CN109791633B - 使用基于云的机器学习的静态和动态设备简档信誉 - Google Patents
使用基于云的机器学习的静态和动态设备简档信誉 Download PDFInfo
- Publication number
- CN109791633B CN109791633B CN201780060649.4A CN201780060649A CN109791633B CN 109791633 B CN109791633 B CN 109791633B CN 201780060649 A CN201780060649 A CN 201780060649A CN 109791633 B CN109791633 B CN 109791633B
- Authority
- CN
- China
- Prior art keywords
- data
- machine learning
- networked devices
- identified
- recommendation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本文中公开了用于监控联网设备以对特性进行标识和分类、以推理出典型或非典型行为并跨各种联网设备分配信誉简档、以及以做出补救推荐的基于云的机器学习系统和方法。在一些实施例中,基于云的机器学习系统可以学习已知没有恶意软件和其他威胁的多个信誉好的设备的典型操作和接口连接。在一些实施例中,基于云的机器学习系统可以学习设备的典型操作和接口连接,并且可以通过将所述操作和接口与多个联网设备的操作和接口或者与定义的标准参考设备的操作和接口进行比较来标识与该设备相关联的非典型操作或接口。
Description
(一个或多个)相关申请的交叉引用
本申请要求2016年9月30日提交的题为“STATIC AND DYNAMIC DEVICE PROFILEREPUTATION USING CLOUD-BASED MACHINE LEARNING”的美国非临时专利申请序列号15/283,238的优先权,所述美国非临时专利申请被通过引用整体地结合于本文中。
技术领域
本公开涉及保护系统,并且更具体地,涉及具有用于评估设备操作的基于云的机器学习引擎的联网设备监控系统。
背景技术
随着消费者和企业越来越依赖于电子技术来进行交易和实现交互,电子安全领域在现今的社会中变得重要。由于该增加的依赖,越来越多的机密和敏感信息被存储在电子设备上并被跨网络共享。特别地,因特网提供经由各种类型的客户端设备在连接到不同计算机网络的不同用户之间交换数据。虽然电子技术的使用已经改变了企业和个人通信,但是电子设备中的机密信息的可用性已经导致为了访问这样的信息的未授权方的增加的努力。为了保护机密信息免受未授权访问,针对未授权访问而监控电子设备并实现保护措施已经变得有必要。
附图说明
为了提供对本公开及其特征和优点的更彻底理解,参考结合附图采取的以下描述,其中相同的参考数字表示相同的部分,其中:
图1是依照各种实施例的用于监控联网设备的示例性基于云的机器学习系统的简化框图;
图2是依照各种实施例的由基于云的机器学习系统监控的示例性设备的简化框图;
图3是依照各种实施例的基于云的机器学习模块的简化框图;以及
图4A和4B是依照各种实施例的使用基于云的机器学习模块来监控设备并向设备分配信誉(reputation)得分的说明性方法的流程图;
附图中的各图不一定按比例绘制,因为可以相当大地改变它们的尺寸而不脱离本公开的范围。
具体实施方式
本文中公开了用于监控联网设备以对特性进行标识和分类、以推理出典型或非典型行为并跨各种联网设备分配信誉简档(profile)、以及以做出补救推荐的基于云的机器学习系统以及相关方法。在一些实施例中,基于云的机器学习系统可以学习已知没有恶意软件和其他威胁的多个“信誉好的”设备的典型操作和接口连接(interfacing)。在一些实施例中,基于云的机器学习系统可以学习设备的典型操作和接口连接,并且可以标识与该设备相关联的非典型操作或接口。在一些实施例中,基于云的机器学习系统可以学习设备的典型操作和接口连接,并且可以通过将所述操作和接口与类似的联网设备的操作和接口或者与(一个或多个)定义的标准或参考设备的操作和接口进行比较来标识与该设备相关联的非典型操作或接口。
本文中公开的基于云的机器学习系统可以确定设备的动态指纹简档,并且可以采用机器学习来随着设备操作和行为改变而适配该指纹简档。基于云的机器学习系统可以推理出设备行为是否是典型的,并且可以收集并发送远程认证数据。基于云的机器学习系统可以进一步基于来自多个联网设备的设备数据来学习典型的设备行为,或者可以学习单个设备的典型行为,并且可以基于多个设备数据和/或基于单个设备数据来适配针对该特定设备的推理和补救推荐。
图1是用于监控联网设备并向联网设备分配信誉得分的示例性基于云的机器学习系统(CBML)100的简化框图。CBML系统100可以包括经由网络104与彼此通信的一个或多个设备102、远程服务器118和CBML模块120。CBML系统100可以包括存储器和处理器(未示出)。如本文中所使用的,可以可互换地使用CBML模块、CBML引擎和CBML管理员。
CBML系统100是包括CBML模块120的设备监控系统。CBML模块120可以包括一个或多个处理器和一个或多个存储器元件。存储器元件可以是包括易失性和非易失性存储器的任何合适的存储器。CBML模块120收集关于设备操作和使用的设备102数据和信息。CBML模块120可以在“快照”中收集数据,其中可以例如在设备启动期间、在应用启动时和/或在与另一设备或网络进行接口连接时收集数据,并将数据存储在存储器元件中时。在一些实施例中,可以从标准化的设备收集设备数据和/或可以从被设计成制定场景(scenario)(诸如不同的启动配置)的设备收集设备数据,以向CBML模块120提供关于典型的设备行为和通常的用户交互的学习。在一些实施例中,CBML模块120可以被配置成在设备102活动或赞成计划操作时收集数据以学习用户行为。一旦针对设备建立了典型行为,CBML模块120就可以组合类似设备的典型行为数据以为设置预期行为的基线。CBML模块120还可以基于设备的先前行为和/或预期行为的基线向设备分配信誉得分。不寻常或非典型行为可能表示对设备的威胁或设备已受损害(compromise)。可以通过CBML模块120来表征和分类不寻常行为。例如,在一些实施例中,CBML模块120可以通过将行为表征为至少一个类型的用户交互来对行为进行分类,可以针对潜在威胁对行为进行分析,并且可以向设备推荐评估和/或纠正动作。在一些实施例中,CBML模块120可以向设备并且有时向设备管理员提供警报。
在一些实施例中,CBML模块120可以基于在生成快照时设备中的活动操作或在生成快照时设备中的计划操作中的至少一个来标识设备中的至少一个操作。在一些实施例中,CBML模块120可以验证与在快照中标识的至少一个活动或计划操作相关联的软件模块的签名。在一些实施例中,CBML模块120可以基于将在快照中标识的所述至少一个活动或计划操作与在存储器模块中存储的至少一个先前快照中标识的至少一个活动或计划操作进行比较来学习用户行为。在一些实施例中,CBML模块120可以基于将在快照中标识的所述至少一个活动或计划操作与存储器中存储的预期行为的基线进行比较来学习用户行为。在一些实施例中,CBML模块120可以基于数据的快照来得出分类。
所述一个或多个设备102可以包括例如台式计算机、膝上型计算机、移动设备、个人数字助理、智能电话、平板电脑或其他类似设备。如本文中所使用的,术语“设备”和“多个设备”单独地和/或共同地指代依照本公开的可以使用通信网络进行通信并且可以被用作(如下面定义的)“客户端”或“服务提供者”的大量电子设备中的任何电子设备。而且,如本文中所使用的,可以可互换地使用设备和平台。可以依照本公开使用的设备的其他非限制性示例包括蜂窝电话、计算机终端、电子阅读器、传真机、自助服务终端(kiosk)、上网本计算机、互联网设备、支付终端、个人数字助理、媒体播放器和/或记录器、机顶盒、智能电话、平板个人计算机、超移动个人计算机、有线电话、它们的组合等。这样的设备可以是便携式的或固定的。
术语“客户端”在本文中用于指代发起任务或者作为参与CBML系统100的联网设备的设备。相反,术语“服务提供者”用于指代代表客户执行受信任任务的一个或多个方面的设备。应当理解,仅为了清楚起见而在本文中使用术语“客户端”和“服务提供者”,并且本文中描述的任何客户端可能能够充当服务提供者,并且反之亦然。
如在本文中的任何实施例中所使用的,术语“模块”可以指代被配置成执行前述操作中的任何操作的硬件、固件和/或电路。模块还可以包括软件。软件可以体现为软件封装、代码、指令、指令集和/或在非暂时性计算机可读存储介质上记录的数据。固件可以体现为代码、指令或指令集和/或在存储器设备中硬编码(例如,非易失性)的数据。如在本文中的任何实施例中所使用的,“电路”可以例如单独地或以任何组合包括硬连线电路、可编程电路(诸如包括一个或多个单独的指令处理核的计算机处理器)、状态机电路和/或存储由可编程电路执行的指令的固件。如先前定义的那样,模块可以共同地或单独地体现为形成一个或多个设备的一部分的电路。
可以以任何合适的方式连接本文中描述的分布式计算系统中的各个设备(即,节点)。例如,可以经由一个或多个通信网络,即经由用于发送和/或接收数据信号的一个或多个系统,来连接分布式计算系统内的设备。这样的通信网络可以包括近距离通信、长距离通信和/或其组合。
如本文中所使用的,术语“近场通信”意味着用于在彼此相对接近的设备之间发送/接收数据信号的系统和方法。近距离通信包括例如使用蓝牙TM网络、个域络(PAN)、近场通信、ZigBee网络、DCS中的相应设备之间的以太网连接、其组合等的设备之间的通信。因此,近距离通信可以被理解为设备之间的直接通信,而不需要诸如路由器、蜂窝塔、互联网服务提供者等的介入中间的硬件/系统。
所述一个或多个设备102可以包括一个或多个处理器108或协处理器。所述一个或多个处理器108可以执行与节点相关联的任何类型的指令,以实现本说明书在本文中详述的操作。所述一个或多个处理器可以包括但不限于中央处理单元(CPU)、数字信号处理器(DSP)、精简指令集计算机(RISC)、复杂指令集计算机(CISC)、微处理器、微控制器、现场可编程门阵列(FPGA)或其任何组合。可以酌情以硬件、软件、固件或其组合来实现处理器。处理器的软件或固件实现可以包括用来实行所描述的各种功能的以任何合适的编程语言编写的计算机可执行或机器可执行指令。处理器的硬件实现可以被配置成执行计算机可执行或机器可执行指令以实行所描述的各种功能。设备102可以包括芯片组(未示出),用于控制一个或多个处理器与设备的其他组件中的一个或多个之间的通信。处理器还可以包括一个或多个专用集成电路(ASIC)或专用标准产品(ASSP),用于处置特定的数据处理功能或任务。
所述一个或多个设备102可以包括一个或多个存储器110,用于存储信息和数据。所述一个或多个存储器110可以包括一个或多个易失性和/或非易失性存储器设备,诸如但不限于磁存储设备、只读存储器(ROM)、随机存取存储器(RAM)、动态RAM(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)、双倍数据速率(DDR)SDRAM(DDR-SDRAM)、RAM-BUS DRAM(RDRAM)、闪存设备、电可擦除可编程只读存储器(EEPROM)、非易失性RAM(NVRAM)、通用串行总线(USB)可移动存储器或其组合。存储器110可以存储可在(一个或多个)处理器上加载和执行的程序指令以及在执行这些程序期间生成或接收的数据。存储器110可以在其上存储与设备的其他组件相关联的软件模块和/或指令。存储器110可以包括一个或多个操作系统(O/S)应用软件。
所述一个或多个设备102可以包括通信电路112。设备102的通信电路112可以体现为能够实现设备102与其他远程设备(例如,远程服务器118)之间的通信的任何通信电路、设备或其集合。通信电路112可以被配置成使用任何一个或多个通信技术(例如,无线或有线通信)和关联的协议(例如,以太网、WiMAX等)来实现这样的通信。设备102可以进一步包括GPS和其他位置标识符。
网络104表示用于接收和传输通过CBML系统100传播的信息分组的互连通信路径。网络104可以提供设备之间的通信接口,并且可以被配置成任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、虚拟专用网(VPN)以及促进在网络环境中的通信的任何其他适当的架构或系统,或者它们的任何合适的组合,包括有线和/或无线通信。网络104可以包括网络控制器。
在CBML系统100中,可以根据任何合适的通信消息传递协议来发送和接收包括分组、帧、信号和数据等的网络业务。合适的通信消息传递协议可以包括多层方案,诸如开放系统互连(OSI)模型,或其任何派生或变体(例如,传输控制协议/因特网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。另外,可以提供通过蜂窝网络的无线电信号通信。可以提供合适的接口和基础设施以实现与蜂窝网络的通信。
如本文中所使用的术语“分组”指代可以在联网设备之间或在设备和CBML服务器之间路由的数据单元。分组可以包括源网络地址和目的地网络地址。这些网络地址可以是TCP/IP消息传递协议中的因特网协议(IP)地址。如本文中所使用的术语“数据”指代任何类型的二进制、数字、语音、视频、文本或脚本数据,或者任何类型的源或目标代码,或者可以被在电子设备和/或网络中从一个点传送到另一个点的以任何适当格式的任何其他合适的信息。另外,消息、请求、响应和查询是网络业务的形式,并且因此可以包括分组、帧、信号和/或数据。
所述一个或多个设备102可以包括无线凭证交换(WCE)模块114,用于通过提供基于RF的网络独立(带外)的安全通信信道和存储用于高效的地理围栏来实施安全策略。例如,在一些实施例中,WCE 114可以具有无线凭证交换X UHF RFID芯片。WCE 114可以被配置成跟踪设备,存储与设备相关联的标识数据、描述数据和/或约束数据。在一些实施例中,WCE 114可以包括(未示出的)处理器或协处理器、电通信电路、RF通信电路和存储器。WCE 114的电通信电路可以是能够诸如经由点对点链路、总线链路、电线、电缆、光导、印刷电路板迹线等实现WCE 114与设备102的其他组件之间的电通信的任何通信电路、设备或其集合。在一些实施例中,可以通过将引脚电耦合到设备102的通信总线,例如到内部集成电路(I2C)总线,来建立WCE 114的电通信。WCE 114的RF通信电路可以是能够实现WCE 114与设备102的其他组件和/或远程服务器118之间的RF通信的任何通信电路、设备或其集合。在一些实施例中,RF通信电路可以是使WCE 114能够通过任何对应的射频集合、诸如经由近场通信(NFC)、低频、高频、超高频等进行通信。在一些实施例中,WCE 114可以被配置成使用其他无线通信技术与设备102的其他组件和/或远程服务器118进行通信。在一些实施例中,WCE 114可以由设备102电力供电,并且可以由远程服务器118进行RF激活。
WCE 114的存储器可以类似于设备102的存储器110。WCE 114的存储器可以是能够存储标识数据、描述数据、约束数据等的任何类型的易失性或非易失性存储器或数据贮存器。标识数据可以标识WCE 114被固定到的/与WCE 114相关联的硬件组件。在一些实施例中,标识数据可以包括WCE 114的唯一序列号、条形码和/或其他类型的签名。描述数据可以是描述对应的WCE 114、WCE 114的关系和/或WCE 114的对应组件的任何数据。例如,描述数据可以包括关于WCE 114本身的信息(例如,组件制造商、数据结构布置、密码加密、签名、证书和/或用于安全通信的散列算法等)、关于WCE 114或对应的硬件组件的起源数据(例如,指示WCE 114去过哪里、其数据如何被修改等的日志),和/或其他描述性信息。在一些实施例中,可以贯穿制造供应链更新描述数据以提供进一步的上下文信息。例如,在实施例中,可以在WCE 114被制造时最初提供,在组件被传送到另一设施时更新并且在设备102被组装时再次更新(即可以贯穿制造供应链过程/采购来更新/跟踪)WCE 114的标识数据和描述数据。WCE 114的约束数据可以包括安全策略实施,诸如与WCE 114和/或对应的硬件组件相关联的限制、约束和/或条件。例如,WCE 114可以包括与存储器中存储的数据的修改相关联的限制、约束和/或条件、地理约束(例如,指示设备102或特定组件被授权操作或执行功能的地方)、时间约束(例如,指示设备102或特定组件被授权操作或执行功能的时段)和/或其他约束信息。在一些实施例中,设备102可以包括医院医疗记录,并且约束数据可以包括如果设备102离开授权区域(例如,医院地面)则(例如,经由带外RF传送的指令)强迫设备102关闭的地理约束。
设备102可以包括受信任执行环境(TEE)116,用于为设备102提供防篡改环境(认证或信誉得分)。TEE 116是与设备操作系统并行运行的隔离环境,提供增强的安全环境。TEE 116使用利用硬件和软件两者来保护数据的混合方法。在TEE 116中运行的受信任应用能够访问设备的主处理器和存储器的全部能力,而硬件隔离保护这些免受主操作系统中运行的用户安装的app的影响。TEE内部的软件和密码隔离保护TEE 116内包含的受信任应用免受彼此的影响。TEE 116可以包含安全策略存储和单独的安全通信电路,用于与例如网络104、远程服务器118或WCE 114的安全(带外)通信。WCE 114和TEE 116,作为安全策略实施模块,可以协力工作以在设备102上实施安全策略和保护。TEE的示例可以包括受信任平台模块(TPM)、融合的安全和可管理性引擎(CSME)(其是给主动管理技术(/>AMT)系统以动力的安全固件)、VT-x(其是Intel在x86平台上的硬件虚拟化)、/>和软件保护扩展(/>SGX)。
设备102可以包括外围设备(未示出),其可以包括任何数目的附加外围设备或接口设备,诸如扬声器、麦克风、附加存储设备等。
远程服务器118可以容纳CBML模块120。术语“服务器”包括用于为客户端的请求服务和/或代表CBML系统100内的客户端执行一些计算任务的设备。在一些实施例中,远程服务器118可以与云服务或设备102可访问的另一网络一起集成,或者分布在云服务中或设备102可访问的另一网络中。
CBML模块120可以从一个或多个设备102收集特性数据和行为数据,并且可以得出如由基于规则的推理所确定的所述一个或多个设备102的信誉得分。信誉得分可以指示设备102是已受损害,可能受损害,还是已受损害但是当前处于安全环境中。
图2是图示选择软件组件的设备102的示例性处理器108的框图。设备处理器108可以包括用户接口202、安全管理204、操作系统206、安全飞地(enclave)208和基本输入/输出系统(BIOS)210。为了清楚和简单,可以用相同的参考数字标识不同图中的类似特征。
用户接口(UI)202是用户和设备102之间的交互。用户接口202可以包括例如显示屏、键盘、鼠标、光笔、帮助消息、以及应用或网站如何邀请交互和响应。
安全管理204可以包括用于设备102的全面安全和保护的软件。典型的保护模型可以包括安装在设备102中以监控威胁的软件组件。软件组件可以由集中实体管理,所述集中实体提供对软件组件的更新和/或用于监控威胁(例如,诸如病毒或蠕虫之类的恶意软件、以未授权访问的尝试等)的策略(即,规则)。
操作系统206是管理计算机硬件和软件资源并为计算机程序功能提供公用服务的系统软件。
安全飞地208是将合法软件密封在飞地内部并保护该软件免受恶意的软件(“恶意软件”)攻击的基于硬件的技术。可以在处理器级别处创建安全飞地208,以保护密封软件甚至免受设备操作系统206的影响。处理器可以具有多个安全飞地。安全飞地208的一个示例是SGX。安全飞地208可以包括用于在设备102上实施安全和保护协议的策略管理器软件。安全飞地的另一示例是/>
BIOS 210是设备中的固件,其在启动过程开始时加载到存储器中。BIOS 210本质上是通常存储在某个形式的非易失性存储器中的机器代码,用来允许处理器108执行诸如初始化、诊断、从大容量贮存器加载操作系统内核以及例程输入/输出(“I/O”)功能之类的任务。传统上,BIOS 210被在可擦除可编程只读存储器(“EPROM”)中实现,然而,较新的进步使其能够被在闪存中实现。设备102可以包括测量的和安全的启动,然而,验证或认证通常在启动后发生并且可能未能检测恶意软件。因为BIOS 210启动设备102并帮助加载操作系统206,所以一旦被感染,恶意软件可能就被部署,其在经历重启、系统擦除和重新安装之后还存在。测量启动和安全启动是可以被实现以保证在平台启动时运行代码未受损害的附加技术。
图3是示例性CBML系统的简化框图。CBML系统监控设备102以学习对设备102而言典型的行为和特性,并分配信誉得分或简档。CBML系统可以被描述为设备行为模型生成器,在其处收集来自多个联网设备的数据并且学习设备行为模式。可以较容易地识别和标识非典型模式,并且可以发布针对纠正动作的推荐。包括设备数据的设备可以通过自愿选择该服务而被包括在CBML系统中,或者可能被服务提供者需要。在一些实施例中,设备数据可以由代理或第三方提供。可以由CBML系统使用以提供“人工智能”来检测某些特征的机器学习的类型可以包括使用神经网络作为人工智能的一部分。在一些实施例中,可以使用逻辑编程、自动推理、贝叶斯网络、决策理论或统计学习方法。CBML系统302可以包括一个或多个处理器和一个或多个存储器元件,用于存储数据、执行学习算法以及实行CBML系统的其他功能。CBML系统302可以包括数据聚合引擎304、隐私引擎306、上下文引擎308、推理引擎310、特性排名引擎312、推荐引擎314和反馈引擎316。在一些实施例中,每个引擎可以包括一个或多个处理器、一个或多个存储器元件、以及用于与设备102通信并与CBML系统中的其他引擎进行接口连接的通信电路。在一些实施例中,CBML系统可以包括一个或多个处理器、一个或多个存储器元件、以及用来支持由引擎执行的功能的通信电路。
聚合引擎304可以从设备102收集信息。信息可以包括设备位置和移动,操作系统接口连接,关联的软件运行、应用数据以及BIOS,WCE安全管理和网络简档,以可配置的采样间隔的适当的快照数据。BIOS数据可以包括验证数据(启动后)和/或测量启动数据行为简档(即,标识启动期间执行的动作的列表)。BIOS可以在各种预定义的配置和场景中运行,以为CBML建立广泛的基线。在启动期间TEE可以提供附加的启动数据。WCE可以就具有设备102的全局视图的与网络无关的位置以及该网络中的预期或标准行为而作报告。其他信息可以包括如何访问设备、何时访问设备以及访问什么应用来建立用户对设备102的有规律使用。
CBML模块120聚合数据以构建设备简档并为类似设备构建聚合的设备简档,使得多个设备的设备数据被组合以创建更大的简档样本。例如,简档可以具有针对设备1的各种数据的n元组,其中P_设备_1={代码散列,数据散列,动作列表,位置,所有权状态}。可以在各种时间,包括在首次看到时、在最后一次看到、变老、流行等时,产生P_设备_1的BIOS信誉。CBML模块120可以将P_设备_1与P_设备_2、P_设备_3等聚合,以基于多个类似设备生成设备的大数据集简档和信誉。
聚合引擎304可以被配置成在设置的一段时间内(其包括在一段时间内间歇地或在一段时间内连续地)和/或针对特定数据类型等以定义的间隔收集数据。在一些实施例中,聚合引擎304可以在设备102联网且活动时连续地收集数据。聚合引擎304可以在“快照”中收集数据,其中在设备102上收集的信息是动态的并且基于设备状态和/或设备使用而改变。例如,来自设备102的数据可以包括设备标识和一个或多个安全策略。设备标识可以包括指示设备102的一个或多个参考硬件组件的平台标识数据,其标识应当被包括在设备102上的(例如,特定品牌、型号、序列号等的)硬件组件。平台标识数据可以由原始装备制造商(OEM)提供以指示哪些组件应当被包括在设备102上,并且可以用于确定设备102的一个或多个组件是否已被修改。例如,膝上型计算机将具有与智能电话不同的参考/平台标识数据,因为那些设备具有不同的硬件组件。应当领会,标识数据可以体现为被配置成执行本文中描述的功能的任何合适的数据结构。例如,标识数据可以包括用于多个平台配置的可搜索表。安全策略可以标识各种条件和响应于条件而采取的安全动作。例如,安全策略可以指示如果组件中的一个已被修改,则设备102要阻止操作系统启动。安全策略也可以标识其他合适的动作和/或条件。动态通信可以指代单独的客户端设备和云服务器以指定的采样间隔或在按需的基础上来回通信,用于基于设备的动态上下文而不是静态远程认证和/或策略部署的补救。
可以包括隐私引擎306以保护用户数据,特别是隐私敏感数据。隐私引擎306可以剥离私人或敏感用户信息的数据,或者可以生成唯一的会话密钥以在数据收集期间保护设备102和远程服务器118之间的通信信道。隐私引擎306可以标识私人的设备数据,并且可以确定要应用哪个隐私策略或哪些措施来保护私人的设备数据。
上下文引擎308可以基于聚合数据而执行上下文标识和分类。上下文可以标识设备正在其中进行操作的环境以及设备在该环境中如何交互。上下文可以将环境定义为整体,或者可以定义特定时间点处的环境。上下文可能会有规律地改变,尤其是在设备是便携式或移动设备的情况下。上下文引擎可以是基于策略和/或规则的,并且可以是基于学习到的上下文可配置的。可以推理出各种上下文。例如,基于关于设备的硬件配置和/或软件配置的快照数据,可以通过供应链来跟踪设备的上下文以标识设备的位置或状态,即,制造、组装、封装、装运、在存储中、被消费者购买、与携带者一起登机等。在其他示例中,上下文可以是设备连接到的无线网络,或者无线网络连接的缺乏,因为所应用的安全策略禁用了无线连接能力。
推理引擎310可以标识聚合数据中的特性和行为,并且可以应用基于规则的推理来关联来自各种设备的数据。特性可以包括定义设备平台的软件和/或硬件属性。软件特性可以是例如固件、操作系统、用户接口等。硬件特性可以是例如处理器、I/O、存储器等。推理引擎310可以使条件、场景和行为相关来进一步细化聚合数据以标识设备正在其中进行操作的环境并且确定设备行为对于该环境而言是否是典型的。推理引擎310可以从设备上下文推理出安全策略,并将这些策略限制链接到所标识的特性。例如,如果特定设备应用(诸如相机)被阻止,则推理引擎310可以推理出设备处于受保护位置中并且正在应用该位置的安全策略。进一步地,为了生成公用尺度(scale),推理引擎310可以执行算法以基于从聚合的设备数据学习到的设备数据、所分配的安全策略、被置于上下文中考虑的设备数据、以及推理来分配信誉得分或简档。
特性排名引擎312可以基于各种标准对由推理引擎310标识的聚合数据特性进行排序和排名。例如,取决于在设备中在给定采样间隔内观察到特性的次数和/或不同设备的数目,特性可以被排名得更高或更低。可以基于可以利用附加的学习来更新的被定义的策略或规则来执行特性标识和分类。例如,指示可能的威胁或灾难性影响的特性(例如,向未知的第三方的数据传送)可以被排名得更高。
推荐引擎314可以提供补救策略并基于所标识的特性、上下文和/或关联的排名来做出推荐。在一些实施例中,如果所标识的特性指示非典型或可疑的行为,则可以向设备102和/或设备管理员发送警报。在一些实施例中,可以将补救策略发送到TEE 116以用于实现。在一些实施例中,将较旧的数据与较新的数据进行比较,以评定所标识的特性中的增量改变;如果增量改变影响现有策略,则推荐引擎314可以推荐更新该策略或者可以推荐实施。在一些实施例中,推荐引擎314可以为补救提供替代选项。在一些实施例中,推荐引擎可以推荐补救,但是可以不提供具体推荐。在一些实施例中,推荐引擎可以提供不需要补救的通知。
反馈引擎316可以通过提供对过去的推理错误和/或错误表征的反馈和纠正来改进CBML模块120的学习。反馈引擎316可以经由接口从远程管理员、IT管理员、设备用户接收反馈来减少误报、微调学习算法等,以通过基于该反馈改变其推理和/或修改数据收集和聚合来适配其学习。例如,设备可能不在指定的时间间隔内对来自CBML模块120的心跳(heart-beat)做出响应,并且基于该无响应,CBML模块120可以将设备标记为被盗或被篡改以避免与CBML模块的通信。如本文中所使用的,心跳可以指代用于主动地注意和检测系统故障或离线状态的方法。实际上,设备的无响应可能是由于不良的网络连接,这可以由用户经由第二因素认证连同其他验证数据来确认。响应于该反馈,CBML模块120可以增加其无响应容忍窗口。
图4A和4B是使用基于云的机器学习模块来监控设备并分配信誉得分的说明性方法的流程图。在402处,CBML模块120从一个或多个设备102检索数据并将数据存储在存储器中。检索到的数据包括设备行为信息和设备使用。可以从例如BIOS、WCE、安全管理软件、安全策略管理器和网络简档检索数据。BIOS数据可以包括在启动和启动后过程两者期间的启动信息。如先前描述的,可以在设置的一段时间内或针对特定数据类型等以定义的间隔来检索数据。在一些实施例中,数据可以由设备102“推送”到CBML模块120。在一些实施例中,数据可以是动态的,其中数据可以基于设备状态和/或设备使用(即,基于设备的“软”特性)而改变。例如,来自设备102的数据可以包括设备状态和一个或多个安全策略。安全策略可以标识各种条件和响应于条件而要采取的安全动作。例如,安全策略可以指示如果组件中的一个已被修改,则设备102要阻止操作系统启动。远程管理员(即,联网设备的IT管理员)可以更新安全策略。在一些实施例中,数据可以是静态的,其中数据基于标准制造组件而不变。一些静态数据示例包括具有ROM的嵌入式控制器、需要安全机制来做出改变的安全存储器等。进一步地,CBML模块120可以表征静态到动态的改变并将其识别为预期的或意外的(即,异常)。例如,如果使用安全机制更改安全存储器,则这将是预期的改变,而安全机制的改变将是异常。
在404处,CBML模块120管理数据隐私。数据隐私可以由设备102、设备的用户要求和实施,或者可以由CBML模块120要求。数据隐私管理可以包括从数据清除私人信息或者可能要求用于传输数据的安全通信信道等。
在406处,CBML模块120管理从中检索数据的上下文。上下文是可以定义用于有效策略评估的设备状态的一组属性。如先前描述的,上下文可以基于硬件配置和/或软件配置来标识设备的位置或状态,即,制造、组装、封装、装运、在存储中、被消费者购买、与携带者一起登机等。根据设备状态,上下文帮助评定数据属性和特性是典型的还是非典型的。
在408处,CBML模块120标识聚合数据中的特性。特性可以包括硬件版本控制(versioning)、软件版本控制、补丁级别、设备位置、存储能力、计算能力、通信能力、要部署的未决补丁等。
在410处,CBML模块120执行基于规则的推理以使跨源于各种设备的多种源的数据相关。基于规则的推理可以由CBML模块基于当前的或不久的将来的行业威胁情形等来定义。可以基于这些推理为设备分配信誉简档。例如,推理可以确定具有软件版本S和硬件版本H(具有补丁版本P)的设备易受攻击向量A的影响并且需要部署补丁P'以便减轻攻击。
在412处,CBML模块120执行对所标识的特性的分类和排名。分类可以包括地理位置、时间、威胁模型、计算能力、存储能力、通信能力、用户接口选项、软件版本、硬件版本等。排名可以包括基于一个或多个分类度量对被监控的设备的排名。例如,CBML模块120可以查询以获得具有某些硬件和软件版本控制的属于指定地理区域的设备的列表。在另一示例中,CBML模块120可以基于特定区域内的位置和排名设备来标识设备,以用于即时软件更新。
在414处,CBML模块120做出依每个设备定制的补救策略推荐。在一些实施例中,CBML模块120经由带外通信将推荐直接传送到设备TEE。在一些实施例中,可以利用远程管理员监督经由每个设备中的TEE 116来实现实施。在一些实施例中,CBML模块120可以向本地管理员(例如,商店技术人员)传送推荐,所述本地管理员可以利用经更新的策略推荐对设备102上的WCE 114进行编程。示例补救策略可以是在特定补丁被成功地应用和验证以前对网络接口的软禁用。另一示例补救策略可以是基于所标识的弱点的危险程度来锁定或关闭设备。
在416处,CBML模块120可以接收来自每个设备TEE 116、安全管理软件、用户输入的反馈,来自社区(community)用户的众包反馈等。反馈可以包括例如拒绝重启要求、未能处理更新推荐、或者中断网络服务的情况,例如如果由于设备网络小故障而发生设备停止(blackout)场景(即,设备未通过利用云服务器的心跳检查,使得设备被锁定)的话。在一些实施例中,CBML模块可以接收关于其推理的反馈,并且基于该反馈调整用于分配推理的规则。在一些实施例中,CBML模块可以接收关于特性的反馈,并且可以改变用于对特性进行标识和分类的策略。在一些实施例中,CBML模块可以基于远程管理员重新配置其针对联网设备的策略并将经更新的策略传送到CBML模块来调整其策略。在一些实施例中,设备用户可以将策略传送到CBML模块。在一些实施例中,远程管理员可以否决设备用户偏好并要求CBML模块实施管理员的策略,或者管理员可以实施其自己的策略。
在418处,CBML模块120通过修改其规则、用于推理的关联的策略、推荐和排名等来适配它的学习。例如,CBML模块可以改变成要求每周重启一次而不是每天重启,或者将有规律的中断的网络服务识别为从一个位置到另一位置的行进时间。在一些实施例中,基于其学习,CBML模块120可以标识新的策略、规则和推荐并将提议传送给远程管理员。
在一些实施例中,CBML模块可以基于特定反馈来适配它的推荐。例如,CBML模块可以推荐应用补丁并重启设备的补救协议。如果CBML模块标识出用户处于企业环境(其被验证为安全的)内的关键会议中,则设备的用户可以使要重启的提醒器暂停一段时间(例如,2小时)。这可以被传播到CBML模块,所述CBML模块可以通过提出替代的补救来适配它的推荐,其中可以禁用特定接口,诸如蓝牙TM。用户可以回复接受。如果用户回复拒绝提出的替代方案,则对话可以继续。
在一些实施例中,CBML模块可以基于社区反馈来做出前摄推荐。例如,CBML模块可能从一个社区的设备接收如下数据:某个脆弱的代码在网络的远程部分上具有不合期望的故障转移特性。CBML模块可以标识具有拥有该脆弱代码的类似系统的另一社区的设备,所述脆弱代码可能使系统进入类似的情况中,导致不合期望的故障转移行为。即使在当前系统中从未实际观察到不合期望的行为,CBML模块也可以做出纠正该脆弱性的推荐。
其他说明和示例
这些非限制性示例中的每个可以独立自主地存在,或者可以以各种排列或组合与其他示例中的一个或多个进行组合。
示例1是一种方法,所述方法包括:标识数据集合,其中所述数据集合包括由多个联网设备生成的设备数据;对所述数据集合执行机器学习算法以:聚合所接收的设备数据;向聚合的设备数据分配上下文;生成聚合的设备数据特性;对所标识的特性执行基于规则的推理;生成被推理的特性的排名;以及确定是否要做出补救推荐。
示例2可以包括示例1的主题,并且可以进一步包括:对所述数据集合执行机器学习算法以进一步:如果确定要做出补救推荐,则做出所述补救推荐。
示例3可以包括示例1-2中的任何示例的主题,并且可以进一步包括:对所述数据集合执行机器学习算法以进一步:接收反馈;以及基于所述反馈来适配基于规则的推理。
示例4可以包括示例1-3中的任何示例的主题,并且可以进一步指定确定是否要做出补救推荐基于与所述多个联网设备中的所标识的特性相比较的设备中的所标识的特性。
示例5可以包括示例1-3中的任何示例的主题,并且可以进一步包括:对所述数据集合执行机器学习算法以进一步:基于被推理的设备数据特性来分配信誉得分。
示例6可以包括示例1-5中的任何示例的主题,并且可以进一步指定接收所述数据集合在一段时间内间歇地发生。
示例7可以包括示例1-6中的任何示例的主题,并且可以进一步指定接收设备数据包括接收设备策略数据;并且可以进一步指定确定是否要做出补救推荐基于所述设备策略数据。
示例8可以包括示例2-7中的任何示例的主题,并且可以进一步包括:对所述数据集合执行机器学习算法以进一步:接收对所述补救推荐的拒绝;以及做出修改的补救推荐。
示例9是一种装置,所述装置包括:存储器元件,其可操作以存储电子代码;以及处理器,其可操作以执行与所述电子代码相关联的指令,使得所述装置被配置成:接收数据集合,其中所述数据集合包括由多个联网设备生成的设备数据;聚合所接收的设备数据;向聚合的设备数据分配上下文;生成聚合的设备数据特性;对所标识的设备数据特性执行基于规则的推理;生成被推理的设备数据特性的排名;以及确定是否要做出补救推荐。
示例10可以包括示例9的主题,并且可以被进一步配置成:如果所述处理器确定要做出补救推荐,则做出所述补救推荐。
示例11可以包括示例9-10中的任何示例的主题,并且可以被进一步配置成:接收反馈;并且基于所述反馈来适配基于规则的推理。
示例12可以包括示例9-11中的任何示例的主题,并且可以被进一步配置成:基于被推理的设备数据特性来分配信誉简档。
示例13可以包括示例9-11中的任何示例的主题,并且可以进一步指定确定是否要做出补救推荐基于与所述多个联网设备中的所标识的特性相比较的设备中的所标识的特性。
示例14可以包括示例9-13中的任何示例的主题,并且可以进一步指定接收所述数据集合在一段时间内间歇地发生。
示例15可以包括示例9-14中的任何示例的主题,并且可以进一步指定接收设备数据包括接收设备策略数据;并且可以进一步指定确定是否要做出补救推荐基于所述设备策略数据。
示例16可以包括示例10的主题,并且可以被进一步配置成:接收对所述补救推荐的拒绝;并且做出修改的补救推荐。
示例17是一种系统,所述系统包括:多个联网设备;设备行为模型生成器,所述设备行为模型生成器包括:存储器元件;以及处理器,所述处理器可操作以执行指令以:接收数据集合,其中所述数据集合包括由多个联网设备生成的设备数据;并且对所述数据集合执行机器学习算法以:聚合所接收的设备数据;向聚合的设备数据分配上下文;生成聚合的设备数据特性;对所标识的设备数据特性执行基于规则的推理;生成被推理的设备数据特性的排名;并且确定是否要做出补救推荐;以及网络,其中所述网络连接所述多个联网设备和所述设备行为模型生成器。
示例18可以包括示例17的主题,并且可以进一步指定所述处理器被进一步配置成对所述数据集合执行机器学习算法以:如果所述处理器确定要做出补救推荐,则做出所述补救推荐。
示例19可以包括示例18的主题,并且可以进一步指定所述处理器被进一步配置成对所述数据集合执行机器学习算法以:接收反馈并且基于所述反馈来适配基于规则的推理。
示例20可以包括示例18的主题,并且可以进一步指定所述处理器被进一步配置成对所述数据集合执行机器学习算法以:接收对所述补救推荐的拒绝;并且做出修改的补救推荐。
示例21是至少一种机器可访问存储介质,其上存储有指令,所述指令当被在机器上执行时使得所述机器:接收数据集合,其中所述数据集合包括由多个联网设备生成的设备数据;对所述数据集合执行机器学习算法以:聚合所接收的设备数据;向私人设备数据应用隐私政策;向聚合的设备数据分配上下文;生成聚合的设备数据特性;对所标识的设备数据特性执行基于规则的推理;生成被推理的设备数据特性的排名;以及确定是否要做出补救推荐。
示例22可以包括示例21的主题,并且可以进一步指定所述指令在被执行时进一步使得机器:如果所述机器学习算法确定要做出补救推荐,则做出所述补救推荐。
示例23可以包括示例21的主题,并且可以进一步指定所述指令在被执行时进一步使得机器:接收反馈;并且基于所述反馈来适配基于规则的推理。
示例24可以包括示例21的主题,并且可以进一步指定所述指令在被执行时进一步使得机器:基于被推理的设备数据特性来分配信誉简档。
示例25可以包括示例21的主题,并且可以进一步指定确定是否要做出补救推荐基于与所述多个联网设备中的所标识的特性相比较的设备中的所标识的特性。
示例26可以包括示例21的主题,并且可以进一步指定接收所述数据集合在一段时间内间歇地发生。
示例27可以包括示例21的主题,并且可以进一步指定接收所述数据集合包括接收设备策略数据;并且可以进一步指定确定是否要做出补救推荐基于所述设备策略数据。
示例28可以包括示例22的主题,并且可以进一步指定所述指令在被执行时进一步使得机器:接收对所述补救推荐的拒绝;并且做出修改的补救推荐。
示例29是一种系统,所述系统包括:用于接收数据集合的部件,其中所述数据集合包括由多个联网设备生成的设备数据;用于聚合所接收的设备数据的部件;用于向聚合的设备数据分配上下文的部件;用于生成聚合的设备数据特性的部件;用于对所标识的设备数据特性执行基于规则的推理的部件;用于生成被推理的设备数据特性的排名的部件;以及用于确定是否要做出补救推荐的部件。
示例30可以包括示例29的主题,并且可以进一步包括用于如果确定要做出补救推荐则做出所述补救推荐的部件。
示例31可以包括示例29的主题,并且可以进一步包括用于接收反馈并且基于所述反馈来适配基于规则的推理的部件。
示例32可以包括示例30的主题,并且可以进一步包括用于接收对所述补救推荐的拒绝的部件;以及用于做出修改的补救推荐的部件。
示例33是包括用于执行示例1-8中的任何示例的方法的部件的系统。
示例34可以包括示例33的主题,并且可以进一步指定所述部件包括机器可读代码,所述机器可读代码在被执行时使得机器执行示例1-8中的任何示例的方法的一个或多个步骤。
Claims (25)
1.一种使用基于云的机器学习的方法,所述方法包括:
标识数据集合,其中所述数据集合包括来自多个联网设备的第一设备数据,所述第一设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;
从设备接收第二设备数据,所述第二设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;以及
对所述数据集合执行机器学习算法以:
聚合所述第一设备数据以构建聚合设备简档;
聚合所述第二设备数据以构建设备简档;
标识聚合的设备数据中的特性,其中所标识的特性包括基于所述多个联网设备和所述设备的硬件配置的硬件特性,并且所标识的特性包括基于所述多个联网设备和所述设备的软件配置的软件特性;
对所标识的特性执行基于规则的推理以确定所述设备的行为是否是典型的;以及
基于所述行为确定对所述设备做出补救推荐。
2.根据权利要求1所述的方法,进一步包括:
对所述数据集合执行机器学习算法以进一步:
做出所述补救推荐。
3.根据权利要求1所述的方法,进一步包括:
对所述数据集合执行机器学习算法以进一步:
接收反馈;以及
基于所述反馈来适配基于规则的推理。
4.根据权利要求1所述的方法,其中确定做出补救推荐基于与所述多个联网设备中的所标识的特性相比较的所述设备中的所标识的特性。
5.根据权利要求1-4中任一项所述的方法,进一步包括:
对所述数据集合执行机器学习算法以进一步:
基于被推理的设备数据特性来分配信誉得分。
6.根据权利要求1-4中任一项所述的方法,其中执行机器学习算法被执行以生成被推理的特性的排名,并且基于所述排名确定做出补救推荐。
7.根据权利要求1-4中任一项所述的方法,其中接收设备数据包括接收设备策略数据;并且
确定是否要做出补救推荐基于所述设备策略数据。
8.根据权利要求6所述的方法,进一步包括:
对所述数据集合执行机器学习算法以基于所述设备的硬件配置和软件配置来分配上下文,其中所述多个联网设备在设备启动期间、在应用启动时和在与所述多个联网设备中另一设备进行接口连接时生成所述第一设备数据,所述上下文标识当生成所述第二设备数据时所述设备的状态或位置,
对所述上下文执行基于规则的推理,以确定所述设备是否正根据所述聚合设备简档执行操作,并且
如果观察到所标识的特性超过阈值次数,如果所标识的特性对于所述硬件配置是非典型的,或者如果所标识的特性对于所述软件配置是非典型的,则所标识的特性排名得更高,
所述方法进一步包括:
做出所述补救推荐,其中根据所述基于规则的推理来确定做出所述补救推荐。
9.一种使用基于云的机器学习的装置,所述装置包括:
存储器元件,其可操作以存储电子代码;以及
处理器,其可操作以执行与所述电子代码相关联的指令,使得所述装置被配置成:
接收数据集合,其中所述数据集合包括来自多个联网设备的第一设备数据,所述第一设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;
从设备接收第二设备数据,所述第二设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;
聚合所述第一设备数据以构建聚合设备简档;
聚合所述第二设备数据以构建设备简档;
标识聚合的设备数据中的特性,其中所标识的特性包括基于所述多个联网设备和所述设备的硬件配置的硬件特性,并且所标识的特性包括基于所述多个联网设备和所述设备的软件配置的软件特性;
对所标识的设备数据特性执行基于规则的推理以确定所述设备的行为是否是典型的;以及
基于所述行为确定对所述设备做出补救推荐。
10.根据权利要求9所述的装置,被进一步配置成:
做出所述补救推荐。
11.根据权利要求9所述的装置,被进一步配置成:
接收反馈;并且
基于所述反馈来适配基于规则的推理。
12.根据权利要求9所述的装置,被进一步配置成:
基于被推理的设备数据特性来分配信誉简档。
13.根据权利要求9-12中任一项所述的装置,其中确定是否要做出补救推荐基于与所述多个联网设备中的所标识的特性相比较的所述设备中的所标识的特性。
14.根据权利要求9-12中任一项所述的装置,被进一步配置成:
生成被推理的特性的排名;以及
基于所述排名确定做出补救推荐。
15.根据权利要求9-12中任一项所述的装置,其中接收设备数据包括接收设备策略数据;并且确定做出补救推荐基于所述设备策略数据。
16.根据权利要求14所述的装置,被进一步配置成:
对所述数据集合执行机器学习算法以基于所述设备的硬件配置和软件配置来分配上下文,其中所述多个联网设备在设备启动期间、在应用启动时和在与所述多个联网设备中另一设备进行接口连接时生成所述第一设备数据,所述上下文标识当生成所述第二设备数据时所述设备的状态或位置,
对所述上下文执行基于规则的推理,以确定所述设备是否正根据所述聚合设备简档执行操作,并且
如果观察到所标识的特性超过阈值次数,如果所标识的特性对于所述硬件配置是非典型的,或者如果所标识的特性对于所述软件配置是非典型的,则所标识的特性排名得更高,
所述装置被进一步配置成:
做出所述补救推荐,其中根据所述基于规则的推理来确定做出所述补救推荐。
17.一种使用基于云的机器学习的系统,所述系统包括:
设备;以及
设备行为模型生成器,所述设备行为模型生成器包括:
存储器元件;以及
处理器,所述处理器可操作以执行指令以:
接收数据集合,其中所述数据集合包括来自多个联网设备的第一设备数据,所述第一设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;
从设备接收第二设备数据,所述第二设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;并且
对所述数据集合执行机器学习算法以:
聚合所述第一设备数据以构建聚合设备简档;
聚合所述第二设备数据以构建设备简档;
生成聚合的设备数据特性,其中所标识的特性包括基于所述多个联网设备和所述设备的硬件配置的硬件特性,并且所标识的特性包括基于所述多个联网设备和所述设备的软件配置的软件特性;
对所标识的特性执行基于规则的推理以确定所述设备的行为是否是典型的;并且
基于所述行为确定对所述设备做出补救推荐。
18.根据权利要求17所述的系统,其中所述处理器被进一步配置成对所述数据集合执行机器学习算法以:
做出所述补救推荐。
19.根据权利要求17所述的系统,其中所述处理器被进一步配置成对所述数据集合执行机器学习算法以:
接收反馈并且基于所述反馈来适配基于规则的推理。
20.根据权利要求17-19中任一项所述的系统,其中所述处理器被进一步配置成对所述数据集合执行机器学习算法以:
生成被推理的特性的排名;以及
基于所述排名确定做出补救推荐。
21.一种使用基于云的机器学习的系统,所述系统包括:
用于接收数据集合的部件,其中所述数据集合包括来自多个联网设备的第一设备数据,所述第一设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;
用于从设备接收第二设备数据的部件,所述第二设备数据包括设备平台标识数据,所述设备平台标识数据包括硬件配置和软件配置;
用于聚合所述第一设备数据以构建聚合设备简档的部件;
用于聚合所述第二设备数据以构建设备简档的部件;
用于标识聚合的设备数据中的特性的部件,其中所标识的特性包括基于所述多个联网设备和所述设备的硬件配置的硬件特性,并且所标识的特性包括基于所述多个联网设备和所述设备的软件配置的软件特性;
用于对所标识的设备数据特性执行基于规则的推理以确定所述设备的行为是否是典型的的部件;以及
用于基于所述行为确定对所述设备做出补救推荐的部件。
22.根据权利要求21所述的系统,进一步包括用于做出所述补救推荐的部件。
23.根据权利要求21所述的系统,进一步包括用于接收反馈并且基于所述反馈来适配基于规则的推理的部件。
24.根据权利要求21-23中任一项所述的系统,进一步包括:
用于生成被推理的特性的排名的部件;以及
用于基于所述排名确定做出补救推荐的部件。
25.一种使用基于云的机器学习的系统,包括用于执行根据权利要求1-4中任一项所述的方法的部件。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/283,238 US11049039B2 (en) | 2016-09-30 | 2016-09-30 | Static and dynamic device profile reputation using cloud-based machine learning |
US15/283238 | 2016-09-30 | ||
PCT/US2017/053570 WO2018064082A1 (en) | 2016-09-30 | 2017-09-27 | Static and dynamic device profile reputation using cloud-based machine learning |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109791633A CN109791633A (zh) | 2019-05-21 |
CN109791633B true CN109791633B (zh) | 2023-07-18 |
Family
ID=61757082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780060649.4A Active CN109791633B (zh) | 2016-09-30 | 2017-09-27 | 使用基于云的机器学习的静态和动态设备简档信誉 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11049039B2 (zh) |
CN (1) | CN109791633B (zh) |
WO (1) | WO2018064082A1 (zh) |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10581915B2 (en) * | 2016-10-31 | 2020-03-03 | Microsoft Technology Licensing, Llc | Network attack detection |
US10558542B1 (en) | 2017-03-31 | 2020-02-11 | Juniper Networks, Inc. | Intelligent device role discovery |
US10944766B2 (en) * | 2017-09-22 | 2021-03-09 | Microsoft Technology Licensing, Llc | Configurable cyber-attack trackers |
US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
US11265340B2 (en) | 2018-02-06 | 2022-03-01 | Bank Of America Corporation | Exception remediation acceptable use logic platform |
US10812502B2 (en) | 2018-02-06 | 2020-10-20 | Bank Of America Corporation | Network device owner identification and communication triggering system |
US11089042B2 (en) * | 2018-02-06 | 2021-08-10 | Bank Of America Corporation | Vulnerability consequence triggering system for application freeze and removal |
US10819731B2 (en) | 2018-02-06 | 2020-10-27 | Bank Of America Corporation | Exception remediation logic rolling platform |
DK3800856T3 (da) * | 2018-02-20 | 2023-08-28 | Darktrace Holdings Ltd | Cybersikkerhedsindretning til en cloud-infrastruktur |
US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
US10990759B1 (en) * | 2018-07-31 | 2021-04-27 | Amazon Technologies, Inc. | Deviation-based framework |
US11363031B2 (en) * | 2018-08-27 | 2022-06-14 | Ciena Corporation | Network architecture providing device identification and redirection using whitelisting traffic classification |
US10715391B2 (en) | 2018-12-03 | 2020-07-14 | At&T Intellectual Property I, L.P. | Cloud zone network analytics platform |
US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
US11615185B2 (en) * | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
US11645162B2 (en) | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
WO2021101562A1 (en) | 2019-11-22 | 2021-05-27 | Hewlett-Packard Development Company, L.P. | Security inspections |
US11341236B2 (en) | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
US11657155B2 (en) | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
US20210397711A1 (en) * | 2019-11-22 | 2021-12-23 | Pure Storage, Inc. | Detection of Writing to a Non-header Portion of a File as an Indicator of a Possible Ransomware Attack Against a Storage System |
US11631011B2 (en) * | 2020-01-31 | 2023-04-18 | EMC IP Holding Company LLC | Automatically remediating storage device issues using machine learning techniques |
CN111310208A (zh) * | 2020-02-14 | 2020-06-19 | 云从科技集团股份有限公司 | 数据处理方法、系统、平台、设备及机器可读介质 |
US11785038B2 (en) | 2021-03-30 | 2023-10-10 | International Business Machines Corporation | Transfer learning platform for improved mobile enterprise security |
US11997127B2 (en) * | 2021-05-07 | 2024-05-28 | Netskope, Inc. | Policy based vulnerability identification, correlation, remediation, and mitigation |
US20230030124A1 (en) * | 2021-07-30 | 2023-02-02 | Mastercard Technologies Canada ULC | Trust scoring service for fraud prevention systems |
US20230088415A1 (en) * | 2021-09-23 | 2023-03-23 | Armis Security Ltd. | Techniques for enriching device profiles and mitigating cybersecurity threats using enriched device profiles |
US11997490B2 (en) * | 2021-10-14 | 2024-05-28 | T-Mobile Innovations Llc | Network access based on AI filtering |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US7930256B2 (en) | 2006-05-23 | 2011-04-19 | Charles River Analytics, Inc. | Security system for and method of detecting and responding to cyber attacks on large network systems |
US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
US20110010543A1 (en) * | 2009-03-06 | 2011-01-13 | Interdigital Patent Holdings, Inc. | Platform validation and management of wireless devices |
US8370474B1 (en) * | 2010-03-26 | 2013-02-05 | Sprint Communications Company L.P. | Arbitration server for determining remediation measures in response to an error message from a content provider |
US8650287B2 (en) | 2011-04-27 | 2014-02-11 | Mcafee, Inc. | Local reputation to adjust sensitivity of behavioral detection system |
US8881289B2 (en) | 2011-10-18 | 2014-11-04 | Mcafee, Inc. | User behavioral risk assessment |
US8881273B2 (en) | 2011-12-02 | 2014-11-04 | Uniloc Luxembourg, S.A. | Device reputation management |
US8955039B2 (en) | 2012-09-12 | 2015-02-10 | Intel Corporation | Mobile platform with sensor data security |
US9215249B2 (en) | 2012-09-29 | 2015-12-15 | Intel Corporation | Systems and methods for distributed trust computing and key management |
US8874138B2 (en) | 2013-03-15 | 2014-10-28 | Intel Corporation | Systems and methods for determining to use geo-fencing by using straight-line distances between locations |
US10320628B2 (en) | 2013-06-19 | 2019-06-11 | Citrix Systems, Inc. | Confidence scoring of device reputation based on characteristic network behavior |
US9342784B1 (en) * | 2013-08-05 | 2016-05-17 | VCE Company, Inc. | Rule based module for analyzing computing environments |
CN105745663B (zh) | 2013-12-19 | 2018-11-16 | 英特尔公司 | 包括机器学习快照评估的保护系统 |
US9992228B2 (en) | 2014-09-14 | 2018-06-05 | Sophos Limited | Using indications of compromise for reputation based network security |
US9589155B2 (en) | 2014-09-23 | 2017-03-07 | Intel Corporation | Technologies for verifying components |
US20170330197A1 (en) * | 2015-02-26 | 2017-11-16 | Mcs2, Llc | Methods and systems for managing compliance plans |
-
2016
- 2016-09-30 US US15/283,238 patent/US11049039B2/en active Active
-
2017
- 2017-09-27 WO PCT/US2017/053570 patent/WO2018064082A1/en active Application Filing
- 2017-09-27 CN CN201780060649.4A patent/CN109791633B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
WO2018064082A1 (en) | 2018-04-05 |
US20180096260A1 (en) | 2018-04-05 |
US11049039B2 (en) | 2021-06-29 |
CN109791633A (zh) | 2019-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109791633B (zh) | 使用基于云的机器学习的静态和动态设备简档信誉 | |
US11032711B2 (en) | Systems and methods for security analysis of applications on user mobile devices while maintaining user application privacy | |
US11797684B2 (en) | Methods and systems for hardware and firmware security monitoring | |
US20190205552A1 (en) | System and method for monitoring the trustworthiness of a networked system | |
US8566571B2 (en) | Pre-boot securing of operating system (OS) for endpoint evaluation | |
US9129108B2 (en) | Systems, methods and computer programs providing impact mitigation of cyber-security failures | |
US8166552B2 (en) | Adaptive configuration management system | |
US10044698B2 (en) | Dynamic identity checking for a software service in a virtual machine | |
WO2020205258A1 (en) | System and method for mitigating cyber security threats | |
CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
US11962601B1 (en) | Automatically prioritizing computing resource configurations for remediation | |
EP3477524A1 (en) | Methods and systems for holistically attesting the trust of heterogeneous compute resources | |
US11792194B2 (en) | Microsegmentation for serverless computing | |
US9385869B1 (en) | Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions | |
US11997124B2 (en) | Out-of-band management security analysis and monitoring | |
US20230021216A1 (en) | Systems and methods for deploying secure edge platforms | |
US11989298B2 (en) | Methods and apparatus to validate and restore machine configurations | |
KR20160101051A (ko) | 머신 학습용 스냅샷 평가를 포함하는 보호 시스템 | |
US11588646B2 (en) | Identity-based application and file verification | |
AU2018306528B2 (en) | Recovery of application functions via analysis of application operational requests | |
US11979426B2 (en) | Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices | |
US11956212B2 (en) | IoT device application workload capture | |
US12010133B2 (en) | Security threat monitoring for network-accessible devices | |
US10033764B1 (en) | Systems and methods for providing supply-chain trust networks | |
JP5955165B2 (ja) | 管理装置、管理方法及び管理プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |