CN112583785A - 分析电子设备的集群之间的关系以应对网络攻击的系统和方法 - Google Patents
分析电子设备的集群之间的关系以应对网络攻击的系统和方法 Download PDFInfo
- Publication number
- CN112583785A CN112583785A CN202010966497.8A CN202010966497A CN112583785A CN 112583785 A CN112583785 A CN 112583785A CN 202010966497 A CN202010966497 A CN 202010966497A CN 112583785 A CN112583785 A CN 112583785A
- Authority
- CN
- China
- Prior art keywords
- cluster
- devices
- communication link
- clusters
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及分析电子设备的集群之间的关系以应对网络攻击的系统和方法。所述方法包括从设备的第一集群选择第一设备,以及从设备的第二集群选择第二设备。获取关于与第一设备相关联的第一通信链接的信息以及关于与第二设备相关联的第二通信链接的信息。基于获取的信息来计算相似性度量。相似性度量表示第一通信链接和与第二设备相关联的第二通信链接之间的相似性。使用所计算的相似性度量来确定第一集群和第二集群之间的关系。当在第一集群或第二集群中的设备上检测到网络攻击时,基于确定的所述关系修改第一集群和第二集群中的所有设备的保护,以保护各个集群免受网络攻击。
Description
技术领域
本发明涉及计算机联网领域,并且更具体地,涉及用于分析电子设备的集群之间的关系以应对网络攻击的系统和方法。
背景技术
属于同一家庭或用户的电子设备的数量正在不断地增加。这些设备中的绝大多数都包括网络接口。这些设备现在不仅包括个人计算机和智能手机,而且还包括电视机、游戏机、甚至家用电器。因此,出现了将这些设备逻辑地链接至其所有者/用户周围的单个网络的需求,这就是智能家居系统的概念,并且是未来智能环境的概念。互连的设备需要至少用于:设备的集中控制(包括设备的安全性的控制);开展营销活动;与用户的有效通信;在多个设备上进行身份验证(跨设备身份验证)等等。
用于设备的链接和用户活动分析的技术开发的领导者是从事例如广告、电商、对客户数据平台(customer data platform,CDP)进行文件配置、或者具有多平台软件和软件/硬件解决方案的各种公司。
促进计算机系统安全的公司还需要检测联网环境中的新设备,并将检测到的设备与特定用户相关联,以便为设备和/或网络提供保护。这种需要来源于以下事实:多个设备相互交互,并且多个设备中的任何给定设备可能成为攻击另一设备和用户数据的向量。因此,应当保护联网环境中的所有设备,但是为了进行这种保护,应当检测所有互连的设备并将其与用户相关联。
传统的自动链接设备的方法依赖于可以被移除的数据(例如可以被删除的信息记录程序(cookie))或依赖于具有不充分的准确性的启发法。因此,需要一种技术,该技术将提供设备的可靠且持久的链接,将设备与配置文件相关联并且可操作地响应用户配置文件中的更改。
发明内容
本发明的各方面涉及计算机联网领域。
本发明的各方面被设计成用于检测:链接的环境配置文件和作为链接设备的设备。在本发明中,收集关于设备和设备周围的环境的信息以完成该链接。
本发明的技术结果是检测设备的集群之间的关系。
在一示例性方面,用于分析设备的集群之间的关系的方法包括从设备的第一集群选择第一设备,以及从设备的第二集群选择第二设备。获取关于与第一设备相关联的第一通信链接的信息以及关于与第二设备相关联的第二通信链接的信息。基于获取的信息来计算相似性度量。相似性度量表示第一通信链接和与第二设备相关联的第二通信链接之间的相似性。使用所计算的相似性度量来确定第一集群和第二集群之间的关系。当在第一集群或第二集群中的设备之一上检测到网络攻击时,基于所确定的关系修改第一集群和第二集群中的所有设备的保护,以保护第一集群和第二集群免受网络攻击。
在一个方面,基于对应的通信链接的相似性,将设备分组为第一集群和第二集群。设备的第一集群可以包括第一家庭网络,并且设备的第二集群可以包括第二家庭网络。
在一个方面,使用启发式规则获取与第一通信链接和第二通信链接有关的信息。可以基于具有已知类型的通信链接的一个或多个特征来生成启发式规则。
在一个方面,如果在N维空间中第一通信链接的特征的N维向量与第二通信链接的特征的N维向量之间的距离小于阈值,则将两个通信链接识别为相似。
在一个方面,基于检测到的第一集群与第二集群之间的通信链接来确定第一集群与第二集群之间的关系。
在一个方面,设备的集群包含设备的子集群,并且如果由于比较而检测到相同的链接,则在设备子的集群之间形成链接。可以基于设备用户配置文件的相似性来形成设备子集群,并且在这种情况下,在来自不同集群的用户之间检测到链接。
在一个方面,在检测之后,可以使用计算出的相似性度量来生成集群间链接配置文件。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
图1a示出了根据本发明的各方面的电子设备的集群的示例。
图1b示出了根据本发明的各方面的环境配置文件的示例。
图1c示出了根据本发明的各方面的具有子集群的扩展设备集群的示例。
图1d示出了根据本发明的各方面的扩展环境配置文件的示例,其中,除了环境的设备之外,还标识了这些设备的用户。
图1e示出了根据本发明的各方面的扩展环境配置文件的示例,其中,除了用户之外,还标识了家庭网络内的M2M网络。
图2示出了根据本发明的各方面的用于设备的集群的系统。
图3示出了根据本发明的各方面的形成电子设备的集群的方法。
图3a示出了根据本发明的各方面的为了生成集群而获取的一组电子设备。
图3b示出了根据本发明的各方面的具有检测到的链接的一组电子设备。
图3c示出了根据本发明的各方面的在确定检测到的链接中的每一者的类型之后的具有这些链接的一组电子设备。
图3d示出了根据本发明的各方面的、在确定检测到的链接中的每一者的类型以及识别与本地家庭网络相关联的链接之后的、具有这些检测到的链接的一组电子设备。
图3e示意性地(以树的形式)示出了根据本发明的各方面的扩展集群,其中,设备的集群内的电子设备由用户附加地集群化。
图4示出了根据本发明的各方面的将未知的设备分配给集群的方法。
图4a示出了根据本发明的各方面的用于集群化的设备。
图4b示出了根据本发明的各方面的具有检测到的链接的设备。
图4c示出了根据本发明的各方面的在确定检测到的链接的类型之后的具有这些检测到的链接的电子设备。
图4d示出了根据本发明的各方面的将检测到的链接与已知链接进行比较的结果。
图4e示出了根据本发明的各方面的、将所生成的用户配置文件和与集群相关联的设备的用户的已知配置文件进行比较的结果。
图5示出了根据本发明的各方面的在电子设备的集群之间生成链接的方法。
图5a示出了根据本发明的各方面的电子设备的集群和特定电子设备的链接。
图5b示出了根据本发明的各方面的扩展设备集群和扩展环境配置文件、以及扩展设备集群和扩展环境配置文件之间的链接。
图6示出了通用计算机系统的示例。
具体实施方式
本文中在用于电子设备的集群化的系统、方法和计算机程序产品的上下文中描述了示例性各方面。本领域普通技术人员将意识到,以下的描述仅仅是示例性的,而不旨在于以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或相似的项。
现在将介绍将在描述本发明的各变型方面时使用的多个定义和概念。
链接配置文件(关系)是抽象的实体,其在特定情况下包含电子设备与访问点之间、电子设备与电子设备之间、电子设备与物联网(Internet of Things,IoT)设备之间的连接和交互的特征(链接特征)。因此,链接配置文件包括表征通信链接的信息,该信息已被转换并打包成适于处理、比较和构建集合和代理(向量)的数据结构。如本文所使用的,术语“电子设备”是指移动电话、笔记本电脑、平板电脑、个人计算机等。链接特征之一可以是在其中与设备建立连接(connection)并形成链接(link)的网络类型(例如,无线家庭网络、无线公共网络、M2M(机器对机器)、全球移动通信系统(Global System for Mobilecommunication,GSM)等)。配置文件可以表示为特征的N维向量,其组成部分是通信链接特征。在一个方面,网络连接的特征是通信链接特征的子集(因此,使用属性通信链接而不是连接)。与连接相比,属性通信链接描述更多数量的特征。链接特征可以至少是:
·用于在电子设备与电子设备周围的环境之间形成网络连接的规则;
·电子设备与电子设备周围的环境之间已建立的连接的持续时间;
·电子设备与电子设备周围的环境之间的连接的类型;
·电子设备与电子设备周围的环境之间的连接的稳定性;
·电子设备与电子设备周围的环境之间的连接的地理位置;
·电子设备与电子设备周围的环境之间的网络流量的特征;
·建立通信链接的电子设备的特征。
术语“电子设备周围的环境”是指通过任何已知协议建立连接或可以建立连接的计算机网络或其它电子设备。
术语“通信链接特征的N维向量”是指N个数字的有序集合,其中,数字是向量的坐标。定性(所谓的分类)特征可以用数字编码。向量的坐标数称为向量的维数。坐标确定电子设备的相应通信链接的位置或通信链接的特定特征(例如,通信链接的类型、MAC地址、SSID)。通过转换关于周围环境和电子设备的信息来获取向量。向量反映了关于周围环境的某些信息。
术语“电子设备的集群化”是基于一个或多个属性(例如,通信链接或通信链接的各个特征)将电子设备排序为相对同质的组(集群)。电子设备的集群化是指找到具有相似通信链接的电子设备的集群,从而在不存在此类集群的情况下创建新的集群。电子设备的集群的示例如图1a中所示。
术语“设备的集群”是指基于特定特征的相似性(例如,通信链接的相似性)而统一的有序设备组。在一个方面,集群由环境配置文件描述(如图1b中所示),而扩展集群(如图1c中所示的具有子集群的集群)由扩展环境配置文件描述(如图1d和图1e中所示)。如果从设备链接的N维向量到给定集群的中心的距离小于集群在N维向量的方向上的半径(“R”),则可以将电子设备分配给特定集群。在一个方面,如果从要素的N维向量到集群的最近N维链接向量的距离(图1a中的“d”)的值小于最大允许值(距离的阈值[d’]),或者如果从N维链接向量到该集群的中心的距离(图1a中的“d”)的值小于该集群的半径,则将电子设备分配给特定集群。例如,用于评估接近度的距离的变型可以包括:
·线性距离;
·Euclidean距离;
·Euclidean距离的平方;
·广义Minkowski幂距离;
·Chebyshev距离;
·Manhattan距离。
用于评估接近度(相似性的程度,相似性的系数)的术语“接近度估量值”是用于确定电子设备的集合的要素的相似性的无量纲参数。为了确定接近度估量值,可以使用以下度量:
·Оchiai;
·Jaccard;
·Sokal-Sneath;
·Kulczynski;
·对称Dice。
术语“集群的中心”(质心)是指一个向量,该向量的要素表示从该集群的所有向量计算出的相应属性的平均值。对于由单个向量组成的集群,该向量将成为集群的中心。
术语“集群的半径”(图1a中所示的半径“R”)是指构成集群的N维向量距集群的中心的最大距离。
各种已知的算法和方法可以用于集群化,包括分层的(聚集的和分裂的)和非分层的算法和方法。
术语“环境配置文件”是指关于基于同一类型的通信链接而统一的一组电子设备的数据的结构化聚合。例如,图1b示出了用于本地专用(家庭)网络和用于M2M的配置文件。在一个方面,环境配置文件是电子设备的集群的机器可读描述。
术语“扩展环境配置文件”是指补充有关于电子设备的用户(图1d所示)或关于相邻网络(例如M2M)(如图1e中所示)的数据的环境配置文件。
术语“通信链接类型”是指通信链接的特征之一,其表征与之建立连接或在其内建立连接的网络的类型。至少可以识别以下类型的网络:
·本地专用(家庭)网络;
·本地公共网络;
·GSM网络;
·M2M(从节点到节点传输的网络,在一个方面,是与IoT的连接);
·网状网络。
术语“链接的分型”是指确定通信链接的类型的过程。为了确定通信链接的类型,可以使用启发式规则和机器学习(包括但不限于决策树、神经网络、集群化等)两者。为了形成启发式规则,可以选择其类型是已知的通信链接,并识别特征(例如,寻找特征的值),这些特征以保证的方式允许/禁止将通信链接分配给给定类型,并且根据这些特征来形成启发式规则并将启发式规则应用于其类型是未知的通信链接。当没有启发式规则或特征数量不足时,可以通过比较类型未知的通信链接的向量和类型已知的通信链接的向量(确定它们的相似性度量)来进行链接的分型。以下的特征可以用于链接的分型:
·用于连接至网络的授权的存在;
·使用的加密类型;
·连接至网络和与网络断开连接的本地时间;
·与给定网络的连接频率;
·网络的名称(ssid);
·发生连接时是星期几;
·连接至访问点的设备的数量;
·与扩展给定点(漫游点)的网络的其它访问点的并存。
可以通过各种方法来确定相似性。例如,如果通过由通信链接的特征组成的向量来描述通信链接,如果未知通信链接的特征中的至少一者与另一通信链接的相似特征相同,则通信链接被认为是相似的。在一个方面,这种特征可以是MAC地址、访问点的名称、通信链接的类型。如果一已建立的通信链接的向量与另一通信链接的向量之间的在N维空间中或在所选测量之一(例如,绘制连接的持续时间或频率的测量,基于该连接形成链接)上投影的距离小于阈值,或者通常情况下,如果向量的标量积不超过预定阈值,则通信链接也被认为是相似的。
经训练的神经网络也可以用于链接的分型,其中,在神经网络的输入处呈现通信链接的特征,以及在神经网络的输出处获取链接的类型。可以基于类型已知的通信链接、通过本领域已知的传统方法来训练神经网络。
术语“集群间链接配置文件”是指一个抽象实体,该抽象实体在一个方面包含相似通信链接的特征、来自通信链接彼此相似的不同集群的电子设备的特征、以及这些电子设备的用户的配置文件。下面结合图5描述检测相似链接的方法。因此,集群间链接配置文件是关于相似的通信链接的信息、检测到这些相似的通信链接的电子设备的信息、以及这些电子设备的用户的信息,该信息已被转换并打包成适于处理、比较和构建集合和代理(例如向量)的数据结构。集群间链接的特征可以包括:
·在其之间形成链接的集群和子集群;
·集群间链接的强度(由链接的相似性的程度决定,在图5中进行了更详细的描述,由相似的通信链接的数量、其类型以及具有相似的通信链接的电子设备的数量决定);
·相似的通信链接的类型;
·相似的通信链接存在的持续时间;
·具有相似通信链接的电子设备的配置文件;
·这些电子设备的用户配置文件。
·通常情况下,集群间链接配置文件包含关于在来自链接在一起的两个集群的电子设备之间检测到的所有相似链接的信息。
术语“集群间链接的分型”是指基于集群间链接配置文件执行的链接的分型,以便确定来自链接的集群的电子设备的用户与集群本身(以及在一个方面,如果集群将来自同一家庭网络的电子设备聚集在一起,则是与家庭网络)之间的关系。例如,可以基于将集群间链接配置文件与类型已知的另一配置文件的比较或者使用神经网络来进行集群间链接的分型,其中将集群间链接的特征在输入处呈现给神经网络,以及在神经网络的输出处获取通信链接的类型,其中先前已经在标记的集群和集群间链接上对神经网络进行训练。
术语“网络攻击”是指能够破坏系统的正常运行并且因此直接或间接地造成一些伤害的情况的潜在的发生。网络攻击的类型可能非常多样,并且可能具有很多分类。在一个方面,可以基于中断的性质使用分类,即:
·违反数据机密性;
·违反数据完整性/数据替代;
·破坏系统的工作能力(包括拒绝服务);
·未经授权干预系统的运行。
术语“网络攻击模型”是指对系统的信息安全的网络攻击的形式化描述。网络攻击模型可以至少包括:
·网络攻击的类型,其中网络攻击是未经授权使用系统,反映了违规者的利益;
·实现给定类型的网络攻击所利用的要素;
·利用该要素实现网络攻击的方法;
·作用在系统上以执行实现网络攻击的方法的向量(攻击向量)。
术语“实现网络攻击或攻击的方法”是指违反者对特定类型的安全性实现网络攻击的动作。对于系统的每个要素,可以通过不同的方法来实现特定类型的网络攻击,包括利用系统的其它组件。
术语“攻击向量”是指在实现对安全性的网络攻击时,违反者作用在系统上的方向或特定方法。本发明中的属性“攻击向量”与属性“作用于在系统上以执行实现网络攻击的方法的向量”相同。确定攻击向量的特征可以至少包括:
·攻击源或一组攻击源;
·作为攻击目标的要素或一组要素;
·动作的种类;
·动作的手段。
对于同一个系统或复杂系统,网络攻击模型和使用模型可以在形式上彼此没有任何区别(除了攻击向量之外)。使得可以将一个模型与另一个模型区分开的分类属性是,使用模型反映了合法用户的利益、而网络攻击模型反映了违反者的利益的事实。下面将介绍用于实际系统的模型的示例。
图2示出了用于设备100的集群化的系统,其中存在多个电子设备110。电子设备可以包括但不限于:
·个人设备;
·设备的物联网(IoT);
·路由器和其它网络设备。
在一个方面,电子设备110可以具有安装在其上的客户端120。客户端120可以收集关于电子设备以及关于设备周围的环境的信息。电子设备周围的环境可以包括:
·具有客户端120的其它电子设备110;
·可以与之建立连接但不具有客户端120的电子设备110a(例如,诸如个人计算机、移动电话、平板电脑等的个人设备)、设备的IoT(包括家用电器)、以及网络设备。
可以将客户端120收集的信息发送给服务器侧,并由链接检测模块130和设备文件配置模块140使用这些信息。链接检测模块130可以被配置成基于由客户端120收集的关于电子设备110周围的环境的信息来检测通信链接,并形成链接配置文件。设备文件配置模块140可以基于由客户端120收集的信息来形成电子设备110的配置文件。在一个方面,电子设备110的配置文件可以是描述设备的抽象实体(例如数据库中的条目)。在一个方面,电子设备的配置文件可以至少包括以下信息:操作系统、安装的应用程序、设备说明书等。可以为每个设备配置文件分配一设备标识符(DeviceID N)。在一个方面,链接检测模块130和设备文件配置模块140可以存在于电子设备110上。链接配置文件可以被保存在链接数据库150中。链接类型确定模块160可以被配置成确定所检测到的通信链接的类型。设备配置文件可以被保存在用户数据库170和/或设备数据库175中。设备集群化模块180可以被配置成基于通信链接的相似度并且基于这些电子设备的用户的配置文件的相似度来对设备进行分组。设备集群化模块180可以基于链接的相似性使用以下中的至少一者来对电子设备进行分组:
·通信链接的任何特征,例如通信链接的类型;
·任何一组特征,例如访问点的MAC地址及其名称(SSID);
·通信链接的所有特征。
在集群化期间,设备集群化模块180可以根据通信链接的所选特征来形成向量,并在N维空间中绘制向量。设备集群化模块180可以考虑将落入集群的半径内的向量分配给该集群。在一个方面,半径可以等于零。根据集群化的结果,设备集群化模块180可以生成配置文件,例如环境的配置文件。所生成的配置文件可以保存在环境配置文件数据库190中。应当注意,集群本身也可以被保存在环境配置文件数据库中。基于从电子设备收集的信息和电子设备的配置文件、以及基于从其它系统获取的信息,用户文件配置模块141可以生成用户的配置文件,将生成的配置文件保存在用户数据库170中。为了对用户进行文件配置,例如,用户文件配置模块141可以使用:电子设备的网络活动;关于电子设备在空间中的移动的数据;在电子设备上检测到的各种个人网络标识符;来自通信量、登录名、电话号码等的电子邮件地址。可以将该信息转换并打包成便于处理、比较和构建集合和代理(向量、词典等)的数据结构——用户配置文件。设备集群化模块180可以使用设备集群和用户配置文件在来自环境配置文件数据库190的设备集群内执行补充集群化。设备集群化模块180可以基于电子设备的用户配置文件的相似性对设备集群内的设备进行分组。根据集群化的结果,可以由设备集群化模块180生成扩展环境配置文件。扩展环境配置文件可以保存在扩展环境配置文件数据库191中。扩展集群本身也可以保存在扩展环境配置文件数据库191中。
图3示出了生成电子设备200的集群的方法。在步骤201中,设备集群化模块180获取用于集群化的设备110/110a。在步骤210中,客户端120可以收集关于客户端安装在其上的电子设备110的或关于任何其它电子设备110a的信息。客户收集表征电子设备的信息(以下称为设备特征)和表征电子设备周围的环境的信息(以下称为移动设备的环境特征)。设备特征可以包括但不限于:
·设备硬件的特征;
·设备软件的特征;
·设备生成的网络通信量的特征。
·环境特征可能包括但不限于:
·电子设备所连接的网络的特征;
·在计算机网络上运行的服务,通过电子设备与该计算机网络交换数据;
·与电子设备连接的其它电子设备;
·在与电子设备连接的电子设备上运行的服务。
在此步骤中,客户端120可以检测其它设备(与在步骤201中检测到的设备不同),并且可以收集关于连接的信息。为了检测其它设备,设备文件配置模块140可以使用以下网络协议:动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)、互联网控制消息协议(Internet Control Message Protocol,ICMP)、地址解析协议(AddressResolution Protocol,ARP)、组播域名系统(Multicast Domain Name System,MDNS)、通用即插即用(Universal Plug and Play,UPNP)、NetBIOS(网络基本输入输出系统)等。客户端120还可以例如通过使用ZigBee、低功耗广域网络(Low Power Wide Area Network,LPWAN)、蓝牙低功耗(Bluetooth Low Energy,BLE)等技术的功能来记录GSM网络中的所有连接并检测电子设备的IoT。在该步骤中,设备文件配置模块140可以检测未知类型的设备110a。因此,图3中所示的设备检测过程可以是循环的
基于所收集的特征,在步骤220中,链接检测模块130可以检测设备110/110a与周围设备环境之间的链接,并且可以由链接检测模块130生成链接配置文件。
在一个方面,在步骤230中,设备集群化模块180可以比较检测到的电子设备的链接。该比较可以通过由链接配置文件形成的代理来进行。在各个方面,可以直接比较配置文件,或者通过本领域已知的并且适于表示链接配置文件的数据类型的任何方法来比较配置文件。如果检测到相似的链接,则在步骤231中,设备集群化模块180可以合并具有相似链接的电子设备。在步骤232中,响应于未找到任何相似的链接,设备集群化模块180可以创建电子设备的集群。应当注意,电子设备可以同时存在于多于一个的集群中,因为:
·通信链接不仅可以通过包含通信链接的所有特征的向量进行比较,而且还可以通过向量的各个分量进行比较(向量之间的距离不是在空间中而是在投影中进行测量);
·在设备上检测到多于一个的通信链接。
在步骤232中创建了集群之后,设备集群化模块180可以创建环境的配置文件并将其链接至集群(在步骤250中)。
在一个方面,(例如,为了识别属于同一家庭网络的设备),在执行集群化之前,可能有必要确定检测到的链接的类型(步骤221)并且在步骤223中选择用于集群化的必要链接(为了识别家庭网络的设备,选择具有家庭网络类型的链接)。在步骤230中,设备集群化模块180可以比较检测到的所选类型的通信链接。在通常情况下,在步骤223中,设备集群化模块180可以基于任何给定的链接特征而不仅仅是类型来选择通信链接。
在步骤210中,客户端120不仅可以收集环境特征,而且还可以收集电子设备特征。在步骤222中,基于环境特征、设备特征以及从关于系统的外部源获取的补充信息,用户文件配置模块141可以生成电子设备的用户的配置文件。设备集群化模块180可以将针对在步骤232中创建的集群的电子设备生成的用户配置文件彼此进行比较(步骤240)。可以执行该步骤以便找到同一用户使用的电子设备。如果找到相似的配置文件,则设备集群化模块180将这些电子设备组合在设备集群内(在步骤241中)。接下来,设备集群化模块180将电子设备组合在创建的子集群内(步骤242)。对于其用户配置文件在集群中没有相似用户配置文件的电子设备,在步骤242中,可以创建子集群(单个子集群)。同一设备可能同时属于不同的子集群,因为该电子设备可能被多于一个用户使用。在创建子集群之后,在步骤260中,设备集群化模块180可以生成扩展环境配置文件。可以通过类似于在比较通信链接时使用的方法或通过本领域已知的任何其它方法来比较用户配置文件。
在创建电子设备的集群之后,可以例如基于用于将电子设备组合成集群的通信连接以何种方式相似,而在步骤233中对这些电子设备的集群进行分类:
·如果基于属于同一家庭网络类型、同一MAC地址和同一网络SSID进行分类,则可以将集群归类为家庭网络N(在本发明的示例中,将此类集群指定为HomeID N);
·如果基于属于公共网络类型、公共MAC地址和公共网络SSID进行分类,则可以将集群归类为公共网络N(在本发明的示例中,将这些集群指定为PublicID N)。
图3a-图3e示出了形成集群的方法的实现方式的示例。由于无需在N维空间中描述集群,因此该示例中的集群与图1a-图1e中不同地显示。为了便于说明,集群已被发展成树状,其中根节点对应于集群标识符,(用于扩展集群的)内部节点对应于用户标识符,叶子对应于电子设备。因此,存在具有已安装的客户端120(在图中未示出)的电子设备110(在图3a中示出)。在一些方面,可能有必要由这些电子设备形成集群,以便识别属于同一家庭网络的电子设备,并在同一家庭网络内按所有者/用户划分这些电子设备。
电子设备上的客户端120可以收集表征电子设备的信息和表征电子设备周围的环境的信息;该信息可以在一定时间(例如一周)的过程中收集和编译。然后,如图3b中所示,链接检测模块130基于所收集的特征来检测电子设备与设备周围环境之间的通信链接300。在一个方面,访问点310也是该环境的要素。链接检测模块130还可以识别检测到的通信链接的类型(图3c中所示)。在该给定的示例中,可以在以下类型的网络中识别通信链接:
·本地专用(家庭)网络-300a;
·本地公共网络-300b;
·М2М-300c;
·GSM网络-300d。
链接检测模块130还可以识别访问点的类型(例如,识别家庭访问点310a和公共访问点310b)。在一个方面,链接检测模块130可以使用所识别的访问点类型来识别通信链接的类型。
由于根据条件,设备集群化模块180可能需要识别单个家庭网络内的电子设备,因此设备集群化模块180可以从所有电子设备中仅选择(如图3中的步骤223所示)具有本地专用(家庭)网络类型的通信链接(链接特征链接类型=本地专用(家庭)网络)的电子设备。图3d示出了具有通信链接300a的这些电子设备的示例。为了识别来自同一家庭网络的电子设备,即通过通信链接类型选择的电子设备,设备集群化模块180将电子设备分组并生成电子设备的集群,其中该集群是由具有相同类型的相似通信链接的电子设备形成的。在该给定的示例中,如果同一通信链接的特征中的至少一者(除了链接类型特征之外)与另一通信链接或被选择为标准的通信链接的类似特征相同或相似,则通信链接被认为是相似的。在该示例中,此类通信链接特征可以是:
·访问点的MAC地址(特征应当相同);
·访问点的名称-SSID(特征应当相同);
·连接的持续时间(特征应当相似或超过标准通信链接的特征的特定阈值)。
精确地基于特征“连接的持续时间”,将具有在两个网络中的通信链接的设备110b分配给集群HomeID1。设备110b可能属于客人,也就是说,如果它不规则地出现在家庭网络中并且连接的持续时间明显小于家庭网络中的其它电子设备的持续时间的话。
接下来(如图3e中所示),设备集群化模块180可以使用收集到的关于电子设备的信息和用户的配置文件,将属于同一集群的电子设备按所有者分组。因此,可以创建电子设备的扩展集群,并且据此可以创建扩展环境配置文件HomeID1和HomeID2。
图4示出了将未知设备分配给集群的方法400。在步骤201a中,设备文件配置模块140检测未知电子设备。至少在以下时发生设备检测:
·安装在设备110上的客户端120发送电子设备110的标识符(电子设备110上安装了该标识符),并且该标识符在设备数据库175中缺失;
·客户端120在电子设备110上登记其第一次启动;
·具有安装的客户端120的电子设备110在其环境中在服务器侧的用户数据库170和设备数据库175中都登记了其信息缺失的电子设备110a。
因此,系统100的数据库中缺失其信息的电子设备被认为是未知的。在步骤210中,客户端120可以收集关于安装了该客户端的电子设备110的信息、或者关于在步骤201中检测到的任何其它电子设备的信息。客户端120可以收集表征电子设备的信息(设备特征)和表征设备周围环境的信息(设备环境特征)。上面已经列举了电子设备和环境的可能特征。在步骤210中,客户端120可以检测其它电子设备(不同于在步骤201中检测到的那些电子设备),并且可以使用用于检测的网络协议DHCP、ICMP、ARP、MDNS、UPNP、NetBIOS等来编译关于连接的信息。客户端120还可以例如通过使用ZigBee、LPWAN、BLE等技术的功能来登记GSM网络中的所有连接并检测设备的IoT。在此步骤中,还可以检测到未知类型的设备110a。因此,在图4中,检测和收集的过程示出为循环的
基于收集的特征,在步骤220中,链接检测模块130可以检测设备110/110a与周围设备环境之间的链接,并且可以生成链接配置文件。
集群化模块180可能有必要检测包含至少一个设备的设备集群,该至少一个设备的链接与在步骤220中检测到的链接相似。为此,在步骤230a中,可以将检测到的通信链接与已知的通信链接进行比较。如果检测到相似的链接,则在步骤231a中,可以将相应的电子设备置于其电子设备具有相似链接的设备集群中。如上所述,同一电子设备可能同时出现在多于一个集群中,这是因为:
·通信链接不仅可以通过向量进行比较,而且还可以通过各个特征进行比较(距离不是在空间中而是在投影中进行测量);
·电子设备通常具有多于一个的链接。
在电子设备已经被添加至集群之后,设备集群化模块180可能需要更新与集群相关联的环境配置文件(在步骤251中)。在一个方面(例如,为了识别属于同一家庭网络的电子设备),在执行集群化之前,可能有必要通过网络从属关系(家庭网络、公共网络等)确定检测到的通信链接的类型(步骤221),并且在已知的相同类型的通信链接中搜索相似的链接。在另一方面,可以不同地解决将设备分配给家庭网络的问题:为此,未确定所检测到的通信链接的类型,但是应当预先标记(分类)集群。例如,可以识别基于链接的相似性(链接类型相同)分组的电子设备的集群。即,集群将具有相似链接的电子设备聚集在一起,这些链接的向量至少由于特征之一(在该示例中,至少由于通信链接的类型)相似。可以通过用于监督机器学习的本领域已知的任何方法来标记集群。
如果在步骤230a中的比较期间没有检测到相似的链接,则设备集群化模块180可以在步骤232中创建设备的新集群,并且在步骤250中将新的环境配置文件与该新集群相关联。
如上所述,在步骤210中,不仅收集环境特征还收集设备特征;基于环境特征、设备特征和补充源,设备集群化模块180可以在步骤222中生成电子设备的用户的配置文件。设备集群化模块180可以将在步骤240a中生成的用户配置文件与集群中其它电子设备的用户的配置文件进行比较。可以进行该步骤以便找到同一用户使用的电子设备。如果在集群的电子设备中发现了相似的设备用户配置文件,则在步骤222中对其生成了配置文件的设备可以由设备集群化模块180分配给包含具有相似用户配置文件的设备的子集群。当配置文件与来自不同子集群的电子设备的用户的配置文件相似时,设备集群化模块180可以将电子设备分配给具有最大相似性(更接近集群的核心、更高的相似性程度等)的设备用户配置文件的子集群。在另一方面,电子设备可以被置于包含具有相似用户配置文件的设备的所有子集群中,由于该电子设备可能被多个用户使用,因此可能需要该步骤。如果未找到相似的配置文件,则在步骤242中设备集群化模块180可以创建新的子集群;这可能表明未知的用户已经出现在环境中。当在步骤241中更新子集群之后或在步骤242中创建新的子集群之后,设备集群化模块180可以更新与集群相关联的扩展配置文件(在步骤261中)。
图4a-图4e示出了实现将未知设备分配给集群的方法的示例。在该示例中,存在具有已安装的客户端120(图中未示出)的设备110c/110d。对于图4a中所示的设备110,设备集群化模块180可以被配置成确定电子设备和电子设备的用户被分配给的家庭网络的集群。
客户端120可以收集表征电子设备的信息(下文称为设备特征)以及表征设备周围的环境的信息(下文称为设备环境特征);这些信息可以在一定时间(例如一周)内收集和编译。然后,如图4b中所示,基于收集的特征,链接检测模块130可以检测电子设备与电子设备周围的环境之间的链接300。在一个方面,访问点310可以被认为是该环境的要素。链接类型确定模块160可以基于收集的关于通信链接的信息来确定通信链接的类型(如图4c中所示)。在该给定的示例中,可以在以下类型的网络中识别通信链接:
·本地专用(家庭)网络300a;
·本地公共网络-300b。
由于链接检测模块130试图识别单个家庭网络内的电子设备,因此链接检测模块130从所有通信链接中仅选择具有本地专用(家庭)网络类型的通信链接(链接特征链接类型=本地专用(家庭)网络)。接下来,为了检测电子设备被分配到的家庭网络的集群,设备集群化模块180将检测到的设备通信链接与来自设备集群(HomeID1和HomeID2)的已知设备通信链接(如图3d中所示)进行比较。在该给定的示例中,如果检测到的通信链接的特征中的至少一者(除了链接类型特征之外)与另一链接的类似特征相同或相似,则认为通信链接是相似的。在该示例中,此类链接特征可以是:
·访问点的MAC地址(特征应当相同);
·访问点的名称-SSID(特征应当相同);
·建立的连接的持续时间(特征应当相似或超过标准链接的特征的特定阈值)。
这种比较的结果在图4d中示出。对于电子设备110c,在集群HomeID1的电子设备上检测到相似的链接,因此设备集群化模块180将该设备分配给集群HomeID1。对于设备110d,在集群HomeID1和集群HomeID2的电子设备的已知通信链接中未找到相似的通信链接,因此设备集群化模块180可以创建新集群HomeID3。
现在参考图4e,使用所收集的关于电子设备的信息以及这些电子设备的用户的配置文件,设备集群化模块180识别电子设备110c/110d的用户(在已知的用户配置文件中搜索相似的用户配置文件)。对于设备110c,找到相似的用户配置文件(具有标识符UserID2的用户配置文件),并且设备集群化模块180可以将该电子设备分配给子集群UserID2。继续图4e中所示的示例,对于电子设备110d,未找到相似的配置文件。因此,设备集群化模块180可以为该电子设备创建新的子集群UserID6。因此,可以更新设备的扩展集群HomeID1,据此可以更新扩展环境配置文件HomeID1,并且可以创建扩展集群HomeID3,据此可以通过设备集群化模块180来创建扩展环境配置文件HomeID3。
图5示出了检测电子设备的集群之间的链接的方法500。该方法可以由链接检测模块130实现,并且还可以包括对链接的家庭网络的检测以及对特定用户-影响者的检测。如本文中所使用的,“影响者”是具有电子设备的用户,除了其它方面以外,通过该电子设备,可以散布保护解决方案并加强家庭网络的全面保护。家庭网络的全面保护是创建免疫网络系统的第一步。
在方法500的第一步骤200a中,链接检测模块130可以从设备集群化模块180获取先前生成的电子设备集群。这些集群可能以已经由上述方法200或本领域已知的任何其它方法生成。在步骤200a中,获取至少两个集群,在步骤201b中,链接检测模块130可以从该两个集群中的每一者中选择至少一个设备。在一个方面,可以选择所有电子设备。在步骤205中,通过链接检测模块130获取用于所选设备的通信链接。如果是集群通过上述方法200生成的,则用于电子设备的通信链接被保存在链接数据库150中。换句话说,链接检测模块130可以通过向链接数据库150发送请求来获取通信链接。如果先前没有检测到设备通信链接,或者如果有必要更新设备链接的特征,则可以执行先前结合图3描述的步骤210和220以获取通信链接。可以由链接检测模块130将获取的链接彼此比较。应当注意的是,在该步骤中,链接检测模块130比较来自不同集群的电子设备的通信链接,而不是将来自同一集群的电子设备的通信链接进行比较。在一个方面,可以通过计算相似性度量来确定相应的通信链接之间的相似性。相似性度量可以包括以下项中的至少一者:Jaccard、Sokal-Sneath、Kulczynski、对称Dice。如果链接检测模块130基于所计算的相似性度量确定比较的通信链接是相似的,则链接检测模块130可以将这些集群视为相关集群。在步骤233中,链接检测模块130可以检测集群之间的链接。在步骤270,链接检测模块130可以生成集群间链接配置文件。描述在其间被检测到通信链接的各个集群的环境配置文件通常也是相关的(步骤252)。例如,集群间链接配置文件包含关于通信链接的信息。集群间链接配置文件可以包括但不限于以下信息:哪些集群是相关的、通信链接有多强(由步骤230中获取的相似性程度、相似的通信链接的数量、通信链接的类型、以及具有相似通信链接的电子设备的数量确定)、哪些类型的通信链接是相似的、相似的通信链接已经存在了多久等等。根据相似性的性质,例如,当在比较期间检测到通信链接的身份时,链接检测模块130还可以将子集群视为相关子集群。因此,在步骤243中,链接检测模块130可以检测子集群之间的链接。如果先前没有创建子集群,则设备集群化模块180通过执行以下步骤来创建它们:生成222设备的用户配置文件,在集群中将生成的配置文件彼此比较240,将具有相似配置文件的设备组合241,以及创建242子集群。当在步骤243中检测到链接之后,链接检测模块130也可以将相应的扩展环境配置文件也视为相关的(步骤262)。链接检测模块130可以反映在步骤270中的集群间链接配置文件中的所有改变。如果集群包含来自同一家庭网络的设备,则集群之间的链接的存在指示家庭网络是相关的。通常,如果可以将子集群链接在一起,则链接检测模块130可以发现对另一家庭网络的用户产生影响的一家庭网络的潜在影响者或用户。在一个方面,当构建保护系统并实现家庭网络的保护时,可以考虑这些用户。
图5a和图5b示出了实现检测集群之间的链接的方法的示例。图5a示出了由以上结合图3描述的方法200先前生成的集群HomeID1和HomeID2。链接检测模块130可以从这些集群中分别选择一个电子设备。所选择的电子设备在图5a中被示为设备110b和110e。链接检测模块130可以获取用于所选择的电子设备的通信链接。这些通信链接是:
·对于设备110b是:300a’(两个链接)、300b’、300c’、300d’;
·对于设备110e是:300a’、300c’、300d’。
链接检测模块130可以将获取的通信链接彼此进行比较。例如,链接检测模块130可以将电子设备110b的链接300a’与电子设备110b的链接300a’进行比较。在一个方面,链接检测模块130可以仅将相同类型的通信链接彼此进行比较。在该比较过程中,链接检测模块130可以选择比较通信链接所用的特征。例如,可以利用访问点的特征SSID和MAC地址来比较类型为300a的通信链接,同时可以利用所有可用特征来比较类型为300d的链接。在一个方面,可以使用启发式规则和机器学习(包括但不限于决策树、神经网络、集群化等)来确定链接类型。为了生成启发式规则,可以选择类型已知的通信链接并识别特征,这些特征以保证的方式允许/禁止将通信链接分配给给定的类型,并且基于这些特征,启发式规则可以形成并应用于类型未知的通信链接。因为链接检测模块130可以通过访问点的名称和地址来比较类型为300a的通信链接,而设备110b和110e从集群HomeID2连接至访问点(这是与访问点的链接),因此可以基于这些特征,将这些通信链接声明为相似的。电子设备还具有通信链接300d’,因为当电子设备在GSM网络中互连时检测到了这些通信链接,因此电子设备110b的通信链接300d’与电子设备110e的通信链接300d’相同。根据所选的特征,在其它通信链接之间没有找到相似性。链接检测模块130可以进一步进行链接的相互比较,并且可能甚至将在集群的其它电子设备上找到其它相似的通信链接。相似的通信链接的存在使得可以说集群HomeID1和HomeID2之间存在链接301(如图5b中所示),而相同的通信链接的存在使得可以还使子集群相关。在所示的示例中,子集群组合了同一用户的电子设备,并因此在图5b中,在用户之间创建链接302。因此,扩展环境配置文件也被链接。在检测到集群之间的链接时,链接检测模块130可以填写集群间链接配置文件,从而指示基于哪些类型的链接和哪些特征的相似性发现集群之间的链接。如果有必要,根据执行集群之间的链接搜索的目的,链接检测模块130还可以在集群间链接配置文件中指示其链接相似的电子设备的特征和这些设备的用户的特征(用户的配置文件)。
用于家庭网络的环境配置文件使得可以采用自适应保护并快速地响应出现的网络攻击。安装在设备110上的客户端120使得可以修改通信链接的特征和电子设备的特征,以便使得不能实现网络攻击并保护家庭网络。可以将环境配置文件而不只是家庭网络配置文件用于相似目的。
图6是示出了根据一示例性方面的计算机系统20的框图,在计算机系统20上可以实现用于分析电子设备的集群之间的关系的系统和方法的各方面。计算机系统20可以表示用于图2的设备100的集群化的系统,并且可以是以多个计算设备的形式或者以单个计算设备的形式,例如,台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、大型机、嵌入式设备和其它形式的计算设备。
如图所示,计算机系统20包括中央处理单元(Central Processing Unit,CPU)21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传输TM(HyperTransportTM)、无限带宽TM(InfiniBandTM)、串行ATA、I2C、和其它合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。系统存储器22可以为用于存储本文中所使用的数据和/或由处理器21可执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory,RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory,ROM)24、闪存等)或其任意组合。基本输入/输出系统(Basic Input/Output System,BIOS)26可以存储用于在计算机系统20的元件之间传输信息的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除存储设备27、一个或多个不可移除存储设备28、或其组合。所述一个或多个可移除存储设备27和一个或多个不可移除存储设备28借助存储器接口32连接到系统总线23。在一个方面中,存储设备和相应的计算机可读存储介质为用于存储计算机系统20的计算机指令、数据结构、程序模块、和其它数据的电源独立的模块。系统存储器22、可移除存储设备27和不可移除存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括:机器存储器,诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM;闪存或其它存储技术,诸如在固态驱动器(Solid State Drive,SSD)或闪存驱动器中;磁带盒、磁带、和磁盘存储器,诸如在硬盘驱动器或软盘中;光学存储器,诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk,DVD)中;以及可用于存储期望数据且可被计算机系统20访问的任何其它介质。
计算机系统20的系统存储器22、可移除存储设备27和不可移除存储设备28可以用于存储操作系统35、附加应用程序37、其它程序模块38和程序数据39。计算机系统20可以包括用于传送来自输入设备40的数据的外围接口46,所述输入设备40诸如键盘、鼠标、触针、游戏控制器、语音输入设备、触点输入设备、或其它外围设备,诸如借助一个或多个I/O端口的打印机或扫描仪,该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal Serial Bus,USB)、或其它外围接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显示设备47之外,计算机系统20还可以装配有其它外围输出设备(未示出),诸如扬声器和其它视听设备。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。所述一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括前面在描述计算机系统20的性质时所述的元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中,所述其它设备诸如但不限于路由器、网站、对等设备或其它的网络节点。计算机系统20可以包括用于借助一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器,该一个或多个网络诸如局域计算机网络(Local-Area computerNetwork,LAN)50、广域计算机网络(Wide-Area computer Network,WAN)、内联网、和因特网。网络接口51的示例可以包括以太网接口、帧中继接口、SONET接口、和无线接口。
本发明的各个方面可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质,该计算机可读存储介质上具有用于使处理器执行本发明的各方面的计算机可读程序指令。
计算机可读存储介质可以为有形设备,该有形设备可以保持且存储指令或数据结构的形式的程序代码,该程序代码可以被计算设备(诸如计算系统20)的处理器访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适组合。作为示例,这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备,诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的,计算机可读存储介质不应被视为暂时性信号本身,暂时性信号诸如无线电波或其它自由传播的电磁波、通过波导或传输介质传播的电磁波、或通过电线传输的电信号。
可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或借助网络(例如,因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令,用以存储在相应的计算设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任意组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机,或可以进行与外部计算机的连接(例如通过因特网)。在一些实施方式中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array,PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令,以使该电子电路个性化,从而执行本发明的各方面。
在各方面,可以按照模块来解决本发明中描述的系统和方法。本文中所使用的术语“模块”指的是例如现实世界的设备、组件、或使用硬件(例如通过专用集成电路(Application Specific Integrated Circuit,ASIC)或FPGA)实现的组件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实现为两个模块的组合,其中单独地通过硬件促进某些功能,并且通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以在计算机系统的处理器上运行。因此,每个模块可以以各种合适的配置来实现,而不应受限于本文中所例示的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合(一个或多个)相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。
Claims (20)
1.一种用于分析设备的集群之间的关系的方法,所述方法包括:
从设备的第一集群选择第一设备,并从设备的第二集群选择第二设备;
获取关于与所述第一设备相关联的第一通信链接的信息以及获取关于与所述第二设备相关联的第二通信链接的信息;
基于获取的信息来计算相似性度量,所述相似性度量表示所述第一通信链接与所述第二通信链接之间的相似性;
使用所计算的相似性度量来确定所述第一集群与所述第二集群之间的关系;以及
当在所述第一集群或所述第二集群中的设备之一上检测到网络攻击时,基于确定的所述关系修改所述第一集群和所述第二集群中的所有设备的保护,以保护所述第一集群和所述第二集群免受所述网络攻击。
2.根据权利要求1所述的方法,其中,基于对应的通信链接的相似性,将所述设备分组为所述第一集群和所述第二集群,并且所述设备的第一集群包括第一家庭网络,以及所述设备的第二集群包括第二家庭网络。
3.根据权利要求1所述的方法,其中,使用启发式规则获取关于所述第一通信链接和所述第二通信链接的信息,并且,所述启发式规则是基于具有已知类型的通信链接的一个或多个特征来生成的。
4.根据权利要求1所述的方法,其中,如果在N维空间中所述第一通信链接的特征的N维向量与所述第二通信链接的特征的N维向量之间的距离小于阈值,则将这两个通信链接识别为相似的。
5.根据权利要求1所述的方法,其中,基于检测到的所述第一集群与所述第二集群之间的通信链接来确定所述第一集群与所述第二集群之间的关系。
6.根据权利要求5所述的方法,其中,所述第一集群包括设备的一个或多个子集群,并且所述第二集群包括设备的一个或多个子集群,并且其中,确定所述第一集群与所述第二集群之间的关系还包括:确定所述第一集群的所述一个或多个子集群与所述第二集群的所述一个或多个子集群之间的关系。
7.根据权利要求1所述的方法,还包括使用所计算的相似性度量来生成集群间链接配置文件。
8.一种用于分析设备的集群之间的关系的系统,所述系统包括:
硬件处理器,所述硬件处理器配置为:
从设备的第一集群选择第一设备,并从设备的第二集群选择第二设备;
获取关于与所述第一设备相关联的第一通信链接的信息以及获取关于与所述第二设备相关联的第二通信链接的信息;
基于获取的信息来计算相似性度量,所述相似性度量表示所述第一通信链接与所述第二通信链接之间的相似性;
使用所计算的相似性度量来确定所述第一集群与所述第二集群之间的关系;以及
当在所述第一集群或所述第二集群中的设备之一上检测到网络攻击时,基于确定的所述关系修改所述第一集群和所述第二集群中的所有设备的保护,以保护所述第一集群和所述第二集群免受所述网络攻击。
9.根据权利要求8所述的系统,其中,基于对应的通信链接的相似性,将所述设备分组为所述第一集群和所述第二集群,并且所述设备的第一集群包括第一家庭网络,以及所述设备的第二集群包括第二家庭网络。
10.根据权利要求8所述的系统,其中,使用启发式规则获取关于所述第一通信链接和所述第二通信链接的信息,并且,所述启发式规则是基于具有已知类型的通信链接的一个或多个特征来生成的。
11.根据权利要求8所述的系统,其中,如果在N维空间中所述第一通信链接的特征的N维向量与所述第二通信链接的特征的N维向量之间的距离小于阈值,则将这两个通信链接识别为相似的。
12.根据权利要求8所述的系统,其中,基于检测到的所述第一集群与所述第二集群之间的通信链接来确定所述第一集群与所述第二集群之间的关系。
13.根据权利要求12所述的系统,其中,所述第一集群包括设备的一个或多个子集群,并且所述第二集群包括设备的一个或多个子集群,并且其中,确定所述第一集群与所述第二集群之间的关系还包括:确定所述第一集群的所述一个或多个子集群与所述第二集群的所述一个或多个子集群之间的关系。
14.根据权利要求8所述的系统,其中,所述硬件处理器还被配置为使用所计算的相似性度量来生成集群间链接配置文件。
15.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于分析设备的集群之间的关系的计算机可执行指令,所述计算机可执行指令包括用于以下的指令:
从设备的第一集群选择第一设备,并从设备的第二集群选择第二设备;
获取关于与所述第一设备相关联的第一通信链接的信息以及获取关于与所述第二设备相关联的第二通信链接的信息;
基于获取的信息来计算相似性度量,所述相似性度量表示所述第一通信链接与所述第二通信链接之间的相似性;以及
使用所计算的相似性度量来确定所述第一集群与所述第二集群之间的关系;
当在所述第一集群或所述第二集群中的设备之一上检测到网络攻击时,基于确定的所述关系修改所述第一集群和所述第二集群中的所有设备的保护,以保护所述第一集群和所述第二集群免受所述网络攻击。
16.根据权利要求15所述的非暂时性计算机可读介质,其中,基于对应的通信链接的相似性,将所述设备分组为所述第一集群和所述第二集群,并且所述设备的第一集群包括第一家庭网络,以及所述设备的第二集群包括第二家庭网络。
17.根据权利要求15所述的非暂时性计算机可读介质,其中,使用启发式规则获取关于所述第一通信链接和所述第二通信链接的信息,并且,所述启发式规则是基于具有已知类型的通信链接的一个或多个特征来生成的。
18.根据权利要求15所述的非暂时性计算机可读介质,其中,如果在N维空间中所述第一通信链接的特征的N维向量与所述第二通信链接的特征的N维向量之间的距离小于阈值,则将这两个通信链接识别为相似的。
19.根据权利要求15所述的非暂时性计算机可读介质,其中,基于检测到的所述第一集群与所述第二集群之间的通信链接来确定所述第一集群与所述第二集群之间的关系。
20.根据权利要求19所述的非暂时性计算机可读介质,其中,所述第一集群包括设备的一个或多个子集群,并且所述第二集群包括设备的一个或多个子集群,并且其中,确定所述第一集群与所述第二集群之间的关系还包括:确定所述第一集群的所述一个或多个子集群与所述第二集群的所述一个或多个子集群之间的关系。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2019130605 | 2019-09-30 | ||
| RU2019130605A RU2747451C2 (ru) | 2019-09-30 | 2019-09-30 | Способ обнаружения связанных кластеров |
| US16/889,547 | 2020-06-01 | ||
| US16/889,547 US11388196B2 (en) | 2019-09-30 | 2020-06-01 | System and method for analyzing relationships between clusters of electronic devices to counter cyberattacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583785A true CN112583785A (zh) | 2021-03-30 |
| CN112583785B CN112583785B (zh) | 2023-05-05 |
Family
ID=72560453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010966497.8A Active CN112583785B (zh) | 2019-09-30 | 2020-09-15 | 分析电子设备的集群之间的关系以应对网络攻击的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP3798882A1 (zh) |
| CN (1) | CN112583785B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130173621A1 (en) * | 2011-12-28 | 2013-07-04 | International Business Machines Corporation | Clustering Devices In An Internet Of Things ('IoT') |
| US9060018B1 (en) * | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
| US20160099963A1 (en) * | 2008-10-21 | 2016-04-07 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US20170171231A1 (en) * | 2015-12-11 | 2017-06-15 | Brightpoint Security, Inc. | Computer Network Threat Assessment |
| US20180139227A1 (en) * | 2016-10-31 | 2018-05-17 | Jask Labs Inc. | Method for predicting security risks of assets on a computer network |
| CN109257617A (zh) * | 2018-09-30 | 2019-01-22 | 武汉斗鱼网络科技有限公司 | 一种确定直播平台中嫌疑用户的方法以及相关设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10218726B2 (en) * | 2016-03-25 | 2019-02-26 | Cisco Technology, Inc. | Dynamic device clustering using device profile information |
| US10462171B2 (en) * | 2017-08-08 | 2019-10-29 | Sentinel Labs Israel Ltd. | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking |
-
2020
- 2020-09-15 CN CN202010966497.8A patent/CN112583785B/zh active Active
- 2020-09-17 EP EP20196656.1A patent/EP3798882A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099963A1 (en) * | 2008-10-21 | 2016-04-07 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US20180293389A1 (en) * | 2008-10-21 | 2018-10-11 | Lookout, Inc. | Methods and systems for blocking potentially harmful communications to improve the functioning of an electronic device |
| US20130173621A1 (en) * | 2011-12-28 | 2013-07-04 | International Business Machines Corporation | Clustering Devices In An Internet Of Things ('IoT') |
| US9060018B1 (en) * | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
| US20170171231A1 (en) * | 2015-12-11 | 2017-06-15 | Brightpoint Security, Inc. | Computer Network Threat Assessment |
| US20180139227A1 (en) * | 2016-10-31 | 2018-05-17 | Jask Labs Inc. | Method for predicting security risks of assets on a computer network |
| CN109257617A (zh) * | 2018-09-30 | 2019-01-22 | 武汉斗鱼网络科技有限公司 | 一种确定直播平台中嫌疑用户的方法以及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583785B (zh) | 2023-05-05 |
| EP3798882A1 (en) | 2021-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6470433B2 (ja) | ラベルベースのアクセス制御ルールの自動生成 | |
| US11388196B2 (en) | System and method for analyzing relationships between clusters of electronic devices to counter cyberattacks | |
| US9369476B2 (en) | System for detection of mobile applications network behavior-netwise | |
| KR101956486B1 (ko) | 단말 식별자들을 용이하게 하는 방법 및 시스템 | |
| Amit et al. | Machine learning in cyber-security-problems, challenges and data sets | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US20200403991A1 (en) | Security for network environment using trust scoring based on power consumption of devices within network | |
| US11983611B2 (en) | System and method for determining device attributes using a classifier hierarchy | |
| US20200067777A1 (en) | Identifying device types based on behavior attributes | |
| EP3945739A1 (en) | Non-intrusive / agentless network device identification | |
| US11689468B2 (en) | Device classification using machine learning models | |
| US20230289631A1 (en) | Multiple granularity classification | |
| US20220092087A1 (en) | Classification including correlation | |
| CN112583785B (zh) | 分析电子设备的集群之间的关系以应对网络攻击的系统和方法 | |
| RU2747466C2 (ru) | Способ отнесения неизвестного устройства кластеру | |
| RU2747452C2 (ru) | Способ формирования кластеров устройств | |
| US12003383B2 (en) | Fingerprinting assisted by similarity-based semantic clustering | |
| JP7366690B2 (ja) | 機器種別推定システム | |
| Levy | IoT or NoT Identifying IoT Devices in a Short Time Scale | |
| EP4084858A1 (en) | Techniques for detecting exploitation of manufacturing device vulnerabilities | |
| CN118094641A (zh) | 基于云计算技术的数字资产的安全风险分析方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |