CN115039379A - 使用分类器层级确定设备属性的系统和方法 - Google Patents
使用分类器层级确定设备属性的系统和方法 Download PDFInfo
- Publication number
- CN115039379A CN115039379A CN202080095219.8A CN202080095219A CN115039379A CN 115039379 A CN115039379 A CN 115039379A CN 202080095219 A CN202080095219 A CN 202080095219A CN 115039379 A CN115039379 A CN 115039379A
- Authority
- CN
- China
- Prior art keywords
- sub
- class
- model
- output
- training
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000000694 effects Effects 0.000 claims abstract description 35
- 238000012549 training Methods 0.000 claims description 43
- 238000012545 processing Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 12
- 230000000116 mitigating effect Effects 0.000 claims description 11
- 230000009471 action Effects 0.000 claims description 8
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000010801 machine learning Methods 0.000 description 8
- 230000008520 organization Effects 0.000 description 6
- 235000019580 granularity Nutrition 0.000 description 4
- 230000002547 anomalous effect Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
- G06F18/2113—Selection of the most significant subset of features by ranking or filtering the set of features, e.g. using a measure of variance or of feature cross-correlation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/231—Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2431—Multiple classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/24765—Rule-based classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V30/00—Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
- G06V30/10—Character recognition
- G06V30/24—Character recognition characterised by the processing or recognition method
- G06V30/248—Character recognition characterised by the processing or recognition method involving plural approaches, e.g. verification by template match; Resolving confusion among similar patterns, e.g. "O" versus "Q"
- G06V30/2528—Combination of methods, e.g. classifiers, working on the same input data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Mathematical Physics (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Medical Informatics (AREA)
- Environmental & Geological Engineering (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Databases & Information Systems (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Computational Linguistics (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种使用分类器层级确定设备属性的系统和方法。该方法包括:将层级的多个子模型顺序应用于从设备活动数据中提取的多个特征,其中顺序应用以应用多个子模型的最后一个子模型结束,其中每个子模型包括多个分类器,其中每个子模型在应用于多个特征的至少一部分时输出一个类,其中每个类是表示设备属性的分类器输出,其中应用所述多个子模型进一步包括基于最近应用的子模型的类输出和所述层级迭代地确定要应用的下一个子模型;以及基于由最后一个子模型输出的类来确定设备属性。
Description
相关申请的交叉引用
本申请要求2019年12月30日提交的美国专利申请号16/729,823的权益,其内容通过引用并入本文。
技术领域
本公开总体上涉及设备描述,并且更具体地涉及使用机器学习来确定设备属性。
背景技术
每当新设备连接到组织的网络或在靠近组织的物理位置的位置被激活时,新设备就有可能被恶意实体用来对组织、网络或两者造成损害。由于现在能够进行网络连接的新设备的数量迅速增加,由于网络接入而可能发生的潜在问题的数量呈指数增长。此外,许多这些新设备不仅能够连接到网络,而且还能够创建它们自己的网络或热点。
用于防止恶意设备的现有解决方案包括在设备参与涉及连接到网络的活动时对其进行描述。这种设备描述可用于确定设备是否以该类设备的已知典型行为一致地运行,并因此确定设备是否可能表现出指示威胁的异常行为。
因此,提供一种能够克服上述挑战的解决方案将是有利的。
发明内容
以下是本公开的若干示例实施例的概述。该概述是为了方便读者提供对这些实施例的基本理解而提供的,并不完全限定本公开的范围。该概述不是所有预期实施例的广泛综述,并且既不旨在标识所有实施例的关键或重要元素,也不旨在描绘任何或所有方面的范围。其唯一目的是以简化的形式呈现一个或多个实施例的一些概念,作为稍后呈现的更详细描述的序言。为方便起见,术语“一些实施例”或“某些实施例”在本文中可用于指代本公开的单个实施例或多个实施例。
本文公开的某些实施例包括一种使用分类器层级来确定设备属性的方法。该方法包括:将层级的多个子模型顺序应用于从设备活动数据中提取的多个特征,其中顺序应用以应用多个子模型的最后一个子模型结束,其中每个子模型包括多个分类器,其中每个子模型在应用于多个特征的至少一部分时输出一类,其中每个类是表示设备属性的分类器输出,其中应用所述多个子模型进一步包括基于最近应用的子模型和所述层级的类输出迭代地确定要应用的下一个子模型;以及基于由最后一个子模型输出的类来确定设备属性。
在此公开的某些实施例还包括其上存储有使得处理电路执行过程的非暂时性计算机可读介质,该过程包括:将层级的多个子模型顺序应用于从设备活动数据提取的多个特征,其中顺序应用以应用多个子模型的最后一个子模型结束,其中每个子模型包括多个分类器,其中每个子模型在应用于所述多个特征的至少一部分时输出一类,其中每个类是表示设备属性的分类器输出,其中应用所述多个子模型进一步包括基于最近应用的子模型和所述层级的类输出迭代地确定要应用的下一个子模型;以及基于由最后一个子模型输出的类来确定设备属性。
本文公开的某些实施例还包括使用分类器层级来确定设备属性的系统。该系统包括:处理电路;以及存储器,所述存储器包含指令,当由所述处理电路执行时,所述指令将所述系统配置为:将层级的多个子模型顺序应用于从设备活动数据中提取的多个特征,其中所述顺序应用以应用所述多个子模型的最后一个子模型结束,其中每个子模型包括多个分类器,其中每个子模型在应用于所述多个特征的至少一部分时输出一类,其中每个类是表示设备属性的分类器输出,其中应用多个子模型进一步包括基于最近应用的子模型和层级的类输出迭代地确定要应用的下一个子模型;以及基于由最后一个子模型输出的类来确定设备属性。
附图说明
本文公开的主题在说明书结尾的权利要求中特别指出并明确要求保护。从下面结合附图的详细描述中,所公开的实施例的前述和其他目的、特征和优点将变得清晰。
图1是用于描述各种公开的实施例的网络图。
图2是示出了根据一个实施例的使用分类器层级来确定设备属性的方法的流程图。
图3是说明性地表示根据一个实施例的分类器层级的示意图。
图4是示出根据一实施例的用于基于设备属性执行缓解动作的方法的流程图。
图5是根据一个实施例的设备属性分级分类系统的示意图。
具体实施方式
重要的是要注意,这里公开的实施例仅仅是这里的创新教导的许多有利使用的例子。一般而言,在本申请的说明书中做出的陈述不一定限制各种要求保护的实施例中的任何一个。此外,一些陈述可能适用于一些创造性特征,但不适用于其他特征。一般而言,除非另有说明,否则在不失一般性的情况下,单数元素可以是复数,反之亦然。在附图中,相同的数字在几个视图中指代相同的部分。
准确的设备描述依赖于完整和准确的设备属性。在这点上,已经认识到设备属性经常缺失或冲突,特别是当从不同来源接收到大量设备属性数据时。例如,由于部署或由于数据采样而不是连续收集,网络流量数据可能仅被部分覆盖。作为另一个例子,当随着时间的推移连续收集数据时,或者当数据的不同部分源自不同的提取库时,设备数据可能是冲突的。
为此,所公开的实施例提供了用于提高用于描述的设备属性的准确性的解决方案。所公开的实施例包括使用机器学习来确定设备属性的系统和方法。更具体地,所公开的实施例提供了旨在提供设备识别的基于决策树的集成机器学习模型。基于决策树的集成机器学习模型被配置成使用包括分类器子模型的层级结构来确定设备属性。
根据所公开的实施例,层级中的每个级别包括多个专用于属性预测的子模型。每个子模型还包括一个或多个分类器。更具体地,每个分类器被训练以输出表示设备属性的预测类和预测的置信度得分。从预测的类中选择适当的类。从每个子模型中选择的适当类用于确定要应用的下一个相关子模型。
在一个实施例中,当层级的一个分支已经被完全遍历时(即,已经到达叶节点并且已经应用了其分类器),可以确定设备属性。在另一个实施例中,可以确定设备属性,并且在到达叶节点之前(例如,一旦出现终止标准),可以停止遍历层级。在另一实施例中,当输出低于阈值的置信度得分时,终止标准出现。也就是说,当一个或多个先前的分类具有高于阈值的置信度得分并且后续的分类具有低于阈值的置信度得分时,遍历可以停止。在这样的实施例中,可以使用置信度得分高于阈值的最近分类,使得最后的子模型是输出该最近分类的子模型。
所公开的实施例提供了用于改进机器学习过程的技术,该技术可以提高分类的准确性,减少不必要特征的提取,或者两者兼有。所公开的实施例还提供了用于预处理训练数据的技术,以进一步改善所得的层级,并因此改善所得分类的准确性。所公开的实施例可以用于例如填充设备描述文件的设备属性字段,这又可以用于检测与具有相似描述文件的设备相比的异常活动。因此,所公开的实施例允许改进对未知设备造成的网络安全威胁的缓解。
图1是用于描述各种公开的实施例的无线环境100的示例网络图。无线环境100包括多个无线设备110-1至110-m(以下单独称为无线设备110并统称为无线设备110,仅出于简单的目的)和多个共存的无线网络120-1至120-n(以下单独称为无线网络120并统称为无线网络120,仅出于简单的目的),从而允许无线设备110之间的通信。同样,在无线环境100中可操作的是组织的内部网络130。内部网络130包括受保护资源131。这种受保护资源131可以包括但不限于服务器、计算机、数据库、服务、应用、数据等。
每个无线设备110可以是但不限于膝上型电脑、PC、智能手机、物联网设备、可穿戴设备、外围设备(例如,打印机、鼠标、键盘、扬声器等)、电器、遥控器、无线路由器(接入点)或任何其他可以通过无线网络通信的电气或电子设备。
无线网络120能够便于使用无线通信协议进行通信,无线通信协议例如但不限于Wi-Fi、nRF、蜂窝通信协议(例如,LTE、2G、3G、4G等)、蓝牙、Wi-Gi、Zigbee、Z-Wave、5蓝牙低能量(BLE)、EnOcean、DECT、6LoWPAN等等。应当注意,应用层协议可以通过这种无线协议进行通信。应用层协议的例子包括但不限于隔空投送、HTTP、SMB、NTLM、OBEX等。
在示例实现中,在无线网络100中部署了多个传感器140-1至140-p(以下单独称为传感器140并且统称为传感器140,仅出于简单的目的)。每个传感器140被部署为带外设备,并被配置为监视和控制由部署传感器140的附近的无线设备110发送的无线流量。在一些实施例中,传感器140可以被部署为连接在无线网络100中的设备、仅监听流量的无源设备或作为分接头设备。
每个传感器140被配置成基于相应的无线通信协议来处理被监控的流量。例如,如果所监控的流量是通过蓝牙连接传输的,则传感器140被配置为提取蓝牙协议通过其整个堆栈携带的数据。这种数据可以包括确定例如是否建立了新连接、是否识别了现有连接、正在传输的数据类型或其组合所需的报头和有效载荷数据。因此,每个传感器140被配置成处理由传感器140支持的每个无线协议的堆栈(所有或一些层)。上面提到了这种无线协议的例子。在一个实施例中,每个传感器140可以处理至少一种类型的无线协议。
作为示例,传感器140可以通过安全Wi-Fi网络(例如,网络120-1)嗅探两个无线设备110之间传输的流量。为了提取协议数据,传感器140需要解密通过空中传输的数据。为此,根据一个实施例,Wi-Fi网络的密码被上传并存储在传感器140中。使用密码,传感器140可以充当无源设备,其被配置为监听Wi-Fi网络上的数据流量,并解密设备(例如,网络120-1中的无线设备110-3和110-2)之间传输的任何数据流量。
具体地,当新的无线设备110连接到Wi-Fi网络时,在接入点和新设备之间执行密钥交换协议。传感器140可以被配置成捕获该通信。在一个示例实现中,密钥交换协议是一个4次握手过程,它是一个双面询问-应答,被设计成验证双方可以在不直接发送密钥的情况下导出相同的加密密钥。可以为相互认证执行该过程。一旦捕获到认证分组,传感器140被配置成使用预先配置的密码来导出与新的无线设备110相同的密钥。这些密钥用于解密和加密在新无线设备110和接入点之间传输的任何流量。
传感器140还被配置成捕获两个配对的无线设备110之间的BLE通信,并提取协议数据。为了发现加密密钥,由传感器140或系统150猜测或预先配置密钥条目(例如,当使用密钥条目配对程序时为6位数字)。例如,可以通过尝试6位数字代码的所有可能选项来猜测密码条目。使用发现的密钥条目和捕获的握手,可以基于BLE密钥交换程序为会话导出加密密钥。使用该加密密钥,可以解密两个BLE设备110之间的通信,并提取协议数据。
在另一示例实现中,传感器140可以通过询问安装或部署在环境100中的网络设备(未示出)来提取流量参数。例如,传感器140可以向无线接入点询问正在建立的新连接以及参与这种连接建立的无线设备。例如,可以向网络设备询问正在建立的连接的类型、协议类型、参与连接的无线设备、连接建立的时间等等。在又一实施例中,传感器140可以询问无线设备110以检索关于特定无线设备110的信息。例如,可以通过询问无线设备110-2来检索无线设备110-2的供应商和当前OS类型。
由每个传感器140提取的数据可以被发送到分级分类系统150用于进一步分析。作为非限制性示例,当传感器140识别出新的无线连接时,与新的无线连接相关联的数据被发送到分级分类系统150。
用于确定设备属性的信息由传感器140、分级分类系统150或两者处理。例如,在一个实施例中,传感器140可以识别空中传输的流量中的MAC地址。MAC地址被发送到分级分类系统150,分级分类系统150将地址相关联以识别与两个或更多MAC地址相关联的单个设备。MAC地址还可以提供给定设备的供应商的指示。基于MAC地址确定设备的供应商可以由传感器140或者由分级分类系统150来执行。
应当注意,由传感器140提供给分级分类150的信息可以被解密,并且可以包含用于由分级分类系统150分析的相关信息。例如,这种信息可以包括由无线设备110访问的网络地址(例如,IP地址、URLs、端口号等)。该信息可以包括无线设备110正在访问或传输的数据。例如,从无线设备110传输到无线环境内部或外部位置的Word文档的内容将被提供给分级分类系统150。
在一个实施例中,传感器140还被配置成在分级分类系统150的控制下执行缓解动作。例如,传感器140可以终止与被确定为易受攻击的无线设备110的无线连接。在另一个实施例中,分级分类系统150可以被配置成执行缓解动作或者使传感器140执行缓解动作。
每个传感器140可以实现为物理装置、虚拟装置(由处理系统执行)或其组合。虚拟装置实现的示例包括但不限于虚拟机、微服务、软件代理等。
分级分类系统150可以部署在数据中心、云计算平台(例如,公共云、私有云或混合云)、组织的本地部署(on-premise)或其组合中。分级分类系统150或其功能可以嵌入一个或多个传感器140中。
在示例部署中,分级分类系统150被配置成与一个或多个外部系统160连接。这种外部系统160的示例可以包括但不限于用于检索用户许可的组织的活动目录、访问控制系统、用于报告检测到的漏洞的安全信息和事件管理(SIEM)系统、或者可以向分级分类系统150提供潜在威胁或已知漏洞的其他设备。外部系统160还可以包括库存管理系统、身份管理系统、认证服务器等。
在一个实施例中,分级分类系统150被配置成确定这里描述的设备属性。具体而言,分级分类系统150被配置成导航分类器层级结构,以便确定每个设备属性,例如无线设备110之一的设备属性。分级分类系统150可以进一步被配置成训练层级的子模型,如本文所述。
分级分类系统150可以进一步被配置成检测不属于组织的无线设备110,其可能执行恶意活动,并且因此可能对无线环境100中的设备和网络造成风险。在不限制所公开的实施例的范围的情况下,这种设备将被称为易受攻击的设备。这种检测可以部分基于由传感器140提取和从传感器140接收的数据来执行。分级分类系统150可被配置成使用如本文所述确定的设备属性来描述在无线环境100中发现的每个无线设备110。执行设备的描述是为了确定设备是否是合法设备。在一些实施方式中,分级分类系统150被配置为创建合法设备列表和“未知设备”列表。合法设备是被授权访问内部网络130或任何受保护资源131的无线设备110。未知设备是不能被识别为合法设备的无线设备110。
在一些实施方式中,可以基于所确定的设备属性,为在环境110中检测到的每个设备110(未知的和合法的)确定风险分值。风险分值是根据设备执行的活动和设备的描述文件确定的。这些活动可以涉及检测到的漏洞的类型、被访问的内部资源、被利用的数据的类型、由设备传输的数据的类型、设备类型、连接类型或其任意组合。
为了发现新的无线设备110,传感器140可以被配置成检测在无线环境100中正在建立的任何新的无线连接。例如,检测到与接入点(例如,通过Wi-Fi网络)或与另一设备(例如,蓝牙连接)建立的任何新连接。可替代地或共同地,无线设备110能够在设备从网络断开时被检测。例如,如果无线设备110检测到来自Wi-Fi网络的探测请求或蓝牙网络中的寻呼请求,则这种请求表示设备断开。发起这种请求的无线设备110是被发现的设备。
传感器140至少提取或确定发起连接的设备的唯一标识符。基于提取的唯一标识符的值,确定该设备是否已经被发现。唯一标识符可以包括但不限于MAC地址。先前发现的设备的列表可以在集中的位置(例如,在分级分类系统150中)被管理,或者分布在各个传感器140中。
应当注意,在发现新的无线设备110时,唯一标识符并不总是可用的。例如,蓝牙微微网、从属设备等在不知道它们的MAC地址的情况下被识别。在这种情况下,唯一标识符可以是由主设备使用临时槽地址分配给从属设备的临时槽地址。可以在以后提取从属设备的MAC地址。
在一个实施例中,分级分类系统150可以被配置成基于设备的描述文件和指示无线设备120的活动的数据来确定无线设备120是否易受攻击。具体地,给定无线设备120的描述文件中的设备属性的情况下,如果例如无线设备120的活动存在异常,则无线设备120可以被确定为易受攻击。此类异常可以通过使用机器学习模型针对不同设备属性的预定规则进行定义,机器学习模型使用来自具有不同设备属性的设备的活动数据、或其组合进行训练。
应当理解,这里公开的实施例不限于图1所示的特定架构,并且在不脱离所公开的实施例的范围的情况下,可以使用其他架构。具体而言,在一个实施例中,可以有多个分级分类系统150,其如上文所述操作,并且被配置为将其中一个作为备用,以在它们之间共享载荷,或者在它们之间划分功能。
此外,在典型的无线环境100或典型的部署中,将有多个可以共存的内部网络130,即,图1中示出的单个网络130仅仅是为了简化讨论的目的。根据所公开的实施例的通信可以通过网络进行,例如但不限于无线、蜂窝或有线网络、局域网(LAN)、广域网(WAN)、城域网(MAN)、互联网、万维网(WWW)、类似的网络及其任意组合。
还应该注意,在一些配置中,一个或多个传感器140可以嵌入在分级分类系统150中。此外,无线设备120被描述为无线的,但是根据所公开的实施例,也可以为有线设备确定设备属性。
图2是示例流程图200,示出了根据一个实施例的使用分类器层级来确定设备属性的方法。在一个实施例中,该方法由图1的分层分类系统150执行。
在S210,用于训练一个层级的分类器的训练数据被预处理。训练数据包括与多个设备相关的数据,例如但不限于从设备获得的数据、与设备活动(例如,网络活动)相关的数据或其组合。网络活动数据可以包括但不限于一段时间内发送和接收的流量、使用的域、使用的端口、会话数量、通话的主机数量等。在一个实施例中,训练数据还包括指示每个设备的设备属性的类标签。
在一个实施例中,S210包括从训练数据中提取特征。要提取的特征基于要应用的分类器。
在进一步的实施例中,S210可以进一步包括清理训练数据。要使用的分类器可以包括一组预定的分类器,每个分类器与不同的设备属性相关联。分类器包括一些在设备属性上不重叠的分类器(例如,与移动设备相关联的分类器和与非移动设备相关联的分类器),以及一些在设备属性上重叠的分类器,使得一个分类器与比另一个更具体的设备属性相关联(例如,与移动设备相关联的分类器和与智能手机相关联的分类器,即,特定类型的移动设备)。
在一个实施例中,S210还包括减少关于设备的训练数据。为此,可以排除与至少一些设备相关的数据。在又一个实施例中,可以排除与所需设备属性未知(即,未标记)的设备相关的数据、与所识别的设备属性不一致(即,不一致的标记)的设备相关的数据或者这两者。
在另一个实施例中,S210可以进一步包括移除由训练标签指示的一个或多个训练设备属性类。为此,S210可能包括排除类、修改类或两者都包括。为此,可以排除或修改与被排除或修改的类别相关联的分类器。被排除的类可以包括但不限于在训练数据中具有少量(例如,低于阈值)样本的类,即少量设备将该类作为设备属性的类。修改类可以包括将多个类合并成单个类,该多个类例如,具有低程度的行为特性变化的类(例如,用于确定类的特征的相似性高于阈值的类)。
在S220,训练层级的子模型,并且建立层级。在一个实施例中,使用梯度提升树来训练子模型。
在一个实施例中,层级包括多个级别,其中至少一些级别包括多个子模型。不同级别的子模型提供了关于设备属性的不同粒度。作为非限制性示例,可以训练较低粒度的子模型来确定设备类型(例如,“打印机”),并且可以更具体地训练较高粒度的子模型来确定设备的型号(例如,“ABC公司型号8打印机”)。
在一个实施例中,层级使用集成学习技术。具体而言,层级的子模型的不同分类器可以应用于从数据集中提取的特征,并且基于每个子模型的分类器的输出来选择表示设备属性的类。为此,每个分类器可以被训练为输出其各自类别的置信度得分。置信度得分指示分类器的类代表正确的设备属性的可能性,并且可以与其他置信度得分进行比较,以确定应该选择哪个标签。
图3中直观地表示了分类器的示例层级。图3是说明性地表示根据一个实施例的分类器层级300的图。在图3中,层级是包括节点310至340的模型。每个节点代表与相应属性相关联的相应分类器。因此,层级300中较低的节点比层级中较高的节点表示更高粒度的分类器。节点320、330和340(即,除了根节点之外的节点)分别被分组到子模型325、335和345。
在层级300中,节点310是代表初始类(或缺少初始类)的根(R)节点。当在根节点310时,例如使用集成学习技术,应用分类器320-1和320-2的第一子模型325。具体地,应用子模型325中的所有分类器320,并且基于分类器320的结果确定适当的类。
基于应用先前子模型的结果来应用后续子模型。更具体地,基于使用一个子模型确定的类,确定要使用的下一个子模型。下一个子模型是相关子模型(即,与最后确定的类相关),并且处于层级的下一级(例如,与子模型325相比,子模型335处于层级的下一级)。
当确定设备属性时,通过从包括直接在根节点310之下的节点的子模型开始顺序地应用子模型来导航层级300,直到到达被导航的路径的叶节点(在示例层级300中,所有路径的叶节点是节点340)或者直到出现另一个终止标准(例如,输出低于子模型之一的分类阈值的置信度得分,达到层级中的预定级别,或者确定高于阈值的设备属性的置信度得分)。通过分阶段应用分类器,可以更准确地确定设备属性。具体地,每个分类器相对于可能的设备属性的更广泛集合的子集被训练,使得阶段的顶点可能比例如应用单个分类器来确定设备属性更准确。此外,可以为每个子模型提取不同的特征,从而允许通过允许对分类器的输入进行定制来进一步提高分类的准确性。
作为非限制性示例,当训练子模型325的分类器320-1和320-2来将特征分类为移动设备或非移动设备时,与节点320-1相关联的分类器可以表示类别“移动设备”,而与节点320-2相关联的分类器可以表示类别“非移动设备”应用子模型325的结果将是选择“移动设备”或“非移动设备”作为设备的适当设备属性。
应当注意,关于图3描述的层级是非限制性的视觉表示,并且根据所公开的实施例的层级不需要如图3所示进行布置。具体而言,在不脱离本公开的范围的情况下,可以使用不同数量的总节点、每个级别使用不同数量的节点、每个子模型使用不同数量的节点等。同样,层级的向下分支方向仅用于可视地描述节点之间的关系以及区分不同级别的节点,而不应被解释为限制。例如,在不脱离本公开的范围的情况下,该层级同样可以被视为向上流动的层级。此外,不是所有的叶节点都将处于相同的级别,即,一些设备属性可能比其他设备属性需要更多的子模型应用来达到最具体的设备属性。
回到图2,在一个实施例中,每个分类器的训练是使用训练数据的受监督的机器学习过程,该训练数据包括训练设备数据和指示设备属性分类的标签。训练设备数据可以包括但不限于通过检查设备获得的数据、通过监控进出设备的流量获得的数据、与设备相关的网络数据等。这种训练设备数据可以包括由监控设备的系统(例如,监控无线设备110的传感器140,图1)捕获的数据类型。
在S230,从应用数据中提取特征。所提取的特征包括每个分类器所需的特征,以用作分级集成分类的一部分。在一些实施例中,当导航层级时,可以根据需要提取特征。例如,因为导航层级包括选择要使用的层级的下一级中的子模型(即,一个或多个分类器的组),所以可以仅在下一个选择的子模型的分类器需要时提取特征。这允许最小化特征提取的量。可替代地,所有潜在必要的特征可以在导航层级之前被提取。
在S240,将子模型应用于从应用数据中提取的特征,以便确定适当的类。在一个实施例中,应用的第一子模型是包括直接在根节点(例如,图3的根节点310)之下的节点的子模型。
在一个实施例中,S240子模型的每个分类器被应用于相关特征,并且基于每个分类器的输出来确定适当的类。在示例实现中,每个分类器输出置信度得分,并且输出高于阈值的置信度得分的分类器的类别被确定为适当的类。或者,输出最高置信度得分的分类器的类可以被确定为适当的类。在一些实施方式中,如果所有分类器输出低于阈值的置信度得分,则没有设备属性可以被确定或可以确定空值。
在S250,基于在S240应用的分类器的输出,确定层级的下一个相关子模型。在一个实施例中,下一个相关子模型是与使用前一个子模型确定的类别相关联的层级的下一级中的子模型。
在S260,确定是否已经到达层级的当前遍历的最后一个子模型。如果是,执行S270;否则执行S240,其中特征被输入到层级的下一级中的相关子模型。在一个实施例中,最后一个子模型所在的层级的最后一级可以不同,这取决于在遍历层级时所采用的路径。
在一个实施例中,当终止标准出现时,已经到达特定路径的层级的最后一个子模型。在一个实施例中,当路径上不再有子模型时(例如,当子模型的每个分类器由叶节点表示时),终止标准已经出现。注意,根据所公开的实施例的最后一个子模型不需要是层级的最低或最高级别中的子模型,并且遍历可以在到达这样的级别之前停止。
在一个实施例中,终止标准可以是子模型输出置信度得分低于阈值的低置信度分类。在这样的实施例中,在输出低置信度分类的子模型之前最近应用的子模型被识别为最后的子模型,使得这样的最近应用的子模型的分类被用于确定设备属性。因此,不满足置信度得分阈值的任何更具体的分类可以被排除使用,从而进一步提高设备属性确定的准确性。
在S270,确定设备属性。在一个实施例中,基于为最近应用的子模型确定的适当类别来确定设备属性。例如,设备属性可以用作设备描述文件的一部分,设备描述文件又可以用于识别可能需要缓解的设备的异常活动。因此,在此描述的设备属性识别可以用于准确地描述设备,这又允许通过与具有相同设备属性或设备属性组合的设备进行比较来更准确地识别设备行为的异常。这种用途的一个例子在图4中示出。
作为非限制性示例,在图3中,当应用子模型325时,分类器320-1的输出对于类别“移动设备”是9的置信度得分,并且分类器320-2的输出对于类别“非移动设备”是5的置信度得分,适当地选择类别“移动设备”,使得下一个相关子模型被确定为子模型335-1(即,在子模型325下面的下一级中的子模型)。通过应用子模型335-1的分类器330-1和330-2来执行相同的过程,并且基于这些分类器的输出,子模型345-2(例如,表示类别“智能手机”)被确定为下一个相关子模型。通过应用子模型345-2的分类器340-3至340-5,确定分类器340-4的类(例如,表示类“ABC品牌智能手机”)是适当的类。由于子模型345-2在层级中该路径的最后一级,因此分类器340-4的类被确定为设备属性。
图4是示出了根据一个实施例的用于基于设备属性缓解异常设备活动的方法的示例流程图400。
在S410,确定设备(例如,图1的无线设备110之一)的设备属性。在一个实施例中,使用分类器层级来确定至少一些设备属性,如以上参考图2进一步描述的。
在S420,基于所确定的设备属性为设备创建设备描述文件。
在S430,监控设备活动。设备活动可以包括但不限于设备的网络活动。
在S440,基于所监控的设备活动和设备描述文件来检测异常。例如,可以基于预定规则(例如,定义异常的设备活动数据的值或值的组合的规则)或者使用基于历史设备描述文件数据训练的机器学习模型来检测异常。在一个实施例中,不同的规则或模型可以应用于不同的设备属性。作为非限制性示例,应用于移动设备的规则可以不同于应用于服务器的规则。
在S450,执行一个或多个缓解动作以缓解检测到的异常。缓解动作可以包括但不限于切断设备的一个或多个连接(例如,到网络的连接)、发送指示异常行为的设备的通知或其组合。
图5是根据一个实施例的设备属性分级分类系统150的示例示意图。设备属性分级分类系统150包括耦合到存储器520、存储装置530和网络接口540的处理电路510。在一个实施例中,设备属性分级分类系统150的组件可以通过总线550通信连接。
处理电路510可以实现为一个或多个硬件逻辑组件和电路。例如,但不限于,可以使用的示例性硬件逻辑组件类型包括现场可编程门阵列(FPGAs)、专用集成电路(ASICs)、专用标准产品(ASSPs)、片上系统(SOCs)、图形处理单元(GPUs)、张量处理单元(TPUs)、通用微处理器、微控制器、数字信号处理器(DSPs)等,或者可以执行计算或其他信息操作的任何其他硬件逻辑组件。
存储器520可以是易失性的(例如,RAM等)、非易失性的(例如,ROM、闪存等),或者它们的组合。
在一种配置中,用于实现本文公开的一个或多个实施例的软件可以存储在存储装置530中。在另一种配置中,存储器420被配置成存储这样的软件。软件应被广义地解释为任何类型的指令,无论是被称为软件、固件、中间件、微代码、硬件描述语言还是其他。指令可以包括代码(例如,源代码格式、二进制代码格式、可执行代码格式或任何其他合适的代码格式)。当由处理电路510执行时,指令使得处理电路510执行这里描述的各种过程。
存储装置530可以是磁存储装置、光存储装置等,并且可以被实现为例如闪存或其他存储技术、CD-ROM、数字多功能盘(DVDs)或可用于存储所需信息的任何其他介质。
网络接口540允许设备属性分级分类系统150与例如无线设备110或传感器140通信,以便例如接收与设备属性相关的数据等。
应当理解,这里描述的实施例不限于图5所示的特定架构,并且在不脱离所公开的实施例的范围的情况下,可以同等地使用其他架构。
本文公开的各种实施例可以实现为硬件、固件、软件或其任意组合。此外,软件优选地被实现为有形地包含在程序存储单元或计算机可读介质上的应用程序,该程序存储单元或计算机可读介质由部分或某些设备和/或设备的组合组成。该应用程序可以被上传到包括任何合适架构的机器上并由该机器执行。优选地,该机器在具有诸如一个或多个中央处理单元(“CPUs”)、存储器和输入/输出接口的硬件的计算机平台上实现。计算机平台还可以包括操作系统和微指令代码。这里描述的各种过程和功能可以是微指令代码的一部分或者应用程序的一部分,或者它们的任意组合,它们可以由CPU执行,无论这样的计算机或处理器是否被明确示出。此外,各种其他外围单元可以连接到计算机平台,例如附加的数据存储单元和打印单元。此外,非暂时性计算机可读介质是除暂时性传播信号之外的任何计算机可读介质。
这里引用的所有示例和条件语言都是为了教学目的,以帮助读者理解所公开的实施例的原理以及发明人为促进本领域所贡献的概念,并且应当被解释为不限于这些具体引用的示例和条件。此外,这里叙述所公开的实施例的原理、方面和实施例的所有陈述以及其具体示例旨在涵盖其结构和功能等同物。此外,意图是这样的等同物包括当前已知的等同物以及将来开发的等同物,即,开发的执行相同功能的任何元件,而不管结构如何。
应该理解的是,这里使用诸如“第一”、“第二”等名称对元件的任何引用通常不限制这些元件的数量或顺序。相反,这些名称在这里通常用作区分两个或多个元件或元件实例的方便方法。因此,对第一和第二元件的引用并不意味着在那里可以仅使用两个元件,或者第一元件必须以某种方式在第二元件之前。此外,除非另有说明,否则一组元件包括一个或多个元件。
如这里所使用的,短语“至少一个”后面跟着一个项目列表意味着可以单独使用任何所列项目,或者可以使用两个或多个所列项目的任何组合。例如,如果系统被描述为包括“A、B和C中的至少一个”,则该系统可以仅包括单独A;单独B;单独C;2A;2B;2C;3A;A和B的组合;B和C的组合;A和C的组合;A、B和C的组合;2A和C的组合;A、3B和2C的组合;等等。
Claims (19)
1.一种使用分类器层级确定设备属性的方法,包括:
将层级的多个子模型顺序应用于从设备活动数据提取的多个特征,其中顺序应用以应用多个子模型中的最后一个子模型而结束,其中每个子模型包括多个分类器,其中每个子模型当应用于多个特征的至少一部分时输出一类,其中每个类是表示设备属性的分类器输出,其中应用多个子模型还包括基于由最近应用的子模型和层级输出的类来迭代地确定要应用的下一子模型;以及
基于由最后一个子模型输出的类来确定设备属性。
2.根据权利要求1所述的方法,其中,所述设备活动数据包括网络活动数据。
3.根据权利要求2所述的方法,其中,所述网络活动数据包括以下中的至少一个:发送的流量、接收的流量、使用的域、使用的端口、会话数量、以及通话的主机数量。
4.根据权利要求1所述的方法,其中每个分类器被训练以输出类和置信度得分,其中由每个子模型输出的类基于由所述子模型的每个分类器输出的类和置信度得分来确定。
5.根据权利要求4所述的方法,其中由每个子模型输出的类是由所述子模型的多个分类器中的第一分类器输出的第一类,其中由所述第一分类器输出的第一置信度得分高于阈值。
6.根据权利要求1所述的方法,其中,使用训练数据集来训练所述多个子模型,所述训练数据集包括训练设备活动数据和指示多个训练设备属性类的多个训练标签,所述方法还包括:
通过移除与以下中的至少一个相关的训练设备活动数据来预处理训练数据:至少一个设备属性未被标记的设备,以及至少一个设备属性不一致地标记的设备。
7.根据权利要求1所述的方法,其中,使用包括指示多个训练设备属性类的多个训练标签的训练数据集来训练所述多个子模型,所述方法还包括:
移除多个训练设备属性类中的至少一个。
8.根据权利要求6所述的方法,其中,移除多个训练设备属性类中的至少一个还包括:
将多个训练设备属性类中的至少两个合并到合并的训练设备属性类中,其中训练所述层级中的一个分类器以输出所述合并的训练设备属性类的置信度得分。
9.根据权利要求1所述的方法,进一步包括:
使用所确定的设备属性创建设备描述文件;
基于设备描述文件来监测设备的行为以便检测异常行为;以及
基于所检测到的异常行为来执行关于所述设备的至少一个缓解动作。
10.一种非暂时性计算机可读介质,其上存储有用于使处理电路执行过程的指令,所述过程包括:
将层级的多个子模型顺序应用于从设备活动数据提取的多个特征,其中顺序应用以应用多个子模型中的最后一个子模型而结束,其中每个子模型包括多个分类器,其中每个子模型当应用于多个特征的至少一部分时输出一类,其中每个类是表示设备属性的分类器输出,其中应用多个子模型还包括基于由最近应用的子模型和层级输出的类来迭代地确定要应用的下一子模型;以及
基于由最后一个子模型输出的类来确定设备属性。
11.一种使用分类器层级确定设备属性的系统,包括:
处理电路;以及
存储器,所述存储器包含指令,所述指令在由处理电路执行时将系统配置为:
将层级的多个子模型顺序应用于从设备活动数据提取的多个特征,其中顺序应用以应用多个子模型中的最后一个子模型而结束,其中每个子模型包括多个分类器,其中每个子模型当应用于多个特征的至少一部分时输出一类,其中每个类是表示设备属性的分类器输出,其中应用多个子模型还包括基于由最近应用的子模型和层级输出的类来迭代地确定要应用的下一子模型;以及
基于由最后一个子模型输出的类来确定设备属性。
12.根据权利要求11所述的系统,其中所述设备活动数据包括网络活动数据。
13.根据权利要求12所述的系统,其中所述网络活动数据包括以下中的至少一个:发送的流量、接收的流量、使用的域、使用的端口、会话数量、以及通话的主机数量。
14.根据权利要求11所述的系统,其中每个分类器被训练以输出类和置信度得分,其中由每个子模型输出的类基于由所述子模型的每个分类器输出的类和置信度得分来确定。
15.根据权利要求14所述的系统,其中由每个子模型输出的类是由所述子模型的多个分类器中的第一分类器输出的第一类,其中由所述第一分类器输出的第一置信度得分高于阈值。
16.根据权利要求11所述的系统,其中使用训练数据集来训练所述多个子模型,所述训练数据集包括训练设备活动数据和指示多个训练设备属性类的多个训练标签,其中所述系统还被配置为:
通过移除与以下中的至少一个相关的训练设备活动数据来对训练数据进行预处理:至少一个设备属性未被标记的设备,以及至少一个设备属性不一致地标记的设备。
17.根据权利要求11所述的系统,其中使用包括指示多个训练设备属性类的多个训练标签的训练数据集来训练所述多个子模型,其中所述系统还被配置为:
移除多个训练设备属性类中的至少一个。
18.根据权利要求16所述的系统,其中所述系统还被配置为:
将所述多个训练设备属性类中的至少两个合并到合并的训练设备属性类中,其中训练所述层级中的一个分类器以输出所述合并的训练设备属性类的置信度得分。
19.根据权利要求11所述的系统,其中所述系统进一步被配置为:
使用所确定的设备属性创建设备描述文件;
基于设备描述文件来监测设备的行为以便检测异常行为;以及
基于所检测到的异常行为来执行关于所述设备的至少一个缓解动作。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/729,823 | 2019-12-30 | ||
US16/729,823 US11983611B2 (en) | 2019-12-30 | 2019-12-30 | System and method for determining device attributes using a classifier hierarchy |
PCT/IB2020/062495 WO2021137138A1 (en) | 2019-12-30 | 2020-12-28 | System and method for determining device attributes using a classifier hierarchy |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115039379A true CN115039379A (zh) | 2022-09-09 |
Family
ID=76546913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080095219.8A Pending CN115039379A (zh) | 2019-12-30 | 2020-12-28 | 使用分类器层级确定设备属性的系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11983611B2 (zh) |
EP (1) | EP4066465A4 (zh) |
CN (1) | CN115039379A (zh) |
CA (1) | CA3165726A1 (zh) |
WO (1) | WO2021137138A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230195851A1 (en) * | 2020-05-28 | 2023-06-22 | Nec Corporation | Data classification system, data classification method, and recording medium |
US20220058449A1 (en) * | 2020-08-20 | 2022-02-24 | Capital One Services, Llc | Systems and methods for classifying data using hierarchical classification model |
US11930366B1 (en) | 2021-08-04 | 2024-03-12 | T-Mobile Innovations Llc | Automated suspect device filtering on equipment identity registers |
US20230216853A1 (en) * | 2022-01-06 | 2023-07-06 | Armis Security Ltd. | Device attribute determination based on protocol string conventions |
CN116127236B (zh) * | 2023-04-19 | 2023-07-21 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于并行结构的网页web组件识别方法及装置 |
CN116192538B (zh) * | 2023-04-28 | 2023-07-11 | 北京源堡科技有限公司 | 基于机器学习的网络安全评估方法、装置、设备及介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10511620B2 (en) | 2016-10-31 | 2019-12-17 | Armis Security Ltd. | Detection of vulnerable devices in wireless networks |
WO2018122345A1 (en) | 2016-12-29 | 2018-07-05 | AVAST Software s.r.o. | System and method for detecting malicious device by using a behavior analysis |
US10600001B2 (en) * | 2017-02-09 | 2020-03-24 | Facebook, Inc. | Determining a target device profile including an expected behavior for a target device |
US10572801B2 (en) * | 2017-11-22 | 2020-02-25 | Clinc, Inc. | System and method for implementing an artificially intelligent virtual assistant using machine learning |
US11455501B2 (en) * | 2018-02-21 | 2022-09-27 | Hewlett-Packard Development Company, L.P. | Response based on hierarchical models |
US10742687B2 (en) * | 2018-08-30 | 2020-08-11 | Ordr Inc. | Determining a device profile and anomalous behavior associated with a device in a network |
-
2019
- 2019-12-30 US US16/729,823 patent/US11983611B2/en active Active
-
2020
- 2020-12-28 EP EP20908490.4A patent/EP4066465A4/en active Pending
- 2020-12-28 CA CA3165726A patent/CA3165726A1/en active Pending
- 2020-12-28 WO PCT/IB2020/062495 patent/WO2021137138A1/en unknown
- 2020-12-28 CN CN202080095219.8A patent/CN115039379A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US11983611B2 (en) | 2024-05-14 |
EP4066465A1 (en) | 2022-10-05 |
EP4066465A4 (en) | 2024-01-10 |
WO2021137138A1 (en) | 2021-07-08 |
CA3165726A1 (en) | 2021-07-08 |
US20210203575A1 (en) | 2021-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11983611B2 (en) | System and method for determining device attributes using a classifier hierarchy | |
Dange et al. | IoT botnet: the largest threat to the IoT network | |
US11689468B2 (en) | Device classification using machine learning models | |
US20220353153A1 (en) | Fingerprinting assisted by similarity-based semantic clustering | |
US20230289631A1 (en) | Multiple granularity classification | |
Anumol | Use of machine learning algorithms with SIEM for attack prediction | |
Chhabra et al. | Hadoop‐based analytic framework for cyber forensics | |
Houichi et al. | A systematic approach for IoT cyber-attacks detection in smart cities using machine learning techniques | |
CN113849820A (zh) | 一种漏洞检测方法及装置 | |
CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
Vidhya | Efficient classification of portscan attacks using Support Vector Machine | |
CA3170191C (en) | Techniques for detecting exploitation of medical device vulnerabilities | |
US11841952B2 (en) | Techniques for detecting exploitation of manufacturing device vulnerabilities | |
Jiao et al. | Multi-level IoT device identification | |
Venugopal et al. | IoT based cyber forensics in big data optimization and privacy using deep neural anomaly detection with Hadoop clustering and convolution based Adam optimizer | |
Mahmood et al. | Intrusion Detection in 5G Cellular Network Using Machine Learning. | |
Zhang et al. | BLS-identification: a device fingerprint classification mechanism based on broad learning for internet of things | |
Sharma et al. | Network log clustering using k-means algorithm | |
US20230315991A1 (en) | Text classification based device profiling | |
US20220407871A1 (en) | Massive vulnerable surface protection | |
EP4331179A1 (en) | Fingerprinting assisted by similarity-based semantic clustering | |
Levy | IoT or NoT Identifying IoT Devices in a Short Time Scale | |
Suski et al. | Ethernet Device Authentication via Physical Layer Fingerprinting | |
SRAVANTHI et al. | A Probabilistic Approach for Detecting Network Based Interruption | |
Saranya et al. | AN INTELLIGENT IOT ATTACK DETECTION FRAMEWORK USING EFFECTIVE EDGE AI BASED COMPUTING |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |