JP2020502703A - ネットワーク・マッピングのためのフィンガープリントの決定 - Google Patents

ネットワーク・マッピングのためのフィンガープリントの決定 Download PDF

Info

Publication number
JP2020502703A
JP2020502703A JP2019545878A JP2019545878A JP2020502703A JP 2020502703 A JP2020502703 A JP 2020502703A JP 2019545878 A JP2019545878 A JP 2019545878A JP 2019545878 A JP2019545878 A JP 2019545878A JP 2020502703 A JP2020502703 A JP 2020502703A
Authority
JP
Japan
Prior art keywords
fingerprint
network
determining
client
indicator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019545878A
Other languages
English (en)
Inventor
ティモシー ジュニオ,
ティモシー ジュニオ,
マシュー クラニング,
マシュー クラニング,
Original Assignee
エクスパンス, インク.
エクスパンス, インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エクスパンス, インク., エクスパンス, インク. filed Critical エクスパンス, インク.
Publication of JP2020502703A publication Critical patent/JP2020502703A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/79Radio fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Collating Specific Patterns (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

フィンガープリントを決定するためのシステムは、クライアント・データの組を使用してフィンガープリントを決定するための指示を受取るためのインターフェースと、少なくとも部分的にクライアント・データに基づいて指標の組を決定し、そして指標の組の内の1つまたは複数の指標に対して、指標が、頻度分析に少なくとも部分的に基づいて、指標がフィンガープリントを備えるか否かを決定し、かつ指標がフィンガープリントを備えると決定された場合、クライアントに関連付けられたフィンガープリント・データベースにフィンガープリントを格納するためのプロセッサとを、備える。【選択図】図3

Description

インターネットにより接続されているアセット(インターネット接続アセット)(例えば、コンピュータ、モバイル機器、サーバ・システム、クライアント・システム、IoT機器、等)は、インターネットと通信するコンピューティング・システムを備える。インターネット接続アセットは、一般に、1つまたは複数のアドレス指定可能な公開通信ポートを有し、これにより任意のインターネット接続デバイスが、インターネット接続アセットに問合せすることが可能になる。いくつかのデバイスは、1つまたは複数の公開されているアクセス可能なポートを介した様々な接続タイプ(例えば、HTTP接続、HTTPS接続、FTP接続、FTP接続、Telnet接続、SSH接続、等)を可能にする。インターネット接続アセットは、さまざまな構成オプションを備える、さまざまなソフトウェアを実行する、さまざまな種類のハードウェア・デバイスであり、セキュリティの脆弱性に対し無数の可能性を生じる。典型的なシステム管理者が、自分の監視下にあるシステムの細部を全て関知することはできないため、システムの脆弱性が、検出されずかつ修正されないことは起こり得る。
本発明の様々な実施態様が、以下の詳細な説明および添付の図面において開示されている。
ネットワーク・システムの一実施態様を示すブロック図である。 ネットワーク・システムの一実施態様を示すブロック図である。 ネットワーク・マッピング・システムの一実施態様を示すブロック図である。 フィンガープリントを決定するためのプロセスの一実施態様を示す流れ図である。 クライアント・データに少なくとも部分的に基づいて、指標の組を決定するためのプロセスの一実施態様を示す流れ図である。 クライアント・データに少なくとも部分的に基づいて、指標の組を決定するためのプロセスの一実施態様を示す流れ図である。 頻度分析に少なくとも部分的に基づいて、指標が、フィンガープリントを備えるか否かを決定するプロセスの一実施態様を示す流れ図である。 応答が、指標と一致するか否かを決定するためのプロセスの一実施態様を示す流れ図である。 指標が、フィンガープリントを備えるか否かを決定するプロセスの一実施態様を示す流れ図である。
本発明は、プロセス、装置、システム、組成物(composition of matter)、可読格納媒体に書込まれているコンピュータ・プログラム製品、および/またはプロセッサに結合されているメモリによって提供されるおよび/またはそのようなメモリに格納されている命令を実行するように構成されているプロセッサを備えるような多数の方法で実施することが出来る。本明細書では、これらの実装形態、または本発明が取り得る他の任意の形態を、技術と呼ぶことがある。一般に、開示されるプロセスのステップの順序は、本発明の範囲内で、変更することができる。特に明記しない限り、タスクを実行するように構成されていると記載されているプロセッサまたはメモリの様な構成部品は、所与の時間にタスクを実行するように一時的に構成されている汎用部品、またはタスクを実行するように構成されている特定部品として実施させることが出来る。本明細書で使用される用語「プロセッサ」は、コンピュータ・プログラム命令等のデータを処理するように構成されている1つまたは複数のデバイス、回路、および/または処理コアを意味する。
本発明の1つ以上の実施態様の詳細な説明が、以下に、本発明の原理を例示する添付の図面と共に提供される。本発明は、以下の実施態様に関連して説明されるが、本発明は、何れかの実施態様に限定されることはない。本発明の範囲は、特許請求の範囲によってのみ限定され、本発明は、多数の代替物、修正物および等価物を包含する。多数の特定の詳細が、本発明の完全な理解を提供するために、以下の説明に記載されている。これらの詳細は、例示の目的のために提供されていて、かつ本発明は、これらの具体的な詳細の一部または全部がなくても特許請求の範囲に従って実施することができる。明確にするために、本発明に関する技術分野で知られている技術的事項は、本発明が不必要に曖昧にならないように詳細には説明されていない。
フィンガープリントを決定するためのシステムは、クライアント・データの組を使用してフィンガープリントを決定するための指示を受取るためのインターフェースと、少なくとも部分的にクライアント・データに基づいて指標の組を決定し、そして指標の組の内の一組以上の指標に対して、頻度分析に少なくとも部分的に基づいて、指標がフィンガープリントを備えるか否かを決定し、そして指標がフィンガープリントを備えると決定された場合、クライアントに関連付けられているフィンガープリント・データベースにフィンガープリントを格納するためのプロセッサと、を備える。いくつかの実施態様では、フィンガープリントを決定するためのシステムは、更に、プロセッサに結合されていて、かつプロセッサに命令を提供するように構成されたメモリを、備える。
いくつかの実施態様では、フィンガープリントを使用するネットワーク・マッピングのためのシステムは、クライアント・ネットワークに関連付けられているコンピュータ・システムを識別するためのシステムを備える。フィンガープリントは、コンピュータ・システムのための1つまたは複数の識別基準を備える。いくつかの実施態様では、フィンガープリントは、クライアント・ネットワークに関連付けられていることが知られている公開情報の組を備える。様々な実施態様では、フィンガープリントは、開放ポートの組(例えば、クライアント・ネットワークに相関していると既に決定されている特定の開放ポートの組)、サービスおよびそれに関連付けられているポートの組、ウェブ頁コンポーネント、ウェブ・アプリケーションおよびそれに関連付けられているコンポーネントの組、暗号化証明書、公開暗号鍵、テキスト文字列、テキスト部分文字列、テキスト文字列パターン、ドメイン名、ドメイン名パターン、ホスト名、ホスト名パターン、識別要素の組み合わせ、またはその他の適切なフィンガープリント情報を備える。いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、ネットワーク・データを網羅的にスキャンし、かつフィンガープリントと一致するネットワーク・データを識別することによって、クライアント・ネットワークをマッピングする。いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、ネットワーク・スキャナによって収集されかつネットワーク・データベースに格納されているデータをスキャンする(例えば、ネットワーク・スキャン・ツールは、最初にネットワークに関する全ての可能な(例えば、インターネット全体の)情報を収集し、そしてそれをネットワーク情報データベースに格納し、次で、このネットワーク・マッピングのためのシステムは、ネットワーク情報データベース内のデータをスキャンして、フィンガープリントと一致する、格納されている情報を有するシステムを見出す)。いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、インターネット上のネットワーク・アドレスをスキャンし、フィンガープリントと一致する情報を返すシステムが受取った情報を分析する。クライアント・ネットワークの部分であると決定されるシステムが発見された場合(例えば、その情報がフィンガープリント情報と一致する場合)、このシステムに関連付けられているアドレスは、クライアント・ネットワーク・データベースに格納される。いくつかの実施態様では、他のシステム情報が、クライアント・ネットワーク・データベースに追加的に格納される。
いくつかの実施態様では、ネットワーク・マッピングのためのシステムは、更に、フィンガープリントの決定のためのシステムを備える。いくつかの実施態様では、フィンガープリントを決定するためのシステムは、クライアント・ネットワークの一部であるネットワーク・システムを、クライアント・ネットワークの一部ではないネットワーク・システムと正確に区別するフィンガープリントまたはフィンガープリントの組を自動的に決定するためのシステムを備える。フィンガープリントを決定するためのシステムは、クライアント・データに少なくとも部分的に基づいて識別子の組を決定するための指標決定器を備える。いくつかの実施態様では、識別子は、潜在的なフィンガープリント(例えば、フィンガープリントを備えることができるが、それが、クライアント・ネットワークの一部であるネットワーク・システムを、クライアント・ネットワークの一部ではないネットワーク・システムと正確に区別するか否かがまだ決定されていない識別データの組)を備える。指標決定器は、クライアント・データをスキャンし、かつ識別子データを備える各要素(例えば、開放ポート、サービスおよびそれに関連付けられているポート、ウェブ頁コンポーネント、ウェブ・アプリケーションおよびそれに関連付けられているコンポーネントの組、暗号化証明書、公開暗号鍵、テキスト文字列、テキスト文字列パターン、ドメイン名、ホスト名、ホスト名パターン、等)を選択する。各指標は指標の組に追加される。次で、指標の組の内の1つまたは複数の指標(例えば、全ての指標、指標のサブセット)について、指標がフィンガープリントを備えるか否かについて、決定が行われる。決定は、少なくとも部分的には頻度分析に基づいて行われる。いくつかの実施態様では、頻度分析は、指標が既知のクライアント・ネットワーク内のネットワーク・システムに一致する頻度と、指標がインターネット上のネットワーク・システムに一致する頻度との比較を備える。いくつかの実施態様では、指標がインターネット上のネットワーク・システムよりもはるかに高いレートでクライアントのネットワーク・システムと一致する場合、指標はフィンガープリントを備えると決定される。いくつかの実施態様では、指標がフィンガープリントを備えると決定することは、指標が閾値頻度よりも高い頻度でクライアント・ネットワーク内のシステムと一致すると決定することを備える。いくつかの実施態様では、指標がフィンガープリントを備えると決定することは、指標が閾値頻度未満でインターネット上のシステムと一致すると決定することを備える。
様々な実施態様では、指標は、単一の識別子、対の識別子、三つの識別子、または識別子の他の任意の組み合わせである。各指標は、その指標が、既知のクライアント・ネットワークでは頻繁に現れ、かつインターネット全体ではめったに現れないか否かを決定することによって分析される。例えば、既知のクライアント・ネットワーク内での指標頻度がクライアント・ネットワーク一致閾値を上回り、かつインターネット全体での指標頻度がインターネット一致閾値を下回る場合、指標はこの基準を満たす。この基準を満たす指標は、スコアでランク付けすることが出来るフィンガープリント候補である。フィンガープリント候補は、スコアが閾値を上回る場合、またはフィンガープリントがフィンガープリント候補のトップN個(例えば、フィンガープリントの一定数)以内にある場合、フィンガープリントとして受け入れることが出来る。
いくつかの実施態様では、指標の組内の指標は、全てが分析されるわけではない(例えば、最初に3つの識別子の全ての組み合わせがインターネット上およびクライアントのネットワーク内で分析されるが、あるパーセンテージの指標の組の分析後に、十分な数のフィンガープリントが既に選択された場合、以後、組の残りは分析されない)。いくつかの実施態様では、組の分析は、最高スコアから最低スコアの順に処理され、スコアはフィンガープリントとなる可能性を指示する。例えば、スコアは、クライアント・ネットワーク内の指標の出現頻度のパーセンタイル(percentile_fclient)およびインターネット内の指標の出現頻度のパーセンタイル(percentile_finternet)に少なくとも部分的に基づいて計算される。
図1は、ネットワーク・システムの一実施態様を示すブロック図である。いくつかの実施態様では、図1のネットワーク・システムは、フィンガープリントを使用してネットワーク・マッピングのためのシステムを備える。図示の例では、図1はネットワーク100を備える。様々な実施態様では、ネットワーク100は、ローカルエリア・ネットワーク、ワイドエリア・ネットワーク、有線ネットワーク、無線ネットワーク、インターネット、イントラネット、ストレージエリア・ネットワーク、または他の適切な通信ネットワーク、の内の1つ以上を備える。管理者システム102とネットワーク・マッピング・システム104は、ネットワーク100を介して通信する。管理者システム102は、管理者用のシステムを備える。様々な実施態様では、管理者システム102は、管理者が、アプリケーション・システム上のアプリケーションにアクセスし、データベース・システム上のデータにアクセスし、ネットワーク・マッピング・システム104に指示してネットワーク・マッピング・プロセスを実行させ、ネットワーク・マッピング・システム104からデータを受取り、ネットワーク・システム(例えば、ネットワーク・システム106)を構成し、ネットワーク・システムからデータを受取る、または他の適切な目的のためのシステムを備える。いくつかの実施態様では、管理者システム102はプロセッサおよびメモリを備える。ネットワーク・マッピング・システム104は、クライアント・ネットワークをマッピングするシステムを備える。例えば、ネットワーク・マッピング・システム104は、管理者システム102からのコマンドに応じて、ネットワーク・システム(ネットワーク・システム106、ネットワーク・システム108、ネットワーク・システム110、ネットワーク・システム112、ネットワーク・システム114、ネットワーク・システム116、ネットワーク・システム118、およびネットワーク・システム120)に関連付けられているデータをスキャンする。ネットワーク・システムの分析は、現在のネットワーク・データと、このネットワーク・システムの組に関連付けられている以前に格納されたデータとを、分析することを含む。いくつかの実施態様では、ネットワーク・システムの組に関連付けられているデータをスキャンすることは、応答が受取られると、このネットワーク・システムの組の内の1つまたは複数のネットワーク・システムにペイロードを与えかつ受取られた応答を分析することを備える。いくつかの実施態様では、ネットワーク・システムから受取った応答を分析することは、その応答がフィンガープリントと一致するか否かを決定することを備える。ネットワーク・マッピング・システム104は、フィンガープリントを決定するためのシステムを備える。いくつかの実施態様では、フィンガープリントは、少なくとも部分的にクライアント・データ(例えば、クライアント・ネットワーク識別情報)に基づいて自動的に決定される。例えば、フィンガープリントは、既知のクライアント・ネットワーク(例えば、ネットワーク・システムの組の内の1つまたは複数のネットワーク・システムが、クライアント・ネットワーク(例えば、関連付けられている全てのシステムが、決定されるクライアント・ネットワーク)に関連付けられていることは既知である)に少なくとも部分的に基づいて決定される。いくつかの実施態様では、フィンガープリントは、(例えば、潜在的なフィンガープリントが、既知のクライアント・ネットワークの一部であるネットワーク・システムに格納されている情報と一致する頻度と、潜在的なフィンガープリントが、アクセス可能な全てのネットワーク・システム(例えば、インターネット上の全てのネットワーク・システム)に格納されている情報と一致する頻度とを比較することにより)、頻度分析に少なくとも部分的に基づいて決定される。いくつかの実施態様では、ネットワーク・マッピング・システム104は、プロセッサおよびメモリを備える。図1の各ネットワーク・システム(例えば、ネットワーク・システム106)は、インターネットに接続されているシステム(例えば、デスクトップ・コンピュータ、ラップトップ・コンピュータ、スマートフォン、タブレット・コンピュータ、サーバ・システム、モノのインターネット・デバイス、等)を備える。様々な実施態様では、図1のシステムは、8、13、197、2222、100万、1億、または他の適切な数のネットワーク・システムを備える。いくつかの実施態様では、図1の各ネットワーク・システムには、インターネット・アドレスが関連付けられている。いくつかの実施態様では、インターネット・アドレスは、インターネット・プロトコル(IP)アドレスを備える。
図2は、ネットワーク・システムの一実施態様を示すブロック図である。いくつかの実施態様では、ネットワーク・システム200は、図1のネットワーク・システム(例えば、ネットワーク・システム106)を備える。図示されている例では、ネットワーク・システム200は、プロセッサ202、データ・ストレージ204、およびネットワーク・インターフェース206を備える。いくつかの実施態様では、ネットワーク・システム200は、インターネット接続アセット(例えば、デスクトップ・コンピュータ、ラップトップ・コンピュータ、スマートフォン、タブレット・コンピュータ、サーバ・システム、モノのインターネット・デバイス、または他の適切なインターネット接続アセット)を備える。様々な実施態様では、プロセッサ202は、命令を実行し、データを処理し、コマンドに応答する、等のためのプロセッサを備える。様々な実施態様では、プロセッサ202は、汎用プロセッサ、マイクロコントローラ、並列処理システム、プロセッサのクラスタ、または任意の他の適切なプロセッサを備える。データ・ストレージ204は、データを格納するため、プロセッサ202のための命令を格納するため、構成情報を格納するため、または他の適切な情報を格納するための、データ・ストレージを備える。様々な実施態様では、データ・ストレージ204は、揮発性メモリ、不揮発性メモリ、磁気メモリ、光メモリ、相変化メモリ、半導体メモリ、ディスクメモリ、テープメモリ、または任意の他の適切なメモリ、の内の1つまたは複数を備える。ネットワーク・インターフェース206は、ネットワークと通信するためのネットワーク・インターフェースを備える。図示の例では、ネットワーク・インターフェース206は、ネットワーク通信情報208と複数のポート(例えば、ポート210)とを備える。ネットワーク通信情報208は、ネットワーク通信ソフトウェア、ネットワーク通信設定、ネットワーク通信データ、または他の任意の適切なネットワーク通信情報を含む。複数のポートは、物理ポート(例えば、ケーブルをネットワーク・システム200に接続するためのプラグ)または仮想ポート(例えば、仮想ポート番号によって識別される仮想通信チャネル)を備える。いくつかの実施態様では、ネットワーク・インターフェース206は、ネットワーク・アドレス(例えば、外部ネットワーク・アドレス指定機関によって関連付けられているネットワーク・アドレス)を備える。いくつかの実施態様では、ネットワーク・システム200との通信は、ポート番号と共にネットワーク200のネットワーク・アドレスを指示することによって指定される。いくつかの実施態様では、ネットワーク・インターフェース206のいくつかのポートは、通信応答用に構成され(例えば、開放ポートを備える)、そして他のいくつかは、通信に応答しないように構成される。いくつかの実施態様では、開放ポート構成情報は、ネットワーク通信情報208に格納される。いくつかの実施態様では、いくつかのポートは、1つ以上の、特定通信サービス(例えば、ハイパーテキスト転送プロトコル(HTTP)、ファイル転送プロトコル(FTP)、セキュア・シェル(SSH)等)に関連付けられている。いくつかの実施態様では、サービスをポートに関連付ける構成情報は、ネットワーク通信情報208に格納される。いくつかの実施態様では、ネットワーク通信情報208は、ウェブ頁(例えば、レンダリングされないウェブ頁コメント、組織固有の画像およびGIF、等)およびウェブ・アプリケーション、ウェブ・アプリケーション・コンポーネント情報(例えば、ファースト・パーティおよびサード・パーティのjavaスクリプトコード、APIコール、ウェブ・アプリケーション構成およびバージョン情報、等)を備える。いくつかの実施態様では、ネットワーク通信情報208は、暗号化情報(例えば、公開SSHキー、証明書、等)を備える。いくつかの実施態様では、ネットワーク通信情報208は、1つまたは複数のネットワーク・システム名(例えば、ホスト名、ドメイン名、ホスト名の組、ホスト名パターン、等)を備える。いくつかの実施態様では、ネットワーク通信情報は、サービスまたはサービスの組に関連付けられているテキスト情報(例えば、ウェルカムテキスト、接続拒否テキスト、サービス非対応テキスト、ファイル未検出テキスト、または他の適切なテキスト情報)を備える。いくつかの実施態様では、ネットワーク・インターフェース206は、通信仕様の組に従って既に構成されている通信ソフトウェアの組を実行するネットワーク・ハードウェア(例えば、モデム)の組を備える。
図3は、ネットワーク・マッピング・システムの一実施態様を示すブロック図である。いくつかの実施態様では、ネットワーク・マッピング・システム300は、図1のネットワーク・マッピング・システム104を備える。いくつかの実施態様では、ネットワーク・マッピング・システム300は、サーバ・システムを備える。図示の例では、ネットワーク・マッピング・システム300は、プロセッサ302、データ・ストレージ304、およびネットワーク・インターフェース306を備える。プロセッサ302は、命令を実行する、データを処理する、コマンドに応答する、等を行うプロセッサを備える。様々な実施態様では、プロセッサ302は、汎用プロセッサ、マイクロコントローラ、並列処理システム、プロセッサのクラスタ、または他の任意の適切なプロセッサを備える。プロセッサ302は、ネットワーク・マッピング・システム機能を実施するソフトウェアおよび/またはハードウェアを備えたネットワーク・スキャナ308を含む。プロセッサ302は、ネットワーク・スキャナ308によって使用されるフィンガープリントを決定するフィンガープリント決定器310を含む。
様々な実施態様では、データ・ストレージ304は、データを格納するため、プロセッサ302のための命令を格納するため、構成情報を格納するため、または任意の他の適切な情報を格納するため、のデータ・ストレージを備える。様々な実施態様では、データ・ストレージ304は、揮発性メモリ、不揮発性メモリ、磁気メモリ、光メモリ、相変化メモリ、半導体メモリ、ディスクメモリ、テープメモリ、または他の任意の適切なメモリ、の内の1つまたは複数を備える。図示の例では、データ・ストレージ304は、ネットワーク・システムを識別するためのフィンガープリントを格納するフィンガープリント・データベース312を備える。いくつかの実施態様では、フィンガープリント・データベースに格納されているフィンガープリントは、それぞれ、クライアント・ネットワークに関連付けられている。いくつかの実施態様では、フィンガープリントは、1つまたは複数のネットワーク識別特性を備える。いくつかの実施態様では、ネットワーク識別特性は、ネットワーク通信情報設定(例えば、開放ポートの組、サービスおよびそれに関連付けられているポートの組、ウェブ頁コンポーネント、ウェブ・アプリケーションおよびそれに関連付けられているコンポーネントの組、暗号化情報、ホスト名情報、ドメイン名情報、テキスト情報、等)を備える。いくつかの実施態様では、フィンガープリント・データベース312により格納されているフィンガープリントは、フィンガープリント決定器310により決定される。データ・ストレージ304は、更に、クライアント・ネットワーク情報(例えば、クライアント・ネットワークに関連付けられているインターネット・アドレス(例えば、IPアドレス)、クライアント・ネットワークに関連付けられているネットワーク・システムに関連付けられているネットワーク・システム情報、等)を格納するためのクライアント・ネットワーク・データベース314を含む。いくつかの実施態様では、ネットワーク・マッピング・プロセスが実行された後、クライアント・ネットワーク・データベース314は、クライアント・ネットワークの範囲を記述する(例えば、クライアント・ネットワークに関連付けられていることが判明した全てのネットワーク・システムを識別する)クライアント・ネットワーク情報の組を備える。データ・ストレージ304は、更に、ネットワーク情報を格納するためのネットワーク情報データベース316を備える。いくつかの実施態様では、ネットワーク情報は、ネットワークをスキャンした結果として受取られたネットワーク情報を備える。いくつかの実施態様では、ネットワーク情報は、インターネットをスキャンすることによってコンパイルされる応答を備える。いくつかの実施態様では、インターネットをスキャンすることは、ペイロード(例えば、所定のデータパケットまたはパケットの組)をインターネット・アドレスの組に提供することを備える。いくつかの実施態様では、ネットワークをスキャンすることは、ネットワーク・システムの組からネットワーク情報を収集することを備える。いくつかの実施態様では、ネットワークをスキャンすることは、アクセス可能な全てのネットワーク・システムからネットワーク情報を収集することを備える。様々な実施態様では、ネットワーク情報は、ネットワーク通信情報設定、ネットワーク・アドレス、対話型ネットワーク・システムによって受取られる情報(例えば、ネットワーク・システム上で実行されるアクティブ・サービスの指示に応じてフォローアップ・プローブを実行することによって受取られる情報)または他の任意の適切なネットワーク情報を備える。いくつかの実施態様では、ネットワーク情報は、遠隔で(例えば、ストレージ・サーバ上、異なるネットワーク・システム上、クラウド・ストレージ上、等に)格納される。図示の例では、ネットワーク・インターフェース306は、ネットワークを介して遠隔システムと対話するためのネットワーク・インターフェースを備える。いくつかの実施態様では、ネットワーク・インターフェース306は、高帯域通信用に構成されているネットワーク・インターフェースを備える。
図4は、フィンガープリントを決定するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図4のプロセスは、ネットワーク・マッピング・システム(例えば、図1のネットワーク・マッピング・システム104)によって実行される。図示されている例では、400において、クライアント・データの組を使用してフィンガープリントを決定するための指示が、受取られる。例えば、クライアント・データの組は、既知のクライアント・ネットワーク(例えば、クライアント・ネットワークの一部であることが知られているコンピュータのアドレスの組)またはネットワーク構成情報(例えば、クライアント・ネットワークの一部であるコンピュータに関連付けられている構成データの組)を備える。402において、指標の組が、クライアント・データに少なくとも部分的に基づいて決定される。例えば、指標は、潜在的なフィンガープリントを備える(例えば、フィンガープリントにおけるようなシステム識別特性の1つ以上の組、ここで、指標が、クライアントに関連付けられているネットワーク・システムを、クライアントに関連付けされていないネットワーク・システムと区別することが出来るか否かはまだ決定されていない)。いくつかの実施態様では、指標の組は、クライアント・データから決定されたネットワーク識別要素の組を備える。いくつかの実施態様では、指標の組は、更に、クライアント・データから決定されたネットワーク識別要素の全ての組み合わせ(例えば、対の全ての組み合わせ、3つの要素の全ての組み合わせ、4つの要素の全ての組み合わせ、等)を含む。404において、指標の組の内の次の指標が選択される。いくつかの実施態様では、次の指標は、第一の指標を備える。406において、頻度分析に少なくとも部分的に基づいて、指標がフィンガープリントを備えるか否かが、決定される。いくつかの実施態様では、指標がフィンガープリントを備えるか否かを決定することは、指標が、クライアントに関連付けられているネットワーク・システムを、クライアントに関連付けられていないネットワーク・システムと区別できるか否かを決定することを備える。いくつかの実施態様では、指標がフィンガープリントを備えるか否かを決定することは、指標が、既知のクライアント・ネットワーク内のシステムに関連付けられているデータに一致すると決定される頻度と、指標が、インターネット上のシステムに関連付けられているデータに一致すると決定される頻度とを比較することを備える。408において、指標がフィンガープリントを含まないと決定された場合、制御は412に進む。指標がフィンガープリントを備えていると決定された場合、制御は410に進む。410において、フィンガープリントは、クライアントに関連付けられているフィンガープリント・データベースに格納される。412において、指標の組の内に他の指標が、あるか否かが決定される。指標の組の内にこれ以上の指標がないと決定された場合、プロセスは終了する。指標の組の内に更なる指標があると決定された場合、制御は414に進む。414において、指標の組の内の更なる指標を分析するか否かが決定される。いくつかの実施態様では、指標の組の内の1つまたは複数の指標(例えば、完全な指標の組より少ない組)しか分析されない。いくつかの実施態様では、指標の組の内の全ての指標が分析される。様々な実施態様では、特定のレベルの組み合わせが分析された後(例えば、3つの要素の組み合わせが分析された後)、既知のクライアント・ネットワーク内の測定された発生頻度が、閾値を下回った後(例えば、4つの要素の全ての組み合わせが、既知のクライアント・ネットワーク内のネットワーク・システムの閾値部分より少ないものと一致すると決定された後)、所定数のフィンガープリントが決定された後、または他の何らかの適切な理由により、指標の分析を停止することが決定される。これ以上の指標は分析しないと決定された場合、プロセスは終了する。さらなる指標を分析することが決定された場合には、制御は404に移る。
図5は、クライアント・データに少なくとも部分的に基づいて指標の組を決定するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図5のプロセスは、図4の402を実施するために使用される。図5のプロセスは、既知のクライアント・ネットワークのクライアント・データに少なくとも部分的に基づいて、指標の組を決定するためのものである。図示の例では、500において、既知のクライアント・ネットワークの次のクライアント・システムが、選択される。いくつかの実施態様では、次のクライアント・システムは、第1のクライアント・システムを備える。502において、クライアント・システムは、ネットワーク通信情報設定についてクエリを受ける。様々な実施態様では、ネットワーク通信情報設定は、システム構成ファイル、システム構成スクリプト、システム記述ファイル、1つ以上の通信クエリ(例えば、telnetクエリ、ftpクエリ、ping、等)に対するシステム応答、または他の任意の適切な通信情報設定を備える。504において、適切なネットワーク通信情報設定ネットワーク通信情報設定によって指示される開放ポート(例えば、通信要求に応答するポート)が、決定される。506において、ネットワーク通信設定によって指示されるサービスおよびそれに関連付けられているポート(例えば、関連付けられているポートを介してアクセス可能であると決定されたネットワーク・サービス)が、決定される。508において、ネットワーク通信情報設定によって指示される証明書が、決定される。509において、ネットワーク通信情報設定によって指示されるウェブ頁コンポーネント(例えば、ウェブ頁内のレンダリングされていないコメント、サード・パーティAPIコール、等)が、決定される。510において、ネットワーク通信情報設定によって指示されるウェブ・アプリケーションおよびウェブ・アプリケーション・コンポーネント(例えば、アプリケーション・バージョンおよび構成情報、コンポーネントのサード・パーティ・アプリケーションの組、等)が、決定される。511において、ネットワーク通信情報設定によって指示される公開暗号鍵が、決定される。512において、ネットワーク通信情報設定によって指示されるテキスト・パターンが、決定される。いくつかの実施態様では、テキスト・パターンは、デフォルトのテキスト・パターン(例えば、ネットワーク・サービスの未修正の構成によって生成されたテキスト・パターン)ではないと決定されたテキスト・パターンを備える。いくつかの実施態様では、テキスト・パターンは、クライアントに関連付けられるべきと決定されたテキスト・パターン(例えば、クライアント名、クライアント名の修正、クライアント・ドメイン名、クライアント・サーバ名、クライアントのモットー、クライアント広告フレーズ、クライアント内部で使用されているフレーズ、またはその他の適切なクライアント関連フレーズ)を備える。514において、決定された情報(例えば、504、506、508、510、および512において決定された情報)が、指標の組に追加される。516において、指標の組み合わせ(例えば、指標の組内の指標の対の組み合わせ、指標の組内の3つの指標の組み合わせ、指標の組内の4つの指標の組み合わせ、等)が、指標の組に追加される。518において、(例えば、既知のクライアント・ネットワーク内に)更にクライアント・システムがあるか否かが、決定される。クライアント・ネットワーク内に更にクライアント・システムがあると決定された場合、制御は500に移る。クライアント・ネットワーク内にクライアント・システムがこれ以上ないと決定された場合、プロセスは終了する。
図6は、クライアント・データに少なくとも部分的に基づいて指標の組を決定するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図6のプロセスは、図4の402を実施するために使用される。図6のプロセスは、ネットワーク構成情報のクライアント・データ(例えば、クライアント、クライアント・システム管理者、等によって提供されるネットワーク構成情報)に少なくとも部分的に基づいて、指標の組を決定するためのものである。図示される例では、600において、クライアント・ネットワーク構成によって指示される開放ポートが、決定される。602において、クライアント・ネットワーク構成によって指示されるサービスおよびそれに関連付けられているポートが、決定される。604において、クライアント・ネットワーク構成によって指示される証明書が、決定される。605において、クライアント・ネットワーク構成によって指示されるウェブ頁コンポーネントが、決定される。606において、クライアント・ネットワーク構成によって指示されるウェブ・アプリケーションおよびウェブ・アプリケーション・コンポーネントが、決定される。607において、クライアント・ネットワーク構成によって指示される公開暗号鍵が、決定される。608において、クライアント・ネットワーク構成によって指示されるテキスト・パターンが、決定される。610において、決定された情報(例えば、602、604、605、606、607、608、および610において決定された情報)が、指標の組に追加される。612において、指標の組み合わせ(例えば、指標の組内の指標の対の組み合わせ、指標の組内の3つの指標の組み合わせ、指標の組内の4つの指標の組み合わせ、等)が、指標の組に追加される。
図7は、頻度分析に少なくとも部分的に基づいて、指標がフィンガープリントを備えるか否かを決定するプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図7のプロセスは、図4の406を実施する。図示される例では、700において、既知のクライアント・ネットワークの記述が受取られる。いくつかの実施態様では、既知のクライアント・ネットワークの記述は、そのクライアント・ネットワークに関連付けられていることが知られているネットワーク・システムのアドレスの組を備える。702において、既知のクライアント・ネットワークの次のネットワーク・システムが、選択される。いくつかの実施態様では、次のネットワーク・システムは、第1のネットワーク・システムを備える。704において、選択されたネットワーク・システムに関するネットワーク通信情報が、要求される。いくつかの実施態様では、選択されたネットワーク・システムに関するネットワーク通信情報を要求することは、ネットワーク通信情報を要求するためにネットワーク・システムと通信することを備える。いくつかの実施態様では、要求に応答して、ネットワーク通信情報が受取られる。706において、ネットワーク通信情報が指標と一致するか否か(例えば、704の要求に応答して受取られたネットワーク通信情報が、指標によって指示されるネットワーク通信情報と一致する情報を備えるか否か)が、決定される。708において、(例えば、既知のクライアント・ネットワークに)更なるネットワーク・システムがあるか否かが、決定される。更なるネットワーク・システムがあると決定された場合、制御は702に進む。更なるネットワーク・システムはないと決定された場合、制御は710に進む。710において、インターネット上の次のネットワーク・システムが、選択される。いくつかの実施態様では、インターネット上の次のネットワーク・システムは、インターネット上の第1のネットワーク・システムを備える。いくつかの実施態様では、インターネット上のネットワーク・システムは、IPアドレスによって分類されたシステムを備える(例えば、インターネット上の最初のネットワーク・システムは、IPアドレス0.0.0.0を有するシステムを備え、そしてインターネット上の最後のネットワーク・システムは、IPアドレス255.255.255.255を有するシステムを備える)。712において、選択されたネットワーク・システムに関するネットワーク通信情報が、要求される。いくつかの実施態様では、選択されたネットワーク・システムに関するネットワーク通信情報を要求することは、ネットワーク通信情報を要求するために選択されたネットワーク・システムと通信することを備える。いくつかの実施態様では、選択されたネットワーク・システムに関するネットワーク通信情報を要求することは、格納されているネットワーク通信情報(例えば、ネットワーク情報データベースに格納されているネットワーク通信情報)を要求することを備える。714において、ネットワーク通信情報が指標と一致するか否かが、決定される。716において、(例えば、インターネット上に)更にネットワーク・システムがあるか否かが、決定される。更にネットワーク・システムがあると決定された場合、制御は710に進む。これ以上ネットワーク・システムはないと決定された場合、制御は718に進む。718において、指標が既知のクライアント・ネットワークのネットワーク・システムと一致する頻度と、指標がインターネットのネットワーク・システムと一致する頻度とが、決定される。720において、指標がフィンガープリントを備えるか否かが、決定される。いくつかの実施態様では、頻度分析に少なくとも部分的に基づいて、指標がフィンガープリントを備えるか否かが、決定される。様々な実施態様では、指標がフィンガープリントを備えるか否かを決定することは、指標が既知のクライアント・ネットワークのネットワーク・システムに一致する頻度が、指標がインターネットのネットワーク・システムに一致する頻度より大きいか否かを決定すること、指標が既知のクライアント・ネットワークのネットワーク・システムと一致する頻度が、指標がインターネットのネットワーク・システムに一致する頻度よりはるかに大きい(例えば、少なくとも閾値量分大きい)か否かを決定すること、指標が既知のクライアント・ネットワークのネットワーク・システムに一致する頻度が、閾値より大きいか否かを決定すること、指標が、インターネットのネットワーク・システムと一致する頻度が閾値より小さいか否かを決定すること、または他の適切な方法で決定することを備える。
図8は、応答が指標と一致するか否かを決定するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図8のプロセスは、応答がフィンガープリントと一致するか否かを決定するための流れ図を備える。いくつかの実施態様では、図8のプロセスは、図7の706および図7の714を実行する。図示される例では、800において、次の基準が選択される。いくつかの実施態様では、次の基準は第1の基準を備える。802において、基準タイプが決定される。様々な実施態様において、この基準タイプは、開放ポート基準タイプの組、サービスおよびそれに関連付けられているポート基準タイプの組、ウェブ頁コンポーネント基準タイプ、ウェブ・アプリケーションおよびそれに関連するウェブ・アプリケーション・コンポーネント基準タイプの組、証明書基準タイプ、公開暗号化キー基準タイプ、テキスト文字列基準タイプ、テキスト・パターン基準タイプ、ドメイン名基準タイプ、ホスト名基準タイプ、ホスト名基準タイプ、またはその他の適切な基準タイプを備える。804で、応答が、基準タイプの基準と一致するか否かが決定される。応答が基準タイプの基準に一致しないと決定された場合、制御は806に移る。806において、プロセスは、応答が指標に一致しないことを指示し、そしてプロセスは終了する。804で、応答が基準タイプの基準に一致すると決定された場合、制御は808に移る。808では、更に基準があるか否かが決定される。これ以上基準がないと決定された場合、制御は800に進む。これ以上基準がないと決定された場合、制御は810に進む。810において、プロセスは、応答が指標と一致することを指示する。図示されている例では、応答が全ての基準に一致すると決定された場合のみ、応答が指標と一致すると決定される。
図9は、指標がフィンガープリントを備えるか否かを決定するためのプロセスの一実施態様を示す流れ図である。いくつかの実施態様では、図9のプロセスは、図7の720を実施するために使用される。図示される例では、900において、クライアント・ネットワークに一致する指標が、クライアント・ネットワークの一致閾値より大きいか否かが決定される。例えば、指標は、クライアント・ネットワークのIPアドレスのX%に関連付けられていて、そしてX%は、クライアント・ネットワークの一致閾値Y%よりも大である。クライアント・ネットワークと一致する指標が、クライアント・ネットワークの一致閾値よりも大でない場合、プロセスは終了する。クライアント・ネットワークに一致する指標が、クライアント・ネットワークの一致閾値より大である場合、制御は902に進む。902において、インターネットに対する指標の一致が、インターネット一致閾値より小であるか否かが決定される。例えば、この指標は、インターネットのIPアドレスのZ%に関連付けられていて、かつZ%は、インターネット一致閾値のW%を超えている。インターネットと一致する指標が、インターネットの一致閾値以上である場合には、プロセスは終了する。インターネットと一致する指標が、インターネット一致閾値より小である場合には、制御は904へ進む。
904において、指標の組内の指標をランク付けするために、スコアが、指標に対して決定される。例えば、指標がフィンガープリントである可能性を示すと、スコアが決定される。様々な実施態様では、スコアは、クライアント・ネットワーク内での指標の出現頻度のパーセンタイル(percentile_fclient)、インターネットでの指標の出現頻度のパーセンタイル(percentile_finternet)、percentile_fclient x percentile_fclient、percentile_fclient + percentile_fclient、クライアント・ネットワーク内での指標の出現頻度のランク(rank_fclient)、インターネットでの指標の出現頻度のランク(rank_finternet)、rank_fclient x rank_fclient、rank_fclient + rank_fclient、または他の適切な要素、の内の1つまたは複数に比例する。
906において、指標の組内の指標のランクが、フィンガープリント閾値を上回るか否かが決定される。例えば、スコアは、各指標に対して指標をランク付けするために使用され、かつ指標のランクが、フィンガープリント閾値を超えているか否かが決定される。指標の組内の指標のランクがフィンガープリント閾値を上回っていない場合、プロセスは終了する。指標の組内の指標のランクがフィンガープリント閾値を上回る場合、908において、指標がフィンガープリントを備えることが指示される。例えば、フィンガープリントとして指標にはフラグが立てられ、そしてこの指標はフィンガープリント・データベースに格納される。
前述の実施態様は、理解を明確にする目的で、ある程度詳細に説明されているが、本発明は、提供された詳細に限定されない。本発明を実施する多くの代替方法がある。開示された実施態様は、例示的であり限定的ではない。

Claims (22)

  1. フィンガープリントを決定するシステムであって、
    ・クライアント・データの組を使用してフィンガープリントを決定するための指示を受取るインターフェースと、
    前記クライアント・データに少なくとも部分的に基づいて指標の組を決定し、そして
    指標の前記組内の1つ以上の指標に対して、
    前記指標が、頻度分析に少なくとも部分的に基づいてフィンガープリントを備える
    か否かを決定し、そして
    前記指標が、フィンガープリントを備えると決定された場合には、前記クライアン
    トに関連付けられているフィンガープリント・データベースにフィンガープリント
    を格納する、
    プロセッサと
    を備える、システム。
  2. 前記クライアント・データが、既知のクライアント・ネットワークを備える、請求項1に記載のシステム。
  3. クライアント・データが、クライアント・ネットワーク構成情報を備える、請求項1に記載のシステム。
  4. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示される開放ポートのサブ組の組を決定することを備える、請求項1に記載のシステム。
  5. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示されるサービスのサブ組の組およびそれらに関連付けられているポートを決定することを備える、請求項1に記載のシステム。
  6. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示されるウェブ頁コンポーネントの組を決定することを備える、請求項1に記載のシステム。
  7. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示されるウェブ・アプリケーションおよびウェブ・アプリケーション・コンポーネントの組を決定することを備える、請求項1に記載のシステム。
  8. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示される1つまたは複数の証明書を決定することを備える、請求項1に記載のシステム。
  9. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示される1つまたは複数の公開暗号鍵を決定することを備える、請求項1に記載のシステム。
  10. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示される1つまたは複数のテキスト・パターンを決定することを備える、請求項1に記載のシステム。
  11. 前記クライアント・データに少なくとも部分的に基づいて指標の組を決定することが、前記クライアント・データによって指示される指標の1つまたは複数の組合せを決定することを備える、請求項1に記載のシステム。
  12. 前記頻度分析に少なくとも部分的に基づいて前記指標がフィンガープリントを備えるか否かを決定することが、クライアント・ネットワーク内での前記フィンガープリントの発生頻度を決定することを備える、請求項1に記載のシステム。
  13. 前記頻度分析に少なくとも部分的に基づいて前記指標がフィンガープリントを備えるか否かを決定することが、インターネット上での前記フィンガープリントの発生頻度を決定することを備える、請求項1に記載のシステム。
  14. クライアント・ネットワーク内でのフィンガープリントの発生頻度が、インターネット上でのフィンガープリントの発生頻度よりも大きい場合には、前記指標がフィンガープリントを備えると決定される、請求項1に記載のシステム。
  15. クライアント・ネットワーク内での前記フィンガープリントの発生頻度が閾値よりも大きい場合には、前記指標がフィンガープリントを備えると決定される、請求項1に記載のシステム。
  16. インターネット上でのフィンガープリントの発生頻度が閾値よりも小さい場合には、前記指標がフィンガープリントを備えると決定される、請求項1に記載のシステム。
  17. 前記フィンガープリントが、開放ポートの組、サービスおよびそれに関連付けられているポートの組、証明書、公開暗号化キー、テキスト・パターン、ドメイン名、ホスト名、識別要素の組み合わせ、の1つまたは複数を備える、請求項1に記載のシステム。
  18. 前記指標がフィンガープリントを備えるか否かを決定することが、前記指標をランク付けするために使用されるスコアに少なくとも部分的に基づいている、請求項1に記載のシステム。
  19. 前記スコアが、既知のクライアント・ネットワーク内での前記指標の発生頻度のパーセンタイルに少なくとも部分的に基づいている、請求項16に記載のシステム。
  20. 前記スコアが、インターネットにおける前記指標の発生頻度のパーセンタイルに少なくとも部分的に基づいている、請求項16に記載のシステム。
  21. フィンガープリントを決定するための方法であって、
    クライアント・データの組を使用してフィンガープリントを決定するための指示を受取るステップと、
    プロセッサを使用して、前記クライアント・データに少なくとも部分的に基づいて指標の組を決定するステップと、
    指標の前記組内の1つ以上の指標に対して、
    前記指標が、頻度分析に少なくとも部分的に基づいてフィンガープリントを備えるか
    否かを決定し、そして、
    前記指標がフィンガープリントを備えると決定された場合には、前記クライアントに
    関連付けられているフィンガープリント・データベースに前記フィンガープリントを
    保存する、
    ステップと
    を備える方法。
  22. フィンガープリントを決定するためのコンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品が、非一時的コンピュータ可読格納媒体に組み込まれていて、かつ
    クライアント・データの組を使用してフィンガープリントを決定するための指示を受取るステップ、
    前記クライアント・データに少なくとも部分的に基づいて指標の組を決定するステップ、
    一連の指標の内の1つ以上の指標に対して、
    指標が頻度分析に少なくとも部分的に基づいてフィンガープリントを備えるか否か
    を決定し、そして
    指標がフィンガープリントを備えると決定された場合には、クライアントに関連付け
    られたフィンガープリント・データベースにフィンガープリントを保存する、
    ステップ、
    のためのコンピュータ命令を備える、コンピュータ・プログラム製品。
JP2019545878A 2016-11-03 2017-09-26 ネットワーク・マッピングのためのフィンガープリントの決定 Pending JP2020502703A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/342,991 2016-11-03
US15/342,991 US11050629B2 (en) 2016-11-03 2016-11-03 Fingerprint determination for network mapping
PCT/US2017/053535 WO2018084960A1 (en) 2016-11-03 2017-09-26 Fingerprint determination for network mapping

Publications (1)

Publication Number Publication Date
JP2020502703A true JP2020502703A (ja) 2020-01-23

Family

ID=62021974

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019545878A Pending JP2020502703A (ja) 2016-11-03 2017-09-26 ネットワーク・マッピングのためのフィンガープリントの決定

Country Status (7)

Country Link
US (2) US11050629B2 (ja)
EP (1) EP3535658A4 (ja)
JP (1) JP2020502703A (ja)
KR (1) KR20190073481A (ja)
AU (1) AU2017353820A1 (ja)
CA (1) CA3042640A1 (ja)
WO (1) WO2018084960A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11770402B2 (en) * 2021-02-25 2023-09-26 Fortinet, Inc. Systems and methods for network device discovery and vulnerability assessment
KR20220157565A (ko) * 2021-05-21 2022-11-29 삼성에스디에스 주식회사 웹 스캐닝 공격 탐지 장치 및 방법
CN113572773A (zh) * 2021-07-27 2021-10-29 迈普通信技术股份有限公司 一种接入设备及终端接入控制方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020046286A1 (en) 1999-12-13 2002-04-18 Caldwell R. Russell Attribute and application synchronization in distributed network environment
US20050154733A1 (en) 2003-12-05 2005-07-14 David Meltzer Real-time change detection for network systems
US20050289072A1 (en) 2004-06-29 2005-12-29 Vinay Sabharwal System for automatic, secure and large scale software license management over any computer network
US20070094491A1 (en) * 2005-08-03 2007-04-26 Teo Lawrence C S Systems and methods for dynamically learning network environments to achieve adaptive security
US8811224B2 (en) * 2006-05-30 2014-08-19 McAfee Ireland Holdings, Limited Method and system for determining physical connectivity in a dynamic network
US8166144B2 (en) * 2007-06-29 2012-04-24 Apple Inc. Network identification and configuration using network signature
WO2012001667A1 (en) * 2010-07-01 2012-01-05 Nunez Di Croce Mariano Automated security assessment of business-critical systems and applications
US9626677B2 (en) * 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US20130007882A1 (en) * 2011-06-28 2013-01-03 The Go Daddy Group, Inc. Methods of detecting and removing bidirectional network traffic malware
US8594617B2 (en) 2011-06-30 2013-11-26 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US9106693B2 (en) * 2013-03-15 2015-08-11 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US9313294B2 (en) 2013-08-12 2016-04-12 The Nielsen Company (Us), Llc Methods and apparatus to de-duplicate impression information
CN104424435B (zh) * 2013-08-22 2018-12-04 腾讯科技(深圳)有限公司 一种获取病毒特征码的方法及装置
US10440016B2 (en) * 2014-12-09 2019-10-08 Duo Security, Inc. System and method for applying digital fingerprints in multi-factor authentication
US20200019702A1 (en) * 2016-03-25 2020-01-16 Nokia Technologies Oy A hybrid approach of malware detection

Also Published As

Publication number Publication date
US11050629B2 (en) 2021-06-29
EP3535658A4 (en) 2020-06-17
WO2018084960A1 (en) 2018-05-11
US20210288884A1 (en) 2021-09-16
EP3535658A1 (en) 2019-09-11
KR20190073481A (ko) 2019-06-26
US20180123894A1 (en) 2018-05-03
CA3042640A1 (en) 2018-05-11
US11777807B2 (en) 2023-10-03
AU2017353820A1 (en) 2019-06-06

Similar Documents

Publication Publication Date Title
US11757925B2 (en) Managing security actions in a computing environment based on information gathering activity of a security threat
RU2742824C2 (ru) Системы и способы автоматической детекции устройств
US10581908B2 (en) Identifying phishing websites using DOM characteristics
US11777807B2 (en) Fingerprint determination for network mapping
US20210243216A1 (en) Penetration tests of systems under test
US11206277B1 (en) Method and apparatus for detecting abnormal behavior in network
US10805377B2 (en) Client device tracking
US10749857B2 (en) Network mapping using a fingerprint
US10831838B2 (en) Triggered scanning based on network available data change
US20180268034A1 (en) Triggered scanning using provided configuration information
US20200244682A1 (en) Determining criticality of identified enterprise assets using network session information
CN108667769B (zh) 一种域名溯源方法及设备
KR101695461B1 (ko) 보안 위험 감지 장치 및 방법