CN111133427B - 生成和分析网络配置文件数据 - Google Patents
生成和分析网络配置文件数据 Download PDFInfo
- Publication number
- CN111133427B CN111133427B CN201880061598.1A CN201880061598A CN111133427B CN 111133427 B CN111133427 B CN 111133427B CN 201880061598 A CN201880061598 A CN 201880061598A CN 111133427 B CN111133427 B CN 111133427B
- Authority
- CN
- China
- Prior art keywords
- network
- profile data
- network profile
- computing
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 43
- 230000001010 compromised effect Effects 0.000 claims description 36
- 238000012545 processing Methods 0.000 claims description 32
- 230000015654 memory Effects 0.000 claims description 18
- 230000004044 response Effects 0.000 claims 2
- 230000000694 effects Effects 0.000 description 19
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 6
- 238000013500 data storage Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2823—Reporting information sensed by appliance or service execution status of appliance services in a home automation network
- H04L12/2827—Reporting to a device within the home network; wherein the reception of the information reported automatically triggers the execution of a home appliance functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种设备可以生成指示由设备检测到的一组网络参数的网络配置文件数据。该设备可以对网络配置文件数据加密,并且可以将加密的网络配置文件数据传输到网络设备,例如路由器或服务器。路由器或服务器可以分析加密的网络配置文件数据,以确定设备是否是安全的。如果设备不是安全的,则服务器或路由器可以执行一个或更多个安全措施。
Description
相关申请的交叉引用
本申请是2017年12月19日提交的美国专利申请号15/847,672的国际申请,其要求2017年7月27日提交的美国临时申请号62/537,857的权益,所有这些申请在此通过引用以其整体并入。
背景
越来越多的计算设备与彼此连接(例如互连)并连接到互联网。这些计算设备中的许多计算设备可能(例如,被病毒、恶意软件等)受到危害或可能成为安全风险。这些被危害的计算设备可用于执行在线攻击(例如,拒绝服务攻击)或对其他计算设备(例如,服务器)的黑客攻击企图。
附图简述
通过结合附图参考下面的描述,可以最好地理解所描述的实施例及其优点。在不偏离所述实施例的精神和范围的情况下,这些附图决不限制本领域中的技术人员可以对所述实施例做出的在形式和细节上的任何改变。
图1示出根据本公开的一些实施例的计算系统。
图2示出根据本公开的一些实施例的系统架构。
图3示出了根据本公开的一些实施例的示例网络配置文件数据。
图4示出了根据本公开的一些实施例的分析网络配置文件数据的方法的流程图。
图5示出了根据本公开的一些实施例的获得网络配置文件数据的方法的流程图。
图6是根据本公开的一些实施例的可以执行本文描述的一个或更多个操作的示例设备的框图。
详细描述
如上面所讨论的,计算设备可能被包括并且可以用于执行在线攻击或黑客攻击尝试。许多在线攻击(例如,分布式拒绝服务攻击)和黑客攻击企图可能由于这些在线攻击和黑客攻击企图可能源自于的大量计算设备而难以在(攻击或黑客攻击企图的)目的地或目标处进行防御。阻止或防止较接近这些攻击的源的这些攻击可能更容易。如果计算设备传输网络配置文件数据,则阻止或防止这些攻击也可能更容易,该网络配置文件数据可允许服务器确定计算设备是否被危害(例如,不再是安全的、是有安全风险的等)。许多计算设备可以不对可能引起用户的隐私忧虑的网络配置文件数据加密。由于这些隐私忧虑,用户可以抑制网络配置文件数据的发送。此外,许多系统使用专用服务器(计算设备向专用服务器传输网络配置文件数据)来检测可疑活动或被危害的计算设备。这可以使计算设备为专用服务器生成额外的通信量(例如,额外的消息或分组)(例如,在专用服务器和另一服务器之间的消息),并且可能浪费资源,因为专用服务器用于收集和分析网络配置文件数据。
本文描述的示例、实现和实施例可以允许计算设备通过将加密的网络配置文件数据连同现有通信量一起背负式运输(piggyback)到服务器或者通过将加密的网络配置文件数据传输到网络设备(例如,第一跳路由器)来提供加密的网络配置文件数据。这允许向计算设备提供服务的服务器也检查加密的网络配置文件数据以识别可疑活动和被危害的计算设备。这也允许网络设备阻止攻击或黑客攻击企图到达服务器,因为网络设备可以检测可疑活动并且可以阻止分组或消息到达服务器。此外,加密网络配置文件数据允许用户的身份得到保护,这可以减轻用户的隐私忧虑。
图1是根据本公开的一些实施例的计算系统100。计算系统100包括计算设备110和物联网(IOT)设备120。计算设备110可以包括硬件,诸如,处理设备(例如,处理器、中央处理单元(CPU))、存储器(例如,随机存取存储器(RAM)、存储设备(例如,硬盘驱动器(HDD)、固态驱动器(SSD)等))以及其他硬件设备(例如,声卡、视频卡等)。计算设备110可以包括具有可编程处理器的任何合适类型的计算设备或机器,该可编程处理器包括例如服务器计算机、台式计算机、膝上型计算机、平板计算机、智能手机、个人数字助理(PDA)、机顶盒等。在一些示例中,计算设备110可以包括单个机器或者可以包括多个互连的机器(例如,在集群中配置的多个服务器)。计算设备110可以执行或包括操作系统(OS)。计算设备110的OS可以管理其他部件(例如,软件、应用等)的执行和/或可以管理对计算设备的硬件(例如,处理器、存储器、存储设备等)的访问。
IOT设备120可以允许计算设备110与其他设备(例如,其他计算设备或其他网络设备,诸如路由器或服务器)通信。例如,IOT设备120可以允许计算设备110经由有线或无线基础设施来传递数据(例如,发送或接收消息、分组、帧、数据等)。在一个实施例中,IOT设备120可以是计算设备110的网络接口。例如,IOT设备120可以是可以耦合到网络105的网络适配器(例如,经由无线介质,诸如射频(RF)信号)。尽管IOT设备120被示为与计算设备110分离,但在其他实施例中IOT设备120可以是计算设备110的一部分。例如,IOT设备120可以被安装或定位在计算设备110的壳体(例如,外壳、主体等)内。
如下文更详细讨论的,计算系统100可以经由网络105与其他设备通信。网络105可以是公共网络(例如,互联网)、专用网络(例如,局域网(LAN)或广域网(WAN))或其组合。在一个实施例中,网络105可以包括可以由一个或更多个无线通信系统(例如,与网络105连接的无线保真(WiFi)热点和/或可以使用各种数据处理设备、通信塔(例如,蜂窝塔)等实现的无线载波系统)提供的有线或无线基础设施。网络105可以在计算设备110和其他设备(例如,电子设备、网络设备、计算设备等)之间传送通信(例如,数据、消息、分组、帧等)。
如图1所示,计算系统100能够检测一个或更多个网络140(例如,一组网络)。还如图1所示,计算系统100可以连接到或可以检测一个或更多个电子设备130(例如,一组电子设备)。例如,计算设备能够检测或者可以连接到蓝牙扬声器。在另一示例中,计算设备可以检测正在使用同一网络105的游戏控制台或媒体服务器。
在一个实施例中,剖析部件111和121中的一个或更多个可以检测(或收集)网络参数。剖析部件111和121可以是硬件、软件、固件或其组合。网络参数可以包括关于由计算系统100检测到或连接到计算系统100的网络(例如,网络140)或设备(例如,电子设备130)的信息。网络参数可以包括低层信息、中层信息和高层信息。在一些实施例中,剖析部件111和121可以检测不同的网络参数。例如,剖析部件111可以检测低层信息(如下面更详细讨论的),而剖析部件121可以检测中层信息和高层信息(如下面更详细讨论的)。在其他实施例中,剖析部件111和121可以组合成一个剖析部件。例如,如果IOT设备120是计算设备110的一部分,则剖析部件111和121可以组合成一个剖析部件。
在一个实施例中,(参考由互联网协议组定义的层),低层信息(例如,网络参数)可以包括关于可以由计算系统100检测到的或连接到计算系统100的网络或设备的链路层或互联网层信息。例如,低层信息(例如,网络参数)可以包括由计算系统100检测到的设备的网络地址(例如,互联网协议(IP)地址或媒体访问控制(MAC)地址)。低层信息还可以包括第一跳路由器(例如,实现网络105的路由器,诸如WiFi路由器)的网络地址(例如,MAC或IP地址)。低层信息还可以包括网络150的网络标识符。例如,网络105可以是WiFi网络,并且低层信息可以包括网络105的服务集标识符(SSID)。低层信息还可以包括由计算系统100检测到的其他网络的一个或更多个网络标识符,例如服务集标识符(SSID)、BSSID、EESID。例如,低层信息可以包括一个或更多个网络140的SSID。在另一示例中,低层信息可以包括可以耦合到计算系统100(或者可以由计算系统100检测到)的设备(例如,蓝牙扬声器、蓝牙头、其他计算设备等)的设备标识符(例如,名称、字母数字值等)或蓝牙地址。在其他实施例中,可以使用由其他通信协议(例如,蓝牙低能量(BLE)、Zigbee、Z-wave、近场通信(NFC)等)使用的其他类型的标识符或地址。
在一个实施例中,(参考由互联网协议组定义的层),中层信息(例如,网络参数)可以包括关于可以由计算系统100检测到的或连接到计算系统100的网络或设备的传输层信息。例如,中层信息可以包括计算系统100正在侦听的端口(例如,TCP端口)的列表(例如,计算系统100正在等待传入连接请求的端口的列表)。在另一示例中,中层信息可以包括传入连接(例如,由另一设备发起的连接或通信信道的IP端口)的列表。在另一示例中,中层信息可以包括传出连接(例如,由计算系统100发起的连接或通信信道的IP端口)的列表。在进一步的示例中,中层信息可以包括由于在计算系统100上的未打开的端口而被拒绝的传入连接的列表(例如,由计算系统100接收的对未打开的端口的连接请求)。被拒绝的传入连接列表还可以包括在传入连接请求中包括的(未打开的)端口。在进一步的示例中,中层信息可以包括由于在另一设备上的未打开的端口而被拒绝的传出连接的列表(例如,由于在其他设备上的未打开的端口而被拒绝的对其他设备的端口的连接请求)。被拒绝的传出连接的列表还可以包括在传出连接请求中包括的(未打开的)端口。
在一个实施例中,(参考由互联网协议组定义的层),高层信息(例如,网络参数)可以包括关于可以由计算系统100检测到的或连接到计算系统100的网络或设备的应用层信息。例如,高层信息可以包括传入认证请求、认证证书和结果的列表(例如,包括对访问由其他设备传输的认证证书的计算系统100的传入请求的列表)。在另一示例中,高层信息可以包括传出认证证书和结果的列表(例如,对访问包括由计算系统100传输的认证证书的其他设备的传出请求的列表)。在进一步的示例中,高层信息可以包括由于失败的认证而被拒绝的传入连接请求的列表(例如,由计算系统100接收的因为认证证书无效而被拒绝的传入连接请求)。被拒绝的传入连接的列表可以包括网络地址(例如,传输传入连接请求的设备的IP地址)和计算系统100的(被拒绝的)传入连接请求被接收的端口。在进一步的示例中,高层信息可以包括由于失败的认证而被拒绝的传出连接(例如,由计算系统传输的因为由计算系统100提供的认证证书无效而被拒绝的传出连接请求)的列表。被拒绝的传出连接的列表可以包括从计算设备接收传出连接请求的设备的网络地址,并且可以包括用于发送传出连接请求的计算设备的端口。
在一个实施例中,如下面更详细讨论的,剖析部件111和121中的一个或更多个可以组合(由计算设备110和IOT设备120检测的)网络参数的一些或全部,以生成网络配置文件数据。如下面更详细讨论的,剖析部件111和121可以加密网络配置文件数据,并且可以将加密的网络配置文件数据传输到路由器(例如,实现网络105的WiFi路由器)或服务器(在图1中未示出)。例如,剖析部件111可以先前使网络配置文件数据散列(例如,使用哈希函数或算法来生成散列值),并且可以将散列的网络配置文件数据(例如,加密的网络配置文件数据)传输到路由器或服务器。
在一个实施例中,当将加密的网络配置文件数据传输到服务器时,剖析部件111和121将加密的网络配置文件数据包括在传输到服务器的现有数据或通信量中(例如,将加密的网络配置文件数据包括在其他消息、分组、帧等中)。在另一实施例中,当向路由器传输加密的网络配置文件数据时,剖析部件111和121可以传输寻址到路由器(例如,其指示作为分组的接收方的路由器的网络地址)的分组(或消息)。
在一个实施例中,如在下面更详细讨论的,路由器或服务器可以分析加密的网络配置文件数据,以确定加密的网络配置文件是否可以指示计算系统100(例如,计算设备110)被危害(例如,不是安全的)。例如,路由器或服务器可以将加密的网络配置文件数据与先前加密的网络配置文件数据进行比较,以确定加密的网络配置文件和先前加密的网络配置文件数据之间是否存在差异。如下面更详细讨论的,如果路由器或服务器确定计算系统100可能被危害(例如,可能不是安全的),则路由器或服务器可以执行一个或更多个安全措施。如果路由器或服务器确定计算系统100没有被危害(例如,是安全的),则路由器或服务器可以允许计算系统100继续与路由器或服务器通信。
在一个实施例中,可用于确定或揭露用户的身份的网络参数(例如,SSID、用户名等)可以在网络参数(其被包括在加密的网络配置文件数据中)被传输到路由器或服务器之前被加密。当分析加密的网络配置文件数据时,路由器或服务器可以不解密加密的网络配置文件数据。这可允许路由器或服务器确定计算系统100是否被危害(例如,计算系统100是否被黑客攻击、是否有安全风险、是否被感染了病毒或恶意软件等)而不揭露或危害用户的身份。
图2示出根据本公开的一些实施例的系统架构200。该系统架构包括计算系统100、网络105、网络设备210、网络205和服务器230。如上面所讨论的,计算系统100包括计算设备110(例如,智能手机、PDA、平板计算机、膝上型计算机、台式计算机等)和IOT设备120(例如,网络适配器、WiFi适配器等)。如上面所讨论的,计算系统100可以耦合到网络105,并且网络105可以由网络设备210实现。例如,网络105可以是由网络设备210实现或提供的WiFi网络。在一个实施例中,网络设备210可以是网络之间的路由器(例如,转发数据(诸如,消息、分组、帧等)的网络设备)。网络设备210可以是第一跳路由器。第一跳路由器可以是耦合到LAN(例如,WiFi网络)和WAN的路由器。例如,第一跳路由器可以允许耦合到WiFi网络(例如,LAN)的设备(例如,计算设备)与互联网(例如,WAN)通信或访问互联网。计算设备210包括安全部件211。安全部件211可以是硬件、软件、固件或其组合。服务器230可以是为计算系统100提供服务的计算设备(例如,架装服务器、服务器计算机、应用服务器、流式视频服务器等)。例如,服务器230可以是由计算系统100的用户使用的用于银行业务的服务器。在另一示例中,服务器230可以是用于多媒体(例如,视频或音频)流服务的服务器。服务器230包括安全部件231。安全部件231可以是硬件、软件、固件或其组合。
在一些实施例中,网络设备210可以包括多个网络设备。例如,网络设备210可以包括接入点(例如,无线接入点)和第一跳路由器。当系统架构200包括接入点和第一跳路由器时,接入点可以将来自连接到接入点的所有设备的加密的网络配置文件数据提供到第一跳路由器。
如上面所讨论的,计算系统100(例如,计算设备110或IOT设备120的剖析部件)可以检测网络参数,并且可以生成包括网络参数的网络配置文件数据。如上面所讨论的,网络参数可以包括低层信息、中层信息和高层信息。如上面所讨论的,不同的剖析部件可以生成低层信息、中层信息和高层信息。例如,(计算设备110的)剖析部件111可以传输包括低层、中层和高层信息的加密的网络配置文件数据。在另一示例中,(IOT设备120的)剖析部件121可以传输包括低层和中层信息的加密的网络配置文件数据(因为IOT设备120可以是不能访问高层信息(诸如,用户名、密码、认证证书等)的网卡)。在进一步的示例中,无线接入点可以包括关于耦合到接入点、网络设备210的所有计算系统的中层信息(例如,传入连接请求、传出连接请求等)。这可能导致重复的信息或数据被发送到网络设备210或服务器230。例如,如果剖析部件111和剖析部件121都向服务器230传输加密的网络配置文件数据(其包括低层或中层信息),则服务器230可能接收低层或中层信息两次。在一个实施例中,剖析部件或接入点(例如,无线接入点)可以监控由计算设备110传输的分组、消息等以确定重复的信息是否正在被传输。例如,剖析部件121可以确定加密的网络配置文件数据是否已经由计算设备110发送(例如,在到网络设备210的分组中,或者被包括在现有的分组或消息中)。如果加密的网络配置文件数据已经由计算设备110发送,则剖析部件111可以不收集网络配置文件数据(例如,可以不检测网络参数),并且可以不传输网络配置文件数据。在另一示例中,如果接入点(在图2中未示出)确定从计算设备110(或IOT设备120)接收的分组(或消息)包括网络配置文件数据,则接入点可以不收集或传输网络配置文件数据。
在一个实施例中,加密的网络配置文件数据可以被插入到正被传输到网络设备210的分组流中。例如,加密的网络配置文件数据可以被包括在可以被导向或寻址到网络设备的分组(或消息、帧等)中。分组(其包括加密的网络配置文件数据)可以被插入到正被传输到网络设备210的分组流中。例如,流的每第n个(例如,第五个)分组可以是包括加密的网络配置文件数据的分组。分组(其包括加密的网络配置文件数据)的目的地地址可以是网络设备210的网络地址(例如,IP地址)。包括加密的网络配置文件数据的分组的目的地端口也可以是网络设备210期望接收加密的网络配置文件数据的特定端口(例如,用户数据报协议(UDP)端口)。分组(其包括加密的网络配置文件数据)的源地址可以是计算设备110或IOT设备120的网络地址(例如,IP地址)。
在一个实施例中,网络设备210的安全部件211可以接收和分析加密的网络配置文件数据,以确定加密的网络配置文件是否指示计算设备110可能被危害(例如,确定计算设备110是否被病毒或恶意软件感染,造成安全风险等)。在一个实施例中,安全部件211可以确定(例如,计算、生成等)分组(其包括加密的网络配置文件数据)的源地址和目的地址(例如,IP地址、MAC地址等)的散列值。安全部件211可以确定散列值是否与被包括在分组中的计算系统100的散列的(例如,加密的)源地址和目的地地址以及网络设备210的散列的网络地址相同。这可以允许安全部件211防止其他设备欺骗网络配置文件数据(例如,防止其他设备假装他们是计算设备110)。
在一个实施例中,如下面更详细讨论的,安全部件211(或安全部件231)可以将加密的网络配置文件数据的不同部分与先前接收的加密的网络配置文件数据的部分进行比较,以确定加密的网络配置文件数据是否可以指示计算系统100(例如,计算设备110、IOT设备120等)被危害(例如,是不安全的)。如果安全部件211(或安全部件231)确定计算系统100可能被危害(例如,可能不是安全的)或确定可能有可疑活动出现,则安全部件211(或安全部件231)也可以执行一个或更多个安全措施。这可以允许网络设备210检测正在由网络105上的被危害的计算设备(例如,感染了恶意软件或病毒的计算设备)执行的或者正在对计算设备发生的可疑活动(例如,检测攻击(诸如,拒绝服务攻击),检测黑客攻击企图等)。
例如,安全部件211(或安全部件231)可以将包括由于未打开的端口而被拒绝的传入连接的列表(例如,历史)的网络配置文件数据的部分与包括先前由于未打开的端口而被拒绝的传入连接的列表的先前的网络配置文件数据进行比较。如果存在由于未打开的端口而被拒绝的传入连接(或新的被拒绝的传入连接),则这可能指示计算设备110或IOT设备120是端口扫描(例如,可疑活动)的目标或可能被危害(例如,可能不是安全的)。如果端口扫描从少量网络地址(例如,从少量设备)被接收,则安全部件211可以丢弃从那些网络地址接收的分组的一些或全部(例如,可以不向计算系统100传送从那些网络地址接收的分组或消息)。
在另一示例中,安全部件211(或安全部件231)可以将指示由于认证失败(例如,无效的认证证书、无效的用户名或密码等)而被拒绝的传入连接的列表的网络配置文件数据的部分与包括先前由于认证失败而被拒绝的传入连接的列表的先前的网络配置文件数据进行比较。如果存在由于认证失败而被拒绝的许多传入连接(或新的被拒绝的传入连接),则这可以指示计算设备110或IOT设备120是黑客攻击(例如,可疑活动)的目标或者可能被危害(例如,可能不是安全的)。如果被拒绝的传入连接从少量网络地址(例如,从少量设备)被接收,则安全部件211可以丢弃从那些网络地址接收的(一些或全部)分组(例如,可以不向计算系统100传送从那些网络地址接收的分组或消息)。
在进一步的示例中,安全部件211(或安全部件231)可以将指示(由于未打开的端口或认证失败而)被拒绝的传出连接请求的列表(例如,历史)的网络配置文件数据的部分与包括先前(由于未打开的端口或认证失败而)被拒绝的传出连接请求的列表的先前的网络配置文件数据进行比较。如果存在许多被拒绝的传出连接请求(或新的被拒绝的传出请求),则这可以指示计算设备110可能被危害(例如,可能不是安全的、可能有安全风险、可能被感染了病毒或恶意软件等)并试图扫描其他设备的端口或侵入其他设备内。
在一个实施例中,如下面更详细讨论的,安全部件231(或安全部件211)可以将加密的网络配置文件数据的不同部分与先前接收的加密的网络配置文件数据的先前的部分进行比较,以确定加密的网络配置文件数据是否可以指示计算系统100(例如,计算设备110、IOT设备120等)被危害(例如,不是安全的)。如果安全部件231(或安全部件211)确定计算系统100可能被危害(例如,可能不是安全的)或确定可能有可疑活动出现,则安全部件231(或安全部件211)也可以执行一个或更多个安全措施。这可以允许网络设备210检测正在由被危害的计算设备(例如,感染了恶意软件或病毒的计算设备)执行的或者正在对计算设备发生的可疑活动(例如,检测攻击(诸如,拒绝服务攻击),检测黑客攻击企图等)。这也可以允许网络设备210通过在可疑行为被检测到时丢弃或抛弃分组来防止攻击或黑客攻击企图到达服务器230(例如,充当第一防守线)。
在一个实施例中,服务器230可以不是专用于监控计算设备以接收网络配置文件数据并确定计算设备是否可能被危害的(例如,可能不是安全的)服务器。如上面所讨论的,服务器230可以是为计算系统100提供服务或功能的服务器。这允许现有服务器用于检测计算设备何时可能被危害(例如,可能不是安全的)以及计算设备何时正在执行可疑活动(例如,端口扫描)。使用现有服务器来检测计算设备何时可能被危害(例如,可能不是安全的)或者正在执行可疑活动可以降低成本,因为可以不需要额外的专用服务器来执行这些功能。
在一个实施例中,剖析部件可以通过将加密的网络配置文件数据包括在正被传输到服务器的现有消息中来将加密的网络配置文件数据传输到服务器230。可以不使用专用消息或专用分组来将配置文件数据传输到服务器230。配置文件数据可以被背负式运输到正在传输到服务器230的现有消息或分组上。例如,服务器230可以是将流式视频(例如,视频数据、视频内容等)提供到计算设备110的服务器。当计算设备110传输访问不同视频(例如,下载视频等)的请求时,剖析部件111可以将加密的网络配置文件数据包括在消息中。例如,计算设备110可以是请求访问视频的超文本传输协议(HTTP)消息。剖析部件111可以使用HTTP指令来将网络配置文件数据包括在HTTP消息中。HTTP指令可以具有名称-值对(例如,“名称=值”)的格式,其中名称可以是由网络配置文件数据的一部分表示的网络参数的标识符(例如,名称可以指示HTTP指令包括网络105的SSID),并且其中值可以是SSID的散列(或加密)版本。
在一个实施例中,如下面更详细讨论的,安全部件231可以将加密的网络配置文件数据的不同部分与先前接收的加密的网络配置文件数据的部分进行比较,以确定加密的网络配置文件是否指示计算系统100(例如,计算设备110、IOT设备120等)可能被危害(例如,可能不是安全的)或正在执行可疑活动(例如,端口扫描、多次登录或认证尝试等)。如果安全部件231没有检测到可疑活动或者确定计算系统100没有被危害(例如,没有安全风险、是安全的等),则安全部件231可以允许服务器230与计算系统100通信(例如,发送和接收分组或消息)。
在一个实施例中,如果安全部件231确定计算系统100可能被危害(例如,可能不是安全的)或者确定可能有可疑活动出现,则安全部件231可以执行一个或更多个安全措施。例如,如果安全部件231检测到可疑活动或确定计算系统100可能被危害(例如,可能不是安全的),则安全部件231可以丢弃从计算系统100(例如,从计算设备110)接收的消息或分组的一些(或全部)。在另一示例中,安全部件231可以向计算系统100传输请求附加认证的消息。例如,安全部件231可以将安全问题(例如,宠物的名字、母亲的婚前姓、第一辆车等)传输到计算系统100。如果计算系统100不提供附加认证(例如,附加密码、对安全问题的答案等),则安全部件231可以不允许计算系统100与服务器230通信(例如,可以丢弃、抛弃、忽略等从计算系统100接收的分组或消息)。
在一个实施例中,加密的网络配置文件数据(其由计算设备110或IOT设备120传输)可以不被安全部件211和231解密。如下面所讨论的,安全部件211和231可以比较加密的网络配置文件数据的不同版本(例如,当前版本和先前版本),以确定或识别加密的网络配置文件数据的这些版本之间的差异。使用加密的网络配置文件数据(而不解密加密的网络配置文件数据)可以允许网络设备210和服务器230保护计算系统100的用户的身份,因为可以用于识别用户的信息(例如,用户名、网络地址、SSID等)保持被加密(例如,保持是散列的)。网络设备210和服务器230仍然可以使用由计算系统100检测到的加密的网络参数,同时保持用户的匿名性。
在一个实施例中,如果安全部件231确定计算系统100可能被危害(例如,可能不是安全的)或者确定可能有可疑活动出现,则服务器230可以指示网络设备210执行一个或更多个安全措施。例如,服务器230可以向网络设备210传输一个或更多个消息,指示从IOT设备120接收的一个或更多个分组应该被丢弃,或者IOT设备120不应被允许与网络设备210通信。
图3示出了根据本公开的一些实施例的示例网络配置文件数据300。如上面所讨论的,剖析部件(例如,图1和图2所示的剖析部件111和121)可以基于由设备(例如,计算设备、IOT设备等)检测到的网络参数来获得或生成网络配置文件数据。网络参数可以包括低层信息310、中层信息320和高层信息330。低层信息310可以包括链路层或互联网层信息,例如网络地址(例如,IP或MAC地址)、网络标识符、设备标识符(例如,名称、字母数字值等)、蓝牙地址或由其他通信协议(例如,BLE、Zigbee、Z-Wave等)使用的其他标识符和地址。中层信息可以包括传输层信息,例如端口或端口编号、传入连接请求、传出连接请求、传入连接请求是否被拒绝、传出连接请求是否被拒绝等。高层信息可以包括应用层信息,例如传入认证请求、认证证书和结果、传出认证请求、认证证书和结果等。
在一个实施例中,网络配置文件数据300可以被提供到加密部件350,以加密网络配置文件数据(从而生成加密的网络配置文件数据360)。加密部件350可以是可以加密数据或信息的硬件、软件、固件或其组合。加密部件350可以使用各种方法、算法、函数、操作等来加密数据。例如,加密部件350可以使用哈希函数(例如,加密哈希函数)来加密网络配置文件数据300(或网络配置文件数据的部分)。哈希函数的示例包括消息摘要(MD)哈希函数(例如MD4、MD5等)、安全哈希算法(例如,SHA-1、SHA-256)等。
加密的网络配置文件数据360可以被分成多个部分365。每个部分365可以对应于由设备检测到的网络参数。例如,第一组部分365可以对应于(由于认证失败或未打开的端口而)被拒绝的传入连接请求的列表,其中第一组部分365的每个部分365对应于来自被拒绝的传入连接请求的列表的一个被拒绝的传入连接请求。在另一示例中,第二组部分365可以对应于由设备检测到的一组网络标识符(例如,SSID的列表),其中第二组部分365的每个部分365对应于来自该组网络标识符的网络标识符。在另一示例中,第三组部分365可以对应于由设备检测到的一组设备标识符(例如,设备名称的列表),其中第三组部分365的每个部分365对应于来自该组设备标识符的设备标识符。
在一个实施例中,如上面所讨论的,当剖析部件将加密的网络配置文件数据360传输到网络设备(例如,路由器)时,剖析部件可以将部分365包括在被寻址到网络设备(例如,其将网络设备的源地址指示为分组的接收方)的分组中。在另一实施例中,如上面所讨论的,当剖析部件将加密的网络配置文件数据360传输到服务器时,剖析部件可以将加密的网络配置文件数据360的部分365包括在HTTP指令中。例如,剖析部件可以为每个部分365(例如,为每个SSID、为每个网络地址、为每个输入连接请求、为每个输出连接请求等)添加HTTP指令。HTTP指令可以具有识别被包括在HTTP指令中的网络参数的名称。例如,可以将该HTTP指令命名为“网络配置文件-xyz”,其中“xyz”是网络参数(例如,SSID、IP地址、MAC地址、设备名称等)的名称。HTTP指令的值可以是网络参数的散列(或加密)版本。例如,HTTP指令的值可以是基于SSID或MAC地址(例如,网络参数)生成的散列值。如果网络参数的列表被传输(例如,被拒绝的传入连接请求的列表),则第一HTTP指令可以包括列表的大小,而另一个HTTP指令可以对应于在列表中的单独网络参数。
在一个实施例中,部分365可以以特定的顺序表示网络参数。例如,第一三分之一部分365可以表示低层信息,第二三分之一部分365可以表示中层部分,以及最后三分之一部分365可以表示高层部分。在另一示例中,可以以特定的顺序使用特定数量的部分365来表示每个网络参数。例如,前三个部分365可以表示由设备检测到的SSID,接下来的五个部分365可以表示由设备检测到的源MAC地址,接下来的两个部分365可以表示传入连接请求,接下来的两个部分365可以表示传出连接请求,等等。
当网络设备(例如,路由器)或服务器接收到加密的网络配置文件数据360时,网络设备或服务器可以将加密的网络配置文件数据360存储在一个或更多个先进先出(FIFO)队列中。例如,网络设备或服务器可以维护FIFO队列,其中在队列中的条目包括由设备生成的加密的网络配置文件数据的版本。在另一示例中,网络设备或服务器可以针对在加密的网络配置文件数据中的每种类型的网络参数维护FIFO队列。例如,第一FIFO队列可以包括对应于SSID的网络配置文件数据的部分,第二FIFO队列可以包括对应于网络地址的网络配置文件数据的部分,第三FIFO队列可以包括对应于网络标识符的网络配置文件数据的部分,等等。
在一个实施例中,安全部件(例如,安全部件211和231)可以确定加密的网络配置文件数据360的阈值数量的部分365是否不同于加密的网络配置文件数据的先前版本。如果加密的网络配置文件数据的阈值数量的部分不同于加密的网络配置文件数据的先前版本,则安全部件211和231可以确定计算系统100可能被危害(例如,可能不是安全的)或者正在执行可疑活动。例如,安全部件可以将加密的网络配置文件数据360的每个部分365与先前接收的加密的网络配置文件数据(其可以被存储在FIFO队列中)的每个部分进行比较。如果阈值数量的部分365不同于先前部分(例如,如果15%以上的散列值是不同的,十个以上的散列值是不同的,等等),则安全部件可以确定该设备可能被危害(例如,可能不是安全的)或者该设备正在执行可疑活动。
图4是根据本公开的一些实施例的分析网络配置文件数据的方法400的流程图。方法400可以由处理逻辑执行,该处理逻辑可以包括硬件(例如,电路、专用逻辑、可编程逻辑、处理器、处理设备、中央处理单元(CPU)、多核处理器、片上系统(SoC)等)、软件(例如,在处理设备上运行/执行的指令)、固件(例如,微码)或其组合。在一些实施例中,方法400可以由安全部件(例如,图3中所示的安全部件211和231)、网络设备(例如,图3中所示的网络设备210)、服务器(例如,图3中所示的服务器230)或处理设备(例如,图6中所示的处理设备602)执行。
方法400在块405开始,其中方法400接收分组、消息。例如,可以从设备(例如,从计算设备、IOT设备、计算系统等)接收UDP分组或HTTP消息。在块410,方法400可选地确定加密的网络配置文件数据是否被包括在消息或分组中。例如,如上面所讨论的,方法400可以确定该HTTP消息是否包括HTTP指令。如果加密的网络配置文件数据不被包括,则方法400可以可选地在块425阻止设备进行通信。例如,方法400可以阻止设备与服务器或路由器通信。
如果加密的网络配置文件数据被包括,则方法400前进到块415,其中该方法分析加密的网络配置文件数据。在块420,方法400确定设备是否可能被危害(例如,可能不是安全的)。例如,如上面所讨论的,方法400可以将加密的网络配置文件数据(或加密的网络配置文件数据的部分)与加密的网络配置文件数据的先前版本进行比较。如上面所讨论的,方法400可以比较加密的网络配置文件数据而不解密加密的网络配置文件数据,以保护设备的用户身份。
如果设备没有被危害(例如,存在与先前加密的网络配置文件数据的先前部分不同的加密的网络配置文件数据的阈值数量以上的部分),则方法400前进到块430,其中方法400可以执行一个或更多个安全措施。例如,方法400可以丢弃(例如,抛弃)从设备接收的一个或更多个分组或消息。在另一示例中,方法400可以请求附加认证(例如,可以请求附加证书)。如果设备没有被危害(例如,存在与先前加密的网络配置文件数据的先前部分不同的加密的网络配置文件数据的小于或等于阈值数量的部分),则方法400前进到块435,其中方法400可以允许设备与服务器或路由器通信。
图5是根据本公开的一些实施例的获得网络配置文件数据的方法500的流程图。方法500可以由处理逻辑执行,该处理逻辑可以包括硬件(例如,电路、专用逻辑、可编程逻辑、处理器、处理设备、中央处理单元(CPU)、多核处理器、片上系统(SoC)等)、软件(例如,在处理设备上运行/执行的指令)、固件(例如,微码)或其组合。在一些实施例中,方法500可以由剖析部件(例如,图1和2中示出的剖析部件111和121)、计算设备(例如,图1和2中示出的计算设备110)或处理设备(例如,图6中示出的处理设备602)执行。
方法500在块505开始,其中方法500获得网络配置文件数据。例如,方法500可以检测网络参数(例如,网络地址、网络标识符、传入连接请求、传出连接请求等)。方法500可以生成包括网络参数(例如,包括低层信息、中层信息、高层信息等中的一个或更多个)的网络配置文件数据。在块510,方法500可以加密网络配置文件数据。例如,如上面所讨论的,方法500可以基于网络参数生成一个或更多个散列值。加密的网络配置文件数据可以被分成多个部分,每个部分可以包括多个散列值。在块515,方法500可以将加密的网络配置文件数据传输到网络设备(例如,第一跳路由器)或服务器。例如,如在块516中所示的,方法500可以将加密的网络配置文件数据包括在现有通信量或正在被传输到服务器的数据中(例如,可以将一个或更多个HTTP指令包括在HTTP消息中)。在另一示例中,如在块517中所示的,如上面所讨论的,方法500可以在被寻址到网络设备(例如,其指示网络设备作为消息或分组的接收方)的消息或分组中传输加密的网络配置文件数据。
图6是根据一些实施例的可以执行本文描述的一个或更多个操作的示例设备600的框图。设备600可以连接到在LAN、内联网、外联网和/或互联网中的其他设备。设备可以在客户端-服务器网络环境中以服务器机器的身份操作,或者在对等网络环境中以客户端的身份操作。设备可以是电子或计算设备(诸如,个人计算机(PC)、平板计算机、PDA、智能手机、机顶盒(STB)、服务器计算机等)、网络设备(诸如,路由器、交换机或网桥)或能够执行一组指令(顺序的或以其他方式)的任何机器,这些指令指定由该机器采取的行动。此外,虽然仅仅示出单个处理器,但术语“设备”还应当被理解为包括单独地或联合地执行一组(或多组)指令以执行在本文讨论的方法的设备的任何集合。
示例设备600可以包括可以经由总线630与彼此通信的处理设备(例如,通用处理器、PLD等)602、主存储器604(例如,同步动态随机存取存储器(DRAM)、只读存储器(ROM)、静态存储器606(例如,快闪存储器和数据存储设备618)。
处理设备602可以由一个或更多个通用处理设备(例如,微处理器、中央处理单元等)提供。在说明性示例中,处理设备602可以包括复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器或者实现其他指令集的处理器或者实现指令集的组合的处理器。处理设备602还可以包括一个或更多个专用处理设备,例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等。根据本公开的一个或更多个方面,处理设备602可以被配置为执行本文描述的操作,以用于执行本文讨论的操作和步骤。
设备600还可以包括可以与网络620通信的网络接口设备608。设备600还可以包括视频显示单元610(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备612(例如,键盘)、光标控制设备614(例如,鼠标)和声音信号生成设备616(例如,扬声器)。在一个实施例中,视频显示单元610、字母数字输入设备612和光标控制设备614可以组合成单个部件或设备(例如,LCD触摸屏)。
根据本公开的一个或更多个方面,数据存储设备618可以包括计算机可读存储介质628,其上可以存储一组或更多组指令,例如用于执行本文描述的操作的指令。实现用于一个或更多个剖析部件或安全部件的指令626的指令也可以在由也构成计算机可读介质的设备600、主存储器604和处理设备602执行期间完全或至少部分地驻留在主存储器604内和/或在处理设备602内。指令可以进一步经由网络接口设备608通过网络620被发送或接收。
尽管计算机可读存储介质628在说明性示例中被示为单个介质,但术语“计算机可读存储介质”应该被理解为包括存储一组或更多组指令的单个介质或多个介质(例如,集中式或分布式数据库和/或相关高速缓存和服务器)。术语“计算机可读存储介质”也应当被理解为包括能够存储、编码或传送用于由机器执行并使机器执行本文所述的方法的一组指令的任何介质。因此,术语“计算机可读存储介质”应被理解为包括但不限于固态存储器、光学介质和磁性介质。
在一些实施例中,示例设备600可以包括图6中所示的部件的子集。例如,示例设备600可以包括处理设备、主存储器604(或其他类型或数据存储设备,例如持久数据存储设备)和网络接口设备608。
除非另有特别规定,术语例如“获得”、“加密”、“传输”、“包括”、“丢弃”、“接收”、“确定”、“执行”、“比较”、“请求”、“阻止”等是指由计算设备执行或实现的行动和过程,计算设备将被表示为在计算设备的寄存器和存储器内的物理(电子)量的数据操纵和转换成类似地被表示为在计算设备存储器或寄存器或其它这样的信息存储、传输或显示设备内的物理量的其它数据。
本文所描述的示例还涉及用于执行本文所述的操作的装置。该装置可以为了期望目的被特别构造,和/或它可以包括由存储在计算设备中的计算机程序选择性地编程的通用计算设备。这种计算机程序可以存储在计算机可读非暂时性存储介质中。
某些实施例可被实现为可包括存储在机器可读介质上的指令的计算机程序产品。这些指令可用于对通用或专用处理器编程以执行所描述的操作。机器可读介质包括用于以由机器(例如,计算机)可读的形式(例如,软件、处理应用)存储或传输信息的任何机制。机器可读介质可以包括但不限于磁存储介质(例如,软盘);光学存储介质(例如,CD-ROM);磁光存储介质;只读存储器(ROM);随机存取存储器(RAM);可擦除可编程存储器(例如,EPROM和EEPROM);快闪存储器;或适合于存储电子指令的另一种类型的介质。机器可读介质可以被称为非暂时性机器可读介质。
本文所述的方法和说明性示例并不固有地与任何特定的计算机或其他装置相关。各种通用系统可以根据本文所述的教导被使用,或者构建更专用的装置以执行所需的方法步骤可能证明是方便的。用于各种这些系统的所需结构将如在上面的描述中阐述的出现。
上面的描述被规定为说明性的而非限制性的。尽管参考特定的说明性示例描述了本公开,但将认识到,本公开不限于所描述的示例。本公开的范围应参考下面的权利要求连同这些权利要求享有权利的等效物的全范围来确定。
如在本文所使用的,单数形式“a”、“an”、和“the”意欲也包括复数形式,除非上下文另外清楚地指示。将进一步理解,术语“包括(comprises)”、“包括(comprising)”、“包括(includes)”和/或“包括(including)”在本文被使用时规定所陈述的特征、整体、步骤、操作、元件和/或部件的存在,但不排除一个或更多个其它特征、整体、步骤、操作、元件、部件和/或其组的存在或添加。此外,如在本文使用的术语“第一”、“第二”、“第三”、“第四”等意欲作为区分开不同元件的标签,并且可能不一定具有根据它们的数字标识指定的顺序含义。本文使用的术语仅为了描述特定实施例的目的,且并没有被规定为限制性的。
还应当注意,在一些可选的实现中,所提到的功能/行动可以不以在图中提到的顺序出现。例如,连续地显示的两个图可以事实上实质上同时被执行,或者可以有时以相反的顺序被执行,取决于所涉及的功能/行动。
尽管以特定的顺序描述了方法操作,但应当理解,其他操作可以在所描述的操作之间被执行,所描述的操作可以被调整,使得它们在稍微不同的时间出现,或者所描述的操作可以分布在允许处理操作在与处理相关联的各种时间间隔出现的系统中。
各种单元、电路或其他部件可以被描述或主张为“被配置为”或“可配置为”执行一个或更多个任务。在这样的上下文中,短语“被配置为”或“可配置为”用于通过指示单元/电路/部件包括在操作期间执行一个或更多个任务的结构(例如,电路)来暗示结构。因此,单元/电路/部件可以被认为被配置为执行任务或者可配置为执行任务,即使当指定的单元/电路/部件当前不操作(例如,不工作)时。与“被配置为”或“可配置为”语言一起使用的单元/电路/部件包括硬件,例如,存储可执行来实现操作的程序指令的电路、存储器等。叙述单元/电路/部件“被配置为”执行一个或更多个任务或者“可配置为”执行一个或更多个任务明确地不意欲为该单元/电路/部件援引援用《美国法典》第35编第112条第6段。另外,“被配置为”或“可配置为”可以包括由软件和/或固件(例如,执行软件的FPGA或通用处理器)操纵的类结构(例如,类电路),以用能够执行在争论中的任务的方式操作。“被配置为”还可以包括使制造过程(例如,半导体制造设施)适于制造适于实现或执行一个或更多个任务的设备(例如,集成电路)。“可配置为”明确地打算不适用于空白介质、未编程处理器或未编程类计算机或未编程的可编程逻辑设备、可编程门阵列或其他未编程设备,除非伴随有赋予未编程设备被配置为执行所公开的功能的能力的编程介质。
为了解释的目的,参考特定的实施例描述了前述描述。然而,上面的说明性讨论没有被规定为无遗漏的或将本发明限制到所公开的精确形式。鉴于上面的教导,许多修改和变形是可能的。实施例被选择并被描述,以便最好地解释实施例的原理及其实际应用,以从而使本领域中的技术人员能够最好地利用如可适合于所设想的特定用途的实施例和各种修改。因此,当前实施例应被考虑为是说明性的而不是限制性的,并且本发明不限于在本文给出的细节,但可以在所附权利要求的范围和等效物内被修改。
Claims (11)
1.一种计算装置,包括:
存储器,其被配置为存储网络配置文件数据;
处理设备,其可操作地与所述存储器耦合,所述处理设备被配置为:
确定所述网络配置文件数据是否已经传输到网络设备以防止所述网络配置文件数据被重复传输到所述网络设备;
响应于确定所述网络配置文件数据没有传输到所述网络设备,获得所述网络配置文件数据,其中所述网络配置文件数据包括由所述计算装置检测到的一组网络参数,所述一组网络参数包括来自所述计算装置的传入或传出连接请求的列表,并且其中所述网络配置文件数据提供所述计算装置是否被危害的指示;
加密所述网络配置文件数据,以生成散列的网络配置文件数据;
识别寻址到所述网络设备的分组流;
将包括所述散列的网络配置文件数据的分组插入到寻址到所述网络设备的所述分组流;以及
将包括所述分组的所述分组流传输到所述网络设备,以用于通过将所述散列的网络配置文件数据与从所述计算装置接收的先前的网络配置文件数据相比较来确定所述计算装置是否被危害,而无需解密所加密的网络配置文件数据。
2.根据权利要求1所述的计算装置,其中,为了传输所述散列的网络配置文件数据,所述处理设备进一步被配置成:
将所述散列的网络配置文件数据包括在传输到所述网络设备的现有通信量中。
3.根据权利要求1所述的计算装置,其中,所述网络设备包括耦合到局域网LAN和广域网WAN的路由器和第一跳路由器中的一个。
4.根据权利要求1所述的计算装置,其中,所述一组网络参数包括所述计算装置的网络地址。
5.根据权利要求3所述的计算装置,其中,所述一组网络参数包括所述路由器的网络地址。
6.根据权利要求1所述的计算装置,其中,所述一组网络参数包括由所述计算装置使用来与所述网络设备通信的网络的网络标识符。
7.根据权利要求1所述的计算装置,其中,所述一组网络参数包括由所述计算装置检测的一个或更多个网络的一个或更多个网络标识符。
8.根据权利要求1所述的计算装置,其中,所述一组网络参数包括由所述计算装置检测的一个或更多个电子设备的一个或更多个设备标识符。
9.根据权利要求1所述的计算装置,其中,所述网络设备包括服务器。
10.一种用于生成和分析网络配置文件数据的方法,包括:
确定存储在装置中的所述网络配置文件数据是否已经传输到网络设备以防止所述网络配置文件数据被重复传输到所述网络设备;
响应于确定与所述装置相关联的所述网络配置文件数据没有传输到所述网络设备,获得所述网络配置文件数据,其中所述网络配置文件数据包括由所述装置检测到的一组网络参数,所述一组网络参数包括来自所述装置的传入或传出连接请求的列表,并且其中所述网络配置文件数据提供所述装置是否被危害的指示;
加密所述网络配置文件数据,以生成散列的网络配置文件数据;
识别寻址到所述网络设备的分组流;
将包括所述散列的网络配置文件数据的分组插入到寻址到所述网络设备的所述分组流;以及
在所述分组流中将所述散列的网络配置文件数据传输到所述网络设备,以用于通过将所述散列的网络配置文件数据与从所述装置接收的先前的网络配置文件数据相比较来确定所述装置是否被危害,而无需解密所加密的网络配置文件数据。
11.根据权利要求10所述的方法,其中,传输所述散列的网络配置文件数据包括:
将所述散列的网络配置文件数据包括在传输到所述网络设备的现有通信量中。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762537857P | 2017-07-27 | 2017-07-27 | |
| US62/537,857 | 2017-07-27 | ||
| US15/847,672 US10594725B2 (en) | 2017-07-27 | 2017-12-19 | Generating and analyzing network profile data |
| US15/847,672 | 2017-12-19 | ||
| PCT/US2018/042010 WO2019022968A1 (en) | 2017-07-27 | 2018-07-13 | GENERATION AND ANALYSIS OF NETWORK PROFILE DATA |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111133427A CN111133427A (zh) | 2020-05-08 |
| CN111133427B true CN111133427B (zh) | 2024-03-29 |
Family
ID=65040323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880061598.1A Active CN111133427B (zh) | 2017-07-27 | 2018-07-13 | 生成和分析网络配置文件数据 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US10594725B2 (zh) |
| CN (1) | CN111133427B (zh) |
| DE (1) | DE112018003798T5 (zh) |
| WO (1) | WO2019022968A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10594725B2 (en) | 2017-07-27 | 2020-03-17 | Cypress Semiconductor Corporation | Generating and analyzing network profile data |
| US10771450B2 (en) * | 2018-01-12 | 2020-09-08 | Blackberry Limited | Method and system for securely provisioning a remote device |
| KR102414927B1 (ko) * | 2018-03-21 | 2022-06-30 | 삼성전자 주식회사 | 무선랜 서비스를 사용하는 기기의 인증 방법 및 장치 |
| US11363028B2 (en) * | 2018-09-27 | 2022-06-14 | The Toronto-Dominion Bank | Systems and methods for delegating access to a protected resource |
| US11411972B2 (en) * | 2018-11-13 | 2022-08-09 | Mcafee, Llc | Methods, systems, and media for dynamically separating internet of things devices in a network |
| US11153095B2 (en) * | 2019-04-30 | 2021-10-19 | At&T Mobility Ii Llc | Facilitation of identification of internet-of-things host devices |
| CN112688968B (zh) * | 2021-03-12 | 2021-06-11 | 深圳市乙辰科技股份有限公司 | 一种基于无线网络设备的网络安全配置方法及系统 |
| CN114152460B (zh) * | 2021-11-30 | 2023-04-21 | 四川虹美智能科技有限公司 | 智能空调的生产检测系统和方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1536808A (zh) * | 2003-02-20 | 2004-10-13 | 微软公司 | 简化加密网络的装置和方法 |
| CN103634786A (zh) * | 2013-11-14 | 2014-03-12 | 北京奇虎科技有限公司 | 一种无线网络的安全检测和修复的方法与系统 |
| CN105518687A (zh) * | 2013-08-08 | 2016-04-20 | 斯利肯安全有限公司 | 安全数据存储装置 |
| US9584541B1 (en) * | 2015-02-12 | 2017-02-28 | Lookingglass Cyber Solutions, Inc. | Cyber threat identification and analytics apparatuses, methods and systems |
Family Cites Families (99)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3380281D1 (en) | 1982-12-03 | 1989-08-31 | Ibm | Updating data processing files |
| US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US7188180B2 (en) * | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US6678270B1 (en) | 1999-03-12 | 2004-01-13 | Sandstorm Enterprises, Inc. | Packet interception system including arrangement facilitating authentication of intercepted packets |
| US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| CA2313908A1 (en) * | 2000-07-14 | 2002-01-14 | David B. Skillicorn | Intrusion detection in networks using singular value decomposition |
| US7328349B2 (en) * | 2001-12-14 | 2008-02-05 | Bbn Technologies Corp. | Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses |
| US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US7725587B1 (en) * | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
| US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| US7302584B2 (en) * | 2001-03-16 | 2007-11-27 | Mcafee, Inc. | Mechanisms for banning computer programs from use |
| US6909713B2 (en) * | 2001-09-05 | 2005-06-21 | Intel Corporation | Hash-based data frame distribution for web switches |
| US7325248B2 (en) * | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
| ATE374493T1 (de) * | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
| CN1656718B (zh) * | 2002-04-08 | 2011-06-15 | 空气磁体公司 | 监视局域网 |
| US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
| US20040006621A1 (en) * | 2002-06-27 | 2004-01-08 | Bellinson Craig Adam | Content filtering for web browsing |
| US9009084B2 (en) * | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
| US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
| US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
| US7685436B2 (en) * | 2003-10-02 | 2010-03-23 | Itt Manufacturing Enterprises, Inc. | System and method for a secure I/O interface |
| US10999298B2 (en) * | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
| US20050286535A1 (en) * | 2004-06-29 | 2005-12-29 | Shrum Edgar V Jr | Verification of consumer equipment connected to packet networks based on hashing values |
| US7778194B1 (en) * | 2004-08-13 | 2010-08-17 | Packeteer, Inc. | Examination of connection handshake to enhance classification of encrypted network traffic |
| US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| US8331234B1 (en) * | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
| US7543740B2 (en) * | 2004-09-17 | 2009-06-09 | Digital Envoy, Inc. | Fraud analyst smart cookie |
| US7933208B2 (en) * | 2004-09-27 | 2011-04-26 | Polytechnic Institute Of New York University | Facilitating storage and querying of payload attribution information |
| US8234705B1 (en) * | 2004-09-27 | 2012-07-31 | Radix Holdings, Llc | Contagion isolation and inoculation |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| US7610344B2 (en) * | 2004-12-13 | 2009-10-27 | Microsoft Corporation | Sender reputations for spam prevention |
| US7899866B1 (en) * | 2004-12-31 | 2011-03-01 | Microsoft Corporation | Using message features and sender identity for email spam filtering |
| US7769858B2 (en) * | 2005-02-23 | 2010-08-03 | International Business Machines Corporation | Method for efficiently hashing packet keys into a firewall connection table |
| JP2006279930A (ja) * | 2005-03-01 | 2006-10-12 | Nec Corp | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 |
| US7634811B1 (en) * | 2005-05-20 | 2009-12-15 | Symantec Corporation | Validation of secure sockets layer communications |
| US9015090B2 (en) * | 2005-09-06 | 2015-04-21 | Daniel Chien | Evaluating a questionable network communication |
| US8595846B1 (en) * | 2005-11-29 | 2013-11-26 | At&T Intellectual Property Ii, L.P. | Method for identifying compromised network components |
| US8316429B2 (en) * | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| US8000698B2 (en) * | 2006-06-26 | 2011-08-16 | Microsoft Corporation | Detection and management of rogue wireless network connections |
| US9177293B1 (en) * | 2006-07-21 | 2015-11-03 | Cousins Intellectual Properties Llc | Spam filtering system and method |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| JP4734223B2 (ja) * | 2006-11-29 | 2011-07-27 | アラクサラネットワークス株式会社 | トラヒック分析装置および分析方法 |
| US20080282080A1 (en) * | 2007-05-11 | 2008-11-13 | Nortel Networks Limited | Method and apparatus for adapting a communication network according to information provided by a trusted client |
| US8964548B1 (en) * | 2008-04-17 | 2015-02-24 | Narus, Inc. | System and method for determining network application signatures using flow payloads |
| US8577817B1 (en) * | 2011-03-02 | 2013-11-05 | Narus, Inc. | System and method for using network application signatures based on term transition state machine |
| US8732825B2 (en) | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
| FI20085604A0 (fi) * | 2008-06-18 | 2008-06-18 | Elektrobit Wireless Comm Oy | Yhteyksien hallinta |
| US8108933B2 (en) | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
| US20100138910A1 (en) * | 2008-12-03 | 2010-06-03 | Check Point Software Technologies, Ltd. | Methods for encrypted-traffic url filtering using address-mapping interception |
| US8239668B1 (en) * | 2009-04-15 | 2012-08-07 | Trend Micro Incorporated | Computer security threat data collection and aggregation with user privacy protection |
| US8280968B1 (en) * | 2009-04-20 | 2012-10-02 | The Florida State University Research Foundation, Inc. | Method of detecting compromised computers in a network |
| US8683216B2 (en) | 2010-07-13 | 2014-03-25 | F-Secure Corporation | Identifying polymorphic malware |
| US9215244B2 (en) * | 2010-11-18 | 2015-12-15 | The Boeing Company | Context aware network security monitoring for threat detection |
| US9813310B1 (en) * | 2011-10-31 | 2017-11-07 | Reality Analytics, Inc. | System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics |
| US9137258B2 (en) * | 2012-02-01 | 2015-09-15 | Brightpoint Security, Inc. | Techniques for sharing network security event information |
| US8914406B1 (en) * | 2012-02-01 | 2014-12-16 | Vorstack, Inc. | Scalable network security with fast response protocol |
| US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
| US9356942B1 (en) * | 2012-03-05 | 2016-05-31 | Neustar, Inc. | Method and system for detecting network compromise |
| US9185095B1 (en) * | 2012-03-20 | 2015-11-10 | United Services Automobile Association (Usaa) | Behavioral profiling method and system to authenticate a user |
| US20140007229A1 (en) | 2012-06-29 | 2014-01-02 | Christopher T. Smith | System and method for identifying installed software products |
| US9231972B2 (en) * | 2012-11-13 | 2016-01-05 | Tencent Technology (Shenzhen) Company Limited | Malicious website identifying method and system |
| JP2016510196A (ja) * | 2013-03-13 | 2016-04-04 | ジャンプトゥー メディア インコーポレイテッド | 安全なネットワーク通信 |
| WO2014153420A1 (en) * | 2013-03-19 | 2014-09-25 | Acuity Systems, Inc. | Authentication system |
| US10038626B2 (en) * | 2013-04-16 | 2018-07-31 | Amazon Technologies, Inc. | Multipath routing in a distributed load balancer |
| US9137156B2 (en) * | 2013-04-24 | 2015-09-15 | Brocade Communications Systems, Inc. | Scalable and efficient flow-aware packet distribution |
| RU2580036C2 (ru) | 2013-06-28 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ создания гибкой свертки для обнаружения вредоносных программ |
| US9198034B2 (en) * | 2013-06-28 | 2015-11-24 | Symbol Technologies, Llc | Validating presence of a communication device using a wireless local area network |
| GB2518636B (en) | 2013-09-26 | 2016-03-09 | F Secure Corp | Distributed sample analysis |
| KR101502490B1 (ko) * | 2013-10-18 | 2015-03-13 | 주식회사 케이티 | 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드 |
| US9338013B2 (en) * | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
| US9009827B1 (en) * | 2014-02-20 | 2015-04-14 | Palantir Technologies Inc. | Security sharing system |
| US9419986B2 (en) * | 2014-03-26 | 2016-08-16 | Symantec Corporation | System to identify machines infected by malware applying linguistic analysis to network requests from endpoints |
| US9529987B2 (en) * | 2014-05-09 | 2016-12-27 | Behaviometrics Ab | Behavioral authentication system using a behavior server for authentication of multiple users based on their behavior |
| US9888033B1 (en) * | 2014-06-19 | 2018-02-06 | Sonus Networks, Inc. | Methods and apparatus for detecting and/or dealing with denial of service attacks |
| US10396992B2 (en) * | 2014-06-30 | 2019-08-27 | Vescel, Llc | Authentication of a user and/or a device through parallel synchronous update of immutable hash histories |
| US10044675B1 (en) * | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| US9467455B2 (en) * | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US9407754B1 (en) * | 2015-02-13 | 2016-08-02 | Qualcomm Incorporated | Multi-granular authentication techniques |
| US10778700B2 (en) * | 2015-03-17 | 2020-09-15 | British Telecommunications Public Limited Company | Malicious encrypted network traffic identification using fourier transform |
| EP3272096B1 (en) * | 2015-03-17 | 2020-09-30 | British Telecommunications public limited company | Learned profiles for malicious encrypted network traffic identification |
| US9900300B1 (en) * | 2015-04-22 | 2018-02-20 | Ionu Security, Inc. | Protection against unauthorized cloning of electronic devices |
| US9407652B1 (en) * | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
| US9477825B1 (en) * | 2015-07-10 | 2016-10-25 | Trusted Mobile, Llc | System for transparent authentication across installed applications |
| US9916443B1 (en) * | 2015-07-21 | 2018-03-13 | Palo Alto Networks, Inc. | Detecting an attempt to exploit a memory allocation vulnerability |
| US10051001B1 (en) * | 2015-07-31 | 2018-08-14 | Palo Alto Networks, Inc. | Efficient and secure user credential store for credentials enforcement using a firewall |
| US10193934B2 (en) * | 2015-12-03 | 2019-01-29 | Microsoft Technology Licensing, Llc | Data compression for communications signalling |
| JP6736380B2 (ja) * | 2016-06-24 | 2020-08-05 | キヤノン株式会社 | セキュリティ確認装置、システム、情報処理方法及びプログラム |
| US10805338B2 (en) * | 2016-10-06 | 2020-10-13 | Cisco Technology, Inc. | Analyzing encrypted traffic behavior using contextual traffic data |
| IL248306B (en) * | 2016-10-10 | 2019-12-31 | Verint Systems Ltd | System and method for creating data sets for learning to recognize user actions |
| US10686831B2 (en) * | 2016-11-16 | 2020-06-16 | Cisco Technology, Inc. | Malware classification and attribution through server fingerprinting using server certificate data |
| US10678907B2 (en) * | 2017-01-26 | 2020-06-09 | University Of South Florida | Detecting threats in big data platforms based on call trace and memory access patterns |
| EP3602999B1 (en) * | 2017-03-28 | 2021-05-19 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
| US20200050760A1 (en) * | 2017-03-28 | 2020-02-13 | British Telecommunications Public Limited Company | Initialization vector identification for malware detection |
| US10862911B2 (en) * | 2017-06-27 | 2020-12-08 | Allot Ltd. | System, device, and method of adaptive network protection for managed internet-of-things services |
| US10594725B2 (en) | 2017-07-27 | 2020-03-17 | Cypress Semiconductor Corporation | Generating and analyzing network profile data |
| US10263863B2 (en) * | 2017-08-11 | 2019-04-16 | Extrahop Networks, Inc. | Real-time configuration discovery and management |
-
2017
- 2017-12-19 US US15/847,672 patent/US10594725B2/en active Active
-
2018
- 2018-07-13 DE DE112018003798.3T patent/DE112018003798T5/de active Pending
- 2018-07-13 CN CN201880061598.1A patent/CN111133427B/zh active Active
- 2018-07-13 WO PCT/US2018/042010 patent/WO2019022968A1/en active Application Filing
-
2020
- 2020-01-30 US US16/777,694 patent/US11153343B2/en active Active
-
2021
- 2021-10-04 US US17/493,577 patent/US20220141250A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1536808A (zh) * | 2003-02-20 | 2004-10-13 | 微软公司 | 简化加密网络的装置和方法 |
| CN105518687A (zh) * | 2013-08-08 | 2016-04-20 | 斯利肯安全有限公司 | 安全数据存储装置 |
| CN103634786A (zh) * | 2013-11-14 | 2014-03-12 | 北京奇虎科技有限公司 | 一种无线网络的安全检测和修复的方法与系统 |
| US9584541B1 (en) * | 2015-02-12 | 2017-02-28 | Lookingglass Cyber Solutions, Inc. | Cyber threat identification and analytics apparatuses, methods and systems |
Also Published As
| Publication number | Publication date |
|---|---|
| DE112018003798T5 (de) | 2020-06-04 |
| US10594725B2 (en) | 2020-03-17 |
| WO2019022968A1 (en) | 2019-01-31 |
| US11153343B2 (en) | 2021-10-19 |
| US20190036965A1 (en) | 2019-01-31 |
| US20220141250A1 (en) | 2022-05-05 |
| CN111133427A (zh) | 2020-05-08 |
| US20200213350A1 (en) | 2020-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111133427B (zh) | 生成和分析网络配置文件数据 | |
| US10581907B2 (en) | Systems and methods for network access control | |
| US10305904B2 (en) | Facilitating secure network traffic by an application delivery controller | |
| US10630724B2 (en) | Systems and methods for network vulnerability assessment and protection of Wi-fi networks using a cloud-based security system | |
| US20200195677A1 (en) | Network addresses with encoded dns-level information | |
| US9838434B2 (en) | Creating and managing a network security tag | |
| US20180316767A1 (en) | Facilitating a secure 3 party network session by a network device | |
| US11991268B2 (en) | Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows | |
| EP4014425B1 (en) | Secure publish-subscribe communication methods and apparatus | |
| US20190158467A1 (en) | Systems and methods for improving HTTPS security | |
| US20170359344A1 (en) | Network-visitability detection control | |
| US10587634B2 (en) | Distributed denial-of-service attack detection based on shared network flow information | |
| US10419411B2 (en) | Network-visitability detection | |
| Park et al. | Session management for security systems in 5g standalone network | |
| US11838267B2 (en) | Distributed identity-based firewall policy evaluation | |
| WO2023078106A1 (zh) | 加密流量的访问控制方法、装置及系统 | |
| WO2023052005A1 (en) | Methods and systems of operating software-defined networks | |
| WO2023052006A1 (en) | Methods and systems of operating software-defined networks | |
| Kurdziel et al. | Information security trades in tactical wireless networks | |
| KR20120059873A (ko) | 스푸핑 방지를 위한 인증 방법, 인증 서버 및 인증 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |