CN113810360A - 网络接口设备 - Google Patents
网络接口设备 Download PDFInfo
- Publication number
- CN113810360A CN113810360A CN202110630054.6A CN202110630054A CN113810360A CN 113810360 A CN113810360 A CN 113810360A CN 202110630054 A CN202110630054 A CN 202110630054A CN 113810360 A CN113810360 A CN 113810360A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- network interface
- interface device
- peripheral device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/65—Environment-dependent, e.g. using captured environmental data
Abstract
本公开涉及网络接口设备。本发明公开了包括一种网络接口设备的实施方案,该网络接口设备包括用于连接到数据传输网络的第一通信部件和用于连接到外围设备的第二通信部件。在一些实施方案中,网络接口设备包括操作地耦接到第一通信部件和第二通信部件的网络控制器,其中网络控制器被配置为从数据传输网络接收数据并将数据传输到外围设备。网络接口设备还可包括与第一通信部件和第二通信部件通信地耦接的监测部件。监测部件可被配置为跟踪与所接收和传输的数据相关联的参数,至少部分地基于将所跟踪的参数与定义的状态进行比较来确定与数据相关联的安全威胁,并且响应于确定该安全威胁,使得网络控制器限制传输到外围设备的数据。
Description
相关申请的交叉引用
本专利申请为2020年6月11日提交的名称为“Network Interface Device”的美国临时专利申请第63/038066号的非临时专利申请并且要求该临时专利申请的权益,该申请的公开内容全文以引用方式并入本文。
技术领域
所描述的实施方案整体涉及网络接口设备。更具体地,本发明的实施方案涉及监测和控制在数据传输网络和外围设备之间传输的数据的网络接口设备,其中网络接口设备位于网络和外围设备之间。
背景技术
一些公司可与一个或多个供应商或销售商合作来生产和/或组装公司的产品或提供其他服务,诸如技术支持、后台功能、销售等。在一些情况下,公司可依赖于供应商用于其他目的,诸如维修他们的产品、提供产品支持等。供应商可使用网络附接的计算设备来提供这些服务。通常,这些机器和/或计算机连接到一个或多个数据传输网络,诸如内联网、互联网或公司控制范围之外的其他局域网或广域网。在一些情况下,这些机器和/或计算机可使用外部网络来连接到由公司运营的安全网络,以获得用于执行各种任务的信息。
用于此类装备的网络安全性通常由每个供应商提供和控制,因此不能由公司直接控制或监测。由于公司缺乏关于供应商与这些网络的装备连接的信息或对供应商与这些网络的装备连接的控制,这些网络可能是固有不可信的。另外,供应商可能具有使用不再被支持的操作系统的计算机和/或装备,这增加了公司的安全风险。可能期望公司信任这些类型的不可信网络,以降低在供应商交互期间引入的安全风险。
发明内容
本文所述的实施方案涉及一种网络接口设备,该网络接口设备包括用于连接到数据传输网络的第一通信部件、用于连接到外围设备的第二通信部件、以及操作地耦接到第一通信部件和第二通信部件的网络控制器。网络控制器可被配置为从数据传输网络接收数据并将数据传输到外围设备。网络接口设备还可包括与第一通信部件和第二通信部件通信地耦接的监测部件。监测部件可被配置为跟踪与所接收和传输的数据相关联的参数,至少部分地基于将所跟踪的参数与定义的状态进行比较来确定与所接收数据相关联的安全威胁,并且响应于确定该安全威胁,使得网络控制器限制传输到外围设备的数据。
在一些实施方案中,所跟踪的参数包括从数据传输网络接收的数据量或从外围设备传输的数据量。该定义的阈值可基于在数据传输网络与外围设备之间传输的先前跟踪的数据量,并且响应于该数据量超过先前跟踪的数据量,网络控制器被配置为激活数据传输网络与外围设备之间的防火墙。监测部件还可被配置为至少部分地基于在限定的时间段期间在数据传输网络和外围设备之间已传输的数据量来跟踪数据传输趋势,并且定义的阈值可至少部分地基于数据传输趋势。跟踪的参数可包括在数据传输网络和外围设备之间传输的当前数据量,该当前数据量在限定的时间段内被跟踪。
在一些情况下,跟踪的参数包括所接收和传输的数据的数据传输速率,并且定义的阈值基于在数据传输网络和外围设备之间传输的数据的历史数据传输速率。网络控制器可作为数据传输网络与外围设备之间的透明设备操作。在一些示例中,限制传输到外围设备的数据包括激活在网络接口设备上操作的防火墙。在一些示例中,外围设备可包括多个端口,传输到外围设备的数据通过多个端口中的第一端口传输,并且防火墙被应用于多个端口中的第一端口。
另一组实施方案涉及一种用于操作网络接口设备的方法,该网络接口设备用于监测和限制数据传输网络与外围设备之间的流量。该方法可包括在网络接口设备处接收从外围设备传输到数据传输网络的数据,监测网络接口设备的操作参数,以及将操作参数的当前状态与操作参数的定义的状态进行比较。该方法还可包括至少部分地基于操作参数的当前状态落在定义的状态之外来确定与数据相关联的安全威胁,并且响应于确定该安全威胁,向远程服务器传输指示该安全威胁的警示。
在一些情况下,监测操作参数包括确定网络接口设备的连接状态,将所述操作参数的所述当前状态与所述操作参数的所定义的状态进行比较包括确定所述连接状态是否指示所述网络接口设备已与所述数据传输网络或所述外围设备断开,并且传输所述警示包括向附近的网络设备传输无线电信号。在一些情况下,该方法还可包括由网络接口设备建立与附近的网络设备的无线对等连接,以及使用无线对等连接向附近的网络设备传输消息,其中该消息指示网络接口设备已与数据传输网络或外围设备断开。在一些示例中,该方法可包括输出对应于网络接口设备移动的移动信号,并且使用加速度信号来估计网络控制器已经移动了多远。
在一些实施方案中,定义的状态包括移动阈值,并且将操作参数的当前状态与操作参数的定义的状态进行比较包括确定网络控制器移动的距离是否超过移动阈值。在一些示例中,该方法还可包括由环境光传感器输出指示环境光的光信号,并且监测操作参数包括确定环境光的变化。定义的状态可包括光阈值,并且将操作参数的当前状态与操作参数的定义的状态进行比较包括确定环境光的变化是否超过光阈值。在一些示例中,传感器被进一步配置为使得网络控制器响应于操作参数的当前状态满足定义的状态而限制正在数据传输网络和外围设备之间传输的数据。
另一组实施方案涉及一种网络传感器,该网络传感器包括:网络控制器,该网络控制器被配置为将外围设备通信地耦接到数据传输网络;以及位置传感器,该位置传感器被配置为监测网络传感器的位置并输出对应于网络传感器的位置的信号。所述网络传感器还可包括处理单元,所述处理单元被配置为从所述位置传感器接收所述信号,使用所述信号来确定所述网络传感器在物理边界之外,并且响应于确定所述网络传感器在所述物理边界之外,指示所述网络控制器限制所述数据传输网络和所述外围设备之间的数据传输。
在一些情况下,位置传感器包括全球导航卫星系统(GNSS)跟踪设备,该物理边界包括一组定义的GNSS坐标,并且确定网络传感器在物理边界之外包括确定GNSS跟踪设备已跨过该组定义的GNSS坐标中的至少一个坐标。
在一些情况下,位置传感器包括测高仪,物理边界包括定义的高度变化,并且确定网络传感器在物理边界之外包括确定测高仪的高度变化超过定义的高度变化。在一些示例中,处理单元被进一步配置为响应于确定网络传感器在物理边界之外而向远程服务器传输警示。
附图说明
通过以下结合附图的详细描述,将容易理解本公开,其中类似的附图标号指代类似的结构元件,并且其中:
图1示出了使用一个或多个网络接口设备来提高联网装备的安全性的系统的示例;
图2示出了用于提高联网装备的安全性的网络接口设备的示例;
图3A和图3B示出了用于跟踪联网装备的位置的网络接口设备的示例;
图4示出了用于操作网络接口设备的示例性方法;
图5示出了用于操作网络接口设备的示例性方法;并且
图6示出了用于操作网络接口设备的示例性方法。
应当理解,各个特征部和元件(以及其集合和分组)的比例和尺寸(相对的或绝对的)以及其间呈现的界限、间距和位置关系在附图中提供,以仅用于促进理解本文所述的各个实施方案,并因此可不必要地被呈现或示出以衡量并且并非旨在指示对所示的实施方案的任何偏好或要求,以排除结合其所述的实施方案。
具体实施方式
现在将具体地参考在附图中示出的代表性实施方案。应当理解,以下描述不旨在将实施方案限制于一个优选实施方案。相反,其旨在涵盖可被包括在由所附权利要求书限定的所述实施方案的实质和范围内的另选形式、修改形式和等同形式。
本文所公开的实施方案涉及一种网络接口设备,该网络接口设备用于提高当供应商拥有和操作的装备连接到不可信网络时发生的数据传输的安全性。如本文所用,术语“不可信网络”是指以下各项中的任一者或全部:公司控制范围之外的网络;公司无法监测的网络;或具有超出公司控制范围的安全性策略的网络。在一些情况下,网络接口设备可用于增加用于连接到不可信网络的装备(无论是供应商的装备还是公司的装备,两者都是本文使用的术语的“外围设备”的示例)的安全性。唯一的网络接口设备可连接到外围设备,使得网络接口设备监测单个外围设备与数据传输网络之间的网络通信。
一个或多个网络接口设备可各自连接到本地区域中的不同外围设备以形成子网组,其中网络接口设备由已认证的控制器管理。网络接口设备可被配置为监测数据传输网络和外围设备之间的流量模式,以评估和/或确定与其相关联的设备相关联的安全风险。例如,网络接口设备可评估外围设备与数据传输网络之间的数据流量模式,以识别指示外围设备呈现安全威胁的这些模式的变化。继续该示例,如果外围设备开始扫描其子网中的其他设备,则网络接口设备可被配置为将该模式识别并将其表征为安全威胁。因此,网络监测可在基于装备的基础上执行(并且可被推送到网络的边缘),这允许每个网络接口设备被配置和/或适于在特定外围设备和数据传输网络之间发生的网络交互。
在许多情况下,由供应商操作的装备连接到一个或多个数据传输网络,诸如内部网络(例如,供应商控制的网络)、局域网、广域网、无线网络、互联网等。如本文所用,“数据传输网络”可以是这些网络中的任一种或这些网络的组合。除了其他活动之外,供应商和/或公司还可使用这些网络连接来控制装备、执行质量控制活动、跟踪进度、排除故障问题、检修产品以及提供客户服务/支持。在一些情况下,公司可使用其自己的专用网络经由供应商的数据传输网络连接到供应商的装备,或者供应商可连接到公司的专用网络以访问特定信息。例如,公司的专用网络可访问与其产品相关的机密信息,诸如设计规范、制造规范、质量控制参数、成本信息、订单状态、供应物流等。公司可使用其专用网络和供应商的数据传输网络之间的连接来监测活动,诸如制造进度,执行质量控制活动,并且在产品被制造和运输时跟踪产品的进度。然而,在许多情况下,公司可能无法直接控制供应商网络、介入第三方网络或供应商装备的安全性。因此,通过使用其专用网络经由供应商的数据传输网络与供应商的装备进行交互,公司可增加其专用网络将被未授权方访问或用于未授权目的的风险。在公司未使用其网络连接到供应商的装备的情况下,公司可能希望监测供应商的装备与数据传输网络之间的网络连接,例如,以防止安全漏洞诸如对其数据的未授权访问,监测可能在特定外围设备处形成的安全威胁,和/或决定特定外围设备是否可被信任。
在一些情况下,公司可能不希望或不可能提高供应商网络的安全性或在网络级别上解决安全性问题。例如,供应商可为多个不同的公司制造部件,并且不同组的装备可用于在不同的时间制造不同公司的产品。另外,供应商可具有使用无法以有效方式更新或修补的无支持或传统软件操作的装备。在其他情况下,供应商可远程工作,和/或使用连接到一个或多个不可信网络的其自己的外围设备来为公司执行任务。因此,这些因素可能使得公司在与第三方供应商合作时难以确保所需的安全性水平。
在第一示例性实施方案中,网络接口设备可用于提高装备级规模的网络交易的安全性。例如,网络接口设备可用于将供应商的装备(其在本文中可称为“外围设备”)连接到数据传输网络。网络接口设备对于网络可以是透明的,使得其不具有其自身的互联网协议(IP)地址,而是从数据传输网络接收数据并将该数据传输到外围设备,充当网络和外围设备之间的直通件或中介。网络接口设备还可包括监测部件,该监测部件跟踪、监测、报告和/或记录在数据传输网络和外围设备之间传输的数据,以识别安全风险或其他不规则行为。监测部件可被配置为识别外围设备和数据传输网络之间的可信和不可信的数据流量模式。例如,监测部件可跟踪通常在给定时间内在数据传输网络和外围设备之间传输的数据量,以开发该外围设备的基线数据传输参数。监测部件可使用这些基线参数作为用于监测外围设备和数据传输网络之间的数据传输的比较,继而可用于确定与该特定外围设备相关联的安全风险。例如,如果在外围设备和数据传输网络之间传输的数据量突然增大,则网络接口设备可确定存在安全威胁,并且传输到外围设备或从外围设备传输的数据不再是安全的。作为响应,网络接口设备可采取纠正措施,如警示公司、供应商、激活防火墙和/或将外围设备与数据传输网络隔离。因此,公司可使用网络接口设备来提高第三方供应商拥有和/或操作的各个装备件或装备组的安全性。
在一些情况下,网络接口设备可由公司远程控制或以其他方式虚拟控制。例如,网络接口设备可包含软件,该软件在安全分区上操作,和/或被加密或以其他方式保护,使得只有公司或由公司授权的那些能够修改网络接口设备的功能。例如,公司可远程访问网络接口设备以改变或以其他方式更新其操作参数、接收记录的数据、从网络接口设备发送或接收警示、激活或实施安全措施诸如激活防火墙、监测设备是否已被篡改或跟踪其他安全参数。在一些情况下,可在公司和网络接口设备之间实施硬件信任安全协议根,使得公司使用密码功能来实现与网络接口设备的安全通信。
在一些情况下,网络接口设备可耦接和解耦至外围设备,使得其监测在外围设备和数据传输网络之间传输的数据。第三方供应商可在其正在为公司执行活动时将网络接口设备安装在其外围设备上,然后如果那些外围设备不再用于为公司执行活动,则移除网络接口设备。就这一点而言,网络接口设备可在整个供应商的设施中动态地切换至不同的外围设备,因为该供应商为该公司执行不同的活动。例如,一个或多个网络接口设备最初可附接到第一组装备,而第三方供应商使用该装备来为该公司执行制造活动。然后,例如,当第三方供应商使用不同的装备来组装所制造的部件时,那些网络接口设备可被传输到其他设备。在一些情况下,网络接口设备可在第三方供应商为公司执行活动时被激活,并且可在该供应商不使用对应外围设备为公司执行活动时被去激活。
在一些情况下,网络接口设备可包括用于监测其操作参数的一个或多个传感器,该操作参数可与所监测的数据协调使用以提供附加的安全层。如本文所用,“操作参数”是网络接口设备的状况或状态,诸如设备的连接状态、位置、移动、温度、光水平或与网络接口设备相关联的其他物理参数。操作参数可使用关于设备的操作的信息来确定,诸如由处理单元提供的状态信息、从一个或多个机载传感器获得的信息等。操作参数的示例包括网络设备的位置、加速度、移动、位置、由设备感测到的光(无论在设备的外壳的外部还是内部)、相对于外围设备的连接状态、温度等。在一些情况下,这可用于确定网络接口设备是否已被篡改、与网络断开、与外围设备断开或以授权或不期望的方式修改。在一些情况下,网络接口设备可包括以下中的任一者或全部:电池,使得其可在与数据传输网络或外围设备断开时操作;加速度计和/或陀螺仪传感器,其用于评估所述网络接口设备的移动或其他物理干扰;环境光传感器;测高仪;无线电部件,其用于经由替代形式诸如无线对等连接进行通信;全球导航卫星系统(GNSS)设备,其用于跟踪所述网络接口设备的位置;用于接收无线信号的天线,等等。
在一些实施方案中,特定设备的网络流量的安全风险可从网络数据(例如,流量模式分析)和操作参数数据(例如,位置、移动和/或篡改分析)的组合导出。例如,网络流量的变化和设备位置的变化的组合可指示指示所附接的外围设备不再可信的安全威胁。
在一些实施方案中,网络接口设备可跟踪其位置和/或网络接口设备所连接到的外围设备的位置。跟踪外围设备可允许公司确定外围设备、地理围栏装备的位置,使得如果外围设备移动到限定的物理边界之外则生成警示,或者基于外围设备的位置来改变或限制外围设备与数据传输网络之间的通信。
使用网络接口设备监测由一个或多个第三方供应商拥有或操作的各个装备或装备组可提高公司相对于该第三方供应商的安全性,反之亦然。例如,监测各个外围设备可提高确定特定外围设备是否构成安全威胁的准确性。在一些情况下,使用网络接口设备监测各个外围设备可允许公司检测到通过简单地提高网络整体的安全性不会检测到的安全风险。在其他情况下,使用网络接口设备监测各个外围设备可允许各个外围设备被分离、隔离或以其他方式寻址,同时允许其他外围设备继续操作。鉴于本文提供的示例,将理解网络接口设备的这些和其他优点。
以下参考图1至图6讨论这些和其他实施方案。然而,本领域的技术人员将容易地理解,本文相对于这些附图所给出的详细描述仅出于说明性目的,而不应被理解为是限制性的。
图1示出了使用一个或多个网络接口设备102来提高外围设备104和数据传输网络106之间的网络连接的安全性的系统100的示例。网络接口设备102可连接在外围设备104和数据传输网络106之间,使得其可监测在外围设备104和数据传输网络106之间传输的数据。在一些实施方案中,网络接口设备102是未被分配IP地址的透明设备。网络接口设备102可从数据传输网络106接收数据,跟踪与数据相关联的一个或多个参数,并将数据传输到外围设备104,从而用作直通件。网络接口设备102还可从外围设备104接收数据,跟踪与从外围设备104接收的该数据相关联的一个或多个参数,并将该数据传输到数据传输网络106,同样用作直通件。
由网络接口设备102跟踪的参数可用于评估外围设备104与数据传输网络106之间的网络连接的安全威胁和/或可信度。就这一点而言,所跟踪的参数可包括关于外围设备104与数据传输网络106之间的数据传输流量模式的信息,诸如:数据量、数据传输速率、数据传输的调度/定时、端口扫描等;关于传输到外围设备104或从外围设备传输的数据的IP路由的信息,诸如传输的数据的源或目的地;关于正在传输的数据或数据包本身的信息;与这些参数中的一个或多个相关联的历史趋势,等等。在一些情况下,网络接口设备102可被配置有或开发用于评估特定外围设备104是否造成安全威胁和/或将可信度与外围设备104相关联的可信流量模式。
在一些实施方案中,网络接口设备102可被配置为跟踪或以其他方式监测与网络接口设备102和数据传输网络106之间的通信流量模式相关的多种不同参数。跟踪的参数可包括IP路由信息,诸如数据的目的地地址、包括在传输的数据包中的数据的类型、数据传输的调度/定时、通过数据传输网络接收的数据请求、端口扫描活动等。网络接口设备102可被配置为基于与这些参数中的一者或多者相关联的状态或条件来确定是否存在安全威胁。如本文所用,“参数”是数据或数据流的状况,诸如可将数据传输到的目的地、传输到外围设备或跨数据传输网络传输的数据量、关于数据包或数据流的元数据(例如,大小、类型、包络、格式化等)、数据传输速度等。“状态”是参数的条件或阈值。
例如,网络接口设备102可被配置为基于特定类型的数据、用于向外围设备104发送数据的IP地址、外围设备104正在向其传输数据的IP地址等来确定是否存在安全威胁。在另选的实施方案中,网络接口设备102可与远程电子设备进行通信,该远程电子设备可从网络接口设备接收信息,确定是否存在安全威胁,并且如果存在此类威胁,则指示网络接口设备采取动作。即,在另选的实施方案中,网络接口设备102可跟踪数据并将该数据、该数据的概要或与该数据相关的信息报告给可执行安全威胁分析的远程电子设备。
在一些情况下,使用定义的阈值来评估所跟踪的参数中的一个或多个。例如,当首次安装时,网络接口设备104可被配置有用于确定在限定的时间段内在外围设备104与数据传输网络106之间传输的数据量是否造成安全威胁的阈值。网络接口设备102可监测在限定的时间段内在外围设备104和数据传输网络106之间传输的当前数据量,并将传输的当前数据量与定义的阈值进行比较。如果当前数据量小于阈值,则网络接口设备102可确定不存在显著的安全风险。然而,如果传输的当前数据量大于或等于定义的阈值,则网络接口设备可确定存在安全风险。
在一些实施方案中,可由网络接口设备102基于外围设备104与数据传输网络106之间的数据传输历史来确定所跟踪的参数的定义的阈值或状态。例如,网络接口设备102可随时间推移跟踪与外围设备104和数据传输网络106之间的数据传输相关联的一个或多个参数。网络接口设备102可使用该跟踪/历史数据来确定所跟踪的参数的定义的阈值或一个或多个状态。因此,定义的阈值或状态可针对每个不同的外围设备104进行定制或配置,这可提高网络设备评估与特定外围设备相关联的安全风险的准确性。
网络接口设备102或远程服务器可被配置为以各种方式分析所跟踪的参数。在一些情况下,这可包括确定参数,诸如数据量、数据传输速率、频率等。可将参数与一个或多个阈值(或其他状态)进行比较以确定是否存在安全威胁。例如,如果在限定的时间段内传输的数据量超过阈值,或数据传输速率超过阈值,则网络接口设备102可确定存在与外围设备相关联的安全威胁。在其他情况下,网络接口设备102可分析所跟踪的参数的当前状态以确定是否存在安全威胁。例如,网络接口设备102可监测从外围设备传输的数据的目的地IP地址,并且如果其检测到未知的IP地址,则可确定存在安全威胁。类似地,网络接口设备102可监测参数诸如数据包类型、大小或关于数据包的其他元数据,以便评估是否存在安全威胁。在一些实施方案中,跟踪一个或多个参数可包括执行数据分析,诸如求平均值、统计回归、建立所收集或记录的数据之间的关系等。
在一些实施方案中,网络接口设备可使用外围设备104和数据传输网络之间的历史流量模式来评估与特定外围设备104相关联的安全风险。例如,流量历史可用于开发机器学习模型,该机器学习模型可用于区分可信数据流量模式和不可信数据流量模式。就这一点而言,每个外围设备104的可信和不可信流量模式可建立并存储在网络接口设备102上。在一些示例中,网络接口设备可基于特定外围设备104与数据传输网络106的交互随时间更新、细化和/或配置有附加的流量模式(可信和不可信)。
作为一个示例,第一外围设备104a可以是连接到数据库104a的终端,该数据库连接到数据传输网络106。在该示例中,第一外围设备104a可包括使用数据传输网络106访问的数据库。在为公司执行活动时,第一外围设备104a可存储信息,包括公司使用的文件(其示例包括公司记录、产品信息、产品规格、定价信息等)。在例行操作下,当不存在安全威胁时,第一外围设备104a可经由数据传输网络106使用该信息,该数据传输网络可包括与公司提供的产品或服务相关的信息。第一网络接口设备102a可将第一外围设备104a连接到数据传输网络106,并且可监测在第一外围设备104a和数据传输网络106之间传输的数据。第一网络接口设备102a可跟踪与所传输的数据相关联的一个或多个参数,诸如在限定的时间段内传输的数据量、数据传输速率、数据传输的定时、IP路由信息、所传输的数据的内容等,以开发与第一外围设备104a相关联的一个或多个数据传输模式/趋势。网络接口设备102可使用这些趋势来为在第一外围设备104a和数据传输网络106之间传输的数据的一个或多个跟踪的参数开发定义的阈值。
在第一外围设备104a的示例中,数据库可限于传输某些类型的文件,和/或可仅由授权设备和/或用户访问。就这一点而言,第一网络接口设备102a可用于监测特定于数据库功能的数据和流量模式。第一网络接口设备102a可用这些数据传输模式/参数进行预先配置/编程,这些数据传输模式/参数诸如正被传输的数据的类型、数据传输的定时、正被传输的典型数据量、IP路由信息(诸如数据的目的地)、数据包大小或类型等。在一些情况下,第一网络接口设备102a可随时间推移跟踪这些参数以开发和/或表征正被传输的数据的类型、数据传输中的模式、阈值诸如与正被传输的典型数据量相关联的那些阈值、IP路由信息等(所有这些都是参数的示例)。不规则性或与一个或多个参数的典型或定义的状态的偏离可指示存在安全威胁。
第一网络接口设备102a可以实时主动监测或跟踪这些参数中的一个或多个,诸如从第一外围设备104a传输到数据传输网络106的数据量或与从数据传输网络106接收的定义的调度或状态请求相关的所跟踪的数据的定时,并且将该信息与一个或多个定义的阈值或状态进行比较。如果所跟踪的参数满足所定义的阈值和/或状态中的一者或多者,则第一网络接口设备102a可确定存在安全威胁。例如,第一网络接口设备102a可开始检测正从第一外围设备104a传输的较大数据量,并且还确定这些较大数据传输正在所定义的调度之外发生。因此,第一网络接口设备102a可确定存在与第一外围设备104a相关联的安全威胁。
在一些情况下,第一网络接口设备102a可用于识别或认证正在访问第一外围设备104a的设备或用户。例如,第一接口设备102a可以接收关于第一外围设备104a的身份的信息,诸如用于访问数据库的终端的计算机识别号、终端和/或数据库的操作系统信息、用户登录信息等。在一些情况下,可能需要用户提供生物特征认证信息(其示例包括指纹、视网膜图案、血管图案、面部信息、语音模式等)以访问数据库。就这一点而言,第一网络接口设备102a可从第一外围设备104a接收该信息并使用该信息来评估与第一外围设备104a和数据传输网络106之间的网络通信相关联的安全风险。例如,第一网络接口设备102a可被配置有被授权访问第一外围设备104a的设备或用户的列表。当设备或用户尝试通过数据传输网络106访问第一外围设备104a时,第一网络接口设备102a可例如从第一外围设备104a接收用于该交互的身份和/或认证凭据。第一网络接口设备104a可将这些所接收的凭据与其所存储的授权设备和/或用户的凭据进行比较。基于该比较,第一网络接口设备104a可确定访问被授权并且可将此类访问与低安全威胁相关联。另选地,如果第一网络接口设备104a确定访问未被授权,则其可将此类访问与高安全威胁相关联。
为清楚说明起见,示出了单个数据传输网络(数据传输网络106)。然而,系统100可使用多个连接的或不同的数据传输网络来操作。例如,一个或多个外围设备104可连接到由供应商操作的第一网络,并且公司可经由其自身的专用网络连接到供应商的网络。在一些情况下,公司可拥有网络接口设备102并使用其专用网络连接到网络接口设备102以与供应商的网络(数据传输网络106)进行交互。公司可虚拟地激活、去激活、配置其网络接口设备102并与其通信,和/或通过数据传输网络从网络接口设备中的一个或多个网络接口设备接收警示、消息或其他信息。
在一些实施方案中,第二网络接口设备102b可用于将第二外围设备104b连接到数据传输网络106,其可与相对于第一外围设备104a所述的数据传输相同或不同。第二外围设备104b可以是与第一外围设备不同的装备件或装备类型,诸如用于服务于公司的产品、由公司或第三方销售商提供客户支持以及访问公司拥有或操作的专用网络的计算设备。第二网络接口设备102b可用于评估第二外围设备104b和数据传输网络106之间的数据传输的安全风险。因此,第二网络接口设备102b可被适配/配置为基于特定于第二外围设备104b的功能来跟踪一个或多个参数。
例如,第二外围设备104b可以是由第三方销售商用于为公司产品提供客户支持的计算机。第二外围设备104b可访问公司的专用网络以获得用于一组定义的产品的产品支持信息。因此,第二网络接口设备102b可跟踪IP路由信息以查看第二外围设备104b正在请求什么信息。在一些情况下,第二外围设备104b可被配置为访问从公司的专用网络传输到第二外围设备104b的数据。例如,公司可为第二外围设备配置有用于第二外围设备被授权访问的数据的加密密钥。因此,如果第二外围设备104b开始尝试访问未授权位置或正在接收未授权数据,则第二外围设备104b可能能够使用由公司提供的IP路由信息和/或加密密钥来检测到它们。在一些情况下,如果第二外围设备104b从公司的专用网络接收数据并且第二网络接口设备不能使用其配置的加密密钥来解密该数据,则第二网络接口设备可确定第二外围设备104b已成为安全威胁。
通过另一个示例,第三网络接口设备102c可将第三外围设备104c连接至数据传输网络106。第三外围设备104c可包括无线接入点,诸如WiFi接入点、蓝牙接入点或长期演进(LTE)网络,其示例包括用于经由无线协议与一件或多件装备进行通信的4G或5G接入点。例如,该装备可包括用于生产公司产品的自动化制造和组装装备。因此,第三外围设备104c可被配置为评估和/或传递与第三外围设备104c和数据传输网络106之间的网络连接中的安全威胁相关的数据。例如,如果第三外围设备104c是服务于一组自动化制造装备的无线接入点,则由于自动化制造活动的重复性质,通过网络连接的数据传输速率可相对恒定。因此,第三网络接口设备102c可被配置有针对第三外围设备104c与数据传输网络106之间的预期数据传输速率的阈值。在一些实施方案中,第三网络接口设备102c还可监测数据传输速率并基于通过网络连接监测到的历史数据传输速率来确定阈值。使用该阈值,第三网络接口设备102c可主动跟踪第三外围设备104c和数据传输网络106之间的数据传输速率。如果所跟踪的数据传输速率超过所定义的阈值,则第三网络接口设备102c可确定存在与第三外围设备104c相关联的安全威胁。
响应于跟踪的参数满足定义的阈值或状态,网络接口设备102可采取动作来解决安全威胁。这可包括网络接口设备102限制在外围设备104和数据传输网络之间传输的数据。在一些实施方案中,限制数据传输包括激活网络接口设备102处的防火墙以过滤正在网络接口设备和数据传输网络106之间传输的数据包。在一些情况下,限制数据传输可包括隔离外围设备104或与外围设备104相关联的一个或多个端口。在其他情况下,网络接口设备102可开始记录外围设备104和数据传输网络106之间的数据传输活动。在其他实施方案中,网络接口设备102可向拥有网络接口设备102的公司发送警示或消息,指示已检测到安全威胁。
网络接口设备102可被配置为与一个或多个远程设备进行交互,所述远程设备分析所跟踪的数据参数或汇总此类参数或与此类参数相关的数据,和/或指示网络接口设备102如何响应。例如,网络接口设备102可被配置为跟踪并记录外围设备104与数据传输网络106之间传输的数据的一个或多个参数。网络接口设备102可将这些跟踪的参数发送到一个或多个远程设备,诸如公司用来执行数据分析的处理服务器。处理服务器可分析数据以确定是否存在安全威胁或评估安全风险,并且基于该分析,指示网络接口设备在需要时采取动作。例如,如果处理服务器确定在第一外围设备104a处存在安全威胁,则分析服务器可指示第一网络接口设备102a限制第一外围设备104a与数据传输网络之间的网络连接。这可采取指示第一网络接口设备102a激活防火墙、隔离第一外围设备104a的一个或多个端口、节流数据传输速率、停止传输某些类型或大小的数据包或采取一些其他补救动作中的任一种或全部的形式。在一些情况下,处理服务器可分析、利用或组合来自多个不同网络接口设备102的数据,以确定安全威胁是否存在于单个外围设备或多个外围设备诸如一组常见的制造装备处。
图2示出了用于提高联网装备的安全性的网络接口设备200的示例。网络接口设备200可以是本文所述的网络接口设备的示例,诸如网络接口设备102a-c。网络接口设备200可包括处理单元202、网络控制器204、监测部件206、存储器208、无线电部件210、GNSS设备212、一个或多个传感器214和电源216。网络接口设备还可包括第一通信部件220a和第二通信部件220b,第一通信部件用于连接到数据传输网络、从数据传输网络接收数据和/或将数据传递到数据传输网络,第二通信部件用于连接到外围设备、从外围设备接收数据和/或将数据传递到外围设备,如本文所述。网络接口设备200可用于实现本文所述的过程、方法或技术中的一者或多者,以执行安全性监测和减轻努力,从而提高外围设备和数据传输网络之间的网络连接的安全性。
处理单元202可以控制网络接口设备200的一些或所有操作。处理单元202可以直接或间接地与网络接口设备200的一些或所有部件通信。例如,系统总线(或另一通信机构)可提供处理单元202、网络控制器204、监测部件206、存储器208、无线电部件210、GNSS设备212、传感器214、电源216以及第一通信部件220a和第二通信部件220b之间的通信。
处理单元202可被配置为安全地运行一个或多个操作系统。例如,处理单元202可被配置为访问一个或多个安全存储器分区以防止未授权方对网络接口设备200的操作进行重新编程、改变或篡改。在一些情况下,处理单元202可从远程网络虚拟访问并且使用一个或多个安全凭据进行配置。
处理单元202可以被实现为能够处理、接收或传输数据或指令的任何电子部件。例如,处理单元202可以是微处理器、中央处理单元(CPU)、专用集成电路(ASIC)、数字信号处理器(DSP)、固件或此类设备的组合。如本文所述,术语“处理单元”意在涵盖单个处理器或处理单元、多个处理器、多个处理单元或任何其他合适的一个或多个计算元件。
应当指出的是,网络接口设备200的部件可以由多个处理单元控制。例如,网络接口设备200的选择部件(诸如,网络控制器204)可以由第一处理单元控制,并且网络接口设备200的其他部件(诸如,监测部件206)可以由第二处理单元控制,其中第一处理单元和第二处理单元可以彼此通信,也可以不彼此通信。
网络控制器204可被配置为经由一个或多个物理或数据链路标准诸如以太网、WiFi、无线移动宽带等将外围设备连接到数据传输网络。网络控制器204可被配置为实施一个或多个安全协议,诸如从数据传输网络隔离所连接的外围设备(或外围设备的一个或多个端口),激活防火墙以过滤在外围设备和数据传输网络之间传输的数据包,发送关于由网络接口设备200识别的安全威胁的警示,等等。在一些情况下,网络控制器204可从外围设备和数据传输网络之间传输的数据包中识别IP路由信息。网络控制器204可被配置为对于数据传输网络和外围设备是透明的,并且在外围设备和数据传输网络之间传输数据。
监测部件206可至少与网络控制器204、第一通信部件220a和/或第二通信部件220b可操作地耦接。监测部件206可在运行于处理单元202上的软件和/或固件中实现,并且被配置为跟踪与在外围设备和数据传输网络之间传输的数据相关联的参数。在一些情况下,这可包括以限定或随机间隔或它们的组合进行的实时跟踪、连续跟踪和周期性跟踪。跟踪一个或多个参数可包括收集和记录关于与所传输的数据、频率等相关联的所传输的数据量(总计或在限定的时间段内)、数据传输速率、定时和持续时间信息的信息。在一些实施方案中,跟踪一个或多个参数可包括执行数据分析,诸如求平均值、统计回归、建立所收集或记录的数据之间的关系等。
在一些实施方案中,监测部件206可被配置为将所跟踪的参数与一个或多个定义的阈值进行比较。定义的阈值可以是一个或多个预先配置的参数,诸如由网络接口设备200的所有者设置的参数。在一些情况下,可由监测部件206来开发或细化所定义的阈值。例如,监测部件206可被配置有初始定义的阈值,诸如由设备的所有者设定的阈值。当监测部件206跟踪并收集关于在外围设备和数据传输网络之间传输的数据的信息时,监测部件206可使用与数据传输历史相关联的趋势来细化或改变初始定义的阈值。除此之外或另选地,监测部件206可被实现为机器学习算法,诸如被配置为识别所传输的数据中的模式的自适应神经网络。
在一些情况下,监测部件206可被配置有表征可信通信模式和/或不可信通信模式的数据传输模式。如本文所述,监测部件206可使用所配置的模式来监测和评估外围设备和数据传输网络之间的数据传输。除此之外或另选地,监测部件206可记录、跟踪或以其他方式存储与特定外围设备和数据传输网络之间的网络流量模式相关的数据。监测部件可将该跟踪的数据发送到一个或多个远程服务器,其中该跟踪的数据可用于开发或细化用于分析例如特定于网络接口设备所附接到的外围设备的数据流量模式的机器学习模型。这些机器学习模型可被推送到网络接口设备并由监测部件206用于评估与外围设备和数据传输网络之间的数据传输相关联的安全风险。
在一些情况下,监测部件206可被配置为跟踪与在网络接口设备和数据传输网络之间传输的数据相关的多种不同参数和/或数据传输模式,诸如IP路由信息、数据的目标地址、数据传输的调度/定时、通过数据传输网络接收的数据请求、端口扫描等。监测部件206可被配置为基于与这些参数中的一者或多者相关联的状态或状况来确定是否存在安全威胁。例如,监测部件206可被配置为基于特定类型的数据、用于将数据发送至外围设备的IP地址、外围设备正在向其传输数据的IP地址等来确定存在安全威胁。
存储器208可以存储可由网络接口设备200使用的电子数据。例如,存储器208可以存储电子数据或内容,诸如例如文本、图像、音频或视频文件、文档和应用程序、设备设置和用户偏好、定时信号、控制信号以及数据结构或数据库。存储器208可被配置为任何类型的存储器。仅以举例的方式,存储器208可以被实现为随机存取存储器、只读存储器、闪存存储器、可移动存储器、其他类型的存储元件或此类设备的组合。存储器208可存储指令,该指令在被执行时使得设备执行本文所述的任何或所有功能。
在一些实施方案中,网络接口设备200可包括用于跟踪其位置和/或确定网络接口设备是否已被篡改、去激活、断开或以其他不期望的方式修改的一个或多个部件。这些部件可包括如本文所述的位置跟踪器和一个或多个传感器。此外,网络接口设备200可包括允许其在已从外围设备拔出或以其他方式被篡改的情况下发送警示和/或继续工作的部件。例如,网络接口设备200可包括电池和可用于经由边信道连接与其他设备进行通信的一个或多个无线电设备。
一个或多个无线电部件210可被配置为在网络接口设备200和其他网络接口设备200或其他附近设备之间提供边信道通信。在一些情况下,无线电部件210可被配置为使用不同的无线通信协议诸如WiFi、蓝牙、LTE(4G、5G等)或任何其他合适的无线通信协议进行通信。无线电部件210可用于建立独立于数据传输网络的对等连接。在一些实施方案中,如果网络接口设备200与外围设备和/或数据传输网络断开,则无线电部件可被配置为发起边信道或对等连接或通过边信道或对等连接进行通信。在一些情况下,无线电部件210可接收指令或向远程设备传输数据(除了监测的数据之外还和/或除去监测的数据),该远程设备可控制接口设备200的操作,执行本文相对于接口设备200所讨论的处理功能,或与接口设备200协调动作。一般来讲,传感器110可包括一个或多个天线,诸如全向天线或定向天线或它们的组合。一个或多个天线可被配置为在特定频率或带宽诸如2.5千兆赫(GHz)天线、1.5GHz天线和/或任何其他合适的天线配置下接收和/或发射无线电信号。
GNSS设备212可被配置为确定网络接口设备200的位置。GNSS设备212可包括接收器,该接收器能够从一个或多个卫星接收信息以确定网络接口设备的200地理位置,该地理位置可包括纬度和经度坐标、高度信息等。在一些情况下,其他类型的位置传感器可单独使用或与GNSS设备212组合使用。例如,WiFi无线电部件可用于确定信号强度并三角测量网络接口设备200的位置。在其他情况下,磁力计可用于感测方向和运动。这些类型的位置传感器以及其他合适的位置或方向传感器可单独或组合用于位置感测,如本文所述。
网络接口设备200还可包括一个或多个传感器214。传感器214可被配置为感测一种或多种类型的参数,诸如但不限于压力数据、光数据、触摸数据、热数据、移动数据、相对运动数据、生物计量数据(诸如环境压力的变化)等。例如,传感器110可包括加速度计、陀螺仪传感器、环境光传感器、压力传感器诸如测高仪等。此外,所述一个或多个传感器214可利用任何合适的感测技术,包括但不限于电容、超声波、电阻、光学、超声、压电和热感测技术。
电源216可用能够向网络接口设备200提供能量的任何设备来实现。例如,电源216可以是连接网络接口设备的一个或多个部件的电源连接器或电源线,这些部件可包括第一通信部件220a和第二通信部件220b。除此之外或另选地,电源216可以是一个或多个电池或可充电电池,或者电池和电源连接器的组合。就这一点而言,如果网络接口设备变得与连续电源断开,则电源能够在一段时间内向网络接口设备提供不间断的电力。
第一通信部件220a和第二通信部件220b可形成在网络接口设备200的外壳中,包含在网络接口设备200的外壳中,或至少部分地定位在网络接口设备200的外壳内并能够通过网络接口设备200的外壳访问。第一通信部件220a可通过有线或无线连接诸如以太网连接或任何其他合适的接口将网络接口设备200连接到数据传输网络。第二通信部件220b可通过有线或无线连接诸如以太网连接或任何其他合适的接口将网络接口设备200连接到外围设备。在一些实施方案中,第一通信部件220a和第二通信部件220b可具有相同类型的连接接口。在其他实施方案中,第一通信部件220a和第二通信部件220b可具有不同的接口,诸如第一通信部件220a经由以太网连接而连接到数据传输网络并且第二通信部件220b通过不同的接口连接到外围设备。第一通信部件220a和第二通信部件220b中的任一者或两者可为直通件诸如端口,或者可包括或执行被设计成智能地管理数据传输的功能。
图3A和图3B示出了可操作为跟踪外围设备302的位置的网络接口设备300的示例;该网络接口设备300可以是或包含上文相对于图1所述的网络接口设备102a-c或相对于图2所述的网络接口设备200的功能。在一些实施方案中,网络接口设备300可被称为网络传感器,例如,当网络接口设备用于跟踪外围设备302的位置时。如本文所述,网络接口设备300可包括位置传感器诸如GNSS设备、测高仪,和/或使用网络信息诸如与WiFi连接、蜂窝连接(LTE)等相关联的位置数据来跟踪网络接口设备300的位置。网络接口设备300可使用该信息来确定其可与外围设备302相关联或相关的绝对(例如,地理位置)和/或相对位置(例如,距给定点的移动或距离、高度的变化等)。即,网络接口设备的位置可用作其所附接到的外围设备的代理。来自一个或多个不同类型的传感器的信息可被组合或以其他方式用于确定网络接口设备300的位置。例如,GNSS信息可与其他位置传感器信息诸如测高仪数据、无线定位(例如,WiFi、蓝牙、LTE等)、磁力计数据等组合。
在一些实施方案中,网络接口设备300可被配置有边界304,诸如地理围栏或其他位置边界,其相对于网络接口设备300的绝对位置或相对位置来限定。在一些情况下,边界304可与物理边界诸如建筑物的墙壁、建筑物内的特定楼层、围绕物业的栅栏等相关联。边界304可基于外围设备302的类型、外围设备302的位置、外围设备302的预期用途或其他合适的参数来配置。例如,如果外围设备302是位于制造设施中的大件机器,则边界304可被限定为与该机器的占位面积紧密对准,因为该机器旨在保持在相同位置。如果外围设备302是膝上型电脑,则可基于膝上型电脑将在或在其中使用的预期区域(诸如办公室、套房、建筑物等)来限定边界304。因此,边界304可允许膝上型电脑在有限区域内移动。在其他情况下,边界304可以是更扩展的,诸如如果外围设备是装运车辆;在这种情况下,边界304可涵盖装运车辆的计划路线。在一些情况下,边界304可动态更新。
网络接口设备300可被配置为相对于边界304跟踪外围设备302。如图3A所示,来自一个或多个传感器的数据可用于确定网络接口设备300位于边界304内。网络接口设备300可以连续地或周期性地更新其位置信息以跟踪其位置。在一些情况下,例如在外围设备302预期不移动的情况下,网络接口设备300可较不频繁地确定其位置。在预期外围设备302更频繁地移动的情况下,诸如在外围设备为膝上型电脑的情况下,网络接口设备300可更频繁地更新其位置。在一些情况下,网络接口设备300可基于外围设备302移动的速度来调整其位置跟踪的频率。
如图3B所示,网络接口设备300可确定外围设备302已移动到边界304之外并限制在外围设备302和数据传输网络之间传输的数据和/或向设备(公司)的所有者发送警示,如本文所述。在一些实施方案中,边界304可以是限定封闭或开放区域的一组GNSS坐标,并且网络接口设备300可被配置为如果外围设备302的坐标跨过边界304的一部分,则确定该外围设备已移动到边界之外。在其他实施方案中,边界304可以是定义的高度变化,并且网络接口设备300可被配置为如果其检测到大于定义的高度变化的高度变化,则确定外围设备302已移动到边界304之外。例如,在多水平制造设施中,可能期望确定外围设备302是否已移动到不同水平。因此,所定义的高度变化可基于制造设施的不同水平之间的高度差。
图4示出了用于操作网络接口设备的示例性方法400。方法400可使用如本文所述的设备和系统来执行,诸如网络接口设备、一个或多个数据传输网络以及一个或多个外围设备。方法400可用于监测和评估在外围设备和数据传输网络之间传输的数据信号,以确定与网络连接相关联的安全风险。
在402处,网络接口设备可从数据传输网络接收数据并将数据传输到外围设备。在一些实施方案中,网络接口设备可在一个方向上(诸如从数据传输网络至外围设备或从外围设备至数据传输网络)或在两个方向上(向和从外围设备两者)传输数据。
在404处,网络接口设备可跟踪与数据相关联的参数。例如,网络接口设备可跟踪数据流量模式,诸如在限定的时间段内传输的数据量、数据传输速率、数据传输的频率或定时,或者数据传输是否响应于发送到外围设备的请求。在一些情况下,网络接口设备可以使用跟踪的数据来定义和/或细化与跟踪的参数相关联的阈值。例如,如果外围设备历史上仅以特定间隔传输相对少量的数据,则网络接口设备可使用该信息来定义阈值。在其他情况下,如果外围设备具有在量上广泛变化的分散数据传输的历史,则外围设备可定义具有高可变性的阈值。在这种情况下,网络接口设备可以跟踪具有较低可变性的附加或不同参数。
在406处,网络接口设备可以将跟踪的参数与定义的状态进行比较,该定义的状态可以包括可信和/或不可信流量模式、一个或多个定义的阈值等。这可包括确定所监测的流量模式(其示例包括数据量、定时、目的地和/或源信息、端口扫描活动等)是否与定义的状态诸如可信或不可信流量模式匹配。在一些情况下,这可包括确定与跟踪的参数相关联的值是大于、等于还是小于与定义的阈值相关联的值。在一些情况下,将跟踪的参数与定义的阈值进行比较可包括统计分析,诸如回归、确定置信区间等。在一些实施方案中,网络接口设备可使用该分析来确定要采取什么动作。
在408处,网络接口设备可以确定跟踪的参数满足定义的状态。例如,网络接口设备可确定所跟踪的参数对应于已知的恶意数据传输模式,并限制正在数据传输网络与外围设备之间传输的数据,如本文所述。
图5示出了用于操作网络接口设备的示例性方法500。方法500可使用如本文所述的设备和系统来执行,诸如网络接口设备、一个或多个数据传输网络以及一个或多个外围设备。方法500可用于监测设备的网络接口的操作状态,以确定网络接口设备是否已被以未授权方式篡改或修改。
在502处,网络接口设备可接收在数据传输网络和外围设备之间传输的数据,如本文所述。
在504处,网络接口设备可监测其自身的操作参数中的一者或多者,该操作参数可用于确定其是否已被篡改。例如,网络接口设备可监测其连接状态以确定其是否已从外围设备或数据传输网络断开。在一些实施方案中,网络接口设备可包括如本文所述的加速度计和/或陀螺仪传感器,其可用于确定其是否已被移动或以其他方式被干扰。网络接口设备还可包括如本文所述的环境光传感器,该环境光传感器可用于确定与外围设备相关联的环境光水平。在一些情况下,环境光传感器可用于确定基线光强度/能级、光级的变化和/或可与不同事件诸如日间和夜间转变相关的模式。网络接口设备可使用该光信息来确定一个或多个定义的状态。定义的状态可用于评估安全风险,诸如网络接口设备是否已被篡改。其他传感器可包括温度传感器、运动传感器、接触传感器等。
在506处,网络接口设备可以将一个或多个操作参数的当前状态与相应操作参数的定义的状态进行比较。例如,网络接口设备可监测从加速度计接收的信号,并将这些信号与加速度参数的一个或多个定义的状态进行比较,该一个或多个定义的状态指示网络接口设备的未授权移动。在一些情况下,加速度计可输出指示网络接口设备的移动的加速度信号。就这一点而言,加速度信号可用于估计网络接口设备已经移动了多远。在一些情况下,可以为网络接口设备定义移动阈值,该移动阈值可以是加速度的大小、移动或干扰的量、网络设备已经移动多远的估计距离等的一个或多个极限。除此之外或另选地,网络接口设备可监测从陀螺仪传感器(例如,角速率传感器,其为移动传感器的另一个示例)接收的信号,以确定其是否正在移动、被篡改或以其他方式被干扰。在一些情况下,可将来自一个或多个陀螺仪传感器的信号与指示网络设备正被篡改或正在经历其他不期望的移动的定义的状态或阈值进行比较。例如,陀螺仪信号的定义的阈值可被配置为区分正常背景移动或振动(诸如由于一件装备的常规操作而引起的那些)与更显著的移动(诸如网络接口设备被物理拾取和/或操纵)。
如果光传感器被结合到网络接口设备中,则可将环境光数据与指示网络接口设备的未授权移动(诸如偏离预期的系统行为的光参数)的定义的环境光状态进行比较。在一些情况下,网络接口设备可以将多个不同操作参数的当前状态与它们的每个定义的状态进行比较,并且使用聚类分析来确定其是否已经以未授权方式被篡改或改变。
在508处,网络接口设备可以确定一个或多个操作参数的当前状态满足该参数的定义的状态,并向远程服务器传输警示。例如,网络接口设备可向拥有/操作网络接口设备的公司发送警示。在一些情况下,网络接口设备可尝试通过数据传输网络将警示作为安全消息发送。在其他实施方案中,网络接口设备可使用边信道通信(例如,经由无线通信系统的对等连接)来发送如本文所述的警示,诸如如果其已与数据信道网络断开。
图6示出了用于操作网络接口设备的示例性方法600。方法600可使用本文所述的设备和系统来执行,诸如网络接口设备、一个或多个数据传输网络以及一个或多个外围设备。方法600可用于跟踪网络接口设备及其所连接的外围设备的位置。
在602处,网络接口设备可接收在数据传输网络和外围设备之间传输的数据,如本文所述。
在604处,网络接口设备(其处理单元)可从包含在网络接口设备的外壳内的位置传感器(GNSS、测高仪等)接收信号。网络接口设备可使用位置信号来确定外围设备的绝对位置或相对位置。
在606处,网络接口设备可将外围设备的位置与物理边界阈值进行比较。在一些情况下,物理边界阈值可以是地理区域,诸如一组GNSS坐标,并且网络接口设备可将其当前地理位置与这些GNSS坐标进行比较。如果网络接口设备的当前地理位置越过由GNSS坐标限定的边界的一部分,则网络接口设备可确定外围设备已越过边界阈值。在一些实施方案中,网络接口设备可使用相对测量诸如高度的变化来确定外围设备是否已越过边界阈值。例如,如果检测到的高度变化超过定义的高度变化,则网络接口设备可确定外围设备已越过边界阈值。
在608处,网络接口设备可确定网络接口设备的位置已超过边界阈值并限制正在外围设备和数据传输网络之间传输的数据,如本文所述。
如上所述,本技术的某些方面允许监测正通过网络传输的数据、确定装备在指定环境内的位置和/或活动等。本公开设想,在一些实例中,此采集的数据可包括唯一识别或可用于接触或定位特定人员的个人信息数据。此类个人信息数据可包括人口统计数据、基于定位的数据、电话号码、电子邮件地址、Twitter ID(或其他社交媒体别名或处理)、家庭地址、与用户的健康或健身等级相关的数据或记录(例如,生命信号测量、药物信息、锻炼信息)、出生日期、或任何其他识别信息或个人信息。
本公开认识到在本发明技术中使用此类个人信息数据可用于使用户受益。例如,个人信息数据可用于提高用户设备与数据传输网络之间的网络连接的安全性。此外,本公开还预期个人信息数据有益于用户的其他用途。例如,监测用户的网络连接可提供允许用户访问公司的专用网络以执行与公司合作的任何必要任务的安全性。
本公开设想负责采集、分析、公开、传输、存储或其他使用此类个人信息数据的实体将遵守既定的隐私政策和/或隐私实践。具体地,此类实体应当实行并坚持使用被公认为满足或超出对维护个人信息数据的隐私性和安全性的行业或政府要求的隐私政策和实践。此类政策应该能被用户方便地访问,并应随着数据的采集和/或使用变化而被更新。来自用户的个人信息应当被收集用于实体的合法且合理的用途,并且不在这些合法使用之外共享或出售。此外,应在收到用户知情同意后进行此类采集/共享。此外,此类实体应考虑采取任何必要步骤,保卫和保障对此类个人信息数据的访问,并确保有权访问个人信息数据的其他人遵守其隐私政策和流程。另外,这种实体可使其本身经受第三方评估以证明其遵守广泛接受的隐私政策和实践。此外,应当调整政策和实践,以便采集和/或访问的特定类型的个人信息数据,并适用于包括管辖范围的具体考虑的适用法律和标准。例如,在美国,对某些健康数据的收集或获取可能受联邦和/或州法律的管辖,诸如健康保险流通和责任法案(HIPAA);而其他国家的健康数据可能受到其他法规和政策的约束并应相应处理。因此,在每个国家应为不同的个人数据类型保持不同的隐私实践。
不管前述情况如何,本公开还预期用户选择性地阻止使用或访问个人信息数据的实施方案。即本公开预期可提供硬件元件和/或软件元件,以防止或阻止对此类个人信息数据的访问。例如,就确定用户的存在、不在或活动而言,本发明技术可被配置为在注册服务期间或之后任何时候允许用户选择“选择加入”或“选择退出”参与对个人信息数据的收集。除了提供“选择加入”和“选择退出”选项外,本公开设想提供与访问或使用个人信息相关的通知。例如,可在下载应用时向用户通知其个人信息数据将被访问,然后就在个人信息数据被应用访问之前再次提醒用户。
此外,本公开的目的是应管理和处理个人信息数据以最小化无意或未经授权访问或使用的风险。一旦不再需要数据,通过限制数据收集和删除数据可最小化风险。此外,并且当适用时,包括在某些健康相关应用程序中,数据去标识可用于保护用户的隐私。在适当的情况下,可以通过移除特定标识符(例如,出生日期等)、控制存储的数据的量或特征(例如,在城市级而非地址级收集位置数据)、控制数据的存储方式(例如,在用户之间聚合数据)和/或其它方法来促进去标识。
因此,虽然本公开广泛地覆盖了使用个人信息数据来实现一个或多个各种所公开的实施方案,但本公开还预期各种实施方案也可在无需访问此类个人信息数据的情况下被实现。即,本发明技术的各种实施方案不会由于缺少此类个人信息数据的全部或一部分而无法正常进行。例如,可基于非个人信息数据或绝对最小量的个人信息(诸如与用户相关联的设备处的事件或状态、其他非个人信息或公开可用信息)来提供监测网络连接。
如本文所用,在用术语“和”或“或”分开项目中任何项目的一系列项目之后的短语“中的至少一者”是将列表作为整体进行修饰,而不是修饰列表中的每个成员。短语“中的至少一者”不要求选择所列出的每个项目中的至少一个;相反,该短语允许包括项目中任何项目中的最少一者和/或项目的任何组合中的最少一者和/或项目中每个项目中的最少一者的含义。举例来说,短语“A、B和C中的至少一者”或“A、B或C中的至少一者”各自是指仅A、仅B或仅C;A、B和C的任意组合;和/或A、B和C中的每一者中的一者或多者。类似地,可以理解,针对本文提供的结合列表或分离列表而呈现的元素的顺序不应被解释为将本公开仅限于所提供的顺序。
为了说明的目的,前述描述使用具体命名以提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,不需要具体细节,以便实践所述实施方案。因此,出于例示和描述的目的,呈现了对本文所述的具体实施方案的前述描述。它们并非旨在是穷举性的或将实施方案限制到所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,鉴于上面的教导内容,许多修改和变型是可行的。
Claims (20)
1.一种网络接口设备,包括:
第一通信部件,所述第一通信部件用于连接到数据传输网络;
第二通信部件,所述第二通信部件用于连接到外围设备;
网络控制器,所述网络控制器操作地耦接到所述第一通信部件和所述第二通信部件,并且被配置为:
从所述数据传输网络接收数据;以及
将数据传输到所述外围设备;
监测部件,所述监测部件与所述第一通信部件和所述第二通信部件通信地耦接,所述监测部件被配置为跟踪与所接收和传输的数据相关联的参数;和
处理单元,所述处理单元用于:
通过将所跟踪的参数与定义的状态进行比较来确定是否存在安全威胁;以及
响应于确定存在所述安全威胁,使得所述网络控制器限制传输到所述外围设备的所述数据。
2.根据权利要求1所述的网络接口设备,其中:
所跟踪的参数包括从所述数据传输网络接收的数据量或从所述外围设备传输的数据量中的一者;
所定义的状态基于在所述数据传输网络和所述外围设备之间传输的先前跟踪的数据量;并且
响应于从所述数据传输网络接收的所述数据量或从所述外围设备传输的所述数据量中的至少一者超过所述先前跟踪的数据量,所述网络控制器被配置为激活所述数据传输网络与所述外围设备之间的防火墙。
3.根据权利要求1所述的网络接口设备,其中:
所述监测部件被配置为跟踪数据传输趋势,所述数据传输趋势至少部分地基于在限定的时间段期间在所述数据传输网络和所述外围设备之间已传输的数据量;并且
所定义的状态至少部分地基于所述数据传输趋势。
4.根据权利要求3所述的网络接口设备,其中所跟踪的参数包括在所限定的时间段期间在所述数据传输网络和所述外围设备之间传输的所述数据量。
5.根据权利要求1所述的网络接口设备,其中:
所跟踪的参数包括所传输的数据的数据传输速率;并且
所定义的状态基于在所述数据传输网络和所述外围设备之间传输的数据的历史数据传输速率。
6.根据权利要求1所述的网络接口设备,其中所述网络控制器作为所述数据传输网络和所述外围设备之间的透明设备操作。
7.根据权利要求1所述的网络接口设备,其中限制传输到所述外围设备的所述数据包括激活在所述网络接口设备上操作的防火墙。
8.根据权利要求7所述的网络接口设备,其中:
所述外围设备包括多个端口:
传输到所述外围设备的所述数据通过所述多个端口中的第一端口传输;并且
将所述防火墙应用到所述多个端口中的所述第一端口。
9.一种用于操作网络接口设备的方法,所述网络接口设备用于监测和限制数据传输网络与外围设备之间的流量,所述方法包括:
在所述网络接口设备处接收从所述外围设备传输到所述数据传输网络的数据;
监测所述网络接口设备的操作参数;
将所述操作参数的当前状态与所述操作参数的定义的状态进行比较;
至少部分地基于所述操作参数的所述当前状态与所定义的状态不匹配来确定存在安全威胁;以及
响应于确定存在所述安全威胁,向远程服务器传输指示所述安全威胁的警示。
10.根据权利要求9所述的方法,其中:
监测所述操作参数包括确定所述网络接口设备的连接状态;
将所述操作参数的所述当前状态与所述操作参数的所定义的状态进行比较包括确定所述连接状态指示所述网络接口设备已与所述数据传输网络或所述外围设备断开;并且
传输所述警示包括向附近的网络设备传输无线电信号。
11.根据权利要求9所述的方法,还包括:
由所述网络接口设备建立与附近的网络设备的无线对等连接;以及
使用所述无线对等连接向所述附近的网络设备传输消息,其中所述消息指示所述网络接口设备已与所述数据传输网络或所述外围设备断开。
12.根据权利要求9所述的方法,还包括:
输出对应于所述网络接口设备移动的信号;以及
使用所述信号来估计所述网络接口设备已经移动了多远。
13.根据权利要求12所述的方法,其中:
所定义的状态包括移动阈值;并且
将所述操作参数的所述当前状态与所述操作参数的所定义的状态进行比较包括确定所述网络接口设备移动的距离是否超过所述移动阈值。
14.根据权利要求9所述的方法,还包括:
由环境光传感器输出指示环境光的光信号;并且其中
监测所述操作参数包括确定所述环境光的变化。
15.根据权利要求14所述的方法,其中:
所定义的状态包括光阈值;并且
将所述操作参数的所述当前状态与所述操作参数的所定义的状态进行比较包括确定所述环境光的所述变化是否超过所述光阈值。
16.根据权利要求9所述的方法,其中响应于所述操作参数的所述当前状态满足所定义的状态,所述网络接口设备被进一步配置为限制正在所述数据传输网络和所述外围设备之间传输的所述数据。
17.一种网络传感器,包括:
网络控制器,所述网络控制器被配置为将外围设备通信地耦接到数据传输网络;
位置传感器,所述位置传感器被配置为监测所述网络传感器的位置并输出对应于所述网络传感器的所述位置的信号;和
处理单元,所述处理单元被配置为:
从所述位置传感器接收所述信号;
使用所述信号来确定所述网络传感器在边界之外;以及
响应于确定所述网络传感器在所述边界之外,指示所述网络控制器限制所述数据传输网络和所述外围设备之间的数据传输。
18.根据权利要求17所述的网络传感器,其中:
所述位置传感器包括全球导航卫星系统(GNSS)跟踪设备;
所述边界包括一组定义的GNSS坐标;并且
确定所述网络传感器在所述边界之外包括确定所述GNSS跟踪设备已跨过所述一组定义的GNSS坐标中的至少一个坐标。
19.根据权利要求17所述的网络传感器,其中:
所述位置传感器包括测高仪;
所述边界包括定义的高度变化;并且
确定所述网络传感器在所述边界之外包括确定所述测高仪的高度变化超过所定义的高度变化。
20.根据权利要求17所述的网络传感器,其中响应于确定所述网络传感器在所述边界之外,所述处理单元被进一步配置为向远程服务器传输警示。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063038066P | 2020-06-11 | 2020-06-11 | |
| US63/038,066 | 2020-06-11 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113810360A true CN113810360A (zh) | 2021-12-17 |
Family
ID=78826338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110630054.6A Pending CN113810360A (zh) | 2020-06-11 | 2021-06-07 | 网络接口设备 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20210392500A1 (zh) |
| CN (1) | CN113810360A (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| US20120314063A1 (en) * | 2007-03-14 | 2012-12-13 | Seth Cirker | Threat based adaptable network and physical security system |
| CN103543700A (zh) * | 2012-06-27 | 2014-01-29 | 尤比奎蒂网络公司 | 控制传感器装置的方法和设备 |
| US20140181901A1 (en) * | 2012-12-20 | 2014-06-26 | Broadcom Corporation | Secure Active Networks |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| US20160381030A1 (en) * | 2015-06-23 | 2016-12-29 | Symantec Corporation | Router Based Securing of Internet of Things Devices on Local Area Networks |
| US20170313332A1 (en) * | 2002-06-04 | 2017-11-02 | General Electric Company | Autonomous vehicle system and method |
| US20180159894A1 (en) * | 2016-12-01 | 2018-06-07 | Cisco Technology, Inc. | Automatic threshold limit configuration for internet of things devices |
| CN108965237A (zh) * | 2017-05-17 | 2018-12-07 | 通用电气公司 | 网络防火墙系统及对应的方法及非暂时性计算机可读介质 |
| CN109246072A (zh) * | 2017-07-11 | 2019-01-18 | 波音公司 | 具有自适应机器学习特征的网络安全系统 |
| US20190221106A1 (en) * | 2015-10-21 | 2019-07-18 | Mutualink, Inc. | Wearable smart router |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8826413B2 (en) * | 2009-12-30 | 2014-09-02 | Motorla Solutions, Inc. | Wireless local area network infrastructure devices having improved firewall features |
| WO2013055807A1 (en) * | 2011-10-10 | 2013-04-18 | Global Dataguard, Inc | Detecting emergent behavior in communications networks |
| US20150256431A1 (en) * | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
| US9641544B1 (en) * | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
-
2021
- 2021-06-07 US US17/340,408 patent/US20210392500A1/en active Pending
- 2021-06-07 CN CN202110630054.6A patent/CN113810360A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170313332A1 (en) * | 2002-06-04 | 2017-11-02 | General Electric Company | Autonomous vehicle system and method |
| US20120314063A1 (en) * | 2007-03-14 | 2012-12-13 | Seth Cirker | Threat based adaptable network and physical security system |
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| CN103543700A (zh) * | 2012-06-27 | 2014-01-29 | 尤比奎蒂网络公司 | 控制传感器装置的方法和设备 |
| US20140181901A1 (en) * | 2012-12-20 | 2014-06-26 | Broadcom Corporation | Secure Active Networks |
| US20160381030A1 (en) * | 2015-06-23 | 2016-12-29 | Symantec Corporation | Router Based Securing of Internet of Things Devices on Local Area Networks |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| US20190221106A1 (en) * | 2015-10-21 | 2019-07-18 | Mutualink, Inc. | Wearable smart router |
| US20180159894A1 (en) * | 2016-12-01 | 2018-06-07 | Cisco Technology, Inc. | Automatic threshold limit configuration for internet of things devices |
| CN108965237A (zh) * | 2017-05-17 | 2018-12-07 | 通用电气公司 | 网络防火墙系统及对应的方法及非暂时性计算机可读介质 |
| CN109246072A (zh) * | 2017-07-11 | 2019-01-18 | 波音公司 | 具有自适应机器学习特征的网络安全系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210392500A1 (en) | 2021-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11457047B2 (en) | Managing computer security services for cloud computing platforms | |
| Varshney et al. | Architectural model of security threats & theircountermeasures in iot | |
| US11936619B2 (en) | Combined security and QOS coordination among devices | |
| US10536486B2 (en) | Social-graph aware policy suggestion engine | |
| CA2960531C (en) | Application platform security enforcement in cross device and ownership structures | |
| US9042876B2 (en) | System and method for uploading location information based on device movement | |
| EP3528153B1 (en) | Systems and methods for detecting and twarting attacks on an it environment | |
| EP2723034A1 (en) | System for Detection of Mobile Applications Network Behavior - Netwise | |
| US10346607B2 (en) | Automatic rotation and storage of security credentials | |
| KR20150069027A (ko) | 하드웨어 관리 인터페이스 | |
| WO2013142573A1 (en) | System and method for crowdsourcing of mobile application reputations | |
| US9781090B2 (en) | Enterprise computing environment with continuous user authentication | |
| EP4350554A2 (en) | Secure count in cloud computing networks | |
| US20230300153A1 (en) | Data Surveillance In a Zero-Trust Network | |
| Mekala et al. | Cybersecurity for Industrial IoT (IIoT): Threats, countermeasures, challenges and future directions | |
| US11570205B1 (en) | Anonymous contact tracing with network based hyperlocal authentication | |
| US20210392500A1 (en) | Network interface device | |
| Ahmed et al. | Navigating the IoT landscape: Unraveling forensics, security issues, applications, research challenges, and future | |
| Leo John et al. | Introduction to the Internet of Things: Opportunities, Perspectives and Challenges | |
| US20230050007A1 (en) | System security | |
| US20230308485A1 (en) | Monitoring data exfiltration based on user status | |
| US20160315927A1 (en) | Method and system for establishing and managing personal black box (pbb) in virtually-networked big-data (vnbd) environment | |
| Udayakumar et al. | Develop Security Strategy for IoT/OT with Defender for IoT | |
| Makda et al. | A Secure Cloud-Based Infrastructure for Virtual Sensors in IoT Environments | |
| Sehgal et al. | Trust Modelling for Security of IoT Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |