JP2020535565A - 質問により無線アクセスセキュリティを提供するためのシステムおよび方法 - Google Patents
質問により無線アクセスセキュリティを提供するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2020535565A JP2020535565A JP2020536488A JP2020536488A JP2020535565A JP 2020535565 A JP2020535565 A JP 2020535565A JP 2020536488 A JP2020536488 A JP 2020536488A JP 2020536488 A JP2020536488 A JP 2020536488A JP 2020535565 A JP2020535565 A JP 2020535565A
- Authority
- JP
- Japan
- Prior art keywords
- new
- network
- sensor
- information
- slan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000004044 response Effects 0.000 claims abstract description 24
- 230000006399 behavior Effects 0.000 claims abstract description 23
- 230000000694 effects Effects 0.000 claims abstract description 10
- 238000013459 approach Methods 0.000 claims abstract description 8
- 238000010219 correlation analysis Methods 0.000 claims abstract description 8
- 238000010801 machine learning Methods 0.000 claims abstract description 7
- 241000282412 Homo Species 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 23
- 238000011156 evaluation Methods 0.000 claims description 12
- 239000003550 marker Substances 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 4
- 238000010586 diagram Methods 0.000 abstract description 20
- 230000003278 mimic effect Effects 0.000 abstract description 2
- 238000012216 screening Methods 0.000 abstract description 2
- 238000004590 computer program Methods 0.000 description 8
- 230000015654 memory Effects 0.000 description 7
- 238000012360 testing method Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 101000812677 Homo sapiens Nucleotide pyrophosphatase Proteins 0.000 description 1
- 102100039306 Nucleotide pyrophosphatase Human genes 0.000 description 1
- 241000287219 Serinus canaria Species 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
安全なLANネットワークに接続しようと試みる任意の新しい無線ネットワークのセキュリティ特性および動作を事前審査および識別することにより、企業ローカル・エリア・ネットワーク(LAN)にセキュリティを提供する。本明細書の開示は、集中型クラウド内部で、集中型クラウドにより管理された監視センサシステムを使用することにより、IEEE 802.11無線ネットワークの識別および分類を提供する。監視センサは、人間をシミュレートするランダムな活動が後に続く、エンドユーザのワークステーションまたは移動体機器などの既知のプラットフォームの挙動を模倣するネットワークに質問する。LANシステムに関係がある挙動パターンおよび人間の挙動を含む無線ネットワークのレスポンス特性を収集する。セキュリティシステムは、データ科学的取り組み方法、相関分析、および機械学習分類法を含む方法を使用して、収集した情報を分析することによって提供される分類法を使用して、新しく検出した無線ネットワークのセキュリティ分類を決定する。【選択図】図5
Description
(関連出願の相互参照)
本出願は、本開示が参照により本明細書に組み入れられる、2017年9月7日に出願された米国仮特許出願第62/555,586号明細書の利益を主張する。
本出願は、本開示が参照により本明細書に組み入れられる、2017年9月7日に出願された米国仮特許出願第62/555,586号明細書の利益を主張する。
本開示は、無線ネットワークを安全に接続する分野に関し、より具体的には、安全なローカル・エリア・ネットワーク(local area network、LAN)へのアクセスを要求する無線ネットワークのセキュリティに関係がある、無線ネットワークの挙動特性を識別することに関する。
大部分のローカル・エリア・ネットワーク(LAN)では、典型的には、新しい機器およびネットワークの除去および参加が絶えず存在する。LANが外部からのどんな侵入および攻撃からも守られていたとしても、LANに接続する新しい機器およびネットワークは、安全であるとは限らなく、セキュリティ違反およびサイバー攻撃のための経路を提供する場合がある。現在、IEEE 802.11i、およびIETF(internet engineering task force)による無線ネットワークに関する拡張可能な認証プロトコル(Extensible Authentication Protocol、EAP)法は、安全な無線LAN導入をサポートする2つの規格である。これらの規格は、実装されたとき、無線ネットワークの802.11グループに適合する安全なWLANに対するセキュリティ違反およびサイバー攻撃からの保護を提供することが期待される。WLANセキュリティのための、802.11iおよびEAPに従う2つの現在のセキュリティ方法は、典型的には、相互認証のためにEAP−TLSプロトコルを用いる802.1Xと呼ばれるTLS(transport level security)を有し、かつPSK(Pre−Shared Key)、またはIEEE 802.1x交換による認証成功に基づきアクセスを許可することができるようにする交渉段階を遂行するEAPを用いる802.1Xアクセス制御だけを実装する。IEEE 802.11iは、4ウェイハンドシェイクおよびグループ・キー・ハンドシェイクという2つの新しいプロトコルを伴うRSN(Robust Security Network)を提供する。これらは、IEEE802.1Xで記述されている認証サービスおよびポートアクセス制御を利用して、適合した暗号鍵を確立し、交換する。
図1は、EAP−TLSプロトコルを用いる802.1Xの例示的構成要素および活動(100)を示す。嘆願者(101)を指定された新しいネットワークまたは機器は、安全なローカル・エリア・ネットワーク(secure local area network、SLAN)へのゲートウェイまたはホットスポットである認証者(102)を通してネットワークへのアクセスを要求する。認証者(102)は、自身を識別するEAPプロトコルリクエストで嘆願者(101)に応答する。嘆願者(101)は、認証者(102)にEAPプロトコル識別レスポンスを提供し、EAPプロトコル識別レスポンスは、認証サーバ(103)に伝えられ、認証サーバ(103)は、必要なセキュリティ鍵またはチャレンジを生成して、嘆願者(101)に送信する。認証者は、EAPプロトコルを使用して鍵を嘆願者に送信し、嘆願者は、チャレンジに応答し、チャレンジは、認証サーバ(103)により確認され、受け入れられたとき、認証者を通して嘆願者と(101)とSLANの間の接続成功をもたらす。IEEE 802.11iを使用するこの安全な接続処理は、図2を使用して、認証者であるアクセスポイント(access point AP)202とクライアントである嘆願者ステーション(station、STA)(201)の間の対話に基づき説明するように、セキュリティをさらに提供する。現在のIEEE 802.11iは、4ウェイハンドシェイクを使用して、安全な認証された接続を確立し、確実にする。初期認証処理は、事前共有鍵(pre−shared key、PSK)を使用して、または(一般に認証サーバの存在を必要とする)802.1XによるEAP交換に従って行われる。この処理は、アクセスポイント(AP)を用いてクライアントステーション(STA)が認証されることを確実にする。PSKまたは802.1X認証の後、PMK(Pairwise Master Key)と呼ばれる共有秘密鍵を生成する。事前共有鍵ネットワークでは、PSKはPMKである。802.1X EAP交換を行った場合、認証サーバが提供するEAPパラメータからPMKを導出する。STAとAPの両方は、PMKを使用して、メッセージを解読する。
図2は、追加の暗号鍵、PTK(pair wise transient key)、およびさらにまたマルチキャストメッセージおよびブロードキャストメッセージのために使用するGTK(Group Temporal Key)を生成して、802.11i処理に従ってPMK(paired master key)をさらに保護するために使用する例示的活動シーケンス200を示す。
4ウェイハンドシェイクを使用して、PTK(Pairwise Transient Key)を確立する。PMK、APノンス(nonce)値(ANonce、Aノンス)、STAノンス値(SNonce、Sノンス)、APのMACアドレス、およびSTAのMACアドレスという属性を連結することによりPTKを生成する。次いで、生成物を擬似ランダム関数に通す。
PTKを生成するためのハンドシェイク中に交換する実際のメッセージについて図2に描き、以下で説明する。すべてのメッセージを、EAPOL−Keyフレームとして送信する。
AP(202)は、STA(201)にノンス値(Aノンス)を送信する。クライアントSTA(201)は、第1のステップである処理S211で、PTKを構築する(215a)ための属性を今ではすべて有する。
STAは、第2のステップである処理S212で、実際にはメッセージ認証完全性コード(Message Authentication and Integrity Code、MAIC)である、認証を含むメッセージ完全性コード(Message Integrity Code、MIC)と共に、自身のノンス値(Sノンス)をAPに送信する。
APは、次に、受信した情報を使用してPTK(215b)およびGTKを構築し、別のMICと共にGTKおよびシーケンス番号を送信する。このシーケンス番号は、次のマルチキャストフレームまたはブロードキャストフレームで使用され、その結果、受信しているSTAは、第3のステップである処理S213で基本再生検出を遂行することができる。
STAは、第4のステップとしてAPに確認を送信し、処理S214を完了する。
同様の参照符号が類似の要素を示す添付図面の図で、限定としてではなく例として本明細書の実施形態を例示する。本開示で「ある(an)」実施形態または「一(one)」実施形態への言及は、同じ実施形態を言及するのでは必ずしもなく、少なくとも1つを意味することに留意されたい。また、簡潔にして図の総数を低減するために、所与の図を使用して2つ以上の実施形態の特徴について例示する場合があり、図中のすべての要素が、所与の実施形態に必要とされなくてもよい。
以下で論じる詳細を参照してさまざまな実施形態および様態について記述し、添付図面は、さまざまな実施形態を例示する。以下の記述および図面は、例証的であり、限定していると解釈されるべきではない。さまざまな実施形態を完全に理解するために、数多くの特有の詳細について記述する。しかしながら、本明細書で開示する実施形態は、これらの特有の詳細なしに実施してもよいことが理解される。ある種の実例では、例示的実施形態を簡潔に論じるために、回路、構造、および技法などの周知の、または一般に行われている詳細について記述しない。
本明細書で「一実施形態(one embodiment)」または「ある実施形態(an embodiment)」への言及は、その実施形態に関連して記述する特定の特徴、構造、または特性を少なくとも1つの実施形態に含むことができることを意味する。本明細書のさまざまな場所で「一実施形態では」という語句が出現することは、同じ実施形態をすべて言及するわけでは必ずしもない。
IEEE 802.11規格は、実装されたとき、一般に、SLANと要求しているネットワークの間で安全な認証された接続をもたらす。しかしながら、本明細書で本発明者らは、IEEE 802.11iの実装では、新しく接続しようとするネットワークの動作セキュリティについて、典型的には考慮されていないと認識している。これは、新しく追加される機器およびネットワークが、真正の機器およびネットワークを装うサイバー攻撃者であるという結果をもたらす可能性がある、または必要なセキュリティを有しないことによりサイバー攻撃者にアクセス権を提供する可能性がある。また、安全なLAN境界内部にいることにより、これらの機器およびネットワークは、それ自身安全ではないことにより、攻撃者が安全なLANを、サイバー攻撃を受けやすくすることにより、アクセスするためのゲートウェイの役割を果たす。
したがって、接続リクエストがネットワークの接続性およびアクセス可能性に関して、安全なLAN(SLAN)の境界内で受け入れられ、これらの境界がこれらの新しく接続される機器およびネットワークを包含するように拡張される前に、SLANの一部として受け入れられことになる機器およびネットワークの動作セキュリティを確認する手段を有することは、非常に価値がある。
本開示は、無線ネットワークを介してインターネットに接続された移動体機器(たとえば、携帯電話、タブレット機器)用のネットワークおよびデータセキュリティの試験アプリケーションを提供する。アプリケーションは、1つもしくは複数のネットワークセキュリティまたはデータ損失のテストケースを集中型サーバからダウンロードし、記憶し、次いで、1つもしくは複数のネットワークセキュリティまたはデータ損失のテストケースは、移動体機器上で実行される。たとえば、テストケースは、無線ネットワークを通して所定のウェブページにアクセスしようとし、次いで、アクセスが認められたかどうかを判断する。別の例では、テストケースは、ネットワークを通して機密に属するデータを伝送しようとする。テストケースの結果は、移動体機器上に表示され、集中型サーバにアップロードされる。ネットワークおよびデータセキュリティの試験アプリケーションはまた、ウェブ・ページ・ホスティング・ボットネット、悪意のあるウェブ利用、悪意のあるウェブ難読化、悪意のあるインラインフレーム(iframe)リダイレクション、およびマルウェアファイルへのアクセスが認められたかどうかを識別する。
本明細書の開示は、以下を提供する。
接続を要求している新しいネットワーク/機器のための特性解析問合せフレームワークを生成するために、複数の要素を備える、信頼できるネットワークから得られる特徴的な問合せおよびレスポンスのデータを収集および編集する。
編集された問合せを使用して、ネットワーク/機器から得られるレスポンスを抽出する。
レスポンスで標準からの偏差を比較し、分析し、識別するために、クラウドに基づくセキュリティ監視を使用する。
新しいネットワークの動作セキュリティを分類するために分析するために、擬似ネットワークと接続を要求している新しいネットワークとの間の接続問合せレスポンスを抽出することができるように、擬似ネットワークを使用して、実際のネットワークをエミュレートする。
ネットワークの任意の単一要素ではなくネットワーク全体を分類するための、ネットワークレベルでのデータ科学的取り組み方法、相関分析、および分類法を含む、上記で使用した分析法。
偏差の分析結果から、接続されるネットワークのセキュリティレベルを決定し、発見に基づき接続要求を有効化もしくは拒否する、または承認されていない接続を切断する。
本明細書の実施形態は、企業ローカル・エリア・ネットワーク(LAN)にセキュリティを提供するためのシステムおよび方法を含む。典型的には、企業LANは、サイバー攻撃者による攻撃を防止するために、確立されたアクセスおよび動作セキュリティを有し、監視された空間として存在し、それにより、企業LANを安全なLAN(SLAN)にしている。SLANを形成する典型的企業ネットワークは、サーバ、移動体機器、記憶装置、周辺機器、表示システム、安全なネットワークとして接続された他の処理要素および通信要素などの複数の要素を有する。本明細書の実施形態は、近傍で識別された、SLANに接続しようと試みる任意の新しい無線ネットワークのセキュリティ特性および活動を事前審査および識別することによりSLANのセキュリティを確実にするためのシステムおよび方法を包含する。本明細書の開示は、集中型クラウド内部で集中型クラウドにより管理された監視センサシステムを使用することにより、IEEE 802.11無線ネットワークを識別および分類するための能力を提供する。監視センサは、人間をシミュレートするランダムな活動が後に続く、エンドユーザのワークステーションまたは移動体機器などの既知のプラットフォームの挙動を模倣するネットワークに質問する。LANシステムに関係がある挙動パターンおよび人間の挙動を含む無線ネットワークのレスポンス特性を収集する。セキュリティシステムは、データ科学的取り組み方法、相関分析、および機械学習分類法を含む方法を使用して、収集した情報を分析することによって提供される分類法を使用して、事前審査結果を決定する。分析の結果、新しく検出された無線ネットワークのセキュリティ分類が決定される。安全なLANに接続しようと試みるネットワークの動作セキュリティ状態を提供するこのセキュリティ分類に基づき、そのような接続リクエストを許可する、または却下する決断を行うことができる。
一実施形態では、ネットワークの接続正常アクセスポイント(AP)を確立するために、交渉処理が接続に導く。APは、典型的には、ネットワークのESSID(extended service set identification、拡張サービスセット識別)またはネットワークの名前、到達可能性、またはBSSID(basic service set identification、基本サービスセット識別)と呼ばれるWi−Fiチップセットのハードウェアアドレス、および能力(capability、CAP)を含むデータフレームとしてAPの情報をブロードキャストする。ネットワークに接続する必要がある任意のWi−Fiクライアントまたはステーション(STA)は、このデータを使用して、接続されるようになる。SLANの場合、STAおよびAPは、IEEE 802.11iセキュリティプロトコルを使用して、安全な接続を確実にする。IEEE 802.11iセキュリティ仕様規格は、STAとAPの間で安全な接続を達成するために、安全な鍵およびEAP転送プロトコルを使用する。すでに論じたように、IEEE 802.11i規格は、典型的には、接続しようとするSTAが動作的に安全な機器またはSLANであり、かつ攻撃を受けやすいことがないかどうかを確認するために、STAの動作セキュリティを確認することもなく、確実にすることもない。本明細書で開示する配列のおかげで、802.11iセキュリティ規格の上述の限界を補正することが可能である。
図3は、本明細書のある実施形態による、安全なローカル・エリア・ネットワーク(SLAN)300である企業ネットワークを説明するための構成図である。企業ネットワークは、周知のように複数の要素を含み、したがって、図3では明示的に示されず、一緒に接続されたサーバ、移動体機器、記憶装置、周辺機器およびI/O機器、通信機器などを含んでもよい。企業ネットワークはまた、SLANの内側の安全な要素が外側の世界と対話可能にする複数のアクセスポイントを有してもよい。図3は、複数のアクセスポイント(AP)(302−x)を有する安全なLAN(SLAN)(301)を示す。一実施形態では、センサ(303)は、SLAN(301)のAP(302−x)の各々と関連づけられ、クラウド(310)内の中央コンソール(central console、CC)(311)に連結される。センサ(303)は、AP(302−x)に接続する,機器を含む任意のネットワークの固有識別インジケータを有効にする802.11 Wi−Fiデータフレームを収集することができる。収集したデータフレームはまた、SLAN(301)と、AP(302−x)を介してSLAN(301)に正常に接続しようとするネットワークとの間で正常な問合せおよびレスポンスを備える。センサ(303)が収集したデータおよび情報は、照合され、通信リンク(304)を介してクラウド(310)内のCC(311)に配送される。典型的には、SLAN(301)は、複数のセンサ(303)を使用して、データ収集の容易さ、ならびに収集し、照合した情報をCC(311)へ移送する容易さを確実にする。受信した情報およびデータは、新しいデータを受信したときにCC(311)により絶えず更新される、クラウド(310)内の履歴データベース(312)に記憶される。さらに、CC(311)は、対話の情報およびデータを絶えず分析し、SLAN(301)に接続しようとするネットワークすべてを分類するための1組の潜在的マーカを明らかにする。分類は、接続中および接続後に潜在的マーカを指し示す、システムおよび人間の挙動、ならびに接続およびハンドシェイク処理の一部として受信した対話、ならびに受信した1組の問合せおよび回答を使用する。これらを分析して、データ科学的取り組み方法、相関分析、および機械学習を使用して、要求しているネットワークの分類を生成する。
図4は、無線802.11接続(404−1〜404−3)を介してSLAN(301)に接続しようとする機器(401)(402)(403)を含む既知の安全なネットワークの接続を説明するための構成図400を示す。たとえば通信リンク(304)を介してCC(311)と関連づけられ、CC(311)に連結されたセンサ(303)は、これらの安全なネットワーク(401〜403)が通常に接続する間、問合せおよびレスポンスを収集する。SLAN(301)に接続しようとする既知の安全なネットワーク(401、402)(403)から収集した対話の情報およびデータから、中央コンソール(311)は、通常のコマンド/結果の挙動からなる問合せパッケージ(410)を生成する。コマンド/挙動は、ドメイン・ネーム・サーバ(Domain Name Server、DNS)、ハイパーテキスト転送プロトコル(Hypertext Transfer Protocol,HTTP)、TCP/UDPサービス、および他の整合性のある挙動トークンなどのインターネットプロトコルからのさまざまなリクエストおよびレスポンスを備える。収集され、分析され、パッケージに含まれる追加情報は、802.1X公開証明書、DNSホスト名などのハニーポット・カナリア・データ(honeypot canary data)、ユーザ名およびパスワード、ESSID、ならびにサードパーティが指定するような任意の追加データなどの、類似するAPの属性を備える。新しいネットワークがSLAN(301)と関わり合おうと試みるときに任意の新しいネットワークの動作セキュリティおよび周辺セキュリティの評価中にセンサ(303)が使用するために、これらの問合せ/レスポンスパッケージ(410−1〜410−4)は、SLAN(301)に関連する問合せデータベース(411)に保存される。
図5は、新しい、これまで未知のネットワーク(501)が802.11無線接続(504)を使用してAPでSLAN(たとえば、301)に接続しようと試みるときの条件500を説明するための図である。センサ(303)は、接続リクエストを識別し、接続リクエストにフラグを立てる。安全な接続のための802.11ハンドシェイク中に、センサは、フラグを立てた最終的な新しいネットワーク(501)からの初期情報およびデータを収集して、履歴データと比較するために、および分類のための潜在的マーカを識別するために、CC(311)に送信する。新しいネットワーク(501)の分類が確立すると、CC(311)は、識別されたネットワーク分類のための、あらかじめ用意され記憶された問合せ/回答パッケージ(401〜404)を確認し、データベース(411)内の問合せパッケージ(410−n)の可用性に基づき、CC(311)は、あらかじめ用意された問合せパッケージ(410−n)をデータベースから選んで、またはセンサ(303)に提供される、新しい分類のための新しい問合せパッケージ(410−n)を生成して、新しいネットワーク(501)の動作セキュリティを評価する。
リクエストおよびレスポンスからなる問合せパッケージ(410−n)がセンサ(303)に配送されると、センサ(303)は、規定された問合せパッケージ(410−n)を使用して、新しいネットワーク(501)を評価するよう要求される。センサ(303)は、中央コンソール(311)の助けを借りて、近辺にあるネットワーク(401)の既知のSTA MACアドレス(ac:bc:32:9f:4d:0cなど)に類似するMACアドレス(510)(たとえば、ac:bc:32:9f:4d:1c)を有するクライアントSTAとの擬似ネットワークを確立する。センサ(303)は、生成したSTA MACアドレス(510)(たとえば、ac:bc:32:9f:4d:1c)を使用して、新しい無線ネットワーク(501)と関わり合って、新しい無線ネットワーク(501)への接続性を確立する。IEEE 802.1x規格プロトコルにより保護されたネットワークの場合、センサ(303)は、ランダム化により生成された、またはサードパーティのデータにより提供された証明書を使用して、ログイン認証を確立しようとする。
センサ(303)により新しいネットワーク(501)への接続性が確立されると、TCP/IP DHCPv4、TCP/IP DHCPv6、または他のアドレス指定サービスなどの追加のアドレス指定サービスを使用して、ネットワークに基づく識別子を得て、既知のサービスへの接続性を許可する。センサ(303)は、次に、パッケージ化された問合せを使用して、新しいネットワーク(501)に質問し、結果を記録する。受信したこれらの結果(511)は、受信したように、または収集した情報に基づき追加修正を伴って、CC(311)に渡される。問合せのパッケージを完了し、結果(512)を収集すると、CC(311)は、結果(512)を調査し、新しい問合せパッケージの中に結果(512)を編集し、新しい問合せパッケージは、データベース411内の問合せパッケージを更新するために使用される。調査結果を使用して、要求しているネットワーク(501)がSLAN(301)に接続するのに動作的に安全であるかどうかを判断する。CC(311)はまた、任意のさらなる調査および処理のために、履歴データベースの中にネットワーク(501)に関するセキュリティ要約を作り出す。
図3〜図5は、特定の実装形態の単なる例であり、さまざまなネットワーク内に存在してもよいいくつかのタイプの構成要素を例示することだけを意図している。ネットワークは、さまざまな構成要素を伴って例示されているが、構成要素を相互接続する任意の特定のアーキテクチャまたは手法を表すことを意図するものではないことに留意されたく、したがって、詳細は、本明細書の実施形態に密接な関係があるわけではない。より少ない構成要素、または多分より多くの構成要素を有するネットワークもまた、本明細書の実施形態と共に使用してもよいこともまた認識されよう。
図6は、ネットワークの分類、およびネットワークの動作セキュリティに関する各分類に従いネットワークに質問するのに適した問合せパッケージの生成について説明するための例示的流れ図600である。これに関しては、通常は流れ図、フローダイアグラム、構造図、または構成図として記述される処理600として以下の実施形態について記述してもよい。流れ図は、順次処理として動作を記述してもよいが、動作の多くを並列に、または同時に遂行することができる。それに加えて、動作の順序を再配列してもよい。処理は、その動作が完了したときに終結する。処理は、方法、手順などに対応してもよい。ハードウェア(たとえば、回路、専用論理回路など)、(たとえば、非一時的コンピュータ可読媒体上に具体化された)ソフトウェア、またはそれらの組合せを含む処理論理により処理600を遂行してもよい。
ブロックS6001で、センサ(303)は、802.11無線手段を使用して安全なローカル・エリア・ネットワーク(SLAN)(301)のアクセスポイント(302−x)に接続する機器(403)を含む既知の安全なネットワーク(401および402)を識別する。
ブロックS6002で、センサ(303)は、ネットワーク(401〜403)の接続処理中に、SLAN(301)とネットワーク(401〜403)の各々の間でハンドシェイク、ならびにハンドシェイク後の問合せおよびレスポンスに関係があるデータおよび情報を収集する。
ブロックS6003で、センサ(303)は、編集および評価のために、ネットワーク(401〜403)の各々とSLAN(301)の間の接続トランザクション中に生成した、収集したデータおよび情報をクラウド(310)内の中央コンソール(311)に送信する。
ブロックS6004で、中央コンソール(311)は、接続しようとするネットワーク(401〜403)ごとにセンサ(303)からデータおよび情報を受信し、データおよび情報を合併し、それを、受信したデータおよび情報を用いて絶えず更新される履歴データベース(312)に記憶する。
ブロックS6005で、中央コンソール(311)は、受信したデータおよび情報を分析して、SLAN(301)に接続しようとするネットワーク(401〜403)を分類するためのマーカを識別する。
ブロックS6006で、中央コンソール(311)は、データ科学的取り組み方法、相関分析、および機械学習を使用して、SLAN(301)に接続しようとするネットワーク(401〜403)のために識別されたマーカに基づき分類グループを生成する。
ブロックS6007で、中央コンソール(311)は、安全なネットワーク(401〜403)から収集したデータおよび情報、ならびに履歴データベース(312)に保存した履歴データおよび情報を保存したから分類グループごとに、問合せおよびレスポンスを備える問合せパッケージ(410−1〜410−4)をさらに生成する。
ブロックS6008で、新しいネットワークがSLAN(301)に接続しようと試みるときに任意の新しいネットワーク(501)の動作セキュリティ状態を評価するために、すでに識別された分類に入る任意の新しいネットワーク(501)に質問を行うために、中央コンソール(311)は、SLAN(301)のセンサ(303)に関連する問合せデータベース(411)に、生成した問合せパッケージ(410−1〜410−4)を保存する。
図7は、新しいネットワークの動作セキュリティ状態を決定するために問合せパッケージを使用して、かつSLANへの接続を許可する、または否認する結果に基づき、802.11無線手段により、SLANに接続しようと試みる最終的な新しいネットワークを識別するステップ、分類するステップ、およびそのネットワークに質問するステップを説明するための例示的流れ図700である。これに関しては、通常は流れ図、フローダイアグラム、構造図、または構成図として記述される処理700として以下の実施形態について記述してもよい。流れ図は、順次処理として動作を記述する場合があるが、動作の多くを並列に、または同時に遂行してもよい。それに加えて、動作の順序を再配列してもよい。処理は、その動作が完了したときに終結する。処理は、方法、手順などに対応してもよい。処理700は、ハードウェア(たとえば、回路、専用論理回路など)、(たとえば、非一時的コンピュータ可読媒体上に具体化された)ソフトウェア、またはそれらの組合せを含む処理論理により遂行されてもよい。
ブロックS7001で、最終的な新しいネットワーク(501)は、802.11無線手段を使用して、SLAN(301)のアクセスポイント(302−x)を通して接続を要求する。
ブロックS7002で、センサ(303)は、接続リクエストを識別し、接続リクエストにフラグを立てて、ハンドシェイク、および安全な接続前期間中にデータおよび情報を収集する。
ブロックS7003で、センサ(303)は、履歴データベース(312)に保存した履歴データと比較するために、および新しいネットワーク(501)を分類するための任意の利用可能なマーカを識別するために、収集したデータおよび情報をクラウド(310)内の中央コンソール(311)に送信する。
ブロックS7004で、中央コンソール(311)は、履歴データベース(312)に記憶した分類に対して、分類のための利用可能なマーカを確認して、新しいネットワークの分類マーカが任意の既存の分類と一致するかどうかを確かめる。新しいネットワーク(501)が既存の分類に入ることが分かった場合、次の3つのステップを排除するが、中央コンソール(311)により、ネットワークが既存の分類に入ると識別されなかった場合、以下の3つのステップを開始する。
ブロックS7005で、中央コンソールは、センサ(303)が収集したデータおよび情報から識別したマーカに基づき、ネットワークに関する新しい分類を生成する。
ブロックS7006で、センサ(303)が収集し、中央コンソール(311)に送信した情報およびデータ、ならびに履歴データベース(312)内の任意の関連性のあるデータに基づき、中央コンソール(311)は、新しいネットワーク(501)に、および新しい分類のネットワークに質問するための新しい問合せパッケージ(410−n)を生成する。
ブロックS7007で、生成した新しい問合せパッケージ(410−n)を、SLAN(301)に関連する問合せデータベース(411)に記憶し、新しい分類を参照する。
ブロックS7008で、中央コンソール(311)は、SLAN(301)への接続を要求する新しいネットワーク(501)の動作セキュリティを評価するために、問合せデータベース(411)から新しいネットワーク(510)を分類するための問合せパッケージ(410−n)を抽出するようセンサ(303)に要求する。
ブロックS7009で、センサ(303)は、近くの信頼できるネットワーク(401)のSTA MACアドレスに類似するSTA MACアドレスを用いて新しい擬似ネットワーク(510)を確立して、新しいネットワーク(501)と直接関わり合い、ハンドシェイクおよび安全な接続性を用いて、新しいネットワーク(501)との認証された接続性を確立する。
ブロックS7010で、センサ(303)は、直接接続が確立されると、追加のアドレス指定サービスを使用して、既知のサービスに接続されるようになり、選択した問合せパッケージ(410−n)内の問合せおよび回答を使用して、新しいネットワークに質問する。
ブロックS7011で、新しいネットワーク(501)への接続から得られる追加のデータおよび情報、ならびに質問の結果は、中央コンソールセンサ(303)により収集され、新しいネットワークの動作セキュリティを評価するために中央コンソール(311)に送信される。
ブロックS7012で、中央コンソール(311)は、擬似ネットワーク(510)への新しい接続処理から収集したデータおよび情報、ならびに質問の結果を使用して、新しい分類のために問合せデータベース(411)に保存された問合せパッケージ(410−n)を更新する。
ブロックS7013で、中央コンソール(311)は、動作セキュリティの評価結果をSLAN(301)のセンサ(303)に送信し、センサは、評価の受入可能性または受入不可能性に基づき、新しいネットワーク(501)によるSLAN(301)への接続リクエストを有効にする、または否認する。
本明細書で記述する処理(たとえば、処理600および処理700)は、記述する特有の例に限定されない。たとえば、処理600および処理700は、それぞれ図6および図7の特有の処理順序に限定されない。むしろ、これらの図の処理ブロックのいずれも、必要に応じて並べ替えて、組み合わせて、または取り除いて、並列に、もしくは連続的に遂行して、上記で示す結果を達成してもよい。1つまたは複数のコンピュータプログラムを実行して、システムの機能を遂行する1つまたは複数のプログラム可能プロセッサは、システム実装に関連する(たとえば、処理600および処理700での)処理ブロックを遂行してもよい。システムのすべてまたは一部を、専用論理回路(たとえば、FPGA(field−programmable gate array)および/またはASIC(application−specific integrated circuit,特定用途向け集積回路))として実装してもよい。たとえば、プロセッサ、メモリ、プログラム可能論理デバイス、または論理ゲートのうち少なくとも1つなどの電子デバイスを含む電子的ハードウェア回路を使用して、システムのすべてまたは一部を実装してもよい。さらに、処理600および処理700をハードウェア機器とソフトウェア構成要素の任意の組合せで実装することができる。
本明細書で記述する処理(たとえば、処理600および処理700)は、図3〜図5のハードウェアおよびソフトウェアと共に使用するように限定されているわけではなく、任意のコンピューティング環境または処理環境でコンピュータプログラムを走らせることができる任意のタイプの機械または1組の機械と共に適用可能性を見いだしてもよい。本明細書で記述する処理を、ハードウェア、ソフトウェア(ハードドライブまたはシステムメモリなどのコンピュータ可読媒体上に記憶されたコンピュータコードを含む)、または両者の組合せで実装してもよい。本明細書で記述する処理を、プロセッサ、非一時的機械可読媒体、またはプロセッサにより可読の、製造業者の他の物品(揮発性および不揮発性のメモリおよび/または記憶素子を含む)、少なくとも1つの入力機器、および1つまたは複数の出力機器をそれぞれ含むプログラム可能コンピュータ/機械上で実行されるコンピュータプログラムの中に実装してもよい。入力機器を使用して入力されたデータにプログラムコードを適用して、本明細書で記述する処理のいずれかを遂行し、出力情報を生成してもよい。
データ処理装置(たとえば、プログラム可能プロセッサ、コンピュータ、複数のコンピュータ)により実行するために、またはデータ処理装置の動作を制御するために、コンピュータプログラム製品を介して(たとえば非一時的コンピュータ可読媒体などの、たとえば非一時的機械可読記憶媒体の中に)NPSおよびNPPSの実施形態を少なくとも一部は実装してもよい。そのような各プログラムを高水準手続き型プログラミング言語またはオブジェクト指向プログラミング言語で実装して、コンピュータシステムと通信してもよい。しかしながら、プログラムをアセンブリ言語または機械語で実装してもよい。言語は、コンパイラ型言語またはインタープリタ型言語であってもよく、独立型プログラムとして、またはモジュール、コンポーネント、サブルーチン、もしくはコンピューティング環境で使用するのに適した他のユニットとしてを含む任意の形態で導入されてもよい。コンピュータプログラムを1つの敷地で、1つのコンピュータ上で、もしくは複数のコンピュータ上で実行するように導入してもよい、または複数の敷地にわたって分散させて、通信ネットワークにより相互接続してもよい。コンピュータが非一時的機械可読媒体を読み出して、本明細書で記述する処理を遂行するとき、コンピュータを構成し、動作させるために、汎用または専用のプログラム可能コンピュータが読出し可能な非一時的機械可読記憶媒体上にコンピュータプログラムを記憶してもよい。
たとえば、本明細書で記述するシステムおよび処理を、プロセッサをプログラムして、上記で記述した動作の一部またはすべてを遂行する命令を記憶した非一時的機械可読記憶媒体としてさらにまた実装してもよい。非一時的機械可読記憶媒体を、コンピュータプログラムを用いて構成してもよく、その場合、コンピュータプログラム内の命令は、実行されたとき、処理に従ってコンピュータを動作させる。非一時的機械可読媒体は、ハードドライブ、コンパクトディスク、フラッシュメモリ、不揮発性メモリ、揮発性メモリ、磁気ディスケットなどを含んでもよいが、それらに限定されることはなく、しかし本質的に、一時的信号を含まない。他の実施形態では、これらの動作のいくつかを、配線によって接続された論理回路を包含する特有のハードウェア構成要素により遂行してもよい。代わりに、これらの操作を、プログラム可能なコンピュータ構成要素および固定されたハードウェア回路構成要素の任意の組合せにより遂行してもよい。
「コンピュータ可読記憶媒体」および「機械可読記憶媒体」という用語は、1つまたは複数の組の命令を記憶する単一媒体または複数の媒体(たとえば、集中型もしくは分散型のデータベース、ならびに/または関連するキャッシュおよびサーバ)を含むと理解すべきである。「コンピュータ可読記憶媒体」および「機械可読記憶媒体」という用語はまた、機械が実行するための1組の命令を記憶または符号化することができ、かつ本開示の方法論の任意の1つまたは複数を機械に遂行させる任意の媒体を含むと理解すべきである。それに応じて、「コンピュータ可読記憶媒体」および「機械可読記憶媒体」という用語は、ソリッド・ステート・メモリ、ならびに光学媒体および磁気媒体、または任意の他の非一時的機械可読媒体を含むが、それらに限定されないと理解すべきである。
実施形態に関連して本発明について記述してきたが、本発明は、記述した実施形態に限定されるのではなく、添付の特許請求の範囲の精神および範囲に入る修正および変形を伴って実施することができることを当業者は認識されよう。したがって、記述は、限定的ではなく、例示的であると見なされるべきである。上記で記述した本発明の異なる様態に対応する数多くの他の変形形態が存在し、簡潔にするために、これらの変形形態について詳細に提供してこなかった。したがって、他の実施形態は、特許請求の範囲に入る。
Claims (21)
- システムであって、
安全なローカル・エリア・ネットワーク(SLAN)の少なくとも1つのアクセスポイントを通して新しいネットワークからの接続リクエストを識別し、前記接続リクエストにフラグを立てて、前記新しいネットワークに関するデータおよび情報を収集するセンサと、
前記新しいネットワークを分類するための少なくとも1つのマーカを識別して、問合せデータベースから前記新しいネットワークを分類するための問合せパッケージを抽出して、前記新しいネットワークの動作セキュリティを評価するよう前記センサに要求する、前記センサに連結した中央コンソールであって、前記問合せパッケージは、問合せおよび回答を含む中央コンソールと
を備え、
前記センサはさらに、新しい擬似ネットワークを確立して、前記新しいネットワークと直接に関わり合い、前記新しい擬似ネットワークとの認証された接続を確立し、前記新しい擬似ネットワークに関するデータおよび情報を収集するためにあり、
前記センサはさらに、前記問合せパッケージに含まれる前記問合せおよび回答を使用して、前記新しいネットワークに質問するためにあり、
前記中央コンソールは、前記新しい擬似ネットワークに関する前記収集したデータおよび情報、ならびに前記質問の結果を使用して、前記新しいネットワークの前記動作セキュリティを評価し、前記評価の結果を前記センサに伝送し、
前記評価の前記結果に基づき、前記センサは、前記新しいネットワークによる前記SLANへの前記接続リクエストを有効にする、または否認するシステム。 - 前記中央コンソールはさらに、履歴データベースに記憶した複数の既存の分類と、分類するための前記識別したマーカを比較して、前記新しいネットワークの前記識別したマーカが前記複数の既存の分類の1つに入るかどうかを判断するためにあり、
前記新しいネットワークが前記複数の既存の分類の1つに入らないと判断する場合、前記中央コンソールはさらに、
前記新しいネットワークに関する前記収集したデータおよび情報から得られる前記識別したマーカに基づき、前記新しいネットワークのための新しい分類を生成し、
前記新しいネットワークに関する、前記センサにより前記収集したデータおよび情報、ならびに前記履歴データベースに記憶した関連性のある履歴データに基づき、前記中央コンソールは、前記新しいネットワークに質問するための新しい問合せパッケージを生成し、
前記新しい分類を参照して、前記SLANに関連する前記問合せデータベースに前記新しい問合せパッケージを記憶する
ためにある、
請求項1に記載のシステム。 - 前記センサはさらに、
802.11無線手段を使用して前記SLANの前記アクセスポイントに接続する1つまたは複数の機器を含む既知の安全なネットワークを識別し、
接続トランザクション中に前期SLANと前記機器の間でハンドシェイク、ハンドシェイク後の問合せ、およびレスポンスに関係があるデータおよび情報を収集し、
前記機器と前記SLANの間の前記接続トランザクション中に生成した、前記収集したデータおよび情報を、評価するために前記中央コンソールに送信する
ためにある、請求項2に記載のシステム。 - 前記中央コンソールは、
前記機器に関する前記収集したデータおよび情報を前記センサから受信し、前記収集したデータおよび情報を合併し、収集したデータおよび情報を用いて絶えず更新される前記履歴データベースに前記収集したデータおよび情報を記憶すること、
前記収集したデータおよび情報を分析して、前記SLANに接続しようとする前記機器を分類するための少なくとも1つのマーカを識別すること、
データ科学的取り組み方法、相関分析、および機械学習を使用して、前記SLANに接続しようとする前記機器のための前記識別されたマーカに基づき、少なくとも1つの分類グループを生成すること、
前記機器に関する前記収集したデータおよび情報、ならびに前記履歴データベースに記憶した関連性のある履歴データから前記分類グループごとに、問合せおよびレスポンスを含む少なくとも1つの新しい問合せパッケージを生成すること、ならびに
別の新しいネットワークが前記SLANに接続しようと試みるとき、動作セキュリティ状態を評価するために、前記複数の既存の分類の1つに入る前記別の新しいネットワークに質問を行うために、前記SLANの前記センサに関連する前記問合せデータベースに前記新しい問合せパッケージを記憶すること
により前記新しい問合せパッケージを生成する、請求項3に記載のシステム。 - 前記新しい擬似ネットワークは、既知の安全なネットワークのSTA MACアドレスに類似するSTA MACアドレスを有する、請求項1に記載のシステム。
- 前記センサは、既知のプラットフォームの挙動および人間をシミュレートするランダムな活動を模倣する前記新しいネットワークに質問する、請求項1に記載のシステム。
- 前記センサは、前記SLANの挙動および人間の挙動に関係がある挙動パターンを含む、前記新しいネットワークのレスポンス特性に関係があるデータおよび情報を収集する、請求項1に記載のシステム。
- 方法であって、
センサにより、安全なローカル・エリア・ネットワーク(SLAN)の少なくとも1つのアクセスポイントを通して新しいネットワークからの接続リクエストを識別し、前記接続リクエストにフラグを立てて、前記新しいネットワークに関するデータおよび情報を収集するステップと、
前記センサに連結した中央コンソールにより、前記新しいネットワークを分類するための少なくとも1つのマーカを識別し、前記中央コンソールにより、問合せデータベースから前記新しいネットワークを分類するための問合せパッケージを抽出して、前記新しいネットワークの動作セキュリティを評価するよう前記センサに要求するステップであって、前記問合せパッケージは、問合せおよび回答を含むステップと、
前記センサにより、新しい擬似ネットワークを確立して、前記新しいネットワークと直接に関わり合い、前記新しい擬似ネットワークとの認証された接続を確立し、前記センサにより、前記新しい擬似ネットワークに関するデータおよび情報を収集するステップと、
前記センサにより、前記問合せパッケージに含まれる前記問合せおよび回答を使用して、前記新しいネットワークに質問するステップと、
前記中央コンソールにより、前記新しい擬似ネットワークに関する前記収集したデータおよび情報、ならびに前記質問の結果を使用して、前記新しいネットワークの前記動作セキュリティを評価し、前記評価の結果を前記センサに伝送するステップと、
前記評価の前記結果に基づき、前記センサにより、前記新しいネットワークによる前記SLANへの前記接続リクエストを有効にする、または否認するステップと
を備える方法。 - 前記中央コンソールにより、履歴データベースに記憶した複数の既存の分類と、分類するための前記識別したマーカを比較して、前記新しいネットワークの前記識別したマーカが前記複数の既存の分類の1つに入るかどうかを判断するステップと、
前記新しいネットワークが前記複数の既存の分類の1つに入らないと判断する場合、
前記中央コンソールにより、前記新しいネットワークに関する前記収集したデータおよび情報から得られる前記識別したマーカに基づき、前記新しいネットワークのための新しい分類を生成するステップと、
前記新しいネットワークに関する、前記センサによる前記識別したデータおよび情報、ならびに前記履歴データベースに記憶した関連性のある履歴データに基づき、前記中央コンソールにより、前記新しいネットワークに質問するための新しい問合せパッケージを生成するステップと、
前記中央コンソールにより、前記新しい分類を参照して、前記SLANに関連する前記問合せデータベースに前記新しい問合せパッケージを記憶するステップと
をさらに備える、請求項8に記載の方法。 - 前記センサにより、802.11無線手段を使用して前記SLANの前記アクセスポイントに接続する1つまたは複数の機器を含む既知の安全なネットワークを識別するステップと、
前記センサにより、接続トランザクション中に前期SLANと前記機器の間でハンドシェイク、ハンドシェイク後の問合せ、およびレスポンスに関係があるデータおよび情報を収集するステップと、
前記センサにより、前記機器と前記SLANの間で前記接続トランザクション中に生成した、前記収集したデータおよび情報を、評価するために前記中央コンソールに送信するステップと
をさらに備える、請求項9に記載の方法。 - 前記新しい問合せパッケージは、
前記中央コンソールにより、前記機器に関する前記収集したデータおよび情報を前記センサから受信し、前記中央コンソールにより、前記収集したデータおよび情報を合併し、前記中央コンソールにより、収集したデータおよび情報を用いて絶えず更新される前記履歴データベースに前記収集したデータおよび情報を記憶するステップと、
前記中央コンソールにより、前記収集したデータおよび情報を分析して、前記SLANに接続しようとする前記機器を分類するための少なくとも1つのマーカを識別するステップと、
データ科学的取り組み方法、相関分析、および機械学習を使用して、前記中央コンソールにより、前記SLANに接続しようとする前記機器のための前記識別されたマーカに基づき、少なくとも1つの分類グループを生成するステップと、
前記中央コンソールにより、前記機器に関する前記収集したデータおよび情報、ならびに前記履歴データベースに記憶した関連性のある履歴データから前記分類グループごとに、問合せおよびレスポンスを含む少なくとも1つの新しい問合せパッケージを生成するステップと、
前記中央コンソールにより、別の新しいネットワークが前記SLANに接続しようと試みるとき、動作セキュリティ状態を評価するために、前記複数の既存の分類の1つに入る前記別の新しいネットワークに質問を行うために、前記SLANの前記センサに関連する前記問合せデータベースに前記新しい問合せパッケージを記憶するステップと
により生成される、請求項10に記載の方法。 - 前記新しい擬似ネットワークは、既知の安全なネットワークのSTA MACアドレスに類似するSTA MACアドレスを有する、請求項8に記載の方法。
- 前記センサにより、既知のプラットフォームの挙動および人間をシミュレートするランダムな活動を模倣することにより前記新しいネットワークに質問する、請求項8に記載の方法。
- 前記収集したデータおよび情報は、前記SLANの挙動および人間の挙動に関係がある挙動パターンを含む、前記新しいネットワークのレスポンス特性に関係がある、請求項8に記載の方法。
- コンピュータ実行可能命令を記憶する非一時的コンピュータ可読記憶媒体であって、前記命令は、処理を機械に実行させ、前記処理は、
センサにより、安全なローカル・エリア・ネットワーク(SLAN)の少なくとも1つのアクセスポイントを通して新しいネットワークからの接続リクエストを識別し、前記接続リクエストにフラグを立てて、前記新しいネットワークに関するデータおよび情報を収集するステップと、
前記センサに連結した中央コンソールにより、前記新しいネットワークを分類するための少なくとも1つのマーカを識別して、前記中央コンソールにより、問合せデータベースから前記新しいネットワークを分類するための問合せパッケージを抽出して、前記新しいネットワークの動作セキュリティを評価するよう前記センサに要求するステップであって、前記問合せパッケージは、問合せおよび回答を含むステップと、
前記センサにより、新しい擬似ネットワークを確立して、前記新しいネットワークと直接に関わり合い、前記新しい擬似ネットワークとの認証された接続を確立し、前記センサにより、前記新しい擬似ネットワークに関するデータおよび情報を収集するステップと、
前記センサにより、前記問合せパッケージに含まれる前記問合せおよび回答を使用して、前記新しいネットワークに質問するステップと、
前記中央コンソールにより、前記新しい擬似ネットワークに関する前記収集したデータおよび情報、ならびに前記質問の結果を使用して、前記新しいネットワークの前記動作セキュリティを評価し、前記評価の結果を前記センサに伝送するステップと、
前記評価の前記結果に基づき、前記センサにより、前記新しいネットワークによる前記SLANへの前記接続リクエストを有効にする、または否認するステップと
を備える非一時的コンピュータ可読記憶媒体。 - 前記処理は、
前記中央コンソールにより、履歴データベースに記憶した複数の既存の分類と、分類するための前記識別したマーカを比較して、前記新しいネットワークの前記識別したマーカが前記複数の既存の分類の1つに入るかどうかを判断するステップと、
前記新しいネットワークが前記複数の既存の分類の1つに入らないと判断する場合、
前記中央コンソールにより、前記新しいネットワークに関する前記収集したデータおよび情報から得られる前記識別したマーカに基づき、前記新しいネットワークのための新しい分類を生成するステップと、
前記新しいネットワークに関する、前記センサによる前記識別したデータおよび情報、ならびに前記履歴データベースに記憶した関連性のある履歴データに基づき、前記中央コンソールにより、前記新しいネットワークに質問するための新しい問合せパッケージを生成するステップと、
前記中央コンソールにより、前記新しい分類を参照して、前記SLANに関連する前記問合せデータベースに前記新しい問合せパッケージを記憶するステップと
をさらに備える、請求項15に記載の非一時的コンピュータ可読記憶媒体。 - 前記処理は、
前記センサにより、802.11無線手段を使用して前記SLANの前記アクセスポイントに接続する1つまたは複数の機器を含む既知の安全なネットワークを識別するステップと、
前記センサにより、接続トランザクション中に前記SLANと前記機器の間でハンドシェイク、ハンドシェイク後の問合せ、およびレスポンスに関係があるデータおよび情報を収集するステップと、
前記センサにより、前記機器と前記SLANの間の前記接続トランザクション中に生成した、前記収集したデータおよび情報を、評価するために前記中央コンソールに送信するステップと
をさらに備える、請求項16に記載の非一時的コンピュータ可読記憶媒体。 - 前記処理は、
前記中央コンソールにより、前記機器に関する前記収集したデータおよび情報を前記センサから受信し、前記中央コンソールにより、前記収集したデータおよび情報を合併し、前記中央コンソールにより、収集したデータおよび情報を用いて絶えず更新される前記履歴データベースに前記収集したデータおよび情報を記憶するステップと、
前記中央コンソールにより、前記収集したデータおよび情報を分析して、前記SLANに接続しようとする前記機器を分類するための少なくとも1つのマーカを識別するステップと、
データ科学的取り組み方法、相関分析、および機械学習を使用して、前記中央コンソールにより、前記SLANに接続しようとする前記機器のための前記識別されたマーカに基づき、少なくとも1つの分類グループを生成するステップと、
前記中央コンソールにより、前記機器に関する前記収集したデータおよび情報、ならびに前記履歴データベースに記憶した関連性のある履歴データから前記分類グループごとに、問合せおよびレスポンスを含む少なくとも1つの新しい問合せパッケージを生成するステップと、
前記中央コンソールにより、別の新しいネットワークが前記SLANに接続しようと試みるとき、動作セキュリティ状態を評価するために、前記複数の既存の分類の1つに入る前記別の新しいネットワークに質問を行うために、前記SLANの前記センサに関連する前記問合せデータベースに前記新しい問合せパッケージを記憶するステップと
をさらに備える、請求項17に記載の非一時的コンピュータ可読記憶媒体。 - 前記新しい擬似ネットワークは、既知の安全なネットワークのSTA MACアドレスに類似するSTA MACアドレスを有する、請求項15に記載の非一時的コンピュータ可読記憶媒体。
- 前記センサにより、既知のプラットフォームの挙動および人間をシミュレートするランダムな活動を模倣することにより前記新しいネットワークに質問する、請求項15に記載の非一時的コンピュータ可読記憶媒体。
- 前記収集したデータおよび情報は、前記SLANの挙動および人間の挙動に関係がある挙動パターンを含む、前記新しいネットワークのレスポンス特性に関係がある、請求項15に記載の非一時的コンピュータ可読記憶媒体。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762555586P | 2017-09-07 | 2017-09-07 | |
| US62/555,586 | 2017-09-07 | ||
| US15/877,274 US10764755B2 (en) | 2017-09-07 | 2018-01-22 | Systems and methods for providing wireless access security by interrogation |
| US15/877,274 | 2018-01-22 | ||
| PCT/US2018/047600 WO2019050686A1 (en) | 2017-09-07 | 2018-08-22 | SYSTEMS AND METHODS FOR PROVIDING WIRELESS ACCESS SECURITY BY INTERROGATION |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2020535565A true JP2020535565A (ja) | 2020-12-03 |
| JP2020535565A5 JP2020535565A5 (ja) | 2021-08-19 |
| JP7121129B2 JP7121129B2 (ja) | 2022-08-17 |
Family
ID=65518475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020536488A Active JP7121129B2 (ja) | 2017-09-07 | 2018-08-22 | 質問により無線アクセスセキュリティを提供するためのシステムおよび方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10764755B2 (ja) |
| EP (1) | EP3679500B1 (ja) |
| JP (1) | JP7121129B2 (ja) |
| WO (1) | WO2019050686A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11032708B2 (en) * | 2018-09-26 | 2021-06-08 | International Business Machines Corporation | Securing public WLAN hotspot network access |
| US11431679B2 (en) * | 2018-11-09 | 2022-08-30 | International Business Machines Corporation | Emergency communication manager for internet of things technologies |
| US11696129B2 (en) * | 2019-09-13 | 2023-07-04 | Samsung Electronics Co., Ltd. | Systems, methods, and devices for association and authentication for multi access point coordination |
| US11595442B2 (en) * | 2019-10-23 | 2023-02-28 | Semiconductor Components Industries, Llc | Multi-link wireless communications connections |
| EP3923612A1 (en) * | 2020-06-09 | 2021-12-15 | Deutsche Telekom AG | Method and communication system for ensuring secure communication in a zero touch connectivity-environment |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012222761A (ja) * | 2011-04-14 | 2012-11-12 | Fujitsu Semiconductor Ltd | 無線通信装置及び無線通信方法 |
| JP2014063349A (ja) * | 2012-09-21 | 2014-04-10 | Azbil Corp | マルウェア検出装置および方法 |
| US20170223037A1 (en) * | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7770223B2 (en) * | 2001-04-12 | 2010-08-03 | Computer Associates Think, Inc. | Method and apparatus for security management via vicarious network devices |
| KR100448262B1 (ko) * | 2002-03-19 | 2004-09-10 | 지승도 | 네트워크 보안 시뮬레이션 시스템 |
| US7965842B2 (en) * | 2002-06-28 | 2011-06-21 | Wavelink Corporation | System and method for detecting unauthorized wireless access points |
| US7286515B2 (en) * | 2003-07-28 | 2007-10-23 | Cisco Technology, Inc. | Method, apparatus, and software product for detecting rogue access points in a wireless network |
| US20060193299A1 (en) | 2005-02-25 | 2006-08-31 | Cicso Technology, Inc., A California Corporation | Location-based enhancements for wireless intrusion detection |
| US9167053B2 (en) * | 2005-09-29 | 2015-10-20 | Ipass Inc. | Advanced network characterization |
| US9363675B2 (en) | 2006-06-15 | 2016-06-07 | Cisco Technology, Inc. | Distributed wireless security system |
| US9148422B2 (en) | 2006-11-30 | 2015-09-29 | Mcafee, Inc. | Method and system for enhanced wireless network security |
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US9479357B1 (en) | 2010-03-05 | 2016-10-25 | Symantec Corporation | Detecting malware on mobile devices based on mobile behavior analysis |
| US9386035B2 (en) * | 2011-06-21 | 2016-07-05 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks for security |
| GB2494920B8 (en) | 2011-09-26 | 2014-02-19 | Validsoft Uk Ltd | Network connection method |
| US9226149B2 (en) | 2012-04-18 | 2015-12-29 | Huawei Technologies Co., Ltd. | System and method for rapid authentication in wireless communications |
| US20140096229A1 (en) * | 2012-09-28 | 2014-04-03 | Juniper Networks, Inc. | Virtual honeypot |
| US9021092B2 (en) * | 2012-10-19 | 2015-04-28 | Shadow Networks, Inc. | Network infrastructure obfuscation |
| US9954884B2 (en) * | 2012-10-23 | 2018-04-24 | Raytheon Company | Method and device for simulating network resiliance against attacks |
| KR101382525B1 (ko) | 2012-11-30 | 2014-04-07 | 유넷시스템주식회사 | 무선 네트워크 보안 시스템 |
| US9681304B2 (en) | 2013-02-22 | 2017-06-13 | Websense, Inc. | Network and data security testing with mobile devices |
| US20150373538A1 (en) | 2013-03-15 | 2015-12-24 | Mivalife Mobile Technology, Inc. | Configuring Secure Wireless Networks |
| US9246943B2 (en) | 2013-04-11 | 2016-01-26 | International Business Machines Corporation | Determining security factors associated with an operating environment |
| US9426653B2 (en) | 2013-07-17 | 2016-08-23 | Honeywell International Inc. | Secure remote access using wireless network |
| US9622081B1 (en) | 2013-09-12 | 2017-04-11 | Symantec Corporation | Systems and methods for evaluating reputations of wireless networks |
| CN103596173B (zh) | 2013-09-30 | 2018-04-06 | 北京智谷睿拓技术服务有限公司 | 无线网络认证方法、客户端及服务端无线网络认证装置 |
| US9497673B2 (en) | 2013-11-01 | 2016-11-15 | Blackberry Limited | Method and apparatus to enable multiple wireless connections |
| GB201418100D0 (en) * | 2014-10-13 | 2014-11-26 | Vodafone Ip Licensing Ltd | SS7 Network element profiling |
| US10148672B2 (en) * | 2015-03-20 | 2018-12-04 | Samsung Electronics Co., Ltd. | Detection of rogue access point |
| US20160307170A1 (en) | 2015-04-14 | 2016-10-20 | Bank Of America Corporation | Apparatus and method for conducting and managing transactions between different networks |
| US11290879B2 (en) | 2015-07-02 | 2022-03-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for obtaining initial access to a network, and related wireless devices and network nodes |
| US9572034B1 (en) | 2015-09-10 | 2017-02-14 | Symantec Corporation | Systems and methods for securing wireless networks |
| WO2017131975A1 (en) * | 2016-01-25 | 2017-08-03 | Acalvio Technologies, Inc. | Detecting security threats by combining deception mechanisms and data science |
| WO2017189587A1 (en) * | 2016-04-26 | 2017-11-02 | Acalvio Technologies, Inc. | Threat engagement and deception escalation |
| US11824880B2 (en) * | 2016-10-31 | 2023-11-21 | Armis Security Ltd. | Detection of vulnerable wireless networks |
-
2018
- 2018-01-22 US US15/877,274 patent/US10764755B2/en active Active
- 2018-08-22 WO PCT/US2018/047600 patent/WO2019050686A1/en unknown
- 2018-08-22 JP JP2020536488A patent/JP7121129B2/ja active Active
- 2018-08-22 EP EP18854355.7A patent/EP3679500B1/en active Active
-
2020
- 2020-07-14 US US16/928,944 patent/US11337067B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012222761A (ja) * | 2011-04-14 | 2012-11-12 | Fujitsu Semiconductor Ltd | 無線通信装置及び無線通信方法 |
| JP2014063349A (ja) * | 2012-09-21 | 2014-04-10 | Azbil Corp | マルウェア検出装置および方法 |
| US20170223037A1 (en) * | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3679500A4 (en) | 2021-05-05 |
| US11337067B2 (en) | 2022-05-17 |
| US10764755B2 (en) | 2020-09-01 |
| JP7121129B2 (ja) | 2022-08-17 |
| WO2019050686A1 (en) | 2019-03-14 |
| EP3679500B1 (en) | 2022-11-16 |
| US20200344609A1 (en) | 2020-10-29 |
| EP3679500A1 (en) | 2020-07-15 |
| US20190075465A1 (en) | 2019-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7121129B2 (ja) | 質問により無線アクセスセキュリティを提供するためのシステムおよび方法 | |
| Bettayeb et al. | Firmware update attacks and security for IoT devices: Survey | |
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| Abdalla et al. | Testing IoT security: The case study of an ip camera | |
| CN103596173A (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| CN107005534A (zh) | 安全连接建立 | |
| KR20070039034A (ko) | 무선 근거리 네트워크를 연결하기 위한 장치 및 방법 | |
| JP7564919B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| US12041452B2 (en) | Non-3GPP device access to core network | |
| Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
| Thapa | Mitigating Threats in IoT Network Using Device Isolation | |
| Vondráček et al. | Automated Man-in-the-Middle Attack Against Wi‑Fi Networks | |
| CN112929876A (zh) | 一种基于5g核心网的数据处理方法及装置 | |
| Crowe et al. | Distributed unit security for 5G base-stations using blockchain | |
| Vink et al. | A comprehensive taxonomy of wi-fi attacks | |
| Goel et al. | Wireless Honeypot: Framework, Architectures and Tools. | |
| EP3910978B1 (en) | Method for detecting fake device and wireless device care apparatus | |
| Abdrabou | Robust pre-authentication protocol for wireless network | |
| Wofford | Rogue Access Points: The Threat to Public Wireless Networks | |
| Idland et al. | Detection of Masqueraded Wireless Access Using 802.11 MAC Layer Fingerprints | |
| Chze et al. | Secured IoT gateway for smart nation applications | |
| Kapicak et al. | Misuse of Wi-Fi Data to Analyze User Behaviour | |
| Barría et al. | Security evaluation in wireless networks | |
| Benfarhi et al. | Evaluation of Authentication and Key Agreement Approaches of 5G Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20200722 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210708 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210708 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220614 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220705 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220804 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7121129 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |