ES2898869T3 - Sistema y métodos para detección de dispositivo automática - Google Patents
Sistema y métodos para detección de dispositivo automática Download PDFInfo
- Publication number
- ES2898869T3 ES2898869T3 ES17715653T ES17715653T ES2898869T3 ES 2898869 T3 ES2898869 T3 ES 2898869T3 ES 17715653 T ES17715653 T ES 17715653T ES 17715653 T ES17715653 T ES 17715653T ES 2898869 T3 ES2898869 T3 ES 2898869T3
- Authority
- ES
- Spain
- Prior art keywords
- score
- client device
- candidate category
- category
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000004044 response Effects 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 6
- 230000001052 transient effect Effects 0.000 claims description 2
- 239000003795 chemical substances by application Substances 0.000 description 42
- 238000004891 communication Methods 0.000 description 21
- 238000007726 management method Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 9
- 230000002776 aggregation Effects 0.000 description 7
- 238000004220 aggregation Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 244000208874 Althaea officinalis Species 0.000 description 1
- 235000006576 Althaea officinalis Nutrition 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- NUHSROFQTUXZQQ-UHFFFAOYSA-N isopentenyl diphosphate Chemical compound CC(=C)CCO[P@](O)(=O)OP(O)(O)=O NUHSROFQTUXZQQ-UHFFFAOYSA-N 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 235000001035 marshmallow Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
- H04L12/2814—Exchanging control software or macros for controlling appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Debugging And Monitoring (AREA)
- Geophysics And Detection Of Objects (AREA)
- Heterocyclic Carbon Compounds Containing A Hetero Ring Having Nitrogen And Oxygen As The Only Ring Hetero Atoms (AREA)
- Other Investigation Or Analysis Of Materials By Electrical Means (AREA)
Abstract
Un método implementado por ordenador implementado por un aparato de detección de dispositivos que tiene al menos un procesador para realizar los pasos de: en respuesta a recibir un conjunto de datos de un dispositivo cliente conectado al aparato de detección de dispositivos por una red local, seleccionar una categoría candidata de una pluralidad de categorías de dispositivos predeterminadas, la categoría candidata que se define por una tupla de características del dispositivo, la tupla que incluye un tipo de dispositivo de hardware seleccionado que coexiste con un sistema operativo seleccionado; determinar una primera puntuación según un primer subconjunto del conjunto de datos, la primera puntuación indicativa de un primer grado en el que el dispositivo cliente es representativo de la categoría candidata; determinar una segunda puntuación según un segundo subconjunto del conjunto de datos, la segunda puntuación indicativa de un segundo grado en el que el dispositivo cliente es representativo de la categoría candidata; combinar la primera y la segunda puntuaciones para producir una puntuación agregada; y en respuesta a la producción de la puntuación agregada, determinar si el dispositivo cliente pertenece a la categoría candidata según la puntuación agregada.
Description
DESCRIPCIÓN
Sistema y métodos para detección de dispositivo automática
Antecedentes
La invención se refiere a la seguridad informática y, en particular, a sistemas y métodos para el descubrimiento automático de dispositivos y la gestión remota de dispositivos.
El software malicioso, también conocido como malware, afecta a un gran número de sistemas informáticos en todo el mundo. En sus múltiples formas, tales como virus informáticos, programas intrusos y software espía, el malware presenta un riesgo grave para millones de usuarios de ordenadores, haciéndolos vulnerables a la pérdida de datos e información confidencial, al robo de identidad y a la pérdida de productividad, entre otros.
Una gran variedad de dispositivos, conocidos informalmente como Internet de las cosas (IoT), se están conectando cada vez más a las redes de comunicación e Internet. Tales dispositivos incluyen, entre otros, teléfonos inteligentes, relojes inteligentes, televisores y otros dispositivos multimedia, consolas de juegos, electrodomésticos y varios sensores/actuadores tales como termostatos y sistemas de iluminación inteligente. A medida que se conectan tales dispositivos, se convierten en objetivos de software malicioso y piratería. Por lo tanto, existe una necesidad cada vez mayor de proteger tales dispositivos contra el malware, así como de proteger las comunicaciones hacia y desde tales dispositivos.
Además, la proliferación de dispositivos inteligentes en entornos tales como hogares y oficinas crea un problema cada vez mayor de gestión de dispositivos y redes. Cuando cada dispositivo usa una interfaz de configuración distinta y requiere ajustes de conexión separados, gestionar un gran número de tales dispositivos puede convertirse en una carga, especialmente para un usuario doméstico típico que no tiene experiencia en administración de redes. Por lo tanto, existe un interés creciente en desarrollar sistemas y métodos para el descubrimiento y la configuración automáticos de dispositivos, con particular énfasis en la seguridad. Un ejemplo tal se describe en la Publicación de Pre-concesión de EE.UU. N° 2010/0257158 de S. Sugaya, titulada "Information Processing Device, Method, and Server for Determining Type of Electric Appliance", que describe la comparación de un paquete recibido de un aparato con un conjunto de archivos de definición para identificar el aparato.
Compendio
La presente invención está definida por las reivindicaciones adjuntas. En particular, la presente invención se define en conexión con la implementación descrita en la Figura 10. Se proporcionan otras realizaciones y/o implementaciones como ejemplos no reivindicados útiles para una mejor comprensión de la presente invención. Breve descripción de los dibujos
Los aspectos y ventajas anteriores de la presente invención llegarán a ser comprendidos mejor al leer la siguiente descripción detallada y al hacer referencia a los dibujos en los que:
La Figura 1 -A muestra una configuración ejemplar de sistemas cliente interconectados por una red local y un aparato de detección de dispositivos según algunas realizaciones de la presente invención.
La Figura 1-B muestra una configuración alternativa de los sistemas cliente y el aparato de detección de dispositivos según algunas realizaciones de la presente invención.
La Figura 2 muestra un conjunto de servidores remotos que colaboran con el aparato de detección de dispositivos según algunas realizaciones de la presente invención.
La Figura 3 muestra una configuración de hardware ejemplar de un sistema cliente según algunas realizaciones de la presente invención.
La Figura 4 muestra una configuración de hardware ejemplar de un aparato de detección de dispositivos según algunas realizaciones de la presente invención.
La Figura 5 muestra una configuración de hardware ejemplar de un servidor de configuración según algunas realizaciones de la presente invención.
La Figura 6 muestra un conjunto de componentes de software ejemplares que se ejecutan en un sistema cliente según algunas realizaciones de la presente invención.
La Figura 7 muestra un conjunto ejemplar de componentes de software que se ejecutan en el aparato de detección de dispositivos según algunas realizaciones de la presente invención.
La Figura 8 muestra un software ejemplar que se ejecuta en un servidor de configuración según algunas realizaciones de la presente invención.
La Figura 9 ilustra componentes ejemplares de un motor de categorización según algunas realizaciones de la presente invención.
La Figura 10 ilustra una secuencia ejemplar de pasos realizados por el motor de categorización según algunas realizaciones de la presente invención.
La Figura 11 muestra un intercambio de datos ejemplar entre el aparato de detección de dispositivos y el servidor de configuración, realizado durante un procedimiento de descubrimiento/detección de dispositivos según algunas realizaciones de la presente invención.
La Figura 12 ilustra una secuencia ejemplar de pasos realizados por el aparato de detección de dispositivo durante un procedimiento de aprovisionamiento de agente, según algunas realizaciones de la presente invención.
Descripción detallada de realizaciones preferidas
En la siguiente descripción, se entiende que todas las conexiones citadas entre estructuras pueden ser conexiones operativas directas o conexiones operativas indirectas a través de estructuras intermedias. Un conjunto de elementos incluye uno o más elementos. Se entiende que cualquier recitación de un elemento se refiere a al menos un elemento. Una pluralidad de elementos incluye al menos dos elementos. A menos que se especifique lo contrario, cualquier uso de "OR" se refiere a una or no exclusiva. A menos que se requiera lo contrario, cualquier paso del método descrito no necesita realizarse necesariamente en un orden ilustrado particular. Un primer elemento (por ejemplo, datos) derivado de un segundo elemento abarca un primer elemento igual al segundo elemento, así como un primer elemento generado procesando el segundo elemento y opcionalmente otros datos. Tomar una determinación o decisión según un parámetro abarca tomar la determinación o decisión según el parámetro y opcionalmente según otros datos. A menos que se especifique lo contrario, un indicador de alguna cantidad/datos puede ser la cantidad/datos en sí mismos, o un indicador diferente de la cantidad/datos en sí mismos. La seguridad informática abarca la protección de los usuarios y el equipo contra el acceso no intencionado o no autorizado a datos y/o hardware, contra la modificación no intencionada o no autorizada de datos y/o hardware, y contra la destrucción de datos y/o hardware. Un programa informático es una secuencia de instrucciones del procesador que llevan a cabo una tarea. Los programas informáticos descritos en algunas realizaciones de la presente invención pueden ser entidades o subentidades de software autónomas (por ejemplo, subrutinas, bibliotecas) de otros programas informáticos. Se dice que dos dispositivos están conectados o pertenecen a la misma red local cuando sus direcciones de red pertenecen a la misma subred y/o cuando ambos tienen la misma dirección de difusión. Una red local es una red que tiene su hardware de comunicación gestionado localmente. Un túnel es una conexión virtual punto a punto entre dos entidades conectadas a una red de comunicación. Los medios legibles por ordenador abarcan medios no transitorios, tales como medios de almacenamiento magnéticos, ópticos y semiconductores (por ejemplo, discos duros, discos ópticos, memoria flash, DRAM), así como enlaces de comunicación tales como cables conductores y enlaces de fibra óptica. Según algunas realizaciones, la presente invención proporciona, entre otros, sistemas informáticos que comprenden hardware (por ejemplo, uno o más microprocesadores) programados para realizar los métodos descritos en la presente memoria, así como instrucciones de codificación de medios legibles por ordenador para realizar los métodos descritos en la presente memoria.
La siguiente descripción ilustra realizaciones de la invención a modo de ejemplo y no necesariamente a modo de limitación.
Las Figuras 1-A-B muestran configuraciones de red ejemplares 10a-b según algunas realizaciones de la presente invención, en donde una pluralidad de sistemas cliente 12a-f están interconectados por una red local 14, y además conectados a una red extendida 16, tal como Internet. Los sistemas cliente 12a-f pueden representar cualquier dispositivo electrónico que tenga un procesador, una memoria y una interfaz de comunicación. Los sistemas cliente ejemplares 12a-f incluyen ordenadores personales, ordenadores portátiles, tabletas, dispositivos de telecomunicaciones móviles (por ejemplo, teléfonos inteligentes), reproductores multimedia, televisores, consolas de juegos, electrodomésticos (por ejemplo, refrigeradores, termostatos, sistemas inteligentes de calefacción y/o iluminación) y dispositivos que se pueden llevar puestos (por ejemplo, relojes inteligentes, equipos deportivos y de fitness), entre otros. La red local 14 puede comprender una red de área local (LAN). Las redes locales 14 ejemplares pueden incluir una red doméstica y una red corporativa, entre otras.
El encaminador 19 comprende un dispositivo electrónico que permite la comunicación entre los sistemas cliente 12af y/o acceso de los sistemas cliente 12a-f a la red extendida 16. En algunas realizaciones, el encaminador 19 actúa como una pasarela entre la red local 14 y la red extendida 16, y proporciona un conjunto de servicios de red a los sistemas cliente 12a-f. El término pasarela se usa en la presente memoria para denotar un dispositivo configurado de modo que al menos una parte del tráfico de comunicación entre los sistemas cliente 12a-f y la red extendida 16 atraviesa el dispositivo de pasarela. A menos que se especifique lo contrario, el término servicios de red se utiliza en la presente memoria para denotar servicios que permiten la intercomunicación de los sistemas cliente 12a-f, así como la comunicación entre los sistemas cliente 12a-f y otras entidades. Tales servicios pueden incluir, por ejemplo, la distribución de parámetros de configuración de red (por ejemplo, direcciones de red) a los sistemas cliente 12a-f, y el encaminamiento de la comunicación entre los puntos finales participantes. Los servicios de red ejemplares pueden incluir un protocolo de configuración dinámica de host (DHCP). Los servicios de DHCP se utilizan normalmente para
entregar información de configuración del protocolo de Internet (IP) a los clientes que solicitan acceso a la red local 14 y/o red extendida 16.
Las Figuras 1-A-B muestran además un aparato de detección de dispositivos 18 conectado a la red local 14. En algunas realizaciones, el aparato de detección de dispositivos 18 comprende un dispositivo electrónico (por ejemplo, un sistema informático) configurado para realizar varios servicios para los sistemas cliente 12a-f. Tales servicios incluyen, entre otros, servicios de seguridad informática (por ejemplo, anti-malware, detección de intrusiones, anti software espía, etc.), gestión de dispositivos (por ejemplo, configuración remota de sistemas cliente 12a-f), servicios de control parental, servicios de comunicación segura (por ejemplo, redes privadas virtuales - VPN) y asistencia técnica remota (por ejemplo, solución de problemas de dispositivos y/o redes).
En algunas realizaciones, el aparato de detección de dispositivos 18 está configurado además para llevar a cabo operaciones automáticas de descubrimiento/detección de dispositivos. Los términos "descubrimiento de dispositivos" y "detección de dispositivos" son intercambiables en la presente memoria. La detección de dispositivos comprende determinar un tipo de dispositivo de un dispositivo conectado a la red local. 14, por ejemplo, de cualquiera de los sistemas cliente 12a-f, el encaminador 19. Dicho de otra manera, la detección de dispositivos comprende asignar automáticamente el dispositivo respectivo a una categoría de dispositivo según la información disponible sobre el dispositivo respectivo. En algunas realizaciones, una categoría de dispositivo comprende una tupla de características de dispositivo {Ci, C2, ..., On} que puede incluir, por ejemplo, una categoría de producto (por ejemplo, ordenador personal, tableta, impresora, reloj inteligente, sistema de entretenimiento doméstico, termostato, etc.), un fabricante (por ejemplo, Samsung®, Nest®, Sonos®, etc.), un modelo de hardware (por ejemplo, iPad® 2, MacBook® Air®, Galaxy® S6, etc.) y una versión de software (por ejemplo, Windows®, iOS® 8, Android® Marshmallow, etc.). Algunas realizaciones permiten valores característicos de tipo 'desconocido' y/o 'no aplicable', como en {'tableta', 'desconocido', 'Android'}. Las actividades de detección del dispositivo se pueden llevar a cabo en el aparato 18, el servidor de configuración 52, o pueden dividirse entre el aparato 18 y el servidor de configuración 52. Los métodos descritos en la presente memoria también pueden ser ejecutados por uno de los sistemas cliente 12a-f.
En un escenario típico según algunas realizaciones de la presente invención, el aparato de detección de dispositivos 18 se introduce en una red local ya configurada y gestionada por el encaminador 19. El aparato 18, a continuación, puede descubrir progresivamente dispositivos conectados a la red local, por ejemplo, los sistemas cliente 12a-f y/o el encaminador 19. En algunas realizaciones, el aparato 18 además se hace cargo de los servicios de red tales como DHCP del encaminador 19 y reconfigura la red 14 para colocar el aparato 18 en una posición de pasarela entre la red local 14 y red extendida 16, de modo que al menos una parte del tráfico entre los sistemas cliente 12a-f y red extendida 16 atraviese el aparato de detección de dispositivos 18 (ver, por ejemplo, la Figura 1-A). La colocación del aparato 18 en una posición de pasarela puede ser preferible por razones de seguridad, dado que tal posición facilita la interceptación y el análisis del tráfico entre los sistemas cliente y una parte remota.
En algunas realizaciones, tales como el ejemplo de la Figura 1-B, encaminador 19 puede seguir funcionando como pasarela a la red local 14 después de la instalación del aparato 18, pero en tales casos el aparato de detección de dispositivos 18 se coloca preferiblemente entre los sistemas cliente 12a-f y la pasarela existente (es decir, el encaminador 19), de modo que el aparato 18 pertenezca a la misma red local que los sistemas cliente 12a-f. Se prefiere tal posición porque facilita la entrega de agentes de servicios públicos específicos del dispositivo a algunos de los sistemas cliente 12a-f.
En algunas realizaciones, los sistemas cliente 12a-f son monitorizados, gestionados y/o configurados de forma remota por un usuario/administrador, utilizando software que se ejecuta en un dispositivo de administración 20 conectado a la red extendida 16 (por ejemplo, Internet). Dispositivos de administración 20 ejemplares incluyen teléfonos inteligentes y sistemas informáticos personales, entre otros. El dispositivo 20 puede exponer una interfaz gráfica de usuario (GUI) que permite a un usuario configurar y/o gestionar de forma remota el funcionamiento de los sistemas cliente 12a-f, por ejemplo, para establecer opciones de configuración y/o recibir notificaciones sobre eventos que ocurren en los respectivos sistemas cliente.
En algunas realizaciones, el aparato de detección de dispositivos 18 colabora con un conjunto de sistemas informáticos remotos para realizar diversos servicios para los sistemas cliente 12a-f. Los sistemas informáticos remotos ejemplares incluyen un servidor de seguridad 50 y un servidor de configuración 52, ilustrados en la Figura 2. Los servidores 50 y 52 pueden comprender máquinas individuales o grupos de múltiples sistemas informáticos interconectados. En algunas realizaciones, el aparato de detección de dispositivos 18 está configurado para redirigir parte o todo el tráfico que viene hacia y/o desde los sistemas cliente 12a-f al servidor de seguridad 50. En tales configuraciones, el servidor de seguridad 50 puede realizar operaciones de detección de amenazas (por ejemplo, detección de malware, bloqueo del acceso a sitios web maliciosos o fraudulentos, prevención de intrusiones, etc.), para proteger los sistemas cliente 12a-f contra las amenazas a la seguridad informática. El servidor de seguridad 50 puede estar conectado además a una base de datos de eventos 55 que comprende una pluralidad de registros de seguridad. En un ejemplo, cada uno de tales registros de seguridad incluye datos indicativos de un evento de seguridad que ocurre en un sistema cliente protegido, así como un indicador de una asociación entre el evento respectivo y el sistema cliente respectivo.
En algunas realizaciones, el servidor de configuración 52 colabora con el aparato 18 y/o el dispositivo de administración 20 para configurar la gestión de dispositivos y/o los ajustes de seguridad del aparato 18, el encaminador 19, y/o de un sistema cliente 12a-f. El servidor 52 puede estar conectado comunicativamente a una base de datos de abonados 54 y a una base de datos de características del dispositivo 56. La base de datos de abonados 54 puede almacenar una pluralidad de registros de suscripción, cada registro de suscripción indicativo de un conjunto de sistemas cliente bajo gestión de dispositivos según algunas realizaciones de la presente invención. En una realización, cada registro de suscripción está asociado de forma única con un aparato de detección de dispositivos 18 distinto. En tales realizaciones, todos los sistemas cliente configurados y/o atendidos de otro modo por el respectivo aparato de detección de dispositivos (por ejemplo, los sistemas cliente 12a-f conectados a la red local 14 en la Figura 1-A) están asociados con el mismo registro de suscripción. Cada registro de suscripción puede incluir un indicador de un período de suscripción y/o un conjunto de parámetros de suscripción que describen, por ejemplo, un nivel de seguridad deseado o una selección de servicios a los que se suscribe. Las suscripciones se pueden gestionar según un acuerdo de nivel de servicio (SLA).
En algunas realizaciones, la base de datos de características del dispositivo 56 comprende un conjunto de registros que indican características configurables de cada sistema cliente y/o ajustes de configuración actuales para cada sistema cliente. La base de datos 56 puede comprender además una amplia base de conocimientos de características del dispositivo que comprende una pluralidad de registros. En una realización ejemplar, cada registro representa un dispositivo y puede comprender una pluralidad de campos que indican, entre otros, una categoría de producto del dispositivo (por ejemplo, encaminador, teléfono inteligente, etc.), un modelo de hardware, un fabricante, un sistema operativo (por ejemplo, Windows®, Linux®). Otros campos pueden corresponder a varias características del dispositivo, tales como si el dispositivo respectivo usa un protocolo de red particular para comunicarse (por ejemplo, HTTP, Bonjour®), un indicador de un diseño de una interfaz de inicio de sesión expuesta por el tipo de dispositivo respectivo, agentes de usuario utilizados por el dispositivo respectivo, etc.
Las Figuras 3-4-5 muestran configuraciones de hardware ejemplares de un sistema cliente 12, aparato de detección de dispositivos 18, y servidor de configuración 52, respectivamente. El sistema cliente 12 puede representar, por ejemplo, cualquiera de los sistemas cliente 12a-f de la Figura 1. Sin pérdida de generalidad, las configuraciones ilustradas corresponden a sistemas informáticos. La configuración de hardware de otros sistemas cliente (por ejemplo, tabletas, relojes inteligentes) puede diferir de la ilustrada en la Figura 3. Cada uno de los procesadores 22, 122, y 222 comprende un dispositivo físico (por ejemplo, microprocesador, circuito integrado de múltiples núcleos formado en un sustrato semiconductor) configurado para ejecutar operaciones lógicas y/o computacionales con un conjunto de señales y/o datos. Las unidades de memoria 24, 124, y 224 comprenden medios legibles por ordenador volátiles (por ejemplo, RAM) que almacenan datos/señales a los que se accede o se generan por los procesadores 22, 122, y 222, respectivamente, en el curso de la realización de las operaciones.
Los dispositivos de entrada 26 pueden incluir teclados, ratones y micrófonos de ordenador, entre otros, incluyendo las respectivas interfaces de hardware y/o adaptadores que permiten al usuario introducir datos y/o instrucciones en el sistema respectivo. Los dispositivos de salida 28 pueden incluir dispositivos de visualización tales como monitores y altavoces, entre otros, así como interfaces/adaptadores de hardware tales como tarjetas gráficas, lo que permite que el sistema respectivo comunique datos a un usuario. En algunas realizaciones, los dispositivos de entrada y salida comparten una pieza común de hardware (por ejemplo, pantalla táctil). Los dispositivos de almacenamiento 32, 132, y 232, incluyen medios legibles por ordenador que permiten el almacenamiento no volátil, la lectura y la escritura de instrucciones de software y/o datos. Los dispositivos de almacenamiento ejemplares incluyen discos magnéticos y ópticos y dispositivos de memoria flash, así como medios extraíbles tales como unidades y discos de CD y/o DVD.
Los adaptadores de red 34, 134, y 234 habilitan al sistema cliente 12, aparato de detección de dispositivos 18 y servidor de configuración 52, respectivamente, para conectarse a una red de comunicación electrónica tal como las redes 14, 16, y/o a otros dispositivos/sistemas informáticos.
Los concentradores de controlador 30, 130, y 230, representan genéricamente la pluralidad de buses de sistema, periféricos y/o conjuntos de chips, y/o todos los demás circuitos que permiten la comunicación entre el procesador de cada sistema respectivo y el resto de los componentes de hardware. En un sistema cliente 12 ejemplar (Figura 3), el concentrador 30 puede comprender un controlador de memoria, un controlador de entrada/salida (I/O) y un controlador de interrupciones. Dependiendo del fabricante del hardware, algunos de tales controladores pueden incorporarse en un solo circuito integrado y/o pueden integrarse con el procesador.
La Figura 6 muestra componentes de software ejemplares que se ejecutan en el sistema cliente 12 según algunas realizaciones de la presente invención. Tal software puede incluir un sistema operativo (OS) 40 que proporciona una interfaz entre el hardware del sistema cliente 12 y un conjunto de aplicaciones de software que se ejecutan en el sistema cliente respectivo. Los ejemplos de sistemas operativos incluyen Microsoft® Windows®, MacOS®, iOS® y Android, entre otros. Las aplicaciones de software pueden incluir procesamiento de texto, gráficos, juegos, navegador y aplicaciones de comunicación, entre otras. En algunas realizaciones, las aplicaciones de software que se ejecutan en el sistema cliente 12 incluir un agente de servicios públicos 41 configurado para proporcionar varios servicios al sistema cliente respectivo, tales como la gestión de dispositivos y/o servicios de seguridad (por ejemplo, anti-malware). En un ejemplo, el agente de servicios públicos 41 está configurado para acceder y/o modificar un
conjunto de opciones de configuración del sistema cliente 12 (por ejemplo, parámetros de configuración de red, parámetros de gestión de energía, parámetros de seguridad, parámetros específicos del dispositivo, tales como la temperatura deseada en el caso de un termostato controlado de forma remota, o una selección de luces en el caso de un gestor de iluminación del hogar controlado de forma remota, etc.). En algunas realizaciones, la instalación del agente 41 en el sistema cliente 12 es iniciada y/o facilitada por un aparato de detección de dispositivos 18.
La Figura 7 muestra un conjunto de componentes de software que se ejecutan en el aparato de detección de dispositivos 18 según algunas formas de realización de la presente invención. Tales componentes pueden incluir, entre otros, un módulo de detección de dispositivos 42 y un módulo de DHCP 43 que proporciona servicios de DHCP para la red local 14. Tales servicios pueden incluir la entrega de información de configuración de IP a los clientes que solicitan acceso a la red local 14 y/o a la red extendida 16. El módulo de detección de dispositivos 42 puede incluir un motor de categorización 45, y puede configurarse para colaborar con el servidor de configuración 52 para determinar automáticamente un tipo de dispositivo del sistema cliente 12, como se muestra en detalle a continuación. En algunas realizaciones, el aparato 18 además ejecuta un módulo de interrupción de red 44 configurado para realizar una toma de control del servicio de red del encaminador 19. En un ejemplo particular, en respuesta a la determinación de una categoría de dispositivo del encaminador 19, el aparato 18 puede usar el módulo de interrupción 44 para apagar o incapacitar de otro modo el servidor de DHCP del encaminador 19, para tomar el control de los servicios de red del encaminador 19. En tal ejemplo, el aparato de detección de dispositivos 18 puede transmitir una secuencia de instrucciones al encaminador 19, la secuencia de instrucciones diseñadas para provocar un bloqueo o el apagado del servidor de DHCP del encaminador. En otro ejemplo, el aparato 18 puede hacer que el encaminador 19 exponga una interfaz de configuración, y puede transmitir un conjunto de valores de parámetros de configuración a la interfaz respectiva, lo que provoca por tanto que el servidor de DHCP del encaminador se apague. El conjunto de instrucciones y/o valores de parámetros de configuración pueden elegirse selectivamente según la categoría detectada del encaminador 19.
La Figura 8 muestra un software ejemplar que se ejecuta en el servidor de configuración 52 según algunas realizaciones de la presente invención. Tal software puede incluir un motor de categorización del lado del servidor 145 y un interrogador de base de datos 47. El motor 145 puede complementar las actividades de descubrimiento/detección de dispositivos del motor 45 que se ejecuta en el aparato de detección de dispositivos 18. El interrogador de base de datos 47 se puede configurar para recuperar datos de forma selectiva de la base de datos de características del dispositivo 56 a petición del motor o motores de categorización 45 y/o 145.
La Figura 9 muestra una configuración ejemplar del motor de categorización 45 según algunas realizaciones de la presente invención. Motor 145 que se ejecuta en el servidor 52 puede tener una configuración similar. El motor 45 recibe como entrada un conjunto de datos indicativos de categoría 60 de un sistema cliente, y emite un indicador de categoría 72 indicativo de un tipo de dispositivo del sistema cliente respectivo (por ejemplo, teléfono móvil que se ejecuta con iOS® versión 9.2). Los datos indicativos de categoría 60 comprenden varios tipos de datos utilizables para determinar el tipo de dispositivo de un sistema cliente, es decir, para asignar el dispositivo a una categoría de dispositivos. Tales datos pueden ser booleanos (por ejemplo, que indican si el dispositivo respectivo tiene una característica particular o no), numéricos (por ejemplo, como en una dirección de red), de tipo cadena (por ejemplo, como en los nombres de ordenador central y los campos de agente de usuario), etc. Algunos datos ejemplares 60 incluyen:
a) Indicadores de ID de hardware, tales como una dirección de Control de Acceso al Medio (MAC) y/o un número de Identidad de Equipo Móvil Internacional (IMEI) del sistema cliente respectivo. La dirección de MAC tiene una longitud de 48 bits y, típicamente, es indicativa del fabricante del dispositivo respectivo. Por ejemplo, los primeros 24 bits de la dirección de MAC de todos los dispositivos Nest® son 18:B4:30. Combinar la dirección de MAC con el conocimiento de qué tipos de dispositivos produce el fabricante respectivo (en el caso de Nest®, cámaras IP, termostatos y detectores de humo) puede permitir una identificación eficiente de un tipo de dispositivo del sistema cliente respectivo.
b) Protocolos de comunicación compatibles. Algunos dispositivos anuncian servicios de red específicos, tales como Bonjour®, etc. Algunos de tales servicios se asocian más frecuentemente con un tipo de dispositivo, fabricante, etc. Por ejemplo, Bonjour® se encuentra predominantemente en dispositivos de Apple®.
c) Parámetros de DHCP tales como el nombre de un proveedor, una huella digital y un nombre de ordenador central del sistema cliente respectivo. La huella digital de DHCP es una matriz de valores de opciones que son específicos para algunos clientes de DHCP. Por ejemplo, '1,3,6' es común para dispositivos de la categoría de Internet de las Cosas (IoT). El nombre del proveedor de DHCP comprende un identificador de la implementación de DHCP particular del sistema cliente. Por ejemplo, 'MSFT' es un nombre de proveedor común para el cliente de DHCP de Windows. El nombre de ordenador central puede ser configurado manualmente por un usuario, pero a menudo comprende un nombre por defecto establecido por el fabricante. Ciertos patrones de estos nombres de ordenador central por defecto pueden identificar el sistema cliente respectivo como perteneciente a una categoría particular de dispositivos. Por ejemplo, los nombres de ordenador central por defecto que comienzan con el prefijo 'NP-' son comunes en los reproductores multimedia Roku®.
d) Indicadores de agente de usuario extraídos de una cabecera de una solicitud de HTTP. Los indicadores de agente de usuario incluyen un conjunto de identificadores para el modelo, el sistema operativo o el navegador/aplicación que emitió la solicitud respectiva. Por ejemplo, un patrón común para los navegadores es "Mozilla/[versión] ([información del sistema y del navegador]) [plataforma] ([detalles de la plataforma])".
e) Indicadores de servicio del Sistema de Nombres de Dominio de Multidifusión (mDNS). mDNS es un servicio de configuración cero que resuelve los nombres de ordenador central en direcciones de IP en ausencia de un servidor de nombres de dominio convencional. Varios dispositivos utilizan mDNS para anunciar un conjunto de servicios y puertos. Se puede obtener información indicativa de categoría adicional a partir del campo TEXTO. Los servicios mDNS son populares entre los dispositivos, impresoras o almacenamientos conectados a la red de Apple. Por ejemplo, la mayoría de las impresoras anuncian el servicio "impresora" a través de mDNS.
f) Parámetros del Protocolo Simple de Gestión de Redes (SNMP). SNMP es un protocolo de red para intercambiar información de gestión entre dispositivos conectados. Un dispositivo con un servidor de SNMP difunde y OID (Identificador de Objeto), un ejemplo del cual se reproduce a continuación:
Iso(1). org(3). dod(6). internet(1). private(4). transition(868). products(2). chassis(4). card(1). slotCps(2). -cpsSlotSummary(1). cpsModuleTable(1). cpsModuleEntry(1). cpsModuleModel(3). 3562. 3
El contenido de varios campos se puede mapear aproximadamente a ciertos tipos y modelos de dispositivos. Algunas realizaciones procesan datos 60 para extraer un conjunto de características de dispositivo del dispositivo, en donde cada característica comprende un conjunto de un par atributo-valor del dispositivo respectivo. Las características ejemplares incluyen una característica de DHCP, una característica de MAC y una característica de agente de usuario, entre otras. Una característica de dispositivo se puede determinar según múltiples elementos de datos (por ejemplo, combinando múltiples valores de atributo, como en "atributo: valor1 O valor2 Y NO valor3", etc.). En algunas realizaciones, el motor de categorización 45 (Figura 9) comprende un despachador de datos 62, una pluralidad de analizadores de datos 64a-c, y un agregador de puntuaciones 70 acoplado a analizadores de datos 64a-c. Cada analizador 64a-c puede determinar un conjunto de veredictos según un conjunto de datos indicativos de categoría 60, o según un conjunto de características de un dispositivo cliente. Cada veredicto indica una posible categoría de dispositivo del sistema cliente 12. Veredictos ejemplares incluyen "el sistema cliente 12 es un encaminador de Apple®", "el sistema cliente 12 es un dispositivo Android" y "el sistema cliente 12 es una tableta de un fabricante desconocido que ejecuta Windows Mobile® 6.5".
Cada analizador 64a-c puede además determinar una puntuación que acompañe a cada veredicto. En algunas realizaciones, la puntuación indica un grado en el que el sistema cliente 12 es representativo de la categoría respectiva. Por ejemplo, una puntuación puede cuantificar lo representativo que es el sistema cliente 12 de un reloj inteligente, o de un dispositivo Apple® o de un dispositivo que ejecuta Android®. Las puntuaciones más altas pueden indicar una mayor representatividad de la categoría respectiva (por ejemplo, que el dispositivo es un miembro típico de la categoría). El grado de representatividad de una categoría puede incluir, entre otros, un grado de pertenencia al sistema cliente 12 en la categoría respectiva, una probabilidad o nivel de confianza de que el sistema cliente 12 pertenece a la categoría respectiva, y una medida de similitud entre el sistema cliente 12 y la categoría respectiva. Las puntuaciones pueden ser booleanas (1/0, SÍ/NO) o variar continuamente dentro de un conjunto de límites. En un ejemplo, cada puntuación se escala a un número entre 0 y 100.
En algunas realizaciones, cada analizador 64a-c está configurado para recibir como entrada un subconjunto distinto de datos indicativos de categoría, o un subconjunto distinto de características del dispositivo. Por ejemplo, analizador 64a puede procesar datos/características de DHCP, el analizador 64b puede analizar cadenas de texto de agente de usuario extraídas de solicitudes de HTTP, etc. En otro ejemplo, el analizador 64a procesa un primer campo de un tipo de datos de agente de usuario, el analizador 64b procesa un segundo campo del agente de usuario, etc. Los distintos subconjuntos de características no son necesariamente mutuamente excluyentes; algunos subconjuntos distintos de características pueden tener una superposición parcial. El despachador de datos 62 se puede configurar para enviar selectivamente cada tipo de datos indicativos de categoría a los analizadores 64a-c que utilizan el tipo/característica de datos respectivo como entrada. En una realización alternativa, analizadores 64a-c distintos pueden procesar el mismo subconjunto de características, pero pueden emplear distintos algoritmos para producir veredictos específicos del analizador y/o valores de puntuación. En tal ejemplo, un analizador procesa datos de mDNS según un conjunto de heurísticas y otro analizador procesa datos de mDNS utilizando una red neuronal. Cuando las categorías de dispositivos comprenden múltiples características {C i, C2, ..., Cn} en donde n > 1, algunos analizadores emiten una matriz de pares de veredicto/puntuación, cada miembro de la matriz que representa una combinación distinta de características. En tal ejemplo, en donde las características de la categoría comprenden {categoría, OS}, en donde el campo 'categoría' puede tomar los valores {teléfono, PC}, y en donde el campo 'OS' puede tomar los valores {Windows, Android, iOS}, las puntuaciones pueden visualizarse como una matriz bidimensional:
(7,(0
donde phone,Windows c|enota una puntuación que indica lo representativo que el sistema cliente 12 es de un teléfono inteligente que ejecuta Windows®, mientras que i indexa los analizadores. En general, tales matrices son escasas, dado que en la práctica no se producen todas las combinaciones posibles de características de los dispositivos. Por ejemplo, actualmente no hay impresoras Android en el mercado, por lo que es posible que no exista un veredicto de {impresora, Android} o que sea tan raro que no se pueda justificar su uso.
Algunas realizaciones derivan conocimiento de un vasto cuerpo de registros que representan dispositivos de varios tipos (teléfonos inteligentes, termostatos, ordenadores portátiles, encaminadores, impresoras, etc.). Los datos de características del dispositivo pueden adquirirse de la documentación técnica y/o de las pruebas, y pueden ser obtenidos automáticamente o por operadores humanos. Los datos de características del dispositivo se pueden almacenar en la base de datos de características del dispositivo 56. Los registros de cuerpo pueden agruparse en categorías según varios criterios. Tal agrupación puede ser realizada por operadores humanos o puede lograrse automáticamente utilizando técnicas tales como el aprendizaje supervisado o no supervisado.
Cada analizador 64a-c puede implementar un algoritmo distinto para determinar veredictos y puntuaciones. Algunas realizaciones representan cada dispositivo de cuerpo como un punto en el espacio de características multidimensionales. Tales representaciones pueden permitir una búsqueda inversa, es decir, una identificación de una categoría de dispositivo según un conjunto de valores de características. Un conjunto particular de valores de características del dispositivo puede coincidir con múltiples categorías. Algunas realizaciones de analizadores 64a-c emplean clasificadores automatizados, tales como redes neuronales, capaces de devolver un conjunto de veredictos y/o puntuaciones dado un conjunto de características del dispositivo. Otros analizadores pueden utilizar técnicas de lógica difusa, tales como funciones de pertenencia, para determinar veredictos y puntuaciones del sistema cliente 12. Sin embargo, otros analizadores pueden confiar en métodos estadísticos. En algunas realizaciones, las puntuaciones se pueden determinar empíricamente, por ejemplo, según un conjunto de heurísticas. Los analizadores configurados para procesar cadenas de texto (por ejemplo, indicadores de agente de usuario) pueden utilizar la comparación de patrones frente a una colección de firmas de identificación de categorías.
Un analizador ejemplar configurado para procesar datos de DHCP puede funcionar de la siguiente manera. En una primera fase de detección, el analizador intenta hacer coincidir tanto la huella dactilar de dhcp como el proveedor de dhcp del sistema cliente 12 frente al cuerpo de dispositivos. Si la coincidencia es exitosa, el veredicto o veredictos respectivos se pasan al agregador de puntuaciones 70 con una puntuación máxima (por ejemplo, 100). En caso de que no haya una coincidencia exacta de ambos campos, se hace un intento de hacer coincidir solo la huella dactilar de dhcp. Para evitar promover veredictos incorrectos, la puntuación de cada veredicto derivado haciendo coincidir la huella digital de DHCP se elige según una medida de similitud (por ejemplo, una distancia entre cadenas tales como Levenshtein) entre el proveedor de DHCP del veredicto respectivo y el proveedor de DHCP de sistema cliente 12.
En algunas realizaciones, el agregador de puntuaciones 70 centraliza, compara y/o combina veredictos 68a-c producidos por analizadores 64a-c individuales para emitir un veredicto decisivo para el sistema cliente respectivo. El veredicto decisivo asigna definitivamente el dispositivo cliente 12 a una categoría de dispositivo. Para combinar veredictos individuales, el agregador de puntuaciones 70 puede utilizar cualquier método conocido en la técnica. En una realización ejemplar, se elige un veredicto decisivo como el veredicto que tiene la puntuación más alta a través de múltiples tipos de datos y/o analizadores:
er-CO
donde v denota una puntuación asociada con el veredicto v, determinada según el tipo de datos o característica i, donde S denota el conjunto de todos los tipos/características de datos, y donde Q denota el conjunto de todos los
). En una realización alternativa, cr-CO
veredictos (indicadores de categoría v denota una puntuación determinada por el analizador i para el veredicto v.
Un problema que se encuentra en la práctica cuando se utiliza la fórmula [2] es que, con bastante frecuencia,
múltiples veredictos individuales v vienen con una puntuación idéntica a v (0 , por lo que puede que no haya un veredicto decisivo inequívoco. Más adelante se dan ejemplos de tales situaciones.
Una realización alternativa determina un veredicto decisivo según una puntuación agregada calculada para cada a (¿)
veredicto v como una combinación de puntuaciones v individuales obtenido según distintos tipos de datos/características, según distintos algoritmos, y/o calculado por distintos analizadores 64a-c. En tal ejemplo, se calcula una puntuación agregada según una suma ponderada de puntuaciones individuales:
°vA) =
Síes 4 ° ' w(i).
V =
argm axt, ef> (cn^1 j
y por lo tanto [3]
en donde
denota la puntuación agregada calculada para el veredicto v, y en donde denota una ponderación numérica asociada con el tipo de datos/característica i y/o con el analizador que produjo la puntuación
Cuando todas las ponderaciones W(i) son iguales, la fórmula [3] equivale a calcular la puntuación agregada como una media del conjunto de puntuaciones individuales.
En algunas realizaciones, la ponderación w(i) representa un indicador de la fiabilidad del analizador respectivo y/o el tipo de datos al producir una asignación de categoría correcta. Algunos tipos de datos (por ejemplo, datos de agentes de usuario, nombre de ordenador central) pueden ser bastante inespecíficos o pueden conducir a veredictos falsos con puntuaciones relativamente altas. Para evitar tales situaciones, los respectivos tipos de datos y/o analizadores que utilizan los respectivos tipos de datos pueden recibir una ponderación menor w(i) que otros tipos de datos o analizadores más fiables. En algunas realizaciones, la ponderación w(i) puede variar aún más según el veredicto: w(i) = V), en donde w('v) denota una relevancia de la fuente de datos y/o analizador i al veredicto respectivo v. Algunos tipos de datos pueden ser más relevantes para algunos veredictos que otros. Por ejemplo, los datos de mDNS pueden ser más relevantes para la detección de impresoras que los datos del nombre de ordenador central. Aunque tal información de fiabilidad/relevancia ya puede estar incorporada hasta cierto punto en las puntuaciones, algunas realizaciones usan veredicto y/o ponderaciones específicas del analizador como un artificio para romper un empate de puntuación y así producir una asignación de categoría inequívoca.
En un ejemplo de ponderaciones específicas de veredicto y/o analizador, Ecobee, Inc. (prefijo de MAC 44:61:32) y Sonos, Inc. (prefijo de MAC b8:e9:37) producen muy pocos dispositivos, que por lo tanto pueden ser identificados de forma inequívoca utilizando la dirección de MAC. Por lo tanto, el analizador/tipo de datos de MAC puede recibir una ponderación relativamente alta en la agregación de puntuaciones para los veredictos de Ecobee y/o Sonos. En otro ejemplo, para los dispositivos de Nest®, un nombre de ordenador central vacío típicamente indica una cámara IP. Por tanto, algunas realizaciones pueden asociar ponderaciones relativamente altas con veredictos y analizadores de nombres de ordenador central de Nest. En otro ejemplo más, es muy probable que un dispositivo de Apple® cuyos datos de mDNS muestren un servicio de red de tipo "airport.tcp" sea un encaminador. Por lo tanto, se pueden asociar ponderaciones más altas con analizadores de mDNS y veredictos de Apple®. De manera similar, un dispositivo de Amazon® que tiene la huella digital de DHCP "1,3,6,12,15,28,42" es muy probable que sea un lector de libros electrónicos Kindle®. Por lo tanto, algunas realizaciones pueden emplear una ponderación relativa cuando se agregan puntuaciones para veredictos de Amazon y analizadores de DHCP.
Las ponderaciones w(i), w('v) pueden determinarse según ensayo y error, o utilizando un algoritmo de aprendizaje automático. Es posible que se modifiquen repetidamente para optimizar la detección de dispositivos en una Internet de las Cosas en continua evolución. Las ponderaciones se pueden escalar aún más para normalizar la puntuación
agregada, es decir, para mantener la puntuación v dentro de los limites deseados.
En algunas realizaciones, determinar la puntuación agregada comprende modular las puntuaciones individuales °"v según un tamaño absoluto o relativo de las puntuaciones respectivas. Por ejemplo,
donde M(.) denota una función de modulación. Una realización ejemplar que utiliza una variación de la fórmula [4] calcula la puntuación agregada según la puntuación más grande y la más pequeña de las puntuaciones individuales:
a; ( A ) J = Wi maxí£S a ( ; 0 J , w2 mi ■ní£S a (0 ; r [5 a]
En otro cálculo ejemplar, se descartan las puntuaciones individuales más grandes y más pequeñas, y la puntuación agregada se calcula como el promedio de las puntuaciones restantes. Otra realización ejemplar puede determinar la puntuación agregada como la mediana del conjunto de puntuaciones individuales. En otro ejemplo más, M es una función inyectiva (por ejemplo, cada vez mayor). Variaciones como las ilustradas en las fórmulas [4] y [5] abordan el problema de la asignación de categoría ambigua: después de aplicar la fórmula [1] o [2], puede haber múltiples veredictos candidatos con puntuaciones agregadas sustancialmente similares. En la práctica, esto significa que los
motores de categorización 45, 145 no pueden decidir sobre una categoría única para el dispositivo respectivo. Por lo tanto, algunas realizaciones recurren a la modulación de puntuación para romper el empate. Algunas funciones M, por ejemplo, promueven adicionalmente analizadores fiables en un esfuerzo por romper un empate de puntuación agregada.
En otro cálculo ejemplar de la puntuación agregada, algunas puntuaciones
individuales pueden ser moduladas por una puntuación w (i) determinada según el veredicto v asociado la puntuación respectiva. En una realización, los veredictos no específicos tales como "dispositivo desconocido" pueden suprimirse de esta manera asignándoles ponderaciones relativamente pequeñas durante la agregación y la toma de decisiones.
En algunas realizaciones como se ilustra en la Figura 9, los analizadores 64a-c y/o el agregador de puntuaciones 70 pueden recibir un conjunto de valores de parámetros de análisis 66 y/o un conjunto de valores de parámetros de <7®
agregación 67, respectivamente, como entrada para calcular las puntuaciones v individuales y/o la puntuación
agregada a v (A) . En una realización en donde un analizador comprende una red neuronal, los valores de parámetros de análisis 66 pueden incluir, por ejemplo, un conjunto de ponderaciones de redes neuronales del analizador respectivo. Los valores de parámetros de agregación pueden incluir ponderaciones W(l), entre otros. En una realización ejemplar, los valores de parámetros 66 y/o 67 se almacenan y recuperan selectivamente de la base de datos de características del dispositivo 56. Al mantener tales valores de parámetros independientemente del analizador y del software de agregación de puntuaciones, algunas realizaciones facilitan la optimización y/o actualización de los motores 45, 145.
La Figura 10 muestra una secuencia ejemplar de pasos realizados por el motor de categorización 45 según algunas realizaciones de la presente invención. La detección de dispositivos puede realizarse de forma iterativa, dado que no todos los datos indicativos de categoría 60 pueden estar disponibles a la vez. Algunos tipos de datos pueden ser relativamente fáciles de adquirir, mientras que otros pueden necesitar procedimientos relativamente largos, tales como intercambios de mensajes de inicio de diálogo, negociaciones sobre parámetros de configuración de red, autenticación, etc. Por lo tanto, en algunas realizaciones, los analizadores 64a-c operan independientemente unos de otros, cada analizador responde a una recepción de datos/características indicativos de categoría del tipo apropiado.
Una vez introducido en la red local 14, en una secuencia de pasos 400-401, algunas realizaciones del aparato de detección de dispositivos 18 puede comenzar a recolectar datos indicativos de categoría 60 de los sistemas cliente 12a-f y/o el encaminador 19. Recolectar los datos 60 puede depender de un tipo de datos respectivos. Por ejemplo, aparato de detección de dispositivos 18 puede extraer un indicador de agente de usuario de una solicitud de HTTP recibida de un sistema cliente. Algunos dispositivos difunden una oferta de servicios de red; interceptando dichos mensajes, el aparato 18 puede determinar qué tipo de servicios y/o protocolos soportan los dispositivos respectivos. El aparato 18, además, puede utilizar una herramienta de descubrimiento de servicios tal como Network Mapper (NMap). Para recolectar datos sobre protocolos y servicios de red tales como Bonjour® y SNMP, algunas realizaciones del dispositivo 18 envían una sonda a un puerto particular de un sistema cliente y escuchan una respuesta. Cuando los datos 60 están disponibles, el despachador de datos 42 puede identificar un tipo de datos de los datos respectivos y reenviar de forma selectiva los datos 60 al analizador o analizadores que utilizan el tipo de datos respectivo como entrada (pasos 402-404). En un paso 406, el analizador o analizadores respectivos determinan un conjunto de veredictos candidatos y puntuaciones asociadas. En una secuencia de pasos 408-410, el agregador de puntuación 70 determina un conjunto de puntuaciones agregadas y selecciona un veredicto decisivo. El veredicto decisivo puede constituir entonces la salida del motor 45. En algunas realizaciones, la asignación de categoría del sistema cliente 12 como se indica por el veredicto decisivo puede cambiar con el tiempo. En la media que los datos 60 más indicativos de categoría están disponibles, otros analizadores pueden comenzar a proporcionar veredictos candidatos y puntuaciones, que el agregador 70 luego puede combinar con puntuaciones individuales o agregadas previamente calculadas.
En una realización alternativa como se ilustra en la Figura 11, al menos una parte de un procedimiento de detección de dispositivos se lleva a cabo en el servidor de configuración 52. Los datos 60 indicativos de categoría recolectados por el aparato de detección de dispositivos 18 se pueden transmitir al servidor de configuración 52, que identifica el tipo de dispositivo según los datos recibidos y además según la información almacenada en la base de datos de características del dispositivo 56. Tal detección de dispositivo puede ser iterativa: el servidor 52 puede realizar una determinación preliminar de un tipo de dispositivo según los datos actualmente disponibles sobre el sistema cliente respectivo. En respuesta a la determinación preliminar, el servidor 52 puede solicitar además datos indicativos del tipo de dispositivo sobre el cliente respectivo del aparato de detección de dispositivos 18. Se envían más datos de indicativos de categoría al servidor de configuración 52, hasta que se logra una asignación de categoría exitosa del sistema cliente 12. Algunas realizaciones dividen las tareas de detección de dispositivos entre los motores 45 y 145. En tal ejemplo, cada motor puede calcular un conjunto de veredictos candidatos y/o puntuaciones. Luego, las puntuaciones se pueden agregar o bien en el dispositivo 18 o bien en el servidor 52, para producir un veredicto decisivo.
La información obtenida a través de la detección/descubrimiento de dispositivos se puede utilizar de diversas formas. Unos pocos ejemplos incluyen adaptar un conjunto de servicios de red a cada dispositivo cliente, instalar agentes de software específicos del dispositivo en cada dispositivo, evaluar las vulnerabilidades de seguridad informática de cada dispositivo y exponer un conjunto de opciones de configuración específicas del dispositivo a un usuario de cada dispositivo cliente (gestión remota).
Una aplicación ejemplar de algunas realizaciones de la presente invención es el aprovisionamiento de software específico del dispositivo. La Figura 12 ilustra una secuencia ejemplar de pasos realizados por el aparato de detección de dispositivos 18 para entregar un agente de servicios públicos al sistema cliente 12 (ver, por ejemplo, el agente de servicios públicos 41 en la Figura 6). En algunas realizaciones, el aparato 18 espera las solicitudes de conexión de los sistemas cliente locales. Una solicitud de conexión ejemplar comprende una solicitud de HTTP. Cuando el sistema cliente 12 intenta acceder a una dirección en la red local 14 o red extendida 16, el aparato 18 puede interceptar la solicitud y, en respuesta, puede enviar un indicador de la categoría del sistema cliente 12 al servidor de configuración 52. El servidor 52 puede responder con una notificación que puede incluir un indicador de ubicación (por ejemplo, ruta, dirección de IP) de un instalador de agente seleccionado según la categoría asignada de sistema cliente 12. En respuesta a la recepción de la notificación, el aparato de detección de dispositivos 18 puede redirigir la solicitud de HTTP a la ubicación del instalador del agente. En una realización alternativa, el aparato 18 puede obtener el instalador del agente del servidor 52, y luego presionar el instalador en el sistema cliente respectivo.
En algunas realizaciones, el instalador del agente está configurado para provocar que el sistema 12 (o dispositivo de administración 20) exponga una interfaz de confirmación a un usuario, solicitando al usuario que acuerde instalar el agente 41. Además, el instalador puede solicitar al usuario que confirme que está de acuerdo con los términos de la suscripción respectiva (por ejemplo, los enumerados en un SLA). Cuando el usuario indica que está de acuerdo, el instalador puede instalar y ejecutar el agente 41. En algunas realizaciones, el instalador del agente y/o el aparato de detección del dispositivo 18 pueden registrar el sistema cliente respectivo con el servidor de configuración del cliente 52, el registro que asocia el sistema cliente respectivo con un registro de suscripción adjunto al aparato de detección de dispositivos 18.
Puede suministrarse una amplia variedad de agentes de servicios públicos usando los sistemas y métodos descritos en la presente memoria. Un agente de servicios públicos 41 ejemplar configurado para proporcionar servicios de seguridad puede realizar una evaluación de seguridad del sistema cliente 12 (por ejemplo, un escaneo de malware local) y puede enviar datos de evaluación de seguridad al servidor de configuración 52 o al servidor de seguridad 50. El servidor o los servidores pueden entonces reenviar un indicador de seguridad al dispositivo de administración 20 para mostrar al usuario/administrador. Los indicadores de seguridad ejemplares mostrados al usuario/administrador pueden incluir, entre otros, un indicador de si un objeto de software en particular (por ejemplo, el sistema operativo) que se ejecuta en el sistema cliente 12 está actualizado y es un indicador de la solidez de una contraseña utilizada para proteger el sistema cliente 12. Otras acciones ejemplares realizadas por un agente de seguridad incluyen la actualización de software y/o políticas de seguridad para el sistema cliente respectivo. En algunas realizaciones, el agente 41 está configurado para filtrar el tráfico de red hacia/desde el sistema cliente 12 utilizando un algoritmo de inspección de paquetes de red para determinar, por ejemplo, si el sistema cliente 12 está sujeto a un ataque malintencionado.
Un agente de servicios públicos 41 ejemplar configurado para proporcionar servicios de comunicación seguros incluye un agente de red privada virtual (VPN). Tales agentes pueden proteger el sistema cliente 12 cuando el sistema cliente 12 sale de la red local 14 (por ejemplo, cuando el usuario sale de casa con su teléfono móvil). Tal agente puede colaborar con el aparato de detección de dispositivos 18 y/o el servidor de configuración 52 para abrir un túnel de comunicación segura y/o para configurar una VPN entre el sistema cliente respectivo y el servidor de seguridad 50 (más detalles a continuación).
Un agente de servicios públicos 41 ejemplar configurado para proporcionar servicios de control parental puede monitorizar el uso del sistema cliente 12, e informar de los patrones de uso a un usuario supervisor (por ejemplo, padre) a través de un dispositivo de administración 20. El agente 41 puede prevenir aún más que el sistema cliente 12 acceda a ciertos recursos remotos (por ejemplo, direcciones de IP, sitios web, etc.), o use ciertas aplicaciones instaladas localmente (por ejemplo, juegos). Tal bloqueo puede aplicarse de forma permanente o según una programación específica del usuario.
Un agente de servicios públicos 41 ejemplar configurado para proporcionar asistencia técnica remota puede configurar automáticamente y/o abrir un canal de comunicación segura (por ejemplo, un túnel de SSH) entre el sistema cliente 12 y servidor de configuración 52. Los comandos de configuración y/o solución de problemas se pueden transmitir entonces desde el servidor 52 al sistema cliente 12, posiblemente sin la implicación o asistencia explícita de un usuario del sistema cliente 12.
Algunos sistemas cliente, tales como electrodomésticos, dispositivos que se pueden llevar puestos, etc., pueden no ser capaces de instalar un agente de servicios públicos como se indicó anteriormente. Sin embargo, tales dispositivos pueden incluir configuración incorporada y/o agentes de gestión de dispositivos que permitan un comando remoto de los respectivos dispositivos. Algunas realizaciones de la presente invención pueden utilizar los
agentes de gestión existentes y los protocolos y/o métodos de comunicación específicos del dispositivo para comunicar actualizaciones de valores de parámetros a tales dispositivos. Incluso para tales dispositivos, la identificación correcta de la categoría de dispositivo habilita el servidor de configuración 52 para formatear y comunicar correctamente los comandos de configuración a los respectivos sistemas cliente. Para facilitar la asignación de categorías de tales sistemas cliente, el aparato de detección de dispositivos 18 puede o bien analizar activamente las comunicaciones recibidas del sistema cliente respectivo o bien volver a encaminar las comunicaciones respectivas al servidor de configuración 52.
Algunas realizaciones de la presente invención permiten una detección/descubrimiento automático de dispositivos, particularmente aplicada a dispositivos cliente de "Internet de las Cosas", tales como dispositivos que se pueden llevar puestos, dispositivos de comunicación móvil y electrodomésticos inteligentes, entre otros. Tales dispositivos cliente típicamente están configurados para conectarse a una red, por ejemplo, a una LAN inalámbrica o un enlace BLUETOOTH®. Algunas realizaciones de la presente invención están elaboradas específicamente para facilitar su uso y, por lo tanto, no necesitan conocimientos especializados de ingeniería informática o administración de redes. En algunas realizaciones, un aparato de detección de dispositivos está conectado a la misma red local que los dispositivos detectados. Las actividades de detección/descubrimiento ejemplares incluyen, entre otras, determinar una categoría de producto de cada dispositivo cliente (por ejemplo, teléfono, reloj, televisión inteligente, impresora, encaminador, termostato, etc.) y determinar otras características del dispositivo, tales como una marca y modelo de un dispositivo cliente, un tipo/versión de sistema operativo (OS) utilizado por un dispositivo cliente, un tipo de componente de hardware instalado en un dispositivo cliente, etc. Los métodos descritos en la presente memoria no se limitan al aparato de detección de dispositivos. La detección de dispositivos se puede llevar a cabo por los sistemas cliente 12a-f, el encaminador 19, y/o un servidor remoto.
Algunas realizaciones determinan la asignación de categoría según una pluralidad de criterios distintos, por ejemplo según distintas fuentes de datos indicativas de categoría y/o según distintas características del dispositivo respectivo. Tales realizaciones se basan en la observación de que el uso de un único criterio/algoritmo/característica a menudo conduce a una asignación de categoría ambigua o incluso incorrecta. A continuación se dan ejemplos de tales situaciones.
En un ejemplo de asignación de categoría, el dispositivo 18 adquiere los siguientes datos indicativos de categoría sobre un dispositivo cliente (Tabla 1):
Tabla 1
Un analizador que usa la dirección de MAC devuelve los pares de veredicto/puntuación ilustrados en la Tabla 2. Como se ve aquí, la detección basada en MAC produce resultados ambiguos, sin un claro ganador.
Tabla 2
Un segundo conjunto de pares de veredicto/puntuación se calcula por otro analizador utilizando datos de DHCP, y se agrega con los pares de veredicto/puntuación de la Tabla 2. Los resultados de la agregación se muestran en la
Tabla 3. Añadir el veredicto de huellas dactilares de DHCP al veredicto de MAC ha reducido sustancialmente la ambigüedad.
Tabla 3
Un tercer conjunto de pares de veredicto/puntuación fue calculado por otro analizador en base a los datos de mDNS. Agregación de puntuaciones de veredicto de mDNS con los pares de veredicto/puntuación en la Tabla 3 produce el resultado mostrado en la Tabla 4, que muestran una asignación inequívoca y correcta del sistema cliente 12 a la categoría de encaminador.
Tabla 4
A continuación se muestra un ejemplo de una situación en donde el uso de una única fuente de datos/característica produce una asignación de categoría incorrecta. Un dispositivo proporciona los datos indicativos de la categoría mostrados en la Tabla 5. Un sistema de descubrimiento de dispositivos convencional puede concluir, según o bien los datos del "agente de usuario" o bien los datos del nombre de ordenador central, que el cliente respectivo es un dispositivo Android. Sin embargo, intentar desplegar software basado en Android en este cliente fallaría, porque el dispositivo es en realidad una televisión Amazon Kindle Fire, que usa un OS personalizado basado vagamente en Android. La asignación de categoría correcta se puede lograr combinando fuentes de datos de agente de usuario, DHCP, mDNS y MAC.
Tabla 5
En otro ejemplo, un sistema cliente proporciona los datos indicativos de categoría que se muestran en la Tabla 6. Usando solo los datos de mDNS, un sistema de descubrimiento de dispositivos convencional puede concluir que este dispositivo es una impresora, dado que los servicios de IPP e IPPS son utilizados principalmente por impresoras. Pero el MAC indica un dispositivo de Apple®, y Apple® no produce impresoras actualmente. El uso de datos de nombre de ordenador central por sí solos tampoco puede garantizar una detección exitosa, dado que los nombres de ordenador central pueden ser elegidos arbitrariamente por el usuario. Sin embargo, la combinación de datos de MAC, nombre de ordenador central y agente de usuario permite compensar la información engañosa proporcionada por los datos de mDNS, para producir la asignación de categoría correcta: ordenador personal que ejecuta OS X®.
Tabla 6
Estará claro para un experto en la técnica que las realizaciones anteriores pueden alterarse de muchas formas sin apartarse del alcance de la invención. Por consiguiente, el alcance de la invención debería determinarse mediante las siguientes reivindicaciones.
Claims (9)
1. Un método implementado por ordenador implementado por un aparato de detección de dispositivos que tiene al menos un procesador para realizar los pasos de:
en respuesta a recibir un conjunto de datos de un dispositivo cliente conectado al aparato de detección de dispositivos por una red local, seleccionar una categoría candidata de una pluralidad de categorías de dispositivos predeterminadas, la categoría candidata que se define por una tupla de características del dispositivo, la tupla que incluye un tipo de dispositivo de hardware seleccionado que coexiste con un sistema operativo seleccionado; determinar una primera puntuación según un primer subconjunto del conjunto de datos, la primera puntuación indicativa de un primer grado en el que el dispositivo cliente es representativo de la categoría candidata; determinar una segunda puntuación según un segundo subconjunto del conjunto de datos, la segunda puntuación indicativa de un segundo grado en el que el dispositivo cliente es representativo de la categoría candidata; combinar la primera y la segunda puntuaciones para producir una puntuación agregada; y
en respuesta a la producción de la puntuación agregada, determinar si el dispositivo cliente pertenece a la categoría candidata según la puntuación agregada.
2. El método de la reivindicación 1, que comprende además determinar la puntuación agregada según:
en donde o denota la primera puntuación y w denota una ponderación numérica determinada según la categoría candidata.
3. El método de la reivindicación 1, que comprende además determinar la puntuación agregada según:
en donde o denota la primera puntuación, w denota una ponderación numérica determinada según el primer conjunto de características, y en donde f(o) denota una primera puntuación modificada determinada aplicando una función inyectiva f a la primera puntuación.
4. El método de la reivindicación 1, que comprende además hacer que el al menos un procesador de hardware realice el paso de:
en respuesta a determinar si el dispositivo cliente pertenece a la categoría candidata, cuando el dispositivo cliente pertenece a la categoría candidata, transmitir un indicador de una ubicación de un instalador del agente al dispositivo cliente, el instalador del agente seleccionado de una pluralidad de instaladores del agente según la categoría candidata, en donde el instalador del agente está configurado para instalar un agente de software en el dispositivo cliente.
5. El método de la reivindicación 1, que comprende además hacer que el al menos un procesador de hardware realice el paso de:
en respuesta a determinar si el dispositivo cliente pertenece a la categoría candidata, cuando el dispositivo cliente pertenece a la categoría candidata, determinar según la categoría candidata si el dispositivo cliente es vulnerable a una amenaza de seguridad informática.
6. El método de la reivindicación 1, que comprende además hacer que el al menos un procesador de hardware realice los pasos de:
en respuesta a determinar si el dispositivo cliente pertenece a la categoría candidata, cuando el dispositivo cliente pertenece a la categoría candidata, formular un conjunto de instrucciones según la categoría del dispositivo, el conjunto de instrucciones configurado, cuando es ejecutado por el dispositivo cliente, para causar una interrupción de un servicio de asignación de direcciones de red a clientes conectados a la red local; y
en respuesta a la formulación del conjunto de instrucciones, transmitir el conjunto de instrucciones al dispositivo cliente.
7. El método de la reivindicación 1, que comprende además hacer que el al menos un procesador de hardware realice los pasos de:
en respuesta a recibir el conjunto de datos, seleccionar otra categoría candidata de la pluralidad de categorías de dispositivos predeterminadas, la otra categoría candidata que se define por otra tupla de características del
dispositivo, la otra tupia que incluye el tipo de dispositivo de hardware seleccionado que coexiste con otro sistema operativo;
determinar una tercera puntuación indicativa de un tercer grado en el que el dispositivo cliente es representativo de la otra categoría candidata; y
en respuesta, determinar si el dispositivo cliente pertenece a la otra categoría candidata según la puntuación agregada y la tercera puntuación.
8. Un aparato de detección de dispositivos que comprende al menos un procesador de hardware y una memoria, el al menos un procesador de hardware adaptado para realizar los pasos del método enumerados en la reivindicación 1.
9. Un medio legible por ordenador no transitorio que almacena instrucciones que, cuando son ejecutadas por al menos un procesador de hardware del aparato de detección de dispositivos de la reivindicación 8, hacen que el aparato de detección de dispositivos realice los pasos del método enumerados en la reivindicación 1.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662315834P | 2016-03-31 | 2016-03-31 | |
| PCT/EP2017/057471 WO2017167836A1 (en) | 2016-03-31 | 2017-03-29 | System and methods for automatic device detection |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2898869T3 true ES2898869T3 (es) | 2022-03-09 |
Family
ID=59961280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES17715653T Active ES2898869T3 (es) | 2016-03-31 | 2017-03-29 | Sistema y métodos para detección de dispositivo automática |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US10644949B2 (es) |
| EP (1) | EP3437260B1 (es) |
| JP (1) | JP6832951B2 (es) |
| KR (2) | KR102175193B1 (es) |
| CN (1) | CN108886483B (es) |
| AU (1) | AU2017242543B2 (es) |
| CA (1) | CA3018022C (es) |
| ES (1) | ES2898869T3 (es) |
| HK (1) | HK1257354A1 (es) |
| IL (1) | IL261626B (es) |
| RU (1) | RU2742824C2 (es) |
| SG (2) | SG11201807734YA (es) |
| WO (1) | WO2017167836A1 (es) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9647779B2 (en) | 2013-04-22 | 2017-05-09 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to identify media devices |
| US10404532B2 (en) * | 2015-04-10 | 2019-09-03 | Comcast Cable Commnications, LLC | Virtual gateway control and management |
| US10855800B2 (en) * | 2017-02-15 | 2020-12-01 | Dell Products, L.P. | Managing device profiles in the Internet-of-Things (IoT) |
| US10333733B2 (en) * | 2017-03-20 | 2019-06-25 | Vmware, Inc. | Controlling proxy devices through a managed gateway |
| GB2566010A (en) * | 2017-08-24 | 2019-03-06 | Connect Devices Ltd | Method and system for network devices |
| US10498750B2 (en) * | 2017-09-14 | 2019-12-03 | Zscaler, Inc. | Systems and methods for security and control of internet of things and zeroconf devices using cloud services |
| US10698752B2 (en) | 2017-10-26 | 2020-06-30 | Bank Of America Corporation | Preventing unauthorized access to secure enterprise information systems using a multi-intercept system |
| CN108093390B (zh) * | 2017-12-29 | 2021-05-11 | 珠海多士科技有限公司 | 一种基于特征信息的智能设备发现方法 |
| EP3477919B1 (en) | 2018-01-25 | 2020-03-25 | Apple Inc. | Protocol for establishing a secure communications session with an anonymous host over a wireless network |
| US10931716B2 (en) * | 2018-02-09 | 2021-02-23 | Vmware, Inc. | Policy strength of managed devices |
| US11164587B2 (en) | 2019-01-15 | 2021-11-02 | International Business Machines Corporation | Trial and error based learning for IoT personal assistant device |
| US11683236B1 (en) * | 2019-03-30 | 2023-06-20 | Snap Inc. | Benchmarking to infer configuration of similar devices |
| CN110121175A (zh) * | 2019-04-12 | 2019-08-13 | 国家计算机网络与信息安全管理中心 | 一种用于移动物联网智能终端的数据监测方法及系统 |
| US11853192B1 (en) | 2019-04-16 | 2023-12-26 | Snap Inc. | Network device performance metrics determination |
| US11240104B1 (en) | 2019-05-21 | 2022-02-01 | Snap Inc. | Device configuration parameter determination |
| RU2746101C2 (ru) * | 2019-09-30 | 2021-04-07 | Акционерное общество "Лаборатория Касперского" | Система и способ определения устройств компьютерной сети с использованием правил инвентаризации |
| EP3799383A1 (en) * | 2019-09-30 | 2021-03-31 | AO Kaspersky Lab | System and method for using inventory rules to identify devices of a computer network |
| US11552852B1 (en) * | 2020-05-29 | 2023-01-10 | Cable Television Laboratories, Inc. | Systems and methods for managing networks for improved device connectivity |
| RU2769632C1 (ru) * | 2021-03-12 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Способ управления IoT-устройством со стороны элемента сетевой инфраструктуры |
| CA3167446A1 (en) * | 2021-07-15 | 2023-01-15 | Cujo LLC | Network device identification |
| KR102549381B1 (ko) * | 2021-07-16 | 2023-06-30 | 엘지전자 주식회사 | 이동 단말기 및 그의 제품 등록 방법 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6741853B1 (en) | 2000-11-09 | 2004-05-25 | Nortel Networks Limited | Device aware internet portal |
| US7062498B2 (en) * | 2001-11-02 | 2006-06-13 | Thomson Legal Regulatory Global Ag | Systems, methods, and software for classifying text from judicial opinions and other documents |
| US7515546B2 (en) | 2001-12-19 | 2009-04-07 | Alcatel-Lucent Canada Inc. | Method and apparatus for automatic discovery of network devices with data forwarding capabilities |
| KR100554172B1 (ko) * | 2003-11-27 | 2006-02-22 | 한국전자통신연구원 | 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법 |
| JP4971610B2 (ja) * | 2005-09-01 | 2012-07-11 | キヤノン株式会社 | デバイスドライバを管理するためのプログラムおよび方法と情報処理装置 |
| US8331263B2 (en) * | 2006-01-23 | 2012-12-11 | Microsoft Corporation | Discovery of network nodes and routable addresses |
| TWI334714B (en) | 2006-12-10 | 2010-12-11 | Cameo Communications Inc | Discovery method for network devices |
| JP4855499B2 (ja) * | 2008-09-22 | 2012-01-18 | 株式会社オプティム | 電化製品の種別を決定する情報処理装置、方法、サーバ |
| SE532568C2 (sv) | 2009-04-09 | 2010-02-23 | Smarttrust Ab | Metod för att identifiera en mobiltelefon |
| US8583582B2 (en) * | 2010-01-28 | 2013-11-12 | Schneider Electric USA, Inc. | Robust automated hierarchical determination for power monitoring systems |
| ES2561663T3 (es) | 2011-07-11 | 2016-02-29 | Tanaza S.R.L. | Método y sistema para gestionar dispositivos de red de distribuidores y fabricantes genéricos |
| JP5648011B2 (ja) * | 2012-03-30 | 2015-01-07 | エヌ・ティ・ティ・コムウェア株式会社 | 機器同定装置、機器同定システム、機器同定方法及び機器同定プログラム |
| US9197498B2 (en) * | 2012-08-31 | 2015-11-24 | Cisco Technology, Inc. | Method for automatically applying access control policies based on device types of networked computing devices |
| CN103679190B (zh) * | 2012-09-20 | 2019-03-01 | 富士通株式会社 | 分类装置、分类方法以及电子设备 |
| US9135293B1 (en) | 2013-05-20 | 2015-09-15 | Symantec Corporation | Determining model information of devices based on network device identifiers |
| US9319419B2 (en) * | 2013-09-26 | 2016-04-19 | Wave Systems Corp. | Device identification scoring |
| US10015737B2 (en) * | 2013-11-12 | 2018-07-03 | Taiwan Semiconductor Manufacturing Co., Ltd. | Network selection recommender system and method |
| CN105119735B (zh) * | 2015-07-15 | 2018-07-06 | 百度在线网络技术(北京)有限公司 | 一种用于确定流量类型的方法和装置 |
-
2017
- 2017-03-29 RU RU2018133515A patent/RU2742824C2/ru active
- 2017-03-29 CN CN201780021164.4A patent/CN108886483B/zh active Active
- 2017-03-29 CA CA3018022A patent/CA3018022C/en active Active
- 2017-03-29 WO PCT/EP2017/057471 patent/WO2017167836A1/en active Application Filing
- 2017-03-29 AU AU2017242543A patent/AU2017242543B2/en active Active
- 2017-03-29 SG SG11201807734YA patent/SG11201807734YA/en unknown
- 2017-03-29 ES ES17715653T patent/ES2898869T3/es active Active
- 2017-03-29 SG SG10201913256YA patent/SG10201913256YA/en unknown
- 2017-03-29 US US15/472,515 patent/US10644949B2/en active Active
- 2017-03-29 EP EP17715653.6A patent/EP3437260B1/en active Active
- 2017-03-29 KR KR1020197033053A patent/KR102175193B1/ko active IP Right Grant
- 2017-03-29 KR KR1020187031379A patent/KR20180127649A/ko active Search and Examination
- 2017-03-29 JP JP2018550522A patent/JP6832951B2/ja active Active
-
2018
- 2018-09-05 IL IL261626A patent/IL261626B/en active IP Right Grant
- 2018-12-25 HK HK18116562.4A patent/HK1257354A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| IL261626B (en) | 2020-10-29 |
| SG11201807734YA (en) | 2018-10-30 |
| AU2017242543B2 (en) | 2021-08-05 |
| KR20180127649A (ko) | 2018-11-29 |
| JP2019512817A (ja) | 2019-05-16 |
| CN108886483B (zh) | 2021-04-09 |
| RU2742824C2 (ru) | 2021-02-11 |
| CA3018022C (en) | 2020-12-22 |
| EP3437260A1 (en) | 2019-02-06 |
| KR20190128260A (ko) | 2019-11-15 |
| WO2017167836A1 (en) | 2017-10-05 |
| IL261626A (en) | 2018-10-31 |
| JP6832951B2 (ja) | 2021-02-24 |
| CA3018022A1 (en) | 2017-10-05 |
| RU2018133515A3 (es) | 2020-07-28 |
| US20170288965A1 (en) | 2017-10-05 |
| EP3437260B1 (en) | 2021-09-29 |
| RU2018133515A (ru) | 2020-04-30 |
| SG10201913256YA (en) | 2020-02-27 |
| CN108886483A (zh) | 2018-11-23 |
| US10644949B2 (en) | 2020-05-05 |
| HK1257354A1 (zh) | 2019-10-18 |
| KR102175193B1 (ko) | 2020-11-09 |
| AU2017242543A1 (en) | 2018-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2898869T3 (es) | Sistema y métodos para detección de dispositivo automática | |
| US9742805B2 (en) | Managing dynamic deceptive environments | |
| US10382484B2 (en) | Detecting attackers who target containerized clusters | |
| ES2898099T3 (es) | Sistemas y métodos para asegurar puntos extremos de red | |
| KR101541244B1 (ko) | Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템 | |
| US11170011B2 (en) | Triggered scanning using provided configuration information | |
| ES2804502T3 (es) | Sistemas y métodos para detección automática de dispositivo, gestión de dispositivo y asistencia remota |