ES2922817T3 - Análisis de seguridad de red para electrodomésticos inteligentes - Google Patents

Abstract

Un método y sistema para detectar comportamiento malicioso de dispositivos inteligentes dentro de una red. Los electrodomésticos inteligentes tienen un cierto nivel de inteligencia que les permite realizar una función específica de manera más efectiva y conveniente. Los datos de tráfico de red y los datos de identificación de dispositivos se recopilan sobre dispositivos inteligentes dentro de una red. Los datos se envían a un motor de análisis de comportamiento, que calcula los niveles de confianza de las anomalías en el tráfico de la red que pueden ser causadas por un comportamiento malicioso. Si el motor de análisis de comportamiento determina que hay un comportamiento malicioso en la red, envía una instrucción a un centro de tráfico de red para bloquear el tráfico de red relacionado con la anomalía. En algunas realizaciones, el tráfico de red se bloquea en función de los pares de origen-destino. En algunas realizaciones, el tráfico de red se bloquea desde un dispositivo fuera de la red que se determina que es malicioso. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN

Análisis de seguridad de red para electrodomésticos inteligentes

REFERENCIA CRUZADA A SOLICITUDES RELACIONADAS ANTECEDENTES

Los electrodomésticos "inteligentes" son dispositivos que pueden conectarse a una red para comunicarse con dispositivos mientras realizan una función muy específica, por ejemplo, dentro de una casa o una pequeña oficina. Los dispositivos inteligentes tienen cierta inteligencia de procesamiento de computación básica específica, pero por lo demás carecen de la capacidad de un sistema informático completo, como un ordenador personal, un teléfono o una tableta. Los ejemplos de electrodomésticos inteligentes incluyen neveras, lavavajillas, lavadoras, secadoras, termostatos, grabadoras de video digital, reproductores de DVD e impresoras. Al añadir un cierto nivel de inteligencia a estos dispositivos, los electrodomésticos inteligentes pueden volverse más efectivos o más convenientes para el usuario. Por ejemplo, un lavavajillas inteligente podría comunicarse con un teléfono inteligente en la red local para que el usuario pueda iniciar el lavavajillas desde cualquier lugar de la casa.

Algunos electrodomésticos inteligentes pueden comunicarse con dispositivos fuera de la red local. Un electrodoméstico inteligente puede recibir actualizaciones de software de un servidor remoto para funcionar de manera más eficaz o puede recibir información que usa para funcionar de manera más eficaz. Por ejemplo, un termostato inteligente podría recibir información sobre el clima de un servicio meteorológico basado en Internet y usar esa información para ajustar la configuración de calor de una casa. El electrodoméstico inteligente podría comunicarse con un servidor específico designado por el fabricante o podría comunicarse con servidores web de terceros a través de Internet.

Sin embargo, los electrodomésticos inteligentes son vulnerables a las brechas de seguridad que podrían insertar código en el electrodoméstico inteligente que hace que realice un comportamiento malicioso. Por ejemplo, los electrodomésticos inteligentes infectados con código malicioso podrían usarse para realizar un ataque de denegación de servicio distribuido (DDoS) en un servidor web remoto o podrían usarse para enviar información del usuario a destinatarios no autorizados. Debido al acceso limitado que tienen los usuarios a la funcionalidad de los electrodomésticos inteligentes, podría ser muy difícil para un usuario determinar, por sí mismo, si un electrodoméstico inteligente está realizando un comportamiento malicioso. Los enfoques tradicionales para proteger los dispositivos en red del código malicioso incluyen el software antivirus instalado en los ordenadores que monitoriza los procesos en el ordenador para determinar si esos procesos pueden estar mostrando un comportamiento malicioso. El software antivirus típicamente se instala en sistemas informáticos completos, como ordenadores personales, teléfonos inteligentes y tabletas. Sin embargo, los electrodomésticos inteligentes no tienen la inteligencia informática o los recursos para admitir el software antivirus y, a menudo, no permiten que los usuarios instalen software adicional en el electrodoméstico inteligente. Por lo tanto, el software antivirus no es adecuado para proteger los electrodomésticos inteligentes de la infección con código malicioso. KUAI XU ET AL: Characterizing home network traffic, PERSONAL AND UBIQUITOUS COMPUTING, vol. 18, N°. 4, 1 de abril de 2014, páginas 967­ 975, es un documento que caracteriza el tráfico de red en dispositivos capacitados para Internet desde dentro de la red doméstica. En particular, se describe una plataforma de monitorización de tráfico y ha demostrado la capacidad de detectar patrones de tráfico de tráfico malicioso.

La US 8.959.643 B1 describe un método para detectar una actividad maliciosa en una red. En respuesta a que una puntuación maliciosa cumpla un criterio predeterminado se inicia un medida de seguridad predeterminada para mitigar las actividades maliciosas.

SUMARIO

La invención se define en las reivindicaciones independientes adjuntas. Se describe un sistema (y método y medio de almacenamiento legible por ordenador) configurado para analizar el tráfico relacionado con la red desde un electrodoméstico inteligente y determinar si se detecta un comportamiento malicioso en el electrodoméstico inteligente. El sistema está configurado para recopilar información sobre el tráfico de red de un electrodoméstico inteligente y determinar si el electrodoméstico inteligente muestra un comportamiento malicioso. El sistema enruta el tráfico de electrodomésticos inteligentes a través de un concentrador de tráfico de red. El concentrador de tráfico de red recopila datos sobre el tráfico relacionado con los electrodomésticos inteligentes. En algunas realizaciones, los datos de tráfico de electrodomésticos se agregan en función de pares de direcciones en el tráfico de red que se han comunicado entre sí, en lo sucesivo denominados pares de origen-destino, y se recopila el ancho de banda de la comunicación entre cada parde origen-destino.

Para ayudar en el análisis del tráfico de red, se recopilan datos de identificación de electrodomésticos sobre los electrodomésticos inteligentes en la red local. Los datos de identificación de electrodomésticos pueden hacer coincidir una dirección de Internet en la red local con un electrodoméstico inteligente específico, además de especificar un tipo para el electrodoméstico inteligente. En algunas realizaciones, los datos de identificación del aparato pueden recopilarse pasivamente extrayendo información de las comunicaciones interceptadas. En algunas realizaciones, el concentrador de tráfico de red puede recopilar activamente los datos de identificación de electrodomésticos. En estas realizaciones, el concentrador de tráfico de red transmite una comunicación a un electrodoméstico inteligente y extrae los datos de identificación de electrodomésticos de una respuesta enviada desde el electrodoméstico inteligente.

Los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos se envían a un motor de análisis de comportamiento. El motor de análisis de comportamiento está configurado para determinar si hay un comportamiento malicioso en la red local. En algunas realizaciones, el motor de análisis de comportamiento está configurado dentro de un servidor web o un grupo de servidores web que son remotos de la red local. El motor de análisis de comportamiento extrae características de los datos de tráfico de electrodomésticos y de los datos de identificación de electrodomésticos, y usa esas características para encontrar anomalías dentro de la red local. Las anomalías corresponden a comportamientos sospechosos que podrían estar provocados por código malicioso. El motor de análisis de comportamiento determina un nivel de confianza de que existe una anomalía y está provocada por un código malicioso. En algunas realizaciones, el nivel de confianza se representa como una puntuación de confianza numérica. Algunos ejemplos de análisis de anomalías incluyen analizar el tráfico de red entre los pares de direcciones de origen-destino y/o el tráfico de red asociado con un único electrodoméstico inteligente o dirección de Internet.

En algunas realizaciones de ejemplo, los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos de múltiples concentradores de tráfico de red en múltiples redes locales se usan para analizar anomalías dentro de esas redes. Los ejemplos de anomalías incluyen un cambio significativo en el ancho de banda entre un par de direcciones de origen-destino, tráfico hacia/desde una dirección de Internet conocida por tener mala reputación y modelos desarrollados por un usuario para casos específicos.

Si el motor de análisis de comportamiento genera un nivel de confianza (o puntuación) correspondiente a la presencia de comportamiento malicioso en la red local, el motor de análisis de comportamiento puede indicar al concentrador de tráfico de red que bloquee el tráfico de red en la red local. En algunas realizaciones, el motor de análisis de comportamiento indica al concentrador de tráfico de red que bloquee el tráfico entre una dirección de Internet específica dentro de la red local y una dirección específica fuera de la red local. En algunas realizaciones de ejemplo, el motor de análisis de comportamiento bloquea el tráfico hacia y desde una dirección de Internet fuera de la red local si ha determinado que la dirección de Internet es maliciosa. En algunas realizaciones de ejemplo, cuando el motor de análisis de comportamiento está moderadamente seguro de que una anomalía representa un comportamiento malicioso, pero no lo suficientemente seguro como para bloquear el tráfico, puede alertar al usuario de la anomalía y esperar instrucciones del usuario sobre si bloquear el tráfico en la red local.

BREVE DESCRIPCIÓN DE LAS FIGURAS

Las realizaciones divulgadas tienen ventajas y características que serán más evidentes a partir de la descripción detallada, las reivindicaciones adjuntas y las figuras (o dibujos) acompañantes. A continuación se proporciona una breve introducción de las figuras.

La Figura (FIG.) 1 es un diagrama de bloques que ilustra un entorno informático en red, de acuerdo con una realización de ejemplo.

La FIG. 2 es un diagrama de bloques de alto nivel que ilustra un concentrador de tráfico de red, de acuerdo con una realización de ejemplo.

La FIG. 3 es un diagrama de bloques de alto nivel que ilustra un motor de análisis de comportamiento, de acuerdo con una realización de ejemplo.

La FIG. 4A es un diagrama de flujo que ilustra un método para identificar y bloquear el comportamiento malicioso dentro de una red local, de acuerdo con una realización de ejemplo.

La FIG. 4B es un diagrama de flujo que ilustra un método para extraer datos de red de una red local y bloquear el tráfico de red, de acuerdo con una realización de ejemplo.

La FIG. 5A es un diagrama de bloques de alto nivel que ilustra datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos que se envían desde un concentrador de tráfico de red a un motor de análisis de comportamiento, de acuerdo con una realización de ejemplo.

La FIG. 5B es un diagrama de bloques de alto nivel que ilustra la generación de puntuaciones de confianza, de acuerdo con una realización de ejemplo.

La FIG. 5C es un diagrama de bloques de alto nivel que ilustra las instrucciones de control de tráfico que se envían a un concentrador de tráfico de red, de acuerdo con una realización de ejemplo.

La FIG. 6 es un diagrama de flujo que ilustra un método para generar datos de identificación de electrodomésticos usando reglas de identificación, de acuerdo con una realización de ejemplo.

La FIG. 7 es un diagrama de bloques de alto nivel que ilustra un dispositivo en red de ejemplo, de acuerdo con una realización de ejemplo.

DESCRIPCIÓN DETALLADA

Las Figuras (FIGS.) y la siguiente descripción se refieren a realizaciones a modo de ilustración solamente. Cabe señalar que a partir del análisis siguiente, se reconocerán fácilmente realizaciones alternativas de las estructuras y métodos divulgados en la presente como alternativas viables que pueden emplearse sin apartarse de los principios de lo que se reivindica.

Ahora se hará referencia en detalle a varias realizaciones, ejemplos de las cuales se ilustran en las figuras acompañantes. Se observa que, siempre que sea posible, pueden usarse números de referencia similares en las figuras y pueden indicar una funcionalidad similar. Las figuras representan realizaciones del sistema (o método) divulgado únicamente con propósitos ilustrativos. Un experto en la técnica reconocerá fácilmente a partir de la siguiente descripción que pueden emplearse realizaciones alternativas de las estructuras y métodos ilustrados en la presente sin apartarse de los principios descritos en la presente.

VISIÓN GENERAL

Con referencia ahora a la Figura (FIG.) 1, muestra un diagrama de bloques de un entorno informático en red de acuerdo con una realización de ejemplo. La funcionalidad de los módulos en la FIG. 1 puede realizarse con módulos adicionales, menos o diferentes y la funcionalidad de los módulos puede dividirse entre módulos de manera diferente a como se describe a continuación. El entorno informático en red de la FIG. 1 muestra uno o más electrodomésticos inteligentes 100, un concentrador de tráfico de red 105, un motor de análisis de comportamiento 110, una plataforma de administración de concentrador 112, un grupo de servidores en línea 115 y una red en la nube 120a y una red local 120b.

Los electrodomésticos inteligentes 100 son dispositivos electrónicos en red con un nivel limitado de inteligencia. Los electrodomésticos inteligentes 100 son capaces de realizar cantidades moderadas de cálculo que es específico, pero de alcance limitado. Los electrodomésticos inteligentes 100 no son sistemas informáticos completos, como ordenadores personales, teléfonos inteligentes o tabletas. En su lugar, cada electrodoméstico inteligente 100 realiza alguna función específica y la inteligencia limitada se centra en hacer que el electrodoméstico inteligente 100 realice esa función específica de manera eficaz. Por consiguiente, un electrodoméstico inteligente 100 no tiene muchos recursos informáticos, por ejemplo, un procesador potente o una gran cantidad de memoria. Además, mantener los recursos informáticos al mínimo ayuda a mantener bajos los costos de los electrodomésticos, muchos de los cuales son básicos, por ejemplo, en casas u oficinas pequeñas. Ejemplos de electrodomésticos que pueden ser electrodomésticos inteligentes 100 son frigoríficos, congeladores, lavavajillas, lavadoras, secadoras, termostatos, grabadoras de vídeo digital (DVR), reproductores de DVD e impresoras. Un electrodoméstico inteligente 100 incluye típicamente un controlador o procesador de bajo consumo (generalmente, un procesador), una cantidad limitada de memoria y una interfaz de red, que se utiliza para comunicarse con otros dispositivos en red.

A continuación se analiza la arquitectura de los electrodomésticos inteligentes 100. Los electrodomésticos inteligentes 100 pueden usar la red local 120b para comunicarse con otros dispositivos. Por ejemplo, un lavavajillas inteligente puede configurarse para transmitir una alerta a un ordenador o un teléfono inteligente en la red local 120b de que se ha completado su ciclo de limpieza. Como otro ejemplo, puede configurarse un interruptor de luz inteligente para comunicarse con un sensor de movimiento a través de la red local 120b para determinar si hay una persona en una habitación y si encender las luces en esa habitación. Los electrodomésticos inteligentes 100 también pueden comunicarse con dispositivos fuera de la red local 120b a través de Internet. Un electrodoméstico inteligente 100 puede, por ejemplo, configurarse para recibir actualizaciones de software desde servidores remotos para mejorar o actualizar sus funciones de control actuales. Además, un electrodoméstico inteligente puede recibir datos a través de Internet que utiliza para tomar decisiones (por ejemplo, un termostato inteligente podría recibir datos meteorológicos para determinar la configuración de la calefacción y la refrigeración de un edificio). En algunas realizaciones, un electrodoméstico inteligente 100 puede estar configurado para recibir instrucciones desde un servidor web remoto a través de Internet. Por ejemplo, un reloj inteligente puede estar configurado para recibir una instrucción de un servidor conocido para cambiar la hora que muestra cuando comienza o finaliza el horario de verano.

El concentrador de tráfico de red 105 recopila información sobre la red local 120b, incluyendo datos sobre el tráfico de red a través de la red local 120b y datos que identifican los electrodomésticos inteligentes 100 en la red local 120b. El concentrador de tráfico de red 105 también es capaz de recibir instrucciones de control de tráfico desde el motor de análisis de comportamiento 115 y procesar el tráfico de red a través de la red local 120b en base a esas instrucciones de control de tráfico. El procesamiento del tráfico de la red a través de la red local 120b puede incluir la restricción de dónde puede viajar el tráfico de la red, el bloqueo del tráfico de la red para que no se introduzca en la red local 120b, la redirección del tráfico de la red al motor de análisis de comportamiento 110 para el análisis del comportamiento malicioso o la cuarentena del tráfico de la red para ser revisado por un usuario o administrador de red. En algunas realizaciones, la funcionalidad del concentrador de tráfico de red 105 la realiza un dispositivo que forma parte de la red local 120b. En otras realizaciones, parte o toda la funcionalidad del concentrador de tráfico de red se realiza en la red en la nube 120a por el clúster de servidores en línea 115.

El concentrador de tráfico de red 105 monitoriza todo el tráfico que viaja a través de la red local 120b. En algunas realizaciones de ejemplo, el concentrador de tráfico de red 105 puede ser un dispositivo que forma parte de la red local 120b. El concentrador de tráfico de red 105 puede conectarse a la red local 120b mediante una conexión por cable (por ejemplo, mediante un cable de Ethernet conectado a la ruta) o mediante una conexión inalámbrica (por ejemplo, mediante una conexión Wi-Fi). En algunas realizaciones de ejemplo, el concentrador de tráfico de red 105 puede comprender múltiples dispositivos en la red local 120b que, en conjunto, monitorizan todo el tráfico que fluye a través de la red local 120b.

En algunas realizaciones, el concentrador de tráfico de red 105 realiza la función de un enrutador en la red local 120b. En algunas realizaciones, el concentrador de tráfico de red 105 intercepta el tráfico en la red local 120b indicando a los electrodomésticos inteligentes 100 que el concentrador de tráfico de red 105 es un enrutador. En algunas realizaciones de ejemplo, el concentrador de tráfico de red 105 reemplaza la puerta de enlace predeterminada de la red local 120b con su propia dirección de Internet. Por ejemplo, el concentrador de tráfico de red 105 puede reemplazar la puerta de enlace predeterminada de la red local 120b usando un ataque de intermediario. Para realizar el ataque de intermediario, el concentrador de tráfico de red 105 puede usar suplantación de identidad/envenenamiento de memoria caché del protocolo de resolución de direcciones (ARP) para reemplazar la puerta de enlace predeterminada. Se envía un anuncio de protocolo de resolución de direcciones (ARP) para indicar a los electrodomésticos inteligentes 100 que transmitan tráfico de red al concentrador de tráfico de red 105. En algunas realizaciones de ejemplo, el concentrador de tráfico de red 105 usa un ataque de protocolo de mensajes de control de Internet (ICMP) para reemplazar la puerta de enlace predeterminada. El concentrador de tráfico de red 105 también puede usar un ataque DHCP o robo de puerto para reemplazar la puerta de enlace predeterminada.

En algunas realizaciones, la red local 120b puede estructurarse de manera que todo el tráfico de la red pase a través del concentrador de tráfico de la red 105, permitiendo que el concentrador de tráfico de la red 105 intercepte físicamente el tráfico de la red. Por ejemplo, el concentrador de tráfico de red 105 puede servir como un puente a través del cual debe viajar todo el tráfico de red para llegar al enrutador de la red local 120b. La funcionalidad adicional del concentrador de tráfico de red 105 se analiza más adelante.

El motor de análisis de comportamiento 110 está configurado para recibir datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos desde el concentrador de tráfico de red 105. El motor de análisis de comportamiento usa esos datos para determinar si alguno de los electrodomésticos inteligentes 100 en la red local 120b está mostrando comportamiento malicioso. Si el motor de análisis de comportamiento 110 está seguro de que un electrodoméstico inteligente 100 está mostrando un comportamiento malicioso, entonces el motor de análisis de comportamiento 110 envía instrucciones de control de tráfico al concentrador de tráfico de red 105 para bloquear el tráfico al electrodoméstico inteligente 100. En algunas realizaciones, el motor de análisis de comportamiento 110 es parte de una red en la nube 120a y es almacenado y ejecutado por un grupo de servidores en línea 115. La funcionalidad adicional del motor de análisis de comportamiento 110 se analiza más adelante.

Los desarrolladores del concentrador de tráfico de red 105 pueden comunicarse con el concentrador de tráfico de red 105 para recibir información de diagnóstico con propósitos de solución de problemas o para actualizar el firmware o el software en el concentrador de tráfico de red 105. En algunas realizaciones de ejemplo, los desarrolladores pueden usar un secure shell (SSH) para comunicarse con el concentrador de tráfico de red 105 usando la dirección de Internet del concentrador de tráfico de red 105. En otras realizaciones de ejemplo, los desarrolladores pueden usar la plataforma de administración del concentrador 112 para comunicarse con el concentrador de tráfico de red 105 para un mejor equilibrio de carga y seguridad. En estas realizaciones de ejemplo, un desarrollador puede solicitar que la plataforma de administración del concentrador 112 envíe una clave de seguridad al concentrador de tráfico de red 105. La plataforma de administración del concentrador 112 envía la clave de seguridad al concentrador de tráfico de red 105 y añade la dirección de Internet del concentrador de tráfico de red 105 a una lista de direcciones de Internet que pueden comunicarse con la plataforma de administración del concentrador 112 (por ejemplo, un cortafuegos). Tras recibir la clave de seguridad de la plataforma de administración del concentrador 112, el concentrador de tráfico de red 105 se conecta a la plataforma de administración del concentrador 112 para comunicarse con el desarrollador. Una vez finalizada la comunicación entre el concentrador de tráfico de red 105 y el desarrollador, la plataforma de administración del concentrador 112 elimina la dirección de Internet del concentrador de tráfico de red 105 de la lista de direcciones de Internet y la clave de seguridad caduca.

El grupo de servidores en línea 115 está configurado para almacenar datos, realizar cálculos y transmitir datos a otros dispositivos a través de la red en la nube 120a. El grupo de servidores en línea 115 puede comprender un solo dispositivo informático o una pluralidad de dispositivos informáticos configurados para permitir cálculos distribuidos. En algunas realizaciones, el motor de análisis de comportamiento 110 es almacenado y ejecutado por el clúster de servidores en línea 115. En algunas realizaciones, cierta funcionalidad del concentrador de tráfico de red 105 se realiza en el clúster de servidores en línea 115. En algunas realizaciones, el clúster de servidores en línea 115 almacena datos que son usados por el motor de análisis de comportamiento 110 y el concentrador de tráfico de red 105.

El entorno informático en red de la FIG. 1 puede agruparse alrededor del concentrador de tráfico de red 105. En una realización de ejemplo, el concentrador de tráfico de red 105 es parte de la red en la nube 120a. En otra realización de ejemplo, el concentrador de tráfico de red 105 es parte de una red local 120b. La red en la nube 120a comprende el motor de análisis de comportamiento 110, el grupo de servidores en línea 115 y, en algunas realizaciones, el concentrador de tráfico de red 105. La red en la nube 120a está conectada a la red local 120b a través de Internet. La red local 120b comprende los electrodomésticos inteligentes 100. En algunas realizaciones, parte o la totalidad de la funcionalidad del concentrador de tráfico de red 105 la realiza un dispositivo en la red local 120b. La red local 120b puede usarse para una serie de propósitos, incluyendo una red doméstica o una red usada por una empresa. La red local 120b está conectada a Internet, lo que permite que los dispositivos dentro de la red local 120b, incluyendo los electrodomésticos inteligentes 100, se comuniquen con dispositivos fuera de la red local 120b. La red local 120b está conectada a la red en la nube 120a a través de Internet. La red local 120b podría ser una red privada que requiera que los dispositivos presenten credenciales para unirse a la red, o podría ser una red pública que permita unirse a cualquier dispositivo. En algunas realizaciones, otros dispositivos, como ordenadores personales, teléfonos inteligentes o tabletas, pueden unirse a la red local 120b.

La red en la nube 120a y la red local 120b pueden comprender cualquier combinación de redes de área local y/o de área amplia, usando sistemas de comunicación por cable y/o inalámbricos. En una realización, la red en la nube 120a y la red local 120b usan tecnologías y/o protocolos de comunicaciones estándar. Por ejemplo, la red en la nube 120a y la red local 120b pueden incluir enlaces de comunicación que usan tecnologías como Ethernet, 802.11, interoperabilidad mundial para acceso por microondas (WiMAX), 3G, 4G, acceso múltiple por división de código (CDMA), línea de abonado digital (DSL), etc. Los ejemplos de protocolos de red usados para comunicarse a través de la red en la nube 120a y la red local 120b incluyen conmutación de etiquetas multiprotocolo (MPLS), protocolo de control de transmisión/protocolo de Internet (TCP/IP), protocolo de transporte de hipertexto (HTTP), protocolo simple de transferencia de correo (SMTP) y protocolo de transferencia de archivos (FTP). Los datos intercambiados a través de la red en la nube 120a y la red local 120b pueden representarse usando cualquier formato adecuado, como lenguaje de marcado de hipertexto (HTML) o lenguaje de marcado extensible (XML). En algunas realizaciones, todos o algunos de los enlaces de comunicación de la red en la nube 120a y la red local 120b pueden encriptarse usando cualquier técnica o técnicas adecuadas.

CONCENTRADOR DE TRÁFICO DE RED DE EJEMPLO

La FIG. 2 es un diagrama de bloques que ilustra una realización de ejemplo del concentrador de tráfico de red 105. La funcionalidad de los módulos en la FIG. 2 puede realizarse con módulos adicionales, menos o diferentes y la funcionalidad de los módulos puede dividirse entre módulos de manera diferente a como se describe a continuación.

El concentrador de tráfico de red 105 comprende un módulo de extracción de tráfico de red 205 y un módulo de identificación 210, un módulo de control de tráfico de red 215 y un almacén de datos 220. El módulo de extracción de tráfico de red 205 recibe todo el tráfico de red que pasa a través del concentrador de tráfico de red 105 y recopila datos sobre el tráfico de la red. El módulo de extracción de tráfico de red 205 almacena los datos de tráfico de electrodomésticos en el almacén de datos 220 y envía los datos de tráfico de electrodomésticos al motor de análisis de comportamiento 110. En algunas realizaciones, el módulo de extracción de tráfico de red 205 transmite los datos de tráfico de electrodomésticos al motor de análisis de comportamiento 110 periódicamente en un intervalo de tiempo regular (por ejemplo, cada segundo). En algunas realizaciones, el módulo de extracción de tráfico de red 205 transmite los datos de tráfico de electrodomésticos al motor de análisis de comportamiento 110 por partes.

El módulo de extracción de tráfico de red 205 almacena características importantes sobre el tráfico de red en los datos de tráfico de electrodomésticos. Por ejemplo, los datos de tráfico de electrodomésticos podrían contener direcciones de Internet de origen, direcciones de Internet de destino, tamaños de paquetes, recuentos de paquetes, direcciones MAC de origen y destino, información de consulta de DNS y datos de respuesta, y ancho de banda entre una dirección de Internet de origen y una dirección de Internet de destino. En algunas realizaciones, las direcciones de Internet comprenden una dirección de Internet para un electrodoméstico inteligente y un número de puerto para un proceso en el electrodoméstico inteligente. En algunas realizaciones, el módulo de extracción de tráfico de red 205 encuentra pares de direcciones en el tráfico de red que se han comunicado entre sí, en lo sucesivo denominados pares de origen-destino y agrega las características del tráfico de red en base a esos pares de origen y destino cuando genera los datos de tráfico de electrodomésticos. En algunas realizaciones, el módulo de extracción de tráfico de red 205 calcula el ancho de banda entre los pares origen-destino y los anchos de banda en los datos de tráfico de electrodomésticos.

En algunas realizaciones, el módulo de extracción de tráfico de red 205 identifica el tráfico de red como código ejecutable que está siendo descargado por un electrodoméstico inteligente 100. El módulo de tráfico de red 205 instruye al módulo de control de tráfico de red 215 para que bloquee temporalmente el tráfico de red y el módulo de extracción de tráfico de red 205 notifica al motor de análisis de comportamiento 110. El módulo de control de tráfico de red 215 espera instrucciones del motor de análisis de comportamiento 110 sobre si permitir que continúe la descarga. Si el motor de análisis de comportamiento 110 determina que el código que se está descargando es seguro, le indica al módulo de control de tráfico de red 215 que permita que continúe la descarga. Si el motor de análisis de comportamiento 110 determina que el código que se está descargando es malicioso, instruye al módulo de control de tráfico de red 215 que continue bloqueando la descarga.

El módulo de identificación 210 está configurado para recopilar información de identificación y usar la información de identificación para generar datos de identificación de electrodomésticos. La información de identificación es información incluida en el tráfico dentro de la red local 120b que puede usarse para identificar electrodomésticos inteligentes dentro de la red local 120b. La información de identificación puede usarse directamente para identificar los electrodomésticos inteligentes 100 (por ejemplo, una solicitud de DHCP con el tipo de un electrodoméstico inteligente), o puede usarse para inferir la identidad y el tipo de los electrodomésticos inteligentes 100.

Los datos de identificación de electrodomésticos generados por el módulo de identificación 210 comprenden datos que hacen coincidir los electrodomésticos inteligentes 100 en la red local 120b con direcciones de Internet. Los datos de identificación de electrodomésticos también comprenden datos sobre el tipo de cada electrodoméstico inteligente 100 en la red local 120b. Por ejemplo, los datos de identificación de electrodomésticos pueden especificar que un electrodoméstico inteligente es un termostato inteligente o pueden especificar la marca del electrodoméstico inteligente. En algunas realizaciones, los datos de identificación de electrodomésticos incluyen datos que identifican procesos en los electrodomésticos inteligentes 100 y los números de puerto asociados con esos procesos. El módulo de identificación 210 transmite los datos de identificación de electrodomésticos al motor de análisis de comportamiento 110. En algunas realizaciones, el módulo de identificación 210 es, en su totalidad o en parte, almacenado en un dispositivo dentro de la red local 120b. En algunas realizaciones, el módulo de identificación 210 está, en su totalidad o en parte, almacenado dentro del grupo de servidores en línea 115 en la red en la nube 120a.

En algunas realizaciones, el módulo de identificación 210 está configurado para recopilar información de identificación activamente mediante la transmisión de mensajes a los electrodomésticos inteligentes 100 y la extracción de información de identificación de las respuestas a los mensajes iniciales. En algunas realizaciones, el módulo de identificación 210 envía los mensajes iniciales a los electrodomésticos inteligentes 100 en la red local 120b usando un protocolo de transmisión. El protocolo simple de descubrimiento de servicios (SSDP) y la activación de puertos en los puertos de escucha activa son dos métodos de ejemplo que el módulo de identificación 210 podría usar para recopilar activamente información de identificación.

En algunas realizaciones, el módulo de identificación 210 recopila la información de identificación de forma pasiva del tráfico de red recibido por el concentrador de tráfico de red 105. El módulo de identificación 210 analiza el tráfico de red y, si encuentra mensajes que contienen información de identificación, extrae esa información. la información de identificación de los mensajes. En algunas realizaciones, el módulo de identificación 210 extrae información de identificación de solicitudes de DHCP, firmas de TCP y encabezados de HTTP. Por ejemplo, un termostato inteligente puede incluir la información de su proveedor en una solicitud de DHCP, que puede ser usada, junto con otra información, por el módulo de identificación 210 para determinar que es el termostato inteligente.

El módulo de identificación 210 está configurado para usar la información de identificación para generar datos de identificación de electrodomésticos. El proceso mediante el cual el módulo de identificación 210 genera los datos de identificación de electrodomésticos se analiza más adelante. Después de generar los datos de identificación de electrodomésticos, el módulo de identificación 210 transmite los datos de identificación de electrodomésticos al motor de análisis de comportamiento 105. En algunas realizaciones, el concentrador de tráfico de red 105 transmite los datos de identificación de electrodomésticos al motor de análisis de comportamiento 110 cuando se producen ciertos eventos, como cuando a un electrodoméstico inteligente 100 se le asigna una nueva dirección de Internet. En algunas realizaciones, el concentrador de tráfico de red 105 transmite los datos de identificación de electrodomésticos al motor de análisis de comportamiento 110 periódicamente en un intervalo de tiempo regular.

El módulo de control de tráfico de red 215 procesa el tráfico de red en la red local 120b en base a las instrucciones del motor de análisis de comportamiento 110. El módulo de control de tráfico de red 215 puede procesar el tráfico de red en la red local 120b restringiendo, bloqueando, poniendo en cuarentena, o redirigiendo el tráfico de red. Por ejemplo, el módulo de control de tráfico de red 235 puede bloquear el tráfico de red impidiendo que el concentrador de tráfico de red 105 reenvíe el tráfico recibido a su destino previsto. En realizaciones en las que el concentrador de tráfico de red 105 recibe tráfico para el enrutamiento, el módulo de control de tráfico de red 215 bloquea el tráfico impidiendo que el concentrador de tráfico de red 105 reenvíe tráfico de red. En realizaciones en las que el concentrador de tráfico de red 105 intercepta físicamente el tráfico que se introduce o sale de la red local 120b, el módulo de control de tráfico de red 215 bloquea el tráfico impidiendo que el concentrador de tráfico de red 105 permita que el tráfico continúe entrando o saliendo de la red local 120b. El módulo de control de tráfico de red 215 puede bloquear el tráfico en base a la dirección de origen, la dirección de destino, un par de origen-destino, el electrodoméstico inteligente asociado con el tráfico, el tamaño del tráfico o cualquier característica o combinación de características del tráfico de red. En algunas realizaciones, el módulo de control de tráfico de red 215 bloquea el tráfico en base a una dirección de Internet y un número de puerto correspondiente a un proceso en un electrodoméstico inteligente 100 dentro de la red local 120b o un proceso en un dispositivo externo a la red local 120b.

En algunas realizaciones, el módulo de control de tráfico de red 215 analiza el tráfico de red que fluye a través de la red local 120b y pone en cuarentena el tráfico de red sospechoso. El módulo de control de tráfico de red 215 puede entonces notificar al usuario o administrador de red sobre el tráfico de red en cuarentena, y el usuario o administrador de red puede optar por permitir que el tráfico de red fluya a través de la red local 120b o continuar bloqueando el tráfico de red en cuarentena. En algunas realizaciones, el módulo de control de tráfico de red 215 redirige el tráfico de red sospechoso al motor de análisis de comportamiento 110 para analizarlo adicionalmente en busca de comportamiento malicioso. En estas realizaciones, el motor de análisis de comportamiento 110 puede enviar instrucciones adicionales al módulo de control de tráfico de red 215 en base al tráfico de red redirigido.

El almacén de datos 220 es usado por el concentrador de tráfico de red 105 para almacenar código o datos que usa el concentrador de tráfico de red 105. El almacén de datos 220 puede ser usado por el módulo de extracción de tráfico de red 205 o el módulo de identificación 210 para almacenar datos de tráfico de electrodomésticos o datos de identificación de electrodomésticos antes de que se envíen al motor de análisis de comportamiento 110. En algunas realizaciones, el almacén de datos 220 almacena temporalmente datos (por ejemplo, en una memoria, caché, local y/o dispositivo de almacenamiento, etc.) para enviar al motor de análisis de comportamiento 110 cuando la red local 120b está congestionada o ha perdido la conexión con el motor de análisis de comportamiento 110. El almacén de datos 220 podría ser usado por el módulo de control de tráfico de red 215 para almacenar instrucciones del motor de análisis de comportamiento 110 sobre el tráfico a bloquear. El almacén de datos 220 podría usar también código almacenado que es ejecutado por el concentrador de tráfico de red 105. MOTOR DE ANÁLISIS DE COMPORTAMIENTO DE EJEMPLO

La FIG. 3 es un diagrama de bloques que ilustra un motor de análisis de comportamiento 110 de acuerdo con una realización. La funcionalidad de los módulos en la FIG. 3 se puede realizar con módulos adicionales, menos o diferentes y la funcionalidad de los módulos puede dividirse entre módulos de manera diferente a como se describe a continuación.

El motor de análisis de comportamiento 110 puede incluir un equilibrador de carga 305, un módulo de detección de anomalías 310 y un módulo de control de anomalías 315. El equilibrador de carga 305 está configurado para equilibrar la carga de ejecución para el motor de análisis de comportamiento 110. El equilibrador de carga 305 puede ayudar al motor de análisis de comportamiento 110 a funcionar de manera eficiente asignando trabajo a los nodos en el grupo de servidores en línea 115 de manera uniforme y eficiente. El equilibrador de carga 305 también puede ayudar al motor de análisis de comportamiento 110 a analizar eficientemente los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos para encontrar un posible comportamiento malicioso dentro de la red local 120b. Por ejemplo, el equilibrador de carga 305 podría usar la programación de tareas para garantizar que las tareas se realicen de una manera ordenada definida.

El módulo de detección de anomalías 310 puede analizar los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos para determinar los niveles de confianza de que ciertas anomalías existen en la red local y representan comportamientos maliciosos. Las anomalías pueden corresponder a actividades o comportamientos dentro de la red local 120b que se considerarían fuera de lo normal o presumiblemente esperados. Las anomalías detectadas pueden estar provocadas por un código malicioso. Por ejemplo, un termostato inteligente que se comunica con una dirección de Internet de un sitio web que tiene datos meteorológicos para la ciudad en la que se encuentra el termostato no sería una anomalía, ya que se esperaría tal actividad (por ejemplo, ajustar el termostato en base a la temperatura exterior). Por el contrario, el mismo termostato que se comunica con una dirección de Internet para un sitio web de compras en línea se consideraría una anomalía porque no se esperaría que dicho electrodoméstico se comunicara con un sitio de compras en línea. Se observa que la existencia de una anomalía no significa necesariamente que la anomalía haya sido provocada por un comportamiento malicioso. Por ejemplo, usando el mismo ejemplo, un termostato inteligente que se comunique con un sitio web de compras podría incluir una función para solicitar nuevos filtros de aire cuando determine que deben reemplazarse. Por lo tanto, las anomalías pueden correlacionarse con niveles de confianza que pueden estar predeterminados o establecidos para proporcionar un nivel adicional de contexto para analizar las circunstancias de la comunicación. MÓDULO DE DETECCIÓN DE ANOMALÍAS DE EJEMPLO

El módulo de detección de anomalías 310 puede configurarse para extraer características de los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos. Algunas características pueden estar presentes inmediatamente en los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos y se extraen y recopilan. Por ejemplo, el módulo de detección de anomalías 310 podría recopilar todas las direcciones de destino de los datos de tráfico de electrodomésticos. Algunas de las características pueden inferirse computacionalmente. Por ejemplo, el módulo de detección de anomalías podría sumar los tamaños de paquete de todas las comunicaciones hacia y desde la red local 120b durante un período de tiempo para descubrir el ancho de banda total de la red local 120b para ese período de tiempo. En algunas realizaciones, las características calculadas podrían ser modelos estadísticos como desviaciones estándar, suma de cuadrados, distribuciones normales, medias móviles exponenciales/medias móviles simples.

En algunas realizaciones, el módulo de detección de anomalías 310 está configurado para extraer características de los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos para determinar los niveles de confianza para las anomalías relacionadas con los procesos en el electrodoméstico inteligente 100. El análisis puede realizarse en la actividad discreta o podría hacerse sobre la actividad dentro del electrodoméstico inteligente 100 en su totalidad.

El módulo de detección de anomalías 310 puede usar la información recopilada a lo largo del tiempo para determinar si existe una anomalía y está provocada por un comportamiento malicioso. Por ejemplo, el módulo de detección de anomalías 310 podría almacenar todos los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos recibidos por el motor de análisis de comportamiento 110 para un mejor contexto al determinar los niveles de confianza. En algunas realizaciones, el módulo de detección de anomalías 310 podría considerar datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos durante un período de tiempo específico al determinar los niveles de confianza. El módulo de detección de anomalías 310 puede usar datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos para detectar y evaluar tecnologías emergentes que deberían considerarse inofensivas, o para detectar amenazas emergentes que deberían considerarse maliciosas.

El módulo de detección de anomalías 310 puede usar información de fuentes distintas del concentrador de tráfico de red 105 para determinar los niveles de confianza. Por ejemplo, el módulo de detección de anomalías 310 puede recibir datos de inteligencia de amenazas, que identifican direcciones de Internet maliciosas, detallan tipos de comportamiento malicioso o, en general, proporcionan datos que ayudan al módulo de detección de anomalías 310 a determinar los niveles de confianza. El módulo de detección de anomalías 310 puede usar datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos de múltiples concentradores de tráfico de red 105 para determinar los niveles de confianza. En algunas realizaciones, el módulo de detección de anomalías 310 usa información sobre la naturaleza de los sitios web y las direcciones de Internet al determinar los niveles de confianza. En algunas realizaciones, el módulo de detección de anomalías 310 usa datos de tráfico de electrodomésticos, datos de identificación de electrodomésticos, y otras fuentes para determinar la naturaleza de los procesos en dispositivos externos a la red local 120b para determinar los niveles de confianza para anomalías.

En algunas realizaciones de ejemplo, el módulo de detección de anomalías 310 puede configurarse para recibir información sobre el comportamiento del electrodoméstico inteligente de los usuarios o fabricantes de electrodomésticos inteligentes para determinar mejor los niveles de confianza. La información recibida del usuario o del fabricante puede notificar al módulo de detección de anomalías 310 de un intervalo de tiempo, un tamaño de ancho de banda o una localización para el comportamiento del electrodoméstico inteligente que puede determinarse falsamente que es malicioso. Por ejemplo, un fabricante de electrodomésticos inteligentes podría notificar al módulo de detección de anomalías que el fabricante está a punto de lanzar una actualización de software para un modelo de electrodoméstico inteligente en particular. Además, la notificación puede incluir otra información pertinente, por ejemplo, que la actualización ocurrirá durante un intervalo de tiempo particular. Por consiguiente, el módulo de detección de anomalías 310 puede determinar ahora que el tráfico de datos entre el electrodoméstico inteligente y la dirección de red desde donde se envía la actualización no debe confundirse con un comportamiento malicioso y, por consiguiente, debe tener un bajo nivel de confianza de que se está observando una anomalía.

El módulo de detección de anomalías 310 en la FIG. 3 ilustra tres anomalías de ejemplo. Una anomalía basada en la tasa 320 es aquella en la que el módulo 310 de detección de anomalías determina que el ancho de banda entre un par de origen-destino ha aumentado significativamente en comparación con el ancho de banda típico entre el par origen-destino. Una anomalía de reputación de IP 325 es aquella en la que un electrodoméstico inteligente 100 en la red local 120b se comunica con una dirección de Internet externa a la red local 120b que tiene reputación de ser maliciosa. Una anomalía de clasificación 330 es aquella en la que se compara el comportamiento sospechoso de una dirección fuera de la red local con el comportamiento de otras direcciones fuera de la red local para determinar si el comportamiento sospechoso es malicioso. Por ejemplo, si una dirección fuera de la red local realiza algún tipo de comportamiento y otras direcciones fuera de la red local que se ha determinado que son maliciosas han realizado el mismo comportamiento, entonces el comportamiento sospechoso será clasificado como malicioso. Como se ha indicado, las anomalías descritas son ejemplos y no son una lista completa de las anomalías que podrían ser consideradas por el módulo de detección de anomalías 310.

En algunas realizaciones de ejemplo, el módulo de detección de anomalías 310 usa puntuaciones numéricas para representar los niveles de confianza. En un ejemplo, el módulo de detección de anomalías 310 calcula los niveles de confianza en lotes. Los lotes pueden comprender niveles de confianza para datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos recibidos durante un período de tiempo particular.

Los niveles de confianza se envían al módulo de control de anomalías 315 cuando se han calculado todos los niveles de confianza. En algunas realizaciones, los niveles de confianza se envían al módulo de control de anomalías 315 en tiempo real después de que se hayan calculado. En algunas realizaciones, algunos niveles de confianza se envían por lotes y algunos niveles de confianza se envían en tiempo real. Los niveles de confianza enviados en tiempo real podrían ser más urgentes pueden no requerir el contexto de otras puntuaciones cuando el módulo de control de anomalías 315 determina si hay que bloquear el tráfico en la red local 120b.

El módulo de control de anomalías 315 puede usar los niveles de confianza generados por el módulo de detección de anomalías 310 para determinar si hay que bloquear el tráfico en la red local 120b. En la realización descrita por la FIG. 3, los niveles de confianza se representan usando puntuaciones numéricas. En algunas realizaciones, el módulo de control de anomalías usa umbrales para determinar si hay una anomalía y representa un comportamiento malicioso. Si el módulo de control de anomalías determina que una anomalía en la red local representa un comportamiento malicioso, el módulo de control de anomalías 315 envía instrucciones de control de tráfico al concentrador de tráfico de red 105. Las instrucciones de control de tráfico particulares podrían depender del tipo de anomalía. Por ejemplo, si la anomalía es una anomalía basada en tasa 320, entonces el módulo de control de anomalías 315 podría indicar al concentrador de tráfico de red 105 que bloquee el tráfico entre el par origendestino. Si la anomalía es una anomalía de reputación de IP 325, entonces el módulo de control de anomalías 315 podría indicar al concentrador de tráfico de red 105 que bloquee el tráfico que se envía hacia o desde la IP con una reputación maliciosa. En algunas realizaciones, el módulo de control de anomalías 335 bloquea el tráfico asociado con un proceso en un electrodoméstico inteligente 100 o con un proceso en un dispositivo externo a la red local 120b. En algunas realizaciones, el módulo de control de anomalías 315 podría bloquear el tráfico solo durante una cantidad de tiempo particular o durante períodos de tiempo específicos.

Si el nivel de confianza para una anomalía particular es lo suficientemente alto, el módulo de control de anomalías 315 puede indicar al concentrador de tráfico de red 105 que bloquee el tráfico. En algunas realizaciones de ejemplo, el módulo de control de anomalías 315 notifica al usuario que ha dado instrucciones al concentrador de tráfico de red 105 para que bloquee el tráfico. En algunas realizaciones, el módulo de control de anomalías 315 incluye información sobre el tráfico bloqueado para el usuario en la notificación, como la dirección de Internet de origen, la dirección de destino, la identidad del electrodoméstico inteligente, el par de origen y destino o información sobre la anomalía. En algunas realizaciones, un usuario puede, después de recibir una notificación sobre tráfico bloqueado, anular las instrucciones de control de tráfico y permitir que el tráfico continúe viajando a través de la red local 120b.

En algunas realizaciones de ejemplo, si el nivel de confianza es alto pero no lo suficientemente alto como para bloquear el tráfico, el módulo de control de anomalías 315 notifica al usuario de la anomalía y espera instrucciones sobre si hay que bloquear el tráfico relacionado con la anomalía. En algunas realizaciones, la notificación puede enviarse al usuario por correo electrónico o una aplicación instalada en un teléfono inteligente, tableta u ordenador. En algunas realizaciones, si el nivel de confianza es alto (por ejemplo, un primer nivel predefinido) pero no lo suficientemente alto (por ejemplo, por debajo del primer nivel predefinido pero por encima de un segundo nivel predefinido asociado con un riesgo bajo) para bloquear el tráfico, el módulo de control de anomalías 315 añade los electrodomésticos inteligentes o las direcciones de Internet relacionadas con la anomalía a una lista de seguimiento. La lista de vigilancia podría comprender electrodomésticos inteligentes o direcciones de Internet que hayan mostrado un comportamiento sospechoso en el pasado, y la lista de vigilancia podría usarse para determinar los niveles de confianza para esos electrodomésticos inteligentes o direcciones de Internet en el futuro. En algunas realizaciones, el concentrador de tráfico de red 105 incluye datos adicionales relacionados con electrodomésticos inteligentes o direcciones en la lista de observación en los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos.

En algunas realizaciones, el módulo de control de anomalías 315 recibe una notificación del concentrador de tráfico de red 105 de que un electrodoméstico inteligente 100 estaba descargando software. La notificación incluye el código que se está descargando, y el módulo de control de anomalías 315 analiza el código para determinar si es malicioso. En algunas realizaciones, el módulo de control de anomalías 315 envía el código al módulo de detección de anomalías 310 para su análisis. Si el módulo de control de anomalías 315 determina que el código está en una categoría segura (es decir, no es malicioso), le indica al concentrador de tráfico de red 105 que permita que continúe la descarga. Si el módulo de control de anomalías 315 determina que el código es malicioso, entonces indica al concentrador de tráfico de red 105 que bloquee la descarga. El módulo de control de anomalías 315 notifica al usuario que la descarga ha sido bloqueada, incluyendo información sobre qué código se estaba descargando y por qué estaba bloqueado. El usuario puede dar instrucciones al módulo de control de anomalías 315 para que permita que continúe la descarga. En algunas realizaciones, el módulo de detección de anomalías 310 usa información sobre el código que se bloqueó al determinar los niveles de confianza.

El almacén de datos 335 puede ser usado por el motor de análisis de comportamiento 110 para almacenar código o datos que usa el motor de análisis de comportamiento. El almacén de datos 335 puede usarse para almacenar datos de tráfico de electrodomésticos o datos de identificación de electrodomésticos recibidos del concentrador de tráfico de red 105. El almacén de datos 335 puede usarse para almacenar información que usa el módulo de detección de anomalías 310 para determinar niveles de confianza para anomalías. El almacén de datos 335 también puede ser usado por el módulo de control de anomalías 315 para almacenar información que usa el módulo de control de anomalías 315 para realizar determinaciones sobre los niveles de confianza de anomalías. ACCIONES DE EJEMPLO PARA RESPONDER A ANOMALÍAS

La FIG. 4A es un diagrama de flujo que ilustra un método de ejemplo para identificar y bloquear el comportamiento malicioso dentro de una red local, de acuerdo con algunas realizaciones. Los pasos del método presentado en la FIG. 4A podrían realizarse en un orden diferente y el método podría incluir pasos adicionales, menos o diferentes. El método puede realizarse como instrucciones almacenadas en un medio de almacenamiento legible por ordenador no transitorio y ejecutable por un procesador y/o controlador. En la FIG. 7 se describe un ejemplo de un procesador y/o controlador.

El motor de análisis de comportamiento 110 recibe 400 datos de tráfico de electrodomésticos desde el concentrador de tráfico de red 105. Los datos de tráfico de electrodomésticos describen el tráfico de red en la red local 120b. En algunas realizaciones, los datos de tráfico de electrodomésticos comprenden direcciones de origen, direcciones de destino, ancho de banda entre esas direcciones y tamaños de paquetes del tráfico de red. En algunas realizaciones, el concentrador de tráfico de red 105 envía los datos de tráfico de electrodomésticos en partes agregadas en base al par origen/destino. En algunas realizaciones, esas partes se envían periódicamente en un intervalo de tiempo regular.

El motor de análisis de comportamiento 110 puede recibir 405 datos de identificación de electrodomésticos desde el concentrador de tráfico de red 15. Los datos de identificación de electrodomésticos comprenden información que mapea electrodomésticos inteligentes 100 en la red local 120b a direcciones de Internet. Los datos de identificación de electrodomésticos también comprenden información que especifica los tipos de electrodomésticos inteligentes 100 en la red local 120b. En algunas realizaciones, el concentrador de tráfico de red 105 transmite los datos de identificación de electrodomésticos al motor de análisis de comportamiento 110 cuando se producen ciertos eventos, como cuando se asigna una nueva dirección de Internet a un electrodoméstico inteligente 100. En algunas realizaciones, el concentrador de tráfico de red 105 transmite los datos de identificación de electrodomésticos al motor de análisis de comportamiento 110 periódicamente en un intervalo de tiempo regular.

El motor de análisis de comportamiento 110 puede extraer 410 características importantes de los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos. La extracción de las características importantes puede comprender, por ejemplo, agregar campos en los datos (por ejemplo, recopilar los tipos de electrodomésticos inteligentes en la red local 120b). La extracción de las características importantes también puede comprender, por ejemplo, la realización de cálculos sobre los datos (por ejemplo, calcular el ancho de banda medio para un par origen-destino). Las características también podrían comprender modelos estadísticos de los datos (por ejemplo, generar distribuciones para modelar el flujo de tráfico).

El motor de análisis de comportamiento 110 calcula 415 niveles de confianza para anomalías dentro de la red local 120b. Las anomalías son comportamientos o actividades en la red local 120b que podrían estar provocados por código malicioso. Un nivel de confianza es una representación de si la anomalía existe en los datos y si la anomalía está provocada por un comportamiento malicioso. En algunas realizaciones, el nivel de confianza se calcula como una puntuación numérica. En algunas realizaciones, un nivel de confianza puede representar más de una anomalía.

El motor de análisis de comportamiento 110 está configurado para determinar 420 una acción a realizar en base al nivel de confianza de cada anomalía. En algunas realizaciones, el motor de análisis de comportamiento 110 considera los niveles de confianza para las anomalías de manera independiente al tomar una determinación. En algunas realizaciones, el motor de análisis de comportamiento 110 considera los niveles de confianza en combinación para tomar una determinación. En algunas realizaciones, el motor de análisis de comportamiento 110 usa umbrales para tomar una determinación. El motor de análisis de comportamiento 110 podría tomar una determinación en base a la probabilidad estadística de que se produzca la anomalía y no esté provocada por un comportamiento malicioso.

Si el motor de análisis de comportamiento 110 determina que el nivel de confianza para una anomalía está en el nivel de confianza A 422, entonces el motor de análisis de comportamiento 110 instruye 425 al concentrador de tráfico de red 105 para que bloquee el tráfico relacionado con la anomalía. El nivel de confianza A 422 representa un alto nivel de confianza de que la anomalía está provocada por un comportamiento malicioso. El nivel de confianza A 422 podría ser un umbral para una puntuación numérica que representa el nivel de confianza.

El motor de análisis de comportamiento 110 puede indicar al concentrador de tráfico de red 105 que bloquee el tráfico 425 asociado con la anomalía mediante el envío de instrucciones de control de tráfico al concentrador de tráfico de red 105. Las instrucciones de control de tráfico podrían indicar al concentrador de tráfico de red 15 que bloquee el tráfico relacionados con un par origen-destino. En algunas realizaciones, las instrucciones de control de tráfico instruyen al concentrador de tráfico de red 105 para que bloquee el tráfico procedente de, o dirigido a, una dirección particular fuera de la red local 120b. En algunas realizaciones, el motor de análisis de comportamiento 110 notifica 435 al usuario que se ha bloqueado el tráfico de red.

Si el motor de análisis de comportamiento 110 determina que el nivel de confianza para una anomalía está en el nivel de confianza B 427, el motor de análisis de comportamiento 110 añade 430 electrodomésticos inteligentes y direcciones de Internet asociados con la anomalía a una lista de vigilancia. El motor de análisis de comportamiento 110 notifica al usuario 435 que los electrodomésticos inteligentes o las direcciones de Internet han estado mostrando un comportamiento sospechoso. El nivel de confianza B 427 representa un nivel de confianza alto, pero no tan alto como para que el motor de análisis de comportamiento decida bloquear el tráfico asociado con la anomalía. En algunas realizaciones, si un electrodoméstico inteligente o una dirección de Internet asociados con un nivel de confianza ya está en una lista de vigilancia, el nivel de confianza se eleva al nivel de confianza A 422. En algunas realizaciones, el concentrador de tráfico de red 105 incluye información adicional referente a electrodomésticos inteligentes y direcciones de Internet en la lista de vigilancia en los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos.

Si el motor de análisis de comportamiento 110 determina que el nivel de confianza para una anomalía está en el nivel de confianza C 437, el concentrador de tráfico de red 105 permite que continúe 440 el tráfico asociado con la anomalía. El nivel de confianza C 437 representa un nivel de confianza bajo.

EXTRACCIÓN DE DATOS DE RED Y BLOQUEO DE TRÁFICO DE RED DE EJEMPLO

La FIG. 4B es un diagrama de flujo que ilustra un método de ejemplo realizado por el concentrador de tráfico de red 105 para extraer datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos de una red local y bloquear el tráfico de red, de acuerdo con una realización de ejemplo. Los pasos para el método presentado en la FIG. 4B podrían realizarse en un orden diferente y el método podría incluir pasos adicionales, menos o diferentes. El método puede realizarse como instrucciones almacenadas en un medio de almacenamiento legible por ordenador no transitorio y ejecutable por un procesador y/o controlador. Un ejemplo de un procesador y/o controlador se describe con la FIG. 7.

El concentrador de tráfico de red 105 recibe 450 datos de tráfico de red de los electrodomésticos inteligentes 100 dentro de la red local 120b. Los datos de tráfico de red pueden ser tráfico de red enviado por o a electrodomésticos inteligentes 100 en la red local 120b que se enruta a través del concentrador de tráfico de red 105. En algunas realizaciones, el concentrador de tráfico de red 105 recibe datos de tráfico de red actuando como un puente entre los electrodomésticos inteligentes 100 en la red local 120b y un enrutador y recibiendo todo el tráfico de red que viaja entre los electrodomésticos inteligentes 100 y el enrutador. En algunas realizaciones, el concentrador de tráfico de red 105 recibe los datos de tráfico de red reemplazando la puerta de enlace predeterminada para la red local 120b usando un ataque de intermediario.

El concentrador de tráfico de red 110 extrae 455 datos de tráfico de electrodomésticos de los datos de tráfico de red. Los datos de tráfico de electrodomésticos describen el tráfico de red en la red local 120b asociado con los electrodomésticos inteligentes 100. En algunas realizaciones, los datos de tráfico de electrodomésticos comprenden direcciones de origen, direcciones de destino, ancho de banda entre esas direcciones y tamaños de paquetes del tráfico de red. En algunas realizaciones, los datos de tráfico de electrodomésticos se agregan en partes en base del par de origen/destino.

El concentrador de tráfico de red 105 extrae 406 datos de identificación de electrodomésticos de los datos de tráfico de red. Los datos de identificación de electrodomésticos comprenden información que mapea electrodomésticos inteligentes 100 en la red local 120b a direcciones de Internet. Los datos de identificación de electrodomésticos también pueden comprender información que especifica los tipos de electrodomésticos inteligentes 100 en la red local 120b. En algunas realizaciones, el concentrador de tráfico de red 105 extrae los datos de identificación de electrodomésticos cuando se producen ciertos eventos, como cuando a un electrodoméstico inteligente 100 se le asigna una nueva dirección de Internet.

El concentrador de tráfico de red 105 transmite 465 los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos al motor de análisis de comportamiento 110. El concentrador de tráfico de red 105 recibe 470 luego instrucciones de control de tráfico del motor de análisis de comportamiento 110. Las instrucciones de control de tráfico indican al concentrador de tráfico de red 105 que bloquee el tráfico de red 475 en la red local 120b. En algunas realizaciones, las instrucciones de control de tráfico instruyen al concentrador de tráfico de red 105 para que bloquee el tráfico de red asociado con un electrodoméstico inteligente o una dirección de Internet identificada en las instrucciones de control de tráfico. Las instrucciones de control de tráfico también pueden indicar al concentrador de tráfico de red 105 que bloquee el tráfico de red asociado con un par de origen-destino asociado con un electrodoméstico inteligente en la red local 120b.

BLOQUEO DE TRÁFICO A UN ELECTRODOMÉSTICO INTELIGENTE CON MAWARE

La FIG. 5A, 5B y 5C son diagramas de bloques de alto nivel que juntos ilustran un ejemplo para determinar la existencia de malware en un electrodoméstico inteligente y bloquear el tráfico hacia y desde un dispositivo. La FIG. 5A ilustra datos de tráfico de electrodomésticos y datos de identificación de electrodomésticos de ejemplo que se envían desde un concentrador de tráfico de red 105 a un motor de análisis de comportamiento 110. La FIG. 5B ilustra un ejemplo de generación de niveles de confianza. La FIG. 5C ilustra un ejemplo de instrucciones de control de tráfico que se envían a un concentrador de tráfico de red. Se entiende que pueden existir otras realizaciones que no funcionan exactamente como se ilustra en estas figuras o que pueden contener componentes adicionales, menos o diferentes a los ilustrados.

En referencia a la FIG. 5A, el electrodoméstico 1500 puede ser un electrodoméstico inteligente que no contiene ningún código malicioso o "malware" y, por lo tanto, no muestra ningún comportamiento malicioso. El electrodoméstico 2 505 es un electrodoméstico inteligente que contiene malware y muestra un comportamiento malicioso. El servidor web ordinario 510 puede ser un servidor web que no tenga ningún propósito malicioso y, por lo tanto, no muestre un comportamiento malicioso. El servidor web sospechoso 515 puede ser un servidor web que tiene un propósito malicioso y, por lo tanto, muestra un comportamiento malicioso. El electrodoméstico 1500, el electrodoméstico 2505, el servidor web ordinario 510 y el servidor web sospechoso 515 se comunican 507 a través del concentrador de tráfico de red 502. El electrodoméstico 1500 se comunica con frecuencia con el servidor web ordinario 510 y con poca frecuencia con el servidor web sospechoso 515. El electrodoméstico 2 se comunica con frecuencia tanto con el servidor web ordinario 510 como con el servidor web sospechoso 515. El electrodoméstico 1 500 está en la dirección de Internet A1, el electrodoméstico 2505 está en la dirección de Internet A2, el servidor web ordinario 510 está en la dirección de Internet A3 y el servidor web sospechoso está en la dirección de internet A4.

El concentrador de tráfico de red 502 recibe toda la comunicación 507 enviada entre los electrodomésticos (500, 505) y los servidores (510, 515). El concentrador de tráfico de red 502 genera datos de tráfico de electrodomésticos 540 en base a la comunicación 507. Los datos de tráfico de electrodomésticos 540 describen cuánto tráfico se envió a través de la red. Por ejemplo, los datos de tráfico del electrodoméstico 540 especifican que se envió la cantidad X1 de datos desde la dirección A1 a A3. Los datos de tráfico de electrodomésticos 540 se envían 535 al motor de análisis de comportamiento 520.

El concentrador de tráfico de red 502 también genera datos de identificación de electrodomésticos 545. Los datos de identificación de electrodomésticos 545 describen qué electrodoméstico está en qué dirección de Internet. Por ejemplo, especifica que el electrodoméstico 1500 está en la dirección de Internet a 1. Además, los datos de identificación de electrodomésticos 545 identifican un tipo de cada electrodoméstico inteligente. Por ejemplo, especifica que el electrodoméstico 2505 tiene el tipo B2. Los datos de identificación de electrodomésticos 545 son enviados por el concentrador de tráfico de red 502 al motor de análisis de comportamiento 520.

Con referencia ahora a la FIG. 5B, el motor de análisis de comportamiento 520 recibe los datos de tráfico de electrodomésticos 540 y los datos de identificación de electrodomésticos 545. El módulo de detección de anomalías 525 recibe los datos de tráfico de electrodomésticos 540 y los datos de identificación de electrodomésticos 545 y extrae características importantes 550 de los datos de tráfico de electrodomésticos 540 y los datos de identificación de electrodomésticos 545. Por ejemplo, F1 podría ser el ancho de banda total de las comunicaciones 507 y F2 podría ser el tamaño de paquete medio en las comunicaciones.

El módulo de detección de anomalías 525 usa las características importantes extraídas 550 para generar niveles de confianza para el electrodoméstico 1 y el electrodoméstico 2, representados como puntuaciones de confianza (560, 565 respectivamente). Las puntuaciones de confianza (560, 565) representan la probabilidad de que esté presente una anomalía en los datos de tráfico de electrodomésticos 540 y los datos de identificación de electrodomésticos 545, y la probabilidad de que la anomalía esté provocada por un comportamiento malicioso. Las puntuaciones de confianza para el dispositivo 1560 son puntuaciones de confianza para anomalías relacionadas con el electrodoméstico 1 500 y las puntuaciones de confianza para el dispositivo 2 565 son puntuaciones de confianza para anomalías relacionadas con el electrodoméstico 2 505. Después de calcular las puntuaciones de confianza (560, 565), la detección de anomalías el módulo 525 envía 555 las puntuaciones de confianza (560, 565) al módulo de control de anomalías 530.

Con referencia ahora a la FIG. 5C, después de recibir las puntuaciones de confianza (560, 565), el módulo de control de anomalías 530 realiza una determinación 570 sobre si cree que el malware está presente en el electrodoméstico 1500 y el electrodoméstico 2505. El módulo de control de anomalías 530 realiza la determinación 570 en base a las puntuaciones de confianza (560, 565). En base a las puntuaciones de confianza (560, 565), el módulo de control de anomalías 530 determina que el electrodoméstico 1 500 no tiene malware y que el electrodoméstico 2505 sí tiene malware. El módulo de control de anomalías 530 también determina que el malware en el electrodoméstico 2 505 se comunica con el servidor web sospechoso 515, y que el tráfico entre el electrodoméstico 2505 y el servidor web ordinario 510 no es malicioso. El módulo de control de anomalías envía instrucciones de control de tráfico 575 al concentrador de tráfico de red 502. Las instrucciones de control de tráfico 575 instruyen la concentrador de control de tráfico de red 502 para que bloquee el tráfico entre el electrodoméstico 2 505 y un servidor web sospechoso 515. Tras recibir las instrucciones de control de tráfico 575, el concentrador de tráfico de red 502 bloquea el tráfico 580 proveniente del electrodoméstico 2 505 que se dirige al servidor web sospechoso 515. El concentrador de tráfico de red 502 también bloquea el tráfico 585 proveniente del servidor web sospechoso 515 que se dirige al electrodoméstico 2505.

IDENTIFICACIÓN DE ELECTRODOMÉSTICOS INTELIGENTES EN UNA RED

La FIG. 6 es un diagrama de flujo que ilustra un método de ejemplo para generar datos de identificación de electrodomésticos usando reglas de identificación. Los pasos del método presentado en la FIG. 6 podrían realizarse en un orden diferente y el método podría incluir pasos adicionales, menos o diferentes. En la realización ilustrada, el método de la FIG. 6 es realizado por el concentrador de tráfico de red 105. El concentrador de tráfico de red 105 puede ser un dispositivo en una red local 120b o puede estar en un grupo de servidores en línea 115 en una red en la nube 120a.

El concentrador de tráfico de red 105 recibe tráfico de red desde la red local 120b. El concentrador de tráfico de red 105 puede extraer pasivamente información de identificación del tráfico de red extrayendo campos de mensajes que viajan a través de la red local 120b. El concentrador de tráfico de red 105 también puede extraer activamente información de identificación de la red local 120b enviando mensajes siguiendo los protocolos de transmisión a los electrodomésticos inteligentes 100 y extrayendo la información de identificación de las respuestas a los mensajes iniciales. En algunas realizaciones, el concentrador de tráfico de red 105 comprende un dispositivo en la red local 120b que envía la información de identificación a un grupo de servidores en línea 115 en una red en la nube 120a.

El concentrador de tráfico de red 105 almacena reglas de identificación. En algunas realizaciones, las reglas se almacenan y aplican en un dispositivo en la red local 120b. En otras realizaciones, las reglas se almacenan y aplican en un grupo de servidores en línea 115 en una red en la nube 120a. Las reglas de identificación especifican cómo se convierte la información de identificación en datos de identificación de electrodomésticos. A veces, una regla extrae un campo de una comunicación y ese campo se almacena en los datos de identificación de electrodomésticos. Por ejemplo, los electrodomésticos inteligentes pueden incluir su dirección MAC en las solicitudes de DHCP, que pueden almacenarse en los datos de identificación de electrodomésticos para hacer coincidir el dispositivo con una dirección de Internet. Como otro ejemplo, el concentrador de tráfico de red 105 puede identificar el sistema operativo de un electrodoméstico inteligente en base a los atributos de TCP/IP establecidos por el electrodoméstico inteligente. A veces, una regla usa información de múltiples fuentes para inferir coincidencias de electrodomésticos inteligentes con direcciones de Internet o los tipos de electrodomésticos inteligentes. Por ejemplo, la información de identificación podría incluir datos que solo solicitaría un tipo específico de electrodoméstico inteligente y, por lo tanto, la regla de identificación puede inferir el tipo de electrodoméstico inteligente. Juntas, las reglas de identificación permiten que el concentrador de tráfico de red 105 haga coincidir los electrodomésticos inteligentes con direcciones de Internet e identifique los tipos de electrodomésticos inteligentes.

El concentrador de tráfico de red 105 aplica la regla de identificación uniforme 600 a la información de identificación. Cada regla de identificación se aplica comprobando si la información de identificación coincide con una condición especificada por la regla de identificación. La regla de identificación especifica uno o más valores de identificación que se incluirán en los datos de identificación de electrodomésticos si la información de identificación coincide con la condición especificada por la regla. Por ejemplo, una regla de identificación podría leerse, en lenguaje sencillo, de la siguiente manera: si la información de identificación contiene A, B y C, entonces incluye el valor de identificación D en los datos de identificación de electrodomésticos.

Después de aplicar la regla de identificación, el concentrador de tráfico de red 105 determina si las condiciones en la información de identificación coinciden con la condición en la regla de identificación 605. Si no lo hacen, el concentrador de tráfico de red 105 continúa con la siguiente regla de identificación 610. Si lo hacen, el concentrador de tráfico de red 105 incluye el valor de identificación especificado por la regla de identificación en los datos de identificación de electrodomésticos 615. Después de incluir el valor de identificación en los datos de identificación de electrodomésticos 615, el concentrador de tráfico de red 105 verifica si todos los electrodomésticos inteligentes 100 en la red local 120b han sido identificados 620. Si no lo han sido, el concentrador de tráfico de red 105 pasa al siguiente nivel de identificación 610. Si han sido identificados, el concentrador de tráfico de red almacena los datos de identificación de electrodomésticos completos 625.

ARQUITECTURA DE DISPOSITIVOS

La FIG. 7 es un diagrama de bloques de alto nivel que ilustra un dispositivo en red ejemplar. La funcionalidad de los módulos en la FIG. 7 puede realizarse con módulos adicionales, menos o diferentes y la funcionalidad de los módulos puede dividirse entre módulos de manera diferente a como se describe a continuación.

Un dispositivo en red 700 es un dispositivo que se conecta a una red y se comunica con otros dispositivos a través de la red. Un dispositivo en red 700 podría ser un electrodoméstico inteligente 100, el concentrador de tráfico de red 105, el motor de análisis de comportamiento 110, la plataforma de administración del concentrador 112, un servidor en el grupo de servidores en línea 115 o cualquier otro dispositivo que esté conectado o a la red local 120b o a la red en la nube 120a. Un dispositivo en red 700 tiene uno o más procesadores 705 que pueden usarse para ejecutar el código almacenado en la memoria 710. El uno o más procesadores 705 también pueden incluir, por ejemplo, controladores, circuitos integrados específicos de aplicación (ASICS) y/o matrices de puertas lógicas programable en campo (FPGA). El procesador 705 también puede enviar mensajes y recibir mensajes de la interfaz de red 715 para comunicarse con otros dispositivos. La memoria 710 es usada por el procesador 705 para almacenar datos que necesita el dispositivo en red 700. La memoria podría usarse para almacenar software que es ejecutado por el procesador 705 o podría almacenar datos que necesita mantener el dispositivo en red 700. El software, que puede incluir firmware, puede denominarse código de programa, producto de programa informático o instrucciones de programa, y puede estar compuesto por instrucciones. El software puede configurarse para operar con un sistema operativo, que proporciona una interfaz para el procesador 705. El procesador puede configurarse para ejecutar el software de una manera específica.

La interfaz de red 715 permite que el dispositivo en red 700 se comunique con otros dispositivos en red 700. En algunas realizaciones, un dispositivo en red 700 podría permitir que un usuario interactúe con el dispositivo 700 a través de una interfaz visual 720. En algunas realizaciones, el usuario interactúa con el dispositivo en red 700 a través de la interfaz de red 715. En algunas realizaciones, el dispositivo en red 700 podría tener una unidad de almacenamiento 725 que usa por separado de la memoria 710 para almacenar datos a largo plazo.

Se observa que un electrodoméstico inteligente y el concentrador de red pueden incluir los componentes mostrados y descritos en la FIG. 7, pero que las configuraciones individuales de potencia de procesamiento, almacenamiento, sofisticación de la interfaz visual y requisitos de almacenamiento diferirán dependiendo de las funciones particulares que se describen en la presente.

CONFIGURACIONES DE EJEMPLO

Ahora se hará referencia a configuraciones de ejemplo de las realizaciones divulgadas. Por ejemplo, la presente divulgación puede incluir un programa informático, un producto que comprende un medio de almacenamiento legible por ordenador transitorio que comprende instrucciones codificadas en el mismo que, cuando son ejecutadas por un procesador, hacen que el procesador ejecute un proceso para recopilar datos de tráfico de red y bloquear el tráfico de red asociado con comportamiento malicioso. Las instrucciones pueden hacer que el procesador reciba, en un concentrador de tráfico de red, datos de tráfico de red de uno o más electrodomésticos inteligentes acoplados comunicativamente a una red local. Las instrucciones pueden hacer que el procesador extraiga datos de tráfico de electrodomésticos de los datos de tráfico de la red. Los datos de tráfico de electrodomésticos pueden comprender una o más direcciones de Internet, cada una correspondiente a uno o más electrodomésticos inteligentes y ancho de banda de tráfico asociado con el tráfico de la red. Las instrucciones pueden hacer que el procesador extraiga datos de identificación de electrodomésticos del tráfico de red, los datos de identificación de electrodomésticos comprendiendo uno o más campos extraídos de los datos de tráfico de red. Las instrucciones pueden hacer que el procesador transmita los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos a un motor de análisis de comportamiento. Las instrucciones pueden hacer que el procesador reciba instrucciones de control de tráfico desde el motor de análisis de comportamiento, las instrucciones de control de tráfico identificando un electrodoméstico inteligente de uno o más electrodomésticos inteligentes. Las instrucciones también pueden hacer que el procesador procese, en respuesta a las instrucciones de control de tráfico recibidas del motor de análisis de comportamiento, tráfico de red asociado con el electrodoméstico inteligente.

El producto de programa informático puede comprender además el concentrador de tráfico de red que conecta el tráfico de red entre un enrutador y los electrodomésticos inteligentes.

El producto de programa informático puede comprender además instrucciones que, cuando se ejecutan, hacen que el procesador reemplace una puerta de enlace predeterminada de la red local con una dirección de Internet asociada con el concentrador de tráfico de la red.

El producto de programa informático puede comprender además instrucciones que, cuando se ejecutan, provocan que el procesador reemplace la puerta de enlace predeterminada usando un ataque de intermediario.

El producto del programa informático puede comprender además el ataque de intermediario que comprende uno de: suplantación de identidad de ARP; un ataque ICMP; un ataque DHCP; y robo de puertos.

El producto de programa informático puede comprender además el concentrador de tráfico de red que comprende uno o más dispositivos acoplados comunicativamente a la red local.

El producto de programa informático puede comprender además instrucciones que, cuando se ejecutan, hacen que el procesador: reciba una clave de seguridad de una plataforma de administración del concentrador; se conecte a la plataforma de administración del concentrador mediante la clave de seguridad; y transmita información de diagnóstico a una ordenador de terceros a través de la conexión a la plataforma de administración del concentrador.

El producto de programa informático puede comprender además los datos de tráfico de red que comprenden por lo menos uno de: direcciones de Internet de origen, direcciones de Internet de destino, tamaños de paquetes, recuentos de paquetes, direcciones MAC de origen, direcciones MAC de destino, información de consulta de DNS, datos de respuesta de consulta de DNS y el ancho de banda entre una dirección de Internet de origen y una dirección de Internet de destino.

El producto de programa informático puede comprender además el uno o más campos extraídos, los datos de tráfico de red que comprenden campos extraídos de por lo menos una de solicitudes DHCP, firmas TCP y encabezados HTTP.

El producto de programa informático puede comprender además instrucciones que, cuando se ejecutan, hacen que el procesador: almacene, en el concentrador de tráfico de la red, los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos; y elimine, en respuesta a los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos transmitidos al motor de análisis de comportamiento, elimine los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos almacenados.

El producto de programa informático puede incluir además instrucciones que, cuando se ejecutan, hacen que el procesador procese el tráfico de red asociado con el electrodoméstico inteligente que comprende además instrucciones para bloquear el tráfico de red asociado con el electrodoméstico inteligente.

El producto de programa informático puede incluir además instrucciones que, cuando se ejecutan, hacen que el procesador bloquee el tráfico de red asociado con el electrodoméstico inteligente que comprende además instrucciones para bloquear el tráfico de red entre el electrodoméstico inteligente y una dirección de Internet designada fuera de la red local.

El producto de programa informático puede comprender además instrucciones que, cuando se ejecutan, hacen que el procesador ponga en cuarentena el tráfico de red asociado con el electrodoméstico inteligente.

El producto de programa informático puede comprender además instrucciones que, cuando se ejecutan, hacen que el procesador redirija el tráfico de red asociado con el electrodoméstico inteligente a un servidor para que sea analizado por su comportamiento malicioso.

La presente divulgación incluye además un proceso para recopilar datos de tráfico de red y bloquear el tráfico de red asociado con un comportamiento malicioso. El proceso puede incluir recibir, en un concentrador de tráfico de red, datos de tráfico de red desde uno o más electrodomésticos inteligentes acoplados comunicativamente a una red local. El proceso puede incluir la extracción de datos de tráfico de electrodomésticos de los datos de tráfico de red, los datos de tráfico de electrodomésticos comprendiendo una o más direcciones de Internet, cada una correspondiente a uno o más electrodomésticos inteligentes y ancho de banda de tráfico asociado con los datos de tráfico de red. El proceso puede incluir extraer datos de identificación de electrodomésticos de los datos de tráfico de red. Los datos de identificación de electrodomésticos pueden comprender uno o más campos extraídos de los datos de tráfico de red. El proceso puede incluir transmitir los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos a un motor de análisis de comportamiento. El proceso puede incluir recibir instrucciones de control de tráfico del motor de análisis de comportamiento. Las instrucciones de control de tráfico pueden incluir la identificación de un electrodoméstico inteligente de uno o más electrodomésticos inteligentes. El proceso puede incluir procesar, en respuesta a la recepción de instrucciones de control de tráfico desde el motor de análisis de comportamiento, el tráfico de red asociado con el electrodoméstico inteligente.

El proceso puede comprender además que el concentrador de tráfico de red actúe como un puente para el tráfico de red entre un enrutadory los electrodomésticos inteligentes.

El proceso puede comprender además reemplazar una puerta de enlace predeterminada de la red local con una dirección de Internet asociada con el concentrador de tráfico de la red.

El proceso puede comprender además que la puerta de enlace predeterminada se reemplace usando un ataque de intermediario.

El proceso puede comprender además el ataque de intermediario que comprende uno de: suplantación ARP; un ataque ICMP; un ataque DHCP; y robo de puertos.

El proceso puede comprender además el concentrador de tráfico de red que comprende uno o más dispositivos acoplados comunicativamente a la red local.

El proceso puede comprender además los datos de tráfico de red que comprenden por lo menos uno de: direcciones de Internet de origen, direcciones de Internet de destino, tamaños de paquetes, recuentos de paquetes, direcciones MAC de origen, direcciones MAC de destino, información de consulta de DNS, datos de respuesta de consulta de DNS, y ancho de banda entre una dirección de Internet de origen y una dirección de Internet de destino.

El proceso puede comprender además uno o más campos extraídos de los datos de tráfico de la red que comprenden campos extraídos de por lo menos una de las solicitudes de DHCP, firmas TCP y encabezados HTTP.

El proceso puede comprender además el tráfico de red de procesamiento asociado con el electrodoméstico inteligente que comprende además bloquear el tráfico de red asociado con el electrodoméstico inteligente.

El proceso puede comprender además el procesamiento del tráfico de red asociado con el electrodoméstico inteligente que comprende además poner en cuarentena el tráfico de red asociado con el electrodoméstico inteligente.

La presente divulgación incluye además un proceso para identificar comportamiento malicioso en una red local. El proceso puede comprender recibir datos de tráfico de red desde un concentrador de tráfico de red, los datos de tráfico de red identificando una dirección de origen, una dirección de destino y un ancho de banda de tráfico a través de una red local. Los datos de tráfico de la red pueden corresponder a un electrodoméstico inteligente acoplado comunicativamente con el concentrador de tráfico de la red. El proceso puede incluir la recepción de datos de identificación del concentrador de tráfico de red que comprende un tipo de electrodoméstico inteligente en la red local y una dirección de Internet actual para el electrodoméstico inteligente en la red local. La dirección de Internet actual puede ser una de las direcciones de origen o la dirección de destino identificada en los datos de tráfico de red. El proceso puede incluir calcular características del tráfico de red usando los datos de tráfico de red y los datos de identificación, las características describiendo aspectos importantes del tráfico de red. El proceso puede incluir calcular, para una pluralidad de puntuaciones basadas en las características del tráfico de la red, cada puntuación representando una probabilidad de que el electrodoméstico inteligente esté realizando un comportamiento malicioso, y cada puntuación asociada con por lo menos una de la direcciones de origen y la dirección de destino. El proceso puede incluir determinar, en base a una puntuación calculada de la pluralidad de puntuaciones calculadas, si hay que bloquear el tráfico de red enviado desde una dirección de origen asociada con la puntuación calculada o hacia una dirección de destino asociada con la puntuación calculada. El proceso también puede incluir transmitir, en respuesta a la determinación de que hay que bloquear el tráfico de red, una instrucción al concentrador de tráfico de red para que bloquee el tráfico de red enviado desde la dirección de origen asociada con la puntuación calculada o enviada a la dirección de destino asociada con la puntuación calculada.

El proceso puede comprender además la dirección de origen y la dirección de destino, cada una comprendiendo una dirección de Internet y un número de puerto.

El proceso puede comprender además recibir, desde el concentrador de tráfico de la red, software que está siendo descargado por un electrodoméstico inteligente. El proceso puede incluir determinar que el software es malicioso. El proceso también puede incluir transmitir una instrucción al concentrador de tráfico de red para bloquear el tráfico de red asociado con el software.

El proceso puede comprender además la determinación de bloquear el tráfico de red basándose en más de una puntuación calculada de la pluralidad de puntuaciones calculadas.

El proceso puede comprender además que la puntuación calculada se calcule usando datos de tráfico de red y datos de identificación recibidos durante un período de tiempo.

El proceso puede comprender además que la puntuación calculada se calcule usando datos de inteligencia de amenazas.

El proceso puede comprender además que la puntuación del ordenador se calcule usando la información recibida de un usuario.

El proceso puede comprender además que la puntuación del ordenador se calcule usando información de un fabricante del electrodoméstico inteligente.

El proceso puede comprender además la determinación de bloquear el tráfico de red que se está realizando usando un umbral.

El proceso puede comprender además, en respuesta a la determinación de bloquear el tráfico de red, una notificación que se envía a un usuario.

El proceso puede comprender además la notificación que contiene información sobre la dirección de origen o la dirección de destino.

La presente divulgación incluye además un proceso para identificar comportamiento malicioso en una pluralidad de redes locales. El proceso puede comprender recibir datos de tráfico de red desde una pluralidad de concentradores de tráfico de red. Los datos de tráfico de red pueden identificar una dirección de origen, una dirección de destino y un ancho de tráfico de banda a través de una pluralidad de redes locales. Los datos de tráfico de red pueden corresponder a uno o más electrodomésticos inteligentes acoplados comunicativamente con uno o más de la pluralidad de centros de tráfico de red. El proceso puede incluir recibir los datos de identificación de la pluralidad de concentradores de tráfico de red que comprenden un tipo de electrodoméstico inteligente de uno o más electrodomésticos inteligentes en por lo menos una de la pluralidad de redes locales y una dirección de Internet actual para el electrodoméstico inteligente. El proceso puede incluir calcular características del tráfico de red usando los datos de tráfico de red y los datos de identificación, las características describiendo aspectos importantes del tráfico de red. El proceso puede incluir identificar, en base a las características, una dirección de Internet maliciosa. El proceso también puede incluir transmitir una instrucción a la pluralidad de concentradores de tráfico de red para bloquear el tráfico de red enviado desde o enviado hacia la dirección de Internet maliciosa.

El proceso puede comprender además que la dirección de Internet y la dirección de Internet maliciosa, comprendan cada una un número de puerto.

El proceso puede comprender además que la dirección de Internet maliciosa se identifique usando datos de tráfico de red y datos de identificación recibidos durante un período de tiempo.

El proceso puede comprender además que la dirección de Internet maliciosa se identifique usando datos de inteligencia de amenazas.

El proceso puede comprender además que la dirección de Internet maliciosa se identifique usando información de un fabricante del electrodoméstico inteligente.

El proceso puede comprender además transmitir una notificación a un usuario.

El proceso puede comprender además las notificaciones que contienen información sobre la dirección de Internet maliciosa.

La presente divulgación incluye además un proceso para extraer datos de identificación de una red local. El proceso puede comprender la recopilación pasiva, mediante un concentrador de tráfico de red, de datos de identificación para un electrodoméstico inteligente dentro de una red local. Los datos de identificación recopilados pasivamente pueden recopilarse detectando, por parte del concentrador de tráfico de la red, una comunicación enviada desde una dirección de Internet asociada con el electrodoméstico inteligente en la red local. La comunicación puede tener una dirección de destino prevista. El proceso puede interceptar la comunicación, extraer los datos de identificación recopilados pasivamente de la comunicación y transmitir la comunicación a la dirección de destino. El proceso puede incluir recopilar activamente, por medio del concentrador de tráfico de la red, datos de identificación para el electrodoméstico inteligente dentro de la red local. Los datos de identificación recopilados activamente pueden recopilarse transmitiendo, desde el concentrador de tráfico de red, una comunicación inicial al electrodoméstico inteligente dentro de la red local. La comunicación puede seguir un protocolo de difusión. El proceso puede extraer, de una respuesta a la comunicación inicial, los datos de identificación recopilados activamente. El proceso también puede incluir transmitir los datos de identificación recopilados pasivamente y los datos de identificación recopilados activamente a un motor de análisis de comportamiento. El motor de análisis de comportamiento puede configurarse para determinar si el electrodoméstico inteligente muestra un comportamiento malicioso dentro de la red local en base a los datos de identificación.

El proceso puede comprender además que los datos de identificación recopilados pasivamente y los datos de identificación recopilados activamente se extraigan usando reglas de identificación, en donde una regla de identificación especifica las condiciones que debe cumplir una comunicación. La regla de identificación puede especificar un valor para incluir en los datos de identificación recopilados pasivamente o en los datos de identificación recopilados activamente si se cumplen las condiciones.

El proceso puede comprender además que los datos de identificación recopilados pasivamente sean recopilados de la comunicación enrutando la comunicación a través del concentrador de tráfico de la red.

El proceso puede comprender además que la comunicación inicial se envíe usando el protocolo simple de descubrimiento de servicios.

El proceso puede comprender además que los datos de identificación recopilados pasivamente se recopilen de una comunicación, la comunicación comprendiendo por lo menos una solicitud DHCP, una firma TCP y un encabezado HTTP.

El proceso puede comprender además que el concentrador de tráfico de red use un protocolo de resolución de direcciones para indicar al electrodoméstico inteligente que transmita el tráfico de red al concentrador de tráfico de red.

CONSIDERACIONES ADICIONALES

Las configuraciones divulgadas proporcionan beneficios y ventajas que incluyen la detección de comportamientos maliciosos que implican a un electrodoméstico inteligente sin requerir que el electrodoméstico inteligente tenga instalado un software especializado. El concentrador de tráfico de red que monitoriza el tráfico hacia y desde el electrodoméstico inteligente también está configurado para detectar y añadir automáticamente nuevos electrodomésticos inteligentes añadidos y comenzar a monitorizar el tráfico de red a esos dispositivos. El uso de este enfoque elimina la necesidad de recursos informáticos más potentes en los electrodomésticos inteligentes ya que elimina la necesidad de un software intensivo en recursos o un software personalizado que es necesario típicamente para la detección de actividad de datos de red maliciosa. El concentrador de tráfico de red también está configurado para analizar datos de tráfico de electrodomésticos de múltiples redes locales para detectar un comportamiento malicioso en un electrodoméstico inteligente e inhibir el comportamiento malicioso que implica a un electrodoméstico inteligente sin tener un impacto significativo en el rendimiento del electrodoméstico inteligente o la red a la que está conectado el electrodoméstico inteligente.

A lo largo de esta memoria descriptiva, varios casos pueden implementar componentes, operaciones o estructuras descritas como un solo caso. Aunque las operaciones individuales de uno o más métodos se ilustran y describen como operaciones separadas, una o más de las operaciones individuales pueden realizarse concurrentemente, y nada requiere que las operaciones se realicen en el orden ilustrado. Las estructuras y funcionalidades presentadas como componentes separados en configuraciones de ejemplo pueden implementarse como una estructura o componente combinado. De manera similar, las estructuras y las funcionalidades presentadas como un solo componente pueden implementarse como componentes separados. Estas y otras variaciones, modificaciones, adiciones y mejoras caen dentro del alcance del alcance de la materia de la presente.

A menos que se indique específicamente lo contrario, los análisis de la presente que usan palabras como "procesar", " computar", "calcular", "determinar", "presentar", "mostrar" o similares pueden referirse a acciones o procesos de una máquina (por ejemplo, un ordenador) que manipula o transforma datos representados como cantidades físicas (por ejemplo, electrónicas, magnéticas u ópticas) dentro de una o más memorias (por ejemplo, memoria volátil, memoria no volátil o una combinación de las mismas), registros u otros componentes de la máquina que reciben, almacenan, transmiten o muestran información.

Como se usa en la presente, cualquier referencia a "una realización" significa que un elemento, característica, estructura o característica particular descrita en relación con la realización está incluida en por lo menos una realización. Las apariciones de la frase "en una realización" en varios lugares de la memoria descriptiva no se refieren todas necesariamente a la misma realización.

Algunas realizaciones pueden describirse usando la expresión "acoplado" y "conectado" junto con sus derivados. Por ejemplo, algunas realizaciones pueden describirse usando el término "acoplado" para indicar que dos o más elementos están en contacto físico o eléctrico directo. Sin embargo, el término "acoplado" también puede significar que dos o más elementos no están en contacto directo entre sí, pero aun así cooperan o interactúan entre sí. Las realizaciones no están limitadas en este contexto.

Como se usa en la presente, se pretende que los términos "comprende", "que comprende", "incluye", "que incluye", "tiene", "que tiene" o cualquier otra variación de los mismos, cubra una inclusión no exclusiva. Por ejemplo, un proceso, método, artículo o electrodoméstico que comprende una lista de elementos no está necesariamente limitado solo a esos elementos, sino que puede incluir otros elementos no enumerados expresamente o inherentes a dicho proceso, método, artículo o electrodoméstico. Además, a menos que se indique expresamente lo contrario, "o" se refiere a un o inclusivo y no a un o exclusivo. Por ejemplo, una condición A o B se cumple con cualquiera de los siguientes: A es verdadero (o está presente) y B es falso (o no está presente), A es falso (o no está presente) y B es verdadero (o está presente), y tanto A como B son verdaderos (o están presentes).

Además, el uso de "un" o "uno" se emplea para describir elementos y componentes de las realizaciones de la presente. Esto se hace simplemente por conveniencia y para dar una idea general de la invención. Esta descripción debe leerse para que incluya uno o por lo menos uno y el singular también incluye el plural a menos que sea obvio que se entiende de otra manera.

Tras leer esta divulgación, los expertos en la técnica apreciarán diseños estructurales y funcionales alternativos adicionales para un sistema y un proceso para el análisis de seguridad de red para electrodomésticos inteligentes a través de los principios divulgados en la presente. Por tanto, aunque se han ilustrado y descrito realizaciones y aplicaciones particulares, debe entenderse que las realizaciones divulgadas no se limitan a la construcción y los componentes precisos divulgados en la presente. Pueden realizarse varias modificaciones, cambios y variaciones, que serán evidentes para los expertos en la técnica, en la disposición, funcionamiento y detalles del método y aparato divulgados en la presente sin apartarse del alcance definido en las reivindicaciones adjuntas.

Claims (15)

REIVINDICACIONES

1. Un producto de programa informático que comprende un medio de almacenamiento legible por ordenador no transitorio que incluye instrucciones codificadas en el mismo que, cuando son ejecutadas por un procesador, hacen que el procesador:

reciba, en un concentrador de tráfico de red (105), datos de tráfico de red de uno o más electrodomésticos inteligentes (100) acoplados comunicativamente a una red local, en donde los datos de tráfico de red se envían en la red local (120b);

extraiga datos de tráfico de electrodomésticos de los datos de tráfico de red, los datos de tráfico de electrodomésticos comprendiendo una o más direcciones de Internet, cada una correspondiente al uno o más electrodomésticos inteligentes (100) y ancho de banda de tráfico asociado con el tráfico de red enviado en la red local (120b);

extraiga datos de identificación de electrodomésticos del tráfico de red, los datos de identificación de electrodomésticos comprendiendo uno o más campos extraídos de los datos de tráfico de la red;

transmita los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos a un motor de análisis de comportamiento (110);

reciba instrucciones de control de tráfico del motor de análisis de comportamiento (110), las instrucciones de control de tráfico identificando un electrodoméstico inteligente del uno o más electrodomésticos inteligentes (100) e incluyendo un valor de confianza numérico representativa de una probabilidad de que el electrodoméstico inteligente identificado (100) incluya código malicioso;

en respuesta a que el valor de confianza numérico sea mayor que un primer umbral, bloquee el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100);

en respuesta a que el valor de confianza numérico sea menor que el primer umbral pero mayor que un segundo umbral, añada el electrodoméstico inteligente identificado (100) a una lista de vigilancia de seguridad y permita el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100); y

en respuesta a que el valor de confianza numérico sea menor que el segundo umbral, permita el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100).

2. El producto de programa informático de la reivindicación 1, en el que el concentrador de tráfico de red (105) une el tráfico de red entre un enrutadory los electrodomésticos inteligentes (100).

3. El producto de programa informático de la reivindicación 1, que comprende además instrucciones que, cuando se ejecutan, hacen que el procesador:

reemplace una puerta de enlace predeterminada de la red local (120b) con una dirección de Internet asociada con el concentrador de tráfico de la red (105).

4. El producto de programa informático de la reivindicación 3, que comprende además instrucciones que, cuando se ejecutan, hacen que el procesador reemplace la puerta de enlace predeterminada usando un ataque de intermediario.

5. El producto de programa informático de la reivindicación 4, en el que el ataque de intermediario comprende uno de: suplantación ARP: un ataque ICMP; un ataque DHCP; y robo de puertos.

6. El producto de programa informático de la reivindicación 1, en el que el concentrador de tráfico de red (105) comprende uno o más dispositivos acoplados comunicativamente a la red local (120b).

7. El producto de programa informático de la reivindicación 1, que comprende además instrucciones que, cuando se ejecutan, hacen que el procesador:

reciba una clave de seguridad de una plataforma de administración del concentrador (112);

se conecte a la plataforma de administración del concentrador (112) usando la clave de seguridad; y transmita información de diagnóstico a un ordenador de terceros a través de la conexión a la plataforma de administración del concentrador (112).

8. El producto de programa informático de la reivindicación 1, en el que los datos de tráfico de red comprenden por lo menos uno de: direcciones de Internet de origen, direcciones de Internet de destino, tamaños de paquetes, recuentos de paquetes, direcciones MAC de origen, direcciones MAC de destino, información de consulta de DNS, datos de respuesta de consulta de DNS y ancho de banda entre una dirección de Internet de origen y una dirección de Internet de destino.

9. El producto de programa informático de la reivindicación 1, en el que el uno o más campos extraídos de los datos de tráfico de red comprenden campos extraídos de por lo menos una de solicitudes DHCP, firmas TCP y encabezados HTTP.

10. El producto de programa informático de la reivindicación 1, que comprende además instrucciones que, cuando se ejecutan, hacen que el procesador:

almacene, en el concentrador de tráfico de la red (105), los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos; y

elimine, en respuesta a los datos de tráfico de electrodomésticos transmitidos y los datos de identificación de electrodomésticos al motor de análisis de comportamiento (110), elimine los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos almacenados.

11. El producto de programa informático de la reivindicación 1, en el que las instrucciones que, cuando se ejecutan, hacen que el procesador proceso el tráfico de red asociado con el electrodoméstico inteligente (100) comprende además instrucciones para:

poner en cuarentena el tráfico asociado con el electrodoméstico inteligente (100).

12. Un método que comprende:

recibir, en un concentrador de tráfico de red (105), datos de tráfico de red de uno o más electrodomésticos inteligentes (100) acoplados comunicativamente a una red local (120b), en donde los datos de tráfico de red se envían en la red local (120b);

identificar una dirección de origen, una dirección de destino, y un ancho de banda de tráfico a través de la red local (120b);

extraer datos de identificación de electrodomésticos de los datos de tráfico de red (105) para identificar un electrodoméstico inteligente del uno o más electrodomésticos inteligentes (100), en donde los datos de identificación de electrodomésticos comprenden un tipo del uno o más electrodomésticos inteligentes (100) en la red local (120b) y una dirección de Internet actual para el uno o más electrodomésticos inteligentes (100) en la red local (120b), y en donde la dirección de Internet actual es una de la dirección de origen o la dirección de destino identificada en los datos de tráfico de red;

calcular características del tráfico de red usando los datos de tráfico de red y los datos de identificación, las características describiendo aspectos importantes del tráfico de red;

calcular una pluralidad de valores de confianza numéricos, cada valor de confianza numérico representando una probabilidad de que el electrodoméstico inteligente respectivo del uno o más electrodomésticos inteligentes (100) incluya código malicioso;

en respuesta a que el valor de confianza numérico asociado con el electrodoméstico inteligente (100) sea mayor que un primer umbral, transmitir una instrucción al concentrador de tráfico de red (105) para bloquear el tráfico de red enviado desde la dirección de origen asociada con la puntuación calculada o enviada a la dirección de destino asociada con la puntuación calculada;

en respuesta a que el valor de confianza numérico asociado con el electrodoméstico inteligente (100) sea menor que el primer umbral pero mayor que un segundo umbral, añadir el electrodoméstico inteligente identificado (100) a una lista de vigilancia de seguridad y permitir el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100); y

en respuesta a que el valor de confianza numérico asociado con el electrodoméstico inteligente (100) sea menor que el segundo umbral, permitir el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100).

13. El método de la reivindicación 12, en donde cada una de la dirección de origen y la dirección de destino comprenden una dirección de internet y un número de puerto.

14. El método de la reivindicación 13, que comprende además:

recibir, desde el concentrador de tráfico de red (105), software que está siendo descargado por un electrodoméstico inteligente (100);

determinar que el software es malicioso; y

transmitir una instrucción al concentrador de tráfico de red (105) para que bloquee el tráfico de red asociado con el software.

15. Un método que comprende:

recibir, en un concentrador de tráfico de red (105), datos de tráfico de red de uno o más electrodomésticos inteligentes (100) acoplados comunicativamente a una red local (120b), en donde los datos de tráfico de red se envían en la red local (120b);

extraer datos de tráfico de electrodomésticos de los datos de tráfico de red, los datos de tráfico de electrodomésticos comprendiendo una o más direcciones de internet cada una correspondiente a uno de los uno o más electrodomésticos inteligentes (100) y ancho de banda de tráfico asociado don los datos de tráfico de red enviados en la red local (120b);

extraer datos de identificación de electrodomésticos de los tráficos de red, los datos de identificación de electrodomésticos comprendiendo uno o más campos extraídos de los datos de tráfico de red;

transmitir los datos de tráfico de electrodomésticos y los datos de identificación de electrodomésticos a un motor de análisis de comportamiento (110);

recibir instrucciones de control del tráfico desde el motor de análisis de comportamiento (110), las instrucciones de control del tráfico identificando un electrodoméstico inteligente del uno o más electrodomésticos inteligentes (100) e incluyendo un valor de confianza numérico representativo de una probabilidad de que el electrodoméstico inteligente identificado incluya código malicioso;

en respuesta a que el valor de confianza numérico sea mayor que un primer umbral, bloquear el tráfico de red hacia y desde el electrodoméstico inteligente identificado (100);

en respuesta a que el valor de confianza numérico sea menor que el primer umbral pero mayor que un segundo umbral, añadir el electrodoméstico inteligente identificado (100) a una lista de vigilancia de seguridad y permitir el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100); y

en respuesta a que el valor de confianza numérico sea menor que el segundo umbral, permitir el tráfico posterior hacia y desde el electrodoméstico inteligente identificado (100).