[发明专利]自动化无分组网络可达性分析

权利要求书

1.一种系统，其包含：

一个或多个计算设备，其配置为实施网络安全评估器，其中所述网络安全评估器配置为：

生成针对包括主机计算机的网络的网络配置数据的一个或多个查询，其中所述一个或多个查询以查询语言表达，并且其中所述一个或多个查询至少部分地基于一组规则生成；

确定所述主机计算机上的开放的并且从网络外部可达的一个或多个端口，其中至少部分地基于所述一个或多个查询的结果确定所述一个或多个端口；

确定在所述一个或多个端口上侦听的一个或多个进程，其中使用安装在所述主机计算机上的代理确定所述一个或多个进程；和

生成描述所述一个或多个端口以及所述一个或多个进程的报告。

2.根据权利要求1所述的系统，其中所述网络安全评估器还被配置为：

确定并报告从网络外部到所述一个或多个端口的一条或多条路由。

3.根据权利要求1所述的系统，其中所述网络安全评估器还被配置为：

确定并报告使所述一个或多个端口开放并且从网络外部可到达的一个或多个配置设置。

4.根据权利要求1所述的系统，其中所述网络安全评估器还被配置为：

确定并报告一项或多项纠正措施，这些纠正措施如果被执行会关闭一个或多个所述端口，或者使一个或多个所述端口无法从网络外部可达。

5.一种由一个或多个计算设备执行的计算机实现的方法，包括：

对包括计算设备的网络执行网络配置数据的分析；

确定在所述计算设备上的可从另一计算设备到达的一个或多个端口，其中至少部分地基于所述分析确定所述一个或多个端口；

确定到所述一个或多个端口的一条或多条路由，其中至少部分地基于所述分析确定所述一条或多条路由；和

生成描述所述一个或多个端口以及所述一个或多个路由的报告。

6.根据权利要求5所述的方法，其进一步包含：

确定并报告在所述一个或多个端口上侦听的一个或多个进程，其中使用安装在所述计算设备上的代理软件确定所述一个或多个进程。

7.根据权利要求5所述的方法，其进一步包含：

确定并报告使所述一个或多个端口可到达的一个或多个配置设置。

8.根据权利要求5所述的方法，其进一步包含：

确定并报告一项或多项纠正措施，如果执行所述纠正措施，会使一个或多个所述端口无法到达。

9.根据权利要求5所述的方法，其中所述分析至少部分地基于对所述网络配置数据的一个或多个查询执行，其中所述一个或多个查询以查询语言表达，并且其中至少部分地基于一组规则生成所述一个或多个查询。

10.根据权利要求5所述的方法，其中确定所述一个或多个端口而不向所述一个或多个端口发送分组。

11.一种计算机可读存储介质，所述计算机可读存储介质存储程序指令，所述程序指令能够由计算机执行，以执行：

对包括主机计算机的网络执行网络配置数据的分析；

确定所述主机计算机上的开放的并且从另一计算设备可达的一个或多个端口，其中至少部分地基于所述分析的结果确定所述一个或多个端口；

确定在所述一个或多个端口上侦听的一个或多个进程，其中使用安装在所述主机计算机上的代理确定所述一个或多个进程；和

生成描述所述一个或多个端口以及所述一个或多个进程的报告。

12.根据权利要求11所述的计算机可读存储介质，其中所述程序指令还可以由计算机执行以进行：

确定并报告在所述一个或多个端口上侦听的一个或多个进程，其中使用安装在所述主机计算机上的代理软件确定所述一个或多个进程。