用于数据中心部件的网络安全监视系统和方法

摘要

本发明公开了一种安全监视系统，其适合于与具有服务处理器的部件一起使用。该系统可以使用被配置成与该部件通信的装置。可以使用专用于与服务处理器通信的网络，以仅发送关于部件的性能或健康的数据。该装置还可以使用至少一个子系统，其用于分析关于部件的健康或性能的数据，以确定安全威胁是否已影响部件的运行。

说明书

相关申请的交叉引用

本申请要求于2012年6月21日提交的美国临时申请第61/662,591 号的优先权。上述申请的全部内容通过引用合并到本文中。

技术领域

本公开内容涉及网络(cyber)安全系统。更具体地，本公开内容涉 及利用到存在于各种数据中心部件中的每个内的服务处理器或安全处理 器的带外网络连接的网络安全监视系统和方法。服务处理器或安全处理器 帮助检测其相关部件何时表现出异常行为，而不依赖于使用其上运行部件 的生产网络以及不依赖于部件的主处理器。

背景技术

本部分中的陈述仅提供与本公开内容有关的背景信息，并且可以不构 成现有技术。

对于政府和私营企业两者来说，网络安全是具有越来越多关注和重视 的领域。黑客变得越来越有创造力，并且甚至有时被认为是由政府和恐怖 组织资助。目前估计因对商业和政府的网络攻击导致的年度损失接近一万 亿美元。随着不断增加的频率，政府和私营企业正成为攻击的目标。通常， 在对计算机和/或其它网络或基础设施装备已经造成显著破坏之后的数月 或者甚至数年都可能不能识别攻击。

现今网络安全工具(如病毒扫描器和网络流量监视器)被设计以在设 施的生产网络(有时被称为“主”网络)上运行。像这样，它们本身有时 也是网络攻击的对象。如果攻击者危害网络或甚至单个部件，无论其是信 息技术(IT)装置还是基础设施装置(例如，空调单元、配电单元等)， 该受到危害的部件把病毒分发到与之接触的其它部件的可能性升高。作为 另一个示例，考虑被入侵的服务器。然后也可能危害存在于服务器上的、 抗病毒软件所使用的数据的源。可替选地，病毒扫描器本身可能已经被入 侵。在任一情况下，从那一刻起，就不能依赖病毒扫描器软件来给出关于 攻击的准确数据。类似地，其它常用的网络部件如路由器也可能被入侵。 并且一旦被危害，则不能够完全依赖基于路由器的网络监视(例如，IP 地址的)来产生关于潜在的网络攻击的准确数据。

发明内容

在一方面，本公开内容涉及一种安全监视系统，其适合于与具有服务 处理器的部件一起使用。该系统可以包括被配置成与部件通信的装置。可 以包括被专用于与服务处理器通信的网络，以仅发送关于部件的性能和健 康中的至少之一的数据。装置可以包括至少一个子系统，其用于分析关于 部件的健康和性能中的至少之一的数据，以确定安全威胁是否已影响部件 的运行。

在另一方面，本公开内容涉及一种安全监视系统，其适合于与第一和 第二部件一起使用，第一部件具有第一服务处理器并且第二部件具有第二 服务处理器。该系统可以包括被配置成与第一和第二部件通信的装置。可 以包括专用于与第一和第二部件中的每个的服务处理器通信的网络。该网 络可以用于将从第一和第二部件的服务处理器接收的数据发送至该装置。 该装置还可以包括至少一个子系统，其用于实时地分析数据，以确定安全 威胁是否已影响第一和第二部件中的任一个的运行。

在又一方面，本公开内容涉及用于具有服务处理器的部件的安全监视 的方法。该方法可以包括：使用被配置成与部件通信的装置。可以使用专 用于与服务处理器通信的网络，以仅发送关于部件的性能或健康的数据。 可以使用装置来分析关于部件的健康或性能的数据，以确定安全威胁是否 已影响部件的运行。

附图说明

本文所描述的附图仅用于说明的目的，并且不意在以任何方式限制本 公开内容的范围。在附图中：

图1是示出本公开内容的该网络安全监视系统的一个示例的实现的 高层框图，其中服务器中的服务处理器被连接到独立的带外网络并且通过 使用独立的监视设备而被监视，并且此外，其中通常不具有服务处理器的 各部件被改成包括新的安全处理器，该新的安全处理器也只通过带外网络 与监视设备通信；

图2是可以存在于安全处理器内的各子系统和部件的一个示例的高 层框图；以及

图3是图示网络安全监视设备的一个示例的高层框图，示出了可以用 在该设备中的各种内部子系统。

具体实施方式

以下描述本质上仅是示例性的，并且不意在限制本公开内容、应用或 使用。应当理解，在所有附图中，相应的附图标记表示相似或相应的零件 和特征。

参考图1，示出了根据本公开内容的一个实施方式的网络安全系统 1000。网络安全系统1000可以使用数据中心基础设施管理(“DCIM”) 系统1002的全部或部分。网络安全系统1000利用被称为“服务处理器” 的部件，该部件现在常用在许多现今的刀片服务器和独立服务器中。服务 处理器是与服务器中所使用的主处理器物理上分离的处理部件。服务器中 的主处理器被用于执行服务器运行功能，而服务处理器被用于监视与服务 器相关联的环境和运行状况、以及提供远程访问(例如KVM和串行控制 台端口访问)以允许管理员访问和控制服务器运行。这种运行状况可以包 括：监视服务器中使用的一个或更多个风扇的风扇速度、监视服务器的实 时电功率耗费、监视来自位于服务器内的一个或更多个温度传感器的温 度、监视关于主处理器的利用率的信息、以及与服务器运行和/或健康有 关的其它变量。重要的是，服务处理器提供对这些类型的信息的访问而不 被服务器的BIOS或运行系统约束。而且同样重要的是，不能通过到服务 器的生产网络连接，而只能通过服务器上的单独的“服务处理器”端口来 访问服务处理器。因此，在主处理器与服务处理器之间实际上存在类似于 “空气隙”的分隔。在一个欠佳的配置中，支持主处理器与服务处理器之 间的通信，但是服务处理器继续独立于主处理器执行其自己的程序编制。

进一步说明系统1000，系统1000还包括在通常不具有它们自己的服 务处理器的那些网络部件中的一个或更多个中的新的安全处理器。重要的 是，服务处理器和安全处理器两者可以被放置成经由带外管理网络与专用 的监视设备通信。通过“带外”网络，其表示进行操作以将监视和健康信 息从部件传送至专用的监视设备的独立网络。在某些系统中，在带外网络 上还运送管理和控制信息以及其它管理流量，但是重要的是，该网络与生 产或“带内”网络分离。换句话说，带外网络和生产网络彼此完全独立， 也就是说，生产网络不能被用于访问在各种服务器和其它网络部件中的服 务处理器和安全处理器。对于服务器，在服务器的服务处理器端口处进行 带外网络连接。

进一步参考图1，本示例中的系统1000与DCIM系统1002通信。本 示例中的DCIM系统1002可以具有在其上运行的一个或更多个DCIM应 用1004。DCIM应用1004可以包括一个或更多个网络安全应用1006。 DCIM系统1002还可以包括用于与被监视的各网络和基础设施部件接口 连接的至少一个装置，在本示例中的设备1008，以及在另一个示例中的 诸如KVM(键盘/视频/鼠标)设备的远程访问设备。第二设备1010(其 也可以是远程访问或KVM设备)可以专用于获得并分析来自被监视的网 络和基础设施部件的服务处理器和安全处理器的信息和数据。

系统1000利用生产网络1012，一个或更多个部件可以用于通过该生 产网络进行通信。仅以示例的方式而非限制地，这样的部件可以包括防火 墙1014、路由器1016、服务器1020和个人计算机(“PC”)1024。其它 部件或产品(并非限制地，诸如PDU(配电单元)1018和CRAC(计算 机控制的房间空调)单元1022)可以与带外(有时被称为“管理”)网络 1026通信。

服务器1020具有其自己的服务处理器1020a，而新的安全处理器已 经包括在下述部件中的每个中：防火墙1014、路由器1016、PDU 1018、 CRAC单元1022和PC 1024(分别用附图标记1014a、1016a、1018a、 1022a和1024a表示安全处理器)。安全处理器1014、1016a、1018a、1022a 和1024a中的每个可以共有某些部件(例如，中央处理单元)，但是也可 以包含针对它们各自的主机部件的性质特制的一个或更多个额外的子系 统。例如，从安全监视的立场(例如，功率耗损)，CRAC单元1022可 以具有与例如路由器1016所具有的运行参数不同的相关的运行参数。因 而，安全处理器1014a、1016a、1018a、1022a和1024a中的每个被构造 成利用它们各自的主机部件的功能以及收集可从它们各自的主机部件得 到的一个或更多个特定类型的使用数据。安全处理器1014a、1016a、1018a、 1022a和1024a中的每个以及服务处理器1020a经由带外网络1026与第 二设备1010进行通信。

参考图2，示出了安全处理器1014a的一个示例。如前所述，安全处 理器1014a、1016a、1018a、1022a和1024a在构造上可以全部相同，但 是更优选地可以在构造上稍有不同，以最佳地满足它们的主机部件的功 能。像这样，虽然在图2中安全处理器1014a被示出为包括多种子系统和 部件，但是将理解在其它安全处理器1016a、1018a、1022a和1024a的每 一个中可以不需要这些子系统和部件的全部。相反地，其它安全处理器 1016a、1018a、1022a和1024a中的一个或更多个可以包括一个或更多个 特定的部件或子系统，以使其最佳地适合于与其主机部件一起使用。因此， 图2中示出的安全处理器1014a的配置仅意在表示可在形成用于与本系统 1000一起使用的合适的安全处理器时使用的各种子系统和部件的一个示 例。

在图2中，安全处理器1014a可以包括合适的CPU 1028，例如可从 德州仪器公司(Texas Instruments，Inc)购买的系列处理器之一。 安全处理器1014a还可以包括随机存取存储器1030、只读存储器1032和 一个或更多个接口，所述一个或更多个接口诸如为I²C接口1034、通用 输入/输出(GPIO)1036、或使得安全处理器1014a能够与其主机路由器 1014的相关子系统通信的任何其它所需形式的接口。可以使用网络适配 器1038以将安全处理器1014a和带外网络1026接口连接。可以可选地包 括其它接口，诸如USB接口1040和/或串行接口1042(RS-232、RS-422 等)。整个安全处理器1014a可以被实施在单个集成电路中，从而使之易 于集成到其主机部件中。优选地，包括一种机构，该机构用于禁用现场可 重编程性，以进一步消除在安全处理器1014a被安装在其主机部件中时改 变安全处理器1014a的程序编制(即固件)的任何可能性。

现在参考图3，示出了第二设备1010的一个示例的高层图。第二设 备1010可以可选地包括专用于为了网络安全监视目的收集数据的软件和/ 或硬件安全监视引擎1044的新实例。然而，预料到在大多数应用中会更 希望(至少从成本的角度)在DCIM系统1002中所包括的现存系统或应 用内提供所需要的网络安全简档(profile)(即，复杂事件处理算法、元 素库等)。

第二设备1010获取并合并安全相关数据，而第一设备1008获取并合 并用于管理部件1014-1024的运行数据。网络安全监视引擎1044可以包 括复杂事件处理(CEP)算法1046，该算法进行实时模式检测以检测使 用模式的异常。更具体地，网络安全监视引擎1044可以使用CEP算法 1046，以监视指示被监视的部件中的一个或更多个的异常运行的特定的攻 击签名。异常可以包括针对被监视的部件的处理器的CPU利用率的尖峰 (spike)、(例如服务器的)不寻常升高的功耗、或被监视的部件的(例 如CRAC单元的)异常低的功耗。实质上，CEP算法1046被用于寻找被 监视部件的、指示有关部件的性能的某些不寻常的任何运行特性。检测的 异常可以警告数据中心管理器更严密地调查特定部件的运行。显著的优势 是：CEP算法1046用于从部件实时地收集安全相关数据。可以针对每个 被监视的特定部件定制编写CEP算法1046，以解决并利用可从每个被监 视的部件得到的、或与每个被监视的部件相关联的运行信息或数据(例如， 功率耗费、处理器利用率、运行温度、存储器使用率、网络流量、执行进 程等)。制作CEP算法1046会需要有关的特定主机部件的“典型”或历 史运行参数或性能的知识。例如，可以使用在轻度利用和重度利用两种情 况下和/或在一天的某些时间期间服务器的功率耗费的历史知识来形成使 用特定的CEP算法被分析的参数。可以通过一个或更多个CEP算法一起 分析来自更多不同的部件中的两个部件的参数，以检测异常运行。例如， 如果在给定的装备机架中的服务器组的集体功率耗费在期望的范围之外， 在考虑服务器的实时CPU利用率时，则能够通过观察给定机架中的所有 服务器的相对于它们的集体CPU利用率的集体功率耗费来检测这样的状 况。另一个示例是来自给定的装置或装置集合的历史温度数据。可以将收 集的温度数据与同一装置集合的历史功率耗费数据进行比较。在该示例 中，如果收集的功率耗费数据与获得的温度数据不一致，则这可以提供部 件已受到网络安全攻击影响的预警信号。在任何情况下，CEP算法1046 能够被用于分析主机部件产生的数据，以帮助识别主机部件的运行异常。

图3的第二设备1010还可以包括用于存储收集的数据(例如，处理 器利用率数据、功率耗费数据、温度数据等)的可选数据库1048。多个 元素库1014b-1024b可以可选地包括在网络安全监视引擎1044中，图1 中被监视的部件1014-1024中的每个有一个元素库。然而，替代地，元素 库1014b-1024b可以合并在DCIM 1002的不同的子系统中。元素库 1014b-1024b中的每个可以包括允许第二设备1010与被监视的部件 1014-1024中的特定部件进行通信的必要信息(例如，协议、命令等)。

根据前述内容，将理解系统1000形成了用于对可用在数据中心或任 何其它类型的产业或科学环境中的、各种各样的网络和基础设施部件进行 安全监视的装置。系统1000尤其非常适合于提供可能的网络攻击的预警， 传统的病毒监视软件可能在攻击开始后的数天、数周或甚至数月都不能够 检测到该网络攻击。系统1000的各种实施方式从根本上不同于传统的病 毒扫描以及类似的安全装备，传统的病毒扫描以及类似的安全装备通常依 赖于从被监视的装置的主处理器获得的且通过生产网络传输的信息。因为 系统1000针对每个被监视的部件使用单独的处理器，不能通过生产网络 而只能通过完全独立的单独的网络(即，带外网络)访问该单独的处理器， 因此收集的数据存在高的完整度。一个额外优势是：即使特定的部件成为 网络安全攻击的对象并且通过生产网络危害了到该特定部件的访问，服务 处理器或安全处理器仍可经由带外网络1026被访问。换言之，对受影响 的部件的访问不受部件的BIOS或运行系统约束。

虽然期望本文所讨论的各种实施方式在例如结合政府安全和军事计 算机系统和数据中心、发电厂、水处理厂等的政府应用中变得特别有价值， 但是可以以很少或没有修改的方式在各种各样的其它应用中实现系统 1000的实施方式。例如，还期望系统1000在制造环境中得到使用，以对 各种重要的计算机控制的制造装备(例如，装配机器人、计算机控制的熔 炉、计算机控制的CNC装备等)的运行实时地进行安全监视。系统1000 还可以在医院环境中得到使用，以对患者计费记录以及对可能会被病毒感 染或被黑客破坏的医院环境中使用的任何其它计算机控制的装备(例如， MRI、CAT扫描等)进行安全监视。系统1000的其它应用可以包括金融 机构(如银行和投资公司)使用的计算机和数据存储系统的安全监视。其 它应用可以与零售商使用的保存库存记录、计费记录以及客户信用卡信息 的计算机系统有关。这仅仅是系统1000的一些可能的应用，并且IT安全 专业人员将还会认识到许多其它可能的应用。

虽然已经描述了多种实施方式，但是本领域的技术人员将会意识到， 在不偏离本公开内容的情况下，可以对公开的主题内容做出修改或改变。 示例说明了多种实施方式，并且不意在限制本公开内容。因此，应当仅以 鉴于相关的现有技术是必要的这样的限制来不受限制地解释说明书和权 利要求。