CN112020862A - 在远程网络上标识设备 - Google Patents
在远程网络上标识设备 Download PDFInfo
- Publication number
- CN112020862A CN112020862A CN201880077369.9A CN201880077369A CN112020862A CN 112020862 A CN112020862 A CN 112020862A CN 201880077369 A CN201880077369 A CN 201880077369A CN 112020862 A CN112020862 A CN 112020862A
- Authority
- CN
- China
- Prior art keywords
- network
- address space
- private address
- remote private
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/18—Network protocols supporting networked applications, e.g. including control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
Abstract
设备标识模块标识远程网络上的设备,其中远程网络可以使用网络地址转换技术。设备标识模块可以接收远程网络上的设备列表。可由设备分类模块至少部分地基于用于远程网络的设备分类以及一个或多个动态主机配置协议(DHCP)信息、远程网络上的网络地址转换中使用的端口序列以及远程网络上执行的实时统一资源定位符(URL)检查来标识远程网络上中的设备。
Description
技术领域
本公开总体上涉及网络系统,并且更具体地涉及在利用诸如家庭网络之类的专用地址空间(private address space)的远程网络上标识网络设备。
背景技术
“物联网”(IoT)是用于描述包括许多不同类型的设备(传统计算机和过去不能进行网络通信的设备)的网络的术语。IoT中的“物(thing)”可以是能够收集数据并经由网络进行数据通信的任何类型的设备。这种设备的示例包括智能家用电器、传感器、生物芯片、可植入医疗设备和基于车辆的设备。IoT设备可以为智能家居、智能电网、智能工厂、智能城市、智能交通系统等中的设备提供控制和自动化。
为IoT设备和远程网络上的其他设备提供安全性和/或控制可能是困难的。困难的一个原因是,在从远程网络外部(例如,通过远程安全性、控制或网络智能平台)监视业务流时,标识设备可能具有挑战性。
发明内容
系统和方法实现(i)通过连接到广域网的设备标识模块,接收网络设备列表,其中,所述网络设备列表包括用于在远程专用地址空间上连接的一个或多个设备中的每个设备的条目,(ii)通过所述设备标识模块,观察所述广域网中的至少一个网络分组,所述至少一个网络分组源自在所述远程专用地址空间网络上连接的、并且在所述网络设备列表中具有条目的所述一个或多个设备中的第一设备,并且(iii)通过所述设备标识模块,至少部分基于由以下内容组成的组中的至少一项,标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目:(a)用于所述远程专用地址空间网络的动态主机配置协议(DHCP)信息,(b)在所述远程专用地址空间网络上的网络地址转换(NAT)中使用的端口序列,以及(c)在所述远程专用地址空间网络上执行的实时统一资源定位符(URL)检查。
附图说明
为了更好地理解本发明的主题,可以参考附图,其中:
图1是示出根据本发明的一个实施例的用于标识远程网络上的设备的示例系统的框图。
图2是示出根据本发明的一个实施例的用于标识远程网络上的设备的方法的操作的流程图。
图3是可以在其上执行本发明主题的实施例的计算机系统的示例实施例的框图。
具体实施方式
在本发明的示例实施例的以下详细描述中,参考形成其一部分的附图,并且其中通过图示的方式示出了可以实践本发明的具体示例实施例。足够详细地描述了这些实施例以使本领域技术人员能够实践本发明的主题,并且应该理解,可以利用其他实施例,并且可以在不脱离本发明主题的范围的情况下进行逻辑、机械、电气和其他改变。
以下详细描述的一些部分是根据对计算机存储器内的数据比特的操作的算法和符号表示来呈现的。这些算法描述和表示是数据处理领域的技术人员用来最有效地将他们工作的实质传达给本领域其他技术人员的方式。这里的算法通常被认为是导致期望结果的自洽的步骤序列。步骤是需要物理操纵物理量的步骤。通常,尽管不是必须的,这些量采用能够被存储、传输、组合、比较和以其他方式操纵的电信号或磁信号的形式。有时,主要出于通用的原因,已经证明将这些信号称为比特、值、元素、符号、字符、项、数字等是方便的。然而,应该记住,所有这些以及类似术语都应与适当的物理量相关联,并且仅仅是应用于这些量的方便标签。除非从以下讨论中明确另作说明,否则诸如“处理”或“计算”或“运算”或“确定”或“显示”等术语指计算机系统或类似的计算设备的动作和过程,其将表示为计算机系统的寄存器和存储器内的物理(例如,电子)量的数据操纵并变换为类似地表示为计算机系统存储器或寄存器或其他这样的信息存储、传输或显示设备内的物理量的其他数据。
在图中,始终使用相同的附图标记来指代出现在多个图中的相同组件。可以用相同的附图标记或标签来指代信号和连接,并且将从其在说明书的上下文中的使用中清楚实际含义。通常,对于给定项目或本发明的一部分,附图标记的第一位数字应对应于首先发现该项目或部分的图的编号。
各种实施例的描述仅解释为示例,并未描述本发明主题的每个可能的实例。使用当前或未来技术的组合可以实现许多替代方案,这仍然落在权利要求的范围内。因此,以下详细描述不应被视为具有限制意义,并且本发明主题的范围仅由所附权利要求限定。
本发明的实施例包括设备标识模块,该设备标识模块可以使用网络流统计信息以及可选地使用来自诸如家庭网络之类的远程专用地址空间(例如“本地”)网络上的网络监控器加密狗的数据,来对专用地址空间网络上的设备进行分类,以便可以将它们标识为特定设备,诸如特定家庭设备。设备标识模块可以是为专用地址空间网络提供远程安全和/或控制服务的系统的一部分。为了以有效的方式提供此类服务,可以使用网络流统计信息和使用流统计信息确定的分类来标识专用地址空间网络上的设备。标识设备后,便可以分析与特定设备关联的业务流。如本文所使用的,标识可以包括将未知设备映射到网络中的特定单个设备。分类可以包括应用机器学习算法,该算法允许将未知设备分类为一组已知的设备类别或设备类型。
使这种标识更加困难的一个因素是网络地址转换(NAT)的使用。因特网协议地址空间是有限的,因此每个专用地址空间网络(例如,在家庭中等)通常使用本地地址空间,例如,192.168.1.x和NAT。路由器或充当网关路由器的其他设备采用NAT来允许家庭中的任何设备与更广泛的因特网通信。NAT通过用网关设备(例如路由器等)的IP地址重写从本地设备发送的/发送到本地设备的网络分组的IP报头中的每个本地设备的因特网协议(IP)地址,并使用TCP端口号在业务返回时对业务进行解复用(demultiplex)来实现此目的。下表1说明了示例NAT表。
表1
当要将网络分组从专用地址空间网络中继到远程网络时,网关设备使用NAT将专用地址空间IP地址转换为网关设备IP地址(例如35.42.105.19),并将分组的端口映射到NAT端口。例如,假设Jon的iPad正在经由本地端口751与cnn.com通信。传出分组的源IP地址已映射到网关IP地址(表1中的NAT IP地址)。传出分组的端口映射到唯一的端口号,该端口号可以经由NAT表关联到Jon的iPad。业务返回时(例如,来自cnn.com),路由器会查看端口号(例如,21751),以将其路由到端口751上的Jon的iPad。
从上面可以看出,可能难以利用专用地址空间网络上的特定设备、远程(例如,从专用地址空间网络外部,诸如通过因特网)标识专用地址空间网络上的网络设备并关联网络业务(在具有公共地址空间(例如因特网)的更广泛的网络上观察到),因为专用地址空间网络上的所有网络设备似乎都具有与专用地址空间网络上的网关设备相同的IP地址。
远程系统可以使用本文描述的实施例的系统和方法来标识专用地址空间网络上的设备。
图1是示出根据实施例的用于标识远程网络上的设备的示例系统100的框图。在一些实施例中,系统100可以包括被配置为通信地连接路由器104、IoT设备110-112、智能手机108和116、计算机118和网络监控器加密狗120的专用地址空间(例如,“本地”)网络102。网络监控器加密狗120可以包括网络业务监控器132和网络设备列表134。系统100可以进一步包括公共地址空间(例如,“广域(broad)”)网络122、设备标识模块124和分类数据库126。公共地址空间网络122可以包括流统计信息收集器114,并且可以通信地连接到路由器104,路由器104可以与专用地址空间网络102和公共地址空间网络122对接。公共地址空间网络122还可以通信地连接到设备标识模块124和分类数据库126。分类数据库126可以存储网络流统计信息106和分类的设备列表128。在一些实施例中,设备标识模块124和分类数据库126可以包括平台136。
专用地址空间网络102能够促进路由器104、智能手机108和116、IoT设备110-112、计算机118和网络监控器加密狗120之间的数据(例如网络分组等)交换。专用地址空间网络102可以是有线网络、无线网络或两者的组合。在一些实施例中,专用地址空间网络102可以是家庭网络。在替代实施例中,网络102可以是小型企业中的网络或公司网络。专用地址空间网络102包括利用专用IP地址空间的网络。尽管不限制专用地址空间网络102的地理规模/空间范围,但是可以包括专用地址空间网络102的网络的示例包括但不限于纳米级网络、近场网络、身体局域网(body area netwok,BAN)、个人局域网(PAN)、近距离局域网(NAN)、局域网(LAN)、无线局域网(WLAN)、家庭区域网(HAN)、存储区域网(SAN)和校园区域网(CAN)。在另一个实施例中,专用地址空间网络102是允许数据通过串行或并行通信信道(例如,铜线、光纤、计算机总线、无线通信信道等)物理传输的任何介质。
公共地址空间网络122能够促进路由器104、设备标识模块124和分类数据库126之间的数据(例如,网络分组等)交换。公共地址空间网络122可以是一个或多个有线网络、无线网络或两者的组合的任何集合,它们覆盖的范围比专用地址空间网络102更大。在某些方面,公共地址空间网络122可以是组成因特网的一个或多个网络。公共地址空间网络122包括利用公共IP地址空间的网络。尽管公共地址空间网络122的地理规模/空间范围不受限制,但是可以包括公共地址空间网络122的网络的示例包括但不限于骨干网、城域网(MAN)、广域网(WAN)、全局区域网(GAN)、公共交换手机网(PSTN)和因特网区域网(IAN)。在另一个实施例中,公共地址空间网络122是允许数据通过串行或并行通信信道(例如,铜线、光纤、计算机总线、无线通信信道等)物理传输的任何介质。
IoT设备(例如,IoT设备110、112)可以是包括处理器和网络接口以经由专用地址空间网络102和/或公共地址空间网络122传送数据的任何类型的设备。此类设备的示例包括但不限于智能电视、智能家用电器、传感器、生物芯片、办公设备、可植入医疗设备和基于车辆的设备。
计算机118可以是服务器计算机、膝上型计算机、平板计算机、机顶盒、视频游戏控制台或具有使设备能够执行程序的处理器和存储器的任何其他设备。
智能手机108和116可以是任何类型的智能手机。智能手机的示例包括基于Android的智能手机、iPhone和Windows手机。实施例不限于任何特定类型的智能手机。智能手机108可以是与智能手机116相同类型的手机,或者可以是不同类型的手机。
路由器104能够在专用地址空间网络102和公共地址空间网络122之间转发网络数据(例如,分组)。路由器104可以是独立路由器、无线路由器或接入点、调制解调器/路由器或在两个网络之间转发数据的任何其他设备。在一些实施例中,路由器104能够在利用第一寻址方案(诸如,专用IP地址空间)的第一网络(例如,专用地址空间网络102)或利用第二寻址方案(诸如,公共地址空间)的第二网络(例如,公共地址空间网络122)或子网络之间转发分组。例如,如本文中进一步描述的,路由器104可以在分组通过路由器104传输时,通过修改分组的IP头中的网络地址信息,来将一个IP地址空间重新映射到另一个IP地址空间中来执行NAT。
网络监控器加密狗120可以是类似于IoT设备110的计算设备112。网络监控器加密狗120包括一个或多个处理器、一个或多个存储设备以及网络接口设备。网络监控器加密狗120可以经由网络接口设备和通信连接(无线、有线或有线和无线的组合)耦合到网络102。网络监控器加密狗120的处理器可以执行网络业务监控器132,该网络业务监控器132可以监控(也称为监听(snooping)或嗅探)网络102上的分组,并使用从监控中获得的数据来构建网络设备列表134并在网络监控器加密狗120的存储设备上存储网络设备列表134。网络业务监控器132还可通过扫描专用地址空间网络102的IP地址范围并将探测包(也称为“平(pinging)”或“端口扫描”)发送到专用地址空间网络102上的每个设备IP地址来构建网络设备列表。在一些实施例中,网络业务监控器132被提供为存储在存储设备上的处理器可执行指令,其包括网络监控器加密狗120的功能、例程、方法和/或子程序。网络设备列表134可以是网络监控器加密狗120在网络102上发现的设备的设备名称列表以及它们相关联的媒体访问控制(MAC)地址。在一些实施例中,网络监控器加密狗120可以响应从诸如设备标识模块124之类的远程源接收到的命令,这将在下面进一步描述。网络设备列表134通常将包括专用地址空间网络102上已标识或发现的设备的IP和MAC地址,以及任何开放端口,并且还可包括在专用地址空间网络102上观察到的其他标识信息(例如浏览器代理字符串、动态主机配置协议(DHCP)请求等)。这些可以用来标识专用地址空间网络102内的设备。
设备标识模块124基于从专用地址空间网络102接收的网络业务来观察网络流统计信息106,如在更广泛的公共地址空间网络122中所看到的。即使当由于使用NAT而隐藏了设备的实际网络地址时,也可以将网络流统计信息与以下所述的其他技术一起使用,以标识远程网络(例如,专用地址空间网络102)中的设备。例如,设备标识模块124可以将网络流统计信息106与其他数据(诸如专用地址空间网络102的网络设备列表134)一起使用,以对专用地址空间网络102上的设备进行标识和分类,而无需了解专用地址空间网络102中的设备的实际IP地址或MAC地址。例如,可以将机器学习算法应用于网络流统计信息106,以在一组已知的设备类别或设备类型中对未知设备进行分类。可以在存储在分类数据库126中的分类的设备列表128中维护分类设备。设备标识模块124可以是独立模块,也可以是另一个系统或平台136的组件。例如,设备标识模块124可以是网络安全系统、网络控制系统、网络智能平台等的组件。平台136可以提供附加服务,诸如恶意软件检测、拒绝服务攻击检测、僵尸网络成员资格检测等。这样的服务可以使用由设备标识模块124提供的设备标识,以便提供这样的附加服务。在一些实施例中,设备标识模块124被提供为存储在存储设备上的处理器可执行指令,其包括计算设备和/或平台136的功能、例程、方法和/或子程序。
在一些实施例中,网络流统计信息106可以由流统计信息收集器114收集。例如,提供到更广泛的公共地址空间网络122的连接的因特网服务提供商(ISP)可以包括流统计信息收集器114,其作为ISP路由器的一部分,用于将经由路由器104接收到的分组从专用地址空间网络102路由到由ISP管理的更广范的公共地址空间网络122。例如,位于ISP网络边缘的路由器可以包括流统计信息收集器114。可替代地,流统计信息收集器114可以与ISP路由器分开。
在替代实施例中,被描述为由网络监控器加密狗120提供的功能可以分布到图1所示的其他组件。例如,计算机118或路由器104可以执行网络监控器加密狗120的一些或全部功能。
应当注意,尽管在图1中仅示出了一个专用地址空间网络102,但是设备标识模块124可以从许多不同的专用地址空间网络102接收数据。
以图1所示的设备的数量和类型为例。受益于本公开的本领域技术人员将理解,网络102可以包括比图1所示的更多或更少的设备和设备类型。
图2是示出根据实施例的用于标识远程网络上的设备的方法的操作的流程图200。
在框202,设备标识模块124可以接收用于专用地址空间网络102的网络设备列表134。如上所述,网络设备列表134可以包括专用地址空间网络102上的设备列表以及设备的MAC地址。在一些实施例中,框202可以被称为从远程网络接收网络设备列表134,因为专用地址空间网络102远离设备标识模块124。
在框204,设备标识模块124可以可选地确定专用地址空间网络102的网络流统计信息。例如,可以从诸如路由器104或向专用地址空间网络102提供网络服务的ISP的路由器之类的网关设备收集流统计信息。例如,ISP可以在路由器中或作为单独的设备包括流统计信息收集器114。流统计信息可以用于分类和/或标识设备,如本文所述。
在框206,可以进行检查以确定专用地址空间网络102上是否存在任何未标识的设备。例如,设备标识模块124可以检查以确定在执行了框202-204的操作之后,网络设备列表134中的任何设备是否仍然未被标识。
当在框206处的检查确定没有设备未被标识时(即,网络设备列表134中的所有设备都被标识),则该方法结束。当在框206处的检查确定在专用地址空间网络102上存在一个或多个未标识的设备时(即,在网络设备列表134中的至少一个设备未被标识),则该方法前进至框208。
在框208,设备标识模块124尝试使用DHCP数据来标识设备。在一些实施例中,专用地址空间网络102上的计算机上或网络监控器加密狗120(例如,网络业务监控器132)上的软件可以监听DHCP请求。因为DHCP请求是广播分组,所以网络上的所有工作站都可以看到DHCP请求。DHCP请求可以包含称为DHCP客户端标识符的可选参数。DHCP客户端标识符通常由不同类型的设备以系统的方式设置。例如,DHCP客户端标识符“ANDROID-XXXXYYYY”可以指示Android设备,“乔恩(Jon)的iPhone”可以指示iPhone等。因此,DHCP客户端标识符可以包括可以使用的信息,以及使用网络流统计信息和网络设备列表确定的设备指纹数据,以便远程标识和/或分类专用地址空间网络上的网络设备。可以将DHCP数据从专用地址空间网络102上的计算机118或网络监控器加密狗120转发到设备标识模块124,以用于标识专用地址空间网络102上的设备。
在框210,可以进行检查以确定专用地址空间网络102上是否存在任何未标识的设备。例如,设备标识模块124可以检查以确定在执行了框202-208的操作之后,网络设备列表134中的任何设备是否仍然未被标识。
当在框210处的检查确定没有设备仍未被标识时(即,网络设备列表134中的所有设备都被标识),则该方法结束。当在框210处的检查确定在专用地址空间网络102上存在一个或多个未标识的设备时(即,在网络设备列表134中的至少一个设备未被标识),则该方法前进至框212。
在框212,设备标识模块124可以使用网络业务中的端口号序列来尝试标识设备。该技术基于以下事实:设备通常将顺序端口号用作其源端口,并且路由器(例如,路由器104)通常会在NAT期间尝试分配相同的源端口。因此,在表1中描述的示例中,乔恩的iPad可以位于端口750、751、752等上,而比尔(Bill)的iPad可以位于端口1546、1547、1548等上。端口号的群集可用于标识专用地址空间网络102上的特定设备以及与该设备关联的网络业务。
在框214,可以进行检查以确定在专用地址空间网络上是否存在任何未标识的设备。例如,设备标识模块124可以检查以查看在执行了框202-212的操作之后,网络设备列表134中的任何设备是否仍然未被标识。
当在框214处的检查确定没有设备仍然未被标识时(即,网络设备列表134中的所有设备都被标识),则该方法结束。当在框214处的检查确定在专用地址空间网络102上存在一个或多个未标识的设备时(即,在网络设备列表134中的至少一个设备未被标识),则该方法前进至框216。
在框216,设备标识模块124可以使用实时URL(统一资源定位符)检查来标识设备。作为示例,在框212之后,当设备标识模块124试图对网络流进行分类和/或基于网络流来标识设备时,可以留下两个或三个设备选择。作为示例,设备标识模块124可以确定存在从专用地址空间网络102上的三个设备(称为这些P、Q和R)之一到域“samsung.com”的网络流。然后,设备标识模块124可以向网络监控器加密狗120发出请求,以短暂地监听属于这三个设备P、Q和R的专用地址空间网络102上的分组。可替代地,设备标识模块124可以向网络监控器加密狗120发出请求,以短暂地监听专用地址空间网络102上的所有分组。响应于该请求,网络监控器加密狗120可以检查三个设备P、Q、R中的哪个当前连接到域“samsung.com”,并且向设备标识模块124报告与该设备相关联的标识细节。在框216完成操作之后,该方法结束。在实施例中,任何未标识的设备被分类为“未知”。
在一些实施例中,在本文描述的方法结束之后,可以继续分析与由该方法标识的特定设备相关联的业务流。例如,平台136可以利用网络设备列表134上的所标识的设备来提供服务,诸如恶意软件检测、拒绝服务攻击检测、僵尸网络成员资格检测等。
受益于本公开的本领域技术人员将理解,图2所示的操作顺序可以与所示的顺序不同。例如,基于难度、资源成本和与顺序相关联的益处,各种实施例可以使用与图2所示的顺序不同的顺序。
上述操作可以与其他设备分类和/或标识方法结合使用。例如,设备指纹或分组检查可以用于分类和/或标识专用地址空间网络102上的设备。可以代替这种设备指纹或分组检查或者除了这种设备指纹或分组检查之外,使用上述操作。例如,设备标识模块124可以使用网络流统计信息来确定专用地址空间网络102上的每个设备的设备指纹。设备指纹以及网络设备列表134可用于标识特定设备。另外,设备标识模块124可以执行分组检查以尝试标识设备。例如,如果分组包括标识在设备上使用的浏览器的浏览器字符串,则该浏览器字符串可以用于将设备分类为某种类型。但是,网络上可能有不止一个相同类型的设备,因此如上所述,可以使用其他方式来区分两个相同类型的设备。
图3是计算机系统300的示例实施例的框图,本发明主题的实施例可以在该计算机系统300上运行。图3的描述旨在提供合适的计算机硬件以及可结合用于实现本发明的合适的计算环境的简要一般描述。在一些实施例中,在由计算机运行的诸如程序模块的计算机可运行指令的一般上下文中描述了本发明的主题。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。
如上所述,如本文所公开的系统可以分布在许多物理主机上。因此,图3的许多系统和子系统可以涉及实现本文公开的发明主题。
此外,本领域技术人员将理解,本发明可以用其他计算机系统配置来实践,包括手持设备、多处理器系统、基于微处理器的或可编程的消费电子产品、智能手机、网络PC、小型计算机、大型计算机等。本发明的实施例还可以在分布式计算机环境中实践,其中任务由通过通信网络链接的I/O远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
参考图3,示例实施例扩展到计算机系统300的示例形式的机器,在该机器内可以运行用于使机器执行本文所讨论的任何一种或多种方法的指令。在替代示例实施例中,机器作为独立设备操作或者可以连接(例如,联网)到其他机器。在联网部署中,机器可以在服务器-客户端网络环境中以服务器或客户端机器的能力操作,或者作为对等(或分布式)网络环境中的对等机器操作。进一步,虽然仅示出了单个机器,但术语“机器”还应被视为包括单独或联合运行一组(或多组)指令以执行本文所讨论的方法的任何一种或多种的任何机器集合。
示例计算机系统300可以包括处理器302(例如,中央处理单元(CPU),图形处理单元(GPU)或两者),主存储器304和静态存储器306,它们经由总线308彼此通信。计算机系统300还可以包括视频显示器单元310(例如,液晶显示器(LCD)或阴极射线管(CRT))。在示例实施例中,计算机系统300还包括字母-数字输入设备312(例如,键盘)、用户界面(UI)导航设备或光标控制设备314(例如,鼠标)、磁盘驱动单元316、信号生成设备318(例如,扬声器)和网络接口设备320中的一个或多个。
磁盘驱动器单元316包括机器可读介质322,其上存储有一组或多组指令324和由本文所述的任何一种或多种方法或功能实现或使用的数据结构(例如,软件指令)。指令324还可以在由计算机系统300执行期间完全或至少部分地驻留在主存储器304内或处理器302内,主存储器304和处理器302也构成机器可读介质。
虽然机器可读介质322在示例实施例中被示为单个介质,但是术语“机器可读介质”可以包括存储一个或多个指令的单个介质或多个介质(例如,集中式或分布式数据库,或相关联的高速缓存和服务器)。术语“机器可读介质”还应被视为包括能够存储、编码或携带用于由机器运行的并且使机器执行本发明的实施例的任何一个或多个方法的指令的,或者能够存储、编码或携带由这些指令使用或与这些指令相关联的数据结构的任何有形介质。因此,术语“机器可读存储介质”应被视为包括但不限于可以以非暂时方式存储信息的固态存储器和光学和磁性介质,即,能够存储信息的介质。机器可读介质的具体示例包括非易失性存储器,包括例如半导体存储器设备(例如,可擦除可编程只读存储器(EPROM),电可擦除可编程只读存储器(EEPROM)和闪存设备);磁盘,诸如内部硬盘和可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM磁盘。
使用经由网络接口设备320的信号传输介质,并利用许多众所周知的传输协议(例如,FTP,HTTP)中的任何一种,还可以通过通信网络326来发送或接收指令324。通信网络的示例包括局域网(LAN)、广域网(WAN),互联网、移动手机网络、普通老式手机(POTS)网络和无线数据网络(例如,WiFi和WiMax网络)。术语“机器可读信号介质”应被视为包括能够存储、编码或携带用于由机器运行的指令的任何暂时无形介质,并且包括数字或模拟通信信号或其他无形介质以便于进行这种软件的通信。
在实施例中,用于标识设备(例如,IoT设备110-112、智能手机108和116、计算机118等)的方法包括连接至接收网络设备列表(例如,网络设备列表134)的广域网(例如,公共地址空间网络122)的设备标识模块(例如,设备标识模块124)。网络设备列表可以包括用于连接在远程专用地址空间网络(例如,专用地址空间网络102)上的一个或多个设备(例如,IoT设备110-112、智能手机108和116、计算机118等)中每个设备的条目。该方法包括设备标识模块,该设备标识模块观察在广域网上的网络业务(例如,至少一个网络分组),该网络业务源自连接在远程专用地址空间网络上的一个或多个设备中的第一设备,并且在网络设备列表上具有条目。设备标识模块在网络设备列表中标识与所观察到的网络分组所源自的远程专用地址空间网络上的第一设备(即,所标识的设备)相对应的条目。设备标识模块至少部分地基于由以下组成的组中的至少一项来执行标识:远程专用地址空间网络的DHCP信息、远程专用地址空间网络上NAT中使用的端口序列、在远程专用地址空间网络上执行的实时URL检查及其组合。
用于远程专用地址空间网络的DHCP信息可以包括一个或多个DHCP客户端标识符,并且该方法可以进一步包括在远程专用地址空间网络上的第二设备(例如,网络监控器加密狗120等),该第二设备监视源自于远程专用地址空间网络的请求,并将来自DHCP请求的一个或多个DHCP客户端标识符转发到设备标识模块。此外,对网络设备列表上与所观察到的分组所源自的远程专用地址空间网络上的第一设备相对应的条目的标识还可以至少部分地基于一个或多个DHCP客户端标识符。该方法还可以包括:对由连接在远程专用地址空间网络上的一个或多个设备使用的端口序列进行聚类,以及对网络设备上与所观察到的分组所源自的远程专用地址空间网络上的第一设备相对应的条目的标识可以进一步至少部分地基于聚类的端口序列。此外,该方法可以包括:确定在所述远程专用地址空间网络上多个设备未被标识,以及响应于确定多个未标识设备中的一个或多个未标识设备正在与域通信,向远程专用地址空间网络上的第二设备发出请求以发起在远程专用地址空间网络上的监听。此外,在所述网络设备列表上与所观察到的分组所源自的所述远程专用地址空间网络上的所述第一设备相对应的条目的标识包括:从所述第二设备接收指示正在与所述域通信的所述一个或多个未标识设备中的未标识设备的标识信息。在一些实施例中,该方法进一步包括通过至少部分地连续地分析源自所述第一标识设备的所述广域网中的网络分组,为所述远程专用地址空间网络上的所述第一设备提供与所述网络设备列表上所标识的条目相对应的一个或多个远程安全服务。
在另一实施例中,系统包括网络接口设备(例如,网络接口设备320)、至少一个处理器(例如,处理器302)和至少一个非暂时性计算机可读存储介质(例如,主存储器304,等)。网络接口设备被配置为将系统通信地连接到广域网(例如,公共地址空间网络122)。至少一个处理器和至少一个存储器通过总线(例如,总线308)彼此连接并且与网络接口设备连接。至少一个非暂时性计算机可读存储介质存储一个或多个处理器可执行指令(例如,指令324),处理器可执行指令在由至少一个处理器执行时提供设备标识模块(例如,设备标识模块124)。标识模块被配置为接收网络设备列表(例如,网络设备列表134),该列表包括用于在远程专用地址空间网络(例如,专用地址空间网络102)上连接的一个或多个设备(例如,IoT设备110-112、智能手机108和116、计算机118等)中的每个设备的条目。设备标识模块进一步被配置为观察在广域网上的网络业务(例如,至少一个网络分组),该网络业务源自在远程专用地址空间网络上连接的一个或多个设备中的第一设备,并且在该网络设备列表中具有条目。设备标识模块被配置为标识在所述网络设备列表上与所观察到的网络分组所源自的所述远程专用地址空间网络上的所述第一设备(即,所标识的设备)相对应的条目。设备标识模块被配置至少部分基于由以下内容组成的组中的至少一项来执行标识:用于所述远程专用地址空间网络的DHCP信息、在所述远程专用地址空间网络上的NAT中使用的端口序列、在所述远程专用地址空间网络上执行的实时URL检查及其组合。
在又一个实施例中,非暂时性计算机可读存储介质(例如,机器可读介质322等)包括可由计算机执行的一组指令(例如,指令324等)。非暂时性计算机可读存储介质包括:通过连接到广域网(例如,公共地址空间网络122)的设备标识模块(例如,设备标识模块124)接收网络设备列表(例如,网络设备列表134)的指令。网络设备列表包括用于在远程专用地址空间网络(例如,专用地址空间网络102)上连接的一个或多个设备(例如,IoT设备110-112、智能手机108和116、计算机118等)中的每个设备的条目。非易失性计算机可读存储介质还包括通过所述设备标识模块观察所述广域网中的至少一个网络业务并且在所述网络设备列表中具有条目的指令,所述网络业务源自在所述远程专用地址空间网络上连接的所述一个或多个设备中的第一设备。此外,非暂时性计算机可读存储介质包括通过所述设备标识模块标识在所述网络设备列表上与所观察到的网络分组所源自的所述远程专用地址空间网络上的所述第一设备(即,所标识的设备)相对应的条目的指令。设备标识模块至少部分基于由以下内容组成的组中的至少一项来执行标识:用于所述远程专用地址空间网络的DHCP信息、在所述远程专用地址空间网络上的NAT中使用的端口序列、在所述远程专用地址空间网络上执行的实时URL检查及其组合。
尽管已经参考具体示例实施例描述了本发明主题的概述,但是在不脱离本发明实施例的更广泛的精神和范围的情况下,可以对这些实施例做出各种修改和改变。如果事实上公开了不止一个发明或发明构思,则在不意图将本申请的范围自愿地限制于任何单个发明或发明构思的情况下,仅为了方便,本发明主题的这些实施例在本文中可以单独地或共同地称为“发明”。
从前面的描述中显见,本发明主题的某些方面不受本文所示的示例的特定细节的限制,因此预期对于本领域技术人员将会出现其他修改和应用或其等同物。因此,权利要求应该旨在覆盖不脱离本发明主题的精神和范围的所有这些修改和应用。因此,显而易见的是,本发明的主题仅由所附权利要求及其等同物限制。
提供了摘要以符合37C.F.R.§1.72(b)以允许读者快速确定技术公开的性质和要点。摘要在它不会用于限制权利要求的范围的理解下提交。
Claims (20)
1.一种用于标识设备的方法,所述方法包括:
通过连接到广域网的设备标识模块,接收网络设备列表,其中,所述网络设备列表包括用于在远程专用地址空间上连接的一个或多个设备中的每个设备的条目;
通过所述设备标识模块,观察所述广域网中的至少一个网络分组,所述至少一个网络分组源自在所述远程专用地址空间网络上连接的、并且在所述网络设备列表中具有条目的所述一个或多个设备中的第一设备;
通过所述设备标识模块,至少部分基于由以下内容组成的组中的至少一项,标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目:
用于所述远程专用地址空间网络的动态主机配置协议(DHCP)信息;
在所述远程专用地址空间网络上的网络地址转换(NAT)中使用的端口序列;以及
在所述远程专用地址空间网络上执行的实时统一资源定位符(URL)检查。
2.根据权利要求1所述的方法,其中,所述用于所述远程专用地址空间网络的DHCP信息包括一个或多个DHCP客户端标识符,并且其中,所述方法进一步包括:
通过所述远程专用地址空间网络上的第二设备,监视源自所述远程专用地址空间网络的DHCP请求;以及
通过所述第二设备,将来自所述DHCP请求的一个或多个DHCP客户端标识符转发给所述设备标识模块,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目进一步至少部分地基于所述一个或多个DHCP客户端标识符。
3.根据权利要求1所述的方法,进一步包括:
聚类由所述远程专用地址空间网络上连接的所述一个或多个设备使用的端口序列,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目进一步至少部分地基于聚类的端口序列。
4.根据权利要求1所述的方法,进一步包括:
确定在所述远程专用地址空间网络上多个设备未被标识;以及
响应于确定多个未标识设备中的一个或多个未标识设备正在与域通信,向所述远程专用地址空间网络上的第二设备发出请求,以发起在所述远程专用地址空间网络上的监听,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目包括:从所述第二设备接收指示正在与所述域通信的所述一个或多个未标识设备中的未标识设备的标识信息。
5.根据权利要求1所述的方法,其中,所述远程专用地址空间网络上的路由器利用网络地址转换。
6.根据权利要求1所述的方法,其中,连接在所述远程专用地址空间网络上的所述一个或多个设备包括至少一个物联网(IoT)设备。
7.根据权利要求1所述的方法,其中,所述设备标识模块从连接在所述远程专用地址空间网络上的网络监控器加密狗接收所述网络设备列表。
8.根据权利要求1所述的方法,进一步包括:通过至少部分地连续地分析源自所述第一标识设备的所述广域网中的网络分组,为对应于所述网络设备列表上所标识的条目的所述远程专用地址空间网络上的所述第一设备提供一个或多个远程安全服务。
9.一种系统,包括:
网络接口设备,被配置为将所述系统通信地连接到广域网;
至少一个处理器,通过总线连接到所述网络接口设备;
至少一个非暂时性计算机可读存储介质,通过总线连接到所述网络接口设备和所述至少一个处理器,并存储一个或多个处理器可执行指令,所述处理器可执行指令包括以下指令:当由所述至少一个处理器执行时提供设备标识模块,所述设备标识模块被配置为:
接收网络设备列表,其中,所述网络设备列表包括用于在远程专用地址空间上连接的一个或多个设备中的每个设备的条目;
观察所述广域网中的至少一个网络分组,所述至少一个网络分组源自在所述远程专用地址空间网络上连接的、并且在所述网络设备列表中具有条目的所述一个或多个设备中的第一设备;
至少部分基于由以下内容组成的组中的至少一项,标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目:
用于所述远程专用地址空间网络的动态主机配置协议(DHCP)信息;
在所述远程专用地址空间网络上的网络地址转换(NAT)中使用的端口序列;以及
在所述远程专用地址空间网络上执行的实时统一资源定位符(URL)检查。
10.根据权利要求9所述的系统,其中,所述用于所述远程专用地址空间网络的DHCP信息包括一个或多个DHCP客户端标识符,并且其中,所述设备标识模块进一步被配置为:
从所述远程专用地址空间网络上的第二设备,从到所述设备标识模块的源自所述远程专用地址空间网络的DHCP请求接收所述一个或多个DHCP客户端标识符;以及
进一步基于所述一个或多个DHCP客户端标识符,标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目。
11.根据权利要求9所述的系统,其中,所述设备标识模块进一步被配置为:
聚类由所述远程专用地址空间网络上连接的所述一个或多个设备使用的端口序列;以及
进一步基于聚类的端口序列,标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目。
12.根据权利要求9所述的系统,其中,所述设备标识模块进一步被配置为:
确定在所述远程专用地址空间网络上多个设备未被标识;以及
响应于确定多个未标识设备中的一个或多个未标识设备正在与域通信,向所述远程专用地址空间网络上的第二设备发出请求,以发起在所述远程专用地址空间网络上的监听,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目包括:从所述第二设备接收指示正在与所述域通信的所述一个或多个未标识设备中的未标识设备的标识信息。
13.根据权利要求9所述的系统,其中,所述远程专用地址空间网络上的路由器利用网络地址转换。
14.根据权利要求9所述的系统,其中,连接在所述远程专用地址空间网络上的所述一个或多个设备包括至少一个物联网(IoT)设备。
15.根据权利要求9所述的系统,其中,所述设备标识模块被配置为从连接在所述远程专用地址空间网络上的网络监控器加密狗接收所述网络设备列表。
16.根据权利要求9所述的系统,所述处理器可执行指令包括以下指令,在由所述至少一个处理器执行时提供平台,所述平台被配置为连续地分析所述广域网中源自所述第一标识设备的网络分组,以为所述第一标识设备提供一个或多个远程安全服务。
17.一种非暂时性计算机可读存储介质,包括一组可由计算机执行的指令,所述非暂时性计算机可读存储介质包括:
通过连接到广域网的设备标识模块接收网络设备列表的指令,其中,所述网络设备列表包括用于在远程专用地址空间上连接的一个或多个设备中的每个设备的条目;
通过所述设备标识模块,观察所述广域网中的至少一个网络分组的指令,所述至少一个网络分组源自在所述远程专用地址空间网络上连接的、并且在所述网络设备列表中具有条目的所述一个或多个设备中的第一设备;
通过所述设备标识模块,至少部分基于由以下内容组成的组中的至少一项,标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目的指令:
用于所述远程专用地址空间网络的动态主机配置协议(DHCP)信息;
在所述远程专用地址空间网络上的网络地址转换(NAT)中使用的端口序列;以及
在所述远程专用地址空间网络上执行的实时统一资源定位符(URL)检查。
18.根据权利要求17所述的非暂时性计算机可读存储介质,其中,用于所述远程专用地址空间网络的DHCP信息包括一个或多个DHCP客户端标识符,并且进一步包括:
通过所述远程专用地址空间网络上的第二设备,监视源自所述远程专用地址空间网络的DHCP请求的指令;以及
通过所述第二设备,将来自所述DHCP请求的一个或多个DHCP客户端标识符转发给所述设备标识模块的指令,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目进一步至少部分地基于所述一个或多个DHCP客户端标识符。
19.根据权利要求17所述的非暂时性计算机可读存储介质,进一步包括:
聚类由所述远程专用地址空间网络上连接的所述一个或多个设备使用的端口序列的指令,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目进一步至少部分地基于聚类的端口序列。
20.根据权利要求17所述的非暂时性计算机可读存储介质,进一步包括:
确定在所述远程专用地址空间网络上多个设备未被标识的指令;以及
响应于确定多个未标识设备中的一个或多个未标识设备正在与域通信,向所述远程专用地址空间网络上的第二设备发出请求,以发起在所述远程专用地址空间网络上的监听的指令,
其中,所述标识对应于所观察到的网络分组所源自的、所述远程专用地址空间网络上的所述第一设备的所述网络设备列表上的条目包括:从所述第二设备接收指示正在与所述域通信的所述一个或多个未标识设备中的未标识设备的标识信息。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762592980P | 2017-11-30 | 2017-11-30 | |
US62/592,980 | 2017-11-30 | ||
US16/205,074 US10862862B2 (en) | 2017-11-30 | 2018-11-29 | Identifying devices on a remote network |
US16/205,074 | 2018-11-29 | ||
PCT/US2018/063243 WO2019108892A1 (en) | 2017-11-30 | 2018-11-30 | Identifying devices on a remote network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112020862A true CN112020862A (zh) | 2020-12-01 |
CN112020862B CN112020862B (zh) | 2022-09-23 |
Family
ID=66632865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880077369.9A Active CN112020862B (zh) | 2017-11-30 | 2018-11-30 | 在远程网络上标识设备的方法、系统和计算机可读存储介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10862862B2 (zh) |
CN (1) | CN112020862B (zh) |
WO (1) | WO2019108892A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115883509A (zh) * | 2021-09-27 | 2023-03-31 | 瞻博网络公司 | 使用源标识符进行源标识的边缘设备 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CZ2014126A3 (cs) * | 2014-03-03 | 2015-09-16 | AVAST Software s.r.o. | Způsob a sestava pro zabezpečení ovládání bankovního účtu |
WO2020118376A1 (en) * | 2018-12-14 | 2020-06-18 | Newsouth Innovations Pty Limited | A network device classification apparatus and process |
US12009986B2 (en) * | 2022-04-01 | 2024-06-11 | Forescout Technologies, Inc. | Proactive inspection technique for improved classification |
US11831715B1 (en) * | 2022-10-19 | 2023-11-28 | Dell Products L.P. | Scalable ethernet bunch of flash (EBOF) storage system |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1582560A (zh) * | 2001-09-28 | 2005-02-16 | 高通股份有限公司 | 使用专用域名服务器联系专用网络上一设备的方法和系统 |
US20070055753A1 (en) * | 2005-09-07 | 2007-03-08 | Robb Harold K | Device identification |
CN101127631A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 针对网络中设备实现配置管理的方法及系统 |
CN101243647A (zh) * | 2004-04-28 | 2008-08-13 | 泰克诺沃斯公司 | 用来在以太无源光网络中l3-感知交换的方法和设备 |
US20100169446A1 (en) * | 2008-12-19 | 2010-07-01 | Watchguard Technologies, Inc. | Cluster Architecture and Configuration for Network Security Devices |
US20170054594A1 (en) * | 2008-08-11 | 2017-02-23 | Chris DeCenzo | Virtual device systems and methods |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7337217B2 (en) * | 2000-07-21 | 2008-02-26 | Samsung Electronics Co., Ltd. | Architecture for home network on world wide web |
US7191331B2 (en) * | 2002-06-13 | 2007-03-13 | Nvidia Corporation | Detection of support for security protocol and address translation integration |
US7502847B2 (en) * | 2003-10-29 | 2009-03-10 | Cisco Technology, Inc. | Method of providing views of a managed network that uses network address translation |
KR100640561B1 (ko) * | 2004-08-02 | 2006-10-31 | 삼성전자주식회사 | 근거리 무선 통신 시스템, 근거리 무선 통신 방법 및 이를수행하는 기록매체 |
US8447843B2 (en) * | 2006-09-25 | 2013-05-21 | Yoics, Inc. | System, method and computer program product for identifying, configuring and accessing a device on a network |
US8180892B2 (en) * | 2008-12-22 | 2012-05-15 | Kindsight Inc. | Apparatus and method for multi-user NAT session identification and tracking |
US8942233B2 (en) * | 2009-09-08 | 2015-01-27 | Wichorus, Inc. | Method and apparatus for performing network address translation |
JP4802295B1 (ja) * | 2010-08-31 | 2011-10-26 | 株式会社スプリングソフト | ネットワークシステム及び仮想プライベート接続形成方法 |
CN102148879A (zh) * | 2010-10-22 | 2011-08-10 | 华为技术有限公司 | 端口映射方法、装置与通信系统 |
US8719449B2 (en) * | 2010-11-29 | 2014-05-06 | Telefonaktiebolaget L M Ericsson (Publ) | Identification of a private device in a public network |
US10257159B2 (en) * | 2014-12-04 | 2019-04-09 | Belkin International, Inc. | Methods, systems, and apparatuses for providing a single network address translation connection for multiple devices |
CA2966613C (en) * | 2014-12-11 | 2021-01-19 | Bitdefender Ipr Management Ltd | User interface for security protection and remote management of network endpoints |
-
2018
- 2018-11-29 US US16/205,074 patent/US10862862B2/en active Active
- 2018-11-30 WO PCT/US2018/063243 patent/WO2019108892A1/en active Application Filing
- 2018-11-30 CN CN201880077369.9A patent/CN112020862B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1582560A (zh) * | 2001-09-28 | 2005-02-16 | 高通股份有限公司 | 使用专用域名服务器联系专用网络上一设备的方法和系统 |
CN101243647A (zh) * | 2004-04-28 | 2008-08-13 | 泰克诺沃斯公司 | 用来在以太无源光网络中l3-感知交换的方法和设备 |
US20070055753A1 (en) * | 2005-09-07 | 2007-03-08 | Robb Harold K | Device identification |
CN101127631A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 针对网络中设备实现配置管理的方法及系统 |
US20170054594A1 (en) * | 2008-08-11 | 2017-02-23 | Chris DeCenzo | Virtual device systems and methods |
US20100169446A1 (en) * | 2008-12-19 | 2010-07-01 | Watchguard Technologies, Inc. | Cluster Architecture and Configuration for Network Security Devices |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115883509A (zh) * | 2021-09-27 | 2023-03-31 | 瞻博网络公司 | 使用源标识符进行源标识的边缘设备 |
Also Published As
Publication number | Publication date |
---|---|
US10862862B2 (en) | 2020-12-08 |
US20190166091A1 (en) | 2019-05-30 |
WO2019108892A1 (en) | 2019-06-06 |
CN112020862B (zh) | 2022-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112020862B (zh) | 在远程网络上标识设备的方法、系统和计算机可读存储介质 | |
CN111771364B (zh) | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 | |
CN110115015B (zh) | 通过监测其行为检测未知IoT设备的系统和方法 | |
US9451036B2 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
CN110636151B (zh) | 一种报文处理方法、装置、防火墙及存储介质 | |
US10701623B2 (en) | Method and apparatus for Wi-Fi device type identification and device type based diagnostics and optimization | |
CN106899500B (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
CN111131544A (zh) | 一种实现nat穿越的方法 | |
CN107517138A (zh) | 设备检测方法及装置 | |
CN106507414B (zh) | 报文转发方法及装置 | |
CN103916491A (zh) | 基于nat444架构的动态地址映射方法及装置 | |
EP4167524A1 (en) | Local network device connection control | |
US8903998B2 (en) | Apparatus and method for monitoring web application telecommunication data by user | |
CN108512816B (zh) | 一种流量劫持的检测方法及装置 | |
CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
US20160182528A1 (en) | Systems and methods of geo-location based community of interest | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
CN108293075B (zh) | 共享终端检测方法以及为此的设备 | |
Castiglione et al. | Device tracking in private networks via napt log analysis | |
CN104410572B (zh) | 一种数字接收设备的路由表生成方法及装置 | |
EP3300335B1 (en) | Device and method for data packet processing | |
JP2015156593A (ja) | 通信中継装置、および通信システム | |
CN105323174A (zh) | 一种远程桌面协议网关进行路由交换的方法、设备及系统 | |
CN107959939B (zh) | 一种无线访问接入点ap的连接性识别方法及装置 | |
Park et al. | DLNA protocol analysis tool for smart device interoperability test |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |