性指标和收集项的安全性指标的监控方法的算法；
-图3是带有诸如网络、服务和站点之类的多个收集项的计算机系统的示意框-图4是图3的计算机系统的防火墙中的顺从性保证的异常对收集项的影响的图；以及
-图5示意地示出了带有计算机系统的收集项中传播的顺从性保证的异常的影响的屏幕页面。
具体实施方式
参考图1，根据本发明的安全性监控设备DS用于监控包括很多基本计算机项BI如此一般复杂的计算机系统SY的安全性。它监控基本计算机项的安全性状态，以便呈现收集基本计算机项的收集项BIg的安全性状态，以便提供用于抑制基本计算机项中检测到的异常的反应计划。
例如，属于一家公司以及其子公司的计算机系统，被组织在安排在提供给公司的用户-人员的地理站点以及业务服务的网络中。
计算机系统SY中的被监控的基本计算机项BI具有各种技术种类。例如，基本项BI是计算机机器，诸如计算机、外围设备、固定的或移动的终端、服务器、路由器、网关、接口、交换机，等等，其中一些可以是子项，包括父项，诸如被包括的硬件和软件组件。基本项BI还可以是安装在计算机机器中的应用和操作系统，其中一些可以是子项，包括父项，诸如软件模块和计算机程序。如此，更一般地，待被监控的基本项BI不能包括待被监控的任何其他基本父项，或包括一组待被监控的父基本项，其中一些本身可以是合成基本项。例如，一组待被监控的父基本项可以是作为包括待被监控的多个应用和/或诸如控制器之类的硬件或软件设备的子项的机器。
收集项BIg是本地的或互连了机器的扩展的通信网络，诸如服务器的网络和用户终端的网络，每一个服务都具有在至少两个机器上实现的待监控的部件，作为在多个服务器以及地理站点上实现的应用，各自都收集待被监控的机器和/或一个或多个网络和/或一个或多个服务。
监控设备DS可以是带有人机接口 IHM的包括监控控制台的计算机。监控设备DS与管理单元UG进行通信,并包括数据标准化单元UU,连接到单元UU的指标确定单元UDI,以及连接到单元的人机接口 IHM。接口 IHM特别用于自动地或者手动激活设备DS，用于捕捉各种数据，诸如项BI和BIg的标识符和特征，用于参数化用于确定项的安全性指标的函数和与其相关联的管理单元UG的函数，用于捕捉系统SY的体系结构，用于显示其中项的指标以及系统的安全性状态，以及用于通知报警。
管理单元UG分析系统SY的项的安全性状态。待监控的每一基本计算机项BI都是常常与很多相应的管理单元UG相关联的项。然而，诸如网络网络、服务或站点之类的包括待监控的多个基本项的收集项BIg不直接与管理单元相关联，只通过这些基本项，根据稍后描述的系统的项的树形的层次结构(如图2和4所示)，只与它包括的基本项的管理单元间接地相关联。当管理单元位于基本项或者其附近时，基本项BI与相应的管理单元UG的关联可以是基本项的内部和/或外部的链路。例如，管理单元是集成或添加到项BI中的传感器、探测器、机器人或软件代理，并能够检测在基本项BI中发生的诸如预定的事件或行为之类的安全性状态，并根据预先编程的规则控制它们，以便通知项的操作异常。例如，异常可以是对机器中的或与服务相关的应用的未经授权的访问，对通信协议的运行的分析中的错误，机器的或此机器的内部的组件的端口或到机器的链路或机器，网络或站点上的流量中探测到的进入的或传出的预定的消息或数据包。当管理单元依赖于由涉及由第三方通知的类似于所述基本项BI的项的预定的事件或行为的知识库所提供的统计数据时，基本项BI与相应的管理单元UG的关联还可以是概念关系。可以修改每一管理单元的代码，以便参数化相关联的基本测量值的估计。
如图1所示意地示出的，基本计算机项BI可以与一个或多个可用性管理单元UGD相关联，和/或与一个或多个事件管理单元UGI相关联和/或与一个或多个脆弱性管理单元UGV相关联和/或与一个或多个顺从性保证单元UGA相关联。每一管理单元UGD、UG1、UGV、UGA周期性地或取决于它特定的至少一个事件或行为的发生，将相应的数据DD、D1、DV、DA传输到数据标准化单元UU。这些数据是，其中，相关联的项的地址、标识符，适于对管理单元关联到的基本项BI的相应的指标ID、I1、IV、IA的判定的基本测量值MB。数据标准化单元UU通过安全的网络收集由管理单元UG通知的所有数据DD、D1、DV、DA,并将它们格式化为数据SDD、SD1、SDV、SDA的均匀(uniform)结构，其中，在单元UDI中对基本计算机项BI的安全性指标ID、I1、IV、IA的确定所需的所有数据与项的技术本质独立地发生。每一指标都取决于数据的一个或多个均匀结构。
用于确定基本项BI的相应的指标ID、I1、IV以及IA的数据SDD、SD1、SDV和SDA的每一个结构都包括度量ME。度量ME是涉及共同的主题的导出的测量值MD的组合，诸如组织对项的远程管理，或监测网络协议或传输协议，或基本项中的会话的预定的步骤。导出的测量值MD是由管理单元传输到标准化单元UU的相互依赖的基本测量值MB的组合。基本测量值MB表示由管理单元UG在基本项BI的特定点测量的控制。涉及基本项的两个基本测量值MB的相互依懒意味着，基本测量值具有共同的特征。例如，在依赖于被远程保护的传输协议的机器的连接的框架内，相互依赖的基本测量值通过安全策略来检查传输协议是可以接受的，或者具有与安全规则兼容的进入的数据包的地址。
涉及可用性的基本测量值MBD是用相关联的基本项的组件的百分比表示的可用性比率。当相关联的组件的可用性是完全可用、挂起、危险、关键或未知时，可用性比率的值分别是，例如，100%、75%、50%、25%和0%。例如，终端的基本测量值MBD是多个自动化办公应用的以及直接连接到终端的打印机以及扫描仪类型的多个外围设备的可用性比率的测量值。涉及可用性的此示例的两个导出的测量值MDD是在连接到外围设备的终端的端口上测量的应用的可用性比率的平均值以及外围设备的可用性比率的平均值。可用性的此示例的度量MED是具有不同的因素的可用性比率的两个平均值的线性关系，并表示终端在办公室自动化领域的可用性。根据另一个示例，涉及服务服务器的可用性的基本测量值可以基于给定时间段预定的服务应用的访问者用户计数器的计数和/或基于预定的协议的打开的端口的数量和关闭的端口的数量。
涉及顺从性保证的基本测量值MBA是确保相关联的基本项的步骤或操作过程符合预先确立的安全策略的一个或多个规则的用百分比表达的保证比率。当步骤或操作过程完全顺从、少许改变、pretty改变、强烈改变以及不顺从时，保证比率的值分别是，例如，100%、75%、50%、25%和0%。例如，对认证服务器的远程访问的顺从性保证的基本测量值MBA涉及对安装的控制以便禁止对服务器中的预定的用户进行访问以及对服务器和用户终端之间的相互认证的控制以便打开安全的会话。涉及顺从性保证的此示例的导出的测量值MDA是与两个前面的控制相关联的保证比率的最小值，表达对远程安全的认证服务器的访问。顺从性保证的此示例的度量MEA是前面的导出的测量值MDA以及表达涉及对来自服务器连接接口中的特定传输协议的请求的控制的基本测量值的另一个导出的测量值，并表示根据特定传输协议对认证服务器的访问的顺从性保证。
用于确定入侵指标II的数据SDI的结构可以以RFC5070推荐标准中的IODEF格式(“事件对象描述交换格式”)来记录，并由，其中涉及入侵的事件中涉及的基本项BI的类别、指出由事件感染的项的类型、事件的开始和结束时刻、事件的类型以及有助于事件的可追溯性的事件的历史的描述，以及用于修补事件的动作的描述的实例来进行定义。具体地，数据SDI的结构包括度量MEI，取决于与严重性因素和事件的类型相关联的作为基本测量值的入侵的事件的计数器的计数。一旦包括事件计数器的管理单元检测到对应于与事件计数器相关联的严重性因素以及事件的类型的基本项BI中的相应的入侵的事件，入侵事件的计数器增大一个单位，当类似的事件被克服时，缩小。当事件严重时，与事件计数器相关联的严重性因素都比较高。与项BI相关联的管理单元UGI中所包括的事件计数器可以按事件的类型来分类。例如，基本项BI与三个事件计数器(与事件类型相关联的)相关联，并与表示次要事件、中等事件以及较大事件的严重性因素相关联。三个事件计数器的计数，作为基本测量值MBI，取决于严重性因素，被合并到导出的测量值MDI，涉及共同的类别的事件的类型的导出的测量值MDI被合并到表示基本项BI中发生的而没有被克服的此类别的事件的严重性的事件的度量MEI。机器或应用中的事件可以是较严重或不太严重的攻击，诸如，例如由攻击者通过用于安装下载的脚本的命令入侵到有缺陷的程序中，将用于修改其代码并执行特定命令的恶意代码注入到应用的一部分中，响应于重复的消息或数据包，通过大量的请求，使IP地址分配服务器或连接到服务器的链路饱和，等等。
用于确定基本项BI的脆弱性指标IV的数据SDV的结构包括代表安全性故障对它与其相关联的基本项BI的影响的估计的度量MEV。安全性故障是潜在的威胁，并可能使入侵者更轻松地访问基本项。它可能是由应用的编程错误产生的或在机器中安装新应用发生的缺陷，以允许例如，访问机密数据或端口的打开、脚本或命令等等的错误的解释。数据SDV的结构包括估计相同类别的安全性故障的影响的脆弱性MEV的度量。此类别的每一故障都由基本项BI中的故障的影响的置信度、严重性因素以及故障的类型进行定义。数据SDV的结构还包括此类别的安全性故障的短名称以及详细描述，克服该故障的解决方案，对相对于故障的并由第三方维护的脆弱性知识库的引用。引用以知识库的单一标识符和名称来表征，例如，基本CVE (“计算机脆弱性和暴露量”)和Bugtraq。例如，与项BI相关联的管理单元包括与严重性因素相关联的脆弱性计数器以及具有其计数(作为基本测量值，由通知给管理单元的故障的置信度增大)并具有严重性因素以及与管理单元相关联的类型的故障的类型。与基本项BI相关联的管理单元UGV中所包括的脆弱性计数器可以通过严重性因素以及故障的类型来分类。对于一种类型的故障，可以有三个严重性因素:低、中等以及高。导出的测量值MDV作为基本测量值MBV、作为严重性因素的函数，将三个脆弱性计数器的计数组合起来。作为故障的类型的函数，表示一个类别的故障的脆弱性的脆弱性度量MEV组合项BI中的故障的类别的导出的测量值MDV。
数据标准化单元UU将数据SDD、SD1、SDV和SDA的均匀结构传输到指标确定单元UDI。
单元UDI中的每一基本项BI通过单元UI中存储的下列信息来表征:
-由监控设备DS的管理员预先进行定义的并是实现以及它在用户的业务活动中所起的基本项BI的作用的函数的指出与系统SY的用户的需求相比基本项的重要性的关键程度CR。例如，服务器或路由器的关键程度高于用户终端的关键程度，而机器中的认证应用的关键程度高于服务或办公室自动化应用；
-旨在分别确定基本项的可用性ID、入侵I1、脆弱性IV以及顺从性保证IA的指标的基本项的数据SDD、SDI, SDV以及SDA的均匀结构；以及
-导致基本项的安全性的总的水平的可用性ID、入侵I1、脆弱性IV以及顺从性保证IA的安全性指标；以及
如果项是包括多个被监控的基本项的诸如收集项BIg之类的子项，它包含的父项的安全性指标。
由于对可用性指标、入侵指标、脆弱性指标和顺从性保证指标的确定，还监控收集项Big。这些指标中的每一个都取决于与收集项包含的相同类型的基本项的指标，并不直接取决于收集项所特定的任何度量。度量只与基本项相关联。
图2示出了安全性指标的确定方法，包括用于确定基本项BI的指标(称为I)(诸如机器或其硬件或软件部分或应用或其一部分之类的项BI的指标ID、I1、IV和IA中的一个)的步骤DII到DI6。在步骤DII中，每当指标I所依赖的项的基本测量值MBm进一步被与基本项相关联的管理单元的一个UGm针对基本项中检测到的预定的事件或行为而修改时，对指标I的确定对于项BI自动地触发。每当更新与指标I相同类型的并与作为子项的项BI中所包括的父基本项BIP相关联的安全性指标Igp时，项BI的指标I也自动地确定，如稍后进一步详细描述的。由对基本测量值MBm的修改所产生的所有更新的数据都保存在单元UU和UDI中，以便用于作为对其他基本测量值的修改的结果，随后的对指标的更新。预先，在实现监控设备DS之前，其管理员进入系统SY中的被监控的项的树形的层次结构，以便将它存储在单元UDI中。在稍后描述的图5中示意地示出了树形的层次结构的示例。下面被称为“算法”的用于确定导出的测量值、度量和指标的所有函数可以由设备DS的管理员通过接口 IHM在配置阶段参数化。
在步骤DIl中，如果由与项BI相关联的管理单元UGm接收到命令或事件，则更新基本项BI的基本测量值MBm (简称为解释)，并管理基本测量值MBm，如此，修改基本测量值MBm的值。管理单元UGm包含用于改变基本测量值MBm的特定解释算法。数据标准化单元UU，根据单元UU中所包括的另一个特定解释算法AMD，取决于修改的基本测量值MBm，以及与项BI相关联的并与基本测量值MBm相互依赖的其他基本测量值MB，在步骤DI2中，重新估计导出的测量值MDm。然后，单元UU，根据单元UU中所包括的特定标准化算法AME，取决于重新估计的导出测量值MDm以及与项BI相关联的其他导出的测量值MD，在步骤DI3中，重新估计并存储度量MEm。单元UU利用重新估计的导出的测量值MDm构成数据SD的结构。
然后，取决于重新估计的更新的度量MEm，指标确定单元UDI自动地确定项BI的指标I，而根据三个后面的步骤DI4、DI5和DI6，分别执行在单元UDI中实现的聚合算法。这些算法各自都聚合均质的变量并尊重由单元UDI确立的形式。对于安全性指标ID、I1、IV以及IA中的每一个，可以由监控设备DS的管理员预先选择单元UDI的算法库中的安全性指标特定的三个聚合算法，尊重由单元UDI确立的形式。这些算法，作为系统的用户的需求的函数，特别是，计算机系统SY的体系结构以及它包含的被监控的项的类型的函数，是可互换的并且可参数化的。默认地包括在库中的算法是，例如，最小值、最大值和由基本项BI(其指标将被确定)中所包含的父项的关键程度加权的平均值。管理员可以添加用于满足特定问题的其他算法。
在步骤DI4中，指标确定单元UDI聚合在步骤DI3中重新估计的度量MEm，假如它们存在，涉及相同类型的指标的基本项BI的一个或多个其他存储的度量ME，而同时对这些度量应用度量聚合算法AAM，以便产生项BI的聚合度量MEA (BI)。例如，如果项BI具有另一个度量ME并且如果算法AAM依赖于最小值，则聚合度量是:
MEA (BI) =AAM (MEm, ME) =min (MEm, ME)。
在步骤DI5中，单元UDI聚合项BI中所包括的父项BIgp的指标Igp，如果项BI包括至少一个父项BIgp,或更一般地是合成项。为此,单元UDI对指标Igp应用父项AAI的指标聚合算法，以产生父项IA (BI)的聚合指标。例如，如果项BI，作为计算机机器，包括作为在机器中实现的应用，具有指标Ipgl、Ipg2和Ipg3的三个父项Blgpl、Blgp2和Blgp3，如果算法AAI基于通过父项BIgpl、BIgp2和BIgp3的关键程度CRgpl、CRgp2和CRgp3加权的平均值，父项的聚合指标是:
IA (BI) =AAIdgpl, Igp2, Igp3)，即，
IA(BI)
=[CRgpl X IgpI+CRgp2 x Igp2+CRgp3 x Igp3]/[CRgpl+CRgp2+CRgp3]。
在步骤DI6中，单元UDI聚合前面的聚合的结果MEA (BI)和IA (BI)，假如它们存在，对这些结果应用整体聚合算法AAG，以便产生项BI的已更新的指标I。例如，算法AAG基于最大值，已更新的指标是:
I (BI) =AAG (MEA (BI)，IA (BI)) =max (MEA (BI)，IA (BI))。
如果根据系统SY的被监控的项的树形的层次结构，项BI作为父项被包括在一个或多个子项BIe中，作为收集项BIg中的基本项包括的应用、或机器，或硬件或软件模块，诸如网络、服务或站点，每一子项BIe的安全性指标自动地继承基本项BI的指标I的更新。预先，对于任何子项Ble，具体地，对于任何收集项Big，该方法包括初始收集步骤D10，用于在单元UDI中利用它包含的基本项BI的标识符来配置子项Ble。
为了更新子项BIe的安全性指标，单元UDI执行类似于步骤DI5的步骤DI7，如果子项不是收集项Big，执行类似于步骤DI6的步骤DI8。在步骤DI7中，单元UDI聚合项BIe中所包括的父项BIp的指标，包括项BI的指标I，如果项BIe包括至少一个父项，或更一般地是合成项。通过对父项BIp的指标Ip应用子项BIe特定的指标聚合算法AAIe以及它们的产生父项IA的聚合指标的关键程度(BIe)来执行聚合。在步骤DI8中，如果子项BIe不是收集项并且是与至少一个度量MEA (BIe)相关联的基本项，则单元UDI聚合单元UDI中存储的子项BIe的聚合度量MEA (BIe)和由前面的聚合产生的父项IA (BIe)的聚合指标，而对变量MEA (BIe)应用子项BIe特定的整体聚合算法AAGe以及用于产生子项BIe的已更新的指标I (BIe)的IA (BIe)0
由单元UDI执行类似于步骤DI7和DI8的步骤，用于更新与所有项相关联的与项BI的指标I相同类型的指标，包括项BI，对于项的所有“代”，以继承系统SY的层次结构树中的指标I的更新。例如，项BI是位于地理站点Sil中的网络的一个Resl中所包括的服务器Srl中所包括的应用Ap。服务器Sri参与到服务Scl中。首先更新与服务器Srl相关联的与应用Ap的已更新的指标相同类型的指标。然后，分别更新与网络Resl、服务Scl和站点Sil相关联的相同类型的指标。
人机接口 IHM通过被监控的系统SY以可理解的方式快速地显示对任何基本测量值或任何指标的修改的影响的传播。例如，服务器的不可用性，或在应用的运行过程中检测到的事件的，或页面的感染的或脚本被下载到机器中，或应用的更新的非顺从性的可能的影响的传播，立即显示在建模的系统SY中的接口 IHM的屏幕中。
如此，根据本发明，指标确定单元UDI将涉及收集项BIg的分析的不同的朝向视为:
-属于应用，进而包括应用的计算机网络计算机机器中的一个或多个的朝向；
-涉及用户的作业的并且拥有被监控的系统SY的公司的活动所需的一个或多个服务的朝向；以及
-表示公司的计算机硬件和软件项的地理分布的一个或多个站点的朝向。
这些朝向与包含要在系统SY中监控的项的集合，它们彼此之间的关系以及对应于上文所描述的朝向的层次结构划分的单一模型形成整体。一旦项的指标被更新，单元UDI根据这些朝向，自动地确定所有被影响的项的指标。
此外，指标确定单元UDI考虑计算机系统SY中的机器的连接的或未连接的状态，例如通过监视端口的打开，以便检查经过授权使用系统SY的机器中的至少一个和服务中的至少一个的每一用户的监控周边。监控周边表示用户被授权监控的项的集合。如此，单元UDI评估连接的用户的监控周边中的安全性的整体状态，接口 IHM可以显示对任何基本测量值或任何指标的修改对监控周边的影响，以便更具体地，邀请用户不采取或停止将对他的工作有害的某些动作和命令。
更一般地，作为由单元UDI处理的安全性指标ID、I1、IV和IA的修改的函数，后者能够定义要由监控设备DS的管理员启动的反应平面。例如，单元UDI确立对于每一个项关联四个安全性指标、存在的故障、事件和相关联的反应平面的列表。单元UDI将该列表传输到根据特定组织清楚地显示它的接口 IHM，诸如图5所示出的。
为了更好地理解本发明的优点，下面详细描述通过计算机系统SY在探测器中检测到的异常的影响的示例。如图3所示，计算机系统基本上在位于两个不同的城市的一个公司的两个站点SIl和SI2上实现。计算机系统SY要求将被分成服务器SE的网络RS以及用户RUl和RU2的两个网络一起定位在两个站点SIl和SI2上。用户RU1、RU2的每一网络都包括通过交换机⑶1、⑶2连接的服务器SE 1、SE2以及终端TUl、TU2。服务器RS的网络安装在包括服务于网络RS以及RUl的路由器ROl的第一站点SIl的计算机中心中。由hypervision (区域)网络RH通过其中包括路由器RO的电信运营商的专用的安全的网络RSD来监控网络RS、RU1以及RU2的安全性。hypervision网络RH安装在第一站点SIl中，并包括，更具体地，根据本发明的连接到hypervision服务器SEH(通过防火墙PH连接到专用的安全的网络RSD的)的安全性监控设备DS。
公司通过网页使对“Web邮件”电子消息的访问的服务对其用户-雇员可用。在服务器RS的网络中，Web邮件服务由Web服务器和电子邮件的服务器来提供，并要求DNS(“域名系统”)域名服务器的存在以及DHCP (“动态主机配置协议”)地址动态分配服务器的存在。服务器RS的网络还包括对用户信息LDAP (“轻型目录访问协议”)的目录的访问的服务器、连接到服务器的交换机CS，以及负责保护由网络RS的服务器所提供的服务的防火墙 PRS。
来自用户RUl和RU2的网络的服务器RS的网络和来自hypervision网络RH的安全信息通过作为安置在这些网络中的管理单元UG (作为安全性监控设备DS)探测器来通知。为了不使图3过载，示意地表示这些网络中的某些探测器SS、SPRS, SU1、SS1、SU2、SS2和 SPH。
假设在探测器SPRS中检测到的异常涉及基本测量值MBA，该基本测量值MBA涉及服务器RS的网络中的防火墙PRS的顺从性保证。图4所示出的下列情况示出了防火墙PRS的顺从性故障对被监控的网络、服务和站点的影响如何传播并被通知给设备DS。
一开始，在被监控的系统SY中执行的所有控制通知与预先确立的安全策略的总的顺从性。如此，涉及系统SY中的所有上文所提及的被监控的计算机项的作为基本测量值的保证率MBA是100%。
更具体地，在保护Web邮件服务的防火墙PRS中，通过探测器SPRS来监测两个度量:远程管理MEAl和过滤MEA2，如图4所示。度量MEAl和MEA2要求用于控制参数化远程访问协议(诸如Μ)Ρ (“用户数据报协议”)、TCP (“传输控制协议”)和ICMP (“Internet控制消息协议”))并通过这些协议侦听与防火墙PRS的连接的基本测量值MBAll和MBA21，以及用于控制过滤规则的参数化文件的完整性以及它们的对安全策略的适当性的基本测量值MBA12和MBA22。这些基本测量值周期性地执行。
数据标准化单元UU将基本测量值MBAll和MBA12组合为导出的测量值MDAll和MDAl2，将基本测量值MBA21和MBA22组合为导出的测量值MDA21和MDA22，并将导出的测量值MDAll和MDA12组合为度量MEA1，将导出的测量值MDA21和MDA22组合为度量MEA2。指标确定单元将度量MEAl和MEA2组合为由防火墙PRS构成的基本项的顺从性保证IAPRS的指标。由于所有控制都导致总的顺从性，基本测量值、导出的测量值、度量和保证指标处于对应于100%的保证率的“绿色”状态。
在防火墙PRS上的控制中，探测器SPRS检测过滤规则上的异常，例如当检测到一个非安全的TCP协议被声明为经过授权的而安全策略规定这不应该如此时。
自动地，再次按如下方式确定防火墙PRS的顺从性保证指标IAPRS。涉及协议TCP的过滤的基本测量值MBA21切换到“红色”非顺从性状态。假设对涉及协议的过滤的导出的测量值MDA21的解释的函数规定其值是它依赖的基本测量值MBA21的最小值的函数，导出的测量值MDA21切换到“红色”状态。假设涉及规定的过滤的度量MEA2的标准化的函数是它依赖的导出的测量值MDA21和MDA22的最小值，度量MEA2也切换到“红色”状态。假设防火墙PRS的保证指标IAPRS的聚合的函数是度量MEAl和MEA2的加权平均值，过滤度量MEA2的权重高于远程管理度量MEAl的权重，防火墙PRS的指标IAPRS切换到“暗橙色”状态(双阴影线)，用于导致例如，对应于介于25%和49%之间的保证率的强烈非顺从的保证。图4上的双阴影线部分示出了检测到的异常对直接有关项PRS的影响的第一指示。
监控设备DS中的单元UDI还将检测到的异常的影响传播到取决于有关项PRS的所有Web邮件子计算机项SI1、RS和SY。
保护Web邮件服务的防火墙PRS，其顺从性保证变为已改变。影响取决于涉及Web邮件服务中所包括的项的保证指标的聚合算法。此聚合算法，例如是由防火墙PRS的权重和服务中所定义的其他被监控的项的权重加权的项的保证指标的平均值。假设防火墙的指标IAPRS具有非常低的权重，Web邮件服务的保证指标IAWM几乎不受影响，并切换到例如对应于介于75%和99%之间的保证率的“黄色”几乎没有改变的状态(虚线)。这被解释为对使用Web邮件服务的用户终端的低影响。
在第一站点SIl中，除了其他项等，防火墙PRS起作重要的作用。站点SIl的保证指标IASIl几乎不会改变并切换到“黄色”(虚线)状态。这被解释为低物理影响。
服务器RS的网络的任何项都被视为不可缺少的。这样的项的保证指标的更改，作为防火墙PRS的指标IAPRS,基于网络RS中所包括的被监控的项的保证指标的最小值，在单元UDI中被解释为取决于聚合算法的指标的所有网络RS。因此，服务器RS的网络具有强烈改变的保证指标IARS，并切换到“暗橙色”(双阴影线)状态，作为保证指标IAPRS。这被解释为对网络RS的非常强的影响。
在被监控的计算机系统SY中，服务器RS的网络被视为比用户RUl和RU2的网络以及hypervision网络RH更重要。系统SY的顺从性保证的聚合算法是，例如网络RUl、RU2和RH的低权重以及网络RS的较高的权重加权的网络RS、RU1、RU2和RH的保证指标IARS、IARUUIARU2以及IARH的平均值。因此，系统SY具有温和地改变的保证指标IASY，并切换至IJ，例如对应于介于50%和74%之间的保证率的“橙色”状态(仅阴影部分)。这被解释为对系统SY的强的影响。
如图5所示，人机接口 IHM中的监控控制台显示，其中，Web邮件服务、站点SIl和SI2的安全性的状态以及涉及它们的顺从性保证指标IAWM、IASI1、IASI2和IASY的系统SY的安全性的状态，带有它们从其继承相应的父项的顺从性保证指标。似乎根据网络、服务和地理站点的三个朝向，同时传递防火墙PRS中的非顺从性的异常的检测。对异常的检测导致对于用户的低影响，并导致由公司的计算机服务急切地克服的问题，以便修补服务器RS的网络的安全性的显著故障。
此处所描述的发明涉及用于对包括多个基本计算机项BI的计算机系统SY进行安全监控的方法和设备。根据一种实现，通过被包括到基站中的计算机程序的指令来确定本发明的方法的步骤。能够在本发明的监控设备中实现的程序包括程序指令，该程序指令在所述程序在其操作通过被执行的程序控制的监控设备中执行时，执行根据本发明的方法的步骤。
因此，本发明还适用于计算机程序，特别是记录在可由适用于实现本发明的计算机和任何数据处理设备读取的记录介质上的计算机程序。此程序可以使用任何编程语言，并呈现源代码、目标代码或源代码和目标代码之间的中介代码的形式，诸如部分地编译的形式或实现根据本发明的方法所需的任何其他形式。可以通过诸如因特网之类的通信网络将程序下载到基站中。
记录介质可以是能够存储程序的任何实体或设备。例如，介质可以包括在其上面记录了根据本发明的计算机程序的存储介质，诸如R0M，例如，CD ROM或微电子电路R0M，或USB钥或磁记录介质,例如硬盘。
权利要求
1.一种用于监控包括多个基本计算机项(BI)和分别收集基本项的多个收集项(Ble，Big)的计算机系统(SY)的安全性的方法，每一基本项都根据表示所述基本项的预定状态的基本测量值而被监控，其特征在于，它包括为每一个被监控的基本项(BI)确定(DI6)不同类型的多个安全性指标(I)，每一安全性指标都是根据与所述安全性指标相关联的基本测量值(MB)的相应的函数(AMD，AME，AAM，AAG)确定的，以及为每一个收集项确定(DI7)不同类型的多个安全性指标(IA (Ble))，给定类型的收集项的每一安全性指标都是根据在所述收集项(Ble，Big)中收集的所述给定类型的所述基本项(BIp)的所述安全性指标(I)的相应的函数(AAIe)而确定的。
2.根据权利要求1所述的方法，其中，所述收集项中的一个是作为在所述收集项中收集的基本项的计算机机器的网络(RS ；RU1 ;RU2)。
3.根据权利要求1或2所述的方法，其中，所述收集项中的一个是作为在所述收集项中收集的基本项的基于应用的服务(Web邮件)。
4.根据权利要求1到3中任一权利要求所述的方法，其中，所述收集项中的一个是作为在所述收集项中收集的基本项的收集计算机机器和/或网络的地理站点(SIl ;SI2)。
5.根据权利要求1到4中任一权利要求所述的方法，其中，每一基本项(BI)的所述安全性指标中的一个(ID)取决于涉及所述项(BI)的所述可用性的基本测量值。
6.根据权利要求1到5中任一权利要求所述的方法，其中，每一基本项(BI)的所述安全性指标中的一个(II)取决于涉及所述项(BI)中的至少一种事件类型以及所述类型的事件的严重性因素的基本测量值。
7.根据权利要求1到6中任一权利要求所述的方法，其中，每一基本项(BI)的所述安全性指标中的一个(IV)取决于涉及所述项(BI)的所述脆弱性并表示预定类型的至少一个安全性故障对所述项(BI)的影响的估计以及所述故障的严重性因素的基本测量值。
8.根据权利要求1到7中任一权利要求所述的方法，其中，所述被监控的基本项(BI)的所述确定的安全性指标中的一个(IA)取决于涉及所述项(BI)相对于预先确立的安全策略的顺从性保证的基本测量值。
9.根据权利要求1到8中任一权利要求所述的方法，其中，所述对给定类型(I)的基本项(BI)的安全性指标的确定(DI6)进一步包括与所述安全性指标(I)相关联的所述基本测量值中的一个(MBm)的修改(DIl)， 根据所述修改的基本测 量值(MBm)的函数(AMD)以及与所述修改的基本测量值相互依赖的至少另一个基本测量值(MB)，估计(DI2)导出的测量值(MD)，以及 根据所述估计的导出的测量值(MD)的函数(AME)，估计(DI3)度量(ME)，根据与给定类型(I)的所述安全性指标相关联的并且不同于所述前面的基本测量值的相互依赖的基本测量值(MB)的函数，估计至少第二导出的测量值(MD)，给定类型(I)的所述安全性指标是根据取决于所述估计的度量(ME)的函数(AAM)确定的。
10.根据权利要求9所述的方法，其中，所述确定(DI6)所述给定类型的所述基本项(BI)的所述安全性指标(I)包括聚合(DI5)聚合指标(IA (BI))中的所述基本项中所包括的所述给定类型的父基本项(BIgp)的安全性指标(I)，所述基本项的所述安全性指标(I)是而根据取决于所述估计的度量(ME)以及所述聚合指标(IA (BI))的函数(AAG)确定的。
11.根据权利要求1到10中任一权利要求所述的方法，其中，所述函数(AMD、AME、AAM、AAG ；AAIe, AAGe)是可参数化的。
12.一种用于监控包括多个基本计算机项(BI)和分别收集基本项的多个收集项(Ble，Big)的计算机系统(SY)的安全性的设备(DS)，所述设备能够收集与每一基本项相关联的并表示所述基本项的预定状态的基本测量值(MB)，其特征在于，它包括用于为每一个被监控的基本项(BI)确定不同类型的多个安全性指标(I)的装置(UU，UDI),每一安全性指标都是根据与所述安全性指标相关联的基本测量值(MB)的相应的函数(AMD，ΑΜΕ, AAM，AAG)确定的，以及用于为每一个收集项确定不同类型的多个安全性指标(IA (BIe))的装置(UDI)，给定类型的收集项的每一安全性指标都是根据在所述收集项(BIe，BIg)中收集的所述给定类型的所述基本项(BIp)的所述安全性指标(I)的相应的函数(AAIe)而确定的。
13.根据权利要求12所述的设备，其中，收集项(BIg)是下列收集项中的至少一个:作为收集的基本项的计算机机器的网络(RS ；RU1 ;RU2)，作为收集的基本项的基于应用的服务(Web邮件)，以及作为收集的基本项的收集计算机机器和/或网络的地理站点(SIl ；SI2)。
14.根据权利要求12或13所述的设备，其中，所述用于确定所述项(UU，UDI；UDI)的所述安全性指标的装置用于确定基本项(BI)以及收集项(BIg)的下列安全性指标中的至少一个:取决于涉及所述项(BI ；BIg)的所述可用性的基本测量值的安全性指标，取决于涉及所述项(BI ；BIg)中的至少一种 类型的事件以及所述类型的事件的严重性因素的基本测量值的安全性指标(II)，取决于涉及所述项(BI ；BIg)的脆弱性并表示预定的类型的至少一个安全性故障对所述项(BI ；BIg)的影响的估计以及所述故障的严重性因素的基本测量值的安全性指标(IV)，以及取决于涉及所述项(BI)相对于预先建立的安全策略的顺从性保证的基本测量值的安全性指标(IA)。
15.一种能够在包括多个基本计算机项(BI)和分别收集基本项的多个收集项(Ble，Big)的计算机系统(SY)的安全性的监控设备(DS)中实现的计算机程序，每一基本项都根据表示所述基本项的预定状态的基本测量值而被监控，其特征在于，它包括指令，当所述程序在所述监控设备中执行时，所述指令执行根据权利要求1到11中任一权利要求所述的方法的步骤。
全文摘要
本公开涉及对计算机系统中的安全性的监控。对计算机系统中的安全性的监控用于监控包括多个基本计算机项(BI)(诸如机器和应用)以及收集基本项的多个收集项(BIg)(诸如网络、服务或站点)的计算机系统(SY)的安全性，监控设备(DS)收集表示基本项的状态的基本测量值(MB)。单元(UDI)根据基本测量值的相应的函数以及每一个收集项的不同类型的多个安全性指标来确定每一个基本项的不同类型的多个安全性指标(I)。给定类型的收集项的每一安全性指标是根据收集项中收集到的基本项的给定类型的安全性指标的相应的函数而确定的。一个项的指标涉及可用性、入侵、脆弱性以及对安全策略的顺从性。
文档编号H04L29/06GK103140859SQ201180033955
公开日2013年6月5日 申请日期2011年7月8日 优先权日2010年7月13日
发明者C·彭切尔, J-F·博佑夫 申请人:卡斯蒂安简易股份公司