CN109804610B - 限制具有网络功能的设备的数据流量传输的方法和系统 - Google Patents
限制具有网络功能的设备的数据流量传输的方法和系统 Download PDFInfo
- Publication number
- CN109804610B CN109804610B CN201780061577.5A CN201780061577A CN109804610B CN 109804610 B CN109804610 B CN 109804610B CN 201780061577 A CN201780061577 A CN 201780061577A CN 109804610 B CN109804610 B CN 109804610B
- Authority
- CN
- China
- Prior art keywords
- network node
- destination address
- white list
- address
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种在网络节点处限制设备的数据包传输的方法和系统。网络节点在第一时段内更新白名单,并且不根据白名单限制数据包传输。在第一时段之后,网络节点确定每个数据包的相应的目的地址,并且如果标准令人满意,则允许将数据包发送到相应的目的地址。如果标准不令人满意,则网络节点不允许将数据包发送到相应的目的地址。白名单包括至少一个目的地址。标准是基于至少一个目的地址的。将白名单列表存储在网络节点中的非暂时性计算机可读存储介质中。
Description
技术领域
本发明总体而言涉及限制具有网络功能的设备的数据流量传输的领域。更具体地,本发明涉及更新允许从物联网(IoT)设备接收数据的目的地的白名单,并使用白名单来限制IoT设备的数据流量的传输。
背景技术
已知分布式拒绝服务(DDoS)攻击导致对合法互联网活动的广泛破坏。大量的商业活动正被破坏,并且正在遭受巨大的经济损失。感染了恶意代码的物联网(IoT)设备可被用于登陆DDoS攻击。由于网络中可能存在许多IoT设备,受感染的IoT设备可能会从网络发起DDoS攻击。这对于网络运营商来说是不希望的。
此外受感染或未受感染的IoT设备可以将数据发送到网络运营商不希望的目的地。这种数据传输不仅消耗网络资源、机密信息、隐私,商业机密也可能受到损害。网络管理员可能具有有限的配置大多数IoT设备的能力,因为IoT设备可能是不可配置的或受IoT设备供应商的控制。网络中存在的物联网设备可能存在安全风险。
发明内容
本发明公开了在网络节点处限制IoT设备的数据包传输的方法和系统。网络节点在第一时段内更新白名单,并且不根据白名单限制数据包传输。在第一时段之后,网络节点确定数据包中的每个的相应的目的地址,如果标准令人满意,则允许将数据包发送到相应的目的地址,并且如果标准不令人满意,则不允许将数据包发送到相应的目的地址。白名单包括至少一个目的地址。标准是基于至少一个目的地址的。白名单列表被存储在网络节点中的非暂时性计算机可读存储介质中。
根据本发明的一个实施例,第一时段小于1小时。在由网络节点的处理单元第一次检测到设备的媒体访问控制(MAC)地址时,第一时段开始。当更新白名单时,网络节点将IoT设备的MAC地址和目的地址存储在白名单中。
根据本发明的一个实施例,当更新白名单时,网络节点将IoT设备的互联网协议(IP)地址和目的地址存储在白名单中。
根据本发明的一个实施例,当由网络节点的处理单元确定IoT设备的品牌名称、型号名称和/或型号时,第一时段开始。
根据本发明的一个实施例,如果标准令人满意,允许将数据包发送到相应目的地址之前,网络节点从IoT设备的用户或网络节点的管理员接收批准(approval)。网络节点从远程服务器检索目标地址。网络节点在从IoT设备的用户或网络节点的管理员接收到指令之后,重置第一时段。
根据本发明的一个实施例,在第一时段内,网络节点确定至少一个目的地址中的每一个的最大数据包传输速率。白名单包括最大数据传输速率,并且标准包括最大数据传输速率。
附图说明
图1示出了根据本发明的一个实施例的网络配置;
图2是根据本发明的一个实施例的网络节点的框图。
图3A示出了根据本发明的一个实施例的基于在第一时段内所识别的数据包的目的地址来更新网络节点白名单的工作流程;
图3B示出了根据本发明的一个实施例的图3A的替代工作流程,其基于在第一时段内在网络节点处识别出的数据包的目的地址和从网络节点的服务器检索的目的地址来更新网络节点白名单;
图3C示出了根据本发明的一个实施例的图3B的替代工作流程,其基于在第一时段内所识别的数据包的目的地址和每个目的地址的最大数据包传输速率、以及IoT设备的目的地址和从服务器检索的每个目的地址的最大数据包传输速率来更新网络节点白名单;
图3D示出了根据本发明的一个实施例的图3C的替代工作流程,其基于所识别的数据包的目的地址、IoT设备在第一时段内的最大数据包传输速率、以及IoT设备的目的地址和IoT设备的最大数据包传输速率来更新网络节点白名单;
图4A示出了根据本发明的一个实施例的基于IoT设备的用户或网络节点的管理员输入的期望目的地址和IoT设备的MAC地址更新网络节点白名单的工作流程;
图4B示出了根据本发明的一个实施例的图4A的替代工作流程,其基于IoT设备的用户或网络节点的管理员输入的期望目的地址和IoT设备的信息来更新网络节点白名单;
图5A示出了根据本发明的一个实施例的由IoT设备的供应商在服务器处基于IoT设备的MAC地址或MAC地址的范围来更新服务器白名单的工作流程;
图5B示出了根据本发明的一个实施例的图5A的替代工作流程,其由IoT设备的供应商在服务器处基于IoT设备的信息来更新服务器白名单;以及
图6示出了根据本发明的一个实施例的由白名单服务提供商在服务器处基于从IoT设备的供应商收集的IoT设备的信息来更新服务器白名单的工作流程。
具体实施方式
随后的描述仅提供优选的一个或多个示例性实施例和多个示例性实施例,并且不旨在限制本发明的范围、适用性或配置。而是,随后对优选的一个或多个示例性实施例和多个示例性实施例的描述将为本领域技术人员提供用于实现本发明的优选示例性实施例的可操作描述。应当理解,在不脱离所附权利要求中阐述的本发明的精神和范围的情况下,可以对元件的功能和布置进行各种改变。
此外,应当注意,实施例可被描述为进程,该进程被描述为流程图、流程示意图、数据流程图、结构图或框图。尽管流程图可以将操作描述为顺序过程,但是许多操作可以并行或同时执行。另外,可以重新排列操作的顺序。进程在其操作完成时终止,但可能有其他未包括在图中的步骤。进程可以对应于方法、函数、过程、子例程、子程序等。当进程对应于函数时,其终止对应于函数返回到调用函数或主函数。
多个实施例或其部分可以体现在可在处理单元上操作的程序指令中,处理单元用于执行如本文所述的功能和操作。组成各种实施例的程序指令可以存储在存储单元中,例如辅助存储器。
此外,如本文所公开的,术语“二级存储器”和“主存储器”可以表示用于存储数据的一个或多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁RAM、核心存储器、磁盘存储介质、光存储介质、闪存设备和/或用于存储信息的其他机器可读介质。术语“机器可读介质”包括但不限于便携式或固定存储设备、光学存储设备、无线信道、和能够存储、容纳或携带一个或多个指令和/或数据的各种其他介质。机器可读介质可以通过虚拟化来实现,并且可以是包括基于云的实例中的虚拟机可读介质的虚拟机可读介质。
此外,实施例可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或其任何组合来实现。当在软件、固件、中间件或微代码中实现时,用于执行必要任务的程序指令或代码段可以存储在诸如存储单元的机器可读介质中。一个或多个处理单元可以执行必要的任务。一个或多个处理单元可以是CPU、ASIC半导体芯片、半导体芯片、逻辑单元、数字处理器、模拟处理器、FPGA或能够执行逻辑和算术功能的任何处理器。程序指令可以表示过程、函数、子程序、程序、例程、子例程、模块、软件包、类,或指令、数据结构或程序语句的任何组合。程序指令可以通过传递和/或接收信息、数据、自变量、参数或存储器内容而耦合到另一程序指令或硬件电路。信息、自变量、参数、数据等可以通过任何合适的手段(包括存储器共享、消息传递、令牌传递、网络传输等)被传递、转发或传输。一个或多个处理单元可以通过虚拟化来实现,并且可以是包括基于云的实例中的虚拟处理单元的一个或多个虚拟处理单元。
网络接口可以由独立电子组件实现,或者可以与其他电子组件集成。网络接口基于配置可能没有网络连接或至少有一个网络连接。网络接口仅连接到一个可访问的网络。因此,一个可访问网络可能携带多个网络连接。网络接口可以是以太网接口、帧中继接口、光纤接口、电缆接口、DSL接口、令牌环接口、串行总线接口、通用串行总线(USB)接口、Firewire接口、外围设备组件互连(PCI)接口等。
多个实施例或其部分可以体现在计算机数据信号中,该计算机数据信号可以是用于通过传输介质进行通信的任何合适的形式,使得计算机数据信号可由功能设备(例如,处理单元)读取以执行这里描述的操作。计算机数据信号可以包括可以通过诸如电子网络信道、光纤、空气、电磁介质、射频(RF)链路等传输介质传播的任何二进制数字电子信号,因此数据信号可以是电信号、光信号、射频或其他无线通信信号等形式。某些实施例中,程序指令可以通过诸如因特网、内联网、LAN、MAN、WAN、PSTN、卫星通信系统、电缆传输系统和/或类似系统等的计算机网络下载。
图1示出了根据本发明的一个实施例的网络配置。网络100包括因特网110;多个网络节点120、121和122;多个IoT设备130、131、132、133和134;用于网络节点120的服务器140和由白名单服务提供商提供的服务器150。
在一个实施例中,网络节点120接收和转发来自IoT设备130数据包。网络节点120可以是防火墙网关、路由器、交换机、接入点或能够接收和转发数据包的任何设备。物联网设备130生成数据包并经由网络节点120和因特网110将数据包发送到目的地址。物联网设备130可以是监视摄像机、恒温器、汽车、灯、冰箱、能够生成数据包并通过因特网110将数据包发送到目的地址的任何设备。
网络节点120从IoT设备130接收数据包,然后经由因特网110将所接收的数据包发送到目的地址。允许目的地址从IoT设备130接收数据包。网络节点120使用白名单来允许将数据包发送到目的地址。
图2是根据本发明的一个实施例的网络节点120的说明性框图。网络节点120包括处理单元200、主存储器201、系统总线202、辅助存储器203和多个网络接口204。处理单元200和主存储器201直接相互连接。系统总线202将处理单元200直接或间接地连接到辅助存储器203和多个网络接口204。使用系统总线202允许网络节点120具有增加的模块性。系统总线202将处理单元200耦合到辅助存储器203和多个网络接口204。系统总线202可以是以下几种类型总线结构中的任一种,包括使用各种总线架构中任一种的存储器总线、外围总线和本地总线。辅助存储器203存储用于由处理单元200执行的程序指令。
辅助存储器203还存储条件,其中根据所建立的端到端连接是否满足条件,将所建立的端到端连接分类到不同的组。
在一个特定实施例中,网络节点120使用的网络节点白名单被存储在网络节点120的辅助存储器203中。网络节点120确定源自IoT设备130的数据包的目的地址是否在在IoT设备130的白名单上。如果目的地址在网络节点白名单上,则网络节点120允许将数据包发送到目的地址。如果目的地址不在网络节点白名单上,则网络节点120不允许将数据包发送到目的地址。然后,丢弃数据包和/或将响应发送到IoT设备130以指示数据包不被发送到目的地址。
图3A示出了基于在第一时段内识别出的数据包的目的地址来更新网络节点白名单的工作流程的示例性实施例。该工作流程的一个好处是网络节点白名单由网络节点本身更新。
IoT设备130具有其自己的媒体访问控制(MAC)地址,其能够用于将IoT设备130与其他IoT设备区分开。MAC有六个八位字节,MAC地址的前三个八位字节指的是组织唯一标识符(OUI)。OUI是24位数字,用于唯一标识由IEEE分配的供应商。可以使用完整的MAC地址、MAC地址的OUI或OUI与MAC地址的最后三个八位字节中的任何位的结合来进行识别。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否在网络节点白名单上。如果MAC地址不在网络节点白名单上,则在304处,处理单元200开始第一时段。
例如,第一时段被设置为处理单元200从IoT设备130接收到第一数据包的时间开始的一小时。没有限制第一时段必须是一小时。例如,第一时段可以短至两分钟甚至长过一个月。第一时段是处理单元200识别所接收的数据包的目的地址的时段。优选地,不将第一时段设置为长于三小时,否则处理单元200将长时间更新,并且将不能有效地使用计算资源和/或网络资源。此外,如果第一时段太长,则IoT设备130可能被攻击。然后,网络节点白名单上的目的地址可能包括不期望的互联网协议(IP)地址或统一资源定位符(URL),从而降低了具有白名单的有效性。
然后,处理单元200在框310处识别在第一时段内接收的数据包的目的地址。在框311处,基于MAC地址和诸如IP地址、域名称和URL的目的地址来更新网络节点白名单。在框312处,将更新的白名单存储在辅助存储器203中。
在框303处,如果MAC地址在网络节点白名单上,则处理单元200将在框305处确定是否在第一时段内接收到数据包。如果在第一时段内接收到数据包,将执行框310到框312的动作。如果在框305处,在第一时段到期后接收到数据包,则工作流程将在框306处结束。
图3B示出了图3A的替代工作流程的示例性实施例,其基于在第一时段内识别的数据包的目的地址和从服务器检索的目的地址来更新网络节点白名单。该工作流程的一个好处是可以从服务器获得IoT设备的目的地址。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否在存储器203中存储的网络节点白名单上。如果MAC地址在网络节点白名单上,则执行在框305、框310、框311和框312处的动作。
在框303处,如果MAC地址不在网络节点白名单上,则处理单元200将同时执行在框304和框307处的动作。在框304处,处理单元200开始第一时段。将执行在框310、框311和框312处的动作。
在框307处,处理单元200与服务器140通信,然后确定MAC地址是否在服务器白名单上。在框308处,如果MAC地址在服务器白名单上,则处理单元200从服务器检索IoT设备130的目的地址。然后,在框309处,处理单元200基于从服务器140检索的目的地址来更新网络节点白名单。将更新后的网络白名单存储在辅助存储器203中。
图3C示出了图3B的替代工作流程的示例性实施例,其基于在第一时段内识别出的数据包的目的地址和每个目的地址的最大数据包传输速率来更新IoT设备130的网络节点白名单。此外,从服务器140检索IoT设备130的目的地址和每个目的地址的最大数据包传输速率,以便网络节点120更新网络节点白名单。该工作流程的一个好处是限制了不在网络节点白名单上的目的地址的数据包传输速率。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否是在存储在存储器203中的网络节点白名单上。如果MAC地址在网络节点白名单上,则执行框305处的动作。处理单元200然后在框320处识别第一时段内接收的数据包的目的地址和每个目的地址的最大数据包传输速率。在框321处,基于MAC地址、目的地址和每个目的地址的最大数据包传输速率来更新网络节点白名单。在框312处,将更新的白名单存储在辅助存储器203中。
在框303处,如果MAC地址不在网络节点白名单上,则处理单元200将同时执行在框304和框307处的动作。在框304处,处理单元200开始第一时段。将执行在框320、框321和框312处的动作。
在框307处,处理单元200与服务器140通信,然后确定MAC地址是否在服务器白名单上。在框318处,如果MAC地址在服务器白名单上,则处理单元200从服务器150检索IoT设备130的目的地址和每个目的地址的最大数据传输速率。处理单元200然后在框309处基于从服务器140检索的目的地址和最大数据包传输速率更新网络节点白名单。将更新后的网络白名单存储在辅助存储器203中。
在一个特定实施例中,处理单元200确定IoT设备130到网络节点白名单上的每个目的地址的数据包传输速率。在第一时段到期之后,不允许IoT设备130到网络节点白名单上的每个目的地址的数据包传输速率超过相应的最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期后,不允许将数据包发送到这些地址。限制最大数据包传输速率的一个好处是控制正在传输的数据量,并且可以限制IoT设备消耗的网络资源量。
在一个变型中,对于网络节点白名单上的目的地址,在第一时段到期之后,IoT设备130到这些目的地址中的每一个的数据包传输速率不允许超过目的地址中的相应最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期之后,这些目的地址的数据包传输被限制为阈值,例如10kbps、20kbps或100kbps。限制数据包传输速率的一个好处是阈值允许IoT设备130在第一时段到期之后与新目的地通信,同时限制在IoT设备130被用于发起DDoS攻击的情况下的影响。
在一个特定实施例中,允许用户或管理员输入每个目的地址的最大数据包传输速率,而不是由网络节点120检测每个目的地址的最大数据包传输速率。
图3D示出了图3C的替代工作流程的示例性实施例,其基于所识别的数据包的目的地址、第一时段内的IoT设备的最大数据包传输速率、和IoT设备的目的地址、和IoT设备的最大数据包传输速率来更新网络节点白名单。例如,基于在特定时段内从IoT设备到所有目的地的总数据包传输速率来测量最大数据包传输速率。最高数据包传输速率被视为最大数据包传输速率。例如,在特定时间,分别地,从IoT设备到地址A的数据传输速率是10kbps,到地址B的数据传输速率是40kbps,到地址C的数据传输速率是25kbps,因此总数据包传输速率是75kbps。如果75kbps是特定时段内的最高数据包传输速率,则IoT设备的最大数据包传输速率是75kbps。
该工作流程的一个好处是目的地址不在网络节点白名单上的总数据包传输速率不允许超过最大数据包传输速率,或者甚至不允许这些目的地址的数据包传输,以减轻网络流量溢出。
在框301处,网络节点120的处理单元200从IoT设备130接收数据包。在框302处,处理单元200确定IoT设备130的MAC地址。在框303处,处理单元200确定MAC地址是否在存储在存储器203中的网络节点白名单上。如果MAC地址在网络节点白名单上,则执行框305处的动作。在框330处,处理单元200然后在第一时段内识别所接收的数据包的目的地址和IoT设备130的最大数据包传输速率。在框331处,基于MAC地址、目的地址和最大数据包传输速率来更新网络节点白名单。在框312处,将更新后的白名单存储在辅助存储器203中。
在框303处,如果MAC地址不在网络节点白名单上,则处理单元200将同时执行在框304和框307处的动作。在框304处,处理单元200开始第一时段。将执行框330、框331和框312处的动作。
在框307处,处理单元200与服务器140通信,然后确定MAC地址是否在服务器白名单上。在框328处,如果MAC地址在服务器白名单上,则处理单元200从服务器150检索IoT设备130的目的地址和IoT设备130的最大数据传输速率。在框329处,处理单元200然后基于从服务器140检索的目的地址和最大数据包传输速率来更新网络节点白名单。将更新后的网络白名单存储在辅助存储器203中。
在一个特定实施例中,处理单元200确定IoT设备130到网络节点白名单上的目的地址的总数据包传输速率。在第一时段到期之后,IoT设备130到网络节点白名单上的目的地址的总数据包传输速率不允许超过IoT设备130的最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期后,不允许将数据包发送到这些地址。
在一个变型中,对于网络节点白名单上的目的地址,在第一时段到期之后,IoT设备130到这些目的地址的总数据包传输速率允许超过IoT设备130的最大数据包传输速率。对于不在网络节点白名单上的目的地址,在第一时段到期之后,不允许IoT设备130到这些目的地址的总数据包传输速率超过IoT设备130的最大数据包传输速率。
在一个特定实施例中,如果IoT设备130的用户或网络节点120的管理员在第一时段到期后尝试更新网络节点白名单,则允许用户或管理员通过使用输入接口(例如按钮、旋钮、键盘和显示面板)重置网络节点白名单。一旦重置网络节点白名单,可以将新的目的地址添加到网络节点白名单。网络节点120执行如图3A、图3B、图3C或图3D所示的工作流程。
一个特定的详细实施例,在重置之后,移除网络节点白名单上的所有目的地址。需要将新的目的地址再次添加到网络节点白名单中。
在一个变型中,在重置之后,不移除网络节点白名单上的目的地址。然后在新的第一时段期间学习新的目的地址。这允许将更多目旳地址添加到网络节点白名单。这在IoT设备130升级或更新之后特别有用,因为IoT设备130可以合法地访问合法目的地址。
在一个特定实施例中,在网络节点120使用更新的网络节点白名单来限制数据包传输之前,允许用户或管理员批准更新的网络节点白名单。如果在更新的网络节点白名单中未识别任何缺陷,则将批准更新的网络节点白名单。如果在更新的网络节点白名单中识别出缺陷,则允许用户修改并且然后批准网络节点白名单。一旦网络节点白名单被批准,网络节点120就实现网络节点白名单以将数据发送到网络节点白名单上的目的地址。
在一个特定实施例中,允许用户或管理员输入IoT设备130的最大数据包传输速率,而不是通过网络节点120检测IoT设备130的最大数据包传输速率。
在一个特定实施例中,网络节点120定期生成分析报告并将其发送给用户或管理员。例如,生成分析报告并在每天午夜发送给用户或管理员,或者生成分析报告并在每个星期一午夜发送给用户或管理员。
分析报告包括白名单上的目的地址和不在白名单上的目的地址。分析报告还包括每个目的地址的数据包传输速率。在一个特定细节中,分析报告还包括对期望地址和非期望地址的请求的数量。分析报告可用于帮助用户或管理员确定IoT设备是否被黑客入侵或正在访问未知目的地址。此外,分析报告可以帮助用户或管理员将期望的目的地址添加至白名单或者移除期望的目的地址。分析报告作为电子邮件和/或消息发送,和/或显示为网页和/或文档。在一个变型中,将分析报告发送给第三方(例如白名单服务提供商)以进行进一步分析。然后,白名单服务提供商基于分析报告提供对白名单的建议或修改。
图4A示出了基于由IoT设备的用户或网络节点的管理员输入的期望目的地址和IoT设备的MAC地址来更新网络节点白名单的工作流程的示例性实施例。其中一个好处是,只要用户或管理员希望,用户或管理员就使用期望的目的地址更新网络节点白名单。
在框401处,网络节点120的处理单元200接收由IoT设备130的用户或网络节点120的管理员做出的用于经由例如输入接口、应用程序编程接口(API)或网络来更新网络节点白名单的请求。输入界面包括网页。在框402处,处理单元200确定IoT设备130的MAC地址。然后将同时执行框403和405处的动作。在框405处,允许用户或管理员经由网页输入期望的目的地址。例如,所需的目的地址包括端口号、端口范围、域名、URL和IP地址。在框406处,基于期望的目的地址和MAC地址来更新网络节点白名单。更新的网络节点白名单存储在辅助存储器203中。
在框403处,如果MAC地址在服务器白名单上,则处理单元200将MAC地址发送到服务器140并从服务器140检索IoT设备130的目的地址。在框404处,处理单元200基于从服务器140检索的目的地址来更新网络节点白名单。然后将执行框405和框406处的动作。如果MAC地址不在服务器白名单上,则将空目的地址返回到网络节点120。
在一个特定实施例中,用户或管理员通过网页发出更新网络节点白名单的请求。向用户或管理员提供登录信息或登录设备,例如用户名和密码或安全令牌,以获得对网页的访问。一旦用户或管理员输入用户名和密码以登录网页,就允许用户或管理员输入期望的目的地址和/或附加信息,例如协议信息和“动作类型”信息。
协议信息包括TCP、UDP、ICMP和IP,“动作类型”信息包括“允许”或“拒绝”动作。“允许”操作是允许传输数据。“拒绝”操作是拒绝传输数据。
图4B示出了图4A的替代工作流程,用于基于期望的目的地址和IoT设备的信息来更新网络节点白名单。该工作流程的一个好处是IoT设备的用户更方便地输入IoT设备的信息以更新网络节点白名单。
在框401处,处理单元200接收由IoT设备130的用户或网络节点120的管理员做出的用于经由网页更新网络节点白名单的请求。在框412处,允许用户或管理员经由网页输入IoT设备130的信息。向用户或管理员提供登录信息或登录设备,例如用户名和密码或安全令牌,以获得对网页的访问。一旦用户或管理员输入用户名和密码以登录网页,就允许用户或管理员输入IoT设备130的信息,例如品牌名称、型号名称、型号、制造日期和/或制造地点。
一旦用户或管理员输入IoT设备130的信息,将同时执行在框405和框413处的动作。在框405处,允许用户或管理员输入期望的目的地址。在框416处,基于期望的目的地址和IoT设备130的信息来更新网络节点白名单。将更新后的网络节点白名单存储在存储器203中。
在框413处,处理单元200将IoT设备130的信息发送到服务器14。在一个特定实施例中,基于IoT设备130的信息,如果IoT设备130是服务器白名单上的IoT设备组的一个,处理单元200将从服务器140检索IoT设备组的相应目的地址。在框404处,基于从服务器140检索的目的地址更新网络节点白名单。然后,将执行在框405和框416处的动作。如果IoT设备130的信息不在服务器白名单上,则将空目的地址返回到网络节点120。
在一个特定实施例中,IoT设备组包括IoT设备130、131和133。IoT设备130、131和133分别与网络节点120、121和122连接。IoT设备130、131和133彼此共享至少一个公共标识符。例如,标识符包括品牌名称、型号名称、型号、制造日期、制造地点。在一个示例中,IoT设备130、131和133具有相同的品牌名称。在另一示例中,IoT设备130、131和133具有相同的品牌名称和相同的型号名称和/或型号。
品牌名称用于对由相同供应商制造和管理的IoT设备进行分组。型号名称和/或型号用于进一步识别或分类来自相同供应商的IoT设备。制造日期和/或制造地点也用于进一步识别和分类。
为了便于用户或管理员输入IoT设备的信息,在网页中提供下拉菜单或可滚动列表。下拉菜单或可滚动列表包含一个或多个输入字段。在一个特定实施例中,该字段包括品牌名称字段、型号名称字段、型号字段、制造日期字段和/或制造地点字段。品牌名称字段、型号名称字段和型号分别包含IoT设备组的品牌名称、型号名称和型号。没有限制使用多少输入字段。例如,品牌名称字段和型号名称字段一起使用,或者品牌名称字段、型号名称字段和型号字段一起使用。
在一个特定实施例中,用户或管理员通过向下拉动条或向下滚动条来在品牌名称字段处为IoT设备130选择对应的品牌名称。然后,用户或管理员在型号名称字段处为IoT设备130选择型号名称。然后,用户或管理员在型号字段中为IoT设备130选择型号。
图5A示出了由IoT设备的供应商基于IoT设备的MAC地址或MAC地址的范围来更新服务器白名单的工作流程的示例性实施例。服务器白名单被存储在白名单服务提供商提供的服务器中。该工作流程的一个好处是可以从供应商处获得最新的目的地址。
在框501处,服务器150接收由IoT设备130的供应商做出的用于经由网页更新服务器白名单的请求。在框502处,允许供应商经由网页输入IoT设备130的MAC地址或MAC地址的范围。在框503处,允许供应商输入期望的目的地址。在框504处,基于期望的目的地址和MAC地址或MAC地址的范围来更新服务器白名单。将更新后的服务器白名单存储在服务器150中。
服务器150处的白名单由供应商经由网页输入。白名单服务提供商要求供应商提供OUI和其他文档以证明供应商的身份和权限,例如商业注册文档,以便向供应商授予输入接口的访问权限。一旦供应商的身份被认证,白名单服务提供商就向供应商提供登录信息或登录设备,例如,用户名和密码或安全令牌以获得对网页的访问。一旦供应商输入用户名和密码登录网页,就允许供应商输入MAC地址或MAC地址的范围以及期望的目的地址(例如URL、域名和IP地址),以便更新其服务器白名单。
图5B示出了图5A的替代工作流程的示例性实施例,其由IoT设备的供应商在服务器处基于IoT设备的信息来更新服务器白名单。该工作流程的一个好处是输入IoT设备信息的过程很简单。
在框501处,服务器150接收由IoT设备130的供应商做出的用于经由网页更新白名单的请求。在框512处,向供应商提供登录信息或登录设备,例如用户名和密码或安全令牌,以获得对网页的访问。一旦供应商输入用户名和密码以登录网页,就允许供应商通过下拉菜单或可滚动列表输入IoT设备130的信息,例如IoT设备130的信息包括品牌名称、型号名称、型号、制造日期、制造地点。
在框503处,允许供应商输入期望的目的地址。在框514处,基于期望的目的地址和IoT设备130的信息来更新服务器白名单。将更新后的服务器白名单存储在服务器150中。
图6示出了基于由白名单服务提供商收集的IoT设备的信息来更新服务器白名单的工作流程的示例性实施例。该工作流程的一个好处是,IoT设备的供应商不需要输入IoT设备的信息。
在框601处,白名单服务提供商监视IoT设备市场并识别每天由其自身管理的白名单中丢失的任何IoT设备。例如,从存储在服务器150中的服务器白名单中丢失了IoT设备130。在框602处,白名单服务提供商联系IoT设备130的供应商并从供应商收集IoT设备130的信息。
所收集的IoT设备130的信息包括例如品牌名称、型号名称、型号、序列号、制造日期、制造地点、MAC地址、期望目的地址的信息(URL、域名和IP地址)。在框603处,白名单服务提供商基于所收集的IoT设备130的信息来更新服务器白名单。在框604处,将更新后的服务器白名单存储在服务器150中。
在一个特定实施例中,网络节点120的供应商订购包括用于IoT设备130的白名单的白名单服务。允许网络节点120与服务器150通信并从服务器150检索服务器白名单的信息。网络节点120基于从服务器150检索的信息更新网络节点白名单。将更新后的网络节点白名单存储在辅助存储器203中并由网络节点120使用,以允许将数据包发送到网络节点白名单上的各目的地址。
Claims (18)
1.一种在网络节点处限制设备的数据包传输的方法,包括:
a)在第一时段内:
i)基于从所述设备接收的第一数据包的目的地址及所述设备的媒体访问控制地址更新白名单;
ii)不根据所述白名单限制数据包传输;
iii)当所述设备的所述媒体访问控制地址不在所述白名单时,与远程服务器通信;以及
iv)从所述远程服务器检索所述设备的目的地址及端口号;以及
b)在所述第一时段之后:
i)确定从所述设备接收的第三数据包的目的地址;
ii)如果标准令人满意,则允许将所述第三数据包中的每个发送到相应的目的地址;
iii)如果所述标准不令人满意,则不允许将所述第三数据包中的每个发送到相应的目的地址;
其中所述白名单在更新之后进一步包括所述设备的所述目的地址及所述端口号;
其中所述设备的所述媒体访问控制地址是在所述远程服务器的服务器白名单上;
其中所述白名单在更新之前包括所述设备的所述媒体访问控制地址;
其中所述白名单在更新之后进一步包括所述第一数据包的所述目的地址;
其中所述标准是基于所述第一数据包的所述目的地址;
其中当所述相应的目的地址与所述第一数据包的所述目的地址的其中一个相同,所述标准令人满意;以及
其中将所述白名单列表存储在所述网络节点中的非暂时性计算机可读存储介质中。
2.根据权利要求1所述的方法,其中所述第一时段小于一小时;以及
所述第一时段是所述网络节点的处理单元用于识别所述第一数据包的所述目的地址的时段。
3.根据权利要求1所述的方法,其中在由所述网络节点的处理单元第一次检测到所述设备的所述媒体访问控制地址时,所述第一时段开始。
4.根据权利要求3所述的方法,还包括:当更新所述白名单时,将所述设备的媒体访问控制地址和所述第一数据包的所述目的地址存储在所述白名单中。
5.根据权利要求3所述的方法,还包括:当更新所述白名单时,将所述设备的互联网协议(IP)地址和所述第一数据包的所述目的地址存储在所述白名单中。
6.根据权利要求1所述的方法,其中,当由所述网络节点的处理单元识别所述设备的品牌名称、型号名称和/或型号中的至少一个时,所述第一时段开始。
7.根据权利要求1所述的方法,还包括:在执行步骤(b)(ii)之前,从所述设备的用户或所述网络节点的管理员接收批准。
8.根据权利要求1所述的方法,还包括:
d)在所述第一时段之后,在从所述设备的用户或所述网络节点的管理员接收到指令之后,重置所述第一时段为新的时段;以及
e)在所述新的时段内,基于从所述设备接收的第四数据包的目的地址更新所述白名单。
9.根据权利要求1所述的方法,还包括:
f)在所述第一时段内,确定所述第一数据包的所述目的地址的最大数据包传输速率,其中所述白名单还包括最大数据传输速率;并且其中所述标准还包括最大数据传输速率。
10.一种限制设备的数据包传输的网络节点,包括:
至少一个网络接口;
至少一个处理单元;
至少一个主存储器;
存储程序指令的至少一个辅助存储器,所述程序指令可由所述至少一个处理单元执行以下步骤:
a)在第一时段内:
i)基于从所述设备接收的第一数据包的目的地址及所述设备的媒体访问控制地址更新白名单;
ii)基于所述白名单,允许所述设备不限制所述第一数据包的传输及不限制第二数据包的接收;
iii)当所述设备的所述媒体访问控制地址不在所述白名单时,与远程服务器通信;以及
iv)从所述远程服务器检索所述设备的目的地址及端口号;以及
b)在所述第一时段之后:
i)确定从所述设备接收的第三数据包的目的地址;
ii)如果标准令人满意,则允许将所述第三数据包中的每个发送到相应的目的地址;
iii)如果所述标准不令人满意,则不允许将所述第三数据包的每个发送到相应的目的地址;
其中所述白名单在更新之后进一步包括所述设备的所述目的地址及所述端口号;
其中所述设备的所述媒体访问控制地址是在所述远程服务器的服务器白名单上;
其中所述白名单在更新之前包括所述设备的所述目的地址;
其中所述白名单在更新之后进一步包括所述第一数据包的所述目的地址;
其中所述标准是基于所述第一数据包的所述目的地址;
其中当所述相应的目的地址与所述第一数据包的所述目的地址的其中一个相同,所述标准令人满意;以及
其中将所述白名单列表存储在所述网络节点中的非暂时性计算机可读存储介质中。
11.根据权利要求10所述的网络节点,其中,所述第一时段小于一小时;以及
所述第一时段是所述网络节点的处理单元用于识别所述第一数据包的所述目的地址的时段。
12.根据权利要求10所述的网络节点,其中,在由所述网络节点的处理单元第一次检测到所述设备的所述媒体访问控制地址时,所述第一时段开始。
13.根据权利要求12所述的网络节点,其中,所述至少一个处理单元还可操作用于在更新所述白名单时,将所述设备的媒体访问控制地址和所述第一数据包的所述目的地址存储在所述白名单中。
14.根据权利要求12所述的网络节点,其中,所述至少一个处理单元还可操作用于在更新所述白名单时,将所述设备的互联网协议(IP)地址和所述第一数据包的所述目的地址存储在所述白名单中。
15.根据权利要求10所述的网络节点,其中,当由所述网络节点的处理单元识别所述设备的品牌名称、型号名称和/或型号中的至少一个时,所述第一时段开始。
16.根据权利要求10所述的网络节点,其中,所述至少一个处理单元还可操作用于在执行步骤(b)(ii)之前,从所述设备的用户或所述网络节点的管理员接收批准。
17.根据权利要求10所述的网络节点,其中,所述至少一个处理单元还可操作用于:
d)在所述第一时段之后,在从所述设备的用户或所述网络节点的管理员接收到指令之后,重置所述第一时段为新的时段;以及
e)在所述新的时段内,基于从所述设备接收的第四数据包的目的地址更新所述白名单。
18.根据权利要求10所述的网络节点,其中,所述至少一个处理单元还可操作用于:
f)在所述第一时段内,确定所述第一数据包的所述目的地址的最大数据包传输速率,其中所述白名单还包括最大数据传输速率;并且其中所述标准还包括最大数据传输速率。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2017/051682 WO2018172818A1 (en) | 2017-03-23 | 2017-03-23 | Method and system for restricting transmission of data traffic for devices with networking capabilities |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109804610A CN109804610A (zh) | 2019-05-24 |
| CN109804610B true CN109804610B (zh) | 2022-05-13 |
Family
ID=61731455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780061577.5A Active CN109804610B (zh) | 2017-03-23 | 2017-03-23 | 限制具有网络功能的设备的数据流量传输的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10931636B2 (zh) |
| CN (1) | CN109804610B (zh) |
| GB (1) | GB2566765B (zh) |
| WO (1) | WO2018172818A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10931636B2 (en) * | 2017-03-23 | 2021-02-23 | Pismo Labs Technology Limited | Method and system for restricting transmission of data traffic for devices with networking capabilities |
| CN107360184B (zh) * | 2017-08-14 | 2020-09-08 | 杭州迪普科技股份有限公司 | 终端设备认证方法和装置 |
| US11805104B2 (en) * | 2018-12-14 | 2023-10-31 | Battelle Memorial Institute | Computing system operational methods and apparatus |
| JP7247628B2 (ja) * | 2019-02-12 | 2023-03-29 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| US11870768B1 (en) * | 2020-04-10 | 2024-01-09 | Cisco Technology, Inc. | Certificate-based techniques to securely onboard a radio interface unit |
| CN112069137B (zh) * | 2020-09-02 | 2024-05-17 | 阿波罗智联(北京)科技有限公司 | 生成信息的方法、装置、电子设备及计算机可读存储介质 |
| TWI759908B (zh) * | 2020-10-15 | 2022-04-01 | 威聯通科技股份有限公司 | 產生授權允許名單的方法與利用其之資安系統 |
| CN113542264B (zh) * | 2021-07-13 | 2022-08-26 | 杭州安恒信息技术股份有限公司 | 一种文件传输控制方法、装置、设备及可读存储介质 |
| CN113660267B (zh) * | 2021-08-17 | 2022-07-26 | 电子科技大学 | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 |
| CN114448491B (zh) * | 2021-12-20 | 2023-10-31 | 中国电信股份有限公司卫星通信分公司 | 卫星海洋宽带通信网络下减少终端损耗流量的方法和系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013041880A1 (en) * | 2011-09-21 | 2013-03-28 | The Cloud Networks Limited | Apparatus, method and system for controlling access to a network service or resource by a wireless client device |
| CN103416040A (zh) * | 2012-08-29 | 2013-11-27 | 华为终端有限公司 | 终端控制方法和装置、以及终端 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN105471915A (zh) * | 2016-01-13 | 2016-04-06 | 青岛海信宽带多媒体技术有限公司 | 一种网络访问控制方法及网络终端 |
| US9317818B1 (en) * | 2015-01-13 | 2016-04-19 | Seyed Amin Ghorashi Sarvestani | System and method for using a hybrid single-pass electronic ticket |
| CN105681101A (zh) * | 2016-02-29 | 2016-06-15 | 北京润科通用技术有限公司 | 一种数据包处理方法及装置 |
| US9389993B1 (en) * | 2010-09-03 | 2016-07-12 | Cisco Technology, Inc. | System and method for whitelist management |
| CN106375472A (zh) * | 2016-09-29 | 2017-02-01 | 北京三快在线科技有限公司 | 访问请求处理方法、装置和服务器 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
Family Cites Families (115)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6118787A (en) * | 1997-06-27 | 2000-09-12 | Advanced Micro Devices, Inc. | Apparatus and method for regulating assigned bandwidth in high speed packet switched networks |
| US20030107590A1 (en) * | 2001-11-07 | 2003-06-12 | Phillippe Levillain | Policy rule management for QoS provisioning |
| US20040201631A1 (en) | 2002-01-31 | 2004-10-14 | Keller S. Brandon | Generating a list of addresses in an index page |
| US7206327B2 (en) * | 2002-05-17 | 2007-04-17 | Broadcom Corporation | Method and circuit for insertion of time stamp into real time data |
| US20090094671A1 (en) * | 2004-08-13 | 2009-04-09 | Sipera Systems, Inc. | System, Method and Apparatus for Providing Security in an IP-Based End User Device |
| KR100639969B1 (ko) * | 2004-12-02 | 2006-11-01 | 한국전자통신연구원 | 이상 트래픽 제어 장치 및 그 제어 방법 |
| JP4546998B2 (ja) * | 2005-02-18 | 2010-09-22 | デュアキシズ株式会社 | 通信制御システム |
| US9572189B2 (en) * | 2005-04-20 | 2017-02-14 | Contact At Once!, Llc. | System and method for analyzing messages and initiating communication sessions |
| US7822620B2 (en) * | 2005-05-03 | 2010-10-26 | Mcafee, Inc. | Determining website reputations using automatic testing |
| US8584226B2 (en) * | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
| US20080134300A1 (en) * | 2006-07-08 | 2008-06-05 | David Izatt | Method for Improving Security of Computer Networks |
| US9049651B2 (en) * | 2006-08-25 | 2015-06-02 | Qualcomm Incorporated | Selection of an access point in a communications system |
| US7792124B2 (en) * | 2007-04-01 | 2010-09-07 | Cisco Technology, Inc. | Data forwarding in a layer three satellite network |
| US8205246B2 (en) * | 2007-05-10 | 2012-06-19 | Cisco Technology, Inc. | User sensitive filtering of network application layer resources |
| US7877087B2 (en) | 2007-07-25 | 2011-01-25 | Sony Ericsson Mobile Communications Ab | Methods of remotely updating lists in mobile terminals and related systems and computer program products |
| KR100884749B1 (ko) * | 2007-08-29 | 2009-02-20 | 한국전자통신연구원 | Rfid 리더들 간 충돌 회피 방법 및 그 장치 |
| US8169910B1 (en) * | 2007-10-24 | 2012-05-01 | Juniper Networks, Inc. | Network traffic analysis using a flow table |
| US8116310B2 (en) * | 2007-11-24 | 2012-02-14 | Cisco Technology, Inc. | Reducing packet flooding by a packet switch |
| US8950007B1 (en) * | 2008-04-07 | 2015-02-03 | Lumension Security, Inc. | Policy-based whitelisting with system change management based on trust framework |
| KR101481421B1 (ko) | 2008-11-03 | 2015-01-21 | 삼성전자주식회사 | 이동 통신 시스템에서 단말의 화이트 리스트 관리 방법 및 장치 |
| US8966610B2 (en) * | 2008-11-05 | 2015-02-24 | Apriva, Llc | Method and system for securing data from a non-point of sale device over an external network |
| CN101567888B (zh) | 2008-12-29 | 2011-12-21 | 郭世泽 | 网络反馈主机安全防护方法 |
| US8423631B1 (en) * | 2009-02-13 | 2013-04-16 | Aerohive Networks, Inc. | Intelligent sorting for N-way secure split tunnel |
| WO2010098035A1 (ja) * | 2009-02-24 | 2010-09-02 | パナソニック株式会社 | 端末装置、ホーム基地局およびホーム基地局交換装置 |
| US20100313262A1 (en) * | 2009-06-03 | 2010-12-09 | Aruba Networks, Inc. | Provisioning remote access points |
| US9386023B2 (en) * | 2009-10-09 | 2016-07-05 | Blackberry Limited | Method, apparatus and system for managing packet delivery |
| US8745758B2 (en) * | 2009-11-02 | 2014-06-03 | Time Warner Cable Enterprises Llc | Apparatus and methods for device authorization in a premises network |
| US8936911B2 (en) | 2010-09-22 | 2015-01-20 | Pacific Biosciences Of California, Inc. | Purified extended polymerase/template complex for sequencing |
| WO2012065632A1 (en) * | 2010-11-16 | 2012-05-24 | Abb Research Ltd | Electronic device for communication in a data network including a protective circuit for identifying unwanted data |
| US9071575B2 (en) * | 2011-04-21 | 2015-06-30 | Robert K. Lemaster | Method and system for abuse route aggregation and distribution |
| US8595818B2 (en) * | 2011-06-01 | 2013-11-26 | Raytheon Bbn Technologies Corp. | Systems and methods for decoy routing and covert channel bonding |
| US20130111024A1 (en) * | 2011-10-26 | 2013-05-02 | Deepinder Singh Setia | Dynamic Walled Garden |
| JP2013105241A (ja) * | 2011-11-11 | 2013-05-30 | Riso Kagaku Corp | 制御プログラム更新装置及び制御プログラム更新プログラム |
| US8572696B1 (en) * | 2011-11-23 | 2013-10-29 | Google Inc. | Contextual data aided security protection |
| US9571591B2 (en) * | 2011-12-28 | 2017-02-14 | Dynatrace Llc | Method and system for tracing end-to-end transaction which accounts for content update requests |
| JP5851585B2 (ja) * | 2012-03-16 | 2016-02-03 | 京セラ株式会社 | 通信制御方法、ユーザ端末、基地局、及びホーム基地局 |
| US9723023B2 (en) * | 2012-03-21 | 2017-08-01 | Raytheon Bbn Technologies Corp. | Destination address rewriting to block peer-to-peer communications |
| JP5701844B2 (ja) | 2012-04-27 | 2015-04-15 | 株式会社東芝 | 通信システム、データセンタ装置及びデータセンタ装置で使用される制御方法 |
| US9516262B2 (en) * | 2012-05-07 | 2016-12-06 | Comigo Ltd. | System and methods for managing telephonic communications |
| US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
| US8856305B2 (en) | 2012-07-11 | 2014-10-07 | Verisign, Inc. | System and method for adding a whitelist entry via DNS |
| EP2693717B1 (en) * | 2012-07-29 | 2015-05-06 | Verint Systems Limited | System and method of high volume rule engine related applications |
| US20140082693A1 (en) * | 2012-09-14 | 2014-03-20 | Shaun Wackerly | Updating security bindings in a network device |
| US9767280B2 (en) * | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| US9117054B2 (en) * | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
| US9065756B2 (en) * | 2013-01-09 | 2015-06-23 | Intel Corporation | System and method for providing fast and efficient flushing of a forwarding database in a network processor |
| US9336395B2 (en) * | 2013-01-25 | 2016-05-10 | Hewlett-Packard Development Company, L.P. | Boot driver verification |
| US10348767B1 (en) * | 2013-02-26 | 2019-07-09 | Zentera Systems, Inc. | Cloud over IP session layer network |
| US20140313975A1 (en) * | 2013-04-19 | 2014-10-23 | Cubic Corporation | White listing for binding in ad-hoc mesh networks |
| US8997232B2 (en) * | 2013-04-22 | 2015-03-31 | Imperva, Inc. | Iterative automatic generation of attribute values for rules of a web application layer attack detector |
| CN103259728B (zh) * | 2013-05-24 | 2016-03-30 | 华为技术有限公司 | 一种ofs带内通信方法及ofs |
| US20150052047A1 (en) * | 2013-08-19 | 2015-02-19 | Xerox Business Services, Llc | Methods and systems for facilitating document banking |
| KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US9154459B2 (en) * | 2013-09-25 | 2015-10-06 | Malwarebytes Corporation | Access control manager |
| CN103475491B (zh) | 2013-10-10 | 2017-01-04 | 杭州东信北邮信息技术有限公司 | 一种无密码安全登录的远程维护系统和实现方法 |
| US8812705B1 (en) * | 2013-10-15 | 2014-08-19 | Google Inc. | Accessing location-based content |
| US9961079B1 (en) * | 2014-03-21 | 2018-05-01 | Symantec Corporation | Context aware intruder detection using WIFI MAC addresses |
| US9882877B2 (en) * | 2014-05-12 | 2018-01-30 | Michael C. Wood | Transparent traffic control device and method for securing internet-connected devices |
| US9467324B2 (en) * | 2014-05-12 | 2016-10-11 | Michael C. Wood | Firewall security for computers with internet access and method |
| US20170237749A1 (en) * | 2016-02-15 | 2017-08-17 | Michael C. Wood | System and Method for Blocking Persistent Malware |
| US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US9531814B2 (en) * | 2014-09-23 | 2016-12-27 | Nuvem Networks, Inc. | Virtual hosting device and service to provide software-defined networks in a cloud environment |
| US10050993B2 (en) * | 2014-09-24 | 2018-08-14 | Mcafee, Llc | Non-invasive whitelisting |
| US9876806B2 (en) * | 2014-09-25 | 2018-01-23 | Mcafee, Llc | Behavioral detection of malware agents |
| KR20160036201A (ko) * | 2014-09-25 | 2016-04-04 | 한국전자통신연구원 | 비정상 통신 차단 장치 및 방법 |
| US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
| US10008286B2 (en) * | 2014-11-07 | 2018-06-26 | Elwha Llc | Self-testing data storage devices and methods |
| US20160142285A1 (en) * | 2014-11-13 | 2016-05-19 | Industrial Technology Research Institute | Openflow switch and method for packet exchanging thereof, sdn controller and data flow control method thereof |
| CN105682063B (zh) * | 2014-11-19 | 2020-04-21 | 中兴通讯股份有限公司 | 呼叫前转控制方法及装置 |
| US10101987B2 (en) * | 2015-03-11 | 2018-10-16 | Echelon Corporation | Method and system of processing an image upgrade |
| US9942130B2 (en) * | 2015-01-07 | 2018-04-10 | Cisco Technology, Inc. | Selective routing of network traffic for remote inspection in computer networks |
| US20160255012A1 (en) * | 2015-02-26 | 2016-09-01 | Check Point Software Technologies Ltd. | Method for mitigation of unauthorized data transfer over domain name service (dns) |
| US10432662B2 (en) * | 2015-04-30 | 2019-10-01 | Oath, Inc. | Method and system for blocking malicious third party site tagging |
| WO2016176686A1 (en) * | 2015-04-30 | 2016-11-03 | Drawbridge Networks, Inc. | Computer network security system |
| WO2016193060A1 (en) * | 2015-06-01 | 2016-12-08 | Thomson Licensing | Method, apparatus and system for device replacement detection and device recommendation |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| CN106304141A (zh) | 2015-06-10 | 2017-01-04 | 美的集团股份有限公司 | 基于ZigBee网络的入网管理方法和系统 |
| US10116699B1 (en) * | 2015-06-17 | 2018-10-30 | United Services Automobile Association (Usaa) | Systems and methods for network security |
| US10051001B1 (en) * | 2015-07-31 | 2018-08-14 | Palo Alto Networks, Inc. | Efficient and secure user credential store for credentials enforcement using a firewall |
| JP6433865B2 (ja) * | 2015-08-26 | 2018-12-05 | アラクサラネットワークス株式会社 | 通信装置 |
| JP6739036B2 (ja) | 2015-08-31 | 2020-08-12 | パナソニックIpマネジメント株式会社 | コントローラ |
| US20170061074A1 (en) | 2015-08-31 | 2017-03-02 | Kinsa, Inc. | Telemedicine system and method |
| US9641553B2 (en) * | 2015-09-25 | 2017-05-02 | Intel Corporation | Methods and apparatus to facilitate end-user defined policy management |
| WO2017073089A1 (ja) * | 2015-10-27 | 2017-05-04 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
| GB2544490B (en) * | 2015-11-17 | 2019-12-04 | Arm Ip Ltd | Zero latency gateway |
| US9838419B1 (en) * | 2015-11-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection and remediation of watering hole attacks directed against an enterprise |
| US10044674B2 (en) * | 2016-01-04 | 2018-08-07 | Afero, Inc. | System and method for automatic wireless network authentication in an internet of things (IOT) system |
| US10491611B2 (en) * | 2016-01-08 | 2019-11-26 | Belden, Inc. | Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols |
| US10608992B2 (en) * | 2016-02-26 | 2020-03-31 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
| US10200375B2 (en) * | 2016-03-15 | 2019-02-05 | Sony Interactive Entertainment America Llc | Dynamic denial of service detection and automated safe mitigation |
| US10516694B1 (en) | 2016-03-29 | 2019-12-24 | Amazon Technologies, Inc. | Hierarchical mitigation of denial of service attacks on communication networks |
| WO2017184139A1 (en) * | 2016-04-21 | 2017-10-26 | Wang, Ying | Determining a persistent network identity of a networked device |
| US10356064B1 (en) * | 2016-05-02 | 2019-07-16 | Rockwell Collins, Inc. | Distributed on-demand key management for rangeless environments |
| US10284554B2 (en) * | 2016-05-05 | 2019-05-07 | Airwatch, Llc | Systems for providing device-specific access to an e-mail server |
| US20170325270A1 (en) * | 2016-05-06 | 2017-11-09 | Futurewei Technologies, Inc. | System and Method for Device Identification and Authentication |
| US10135847B2 (en) * | 2016-05-18 | 2018-11-20 | Salesforce.Com, Inc. | Reverse shell network intrusion detection |
| US10264024B2 (en) * | 2016-05-19 | 2019-04-16 | Google Llc | Wireless peripheral administration |
| US10419433B2 (en) * | 2016-06-06 | 2019-09-17 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Network credentials for wirelessly accessing a LAN via an alternate communications network |
| US10205606B2 (en) * | 2016-06-15 | 2019-02-12 | Abl Ip Holding Llc | Mesh over-the-air (OTA) luminaire firmware update |
| CN106100955B (zh) * | 2016-06-23 | 2020-01-17 | 北京东土科技股份有限公司 | 工业互联网现场层宽带总线数据深度检测实现方法 |
| US10129298B2 (en) * | 2016-06-30 | 2018-11-13 | Microsoft Technology Licensing, Llc | Detecting attacks using compromised credentials via internal network monitoring |
| JP6712922B2 (ja) * | 2016-07-22 | 2020-06-24 | 株式会社日立ソリューションズ | データ漏洩防止システム及びデータ漏洩防止方法 |
| US10225234B2 (en) * | 2016-08-31 | 2019-03-05 | Fortress Cyber Security, LLC | Systems and methods for geoprocessing-based computing network security |
| US10348684B2 (en) * | 2016-09-01 | 2019-07-09 | Hewlett Packard Enterprise Development Lp | Filtering of packets for packet types at network devices |
| US10608881B2 (en) * | 2016-09-22 | 2020-03-31 | Nicira, Inc. | Application-based network segmentation in a virtualized computing environment |
| US20180091547A1 (en) * | 2016-09-26 | 2018-03-29 | Arbor Networks, Inc. | Ddos mitigation black/white listing based on target feedback |
| CN106452721A (zh) | 2016-10-14 | 2017-02-22 | 牛毅 | 一种基于标识公钥的智能设备指令鉴别方法及系统 |
| US9692784B1 (en) * | 2016-10-25 | 2017-06-27 | Fortress Cyber Security, LLC | Security appliance |
| US10924502B2 (en) * | 2016-12-29 | 2021-02-16 | Noblis, Inc. | Network security using inflated files for anomaly detection |
| US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
| US10547637B1 (en) * | 2017-02-06 | 2020-01-28 | Ca, Inc. | Systems and methods for automatically blocking web proxy auto-discovery protocol (WPAD) attacks |
| JP6793056B2 (ja) | 2017-02-15 | 2020-12-02 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
| US20180270109A1 (en) * | 2017-03-15 | 2018-09-20 | Microsoft Technology Licensing, Llc | Management of network device configuration settings |
| US10931636B2 (en) * | 2017-03-23 | 2021-02-23 | Pismo Labs Technology Limited | Method and system for restricting transmission of data traffic for devices with networking capabilities |
-
2017
- 2017-03-23 US US15/947,775 patent/US10931636B2/en active Active
- 2017-03-23 WO PCT/IB2017/051682 patent/WO2018172818A1/en active Application Filing
- 2017-03-23 CN CN201780061577.5A patent/CN109804610B/zh active Active
- 2017-03-23 GB GB1802297.0A patent/GB2566765B/en active Active
-
2021
- 2021-02-22 US US17/181,702 patent/US11722458B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9389993B1 (en) * | 2010-09-03 | 2016-07-12 | Cisco Technology, Inc. | System and method for whitelist management |
| WO2013041880A1 (en) * | 2011-09-21 | 2013-03-28 | The Cloud Networks Limited | Apparatus, method and system for controlling access to a network service or resource by a wireless client device |
| CN103416040A (zh) * | 2012-08-29 | 2013-11-27 | 华为终端有限公司 | 终端控制方法和装置、以及终端 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| US9317818B1 (en) * | 2015-01-13 | 2016-04-19 | Seyed Amin Ghorashi Sarvestani | System and method for using a hybrid single-pass electronic ticket |
| CN105471915A (zh) * | 2016-01-13 | 2016-04-06 | 青岛海信宽带多媒体技术有限公司 | 一种网络访问控制方法及网络终端 |
| CN105681101A (zh) * | 2016-02-29 | 2016-06-15 | 北京润科通用技术有限公司 | 一种数据包处理方法及装置 |
| CN106375472A (zh) * | 2016-09-29 | 2017-02-01 | 北京三快在线科技有限公司 | 访问请求处理方法、装置和服务器 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11722458B2 (en) | 2023-08-08 |
| US10931636B2 (en) | 2021-02-23 |
| WO2018172818A1 (en) | 2018-09-27 |
| GB2566765B (en) | 2022-09-14 |
| GB2566765A (en) | 2019-03-27 |
| CN109804610A (zh) | 2019-05-24 |
| GB201802297D0 (en) | 2018-03-28 |
| US20200195609A1 (en) | 2020-06-18 |
| US20210176211A1 (en) | 2021-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109804610B (zh) | 限制具有网络功能的设备的数据流量传输的方法和系统 | |
| CN109964469B (zh) | 用于在网络节点处更新白名单的方法和系统 | |
| US11349881B2 (en) | Security-on-demand architecture | |
| US9215237B2 (en) | Communication system, control device, communication method, and program | |
| US10116696B2 (en) | Network privilege manager for a dynamically programmable computer network | |
| US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
| US20130276092A1 (en) | System and method for dynamic security insertion in network virtualization | |
| US11165805B2 (en) | Guard system for automatic network flow controls for internet of things (IoT) devices | |
| US10587524B2 (en) | Multi-tagged multi-tenant rate limiting | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| JP2017175462A (ja) | 通信制御装置、通信制御方法、及びプログラム | |
| CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
| KR102184114B1 (ko) | 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치 | |
| JP6591504B2 (ja) | パケットフィルタリング装置 | |
| CN112995125A (zh) | 用于保护网络访问安全的方法、系统及相关联的装置 | |
| EP3882779B1 (en) | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device | |
| Frank et al. | Securing smart homes with openflow | |
| Liu et al. | Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting | |
| JP2016031687A (ja) | マルウェア通信制御装置 | |
| KR20210012902A (ko) | I2nsf 등록 인터페이스 yang 데이터 모델 | |
| Real et al. | Designing an open source IoT Hub: bridging interoperability and security gaps with MQTT and your Android device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40006819 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |