CN108886483A - 用于自动装置检测的系统及方法 - Google Patents
用于自动装置检测的系统及方法 Download PDFInfo
- Publication number
- CN108886483A CN108886483A CN201780021164.4A CN201780021164A CN108886483A CN 108886483 A CN108886483 A CN 108886483A CN 201780021164 A CN201780021164 A CN 201780021164A CN 108886483 A CN108886483 A CN 108886483A
- Authority
- CN
- China
- Prior art keywords
- score
- client terminal
- classification
- terminal device
- ftp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 73
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000004044 response Effects 0.000 claims description 33
- 239000003795 chemical substances by application Substances 0.000 claims description 28
- 230000002776 aggregation Effects 0.000 claims description 9
- 238000004220 aggregation Methods 0.000 claims description 8
- 230000015654 memory Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000002347 injection Methods 0.000 claims 2
- 239000007924 injection Substances 0.000 claims 2
- 238000010295 mobile communication Methods 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 23
- 238000012545 processing Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000009434 installation Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000003860 storage Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 244000208874 Althaea officinalis Species 0.000 description 1
- 235000006576 Althaea officinalis Nutrition 0.000 description 1
- 241000208340 Araliaceae Species 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- NUHSROFQTUXZQQ-UHFFFAOYSA-N isopentenyl diphosphate Chemical compound CC(=C)CCO[P@](O)(=O)OP(O)(O)=O NUHSROFQTUXZQQ-UHFFFAOYSA-N 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 235000001035 marshmallow Nutrition 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
- H04L12/2814—Exchanging control software or macros for controlling appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Geophysics And Detection Of Objects (AREA)
- Heterocyclic Carbon Compounds Containing A Hetero Ring Having Nitrogen And Oxygen As The Only Ring Hetero Atoms (AREA)
- Other Investigation Or Analysis Of Materials By Electrical Means (AREA)
- Small-Scale Networks (AREA)
Abstract
所描述的系统及方法实现具体来说例如可穿戴设备、移动通信装置及智能家用电器等‘物联网’客户端装置的自动装置检测/发现。装置检测包括将目标装置指派到装置类别,例如,“运行的来自未知制造商的平板计算机”。一些实施例根据不同输入,例如,HTTP用户代理数据、DHCP数据、mDNS数据及MAC数据确定多个基本类别指派。每个基本类别指派可出现相关联分数。可根据聚集分数进行决定性类别指派。应用包含计算机安全、软件供应及远程装置管理等。
Description
相关申请
本申请要求2016年3月31日提交的标题为“用于自动装置检测的系统及方法”的第62/315,834号美国临时专利申请案的申请日的益处,所述专利申请的全部内容以引用方式并入本文中。
背景技术
本发明涉及计算机安全,且具体来说,涉及用于自动装置发现及远程装置管理的系统及方法。
也称为恶意程序的恶意软件影响全世界大量计算机系统。在例如计算机病毒、漏洞利用及间谍软件等其多种形式中,恶意程序向数百万计算机用户呈现严重风险,使这些计算机用户易受数据及敏感信息丢失、身份盗用及生产率损失等攻击。
非正式地称为物联网(IoT)的大量装置越来越多地连接到通信网络及因特网。此类装置包含智能电话、智能手表、TV及其它多媒体装置、游戏控制台、家用电器及各种传感器/致动器,例如,恒温器及智能照明系统等。随着更多此类装置上线,这些装置变成恶意软件及黑客的目标。因此,越来越需要保护此类装置免受恶意程序的攻击,以及保护与此类装置之间的通信。
另外,智能装置在家庭和办公室等环境中的激增造成装置及网络管理的愈加严重问题。当每个装置使用不同配置接口及需要单独连接设定时,管理大量此类装置可能变为负担,特别对于不具有网络管理经验的典型家庭用户。因此,愈加关注开发用于自动装置发现及配置的系统及方法,特别强调安全性。
发明内容
根据一个方面,装置检测设备包括硬件处理器及存储器。硬件处理器经配置以分析从通过本地网络连接到装置检测设备的客户端装置接收的数据,以确定客户端装置的一组特征;及作为响应,根据所述组特征选择装置的类别。硬件处理器进一步经配置以根据所述组特征的第一子集确定第一分数,所述第一分数指示客户端装置表示装置的类别的第一程度。硬件处理器进一步经配置以根据所述组特征的第二子集确定第二分数,所述第二分数指示客户端装置表示装置的类别的第二程度。硬件处理器进一步经配置以将第一及第二分数组合以产生聚集分数;及响应于产生聚集分数,确定是否根据聚集分数将客户端装置指派到装置的类别。
根据另一方面,方法包括采用装置检测设备的至少一个硬件处理器来分析从通过本地网络连接到装置检测设备的客户端装置接收的数据,以确定客户端装置的一组特征;及作为响应,采用至少一个硬件处理器来根据所述组特征选择装置的类别。所述方法进一步包括采用至少一个硬件处理器来根据所述组特征的第一子集确定第一分数,所述第一分数指示客户端装置表示装置的类别的第一程度。所述方法进一步包括采用至少一个硬件处理器来根据所述组特征的第二子集确定第二分数,所述第二分数指示客户端装置表示装置的类别的第二程度。所述方法进一步包括采用至少一个硬件处理器来将第一及第二分数组合以产生聚集分数;及响应于产生聚集分数,采用至少一个硬件处理器来确定是否根据聚集分数将客户端装置指派到装置的类别。
根据另一方面,非暂时性计算机可读媒体存储指令,所述指令在由装置检测设备的至少硬件处理器执行时使装置检测设备分析从通过本地网络连接到装置检测设备的客户端装置接收的数据,以确定客户端装置的一组特征;及作为响应,根据所述组特征选择装置的类别。所述指令进一步使硬件处理器根据所述组特征的第一子集确定第一分数,所述第一分数指示客户端装置表示装置的类别的第一程度。所述指令进一步使硬件处理器根据所述组特征的第二子集确定第二分数,所述第二分数指示客户端装置表示装置的类别的第二程度。所述指令进一步致使硬件处理器将第一及第二分数组合以产生聚集分数;及响应于产生聚集分数,确定是否根据聚集分数将客户端装置指派到装置的类别。
附图说明
在阅读以下详细描述并且在参考图式时,本发明的前述方面及优点将得到更好的理解,其中:
图1-A展示根据本发明的一些实施例的通过本地网络互连的客户端系统,及装置检测设备的示例性配置。
图1-B展示根据本发明的一些实施例的客户端系统及装置检测设备的替代性配置。
图2展示根据本发明的一些实施例的与装置检测设备协作的一组远程服务器。
图3展示根据本发明的一些实施例的客户端系统的示例性硬件配置。
图4展示根据本发明的一些实施例的装置检测设备的示例性硬件配置。
图5展示根据本发明的一些实施例的配置服务器的示例性硬件配置。
图6展示根据本发明的一些实施例的在客户端系统上执行的一组示例性软件组件。
图7展示根据本发明的一些实施例的在装置检测设备上执行的示例性的一组软件组件。
图8展示根据本发明的一些实施例的在配置服务器上执行的示例性软件。
图9说明根据本发明的一些实施例的分类引擎的示例性组件。
图10说明根据本发明的一些实施例的通过分类引擎执行的示例性步骤序列。
图11展示根据本发明的一些实施例的在装置发现/检测过程期间执行的装置检测设备与配置服务器之间的示例性数据交换。
图12说明根据本发明的一些实施例的在代理供应过程期间由装置检测设备执行的示例性步骤序列。
具体实施方式
在以下描述中,应理解,结构之间的所有所列举的连接可为直接操作性连接,或者通过中间结构的间接操作性连接。一组元件包含一或多个元件。对元件的任何叙述应理解为指至少一个元件。多个元件包含至少两个元件。除非另外规定,否则“或”的任何使用指非排他性或。除非以其它方式必需,否则不必以特定所说明的次序执行任何所描述的方法步骤。从第二元件导出的第一元件(例如,数据)涵盖等于第二元件的第一元件,以及通过处理第二元件及任选地其它数据产生的第一元件。根据参数作出确定或决策涵盖根据参数及任选地根据其它数据作出确定或决策。除非另外规定,否则某一数量/数据的指示符可以是数量/数据本身,或者是不同于数量/数据本身的指示符。计算机安全涵盖保护用户及设备免受对数据及/或硬件的无意或未授权访问,免受对数据及/或硬件的无意或未授权修改,及免受对数据及/或硬件的损坏。计算机程序是执行任务的处理器指令序列。在本发明的一些实施例中描述的计算机程序可为独立的软件实体或其它计算机程序的子实体(例如,子例程、库)。当两个装置的网络地址属于同一子网时及/或当两个装置具有相同广播地址时,两个装置被称为连接到或属于同一本地网络。本地网络是具有其本地管理的通信硬件的网络。隧道是连接到通信网络的两个实体之间的虚拟点对点连接。计算机可读媒体涵盖非暂时性媒体,例如,磁性、光学及半导体存储媒体(例如,硬盘驱动器、光盘、闪存存储器、DRAM),以及通信链路,例如导电缆线及光纤链路。根据一些实施例,本发明尤其提供计算机系统,其包括经编程以执行本文所描述的方法的硬件(例如,一或多个微处理器),以及对指令进行编码以执行本文所描述的方法的计算机可读媒体。
以下描述借助于实例说明本发明的实施例,并且未必以限制方式说明本发明的实施例。
图1-A-B展示根据本发明的一些实施例的示例性网络配置10a-b,其中多个客户端系统12a-f通过本地网络14互连,并且进一步连接到扩展网络16,例如因特网。客户端系统12a-f可表示具有处理器、存储器及通信接口的任何电子装置。示例性客户端系统12a-f包含个人计算机、膝上型计算机、平板计算机、移动电信装置(例如,智能电话)、媒体播放器、TV、游戏控制台、家用电器(例如,冰箱、恒温器、智能加热及/或照明系统),及可穿戴装置(例如,智能手表、体育运动及健身设备)等。本地网络14可包括局域网(LAN)。示例性本地网络14可包含家庭网络及公司网络等。
路由器19包括实现客户端系统12a-f之间的通信及/或客户端系统12a-f对扩展网络16的访问的电子装置。在一些实施例中,路由器19充当本地网络14与扩展网络16之间的网关,并且向客户端系统12a-f提供一组网络服务。术语“网关”在本文中用于表示经配置使得客户端系统12a-f与扩展网络16之间的通信业务的至少一部分穿过网关装置的装置。除非另外规定,否则术语“网络服务”在本文中用于表示实现客户端系统12a-f的相互通信,以及客户端系统12a-f与其它实体之间的通信的服务。举例来说,此服务可包含将网络配置参数(例如,网络地址)分布到客户端系统12a-f,及路由参与端点之间的通信。示例性网络服务可包含动态主机配置协议(DHCP)。DHCP服务通常用于向请求访问本地网络14及/或扩展网络16的客户端传递因特网协议(IP)配置信息。
图1-A-B进一步展示连接到本地网络14的装置检测设备18。在一些实施例中,装置检测设备18包括经配置以执行客户端系统12a-f的各种服务的电子装置(例如,计算机系统)。此类服务包含计算机安全服务(例如,反恶意程序、入侵检测、反间谍软件等)、装置管理(例如,客户端系统12a-f的远程配置)、家长控制服务、安全通信服务(例如,虚拟专用网-VPN),及远程技术辅助(例如,装置及/或网络故障排查)等。
在一些实施例中,装置检测设备18进一步经配置以执行自动装置发现/检测操作。术语“装置发现”及“装置检测”在本文中可互换。装置检测包括确定连接到本地网络14的装置,举例来说,客户端系统12a-f、路由器19中的任一个的装置类型。换句话说,装置检测包括根据关于相应装置的可用信息自动地将相应装置指派到装置类别。在一些实施例中,装置类别包括装置特性的元组{Ci,C2,...,Cn},举例来说,其可包含产品类别(例如,个人计算机、平板计算机、打印机、智能手表、家庭娱乐系统、恒温器等)、制造商(例如,等)、硬件型号(例如,2、 S6等),及软件版本(例如,8、Marshmallow等)。如在{‘平板计算机’,‘未知’,‘Android’}中,一些实施例允许类型‘未知’及/或'不适用'的特性值。装置检测活动可在设备18、配置服务器52处执行,或可在设备18与配置服务器52之间划分。本文所描述的方法还可由客户端系统12a-f中的一者执行。
在根据本发明的一些实施例的典型情形中,将装置检测设备18引入到已由路由器19配置及管理的本地网络中。设备18随后可逐渐地发现连接到本地网络的装置,举例来说,客户端系统12a-f及/或路由器19。在一些实施例中,设备18进一步从路由器19接管DHCP等网络服务,及重新配置网络14以将设备18放置于本地网络14与扩展网络16之间的网关位置中,使得客户端系统12a-f与扩展网络16之间的业务的至少一部分穿过装置检测设备18(参看,例如图1-A)。出于安全性原因,将设备18放置于网关位置中可为优选的,因为此位置有助于拦截及分析客户端系统与远程方之间的业务。
在一些实施例,例如图1-B中的实例中,在安装设备18之后,路由器19可继续作为到本地网络14的网关操作,但是在此类情况下,装置检测设备18优选地放置于客户端系统12a-f与现有网关(即,路由器19)之间,使得设备18属于与客户端系统12a-f相同的本地网络。此位置是优选的,因为其有助于将装置专用的实用代理传递到客户端系统12a-f中的一些客户端系统。
在一些实施例中,用户/管理员使用在连接到扩展网络16(例如,因特网)的管理装置20上执行的软件来远程地监视、管理及/或配置客户端系统12a-f。示例性管理装置20包含智能电话及个人计算机系统等等。装置20可暴露图形用户接口(GUI),从而允许用户远程地配置及/或管理客户端系统12a-f的操作,举例来说以设定配置选项及/或接收关于在相应客户端系统上发生的事件的通知。
在一些实施例中,装置检测设备18与一组远程计算机系统协作,以便执行客户端系统12a-f的各种服务。示例性远程计算机系统包含图2中所说明的安全服务器50及配置服务器52。服务器50及52可包括个别机器,或多个互连计算机系统的集群。在一些实施例中,装置检测设备18经配置以将进入及/或来自客户端系统12a-f的一些或全部业务重新引导到安全服务器50。在此类配置中,安全服务器50可执行威胁检测操作(例如,恶意程序检测、阻止进入恶意或欺诈性网站、入侵防护等),以保护客户端系统12a-f免受计算机安全威胁。安全服务器50可进一步连接到包括多个安全记录的事件数据库55。在一个实例中,每个此安全记录包含指示在受保护的客户端系统上发生的安全事件的数据,以及相应事件与相应客户端系统之间的相关性的指示符。
在一些实施例中,配置服务器52与设备18及/或管理装置20协作,以配置设备18、路由器19及/或客户端系统12a-f的装置管理及/或安全设置。服务器52可以通信方式连接到订户数据库54及装置特征数据库56。订户数据库54可存储多个订购记录,每一订购记录指示根据本发明的一些实施例的在装置管理下的一组客户端系统。在一个实施例中,每一订购记录唯一地与不同装置检测设备18相关联。在此类实施例中,通过相应装置检测设备(例如,连接到图1-A中的本地网络14的客户端系统12a-f)配置及/或另外服务的所有客户端系统与同一订购记录相关联。每一订购记录可包含订购周期的指示符,及/或举例来说,描述所期望安全水平或一系列所订购服务的一组订购参数。可根据服务水平协议(SLA)管理订购。
在一些实施例中,装置特征数据库56包括指示每个客户端系统的可配置特征及/或每个客户端系统的当前配置设置的一组记录。数据库56可进一步包括严密的装置特征知识库,所述装置特征知识库包括多个记录。在一个示例性实施例中,每个记录表示装置,并且可包括指示装置(例如,路由器、智能电话等)的产品类别、硬件型号、制造商、操作系统(例如,)等的多个字段。其它字段可对应于不同装置特征,例如,相应装置是否使用特定网络协议来通信(例如,HTTP、)、通过相应装置类型暴露的登录界面的布局的指示符、由相应装置使用的用户代理等。
图3-4-5分别展示客户端系统12、装置检测设备18及配置服务器52的示例性硬件配置。举例来说,客户端系统12可表示图1的客户端系统12a-f中的任一者。在不损失一般性的情况下,所说明配置对应于计算机系统。其它客户端系统(例如,平板计算机、智能手表)的硬件配置可不同于图3中所说明的硬件配置。处理器22、122及222中的每一者包括经配置以通过一组信号及/或数据执行计算及/或逻辑操作的物理装置(例如,微处理器、形成于半导体衬底上的多核集成电路)。存储器单元24、124及224包括存储在执行操作的过程中分别由处理器22、122及222访问或生成的数据/信号的易失性计算机可读媒体(例如,RAM)。
输入装置26可包含计算机键盘、鼠标及麦克风等,包含允许用户将数据及/或指令引入到相应系统中的相应硬件接口及/或适配器。输出装置28可包含监视器及扬声器等显示装置,以及图形卡等硬件接口/适配器,从而允许相应系统将数据传送给用户。在一些实施例中,输入及输出装置共享共同的硬件零件(例如,触摸屏)。存储装置32、132及232包含实现软件指令及/或数据的非易失性存储、读取及写入的计算机可读媒体。示例性存储装置包含磁盘及光盘及快闪存储器装置,以及例如CD及/或DVD磁盘及驱动器等可装卸式媒体。
网络适配器34、134及234分别使客户端系统12、装置检测设备18及配置服务器52连接到网络14、16等电子通信网络,及/或其它装置/计算机系统。
控制器集线器30、130及230一般表示多个系统、外围设备及/或芯片组总线,及/或实现每个相应系统的处理器与其余硬件组件之间的通信的所有其它电路。在示例性客户端系统12(图3)中,集线器30可包括存储器控制器、输入/输出(I/O)控制器,及中断控制器。取决于硬件制造商,一些此类控制器可并入到单个集成电路中,及/或可与处理器集成。
图6展示根据本发明的一些实施例的在客户端系统12上执行的示例性软件组件。此软件可包含在客户端系统12的硬件与在相应客户端系统上执行的一组软件应用程序之间提供接口的操作系统(OS)40。操作系统的实例包含 及Android等等。软件应用程序可包含文字处理、图形、游戏、浏览器及通信应用程序等等。在一些实施例中,在客户端系统12上执行的软件应用程序包含实用代理41,其经配置以将各种服务提供到相应客户端系统,例如,装置管理及/或安全服务(例如,反恶意程序)。在一个实例中,实用代理41经配置以访问及/或修改客户端系统12的一组配置选项(例如,网络配置参数、电源管理参数、安全参数、装置特定的参数,例如,在受远程控制的恒温器的情况下的所需温度,或在受远程控制的家庭照明管理器的情况下的一系列灯等。)。在一些实施例中,通过装置检测设备18起始及/或促进代理41在客户端系统12上的安装。
图7展示根据本发明的一些实施例的在装置检测设备18上执行的一组软件组件。此类组件可包含装置检测模块42及提供本地网络14的DHCP服务的DHCP模块43等。此类服务可包含向请求访问本地网络14及/或扩展网络16的客户端传递IP配置信息。装置检测模块42可包含分类引擎45,并且可经配置以与配置服务器52协作以自动地确定客户端系统12的装置类型,如下文详细展示。在一些实施例中,设备18进一步执行经配置以执行从路由器19的网络服务接管的网络中断模块44。在特定实例中,响应于确定路由器19的装置类别,设备18可使用中断模块44来关机或以其它方式使路由器19的DHCP服务器无能力,以便从路由器19接管网络服务。在一个此种实例中,装置检测设备18可将指令序列传输到路由器19,所述指令序列经精心设计以引起路由器的DHCP服务器崩溃或关机。在另一实例中,设备18可使路由器19暴露配置接口,并且可将一组配置参数值传输到相应接口,因此引起路由器的DHCP服务器关机。可根据路由器19的检测到的类别选择性地选择指令及/或配置参数值的集合。
图8展示根据本发明的一些实施例的在配置服务器52上执行的示例性软件。此软件可包含服务器侧分类引擎145及数据库询问器47。引擎145可补充在装置检测设备18上执行的引擎45的装置发现/发现活动。数据库询问器47可经配置以在分类引擎45及/或145的请求下选择性地检索来自装置特征数据库56的数据。
图9展示根据本发明的一些实施例的分类引擎45的示例性配置。在服务器52上执行的引擎145可具有类似配置。引擎45接收客户端系统的一组类别指示数据60作为输入,并输出指示相应客户端系统(例如,运行版本9.2的移动电话)的装置类型的类别指示符72。类别指示数据60包括可用于确定客户端系统的装置类型,即,将装置指派到装置的类别的各种数据。此数据可为类型字符串(例如,如在主机名及用户代理字段中)的布尔值(例如,指示相应装置是否具有特定特征)、数字(例如,如在网络地址中)等。一些示例性数据60包含:
a)硬件ID指示符,例如,相应客户端系统的媒体接入控制(MAC)地址及/或国际移动设备标识(IMEI)号。MAC地址的长度是48位,并且通常指示相应装置的制造商。举例来说,所有装置的MAC地址的第一个24位是18:B4:30。将MAC地址与相应制造商生产何种装置类型(在的情况下,IP相机、恒温器及烟雾检测器)的知识组合可允许有效地识别相应客户端系统的装置类型。
b)支持的通信协议。一些装置播发特定的网络服务,例如等。一些此类服务更经常与装置类型、制造商等相关联。举例来说,主要在装置中遇到。
c)DHCP参数,例如,供应商名称、指纹,及相应客户端系统的主机名。DHCP指纹是特定于一些DHCP客户端的选项值阵列。举例来说,‘1,3,6’对于来自物联网(IoT)类别的装置是常见的。DHCP供应商名称包括客户端系统的特定DHCP实施方案的标识符。举例来说,‘MSFT’是Windows DHCP客户端的常见供应商名称。主机名可由用户手动设定,但其通常包括由制造商设定的默认名称。这些默认主机名的某些模式可识别属于特定装置类别的相应客户端系统。举例来说,以‘NP-’前缀开始的默认主机名对于媒体播放器是常见的。
d)从HTTP请求的标头提取的用户代理指示符。用户代理指示符包含用于型号、操作系统或发布相应请求的浏览器/应用程序的一组标识符。举例来说,浏览器的常见模式是“Mozilla/[版本]([系统及浏览器信息])[平台]([平台细节])”。
e)组播域名称系统(mDNS)服务指示符。mDNS是在没有常规域名服务器的情况下将主机名解析为IP地址的零配置服务。若干装置使用mDNS来播发一组服务及端口。附加的类别指示信息可从TEXT字段获得。mDNS服务在苹果装置、打印机或网络连接存储装置之中常用。举例来说,大部分打印机通过mDNS播发服务‘打印机’。
f)简单网络管理协议(SNMP)参数。SNMP是用于在连接装置之中交换管理信息的网络协议。具有SNMP服务器广播及OID(对象标识符)的装置,其实例如下再现:
Iso(l).org(3).dod(6).internet(l).private(4).transition(868).products(2).chassis(4).card(l).slotCps(2).-cpsSlotSummary(l).cpsModuleTable(l).cpsModuleEntry(l).cpsModuleModel(3).3562.3
不同字段的内容可大致映射到某些装置类型及型号。
一些实施例处理数据60以提取装置的一组装置特征,其中每个特征包括相应装置的一组属性值对。示例性特性包含DHCP特征、MAC特征及用户代理特征等。装置特征可根据多个数据项确定(例如,通过组合多个属性值,如在“属性:值1或值2,及不是值3”中等)。
在一些实施例中,分类引擎45(图9)包括数据调度器62、多个数据解析器64a-c,及耦合到数据解析器64a-c的分数聚集器70。每个解析器64a-c可根据一组类别指示数据60,或根据客户端装置的一组特征确定一组判断。每个判断指示客户端系统12的可能装置类型。示例性判断包含“客户端系统12是来自的路由器”、“客户端系统12是安卓装置”,及“客户端系统12是运行Windows6.5的来自未知制造商的平板计算机”。
每个解析器64a-c可进一步确定伴随每个判断的分数。在一些实施例中,分数指示客户端系统12表示相应类别的程序。举例来说,分数可量化代表性客户端系统12具有智能手表,或具有装置,或具有运行的装置的程度。较高分数可指示相应类别(举例来说,装置为所述类别的典型部件)的较高代表性。类别的代表性程度可包含相应类别中的客户端系统12的归属程度、客户端系统12属于相应类别的可能性或置信度,及客户端系统12与相应类别之间的相似性的测量等。分数可为布尔值(1/0、是/否),或在一组界限内连续地改变。在一个实例中,每个分数被缩放到0与100之间的数字。
在一些实施例中,每个解析器64a-c经配置以接收类别指示数据的不同子集,或装置特征的不同子集作为输入。举例来说,解析器64a可处理DHCP数据/特征,解析器64b可解析从HTTP请求提取的用户代理文本字符串等。在另一实例中,解析器64a处理用户代理数据类型的第一字段,解析器64b处理用户代理的第二字段等。特征的不同子集未必是相互排他性的;特征的一些不同子集可具有部分重叠。数据调度器62可经配置以选择性地将每种类型的类别指示数据发送到解析器64a-c,所述解析器使用相应数据类型/特征作为输入。在替代实施例中,不同解析器64a-c可处理特征的相同子集,但是可采用不同算法来产生解析器特定的判断及/或分数值。在一个此类实例中,一个解析器根据一组启发法处理mDNS数据,且另一解析器使用神经网络处理mDNS数据。
当装置类别包括多个特性{C1,C2,...,Cn},其中n>1时,一些解析器输出判断/分数对的阵列,阵列的每个部件表示特性的不同组合。在一个此类实例中,其中类别特性包括{category,OS},其中‘category’字段可获取值{phone,PC},并且其中‘OS’字段可获取值{Windows,Android,iOS},分数可显现为2维矩阵:
其中表示指示代表性客户端系统12具有运行的智能电话的程度的分数,而i索引化解析器。一般来说,此类阵列是稀疏的,因为实际上不会出现装置特性的所有可能组合。举例来说,目标市场上没有Android打印机,因此{printer,Android}的判断可能不存在或可能非常罕见,使得其使用可能不合理。
一些实施例从表示不同种类的装置(智能电话、恒温器、膝上型计算机、路由器、打印机等)的大量记录语料库中获得知识。装置特征数据可从技术资料及/或从测试中获取,并且可自动地或通过人类操作员获得。装置特征数据可存储于装置特征数据库56中。语料库记录可根据不同标准分组到类别中。此分组可通过人类操作员完成,或可使用监督或非监督学习等技术自动地实现。
每个解析器64a-c可实施用于确定判断及分数的不同算法。一些实施例将每个语料库装置表示为多维特征空间中的点。此表示可允许反向查找,即,根据一组特征值的装置类别的标识。一组特定的装置特征值可匹配多个类别。解析器64a-c的一些实施例采用自动分类器,例如,能够在给定一组装置特征的情况下返回一组判断及/或分数的神经网络。其它解析器可使用归属函数等模糊逻辑技术来确定客户端系统12的判断及分数。然而,其它解析器可依赖于统计方法。在一些实施例中,举例来说,可根据一组启发法凭经验确定分数。经配置以处理文本字符串(例如,用户代理指示符)的解析器可使用相对于类别识别签名的集合的模式匹配。
经配置以处理DHCP数据的示例性解析器可如下操作。在检测的第一阶段中,解析器尝试相对于装置的语料库匹配客户端系统12的dhcp指纹及dhcp供应商。如果匹配成功,则相应判断以最大分数(例如,100)传递给分数聚集器70。在两个字段未精确匹配的情况下,尝试仅匹配dhcp指纹。为了防止促进不确定的判断,根据相应判断的DHCP供应商与客户端系统12的DHCP供应商之间的相似性的测量(例如,Levenshtein等字符串间距离)选择通过匹配DHCP指纹导出的每个判断的分数。
在一些实施例中,分数聚集器70集中、比较及/或组合由个别解析器64a-c产生的判断68a-c,以输出相应客户端系统的决定性判断。决定性判断决定性地将客户端装置12指派到装置类别。为了组合个别判断,分数聚集器70可使用本领域中已知的任何方法。在一个示例性实施例中,选择决定性判断作为具有跨越多个数据类型及/或解析器的最高分数的判断:
其中表示与根据数据类型或特征i确定的判断v相关联的分数,其中S表示所有数据类型/特征的集合,并且其中Ω表示所有判断(类别指示符)的集合。在替代实施例中,表示由解析器i为判断v确定的分数。
当使用公式[2]时实际上遇到的一个问题是通过多个个别判断v出现相同分数使得不存在明确的决定性判断。下文进一步给出此类情况的实例。
替代实施例根据针对每个判断v计算出的聚集分数确定决定性判断,作为根据不同数据类型/特征、根据不同算法获得的,及/或通过不同解析器64a-c计算出的个别分数的组合。在一个此类实例中,根据个别分数的加权和计算出聚集分数:
以及因此
其中表示针对判断v计算出的聚集分数,并且其中w(i)表示与数据类型/特征i及/或生成分数的解析器相关联的数字权数。当所有权数w(i)相同时,公式[3]相当于计算聚集分数作为个别分数的集合的均值。
在一些实施例中,权数w(i)表示在产生正确的类别指派时相应解析器及/或数据类型的可靠性的指示符。一些数据类型(例如,用户代理数据、主机名)可能相当非特定,或可能引起具有相对高分数的错误判断。为了避免此类情况,与其它更可靠的数据/类型或解析器相比,利用相应数据类型的相应数据类型及/或解析器可接收较小权数w(i)。在一些实施例中,权数w(i)可进一步根据判断:w(i)=w(i,v)改变,其中w(i,v)表示数据源及/或解析器i与相应判断v的相关性。一些数据类型与其它相比可与一些判断更相关。举例来说,与主机名数据相比,mDNS数据针对打印机的检测可更相关。尽管此可靠性/相关性信息可能已在某一程度上并入到分数中,但是一些实施例使用判断及/或解析器特定的权数作为策略来打破分数平局并且因此产生明确的类别指派。
在判断及/或解析器特定的权数的一个实例中,Ecobee公司(MAC前缀44:61:32)及Sonos公司(MAC前缀b8:e9:37)生产极少装置,因此所述装置可使用MAC地址明确地识别。因此,MAC解析器/数据类型可在Ecobee及/或Sonos判断的分数聚集中接收相对高的权数。在另一实例中,对于装置,空的主机名通常指示IP相机。因此,一些实施例可使相对较高权数与Nest判断及主机名解析器相关联。在又另一实例中,其mDNS数据展示类型“airport.tcp”的网络服务的装置极有可能是路由器。因此,较高权数可与mDNS解析器及判断相关联。类似地,具有DHCP指纹“1,3,6,12,15,28,42”的装置极有可能是电子书阅读器。因此,当聚集Amazon判断及DHCP解析器的分数时,一些实施例可采用相对权数。
可根据试错法,或使用机器学习算法确定权数w(i)、w(i,v)。可重复地轻微调整这些权数,以便优化在不断演进的物联网中的装置检测。可进一步缩放权数以归一化聚集分数,即,将分数保持在所需界限内。
在一些实施例中,确定聚集分数包括根据相应分数的绝对或相对大小调制个别分数举例来说,
其中M(.)表示调制函数。使用公式[4]的变体的一个示例性实施例根据个别分数中的最大分数及最小分数计算聚集分数:
在另一示例性计算中,舍弃最大及最小个别分数,并且聚集分数计算为其余分数的平均值。另一示例性实施例可确定聚集分数作为个别分数的集合的中值。在又另一实例中,M是单射函数(例如,不断增加)。例如在公式[4]及[5]中所说明的变化解决不明确类别指派的问题:在应用公式[1]或[2]之后,可存在具有基本上类似的聚集分数的多个候选判断。实际上,这表示分类引擎45、145无法决定相应装置的唯一类别。因此,一些实施例采取分数调制来打破平局。举例来说,一些M函数另外促进可靠的解析器,以致力于打破聚集分数平局。
在聚集分数的其它示例性计算中,一些个别分数可通过根据与相应分数相关联的判断v确定的权数w(i)来调制。在一个实施例中,通过在聚集及决策制定期间指派相对较小的权数,可以此方式抑制例如‘未知装置’的非特定判断。
在如图9中所说明的一些实施例中,解析器64a-c及/或分数聚集器70可分别接收一组解析参数值66及/或一组聚集参数值67,作为用于计算个别分数及/或聚集分数的输入。在其中解析器包括神经网络的实施例中,举例来说,解析参数值66可包含相应解析器的一组神经网络权数。聚集参数值可包含权数w(i)等。在示例性实施例中,参数值66及/或67存储于装置特征数据库56中及选择性地从装置特征数据库56检索。通过独立于解析器及分数聚集软件保存此类参数值,一些实施例有助于引擎45、145的优化及/或升级。
图10展示根据本发明的一些实施例的通过分类引擎45执行的示例性步骤序列。装置检测可迭代地进行,因为并非所有类别指示数据60都可一次获得。一些数据类型可相对易于获取,而其它数据类型可需要相对冗长的过程,例如,握手消息交换、网络配置参数协商、认证等。因此,在一些实施例中,解析器64a-c独立于彼此操作,每个解析器响应于合适种类的类别指示数据/特征的接收。
在引入到本地网络14之后,在步骤400-401的序列中,装置检测设备18的一些实施例可开始从客户端系统12a-f及/或路由器19采集类别指示数据60。采集数据60可取决于相应数据的类型。举例来说,装置检测设备18可从自客户端系统接收的HTTP请求中提取用户代理指示符。一些装置广播网络服务的提供;通过拦截此消息,设备18可确定相应装置支持何种服务及/或协议。设备18可进一步使用服务发现工具,例如,网络映射器(NMap)。为了采集关于网络协议及服务,例如及SNMP的数据,设备18的一些实施例将探针向外发出到客户端系统的特定端口及侦听响应。当数据60可用时,数据调度器42可识别相应数据的数据类型及选择性地将数据60转发到使用相应数据类型作为输入的解析器(步骤402-404)。在步骤406中,相应解析器确定一组候选判断及相关联分数。在步骤408-410的序列中,分数聚集器70确定一组聚集分数及选择决定性判断。决定性判断随后可构成引擎45的输出。在一些实施例中,如通过决定性判断指示的客户端系统12的类别指派可及时改变。在更多类别指示数据60变为可用时,其它解析器可开始提供候选判断及分数,聚集器70随后可将其与先前计算出的个别或聚集分数组合。
在如图11中所说明的替代实施例中,在配置服务器52处执行装置检测过程的至少一部分。通过装置检测设备18采集的类别指示数据60可传输到配置服务器52,其根据接收到的数据及进一步根据存储于装置特征数据库56中的信息识别装置类型。此装置检测可迭代:服务器52可根据关于相应客户端系统的当前可用数据执行装置类型的基本确定。响应于基本确定,服务器52可进一步从装置检测设备18请求关于相应客户端的装置类型指示数据。在实现客户端系统12的成功类别指派之前,更多类别指示数据发送到配置服务器52。一些实施例在引擎45与145之间划分装置检测任务。在一个此实例中,每个引擎可计算一组候选判断及/或分数。分数随后可聚集在设备18或服务器52处,以产生决定性判断。
可通过各种方法使用经由装置检测/发现获得的信息。若干实例包含:为每个客户端装置定制一组网络服务;将装置特定的软件代理安装在每个装置上;评估每个装置的计算机安全弱点;及将配置选项的装置特定集合暴露于每个客户端装置的用户(远程管理)。
本发明的一些实施例的示例性应用是装置特定的软件供应。图12说明通过装置检测设备18执行以将实用代理传递到客户端系统12(例如,参看图6中的实用代理41)的示例性步骤序列。在一些实施例中,设备18等待从本地客户端系统的连接请求。示例性连接请求包括HTTP请求。当客户端系统12尝试访问本地网络14或扩展网络16上的地址时,设备18可拦截请求并作为响应,可将客户端系统12的类别的指示符发送到配置服务器52。服务器52可用通知作出响应,所述通知可包含根据客户端系统12的指派类别选择的代理安装程序的位置指示符(例如,路径、IP地址)。响应于接收通知,装置检测设备18可将HTTP请求重新引导到代理安装程序的位置。在替代实施例中,设备18可从服务器52获得代理安装程序,及随后将安装程序推送到相应客户端系统上。
在一些实施例中,代理安装程序经配置以使系统12(或管理装置20)将确认界面暴露于用户,从而请求用户同意安装代理41。安装程序可进一步请求用户确认用户同意相应订购的项目(例如,如在SLA中列出)。当用户指示同意时,安装程序可安装及执行代理41。在一些实施例中,代理安装程序及/或装置检测设备18可向客户端配置服务器52注册相应客户端系统,所述注册使相应客户端系统与装置检测设备18随附的订购记录相关联。
可使用本文所描述的系统及方法提供广泛多种实用代理。经配置以提供安全服务的示例性实用代理41可执行客户端系统12的安全评估(例如,本地恶意程序扫描),并且可将安全评估数据发送到配置服务器52或安全服务器50。服务器随后可将安全指示符转发到管理装置20,以显示给用户/管理员。显示给用户/管理员的示例性安全指示符可包含在客户端系统12上执行的特定软件对象(例如,操作系统)是否更新的指示符,及用于保护客户端系统12的密码的强度的指示符等。通过安全代理执行的其它示例性动作包含更新客户端系统的软件及/或安全策略。在一些实施例中,代理41经配置以使用网络包检查算法来过滤至/从客户端系统12的网络业务,以举例来说确定客户端系统12是否易受恶意攻击。
经配置以提供安全通信服务的示例性实用代理41包含虚拟专用网络(VPN)代理。当客户端系统12离开本地网络14时(举例来说,当用户离开具有其移动电话的家时),此类代理可保护客户端系统12。此代理可与装置检测设备18及/或配置服务器52协作,以开放安全通信隧道及/或设定相应客户端系统与安全服务器50之间的VPN(下文更多细节)。
经配置以提供家长控制服务的示例性实用代理41可监视客户端系统12的使用,并经由管理装置20向监管用户(例如,家长)报告使用模式。代理41可进一步防止客户端系统12访问某些远程资源(例如,IP地址、网站等),或使用某些本地安装的应用程序(例如,游戏)。此阻止可永久性地或根据用户特定的调度强制执行。
经配置以提供远程技术辅助的示例性实用代理41可自动地配置及/或开放客户端系统12与配置服务器52之间的安全通信信道(例如,SSH隧道)。配置及/或故障排查命令随后可从服务器52传输到客户端系统12,而可能没有来自客户端系统12的用户的明显参与或辅助。
例如家用电器、可穿戴装置等一些客户端系统可能不能够如上所述安装实用代理。然而,此类装置可包含实现相应装置的远程命令的内置配置及/或装置管理代理。本发明的一些实施例可使用现有管理代理及装置特定的协议及/或通信方法来将参数值更新传送到此类装置。即使对于此类装置,正确地识别装置类别使配置服务器52能够适当地格式化配置命令及将配置命令传送到相应客户端系统。为了促进此类客户端系统的类别指派,装置检测设备18可主动地解析从相应客户端系统接收的通信,或将相应通信重新路由到配置服务器52。
本发明的一些实施例实现特别应用于‘物联网’客户端装置,例如可穿戴设备、移动通信装置及智能家用电器等的自动装置检测/发现。此类客户端装置通常经配置以连接到网络,举例来说,连接到无线LAN或链路。本发明的一些实施例是为了易于使用而专门制作,并且因此不需要计算机工程或网络管理的专业知识。
在一些实施例中,装置检测设备与检测到的装置连接到相同本地网络。示例性检测/发现活动包含:确定每个客户端装置(例如、手机、手表、智能TV、打印机、路由器、恒温器等)的产品类别;及确定其它装置特征等,所述其它装置特征例如,客户端装置的品牌及型号、客户端装置所使用的操作系统(OS)的类型/版本、安装在客户端装置中的硬件组件的类型等。本文所描述的方法不限于装置检测设备。装置检测可通过客户端系统12a-f、路由器19及/或远程服务器实施。
一些实施例根据多个不同标准,举例来说,根据不同类别指示数据源及/或根据相应装置的不同特征确定类别指派。此类实施例依赖于以下观察:使用单个标准/算法/特征通常引起不明确或甚至不正确的类别指派。下文给出此类情况的实例。
在类别指派的一个实例中,设备18获取关于客户端装置的以下类别指示数据(表1):
表1
类型 | 信息 |
MAC | 90:72:40:XX:XX:XX |
DHCP | ”dhcp_fingerprint”:”1,2,3,15,6,12,44” |
mDNS | ”service_type”:”_airport._tcp” |
主机名 | airport-express |
使用MAC地址的解析器传回表2中所说明的判断/分数对。如此处看到,基于MAC的检测产生不明确的结果,而不具有清楚的获胜者。
表2
判断 | 分数 |
手机 | 14.28 |
平板计算机 | 14.28 |
台式计算机 | 14.28 |
媒体播放器 | 14.28 |
路由器 | 14.28 |
网络连接存储装置(NAS) | 14.28 |
手表 | 14.28 |
第二组判断/分数对通过另一解析器使用DHCP数据计算出,并且用表2的判断/分数对聚集。表3中展示聚集的结果。将DHCP指纹判断添加到MAC判断具有基本上减小的不明确性。
表3
判断 | 分数 |
NAS | 17.15 |
路由器 | 17.15 |
手机 | 13.13 |
平板计算机 | 13.13 |
台式计算机 | 13.13 |
媒体播放器 | 13.13 |
手表 | 13.13 |
第三组判断/分数对基于mDNS数据通过另一解析器计算出。mDNS判断分数与表3中的判断/分数对的聚集产生表4中展示的结果,其展示客户端系统12到路由器类别的明确及正确指派。
表4
判断 | 分数 |
路由器 | 31.46 |
NAS | 23.06 |
手机 | 9.09 |
平板计算机 | 9.09 |
台式计算机 | 9.09 |
媒体播放器 | 9.09 |
手表 | 9.09 |
下文展示情况的实例,其中使用单个数据源/特征产生不正确类别指派。装置提供表5中展示的类别指示数据。常规的装置发现系统可根据‘用户代理’数据或主机名数据推断出相应客户端是Android装置。然而,尝试将基于Android的软件部署到此客户端将发生故障,因为装置实际上是松散地基于Android使用自定义OS的Amazon Kindle Fire TV。正确的类别指派可通过组合用户代理、DHCP、mDNS及MAC数据源来实现。
表5
在另一实例中,客户端系统提供表6中展示的类别指示数据。仅使用mDNS数据,常规的装置发现系统可推断出此装置是打印机,因为IPP及IPPS服务主要由打印机使用。但是MAC指示装置,并且目前并未生产打印机。单独使用主机名数据也无法保证成功检测,因为主机名可由用户任意地选择。然而,组合MAC、主机名及用户代理数据允许抵消由mDNS数据提供的误导性信息,以产生正确类别指派:允许OS的个人计算机。
表6
所属领域的技术人员将清楚,在不脱离本发明的范围的情况下以上实施例可以多种方式变更。因此,应通过所附权利要求书及其法律等效物来确定本发明的范围。
Claims (23)
1.一种装置检测设备,其包括硬件处理器及存储器,所述硬件处理器经配置以:
分析从通过本地网络连接到所述装置检测设备的客户端装置接收的数据以确定所述客户端装置的一组特征;
作为响应,根据所述组特征选择装置的类别;
根据所述组特征的第一子集确定第一分数,所述第一分数指示所述客户端装置表示装置的所述类别的第一程度;
根据所述组特征的第二子集确定第二分数,所述第二分数指示所述客户端装置表示装置的所述类别的第二程度;
将所述第一分数及所述第二分数组合以产生聚集分数;及
响应于产生所述聚集分数,确定是否根据所述聚集分数将所述客户端装置指派到装置的所述类别。
2.根据权利要求1所述的客户端系统,其中确定是否将所述客户端装置指派到装置的所述类别包括:
将所述聚集分数与指示所述客户端装置表示装置的另一类别的第三程度的第三分数相比较,及
作为响应,确定是否根据所述比较的结果将所述客户端装置指派到装置的所述类别。
3.根据权利要求1所述的客户端系统,其中根据:σ·w确定所述聚集分数,
其中σ表示所述第一分数,及w表示根据第一组特征确定的数字权数。
4.根据权利要求3所述的客户端系统,其中权数w进一步根据所述装置类别确定。
5.根据权利要求3所述的客户端系统,其中权数w进一步根据所述第一分数确定。
6.根据权利要求1所述的客户端系统,其中根据:w·f(σ)确定所述聚集分数,
其中σ表示所述第一分数,w表示根据第一组特征确定的数字权数,且其中f表示单射函数。
7.根据权利要求1所述的客户端系统,其中所述硬件处理器进一步经配置以:
响应于确定是否将所述客户端装置指派到装置的所述类别,根据所述组特征的第三子集确定第三分数,所述第三分数指示所述客户端装置表示装置的所述类别的第三程度;
作为响应,将所述聚集分数及所述第三分数组合以产生经调整聚集分数;及
响应于产生所述经调整聚集分数,确定是否根据所述经调整聚集分数将所述客户端装置指派到装置的所述类别。
8.根据权利要求1所述的客户端系统,其中将所述客户端装置指派到所述装置类别包括指示所述客户端装置的产品类别及所述客户端装置的操作系统。
9.根据权利要求1所述的客户端系统,其中所述硬件处理器进一步经配置以:
将所述客户端装置指派到装置的所述类别;及
作为响应,将代理安装程序的位置的指示符传输到所述客户端装置,所述代理安装程序根据装置的所述类别从多个代理安装程序中选择,其中所述代理安装程序经配置以将软件代理安装在所述客户端装置上。
10.根据权利要求1所述的客户端系统,其中所述硬件处理器进一步经配置以:
将所述客户端装置指派到装置的所述类别;及
作为响应,根据装置的所述类别识别所述客户端装置的计算机安全漏洞。
11.根据权利要求1所述的客户端系统,其中所述硬件处理器进一步经配置以:
将所述客户端装置指派到装置的所述类别;
根据装置的所述类别公式化指令集,其中执行所述指令引起在所述客户端装置上执行的动态主机配置协议DHCP服务器的中断;及
响应于公式化所述指令集,将所述指令集传输到所述客户端装置。
12.一种方法,其包括采用装置检测设备的至少一个硬件处理器来:
分析从通过本地网络连接到所述装置检测设备的客户端装置接收的数据以确定所述客户端装置的一组特征;
作为响应,采用所述至少一个硬件处理器来根据所述组特征选择装置的类别;
采用所述至少一个硬件处理器来根据所述组特征的第一子集确定第一分数,所述第一分数指示所述客户端装置表示装置的所述类别的第一程度;
采用所述至少一个硬件处理器来根据所述组特征的第二子集确定第二分数,所述第二分数指示所述客户端装置表示装置的所述类别的第二程度;
采用所述至少一个硬件处理器来将所述第一分数及所述第二分数组合以产生聚集分数;及
响应于产生所述聚集分数,采用所述至少一个硬件处理器来确定是否根据所述聚集分数将所述客户端装置指派到装置的所述类别。
13.根据权利要求12所述的方法,其中确定是否将所述客户端装置指派到装置的所述类别包括:
采用所述至少一个硬件处理器来将所述聚集分数与指示所述客户端装置表示装置的另一类别的第三程度的第三分数相比较,及
作为响应,采用所述至少一个硬件处理器来确定是否根据所述比较的结果将所述客户端装置指派到装置的所述类别。
14.根据权利要求12所述的方法,其中根据:σ·w确定所述聚集分数,
其中σ表示所述第一分数,及w表示根据第一组特征确定的数字权数。
15.根据权利要求14所述的方法,其中权数w进一步根据所述装置类别确定。
16.根据权利要求14所述的方法,其中权数w进一步根据所述第一分数确定。
17.根据权利要求12所述的方法,其中根据:w·f(σ)确定所述聚集分数,
其中σ表示所述第一分数,w表示根据第一组特征确定的数字权数,且其中f表示单射函数。
18.根据权利要求12所述的方法,其进一步包括:
响应于确定是否将所述客户端装置指派到装置的所述类别,采用所述至少一个硬件处理器来根据所述组特征的第三子集确定第三分数,所述第三分数指示所述客户端装置表示装置的所述类别的第三程度;
作为响应,采用所述至少一个硬件处理器来将所述聚集分数及所述第三分数组合以产生经调整聚集分数;及
响应于产生所述经调整聚集分数,采用所述至少一个硬件处理器来确定是否根据所述经调整聚集分数将所述客户端装置指派到装置的所述类别。
19.根据权利要求12所述的方法,其中将所述客户端装置指派到所述装置类别包括指示所述客户端装置的产品类别及所述客户端装置的操作系统。
20.根据权利要求12所述的方法,其进一步包括:
采用所述至少一个硬件处理器来将所述客户端装置指派到装置的所述类别;及
作为响应,采用所述至少一个硬件处理器来将代理安装程序的位置的指示符传输到所述客户端装置,所述代理安装程序根据装置的所述类别从多个代理安装程序中选择,其中所述代理安装程序经配置以将软件代理安装在所述客户端装置上。
21.根据权利要求12所述的方法,其进一步包括:
采用所述至少一个硬件处理器来将所述客户端装置指派到装置的所述类别;及
作为响应,采用所述至少一个硬件处理器来根据装置的所述类别识别所述客户端装置的计算机安全漏洞。
22.根据权利要求12所述的方法,其进一步包括:
采用所述至少一个硬件处理器来将所述客户端装置指派到装置的所述类别;
采用所述至少一个硬件处理器来根据装置的所述类别公式化指令集,其中执行所述指令引起所述客户端装置的动态主机配置协议DHCP服务器的中断;及
响应于公式化所述指令集,采用所述至少一个硬件处理器来将所述指令集传输到所述客户端装置。
23.一种存储指令的非暂时性计算机可读媒体,所述指令在由装置检测设备的至少一个硬件处理器执行时致使所述装置检测设备:
分析从通过本地网络连接到所述装置检测设备的客户端装置接收的数据以确定所述客户端装置的一组特征;
作为响应,根据所述组特征选择装置的类别;
根据所述组特征的第一子集确定第一分数,所述第一分数指示所述客户端装置表示装置的所述类别的第一程度;
根据所述组特征的第二子集确定第二分数,所述第二分数指示所述客户端装置表示装置的所述类别的第二程度;
将所述第一分数及所述第二分数组合以产生聚集分数;及
响应于产生所述聚集分数,确定是否根据所述聚集分数将所述客户端装置指派到装置的所述类别。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662315834P | 2016-03-31 | 2016-03-31 | |
US62/315,834 | 2016-03-31 | ||
PCT/EP2017/057471 WO2017167836A1 (en) | 2016-03-31 | 2017-03-29 | System and methods for automatic device detection |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108886483A true CN108886483A (zh) | 2018-11-23 |
CN108886483B CN108886483B (zh) | 2021-04-09 |
Family
ID=59961280
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780021164.4A Active CN108886483B (zh) | 2016-03-31 | 2017-03-29 | 用于自动装置检测的系统及方法 |
Country Status (13)
Country | Link |
---|---|
US (1) | US10644949B2 (zh) |
EP (1) | EP3437260B1 (zh) |
JP (1) | JP6832951B2 (zh) |
KR (2) | KR20180127649A (zh) |
CN (1) | CN108886483B (zh) |
AU (1) | AU2017242543B2 (zh) |
CA (1) | CA3018022C (zh) |
ES (1) | ES2898869T3 (zh) |
HK (1) | HK1257354A1 (zh) |
IL (1) | IL261626B (zh) |
RU (1) | RU2742824C2 (zh) |
SG (2) | SG11201807734YA (zh) |
WO (1) | WO2017167836A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112583597A (zh) * | 2019-09-30 | 2021-03-30 | 卡巴斯基实验室股份制公司 | 使用库存规则来识别计算机网络设备的系统及方法 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9647779B2 (en) | 2013-04-22 | 2017-05-09 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to identify media devices |
US10404532B2 (en) * | 2015-04-10 | 2019-09-03 | Comcast Cable Commnications, LLC | Virtual gateway control and management |
US10855800B2 (en) * | 2017-02-15 | 2020-12-01 | Dell Products, L.P. | Managing device profiles in the Internet-of-Things (IoT) |
US10333733B2 (en) * | 2017-03-20 | 2019-06-25 | Vmware, Inc. | Controlling proxy devices through a managed gateway |
GB2566010A (en) * | 2017-08-24 | 2019-03-06 | Connect Devices Ltd | Method and system for network devices |
US10498750B2 (en) * | 2017-09-14 | 2019-12-03 | Zscaler, Inc. | Systems and methods for security and control of internet of things and zeroconf devices using cloud services |
US10698752B2 (en) | 2017-10-26 | 2020-06-30 | Bank Of America Corporation | Preventing unauthorized access to secure enterprise information systems using a multi-intercept system |
CN108093390B (zh) * | 2017-12-29 | 2021-05-11 | 珠海多士科技有限公司 | 一种基于特征信息的智能设备发现方法 |
US10904749B2 (en) | 2018-01-25 | 2021-01-26 | Apple Inc. | Protocol for establishing a secure communications session with an anonymous host over a wireless network |
US10931716B2 (en) * | 2018-02-09 | 2021-02-23 | Vmware, Inc. | Policy strength of managed devices |
US11164587B2 (en) | 2019-01-15 | 2021-11-02 | International Business Machines Corporation | Trial and error based learning for IoT personal assistant device |
US11683236B1 (en) * | 2019-03-30 | 2023-06-20 | Snap Inc. | Benchmarking to infer configuration of similar devices |
CN110121175A (zh) * | 2019-04-12 | 2019-08-13 | 国家计算机网络与信息安全管理中心 | 一种用于移动物联网智能终端的数据监测方法及系统 |
US11853192B1 (en) | 2019-04-16 | 2023-12-26 | Snap Inc. | Network device performance metrics determination |
RU2746101C2 (ru) * | 2019-09-30 | 2021-04-07 | Акционерное общество "Лаборатория Касперского" | Система и способ определения устройств компьютерной сети с использованием правил инвентаризации |
US11552852B1 (en) * | 2020-05-29 | 2023-01-10 | Cable Television Laboratories, Inc. | Systems and methods for managing networks for improved device connectivity |
RU2769632C1 (ru) * | 2021-03-12 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Способ управления IoT-устройством со стороны элемента сетевой инфраструктуры |
KR102549381B1 (ko) * | 2021-07-16 | 2023-06-30 | 엘지전자 주식회사 | 이동 단말기 및 그의 제품 등록 방법 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050051223A (ko) * | 2003-11-27 | 2005-06-01 | 한국전자통신연구원 | 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법 |
CN1701324A (zh) * | 2001-11-02 | 2005-11-23 | Dba西方集团西方出版社 | 用于分类文档的系统,方法和软件 |
CN102160042A (zh) * | 2008-09-22 | 2011-08-17 | 株式会社OPTiM | 确定电器种类的信息处理装置、方法以及服务器 |
JP2013214814A (ja) * | 2012-03-30 | 2013-10-17 | Ntt Comware Corp | 機器同定装置、機器同定システム、機器同定方法及び機器同定プログラム |
CN103679190A (zh) * | 2012-09-20 | 2014-03-26 | 富士通株式会社 | 分类装置、分类方法以及电子设备 |
US20150089568A1 (en) * | 2013-09-26 | 2015-03-26 | Wave Systems Corp. | Device identification scoring |
CN105119735A (zh) * | 2015-07-15 | 2015-12-02 | 百度在线网络技术(北京)有限公司 | 一种用于确定流量类型的方法和装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6741853B1 (en) | 2000-11-09 | 2004-05-25 | Nortel Networks Limited | Device aware internet portal |
US7515546B2 (en) | 2001-12-19 | 2009-04-07 | Alcatel-Lucent Canada Inc. | Method and apparatus for automatic discovery of network devices with data forwarding capabilities |
JP4971610B2 (ja) * | 2005-09-01 | 2012-07-11 | キヤノン株式会社 | デバイスドライバを管理するためのプログラムおよび方法と情報処理装置 |
US8331263B2 (en) * | 2006-01-23 | 2012-12-11 | Microsoft Corporation | Discovery of network nodes and routable addresses |
TWI334714B (en) | 2006-12-10 | 2010-12-11 | Cameo Communications Inc | Discovery method for network devices |
SE0950235L (sv) | 2009-04-09 | 2010-02-23 | Smarttrust Ab | Metod för att identifiera en mobiltelefon |
US8583582B2 (en) * | 2010-01-28 | 2013-11-12 | Schneider Electric USA, Inc. | Robust automated hierarchical determination for power monitoring systems |
ES2561663T3 (es) | 2011-07-11 | 2016-02-29 | Tanaza S.R.L. | Método y sistema para gestionar dispositivos de red de distribuidores y fabricantes genéricos |
US9197498B2 (en) | 2012-08-31 | 2015-11-24 | Cisco Technology, Inc. | Method for automatically applying access control policies based on device types of networked computing devices |
US9135293B1 (en) | 2013-05-20 | 2015-09-15 | Symantec Corporation | Determining model information of devices based on network device identifiers |
US10028213B2 (en) * | 2013-11-12 | 2018-07-17 | Taiwan Semiconductor Manufacturing Co., Ltd. | Network selection recommender system and method |
-
2017
- 2017-03-29 SG SG11201807734YA patent/SG11201807734YA/en unknown
- 2017-03-29 KR KR1020187031379A patent/KR20180127649A/ko active Search and Examination
- 2017-03-29 ES ES17715653T patent/ES2898869T3/es active Active
- 2017-03-29 KR KR1020197033053A patent/KR102175193B1/ko active IP Right Grant
- 2017-03-29 JP JP2018550522A patent/JP6832951B2/ja active Active
- 2017-03-29 AU AU2017242543A patent/AU2017242543B2/en active Active
- 2017-03-29 SG SG10201913256YA patent/SG10201913256YA/en unknown
- 2017-03-29 RU RU2018133515A patent/RU2742824C2/ru active
- 2017-03-29 US US15/472,515 patent/US10644949B2/en active Active
- 2017-03-29 EP EP17715653.6A patent/EP3437260B1/en active Active
- 2017-03-29 CA CA3018022A patent/CA3018022C/en active Active
- 2017-03-29 CN CN201780021164.4A patent/CN108886483B/zh active Active
- 2017-03-29 WO PCT/EP2017/057471 patent/WO2017167836A1/en active Application Filing
-
2018
- 2018-09-05 IL IL261626A patent/IL261626B/en active IP Right Grant
- 2018-12-25 HK HK18116562.4A patent/HK1257354A1/zh unknown
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1701324A (zh) * | 2001-11-02 | 2005-11-23 | Dba西方集团西方出版社 | 用于分类文档的系统,方法和软件 |
KR20050051223A (ko) * | 2003-11-27 | 2005-06-01 | 한국전자통신연구원 | 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법 |
CN102160042A (zh) * | 2008-09-22 | 2011-08-17 | 株式会社OPTiM | 确定电器种类的信息处理装置、方法以及服务器 |
JP2013214814A (ja) * | 2012-03-30 | 2013-10-17 | Ntt Comware Corp | 機器同定装置、機器同定システム、機器同定方法及び機器同定プログラム |
CN103679190A (zh) * | 2012-09-20 | 2014-03-26 | 富士通株式会社 | 分类装置、分类方法以及电子设备 |
US20150089568A1 (en) * | 2013-09-26 | 2015-03-26 | Wave Systems Corp. | Device identification scoring |
CN105119735A (zh) * | 2015-07-15 | 2015-12-02 | 百度在线网络技术(北京)有限公司 | 一种用于确定流量类型的方法和装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112583597A (zh) * | 2019-09-30 | 2021-03-30 | 卡巴斯基实验室股份制公司 | 使用库存规则来识别计算机网络设备的系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
RU2742824C2 (ru) | 2021-02-11 |
CA3018022C (en) | 2020-12-22 |
EP3437260B1 (en) | 2021-09-29 |
IL261626A (en) | 2018-10-31 |
KR20190128260A (ko) | 2019-11-15 |
CA3018022A1 (en) | 2017-10-05 |
HK1257354A1 (zh) | 2019-10-18 |
IL261626B (en) | 2020-10-29 |
US20170288965A1 (en) | 2017-10-05 |
ES2898869T3 (es) | 2022-03-09 |
KR20180127649A (ko) | 2018-11-29 |
SG11201807734YA (en) | 2018-10-30 |
AU2017242543B2 (en) | 2021-08-05 |
RU2018133515A (ru) | 2020-04-30 |
CN108886483B (zh) | 2021-04-09 |
WO2017167836A1 (en) | 2017-10-05 |
SG10201913256YA (en) | 2020-02-27 |
KR102175193B1 (ko) | 2020-11-09 |
JP2019512817A (ja) | 2019-05-16 |
AU2017242543A1 (en) | 2018-10-11 |
EP3437260A1 (en) | 2019-02-06 |
RU2018133515A3 (zh) | 2020-07-28 |
US10644949B2 (en) | 2020-05-05 |
JP6832951B2 (ja) | 2021-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108886483A (zh) | 用于自动装置检测的系统及方法 | |
US10581908B2 (en) | Identifying phishing websites using DOM characteristics | |
US11165822B2 (en) | Identifying phishing websites using DOM characteristics | |
US11770400B2 (en) | Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network | |
US10742687B2 (en) | Determining a device profile and anomalous behavior associated with a device in a network | |
US9985989B2 (en) | Managing dynamic deceptive environments | |
US8793763B2 (en) | System and method for interfacing with heterogeneous network data gathering tools | |
US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
US11748083B2 (en) | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach | |
CN113315742A (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
Gordeychik et al. | Sd-wan internet census | |
CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与系统 | |
US20220321568A1 (en) | Systems and methods for generating and implementing security profiles | |
US11528189B1 (en) | Network device identification and categorization using behavioral fingerprints |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1257354 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |