JP2005122715A - ネットワークフィンガープリンティング - Google Patents

ネットワークフィンガープリンティング Download PDF

Info

Publication number
JP2005122715A
JP2005122715A JP2004272461A JP2004272461A JP2005122715A JP 2005122715 A JP2005122715 A JP 2005122715A JP 2004272461 A JP2004272461 A JP 2004272461A JP 2004272461 A JP2004272461 A JP 2004272461A JP 2005122715 A JP2005122715 A JP 2005122715A
Authority
JP
Japan
Prior art keywords
network
confidence
identification
issued
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004272461A
Other languages
English (en)
Other versions
JP4724398B2 (ja
Inventor
Sean O Lyndersay
オー.リンダーセイ ショーン
Timothy Moore
ムーア ティモシー
Vivek Bhanu
バーヌー ビベク
Warren Vincent Barkley
ビンセント バークリー ウォーレン
Yinghua Yao
ヤオ インファ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005122715A publication Critical patent/JP2005122715A/ja
Application granted granted Critical
Publication of JP4724398B2 publication Critical patent/JP4724398B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】 ネットワーク識別を効果的に行う。
【解決手段】 コンピュータ化システム用ネットワークフィンガープリンティングコンポーネントは、コンピュータネットワークにネットワーク識別子(NID)を発行する。識別信頼度は、現在のコンピュータネットワークに関して、各発行されたネットワーク識別子ごとに決定され得る。コンピュータネットワーク属性には、受動的ネットワーク属性および能動的ネットワーク属性が含まれ得る。能動的ネットワーク属性の値を取り出す際には、ネットワークトラフィックの生成が伴う。そのため、受動的ネットワーク属性は、能動的ネットワーク属性の前にネットワークフィンガープリンティングコンポーネントによって使用可能とされ得る。学習された識別信頼度修飾子は、より正確な識別信頼度をより早く成し遂げるために、能動的ネットワーク属性と無関係に決定された識別信頼度に適用され得る。
【選択図】 図4

Description

本発明は、一般に、コンピュータネットワークに関し、より詳細には、コンピュータネットワーク識別に関する。
現代のコンピュータは様々なコンピュータネットワークを介して相互にやりとりする。モバイルコンピュータは一日にいくつかのコンピュータネットワークを利用し得る。固定位置コンピュータでさえも、例えば、冗長によって信頼度を増大させるため、コンピュータネットワーク間のコスト差を利用するため、あるいは変動する通信セキュリティ要件のために、複数のコンピュータネットワークにアクセスすることがある。
コンピュータ、コンピュータオペレーティングシステム、および/または通信アプリケーションは、それが接続される1つまたは複数のコンピュータネットワークに基づいてその構成を変える必要のあることがある。コンピュータネットワークを区別する従来の方法の中には、特定目的のものまたは個々のネットワークの種類に限られるものがある。現代の異機種混合ネットワーク環境では、このことは、構成の不一致を生じ、ついには、コンピュータシステムのユーザに混乱や失望をもたらす可能性がある。
コンピュータネットワークを区別する従来の方法の中には、曖昧な結果を、その曖昧さのレベルに関する情報を提供せずに提供するものがある。かかる方法は、特にセキュリティを重視する用途には適さないことがある。さらに、例えば、セキュリティ上の理由で、曖昧さのレベルが十分に低くなるまでネットワークサービスへのアクセスが拒否されることもあり得る。このため、ネットワークの曖昧性除去が速く効率よく行われることが望まれる。
本項では、本発明のいくつかの実施形態の簡単な要約を提示する。この要約は、本発明の広範囲にわたる概要ではない。本発明の主要な/決定的要素を識別することも、本発明の範囲を叙述することも意図するものではない。その唯一の目的は、後で提示するより詳細な説明への前置として簡略な形で本発明のいくつかの実施形態を提示することである。
本発明の一実施形態では、1つまたは複数の接続が1つまたは複数のコンピュータネットワークに対して確立される。各コンピュータネットワークごとに1つのネットワーク識別子が発行され得る。1つまたは複数の現在のコンピュータネットワークに関して、各発行されたネットワーク識別子ごとに1つの識別信頼度(identity confidence)が決定され得る。
本発明の一実施形態では、第1および第2の組の識別信頼度が決定される。第1の組の識別信頼度を決定することは、1組の学習された識別信頼度修飾子のうちの1つまたは複数を、第1の組の識別信頼度のうちの1つまたは複数に適用することを含む。第2の組の識別信頼度を決定することは、1組の能動的ネットワーク属性識別信頼度修飾子のうちの1つまたは複数を、第2の組の識別信頼度のうちの1つまたは複数に適用することを含む。1組の学習された識別信頼度修飾子は、第1の組の識別信頼度が再決定された場合には、再決定された第1の組の識別信頼度と第2の組の識別信頼度との間の差が最小になるように調整され得る。
本発明の一実施形態では、コンピュータ化システムがネットワークフィンガープリンティングコンポーネントを含む。このネットワークフィンガープリンティングコンポーネントは、1つまたは複数のコンピュータネットワークに1つまたは複数のネットワーク識別子を発行するように構成され得る。このネットワークフィンガープリンティングコンポーネントは、1組の発行されたネットワーク識別子を維持するように構成され得る。このネットワークフィンガープリンティングコンポーネントは、さらに、1組の現在の識別信頼度を維持するように構成され得る。この1組の現在の識別信頼度は、1つまたは複数の現在のコンピュータネットワークに関して、各発行されたネットワーク識別子ごとに識別信頼度を含み得る。
添付の特許請求の範囲には本発明の特徴が詳細に記載されているが、本発明およびその利点は、以下の詳細な説明を添付の図面と併せて読めば最もよく理解され得る。
次に、本発明の様々な実施形態の説明に進む前に、本発明の様々な実施形態を実施し得るコンピュータについて説明する。必須ではないが、以下では本発明を、コンピュータによって実行される、プログラムモジュールなどのコンピュータ実行可能命令の一般的状況で説明する。一般に、プログラムには、個々のタスクを実施し、または個々の抽象データ型を実装するルーチン、オブジェクト、コンポーネント、データ構造などが含まれる。本明細書で使用する「プログラム」という用語は、単一のプログラムモジュールまたは協調して動作する複数のプログラムモジュールを意味し得る。本明細書で使用する「コンピュータ」および「計算処理装置」には、パーソナルコンピュータ(PC)、ハンドヘルド装置、マルチプロセッサシステム、マイクロプロセッサベースのプログラム可能家庭電化製品、ネットワークPC、ミニコンピュータ、タブレットPC、ラップトップコンピュータ、マイクロプロセッサまたはマイクロ制御装置を備える家庭電化製品、ルータ、ゲートウェイ、ハブなど、1つまたは複数のプログラムを電子的に実行する任意の装置が含まれる。また、本発明は、通信ネットワークを介してリンクされたリモート処理装置によってタスクが実施される、分散計算処理環境でも用いられ得る。分散計算処理環境では、プログラムはローカルとリモート両方のメモリ記憶装置に位置することができる。
図1を参照すると、本明細書に述べる本発明の諸態様を実装し得るコンピュータ102での基本構成の一例が示されている。その最も基本的な構成では、コンピュータ102は、通常、少なくとも1つの処理装置104およびメモリ106を含む。処理装置104は、本発明の様々な実施形態によるタスクを実施する命令を実行する。そうしたタスクを実施するに際して、処理装置104は、コンピュータ102の他の部分およびコンピュータ102の外部の装置に電子信号を送って何らかの結果を生じさせる。コンピュータ102の厳密な構成および種類に応じて、メモリ106は、揮発性(RAMなど)、不揮発性(ROMやフラッシュメモリなど)あるいはそれら2つの何らかの組合せとすることができる。この最も基本的な構成を図1に破線108で示す。
コンピュータ102は、その他の特徴/機能性も備え得る。例えば、コンピュータ102は、それだけに限らないが、磁気または光ディスクまたはテープを含む、その他の記憶装置(取り外し可能110および/または固定112)も含み得る。コンピュータ記憶媒体には、コンピュータ実行可能命令、データ構造、プログラムモジュール、またはその他のデータを含む情報の記憶のための任意の方法または技術で実装された揮発性および不揮発性、取り外し可能および固定媒体が含まれる。コンピュータ記憶媒体には、それだけに限らないが、RAM、ROM、EEPROM、フラッシュメモリ、CD−ROM、デジタル多用途ディスク(DVD)その他の光記憶、磁気カセット、磁気テープ、磁気ディスク記憶その他の磁気記憶装置、あるいは所望の情報を記憶するのに使用することができ、コンピュータ102からアクセス可能なその他任意の媒体が含まれる。任意のそうしたコンピュータ記憶媒体をコンピュータ102の一部とすることができる。
コンピュータ102は、好ましくは、この装置を、(1台または複数の)リモートコンピュータ116など他の装置とやりとりできるようにする通信接続114も含む。通信接続は通信媒体の一例である。通信媒体は、通常、搬送波やその他の搬送機構などの変調データ信号としてコンピュータ可読命令、データ構造、プログラムモジュールまたはその他のデータを実施し、任意の情報送達媒体を含む。例を挙げると、それだけに限らないが、「通信媒体」という用語には、音響、RF、赤外線、その他の無線媒体などの無線媒体が含まれる。本明細書で使用する「コンピュータ可読媒体」という用語は、コンピュータ記憶媒体と通信媒体の両方を含む。
コンピュータ102は、キーボード/キーパッド、マウス、ペン、音声入力装置、タッチ入力装置などの入力装置118も含み得る。ディスプレイ、スピーカ、印刷装置などの出力装置120も含まれ得る。これらの装置すべては当分野で公知であり、本明細書で詳細に説明する必要はない。
以下の説明では、特に指示しない限り、本発明を、1つまたは複数の計算処理装置によって実施される動作および処理の記号表現に関連して説明する。したがって、そうした動作および処理は、時には、コンピュータによって実行されると言及されるが、構造化された形でのデータを表す電気信号のコンピュータの処理単位による操作を含むものであることが理解されるであろう。この操作はデータを変換し、またはそれをコンピュータのシステムメモリ中の場所に維持し、当分野の技術者によく知られた方式でコンピュータの処理を再構成し、または変更する。データが維持されるデータ構造は、そのデータの形式によって定義された個々の特性を備えるメモリの物理的場所である。ただし、本発明を前述の状況で説明するが、それに限定することは意図されておらず、当分野の技術者は、以下で説明する様々な動作および処理がハードウェアとしても実装され得ることを理解するであろう。
本発明の諸態様を組み込むのに適したコンピュータネットワーク環境の一例を図2を参照して説明する。例示的コンピュータネットワーク環境200は、それぞれ雲形で表される、いくつかのコンピュータネットワーク220、222、224、226、228をにより相互にやりとりするいくつかのコンピュータ202、204、206、208、210、212、214、216、218(各々は、例えば、図1を参照して前述したコンピュータ102とすることもできる)を含む。各コンピュータネットワーク220、222、224、226、228は、ルータ、ゲートウェイ、ハブなど、多くの公知のコンポーネントを含むことができ、有線および/または無線媒体を介して、コンピュータ202、204、206、208、210、212、214、216、218に通信を行わせることができる。コンピュータネットワーク220、222、224、226、228を介して相互に対話するときには、コンピュータ202、204、206、208、210、212、214、216、218の1つまたは複数は、他のコンピュータ202、204、206、208、210、212、214、216、218に対して、クライアント、サーバまたはピアとして働くことができる。したがって、本発明の様々な実施形態は、本明細書に含まれる具体例がそれらのコンピュータの種類のすべてに言及していなくても、クライアント、サーバ、ピアまたはそれらの組合せにおいて実施され得る。
コンピュータ202はコンピュータネットワーク220に接続される。認証(Auth.)サーバ204もコンピュータネットワーク220に接続される。認証サーバは当分野で知られており、したがって本明細書ではそれらの機能の一部だけを示す。認証サーバ204は、例えば、正常に認証されたコンピュータに認証トークンを発行する、あるいは信頼できる認証状態をローカルで維持するなどの認証サービスを提供する(通常は、そのコンピュータ上で実行される認証サーバアプリケーションまたはオペレーティングシステムコンポーネントを備える)コンピュータの一種である。セキュリティポリシーなどのコンピュータネットワークポリシーは、ファイル、データベース、ディレクトリ、印刷装置などのネットワークサービスおよびリソースへのさらなるアクセスを許可する前に、コンピュータが正常に認証されることを必要とし得る。ドメイン制御装置として構成されたMicrosoft(登録商標)Windows(登録商標)XPサーバが認証サーバの一例である。
コンピュータネットワーク220はファイアウォール206によってコンピュータネットワーク222に接続される。ファイアウォールは当分野では知られており、したがって本明細書では、その機能の一部だけを示す。ファイアウォール206は、例えば、そのファイアウォールに到達するコンピュータネットワークトラフィックに関する、セキュリティポリシーなどのコンピュータネットワークトラフィックポリシーを実施する(通常は、そのコンピュータ上で実行されるファイアウォールアプリケーションまたはオペレーティングシステムコンポーネントを有する)コンピュータの一種である。例えば、ファイアウォール206は、一部の種類のコンピュータネットワークトラフィックを、コンピュータネットワーク222からコンピュータネットワーク220に通過させ、他の種類を阻止することができる。
コンピュータ208はコンピュータネットワーク224に接続される。認証サーバ210もコンピュータネットワーク224に接続される。コンピュータネットワーク224はコンピュータネットワーク222に接続される。コンピュータ212はコンピュータネットワーク226に接続される。コンピュータネットワーク226はコンピュータネットワーク222に接続される。コンピュータネットワーク222を表す雲形は、コンピュータネットワーク222が、他のネットワークがそれを介してやりとりする、例えば、コンピュータネットワーク224とコンピュータネットワーク226がコンピュータネットワーク222を介してやりとりするコンピュータネットワークである(すなわち、相互接続ネットワークである)ことを示すために、コンピュータネットワーク220、224、226、228を表す雲形よりも大きくしてある。コンピュータ214はコンピュータネットワーク222に接続される。コンピュータ216およびコンピュータ218はコンピュータネットワーク228に接続される。コンピュータネットワーク228は、図2のそれ以外のコンピュータネットワーク220、222、224、226には接続されない。
図3に、本発明の諸態様を組み込むのに適した高水準システムアーキテクチャの一例を示す。アプリケーション302は、ネットワークアプリケーションプログラミングインターフェース(API)306を介してネットサービス304を利用する。ネットワークAPI306はネットワーク所在地認識(network location awareness:NLA)コンポーネント308を含む。NLAコンポーネント308はネットワークフィンガープリンティングコンポーネント310を含む。
ネットワークサービス304は、通信接続114(図1)の確立および維持などの基本的コンピュータネットワークサービスを含む。ネットワークサービス304には、例えば、米国電気電子技術者協会(IEEE)802.1Xシリーズの通信規格、インターネットプロトコル(IP)、伝送制御プロトコル(TCP)による装置およびプロトコルなどの低水準通信装置およびプロトコルによって提供されるサービスが含まれる。ネットワークサービス304には、さらに、動的ホスト構成プロトコル(DHCP)、インターネットドメインネームシステム(DNS)などによって提供されるサービスといった、コンピュータネットワークインフラストラクチャサービスも含まれ得る。また、ネットワークサービス304には、分散コンポーネントオブジェクトモデル(DCOM)などによって提供されるものなど、より高水準の通信サービスも含まれ得る。これらのネットワークサービス例の各々は当分野で公知であり、本明細書で詳述する必要はない。例示的分散コンポーネントオブジェクトモデルの詳細については、Microsoft(登録商標)開発者ネットワーク(MSDN(登録商標))ライブラリのDCOMの項を参照されたい。
ネットワークアプリケーションプログラミングインターフェースは当分野で知られている。MSDN(登録商標)ライブラリ中の2003年2月Microsoft(登録商標)Windows(登録商標)プラットフォームソフトウェア開発キット(SDK)文書のWindows(登録商標)Sockets 2の項で詳述されているWindow Sockets 2(Winsock)が、適当なネットワークAPI306の一例である。ネットワークAPI306のネットワーク所在地認識コンポーネント308は、コンピュータネットワーク属性を取り出し、監視する。アプリケーション302は、ネットワークAPI306を介してコンピュータネットワーク属性にアクセスし、コンピュータネットワーク属性への変更を通知するためにネットワーク所在地認識コンポーネント308に登録することができる。ネットワーク所在地認識は当分野で知られており、したがって本明細書では、その機能の一部だけを示す。例示的ネットワーク所在地認識コンポーネントの詳細については、MSDN(登録商標)ライブラリ中の2003年2月Microsoft(登録商標)Windows(登録商標)プラットフォームSDK文書のネットワーク所在地認識サービスプロバイダの項を参照されたい。
NLAコンポーネント308によって取り出され、監視され得るコンピュータネットワーク属性の例には、例えば、IEEE802.11シリーズの無線通信規格による無線アクセスポイントの媒体アクセス制御(MAC)アドレスなどの低水準通信装置動作パラメータが含まれる。IPアドレスやIPサブネット仕様などの通信プロトコル動作パラメータも、NLAコンポーネント308によって取り出され、監視され得る。その他のコンピュータネットワーク属性には、デフォルトゲートウェイのネットワークアドレス、DHCPサーバ、認証サーバ、DNSおよびその他のネームサーバ、ならびに認証ドメイン名、サーバ名、グローバル一意識別子(GUID)などの一意サーバ識別子、例えば、全地球測位システムによって求められるようなサーバおよび/またはネットワーク要素の物理的所在地といったインフラストラクチャサービス構成および動作パラメータが含まれ得る。NLAコンポーネント308は任意の適当なネットワークサービス304構成または動作パラメータを取り出し、監視することができる。
NLAコンポーネント308は、ネットワークサービス304から直接、またはネットワークAPI306を介してパラメータを取り出すことができる。ネットワークサービス304構成や動作パラメータなどのコンピュータネットワーク属性は、受動的または能動的と分類され得る。本発明の一実施形態では、要求メッセージと応答メッセージの対などのコンピュータネットワークトラフィックは、能動的ネットワーク属性(ANA)を取り出すときにNLAコンポーネント308によって生成されるが、受動的ネットワーク属性(PNA)を取り出す際にはコンピュータネットワークトラフィックは生成されない。通信媒体接続状況、IPアドレス、IPサブネットおよびデフォルトゲートウェイネットワークアドレスが、それぞれ、受動的ネットワーク属性の例である。本発明の一実施形態では、受動的ネットワーク属性は、能動的通信接続の確立の前に存在するコンピュータネットワーク属性である。能動的ネットワーク属性の例には、(例えば、信頼できるリモート認証サーバからの)認証状態、およびリモートネットワークサービス提供者、具体的には、リモートネットワークサービスの存在によって維持されるその他のネットワークサービス属性が含まれる。NLAコンポーネント308は、受動的ネットワーク属性よりも能動的ネットワーク属性での変更を取り出し、かつ/または検出するのにより多くの時間を費やしうる。
異なるコンピュータネットワークが、同じコンピュータネットワーク属性のうちのいくつかを有することがある。例えば、図2のコンピュータネットワーク220とコンピュータネットワーク228は、同じ専用IPサブネット(192.168.1.0/24など)を利用し得る。個々のコンピュータネットワークのコンピュータネットワーク属性は時間が経てば変化し得る。例えば、コンピュータネットワーク226(図2)中の無線アクセスポイント数は時間が経つと変化し得る。コンピュータネットワークのこれらの特性は、個々のコンピュータネットワークの識別を曖昧さを排して判定することが難題となり得る理由の一部である。
ネットワークフィンガープリンティングコンポーネント310は、ネットワーク所在地認識コンポーネント308が認識する各コンピュータネットワークごとに、GUIDなどのコンピュータネットワーク識別子(NID)を決定する。本発明の一実施形態では、ネットワークフィンガープリンティングコンポーネント310は、さらに、様々なコンピュータネットワークに関して、各ネットワーク識別子ごとにある水準の信頼度(「識別信頼度」)を決定する。個々のネットワーク識別子の識別信頼度は、ネットワーク所在地認識コンポーネント308が認識するコンピュータネットワークのうちの1つの正確な識別の確率とすることができる。例えば、識別信頼度は、最小識別信頼度値(例えば0%)と最大識別信頼度値(例えば100%)の間の値とすることができる。識別信頼度は、0(信頼度なし)から5(最高信頼度)の段階など、量子化された尺度での値を持ち得る。
個々のネットワーク識別子の識別信頼度は、現在と以前の1組のネットワーク属性の比較に基づくものとし得る。ネットワークフィンガープリンティングコンポーネント310はネットワーク所在地認識コンポーネント308によって取り出された各ネットワーク属性にアクセスし得る。ネットワークフィンガープリンティングコンポーネント310は、ネットワーク所在地認識コンポーネント310によって監視されるネットワーク属性への変更をサブスクライブし得る。コンピュータネットワークの中には、識別信頼度決定の一部として利用され得る特定のコンピュータネットワーク属性を所有しないものもある。例えば、コンピュータネットワークの中には認証サーバを含まないものもある。識別信頼度の最高水準のうちの1つまたは複数は、そうしたコンピュータネットワークでは使用できないことがある。
ネットワーク所在地認識コンポーネント310が認識するコンピュータネットワークの1つの識別を求める要求、例えば、アプリケーション302の1つによって生成された要求に応答して、ネットワークフィンガープリンティングコンポーネント310は、1組の応答のネットワーク識別子、および各ネットワーク識別子の識別信頼度を用いて応答することができる。例えば、この1組の応答のネットワーク識別子は、それらのネットワーク識別子の識別信頼度の降順にソートされ得る。本発明の一実施形態では、ネットワークフィンガープリンティングコンポーネント310を組み込んだコンピュータは、識別されたネットワークに関する情報(ネットワーク識別子など)を隣接するコンピュータと交換して、共用のネットワークマップを有効にすることができる。
図4に、本発明の一実施形態によるネットワークフィンガープリンティングコンポーネント310アーキテクチャの一例を示す。ネットワークフィンガープリンティングコンポーネント310によって維持されるデータ構造には、1組の発行されたネットワーク識別子402、1組の発行された受動的ネットワーク属性404および1組の発行された能動的ネットワーク属性406が含まれる。各発行されたネットワーク識別子は、1組の受動的ネットワーク属性と関連付けることができ、さらに、1組の能動的ネットワーク属性と関連付けることもできる。1組の発行された受動的ネットワーク属性404は、発行されたネットワーク識別子402に関連付けられた受動的ネットワーク属性の組を含み得る。1組の発行された能動的ネットワーク属性406は、発行されたネットワーク識別子402に関連付けられた能動的ネットワーク属性の組を含み得る。
ネットワークフィンガープリンティングコンポーネント310によって維持されるデータ構造には、さらに1組の現在の受動的ネットワーク属性(PNA)408および1組の現在の能動的ネットワーク属性(ANA)410も含まれる。特定の時点において、ネットワークフィンガープリンティングコンポーネント310を組み込んだコンピュータに接続された各コンピュータネットワークは、特定の1組の受動的ネットワーク属性および特定の1組の能動的ネットワーク属性を有する。その特定の時点において、ネットワークフィンガープリンティングコンポーネント310から使用可能な(すなわち、この例では図3のネットワーク所在地認識コンポーネント308から使用可能な)それらの受動的ネットワーク属性は、1組の現在の受動的ネットワーク属性408に含まれ得る。その特定の時点においてネットワークフィンガープリンティングコンポーネント310から使用可能な能動的ネットワーク属性は、1組の能動的ネットワーク属性410に含まれ得る。
ネットワークフィンガープリンティングコンポーネント310によって維持されるデータ構造には、さらに、1組の現在の識別信頼度(CIC)412、1組の受動的ネットワーク属性(PNA)識別信頼度修飾子(ICM)414、1組の能動的ネットワーク属性(ANA)識別信頼度修飾子(ICM)416、および1組の学習された識別信頼度修飾子(LICM)418が含まれる。本発明の一実施形態では、現在の識別信頼度は、識別信頼度修飾子を基本となる信頼度(例えば0%)に適用することによって各発行されたネットワーク識別子ごとに決定される。受動的ネットワーク属性識別信頼度修飾子414は、現在の受動的ネットワーク属性408が対応する発行された受動的ネットワーク属性404と一致するときに、現在の識別信頼度412に適用され得る。能動的ネットワーク属性識別信頼度修飾子416は、現在の能動的ネットワーク属性410が対応する発行された能動的ネットワーク属性406と一致するときに、現在の識別信頼度412に適用され得る。学習された識別信頼度修飾子418は、現在の能動的ネットワーク属性410とは無関係に決定された現在の識別信頼度412を変更するために現在の識別信頼度412に適用され得る。以下で特に指示しない限り、または文脈と明確に矛盾しない限り、コンピュータネットワークおよびその他の属性は、属性値間の差がマッチング許容範囲内にある場合には一致し得る。
ネットワークフィンガープリンティングコンポーネント310によって維持されるデータ構造には、さらに、1組の受動的ネットワーク属性(PNA)変更標識420および1組の能動的ネットワーク属性(ANA)変更標識422が含まれる。この1組の受動的ネットワーク属性変更標識420は、現在の受動的ネットワーク属性408が最後にいつ更新されたかを指示する1つまたは複数のタイムスタンプ、現在の識別信頼度412が最後に決定されて以降、対応する現在の受動的ネットワーク属性408が変更されていることを示す1つまたは複数のブール値、または識別信頼度の重複決定を防ぐのに役立つ任意の適当な属性変更標識を含み得る。能動的ネットワーク属性変更標識422の組も同様の変更標識を含み得る。
受動的ネットワーク属性識別信頼度修飾子414、現在の受動的ネットワーク属性408、受動的ネットワーク属性変更標識420および発行された受動的ネットワーク属性404データ構造は、受動的ネットワーク属性受動的ネットワーク属性列に示されている。受動的ネットワーク属性列中の各データ構造は、各受動的ネットワーク属性ごとに対応するエントリを持ち得る。能動的ネットワーク属性識別信頼度修飾子416、現在の能動的ネットワーク属性410、能動的ネットワーク属性変更標識422および発行された能動的ネットワーク属性406データ構造は、能動的ネットワーク属性列に示されている。能動的ネットワーク属性列中の各データ構造は、各能動的ネットワーク属性ごとに対応するエントリを持ち得る。発行されたネットワーク識別子402、現在の識別信頼度412、発行された受動的ネットワーク属性404、学習された識別信頼度修飾子418および発行された能動的ネットワーク属性406は、発行されたネットワーク識別子行に示されている。発行されたネットワーク識別子行中の各データ構造は、各発行されたネットワーク識別子ごとに対応するエントリを持ち得る。当分野の技術者には明らかなように、図4に示すデータ構造は、例えば、関係型データベースの1つまたは複数の表に維持され得る。
本発明の一実施形態では、ネットワーク識別子用のキー使用は、セキュリティポリシーなどのネットワーク依存の構成および/またはポリシーへの指標としてのものである。そうした構成およびポリシーは、ネットワークフィンガープリンティングコンポーネント310を組み込んだコンピュータの初期設定の早い段階で、例えば、ネットワークインターフェースハードウェアおよび/または通信接続114(図1)を使用可能にする前に参照され得る。ネットワークフィンガープリンティングコンポーネント310は、この初期設定の一部として頻繁に、例えば、2分間に100回などの頻度で、ネットワーク識別子を求める要求を受け取ることができる。このコンピュータ初期設定シナリオは、必ずしもネットワークフィンガープリンティングコンポーネント310での最も重要な動作シナリオではないが、ネットワーク識別子をコンピュータネットワークに関連付ける方法に関する以下の考察のための状況を提供するのには役立つ。
図5に、本発明の一実施形態による、ネットワーク識別子を求める要求に応答して実施され得る例示的諸ステップを示す。図5に示す諸ステップは、ネットワーク所在地認識コンポーネント308が現在認識している各コンピュータネットワーク(各「現在のコンピュータネットワーク」)ごとに実施され得る。ネットワーク所在地認識コンポーネント308が認識している少なくとも1つのネットワーク属性を有する各コンピュータネットワークごとに、1つまたは複数のネットワーク識別子がその応答セットに付加され(戻され)得る。
ネットワークフィンガープリンティングコンポーネント310は、通常、ネットワーク所在地認識コンポーネント310が認識する各々のネットワーク属性より少ないネットワーク属性をサブスクライブする。例えば、ネットワークフィンガープリンティングコンポーネント310は、ネットワークインターフェースハードウェアMACアドレス、IPサブネット、認証ドメイン名などの3つの受動的ネットワーク属性、およびリモート認証サーバの存在、リモート認証サーバの認証状態などの2つの能動的ネットワーク属性をサブスクライブし得る。ネットワーク所在地認識コンポーネント310が、ネットワークフィンガープリンティングコンポーネント310が関心を持つネットワーク属性を最初に認識し、またはその更新値を取り出すと、ネットワーク所在地認識コンポーネント308はその新規の値または更新された値をネットワークフィンガープリンティングコンポーネント310に渡すことができる。
ネットワークフィンガープリンティングコンポーネント310は、新規のまたは更新された受動的ネットワーク属性を現在の受動的ネットワーク属性408(図4)に付加し、対応する受動的ネットワーク属性変更標識420を更新し得る。ネットワークフィンガープリンティングコンポーネント310は、新規のまたは更新された能動的ネットワーク属性を現在の能動的ネットワーク属性410に付加し、対応する能動的ネットワーク属性変更標識422を更新し得る。現在の受動的ネットワーク属性408は、現在の能動的ネットワーク属性410が使用可能になる前に、個々のコンピュータネットワークに使用可能とすることができる。そのため、ステップ502で、ネットワークフィンガープリンティングコンポーネント310は、そのコンピュータネットワークでの現在の能動的ネットワーク属性410が使用可能になっているか、それともそれらが今のところ未決定である(すなわちヌルである)か判定する。そのコンピュータネットワークの現在の能動的ネットワーク属性410が使用可能になっている(すなわちそれらがヌルではない)場合には、ステップ504に進む。そうでない場合には、ステップ506に進む。
ステップ504では、例えば、能動的ネットワーク属性変更標識422をチェックするなどによって、現在の識別信頼度412が最後に計算されて以降、現在の能動的ネットワーク属性410(図4)が変更されているかどうか判定される。現在の能動的ネットワーク属性410が変更されている場合には、ステップ508に進み、現在の識別信頼度412を決定する。そうでない場合には、ステップ508をスキップしてステップ510に進み得る。
ステップ506では、例えば、受動的ネットワーク属性変更標識420をチェックするなどによって、現在の識別信頼度412が最後に計算されて以降、現在の受動的ネットワーク属性408(図4)が変更されているかどうか判定される。現在の受動的ネットワーク属性408が変更されている場合には、ステップ508に進む。そうでない場合には、ステップ508をスキップしてステップ510に進み得る。
ステップ508では、そのコンピュータネットワークの現在の識別信頼度412(図4)が決定される。現在の識別信頼度412を決定する例示的諸ステップを、図6を参照して以下でより詳細に説明する。ステップ510では、そのコンピュータネットワークの現在の識別信頼度412のいずれかが最大識別信頼度値(例えば100%)を持つかどうか判定される。そのコンピュータネットワークでの現在の識別信頼度412のうちの1つまたは複数が最大値を持つ場合には、ステップ512に進む。そうでない場合には、ステップ514に進む。ステップ512では、現在の識別信頼度412が最大値である発行されたネットワーク識別子402が応答セットに付加される(要求元に戻される)。
ステップ514では、そのコンピュータネットワークでの現在の識別信頼度412(図4)のいずれかが最小識別信頼度応答閾値(例えば50%)を上回る値を持つかどうか判定される。そのコンピュータネットワークでの現在の識別信頼度412の1つまたは複数が最小識別信頼度応答閾値を上回る値を持つ場合には、ステップ516に進む。そうでない場合には、ステップ518に進む。ステップ516では、現在の識別信頼度412が最小識別信頼度応答閾値を上回る発行されたネットワーク識別子402が応答セットに付加される(要求元に戻される)。
ステップ518では、新規ネットワーク識別子が発行される。例えば、ネットワークフィンガープリンティングコンポーネントは、新規のネットワーク識別子を生成し、その新規ネットワーク識別子を発行されたネットワーク識別子402(図4)に付加することができる。新規ネットワーク識別子に関連付けられる発行された受動的ネットワーク属性404および発行された能動的ネットワーク属性406の値は、(それぞれ)そのコンピュータネットワークでの現在の識別信頼度412を決定する際に利用される現在の受動的ネットワーク属性408および現在の能動的ネットワーク属性410の値とし得る。新規ネットワーク識別子に関連付けられる現在の識別信頼度および学習された識別信頼度修飾子の値は、それぞれのデフォルト値とし得る。ステップ520では、新規ネットワーク識別子が応答セットに付加される(すなわち、要求元に戻される)。新規ネットワーク識別子のために戻される識別信頼度は、それが新規ネットワーク識別子(すなわち、以前には知られていないコンピュータネットワーク)であり、以前に発行されたネットワーク識別子の1つ(すなわち以前に識別されたコンピュータネットワークの1つ)ではないことを示すために、通常は戻されない特別な値、例えば0%などとすることができる。
図6に、本発明の一実施形態による、特定のコンピュータネットワークでの現在の識別信頼度値を決定する例示的諸ステップを示す。ステップ602では、発行されたネットワーク識別子402(図4)に関連付けられた各現在の識別信頼度が、初期の識別信頼度値、例えば0%にリセットされる。ステップ604では、受動的ネットワーク属性識別信頼度修飾子414が、現在の受動的ネットワーク属性408と一致する発行された受動的ネットワーク属性404に関連付けられた各現在の識別信頼度に適用される。本発明の一実施形態による、受動的ネットワーク属性識別信頼度修飾子を適用する手順の一例を、以下で図7を参照して説明する。
受動的ネットワーク属性識別信頼度修飾子414(図4)が適用されると、手順はステップ606に進む。ステップ606では、そのコンピュータネットワークでの現在の能動的ネットワーク属性410が使用可能になっているか、それともそれらが未決定である(すなわちヌルである)かが判定される。現在の能動的ネットワーク属性410が使用可能になっていない場合には、ステップ608に進む。そうでない場合にはステップ610に進む。
ステップ608では、学習された識別信頼度修飾子418(図4)が、最小の学習された変更識別信頼度閾値(例えば20%)を上回る値を持つ対応する現在の識別信頼度412に適用される。本発明の一実施形態による、学習された識別信頼度修飾子を適用する手順の一例を、以下で図8を参照して説明する。ステップ608の後で、現在の識別信頼度412は、例えば、図5を参照して前述したように利用され得る。
ステップ610では、能動的ネットワーク属性識別信頼度修飾子416が、現在の能動的ネットワーク属性410と一致する発行された能動的ネットワーク属性406に関連付けられた各現在の識別信頼度に適用される。本発明の一実施形態による、能動的ネットワーク属性識別信頼度修飾子を適用する手順の一例を、以下で図9を参照して説明する。ステップ610の後で、現在の識別信頼度412は、例えば、図5を参照して前述したように利用され得る。
図7に、本発明の一実施形態による、受動的ネットワーク属性識別信頼度修飾子を現在の識別信頼度に適用する例示的諸ステップを示す。ステップ702では、1組の発行されたネットワーク識別子402(図4)からの次の発行されたネットワーク識別子(NID)が候補ネットワーク識別子として選択される。各発行されたネットワーク識別子は、1つまたは複数の受動的ネットワーク属性、PNA、PNA、PNAなどに関連付けることができる。ステップ704では、次の受動的ネットワーク属性(PNA)が候補受動的ネットワーク属性として選択される。候補受動的ネットワーク属性は、1組の現在の受動的ネットワーク属性408(現在の値)にも、その候補ネットワーク識別子に関連付けられた発行された受動的ネットワーク属性404のサブセット(発行された値)にもエントリを持つ。例えば、PNAは、現在の受動的ネットワーク属性408に現在の値を持ち、発行された受動的ネットワーク属性404内に候補ネットワーク識別子に関連付けられた発行された値を持つ。
ステップ706では、現在の受動的ネットワーク属性408(図4)中の候補受動的ネットワーク属性エントリが、発行された受動的ネットワーク属性404中の候補ネットワーク識別子に関連付けられた候補受動的ネットワーク属性と比較される。現在の受動的ネットワーク属性値と発行された受動的ネットワーク属性値の間に一致が存在する場合には、ステップ708に進む。そうでない場合には、ステップ710に進む。
各受動的ネットワーク属性は、1つまたは複数の受動的ネットワーク属性識別信頼度修飾子414(図4)に関連付けることができる。例えば、受動的ネットワーク属性PNA、PNA、PNAは、関連する受動的ネットワーク属性識別信頼度修飾子PNA ICM、PNA ICM、PNA ICMを持ち得る。現在のネットワーク属性と発行されたネットワーク属性の間の一致は、個々のコンピュータネットワーク識別での信頼度を増大させ得る。一部の識別信頼度修飾子、すなわち、正の(+ve)識別信頼度修飾子は、現在のネットワーク属性と発行されたネットワーク属性の間の一致の結果として適用すべきものである。現在のネットワーク属性と発行されたネットワーク属性の間の不一致は、個々のコンピュータネットワーク識別での信頼度を低下させ得る。一部の識別信頼度修飾子、すなわち、負の(−ve)識別信頼度修飾子は、現在のネットワーク属性と発行されたネットワーク属性の間の不一致の結果として適用すべきものである。各受動的ネットワーク属性は、正および負の受動的ネットワーク属性識別信頼度修飾子と関連付けることができる。
ステップ708では、候補受動的ネットワーク属性に関連付けられた正の受動的ネットワーク属性識別信頼度修飾子(+ve PNA ICM)が、候補ネットワーク識別子に関連付けられた現在の識別信頼度に適用される。ステップ710では、候補受動的ネットワーク属性に関連付けられた負の受動的ネットワーク属性識別信頼度修飾子(−ve PNA ICM)が、候補ネットワーク識別子に関連付けられた現在の識別信頼度に適用される。
本発明の一実施形態では、識別信頼度修飾子414、416、418(図4)は、現在の識別信頼度を、特定の値または現在の識別信頼度の関数の結果、例えば、現在の識別信頼度の線形変換の結果に設定し得る。例えば、IPサブネット受動的ネットワーク属性での識別信頼度修飾子は、「現在の識別信頼度を50%に設定する」とし得る。認証ドメイン名受動的ネットワーク属性での正の識別信頼度修飾子は、「現在の識別信頼度に20%付加する」とし得る。認証ドメイン名受動的ネットワーク属性での負の識別信頼度修飾子は、「現在の識別信頼度から20%差し引く」とし得る。IPサブネット仕様受動的ネットワーク属性での負の識別信頼度修飾子は、「現在の識別信頼度を0%に設定する」とし得る。識別信頼度414、416、418は、ヌル修飾子とする、すなわち、現在の識別信頼度に適用されたときに影響を与えないことも可能である。
ステップ712では、候補ネットワーク識別子のさらなる受動的ネットワーク属性候補があるかどうか判定される。さらなる受動的ネットワーク属性候補がある場合には、ステップ704に進む。そうでない場合には、ステップ714に進む。ステップ714では、さらなる発行された識別信頼度候補があるかどうか判定される。そのコンピュータネットワークについて考察すべきさらなる発行されたネットワーク識別子候補がある場合には、ステップ702に戻る。そうでない場合には、受動的ネットワーク属性識別信頼度修飾子414(図4)が現在の識別信頼度412に適用されている。当分野の技術者には明らかなように、等価の手順も可能であり、例えば、ステップ706は、識別信頼度評価ツリーを探索する決定操作であるとも理解され得る。
図8に、本発明の一実施形態による、学習された識別信頼度修飾子を現在の識別信頼度に適用する例示的諸ステップを示す。ステップ802では、1組の発行されたネットワーク識別子402(図4)からの次の発行されたネットワーク識別子(NID)が候補ネットワーク識別子として選択される。ステップ804では、候補ネットワーク識別子の現在の識別信頼度が最小の学習された変更識別信頼度閾値を上回るかどうか判定される。候補ネットワーク識別子の現在の識別信頼度が最小の学習された変更閾値を上回る場合には、ステップ806に進む。そうでない場合には、ステップ808に進む。
各発行されたネットワーク識別子は、関連する学習された識別信頼度修飾子および現在の識別信頼度を持ち得る。ステップ806では、候補ネットワーク識別子に関連付けられた学習された識別信頼度修飾子(LICM)が、候補ネットワーク識別子の現在の識別信頼度に適用される。本発明の一実施形態では、学習された識別信頼度修飾子が現在の識別信頼度を、それを上回って増加させることのできない、例えば80%などの、現在の識別信頼度の上限がある。本発明の一実施形態による、学習された識別信頼度修飾子を決定する手順の一例を、以下で図10を参照して説明する。
ステップ808では、さらなる発行されたネットワーク識別子候補があるかどうか判定される。さらなる発行されたネットワーク識別子候補がある場合には、ステップ802に戻る。そうでない場合には、学習された識別信頼度修飾子418(図4)が現在の識別信頼度412に適用されている。
図9に、本発明の一実施形態による、能動的ネットワーク属性識別信頼度修飾子を現在の識別信頼度に適用する例示的諸ステップを示す。この例示的手順は、図7を参照して説明した例示的手順と類似性を有する。このため、図7を参照した説明の諸態様がこの例にも適用でき、その逆も可能である。
ステップ902では、次の発行されたネットワーク識別子402(図4)が候補ネットワーク識別子として選択される。各発行されたネットワーク識別子は、1つまたは複数の能動的ネットワーク属性、ANA、ANAなどに関連付けることができる。ステップ904では、次のそうした能動的ネットワーク属性(ANA)が候補能動的ネットワーク属性として選択される。候補能動的ネットワーク属性は、現在の能動的ネットワーク属性410に現在の値を持ち、発行された能動的ネットワーク属性406内に候補ネットワーク識別子に関連付けられた発行された値を持つ。
ステップ906では、候補能動的ネットワーク属性の現在の値が、候補ネットワーク識別子に関連付けられた発行された値と比較される。現在の能動的ネットワーク属性と発行された能動的ネットワーク属性の間に一致がある場合には、ステップ908に進む。そうでない場合には、ステップ910に進む。
受動的ネットワーク属性については、各能動的ネットワーク属性は、1つまたは複数の能動的ネットワーク属性識別信頼度修飾子416(図4)に関連付けることができる。一部の能動的ネットワーク属性識別信頼度修飾子は、現在の能動的ネットワーク属性と発行された能動的ネットワーク属性との間の一致の結果として適用される、正の能動的ネットワーク属性識別信頼度修飾子(+ve ANA ICM)とし得る。一部の能動的ネットワーク属性識別信頼度修飾子は、現在の能動的ネットワーク属性と発行された能動的ネットワーク属性との間の不一致の結果として適用される、負の能動的ネットワーク属性識別信頼度修飾子(−ve ANA ICM)とし得る。例えば、能動的ネットワーク属性ANAは、能動的ネットワーク属性識別信頼度修飾子+ve ANA ICMに関連付けることができ、能動的ネットワーク属性ANAは、能動的ネットワーク属性識別信頼度修飾子+ve ANA ICMおよび−ve ANA ICMに関連付けることができる。
ステップ908では、候補能動的ネットワーク属性に関連付けられた正の能動的ネットワーク属性識別信頼度修飾子が、候補ネットワーク識別子に関連付けられた現在の識別信頼度に適用される。ステップ910では、候補能動的ネットワーク属性に関連付けられた負の能動的ネットワーク属性識別信頼度修飾子が、候補ネットワーク識別子に関連付けられた現在の識別信頼度に適用される。(特定のリモート認証サーバに関する)認証状態能動的ネットワーク属性での正の能動的ネットワーク属性識別信頼度修飾子の一例が、「現在の識別信頼度を100%に設定する」である。認証状態能動的ネットワーク属性での負の能動的ネットワーク属性識別信頼度修飾子の一例が、「現在の識別信頼度を0%に設定する」である。
ステップ912では、候補ネットワーク識別子でのさらなる能動的ネットワーク属性候補があるかどうか判定される。さらなる能動的ネットワーク属性候補がある場合には、ステップ904に戻る。そうでない場合には、ステップ914に進む。ステップ914では、そのコンピュータネットワークについて考察すべきさらなる発行されたネットワーク識別子候補があるかどうか判定される。さらなる発行されたネットワーク識別子候補がある場合には、ステップ902に進む。そうでない場合には、能動的ネットワーク属性識別信頼度修飾子416(図4)が現在の識別信頼度412に適用されている。当分野の技術者には明らかなように、前述の例と等価の手順も可能であり、例えば、ステップ906は、識別信頼度評価ツリーを探索する分岐決定であるとも理解され得る。
特定のコンピュータネットワークでの受動的ネットワーク属性は、能動的ネットワーク属性の前に使用可能とし得る。能動的ネットワーク属性がないと、高いネットワーク識別信頼度(100%など)が得られないこともある。例えば、受動的ネットワーク属性がセキュアでないこともあり、あるいは、単に、高信頼性ネットワーク識別が能動的ネットワーク属性による確認を含むことがポリシーとされているだけであることもあり得る。能動的ネットワーク属性とは無関係に正確なネットワーク識別信頼度を提供するために、現在の識別信頼度412に学習された識別信頼度修飾子418(図4)を適用することができる。
学習された識別信頼度修飾子418は、例えばヌル修飾子などの、デフォルトの識別信頼度修飾子として開始し得る。能動的ネットワーク属性が、それらが使用可能になった後で、能動的ネットワーク属性とは無関係に行われた特定の識別信頼度決定を確認した場合には、その関連する学習された識別信頼度修飾子は増加され得る、すなわち、適用されると、その学習された識別信頼度修飾子がより高い識別信頼度値を生じるように変換され得る。能動的ネットワーク属性が、能動的ネットワーク属性とは無関係に行われたその特定の識別信頼度決定に矛盾する場合には、その関連する学習された識別信頼度修飾子は低減され得る、すなわち、適用されると、その学習された識別信頼度修飾子がより低い識別信頼度値を生じるように変換され得る。例えば、学習された識別信頼度修飾子は、学習された変数の値を識別信頼度値に付加することによって識別信頼度を変更し得る。そうした学習された識別信頼度修飾子を増加させるためには、学習された変数に増加定数を加えることができる。そうした学習された識別信頼度修飾子を低減するためには、学習された変数からその増加定数を差し引くことができる。本発明の一実施形態では、個々のコンピュータネットワークについて能動的ネットワーク属性が使用可能になる前および後に決定された現在の識別信頼度412間の差を最小にするように、学習された識別信頼度修飾子418が調整される。
図10および図11に、本発明の一実施形態による、能動的ネットワーク属性が新規に使用可能になった結果として学習された識別信頼度修飾子を更新する例示的諸ステップを示す。図10のステップ1002では、1つまたは複数の能動的ネットワーク属性が新規に使用可能になっている。例えば、ネットワークフィンガープリンティングコンポーネント310(図3)は、ネットワーク所在地認識コンポーネント308によって、そのネットワークフィンガープリンティングコンポーネント310がサブスクライブする能動的ネットワーク属性の新規の使用可能性について通知を受けることができる。現在の能動的ネットワーク属性410(図4)を更新する前に、現在の識別信頼度412が能動的ネットワーク属性とは無関係に最後に計算されて以降、能動的ネットワーク属性が新規に使用可能となったのはそれが初めてかどうか判定される。
例えば、ネットワークフィンガープリンティングコンポーネント310は、能動的ネットワーク属性変更指標422を受動的ネットワーク属性変更指標420と比較することができる。能動的ネットワーク属性変更指標の各々が、最も古い受動的ネットワーク属性変更標識よりも小さい(例えば、より初期のタイムスタンプを持つ)場合には、現在の識別信頼度412が能動的ネットワーク属性とは無関係に最後に計算されて以降、能動的ネットワーク属性が新規に使用可能になったのはそれが初めてであると判定され得る。そう判定された場合には、ステップ1004に進む。そうでない場合には、ステップ1006に進む。
ステップ1004では、能動的ネットワーク属性とは無関係に計算された現在の識別信頼度412(図4)(ANA前のCIC)のコピーが、例えば、一時記憶などに記録される。ステップ1006では、現在の能動的ネットワーク属性410のうちの1つまたは複数が、新規に使用可能になった能動的ネットワーク属性を用いて更新される。ステップ1008では、対応する能動的ネットワーク属性変更標識422が更新される。本発明の一実施形態では、ステップ1006およびステップ1008は、アトミック更新処理として実施される。
ステップ1010では、現在の識別信頼度412(図4)が、例えば、図5を参照して前述したように計算される。結果として生じる識別信頼度412(新CIC)は、新規に使用可能になった能動的ネットワーク属性によって提供された情報を反映するように更新される。ステップ1012では、学習された識別信頼度修飾子418は、記録された識別信頼度(古い、ANA前のCIC)を新規に計算された現在の識別信頼度(新CIC)と比較することによって調整される。個々の新旧の識別信頼度の対が同程度でない(compare poorly)(例えば、差が大きい)場合には、対応する学習された識別信頼度修飾子が、その後の計算での差を縮小するように調整され得る。よく比較できる(compare well)(例えば、差が小さい)個々の新旧識別信頼度の対に関連付けられた学習された識別信頼度修飾子は未調整のままとし得る。
図11に、本発明の一実施形態による、学習された識別信頼度修飾子を更新する例示的諸ステップを示す。例えば、図11に示す各ステップを利用して図10のステップ1012を実施することができる。ステップ1102では、次の発行されたネットワーク識別子が候補ネットワーク識別子として選択される。ステップ1104では、候補ネットワーク識別子の現在の識別信頼度(新CICの1つ)が最小学習識別信頼度閾値と比較される。候補ネットワーク識別子の現在の識別信頼度が最小学習識別信頼度閾値(例えば0%)を上回る場合には、ステップ1106に進む。そうでない場合には、ステップ1108に進む。
ステップ1106では、新規に計算された(すなわち、図10を参照して前述したような)候補ネットワーク識別子の現在の識別信頼度が、候補ネットワーク識別子の記録された識別信頼度(すなわち古い、ANA前のCIC)と比較される。(新しい)現在の識別信頼度が記録された(古い)識別信頼度とよく比較できる(例えば一致する)場合には、学習された識別信頼度修飾子への調整は必要とされず、ステップ1108に進む。記録された識別信頼度が現在の識別信頼度より小さい場合には、学習された識別信頼度修飾子を増加させることが望ましいと考えられ、ステップ1110に進む。記録された識別信頼度が現在の識別信頼度より大きい場合には、学習された識別信頼度修飾子を低減させることが望ましいと考えられ、ステップ1112に進む。
ステップ1110では、候補ネットワーク識別子の学習された識別信頼度修飾子は、それが次回適用されるときにより高い現在の識別信頼度が生じるように、(例えば直線的に)増加され得る。例えば、ステップ1110前の学習された識別信頼度修飾子が「現在の識別信頼度に20%付加する」であった場合には、ステップ1110の後のこの学習された識別信頼度修飾子を「現在の識別信頼度に40%付加する」とすることができる。ステップ1112では、候補ネットワーク識別子の学習された識別信頼度修飾子は、それが次回適用されるときにはより低い現在の識別信頼度が生じるように、(例えば直線的に)低減され得る。例えば、ステップ1112前の学習された識別信頼度修飾子が「現在の識別信頼度から20%差し引く」であった場合には、ステップ1112後に学習された識別信頼度修飾子を「現在の識別信頼度から40%差し引く」とすることができる。
ステップ1108では、さらなる発行されたネットワーク識別子候補があるかどうか判定される。さらなる候補ネットワーク識別子がある場合には、ステップ1102に進む。そうでない場合には、本発明の一実施形態による学習された識別信頼度修飾子418(図4)が適用されている。
本発明を記述する際の文脈における(特に添付の特許請求の範囲の文脈における)「1つの(「a」および「an」)」および「その、この(「the」)」および類似の用語の使用は、本明細書で特に指示しない限り、あるいは文脈と明確に矛盾しない限り、単数と複数の両方をカバーするものと解釈すべきである。「備える、含む(comprising)」、「有する(having)」、「含む(including)」、および「含む(containing)」の各用語は、特に記載しない限り、非制限的用語(すなわち、「含むが、それだけに限らない」を意味するもの)であると解釈すべきである。本明細書での値の範囲の記載は、本明細書で特に指示しない限り、単に、その範囲内に含まれる各個別の値に個別に言及するのを簡略化する方法として使用するためのものにすぎず、各個別の値は、それが本明細書に個々に記載された場合と同様に本明細書に組み込まれるものである。本明細書に記述したすべての方法は、本明細書で特に指示しない限り、または文脈と明確に矛盾しない限り、任意の適当な順序で実施され得る。本明細書に提供される、ありとあらゆる例、または例示的文言(例えば、「such as(〜など)」)の使用は、単に、本発明をより明確化するためのものにすぎず、特に請求項に記載しない限り、本発明の範囲に制限を加えるものではない。本明細書中のどんな文言も、請求項に記載されない要素が本発明の実施にとって本質的であると指示するものではないと解釈すべきである。
本明細書には、発明者らに知られている、本発明を実施するための最良の形態を含む、本発明の好ましい実施形態を記述した。それらの好ましい実施形態の変形形態は、前述の説明を読めば、当分野の技術者には明らかになると考えられる。発明者らは、当分野の技術者がそうした変形形態を必要に応じて用いることを期待すると共に、本発明が、本明細書に詳述した以外のやり方で実施されることを意図するものである。したがって、本発明は、準拠法で許可される通り、本明細書に添付の特許請求の範囲に記載された内容のあらゆる変更形態および均等物を含むものである。さらに、本明細書で特に指示しない限り、あるいは文脈と明確に矛盾しない限り、前述の諸要素の、そのあらゆる可能な変形形態でのどのような組合せも、本発明に包含されるものである。
本発明の一実施形態を実装するのに使用可能なコンピュータシステムの一例を一般的に示す概略図である。 コンピュータネットワークによって様々に接続されたコンピュータを示す概略図である。 本発明の一実施形態による高水準システムアーキテクチャの一例を示す概略図である。 本発明の一実施形態によるネットワークフィンガープリンティングコンポーネントアーキテクチャの一例を示す概略図である。 本発明の一実施形態による、ネットワーク識別子を求める要求に応答する例示的諸ステップを示す流れ図である。 本発明の一実施形態による、コンピュータネットワークの現在の識別信頼度を決定する例示的諸ステップを示す流れ図である。 本発明の一実施形態による、受動的ネットワーク属性識別信頼度修飾子を現在の識別信頼度に適用する例示的諸ステップを示す流れ図である。 本発明の一実施形態による、学習された識別信頼度修飾子を現在の識別信頼度に適用する例示的諸ステップを示す流れ図である。 本発明の一実施形態による、能動的ネットワーク属性識別信頼度修飾子を現在の識別信頼度に適用する例示的諸ステップを示す流れ図である。 本発明の一実施形態による、能動的ネットワーク属性が新規に使用可能になった結果として学習された識別信頼度修飾子を更新する例示的諸ステップを示す流れ図である。 図10の諸態様をより詳細に示す流れ図である。
符号の説明
104 処理装置
106 システムメモリ
110 取り外し可能記憶装置
112 固定記憶装置
114 通信接続
116 リモートコンピュータ
118 入力装置
120 出力装置
202、208、212、214、216、218 コンピュータ
204、210 認証サーバ
206 ファイアウォール
220、222、224、226、228 ネットワーク
302 アプリケーション
304 ネットワークサービス
306 ネットワークAPI
308 ネットワーク所在地認識
310 ネットワークフィンガープリンティング
402 発行されたネットワーク識別子
404 発行された受動的ネットワーク属性
406 発行された能動的ネットワーク属性
408 現在のPNA
410 現在のANA
420 PNA変更
422 ANA変更

Claims (31)

  1. 少なくとも1つのコンピュータネットワークへの少なくとも1つの接続を確立するステップと、
    前記少なくとも1つのコンピュータネットワークの少なくとも1つのコンピュータネットワークに発行されたネットワーク識別子を発行するステップと、
    少なくとも1つの現在のコンピュータネットワークに関して、各発行されたネットワーク識別子ごとに識別信頼度を決定するステップと
    を備えた方法を実施するコンピュータ実行可能命令を含むことを特徴とするコンピュータ可読媒体。
  2. 前記方法は、前記少なくとも1つの現在のコンピュータネットワークの識別を求める要求に応答を以って応答するステップをさらに備え、前記応答は、
    少なくとも1つの発行されたネットワーク識別子と、
    前記応答中の各発行されたネットワーク識別子ごとの、前記少なくとも1つの現在のコンピュータネットワークに関して決定された前記発行されたネットワーク識別子での前記識別信頼度と
    を含むことを特徴とする請求項1に記載のコンピュータ可読媒体。
  3. 各識別信頼度は値を有し、前記値は最小識別信頼度値から最大識別信頼度値におよび、
    前記応答中の各識別信頼度の前記値は前記最大識別信頼度値である
    ことを特徴とする請求項2に記載のコンピュータ可読媒体。
  4. 各識別信頼度は値を有し、
    前記応答中の各識別信頼度の前記値は最小識別信頼度応答閾値を上回る
    ことを特徴とする請求項2に記載のコンピュータ可読媒体。
  5. 各発行されたネットワークネットワーク識別子はグローバル一意識別子(GUID)を含むことを特徴とする請求項1に記載のコンピュータ可読媒体。
  6. 各コンピュータネットワークは少なくとも1つのネットワーク属性を有し、
    各ネットワーク属性は少なくとも1つの識別信頼度修飾子に関連付けられ、
    各ネットワーク属性は値を有し、
    前記少なくとも1つの現在のコンピュータネットワークに関して各発行されたネットワーク識別子ごとに前記識別信頼度を決定するステップは、各現在のコンピュータネットワークおよび各ネットワーク属性ごとに、前記発行されたネットワーク識別子によって識別された前記コンピュータネットワークの前記ネットワーク属性の前記値が、前記現在のコンピュータネットワークの前記ネットワーク属性の前記値と一致する場合には、前記ネットワーク属性に関連付けられた前記少なくとも1つの識別信頼度修飾子のうちの少なくとも1つを、各発行されたネットワーク識別子の前記識別信頼度に適用するステップを含む
    ことを特徴とする請求項1に記載のコンピュータ可読媒体。
  7. 各識別信頼度修飾子は識別信頼度変換を指定し、
    前記識別信頼度修飾子を前記識別信頼度に適用するステップは、前記識別信頼度修飾子によって指定された前記識別信頼度変換に従って前記識別信頼度を変換するステップを含むことを特徴とする請求項6に記載のコンピュータ可読媒体。
  8. 各識別信頼度修飾子は線形識別信頼度変換を指定することを特徴とする請求項7に記載のコンピュータ可読媒体。
  9. 各コンピュータネットワークは、
    少なくとも1つの受動的ネットワーク属性、および
    少なくとも1つの能動的ネットワーク属性
    を含む複数のネットワーク属性を有し、
    各受動的ネットワーク属性は少なくとも1つの受動的ネットワーク属性識別信頼度修飾子に関連付けられ、
    各能動的ネットワーク属性は少なくとも1つの能動的ネットワーク属性識別信頼度修飾子に関連付けられ、
    各ネットワーク属性は値を有し、
    各能動的ネットワーク属性の値を取り出すことは、前記能動的ネットワーク属性を有する前記コンピュータネットワーク上でネットワークトラフィックを生成することを含み、
    前記少なくとも1つの現在のコンピュータネットワークに関して各発行されたネットワーク識別子ごとに前記識別信頼度を決定するステップは、
    各現在のコンピュータネットワークおよび各受動的ネットワーク属性ごとに、前記発行されたネットワーク識別子によって識別された前記コンピュータネットワークの前記受動的ネットワーク属性の前記値が、前記現在のコンピュータネットワークの前記受動的ネットワーク属性の前記値と一致する場合には、前記受動的ネットワーク属性に関連付けられた前記少なくとも1つの受動的ネットワーク属性識別信頼度修飾子のうちの少なくとも1つを、各発行されたネットワーク識別子の前記識別信頼度に適用するステップと、
    各現在のコンピュータネットワークおよび各能動的ネットワーク属性ごとに、前記発行されたネットワーク識別子によって識別された前記コンピュータネットワークの前記能動的ネットワーク属性の前記値が、前記現在のコンピュータネットワークの前記能動的ネットワーク属性の前記値と一致する場合には、前記能動的ネットワーク属性に関連付けられた前記少なくとも1つの能動的ネットワーク属性識別信頼度修飾子のうちの少なくとも1つを、各発行されたネットワーク識別子の前記識別信頼度に適用するステップと
    を含むことを特徴とする請求項1に記載のコンピュータ可読媒体。
  10. 各コンピュータネットワークは少なくとも1つの受動的ネットワーク属性を有し、
    各受動的ネットワーク属性は少なくとも1つの受動的ネットワーク属性識別信頼度修飾子に関連付けられ、
    各発行されたネットワーク識別子は学習された識別信頼度修飾子に関連付けられ、
    各ネットワーク属性は値を有し、
    各受動的ネットワーク属性の値を取り出すことは、前記受動的ネットワーク属性を有する前記コンピュータネットワーク上でネットワークトラフィックを生成することとは無関係であり、
    前記少なくとも1つの現在のコンピュータネットワークに関して各発行されたネットワーク識別子ごとに前記識別信頼度を決定するステップは、
    各現在のコンピュータネットワークおよび各受動的ネットワーク属性ごとに、前記発行されたネットワーク識別子によって識別された前記コンピュータネットワークの前記受動的ネットワーク属性の前記値が、前記現在のコンピュータネットワークの前記受動的ネットワーク属性の前記値と一致する場合には、前記受動的ネットワーク属性に関連付けられた前記少なくとも1つの受動的ネットワーク属性識別信頼度修飾子のうちの少なくとも1つを、各発行されたネットワーク識別子の前記識別信頼度に適用するステップと、
    各現在のコンピュータネットワークごとに、前記発行されたネットワーク識別子の前記識別信頼度が最小の学習された変更識別信頼度閾値を上回る場合には、各発行されたネットワーク識別子の前記識別信頼度に、前記発行されたネットワーク識別子に関連付けられた前記学習された識別信頼度修飾子を適用するステップと
    を含むことを特徴とする請求項1に記載のコンピュータ可読媒体。
  11. 第1の組の識別信頼度は、前記少なくとも1つの現在のコンピュータネットワークに関して各発行されたネットワーク識別子ごとに決定された前記識別信頼度を含み、
    各コンピュータネットワークは、
    少なくとも1つの受動的ネットワーク属性、および
    少なくとも1つの能動的ネットワーク属性
    を含む複数のネットワーク属性を有し、
    各能動的ネットワーク属性は少なくとも1つの能動的ネットワーク属性識別信頼度修飾子に関連付けられ、
    各能動的ネットワーク属性の前記値を取り出すことは、前記能動的ネットワーク属性を有する前記コンピュータネットワーク上でネットワークトラフィックを生成することを含み、
    前記方法は、
    少なくとも1つの能動的ネットワーク属性が使用可能になった結果として、第2の組の識別信頼度を決定するステップをさらに備え、前記第2の組の識別信頼度を決定するステップは、
    少なくとも1つの能動的ネットワーク属性識別信頼度修飾子を、前記第2の組の識別信頼度に適用するステップと、
    前記第1の組の識別信頼度が再決定された場合には、再決定された第1の組の識別信頼度と前記第2の組の識別信頼度の差が最小になるように各発行されたネットワーク識別子に関連付けられた前記学習された識別信頼度修飾子を調整するステップと
    を含むことを特徴とする請求項10に記載のコンピュータ可読媒体。
  12. 1組の学習された識別信頼度修飾子のうちの少なくとも1つを第1の組の識別信頼度のうちの少なくとも1つに適用するステップを含むように前記第1の組の識別信頼度を決定するステップと、
    1組の能動的ネットワーク属性識別信頼度修飾子のうちの少なくとも1つを第2の組の識別信頼度のうちの少なくとも1つに適用するステップを含むように前記第2の組の識別信頼度を決定するステップと、
    前記第1の組の識別信頼度が再決定された場合には、再決定された第1の組の識別信頼度と前記第2の組の識別信頼度との差が最小になるように前記1組の学習された識別信頼度を調整するステップと
    を備えた方法を実施するコンピュータ実行可能命令を含むことを特徴とするコンピュータ可読媒体。
  13. 前記1組の学習された識別信頼度修飾子中の各学習された識別信頼度修飾子は、1組の発行されたネットワーク識別子のうちの1つに関連付けられ、
    前記第1の組の識別信頼度中の各識別信頼度は、前記1組の発行されたネットワーク識別子のうちの1つに関連付けられ、
    前記1組の学習された識別信頼度修飾子のうちの少なくとも1つを前記第1の組の識別信頼度に適用するステップは、前記1組の学習されたネットワーク識別子中の各発行されたネットワーク識別子ごとに、前記発行されたネットワーク識別子に関連付けられた前記識別信頼度が最小の学習された変更識別信頼度閾値を上回る場合には、前記発行されたネットワーク識別子に関連付けられた前記学習された識別信頼度修飾子を、前記発行されたネットワーク識別子に関連付けられた前記識別信頼度に適用するステップを含む
    ことを特徴とする請求項12に記載のコンピュータ可読媒体。
  14. 前記第2の組の識別信頼度中の各識別信頼度は発行された1組のネットワーク識別子のうちの1つに関連付けられ、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子は、1組の発行された能動的ネットワーク属性のうちの少なくとも1つに関連付けられ、
    前記1組の能動的ネットワーク属性識別信頼度修飾子中の各能動的ネットワーク属性識別信頼度修飾子は、1組の現在の能動的ネットワーク属性のうちの少なくとも1つに関連付けられ、
    各能動的ネットワーク属性は値を有し、
    前記1組の能動的ネットワーク属性識別信頼度修飾子のうちの少なくとも1つを前記第2の組の識別信頼度に適用するステップは、前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子および前記1組の現在の能動的ネットワーク属性中の各能動的ネットワーク属性ごとに、前記1組の現在の能動的ネットワーク属性中の前記能動的ネットワーク属性の前記値が、前記発行されたネットワーク識別子に関連付けられた前記1組の発行された能動的ネットワーク属性中の前記能動的ネットワーク属性の前記値と一致する場合には、前記能動的ネットワーク属性に関連付けられた前記能動的ネットワーク属性識別信頼度修飾子を、前記発行されたネットワーク識別子に関連付けられた前記識別信頼度に適用するステップを含むことを特徴とする請求項12に記載のコンピュータ可読媒体。
  15. 各識別信頼度修飾子は識別信頼度変換を指定し、
    前記識別信頼度修飾子を前記識別信頼度に適用するステップは、前記識別信頼度修飾子によって指定された前記識別信頼度変換に従って前記識別信頼度を変換するステップを含むことを特徴とする請求項12に記載のコンピュータ可読媒体。
  16. 各識別信頼度修飾子は線形識別信頼度変換を指定することを特徴とする請求項15に記載のコンピュータ可読媒体。
  17. 各識別信頼度は1組の発行されたネットワーク識別子のうちの1つに関連付けられ、
    各学習された識別信頼度修飾子は前記1組の発行されたネットワーク識別子のうちの1つに関連付けられ、
    各識別信頼度は値を有し、
    前記1組の学習された識別信頼度修飾子を調整するステップは、前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごとに、前記第1の組の識別信頼度中の前記発行されたネットワーク識別子に関連付けられた前記識別信頼度の前記値が、前記第2の組の識別信頼度中の前記発行されたネットワーク識別子に関連付けられた前記識別信頼度の前記値より小さいマッチング許容範囲を超える場合には、前記発行されたネットワーク識別子に関連付けられた前記学習された識別信頼度修飾子を増加させるステップを含むことを特徴とする請求項12に記載のコンピュータ可読媒体。
  18. 前記1組の学習された識別信頼度修飾子を調整するステップは、前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごとに、前記第1の組の識別信頼度中の前記発行されたネットワーク識別子に関連付けられた前記識別信頼度の前記値が、前記第2の組の識別信頼度中の前記発行されたネットワーク識別子に関連付けられた前記識別信頼度の前記値より大きいマッチング許容範囲を超える場合には、前記発行されたネットワーク識別子に関連付けられた前記学習された識別信頼度修飾子を低減するステップをさらに含むことを特徴とする請求項17に記載のコンピュータ可読媒体。
  19. 前記学習された識別信頼度修飾子を増加させるステップは、前記変換された学習された識別信頼度修飾子を識別信頼度に適用した結果、変換されない学習された識別信頼度修飾子を前記識別信頼度に適用した結果生じる識別信頼度値よりも高い識別信頼度値を生じるように、前記学習された識別信頼度修飾子を変換するステップを含むことを特徴とする請求項17に記載のコンピュータ可読媒体。
  20. 各学習された識別信頼度修飾子は、学習された変数を候補識別信頼度の値に付加することによって前記候補識別信頼度を変更し、
    前記学習された識別信頼度修飾子を増加させるステップは、前記学習された変数に増加定数を付加するステップを含む
    ことを特徴とする請求項17に記載のコンピュータ可読媒体。
  21. 少なくとも、
    少なくとも1つのコンピュータネットワークに少なくとも1つのネットワーク識別子を発行し、
    1組の発行されたネットワーク識別子を維持し、
    少なくとも1つの現在のコンピュータネットワークに関して各発行されたネットワーク識別子ごとの識別を含む1組の現在の識別信頼度を維持するように構成されたネットワークフィンガープリンティングコンポーネントを含むことを特徴とするコンピュータ化システム。
  22. 前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごとに、前記発行されたネットワーク識別子によって識別されたコンピュータネットワークの少なくとも1つのネットワーク属性を含む、1組の発行されたネットワーク属性を維持し、
    各現在のコンピュータネットワークの少なくとも1つのネットワーク属性を含む1組の現在のネットワーク属性を維持するように構成されることを特徴とする請求項21に記載のコンピュータ化システム。
  23. 前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、
    前記1組の現在のネットワーク属性中の各ネットワーク属性ごとに少なくとも1つの識別信頼度修飾子を含む1組の識別信頼度修飾子を維持し、
    少なくとも1つの識別信頼度修飾子を少なくとも1つの識別信頼度に適用するように構成されることを特徴とする請求項22に記載のコンピュータ化システム。
  24. 各コンピュータネットワークは、
    少なくとも1つの受動的ネットワーク属性、および
    少なくとも1つの能動的ネットワーク属性
    を含む複数のネットワーク属性を有し、
    各ネットワーク属性は値を有し、
    各能動的ネットワーク属性の前記値を取り出すことは、前記能動的ネットワーク属性を有する前記コンピュータネットワーク上でネットワークトラフィックを生成することを含み、
    前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごとに、前記発行されたネットワーク識別子によって識別されたコンピュータネットワークの少なくとも1つの受動的ネットワーク属性を含む、1組の発行された受動的ネットワーク属性を維持し、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごとに、前記発行されたネットワーク識別子によって識別されたコンピュータネットワークの少なくとも1つの能動的ネットワーク属性を含む、1組の発行された能動的ネットワーク属性の組を維持し、
    各現在のコンピュータネットワークの少なくとも1つの受動的ネットワーク属性を含む1組の現在の受動的ネットワーク属性を維持し、
    各現在のコンピュータネットワークの少なくとも1つの能動的ネットワーク属性を含む1組の現在の能動的ネットワーク属性を維持するように構成されることを特徴とする請求項21に記載のコンピュータ化システム。
  25. 前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、
    前記1組の現在の受動的ネットワーク属性中の各受動的ネットワーク属性ごとに、少なくとも1つの受動的ネットワーク属性識別信頼度修飾子を含む1組の受動的ネットワーク属性識別信頼度修飾子を維持し、
    前記1組の現在の能動的ネットワーク属性中の各能動的ネットワーク属性ごとに、少なくとも1つの能動的ネットワーク属性識別信頼度修飾子を含む1組の能動的ネットワーク属性識別信頼度修飾子を維持し、
    少なくとも1つの受動的ネットワーク属性識別信頼度修飾子を少なくとも1つの識別信頼度に適用し、
    少なくとも1つの能動的ネットワーク属性識別信頼度修飾子を少なくとも1つの識別信頼度に適用するように構成されることを特徴とする請求項24に記載のコンピュータ化システム。
  26. 前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごとに少なくとも1つの学習された識別信頼度修飾子を含む1組の学習された識別信頼度修飾子を維持し、
    少なくとも1つの学習された識別信頼度修飾子を少なくとも1つの識別信頼度に適用するように構成されることを特徴とする請求項25に記載のコンピュータ化システム。
  27. 前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、前記少なくとも1つの現在のコンピュータネットワークのために能動的ネットワーク属性を取り出す前に決定される第1の組の現在の識別信頼度と、前記少なくとも1つの現在のコンピュータネットワークのために能動的ネットワーク属性を取り出した後で決定される第2の組の現在の識別信頼度との差を最小にするように、前記1組の学習された識別信頼度修飾子を調整するように構成されることを特徴とする請求項26に記載のコンピュータ化システム。
  28. 前記ネットワークフィンガープリンティングコンポーネントは、さらに、少なくとも、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごと、および前記1組の現在の受動的ネットワーク属性中の各受動的ネットワーク属性ごとに、前記1組の現在の受動的ネットワーク属性中の前記受動的ネットワーク属性の前記値が、前記1組の発行された受動的ネットワーク属性中の前記発行されたネットワーク識別子での前記受動的ネットワーク属性の前記値と一致する場合には、前記受動的ネットワーク属性での前記少なくとも1つの受動的ネットワーク属性識別信頼度修飾子のうちの少なくとも1つを、前記発行されたネットワーク識別子での前記識別信頼度に適用し、
    前記1組の発行されたネットワーク識別子中の各発行されたネットワーク識別子ごと、および前記1組の現在の能動的ネットワーク属性中の各能動的ネットワーク属性ごとに、前記1組の現在の能動的ネットワーク属性中の前記能動的ネットワーク属性の前記値が、前記1組の発行された能動的ネットワーク属性中の前記発行されたネットワーク識別子での前記能動的ネットワーク属性の前記値と一致する場合には、前記能動的ネットワーク属性での前記少なくとも1つの能動的ネットワーク属性識別信頼度修飾子の少なくとも1つを、前記発行されたネットワーク識別子での前記識別信頼度に適用するように構成されることを特徴とする請求項25に記載のコンピュータ化システム。
  29. 各識別信頼度修飾子は識別信頼度の変換を指定し、
    前記識別信頼度修飾子を前記識別信頼度に適用するステップは、前記識別信頼度修飾子によって指定された前記変換に従って前記識別信頼度を変換するステップを含む
    ことを特徴とする請求項25に記載のコンピュータ化システム。
  30. 各識別信頼度修飾子は前記識別信頼度の線形変換を指定することを特徴とする請求項29に記載のコンピュータ化システム。
  31. 各ネットワーク識別子はグローバル一意識別子(GUID)であることを特徴とする請求項21に記載のコンピュータ化システム。
JP2004272461A 2003-10-17 2004-09-17 ネットワークフィンガープリンティング Expired - Fee Related JP4724398B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/688,656 US7448070B2 (en) 2003-10-17 2003-10-17 Network fingerprinting
US10/688,656 2003-10-17

Publications (2)

Publication Number Publication Date
JP2005122715A true JP2005122715A (ja) 2005-05-12
JP4724398B2 JP4724398B2 (ja) 2011-07-13

Family

ID=34377679

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004272461A Expired - Fee Related JP4724398B2 (ja) 2003-10-17 2004-09-17 ネットワークフィンガープリンティング

Country Status (7)

Country Link
US (1) US7448070B2 (ja)
EP (1) EP1524819B1 (ja)
JP (1) JP4724398B2 (ja)
KR (1) KR101109379B1 (ja)
CN (1) CN1610297B (ja)
AT (1) ATE408296T1 (ja)
DE (1) DE602004016437D1 (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9280667B1 (en) * 2000-08-25 2016-03-08 Tripwire, Inc. Persistent host determination
US8126999B2 (en) 2004-02-06 2012-02-28 Microsoft Corporation Network DNA
US7716660B2 (en) * 2004-12-14 2010-05-11 Microsoft Corporation Method and system for downloading updates
US8924343B2 (en) * 2005-03-23 2014-12-30 International Business Machines Coporation Method and system for using confidence factors in forming a system
US20060274753A1 (en) * 2005-06-07 2006-12-07 Samsung Electronics Co., Ltd. Method and system for maintaining persistent unique identifiers for devices in a network
US20070027996A1 (en) * 2005-08-01 2007-02-01 Microsoft Corporation Configuring application settings based on changes associated with a network identifier
US20070124485A1 (en) * 2005-11-30 2007-05-31 Microsoft Corporation Computer system implementing quality of service policy
US7979549B2 (en) * 2005-11-30 2011-07-12 Microsoft Corporation Network supporting centralized management of QoS policies
US8291093B2 (en) 2005-12-08 2012-10-16 Microsoft Corporation Peer-to-peer remediation
CN100442714C (zh) * 2005-12-29 2008-12-10 华为技术有限公司 通信指纹系统及通信指纹采集、管理方法
US8170021B2 (en) 2006-01-06 2012-05-01 Microsoft Corporation Selectively enabled quality of service policy
US7885668B2 (en) 2006-01-31 2011-02-08 Microsoft Corporation Determining the network location of a user device based on transmitter fingerprints
US7515576B2 (en) * 2006-01-31 2009-04-07 Microsoft Corporation User interface and data structure for transmitter fingerprints of network locations
US9135444B2 (en) * 2006-10-19 2015-09-15 Novell, Inc. Trusted platform module (TPM) assisted data center management
US8635680B2 (en) * 2007-04-19 2014-01-21 Microsoft Corporation Secure identification of intranet network
US8239549B2 (en) * 2007-09-12 2012-08-07 Microsoft Corporation Dynamic host configuration protocol
US8806565B2 (en) * 2007-09-12 2014-08-12 Microsoft Corporation Secure network location awareness
US8204503B1 (en) * 2010-08-25 2012-06-19 Sprint Communications Company L.P. Base station identification to indicate mobility of a wireless communication device
US8438532B2 (en) 2011-04-19 2013-05-07 Sonatype, Inc. Method and system for scoring a software artifact for a user
US8612936B2 (en) 2011-06-02 2013-12-17 Sonatype, Inc. System and method for recommending software artifacts
US8832798B2 (en) * 2011-09-08 2014-09-09 International Business Machines Corporation Transaction authentication management including authentication confidence testing
US8590018B2 (en) 2011-09-08 2013-11-19 International Business Machines Corporation Transaction authentication management system with multiple authentication levels
US8627270B2 (en) 2011-09-13 2014-01-07 Sonatype, Inc. Method and system for monitoring a software artifact
US8473894B2 (en) 2011-09-13 2013-06-25 Sonatype, Inc. Method and system for monitoring metadata related to software artifacts
US9141378B2 (en) 2011-09-15 2015-09-22 Sonatype, Inc. Method and system for evaluating a software artifact based on issue tracking and source control information
US8656343B2 (en) 2012-02-09 2014-02-18 Sonatype, Inc. System and method of providing real-time updates related to in-use artifacts in a software development environment
US8825689B2 (en) * 2012-05-21 2014-09-02 Sonatype, Inc. Method and system for matching unknown software component to known software component
US9141408B2 (en) 2012-07-20 2015-09-22 Sonatype, Inc. Method and system for correcting portion of software application
US9135263B2 (en) 2013-01-18 2015-09-15 Sonatype, Inc. Method and system that routes requests for electronic files
US20150220927A1 (en) * 2013-09-25 2015-08-06 Ned M. Smith Method, apparatus and system for providing transaction indemnification
US9971594B2 (en) 2016-08-16 2018-05-15 Sonatype, Inc. Method and system for authoritative name analysis of true origin of a file
US11095528B2 (en) 2019-05-09 2021-08-17 International Business Machines Corporation Identity network onboarding based on confidence scores

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10261083A (ja) * 1997-03-17 1998-09-29 Toshiba Corp 個人同定装置及び個人同定方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3982848B2 (ja) * 1995-10-19 2007-09-26 富士通株式会社 セキュリティレベル制御装置及びネットワーク通信システム
JP3565663B2 (ja) 1996-08-28 2004-09-15 沖電気工業株式会社 情報転送システム、情報蓄積提供装置及び情報被提供装置
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
JP3969467B2 (ja) 1998-06-17 2007-09-05 富士通株式会社 ネットワークシステム、送受信方法、送信装置、受信装置、および、記録媒体
JP2000092046A (ja) * 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
US6434613B1 (en) 1999-02-23 2002-08-13 International Business Machines Corporation System and method for identifying latent computer system bottlenecks and for making recommendations for improving computer system performance
US20020129285A1 (en) * 2001-03-08 2002-09-12 Masateru Kuwata Biometric authenticated VLAN

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10261083A (ja) * 1997-03-17 1998-09-29 Toshiba Corp 個人同定装置及び個人同定方法

Also Published As

Publication number Publication date
CN1610297A (zh) 2005-04-27
KR101109379B1 (ko) 2012-01-30
JP4724398B2 (ja) 2011-07-13
EP1524819A2 (en) 2005-04-20
DE602004016437D1 (de) 2008-10-23
ATE408296T1 (de) 2008-09-15
CN1610297B (zh) 2010-12-08
EP1524819B1 (en) 2008-09-10
US7448070B2 (en) 2008-11-04
EP1524819A3 (en) 2006-05-24
US20050086473A1 (en) 2005-04-21
KR20050037340A (ko) 2005-04-21

Similar Documents

Publication Publication Date Title
JP4724398B2 (ja) ネットワークフィンガープリンティング
US12010096B2 (en) Dynamic firewall configuration
US11425137B2 (en) Centralized authentication for granting access to online services
US20070078997A1 (en) Efficient endpoint matching using a header-to-bit conversion table
US11856046B2 (en) Endpoint URL generation and management
US9069791B2 (en) Database virtualization
US9948603B1 (en) System and method of constructing dynamic namespaces in the internet of things
KR102295593B1 (ko) 인증 문서를 자동으로 생성하는 기법
US11184231B1 (en) Device connector service for device and management service integration
US10931630B2 (en) System and method for connecting using aliases
US8171066B2 (en) Techniques for accessing remote files
JP2022070222A (ja) コンピュータ実装方法、デバイスプロビジョニングシステムおよびコンピュータプログラム(モノのインターネットデバイスのプロビジョニング)
EP2805447B1 (en) Integrating server applications with multiple authentication providers
EP2003591A1 (en) Method and system for authenticating a user
US10764399B2 (en) Customized web services gateway
US11604877B1 (en) Nested courses of action to support incident response in an information technology environment
US20230036680A1 (en) Application security posture identifier
US11379596B2 (en) Method and system for ensuring authentication compatibility
US7711853B2 (en) Resolving names to network endpoints
Al-Bahri et al. DOA Based Identification for Devices and Applications of IoT in Heterogeneous Networks
US20150067120A1 (en) Method for double ip address recovery
CN114631295A (zh) 外部访问内部网络资源
JP2008536241A (ja) ウェブ・コンテンツ管理情報の発見
US20070073859A1 (en) Peer name resolution and discovery

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100226

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101203

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20110224

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110225

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110401

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110411

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees