CN110115015B - 通过监测其行为检测未知IoT设备的系统和方法 - Google Patents
通过监测其行为检测未知IoT设备的系统和方法 Download PDFInfo
- Publication number
- CN110115015B CN110115015B CN201780080727.7A CN201780080727A CN110115015B CN 110115015 B CN110115015 B CN 110115015B CN 201780080727 A CN201780080727 A CN 201780080727A CN 110115015 B CN110115015 B CN 110115015B
- Authority
- CN
- China
- Prior art keywords
- devices
- behavior
- data
- functional group
- behavioral
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Environmental & Geological Engineering (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
为了识别未知IoT设备类型,收集并分析设备的行为或统计数据。可以使用已知类型的设备的行为数据来创建功能组。可以生成功能组的行为简档并将其存储在数据库中。将未知类型的设备的行为数据与功能组的行为简档进行比较。当未知类型的设备的行为数据与行为简档的相似度超过预定或可配置阈值时,可以将与功能组相关联的设备类型分配给先前未知类型的设备。
Description
相关申请的交叉引用
本申请要求2016年12月29日提交的题目为“通过监测其行为检测未知IoT设备类型”的美国临时申请No.62/440,321、2016年12月29日提交的题目为“通过监测行为检测恶意IoT设备”的美国临时申请No.62/440,361、2017年10月27日提交的题目为“通过监测其行为检测未知IoT设备类型”的美国临时申请No.62/578,290、和2017年10月27日提交的题为“通过监测行为检测恶意IoT设备”的美国临时申请No.62/578,336的优先权。上面引用的所有申请目前正在待决,其公开的全文,包括说明书和附图,通过引用结合于此。
技术领域
本发明一般涉及用于检测或确定网络上的未知设备类型的系统和方法,并且更具体地,涉及监测设备行为以确定设备类型。
背景技术
物联网(“IoT”)是用于描述包括许多不同类型的设备、传统计算机和过去不能进行网络通信的设备两者的网络的术语。IoT中的“物”可以是可以收集数据并经由网络传达数据的任何类型的设备。这种设备的示例可以包括智能家用电器、恒温器、传感器、生物芯片、可植入医疗设备、监测设备、车载设备,或通过互联网连接传达数据的任何设备。IoT设备可以为智能家居、智能电网、智能工厂、智能城市、智能交通系统和存在IoT设备的其他环境中的设备提供控制和自动化。在包括IoT设备的环境中,可以跨网络基础设施远程感测和控制对象。当IoT设备具有未知设备类型时,存在识别IoT设备并将它们与设备功能组相关联的需要。
发明内容
本发明一般涉及用于使用比较分析来确定未知设备类型的系统和方法。为了识别未知IoT设备类型,可以将设备的统计数据与包括已知类型的设备的功能组的行为简档进行比较。
本发明的一个方面针对方法,其中方法由包括通过网络连接的一个或多个设备的系统进行。方法可以包括收集已知设备的行为数据或统计模式并创建执行相同任务的设备的至少一个功能组的步骤。统计模式可以包括,例如,设备类型、制造商品牌名、MAC地址和型号信息。可以创建功能组的行为简档并将其存储在耦合到互联网的行为数据库中。可以使用通过用户输入、检测或来自第三方的输入中的一个或多个获得的已知设备行为数据来创建功能组的行为简档。可以收集并由系统接收来自连接到一个或多个本地网络的具有未知设备类型的一个或多个设备的一个或多个数据流。未知设备类型的设备的数据流可以包括,例如,入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间以及连接的持续时间等中的一个或多个。可以将一个或多个第一设备的数据流从一个或多个路由器或监测节点发送到行为分析器。路由器、监测节点和行为分析器可以连接到互联网。可以从数据流中确定行为数据。在后续步骤中,可以确定具有未知设备类型的一个或多个设备的行为数据与至少一个功能组的行为简档之间的相似度。在一个实施例中,可以生成相似度得分。响应于确定设备的行为数据和功能组的行为简档的相似度满足或超过预定或可配置的阈值,可以将与功能组相关联的设备类型分配给设备。
本发明的另一方面针对用于确定诸如IoT设备的未知设备的设备类型的系统。系统可以包括被配置为用于在其上运行可运行程序的一个或多个计算设备,其中多个计算设备可以通过本地网络和/或互联网连接。未知设备类型的一个或多个设备可以与一个或多个监测节点相关联。监测节点可以各自包括数据流监测器和设备统计。数据流监测器可以从数据流中确定各种统计。设备统计可以包括入站或出站网络流量的统计量、网络流量类型,分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间以及连接的持续时间等中的一个或多个的各种组合。监测节点可以将数据流从设备发送到路由器或计算设备。可以提供路由器以运行本地网络和互联网之间的设备的数据流的传输。系统还可以包括行为分析器,其被配置为接收设备的数据流、将设备的数据流的行为数据与至少一个功能组的行为简档进行比较,并且基于该比较,将与至少一个功能组相关联的设备类型分配给设备。
本发明的又一方面针对非暂时性计算机可读存储介质,其上存储有程序,该程序被配置为执行大致如上所述的方法。
附图说明
为了更好地理解本发明的主题,可以参考附图,其中:
图1是示出根据本发明的一个实施例的用于使用行为分析检测未知IoT设备类型的系统的框图;
图2是示出根据本发明一个实施例的用于确定未知IoT设备的方法的操作的流程图;以及
图3是在其上本发明主题的实施例可以运行的计算机系统的示例实施例的框图。
具体实施方式
在本发明的示例实施例的以下详细描述中,参考形成其一部分的附图,并且其中通过图示的方式示出了可以实践本发明的具体示例实施例。足够详细地描述了这些实施例以使本领域技术人员能够实践本发明的主题,并且应该理解,可以利用其他实施例,并且可以在不脱离本发明主题的范围的情况下进行逻辑、机械、电气和其他改变。
以下详细描述的一些部分是根据对计算机存储器内的数据比特的操作的算法和符号表示来呈现的。这些算法描述和表示是数据处理领域的技术人员用来最有效地将他们工作的实质传达给本领域其他技术人员的方式。这里的算法通常被认为是导致期望结果的自洽(self-consist)的步骤序列。步骤是需要物理操纵物理量的步骤。通常,尽管不是必须的,这些量采用能够被存储、传输、组合、比较和以其他方式操纵的电信号或磁信号的形式。已经证明将这些信号有时称为比特、值、元素、符号、字符、项、数字等是方便的,主要出于通用的原因。然而,应该记住,所有这些以及类似术语都应与适当的物理量相关联,并且仅仅是应用于这些量的方便标签。除非从以下讨论中明确另作说明,否则诸如“处理”或“计算”或“运算”或“确定”或“显示”等术语指计算机系统或类似的计算设备的动作和过程,其将表示为计算机系统的寄存器和存储器内的物理(例如,电子)量的数据操纵并变换为类似地表示为计算机系统存储器或寄存器或其他这样的信息存储、传输或显示设备内的物理量的其他数据。
在图中,始终使用相同的附图标记来指代出现在多个图中的相同组件。可以用相同的附图标记或标签来指代信号和连接,并且将从其在说明书的上下文中的使用中清楚实际含义。通常,对于给定项目或本发明的一部分,附图标记的第一位数字应对应于其中首先识别该项目或部分的图的编号。
各种实施例的描述仅解释为示例,并未描述本发明主题的每个可能的实例。使用当前或未来技术的组合可以实施许多替代方案,这仍然落在权利要求的范围内。因此,以下详细描述不应被视为具有限制意义,并且本发明主题的范围仅由所附权利要求限定。
图1是示出根据本发明一个实施例的用于使用相似度分析确定未知IoT设备类型的系统的框图。在一些方面,系统100可以包括本地网络102、路由器104、IoT设备110-117、计算机120、监测节点118-119、互联网122、行为分析器124和行为数据库126。
本地网络102可以是有线网络、无线网络或其任何组合。有线或无线网络的任一个可以是家庭网络、局域网(local area network,LAN)、城域网(metropolitan areanetwork,MAN)、广域网(wide area network,WAN),或公司内联网。类似地,互联网122可以是有线网络、无线网络、或者覆盖比本地网络102更大的域的二者的组合的一个或多个的任何集合。在某些方面,互联网122可以是构成互联网的一个或多个网络。
IoT设备(例如,IoT设备110-117)可以是能够收集数据、接收命令和经由本地网络102和/或互联网122传达数据的任何类型的设备。这种设备的示例包括但不限于智能家用电器、恒温器、传感器、生物芯片、办公设备、可植入医疗设备、车载设备、或通过本地网络102和/或互联网122连接传达数据的其他设备。
计算机120可以是服务器计算机、台式计算机、便携式计算机、平板计算机、智能手机、机顶盒,或具有使得设备能够运行程序的一个或多个处理器和存储器的任何其他设备。本实施例不限于任何特定类型的计算设备。计算设备可以包括可以由用户操作的用户客户端设备(未示出)。计算机单元120可以包括可以被配置为将一个或多个文件与一个或多个其他文件进行比较的软件程序、应用程序或其他可编程逻辑中的一个或多个。
路由器104可以在本地网络102和互联网122之间转发网络数据。路由器104可以是独立路由器、无线路由器或接入点、调制解调器/路由器、或在本地网络102和互联网122之间转发数据的任何其他设备。在本公开的一些方面,路由器104可以包括数据流监测器106。数据流监测器106可以捕获本地网络102中的设备(诸如IoT设备110-117、监测节点118-119、计算机120和本地网络102上的任何其他设备)的数据流。在一个实施例中,监测节点118-119可以是IoT集线器(未示出),其传输或控制网络连接的IoT设备。监测节点118-119可以各自包括数据流监测器106。数据流监测器106可以从数据流确定各种统计,诸如网络设备统计108。在一些方面,网络设备统计108可以包括以下各项中的一个或多个的各种组合:
·每分钟每设备的入站/出站流量。
·流量类型。
·分组的源和目的地端口。
·分组的目的地地址。
·连接持续时间。
·分组之间的时间。
可以基于每个设备维护网络设备统计108。
监测节点118-119可以各自是类似于计算机120的计算设备。监测节点118可以运行数据流监测器106以生成网络设备统计108,作为路由器104的替代或补充。例如,监测节点118-119可以运行从网络102捕获分组的网络嗅探器程序。
网络设备统计108可以经由互联网122从路由器104或计算机120发送到行为分析器124。行为分析器124可以将网络设备统计108存储在行为数据库126中。除了网络设备统计108之外,行为数据库126还可以包括已知设备行为128和/或行为简档130。已知设备行为128包括关于已知IoT设备的数据。已知设备可以通过用户输入识别、基于包括本文所公开的方法或其他检测方法的检测方法检测、或者通过从第三方获取数据来获得。其他检测方法包括使用在设备上运行的可用服务来对其进行分类,或者使用设备的响应标志来进行分类,以及其他合适的方法。
行为简档130也可以保存在行为数据库126中。行为简档130包括关于设备或属于特定设备组的设备的通常行为的数据。
行为分析器124可以使用网络设备统计108、已知设备行为128和行为简档130来确定未知IoT设备的设备类型,如下面参考图2进一步描述的。
应当注意,尽管图1中仅示出了一个本地网络102,但是行为分析器124可以从许多不同的连接、用户客户端设备(未示出)和本地网络102接收网络设备统计108。
图2是示出根据本发明的一个实施例的用于检测未知IoT设备的设备类型的方法的操作的流程图。方法可以在框202处通过本地网络102或互联网122接收网络设备统计108的数据流开始。可以从本地网络102内的多个网络接收网络设备统计108。
在框204处,使用行为数据库126或已知技术的帮助来确定已知和未知设备类型。同样利用先前确定的统计模式(如在方法200的先前迭代中由框210先前确定的),如果行为数据满足统计约束,则确定设备类型、品牌和/或型号。
在框206处,将已知IoT设备分组为功能组。借助于知识数据库和/或已知可用技术,可以将可以确定的设备与仍然未知的设备分离。可以确定先前考虑的统计模式,诸如设备类型、制造商品牌名、MAC地址、型号信息。在一些方面,功能组是执行相同任务的组。例如,一个这样的组可以是IP摄像机(不同供应商,具有不同操作系统)。另一组可以是诸如智能扬声器系统、智能电视等的媒体播放器。又一组可以是游戏控制台。本领域技术人员将理解,可以存在许多其他组,并且这些组在本发明主题的范围内。设备可以是多于一个组的成员。例如,Microsoft Xbox既可以属于游戏控制台组,也可以属于媒体播放器组。此外,组可以具有可以表示多个粒度层的子组。例如,IP摄像机可以进一步分为包括室外摄像机和室内摄像机的子组。
在框208处,可以为所识别的组和子组创建行为简档。行为简档可以包括描述属于所识别的组和子组的设备的通常行为的数据。特别地,对于每个组和/或子组,可以基于该组或子组的行为数据来估计正常行为。也就是说,对于每个组或子组,可以导出使用行为数据库126中可用的不同类型数据的统计模式。这样的模式将捕获(具有统计边界)组或子组的正常行为和数据元素。这种模式的示例可以是:以确定性99%,该设备组的最小持续时间至少为1秒,而最大持续时间低于7秒。然而,组合不同数据元素的模式是可能的:例如,当连接的持续时间大于10秒时,入流量的量是出流量的量的至少五倍。
应该注意,此学习过程可以是连续过程。也就是说,设备的行为很可能会随着时间而改变,并且会出现新类型的IoT设备。因此,期望定期更新行为数据库126以便更新正常行为的估计。
在框210处,行为数据可以表示为参考边界。可以将参考边界设置为具有每个功能组的可接受范围(或限制)的阈值。例如,如果将未知设备的行为数据(例如,IP摄像机Vn=8.3)生成为值8.3并且先前确定的已知设备的行为数据(例如,IP摄像机Vnth=7.5)需要值7.5或更大,则系统100可以将IP摄像机-Vn分配为属于IP摄像机-Vnth组。但是,如果未知设备行为数据不满足任何功能组阈值,则可以为未知设备分配新的功能组。在一个实施例中,可以通过分析各种IoT设备统计的组合来生成相似度得分。当设备的某个值满足预定阈值时,则可以将设备标记为属于该设备类型、制造商品牌名、MAC地址和/或设备型号。
在框212处,可以使用新发现的设备类型和在框210处确定的统计模式来更新行为数据库。可以基于从统计模式导出的行为数据来估计未知设备的正常行为。可以通过将行为数据与阈值进行比较来确定未知设备的类型。在一个实施例中,可以通过分析各种IoT设备统计的组合来生成相似度得分。
在框214处,可以确定具有未知类型的未知设备的设备类型。对于每个未知设备,可以确定未知设备属于某个简档的可能性。也就是说,将从其网络设备统计108导出的设备的行为数据与如上所述的先前导出的模式进行匹配。在一些方面,对于每个子组,获得反映设备属于该子组的可能性的相似度得分。相似度得分可以是各种网络设备统计108的加权组合,或者是从网络设备统计形成的矢量。然后组合这些相似度得分以确定设备类型。在一些方面,可以将未知设备的行为数据与已知设备类型的统计模式进行匹配。如果相似度得分超过预定或可配置的阈值,则可以将设备标记为属于匹配设备类型,并且可选地,设备的品牌和/或型号。
在框216处,当分类置信度超过预定或可配置阈值时,可以更新先前未知设备的设备类型以及可选地品牌和型号。可以将新更新的未知IoT设备分配给已知设备功能组数据库。可以将已知设备类型数据部署到本地网络102。更新的新IoT设备数据可以存储在可由用户客户端设备配置的行为数据库128中。
图3是在其上本发明主题的实施例可以运行的计算机系统300的示例实施例的框图。图3的描述旨在提供合适的计算机硬件以及可结合用于实现本发明的合适的计算环境的简要一般描述。在一些实施例中,在由计算机运行的诸如程序模块的计算机可运行指令的一般上下文中描述了本发明的主题。通常,程序模块包括执行特定任务或实施特定抽象数据类型的例程、程序、对象、组件、数据结构等。
如上所述,如本文所公开的系统100可以跨许多物理主机分散。因此,图3的许多系统和子系统可以涉及实施本文公开的发明主题。
此外,本领域技术人员将理解,该发明可以用其他计算机系统配置来实践,包括手持设备、多处理器系统、基于微处理器的或可编程的消费电子产品、智能手机、网络PC、小型计算机、大型计算机等。该发明的实施例还可以在分布式计算机环境中实践,其中任务由通过通信网络链接的I/O远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
参考图3,示例实施例扩展到计算机系统300的示例形式的机器,在该机器内可以运行用于使机器执行本文所讨论的任何一种或多种方法的指令。在替代示例实施例中,机器作为独立设备操作或者可以连接(例如,联网)到其他机器。在联网部署中,机器可以在服务器-客户端网络环境中以服务器或客户端机器的能力操作,或者作为对等(或分布式)网络环境中的对等机器操作。此外,虽然仅示出了单个机器,但术语“机器”还应被视为包括单独或联合运行一组(或多组)指令以执行本文所讨论的方法的任何一种或多种的任何机器集合。
示例计算机系统300可以包括处理器302(例如,中央处理单元(centralprocessing unit,CPU)、图形处理单元(graphics processing unit,GPU)或两者),主存储器304和静态存储器306,它们经由总线308彼此通信。计算机系统300还可以包括视频显示器单元310(例如,液晶显示器(liquid crystal display,LCD)或阴极射线管(cathode raytube,CRT))。在示例实施例中,计算机系统300还包括字母-数字输入设备312(例如,键盘)、用户界面(user interface,UI)导航设备或光标控制设备314(例如,鼠标)、磁盘驱动单元316、信号生成设备318(例如,扬声器)和网络接口设备320中的一个或多个。
磁盘驱动器单元316包括机器可读介质322,其上存储有一组或多组指令324和由本文所述的任何一种或多种方法或功能实现或使用的数据结构(例如,软件指令)。指令324还可以在由计算机系统300执行期间完全或至少部分地驻留在主存储器304内或处理器302内,主存储器304和处理器302也构成机器可读介质。
虽然机器可读介质322在示例实施例中被示为单个介质,但是术语“机器可读介质”可以包括存储一个或多个指令的单个介质或多个介质(例如,集中式或分布式数据库,或相关联的高速缓存和服务器)。术语“机器可读介质”还应被视为包括能够存储、编码或携带用于由机器运行的并且使机器执行本发明的实施例的任何一个或多个方法的指令的,或者能够存储、编码或携带由这些指令使用或与这些指令相关联的数据结构的任何有形介质。因此,术语“机器可读存储介质”应被视为包括但不限于可以以非暂时方式存储信息的固态存储器和光学和磁性介质,即,能够存储信息的介质。机器可读介质的具体示例包括非易失性存储器,包括例如半导体存储器设备(例如,可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory,EEPROM)和闪存设备);磁盘,诸如内部硬盘和可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM磁盘。
使用经由网络接口设备320的信号传输介质,并利用许多众所周知的传输协议(例如,FTP,HTTP)中的任何一种,还可以通过通信网络326来发送或接收指令324。通信网络的示例包括局域网(local area network,LAN)、广域网(wide area network,WAN),互联网、移动电话网络、普通老式电话(Plain Old Telephone,POTS)网络和无线数据网络(例如,WiFi和WiMax网络)。术语“机器可读信号介质”应被视为包括能够存储、编码或携带用于由机器运行的指令的任何暂时无形介质,并且包括数字或模拟通信信号或其他无形介质以便于进行这种软件的通信。
尽管已经参考具体示例实施例描述了本发明主题的概述,但是在不脱离本发明实施例的更广泛的精神和范围的情况下,可以对这些实施例做出各种修改和改变。如果事实上公开了不止一个发明或发明构思,则在不意图将本申请的范围自愿地限制于任何单个发明或发明构思的情况下,仅为了方便,本发明主题的这些实施例在本文中可以单独地或共同地称为“发明”。
从前面的描述中显见,本发明主题的某些方面不受本文所示的示例的特定细节的限制,并且因此预期对于本领域技术人员将会出现其他修改和应用或其等同物。因此,权利要求应该旨在覆盖不脱离本发明主题的精神和范围的所有这些修改和应用。因此,显而易见的是,本发明的主题仅由所附权利要求及其等同物限制。
提供了摘要以符合37C.F.R.§1.72(b)以允许读者快速确定技术公开的性质和要点。摘要在它不会用于限制权利要求的范围的理解下提交。
Claims (19)
1.一种用于确定设备类型的计算机实施的方法,所述计算机实施的方法包括以下步骤:
接收连接到一个或多个本地网络的具有未知设备类型的一个或多个第一设备的至少一个数据流;
从具有已知设备类型的第二设备的行为数据创建至少一个功能组,其中,所述第二设备中的每一个执行与所述功能组中的其他第二设备相同的任务;
创建所述至少一个功能组的行为简档,其中,所述行为简档包括描述所述第二设备的行为的统计模式的行为数据,其中,所述描述行为的统计模式的行为数据包括所述第二设备的连接持续时间;
从所述一个或多个第一设备的所述至少一个数据流确定行为数据;
确定所述一个或多个第一设备的所述行为数据与所述至少一个功能组的所述行为简档之间的相似度;以及
响应于确定所述相似度超过预定或可配置阈值,将与所述至少一个功能组相关联的设备类型分配给所述一个或多个第一设备。
2.如权利要求1所述的计算机实施的方法,其中所述一个或多个第一设备的所述至少一个数据流包括以下中的一个或多个:入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。
3.如权利要求1所述的计算机实施的方法,还包括将已知设备类型数据部署到所述一个或多个本地网络的步骤。
4.如权利要求1所述的计算机实施的方法,其中将所述一个或多个第一设备的所述至少一个数据流从一个或多个路由器或监测节点发送到行为分析器。
5.如权利要求4所述的计算机实施的方法,其中所述一个或多个路由器或监测节点耦合到互联网,并且其中所述互联网耦合到所述行为分析器。
6.如权利要求4所述的计算机实施的方法,其中所述行为分析器耦合到具有通过用户输入、检测、或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。
7.如权利要求1所述的计算机实施的方法,其中所述行为数据包括具有至少一个功能组的可接受范围的一个或多个阈值。
8.一种用于确定未知物联网IoT设备类型的系统,所述系统包括:
运行可运行程序的计算设备;
与一个或多个监测节点相关联的一个或多个设备;
一个或多个路由器,以在本地网络和互联网之间运行所述一个或多个第一设备的数据流的传输;以及
行为分析器,被配置为:
接收连接到本地网络的具有未知设备类型的一个或多个第一设备的数据流;
从具有已知设备类型的第二设备的行为数据创建至少一个功能组,其中,所述第二设备中的每一个执行与所述功能组中的其他第二设备相同的任务,
创建所述至少一个功能组的行为简档,其中,所述行为简档包括描述所述第二设备的行为的统计模式的行为数据,其中,所述描述行为的统计模式的行为数据包括所述第二设备的连接持续时间,
从所述一个或多个第一设备的所述数据流确定行为数据,
确定所述一个或多个第一设备的所述行为数据与所述至少一个功能组的所述行为简档之间的相似度,以及
响应于确定所述相似度超过预定或可配置阈值,将与所述至少一个功能组相关联的设备类型分配给所述一个或多个第一设备。
9.如权利要求8所述的系统,其中所述计算设备包括一个或多个处理器、网络接口模块、和存储器,并且其中所述处理器耦合到所述网络接口模块,并且被配置为运行行为跟踪过程。
10.如权利要求8所述的系统,其中所述行为分析器耦合到具有所述行为简档和已知设备行为数据的行为数据库。
11.如权利要求8所述的系统,其中所述一个或多个监测节点包括数据流监测器和设备统计。
12.如权利要求8所述的系统,其中所述一个或多个设备的所述数据流包括以下中的一个或多个:入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。
13.如权利要求8所述的系统,其中所述行为数据包括具有至少一个功能组的可接受范围的一个或多个阈值。
14.一种非暂时性计算机可读存储介质,其上存储有程序,所述程序使系统运行以下步骤:
接收连接到一个或多个本地网络的具有未知设备类型的一个或多个第一设备的至少一个数据流;
从具有已知设备类型的第二设备的行为数据创建至少一个功能组,其中,所述第二设备中的每一个执行与所述功能组中的其他第二设备相同的任务;
创建所述至少一个功能组的行为简档,其中,所述行为简档包括描述所述第二设备的行为的统计模式的行为数据,其中,所述描述行为的统计模式的行为数据包括所述第二设备的连接持续时间;
从所述一个或多个第一设备的所述至少一个数据流确定行为数据;
确定所述一个或多个第一设备的所述行为数据与所述至少一个功能组的所述行为简档之间的相似度;以及
响应于确定所述相似度超过预定或可配置阈值,将与所述至少一个功能组相关联的设备类型分配给所述一个或多个第一设备。
15.如权利要求14所述的非暂时性计算机可读存储介质,其中所述一个或多个第一设备的所述至少一个数据流包括以下中的一个或多个:入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。
16.如权利要求14所述的非暂时性计算机可读存储介质,其中将所述一个或多个第一设备的所述至少一个数据流从一个或多个路由器或监测节点发送到行为分析器。
17.如权利要求14所述的非暂时性计算机可读存储介质,其中所述一个或多个路由器或监测节点耦合到互联网,并且其中所述互联网耦合到所述行为分析器。
18.如权利要求14所述的非暂时性计算机可读存储介质,其中所述行为分析器耦合到具有通过用户输入、检测、或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。
19.如权利要求14所述的非暂时性计算机可读存储介质,其中所述行为数据包括具有至少一个功能组的可接受范围的一个或多个阈值。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440361P | 2016-12-29 | 2016-12-29 | |
| US201662440321P | 2016-12-29 | 2016-12-29 | |
| US62/440,321 | 2016-12-29 | ||
| US62/440,361 | 2016-12-29 | ||
| US201762578290P | 2017-10-27 | 2017-10-27 | |
| US201762578336P | 2017-10-27 | 2017-10-27 | |
| US62/578,336 | 2017-10-27 | ||
| US62/578,290 | 2017-10-27 | ||
| PCT/EP2017/084757 WO2018122341A1 (en) | 2016-12-29 | 2017-12-28 | System and method for detecting unknown iot device types by monitoring their behavior |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110115015A CN110115015A (zh) | 2019-08-09 |
| CN110115015B true CN110115015B (zh) | 2022-04-15 |
Family
ID=60943013
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780080727.7A Active CN110115015B (zh) | 2016-12-29 | 2017-12-28 | 通过监测其行为检测未知IoT设备的系统和方法 |
| CN201780081057.0A Active CN110121876B (zh) | 2016-12-29 | 2017-12-28 | 用于通过使用行为分析检测恶意设备的系统和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780081057.0A Active CN110121876B (zh) | 2016-12-29 | 2017-12-28 | 用于通过使用行为分析检测恶意设备的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11477202B2 (zh) |
| EP (2) | EP3563555A1 (zh) |
| CN (2) | CN110115015B (zh) |
| WO (2) | WO2018122345A1 (zh) |
Families Citing this family (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9774604B2 (en) | 2015-01-16 | 2017-09-26 | Zingbox, Ltd. | Private cloud control |
| US10380348B2 (en) | 2016-11-21 | 2019-08-13 | ZingBox, Inc. | IoT device risk assessment |
| US10735808B2 (en) * | 2017-08-10 | 2020-08-04 | The Nielsen Company (Us), Llc | Methods and apparatus of media device detection for minimally invasive media meters |
| US11070568B2 (en) | 2017-09-27 | 2021-07-20 | Palo Alto Networks, Inc. | IoT device management visualization |
| US11082296B2 (en) | 2017-10-27 | 2021-08-03 | Palo Alto Networks, Inc. | IoT device grouping and labeling |
| US10574651B2 (en) * | 2018-03-13 | 2020-02-25 | Bank Of America Corporation | Internet of things (“IoT”) chain link |
| JP7047498B2 (ja) * | 2018-03-13 | 2022-04-05 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
| IL266963B2 (en) * | 2018-05-29 | 2023-08-01 | Firstpoint Mobile Guard Ltd | A system and method for securing communication and information of the Internet of Things through a controlled cellular network |
| CN112640381B (zh) | 2018-06-18 | 2024-03-08 | 帕洛阿尔托网络公司 | 检测物联网设备的不合期望的行为的方法和系统 |
| WO2020005250A1 (en) * | 2018-06-28 | 2020-01-02 | Google Llc | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time |
| WO2020011374A1 (en) * | 2018-07-13 | 2020-01-16 | Shenzhen GOODIX Technology Co., Ltd. | Method for monitoring an iot device and using it as battery protection watchdog for iot devices |
| US11373640B1 (en) * | 2018-08-01 | 2022-06-28 | Amazon Technologies, Inc. | Intelligent device grouping |
| US10805163B2 (en) * | 2018-08-21 | 2020-10-13 | Hewlett Packard Enterprise Development Lp | Identifying device types based on behavior attributes |
| US11916953B2 (en) * | 2018-09-24 | 2024-02-27 | Cybereason, Inc. | Method and mechanism for detection of pass-the-hash attacks |
| US10805690B2 (en) * | 2018-12-04 | 2020-10-13 | The Nielsen Company (Us), Llc | Methods and apparatus to identify media presentations by analyzing network traffic |
| US11451571B2 (en) * | 2018-12-12 | 2022-09-20 | Palo Alto Networks, Inc. | IoT device risk assessment and scoring |
| WO2020118376A1 (en) * | 2018-12-14 | 2020-06-18 | Newsouth Innovations Pty Limited | A network device classification apparatus and process |
| US11689573B2 (en) | 2018-12-31 | 2023-06-27 | Palo Alto Networks, Inc. | Multi-layered policy management |
| CN110048905B (zh) * | 2019-03-26 | 2021-01-15 | 清华大学 | 物联网设备通信模式识别方法及装置 |
| US11683236B1 (en) * | 2019-03-30 | 2023-06-20 | Snap Inc. | Benchmarking to infer configuration of similar devices |
| US11853192B1 (en) | 2019-04-16 | 2023-12-26 | Snap Inc. | Network device performance metrics determination |
| US11240104B1 (en) | 2019-05-21 | 2022-02-01 | Snap Inc. | Device configuration parameter determination |
| US11115289B1 (en) * | 2019-05-30 | 2021-09-07 | Cable Television Laboratories, Inc. | Systems and methods for network security model |
| US11405414B2 (en) * | 2019-08-06 | 2022-08-02 | Bank Of America Corporation | Automated threat assessment system for authorizing resource transfers between distributed IoT components |
| US11483339B1 (en) | 2019-11-27 | 2022-10-25 | Pulse Secure, Llc | Detecting attacks and quarantining malware infected devices |
| US11956252B2 (en) * | 2019-12-16 | 2024-04-09 | Armis Security Ltd. | Techniques for resolving contradictory device profiling data |
| US11983611B2 (en) | 2019-12-30 | 2024-05-14 | Armis Security Ltd. | System and method for determining device attributes using a classifier hierarchy |
| US11481503B2 (en) * | 2020-02-26 | 2022-10-25 | Armis Security Ltd. | Techniques for detecting exploitation of medical device vulnerabilities |
| US11841952B2 (en) | 2020-02-26 | 2023-12-12 | Armis Security Ltd. | Techniques for detecting exploitation of manufacturing device vulnerabilities |
| US11095656B1 (en) * | 2020-03-24 | 2021-08-17 | The Toronto-Dominion Bank | Systems and methods for data security notification generation |
| DE102020108070A1 (de) * | 2020-03-24 | 2021-09-30 | Basler Aktiengesellschaft | Robuste Überwachung von Computersystemen und/oder Steuerungssystemen |
| CN111447115B (zh) * | 2020-03-25 | 2021-08-27 | 北京奥陌科技有限公司 | 一种物联网实体的状态监测方法 |
| US11526392B2 (en) * | 2020-05-07 | 2022-12-13 | Armis Security Ltd. | System and method for inferring device model based on media access control address |
| US11115799B1 (en) | 2020-06-01 | 2021-09-07 | Palo Alto Networks, Inc. | IoT device discovery and identification |
| CN111711946B (zh) * | 2020-06-28 | 2023-05-12 | 北京司马科技有限公司 | 一种加密无线网络下的IoT设备识别方法及识别系统 |
| US11568862B2 (en) * | 2020-09-29 | 2023-01-31 | Cisco Technology, Inc. | Natural language understanding model with context resolver |
| WO2022083641A1 (zh) * | 2020-10-23 | 2022-04-28 | 华为技术有限公司 | 设备识别方法、装置及系统 |
| US20220159467A1 (en) * | 2020-11-13 | 2022-05-19 | At&T Intellectual Property I, L.P. | Providing Network Security Using a Network Data Analytic Function |
| US12047421B2 (en) * | 2020-11-18 | 2024-07-23 | Ruckus Ip Holdings Llc | Methods, systems, and devices for assigning policies in networking systems |
| EP4047908A3 (en) * | 2021-02-17 | 2022-11-02 | Thinkz Ltd. | System and method of monitoring behavior of internet of things devices |
| US20220269737A1 (en) * | 2021-02-25 | 2022-08-25 | Fortinet, Inc. | Systems and methods for host name based network device pre-recognition and discovery |
| US12095790B2 (en) | 2021-06-29 | 2024-09-17 | 802 Secure, Inc. | Methods and systems to monitor groups of sensory data for malicious behaviors through statistical analysis |
| WO2023284809A1 (zh) * | 2021-07-15 | 2023-01-19 | 华为技术有限公司 | 设备识别的方法、装置和系统 |
| US11552975B1 (en) | 2021-10-26 | 2023-01-10 | Palo Alto Networks, Inc. | IoT device identification with packet flow behavior machine learning model |
| US11677647B2 (en) * | 2021-11-10 | 2023-06-13 | Cujo LLC | Network device identification |
| US20230231860A1 (en) * | 2022-01-18 | 2023-07-20 | Palo Alto Networks, Inc. | Iot device identification by machine learning with time series behavioral and statistical features |
| WO2023150005A1 (en) * | 2022-02-01 | 2023-08-10 | Microsoft Technology Licensing, Llc. | Assignments of iot device types |
| US11770302B2 (en) | 2022-02-01 | 2023-09-26 | Microsoft Technology Licensing, Llc | Assignments of IoT device types |
| EP4322492A1 (en) * | 2022-08-08 | 2024-02-14 | Siemens Aktiengesellschaft | Identification of devices and their role in a communication network based on machine learning |
| US20240250828A1 (en) * | 2023-01-21 | 2024-07-25 | Cifr.Io Limited | Secure authentication |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6701379B1 (en) * | 2000-05-31 | 2004-03-02 | Cisco Technology, Inc. | Method and apparatus for identifying a networked client modem |
| CN103166917A (zh) * | 2011-12-12 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 网络设备身份识别方法及系统 |
| CN105531977A (zh) * | 2013-07-31 | 2016-04-27 | 赛门铁克公司 | 用于同步和远程数据访问的移动设备连接控制 |
| CN106022349A (zh) * | 2015-03-27 | 2016-10-12 | 国际商业机器公司 | 用于设备类型确定的方法和系统 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003223379A1 (en) * | 2002-03-29 | 2003-10-13 | Global Dataguard, Inc. | Adaptive behavioral intrusion detection systems and methods |
| US7464158B2 (en) | 2003-10-15 | 2008-12-09 | International Business Machines Corporation | Secure initialization of intrusion detection system |
| US7743420B2 (en) * | 2003-12-02 | 2010-06-22 | Imperva, Inc. | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications |
| US8490163B1 (en) * | 2006-09-08 | 2013-07-16 | Intapp, Inc. | Enforcing security policies across heterogeneous systems |
| US9117075B1 (en) * | 2010-11-22 | 2015-08-25 | Trend Micro Inc. | Early malware detection by cross-referencing host data |
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US9058486B2 (en) | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
| US9225732B2 (en) * | 2011-11-29 | 2015-12-29 | Georgia Tech Research Corporation | Systems and methods for fingerprinting physical devices and device types based on network traffic |
| US9832211B2 (en) * | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
| US9185095B1 (en) | 2012-03-20 | 2015-11-10 | United Services Automobile Association (Usaa) | Behavioral profiling method and system to authenticate a user |
| US9686305B2 (en) | 2012-11-20 | 2017-06-20 | Securboration, Inc. | Cyber-semantic account management system |
| US9871865B2 (en) * | 2013-07-11 | 2018-01-16 | Neura, Inc. | Physical environment profiling through internet of things integration platform |
| US9479521B2 (en) * | 2013-09-30 | 2016-10-25 | The Boeing Company | Software network behavior analysis and identification system |
| US20150199610A1 (en) * | 2014-01-10 | 2015-07-16 | Qualcomm Incorporated | Determining indoor location using pattern matching of proximal peer-to-peer devices |
| US10503967B2 (en) * | 2014-11-21 | 2019-12-10 | The Regents Of The University Of California | Fast behavior and abnormality detection |
| US9774604B2 (en) * | 2015-01-16 | 2017-09-26 | Zingbox, Ltd. | Private cloud control |
| KR20160099182A (ko) | 2015-02-11 | 2016-08-22 | 한국전자통신연구원 | 무선 디바이스에 대한 보안 서비스 제공 방법 및 장치 |
| US10243979B2 (en) * | 2015-02-11 | 2019-03-26 | Comcast Cable Communications, Llc | Protecting network devices from suspicious communications |
| US9960977B2 (en) | 2015-03-02 | 2018-05-01 | Facebook, Inc. | Techniques to identify application foreground / background state based on network traffic |
| US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
| US10587639B2 (en) | 2015-03-10 | 2020-03-10 | Ca, Inc. | Assessing trust of components in systems |
| US9787695B2 (en) * | 2015-03-24 | 2017-10-10 | Qualcomm Incorporated | Methods and systems for identifying malware through differences in cloud vs. client behavior |
| US10489715B2 (en) * | 2015-03-27 | 2019-11-26 | International Business Machines Corporation | Fingerprinting and matching log streams |
| US9680845B2 (en) * | 2015-03-31 | 2017-06-13 | Juniper Neworks, Inc. | Detecting a malicious file infection via sandboxing |
| US10212178B2 (en) * | 2015-04-07 | 2019-02-19 | Zingbox, Ltd. | Packet analysis based IoT management |
| US20170024660A1 (en) | 2015-07-23 | 2017-01-26 | Qualcomm Incorporated | Methods and Systems for Using an Expectation-Maximization (EM) Machine Learning Framework for Behavior-Based Analysis of Device Behaviors |
| US20170046510A1 (en) * | 2015-08-14 | 2017-02-16 | Qualcomm Incorporated | Methods and Systems of Building Classifier Models in Computing Devices |
| US9798876B1 (en) | 2015-08-19 | 2017-10-24 | Symantec Corporation | Systems and methods for creating security profiles |
| US20170142119A1 (en) | 2015-11-12 | 2017-05-18 | Le Holdings (Beijing) Co., Ltd. | Method for creating group user profile, electronic device, and non-transitory computer-readable storage medium |
| US10505959B1 (en) * | 2015-12-10 | 2019-12-10 | Hewlett Packard Enterprise Development Lp | System and method directed to behavioral profiling services |
| US20170265053A1 (en) * | 2016-03-10 | 2017-09-14 | Ca, Inc. | Method and Apparatus for Discovering Network Devices |
| US20180039779A1 (en) * | 2016-08-04 | 2018-02-08 | Qualcomm Incorporated | Predictive Behavioral Analysis for Malware Detection |
-
2017
- 2017-12-28 US US15/857,433 patent/US11477202B2/en active Active
- 2017-12-28 CN CN201780080727.7A patent/CN110115015B/zh active Active
- 2017-12-28 WO PCT/EP2017/084764 patent/WO2018122345A1/en active Search and Examination
- 2017-12-28 EP EP17829214.0A patent/EP3563555A1/en active Pending
- 2017-12-28 WO PCT/EP2017/084757 patent/WO2018122341A1/en active Search and Examination
- 2017-12-28 EP EP17826250.7A patent/EP3563554B1/en active Active
- 2017-12-28 CN CN201780081057.0A patent/CN110121876B/zh active Active
- 2017-12-29 US US15/858,804 patent/US11223625B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6701379B1 (en) * | 2000-05-31 | 2004-03-02 | Cisco Technology, Inc. | Method and apparatus for identifying a networked client modem |
| CN103166917A (zh) * | 2011-12-12 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 网络设备身份识别方法及系统 |
| CN105531977A (zh) * | 2013-07-31 | 2016-04-27 | 赛门铁克公司 | 用于同步和远程数据访问的移动设备连接控制 |
| CN106022349A (zh) * | 2015-03-27 | 2016-10-12 | 国际商业机器公司 | 用于设备类型确定的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110121876B (zh) | 2022-03-08 |
| EP3563554A1 (en) | 2019-11-06 |
| US20180191593A1 (en) | 2018-07-05 |
| EP3563555A1 (en) | 2019-11-06 |
| CN110121876A (zh) | 2019-08-13 |
| WO2018122345A1 (en) | 2018-07-05 |
| US11223625B2 (en) | 2022-01-11 |
| US20180191746A1 (en) | 2018-07-05 |
| CN110115015A (zh) | 2019-08-09 |
| EP3563554B1 (en) | 2020-07-15 |
| US11477202B2 (en) | 2022-10-18 |
| WO2018122341A1 (en) | 2018-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110115015B (zh) | 通过监测其行为检测未知IoT设备的系统和方法 | |
| US10609051B2 (en) | Network security analysis for smart appliances | |
| CN111771364B (zh) | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 | |
| JP6169753B2 (ja) | 通信ネットワークのためのクラウドコンピューティングエンハンストゲートウェイ | |
| US11444878B2 (en) | Intelligent dataflow-based service discovery and analysis | |
| US20150332054A1 (en) | Probabilistic cyber threat recognition and prediction | |
| CN111131283B (zh) | 恶意软件检测系统攻击防止 | |
| JP6053568B2 (ja) | ネットワークフローデータプロファイルからのスパムメール送信ホストの検知方式とシステム | |
| US10158733B2 (en) | Automated DPI process | |
| US10862862B2 (en) | Identifying devices on a remote network | |
| US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
| US11570187B1 (en) | Detection of cyberattacks and operational issues of internet of things devices | |
| CN105591832B (zh) | 应用层慢速攻击检测方法和相关装置 | |
| US11411842B1 (en) | Method and apparatus for providing targeted services | |
| CN105099799B (zh) | 僵尸网络检测方法和控制器 | |
| JP7516580B2 (ja) | ビデオ分析システムおよびデータ配信方法 | |
| US10455365B1 (en) | System and method for optimized tracking and identification of user equipment | |
| EP4181464A1 (en) | Network device identification | |
| US10277468B2 (en) | Method and system for determining reachability between one or more nodes in a graph | |
| CA3186107A1 (en) | Method, apparatus, system, device, and storage medium for implementing terminal verification | |
| JP7366690B2 (ja) | 機器種別推定システム | |
| JP6913780B2 (ja) | 製造現場システムにおける変化を検出する方法 | |
| CN114363005A (zh) | 基于机器学习的icmp检测方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |