CN107430660A - 用于表征设备行为的自动化匿名众包的方法和系统 - Google Patents

用于表征设备行为的自动化匿名众包的方法和系统 Download PDF

Info

Publication number
CN107430660A
CN107430660A CN201680016525.1A CN201680016525A CN107430660A CN 107430660 A CN107430660 A CN 107430660A CN 201680016525 A CN201680016525 A CN 201680016525A CN 107430660 A CN107430660 A CN 107430660A
Authority
CN
China
Prior art keywords
equipment
processor
behavior
vector
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680016525.1A
Other languages
English (en)
Other versions
CN107430660B (zh
Inventor
M·萨拉耶格赫
M·马哈穆迪
V·斯里哈拉
M·克里斯托多雷斯库
G·C·卡斯卡瓦尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN107430660A publication Critical patent/CN107430660A/zh
Application granted granted Critical
Publication of CN107430660B publication Critical patent/CN107430660B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/10Scheduling measurement reports ; Arrangements for measurement reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Telephonic Communication Services (AREA)
  • Selective Calling Equipment (AREA)

Abstract

方法、以及实施方法的设备在用于众包设备行为的隐私保护行为监测和分析系统中使用特定用户的分类器。具有不同程度的“智能”能力的不同设备可以监测操作行为。所收集到的操作行为可以发送到具有比相应收集设备具有更高处理能力的附近设备,或可以直接发送到“总是开启的”设备。行为信息可以用于生成行为向量,其可以针对异常情况进行分析。包含异常标记的向量可以被匿名化以去除任何用户标识的信息并随后发送到诸如服务供应商或设备制造商之类的远程接受者。以这种方式,操作行为信息可以关于大量用户的不同设备进行收集,以获取对特定品牌和型号的设备的操作行为的统计分析,而不泄露关于设备用户的私人信息。

Description

用于表征设备行为的自动化匿名众包的方法和系统
背景技术
在过去几年内通信技术的爆炸性增长已经导致将设备(如家庭、办公室中的智能物体、或其它设施)连接在一起的“物联网”的出现。这种增长已经由更好的通信、硬件、更大网络和更可靠的协议激起。因此,通信服务供应商现在能够向其客户供应对信息、资源和通信的前所未有的访问等级。
为了保持这些服务增长,电子设备(例如,蜂窝电话、平板设备、膝上型设备、电视机、电冰箱、智能灯泡等)变得相比于以往更加强大和复杂。该复杂度已经创建了对软件冲突、硬件故障、恶意软件以及其它类似的错误或现象的新机会,以负面影响设备的长期且持续的性能和功率利用水平以及最终用户体验。因此,标识和改正可能负面影响每个设备的长期且持续的性能和功率利用水平的状况和/或设备行为对于客户是有益的。
通过服务供应商和制造商收集和聚集关于设备状况和行为的信息可以实现对恶意行为和性能退化状况的更快速的识别和校正。行为信息可以针对许多类型的“物联网”设备来收集并且被传递到可以针对长期设备行为倾向、错误、故障等分析数据的服务供应商和制造商。以这种方式,供应商和制造商可以获得关于设备受到不同操作状况的操作和功能的有用信息。然而,收集这种信息有可能向服务器和制造商显露敏感的私人信息。
发明内容
各个方面的方法和装置提供用于表征设备行为的自动化匿名众包的电路和方法。方面性方法可以包括:响应于检测到异常行为来通过第一设备的处理器匿名化设备行为向量以去除用户标识的信息;以及在网络上通过所述第一设备的收发器将所述匿名化设备行为向量发送到远程服务器。
一些方面可以包括:通过收集来自设备组件的行为信息来在一段时间内通过所述第一设备的所述处理器监测所述设备的行为,使用所收集到的所述设备的行为信息来通过所述第一设备的所述处理器建立设备行为向量;以及通过所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。
一些方面可以包括:通过收集来自设备组件的行为信息来在一段时间内通过第二设备的处理器监测所述第二设备的行为,通过所述第二设备的发送器将所收集到的行为信息发送到所述第一设备;使用所收集到的所述第二设备的行为信息来通过所述第一设备的所述处理器建立设备行为向量;以及通过所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。
一些方面可以包括:通过收集来自设备组件的行为信息来在一段时间内通过第二设备的处理器监测所述第二设备的行为,通过所述第二设备的发送器将所收集到的行为信息发送到第三设备;使用所收集到的从所述第二设备接收到的行为信息来通过所述第三设备的处理器建立设备行为向量;以及通过所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。这样的方面可以进一步包括:通过收集来自设备组件的行为信息来在一段时间内通过第三设备的处理器监测所述第三设备的行为,使用所收集到的所述第三设备的行为信息来通过所述第三设备的所述处理器建立第三设备行为向量;通过所述第三设备的收发器将所述第三设备行为向量发送到所述第一设备;以及通过所述第一设备的所述处理器分析所述第三设备行为向量以检测异常行为。
一些方面可以包括通过收集来自设备组件的行为信息来在一段时间内通过第二设备的处理器监测所述第二设备的行为,通过所述第二设备的发送器将所收集到的行为信息发送到第三设备;使用所收集到的从所述第二设备接收到的行为信息来通过所述第三设备的处理器建立设备行为向量;通过所述第三设备的所述处理器分析所述设备行为向量以检测异常行为;以及响应于检测到异常行为来通过所述第三设备的收发器将所述设备行为向量发送到所述第一设备。这样的方面可以进一步包括:通过收集来自设备组件的行为信息来在一段时间内通过第三设备的处理器监测所述第三设备的行为,使用所收集到的所述第三设备的行为信息来通过所述第三设备的所述处理器建立第三设备行为向量;通过所述第三设备的所述处理器分析所述第三设备行为向量以检测异常行为;以及响应于检测到异常行为来通过所述第三设备的收发器将所述第三设备行为向量发送到所述第一设备。
一些方面可以包括:响应于检测到异常行为来通过所述第一设备的所述处理器生成特征向量,其中,所述特征向量与所检测到的异常行为相关联;通过所述第一设备的所述处理器将所述特征向量发送到与所述第一设备本地通信的一个或多个设备;以及通过所述一个或多个设备的处理器监测与所述特征向量中所包含的特征有关的行为。
一些方面可以包括:通过所述第一设备的所述收发器从远程服务器接收一个或多个特征向量,所述一个或多个特征向量和与第一设备本地通信的一个或多个设备有关;通过所述第一设备的所述处理器将所述一个或多个特征向量发送到与第一设备本地通信的所述一个或多个设备;以及通过所述一个或多个设备的处理器监测与所述一个或多个特征向量中所包含的特征有关的行为。
在一些方面,匿名化所述设备行为向量包括将对于所述第一设备独特的匿名器模块应用于所述设备行为向量。
多个方面包括一种多技术通信设备,其具有天线和处理器,所述处理器通信地连接到所述天线并且被配置有用于执行上述方面性方法中的一个或多个的操作的处理器可执行指令。
多个方面包括一种多技术通信设备,其具有用于执行上述方面性方面中的一个或多个的功能的模块。
多个方面包括一种非暂时性处理器可读介质,其具有存储在其上的处理器可执行软件指令,所述处理器可执行软件指令用于使处理器执行上述方面性方面中的一个或多个的操作。
多个方面包括一种多设备的通信系统,其被配置有用于执行上述方面性方法中的一个或多个的操作的处理器可执行指令
附图说明
并入本文并构成本说明书的部分的附图示出了本发明的示例性方面,并且与以上给出的总体描述和以下给出的详细描述一起用于解释本发明的特征。
图1A-C是示出示例性智能设备系统的网络组件以及适用于各个方面的相关联网络架构的通信系统方框图。
图2是示出适用于各个方面的智能设备网络架构的组件的方框图。
图3是示出示例性逻辑组件和方面性智能设备中的信息流的方框图,所述方面性智能设备被配置为确定特定智能设备行为是恶意的、性能退化的、可疑的还是良性的。
图4是示出示例性组件和包括智能设备的方面性系统中的信息流的方框图,所述智能设备被配置为生成基于应用的分类器模型而不对数据、行为向量或分类器模型进行再训练。
图5是示出分析智能设备的本地网络中的特定设备行为并将其匿名化的另一方面性智能设备方法的过程流程图。
图6是示出分析有限能力的智能设备中的设备行为的另一方面性智能设备方法的过程流程图。
图7是示出分析智能设备中的特定特征的设备行为的另一方面性智能设备方法的过程流程图。
图8是示出根据另一方面的逻辑组件和计算系统中的信息流的方框图,计算系统实施观察器守护进程。
图9是适用于各个方面的智能设备的组件方框图。
图10是适用于各个方面的采用智能灯泡形式的示例性智能设备的组件图。
图11是适用于各个方面的服务器设备的组件方框图。
具体实施方式
将参考附图详细描述各个方面。尽可能地,将在所有附图中使用相同的附图标记以指代相同或相似的部分。对特定示例和实施方式的引用是出于说明性目的的,并且并非旨在限制本发明或权利要求的范围。
总的来说,各个方面包括以隐私保护的方式众包(crowd-sourcing)设备行为信息的方法,和被配置为实施所述方法的智能设备。为了便于引用术语“特定设备的分类器模型”在本文中使用,并且在权利要求中指代如下所述的特定设备的分类器模型和特定特征类型的分类器模型中的任一者或两者。
词语“示例性”在本文中被用于意指“用作示例、实例或例示”。本文中所述的任何实施方式不一定被解释为优选的或优于其它实施方式的。
如本文中所使用的,术语“智能设备”或“设备”可以指代以下项中的任何一项或所有项:智能家电(咖啡机、电冰箱、恒温器、窗帘控制器、烤箱、洗衣机/干燥机等)、智能灯泡、智能扬声器、智能个人设备、智能多媒体播放器、电视机机顶盒、集成数字智能电视、电缆电视接收器、和类似的个人电子智能设备;以及计算设备,例如智能电话、膝上型计算机、平板计算机、掌上计算机和个人计算机,计算设备包括可编程处理器和存储器以及经由无线网络(例如WiFi、蓝牙(BT)、BTLE等)的电路交换信息。结合这些智能设备对“智能”的引用可以指代用于传送设备状态的能力和通过通信网络或网络架构来远程控制和操作设备的能力。
如本文中所使用的术语“网络架构”可以互换地指代通信架构、应用架构、和通信及应用交互协议的组织系统、以及有助于设备到设备(例如,点对点或“P2P”)和应用到应用通信及交互的命令。网络架构可以被实施为以下项的集合:应用程序接口(API)、软件开发工具(SDK)、以及共同地提供标准机构和接口定义以实现通过通信网络(可以是自组网络)耦合的控制智能设备与受控智能设备之间的接口连接的其它应用或系统软件。各种API和SDK可以提供高等级接入(例如,来自应用层)以起到将一般地在软件架构中的下层处接入或受控的功能。这样的功能可以包括但不限于自组网络、安全性、配对、设备发现、服务发现、平台透明度、无线接入控制、消息格式化、消息传送、消息接收和解码等。提供对点对点交互性的支持的组织的一些示例包括:Digital Living Network AllianceUniversal Plug and Play(UPnP)联盟以及Bonjour。然而,这些技术通常是以设备为中心并且倾向于在软件架构内的下层处(例如,在IP传输层处)进行操作。综合网络架构的示例为最初由Qualcomm Innovation Center开发并归属于Allseen联盟的AllJoynTM内核架构。
AllJoyn内核架构包括简单且实现用户与附近设备交互的一组服务架构。一组服务架构的示例可以包括:设备信息和配置——设备广播信息,例如设备类型、制造商以及序列号;还允许用户向设备分配名称和密码;板载——允许设备简易地连接(例如,经由诸如接入点之类的中间介质)到用户的网络;通知——设备可以广播并接收基本通信(例如,文本、图像/视频、音频、控制、状态);控制板——诸如智能电话或平板设备之类的控制智能设备可以经由图形接口(例如GUI或UI)控制另一设备;音频——音频源设备可以传输数据到所选择的启用AllJoyn的扬声器、音频接收器以及其它音频回播智能设备。
各个方面提供了有助于以用户隐私保护的方式众包智能设备行为信息的方法,以用于错误报告、故障监测以及设备性能分析。各个方面实现了对来自智能设备的行为信息的收集,其可以具有不同程度的“智能”能力。所收集到的信息可以由收集性智能设备进行分析,或由具有比收集器更高的处理能力的附近智能设备进行分析。可以针对设备行为或功能异常分析所收集到的行为信息。如果检测到异常,则对智能设备进行分析可以将所收集到行为信息匿名化、去除任何用户标识信息并且将匿名化的行为信息发送到远程方以用于聚集或进一步分析。可以使得制造商、服务供应商、设备安全研究/调查中所占用的实体等能够利用从许多源获取的匿名化特定设备的数据,而不接收来自设备的拥有者的任何私人信息。
一般来说,智能设备的性能和功率效率可以随着时间退化。类似地,智能设备可能在其整个使用寿命期间遭受许多执行错误或操作故障。当前,对计算设备的操作和功能的行为进行建模存在各种解决方案,并且这些解决方案可以连同机器学习技术一起使用以确定计算设备行为是恶意的还是良性的。然而,这些解决方案不适合于在具有各种程度的处理能力的智能设备上使用,因为它们需要对非常大的行为信息库进行评估,和/或需要在智能设备中执行计算密集型的进程。此外,这些解决方案是非隐私保护的,因为这些解决方案在将行为信息发送到远程供应商之前不会将行为信息匿名化,这些解决方案在进行传送之前也不会允许对智能设备进行行为信息分析。如此,在智能设备网络中实施或执行这些现有解决方案对网络内的智能设备的响应性、性能或功耗特性具有显著的负面和/或用户可察觉的影响。
现代智能设备在处理能力以及功能和设备行为的程度上极大变化。如此,对于确定特定智能设备行为是良性还是非良性(例如,异常的、恶意的或性能退化的)的最重要特征可以在不同类型的智能设备当中广泛变化。此外,特征的不同组合可能需要对每个智能设备的监测和/或分析以便于智能设备快速且有效地确定特定行为是良心还是非良性的。需要监测和分析的特征的精确组合常常可以仅使用从特定智能设备获取的特定设备的信息来确定,在特定智能设备中要监测和分析行为。对于这些和其它原因,在除使用信息的特定设备以外的任何计算设备中所生成的行为模型可以不包括标识对于对该设备中的软件应用或智能设备行为进行分类而言最重要的特征的精确组合的信息。
各个方面包括综合行为监测和分析、以及用于智能且有效地标识的匿名系统、状况、因素、和/或可以使智能设备的性能和/或功率利用水平随着时间或在被攻击时退化的智能设备行为。在一方面,智能设备的观察器进程、守护进程、模块或子系统(本文中共同称为“模块”)可以以各种水平的智能设备系统装配或整合各种应用程序接口(API)、寄存器、计数器或其它智能设备组件(本文中共同称为“装配组件”)。观察器模块可以通过从装配组件收集行为信息来连续地(或接近连续地)监测智能设备行为。智能设备还可以包括分析器模块,并且观察器模块可以将所收集到的行为信息传送(例如,经由存储器写操作、函数调用等)到分析器模块。分析器模块可以接收并且使用行为信息以生成特征或行为向量,生成基于特征/行为向量的空间和/或时间关系,并且使用该信息来确定特定智能设备行为、状况、子系统、软件应用或进程事是异常的、良性的还是非良性的(即恶意的或性能退化的)。智能设备继而可以使用该分析的结果以矫正、解决、隔离或以其它方式修正或响应所标识的问题。
在各个方面,智能设备可以被配置为从其它智能设备接收行为信息。具体而言,限制能力的智能设备(例如,智能灯泡、烤箱、家用电器等)可能缺乏用于生成与其自身监测的行为相关联的行为向量的处理能力,并且可以将所收集到的信息直接发送(例如,经由无线数据链接)到具有全方位处理能力(例如路由器)的智能设备或中介智能设备(“观察器设备”),其可以被配置为执行基本智能设备的功能中的一些。观察器设备可以将从其它设备接收到的行为数据以及其自身收集到的行为信息发送到(多个)基本智能设备以用于分析和匿名。因此,分析器模块可以针对其自身行为、以及许多其它本地智能设备生成并分析行为向量。
分析器模块还可以被配置为执行实施实时行为分析操作,其可以包括进行、执行和/或将数据、算法、分类器或模型(本文中共同称为“分类器模型”)应用于所收集到的行为信息以确定设备行为是异常的、良性的还是非良性的(例如,恶意的或性能退化的)。每个分类器模型可以是包括数据和/或信息结构(例如,特征向量、行为向量,组件列表等)的行为模型,所述数据和/或信息结构可以由智能设备处理器使用以评估智能设备的行为的特定特征或方面。每个分类器模型还可以包括用于监测智能设备中的许多特征、因素、数据点、条目、API、状态、状况、行为、应用、进程、操作、组件等(本文中被共同称为“特征”)的决策标准。分类器模型可以预安装在智能设备上、从网络服务器下载或接收、在智能设备中生成、或其任何组合。可以通过使用众包解决方案、行为建模技术、机器学习算法等来生成分类器模型。
在各个方面,匿名器模块可以接受被标记为包含异常元素的行为向量。这些行为向量可以由执行匿名器模块的处理器“擦除”以去除任何用户标识的信息,从而仅留下行为向量中的必要信息,例如设备品牌、型号、错误行为、和错误日期。该匿名化行为向量可以通过诸如互联网之类的通信网络发送到一个或多个远程供应商(例如,制造商、安全研究管理员、服务供应商等)。匿名化行为向量的大小可能仅为几比特,从而减少了从设备转移出的数据量、节约了带宽资源、减少了网络交流、并且节约了功率资源。
各个方面包括智能设备和网络服务器,所述智能设备和网络服务器被配置为彼此结合地工作以智能地标识对于确定智能设备行为是异常的、良性的还是非良性的(例如,恶意的或性能退化的)而言最相关的特征、因素和数据点。在各个方面,智能设备(或基本智能设备)可以在智能设备中本地地生成以特征为目标的分类器模型,从而产生特定设备的特征和/或特定设备状态的特征,各个方面允许智能设备处理器应用聚集的分类器模型以对复杂智能设备行为进行快速且有效地标识、分析或分类(例如,经由观察器和分析器模块等)而不引起智能设备的显著的负面或用户可察觉的响应性、性能、或功耗特性的变化。可以响应于确定设备行为是异常的而生成以特征为目标的分类器模型。例如,在确定智能灯泡已经过热时,基本智能设备可以更新智能灯泡分类器模型,或生成以操作温度的特征为目标的第二模型,以便更好地标识超过操作温度的实例。
在各个方面,智能设备可以使用行为建模和机器学习技术来智能且动态地生成以特征为目标的分类器模型,从而其产生了智能设备的特定设备和/或特定设备状态的特征(例如,与智能设备配置、功能、所连接/包括的硬件等相关的特征),包括:测试或评估特征的被确定为对于标识智能设备的错误、故障、随着时间的退化的起因或来源而言重要的集中且为目标的子集,和/或基于标识特征的针对对使用/评估特征的特定智能设备中的行为成功分类的相对重要性的概率或置信度值来优先选择特征的目标子集。在一些方面,对于本地智能设备网络内的每个智能设备可能存在不同的分类器模型。具有足够的处理功率以用于执行其自身分析的那些设备可以在本地储存器中保持其特定设备的分类器模型,而限制能力的设备可以依赖于用于分类器维护和分析的观察器或基本智能设备。
在各个方面,智能设备可以被配置为使用一个或多个分类器来执行实时行为监测和分析操作。例如,智能设备可以使用分类器模型以通过以下方式来对智能设备操作的行为进行分类:收集来自智能设备的行为信息,使用所收集到行为信息以生成行为向量,将所生成的行为向量应用于相关联的分类器模型以对分类器模型中所包括的每个测试状况进行评估,响应于检测到异常行为而将行为向量匿名化,以及将匿名化数据发送到远程位置。智能设备还可以分析、匿名化、以及发送限制能力和观察器类型的智能设备的行为信息。以这种方式,设备行为信息的匿名众包可以应用于智能设备网络。
各个方面可以实施在各种通信系统内,例如图1A中所示的示例性通信系统100。在一方面,通信系统100可以包括控制智能设备120,例如智能通信设备(例如,智能电话、平板设备等)或路由器。控制智能设备120可以通过建立有接入点130(例如无线接入点、无线路由器等)的链路111、121来控制一个或多个智能设备110(例如,智能设备)。链路111、121可以是无线的,或可以是有线的,例如以太网连接或电力线通信(PLC)连接中的或其它有线连接。在替代的一个或多个方面,控制智能设备120可以通过直接链路101与智能设备110直接连接。在另外的替代的一个或多个方面,智能设备110可以通过直接链路(例如链路110)或通过经由接入点130提供的链路相互连接。接入点130可以通过服务供应商131连接到互联网102。在多个方面,本地网络服务器140可以出现在网络中并且可以并入网络架构中。
在各个另外的替代方面,控制智能设备120可以通过蜂窝基础结构103连接到网络,蜂窝基础结构103可以共同地指代用于提供蜂窝服务的蜂窝基础结构组件。蜂窝基础结构103可以包括一组件或一系列组件,这些组件可以包括蜂窝天线、基站(例如eNodeB)等中的一些或所有。控制智能设备120可以通过由蜂窝基础结构103提供的连接部、经由诸如互联网102之类的公共网络或基于与接入点130相关联的全球资源定位器(URL)的个人网络连接到接入点130。出于安全性的原因,通过接入点130接入网络可以受密码保护、可以使用加密、可以使用其它安全手段或可以使用安全规定的组合。如将更详细描述的,网络架构可以提供API以在应用层处实施安全性。通过提供安全性API,用于控制智能设备和智能设备的特定硬件的细节可以在网络架构中得到处理,而不需要理解详细的特定平台的实施方式。
通信系统100可以进一步包括连接到电话网络和互联网102的网络服务器140。网络服务器140与电话网络之间的连接可以通过互联网102或通过个人网络。网络服务器140还可以被实施为云服务供应商网络的网络基础结构内的服务器。网络服务器140与智能设备110之间的通信可以通过无线数据网络、电话网络、互联网102、个人网络(未示出)或其任何组合来实现。
网络服务器140可以被配置为从中央数据库或云服务供应商网络接收关于各种状况、特征、行为和相关动作的信息,并且使用该信息来生成数据、算法、分类器、或包括由智能计算设备的处理器使用以对计算设备的行为的特定方面进行评估的数据和/或信息结构(例如,特征向量、行为向量、组件列表等)的行为模型(本文中共同称为“分类器模型”)。
在一方面,网络服务器140可以被配置为生成分类器模型。完全的分类器模型可以是被生成有大训练数据组的功能的鲁棒数据模型,该大训练数据组可以包括数千的特征和数十亿的条目。在一方面,网络服务器116可以被配置为生成完全的分类器模型以包括导致对任何数量的不同品牌、型号以及配置的智能设备102的退化的特征、数据点和/或因素中的所有或大部分。在各个方面,网络服务器可以被配置为生成完全的分类器模型以将大的行为信息库描述或表示为有限状态机、决策节点、决策树或可以被修改、挑选、增强或以其它方式用于快速且有效地生成精简分类器模型的任何信息结构。
另外,智能设备102可以被配置为从网络服务器140接收一个或多个分类器模型。智能设备可以被进一步配置为使用分类器模型来分析智能设备110的特定特征和功能。智能设备可以被配置为使用所收集到的行为信息来生成行为向量并通过将向量与所获取的分类器模型进行比较来分析这样的向量。因此,在比较期间所检测到的任何区别可以被认为是异常的并且随后可以被分类为良性的或非良性的(例如,恶意的或退化的)。可以将异常行为向量匿名化以去除可能对于设备用户私有的信息,并且随后将其发送到远程服务器以用于聚集和进一步的分析。
在各个方面,控制智能设备和智能设备互连可以通过如图1B中所示的网络架构150建立。诸如DEV1 110a、DEV2 110b、DEVn 110c之类的一个或多个智能设备可以耦合到诸如CTL DEV1 120a、CTL DEV2 120b、以及CTL DEVn 120c之类的一个或多个控制智能设备。在图1B中,实线示出了所有的智能设备可以通过网络架构150相互连接。通过网络架构150的互连可能需要智能设备设有如下文中将更详细描述的网络架构。在各个方面,虚线示出了可以直接相互连接的智能设备中的至少一些。直接连接可以与为网络架构150兼容,如特别情况下连接可以建立有不能够例如通过接入点直接接入网络架构150的智能设备。在这样的示例中,在智能设备中的至少一个已接入网络连接的情况下,一种智能设备可以提供通过智能设备之间的直接连接接入网络架构的另一种智能设备。网络接入对于允许由控制智能设备控制的智能设备是重要的。
在各个方面,控制智能设备和智能设备互连可以如图1C中所示地建立。在一方面,控制或基本智能设备120可以是具有足以监测智能设备行为、由所收集到的行为信息生成行为向量、分析所生成的行为向量、将行为向量匿名化、发送匿名化行为向量、并且接收/更新分类器模型以包括新特征优先级的全方位处理能力的任何设备。控制智能设备120的示例包括但不限于路由器、平板设备、家用服务器、以及通常全天通电的其它设备。
控制智能设备120可以从限制能力的智能设备112、114(“受限设备”)接收行为信息,其可以具有监测设备行为以及将所收集到的信息发送到另一智能设备的能力,但缺乏用于生成、分析和匿名化行为向量的处理能力。例如,受限设备可以包括家用电器,例如智能灯泡(图10)、烤箱、恒温器、烟雾报警器等。
中间介质或观察器智能设备116、118(“观察器设备”)可以具有足以承载控制智能设备的功能(即,监测、向量生成、分析、匿名化、发送)中的一些但非所有的功能的处理能力。例如,观察器设备可以包括电视机、娱乐系统、电冰箱等。这些设备可以与远程服务进行常规通信,并且可以被配置为生成其自身行为信息。
在各个方面,受限设备112、114可以观察其自身操作和功能,在可以为连续或预定的整个时间段内收集这样的行为信息。该行为信息可以发送到控制智能设备120,或者如果没有设备在通信距离内,则发送到观察器设备。控制智能设备120或观察器设备116、118可以使用由向量生成器模块122接收的,向量生成器模块122可以使用行为信息来生成包含关于报告设备操作和功能的特定信息。类似地,观察器设备116、118可以将其自身的行为信息传递到控制智能设备120或可以在传送之前生成适当的行为向量。
在各个方面,所生成的行为向量被发送到分析器模块124。分析器模块可以查询所存储的与设备(从其获取行为信息)相关联的分类器模型。替代地,分析器模块124可以使用通过设备(从其获取行为信息)发送到分析器模块124的分类器模型。行为向量可以与分类器模型进行比较以检测异常行为的存在。如果没有发现异常行为,则不需要通过控制智能设备120采取进一步的动作。
在各个方面,由分析器模块124检测异常行为可以导致对行为向量或与异常行为相关联的行为向量的特定组件的标记。异常行为的类型可以被进一步分类为良性的或恶意的。在一些方面,该分类可以涉及询问用户是否察觉到错误以访问故障并提供输入。异常行为向量可以不考虑分类而被匿名化和发送为良性的或恶意的以便提供关于错误和故障率的准确数据。
行为向量可以发送到匿名器模块126,匿名器模块126可以去除被认为是用户私有的任何信息或标识设备拥有者或用户。在一些方面,每种类型的智能设备可以具有相关联的匿名体系,以从行为向量去除标识的或私人数据。匿名器分类器模型可以由匿名器模块使用以确定行为向量内的哪些信息为私人的或标识的。例如,电视机匿名器分类器模型可以包括指示与机器地址相关的特定向量元素的组件或条目。通过向行为向量应用匿名器分类器模型,匿名器模块126可以简易且快速地标识应当在传送之前去除的信息。一旦从行为向量中去除所有标识信息,就可以发送到远程位置以用于与其它设备信息聚集。
在各个方面,网络架构150中的智能设备配置可以被实施为如图2A中所示的。网络架构150可以指代网络架构的内核方面,例如AllJoyn架构。网络架构150向控制智能设备120和受控智能设备110提供客户端服务并且代表使控制智能设备120能够通过架构连接144和134和一系列API、SDK以及其它软件机构控制受控智能设备110的分布式软件总线架构。架构连接124和115可以被认为是分布式软件总线的部分。在一方面,网络架构150允许应用通过一系列全球高级软件机构进行交互。
与网络架构150兼容的应用可以连接到网络架构150(例如,软件总线)。在AllJoyn架构中,例如这样的应用可以被称为总线连接。总线连接可以是任何类型的应用并且可以具有独特的名称。独特的名称可以在总线连接被连接到AllJoyn总线时(例如在板载期间)自动地分配。总线连接可以创建总线设备,其可以使用通知的进程以广播它们的存在来向其它总线设备标识它们本身。发现进程允许总线设备确定其它总线设备的存在。总线设备可以接入由其它AllJoyn总线连接提供的服务。
在各个方面,控制智能设备120可以被配置有网络架构标准客户端142,网络架构标准142提供对控制智能设备120的资源的直接或间接接入。可以通过接入控制智能设备操作系统125和控制智能设备120的设备平台146的硬件(和软件)资源来提供对网络架构标准客户端142的接入。资源可以包括处理器、存储器和用户接口148的接入,其可以包括显示资源和输入资源(例如,硬键盘或软键盘、触摸屏、鼠标、相机、(多个)麦克风、加速计等)。
可以控制的智能设备110(例如智能灯泡、智能家电或被配置为受限智能设备的其它设备)典型地具有有限处理资源。在各个方面,这种智能设备可以被配置有网络架构瘦客户端132、其提供对智能设备110的资源的直接或间接接入。可以通过接入智能设备嵌入式操作系统或嵌入式系统115来提供对网络架构瘦客户端132的接入。在智能设备110具有扩展性处理资源的情形下,智能设备110可能从不装配网络架构瘦客户端132。瘦客户端132可以在智能设备被基本配置为受控设备时提供。然而,当智能设备110还可以操作用于控制其它智能设备时,智能设备110可以被配置为具有网络架构标准客户端125的控制智能设备120。在多个方面,智能设备110可能不具有足以完成处理任务的资源。在这样的情形下,处理需要可以分配给其它客户端,例如控制智能设备120上的网络架构标准客户端125,或分配给诸如观察器设备116、118之类的其它智能设备。
智能设备110上的网络架构瘦客户端132可以进一步接入由智能设备110提供的功能或服务138。功能138可以是由控制智能设备120控制的动作,例如变暗或打开和关闭智能灯泡、开始智能咖啡机的酿造周期等。功能128可以进一步包括向控制智能设备120提供状态指示或通知,例如完成了智能咖啡机的酿造周期。替代地或附加地,智能设备110可以提供关于智能设备110的能力的信息,例如其可用的功能或服务118。
在AllJoyn架构示例中,AllJoyn瘦客户端(AJTC)向被配置为嵌入式系统的智能设备110的通常受限资源提供分布式编程环境。由于AJTC操作的操作环境可以是非常受限的,AllJoyn组件(例如总线设备)必须存在系统限制。AllJoyn标准客户端(AJSC)可以被配置为利用典型地安装在控制智能设备中的高性能处理器的特征,例如多线程能力。然而运行AJTC的智能设备典型地不具有这样的资源。因此,典型地附加AJSC并需要多线程、处理许多网络连接、以及使用相对大量的存储器的AllJoyn守护进程可以不在AJTC中提供。AJSC的其它增强方面在AJTC中也是不可用的,例如运行包括交替的语言联编(language bindings)的面向设备的编程环境的能力。因此,AJTC被配置为具有对应于智能设备的接口、方法、信号、性质的数据结构的总线连接。AJTC中的总线设备可以针对有效使用存储空间而被高度优化。因此,AJTC中的API与AJSC中所提供的那些典型地不同。尽管API可以在AJTC中不同,但在AJSC中建立的AllJoyn架构的所有主要概念块可以以密集的形式建立在AJTC系统中。在一些实例中,一些总线设备可以被配置为在另一个更有能力的机器上远程运行。
图3示出了示例性逻辑组件和方面性控制智能设备120中的信息流,所述方面性控制智能设备120被配置为执行实时行为监测和分析操作300以确定特定智能设备行为、软件应用或进程是异常的、良性的和/或恶意的/性能退化的,并且进一步将关于行为的信息匿名化并将其发送到远程服务器。这些操作300可以由智能设备102中的一个或多个处理内核连续地(或接近连续地)执行而不消耗多余量的智能设备的处理、存储、或能量资源。
在图3中所示的示例中,智能设备120包括行为观察器模块302、行为分析器模块304、外部内容信息模块306、分类器模块308、以及匿名器模块310。在一方面,分类器模块308可以被实施为行为分析器模块304的部分。在一方面,行为分析器模块304可以被配置为生成一个或多个分类器模块308,一个或多个分类器模块308中的每一个可以包括一个或多个分类器模型(例如,数据/行为模型),一个或多个分类器模型包括数据和/或信息结构(例如决策节点等),数据和/或信息结构可以由智能设备处理器使用以评估软件应用或智能设备行为的特定特征。
模块302-210中的每一个可以是线程、进程、守护进程、模块、子系统、或用软件、硬件或其组合实施的组件。在各个方面,模块302-210可以在操作系统的部分内(例如,内核内、内核空间中、用户空间中等)、单独程序或应用内、专用硬件缓冲器或处理器中、或其任何组合中实施。在一方面,一个或多个模块302-210可以被实施为在智能设备102的一个或多个处理器上执行的软件指令。
行为观察器模块302可以被配置为以各种水平的智能设备系统装配或整合各种API、寄存器、计数器或其它组件(本文中共同称为“装配组件”),并且通过在一段时间内且实时地收集来自装配组件以及其它的行为信息来连续地(或接近连续地)监测智能设备行为。例如,行为观察器模块302可以通过从存储在智能设备102的存储器中的日志文件(例如,API日志等)中读取信息来监测库API调用、系统调用API、驱动器API调用以及其它装配组件。
行为观察器模块302还可以被配置为经由装配组件监测/观察智能设备操作和事件(例如系统事件、状态变化等),收集涉及所观察到的操作/事件的信息,智能地过滤所收集到的信息,基于经过滤的信息生成一个或多个观察(例如,行为向量等),以及在存储器中存储所生成的观察(例如,在日志文件中等)和/或将所生成的观察或所收集到的行为信息从本地设备或从诸如受限设备和观察器设备之类的其它智能设备发送(例如,经由存储器写、函数调用等)到行为分析器模块304。在各个方面,所生成的观察可以被存储为行为向量和/或存储在API日志文件或结构中。
行为观察器模块302可以通过收集涉及应用架构中的库API调用或运行时间库、系统调用API、文件系统以及网络子系统操作、设备(包括传感器设备)状态变化、以及其它类似事件的信息来监测/观察智能设备操作和事件。行为观察器模块302还可以包括监测文件系统活动,其可以包括搜索文件名称、文件存取的种类(私人信息或一般数据文件)、创建或删除文件(例如,exe、zip等类型)、文件读/写/审批操作、改变文件权限等。对于受限的设备和观察器设备,观察的应用信息可能是极少的。
行为观察器模块302还可以监测数据网络活动,其可以包括各种类型的连接、协议、端口数量、设备所连接的服务器/客户端、连接的数量、通信的量或频率等。行为观察器模块302可以监测电话网络活动,其可以包括监测呼叫或消息(例如SMS等)发出、接收或中断的类型和数量(例如,高级呼叫替代的数量)。
行为观察器模块302还可以监测系统资源用量,其可以包括监测叉(fork)的数量、存储器存取操作、文件打开的数量等。行为观察器模块302可以监测智能设备的状态,其可以包括监测各种因素,例如显示器是打开还是关闭、设备是锁定还是非锁定、电池所保持的量、相机的状态等。
行为观察器模块302还可以监测/观察驱动器统计数据和/或一个或多个硬件组件的状态,硬件组件可以包括相机、传感器、电子显示器、WiFi通信组件、数据控制器、存储器控制器、系统控制器、接入端口、定时器、外围设备、无线通信组件、外部存储器芯片、电压调节器、振荡器、锁相环、外设桥、以及用于支持处理器和客户端在智能计算设备上运行的其它类似的组件。
行为观察器模块302还可以监测/观察指示智能计算设备和/或智能设备子系统的一个或多个状态的一个或多个硬件计数器。硬件计数器可以包括被配置为存储发生在智能计算设备中的硬件相关的活动或事件的计数或状态的处理器/内核的专用寄存器。例如,观察器模块302可以监测或观察热峰值、功率浪涌、组件故障以及其它硬件相关的错误。
行为观察器模块302还可以监测/观察软件应用的动作或操作、从应用下载服务器(例如APP Store服务器)的软件下载、由软件应用使用的智能设备信息、呼叫信息、短信发送信息(例如SendMMS、BlockSMS、ReadSMS等)、媒体发送信息(例如ReceiveMMS)、用户账户信息、位置信息、相机信息、加速器信息、浏览器信息、基于浏览器的通信的内容、基于语音的通信的内容、短距离无线通信(例如WiFi等)、基于短信的通信的内容、所记录的音频文件的内容、电话簿或联系人信息、联系人列表等。
行为观察器模块302可以监测/观察智能设备的发送或传送,包括包含以下项的通信:语音信箱(VoiceMailComm)、设备标识符(DeviceIDComm)、用户账户信息(UserAcountComm)、日历信息(CalendarComm)、位置信息(LocationComm)、所记录的音频信息(RecordAudioComm)、加速器信息(AccelerometerComm)等。
行为观察器模块302可以监测/观察罗盘信息、智能设备设置、电池使用寿命、陀螺仪信息、压力传感器、磁力传感器、屏幕活动等的使用量和更新/变化。行为观察器模块302可以监测/观察传送到软件应用和从软件应用传送的通知(APPNotifications)、应用更新等。行为观察器模块302可以监测/观察涉及第一软件应用请求下载和/或安装第二软件应用的状况或事件。行为观察器模块302可以监测/观察涉及用户验证的状况或事件,例如输入密码等。
行为观察器模块302还可以监测/观察智能设备的多个等级(包括应用等级、无线电等级以及传感器等级)的状况或事件。应用等级观察可以包括经由面部识别软件观察用户、观察社交流、观察用户输入的注释、观察涉及使用诸如PassBook、钱包和Paypal之类的财务应用的事件、观察软件应用的存取和使用被保护的信息等。应用等级观察还可以包括观察与使用虚拟专用网络(VPN)相关的事件和涉及同步的事件、语音搜索、语音控制(例如,通过说一个词锁定/解锁电话)、语言翻译器、卸载用于计算的数据、视频流、无用户活动的相机使用、无用户活动的麦克风使用等。应用等级观察还可以包括监测软件应用对生物计量传感器的使用(例如,指纹读取器、语音识别子系统、视网膜扫描仪等)以授权金融交易和与接入及使用生物计量传感器相关的状况。
无线电等级观察可以包括确定以下各项或更多项的出现、存在或数量:在建立无线电通信链接或发送信息之前与智能设备进行用户交互、双/多用户识别模块(SIM)卡、互联网广播、智能电话绑定、卸载用于计算的数据、设备状态通信、用作游戏控制器或家庭控制器、车辆通信、智能设备同步等。无线等级观察还可以包括监测以下项的使用:用于定位的无线电(WiFi、WiMax、Bluetooth等)、点对点(p2p)通信、同步、车辆到车辆通信和/或机器到机器(m2m)。无线电等级观察可以进一步包括监测网络流量的使用、统计数据或轮廓(profile)。
与使用量或外部环境相关的传感器等级观察的其它示例可以包括:检测近场通信(NFC)、收集来自信用卡扫描仪、条形码扫描仪或智能标签读取器的信息、检测通用串行总线(USB)充电源的存在、检测键盘或辅助设备已耦合到智能设备、检测智能设备已耦合到计算设备(例如,经由USB等)、确定LED、闪光、闪光灯或发光源已经被修改或禁用(例如,恶意地禁用紧急信令app等)、检测扬声器或麦克风已打开或通电、检测充电或通电事件、检测智能设备被用作游戏控制器等。传感器等级观察还可以包括收集来自医疗或保健传感器或来自扫描用户的身体的信息、收集来自插入USB/音频插孔的外部传感器的信息、收集来自触觉或触感传感器的信息(例如,经由振荡器接口等)、收集涉及智能设备的热状态的信息、收集来自指纹读取器、语音识别子系统、视网膜扫描仪的信息等。
行为观察器模块302可以被配置为生成包括所观察的行为的准确定义的行为向量。每个行为向量可以简洁地描述智能设备、软件应用或者值或向量数据结构(例如,以一串数字的形式等)中的进程的所观察的行为。行为向量还可以起标识符的作用,所述标识符使智能设备系统能够快速识别、标识、和/或分析智能设备行为。在一方面,行为观察器模块302可以生成包括一系列数字的行为向量,行为向量中的每个表示智能设备的特征或行为。例如,行为向量中所包括的数字可以表示:智能设备的相机是否在使用(例如,当相机关闭时为零并且在相机激活时为一)、已经从智能设备发送或由智能设备生成的网络流量的量(例如,20KB/秒等)、已经传送的互联网消息的数量(例如,SMS消息的数量等)等等。
存在导致设备故障、执行错误和智能设备随时间的性能及功率利用水平退化的大量各种因素,其包括低劣设计的软件应用、恶意软件、病毒、破碎的存储器以及背景进程。由于这些因素的数量、种类和复杂度,常常不易同时评估可能使复杂但资源受限的现代智能设备系统的性能和/或功率利用水平退化的所有各种组件、行为、进程、操作、状况、状态或特征(或其组合)。为了减少被监控的因素的数量至可管理的水平,在一方面,行为观察器模块302可以被配置为监测/观察行为或因素的初始或减少的集合,其为可能导致智能设备的退化的所有因素的小子集。
在一方面,行为观察器模块302可以以分类器模型的形式从云服务或网络中的网络服务器140和/或组件接收行为和/或因素的初始集合。在一方面,行为/因素的初始集合可以在从网络服务器140接收到的完全分类器模型中指定。在一方面,行为/因素的初始集合可以基于由网络服务器提供的行为和因素在智能设备中生成的特定设备的分类器模型中指定。
行为观察器模块302可以将所收集到的行为信息传送(例如经由存储器写操作、函数调用等)到行为分析器模块304。行为分析器模块304可以接收并且使用行为信息以生成行为向量,基于行为向量生成空间和/或时间关系,并且使用该信息来确定特定智能设备行为、状况、子系统、软件应用或进程是良性的、可疑的还是非良性的(即恶意的或性能退化的)。
行为分析器模块304和/或分类器模块308可以被配置为执行实时行为分析操作,其可以包括进行、执行和/或将数据、算法、分类器或模型(本文中共同称为“分类器模型”)应用于所收集到的行为信息以确定智能设备行为是否是异常的,并且将异常行为分类为良性的或非良性的(例如,恶意的或性能退化的)。每个分类器模型可以是包括数据和/或信息结构(例如,特征向量、行为向量,组件列表等)的行为模型,所述数据和/或信息结构可以由智能设备处理器使用以评估智能设备行为的特定特征或方面。每个智能设备可以具有相关联的特定设备的分类器模型,其可以存储在智能设备(例如,用于控制设备和观察器设备)上或可以存储在控制设备上以用于分析其它设备(例如,受限设备、观察器设备)的行为的参考。每个分类器模型还可以包括用于监测(例如,经由行为观察器模块302)智能设备102中的许多特征、因素、数据点、条目、API、状态、状况、行为、应用、进程、操作、组件等(本文中被共同称为“特征”)的决策标准。分类器模型可以预安装在控制智能设备120上、从网络服务器140下载或接收、在控制智能设备120中生成、或其任何组合。可以通过使用众包解决方案、行为建模技术、机器学习算法等来生成分类器模型。
行为分析器模块304和/或分类器模块308可以接收来自行为观察器模块302的观察或行为信息,或可以接收来自其它智能设备(例如在传送到控制智能设备120之前已生成其自身的行为向量的观察器设备)的观察,将所接收到的信息(即观察)与从外部环境信息模块306接收到的环境信息进行比较,以及标识与所接收到的观察相关联的子系统、进程和/或应用,所接收到观察为异常的、或在其它情况下与一般设备操作不一致。
在一方面,行为分析器模块304和/或分类器模块308可以包括利用有限的信息组(即,粗略的观察)来标识行为、进程、或程序的智能设备,所述行为、进程、或程序导致或可能导致设备随着时间的退化,或者可能在其它情况下引起设备上的问题。例如,行为分析器模块304可以被配置为分析从各个模块(例如,行为观察器模块302、外部环境信息模块306等)收集到的信息(例如,以观察的形式)、学习智能设备的正常操作行为、以及基于比较结构生成一个或多个行为向量。行为分析器模块304可以将所生成的行为向量发送到分类器模块308以用于进一步分析。
在一方面,分类器模块308可以配置为应用行为向量或将行为向量与分类器模型进行比较以确定被分析器模块304识别的特定智能设备行为、软件应用、或进程是性能退化的/恶意的或良性的。当分类器模块308确定行为、软件应用、或进程是恶意的或性能退化的,分类器模块308可以通知可以执行各种动作或操作的匿名器模块310:匿名化被确定为包含异常行为的行为向量,并且执行操作以发送匿名化行为向量信息。
当分类器模块308确定行为、软件应用或进程为可疑的时,分类器模块308可以通知行为观察器模块302,行为观察器模块可以基于从分类器模块308接收到的信息(例如,实时分析操作的结构)来调节其观察的间隔尺寸(即,观察智能设备行为所处的细节的等级)和/或改变被观察的行为,生成或收集新的或附加的行为信息,以及将新的/附加的信息发送到行为分析器模块304和/或分类器模块308以用于进一步的分析/分类。行为观察器模块302与分类器模块308之间的这种反馈通信使控制智能设备120能够递归地增加观察的间隔尺寸(即,制作更精细或更详细的观察)或改变被观察的特征/行为,直到可疑的或性能退化的智能设备行为的源被标识出、直到达到处理或电池消耗阈值、或直到智能设备处理器确定可疑的或性能退化的智能设备行为的源不能通过进一步增加的观察间隔尺寸而标识出。这种反馈通信还使智能设备102能够在智能设备中本地调节或修改数据/行为模型而不消耗多余量的智能设备的处理、存储或能量资源。
在一方面,匿名器模块310可以被配置为接收被确定为包含异常行为实例以及异常行为作为良性或恶意的分类的行为向量。一些方面可以包括由智能控制设备120的有关模块(例如,分析器模块304和/或分类器模块308)发送的行为向量。其它方面可以包括从观察器设备发送的行为信息,其中行为向量在观察器设备上生成并被分析,但被发送到控制智能设备120以用于匿名化。
匿名器模块310可以被配置为执行行为向量匿名化操作,其可以包括进行、执行和/或将数据、算法、分类器或模型(本文中共同称为“匿名器分类器模型”)应用于所标识的行为向量以去除对于用户或用户标识而言私人的任何设备信息(例如,机器地址、用户数据、位置数据等)。每个匿名器分类器模型可以是行为模型(如标准分类器模型)并且包括数据和/或信息结构(例如,特征向量、行为向量、组件列表等),所述数据和/或信息结构可以由智能设备处理器使用以评估智能设备行为的哪些特定特征或方面是私人的或用户标识的。每个智能设备可以具有相关联的特定设备的分类器模型,其可以存储在智能设备(例如,用于控制设备和观察器设备)上或可以存储在控制设备上以用于对匿名化与其它设备(例如,受限设备、观察器设备)相关联的行为向量的参考。匿名器分类器模型可以预安装在控制智能设备120上、从网络服务器140下载或接收、在控制智能设备120中生成、或其任何组合。模型可以被更新为经修改或更新的智能设备特征。一旦从行为向量和附属分类信息中去除私人或用户标识的信息,匿名化行为向量可以在网络上发送到网络服务器140。
在一方面,被分析器模块304标识为异常的行为可以被确定为需要额外的观察。一些方面可以包括请求将特定特征从网络服务器140发送到观察器。为了关注对特定设备的特定特征的行为观察,智能设备(例如,控制智能设备)可以生成以特征为目标的分类器模型,其可以附加于或代替标准分类器模型使用。
行为观察器模块302和行为分析器模块304可以单独地或总体地提供对智能设备的行为的实时行为分析以通过有线且粗略的观察标识可疑的行为,以动态地确定要更详细观察的行为,并且动态地确定观察所需细节的水平。以这种方式,行为观察器模块302可以使控制智能设备120能够有效地识别智能设备上出现的问题,而不需要设备上的大量处理器、存储器或电池资源。
在各个方面,行为观察器模块302和/或行为分析器模块304可以被配置为使用一个或多个智能设备的特定设备的信息来标识特定智能设备的多个测试状况,例如先前观察到的异常行为。这些测试状况可以用于生成以特征为目标分类器模块,所述目标分类器模块可以用于更接近地监测与一个或多个智能设备有关的观察行为。在一方面,以特征为目标的分类器模型可以被生成为包括或优先化决策节点,决策节点评估与过去的异常情况相关的智能设备特征、最近更新或修改的特征、智能设备的当前操作状态或配置。在另外的方面,生成精简分类器模型可以包括:确定独特测试状况的数量,独特测试状况应当被评估为对行为进行分类而不消耗多余量的智能设备的资源(例如,处理、存储或能量资源);通过顺序地遍历标准分类器模型中的多个测试状况来生成测试状况的列表;将与对智能设备的目标行为进行分类有关的那些测试状况插入测试状况的列表直到测试状况的列表包括所确定的独特测试状况的数量;以及生成以特征为目标的分类器模型,其包括标准分类器模型中所包括的决策节点,标准分类器模型测试所生成的测试状况列表中所包括的状况之一。以特征为目标的分类器模型可以存储用于后续分析或可以发送回智能设备(例如,观察器设备)以用于存储。
各个方面包括有助于智能设备行为观察的分布、分析、和在不同处理能力的智能设备上的匿名化的方法和系统。例如,单个控制智能设备120可以观察其自身行为,分析该行为,匿名化行为信息,以及发送信息。作为另一示例,受限设备112、114(例如烤箱)可以监测其正常操作,将所观察到的行为的日志发送到控制智能设备120以用于分析和匿名化,或者如果在范围内无控制智能设备120,则可以将所观察的行为的日志发送到观察器设备116、118。除了所接收到的受限设备110、112的行为日志以外,观察器设备116、118可以发送其自身所观察到的行为。类似地,观察器设备116、118可以生成针对其自身行为和受限设备行为的行为向量,从而仅将行为向量发送到控制智能设备120。
在一些方面,为了减少设备间传输,观察器设备116、118可以执行行为向量生成和针对其自身所观察到的行为以及附近受限设备110、112所观察到的行为的分析。在这样的方面,如果检测到异常则行为向量仅可以发送到控制智能设备120。因此,可以通过将一些生成和分析任务分配到那些在停机期间具有实质性处理能力和低处理负荷的观察器设备116、118(例如,电视机、电冰箱、无线电、娱乐系统等)来减少控制智能设备120上的处理负荷。在各个配置和方面中,行为信息仅可以在智能设备网络当中本地地发送,并且可以不在任何开放式通信网络(例如互联网)上发送,而不会首先被匿名化以去除私人信息。
图4示出了在控制智能设备120中生成特定设备的分类器模块的方面性方法400。方法400可以通过控制智能设备120的处理内核来执行。
在方框402中,处理内核可以使用分类器模型452中所包括的信息来生成大量的决策节点448和数据点,所述大量的决策节点448共同地标识、描述、测试或评估所有或许多的特征,所述数据点与确定所观察到的智能设备行为是良性的还是导致智能设备120随时间的性能或功耗特性退化有关。例如,在方框402中,处理内核可以生成测试四十个(40)独特状况的一百个(100)决策节点448。
在一方面,决策节点448可以是决策桩。每个决策桩可以是一个等级的决策树,所述决策树准确地具有测试一种状况或智能设备特征的一个节点。因为在决策桩中仅有一个节点,将特征向量应用于决策桩产生了二元答案(例如,是或否,恶意的或良性的等)。例如,如果由决策桩448b测试的状况为“具有小于x每分钟的SMS传输频率”,则将“3”的值应用于决策桩448b将产生“是”答案(对于“小于3”的SMS传输)或“否”答案(对于“3”或更大的SMS传输)。这个二元的“是”或“否”随后可以用于对结果进行分类,如指示行为是异常(A)或正常(N)的。由于这些桩是非常简单的评估(基本为二元的),所以用于执行每个桩的处理是非常简单的并且可以用更少的处理开销来快速和/或并行地完成。
在一方面,每个决策节点448可以是关联的权重值,其可以基于或反映通过回答测试问题获取了多少知识和/或回答测试状况将使处理内核能够确定智能设备行为是否是异常的可能性。与决策节点448相关联的权重可以基于从对智能设备行为的先前观察或分析收集到的信息、软件应用或智能设备中的进程来进行计算。在一方面,还可以基于有多少数据库的单元(例如,数据或行为向量的云数据库)用于建立节点来计算与每个决策节点448相关联的权重。在一方面,可以基于通过执行/应用先前的数据/行为模型或分类器所收集到准确度或性能信息来生成权重值。
在方框410中,处理内核可以使用分类器模型452中的一个或任何组合以执行实时行为监测和分析操作,并且预测是所观察的智能设备行为还是例行设备操作的部分。在一方面,智能设备可以被配置为并行地使用或应用多分类器模型452,例如标准分类器模型和以特征为目标的分类器模型。在一方面,处理内核可以在评估特定智能设备行为时给出通过应用或使用以特征为目标的分类器模型生成的结果与通过应用/使用标准分类器模型452生成的结果相比的偏好或优先级。处理内核可以使用应用分类器模型的结果来预测智能设备行为是正常的(例如,与例行操作和设备的功能相关联)还是异常的。
在方框406中,另一个分类器模块可以应用于任何决策桩从而产生异常行为。每个决策树可以包括双重选项以确定异常行为被分类为“良性的”还是“恶意的”。一些异常行为对受影响的智能设备可能不具有有害作用,而其它异常情况可能是对设备的操作完整性或用户安全构成风险的设备故障。异常行为分类的结果可以在匿名化之前、期间或之后添加行为向量,以向远程接收实体提供关于所检测的异常情况的本质的信息。
图5示出了根据一方面的用于执行对智能设备行为的匿名众包的示例性方法500。在方框502中,智能设备处理器可以通过监测/观察与智能设备的操作和功能有关的大量因素/行为的子集来执行粗略的观察。在方框504中,智能设备处理器可以基于粗略观察来生成表征粗略观察和/或智能设备行为的行为向量。在方框506中,智能设备处理器可以标识与相应智能设备相关联的一个或多个分类器模型。例如,处理器可以执行对本地存储的查询或可以确定适当的(多个)分类器模型从观察器设备或其它控制智能设备连同行为信息一起被发送。在一方面,作为方框504和506的部分,智能设备处理器可以执行以上针对图2-4所讨论的一个或多个操作。
在方框508中,智能设备处理器可以基于粗略的观察执行行为分析操作。这可以通过将与相应智能设备相关联的一个或多个分类器模型和行为向量事件进行比较来完成。
在确定方框510中,智能设备处理器可以确定异常行为或潜在问题是否可以基于行为分析的结果来标识。当智能设备处理器确定异常行为或潜在问题可以基于行为分析的结果(即,确定方框510=“是”)来标识时,处理器可以在方框512中发起匿名化行为向量和任何分类信息的进程,以便去除与用户标识、位置等相关的任何信息。在方框514中,匿名化行为向量和任何附加分类信息可以经由诸如互联网之类的网络发送到网络服务器。
在一些方面,处理器可以确定异常行为保证优先化监测。在方框516中,智能设备的处理器可以生成以特征为目标的分类器模型,该分类器模型优先化匿名行为以用于进一步监测。在方框518中,以特征为目标的分类器模型可以本地地存储或发送到相关联的智能设备。在方框502中处理器随后可以继续粗略的观察。
当智能设备处理器确定异常行为或潜在问题不能基于行为分析的结果(即,确定方框510=“否”)来标识时,在方框502中处理器可以执行附加的粗略观察。
在一方面,作为方法500的方框502-518中的操作,智能设备处理器可以执行对系统的行为的实时行为分析以通过有限且粗略的观察标识异常行为,分析针对异常行为所观察到的行为,匿名化任何所检测的异常行为的行为信息,以及将匿名化行为发送到远程服务器以用于聚焦和进一步分析。这使得制造商、服务供应商以及研究管理员能够收集关于特定智能设备的操作和功能的大数据库,而不公开对于用户或用户标识而言私人的任何信息。
图6示出了收集和发送受限或观察器智能设备的行为观察的方面性方法600。在方框602中,受限设备的处理器(例如智能家用电器)可以监测和观察设备操作和功能。可以连续地或在预定时间间隔内进行观察。在方框604中,所收集到的行为日志可以发送到控制智能设备或观察器设备。接收智能设备的处理器内核可以用以上所讨论的方式针对方框504中的操作生成行为向量。在一些方面,发送设备可以是观察器设备,其可以在将行为信息发送到控制智能设备之前执行与方法500的方框504-508相关联的任务中的任何任务。
图7示出了受限或观察器智能设备的更新特征信息或再优先化特征观察的方面性方法700。
在方法700的方框702中,处理内核可以接收分类器模型,所述分类器模型可以是或包括识别与特定智能设备的一个或多个特定特征有关的多个测试状况的信息结构。在一方面,分类器模型可以包括适合于表示多个决策桩的信息和/或包括适合于通过智能设备转换成多个决策桩的信息。在一方面,特征信息可以包括决策桩的按顺序的或优先化的列表。决策桩中的每个可以包括测试状况和权重值。在一方面,特征信息可以由控制智能设备或观察器设备接收,并且可以由网络服务器(例如,服务供应商、设备的制造商等)发送。特征信息可以包含用于再优先化特定特征的监测的更新的加权信息、添加到行为列表以用于监测的新特征,以及对现有分类器模型和观察列表的其它这种修改。
在方框704中,处理内核可以生成更新的以特征为目标的分类器模型。以特征为目标的分类器模型可以包括独特测试状况的数量,独特测试状况应当被评估为将与目标特征相关联的智能设备行为准确分类为异常的或正常的,而不消耗多余量的智能设备的处理、存储或能量资源。处理内核可以使用特定设备或特定设备状态的信息以快速识别应当包括在以特征为目标的分类器模型中或从中排除的特征和/或测试状况。作为另一示例,处理内核可以识别并从以特征为目标的分类器模型中排除标准模型中所包括的特征/节点/桩和不能存在于智能设备中的测试状况和/或与智能设备的目标特征不相关的测试状况。
在方框706中,处理器内核可以将以特征为目标的分类器模型发送到与控制智能设备通信的所有相关智能设备。例如,如果网络服务器发送关于在智能灯泡中的操作期间的安全性的更新的信息,则所生成的操作时间以特征为目标的模型的分类器可以发送到所有控制智能设备和观察器设备以用于分析所记录的智能灯泡行为。在一些方面,以特征为目标的分类器模型可以发送到智能灯泡。如果“操作期间”的特征先前未被监测,则控制智能设备还可以将更新的行为观察信息发送到所有智能灯泡。对智能设备行为的观察随后可以开始如上所讨论的方法500的方框502和/或方法600的方框602。
图8更详细地示出了实施方面性观察器守护进程的计算系统800中的逻辑组件和信息流。在图8中所示的示例中,计算系统800包括用户空间中的行为检测器802模块、数据库引擎804模块、以及行为分析器模块304和匿名器模块310、以及内核空间中的环状缓冲器814、滤波规则816模块、节流规则818模块以及安全缓冲器。计算系统800可以进一步包括观察器守护进程,守护进程包括用户空间中的行为检测器802和数据库引擎804以及内核空间中的安全缓冲管理器806、规则管理器808、以及系统健康状况监测器810。
各个方面可以提供对包含浏览器核心、SDK、NDK、内核、驱动器和硬件的智能设备的跨层观察以便表征系统行为。行为观察可以实时进行。
观察器模型可以执行自适应观察技术并控制观察间隔尺寸。如上所讨论的,存在导致智能设备的故障或错误行为的大量因素(即,成千个),并且可能不易监测/观察导致异常行为事件的出现的所有不同因素。但是,特征观察的优先级可以在系统的整个生命周期中动态地修改,如制造商、服务供应商、以及关于智能设备的特定特征的操作和功能的其它实体所需信息。特征信息可以发送到控制智能设备以用于分发到其它智能设备。以这种方式,众包的匿名化行为信息可以受到被授权收集和分析数据的多方影响。
各个方面可以在各个计算设备上实施,其示例在图9中以智能电话的形式示出。智能电话900可以包括处理器902,处理器902耦合到内部存储器904、显示器912以及扬声器914。另外,智能电话900可以包括用于发送和接收电磁辐射的天线,天线可以连接到无线数据链路和/或蜂窝电话收发器908,无线数据链路和/或蜂窝电话收发器908耦合到处理器902。智能电话900还典型地包括用于接收用户输入的菜单选择按钮或摇臂开关920。
典型地智能电话900还包括声音编码/解码(CODEC)电路906,其将从麦克风接收到的声音数字化为适合于无线传输的数据分组并且对所接收到的声音数据分组进行解码,从而生成被提供到扬声器以产生声音的模拟信号。另外,处理器902、无线收发器908和CODEC1206中的一个或多个可以包括数字信号处理器(DSP)电路(未单独示出)。
适用于各个方面的另一示例是如图10中所示的智能灯泡1000。智能灯泡1000可以包括用于将智能灯泡1000插入插槽或插座(未示出)的基座1032。基座1032可以是各种各样灯泡基座类型中的任何类型,例如对于本领域技术人员公知的螺旋类型的灯泡基座。插槽或插座典型地提供电源(通常为交流电流(AC)电力),智能灯泡1000可以通过所述电源获取功率以操作有源元件。
智能灯泡1000可以包括控制单元1010,控制单元1010可以包括处理器1002和存储器1006、RF单元1008、元件控制单元1022、以及耦合到基座1032上的电连接器的电力单元1024。控制单元1010内的各个单元可以通过连接1001耦合,并且可以被集成为片上系统(SOC)。处理器1002可以是嵌入式处理器或控制器、通用处理器、或类似的处理器并且可以配备存储器1006。内部/外部存储器1006可以是易失性或非易失性存储器。控制单元1010可以具有无线电信号收发器1008(例如,蓝牙、蓝牙LE、Zigbee、Wi-Fi、RF无线电等),无线电信号收发器1008耦合到处理器1002和天线1009以用于发送和接收通信。处理器1002可以被配置有处理器可执行指令以执行各个方面的一些操作,包括监测行为、可选地生成行为向量、以及经由收发器1008发送行为数据和/或行为向量。
方面性方法中的部分可以在客户端服务器架构中完成,客户端服务器架构具有服务器中出现的处理中的一些,例如维持正常操作行为的数据库,其可以在执行方面性方法时由智能设备处理器存取。这些方面可以在各种商业上可用的服务器设备中的任一种(例如,图11中所示的服务器1100)上实施。这种服务器1100典型地包括处理器1101,处理器1101耦合到易失性存储器1102和大容量非易失性存储器(例如硬盘驱动器1103)。服务器1100还可以包括耦合到处理器1101的软磁盘驱动器、光盘(CD)、DVD磁盘驱动器1304。服务器1100还可以包括耦合到处理器1101的网络接入端口1106以用于建立与网络1105(例如耦合到其它广播系统计算机和服务器的局域网)的数据连接。
处理器902、1002、1101可以是能够由软件指令(应用)配置以执行各种功能(包括以下描述的各个方面的功能)的任何可编程微处理器、微计算机或(一个或多个)多处理器芯片。在一些智能设备中,可以提供多处理器902、1002、1101,例如专用于无线通信功能的一个处理器以及专用于运行其它应用的一个处理器。典型地,软件应用可以在它们被存取和加载到处理器902、1002、1101中时存储在内部存储器904、1006、1102、1103中。处理器902、1002、1101可以包括足以存储应用软件指令的内部存储器。
多种不同的蜂窝和智能通信服务及标准是可用的或在未来考虑,所述服务及标准中的所有可以实施并受益于各个方面。这样的服务及标准包括例如:第三代合作伙伴计划(3GPP)、长期演进(LTE)系统、第三代无线智能通信技术(3G)、第四代无线智能通信技术(4G)、全球智能通信系统(GSM)、通用智能通讯系统(UMTS)、3GSM、通用分组无线业务(GPRS)、码分多址(CDMA)系统(例如,cdmaOne、CDMA1020TM)、增强型数据速率GSM演进(EDGE)、高级智能电话系统(AMPS)、数字AMPS(IS-136/TDMA)、演进数据优化(EV-DO)、增强型数字无绳通讯(DECT)、全球微波接入互操作性(WiMAX)、无线局域网(WLAN)、WiFi保护的接入Ⅰ&Ⅱ(WPA、WPA2)以及集成数字增强型网络(iden)。这些技术中的每一种涉及例如:语音、数据、信令和/或内容消息的发送和接收。应当理解的是,对术语的任何引用和/或与个体通讯标准或技术有关的技术细节是仅出于说明性目的的,并且并非旨在将权利要求的范围限制为特定通信系统或技术,除非在权利要求语言中具体阐述。
术语“性能退化”在本申请中用于指代各种各样的不期望的智能设备操作和特性,例如较长处理时间、较慢实时响应、较短电池寿命、私人数据的损失、恶意的经济活动(例如,发送未经授权的高昂SMS消息)、拒绝服务(DoS)、与命令智能设备有关的操作或将电话用于间谍或僵尸网络活动等。
用于在执行各个方面的操作的可编程处理器上执行的计算程序代码或“程序代码”可以用高级编程语言(例如C、C++、C#、Smalltalk、Java、JavaScript、Visual Basic、结构化询问语言(例如Transact-SQL)、Perl)或用各种其它编程语言来书写。如本申请中所使用的计算机可读存储介质上存储的程序代码或程序可以指代机器语言代码(例如设备代码),其格式能够被处理器理解。
许多智能计算设备操作系统内核被组织为用户空间(其中,运行非特权代码)和内核空间(其中,运行特权代码)。这个区分在和其它通用公共许可证(GPL)环境中具有特定的重要性,其中作为内核空间的部分的代码必须被GPL许可,而在用户空间中运行的代码不能被GPL许可。应当理解的是,除非另行明确陈述,否则此处所讨论的各种软件组件/模块可以在内核空间或用户空间中实施。
前述方法描述和过程流程图仅作为说明性示例来提供,并且并不旨在要求或暗示各个方面的操作必须以所呈现的顺序来执行。如本领域技术人员将意识到的,前述实施例的操作顺序可以以任何顺序来执行。诸如“此后”、“随后”、“接着”等词语不旨在限制操作的顺序;这些词语简单地用于引导读者通过对方法的描述。此外,以单数形式对权利要求要素的任何引用,例如使用冠词“一”、“一个”或“所述”不应被解释为将该要素限制为单数。
如本申请中所使用的,术语“组件”、“模块”、“系统”、“引擎”、“生成器”、“管理器”等旨在包括计算机相关的实体,例如但不限于硬件、固件、硬件和软件的组合、软件、或在执行的软件,其被配置为执行特定操作或功能。例如,组件可以是但不限于:在处理器上运行的进程、处理器、设备、可执行的、执行线程、程序和/或计算机。通过例示的方式,在计算设备上运行的应用和计算设备两者可以被称为组件。一个或多个组件可以驻留在进程和/或执行线程内,并且组件可以定位在一个处理器或核心上和/或分布在两个或更多个处理器或核心之间。另外,这些组件可以从在其上存储有各种指令和/或数据结构的各种非暂时性计算机可读介质执行。组件可以通过以下方式通信:本地和/或远程进程、函数或程序调用、电子信号、数据分组、存储器读/写、以及其它已知的网络、计算机、处理器和/或与通信方法有关的进程。
结合本文中公开的方面所描述的各种说明性的逻辑框、模块、电路和算法操作可以被实施为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,上文已经将各种说明性的组件、框、模块、电路和操作在它们的功能方面进行了一般地描述。至于这种功能是被实施为硬件还是软件,这取决于特定应用和施加在整体系统上的设计约束。本领域技术人员可以针对每个特定应用以不同的方式实施所描述的功能,但是这种实施方式决定不应被解释为导致偏离了本发明的概念的范围。
用于实施结合本文中公开的实施例所描述的各种说明性的逻辑单元、逻辑框、模块和电路的硬件可以利用被设计为执行本文中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件或其任何组合来实施或执行。通用处理器可以是多处理器,但是在替代方案中,处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器还可以被实施为计算设备的组合,例如DSP和多处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器、或任何其它此类配置。替代地,一些操作或方法可以由特定于给定功能的电路来执行。
在一个或多个示例性方面中,所描述的功能可以用硬件、软件、固件或其任何组合来实施。如果用软件来实施,则这些功能可以作为一个或多个指令或代码存储在非暂时性计算机可读存储介质或非暂时性处理器可读存储介质上。本文中公开的方法或算法的操作可以体现在处理器可执行软件中,处理器可执行软件可以驻留在非暂时性计算机可读或处理器可读存储介质上。非暂时性计算机可读或处理器可读存储介质可以是可以由计算机或处理器访问的任何存储介质。通过示例而非限制的方式,这种非暂时性计算机可读或处理器可读介质可以包括RAM、ROM、EEPROM、闪存存储器、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或可以用于以指令或数据结构的形式存储期望的程序代码并且可以由计算机访问的任何其它介质。如本文中所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘和蓝光盘,其中磁盘通常磁性地再现数据,而光盘则利用激光来光学地再现数据。上述的组合也包括在非暂时性计算机可读和处理器可读介质的范围内。另外,方法或算法的操作可以作为一个代码和/或指令或代码和/或指令的任何组合或代码和/或指令集合驻留在非暂时性处理器可读介质和/或计算机可读介质上,非暂时处理器可读介质和/或计算机可读介质可以被并入计算机程序产品中。
对所公开的方面的先前描述被提供用于使任何本领域技术人员能够制作或使用本发明。对这些方面的各种修改对于本领域技术人员而言将是显而易见的,并且本文中所定义的一般原理可以应用于其它方面而不脱离本发明的精神和范围。因此,本发明并不旨在局限于本文中所示的方面,而被给予与所附权利要求书和本文中所公开的原理及新颖特征一致的最宽泛的范围。

Claims (29)

1.一种匿名共享设备行为信息的方法,包括:
响应于检测到异常行为来由第一设备的处理器匿名化设备行为向量以去除用户标识的信息以生成匿名化设备行为向量;以及
在网络上由所述第一设备的收发器将所述匿名化设备行为向量发送到远程服务器。
2.根据权利要求1所述的方法,进一步包括:
通过收集来自设备组件的行为信息来在一段时间内由所述第一设备的所述处理器监测所述设备的行为,
使用所收集到的所述设备的行为信息来由所述第一设备的所述处理器建立设备行为向量;以及
由所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。
3.根据权利要求1所述的方法,进一步包括:
通过收集来自设备组件的行为信息来在一段时间内由第二设备的处理器监测所述第二设备的行为;
由所述第二设备的发送器将所收集到的行为信息发送到所述第一设备;
使用所收集到的所述第二设备的行为信息来由所述第一设备的所述处理器建立设备行为向量;
由所述第三设备的收发器将所述设备行为向量发送到所述第一设备,以及
由所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。
4.根据权利要求1所述的方法,进一步包括:
通过收集来自设备组件的行为信息来在一段时间内由第二设备的处理器监测所述第二设备的行为,
由所述第二设备的发送器将所收集到的行为信息发送到第三设备;
使用所收集到的从所述第二设备接收到的行为信息来由所述第三设备的处理器建立设备行为向量;以及
由所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。
5.根据权利要求4所述的方法,进一步包括:
通过收集来自设备组件的行为信息来在一段时间内由第三设备的处理器监测所述第三设备的行为;
使用所收集到的所述第三设备的行为信息来由所述第三设备的所述处理器建立第三设备行为向量;
由所述第三设备的收发器将所述第三设备行为向量发送到所述第一设备;以及
由所述第一设备的所述处理器分析所述第三设备行为向量以检测异常行为。
6.根据权利要求1所述的方法,进一步包括:
通过收集来自设备组件的行为信息来在一段时间内由第二设备的处理器监测所述第二设备的行为;
由所述第二设备的发送器将所收集到的行为信息发送到第三设备;
使用所收集到的从所述第二设备接收到的行为信息来由所述第三设备的处理器建立设备行为向量;
由所述第三设备的所述处理器分析所述设备行为向量以检测异常行为;以及
响应于检测到异常行为来由所述第三设备的收发器将所述设备行为向量发送到所述第一设备。
7.根据权利要求6所述的方法,进一步包括:
通过收集来自设备组件的行为信息来在一段时间内由第三设备的处理器监测所述第三设备的行为,
使用所收集到的所述第三设备的行为信息来由所述第三设备的所述处理器建立第三设备行为向量;
由所述第三设备的所述处理器分析所述第三设备行为向量以检测异常行为;以及
响应于检测到异常行为来由所述第三设备的收发器将所述第三设备行为向量发送到所述第一设备。
8.根据权利要求1所述的方法,进一步包括:
响应于检测到异常行为来由所述第一设备的所述处理器生成特征向量,其中,所述特征向量与所检测到的异常行为相关联;
由所述第一设备的所述处理器将所述特征向量发送到与所述第一设备本地通信的一个或多个设备;以及
由所述一个或多个设备的处理器监测与所述特征向量中所包含的特征有关的行为。
9.根据权利要求1所述的方法,进一步包括:
由所述第一设备的所述收发器从远程服务器接收一个或多个特征向量,所述一个或多个特征向量和与第一设备本地通信的一个或多个设备有关;
由所述第一设备的所述处理器将所述一个或多个特征向量发送到与第一设备本地通信的所述一个或多个设备;以及
由所述一个或多个设备的处理器监测与所述一个或多个特征向量中所包含的特征有关的行为。
10.根据权利要求1所述的方法,其中,匿名化所述设备行为向量包括将对于所述第一设备独特的匿名器模块应用于所述设备行为向量。
11.一种多技术通信设备,包括:
天线;以及
处理器,其通信地连接到所述天线并且被配置有用于执行以下操作的处理器可执行指令,所述操作包括:
响应于检测到异常行为来匿名化设备的设备行为向量以去除用户标识的信息以生成匿名化设备行为向量;以及
在网络上将所述匿名化设备行为向量发送到远程服务器。
12.根据权利要求11所述的多技术通信设备,其中,所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述设备的行为;
使用所收集到的所述设备的行为信息来建立设备行为向量;以及
分析所述设备行为向量以检测异常行为。
13.根据权利要求11所述的多技术通信设备,其中,所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
响应于检测到异常行为来生成特征向量,其中,所述特征向量与所检测到的异常行为相关联;
将所述特征向量发送到与第一设备本地通信的一个或多个设备;以及
监测与所述特征向量中所包含的特征有关的行为。
14.根据权利要求11所述的多技术通信设备,其中,所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
从远程服务器接收一个或多个特征向量,所述一个或多个特征向量和与第一设备本地通信的一个或多个设备有关;
将所述一个或多个特征向量发送到与所述第一设备本地通信的所述一个或多个设备;以及
监测与所述一个或多个特征向量中所包含的特征有关的行为。
15.根据权利要求11所述的多技术通信设备,其中,所述处理器被配置有用于执行操作的处理器可执行指令,使得匿名化所述设备行为向量包括:将对于所述设备独特的匿名器模块应用于所述设备行为向量。
16.一种通信系统,包括:
第一设备,其被配置为在本地无线网络和通信网络上接收和发送数据;
第二设备,其被配置为在本地无线网络上接收和发送数据;以及
第三设备,其被配置为在本地无线网络上发送数据;
其中,所述第一设备包括多技术通信设备,所述多技术通信设备具有处理器,所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
响应于检测到异常行为来匿名化设备行为向量以去除用户标识的信息以生成匿名化设备行为向量;以及
在网络上将所述匿名化设备行为向量发送到远程服务器;
其中,所述第二设备包括被配置有处理器可执行指令的处理器;并且
其中,所述第一设备包括具有被配置有处理器可执行指令的处理器的设备。
17.根据权利要求16所述的系统,其中,所述第一设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述设备的行为,
使用所收集到的所述设备的行为信息来建立设备行为向量;以及
分析所述设备行为向量以检测异常行为。
18.根据权利要求16所述的系统,其中:
所述第二设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述第二设备的行为;以及
将所收集到的行为信息发送到所述第一设备;并且
所述第一设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
使用所收集到的所述第二设备的行为信息来建立设备行为向量;以及
分析所述设备行为向量以检测异常行为。
19.根据权利要求16所述的系统,其中:
所述第二设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述第二设备的行为;以及
将所收集到的行为信息发送到第三设备;
所述第三设备的所述处理器被进一步配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
使用所收集到的从所述第二设备接收到的行为信息来建立设备行为向量;以及
将所述设备行为向量发送到所述第一设备;并且
所述第一设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
由所述第一设备的所述处理器分析所述设备行为向量以检测异常行为。
20.根据权利要求19所述的系统,其中:
所述第三设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述第三设备的行为,
使用所收集到的所述第三设备的行为信息来建立第三设备行为向量;以及
将所述第三设备行为向量发送到所述第一设备;并且
所述第一设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括分析所述第三设备行为向量以检测异常行为。
21.根据权利要求16所述的系统,其中:
所述第二设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述第二设备的行为;
将所收集到的行为信息发送到所述第三设备;
所述第三设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
使用所收集到的从所述第二设备接收到的行为信息来建立设备行为向量;
分析所述设备行为向量以检测异常行为;以及
响应于检测到异常行为来将所述设备行为向量发送到所述第一设备。
22.根据权利要求21所述系统,其中,所述第三设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述第三设备的行为;
使用所收集到的所述第三设备的行为信息来建立第三设备行为向量;
分析所述第三设备行为向量以检测异常行为;以及
响应于检测到异常行为来将所述第三设备行为向量发送到所述第一设备。
23.根据权利要求16所述系统,其中,
所述第一设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
响应于检测到异常行为来生成特征向量,其中,所述特征向量与所检测到的异常行为相关联;
将所述特征向量发送到与第一设备本地通信的一个或多个设备;并且
所述第一设备、所述第二设备、所述第三设备的所述处理器被进一步配置有用于执行以下操作的处理器可执行指令:
监测与所述特征向量中所包含的特征有关的行为。
24.根据权利要求16所述系统,其中,
所述第一设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
从远程服务器接收一个或多个特征向量,所述一个或多个特征向量和与第一设备本地通信的一个或多个设备有关;
将所述一个或多个特征向量发送到与所述第一设备本地通信的所述一个或多个设备;并且
所述第一设备、所述第二设备、所述第三设备的所述处理器被配置有用于执行以下操作的处理器可执行指令,所述操作进一步包括:
监测与所述一个或多个特征向量中所包含的特征有关的行为。
25.一种非暂时性处理器可读介质,具有存储在其上的处理器可执行软件指令,所述处理器可执行软件指令用于使多技术通信设备的处理器执行以下操作,所述操作包括:
响应于检测到异常行为来匿名化设备的设备行为向量以去除用户标识的信息以生成匿名化设备行为向量;以及
在网络上将所述匿名化设备行为向量发送到远程服务器。
26.根据权利要求25所述的非暂时性处理器可读介质,其中,所存储的处理器可执行软件指令被配置为使多技术通信设备的处理器执行以下操作,所述操作进一步包括:
通过收集来自设备组件的行为信息来在一段时间内监测所述设备的行为;
使用所收集到的所述设备的行为信息来建立设备行为向量;以及
分析所述设备行为向量以检测异常行为。
27.根据权利要求25所述的非暂时性处理器可读介质,其中,所存储的处理器可执行软件指令被配置为使多技术通信设备的处理器执行以下操作,所述操作进一步包括:
响应于检测到异常行为来生成特征向量,其中,所述特征向量与所检测到的异常行为相关联;
将所述特征向量发送到与第一设备本地通信的一个或多个设备;以及
监测与所述特征向量中所包含的特征有关的行为。
28.根据权利要求25所述的非暂时性处理器可读介质,其中,所存储的处理器可执行软件指令被配置为使多技术通信设备的处理器执行以下操作,所述操作进一步包括:
从远程服务器接收一个或多个特征向量,所述一个或多个特征向量和与第一设备本地通信的一个或多个设备有关;
将所述一个或多个特征向量发送到与所述第一设备本地通信的所述一个或多个设备;以及
监测与所述一个或多个特征向量中所包含的特征有关的行为。
29.根据权利要求25所述的非暂时性处理器可读介质,其中,所存储的处理器可执行软件指令被配置为使多技术通信设备的处理器执行操作,使得匿名化所述设备行为向量包括:将对于所述设备独特的匿名器模块应用于所述设备行为向量。
CN201680016525.1A 2015-03-18 2016-02-19 用于表征设备行为的自动化匿名众包的方法和系统 Expired - Fee Related CN107430660B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/661,195 2015-03-18
US14/661,195 US10063585B2 (en) 2015-03-18 2015-03-18 Methods and systems for automated anonymous crowdsourcing of characterized device behaviors
PCT/US2016/018669 WO2016148840A1 (en) 2015-03-18 2016-02-19 Methods and systems for automated anonymous crowdsourcing of characterized device behaviors

Publications (2)

Publication Number Publication Date
CN107430660A true CN107430660A (zh) 2017-12-01
CN107430660B CN107430660B (zh) 2020-06-09

Family

ID=55447173

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680016525.1A Expired - Fee Related CN107430660B (zh) 2015-03-18 2016-02-19 用于表征设备行为的自动化匿名众包的方法和系统

Country Status (6)

Country Link
US (1) US10063585B2 (zh)
EP (1) EP3271860B1 (zh)
JP (1) JP2018513467A (zh)
KR (1) KR20170128300A (zh)
CN (1) CN107430660B (zh)
WO (1) WO2016148840A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108921047A (zh) * 2018-06-12 2018-11-30 江西理工大学 一种基于跨层融合的多模型投票均值动作识别方法
WO2019196866A1 (zh) * 2018-04-11 2019-10-17 华为技术有限公司 匿名化处理方法、装置、设备及存储介质
WO2021195889A1 (zh) * 2020-03-30 2021-10-07 华为技术有限公司 一种关于定位置信度的控制方法及装置

Families Citing this family (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014134630A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Modeling social behavior
US20140250052A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Analyzing social behavior
US9774604B2 (en) * 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
US9680646B2 (en) * 2015-02-05 2017-06-13 Apple Inc. Relay service for communication between controllers and accessories
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
KR102294366B1 (ko) * 2015-06-16 2021-08-27 에이에스엠엘 네델란즈 비.브이. 결함 검증을 위한 방법들
US10863139B2 (en) * 2015-09-07 2020-12-08 Nokia Technologies Oy Privacy preserving monitoring
EP3420700B8 (en) 2016-02-24 2022-05-18 Mandiant, Inc. Systems and methods for attack simulation on a production network
US10275955B2 (en) * 2016-03-25 2019-04-30 Qualcomm Incorporated Methods and systems for utilizing information collected from multiple sensors to protect a vehicle from malware and attacks
US10341391B1 (en) * 2016-05-16 2019-07-02 EMC IP Holding Company LLC Network session based user behavior pattern analysis and associated anomaly detection and verification
US20180049003A1 (en) * 2016-08-11 2018-02-15 Reid Jonathon Maulsby Passive and active location tracking for mobile devices
US20180069878A1 (en) * 2016-09-02 2018-03-08 Iboss, Inc. Malware detection for proxy server networks
US11038848B2 (en) * 2016-10-20 2021-06-15 Oklahoma Blood Institute System and method for receiver to anonymous donor communications
US11228567B2 (en) * 2016-10-20 2022-01-18 Oklahoma Blood Institute System and method for receiver to anonymous donor communication
US10380348B2 (en) 2016-11-21 2019-08-13 ZingBox, Inc. IoT device risk assessment
EP3343968B1 (en) * 2016-12-30 2021-08-11 u-blox AG Monitoring apparatus, device monitoring system and method of monitoring a plurality of networked devices
US10460115B2 (en) * 2017-05-15 2019-10-29 International Business Machines Corporation Data anonymity
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US10129269B1 (en) * 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10740212B2 (en) * 2017-06-01 2020-08-11 Nec Corporation Content-level anomaly detector for systems with limited memory
US20180365197A1 (en) * 2017-06-16 2018-12-20 Microsoft Technology Licensing, Llc Automatic upload and instant preview generation of locally unsupported files
GB2553419B (en) * 2017-07-11 2018-12-12 Spatialbuzz Ltd Fault monitoring in a utility supply network
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US11070568B2 (en) 2017-09-27 2021-07-20 Palo Alto Networks, Inc. IoT device management visualization
US20190104141A1 (en) * 2017-10-02 2019-04-04 Zuk Avraham System and Method for Providing and Facilitating an Information Security Marketplace
US11082296B2 (en) 2017-10-27 2021-08-03 Palo Alto Networks, Inc. IoT device grouping and labeling
US10803178B2 (en) 2017-10-31 2020-10-13 Forcepoint Llc Genericized data model to perform a security analytics operation
US10897470B2 (en) 2018-01-31 2021-01-19 Hewlett Packard Enterprise Development Lp Detecting attacks on computing devices
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
EP3656643B1 (en) 2018-05-15 2020-10-28 Cylus Cyber Security Ltd. Railway cyber security systems
EP3808052A4 (en) 2018-06-18 2022-03-02 Palo Alto Networks, Inc. PATTERN MATCH-BASED DETECTION IN INTERNET OF THINGS SECURITY
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11025638B2 (en) 2018-07-19 2021-06-01 Forcepoint, LLC System and method providing security friction for atypical resource access requests
JP7154884B2 (ja) * 2018-08-28 2022-10-18 株式会社Ye Digital 情報秘匿化方法、情報秘匿化プログラム、情報秘匿化装置および情報提供システム
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
US10951590B2 (en) 2018-09-17 2021-03-16 Ford Global Technologies, Llc User anonymity through data swapping
EP3807821A1 (en) 2018-09-28 2021-04-21 Apple Inc. Distributed labeling for supervised learning
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
WO2020085993A1 (en) * 2018-10-26 2020-04-30 Eureka Analytics Pte. Ltd. Mathematical summaries of telecommunications data for data analytics
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US11451571B2 (en) 2018-12-12 2022-09-20 Palo Alto Networks, Inc. IoT device risk assessment and scoring
US11689573B2 (en) 2018-12-31 2023-06-27 Palo Alto Networks, Inc. Multi-layered policy management
US11057409B1 (en) * 2019-01-16 2021-07-06 Akitra, Inc. Apparatus having engine using artificial intelligence for detecting anomalies in a computer network
DE102019205033A1 (de) * 2019-04-09 2020-10-15 Audi Ag Verfahren zum anonymisierten Bereitstellen von Daten eines ersten Fahrzeugs für eine fahrzeugexterne Servereinrichtung sowie Anonymisierungsvorrichtung und Kraftfahrzeug
US12001572B2 (en) * 2019-05-13 2024-06-04 Snap One, Llc Systems and methods for generating artificial automation data to protect actual automation data
EP3799589B1 (en) 2019-05-16 2022-08-24 Cylus Cyber Security Ltd. Self organizing cyber rail-cop
US11611532B1 (en) * 2019-05-30 2023-03-21 Cable Television Laboratories, Inc. Systems and methods for network security model
US11115289B1 (en) 2019-05-30 2021-09-07 Cable Television Laboratories, Inc. Systems and methods for network security model
US11537985B2 (en) * 2019-09-26 2022-12-27 International Business Machines Corporation Anonymous inventory tracking system
GB2588905A (en) * 2019-11-13 2021-05-19 British Telecomm Device classification based network security
GB201916466D0 (en) * 2019-11-13 2019-12-25 British Telecomm Device communication class based network security
US11463416B1 (en) * 2019-12-13 2022-10-04 Amazon Technologies, Inc. Automatic detection of personal information in cloud-based infrastructure configurations
US11570197B2 (en) 2020-01-22 2023-01-31 Forcepoint Llc Human-centric risk modeling framework
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11080109B1 (en) 2020-02-27 2021-08-03 Forcepoint Llc Dynamically reweighting distributions of event observations
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11080032B1 (en) 2020-03-31 2021-08-03 Forcepoint Llc Containerized infrastructure for deployment of microservices
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11816193B2 (en) * 2020-04-20 2023-11-14 Cisco Technology, Inc. Secure automated issue detection
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
US11115799B1 (en) 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification
EP4104084A1 (en) * 2020-07-14 2022-12-21 Google LLC Systems and methods of delegated analytics collection
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention
US11627011B1 (en) 2020-11-04 2023-04-11 T-Mobile Innovations Llc Smart device network provisioning
US11676591B1 (en) 2020-11-20 2023-06-13 T-Mobite Innovations Llc Smart computing device implementing artificial intelligence electronic assistant
US11374781B1 (en) 2020-11-30 2022-06-28 Sprint Communications Company L.P. Smart device spectrum assignment
GB2608592B (en) * 2021-06-29 2024-01-24 British Telecomm Network security
US11552975B1 (en) 2021-10-26 2023-01-10 Palo Alto Networks, Inc. IoT device identification with packet flow behavior machine learning model
US12081518B1 (en) 2022-02-22 2024-09-03 Everything Set Inc. Selective inspection of network traffic associated with a plurality of network-connected smart devices using man-in-the-middle (MITM) gateway
CN114863517B (zh) * 2022-04-22 2024-06-07 支付宝(杭州)信息技术有限公司 一种面部识别中的风险控制方法、装置以及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202652A (zh) * 2006-12-15 2008-06-18 北京大学 网络应用流量分类识别装置及其方法
US20110047597A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for security data collection and analysis
US20110252476A1 (en) * 2010-04-08 2011-10-13 Microsoft Corporation Early detection of potential malware
US20130303159A1 (en) * 2012-05-14 2013-11-14 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US20140359552A1 (en) * 2011-09-19 2014-12-04 Tata Consultancy Services Limited Computer Platform for Development and Deployment of Sensor Data Based Applications and Services

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10664889B2 (en) * 2008-04-01 2020-05-26 Certona Corporation System and method for combining and optimizing business strategies
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8984628B2 (en) * 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
EP2570974B1 (en) 2011-09-13 2018-11-28 ExB Asset Management GmbH Automatic crowd sourcing for machine learning in information extraction
US9934229B2 (en) * 2011-10-23 2018-04-03 Microsoft Technology Licensing, Llc Telemetry file hash and conflict detection
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US20140287723A1 (en) 2012-07-26 2014-09-25 Anonos Inc. Mobile Applications For Dynamic De-Identification And Anonymity
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US20140196139A1 (en) * 2013-01-07 2014-07-10 Richard A. Ferdinand Privacy protected internet networks, subnetworks and sub-subnetworks
US9692785B2 (en) 2013-03-05 2017-06-27 Pierce Global Threat Intelligence Systems and methods for detecting and preventing cyber-threats

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202652A (zh) * 2006-12-15 2008-06-18 北京大学 网络应用流量分类识别装置及其方法
US20110047597A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for security data collection and analysis
US20110252476A1 (en) * 2010-04-08 2011-10-13 Microsoft Corporation Early detection of potential malware
US20140359552A1 (en) * 2011-09-19 2014-12-04 Tata Consultancy Services Limited Computer Platform for Development and Deployment of Sensor Data Based Applications and Services
US20130303159A1 (en) * 2012-05-14 2013-11-14 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A-D SCHMIDT 等: "《Communications》", 31 December 2009 *
AUBREY-DERRICK SCHMIDT 等: "《Mobile Networks and Applications》", 28 February 2008 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019196866A1 (zh) * 2018-04-11 2019-10-17 华为技术有限公司 匿名化处理方法、装置、设备及存储介质
US11695740B2 (en) 2018-04-11 2023-07-04 Huawei Cloud Computing Technologies Co., Ltd. Anonymization method and apparatus, device, and storage medium
CN108921047A (zh) * 2018-06-12 2018-11-30 江西理工大学 一种基于跨层融合的多模型投票均值动作识别方法
CN108921047B (zh) * 2018-06-12 2021-11-26 江西理工大学 一种基于跨层融合的多模型投票均值动作识别方法
WO2021195889A1 (zh) * 2020-03-30 2021-10-07 华为技术有限公司 一种关于定位置信度的控制方法及装置

Also Published As

Publication number Publication date
WO2016148840A1 (en) 2016-09-22
KR20170128300A (ko) 2017-11-22
EP3271860A1 (en) 2018-01-24
JP2018513467A (ja) 2018-05-24
US10063585B2 (en) 2018-08-28
US20160277435A1 (en) 2016-09-22
CN107430660B (zh) 2020-06-09
EP3271860B1 (en) 2019-10-23

Similar Documents

Publication Publication Date Title
CN107430660A (zh) 用于表征设备行为的自动化匿名众包的方法和系统
CN106104555B (zh) 用于保护外围设备的行为分析
CN104541293B (zh) 用于客户端‑云行为分析器的架构
Mulero et al. An IoT-aware approach for elderly-friendly cities
CN104272788B (zh) 在移动计算装置中传达行为信息
CN105830081B (zh) 生成用于有针对性地保护重要应用的特定于应用的模型的方法和系统
CN106415580B (zh) 阻止侧信道攻击的方法和系统
CN106133642B (zh) 在移动设备中通过执行行为分析操作推断应用状态的方法和系统
CN107209819B (zh) 通过对移动装置的连续鉴定的资产可存取性
CN104885099B (zh) 使用推升式决策树桩和联合特征选择及剔选算法来对移动设备行为进行高效分类的方法和系统
CN107852410A (zh) 剖析欺骗接入点
CN107408178A (zh) 用于通过云与客户端行为的差异来识别恶意软件的方法及系统
US10359741B2 (en) Switch terminal system with spatial relationship information
CN109314694A (zh) 可重配置的机器对机器系统中的组管理
CN107077547A (zh) 使用针对高效连续认证的行为分析的方法和系统
CN107567628A (zh) 用于使用针对增强型决策树桩的因果分析来识别和响应非良性行为的方法和系统
CN104303538A (zh) 使用签名高速缓冲存储器来最小化行为分析的时延
CN109791587A (zh) 经由用户状态检测受危害设备
Pal et al. IoT technical challenges and solutions
CN107924492A (zh) 使用归一化置信值对移动设备行为进行分类
Chen et al. OPNET IoT simulation
Sturgess et al. A capability-oriented approach to assessing privacy risk in smart home ecosystems
Goldena Essentials of the Internet of Things (IoT)
Arshi et al. IoT Forensics
Issi A Systematic Study of Data Security Issues in Smart Home IoT Devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200609

Termination date: 20210219