JP2019532601A - 指紋を使用するネットワーク・マッピング - Google Patents

指紋を使用するネットワーク・マッピング Download PDF

Info

Publication number
JP2019532601A
JP2019532601A JP2019537743A JP2019537743A JP2019532601A JP 2019532601 A JP2019532601 A JP 2019532601A JP 2019537743 A JP2019537743 A JP 2019537743A JP 2019537743 A JP2019537743 A JP 2019537743A JP 2019532601 A JP2019532601 A JP 2019532601A
Authority
JP
Japan
Prior art keywords
fingerprint
response
network
addresses
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019537743A
Other languages
English (en)
Inventor
ティモシー ジュニオ,
ティモシー ジュニオ,
マシュー クラニング,
マシュー クラニング,
Original Assignee
エクスパンス, インク.
エクスパンス, インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エクスパンス, インク., エクスパンス, インク. filed Critical エクスパンス, インク.
Publication of JP2019532601A publication Critical patent/JP2019532601A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4541Directories for service discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ネットワーク・マッピングのためのシステムは、インターフェースとプロセッサとを含む。インターフェースは、指紋を使用してアドレスの組をスキャンするための指示を受信するように構成されている。プロセッサは、アドレスの組の内のアドレスに対して、アドレスに関連付けられている応答を受信し、応答が指紋と一致するか否かを決定し、そして応答が指紋と一致する場合、クライアント・ネットワーク・データベースにアドレスを保存する、ように構成されている。【選択図】無

Description

インターネットにより接続されているアセット(インターネット接続アセット)(例えば、コンピュータ、モバイル機器、サーバ・システム、クライアント・システム、IoT機器等)は、インターネットと通信するコンピューティング・システムを備える。インターネット接続アセットは、一般に、1つまたは複数のアドレス指定可能な公開通信ポートを含み、これにより任意のインターネット接続デバイスが、インターネット接続アセットに問合せすることが可能になる。いくつかのデバイスでは、1つまたは複数のアクセス可能な公開ポートを介して、さまざまな種類の接続(例えば、HTTP(ハイパーテキスト送信プロトコル:HyperText Transfer Protocol)接続、HTTPS(ハイパーテキスト送信プロトコル・セキュアhypertext transfer protocol-secure)接続、FTP(ファイル転送プロトコル:File Transfer Protocol)接続、FTPS(ファイル転送プロトコル・セキュア)接続、Telnet接続、SSH(セキュア・ソケット・シェル)接続等)が可能である。インターネット接続アセットにおいては、さまざまな構成オプションを備える、さまざまなソフトウェアを実行する、さまざまな種類のハードウェア・デバイスを使用することが出来るが、これにより無数の可能性があるセキュリティの脆弱性が生じてしまう。典型的なシステム管理者が、自分の監視下にあるシステムの細部を全て関知することはできないため、システムの脆弱性が、検出されずかつ修正されないことは起こり得る。
本発明は、プロセス、装置、システム、組成物(composition of matter)、可読記憶媒体に書込まれているコンピュータ・プログラム製品、および/またはプロセッサに結合されているメモリによって提供されるおよび/またはそのようなメモリに格納されている命令を実行するように構成されているプロセッサを備える多数の方法で実施することが出来る。本明細書では、これらの実装形態、または本発明が取り得る他の任意の形態を、技術と呼ぶことがある。一般に、開示されるプロセスのステップの順序は、本発明の範囲内で、変更することができる。特に明記しない限り、タスクを実行するように構成されていると記載されているプロセッサまたはメモリの様な構成部品は、所与の時間にタスクを実行するように一時的に構成されている汎用構成部品、またはタスクを実行するように構成されている特定構成部品として実施させることが出来る。本明細書で使用されように、用語「プロセッサ」は、コンピュータ・プログラム命令などのデータを処理するように構成されている1つまたは複数のデバイス、回路、および/または処理コアを意味する。
本発明の1つ以上の実施態様の詳細な説明が、以下に、本発明の原理を例示する添付の図面と共に提供される。本発明は、以下の実施態様に関連して説明されるが、本発明は、何れかの実施態様に限定されることはない。本発明の範囲は、特許請求の範囲によってのみ限定され、本発明は、多数の代替物、修正物および等価物を包含する。多数の特定の詳細が、本発明の完全な理解を提供するために、以下の説明に記載されている。これらの詳細は、例示の目的のために提供されていて、かつ本発明は、これらの具体的な詳細の一部または全部がなくても特許請求の範囲に従って実施することができる。明確にするために、本発明に関する技術分野で知られている技術的事項は、本発明が不必要に曖昧にならないように詳細には説明されていない。
指紋を使用してネットワーク・マッピングをするためのシステムは、指紋を使用してアドレスの組をスキャンするための指示を受信するように構成されているインターフェースと、アドレスの組内のアドレスに対して、関連付けられている応答を受信し、応答が指紋と一致するか否かを決定し、応答が指紋と一致する場合、クライアント・ネットワーク・データベースにアドレスを格納するように構成されているプロセッサとを備える。いくつかの実施態様では、指紋を使用してネットワーク・マッピングをするためのシステムは、プロセッサに結合されていて、かつプロセッサに命令を提供するように構成されているメモリを備える。
いくつかの実施態様では、指紋を使用してネットワーク・マッピングをするためのシステムは、クライアント・ネットワークに関連付けられているコンピュータ・システムを識別するためのシステムを備える。指紋は、コンピュータ・システムのための1つまたは複数の識別基準を備える。いくつかの実施態様では、指紋は、クライアント・ネットワークに関連付けられていることが知られている公開情報の組を備える。様々な実施態様では、指紋は、開放ポートの組(例えば、クライアント・ネットワークに相関していると既に決定されている特定の開放ポートの組)、サービスおよび関連付けられているポートの組、暗号化証明書、公開暗号鍵、テキスト文字列、テキスト部分文字列、テキスト文字列パターン、ドメイン名、ドメイン名パターン、ホスト名、ホスト名パターン、識別要素の組み合わせ、またはその他の適切な指紋情報を備える。いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、ネットワーク・データを網羅的にスキャンし、かつ指紋と一致するネットワーク・データを識別することによって、クライアント・ネットワークをマッピングする。いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、ネットワーク・スキャナによって収集されかつネットワーク・データベースに格納されているデータをスキャンする(例えば、ネットワーク・スキャン・ツールは、最初にネットワークに関する全ての可能な(例えば、インターネット全体の)情報を収集し、そしてそれをネットワーク情報データベースに格納し、次で、このネットワーク・マッピング・システムは、ネットワーク情報データベース内のデータをスキャンして、指紋と一致する、格納されている情報を有するシステムを見出す)。いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、インターネット上のネットワーク・アドレスをスキャンし、指紋と一致する情報を返すシステムが受信した情報を分析する。クライアント・ネットワークの部分であると決定されるシステムが見つかった場合(例えば、その情報が指紋情報と一致する場合)、このシステムに関連付けられているアドレスは、クライアント・ネットワーク・データベースに格納される。いくつかの実施態様では、他のシステム情報が、クライアント・ネットワーク・データベースに追加的に格納される。
本発明の様々な実施態様が、以下の詳細な説明および添付の図面において開示されている。
ネットワーク・システムの一実施態様を示すブロック図である。 ネットワーク・システムの一実施態様を示すブロック図である。 ネットワーク・マッピング・システムの一実施態様を示すブロック図である。 ネットワーク・マッピングのためのプロセスの一実施態様を示す流れ図である。 応答を要求するためのプロセスの一実施態様を示す流れ図である。 応答が、指紋と一致するか否かを判断するためのプロセスの一実施態様を示す流れ図である。 応答が、開放ポート指紋基準タイプの組を備える指紋基準タイプについての指紋基準に一致するか否かを決定するプロセスの一実施態様を示す流れ図である。 応答が、サービスおよび関連付けられているポートの指紋基準タイプを備える指紋基準タイプについての指紋基準に一致するか否かを決定するためのプロセスの一実施態様を示す流れ図である。 応答が、証明書指紋基準タイプを備える指紋基準タイプについての指紋基準に一致するか否かを決定するプロセスの一実施態様を示す流れ図である。 応答が、公開暗号鍵指紋基準タイプを備える指紋基準タイプの指紋基準に一致するか否かを決定するプロセスの一実施態様を示す流れ図である。 応答が、テキスト・パターン指紋基準タイプを備える指紋基準タイプについての指紋基準と一致するか否かを決定するプロセスの一実施態様を示す流れ図である。
図1は、ネットワーク・システムの一実施態様を示すブロック図である。いくつかの実施態様では、図1のネットワーク・システムは、指紋を使用してネットワーク・マッピングをするためのシステムを備える。図示の例では、図1はネットワーク100を備える。様々な実施態様では、ネットワーク100は、ローカルエリア・ネットワーク、ワイドエリア・ネットワーク、有線ネットワーク、無線ネットワーク、インターネット、イントラネット、ストレージエリア・ネットワーク、または他の適切な通信ネットワーク、の内の1つ以上を備える。管理者システム102とネットワーク・マッピング・システム104は、ネットワーク100を介して通信する。管理者システム102は、管理者用のシステムを備える。様々な実施態様では、管理者システム102は、管理者が、アプリケーション・システム上のアプリケーションにアクセスし、データベース・システム上のデータにアクセスし、ネットワーク・マッピング・システム104に指示してネットワーク・マッピング・プロセスを実行させ、ネットワーク・マッピング・システム104からデータを受信し、ネットワーク・システム(例えば、ネットワーク・システム106)を構成し、ネットワーク・システムからデータを受信する、または他の適切な目的のためのシステムを備える。いくつかの実施態様では、管理者システム102はプロセッサおよびメモリを備える。ネットワーク・マッピング・システム104は、クライアント・ネットワークをマッピングするシステムを備える。いくつかの実施態様では、ネットワーク・マッピング・システム104は、管理者システム102からのコマンドに応答してネットワーク・システムに関係付けられているデータをスキャンするシステムを備える。いくつかの実施態様では、ネットワーク・マッピング・システム104は、ネットワーク・システムの組(ネットワーク・システム106、ネットワーク・システム108、ネットワーク・システム110、ネットワーク・システム112、ネットワーク・システム114、ネットワーク・システム116、ネットワーク・システム118、およびネットワーク・システム120)に関連付けられているデータをスキャンするシステムを備える。いくつかの実施態様では、ネットワーク・システムの組に関連付けられているデータをスキャンすることは、以前に格納されている、このネットワーク・システムの組に関連付けられているデータを分析することを備える。いくつかの実施態様では、ネットワーク・システムの組に関連付けられているデータをスキャンすることは、応答が受信されると、このネットワーク・システムの組の内の1つまたは複数のネットワーク・システムにペイロードを与えかつ受信された応答を分析することを備える。いくつかの実施態様では、ネットワーク・マッピング・システム104は、プロセッサおよびメモリを備える。図1の各ネットワーク・システム(例えば、ネットワーク・システム106)は、インターネットに接続されているシステム(例えば、ファイアウォール、ルータ、スイッチ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、スマートフォン、タブレット・コンピュータ、サーバ・システム、モノのインターネット・デバイス等)を備える。様々な実施態様では、図1のシステムは、8、13、197、2222、100万、1億、または他の適切な数のネットワーク・システムを備える。いくつかの実施態様では、図1の各ネットワーク・システムは、インターネット・アドレスに関連付けられている。いくつかの実施態様では、インターネット・アドレスは、インターネット・プロトコル(IP)アドレスを備える。
いくつかの実施態様では、ネットワーク・マッピング・システム104は、複数のネットワーク・マッピング・システムの内の1つである。例えば、アドレスをより効率的にスキャンするために、複数のネットワーク・マッピング・システムにアドレスをスキャンすることが命令される。
図2は、ネットワーク・システムの一実施態様を示すブロック図である。いくつかの実施態様では、ネットワーク・システム200は、図1のネットワーク・システム(例えば、ネットワーク・システム106、ネットワーク・システム108、ネットワーク・システム110、ネットワーク・システム112、ネットワーク・システム114、ネットワーク・システム116、ネットワーク・システム118、またはネットワーク・システム120)を備える。図示された例では、ネットワーク・システム200は、プロセッサ202、データ・ストレージ204、およびネットワーク・インターフェース206を備える。いくつかの実施態様では、ネットワーク・システム200は、インターネット接続アセット(例えば、ルータ、スイッチ、ファイアウォール、デスクトップ・コンピュータ、ラップトップ・コンピュータ、スマートフォン、タブレット・コンピュータ、サーバ・システム、モノのインターネット・デバイス、または他の適切なインターネット接続アセット)を備える。様々な実施態様では、プロセッサ202は、命令を実行し、データを処理し、コマンドに応答する等のためのプロセッサを備える。様々な実施態様では、プロセッサ202は、汎用プロセッサ、マイクロコントローラ、並列処理システム、プロセッサのクラスタ、または任意の他の適切なプロセッサを備える。様々な実施態様では、データ・ストレージ204は、データを格納するため、プロセッサ202のための命令を格納するため、構成情報を格納するため、または他の適切な情報を格納するための、データ・ストレージを備える。様々な実施態様では、データ・ストレージ204は、揮発性メモリ、不揮発性メモリ、磁気メモリ、光メモリ、相変化メモリ、半導体メモリ、ディスクメモリ、テープメモリ、または任意の他の適切なメモリ、の内の1つまたは複数を備える。メモリネットワーク・インターフェース206は、ネットワークと通信するためのネットワーク・インターフェースを備える。図示の例では、ネットワーク・インターフェース206は、ネットワーク通信情報208と複数のポート(例えば、ポート210)とを備える。様々な実施態様では、ネットワーク通信情報は、ネットワーク通信ソフトウェア、ネットワーク通信設定、ネットワーク通信データ、または他の任意の適切なネットワーク通信情報を備える。複数のポートは、物理ポート(例えば、ケーブルをネットワーク・システム200に接続するためのプラグ)または仮想ポート(例えば、仮想ポート番号によって識別される仮想通信チャネル)を備える。いくつかの実施態様では、ネットワーク・インターフェース206は、ネットワーク・アドレス(例えば、外部ネットワーク・アドレス指定機関によって関連付けられているネットワーク・アドレス)を備える。いくつかの実施態様では、ネットワーク・システム200との通信は、ポート番号と共にネットワーク200のネットワーク・アドレスを指示することによって指定される。いくつかの実施態様では、ネットワーク・インターフェース206のいくつかのポートは、通信用に構成され(例えば、開放ポートを備える)、そして他のいくつかは、通信に応答しないように構成される。いくつかの実施態様では、ポートのサービスについての構成情報は、ネットワーク通信情報208に格納される。いくつかの実施態様では、いくつかのポートは、1つ以上の、特定通信サービス(例えば、ハイパーテキスト送信プロトコル(HTTP)、ファイル転送プロトコル(FTP)、セキュア・シェル(SSH)等)に関連付けられている。いくつかの実施態様では、サービスをポートに関連付ける構成情報は、ネットワーク通信情報208に格納される。いくつかの実施態様では、ネットワーク通信情報208は、暗号化情報(例えば、公開SSH鍵、証明書等)を備える。いくつかの実施態様では、ネットワーク通信情報208は、1つまたは複数のネットワーク・システム名(例えば、ホスト名、ドメイン名、ホスト名の組、ホスト名パターン等)を備える。いくつかの実施態様では、ネットワーク通信情報は、サービスまたはサービスの組に関連付けられているテキスト情報(例えば、ウェルカムテキスト、接続拒否テキスト、サービス非対応テキスト、ファイル未検出テキスト、または他の適切なテキスト情報)を備える。いくつかの実施態様では、ネットワーク・インターフェース206は、通信仕様の組に従って既に構成されている通信ソフトウェアの組を実行するネットワーク・ハードウェア(例えば、モデム)の組を備える。
図3は、ネットワーク・マッピング・システムの一実施態様を示すブロック図である。いくつかの実施態様では、ネットワーク・マッピング・システム300は、図1のネットワーク・マッピング・システム104を備える。いくつかの実施態様では、ネットワーク・マッピング・システム300は、サーバ・システムを備える。図示の例では、ネットワーク・マッピング・システム300は、プロセッサ302、データ・ストレージ304、およびネットワーク・インターフェース306を備える。いくつかの実施態様では、プロセッサ302は、命令を実行する、データを処理する、コマンドに応答する、または他の適切なプロセッサ機能を果たす、プロセッサを備える。様々な実施態様では、プロセッサ302は、汎用プロセッサ、マイクロコントローラ、並列処理システム、プロセッサのクラスタ、または他の任意の適切なプロセッサを備える。いくつかの実施態様では、プロセッサ302はネットワーク・スキャナ308を備える。様々な実施態様では、ネットワーク・スキャナ308は、ネットワーク・マッピング・システム機能を実装するソフトウェアおよび/またはハードウェアを備える。様々な実施態様では、データ・ストレージ304は、データを格納するため、プロセッサ302のための命令を格納するため、構成情報を格納するため、または任意の他の適切な情報を格納するため、のデータ・ストレージを備える。様々な実施態様では、データ・ストレージ304は、揮発性メモリ、不揮発性メモリ、磁気メモリ、光メモリ、相変化メモリ、半導体メモリ、ディスクメモリ、テープメモリ、または他の任意の適切なメモリ、の内の1つまたは複数を備える。図示の例では、データ・ストレージ304は、ネットワーク・システムを識別するための指紋を格納する指紋データベース310を備える。いくつかの実施態様では、指紋データベースに格納されている指紋は、それぞれ、クライアント・ネットワークに関連付けられている。いくつかの実施態様では、指紋は、1つまたは複数のネットワーク識別特性を備える。いくつかの実施態様では、ネットワーク識別特性は、ネットワーク通信情報設定(例えば、開放ポートの組、サービスおよび関連付けられているポートの組、暗号化情報、ホスト名情報、ドメイン名情報、テキスト情報等)を備える。
いくつかの実施態様では、データ・ストレージ304は、さらに、クライアント・ネットワーク情報(例えば、クライアント・ネットワークに関連付けられているインターネット・アドレス(例えば、IPv4またはIPv6アドレス等))を格納するためのクライアント・ネットワーク・データベース312を備える。いくつかの実施態様では、クライアント・ネットワーク・データベース312は、ネットワーク・マッピング・プロセスが実行された後に、クライアント・ネットワークの範囲を記述する(例えば、クライアント・ネットワークに関連付けられていることが判明した全てのネットワーク・システムを識別する)クライアント・ネットワーク情報の組を備える。データ・ストレージ304は、ネットワーク情報を格納するためのネットワーク情報データベース314を備える。いくつかの実施態様では、ネットワーク情報は、ネットワークをスキャンした結果として受信されるネットワーク情報を備える。いくつかの実施態様では、ネットワーク情報は、インターネットをスキャンすることによってコンパイルされる応答を備える。いくつかの実施態様では、インターネットをスキャンすることは、ペイロード(例えば、所定のデータパケットまたはパケットの組)をインターネット・アドレスの組に提供することを備える。いくつかの実施態様では、ネットワークをスキャンすることは、ネットワーク・システムの組からネットワーク情報を収集することを備える。いくつかの実施態様では、ネットワークをスキャンすることは、アクセス可能な全てのネットワーク・システムからネットワーク情報を収集することを備える。様々な実施態様では、ネットワーク情報は、ネットワーク通信情報設定、ネットワーク・アドレス、対話型ネットワーク・システムによって受信される情報(例えば、ネットワーク・システム上で実行されるアクティブ・サービスの指示に応じてフォローアップ・プローブを実行することによって受信される情報)を備える。いくつかの実施態様では、ネットワーク情報は、(例えば、ストレージ・サーバ上、異なるネットワーク・システム上、クラウド・ストレージ上等に)遠隔で格納される。図示の例では、ネットワーク・インターフェース306は、ネットワークを介して遠隔システムと対話するためのネットワーク・インターフェースを備える。いくつかの実施態様では、ネットワーク・インターフェース306は、高帯域通信用に構成されているネットワーク・インターフェースを備える。
図4は、ネットワーク・マッピングのためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図4のプロセスは、図1のネットワーク・マッピング・システム104によって実行される。図示される例では、400で、指紋を使用してアドレスの組をスキャンするための指示が受信される。いくつかの実施態様では、アドレスの組は、全てのインターネット・アドレスを備える。いくつかの実施態様では、アドレスの組は、所定のネットワーク(例えば、所定のアドレスのサブセット)を備える。いくつかの実施態様では、スキャンの実行指示は、管理者システムから受信される。いくつかの実施態様では、指紋は、スキャン実行指示の一部として受信される。いくつかの実施態様では、指紋は、ネットワーク・マッピング・システムによって格納される。402において、アドレスのこの組の内の次のアドレスに関連付けられている応答が要求される。いくつかの実施態様では、アドレスの組の内の次のアドレスは、このアドレスの組の最初のアドレスを備える。いくつかの実施態様では、この応答は、このアドレスに関連付けられているネットワーク・システムから(例えば、ネットワーク・インターフェースおよびネットワークを介して)要求される。いくつかの実施態様では、この応答は、ネットワーク情報データベース(例えば、図3のネットワーク情報データベース314)から要求される。いくつかの実施態様では、応答を要求する部分としての利用可能な全ての情報(例えば、ネットワーク通信情報設定、ネットワーク・アドレス、ネットワーク・システムと対話して問い合わせることによって受信される情報等)は、ネットワーク・システムから要求される。いくつかの実施態様では、要求される情報は、少なくとも一部は指紋に基づく(例えば、応答が指紋と一致するか否かを判断するのに十分な情報のみが、要求され、例えば、指紋によってテストされない情報は、要求されない)。404において、このアドレスに関連付けられている応答が受信される。406において、この応答が、この指紋と一致するか否かが決定される。いくつかの実施態様では、この応答がこの指紋と一致するか否かを決定することは、この応答データを指紋基準(1つまたは複数)と比較することを備える。この応答がこの指紋と一致しないと決定された場合、制御は410に進む。この応答がこの指紋と一致すると決定された場合、制御は408に進む。408において、このアドレスは、このクライアント・ネットワーク・データベースに格納される。いくつかの実施態様では、この応答は、このクライアント・ネットワーク・データベースに追加して格納される。410において、更にアドレス(例えば、アドレスの組の内の更なるアドレス)があるか否かが決定される。更にアドレスがあると判断された場合、制御は、402に移る。これ以上アドレスがないと判断された場合、このプロセスは、終了する。
図5は、アドレスの組の内の次のアドレスに関連付けられている応答を要求するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図5のプロセスは、図4の402を実施する。図示される例では、500において、この所望の応答データが、ネットワーク情報データベースに格納されているか否かが判断される。いくつかの実施態様では、この所望の応答データが、ネットワーク情報データベースに格納されているか否かを判断することは、この応答に関連付けられているこのアドレスを用いて、このネットワーク情報データベースに問い合わせることを備える。この所望の応答データが、このネットワーク情報データベースに格納されていると判断された場合、制御は502に移る。502において、この応答は、このネットワーク情報データベースから要求され、そしてこのプロセスは終了する。500において、この所望の応答データが、このネットワーク情報データベースに格納されていないと判断された場合、制御は504に進む。504において、この応答が、このアドレスから(例えば、ネットワーク・インターフェースおよびネットワークを介して)要求される。いくつかの実施態様では、このアドレスからの応答を要求することは、ペイロードをこのアドレスに提供すること(例えば、所定のデータパケットまたはパケットのシーケンスをアドレスに提供すること)を備える。
図6は、応答が指紋と一致するか否かを判断するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図6のプロセスは、図4の406を実施する。図示される例では、600において、この指紋の次の指紋基準が選択される。いくつかの実施態様では、この次の指紋基準は、第1の指紋基準を備える。602において、この指紋基準タイプが決定される。様々な実施態様では、この指紋基準タイプは、開放ポート基準タイプの組、サービスおよび関連付けられているポート基準タイプの組、証明書基準タイプ、公開暗号化鍵基準タイプ、テキスト文字列基準タイプ、テキストサブ文字列基準タイプ、テキスト文字列パターン基準タイプ、ドメイン名基準タイプ、ドメイン名パターン基準タイプ、ホスト名基準タイプ、ホスト名パターン基準タイプ、または他の適切な基準タイプを備える。604で、この応答が、この指紋基準タイプの指紋基準と一致するか否かが決定される。この応答が、この指紋基準タイプの指紋基準と一致しないと決定された場合、制御は606に移る。606で、このプロセスは、この応答がこの指紋と一致しないことを指示し、そしてこのプロセスは終了する。この応答が、604におけるこの指紋基準タイプの指紋基準と一致すると決定された場合、制御は608に移る。608で、更に指紋基準があるか否かが決定される。更に指紋基準があると判断された場合、制御は600に進む。これ以上指紋基準がないと決定された場合、制御は610に進む。610において、このプロセスは、この応答がこの指紋と一致することを指示する。図示の例では、この応答が、この指紋の全ての指紋基準に一致すると決定された場合のみ、この応答が、この指紋と一致すると決定される。
図7は、開放ポート指紋基準タイプの組を備える指紋基準タイプについての応答が、指紋基準と一致するか否かを判断するプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、この指紋基準タイプが、開放ポート指紋基準タイプであると決定された場合、図7の流れ図は、図6の604を実施する。図示される例では、700において、開放ポートの指紋の組(例えば、この指紋基準によって指示される開放ポートの組)が決定される。いくつかの実施態様では、開放ポートの組は、開放ポートに関連付けられているポート番号の組(例えば、ポート22、80、8080、および9999)を備える。様々な実施態様では、開放ポートの組は、1、3、8、14、99、または他の任意の適切な番号の開放ポートを備える。様々な実施態様では、開放ポート指紋基準の組は、個別に頻繁に見られるポートの組(例えば、ポート22、23、25、80、443、および8080)である。様々な実施態様では、開放ポート指紋基準の組は、頻繁な開放が個別に見られるいくつかの開放ポートと、頻繁な開放が個別に見られないいくつかの開放ポートとの組((例えば、頻度の閾値よりもより頻繁に表れる)頻繁に開放されるポート80 8080、および(例えば、頻度の閾値よりも少ない頻度でしか表れない)頻繁に開放されないポート47808)である。様々な実施態様では、この開放ポート指紋基準の組は、個別にまれにしか開放されない全てのポートの組(例えば、ポート1433、3306、および5432)である。702において、この応答が、開放ポートの指紋の組と一致する開放ポートを指示するか否かが決定される。この応答が、開放ポートの指紋のこの組と一致する開放ポートを指示すると決定された場合、制御は704に進む。704において、このプロセスは、この応答がこの指紋基準と一致することを指示し、そしてこのプロセスは終了する。702において、この応答が、開放ポートの指紋のこの組と一致する開放ポートを指示していないと決定された場合、制御は706に進む。706において、このプロセスは、この応答がこの指紋基準と一致しないことを指示する。
図8は、応答が、サービスおよび関連付けられているポート指紋基準タイプの組を備える指紋基準タイプの指紋基準と一致するか否かを決定するプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、この指紋基準タイプが、サービスおよび関連付けられているポート指紋基準タイプの組によって決定される場合、図8の流れ図は、図6の604を実施する。図示されている例では、800において、サービスおよび関連付けられているポートの指紋の組(例えば、この指紋基準によって指示されるサービスおよび関連付けられているポートの組)が、決定される。いくつかの実施態様では、サービスおよび関連付けられているポートの組は、ポート番号の組(例えば、ポート122、1000、および4444)を含み、かつ各ポートは、ネットワーク・サービス(例えば、SSH、HTTP、HTTPS、telnet等)に関連付けられている。様々な実施態様では、サービスおよび関連付けられているポートの組は、1、3、8、14、99、または任意の他の適切な番号のサービスおよび関連付けられているポートを備える。様々な実施態様では、サービスおよび関連付けられているポート指紋基準のこの組は、個別に頻繁に見られるポートの組(例えば、ポート/サービス対22(SSH)、23(telnet)、25(SMTP)、80(HTTP)、 443(HTTPS)および8080(HTTP)- 例えば、閾値頻度より頻繁に見られるポートの組)を備える。様々な実施態様では、サービスおよび関連付けられているポート指紋基準のこの組は、一部は個別に頻繁に見られる、および一部は個別に頻繁に見られることがない、サービスおよび関連付けられているポートの組((例えば、頻度の閾値より頻繁に表れる)例えば、頻繁に開放されるポート80(HTTP)、8080(HTTP)、および(例えば、頻度の閾値より少ない頻度で現われる)例えば、まれにしか開放されない47808(BACnet))である。様々な実施態様では、サービスおよび関連付けられているポート指紋基準のこの組は、個別に開放されることがまれにしか見られない、サービスおよび関連付けられている全てのポートの組(例えば、ポート1433(MSSQL)、3306(MySQL)、および5432(Postgres)−例えば、頻度の閾値よりも少ない頻度で表れる)である。802において、この応答が、この指紋サービスおよび関連付けられているポートに一致するサービスおよび関連付けられているポートを指示するか否かが決定される。この応答が、この指紋サービスおよび関連付けられているポートに一致する、サービスおよび関連付けられているポートを指示すると決定された場合、制御は804に進む。804において、このプロセスは、この応答がこの指紋基準と一致することを指示し、そしてこのプロセスは終了する。802において、この応答が、この指紋サービスおよび関連付けられているポートと一致する、サービスおよび関連付けられているポートを指示していないと決定された場合、制御は806に進む。806において、このプロセスは、この応答がこの指紋基準と一致しないことを指示する。
図9は、応答が、証明書指紋基準タイプを備える指紋基準タイプの指紋基準に一致するか否かを決定するプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、この指紋基準タイプが証明書指紋基準タイプであると決定された場合に、図9の流れ図は、図6の604を実施する。図示される例では、900において、指紋証明書(例えば、指紋基準によって指示される証明書)が決定される。いくつかの実施態様では、証明書指紋は、SSL(例えば、セキュア・ソケット・レイヤ)証明書を備える。いくつかの実施態様では、証明書指紋はトランスポート層セキュリティ(TLS)証明書を備える。様々な実施態様では、証明書指紋は、組織名、組織の場所、組織のホスト名、組織のドメイン名、組織のサーバー名、シリアル番号、暗号鍵、サブジェクト共通名(CN)、発行者、共通名(CN)、発行者組織単位(OU)名、発行者組織名、サブジェクト組織名、サブジェクトOU名、および他の適切な情報、の内の1つまたは複数を備える。様々な実施態様では、この証明書指紋基準は、上記証明書指紋タイプの内の1つ以上に対する完全一致、ファジー文字列一致、または正規表現一致、または任意の他の適切な一致を備える。902において、この応答が、この指紋証明書と一致する証明書を指示するか否かが決定される。この応答が、この指紋証明書と一致する証明書を指示すると決定された場合、制御は904に進む。904で、このプロセスは、この応答がこの指紋基準と一致することを指示し、そしてこのプロセスは終了する。902において、この応答が、この指紋証明書と一致する証明書を指示していないと決定された場合、制御は906に移る。906において、このプロセスは、この応答がこの指紋基準と一致しないことを指示する。
図10は、応答が、公開暗号鍵指紋基準タイプを備える指紋基準タイプの指紋基準に一致するか否かを決定するプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図10の流れ図は、この指紋基準タイプが、公開暗号化鍵指紋基準タイプであると決定された場合、図6の604を実施する。図示される例では、1000において、指紋公開暗号化鍵(例えば、指紋基準によって指示される公開暗号化鍵)が決定される。いくつかの実施態様では、公開暗号化鍵は、SSH公開暗号化鍵、SSL公開暗号化鍵、TLS公開暗号化鍵、HTTPS公開暗号化鍵、または任意の他の適切な公開暗号化鍵を備える。いくつかの実施態様では、公開暗号化鍵は、暗号化された情報を(例えば、この公開暗号化鍵を提供するシステムに)送信するための暗号化情報を備える。1002において、この応答が、この指紋公開暗号化鍵と一致する公開暗号化鍵を指示するか否かが決定される。この応答が、この指紋公開暗号化鍵に一致する公開暗号化鍵を指示すると決定された場合、制御は1004に進む。1004において、このプロセスは、この応答がこの指紋基準と一致することを指示し、そしてこのプロセスは終了する。1002において、この応答が、この指紋公開暗号化鍵と一致する公開暗号化鍵を指示していないと決定された場合、制御は1006へ進む。1006において、このプロセスは、この応答がこの指紋基準と一致しないことを指示する。
図11は、応答が、テキスト・パターン指紋基準タイプを備える指紋基準タイプの指紋基準に一致するか否かを決定するプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、この指紋基準タイプがテキスト・パターン指紋基準タイプであると決定された場合、図11の流れ図は、図6の604を実行する。図示される例では、1100において、指紋テキスト・パターン(例えば、この指紋基準によって指示されるテキスト・パターン)が決定される。様々な実施態様では、このテキスト・パターンは、テキスト文字列、正規表現、ホスト名、ホスト名パターン、ドメイン名、ドメイン名パターン、会社名、組織名、管理者名、ユーザ識別子、または他の任意の適切なテキスト・パターンを備える。他の適切なテキスト・パターンの様々な実施態様では、このテキスト・パターン基準は、子会社の名前、組織の過去の名前、組織のグループまたは部門の名前、組織の一般的なエイリアスまたは通称事業名(DBA:Doing Business As)、組織の製品の名前およびサービスライン、または他の適切なテキスト・パターンを備える。1102において、この応答が、この指紋テキスト・パターンと一致するテキスト・パターンを指示するか否かが決定される。様々な実施態様では、応答テキスト・パターンが指紋テキスト・パターンと一致するか否かを決定することは、この指紋テキスト・パターンがこの応答テキスト・パターンと同一であるか否かを決定すること、この指紋テキスト・パターンがこの応答テキスト・パターンの部分文字列を備えるか否かを決定すること、この応答テキスト・パターンが、指紋の正規表現のテキスト・パターンと一致するか否かを決定すること、またはこの応答テキスト・パターンがこの指紋テキスト・パターンと一致するか否かを他の適切な方法で決定することを、備える。この応答が、この指紋テキスト・パターンと一致するテキスト・パターンを指示すると決定された場合、制御は1104に進む。1104において、このプロセスは、この応答がこの指紋基準と一致することを指示し、そしてこのプロセスは終了する。1102において、この応答がこの指紋テキスト・パターンと一致するテキスト・パターンを指示していないと決定された場合、制御は1106へ進む。1106において、このプロセスは、この応答がこの指紋基準と一致しないことを指示する。
前述の実施態様は、理解を明確にする目的で、ある程度詳細に説明されているが、本発明は、提供された詳細に限定されない。本発明を実施する多くの代替方法がある。開示された実施態様は、例示的であり限定的ではない。

Claims (20)

  1. 指紋を使用してアドレスの組をスキャンする指示を受信する、ように構成されているインターフェースと、
    アドレスの組の内のアドレスに対し、
    前記アドレスに関連付けられている応答を受信し、
    前記応答が前記指紋と一致するか否かを決定し、そして
    前記応答が前記指紋と一致する場合、クライアント・ネットワーク・データベースに前記アドレスを保存する、ように構成されているプロセッサと
    を備えるネットワーク・マッピングのためのシステム。
  2. 前記アドレスの組が、全てのインターネット・アドレスを備える、請求項1に記載のシステム。
  3. 前記アドレスの組が、所定のサブセットのアドレスを備える、請求項1に記載のシステム。
  4. 前記プロセッサが、更に、前記アドレスの組の前記アドレスに対し、アドレスの前記組の前記アドレスに関連付けられている応答を要求するように構成されている、請求項1に記載のシステム。
  5. 前記応答を要求することが、ネットワーク情報データベースから前記応答を要求することを備える、請求項4に記載のシステム。
  6. 前記ネットワーク情報データベースに格納されている応答が、前記インターネットをスキャンすることによりコンパイルされた応答を備える、請求項5に記載のシステム。
  7. 前記インターネットをスキャンすることが、ペイロードをインターネット・アドレスの組に提供することを備える、請求項6に記載のシステム。
  8. 前記応答を要求することが、前記アドレスから前記応答を要求することを備える、請求項4に記載のシステム。
  9. 前記アドレスから前記応答を要求することが、ペイロードを前記アドレスに提供することを備える、請求項8に記載のシステム。
  10. 前記指紋が、クライアント・ネットワークに関連付けられている、請求項1に記載のシステム。
  11. 前記指紋が、開放ポートの組を備える、請求項1に記載のシステム。
  12. 前記指紋が、サービスおよび関連付けられているポートの組を備える、請求項1に記載のシステム。
  13. 前記指紋が、証明書を備える、請求項1に記載のシステム。
  14. 前記指紋が、公開暗号化鍵を備える、請求項1に記載のシステム。
  15. 前記指紋が、テキスト・パターンを備える、請求項1に記載のシステム。
  16. 前記テキスト・パターンが、ドメイン名を備える、請求項15に記載のシステム。
  17. 前記テキスト・パターンが、ホスト名を備える、請求項15に記載のシステム。
  18. 前記指紋が、識別要素の組み合わせを備える、請求項1に記載のシステム。
  19. 指紋を使用してアドレスの組をスキャンする指示を受信するステップと、
    アドレスの組の内のアドレスに対して、
    プロセッサを使用して、アドレスに関連付けられている応答を受信し、
    前記応答が指紋と一致するか否かを決定し、そして
    前記応答が指紋と一致する場合、クライアント・ネットワーク・データベースにアドレスを保存する、
    ステップと
    を備えるネットワーク・マッピングの方法。
  20. ネットワーク・マッピングのためのコンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品が、非一時的コンピュータ可読記憶媒体の中に具現化されていて、かつ
    指紋を使用してアドレスの組をスキャンする指示を受信するステップ、および
    アドレスの組の内のアドレスに対して、
    前記アドレスに関連付けられている応答を受信し、
    前記応答が指紋と一致するか否かを判断し、そして
    前記応答が指紋と一致する場合、クライアント・ネットワーク・データベースに前記アドレスを保存する、
    ステップ
    のためのコンピュータ命令を備える、コンピュータ・プログラム製品。
JP2019537743A 2016-09-26 2017-02-03 指紋を使用するネットワーク・マッピング Pending JP2019532601A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/276,632 2016-09-26
US15/276,632 US10749857B2 (en) 2016-09-26 2016-09-26 Network mapping using a fingerprint
PCT/US2017/016401 WO2018057053A1 (en) 2016-09-26 2017-02-03 Network mapping using a fingerprint

Publications (1)

Publication Number Publication Date
JP2019532601A true JP2019532601A (ja) 2019-11-07

Family

ID=61686842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019537743A Pending JP2019532601A (ja) 2016-09-26 2017-02-03 指紋を使用するネットワーク・マッピング

Country Status (7)

Country Link
US (1) US10749857B2 (ja)
EP (1) EP3516853A4 (ja)
JP (1) JP2019532601A (ja)
KR (1) KR20190111010A (ja)
AU (1) AU2017331053A1 (ja)
CA (1) CA3038518A1 (ja)
WO (1) WO2018057053A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6747579B2 (ja) * 2017-03-31 2020-08-26 日本電気株式会社 ネットワーク構築装置、ネットワーク構築方法、及びプログラム
US10764315B1 (en) * 2019-05-08 2020-09-01 Capital One Services, Llc Virtual private cloud flow log event fingerprinting and aggregation

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001148715A (ja) 1999-11-19 2001-05-29 Mitsubishi Electric Corp ネットワークシステム及び端末装置
JP2003258795A (ja) 2002-02-28 2003-09-12 Hitachi Ltd コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
US7444508B2 (en) 2003-06-30 2008-10-28 Nokia Corporation Method of implementing secure access
JP4401864B2 (ja) 2004-05-17 2010-01-20 パナソニック株式会社 パケット生成方法、通信方法、パケット処理方法及びデータ構造
US7904712B2 (en) * 2004-08-10 2011-03-08 Cisco Technology, Inc. Service licensing and maintenance for networks
US8683031B2 (en) 2004-10-29 2014-03-25 Trustwave Holdings, Inc. Methods and systems for scanning and monitoring content on a network
US8667596B2 (en) * 2006-09-06 2014-03-04 Devicescape Software, Inc. Systems and methods for network curation
US20080225749A1 (en) * 2007-03-13 2008-09-18 Dennis Peng Auto-configuration of a network device
US9940631B2 (en) * 2009-03-03 2018-04-10 Accenture Global Services Limited Online content collection
WO2012001667A1 (en) * 2010-07-01 2012-01-05 Nunez Di Croce Mariano Automated security assessment of business-critical systems and applications
US9049207B2 (en) * 2012-04-11 2015-06-02 Mcafee, Inc. Asset detection system
WO2014197598A2 (en) 2013-06-04 2014-12-11 The Johns Hopkins University Tripartite cancer theranostic nucleic acid constructs
US9191409B2 (en) * 2013-11-25 2015-11-17 Level 3 Communications, Llc System and method for a security asset manager
US9716727B1 (en) * 2014-09-30 2017-07-25 Palo Alto Networks, Inc. Generating a honey network configuration to emulate a target network environment
US9420464B2 (en) 2014-12-15 2016-08-16 Intel Corporation Technologies for controlling network access based on electronic device communication fingerprints
US10129239B2 (en) * 2015-05-08 2018-11-13 Citrix Systems, Inc. Systems and methods for performing targeted scanning of a target range of IP addresses to verify security certificates
US20180139219A1 (en) * 2015-12-10 2018-05-17 Ashok Sabata Cyber Security: A system to monitor home Wi-Fi networks
CN106888106A (zh) 2015-12-16 2017-06-23 国家电网公司 智能电网中的it资产大规模侦测系统

Also Published As

Publication number Publication date
EP3516853A1 (en) 2019-07-31
US20180091496A1 (en) 2018-03-29
EP3516853A4 (en) 2020-03-04
AU2017331053A1 (en) 2019-05-02
WO2018057053A1 (en) 2018-03-29
KR20190111010A (ko) 2019-10-01
CA3038518A1 (en) 2018-03-29
US10749857B2 (en) 2020-08-18

Similar Documents

Publication Publication Date Title
US9240976B1 (en) Systems and methods for providing network security monitoring
US11283816B2 (en) Hierarchical scanning of internet connected assets
US8844041B1 (en) Detecting network devices and mapping topology using network introspection by collaborating endpoints
US9942050B2 (en) Method and apparatus for bulk authentication and load balancing of networked devices
US11526564B2 (en) Triggered scanning based on network available data change
EP3602993B1 (en) Distributed scanning
JP2019532601A (ja) 指紋を使用するネットワーク・マッピング
US11170011B2 (en) Triggered scanning using provided configuration information
Alsmadi et al. Network Forensics: Lesson Plans
WO2024105524A1 (en) Centralized identity redistribution

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200310

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200414

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20201110