CN110121876B - 用于通过使用行为分析检测恶意设备的系统和方法 - Google Patents
用于通过使用行为分析检测恶意设备的系统和方法 Download PDFInfo
- Publication number
- CN110121876B CN110121876B CN201780081057.0A CN201780081057A CN110121876B CN 110121876 B CN110121876 B CN 110121876B CN 201780081057 A CN201780081057 A CN 201780081057A CN 110121876 B CN110121876 B CN 110121876B
- Authority
- CN
- China
- Prior art keywords
- behavior
- devices
- data
- malicious
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Abstract
可以检测本地网络上的设备的恶意行为。可以收集来自设备的数据流。可以使用已知类型的设备的行为数据来创建功能组。可以生成功能组的行为简档并将其存储在数据库中。将设备的数据流与功能组的行为简档进行比较。响应于确定设备的当前行为不在行为简档的预定或可配置阈值内,指示设备的恶意行为。
Description
相关申请的交叉引用
本申请要求2016年12月29日提交的题为“通过监测行为检测恶意IoT设备”的美国临时申请No.62/440,361、2016年12月29日提交的题为“通过监测其行为检测未知IoT设备类型”的美国临时申请No.62/440,321、2017年10月27日提交的题为“通过监测其行为检测未知IoT设备类型”的美国临时申请No.62/578,290和2017年10月27日提交的题为“通过监测行为检测恶意IoT设备”的美国临时申请No.62/578,336的优先权。
技术领域
本发明一般涉及检测网络上的恶意设备,并且更具体地,涉及监测设备行为以确定该设备是否参与潜在的恶意行为。
背景技术
恶意软件(malware)是“malicious software(恶意软件)”的缩写,是可用于在用户不知情或未经用户同意的情况下破坏计算机操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。这种恶意软件的示例包括软件病毒、特洛伊木马、黑客程序(rootkit)、勒索软件(ransomware)等。恶意软件开发人员使用的常见机制是将恶意软件嵌入到被做成对用户而言看似合乎需要的文件中,或者在用户访问网站时下载并运行。例如,恶意软件可以嵌入到看似合法且有用的软件应用程序中。用户下载文件,当文件打开时,就运行文件中的恶意软件。包含恶意软件的文件可称为恶意文件。
物联网(“IoT”)是用于描述包括许多不同类型的设备、传统计算机和过去不能进行网络通信的设备两者的网络的术语。IoT中的“物”可以是任何类型的可以经由网络收集数据并传达数据的设备。随着高速互联网服务和网络基础设施的扩展,IoT设备的使用正在增加。这种设备的示例可包括智能家用电器、恒温器、传感器、生物芯片、可植入医疗设备、监测设备、车载设备,或通过互联网连接传达数据的任何设备。IoT设备可以为智能家居、智能电网、智能工厂、智能城市、智能交通系统和存在IoT设备的其他环境中的设备提供控制和自动化。在包括IoT设备的环境中,可以跨网络基础设施远程感测和控制对象。
主要关注为了保护计算设备的恶意软件检测。最近,已经有许多改进恶意软件检测的尝试。一种这样的尝试涉及确定一个文件是否与另一个文件相似或者一个数据对象是否与另一个数据对象相似。这种方法学方案的类别有签名分析、启发式分析、行为分析、哈希和分析以及基于云的分析。虽然签名和哈希和技术是众所周知的检测分析方法,但这些技术可能无法检测修改的恶意软件代码。启发式分析可以尝试通过静态分析文件来一般地检测新的恶意软件,但在检测混淆的恶意软件时可能无效。行为分析通常证明在检测修改的恶意软件方面是有效的,但是即便是该分析的已知方法也具有许多缺点。例如,已知的行为分析方法可能导致系统性能降低。由于这些原因,存在对用于检测恶意设备的改进方法的需求,特别是在不降低系统性能的情况下。
发明内容
本发明一般涉及用于使用行为分析来检测恶意设备的系统和方法。为了检测恶意设备,可以将设备的行为与预定功能组的行为简档进行比较。
本发明的一个方面针对方法,其中方法由包括通过网络连接的一个或多个设备的系统进行。方法可以包括从连接到本地网络的一个或多个设备收集数据流的步骤。设备的数据流可以包括,例如,入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间以及连接的持续时间。数据流可以从一个或多个路由器或监测节点发送到行为分析器。行为分析器可以耦合到具有通过用户输入、检测或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。方法还可以包括至少部分地基于已知设备的行为模式来创建功能组的步骤。它还可以包括在功能组中确定或创建已知设备的行为简档。可以将行为简档部署到本地网络,其中监测节点将本地网络上的设备的当前行为与行为简档进行比较。响应于确定设备的当前行为不在行为简档的预定或可配置阈值内,指示设备的恶意行为。如果设备的当前行为不在行为简档的预定或可配置阈值内,则可以警告用户和/或可以关闭或隔离恶意设备。
本发明的另一方面针对用于检测诸如恶意IoT设备的恶意设备的系统。系统可以包括被配置为用于在其上运行可运行程序的一个或多个计算设备,其中多个计算设备可以通过本地网络和/或互联网连接。计算设备可以各自包括一个或多个处理器、网络接口模块和存储器,其中处理器耦合到网络接口模块并被配置为运行行为跟踪过程。诸如IoT设备的一个或多个设备可以与一个或多个监测节点相关联。监测节点可以各自包括数据流监测器和设备统计。路由器可以在本地网络和/或互联网之间发送设备的数据流。行为分析器可以接收设备的数据流,并将数据流的行为数据与功能组的行为简档进行比较。响应于确定设备的数据流不在行为简档的预定或可配置阈值内,可以将设备指示为恶意的。如果设备的当前行为不在行为简档的预定或可配置阈值内,则系统可以警告用户和/或关闭或隔离恶意设备。
本发明的另一方面针对非暂时性计算机可读存储介质,其上存储有程序,该程序被配置为执行大致如上所述的方法。
附图说明
为了更好地理解本发明的主题,可以参考附图,其中:
图1是示出根据本发明的一个实施例的用于检测恶意IoT设备的系统的框图;
图2是示出根据本发明一个实施例的用于使用行为分析检测恶意IoT设备的方法的操作的流程图;以及
图3是计算机系统的示例实施例的框图,本发明主题的实施例可以在该计算机系统上运行。
具体实施方式
在本发明的示例实施例的以下详细描述中,参考形成其一部分的附图,并且其中通过图示的方式示出了可以实践本发明的具体示例实施例。足够详细地描述了这些实施例以使本领域技术人员能够实践本发明的主题,并且应该理解,可以利用其他实施例,并且可以在不脱离本发明主题的范围的情况下进行逻辑、机械、电气和其他改变。
以下详细描述的一些部分是根据对计算机存储器内的数据比特的操作的算法和符号表示来呈现的。这些算法描述和表示是数据处理领域的技术人员用来最有效地将他们工作的实质传达给本领域其他技术人员的方式。这里的算法通常被认为是导致期望结果的自洽的步骤序列。步骤是要求物理操纵物理量的步骤。通常,尽管不是必须的,这些量采用能够被存储、传输、组合、比较和以其他方式操纵的电信号或磁信号的形式。有时,主要出于通用的原因,已经证明将这些信号称为比特、值、元素、符号、字符、项、数字等是方便的。然而,应该记住,所有这些和类似术语都应与适当的物理量相关联,并且仅仅是应用于这些量的方便标签。除非从以下讨论中明确另作说明,否则诸如“处理”或“计算”或“运算”或“确定”或“显示”等术语指计算机系统或类似的计算设备的动作和过程,其将表示为计算机系统的寄存器和存储器内的物理(例如,电子)量的数据操纵并变换为类似地表示为计算机系统存储器或寄存器或其他这样的信息存储、传输或显示设备内的物理量的其他数据。
在图中,始终使用相同的附图标记来指代出现在多个图中的相同组件。可以用相同的附图标记或标签来指代信号和连接,并且将从其在描述的上下文中的使用中清楚实际含义。通常,对于本发明的给定项目或部分,附图标记的(多个)第一位数字应对应于首先标识该项目或部分的图的编号。
各种实施例的描述应仅被解释为示例,并未描述本发明主题的每个可能的实例。使用当前或未来技术的组合可以实现许多替代方案,这仍然落在权利要求的范围内。因此,以下详细描述不应被视为具有限制意义,并且本发明主题的范围仅由所附权利要求限定。
图1是示出根据本发明一个实施例的用于检测恶意IoT设备的系统100的框图。在一些方面,系统100可以包括本地网络102、路由器104、IoT设备110-117、计算机120、监测节点118-119、互联网122、行为分析器124和中央数据库126。
本地网络102可以是有线网络、无线网络或其任何组合。有线或无线网络的任一个可以是家庭网络、局域网(local area network,LAN)、城域网(metropolitan areanetwork,MAN)、广域网(wide area network,WAN)、公司内联网或其任何组合。
互联网122可以是覆盖比本地网络102更大的域的一个或多个互联网、有线网络、无线网络或其组合的任何集合。
IoT设备(例如,IoT设备110-117)可以是能够经由本地网络102和/或互联网122收集数据、接收命令和传达数据的任何类型的设备。这种设备的示例包括但不限于智能家用电器、恒温器、传感器、生物芯片、办公设备、可植入医疗设备、车载设备或通过本地网络102和/或互联网122连接传达数据的其他设备。一些IoT设备(例如,IoT设备113-114)可以执行无线连接,其可以支持到本地网络102和/或互联网122的直接数据通信。
计算机120可以是服务器计算机、膝上型计算机、平板计算机、智能电话、机顶盒,或具有使得设备能够运行程序的一个或多个处理器和存储器的任何其他设备。本实施例不限于任何特定类型的计算设备。计算设备可以包括可以由用户操作的用户客户端设备(未示出)。计算机单元120可以包括可以被配置为将一个或多个文件与一个或多个其他文件进行比较的软件程序、应用程序或其他可编程逻辑中的一个或多个。
路由器104可以在本地网络102和互联网122之间转发网络数据。路由器104可以是独立路由器、无线路由器或接入点、调制解调器/路由器或在本地网络102和互联网122之间转发数据的任何其他设备。在本公开的一些方面,路由器104可以包括数据流监测器106。在一个实施例中,监测节点118和119可以是传输或控制连接IoT设备110-117的网络的IoT集线器。监测节点118和119可以各自包括数据流监测器106和/或网络设备统计108。数据流监测器106可以捕获本地网络102中的设备(诸如IoT设备110-117、计算机118和本地网络102上的任何其他设备)的数据流。数据流监测器106可以从数据流确定各种统计,诸如网络设备统计108。在一些方面,网络设备统计108可以包括以下各项中的一个或多个的各种组合:
·每分钟每设备的入站/出站流量的量。
·流量类型。
·分组的源和目的地端口。
·分组的目的地地址。
·连接持续时间。
·分组之间的时间。
可以基于每个设备维护网络设备统计108。
监测节点118-119可以各自是类似于计算机120的计算设备。代替路由器104或除了路由器104之外,监测节点118-119可以运行数据流监测器106以生成网络设备统计108。例如,监测节点118-119可以运行从网络102捕获分组的网络嗅探器(sniffer)程序。
网络设备统计108可以经由互联网122从路由器104或计算机120发送到行为分析器124。行为分析器124可以将网络设备统计108存储在中央数据库126中。除了网络设备统计108之外,中央数据库126还可以包括正常设备行为128。正常设备行为128包括关于IoT设备的正常行为的数据。可以基于功能上类似的设备(即,可以基于类似功能分组的设备)的测量行为来估计正常行为128。
行为分析器124可以使用网络设备统计108来确定正常设备行为128,如下面参考图2进一步描述的。
应当注意,尽管图1中仅示出了一个本地网络102,但是行为分析器124可以从许多不同的本地网络102接收网络设备统计108。
图2是示出用于通过确定IoT设备行为来检测恶意IoT设备的方法200的操作的流程图。该流程图示出了一个本地网络102和行为分析器124之间的交互。受益于本公开的本领域技术人员将理解,多个本地网络可以贡献IoT设备数据。
在框202处,方法200可以通过本地网络102上的数据流监测器106从包括IoT设备的设备收集网络设备统计108而开始。在框204处,本地网络102上的数据流监测器可以将网络设备统计108发送到行为分析器124。
在框206处,行为分析器124接收网络设备统计108并且可以将网络设备统计108存储在中央数据库126中。如上所述,可以从多个本地网络102接收网络设备统计108。
在框208处,可以按设备类型对IoT设备进行分组,并且还可以将IoT设备分组为功能组。在一些方面,功能组是执行相同任务的组。例如,一个这样的组可以是IP摄像机(不同供应商的IP摄像机、具有不同操作系统的IP摄像机)。另一组可以是诸如智能扬声器系统、智能电视等的媒体播放器。又一组可以是游戏控制台。本领域技术人员将理解,可以存在许多其他组,并且这些组在本发明主题的范围内。设备可以是多于一个组的成员。例如,Microsoft Xbox既可以属于游戏控制台组,也可以属于媒体播放器组。此外,组可以具有可以表示多个粒度层的子组。例如,IP摄像机可以进一步分为包括室外摄像机和室内摄像机的子组。在一些方面,可以通过各种其他附加信息进一步细化分组。例如,可以基于时区,居住国家,季节性影响,一天中的时间,星期几,月份以及诸如体育赛事、政治事件等的外部事件来细化分组。
在框210处,可以针对所标识的组和子组估计正常设备行为。在一些方面,针对不同的组和子组导出统计模式,以确定组和子组的正常设备行为。正常设备行为可以包括描述属于该组的设备的通常行为的数据。特别地,对于每个组,可以基于该组的行为数据来估计正常行为。也就是说,对于每个组,可以导出使用中央数据库126中可用的不同类型数据的统计模式。这种模式将(利用统计边界)捕获组的正常行为和数据元素。这种模式的一个示例可以是:具有99%的确定性,分组之间的最小时间至少为10毫秒。然而,组合不同数据元素的模式是可能的:例如,当连接的持续时间大于10秒时,传入流量的量是传出流量的量的至少五倍。
应该注意,此学习过程可以是连续过程。也就是说,设备的行为很可能会随着时间而改变,并且会出现新类型的IoT设备。因此,期望定期更新中央数据库126以便更新对正常行为的估计。
在框212处,将正常设备行为部署回本地网络102。
在框214处,本地网络102上的数据流监测器106监测本地网络102上的IoT设备的当前行为。
在框216处,数据流监测器106确定当前IoT设备行为是否在其设备类型或组的正常设备行为的阈值内。在一些方面,数据流监测器106可以计算反映IoT设备的当前行为与其特定组或子组的正常行为相一致的可能性的得分。在特定方面,可以通过使用当前观察数据的统计测试和针对设备的不同组或子组导出的统计正常行为模式来计算该得分。
如果得分高于某个阈值,则在框218处,将设备行为标记为恶意的。可以向本地网络102的用户或管理员警告恶意IoT设备。在替代方面,可以自动关闭或隔离恶意IoT设备以最小化恶意行为的影响。
图3是本发明主题的实施例可以在其上运行的计算机系统300的示例实施例的框图。图3的描述意图提供合适的计算机硬件以及可结合用于实现本发明的合适的计算环境的简要一般描述。在一些实施例中,在由计算机运行的诸如程序模块的计算机可运行指令的一般上下文中描述了本发明的主题。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。
如上所述,如本文所公开的系统100可以跨许多物理主机分布。因此,图3的许多系统和子系统可以涉及实现本文公开的发明主题。
此外,本领域技术人员将理解,本发明可以用其他计算机系统配置来实践,包括手持设备、多处理器系统、基于微处理器的或可编程的消费电子产品、智能电话、网络PC、小型计算机、大型计算机等。本发明的实施例还可以在分布式计算机环境中实践,其中任务由通过通信网络链接的I/O远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
参考图3,示例实施例扩展到计算机系统300的示例形式的机器,在该机器内可以运行用于使机器执行本文所讨论的任何一种或多种方法的指令。在替代示例实施例中,机器作为独立设备操作或者可以连接(例如,联网)到其他机器。在联网部署中,机器可以在服务器-客户端网络环境中以服务器或客户端机器的能力操作,或者作为对等(或分布式)网络环境中的对等机器操作。此外,虽然仅示出了单个机器,但术语“机器”还应被视为包括单独或联合运行一组(或多组)指令以执行本文所讨论的任何一种或多种方法的任何机器集合。
示例计算机系统300可以包括它们经由总线308彼此通信的处理器302(例如,中央处理单元(central processing unit,CPU)、图形处理单元(graphics processing unit,GPU)或两者)、主存储器304和静态存储器306。计算机系统300还可包括视频显示器单元310(例如,液晶显示器(liquid crystal display,LCD)或阴极射线管(cathode ray tube,CRT))。在示例实施例中,计算机系统300还包括以下中的一个或多个字母-数字输入设备312(例如,键盘)、用户界面(user interface,UI)导航设备或光标控制设备314(例如,鼠标)、磁盘驱动单元316、信号生成设备318(例如,扬声器)和网络接口设备320。
磁盘驱动器单元316包括机器可读介质322,其上存储有一组或多组指令324和具体体现本文所述的任何一种或多种方法或功能或者由本文所述的任何一种或多种方法或功能使用的数据结构(例如,软件指令)。指令324还可以在由计算机系统300对其执行的期间完全或至少部分地驻留在主存储器304内或处理器302内,主存储器304和处理器302也构成机器可读介质。
虽然机器可读介质322在示例实施例中被示为单个介质,但是术语“机器可读介质”可以包括存储一个或多个指令的单个介质或多个介质(例如,集中式或分布式数据库,或相关联的高速缓存和服务器)。术语“机器可读介质”还应被认为包括能够存储、编码或携带用于由机器运行的并且使机器执行本发明的实施例的任何一个或多个方法的指令的,或者能够存储、编码或携带由这些指令使用或与这些指令相关联的数据结构的任何有形介质。因此,术语“机器可读存储介质”应被认为包括但不限于可以以非暂时方式存储信息的固态存储器以及光学和磁性介质,即,能够存储信息的介质。机器可读介质的具体示例包括非易失性存储器,包括例如半导体存储器设备(例如,可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory,EEPROM)和闪存设备);诸如内部硬盘和可移动磁盘的磁盘;磁光盘;以及CD-ROM和DVD-ROM磁盘。
使用经由网络接口设备320的信号传输介质,并利用许多众所周知的传输协议(例如,FTP,HTTP)中的任何一种,还可以通过通信网络326来发送或接收指令324。通信网络的示例包括局域网(LAN)、广域网(WAN),互联网、移动电话网络、普通老式电话(Plain OldTelephone,POTS)网络和无线数据网络(例如,WiFi和WiMax网络)。术语“机器可读信号介质”应被认为包括能够存储、编码或携带用于由机器运行的指令的任何暂时无形介质,并且包括数字或模拟通信信号或其他无形介质以便于进行这种软件的通信。
尽管已经参考具体示例实施例描述了本发明主题的概述,但是在不脱离本发明实施例的更广泛的精神和范围的情况下,可以对这些实施例做出各种修改和改变。如果事实上公开了不止一个发明或发明构思,则仅为了方便并且在不意图将本申请的范围自愿地限制于任何单个发明或发明构思的情况下,本发明主题的这些实施例在本文中可以单独地或共同地称为“发明”。
从前面的描述中可以明显看出,本发明主题的某些方面不受本文所示的示例的特定细节的限制,因此预期对于本领域技术人员将会出现其他修改和应用或其等同物。因此,权利要求应该意图覆盖不脱离本发明主题的精神和范围的所有这些修改和应用。因此,显而易见的是,本发明的主题仅由所附权利要求及其等同物限制。
提供了摘要以符合37C.F.R.§1.72(b)以允许读者快速确定技术公开的性质和要点。摘要在它不会用于限制权利要求的范围的理解下提交。
Claims (20)
1.一种用于检测恶意设备的计算机实现的方法,所述计算机实现的方法包括以下步骤:
从一个或多个本地网络收集一个或多个第一设备的至少一个数据流;
至少部分地基于第二设备的行为模式创建功能组;
使用与网络流量和连接统计的组合相关的统计边界来确定所述功能组中第二设备的行为简档,所述网络流量和连接统计是从所述第二设备的至少一个数据流中确定的;以及
将所述行为简档部署到所述一个或多个本地网络,其中所述一个或多个本地网络上的监测节点被配置为将第一设备的当前行为与所述行为简档中的行为简档进行比较,其中所述第一设备的当前行为包括从所述第一设备的至少一个数据流中确定的网络流量和连接统计的组合,并响应于确定所述当前行为不在所述行为简档的预定或可配置阈值内,指示所述第一设备的恶意行为。
2.如权利要求1所述的计算机实现的方法,其中所述一个或多个第一设备的至少一个数据流被用于确定以下中的一个或多个:入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。
3.如权利要求1所述的计算机实现的方法,其中将所述一个或多个第一设备的至少一个数据流从一个或多个路由器或监测节点发送到行为分析器。
4.如权利要求3所述的计算机实现的方法,其中所述一个或多个路由器或监测节点耦合到互联网,并且其中所述互联网耦合到所述行为分析器。
5.如权利要求4所述的计算机实现的方法,其中所述行为分析器耦合到具有通过用户输入、检测或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。
6.如权利要求1所述的计算机实现的方法,还包括步骤:
如果所述第一设备的当前行为不在所述行为简档的预定或可配置阈值内,则警告用户第一设备是恶意的。
7.如权利要求1所述的计算机实现的方法,还包括步骤:
如果所述第一设备的当前行为不在所述行为简档的预定或可配置阈值内,则关闭或隔离第一设备。
8.一种用于检测恶意设备的系统,所述系统包括:
一个或多个设备,与一个或多个监测节点相关联;
一个或多个路由器,在本地网络和互联网之间运行所述一个或多个设备的数据流的传输;以及
行为分析器,被配置为接收所述一个或多个设备的数据流,从所述一个或多个设备的数据流中确定网络流量和连接统计的组合,以及将所述一个或多个设备的数据流的行为数据与至少一个功能组的行为简档进行比较,其中所述一个或多个设备的数据流的行为数据包括所述网络流量和连接统计的组合,所述至少一个功能组的行为简档是使用统计边界而确定的,所述统计边界与从所述功能组内的设备的数据流中确定的网络流量和连接统计的组合相关,并且基于所述比较,确定所述一个或多个设备是否是恶意的;
其中响应于确定所述一个或多个设备的数据流不在所述行为简档的预定或可配置阈值内,将所述一个或多个设备指示为恶意的。
9.如权利要求8所述的系统,其中如果所述一个或多个设备的数据流不在所述行为简档的预定或可配置阈值内,则警告用户所述一个或多个设备是恶意的。
10.如权利要求8所述的系统,其中如果所述一个或多个设备的数据流不在所述行为简档的预定或可配置阈值内,则关闭或隔离所述一个或多个设备。
11.如权利要求8所述的系统,还包括计算设备,所述计算设备包括一个或多个处理器、网络接口模块和存储器,并且其中所述处理器耦合到所述网络接口模块,并且被配置为运行行为跟踪过程。
12.如权利要求8所述的系统,其中所述行为分析器耦合到具有所述行为简档和已知设备行为数据的行为数据库。
13.如权利要求8所述的系统,其中所述一个或多个监测节点包括数据流监测器和设备统计。
14.一种非暂时性计算机可读存储介质,其上存储有程序,所述程序使系统运行以下步骤:
从一个或多个本地网络收集一个或多个第一设备的至少一个数据流;
至少部分地基于第二设备的行为模式创建功能组;
使用与网络流量和连接统计的组合相关的统计边界来确定功能组中第二设备的行为简档,所述网络流量和连接统计是从所述第二设备的至少一个数据流中确定的;以及
将所述行为简档部署到所述一个或多个本地网络,其中所述一个或多个本地网络上的节点被配置为将第一设备的当前行为与所述行为简档中的行为简档进行比较,其中所述第一设备的当前行为包括从所述第一设备的至少一个数据流中确定的网络流量和连接统计的组合,并响应于确定所述当前行为不在所述行为简档的预定或可配置阈值内,指示所述第一设备的恶意行为。
15.如权利要求14所述的非暂时性计算机可读存储介质,其中所述一个或多个第一设备的至少一个数据流被用于确定以下中的一个或多个:入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。
16.如权利要求14所述的非暂时性计算机可读存储介质,其中将所述一个或多个第一设备的至少一个数据流从一个或多个路由器或监测节点发送到行为分析器。
17.如权利要求16所述的非暂时性计算机可读存储介质,其中所述一个或多个路由器或监测节点耦合到互联网,并且其中所述互联网耦合到所述行为分析器。
18.如权利要求17所述的非暂时性计算机可读存储介质,其中所述行为分析器耦合到具有通过用户输入、检测或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。
19.如权利要求14所述的非暂时性计算机可读存储介质,其中如果所述第一设备的当前行为不在所述行为简档的预定或可配置阈值内,则警告用户第一设备是恶意的。
20.如权利要求14所述的非暂时性计算机可读存储介质,其中如果所述第一设备的当前行为不在行为简档的所述预定或可配置阈值内,则关闭或隔离第一设备。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440361P | 2016-12-29 | 2016-12-29 | |
| US201662440321P | 2016-12-29 | 2016-12-29 | |
| US62/440,361 | 2016-12-29 | ||
| US62/440,321 | 2016-12-29 | ||
| US201762578336P | 2017-10-27 | 2017-10-27 | |
| US201762578290P | 2017-10-27 | 2017-10-27 | |
| US62/578,290 | 2017-10-27 | ||
| US62/578,336 | 2017-10-27 | ||
| PCT/EP2017/084764 WO2018122345A1 (en) | 2016-12-29 | 2017-12-28 | System and method for detecting malicious device by using a behavior analysis |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110121876A CN110121876A (zh) | 2019-08-13 |
| CN110121876B true CN110121876B (zh) | 2022-03-08 |
Family
ID=60943013
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780080727.7A Active CN110115015B (zh) | 2016-12-29 | 2017-12-28 | 通过监测其行为检测未知IoT设备的系统和方法 |
| CN201780081057.0A Active CN110121876B (zh) | 2016-12-29 | 2017-12-28 | 用于通过使用行为分析检测恶意设备的系统和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780080727.7A Active CN110115015B (zh) | 2016-12-29 | 2017-12-28 | 通过监测其行为检测未知IoT设备的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11477202B2 (zh) |
| EP (2) | EP3563555A1 (zh) |
| CN (2) | CN110115015B (zh) |
| WO (2) | WO2018122341A1 (zh) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9774604B2 (en) | 2015-01-16 | 2017-09-26 | Zingbox, Ltd. | Private cloud control |
| US10380348B2 (en) | 2016-11-21 | 2019-08-13 | ZingBox, Inc. | IoT device risk assessment |
| US10735808B2 (en) | 2017-08-10 | 2020-08-04 | The Nielsen Company (Us), Llc | Methods and apparatus of media device detection for minimally invasive media meters |
| US11070568B2 (en) | 2017-09-27 | 2021-07-20 | Palo Alto Networks, Inc. | IoT device management visualization |
| US11082296B2 (en) | 2017-10-27 | 2021-08-03 | Palo Alto Networks, Inc. | IoT device grouping and labeling |
| US10574651B2 (en) * | 2018-03-13 | 2020-02-25 | Bank Of America Corporation | Internet of things (“IoT”) chain link |
| JP7047498B2 (ja) * | 2018-03-13 | 2022-04-05 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
| IL266963B2 (en) * | 2018-05-29 | 2023-08-01 | Firstpoint Mobile Guard Ltd | A system and method for securing communication and information of the Internet of Things through a controlled cellular network |
| EP3808052A4 (en) | 2018-06-18 | 2022-03-02 | Palo Alto Networks, Inc. | PATTERN MATCH-BASED DETECTION IN INTERNET OF THINGS SECURITY |
| US11159564B2 (en) * | 2018-06-28 | 2021-10-26 | Google Llc | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time |
| WO2020011374A1 (en) * | 2018-07-13 | 2020-01-16 | Shenzhen GOODIX Technology Co., Ltd. | Method for monitoring an iot device and using it as battery protection watchdog for iot devices |
| US11373640B1 (en) * | 2018-08-01 | 2022-06-28 | Amazon Technologies, Inc. | Intelligent device grouping |
| US10805163B2 (en) * | 2018-08-21 | 2020-10-13 | Hewlett Packard Enterprise Development Lp | Identifying device types based on behavior attributes |
| US11916953B2 (en) * | 2018-09-24 | 2024-02-27 | Cybereason, Inc. | Method and mechanism for detection of pass-the-hash attacks |
| US10805690B2 (en) | 2018-12-04 | 2020-10-13 | The Nielsen Company (Us), Llc | Methods and apparatus to identify media presentations by analyzing network traffic |
| US11451571B2 (en) * | 2018-12-12 | 2022-09-20 | Palo Alto Networks, Inc. | IoT device risk assessment and scoring |
| WO2020118376A1 (en) * | 2018-12-14 | 2020-06-18 | Newsouth Innovations Pty Limited | A network device classification apparatus and process |
| US11689573B2 (en) | 2018-12-31 | 2023-06-27 | Palo Alto Networks, Inc. | Multi-layered policy management |
| CN110048905B (zh) * | 2019-03-26 | 2021-01-15 | 清华大学 | 物联网设备通信模式识别方法及装置 |
| US11683236B1 (en) * | 2019-03-30 | 2023-06-20 | Snap Inc. | Benchmarking to infer configuration of similar devices |
| US11853192B1 (en) | 2019-04-16 | 2023-12-26 | Snap Inc. | Network device performance metrics determination |
| US11115289B1 (en) * | 2019-05-30 | 2021-09-07 | Cable Television Laboratories, Inc. | Systems and methods for network security model |
| US11405414B2 (en) * | 2019-08-06 | 2022-08-02 | Bank Of America Corporation | Automated threat assessment system for authorizing resource transfers between distributed IoT components |
| US11483339B1 (en) | 2019-11-27 | 2022-10-25 | Pulse Secure, Llc | Detecting attacks and quarantining malware infected devices |
| WO2021137138A1 (en) * | 2019-12-30 | 2021-07-08 | Armis Security Ltd. | System and method for determining device attributes using a classifier hierarchy |
| US11841952B2 (en) | 2020-02-26 | 2023-12-12 | Armis Security Ltd. | Techniques for detecting exploitation of manufacturing device vulnerabilities |
| US11481503B2 (en) * | 2020-02-26 | 2022-10-25 | Armis Security Ltd. | Techniques for detecting exploitation of medical device vulnerabilities |
| US11095656B1 (en) * | 2020-03-24 | 2021-08-17 | The Toronto-Dominion Bank | Systems and methods for data security notification generation |
| DE102020108070A1 (de) * | 2020-03-24 | 2021-09-30 | Basler Aktiengesellschaft | Robuste Überwachung von Computersystemen und/oder Steuerungssystemen |
| CN111447115B (zh) * | 2020-03-25 | 2021-08-27 | 北京奥陌科技有限公司 | 一种物联网实体的状态监测方法 |
| US11526392B2 (en) * | 2020-05-07 | 2022-12-13 | Armis Security Ltd. | System and method for inferring device model based on media access control address |
| US11115799B1 (en) | 2020-06-01 | 2021-09-07 | Palo Alto Networks, Inc. | IoT device discovery and identification |
| CN111711946B (zh) * | 2020-06-28 | 2023-05-12 | 北京司马科技有限公司 | 一种加密无线网络下的IoT设备识别方法及识别系统 |
| US11568862B2 (en) * | 2020-09-29 | 2023-01-31 | Cisco Technology, Inc. | Natural language understanding model with context resolver |
| WO2022083641A1 (zh) * | 2020-10-23 | 2022-04-28 | 华为技术有限公司 | 设备识别方法、装置及系统 |
| US20220159467A1 (en) * | 2020-11-13 | 2022-05-19 | At&T Intellectual Property I, L.P. | Providing Network Security Using a Network Data Analytic Function |
| US20220159040A1 (en) * | 2020-11-18 | 2022-05-19 | Arris Enterprises Llc | Methods, systems, and devices for assigning policies in networking systems |
| US20220263738A1 (en) * | 2021-02-17 | 2022-08-18 | Thinkz Ltd. | System and method of monitoring behavior of internet of things devices |
| US20220269737A1 (en) * | 2021-02-25 | 2022-08-25 | Fortinet, Inc. | Systems and methods for host name based network device pre-recognition and discovery |
| WO2023284809A1 (zh) * | 2021-07-15 | 2023-01-19 | 华为技术有限公司 | 设备识别的方法、装置和系统 |
| US11552975B1 (en) | 2021-10-26 | 2023-01-10 | Palo Alto Networks, Inc. | IoT device identification with packet flow behavior machine learning model |
| US11677647B2 (en) * | 2021-11-10 | 2023-06-13 | Cujo LLC | Network device identification |
| US11770302B2 (en) | 2022-02-01 | 2023-09-26 | Microsoft Technology Licensing, Llc | Assignments of IoT device types |
| WO2023150005A1 (en) * | 2022-02-01 | 2023-08-10 | Microsoft Technology Licensing, Llc. | Assignments of iot device types |
| EP4322492A1 (en) * | 2022-08-08 | 2024-02-14 | Siemens Aktiengesellschaft | Identification of devices and their role in a communication network based on machine learning |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106022113A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 经由沙盒检测恶意文件感染 |
| WO2016164274A1 (en) * | 2015-04-07 | 2016-10-13 | Zingbox, Ltd. | Packet analysis based iot management |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6701379B1 (en) * | 2000-05-31 | 2004-03-02 | Cisco Technology, Inc. | Method and apparatus for identifying a networked client modem |
| ATE374493T1 (de) * | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
| US7464158B2 (en) | 2003-10-15 | 2008-12-09 | International Business Machines Corporation | Secure initialization of intrusion detection system |
| US7743420B2 (en) * | 2003-12-02 | 2010-06-22 | Imperva, Inc. | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications |
| US8490163B1 (en) * | 2006-09-08 | 2013-07-16 | Intapp, Inc. | Enforcing security policies across heterogeneous systems |
| US9117075B1 (en) * | 2010-11-22 | 2015-08-25 | Trend Micro Inc. | Early malware detection by cross-referencing host data |
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US9058486B2 (en) | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
| US9225732B2 (en) * | 2011-11-29 | 2015-12-29 | Georgia Tech Research Corporation | Systems and methods for fingerprinting physical devices and device types based on network traffic |
| CN103166917B (zh) * | 2011-12-12 | 2016-02-10 | 阿里巴巴集团控股有限公司 | 网络设备身份识别方法及系统 |
| US9832211B2 (en) * | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
| US9185095B1 (en) | 2012-03-20 | 2015-11-10 | United Services Automobile Association (Usaa) | Behavioral profiling method and system to authenticate a user |
| US9686305B2 (en) | 2012-11-20 | 2017-06-20 | Securboration, Inc. | Cyber-semantic account management system |
| US9871865B2 (en) | 2013-07-11 | 2018-01-16 | Neura, Inc. | Physical environment profiling through internet of things integration platform |
| US9210176B2 (en) * | 2013-07-31 | 2015-12-08 | Symantec Corporation | Mobile device connection control for synchronization and remote data access |
| US9479521B2 (en) * | 2013-09-30 | 2016-10-25 | The Boeing Company | Software network behavior analysis and identification system |
| US20150199610A1 (en) | 2014-01-10 | 2015-07-16 | Qualcomm Incorporated | Determining indoor location using pattern matching of proximal peer-to-peer devices |
| WO2016081946A1 (en) * | 2014-11-21 | 2016-05-26 | The Regents Of The University Of California | Fast behavior and abnormality detection |
| US9774604B2 (en) * | 2015-01-16 | 2017-09-26 | Zingbox, Ltd. | Private cloud control |
| US10243979B2 (en) * | 2015-02-11 | 2019-03-26 | Comcast Cable Communications, Llc | Protecting network devices from suspicious communications |
| KR20160099182A (ko) * | 2015-02-11 | 2016-08-22 | 한국전자통신연구원 | 무선 디바이스에 대한 보안 서비스 제공 방법 및 장치 |
| US9960977B2 (en) | 2015-03-02 | 2018-05-01 | Facebook, Inc. | Techniques to identify application foreground / background state based on network traffic |
| US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
| US10587639B2 (en) | 2015-03-10 | 2020-03-10 | Ca, Inc. | Assessing trust of components in systems |
| US9787695B2 (en) * | 2015-03-24 | 2017-10-10 | Qualcomm Incorporated | Methods and systems for identifying malware through differences in cloud vs. client behavior |
| US10489714B2 (en) * | 2015-03-27 | 2019-11-26 | International Business Machines Corporation | Fingerprinting and matching log streams |
| US10489715B2 (en) * | 2015-03-27 | 2019-11-26 | International Business Machines Corporation | Fingerprinting and matching log streams |
| US20170024660A1 (en) | 2015-07-23 | 2017-01-26 | Qualcomm Incorporated | Methods and Systems for Using an Expectation-Maximization (EM) Machine Learning Framework for Behavior-Based Analysis of Device Behaviors |
| US20170046510A1 (en) * | 2015-08-14 | 2017-02-16 | Qualcomm Incorporated | Methods and Systems of Building Classifier Models in Computing Devices |
| US9798876B1 (en) | 2015-08-19 | 2017-10-24 | Symantec Corporation | Systems and methods for creating security profiles |
| US20170142119A1 (en) | 2015-11-12 | 2017-05-18 | Le Holdings (Beijing) Co., Ltd. | Method for creating group user profile, electronic device, and non-transitory computer-readable storage medium |
| US10505959B1 (en) * | 2015-12-10 | 2019-12-10 | Hewlett Packard Enterprise Development Lp | System and method directed to behavioral profiling services |
| US20170265053A1 (en) * | 2016-03-10 | 2017-09-14 | Ca, Inc. | Method and Apparatus for Discovering Network Devices |
| US20180039779A1 (en) * | 2016-08-04 | 2018-02-08 | Qualcomm Incorporated | Predictive Behavioral Analysis for Malware Detection |
-
2017
- 2017-12-28 US US15/857,433 patent/US11477202B2/en active Active
- 2017-12-28 CN CN201780080727.7A patent/CN110115015B/zh active Active
- 2017-12-28 CN CN201780081057.0A patent/CN110121876B/zh active Active
- 2017-12-28 EP EP17829214.0A patent/EP3563555A1/en active Pending
- 2017-12-28 WO PCT/EP2017/084757 patent/WO2018122341A1/en active Search and Examination
- 2017-12-28 EP EP17826250.7A patent/EP3563554B1/en active Active
- 2017-12-28 WO PCT/EP2017/084764 patent/WO2018122345A1/en active Search and Examination
- 2017-12-29 US US15/858,804 patent/US11223625B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106022113A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 经由沙盒检测恶意文件感染 |
| WO2016164274A1 (en) * | 2015-04-07 | 2016-10-13 | Zingbox, Ltd. | Packet analysis based iot management |
Also Published As
| Publication number | Publication date |
|---|---|
| US11223625B2 (en) | 2022-01-11 |
| CN110121876A (zh) | 2019-08-13 |
| US20180191746A1 (en) | 2018-07-05 |
| US20180191593A1 (en) | 2018-07-05 |
| WO2018122345A1 (en) | 2018-07-05 |
| CN110115015B (zh) | 2022-04-15 |
| EP3563555A1 (en) | 2019-11-06 |
| CN110115015A (zh) | 2019-08-09 |
| EP3563554B1 (en) | 2020-07-15 |
| EP3563554A1 (en) | 2019-11-06 |
| US11477202B2 (en) | 2022-10-18 |
| WO2018122341A1 (en) | 2018-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110121876B (zh) | 用于通过使用行为分析检测恶意设备的系统和方法 | |
| US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
| US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
| US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| US9654485B1 (en) | Analytics-based security monitoring system and method | |
| US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US11556641B2 (en) | Advanced threat protection cross-product security controller | |
| US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
| EP3264312A1 (en) | Model-based computer attack analytics orchestration | |
| US9203856B2 (en) | Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network | |
| EP3264310A1 (en) | Computer attack model management | |
| US20170099305A1 (en) | Management and distribution of virtual cyber sensors | |
| EP3531329A1 (en) | Anomaly-based-malicious-behavior detection | |
| US10893058B1 (en) | Malware detection and alerting for network connected devices based on traffic flow analysis on local network | |
| US11190542B2 (en) | Network session traffic behavior learning system | |
| US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
| EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US20230336585A1 (en) | Correlating Compromised Home Internet of Things Devices With Distributed Denial of Service Attacks | |
| US20170085586A1 (en) | Information processing device, communication history analysis method, and medium | |
| EP3999985A1 (en) | Inline malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |