计算资产的自动健康检查风险评估
背景技术:
1.本公开涉及计算资产,并且更具体地涉及计算资产的自动健康检查风险评估。
2.计算资产可以是计算机硬件和/或计算机软件的任何合适的组合。计算资产可经受一个或多个控制(control)。在各个方面,控制可以是被设计成增强和/或保护计算安全和/或网络安全的标准、规则、规则和/或基准。例如,控制可以包括互联网安全中心(cis)基准、安全技术实现指南(stig)、行业标准和/或任何其他合适的技术法规。在不同示例中,控制可以调节和/或属于计算资产的任何合适的技术属性/特性。如果计算资产符合规定控制,那么计算资产可被视为使其对安全漏洞和/或利用的弱点最小化。然而,如果计算资产不符合规定控制,那么计算资产在数据安全性方面可被视为脆弱和/或受损。
3.健康检查可周期性地对计算资产执行以确定计算资产是否满足规定控制。在不同情况下,健康检查可以是检查信息技术系统和/或应用配置以便强化系统和/或配置从而防止和/或减轻攻击的安全处理。通常,计算系统可由许多不同的计算资产组成,并且非兼容控制的数量可能很大,以致于淹没计算系统的操作者。在这样的情况下,不同计算资产的不同非兼容控制可造成不同风险,且计算系统的操作者可能不确定如何分流非兼容控制。
4.常规地,执行健康检查风险评估以向非顺应性对照分配严重性级别。例如,健康检查风险分数可以经由公共配置评分系统(ccss)被分配给不同的控制,并且针对各种计算资产的风险可以基于非兼容控制从这些分数导出。然而,这样的常规健康检查风险评估技术通常是由操作人员每年一次或两次执行的手动过程。即使对于实施自动化的常规健康检查风险评估技术,它们基于对操作者的主观评估并且因此易于出错并且是非标准化的。此外,此类常规健康检查风险评估技术忽略计算资产和非兼容控制的不同重要方面,如本文所解释的。
5.可以改善和/或解决这些技术问题中的一个或多个的系统和/或技术可能是令人希望的。
技术实现要素:
6.以下呈现概述以提供对本发明的一个或多个实施例的基本理解。本概述并不旨在标识关键或重要的元素,或描绘特定实施例的任何范围或权利要求的任何范围。其唯一的目的是以简化的形式呈现概念,作为稍后呈现的更详细描述的序言。在本文所描述的一个或多个实施例中,描述了可以促进计算资产的自动健康检查风险评估的设备、系统、计算机实现的方法、装置和/或计算机程序产品。
7.根据一个或多个实施例,提供了一种系统。该系统可以包括存储器,该存储器可以存储计算机可执行组件。该系统可以进一步包括处理器,该处理器可以可操作地耦合到存储器并且可以执行存储在存储器中的计算机可执行组件。在不同实施例中,计算机可执行组件可包括基线组件,该基线组件可生成与计算资产与规定控制的不符合性对应的基线健康检查风险评分。在各个方面,计算机可执行组件还可包括调整组件,该调整组件可基于所规定控制的弱点因数来调整基线健康检查风险分数。在一些情况下,弱点因数可基于计算
资产的状态偏离规定控制的幅度。在各个实施例中,调整组件还可以基于计算资产的环境因数来调整基线健康检查风险评分。在不同情况下,环境因数可以基于与计算资产相关联的安全机制或安全协议。在各个实施例中,调整组件还可基于关键性因数来调整基线健康检查风险分数。在一些实例中,关键因数可以基于计算资产的重要性级别。在不同实施例中,调整组件可进一步基于成熟度因数来调整基线健康检查风险评分。在一些方面,成熟度因数可基于规定控制和推荐控制之间的差异。
8.根据一个或多个实施例,上述系统可以实现为计算机实施的方法和/或计算机程序产品。
附图说明
9.图1示出根据本文描述的一个或多个实施例的促进计算资产的自动健康检查风险评估的示例非限制性系统的框图。
10.图2示出了根据本文描述的一个或多个实施例的示例非限制性系统的框图,该系统包括促进计算资产的自动健康检查风险评估的基线健康检查风险评分。
11.图3示出根据本文描述的一个或多个实施例的示例、非限制性系统的框图,所述系统包括促进计算资产的自动健康检查风险评估的弱点因数。
12.图4示出了根据本文所述的一个或多个实施例的与弱点因数相关联的示例性、非限制性表格。
13.图5示出了根据本文所述的一个或多个实施例的包括促进计算资产的自动健康检查风险评估的环境因数的示例非限制性系统的框图。
14.图6示出了根据本文所述的一个或多个实施例的与环境因数相关联的示例非限制性表格。
15.图7示出根据本文描述的一个或多个实施例的包括促进计算资产的自动健康检查风险评估的关键性因数的示例非限制性系统的框图。
16.图8示出了根据本文描述的一个或多个实施例的包括促进计算资产的自动健康检查风险评估的成熟度因数的示例非限制性系统的框图。
17.图9示出根据本文描述的一个或多个实施例的包括促进计算资产的自动健康检查风险评估的调整组件的示例非限制性系统的框图。
18.图10示出了根据本文描述的一个或多个实施例的示例、非限制性系统的框图,该系统包括促进计算资产的自动健康检查风险评估的聚合组件。
19.图11示出根据本文描述的一个或多个实施例的示例、非限制性计算资产层级的框图。
20.图12示出了根据本文描述的一个或多个实施例的促进计算资产的自动健康检查风险评估的示例、非限制性计算机实现的方法的流程图。
21.图13示出其中可促进本文所述的一个或多个实施例的示例非限制性操作环境的框图。
22.图14示出了根据本文描述的一个或多个实施例的示例非限制性云计算环境。
23.图15示出了根据本文描述的一个或多个实施方式的示例非限制性抽象模型层。
具体实施方式
24.以下详细说明仅是说明性的并且不旨在限制实施例和/或实施例的应用或使用。此外,不打算被在先前背景或概述部分或具体实施方式部分中呈现的任何明确或隐含的信息约束。
25.现在参考附图描述一个或多个实施例,其中相同的附图标记在全文中用于指代相同的元件。在以下描述中,出于解释的目的,阐述了许多具体细节以便提供对一个或多个实施例的更透彻理解。然而,明显的是,在各种情况下,可以在没有这些具体细节的情况下实践一个或多个实施例。
26.计算资产可以是计算机硬件和/或计算机软件(例如,服务器、数据中心、软件应用、浏览器、网络、膝上型计算机、移动计算设备和/或任何其他合适的信息技术系统)的任何合适的组合。如上所述,计算资产可受制于一个或多个控制和/或由一个或多个控制管理,该一个或多个控制可采取设计、配置和/或旨在增强和/或保护计算安全和/或网络安全的标准、法规、规则和/或基准的形式。例如,控制可以包括互联网安全中心(cis)基准、安全技术实现指南(stig)、行业标准和/或旨在提高计算安全的任何其他合适的技术法规。作为示例,计算资产可以电子地存储/维护密码保护数据。在这种情况下,第一控制可以规定密码应当具有最小字符长度(例如,至少10个字符长),第二控制可以规定密码应当包括特定字符类型(例如,数字、字母、标点符号、其他符号),和/或第三控制可以规定密码应当比最大年龄(例如,小于90天大)更年轻。在不同实例中,控制可以调节和/或涉及计算资产的任何合适的技术属性/特性(例如,密码、特权/许可、数据管理策略、数据存储策略、认证策略、审计策略、基础设施)。如果计算资产符合规定控制,那么计算资产可被视为使其对安全漏洞和/或利用的弱点最小化。然而,如果计算资产不符合规定控制,那么计算资产在数据安全性方面可被视为脆弱和/或受损。
27.可以对计算资产周期性地执行健康检查(例如,每24小时一次)以确定计算资产是否满足规定控制。通常,计算系统可由许多不同的计算资产组成,并且非兼容控制的数量可大到淹没计算系统的操作者(例如,许多不同的计算资产可符合和/或违反许多不同的控制)。在这样的情况下,不同计算资产的不同非兼容控制可能会造成不同的风险,并且计算系统的操作者可能不确定如何分流非兼容控制(例如,可能不确定哪些非兼容控制是最紧迫的和/或最不紧迫的以便确定哪些非兼容控制应当首先被纠正)。
28.常规地,执行健康检查风险评估以向非顺应性控制分配严重性级别,使得可以执行分类。例如,健康检查风险分数可以经由公共配置评分系统(ccss)被分配给非兼容控制。然而,这样的常规健康检查风险评估技术通常是由操作人员每年一次或两次执行的手动过程。即使当常规的健康检查风险评估技术实现自动化时,它们基于对操作者的主观评估并且因此容易出错且非标准化(例如,不同的操作者可能具有不同的专业知识、不同的经验水平和/或关于哪些计算资产的哪些非兼容控制造成更严重或更不严重的安全威胁的不同意见)。
29.此外,这样的常规健康检查风险评估技术没有考虑计算资产和非兼容控制的不同重要方面。具体地,这样的常规健康检查风险评估技术仅以二进制方式考虑对照。即,它们仅确定控制是否被满足或违反;它们不考虑不符合的幅度。这可能是次优的,因为不符合的较大量值可能造成较大的安全风险(例如,6个月太大的口令是比一天太大的口令大得多的
安全风险;许多字符过短的口令比一个字符过短的口令安全风险大得多;与几十个额外实体共享的特权比仅与一个额外实体共享的特权安全风险大得多;执行50%太不频繁的审核比执行5%太不频繁的审核具有更大的安全风险)。此外,这样的常规健康检查风险评估技术忽略计算资产的重要性级别。这可能是次优的,因为通过给定量值违反规定控制的更重要的计算资产可能比通过相同量值违反相同控制的不太重要的计算资产会造成更大的安全风险(例如,考虑线上购物账户和存储敏感/私有数据的数据库;尽管线上购物账户和数据库两者可各自受到一个月太大的对应密码的保护,但数据库可被视为与在线购物账户相比更重要和/或关键的计算资产,且因此非顺从性数据库可造成比非顺从性线上购物账户大得多的安全风险)。更进一步,这样的常规健康检查风险评估技术采取在面部价值处的规定控制,并且决不将这样的规定控制与推荐控制和/或与工业中的最佳实践进行比较。这可能是次优的,因为较不成熟的(例如,较不了解网络安全的)组织可以建立显著不同于行业标准的控制(例如,公司可以规定数据中心密码必须不超过180天龄,而该行业中的最佳实践可以推荐数据中心密码必须不超过90天龄;因此,120天大的数据中心口令可被认为符合规定控制,但仍然可造成显著的安全风险,因为规定控制明显比推荐的控制更不严格)。此外,这样的常规健康检查风险评估技术通常是手动实现的(例如,它们依赖于操作人员的主观得分评估,并且不实现任何形式的人工智能来增强标准化)。因此,传统的健康检查风险评估技术存在各种技术问题。
30.本发明的各个实施例可以解决这些技术问题中的一个或多个。具体地,本发明的各个实施例可提供可促进计算资产的自动健康检查风险评估的系统和/或技术。换言之,本发明的各个实施例可被认为是计算机化诊断工具(例如,计算机实现的软件),其可监视计算资产与一个或多个规定控制的合规性和/或不合规性。在各个方面,这样的计算机化诊断工具可以将基线健康检查风险评分(例如,ccss评分)分配给计算资产的各个非兼容控制,并且可以基于相应的弱点因数(例如,ccss评分)调整这样的基线健康检查风险评分。其可考虑非顺从性的量值)、环境因数(例如,其可考虑计算资产的内置安全机制)、关键性因数(例如,其可考虑计算资产的重要性级别),和/或成熟度因数(例如,其可以解释规定控制和最佳实践和/或工业标准之间的偏差)。
31.在不同实施例中,这样的计算机化诊断工具可以包括基线组件、弱点组件、环境组件、关键性组件和/或成熟度组件。
32.在各个方面,计算机化诊断工具可扫描和/或查询计算资产以获得关于计算资产的状态信息。也就是说,可以实施任何合适的电子扫描、查询和/或信息检索技术来确定计算资产的状态。在不同情况下,计算资产的状态可以是由规定控制支配和/或受到规定控制的计算资产的任何合适的技术特征和/或属性。例如,计算资产的状态可以是由计算资产实现的密码的年龄,并且规定控制可以指定最大密码年龄;计算资产的状态可以是计算资产实现的密码的长度,规定控制可以指定最小密码长度,计算资产的状态可以是计算资产实现的可允许的登录尝试的次数,规定控制可以指定可允许的登录尝试的最大次数;计算资产的状态可以是由计算资产实现的审计频率,规定控制可以指定最小审计频率;和/或计算资产的状态可以是由计算资产维护的数据库的容量和/或文件计数,规定控制可以指定最大容量和/或文件计数。在各个方面,计算机化诊断工具可通过任何合适的技术学习规定控制(例如,可查询任何合适的电子可访问的数据源以学习规定控制,可被预编程以已经具有
和/或知道规定控制,可接收规定控制作为来自操作者和/或来自任何合适的电子设备的输入)。
33.在不同情况下,计算机化诊断工具的基线组件可基于计算资产的状态和规定控制生成基线健康检查风险评分。在不同情况下,可以实施任何合适的风险评分和/或风险量化技术以生成基线健康检查风险评分,诸如ccss技术。在各个方面,计算机化诊断工具的其余组件可如本文所述调整基线健康检查风险分数,以便使基线健康检查风险分数更准确(例如,以便解决ccss技术的上述缺点)。
34.在各个方面,弱点组件能够为计算资产和/或为规定控制生成被称为弱点因数的标量。在不同情况下,弱点因数的值可以是计算资产的状态和规定控制之间的差(例如,经由减法计算)的函数。如上所述,常规的健康检查风险评估技术以二进制方式操作,使得如果遵守规定控制,则分配一个风险评分,如果不遵守规定控制,则分配不同的风险评分。相反,在各个方面,弱点因数可基于不符合的量值和/或严重性(例如,可基于计算资产的状态未能满足规定控制的程度和/或严重程度)。如果计算资产的状态仅仅略微不符合规定控制(例如,如果密码仅仅一个字符太短,如果密码仅仅一天太老,如果数据中心仅仅一个文件超容量,和/或如果特权已经被授予仅仅一个实体太多),那么弱点因数的价值可以相应地很小(例如,指示低风险)。另一方面,如果计算资产的状态更严重地与规定控制不兼容(例如,如果口令是若干字符太短,如果口令是若干周太长,如果数据中心是若干文件超容量,和/或如果特权已被授予许多实体),则弱点因数的价值可相应地较大(例如,指示高风险)。在不同情况下,基线健康检查风险评分可以基于弱点因数在数学上调整(例如,增加和/或减少)。以此方式,计算机化诊断工具可将计算资产与所规定控制的不顺从程度考虑在内。如本文所使用的,术语
″
弱点因数
″
可以意指标量(例如,数字),其值基于计算资产与规定控制有多不兼容。换言之,计算资产的状态和规定控制之间的差异可以经由减法来计算,并且弱点因数的值可以基于这样的差异。在不同情况下,弱点因数的值可以是这种差异的任何合适的数学函数(例如,弱点因数可以通过将任何合适的数学运算应用于计算资产的状态与规定控制之间的差异来计算)。然后,弱点因数可以用于数学地调整(例如,升高和/或降低)基线健康检查风险评分,如在此所描述的(例如,如关于图9所解释的)。
35.在不同实例中,弱点组件可基于计算资产的状态的价值和基于规定控制的价值来生成和/或计算弱点因数。在一些情况下,弱点组件可以包括经训练的机器学习模型,该经训练的机器学习模型可以被利用来生成/计算弱点因数。在各个方面,经训练的机器学习模型可以是任何合适的计算机实现的人工智能算法(例如,神经网络、线性回归、逻辑回归、朴素贝叶斯(native bayes)、支持向量机、随机森林),该人工智能算法可以被训练以便对输入数据进行分类和/或标记(例如,可以经由受监督学习、无监督学习和/或增强学习来训练)。在不同情况下,弱点化组件可以被配置成从任何适当的可电子访问的数据结构电子地接收和/或检索描述所规定控制的不同技术细节的一个或多个控制文档(例如,自然语言文档)。这样的控制文档例如可以包括github文档、开发/设计文档和/或描述和/或表征规定控制的技术特性/特性的任何其他类似文档。在各种情况下,可以实施表征所规定控制的任何其他合适的输入数据。在不同情况下,弱点性组件可以生成一个或多个控制文档的数字表示(例如,向量、张量)(例如,通过应用任何合适的字嵌入技术和/或语言建模技术)。在不同情况下,经训练的机器学习模型然后可以接收一个或多个控制文档的数字表示作为输
入,并且可以生成与规定控制相关联的分类和/或标签作为输出。
36.如以上段落中所解释的,控制文档可以是自然语言文档(例如,以人类可读文本编写的)。然而,弱点组件的机器学习模型可能通常不接收人类可读文本/散文作为输入。相反,可以实施任何合适的字嵌入技术,其产生控制文档的数字表示。控制文档的
″
数字表示
″
可以是向量、张量和/或表示控制文档的内容和/或与控制文档的内容相关的任何其他合适的数字集合(例如,字嵌入算法被配置为基于人类可读字和/或句子的上下文将数值分配给人类可读字和/或句子)。弱点组件的机器学习模型然后可以接收数字表示并且可以生成如本文所描述的分类/标记。字嵌入技术可以是自然语言处理算法,该自然语言处理算法被配置为将给定词汇表中的人类可读字或短语映射至具有任何合适维度的实数的向量和/或张量。更具体地,词语嵌入利用通常出现在文档中彼此附近的词语具有类似含义的原理。由此,字嵌入可以针对任何合适的整数n向控制文档中的特定字(和/或短语)分配n维向量,其中n维向量的值是基于出现在特定字附近的其他字。类似的词语因此可以具有类似的向量,并且不类似的词语因此可以具有不同的向量。如本领域普通技术人员将理解的,可以经由训练的神经网络和/或经由与输入的控制文档相对应的词同现矩阵的维度减少来促进词嵌入技术。注意,这些仅仅是字嵌入技术的示例,并且在不同实施例中,可以实现任何合适的字嵌入技术。字嵌入技术和它们生成的数字表示在本领域中是已知的,并且在此不需要阐述关于字嵌入技术和它们生成的数字表示的附加细节。
37.在各个方面,由弱点组件的机器学习模型生成的分类和/或标签可以基于描述所规定控制的一个或多个控制文档来标识所规定控制所属的弱点类别。例如,规定控制可被分类和/或标记为与被动弱点、直接主动弱点和/或间接主动弱点有关。在不同情况下,例如,如果不符合规定控制可以使得攻击者能够防止计算资产执行授权动作(例如,防止计算资产执行安全审核、防止计算资产管理全自动区分计算机和人类的图灵测试(captcha测试)、防止计算资产发起自动安全协议、防止计算资产执行某个系统服务或守护进程),则规定控制可以涉及被动弱点(例如,可以是被动控制)。被动弱点可能不被攻击者主动利用,但其可防止攻击者的未经授权动作被检测到。在不同示例中,如果例如不符合规定控制可以使得攻击者能够执行未经授权的动作(例如,获得对敏感/私有数据的访问和/或读取敏感/私有数据、制作敏感/私有数据的副本、编辑敏感/私有数据、上传和/或存储恶意软件和/或间谍软件),则规定控制可以涉及活跃弱点(例如,可以是活跃控制)。在不同情况下,如果例如规定控制涉及主动弱点并且规定控制的利用已知已经存在(例如,将存在已知利用的过时弱点安装在计算资产中可以使得攻击者能够立即攻击计算资产),则规定控制可以涉及直接主动弱点(例如,可以是直接主动控制)。相反,规定控制可以涉及间接活跃弱点(例如,可以是间接活跃控制),如果例如它涉及活跃弱点并且对规定控制的利用未知为已经存在(例如,在计算资产中实现弱点口令不一定允许攻击者立即攻击计算资产,但是它可以向攻击者呈现机会来利用)。在各个方面,经训练的机器学习模型可以确定规定控制属于哪个弱点类别(例如,可以确定规定控制是被动控制、直接主动控制还是间接主动控制),并且然后可以基于弱点类别来指派弱点因数。例如,如果规定控制属于被动弱点类别,则弱点因数可具有低值(例如,被动弱点可被认为不是非常弱点)。如果规定控制属于直接活跃弱点类别,则弱点因数可具有高值(例如,直接活跃弱点可被认为是不可接受地弱点)。如果规定控制属于间接主动弱点类别,则弱点因数可具有取决于不符合的幅度的值(例如,弱点因数的值
可与计算资产的状态违反规定控制的程度成比例,并且可在以下由与被动弱点相关联的值来界定,并在以上由与直接主动弱点相关联的值来界定)。在不同实施例中,可以实施任何其他合适的弱点类别。换言之,弱点组件可以接收描述所规定控制的属性的技术文档,经训练的机器学习模型可以基于技术文档将所规定控制分类成弱点类别,弱点因数的值可以针对不同的弱点类别而变化,并且弱点因数的值对于一些弱点类别可以基于计算资产与所规定控制有多不兼容。
38.如以上段落中所解释的,弱点组件的机器学习模型可以确定所规定控制的弱点类别并且然后可以基于所确定的弱点类别的类型来将值指派给弱点因数。尽管上述实施例仅提及被动弱点、直接主动弱点和间接主动弱点,但这些仅是示例并且是非限制性的。在不同实施例中,可以实施任何其他合适的弱点类别。以上段落定义
″
被动弱点
″
、
″
直接主动弱点
″
和
″
间接主动弱点
″
。在一个或多个实施例中,被动弱点(或被动控制)的定义可以是弱点或控制,其中不合规性允许攻击者防止系统的授权动作(例如,自动安全审核)。在一个或多个实施例中,活动弱点(或活动控制)的定义可以是弱点或控制,其中不合规性允许攻击者执行未经授权的动作(例如,读取/编辑数据)。在一个或多个实施例中,
″
直接活跃弱点
″
的定义可以是这样的活跃弱点:对于该活跃弱点,利用(例如,利用计算机漏洞或弱点的恶意计算机软件)已经在工业/领域中已知存在(例如,立即可利用)。在一些方面中,薄弱点组件可以被预先编程有(和/或可以其他方式具有任何适当形式的访问)工业/领域中已知在任何适当时间存在的利用的列表。在一个或多个实施例中,
″
间接活跃弱点
″
的定义可以是行业/领域中尚未知道对其存在利用(例如,不一定立即可利用)的活跃弱点。
39.在不同实例中,环境组件可以生成被称为用于计算资产和/或用于规定控制的环境因数的标量。在不同情况下,环境因数的值可以是由计算资产实现以防止安全威胁的不同安全机制和/或安全协议的函数。例如,如果计算资产实现高级和/或严格的保护机制(例如,数据掩蔽/加密而不是自动数据发现/分类、异常防止/拦截而不是异常检测、仅内部访问而不是公共访问),则环境因数的价值可相应地较小(例如,指示低风险)。另一方面,如果计算资产实施较不先进和/或较不严格的保护机制(例如,自动数据发现/分类而非数据掩蔽/加密,仅异常检测而非异常预防/拦截,公共访问而非仅内部访问),则环境因数的价值可相应地较大(例如,指示高风险)。在不同情况下,可以基于环境因数在数学上调整(例如,增加和/或减少)基线健康检查风险评分。以此方式,计算机化诊断工具可考虑计算资产的内置安全机制,其可使计算资产固有地较不易受安全攻击。如本文中所使用的,术语
″
环境因数
″
可以意指标量(例如,数字),其值基于计算资产的属性(例如,基于计算资产实现多少和/或实现什么类型的安全机制)。在不同情况下,环境因数的值可以是计算资产的这样的属性的任何合适的数学函数。然后,环境因数可以用于数学地调整(例如,升高和/或降低)基线健康检查风险评分,如在此所描述的(例如,如关于图9所解释的)。
40.在不同示例中,环境组件可以基于由计算资产实现的不同安全/隐私策略来生成和/或计算环境因数。在一些情况下,环境组件可以包括经训练的机器学习模型,该经训练的机器学习模型可以被利用来生成/计算环境因数。如上所述,经训练的机器学习模型可以是可训练以对输入数据进行分类和/或标记的任何合适的计算机实现的人工智能算法。在不同情况下,环境组件可被配置成从任何合适的可电子访问的数据结构电子地接收和/或检索描述计算资产的不同技术细节的一个或多个资产文档(例如,自然语言文档)。这样的
资产文档例如可以包括github文档、开发/设计文档和/或描述和/或表征计算资产的技术属性/特性的任何其他类似文档。在不同情况下,可以实现表征计算资产的技术特性的任何其他合适的输入数据。类似于弱点性组件,环境组件可以生成一个或多个资产文档的数字表示(例如,向量、张量)(例如,经由字嵌入和/或语言建模)。在不同情况下,环境组件的经训练的机器学习模型然后可以接收一个或多个资产文档的数字表示作为输入,并且可以生成与计算资产相关联的不同确定作为输出。
41.如以上段落中所解释的,资产文档可以是自然语言文档(例如,以人类可读文本编写的)。然而,环境组件的机器学习模型可能通常不接收人类可读文本/散文作为输入。相反,可以实施任何合适的字嵌入技术,其产生资产文档的数字表示。资产文档的
″
数字表示
″
可以是向量、张量和/或表示资产文档的内容和/或与资产文档的内容相关的任何其他合适的数字集合(例如,字嵌入算法被配置为基于人类可读字和/或句子的上下文向人类可读字和/或句子分配数值)。环境组件的机器学习模型然后可以接收数字表示并且可以生成如本文所描述的不同确定。字嵌入技术可以是自然语言处理算法,该自然语言处理算法被配置为将给定词汇表中的人类可读字或短语映射至具有任何合适维度的实数的向量和/或张量。更具体地,词语嵌入利用通常出现在文档中彼此附近的词语具有类似含义的原理。由此,对于任何适当的整数n,字嵌入可以向资产文档中的特定字(和/或短语)分配n维向量,其中n维向量的值是基于出现在特定字附近的其他字。类似的词语因此可以具有类似的向量,并且不类似的词语因此可以具有不同的向量。如本领域普通技术人员将理解的,可以经由训练的神经网络和/或经由对应于输入的资产文档的词同现矩阵的维度减少来促进词嵌入技术。注意,这些仅仅是字嵌入技术的示例,并且在不同实施例中,可以实现任何合适的字嵌入技术。字嵌入技术和它们生成的数字表示在本领域中是已知的,并且在此不需要阐述关于字嵌入技术和它们生成的数字表示的附加细节。
42.在各个方面,环境组件的机器学习模型的确定可以基于描述计算资产的一个或多个资产文档来识别计算资产的各个技术方面和/或技术属性。在一些情况下,确定可识别由计算资产实施的访问协议的类型(例如,可确定计算资产是否仅内部可访问(风险较小)或计算资产是否公开可访问(风险较大))。在一些情况下,确定可识别由计算资产实现的修改范例的类型(例如,可确定计算资产是否不可变(风险较小)或计算资产是否可变/短暂(风险较大))。在一些情况下,确定可识别由计算资产实现的实例化范例的类型(例如,可确定计算资产是否被隔离(风险较小)或计算资产是否被配置为多租户(风险较大))。在一些情况下,确定可识别与计算资产相关联的服务可用性的类型(例如,服务和/或维护是否仍然可用于计算资产(风险较小)或服务/维护是否不再可用于计算资产(风险较大))。在一些情况下,确定可以识别由计算资产实现的数据保护协议(例如,可以确定计算资产是否自动实现数据掩蔽/加密,甚至对于签入实体(风险较小),或计算资产是否自动实现数据发现/分类(风险较大))。在一些情况下,确定可以标识由计算资产实现的合规执行的类型(例如,可以确定控制是否被定期检查和补救(风险较小)或者控制是否仅仅被定期检查(风险较大))。在一些情况下,确定可识别由计算资产实施的异常检测的类型(例如,可确定计算资产是否自动阻止和/或阻碍不寻常行为(风险较小)或计算资产是否仅仅通知何时检测到不寻常行为(风险较大))。在一些情况下,确定可识别计算资产的任何其他合适的特性。在不同情况下,环境组件的经训练的机器学习模型可以基于这些确定来将值指派给环境因数。
具体地,当经训练的机器学习分类器确定计算资产结合更严格和/或高级安全机制(例如,在这种情况下,计算资产可被认为是尽管不符合规定控制但仍更抵抗利用的硬化目标;因此,计算资产可造成较低的安全风险)。另一方面,当经训练的机器学习模型确定计算资产结合较不严格和/或高级安全机制时,环境因数可能较高(例如,在这种情况下,计算资产可被认为是对利用较不具抵抗力的经软化的目标;因此,计算资产可被视为在非兼容控制存在的情况下尤其处于风险中)。换言之,环境组件可以接收描述计算资产的属性的技术文档,环境组件的经训练的机器学习模型可以基于技术文档来确定什么安全机制由计算资产实现,并且环境因数的值可以基于这样的安全机制/协议。
43.在不同实例中,关键性组件可以生成用于计算资产和/或用于规定控制的被称为关键性因数的标量。在不同情况下,关键性因数的值可为计算资产对拥有和/或操作计算资产的实体的重要性级别的函数。例如,如果计算资产对拥有/操作计算资产的实体非常重要(例如,银行机构可具有将资金转移到客户端账户中和/或从客户端账户转移出资金的计算应用,并且此类计算应用可对银行机构非常重要),那么关键性因数可在价值上相应地较大(例如,指示高风险)。另一方面,如果计算资产对拥有/操作计算资产的实体不太重要(例如,银行机构可具有专用于广告和/或外伸距的网站,并且网站对银行机构可能不是至关重要的),那么关键性因数可在值上相应地较小(例如,指示低风险)。在不同情况下,可基于关键性因数在数学上调整(例如,增加和/或减小)基线健康检查风险分数。以此方式,计算机化诊断工具可考虑计算资产对拥有/操作计算资产的实体有多重要。如本文所用,术语
″
关键性因数
″
可意指标量(例如,数字),其值基于计算资产的重要性级别。在不同情况下,关键性因数的值可以是计算资产的这种重要性级别的任何合适的数学函数(例如,关键性因数可通过将任何合适的数学运算应用于计算资产的重要性级别来计算)。关键性因数可随后被用来在数学上调整(例如,升高和/或降低)基线健康检查风险分数,如本文所描述的(例如,如关于图9所解释的)。
44.在不同实例中,关键性组件可以基于由拥有/操作计算资产的实体接收的电子输入来产生和/或计算关键性因数。在其他情况下,关键性组件可包括可被利用来生成/计算关键性因数的经训练的机器学习模型。如上所述,经训练的机器学习模型可以是可训练以对输入数据进行分类和/或标记的任何合适的计算机实现的人工智能算法。在不同情况下,关键性组件可被配置来从任何适当的可电子访问的数据结构电子地接收和/或检索一个或多个文档(例如,自然语言文档),所述文档描述计算资产的不同细节和/或拥有/操作计算资产的实体的不同目标/目的。这样的文档例如可以包括广告、商业计划/演示、任务陈述、非技术描述和/或描述/表征拥有/操作计算资产的实体的目标和/或描述/表征计算资产如何被拥有/操作计算资产的实体利用的任何其他类似文档。在不同情况下,可以实现表征计算资产和/或拥有/操作计算资产的实体的目标/活动的任何其他合适的输入数据。类似于弱点组件和/或环境组件,关键性组件可以生成一个或多个文档的数字表示(例如,向量、张量)(例如,经由字嵌入和/或语言建模)。在不同情况下,关键度组件的经训练的机器学习模型然后可接收一个或多个文档的数字表示作为输入并且可产生与计算资产相关联的分类和/或标签作为输出。在各个方面,分类和/或标签可识别计算资产对于拥有/操作计算资产的实体有多重要(例如,可识别计算资产对于实体的商业活动和/或目的/目标有多重要)。例如,分类和/或标签可以是非关键的(例如,指示计算资产不是拥有/操作计算资产的实体
的活动/目标的不可思议的重要方面),分类和/或标签可以是关键的(例如,指示计算资产是拥有/操作计算资产的实体的活动/目标的重要方面),和/或分类和/或标签可以是非常关键的(例如,指示计算资产是拥有/操作计算资产的实体的活动/目标的不可思议的重要方面)。
45.如以上段落中所解释的,文档可以是自然语言文档(例如,以人类可读文本编写的)。然而,关键度组件的机器学习模型可能通常不接收人类可读文本/散文作为输入。相反,可以实施任何合适的字嵌入技术,其产生文档的数字表示。文档的
″
数字表示
″
可以是表示文档内容和/或与文档内容相关的向量、张量和/或任何其他合适的数字集合(例如,字嵌入算法被配置为基于人类可读字和/或句子的上下文将数值分配给人类可读字和/或句子)。关键度组件的机器学习模型然后可接收数字表示,并且可产生如本文所述的分类/标记。字嵌入技术可以是自然语言处理算法,该自然语言处理算法被配置为将给定词汇表中的人类可读字或短语映射至具有任何合适维度的实数的向量和/或张量。更具体地,词语嵌入利用通常出现在文档中彼此附近的词语具有类似含义的原理。由此,对于任何适当的整数n,字嵌入可以向文档中的特定字(和/或短语)分配n维向量,其中n维向量的值是基于出现在特定字附近的其他字。类似的词语因此可以具有类似的向量,并且不类似的词语因此可以具有不同的向量。如本领域普通技术人员将理解的,可以经由训练的神经网络和/或经由与输入的文档相对应的词同现矩阵的维度减少来促进词嵌入技术。注意,这些仅仅是字嵌入技术的示例,并且在不同实施例中,可以实现任何合适的字嵌入技术。字嵌入技术和它们生成的数字表示在本领域中是已知的,并且在此不需要阐述关于字嵌入技术和它们生成的数字表示的附加细节。
46.在不同情况下,关键度组件的经训练的机器学习模型可基于分类和/或标签来向关键性因数分配值。具体而言,当经训练的机器学习分类器确定计算资产不是关键的时(例如,不符合规定控制可造成低安全风险,因为计算资产不是非常重要的),关键性因数可较低,当经训练的机器学习分类器确定计算资产是关键的(例如,不符合规定控制可能会造成适度的安全风险,因为计算资产是重要的)时,关键性因数可能更高,并且当经训练的机器学习分类器确定计算资产是超关键的(例如,不符合规定控制可能会造成高安全风险,因为计算资产是非常重要的)时,关键性因数可以是最高的。换言之,关键性组件可接收描述计算资产的特性和/或描述拥有/操作计算资产的实体的目标/目的的文档,关键性组件的训练的机器学习模型可基于文档来确定要分配给计算资产的重要性和/或关键性的等级,并且关键性因数的值可基于这样的重要性和/或关键性的等级。
47.在不同实例中,成熟度组件可以生成被称为用于计算资产和/或用于规定控制的成熟度因数的标量。在各种情况下,成熟度因数的值可以是规定控制和工业标准/最佳实践之间的差异(例如,通过减法计算)和/或偏差的函数。例如,拥有/操作计算资产的实体可建立比推荐用于计算资产的工业标准和/或最佳实践更松弛和/或更不严格的规定控制。在这种情况下,拥有/操作计算资产的实体可被视为从网络安全角度较不成熟。在各个方面,因此计算资产可能遵守规定控制并且尽管如此却造成安全风险,因为规定控制比行业标准和/或推荐更松散和/或更不安全。此外,由于规定控制比行业标准和/或推荐更松弛和/或更不安全,因此计算资产也可能仅略微不符合规定控制并且仍然造成显著的安全风险。作为示例,假设规定控制指定计算资产中的口令为至少4个字符长,并且假设行业标准和/或
行业最佳实践反而推荐这样的计算资产中的口令为至少10个字符长。在这种情况下,6个字符长的口令可被认为符合规定控制,但它仍可造成安全威胁,因为规定控制比行业标准更不严格(例如,4字符口令固有地不如10字符口令安全)。此外,如果计算资产的密码仅为三个字符长,那么可将其视为仅稍微不符合所规定控制。然而,这样的三字符口令可造成显著的安全威胁,因为规定控制比行业标准低得多。因此,在各种实施例中,成熟度组件可基于规定控制与推荐控制、最佳实践和/或工业标准相比的不同程度产生成熟度因数的值。在各种情况下,基线健康检查风险评分可基于成熟度因数在数学上调整(例如,增加和/或减少)。以此方式,计算机化诊断工具可考虑在网络安全中拥有/操作计算资产的实体有多成熟。如在此使用的,术语
″
成熟度因数
″
可以意指标量(例如,数字),其值是基于规定控制与推荐的对照(例如,最佳实践)之间的差(例如,经由减法计算的)。在各种情况下,成熟度因数的值可以是这种差异的任何合适的数学函数(例如,可以通过将任何合适的数学运算应用于规定控制和推荐控制之间的差异来计算成熟度因数)。然后,成熟度因数可以用于数学地调整(例如,升高和/或降低)基线健康检查风险评分,如在此描述的(例如,如关于图9所解释的)。
48.在不同实例中,成熟度组件可基于由拥有/操作计算资产的实体接收的电子输入来生成和/或计算成熟度因数。在其他情况下,成熟度组件可查询成熟度组件可电子访问的任何合适的数据结构,以学习与所规定控制相关联的最佳实践、行业标准和/或工业推荐。在这种情况下,成熟度组件然后可以将由最佳实践、行业标准和/或行业推荐指定的检索值与由规定控制指定的值进行比较,以便确定与最佳实践、行业标准和/或行业推荐相比,规定控制更加松散多少和/或不那么严格/保证多少。在各种情况下,可以相应地设定成熟度因数的值。具体而言,如果成熟度组件确定规定控制与推荐的控制一致(例如,在预定的界限内),则成熟度因数可以较低,如果成熟度组件确定规定控制比推荐的控制更严格,则成熟度因数可以甚至更低,如果成熟度组件确定规定控制比推荐的对照更松弛和/或更不严格特定比例,则成熟度因数可以是高的,并且当成熟度组件以甚至更大的比例确定规定控制比推荐的对照更松弛和/或更不严格时,成熟度因数可以甚至更高。换言之,成熟度组件可被通知与计算资产有关的推荐控制,成熟度组件可确定规定控制和推荐控制之间的差异和/或偏差,并且成熟度因数的值可基于这样的水平差异和/或偏差。
49.如上所述,计算机化诊断工具可基于计算资产的状态和规定控制产生基线健康检查风险评分、弱点因数、环境因数、关键性因数和/或成熟度因数。在不同情况下,计算机化诊断工具可基于弱点因数、环境因数、关键性因数和/或成熟度因数来调整基线健康检查风险评分。在一些情况下,计算机化诊断工具可将基线健康检查风险分数乘以环境因数以产生第一乘积,可将弱点化因数加到第一乘积以产生第一总和,可将关键性因数乘以第一总和以产生第二乘积,且可将成熟度因数乘以第二乘积以基于规定控制产生用于计算资产的经调整的健康检查风险分数。这仅仅是可如何基于基线健康检查风险分数、弱点因数、环境因数、关键性因数和/或成熟度因数来计算用于计算资产的经调整的健康检查风险分数的一个示例。在其他情况下,可对基线健康检查风险分数、弱点因数、环境因数、关键性因数和/或成熟度因数执行任何其他合适的等式、公式和/或数学运算,以便计算计算资产的经调整的健康检查风险分数(例如,可添加环境因数而不是乘以环境因数;可以乘以弱点因数而不是将其相加;可以添加关键性因数而不是将其相乘;可以添加成熟度因数而不是将其
相乘)。在不同情况下,调整的健康检查风险评分可以量化由于计算资产不符合规定控制而与计算资产相关联的安全风险水平。如上所解释的,由于弱点因数(例如,其可解释计算资产的不顺从的幅度)、环境因数(例如,其可解释计算资产的内置安全机制)、关键性因数(例如,其可解释计算资产的重要性级别)和成熟度因数(例如,其可解释规定控制和最佳实践之间的差异),调整的健康检查风险分数可比基线健康检查风险分数(例如,经由ccss技术产生)更准确。
50.在各种实例中,单个计算资产可经受和/或由许多不同的规定控制管理。因此,在各实施例中,计算机化诊断工具可基于支配单个计算资产的许多不同的规定控制来生成单个计算资产的许多不同的经调整的健康检查风险评分(例如,支配计算资产的每个规定控制的一个经调整的健康检查风险评分)。在各种情况下,计算机化诊断工具可包括聚合组件,该聚合组件可将这些许多不同的经调整的健康检查风险评分聚合在一起(例如,经由加权平均值和/或经由最大函数),从而产生计算资产的聚合的经调整的健康检查风险评分(例如,针对管理计算资产的所有许多不同的规定控制聚合的计算资产的一个评分)。类似地,计算系统可包括许多不同的计算资产。因此,聚合组件可以针对每个计算资产生成聚合的经调整的健康检查风险评分,并且可以将它们聚合在一起(例如,经由加权平均值和/或最大函数),从而产生整个计算系统的最终经调整的健康检查风险评分。以此方式,计算机化诊断工具可量化与计算系统相关联的风险水平,可量化计算系统的每个计算资产的单独风险水平,和/或可量化计算系统的每个计算资产的每个规定控制的甚至更细粒度的风险水平。由此,可精确地执行计算资产之间和/或单个计算资产的规定控制之间的分流。
51.在各个方面,计算机化诊断工具可基于所生成的经调整的健康检查风险评分来生成任何合适的电子通知和/或警报(例如,可向拥有/操作计算资产的实体通知和/或警告经调整的健康检查风险评分,可在电子屏幕/监视器上显示经调整的健康检查风险评分)。在不同情况下,计算机化诊断工具可基于经调整的健康检查风险评分采取任何适当形式的补救动作(例如,可自动锁定和/或关闭计算资产直到具有高于预定阈值的经调整的健康检查风险评分的非顺应性控制被固定,可自动安排和/或获得对计算资产的维护/维护以便固定具有高于预定阈值的经调整的健康检查风险评分的非顺应性控制)。
52.本发明的各个实施例可用于使用硬件和/或软件来解决本质上高度技术(例如,促进计算资产的自动健康检查风险评估)、不抽象并且不能由人作为一组精神行为来执行的问题。进一步,所执行的处理中的一些可由专用计算机执行(例如,由操作地耦合到处理器的设备生成与计算资产与规定控制的不符合性对应的基线健康检查风险分数;由所述装置基于所述规定控制的弱点因数来调整所述基线健康检查风险评分,其中所述弱点因数基于所述计算资产的状态偏离所述规定控制的大小;由所述设备基于所述计算资产的环境因数调整所述基线健康检查风险评分,其中所述环境因数基于与所述计算资产相关联的安全机制或安全协议;由所述装置基于所述计算资产的关键性因数来调整所述基线健康检查风险评分,其中所述关键性因数基于与所述计算资产相关联的重要性级别;以及由所述设备基于所述计算资产的成熟度因数来调整所述基线健康检查风险评分,其中所述成熟度因数基于所规定控制与所推荐的控制之间的差)。这种定义的任务通常不由人手动执行。此外,人的头脑和具有笔和纸的人都不能扫描和/或查询计算资产以获得状态信息,可基于状态信息和规定控制产生用于计算资产的基线健康检查风险分数,可产生用于计算资产的弱点因
数、环境因数、关键性因数和/或成熟度因数,和可基于弱点因数、环境因数、关键性因数和/或成熟度因数来调整基线健康检查风险分数。此外,如本文所解释的,本发明的各个实施例可以利用机器学习模型来帮助这样的生成和/或调整,并且人的头脑和笔和纸的人都不能电子地执行机器学习模型。相反,本发明的各个实施例固有地和不可分离地依赖于计算机技术,并且不能在计算环境之外实现(例如,计算资产是不能在计算系统之外存在的固有地计算机化的设备;同样地,自动监视计算资产以符合规定控制的计算机化诊断工具是也不存在于计算系统外部的固有计算机化设备)。
53.在不同实例中,本发明的实施例可将关于计算资产的自动健康检查风险评估的所公开的教导集成到实际应用中。实际上,如本文所描述的,可以采取系统和/或计算机实现的方法的形式的本发明的各个实施例可被认为是计算机化诊断工具,其评估计算资产的控制信息并基于这样的控制信息将经调整的健康检查风险评分分配给计算资产。更具体地,本发明的实施例可以向计算资产分配健康检查风险分数,该健康检查风险分数量化计算资产造成的安全威胁的程度。这样的量化当然是计算机的有用和实际应用,至少因为它允许操作者分类和/或优先化不同计算资产和/或单个计算资产的不同非兼容控制(例如,在没有这样的健康检查风险评分的情况下,操作者将不知道首先解决/补救哪些非兼容控制)。此外,如上所述,用于分配这样的健康检查风险分数的常规技术完全忽略不遵守的幅度、给定计算资产的关键度以及规定控制和行业标准/最佳实践之间的偏差。如本文所解释的,本发明的各个实施例可经由弱点因数、环境因数、关键性因数和/或成熟度因数来解决这些缺点,结果是由本发明的实施例生成的经调整的基线健康检查风险分数可比常规生成的基线健康检查风险分数更准确。可产生比常规产生的基线健康检查风险得分更准确的健康检查风险得分的系统和/或技术清楚地构成计算资产的自动健康检查风险评估领域中的具体和有形的技术改进。
54.此外,本发明的各个实施例可基于所公开的教导控制有形的、基于硬件的和/或基于软件的设备。例如,本发明的各实施例可生成经调整的健康检查风险评分,该经调整的健康检查风险评分对与不符合规定控制的有形计算资产(例如,服务器、数据中心)相关联的安全风险进行量化。在一些情况下,本发明的实施例可以基于这样的经调整的健康检查风险评分来生成电子通知和/或警告(例如,可以向其他有形设备传送这样的电子通知/警告,可以在有形电子屏幕/监视器上显示这样的电子通知/警告)。在一些情况下,本发明的各个实施例可基于这样的经调整的健康检查风险分数来采取动作。例如,本发明的实施例可在经调整的健康检查风险评分超过预定义阈值时(例如,通过将锁定指令/命令和/或下电指令/命令发射到有形计算资产)锁定和/或下电有形计算资产。作为另一实例,当调整的健康检查风险评分超过预定阈值时(例如,通过电子接触与服务/维护实体相关联的有形计算装置),本发明的实施例可调度和/或获得对有形计算资产的服务/维护。作为又一示例,当经调整的健康检查风险评分超过预定义阈值时(例如,通过向可产生可见和/或可听警报的有形警报设备传送适当的指令/命令),本发明的实施例可发出任何合适的可见和/或可听警报。在各个方面,本发明的实施例可以发起和/或执行任何其他合适类型的保护和/或预防动作,以在调整的健康检查风险分数超过预定阈值时保护计算资产。因此,本发明的实施例构成计算资产的自动健康检查风险评估领域中的具体和有形的技术改进。
55.应当理解,附图和本文公开的内容描述了本发明的各种实施例的非限制性实例。
56.图1示出了根据本文描述的一个或多个实施例的可促进计算资产的自动健康检查风险评估的示例非限制性系统100的框图。如图所示,健康检查风险评估系统102可以具有与计算资产104的任何合适形式的电子通信(例如,有线和/或无线)。
57.在不同情况下,计算资产104可以是计算机硬件和/或计算软件的任何合适的组合。例如,计算资产104可以是计算机、软件应用程序、网站、数据库、文件、移动装置和/或任何其他合适的信息技术系统。在不同情况下,计算资产104可以包括状态106并且可以由规定控制108支配和/或受到规定控制108。在各个方面,状态106可以是计算资产104的任何合适的技术属性/特性,并且规定控制108可以是状态106应该满足的任何合适的规则、规则、基准和/或标准。作为一些非限制性示例,状态106可以是口令长度(例如,由计算资产104实际实现的口令的实际字符长度),并且规定控制108可以是最小可接受口令长度;状态106可以是口令年龄(例如,由计算资产104实际实现的口令的实际年龄),并且规定控制108可以是最大可接受口令年龄;状态106可以是数据库文件计数(例如,存储在由计算资产104实际维护的数据库中的文件的实际数量),并且规定控制108可以是最大可接受数据库文件计数;和/或状态106可以是审计频率(例如,由计算资产104实际实现的实际审计频率),并且规定控制108可以是最小可接受的审计频率。
58.尽管图1将所规定控制108描绘为在计算资产104内,但是这是为了说明性方便而呈现的非限制性示例。在不同情况下,计算资产104可能不知道和/或可能无法访问规定控制108。尽管图1将计算资产104描述为仅具有一个状态106并且仅由一个规定控制108管理,但是这是非限制性示例。在各个方面,计算资产104可以具有任何适当数量的状态并且可以由任何适当数量的规定控制来管理。
59.在各种情况下,状态106可以违反和/或不符合规定控制108。在不同情况下,健康检查风险评估系统102可以量化与这样的不符合相关联的安全风险的级别,如下面解释的。
60.在各个实施例中,健康检查风险评估系统102可以包括处理器110(例如,计算机处理单元、微处理器)和可操作地连接到处理器110的计算机可读存储器112。存储器112可存储计算机可执行指令,所述计算机可执行指令在由处理器110执行时可使得处理器110和/或健康检查风险评估系统102的其他组件(例如,基线组件114、弱点组件116、环境组件118、关键性组件120、成熟度组件122)执行一个或多个动作。在不同实施例中,存储器112可以存储计算机可执行组件(例如,基线组件114、弱点组件116、环境组件118、关键性组件120、成熟度组件122),并且处理器110可以执行计算机可执行组件。
61.在不同实施例中,健康检查风险评估系统102可以经由任何合适的技术扫描和/或查询计算资产104以得到状态106。也就是说,健康检查风险评估系统102可以从计算资产104电子地检索状态106(例如,状态106的值)。在各个实施例中,健康检查风险评估系统102可经由任何合适的技术来学习规定控制108。例如,健康检查风险评估系统102可以从健康检查风险评估系统102可访问的任何合适的数据结构和/或数据源中电子地检索规定控制108(例如,再次,尽管图1将规定控制108描绘为在计算资产104内,但这是非限制性的;在一些情况下,规定控制108可被存储在远离计算资产104的数据结构(未示出)内。在一些情况下,健康检查风险评估系统102可被预编程以已经知道规定控制器108和/或可电子地接收规定控制器108作为来自操作者的输入。在任何情况下,健康检查风险评估系统102可以知道状态106和规定控制108两者。
62.在各个实施例中,健康检查风险评估系统102可以包括基线组件114。在各个方面,基线组件114可基于状态106和/或规定控制108来生成基线健康检查风险分数。在各个方面,基线组件114可以实现任何合适的风险量化技术来生成基线健康检查风险评分,诸如ccss技术(例如,包括攻击向量、访问复杂度、认证度量、机密性影响、完整性影响、和/或可用性影响)。然而,如上所述,这样的风险量化技术可能是次优的,因为它们可能不能考虑不同细节,例如不合规性的大小、计算资产104的关键度和/或规定控制108和相应的推荐控制(例如,行业标准和/或最佳实践)之间的偏差。健康检查风险评估系统102可通过根据弱点因数、环境因数、关键性因数和/或成熟度因数在数学上调整基线健康检查风险分数来解决这些问题。
63.在各个实施例中,健康检查风险评估系统102可以包括弱点化组件116。在各个方面,弱点化组件116可以生成和/或计算弱点因数,该弱点因数可以基于状态106违反所规定控制108的幅度。例如,假设状态106是口令年龄并且规定控制108是最大可接受口令年龄。如果状态106仅略微不符合规定控制108(例如,如果状态106是91天并且规定控制108是90天),则弱点因数可以在数值上较小(例如,与状态106和规定控制108之间的百分比差成比例和/或以其他方式作为百分比差的函数),这可以指示低安全风险。另一方面,如果状态106严重地不符合规定控制108(例如,如果状态106是150天并且规定控制108是90天),则弱点因数可以在数值上较大(例如,与状态106和规定控制108之间的百分比差异成比例),这可以指示高安全风险。如本文进一步解释的,弱点组件116在一些情况下可以经由机器学习技术来生成弱点因数。
64.在各个实施例中,健康检查风险评估系统102可包括环境组件118。在各个方面,环境组件118可以生成和/或计算环境因数,该环境因数可以基于由计算资产104实现的内置安全机制。例如,如果计算资产104实施有效和/或严格的安全/隐私机制(例如,数据掩蔽/加密,甚至对于签入实体,异常行为的自动拦截,诸如在最大数量的签入尝试之后锁定计算资产104,仅内部可访问性),环境因数可在数值上较小(例如,指示计算资产104是抵抗利用的硬化目标,尽管未能遵守规定控制108)。另一方面,如果计算资产104实施无效和/或非严格的安全/隐私机制(例如,签署实体的自动数据发现/分类,仅仅通知异常行为、公共可访问性),环境因数可在数值上较大(例如,指示计算资产104是不非常抵抗利用的软化目标,这增强了与不遵守规定控制108相关联的安全风险)。如本文中进一步解释的,在一些情况下,环境组件118可以经由机器学习技术来生成环境因数。
65.在各个实施例中,健康检查风险评估系统102可包括关键度组件120。在各个方面,关键性组件120可产生和/或计算关键性因数,这可基于计算资产104的重要性级别。假设计算资产104是由金融机构采用的软件应用程序,且电子地促进商业股票的实际购买和/或销售。因为这样的软件应用对于金融机构的目的/目标/活动是关键的,所以关键性因数在价值上可能很大(例如,因为软件应用对于金融机构是如此重要,不符合规定控制108可能会造成特别高的安全风险)。另一方面,假设计算资产104是由金融机构雇用并显示广告材料的网站。由于这样的网站对于金融机构的目的/目标/活动不是关键的,关键性因数在值上可以是小的(例如,因为网站对于金融机构不是如此重要,所以对所规定控制108的不顺从可能不是特别关心的)。如本文更多解释的,在一些情况下,关键性组件120可经由机器学习技术来生成关键性因数。
66.在各个实施例中,健康检查风险评估系统102可包括成熟度组件122。在各个方面,成熟度组件122可以生成和/或计算成熟度因数,该成熟度因数可以基于规定控制108和推荐的控制(例如,最佳实践和/或工业标准)之间的差异和/或偏差。例如,假设规定控制108指定90天的最大可接受口令年龄,并且推荐控制指定60天的最大可接受口令年龄。在这种情况下,规定控制108比推荐的控制更松弛和/或更不严格。因此,即使状态106符合规定控制108,状态106仍可造成显著的安全风险。例如,如果状态106是80天的实际口令年龄,则状态106满足指定90天的最大可接受口令年龄的规定控制108,然而,因为规定控制108与指定60天的最大可接受口令年龄的推荐控制不一致,所以状态106在客观上是不安全的。
67.在不同情况下,健康检查风险评估系统102可包括调整组件124。在各个方面,调整组件124可使用弱点因数、环境因数、关键性因数、和/或成熟度因数来数学地调整基线健康检查风险分数,从而产生比基线健康检查风险分数更准确的经调整的健康检查风险分数。
68.图2示出了根据本文所述的一个或多个实施例的示例非限制性系统200的框图,该系统200包括可促进对计算资产的自动健康检查风险评估的基线健康检查风险评分。如图所示,在一些情况下,系统200可以包括与系统100相同的组件,并且还可以包括基线健康检查风险评分202。
69.如上所解释的,基线组件114可经由任何合适的健康检查风险评估技术(例如,ccss技术)基于状态106和/或规定控制108来生成和/或计算基线健康检查风险分数202。在各个方面,如上所述,基线健康检查风险分数202可以量化与状态106对规定控制108的不顺应性相关联的风险水平(例如,基线健康检查风险分数202的较高值可以指示较高风险水平)。然而,基线健康检查风险评分202可以是次优的和/或不是完全准确的,至少因为ccss技术未能考虑不符合性(例如,不符合性)的幅度。它们二元地考虑状态106是否违反规定控制108,而不考虑违反的严重性和/或数量),ccss技术不能解释计算资产104的重要性级别(例如,如果它们违反相同的规定控制,则他们认为两个不同的计算资产造成相等的风险水平,而不管每个资产有多重要),并且ccss技术不能解释规定控制108和推荐控制(例如,每个资产有多重要)之间的差异。即使规定控制108明显比行业标准更不严格,它们也在面部值处取得规定控制108)。如本文所解释的,健康检查风险评估系统102可调整基线健康检查风险分数202以解决这些缺点。
70.图3示出根据本文描述的一个或多个实施例的包括可促进计算资产的自动健康检查风险评估的弱点因数的示例非限制性系统300的框图。如图所示,在一些情况下,系统300可以包括与系统200相同的组件,并且可以进一步包括机器学习分类器302和弱点因数304。
71.在各个实施例中,机器学习分类器302可以是任何合适的计算机实现的人工智能算法,其可被训练成接收关于规定控制108的输入信息并生成规定控制108所属的弱点类别作为输出。也就是说,机器学习分类器302可以确定规定控制108是否属于被动弱点(例如,可以将规定控制108标注为被动控制)、直接主动弱点(例如,可以将规定控制108标注为直接主动控制)、或间接主动弱点(例如,可以将规定控制108标注为间接主动控制),尽管在图中未示出,但是在一些方面,弱点组件116可以从任何适当的电子可访问的数据源电子地接收和/或检索一个或多个控制文档作为输入。在不同情况下,一个或多个控制文档可以是描述和/或表征规定控制108的属性、目的和/或细节的技术文档(例如,github文档、设计/开发文档)。在各个方面,一个或多个控制文档可以用任何合适的自然语言(例如,任何合适的
人类可读文本)来编写。在不同示例中,弱点组件116可以通过任何合适的技术(诸如字嵌入和/或语言建模)来生成如本文所描述的一个或多个控制文档的数字表示。在不同情况下,机器学习分类器302可以被训练成接收描述规定控制108的一个或多个控制文档的数字表示作为输入(例如,该数字表示可以被认为是输入的特征向量),并且确定规定控制108所属的弱点类别作为输出。在各个方面,弱点组件116然后可以基于由机器学习分类器302确定的弱点类别来生成弱点因数304。
72.图4示出了根据本文所述的一个或多个实施例的与弱点因数相关联的示例性、非限制性表格400。换言之,表格400示出了对机器学习分类器302可以被训练来标记规定控制108的各个、非限制性的弱点类别的简要描述。如图所示,规定控制108可被分类为属于被动弱点或主动弱点。在不同情况下,如果未能遵守规定控制108存在使攻击者能够阻止计算资产104执行授权动作(诸如阻止特定组件和/或软件应用的执行或阻止审计日志记录的生成)的风险,则规定控制108可涉及被动弱点。在各个方面,如果不遵守规定控制108,则规定控制108可涉及活跃的弱点,从而存在使攻击者能够执行未经授权的动作(诸如访问、复制和/或编辑敏感数据)的风险。此外,在一些情况下,主动弱点可进一步分成直接主动弱点和间接主动弱点。在各种情况下,如果规定控制108属于活跃弱点并且如果已知已经存在所规定控制108的利用,则规定控制108可涉及直接活跃弱点。另一方面,如果规定控制108属于活动的弱点并且如果不知道已经存在所规定控制108的利用,则规定控制108可以属于间接活动的弱点。本领域普通技术人员将理解,被动弱点、直接主动弱点和间接主动弱点基于由国家标准和技术研究所建立的公共配置评分系统。在各个方面,可以实施任何其他合适的弱点类别和/或子类别。
73.机器学习分类器302可以接收描述/表征所规定控件108的技术文档的如本文所描述的数值表示作为输入,并且可以确定属于所规定控件108的弱点类别作为输出(例如,可以确定所规定控件108是否属于被动弱点、直接主动弱点或间接主动弱点)。在各个方面,弱点组件116可以基于所确定的弱点类别来生成和/或计算弱点因数302。例如,如果机器学习分类器302确定规定控制108属于被动弱点,则弱点组件116可以确定状态106遵守规定控制108的失败不是特别严重(例如,被动弱点可以被视为不是特别严重,因为它们不与未经授权的动作的执行相关联;相反,被动弱点与授权动作的预防相关联,并且在本领域中公认的是,未授权动作的执行是比授权动作的预防更坏的威胁)。因此,弱点因数304可被设置为相当低的值(例如,如图4中所示的0)。相反,如果机器学习分类器302确定规定控制108属于直接活动的弱点,则弱点组件116可以确定状态106未能遵守规定控制108是特别严重的(例如,直接活动的弱点可被认为是特别严重的,因为已经存在已知的利用)。因此,弱点因数304可被设置为相当高的值(例如,如图4中所示的3)。在不同情况下,如果机器学习分类器302确定规定控制108属于间接活动的弱点,则弱点组件116可以确定状态106未能遵守规定控制108取决于不符合的幅度(例如,间接活动的弱点可以被认为取决于不符合的严重性而不变严重,因为它们与未授权动作的执行相关联,但是尚未存在已知的利用)。因此,弱点因数304可以是状态106和所规定控制108之间的差(例如,百分比差和/或绝对差)的函数。在不同情况下,当规定控制108属于间接的主动弱点时,弱点因数304的值可在下面由为被动弱点设置的值来界定,并且可在上面由为直接主动弱点设置的值来界定。例如,如果状态106符合规定控制108,则弱点化因数304可以是0;如果状态106违反规定控制108第一预定
余量/百分比(例如,如果状态106是50%太高/太低),则弱点因数304可以是相应更高的值(例如,1),如果状态106以比第一预定裕度/百分比(例如,1)更大的第二预定裕度/百分比违反规定控制108。如果状态106是75%太高/太低),则弱点因数304可以是甚至更高的值(例如,2)。在任何情况下,当规定控制108属于间接活动的弱点时,弱点因数304可以是状态106和规定控制108之间的差的任何合适的函数。如上所述,传统的健康检查风险评估技术忽略了这样的差异。
74.在各个方面,可以使用任何合适的训练技术(例如,受监督学习、无监督学习、强化学习)来训练机器学习分类器302。此外,在一些情况下,机器学习分类器302可以经历主动学习。也就是说,在各个实施例中,弱点组件116可以从任何合适的操作者(未示出)接收关于由机器学习分类器302生成的输出的弱点类别分类的实时反馈。在各个方面,可以基于这种反馈来更新和/或重新训练机器学习分类器302的参数(例如,经由反向传播)。
75.为了促进本发明的各个实施例的上述机器学习方面中的一些,考虑人工智能的以下讨论。本发明的不同实施例在此可以采用人工智能(ai)来促进使本发明的一个或多个特征自动化。组件可以采用不同基于al的方案来执行本文公开的不同实施例/示例。为了提供或帮助本发明的多种确定(例如,确定、确定、推断、计算、预测、预测、估计、导出、预测、检测、计算),本发明的组件可以检查其被授权访问的数据的全部或子集,并且可以根据经由事件和/或数据捕捉的一组观察结果来推理或确定系统和/或环境的状态。例如,确定可用于识别特定上下文或动作,或可产生状态上的概率分布。确定可以是概率性的;即,基于对数据和事件的考虑来计算感兴趣的状态上的概率分布。确定还可以指用于从一组事件和/或数据组成更高级事件的技术。
76.此类确定可以导致从一组观察到的事件和/或存储的事件数据构造新的事件或动作,无论这些事件是否在时间上紧密邻近地相关,以及这些事件和数据是来自一个还是若干个事件和数据源。本文公开的组件可以结合结合所要求保护的主题执行自动和/或确定的动作而采用不同分类(显式训练(例如,经由训练数据)以及隐式训练(例如,经由观察行为、偏好、历史信息、接收外部信息))方案和/或系统(例如,支持向量机、神经网络、专家系统、贝叶斯置信网络、模糊逻辑、数据融合引擎)。由此,分类方案和/或系统可用于自动学习和执行多个功能、动作和/或确定。
77.分类器可以将输入属性向量z=(z1,z2,z3,z4,zn)映射到该输入属于类的置信度,如通过f(z)=confidence(class)。这样的分类可以采用基于概率和/或统计的分析(例如,分解成分析效用和成本)来确定将自动执行的动作。支持向量机(svm)可以是可以采用的分类器的示例。svm通过在可能输入的空间中找到超表面来操作,其中超表面试图将触发标准与非触发事件分离。直观地,这使得分类对于接近训练数据但不与训练数据相同的测试数据是正确的。其他有向和无向模型分类方法包括例如朴素贝叶斯、贝叶斯网络、决策树、神经网络、模糊逻辑模型和/或提供不同独立模式的概率分类模型,可以采用它们中的任何一种。如本文所使用的分类也包括用于开发优先级模型的统计回归。
78.图5示出了根据本文所述的一个或多个实施例的可促进计算资产的自动健康检查风险评估的包括环境因数的示例非限制性系统500的框图。如图所示,在一些情况下,系统500可以包括与系统300相同的组件,并且可以进一步包括机器学习分类器502和环境因数504。
79.在不同实施例中,机器学习分类器502可以是任何合适的计算机实现的人工智能算法,其可被训练来接收关于计算资产104的输入信息并且生成关于计算资产104的作为输出确定。尽管未在图中示出,但是在一些方面,环境组件118可以从任何适当的电子可访问的数据源电子地接收和/或检索一个或多个资产文档作为输入。在不同情况下,一个或多个资产文档可以是描述和/或表征计算资产104的属性、目的和/或细节的技术文档(例如,github文档、设计/开发文档)。在各个方面,一个或多个资产文档能够以任何合适的自然语言(例如,任何合适的人类可读文本)来编写,并且环境组件118可以通过任何合适的技术(诸如字嵌入和/或语言建模)来生成如本文所描述的一个或多个资产文档的数字表示。在不同情况下,机器学习分类器502可以被训练成接收描述计算资产104的一个或多个资产文档的数字表示作为输入(例如,数字表示可以被认为是输入的特征向量),并且确定计算资产104采用什么内置安全机制作为输出。在不同情况下,不同上述人工智能细节可以应用于机器学习分类器502。在各个方面,环境组件118然后可以基于由机器学习分类器502检测到的安全机制来生成环境因数504。
80.图6示出了根据本文所述的一个或多个实施例的与环境因数相关联的示例非限制性表600。换言之,表600示出可由计算资产104实现并且可由机器学习分类器502检测的不同非限制性安全机制。此外,表600示出了可被分配给每个安全机制的不同非限制性权重。例如,机器学习分类器502可以确定什么类型的访问由计算资产104实现(例如,仅内部(更多保护)vs.公共可访问(较少保护)),什么类型的修改范例由计算资产104实现(例如,不可变(较多保护)vs.可变/短暂(较少保护)),什么类型的实例化范例由计算资产104实现(例如,隔离(较多保护)vs.多租户(较少保护)),服务是否仍可用于计算资产104(例如,可用(较多保护)vs.不可用(较少保护)),什么类型的数据保护协议由计算资产104实现(例如,自动发现(较少保护)vs.掩蔽/加密(更多保护)),什么类型的合规实施由计算资产104实现(例如,仅检查(更少保护)vs.补救(更多保护))和/或什么类型的异常检测由计算资产104实现(例如,仅通知(更少保护)vs.防止/拦截(更多保护))。应当理解的是,图6是非限制性示例,并且机器学习分类器502可以检测任何其他合适的安全机制。
81.如图所示,环境组件118可以将不同的值/权重分配给不同的安全机制,并且环境因数504可以是计算资产104实现的不同安全机制的值/权重的任何合适的函数(例如,最大值、平均值)。例如,如果计算资产104仅在内部可访问(0.2)、可变/短暂(0.6)且仅提供通知(0.8),则环境因数504可最大为0.2、0.6和0.8,即0.8。在另一实施例中,环境因数504可以是0.2、0.6和0.8的平均值。
82.图7示出根据本文描述的一个或多个实施例的包括可促进计算资产的自动健康检查风险评估的关键性因数的示例非限制性系统700的框图。如图所示,在一些情况下,系统700可包括与系统500相同的组件,并且还可包括机器学习分类器702和关键性因数704。
83.在不同实施例中,机器学习分类器702可以是可被训练来接收关于计算资产104的输入信息并且生成关于计算资产104的作为输出确定的任何合适的计算机实现的人工智能算法。尽管未在图中示出,但在一些方面,关键度组件120可从任何合适的可电子访问的数据源电子地接收和/或检索一个或多个文档作为输入。在不同情况下,一个或多个文档可描述和/或表征计算资产104和/或拥有/操作计算资产104的实体的属性、目的、目标和/或细节(例如,广告、任务陈述、商业计划/演示)。在各个方面,一个或多个文档可用任何合适的
自然语言(例如,任何合适的人类可读文本)来编写,并且关键度组件120可通过任何合适的技术(诸如字嵌入和/或语言建模)来生成如本文描述的一个或多个文档的数字表示。在不同情况下,机器学习分类器702可以被训练成接收描述计算资产104和拥有/操作计算资产104的实体的一个或多个文档的数字表示作为输入(例如,数字表示可以被认为是输入的特征向量),并且确定计算资产104对拥有/操作计算资产104的实体的目标/目的/活动的重要程度作为输出。在不同实例中,计算资产104的重要性级别可以基于与计算资产104相关联的整个应用集群(例如,服务器的重要性可以不仅基于服务器本身,而且还基于在服务器上运行的任何应用和/或基于由服务器存储、维护、检索、编辑和/或以其他方式交互的任何数据)。在不同情况下,不同上述人工智能细节可以应用于机器学习分类器702。在各个方面,关键性组件120然后可以基于由机器学习分类器702所确定的重要性级别来产生关键性因数704。
84.例如,如果机器学习分类器702确定计算资产104对拥有/操作计算资产104的实体的目标/目的/活动不是非常重要的,那么关键度组件704的价值可能较低(例如,银行机构可利用用于广告目的的网站;因为网站对银行机构的目标/目的/活动并不重要,所以网站的关键性因数704可为0)。如果机器学习分类器702确定计算资产104对拥有/操作计算资产104的实体的目标/目的/活动是重要的,那么关键度组件704的价值可以是适中的(例如,银行机构可利用用于存储敏感客户端信息的数据库;因为数据库对于银行机构的目标/目的/活动是重要的,所以数据库的关键性因数704可以是1.3)。如果机器学习分类器702确定计算资产104对拥有/操作计算资产104的实体的目标/目的/活动非常重要,那么关键度组件704的价值可较高(例如,银行机构可利用用于将资金电子地转移到客户端账户中和/或从客户端账户转移出资金的软件应用程序;因为软件应用对于银行机构的目标/目的/活动非常重要,所以软件应用的关键性因数704可以是4.3)。在各个方面,可实现任何合适数量的关键度级别/等级(例如,非关键、关键、超关键和/或任何其他中间级别)。在一些实施例中,拥有/操作计算资产104的实体可根据需要手动配置关键性因数704。如上所述,常规健康检查风险评估技术忽略计算资产的重要性级别。
85.图8示出了根据本文描述的一个或多个实施例的包括可以促进计算资产的自动健康检查风险评估的成熟度因数的示例非限制性系统800的框图。如图所示,在一些情况下,系统800可以包括与系统700相同的组件,并且还可以包括成熟度因数802。
86.尽管未在图中示出,但在各实施例中,成熟度组件122可从任何合适的可电子访问的数据源电子地接收和/或检索与所规定控制108相对应的推荐控制。在各个方面,如上所述,规定控制108可被视为由拥有/操作应由状态106遵守的计算资产104的实体建立的规则、规章、标准和/或基准。然而,在各种情况下,推荐控制可以是在相关行业中实施的最佳实践,并且规定控制108可能与推荐控制不匹配和/或不一致。因此,在一些情况下,状态106可以符合规定控制108,并且仍然呈现严重的安全威胁,因为规定控制108可以比推荐的控制更松弛和/或更不严格。例如,假设规定控制108指定60天的最大可接受口令年龄,并且推荐控制指定30天的最大可接受口令年龄。如果状态106是50天的实际口令年龄,则状态106可被认为符合规定控制108,然而状态106可能是显著的安全威胁,因为它不符合推荐的控制(例如,因为规定的状态108比推荐的控制更不严格和/或更不安全)。在各个方面,成熟度因数802的值因此可以是规定控制108和推荐的对照之间的差异和/或偏差的任何合适的函
数(例如,可以与百分比差异和/或绝对差异成比例)。如上所述,传统的健康检查风险评估技术忽略了这样的差异/偏差。
87.在一些情况下,如下面进一步解释的,计算资产104可以由许多不同的规定控制支配和/或受到许多不同的规定控制。在这种情况下,成熟度因数802可以基于这些不同的规定控制和它们相应的最佳实践值之间的平均差异和/或平均偏差。如果平均差/偏差大于第一预定阈值,则成熟度因数802可以采用第一值。如果平均差/偏差大于第二预定阈值,则成熟度因数802可以采用第二值。可以实施任何合适数量的预定阈值和/或值。
88.图9示出根据本文描述的一个或多个实施例的包括可促进计算资产的自动健康检查风险评估的调整组件的示例非限制性系统900的框图。如图所示,在一些情况下,系统900可以包括与系统800相同的组件,并且还可以包括调整组件124。
89.在不同实施例中,调整组件124可基于弱点因数304、环境因数504、关键性因数704和/或成熟度因数802来调整基线健康检查风险分数202。具体而言,调整组件124可将基线健康检查风险分数202乘以环境因数504,从而产生第一乘积。在各个方面中,调整组件124可以将弱点因数304添加到第一乘积,从而产生第一总和。在不同情况下,调整组件124可将第一和与关键性组件704相乘,从而产生第二乘积。在不同情况下,调整组件124可将第二乘积乘以成熟度组件802,从而产生经调整的健康检查风险评分902。换言之,调整的健康检查风险评分902可由下式给出:
90.ars=(brs*ef wf)*cf*mf
91.其中ars表示调整的健康检查风险评分902,其中brs表示基线健康检查风险评分202,其中ef表示环境因数504,其中wf表示弱点因数304,其中cf表示关键性因数704,并且其中mf表示成熟度因数802。在各个方面,示出ars如何可以是brs、ef、wf、cf和mf的函数的以上等式是可用于生成经调整的健康检查风险评分902的等式的非限制性示例,但是其他等式是可能的。例如,经调整的健康检查风险评分902可以是弱点因数304、环境因数504、关键性因数704和/或成熟度因数802的任何其他合适的数学函数(例如,ef可以被添加而不是相乘,wf可以被相乘而不是相加,cf可以被相加而不是相乘,mf可以被相加而不是相乘)。也就是说,在不同实施例中,任何其他适当的方程和/或数学运算可以以任何适当的置换和/或组合被应用于brs、ef、wf、cf和mf,以便生成ars。在不同情况下,经调整的健康检查风险评分902可更准确地量化与状态106不符合规定控制108相关联的风险水平,因为经调整的健康检查风险评分902考虑不符合的严重性/量值(例如,弱点因数304)、计算资产104的内置安全机制(例如,环境因数504)、计算资产104的重要性(例如,关键性因数704)和/或规定控制108与最佳实践之间的差异(例如,成熟度因数802)。
92.在各个实施例中,健康检查风险评估系统102可基于经调整的健康检查风险评分902来执行任何合适的动作。例如,健康检查风险评估系统102可以基于调整的健康检查风险评分902在计算机监视器/屏幕上生成、传输和/或显示电子警告/警报(例如,如果调整的健康检查风险评分902高于预定阈值,则可以生成和/或显示合适的警告/警报)。在一些情况下,健康检查风险评估系统102可基于调整的健康检查风险评分902来自动调度、请求和/或获得对计算资产104的服务/维护(例如,如果调整的健康检查风险评分902超过预定阈值,健康检查风险评估系统102可自动电子地联系服务/维护实体)。
93.图10示出了根据本文描述的一个或多个实施例的示例、非限制性系统1000的框
图,该系统1000包括可以促进对计算资产的自动健康检查风险评估的聚合组件。如图所示,系统1000在一些情况下可包括与系统900相同的组件,并且还可包括聚集组件1002。
94.迄今为止的以上描述主要解释了健康检查风险评估系统102可如何基于所规定控制108为计算资产104生成经调整的健康检查风险评分902。然而,在不同实施例中,计算资产104可以由多个规定控制(在图11中示出)管理。在这样的情况下,健康检查风险评估系统102可以为支配计算资产104的多个规定控制中的每产生/计算单独的调整的健康检查风险评分,并且聚集组件1002可以经由任何合适的技术(例如,经由加权平均函数、经由最大函数)将这样的调整的健康检查风险评分聚合在一起,从而产生用于计算资产104的聚合的健康检查风险评分。此外,在一些情况下,健康检查风险评估系统102可电子地耦合到多个计算资产(在图11中示出)。在各个方面,健康检查风险评估系统102可针对多个计算资产中的每计算单独的经聚集的健康检查风险评分,并且聚集组件1002可经由任何合适的技术(例如,经由加权平均函数和/或最大函数)将此类经聚集的健康检查风险评分聚集在一起。
95.图11示出根据本文描述的一个或多个实施例的示例、非限制性计算资产层级1100的框图。如图所示,计算账户1102可包括多个计算组1104。此外,在一些情况下,多个计算组1104可包括多个计算资产1106,其可受多个规定控制1108支配和/或受其支配。具体地,多个计算组1104可包括任何合适数量n的计算组1至计算组n。此外,如图所示,计算组1本身可对应于多个计算资产(例如,对于任何适当数量m,计算资产1_1到计算资产1_m)。类似地,计算组n可对应于多个计算资产(例如,对于任何适当数量m,计算资产n_1到计算资产n_m)。尽管计算组1和计算组n被描绘为具有相同数量的计算资产,但是这是非限制性示例。在各种情况下,它们可具有不同数量的计算资产。在各个方面,计算资产1_1可以受多个规定控制(例如,控制1_1_1到控制1_1_p,对于任何适当数量p)支配和/或受其支配。类似地,计算资产n_m可受多个规定控制(例如,控制n_m_1以控制n_m_p,对于任何适当数量p)支配和/或受其支配。虽然计算资产1_1和计算资产n_m被描绘为受制于相同数量的规定控制,但是这是非限制性示例。在各种情况下,它们可受到不同数量的规定控制。
96.如上所述,健康检查风险评估系统102可以为多个规定控制1108中的每生成经调整的健康检查风险分数(例如,可以为每个规定控制计算基线健康检查风险分数,用于每个规定控制的弱点因数、用于每个规定控制的环境因数、用于每个规定控制的关键性因数、和/或用于每个规定控制的成熟度因数,并且可以通过调整组件124将这些组合在一起,以针对每个规定控制计算调整后的健康检查风险分数,从而产生总共n*m*p个调整后的健康检查风险分数)。在不同实例中,对于多个计算资产1106中的每一个,聚集组件1002可将与该计算资产(例如,与该计算资产有关的所有经调整的健康检查风险分数)聚集在一起。经由加权平均值和/或最大函数)以形成用于计算资产的聚合的资产健康检查风险评分(例如,能够聚合与计算资产1_1有关的调整的健康检查风险评分以生成用于计算资产1_1的聚合资产健康检查风险评分,能够聚合属于计算资产1_m的经调整的健康检查风险分数,以生成用于计算资产1_m的聚合的资产健康检查风险分数,能够聚合关于计算资产n_1的调整的健康检查风险分数,以生成用于计算资产n_1的聚合的资产健康检查风险分数,并且能够聚合关于计算资产n_m的调整后的健康检查风险分数,以生成用于计算资产n_m的聚合的资产健康检查风险分数,从而产生总共n*m个聚合的资产健康检查风险评分)。在不同实施例中,对于多个计算组1104中的每一个,聚集组件1002可以将与该计算组(例如,一个或多个
计算组)有关的所有聚合的资产健康检查风险评分聚合在一起。经由加权平均值和/或最大函数)以形成计算组的聚合的组健康检查风险评分(例如,可以聚合属于计算组1的聚合的资产健康检查风险评分以生成计算组1的聚合的组健康检查风险评分,并且可以聚合属于计算组n的聚合的资产健康检查风险评分以生成用于计算组n的聚合的组健康检查风险评分,从而产生总共n个聚合的组健康检查风险评分)。最后,在各个方面,聚集组件1002可以将所有聚合的组健康检查风险分数聚合在一起(例如,经由加权平均值和/或最大函数)以生成聚合的账户健康检查风险分数。以这种方式,可以在任何合适的粒度水平(例如,对于每个规定控制、对于每个计算资产、对于每个计算组和/或对于每个计算账户)生成准确的健康检查风险评分。因此,健康检查风险评估系统102可以使得操作者更容易准确地对不同非兼容控制、不同计算资产、不同计算组、和/或不同计算账户进行分类,这构成了计算机的有用和实际应用。换言之,计算资产的管理、服务和/或维护可根据经调整和/或聚集的健康检查风险评分来优先化(例如,具有较高健康检查风险评分的计算资产/组/账户可被认为是更紧迫的并且因此可首先被服务,而具有较低健康检查风险评分的计算资产/组/账户可被认为是较不紧迫的并且因此可稍后被服务)。
97.尽管以上讨论提到加权平均值和/或最大函数可以用于将健康检查风险分数聚合到更高级别(例如,将计算资产聚合到计算组,将计算组聚合到计算账户),但是这是非限制性示例。在各个方面,可以实现任何其他合适的聚合算法。例如,计算组的总风险可以通过计算高风险计算资产的数量来确定(例如,如果计算资产的聚合资产健康检查风险分数超过高阈值,则计算资产可以是高风险的),对中风险计算资产的数量进行计数(例如,如果计算资产的聚合资产健康检查风险分数超过中阈值,则计算资产可以是中风险的),和/或对低风险计算资产的数量进行计数(例如,在计算组中,如果计算资产的聚合资产健康检查风险分数超过低阈值),则计算资产可以是低风险的。例如,如果计算组具有超过1%的高风险计算资产或超过20%的中风险计算资产,则计算组可被认为是高风险;如果计算组具有小于1%的高风险计算资产、小于20%的中风险计算资产、或大于50%的低风险计算资产,则计算组可被认为是中风险;否则,计算组可以被认为是低风险。
98.图12示出了根据本文描述的一个或多个实施例的可促进计算资产的自动健康检查风险评估的示例、非限制性计算机实现的方法1200的流程图。要注意的是,在图12中执行的动作是非限制性实例,并且可以任何合适的顺序(例如,不限于在图12中所示的顺序)执行。
99.在各实施例中,动作1202可以包括通过操作耦合到处理器(例如,114)的设备生成计算资产(例如,104)的与规定控制(例如,108)的不合规相对应的基线健康检查风险评分(例如,202)。
100.在不同情况下,动作1204可以包括由设备(例如,116)基于规定控制的弱点因数(例如,304)来调整基线健康检查风险评分,其中弱点因数可以基于计算资产的状态(例如,106)偏离规定控制的大小。
101.在各个方面,动作1206可包括由设备(例如,118)基于计算资产的环境因数(例如,504)来调整基线健康检查风险分数,其中环境因数可基于与计算资产相关联的安全机制或安全协议。
102.在不同情况下,动作1208可包括由装置(例如,120)基于计算资产的关键性因数
(例如,704)调整基线健康检查风险分数,其中关键性因数可基于计算资产的重要性级别。
103.在不同情况下,动作1210可以包括由设备(例如,122)基于计算资产的成熟度因数(例如,802)来调整基线健康检查风险评分,其中成熟度因数可以基于规定控制和推荐控制之间的差异。
104.应当理解,本文所公开的数值、百分比和/或阈值是非限制性示例。在各个方面,可以实现任何其他合适的值、百分比和/或阈值。
105.虽然本文的描述解释了人工智能范例可以用于产生/计算弱点因数304、环境因数504、关键性因数704和/或成熟度因数802,但是这是非限制性示例。在各个方面,这样的因数可以经由任何合适的技术来生成/计算,无论是否实现机器学习。
106.以上讨论中的许多使用口令年龄和/或口令长度作为示例来阐明以上教导。这些实例应理解为非限制性的。在不同情况下,此处的教导可以应用于计算资产的任何合适的状态、特性和/或技术属性。
107.本发明的各个实施例构成计算机化诊断工具,该计算机化诊断工具可监视一个或多个计算资产与一个或多个规定控制的合规性和/或不合规性,并且可相应地生成/计算对与这样的合规性和/或不合规性相关联的安全风险进行量化的经调整的健康检查风险分数。这可以允许操作实体优先考虑哪些非兼容的问题/资产首先服务(例如,分流)。此外,如上文所解释的,如本文中所描述的经调整的健康检查风险分数可比常规已知的基线健康检查风险分数更准确,因为本发明的各个实施例可考虑非顺从性的大小、资产关键度和/或控制成熟度。
108.为了对在此所描述的不同实施例提供附加背景,图13和以下讨论旨在提供其中可以实施在此所描述的实施例的不同实施例的适合的计算环境1300的简要概括描述。虽然上文已经在可以在一个或多个计算机上运行的计算机可执行指令的一般上下文中描述了实施例,但是本领域技术人员将认识到,实施例也可以结合其他程序模块和/或作为硬件和软件的组合来实现。
109.通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构等。此外,本领域的技术人员将认识到,本发明的方法可以用其他计算机系统配置来实践,包括单处理器或多处理器计算机系统、小型计算机、大型计算机、物联网(iot)设备、分布式计算系统、以及个人计算机、手持式计算设备、基于微处理器或可编程消费电子产品等,其中的每一个可以可操作地耦合到一个或多个相关联的设备。
110.本文实施例的所示实施例也可在分布式计算环境中实现,其中某些任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备两者中。
111.计算设备通常包括各种介质,其可以包括计算机可读存储介质、机器可读存储介质和/或通信介质,这两个术语在本文中如下彼此不同地使用。计算机可读存储介质或机器可读存储介质可以是可由计算机访问的任何可用存储介质,并且包括易失性和非易失性介质、可移动和不可移动介质。作为示例而非限制,可以结合用于存储诸如计算机可读或机器可读指令、程序模块、结构化数据或非结构化数据之类的信息的任何方法或技术来实现计算机可读存储介质或机器可读存储介质。
112.计算机可读存储介质可以包括但不限于:随机存取存储器(ram)、只读存储器
(rom)、电可擦除可编程只读存储器(eeprom)、闪存或其他存储器技术、致密盘只读存储器(cdrom)、数字通用盘(dvd)、蓝光盘(bd)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁存储设备、固态驱动器或其他固态存储设备、或可以用于存储所需信息的其他有形的和/或非瞬态媒质。就这一点而言,在此应用于存储、存储器或计算机可读介质的术语
″
有形的
″
或
″
非瞬态的
″
应理解为仅排除传播瞬态信号本身作为修饰语,并且不放弃对不仅传播瞬态信号本身的所有标准存储、存储器或计算机可读介质的权利。
113.计算机可读存储介质可由一个或多个本地或远程计算设备访问,例如经由访问请求、查询或其他数据检索协议,用于相对于媒质所存储的信息的各种操作。
114.通信介质通常将计算机可读指令、数据结构、程序模块或其他结构化或非结构化数据具体化为诸如经调制数据信号(例如,载波或其他传输机制)之类的数据信号,并且包括任何信息递送或传输介质。术语
″
调制数据信号
″
是指以对一个或多个信号中的信息进行编码的方式设定或改变其一个或多个特征的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、rf、红外和其他无线介质。
115.再次参考图13,用于实施本文所描述的方面的各种实施方式的示例性环境1300包括计算机1302,计算机1302包括处理单元1304、系统存储器1306以及系统总线1308。系统总线1308将包括但不限于系统存储器1306的系统组件耦合至处理单元1304。处理单元1304可以是不同商业上可获得的处理器中的任何处理器。双微处理器和其他多处理器架构也可以被用作处理单元1304。
116.系统总线1308可以是能够使用各种可商购的总线架构中的任一种进一步互连到存储器总线(具有或不具有存储器控制器)、外围总线、和局部总线的若干类型的总线结构中的任一种。系统存储器1306包括rom 1310和ram 1312。基本输入/输出系统(blos)可以存储在诸如rom、可擦可编程只读存储器(eprom)、eeprom的非易失性存储器中,bios包含诸如在启动期间帮助在计算机1302内的元件之间传输信息的基本例程。ram 1312还可包括高速ram(诸如用于高速缓存数据的静态ram)。
117.计算机1302进一步包括内部硬盘驱动器(hdd)1314(例如,eide、sata)、一个或多个外部存储设备1316(例如,磁软盘驱动器(fdd)1316、记忆棒或闪存驱动器读取器、存储卡读取器等)以及驱动器1320(例如,诸如固态驱动器、光盘驱动器,其可从诸如cd-rom盘、dvd、bd等的盘1322读取或写入)。可替代地,在涉及固态驱动器的情况下,除非是单独的,否则将不会包括磁盘1322。虽然内部hdd1314被图示为位于计算机1302内,但是内部hdd1314也可以配置为在合适的机箱(未示出)中外部使用。另外,尽管未在环境1300中示出,但固态驱动器(ssd)可被用作hdd1314的补充或替换。hdd1314、外部存储设备1316和驱动器1320可以分别通过hdd接口1324、外部存储接口1326和驱动器接口1328连接到系统总线1308。用于外部驱动器实现的接口1324可以包括通用串行总线(usb)和电气与电子工程师协会(ieee)1394接口技术中的至少一个或两者。其他外部驱动器连接技术在本文描述的实施例的预期内。
118.驱动器及其相关联的计算机可读存储介质提供数据、数据结构、计算机可执行指令等的非易失性存储。对于计算机1302,驱动器和存储介质容纳以合适的数字格式存储任何数据。尽管以上对计算机可读存储介质的描述涉及相应类型的存储设备,但本领域技术人员应当理解,可由计算机读取的其他类型的存储介质(不管是当前存在的还是将来开发
的)也可用于示例操作环境中,并且进一步地,任何这样的存储介质可包含用于执行本文所描述的方法的计算机可执行指令。
119.多个程序模块可存储在驱动器和ram1312中,包括操作系统1330、一个或多个应用程序1332、其他程序模块1334和程序数据1336。所有或部分操作系统、应用程序、模块和/或数据也可缓存在ram1312中。本文所述的系统和方法可利用不同市售操作系统或操作系统的组合来实现。
120.计算机1302可以可选地包括仿真技术。例如,管理程序(未示出)或其他中介可以模拟用于操作系统1330的硬件环境,并且模拟的硬件可以可选地与图13中示出的硬件不同。在这种实施例中,操作系统1330可以包括托管在计算机1302处的多个vm中的一个虚拟机(vm)。此外,操作系统1330可以为应用1332提供运行时环境,如java运行时环境或.net框架。运行时环境是允许应用1332在包括运行时环境的任何操作系统上运行的一致执行环境。类似地,操作系统1330可以支持容器,并且应用1332可以呈容器的形式,这些容器是轻量的、独立的、可执行的软件包,这些软件包包括例如代码、运行时、系统工具、系统库和用于应用的设置。
121.进一步,计算机1302可以启用安全模块,例如可信处理模块(tpm)。例如,对于tpm,在加载下引导组件之前,引导组件在时间上散列下引导组件,并且等待结果与安全值的匹配。此过程可在计算机1302的代码执行栈中的任何层进行,例如在应用执行级或在操作系统(os)内核级应用,由此实现在任何代码执行级的安全性。
122.用户可通过一个或多个有线/无线输入设备(例如,键盘1338、触摸屏1340、以及诸如鼠标1342之类的定点设备)将命令和信息输入到计算机1302中。其他输入设备(未示出)可包括话筒、红外(ir)遥控器、射频(rf)遥控器、或其他遥控器、操纵杆、虚拟现实控制器和/或虚拟现实耳机、游戏手柄、手写笔、图像输入设备(例如,相机)、姿势传感器输入设备、视觉移动传感器输入设备、情绪或面部检测设备、生物计量输入设备(例如,指纹或虹膜扫描仪)、或诸如此类。这些和其他输入设备常常通过可耦合到系统总线1308的输入设备接口1344连接到处理单元1304,但可通过其他接口连接,诸如并行端口、ieee1394串行端口、游戏端口、usb端口、ir接口、接口等。
123.监视器1346或其他类型的显示设备也可以经由诸如视频适配器1348之类的接口连接到系统总线1308。除了监视器1346之外,计算机通常包括其他外围输出设备(未示出),诸如扬声器、打印机等。
124.计算机1302可以使用经由到一个或多个远程计算机(如一个或多个远程计算机1350)的有线和/或无线通信的逻辑连接在联网环境中操作。远程计算机1350可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐设备、对等设备或其他公共网络节点,并且通常包括相对于计算机1302描述的许多或所有元件,但是为了简洁起见,仅示出了存储器/存储设备1352。所描绘的逻辑连接包括到局域网(lan)1354和/或更大的网络(例如,广域网(wan)1356)的有线/无线连接。这样的lan和wan联网环境在办公室和公司中是常见的,并且促进企业范围的计算机网络,诸如内联网,所有这些可以连接到全球通信网络,例如互联网。
125.当在lan联网环境中使用时,计算机1302可以通过有线和/或无线通信网络接口或适配器1358连接到本地网络1354。适配器1358可促进到lan1354的有线或无线通信,
lan1354还可包括部署在其上用于以无线模式与适配器1358通信的无线接入点(ap)。
126.当在wan联网环境中使用时,计算机1302可包括调制解调器1360或可经由用于在wan1356上建立通信的其他手段(诸如通过互联网)连接到wan1356上的通信服务器。调制解调器1360(可以是内部或外部的和有线或无线设备)可以经由输入设备接口1344连接至系统总线1308。在联网环境中,相对于计算机1302或其部分所描绘的程序模块可以存储在远程存储器/存储设备1352中。应当理解,所示的网络连接是示例,并且可以使用在计算机之间建立通信链路的其他装置。
127.当在lan或wan联网环境中使用时,计算机1302可访问云存储系统或其他基于网络的存储系统,作为如上所述的外部存储设备1316的补充或替换,诸如但不限于提供信息的存储或处理的一个或多个方面的网络虚拟机。通常,计算机1302与云存储系统之间的连接可以例如通过适配器1358或调制解调器1360分别通过lan1354或wan1356来建立。在将计算机1302连接到相关联的云存储系统时,外部存储接口1326可借助于适配器1358和/或调制解调器1360来管理由云存储系统提供的存储,如同其他类型的外部存储一样。例如,外部存储接口1326可以被配置为提供对云存储源的访问,如同那些源在物理上连接到计算机1302一样。
128.计算机1302可以可操作用于与可操作地置于无线通信中的任何无线设备或实体通信,例如,打印机、扫描仪、台式和/或便携式计算机、便携式数据助理、通信卫星、与无线可检测标签相关联的任何一件设备或位置(例如,自助服务终端、新闻台、商店货架等)、和电话。这可包括无线保真(wi-fi)和无线技术。由此,通信可以是如传统网络的预定义结构或至少两个设备之间的自组织通信。
129.现在参见图14,描绘了说明性云计算环境1400。如图所示,云计算环境1400包括一个或多个云计算节点1402,云消费者使用的本地计算设备(诸如例如个人数字助理(pda)或蜂窝电话1404、台式计算机1406、膝上型计算机1408和/或汽车计算机系统1410)可以与云计算节点1402通信。节点1402可彼此通信。它们可以物理地或虚拟地分组(未示出)在一个或多个网络中,诸如如上所述的私有云、社区云、公共云或混合云、或其组合。这允许云计算环境1400提供基础架构、平台和/或软件作为云消费者不需要为其维护本地计算设备上的资源的服务。应当理解,图14中所示的计算设备1404-1410的类型仅旨在是说明性的,并且计算节点1402和云计算环境1400可通过任何类型的网络和/或网络可寻址连接(例如,使用web浏览器)与任何类型的计算机化设备通信。
130.现在参见图15,示出了由云计算环境1400(图14)提供的一组功能抽象层。为了简洁起见,省略对在此描述的其他实施例中采用的相似元件的重复描述。应提前理解,图15中所示的组件、层和功能仅旨在是说明性的,并且本发明的实施例不限于此。如所描述,提供以下层和对应功能。
131.硬件和软件层1502包括硬件和软件组件。硬件组件的示例包括:主机1504;基于risc(精简指令集计算机)架构的服务器1506;服务器1508;刀片服务器1510;存储设备1512;以及网络和联网组件1514。在一些实施例中,软件部件包括网络应用服务器软件1516和数据库软件1518。
132.虚拟化层1515提供抽象层,从该抽象层可以提供虚拟实体的以下示例:虚拟服务器1522;虚拟存储器1524;虚拟网络1526,包括虚拟专用网络;虚拟应用和操作系统1528;以
及虚拟客户端1530。
133.在一个示例中,管理层1532可以提供以下描述的功能。资源供应1534提供计算资源和用于在云计算环境内执行任务的其他资源的动态采购。计量和定价1536在云计算环境内利用资源时提供成本跟踪,并为这些资源的消费开账单或发票。在一个示例中,这些资源可以包括应用软件许可证。安全性为云消费者和任务提供身份验证,以及为数据和其他资源提供保护。用户门户1538为消费者和系统管理员提供对云计算环境的访问。服务水平管理1540提供云计算资源分配和管理,使得满足所需的服务水平。服务水平协议(sla)规划和履行1542为云计算资源提供预安排和采购,根据该sla预期该云计算资源的未来要求。
134.工作负载层1544提供可以利用云计算环境的功能的示例。可以从该层提供的工作负荷和功能的示例包括:地图和导航1546;软件开发和生命周期管理1548;虚拟教室教育递送1550;数据分析处理1552;事务处理1554;以及差异化私有联合学习处理1556。本发明的各个实施例可以利用参考图14和图15描述的云计算环境来执行根据本文描述的不同实施例的一个或多个差异化私有联合学习过程。
135.本发明可以是在任何可能的技术细节集成度上的系统、方法、装置和/或计算机程序产品。计算机程序产品可包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质(或多个媒质)。计算机可读存储媒体可为可保留和存储供指令执行装置使用的指令的有形装置。计算机可读存储介质可以是,例如但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储介质的更具体示例的非穷尽列表还可以包括以下各项:便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式紧凑盘只读存储器(cd-rom)、数字通用盘(dvd)、记忆棒、软盘、诸如穿孔卡之类的机械编码设备或具有记录在其上的指令的槽中的凸出结构、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储媒体不应被解释为暂时性信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输媒体传播的电磁波(例如,穿过光纤电缆的光脉冲)或通过电线发射的电信号。
136.本文中所描述的计算机可读程序指令可以经由网络(例如,互联网、局域网、广域网和/或无线网络)从计算机可读存储介质下载到相应的计算/处理设备,或者下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种程序设计语言的任何组合编写的源代码或目标代码,这些程序设计语言包括面向对象的程序设计语言(诸如smalltalk、c 等)和过程程序设计语言(诸如
″c″
程序设计语言或类似程序设计语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可通过任何类型的网络(包括局域网(lan)或广域网(wan))连接至用户计算机,或者可连接至外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例
中,包括例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)的电子电路可以通过利用计算机可读程序指令的状态信息来使电子电路个性化来执行计算机可读程序指令,以便执行本发明的各方面。
137.下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。这些计算机可读程序指令可被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的或多个框中指定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置、和/或其他设备以特定方式工作,从而,其中存储有指令的计算机可读存储介质包括包含实现流程图和/或框图中的或多个方框中规定的功能/动作的方面的指令的制造品。也可以把计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程装置或其他设备上执行一系列操作动作,以产生计算机实现的处理,使得在计算机、其他可编程装置或其他设备上执行的指令实现在流程图和/或框图的或多个框中指定的功能/动作。
138.附图中的流程图和框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个框可表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些备选实现中,框中标注的功能可以不按照图中标注的顺序发生。例如,取决于所涉及的功能,连续示出的两个块实际上可以基本上同时执行,或者这些块有时可以以相反的顺序执行。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作或执行专用硬件与计算机指令的组合的专用的基于硬件的系统来实现。
139.虽然上文已经在运行在计算机和/或计算机上的计算机程序产品的计算机可执行指令的一般上下文中描述了主题,但本领域技术人员将认识到,本公开还可或与其他程序模块组合实现。通常,程序模块包括执行特定任务和/或实现特定抽象数据类型的例程、程序、组件、数据结构等。此外,本领域的技术人员将认识到,本发明的计算机实现的方法可以用其他计算机系统配置来实践,包括单处理器或多处理器计算机系统、小型计算设备、大型计算机、以及计算机、手持式计算设备(例如,pda、电话)、基于微处理器或可编程的消费者或工业电子产品等。所示出的方面还可以在分布式计算环境中实现,在分布式计算环境中,任务由通过通信网络链接的远程处理设备来执行。然而,本发明的一些(如果不是全部的话)方面可在独立计算机上实践。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备两者中。
140.如在本技术中所使用的,术语
″
组件
″
、
″
系统
″
、
″
平台
″
、
″
接口
″
等可以指和/或可以包括计算机相关实体或与具有一个或多个特定功能的操作机器相关的实体。本文公开的实体可以是硬件、硬件和软件的组合、软件或执行中的软件。例如,组件可以是但不限于在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。作为说明,在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程和/或执行的线程内,并且组件可以位于一个计算机上和/或分布在两个或更多个计算机之间。在
另一实例中,相应组件可从具有存储于其上的不同数据结构的不同计算机可读媒体执行。组件可以经由本地和/或远程进程通信,诸如根据具有一个或多个数据分组的信号(例如,来自与本地系统、分布式系统中的另一组件进行交互的一个组件的数据,和/或经由该信号跨诸如互联网之类的网络与其他系统进行交互的一个组件的数据)。作为另一示例,组件可以是具有由电气或电子电路操作的机械组件提供的特定功能的装置,该电气或电子电路由处理器执行的软件或固件应用操作。在这样的情况下,处理器可以在装置的内部或外部,并且可以执行软件或固件应用的至少一部分。作为又一示例,组件可以是通过没有机械组件的电子组件来提供特定功能的装置,其中电子组件可以包括处理器或用于执行至少部分地赋予电子组件的功能的软件或固件的其他装置。在一方面中,组件可经由例如云计算系统内的虚拟机来仿真电子组件。
141.此外,术语
″
或
″
旨在意指包括性的
″
或
″
而不是排他性的
″
或
″
。也就是说,除非另外指明,或从上下文清楚,
″
x采用a或b
″
旨在意指任何自然的包含性排列。即,如果x采用a;x采用b;或x采用a和b两者,则在任何前述情况下满足
″
x采用a或b
″
。此外,如主题说明书和附图中所使用的冠词
″
一个(a)
″
和
″
一种(an)
″
通常应被解释为意指
″
一个或多个
″
,除非另外说明或从上下文清楚指向单数形式。如本文所使用的,术语
″
实例
″
和/或
″
示例性
″
用于表示用作实例、例子或例证。为了避免疑问,在此披露的主题不受此类实例的限制。此外,本文中描述为
″
实例
″
和/或
″
示例性
″
的任何方面或设计不一定被解释为优于或优于其他方面或设计,也不意味着排除本领域普通技术人员已知的等效的示例性结构和技术。
142.如在本说明书中所采用的,术语
″
处理器
″
可以指基本上任何计算处理单元或装置,包括但不限于单核处理器;具有软件多线程执行能力的单处理器;多核处理器;具有软件多线程执行能力的多核处理器;具有硬件多线程技术的多核处理器;并行平台;以及具有分布式共享存储器的并行平台。另外,处理器可指代经设计以执行本文中所描述的功能的集成电路、专用集成电路(asic)、数字信号处理器(dsp)、现场可编程门阵列(fpga)、可编程逻辑控制器(plc)、复杂可编程逻辑装置(cpld)、离散门或晶体管逻辑、离散硬件组件或其任何组合。进一步,处理器可以利用纳米级架构,诸如但不限于基于分子和量子点的晶体管、开关和门,以便优化空间使用或增强用户设备的性能。处理器还可以被实现为计算处理单元的组合。在本公开中,诸如与组件的操作和功能相关的
″
存储
″
、
″
存储
″
、
″
数据存储
″
、
″
数据存储
″
、
″
数据库
″
和基本上任何其他信息存储组件的术语用于指
″
存储器组件
″
、
″
体现在
″
存储器
″
中的实体、或包括存储器的组件。应当理解,本文所描述的存储器和/或存储器组件可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为示例而非限制,非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除rom(eeprom)、闪存、或非易失性随机存取存储器(ram)(例如,铁电ram(feram))。易失性存储器可包括例如可充当外部高速缓冲存储器的ram。作为说明而非限制,ram可以以许多形式获得,诸如同步ram(sram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强sdram(esdram)、synchlinkdram(sldram)、直接rambusram(drram)、直接rambus动态ram(drdram)和rambus动态ram(rdram)。另外,本文所揭示的系统或计算机实施的方法的存储器组件既定包含(但不限于)这些和任何其他合适类型的存储器。
143.以上已经描述的内容仅包括系统和计算机实施的方法的示例。当然,为了描述本
公开的目的,不可能描述组件的每个可想象的组合或计算机实现的方法,但是本领域普通技术人员可以认识到,本公开的许多进一步的组合和置换是可能的。此外,在详细说明、权利要求、附件以及附图中使用术语
″
包括
″
(includes)、
″
具有
″
(has)、
″
拥有
″
(possesses)等的程度上,这些术语旨在以类似于术语
″
包含
″
的方式是包括性的,因为在权利要求中采用
″
包含
″
(comprising)作为过渡词时,解释
″
包含
″
。
144.已经出于说明的目的呈现了不同实施例的描述,但并不旨在是详尽的或限于所公开的实施例。在不脱离所描述的实施例的范围的情况下,许多修改和变化对于本领域普通技术人员来说是显而易见的。这里使用的术语被选择来最好地解释实施例的原理、实际应用或对在市场中找到的技术的技术改进,或者使得本领域普通技术人员能够理解这里公开的实施例。
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
