JP7418611B2 - IoTデバイスの検出および識別 - Google Patents

IoTデバイスの検出および識別 Download PDF

Info

Publication number
JP7418611B2
JP7418611B2 JP2022565976A JP2022565976A JP7418611B2 JP 7418611 B2 JP7418611 B2 JP 7418611B2 JP 2022565976 A JP2022565976 A JP 2022565976A JP 2022565976 A JP2022565976 A JP 2022565976A JP 7418611 B2 JP7418611 B2 JP 7418611B2
Authority
JP
Japan
Prior art keywords
classification
network
iot
iot device
classification process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022565976A
Other languages
English (en)
Other versions
JP2023524235A (ja
Inventor
ドゥ,ジュン
ザオ,イーリン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of JP2023524235A publication Critical patent/JP2023524235A/ja
Application granted granted Critical
Publication of JP7418611B2 publication Critical patent/JP7418611B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

悪意のある個人は、様々な方法でコンピュータシステムを侵害しようと試みる。一つの例として、そうした個人は、電子メール添付ファイルに悪意のあるソフトウェア(「マルウェア(“malware”)」)を埋め込み、または、他の方法で組み込み、かつ、送信し、もしくは、怪しまないユーザに対してマルウェアが送信されるようにし得る。実行されると、マルウェアは、被害者のコンピュータを危険にさらし、そして、追加の悪質なタスク(例えば、機密データを抽出する(exfiltrating)、他のシステムへ伝搬する、等)を実行することができる。そうした又は他の危険(compromise)妥協に対してコンピュータを強固にするために、様々なアプローチが使用され得る。残念ながら、コンピュータの保護に対する既存のアプローチは、必ずしも全てのコンピューティング環境に適しているとは限らない。さらに、マルウェアの作成者は、検出を回避するように自身のテクニックを頻繁に適応させており。そして、様々な状況において、マルウェアを検出し、かつ、その被害を防ぐための改善されたテクニックについて、現在進行形で必要性が存在している。
他の出願に対する相互参照
本出願は、2020年6月1日に出願された、タイトルが「IOT DEVICE DISCOVERY AND IDENTIFICATION」である米国仮特許出願第63/033004号について優先権を主張するものであり、全ての目的のために、参照により、ここにおいて組み込まれている。
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
図1は、悪意のあるアクティビティが検出され、そして、その被害が低減される環境に係る一つの例を示している。 図2Aは、データアプライアンスの一つの実施形態を示している。 図2Bは、データアプライアンスの一つの実施形態の論理コンポーネントに係る機能ダイアグラムである。 図2Cは、IoTサーバとIoTモジュールとの間のイベントパスに係る一つの例を示している。 図2Dは、デバイス発見イベントに係る一つの例を示している。 図2Eは、セッションイベントに係る一つの例を示している。 図2Fは、IoTモジュールに係る一つの実施形態を示している。 図2Gは、IoTデバイス分析を実装する一つの例示的な方法を示している。 図3は、ネットワークにおけるIoTデバイスについてAAAサポートを受動的に提供するためのプロセスに係る一つの実施形態を示している。 図4Aは、様々な実施形態におけるIoTデバイスに代わり、IoTサーバによってAAAサーバに対して送信されるRADIUSメッセージに係る例を示している。 図4Bは、様々な実施形態におけるIoTデバイスに代わり、IoTサーバによってAAAサーバに対して送信されるRADIUSメッセージに係る例を示している。 図4Cは、様々な実施形態におけるIoTデバイスに代わり、IoTサーバによってAAAサーバに対して送信されるRADIUSメッセージに係る例を示している。 図5は、IoTモジュールに係る一つの実施形態を示す。 図6は、IoTデバイスを分類するためのプロセスに係る一つの例を示している。
本発明は、プロセス、装置、システム、物質の組成、コンピュータ読取可能記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリにより保管され、かつ/あるいは、提供される命令を実行するように構成されたプロセッサといったプロセッサを含む、多数の方法で実施することができる。本明細書において、これらの実施形態、または、本発明が採り得る任意の他の形態は、技術(technique)と称される。一般的に、開示されたプロセスのステップの順序は、本発明の範囲内で変更すされ得る。特に断らない限り、タスクを実行するように構成されているものとして説明されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成されている一般的なコンポーネント、または、タスクを実行するように製造されている所定のコンポーネントとして実装され得る。ここにおいて使用されるように、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つ以上のデバイス、回路、及び/又は、処理コアを指す。
本発明の1つ以上の実施形態に係る詳細な説明が、本発明の原理を説明する添付の図面と共に以下に提供される。本発明は、そうした実施形態に関連して説明されるが、本発明は、あらゆる実施形態に限定されるものではない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、そして、本発明は、多数の代替物、修正物、および均等物を含んでいる。本発明の完全な理解を提供するために、以下の説明において多数の具体的な詳細が明らかにされる。これらの詳細は、例示のために提供されており、そして、本発明は、これらの所定の詳細の一部または全部を伴うことなく、請求項に従って実施され得る。明確化の目的のため、発明に関連する技術分野において知られている技術的資料は、本発明が不必要に不明瞭にならないように、詳細には説明されていない。
システムおよび方法について説明される。モノのインターネット(Internet of Things、IoT)デバイスのネットワーク通信に関連する情報が受信される。いくつかの態様において、情報は、IoTデバイスをモニタリングするように構成されたデータアプライアンスから受信される。いくつかの態様において、受信された情報は、ネットワークトラフィックメタデータを含んでいる。IoTデバイスが分類されていないとの判断に応答して、2つの部分からなる(two-part)分類プロセスが実行される。分類プロセスの第1部分は、インライン分類を含み、そして、分類プロセスの第2部分は、インライン分類のその後の検証を含んでいる。いくつかの態様において、分類の第1部分は、ルールベース(rule-based)の分類を含む。いくつかの態様において、分類プロセスの第2部分は、機械学習ベース(machine learning-based)の分類を含む。いくつかの態様において、分類プロセスを実行することは、IoTデバイスの任意の特徴が支配的であるか否かを決定することを含む。いくつかの態様において、2つの部分からなる分類プロセスを実行することは、IoTデバイスの1つ以上の特徴がネットワーク挙動パターン識別子と一致することの信頼性を判断することを含む。ネットワーク挙動パターン識別子は、システム/方法/コンピュータプログラム製品によって生成することができる。分類プロセスの結果は、IoTデバイスに対してポリシを適用するように構成されたセキュリティアプライアンスに提供される。いくつかの態様において、結果は、グループ分類を含んでいる。いくつかの態様において、結果は、プロファイル分類を含んでいる。
I.概要
ファイアウォールは、一般的に、認可された通信がファイアウォールを通過するのを許可しながら、不正アクセスからネットワークを保護している。ファイアウォールは、典型的に、デバイス、一連のデバイス、または、ネットワークアクセスのためのファイアウォール機能を提供するデバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能デバイス)のオペレーティングシステムへと統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、および、データアプライアンス(例えば、セキュリティアプライアンスまたは他のタイプの特殊目的デバイス)といった、種々のタイプのデバイス上の1つ以上のソフトウェアアプリケーションに統合または実行することができ、そして、種々の実装において、所定の動作は、ASICまたはFPGAといった、特殊目的ハードウェアで実装することができる。
ファイアウォールは、典型的に、一連のルールに基づいてネットワーク送信を拒否または許可する。これらの一連のルールは、しばしば、ポリシ(例えば、ネットワークポリシまたはネットワークセキュリティポリシ)と呼ばれる。例えば、ファイアウォールは、不要な外部トラフィックが保護されるデバイスに到達するのを防ぐために、一連のルールまたはポリシを適用することによって、インバウンド(inbound)トラフィックをフィルタリングすることができる。ファイアウォールは、また、一連のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることもできる(例えば、許可、ブロック、モニタリング、通知、またはログ、及び/又は、ファイアウォールルールまたはファイアウォールポリシにおいて指定することができる他のアクションであり、ここにおいて説明されるように、様々な基準(criteria)に基づいてトリガすることができる)。ファイアウォールは、また、一連のルールまたはポリシを同様に適用することによって、ローカルネットワーク(例えば、イントラネット)トラフィックをフィルタリングすることもできる。
セキュリティ装置(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティ装置)は、様々なセキュリティ機能(例えば、ファイアウォール、マルウェア対策、侵入防止/検出、データ損失防止(Data Loss Prevention、DLP)、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティオブサービス(Quality of Service、QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーク機能)、及び/又は、他の機能を含み得る。例えば、ルーティング機能は、送信元情報(例えば、IPアドレスおよびポート)、宛先情報(例えば、IPアドレスおよびポート)、および、プロトコル情報に基づくことができる。
基本的なパケットフィルタリングファイアウォールは、ネットワークを介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックをフィルタリングする(例えば、パケットフィルタリングファイアウォール、または、ステートレスパケットフィルタリングファイアウォールである、第1世代ファイアウォール)。ステートレスパケットフィルタリングファイアウォールは、典型的に、個々のパケット自体を検査し、そして、検査されたパケットに基づいてルールを適用する(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用する)。
アプリケーションファイアウォールは、また、アプリケーション層フィルタリング(例えば、アプリケーション層フィルタリングファイアウォール、または、TCP/IPスタックのアプリケーションレベル上で機能する、第2世代ファイアウォール)を実行することもできる。アプリケーション層フィルタリングファイアウォールまたはアプリケーションファイアウォールは、一般的に、所定のアプリケーションおよびプロトコルを識別することができる(例えば、ハイパーテキスト転送プロトコル(HTTP)、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用するファイル転送、並びに、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、他の様々なタイプのアプリケーションおよび他のプロトコル、を使用するウェブブラウジング)。例えば、アプリケーションファイアウォールは、標準ポートを介して通信を試みる未認可プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準ポートを使用してスニーク(sneak)を試みる未認可/ポリシ外のプロトコルは、一般的に、アプリケーションファイアウォールを使用して識別され得る)。
ステートフルファイアウォールは、また、状態ベース(state-based)のパケット検査を実行することができ、そこでは、各パケットが、そのネットワーク送信のパケットフローに関連する一連のパケットのコンテキスト内で検査される。このファイアウォール技術は、一般的に、ステートフルパケット検査と呼ばれる。ファイアウォールを通過する全ての接続の記録を保持し、かつ、パケットが新しい接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断できるからである。例えば、接続の状態自体は、ポリシ内のルールをトリガする基準の1つになり得る。
先進または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルパケットフィルタリング、および、アプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加のファイアウォール技術を実行することもできる。例えば、高度または次世代ファイアウォとして、ときどき、呼ばれる、所定の新しいファイアウォールは、また、ユーザおよびコンテンツを識別することもできる(例えば、次世代ファイアウォール)。特に、所定の次世代ファイアウォールは、アプリケーションのリストを拡大しており、これらのファイアウォールは自動的に何千ものアプリケーションを識別できる。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、Palo Alto Networks社のPAシリーズファイアウォール)。例えば、Palo Alto Networks社の次世代ファイアウォールは、様々な識別技術を使用して、企業が、アプリケーション、ユーザ、およびコンテンツ-単に、ポート、IPアドレス、パケットだけではない-を識別し、かつ、制御するのを可能にする。正確なアプリケーション識別のためのAPP-ID、ユーザ識別のためのユーザID(例えば、ユーザまたはユーザグループによるもの)、および、リアルタイムのコンテンツスキャニングのためのコンテンツID(例えば、ウェブサーフィンの制御、および、データとファイルの転送の制限)、といったものである。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連のコンセプトを使用してアプリケーションの使用を安全に可能にすることができる。また、次世代ファイアウォールのための専用ハードウェア(例えば、専用アプライアンスとして実装されるもの)は、一般的に、汎用ハードウェア上で実行されるソフトウェアよりも、アプリケーション検査についてより高いパフォーマンスレベルを提供する(例えば、Palo Alto Networks社により提供されるセキュリティアプライアンスといったものであり、シングルパスソフトウェアエンジンと緊密に統合された、専用の、機能固有の処理を使用して、ネットワークスループットを最大化し、一方で、待ち時間を最小化する)。
先進または次世代ファイアウォールは、また、仮想化ファイアウォールを使用して実装することもできる。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、様々な商用仮想化環境をサポートする、Palo Alto Networks社のVMシリーズファイアウォールであり、例えば、VMware(R) ESXiTMおよびNSXTM、Citrix(R) Netscaler SDXTM、KVM/OpenStack(Centos/RHEL、Ubuntu(R))、および、Amazon Web Services(AWS)を含んでいる)。例えば、仮想化ファイアウォールは、物理的フォームファクタアプライアンスで利用可能な、次世代ファイアウォールおよび先進脅威防止機能と類似し、または完全に同一のものをサポートすることができ、企業は、プライベート、パブリック、およびハイブリッドのクラウドコンピューティング環境の中で、かつ、横切るアプリケーションのフローを安全に可能にすることができる。VMモニタリング、ダイナミックアドレスグループ、RESTベースのAPIといった自動化機能により、企業は、VMの変化を積極的にモニタリングすることができ、そのコンテキストをセキュリティポリシの中へ動的にフィードし、それにより、VMの変化時に生じ得るポリシの遅れ(lag)を排除している。
II.例示的な環境
図1は、悪意のあるアクティビティが検出され、そして、その被害が低減される環境に係る一つの例を示している。図1に示される例において、クライアント装置104-108は、病院(「アクメ病院(“Acme Hospital”)」とも呼ばれる)のエンタープライズネットワーク110内に存在する、ラップトップコンピュータ、デスクトップコンピュータ、および、タブレットである。データアプライアンス102は、クライアントデバイス104と106といった、クライアントデバイスと、エンタープライズネットワーク110外のノード(例えば、外部ネットワーク118を介して到達可能なもの)との間の通信に関するポリシを実施するように構成されている。
そうしたポリシの例は、トラフィックシェーピング(shaping)、クオリティオブサービス、およびトラフィックのルーティングを管理するものを含んでいる。ポリシの他の例は、受信(及び/又は、送信)電子メールの添付ファイル、ウェブサイトのコンテンツ、インスタントメッセージングプログラムを介して交換されるファイル、及び/又は、他のファイル転送における脅威についてスキャンを要求するもの、といった、セキュリティポリシを含んでいる。いくつかの実施形態において、データアプライアンス102は、また、エンタープライズネットワーク110内に留まるトラフィックに関してポリシを実施するようにも構成されている。
ネットワーク110は、また、ディレクトリサービス154、および、認証、認可、および課金サーバ(Authentication, Authorization, and Accounting、AAA)156も含んでいる。図1に示される例において、ディレクトリサービス154(識別プロバイダまたはドメインコントローラとも呼ばれるもの)は、ライトウェイトディレクトリアクセスプロトコル(Lightweight Directory Access Protocol、LDAP)または他の適切なプロトコルを使用する。ディレクトリサービス154は、ユーザ識別情報およびクレデンシャル情報を管理するように構成されている。ディレクトリサービス154の一つの例は、Microsoft Active Directoryサーバである。他のタイプのシステムも、また、ケルベロスベース(Kerberos-based)システムといった、Active Directoryサーバの代わりに、を使用することもでき、そして、ここにおいて説明されているテクニックが、それに応じて適用される。図1に示される例において、AAAサーバ156は、ネットワーク・アドミッション・コントロール(NAC)サーバである。AAAサーバ156は、ネットワークへのアクセスを許可する前に、ネットワークに対する有線、無線、およびVPNユーザと装置とを認証し、ポリシ遵守のために装置を評価および修正し、役割に基づいてアクセスを区別し、そして、次いで、ネットワーク上の誰がいるかを監査および報告するように構成されている。AAAサーバ156の一つの例は、リモート認証ダイヤルインユーザサービス(Remote Authentication Dial-In User Service、RADIUS)を利用するCisco Identity Services Engineサーバである。RADIUS以外のプロトコルを使用するものを含む、他のタイプのAAAサーバが、ここにおいて説明された技術と共に使用され得る。
様々な実施形態において、データアプライアンス102は、ディレクトリサービス154及び/又はAAAサーバ156への/からの通信を聞く(例えば、受動的にメッセージをモニタリングする)ように構成されている。様々な実施形態において、データアプライアンス102は、ディレクトリサービス154及び/又はAAAサーバ156と通信する(すなわち、積極的にメッセージを通信する)ように構成されている。様々な実施形態において、データアプライアンス102は、ディレクトリサービス154及び/又はAAAサーバ156といった様々なネットワーク要素と通信する(例えば、積極的にメッセージを通信する)オーケストレータ(図示せず)と通信するように構成されている。他のタイプのサーバも、また、ネットワーク110に含めることができ、かつ、データアプライアンス102と適宜通信することができ、そして、ディレクトリサービス154及び/又はAAAサーバ156は、また、様々な実施形態においてネットワーク110から省略することもできる。
図1では単一のデータアプライアンス102を有するものとして示されているが、所与のネットワーク環境(例えば、ネットワーク110)は、個別に、または、協調して動作するかいずれかの、データアプライアンスの複数の実施形態を含むことができる。同様に、用語「ネットワーク(“network”)」は、一般的に、ここにおいては単純化のために単数形(例えば、「ネットワーク110」)で言及されているが、ここにおいて説明される技術は、適用できる場合、様々なネットワーク層にわたり、様々なネットワークプロトコル(例えば、TCPとUDP)およびインフラストラクチャ(例えば、スイッチとルータ)を使用して、ネットワーク技術の様々なミックス(例えば、仮想化と物理的)を含む、様々なサイズおよびトポロジーの様々なネットワーク環境において展開することができる。
データアプライアンス102は、リモートセキュリティプラットフォーム140と協働して動作するように構成することができる。セキュリティプラットフォーム140は、マルウェアサンプルについて(例えば、サンプル分析モジュール124を介して)静的および動的分析を実行すること、および、既知の悪意のあるファイル、ドメイン、等の署名のリストを、サブスクリプションの一部として、データアプライアンス102といった、データアプライアンスに対して提供すること、を含む、様々なサービスを提供することができる。以下で、より詳細に説明されるように、セキュリティプラットフォーム140は、また、ネットワーク110といったネットワーク内に存在するIoTデバイスの発見、分類、管理、等に関連する情報を(例えば、IoTモジュール138を介して)提供することもできる。様々な実施形態において、署名、分析の結果、及び/又は、追加情報(例えば、サンプル、アプリケーション、ドメイン、等に関するもの)がデータベース160内に保管される。様々な実施形態において、セキュリティプラットフォーム140は、典型的なサーバクラスのオペレーティングシステム(例えば、Linux(登録商標))を実行する1つ以上の専用の市販されているハードウェアサーバ(例えば、マルチコアプロセッサ、32G+のRAM、ギガビットネットワークインターフェイスアダプタ、およびハードドライブを有しているもの)を含む。セキュリティプラットフォーム140は、複数のそうしたサーバ、ソリッドステートドライブ、または、他のストレージ装置158、及び/又は、他の適用可能な高性能ハードウェアを含む、スケーラブルインフラストラクチャにわたり実装することができる。セキュリティプラットフォーム140は、1つ以上の第三者によって提供されるコンポーネントを含む、いくつかの分散コンポーネントを有することができる。例えば、セキュリティプラットフォーム140の一部または全部は、Amazon Elastic Compute Cloud(EC2)、及び/又は、Amazon Simple Storage Service(S3)を使用して実装することができる。さらに、データアプライアンス102と同様に、セキュリティプラットフォーム140が、データ保管またはデータ処理といった、タスクを実行するものとして称されるときはいつでも、セキュリティプラットフォーム140のサブコンポーネントまたは複数のサブコンポーネントは(個別に、または、第三者コンポーネントと協力して、のいずれかで)、そのタスクを実行するために協働し得ることが理解されるべきである。例として、セキュリティプラットフォーム140は、1つ以上の仮想マシン(VM)サーバと協力して、(例えば、サンプル分析モジュール124を介して)静的/動的分析、及び/又は、(例えば、IoTモジュール138を介して)IoTデバイス機能を実行することができる。仮想マシンサーバの一つの例は、VMware ESXi、Citrix XenServer、またはMicrosoft Hyper-Vといった、市販されている仮想化ソフトウェアを実行する、市販され利用可能であるサーバクラスのハードウェア(例えば、マルチコアプロセッサ、32+ギガバイトのRAM、および、1つ以上のギガビットネットワークインターフェイスアダプタ)を含む物理マシンである。いくつかの実施形態において、仮想マシンサーバは省略されている。さらに、仮想マシンサーバは、セキュリティプラットフォーム140を管理する同じエンティティの制御下にあってよいが、また、第三者によって提供されてもよい。一つの例として、仮想マシンサーバは、EC2に依存することができ、セキュリティプラットフォーム140の残りの部分は、セキュリティプラットフォーム140のオペレータによって所有され、かつ、制御下にある専用ハードウェアによって提供される。
データアプライアンスの一つの実施形態が図2Aに示されている。示される例は、種々の実施形態において、データアプライアンス102内に含まれる物理的コンポーネントの表現である。具体的に、データアプライアンス102は、高性能マルチコア中央処理装置(CPU)202およびランダムアクセスメモリ(RAM)204を含んでいる。データアプライアンス102は、また、ストレージ装置210(1つ以上のハードディスクまたはソリッドステートストレージ、といったもの)も含んでいる。様々な実施形態において、データアプライアンス102は、エンタープライズネットワーク110のモニタリング、および、開示された技術の実施において使用される情報を(RAM 204、ストレージ装置210、及び/又は、他の適切な場所のいずれかに)保管する。そうした情報の例は、アプリケーション識別子、コンテンツ識別子、ユーザ識別子、要求されたURL、IPアドレスマッピング、ポリシおよび他の設定情報、署名、ホスト名/URL分類情報、マルウェアプロファイル、機械学習モデル、IoTデバイス分類情報、等を含んでいる。データアプライアンス102は、また、1つ以上の任意的なハードウェアアクセラレータも含むことができる。例えば、データアプライアンス102は、暗号化および復号動作を実行するように構成された暗号エンジン206、および、マッチングを実行し、ネットワークプロセッサとして動作し、かつ/あるいは、他のタスクを実行するように構成された1つ以上のフィールドプログラマブルゲートアレイ(FPGA)208を含むことができる。
データアプライアンス102によって実行されるものとしてここにおいて説明される機能性は、種々の方法で提供/実装することができる。例えば、データアプライアンス102は、専用デバイスまたはデバイスセットであってよい。所与のネットワーク環境は、複数のデータアプライアンスを含んでよく、それぞれは、ネットワークの特定の部分に対してサービスを提供するように構成することができ、ネットワークの特定の部分に対してサービスを提供するように協働することができる。データアプライアンス102によって提供される機能性は、汎用コンピュータ、コンピュータサーバ、ゲートウェイ、及び/又は、ネットワーク/ルーティングデバイス上のソフトウェアに統合され、または、実行することもできる。いくつかの実施形態において、データアプライアンス102によって提供されるものと説明される少なくともいくつかの機能性は、クライアント装置上で実行するソフトウェアによって、クライアント装置(例えば、クライアント装置104またはクライアント装置106)に対して、その代わりに(または、それに加えて)提供される。データアプライアンス102によって実行されるものとしてここにおいて説明される機能性は、また、セキュリティプラットフォーム140によって、または、協働して、少なくとも部分的に実行することもでき、かつ/あるいは、セキュリティプラットフォーム140によって実行されるものとしてここにおいて説明される機能性は、また、データアプライアンス102によって、または、適用できる場合、データアプライアンス102によって、または、協働して、少なくとも部分的に実行することもできる。一つの例として、IoTモジュール138によって実行されるものとして説明される種々の機能は、IoTサーバ134の実施形態によって実行され得る。
データアプライアンス102がタスクを実行するものとして説明されるときはいつでも、単一のコンポーネント、コンポーネントのサブセット、または、データアプライアンス102の全てのコンポーネントは、タスクを実行するために協働し得る。同様に、データアプライアンス102のコンポーネントがタスクを実行するものとして説明されるときはいつでも、サブコンポーネントは、タスクを実行することができ、かつ/あるいは、コンポーネントは、他のコンポーネントと共にタスクを実行し得る。様々な実施形態において、データアプライアンス102の部分は、1つ以上の第三者によって提供されている。データアプライアンス102に利用可能な計算リソースの量といった要因に応じて、データアプライアンス102の様々な論理コンポーネント及び/又は特徴は、省略されてよく、そして、ここにおいて説明される技術は、それに応じて適合され得る。同様に、追加の論理コンポーネント/機能は、適用できる場合に、データアプライアンス102の実施形態において含めることができる。種々の実施形態におけるデータアプライアンス102に含まれるコンポーネントの一つの例は、アプリケーションを識別するように構成されているアプリケーション識別エンジンである(例えば、パケットフロー分析に基づいて、アプリケーションを識別するために種々のアプリケーションシグネチャを使用している)。例えば、アプリケーション識別エンジンは、セッションが関与するトラフィックのタイプが何か、決定することができる。Webブラウジング-ソーシャルネットワーキング、Webブラウジング-ニュース、SSH、等といったものである。様々な実施形態におけるデータアプライアンス102に含まれるコンポーネントの別の例は、以下で、より詳細に説明されるIoTサーバ134である。IoTサーバ134は、物理的であるか仮想化されているかいずれかで、スタンドアロンサーバ(または、サーバのセット)としての形態を含む、様々な形態をとることができ、そして、また、適用できる場合(例えば、図1に示すように)データアプライアンス102と共配置/組み込むこともできる。
図2Bは、データアプライアンスの一つの実施形態の論理コンポーネントに係る機能ダイアグラムである。示された例は、種々の実施形態において、データアプライアンス102に含まれ得る論理コンポーネントの表現である。別段の規定がない限り、データアプライアンス102の種々の論理コンポーネントは、一般的に、1つ以上のスクリプトのセット(例えば、適用できる場合、Java、python、等で書かれたもの)を含む、種々の方法で実装可能である。
示されるように、データアプライアンス102は、ファイアウォールを含み、そして、管理プレーン212およびデータプレーン214を含む。管理プレーンは、ユーザインタラクションの管理を担当する。ポリシの設定およびログデータの閲覧のためのユーザインターフェイスを提供することによる、といったものである。データプレーンは、データ管理を担当する。パケット処理およびセッション処理を実行することによる、といったものである。
ネットワークプロセッサ216は、クライアント装置108といった、クライアント装置からパケットを受信し、そして、処理のためにそれらをデータプレーン214に提供するように構成されている。フローモジュール218は、新しいセッションの一部としてパケットを識別するときはいつでも、新しいセッションフローを生成する。その後のパケットは、フロールックアップに基づいて、そのセッションに属しているものとして識別される。適用できる場合、SSL復号エンジン220によってSSL復号が適用される。そうでなければ、SSL復号エンジン220による処理は省略される。復号エンジン220は、データアプライアンス102がSSL/TLSおよびSSHの暗号化トラフィックを検査および制御するのを助け、そして、従って、そうでなければ暗号化トラフィックに隠されたままであり得る脅威を停止するのを助けることができる。復号エンジン220は、また、エンタープライズネットワーク110から離れていく機密性の高いコンテンツを防止することを助けることもできる。復号は、URLカテゴリ、トラフィック送信元、トラフィック宛先、ユーザ、ユーザグループ、およびポートといった、パラメータに基づいて選択的に制御することができる(例えば、イネーブルされ、または、ディセーブルされる)。復号ポリシ(例えば、どのセッションを復号するか指定するもの)に加えて、復号プロファイルは、ポリシによって制御されるセッションについて様々なオプションを制御するように割り当てることができる。例えば、特定の暗号スイート(cipher suites)および暗号化プロトコルバージョンの使用が要求され得る。
アプリケーション識別(APP-ID)エンジン222は、セッションが関与するトラフィックのタイプが何かを決定するように構成されている。一つの例として、アプリケーション識別エンジン222は、受信データにおけるGET要求を認識し、そして、セッションがHTTPデコーダを必要としていと結論付けることができる。場合によっては、例えば、ウェブブラウジングセッションにおいて、識別されたアプリケーションは変更可能であり、そして、そうした変更は、データアプライアンス102によって記録される。例えば、ユーザは、最初に、企業のWiki(訪問したURLに基づいて「Webブラウジング-生産性(“Web Browsing-Productivity”)」として分類されるもの)をブラウジングし、そして、次いで、ソーシャルネットワーキングサイト(訪問したURLに基づいて「Webブラウジング-ソーシャルネットワーキング(“Web Browsing-Social Networking”)」として分類されるもの)を続いてブラウジングすることができる。異なるタイプのプロトコルは、対応するデコーダを有している。
アプリケーション識別エンジン222によって行われた決定に基づいて、パケットは、脅威エンジン224によって、パケット(順序が狂って受信され得るもの)を正しい順序に組み立て、トークン化を実行し、そして、情報を抽出するように構成された適切なデコーダに対して送信される。脅威エンジン224は、また、パケットに何が起こるべきかを決定するために、署名マッチングも実行する。必要に応じて、SSL暗号エンジン226は、復号されたデータを再暗号化することができる。パケットは、(例えば、宛先への)送信のために転送モジュール228を使用して転送される。
図2Bにも示されるように、ポリシ232は、受信され、そして、管理プレーン212において保管される。ポリシは、ドメイン名、及び/又は、ホスト/サーバ名を使用して指定することができる、1つ以上のルールを含むことができ、そして、ルールは、1つ以上の署名、または、他のマッチング基準またはヒューリスティック(heuristics)を適用することができる。モニタリングされたセッショントラフィックフローから抽出された様々なパラメータ/情報に基づいて、加入者/IPフローについてセキュリティポリシを実施するため、といったものである。インターフェイス(I/F)通信器230は、(例えば、(REST)API、メッセージ、もしくは、ネットワークプロトコル通信または他の通信メカニズムを介して)通信管理のために提供される。ポリシ232は、また、IoTデバイスを含む通信を管理するためのポリシを含むこともできる。
III.IoTデバイスの発見および識別
図1に戻って、悪意のある個人が(例えば、システム120を使用して)マルウェア130を作成したと仮定する。悪意のある個人は、脆弱なクライアント装置がマルウェア130のコピーを実行し、クライアント装置を危険にさらし、そして、クライアント装置をボットネットにおけるボット(bot)にすることを望んでいる。危険にさらされたクライアント装置は、次いで、タスクを実行し(例えば、暗号通貨のマイニング、サービス妨害攻撃への参加、および、他の脆弱なクライアント装置への伝搬)、そして、情報を報告するように、もしくは、そうでなければ、外部エンティティ(例えば、命令及び制御(C&C)サーバ150)についてデータを密かに抽出し(exfiltrate)、同様に、適用できる場合、C&Cサーバ150からの指示を受信するように、指示され得る。
図1に示されているいくつかのクライアントデバイスは、エンタープライズ組織の中で典型的に使用されるコモディティコンピューティングデバイスである。例えば、クライアントデバイス104、106、および108は、それぞれ、典型的なオペレーティングシステム(例えば、macOS、Windows、Linux、Android、等)を実行する。そうしたコモディティコンピューティングデバイスは、しばしば、管理者によって、(例えば、会社発行のラップトップ、デスクトップ、および、タブレットとして、それぞれに)準備され、かつ、維持されており、そして、しばしば、ユーザアカウント(例えば、ユーザIDおよびクレデンシャル情報で構成されたディレクトリサービスプロバイダ(ドメインコントローラとも呼ばれる)によって管理されるもの)と共に運用される。一つの例として、従業員Aliceにラップトップ104が発行されてよく、彼女は、ACME関連の電子メールにアクセスし、そして、様々なACME関連のタスクを実行するために使用する。他のタイプのクライアントデバイス(ここでは、一般的に、モノのインターネットまたはIoTデバイスと呼ばれるもの)も、また、ますますネットワークに存在し、そして、しばしば、IT部門によって「管理されてない(“unmanaged”)」。そうした装置のいくつか(例えば、テレビ会議装置)は、様々な異なる種類の企業にわたり見出され得る(例えば、IoTホワイトボード144および146)。そうしたデバイスは、また、垂直に特定的であり得る。例えば、輸液ポンプ(infusion pump)およびコンピュータ断層撮影スキャナ(例えば、CTスキャナ112)は、ヘルスケアエンタープライズネットワーク(例えば、ネットワーク110)内で見出され得る例示的なIoTデバイスであり、そして、ロボットアームは、製造エンタープライズネットワーク内で見出され得る一つの例示的な装置である。さらに、消費者指向のIoTデバイス(例えば、カメラ)も、また、エンタープライズネットワーク内に存在し得る。コモディティコンピューティングデバイスと同様に、ネットワーク内に存在するIoTデバイスは、そうしたネットワークの内部または外部にある(または、適用できる場合は、両方)のリソースと通信することができる。
コモディティコンピューティングデバイスと同様に、IoTデバイスは、不正な個人のターゲットである。残念ながら、ネットワークにおけるIoTデバイスの存在は、いくつかのユニークなセキュリティ/管理の課題を提起し得る。IoTデバイスは、しばしば、低消費電力デバイスまたは特殊目的デバイスであり、そして、しばしば、ネットワーク管理者が知ることなく配備される。そうした管理者に知られている場合でさえ、IoTデバイスにエンドポイント保護ソフトウェアまたはエージェントをインストールすることができない可能性がある。IoTデバイスは、専有の(または、そうでなければ非標準の)プロトコルを使用して、第三者のクラウドインフラストラクチャ(例えば、クラウドインフラストラクチャ126と直接通信する工業用温度計152)で管理され、そして、単独で/直接的に通信することができる。このことは、デバイスに対する脅威または攻撃がいつ起きているかに関して決定するために、そうしたデバイスに出入りするネットワークトラフィックをモニタリングする試みを混乱させ得る。さらに、いくつかのIoTデバイス(例えば、医療環境におけるもの)は、ミッションクリティカルである(例えば、ネットワーク接続された外科システム)。残念ながら、IoTデバイスが危険にさらされること(例えば、マルウェア130によるもの)、または、IoTデバイスに関連するトラフィックに対するセキュリティポリシの誤適用は、破滅的な影響を与える可能性がある。ここにおいて説明される技術を使用して、IoTデバイスを含む異種ネットワークのセキュリティを改善することができ、そして、そうしたネットワークにもたらされる危害を低減することができる。
様々な実施形態において、データアプライアンス102は、IoTサーバ134を含んでいる。IoTサーバ134は、いくつかの実施形態において、セキュリティプラットフォーム140のIoTモジュール138と協力して、ネットワーク(例えば、ネットワーク110)内のIoTデバイスを識別するように構成されている。そうした識別は、例えば、データアプライアンス102によって、IoTデバイスに関連するトラフィックに関するポリシの作成および実施を助け、そして、ネットワーク110の他のエレメントの機能性を高める(例えば、AAA 156にコンテキスト情報を提供する)ために使用することができる。様々な実施形態において、IoTサーバ134は、受動的にトラフィックを嗅ぎ付け(sniff)/モニタリングするように構成された1つ以上のネットワークセンサを組み込んでいる。そうしたネットワークセンサ機能を提供する一つの例示的な方法は、タップインターフェイス(tap interface)またはスイッチミラーポート(switch mirror port)としてのものである。トラフィックをモニターする他のアプローチも、また、適用できる場合に、(追加的または代替的に)使用することができる。
様々な実施形態において、IoTサーバ134は、(例えば、フロントエンド142を介して)IoTモジュール138に、ログまたは他のデータ(例えば、受動的にモニタリングしているネットワーク110から収集されるもの)を提供するように構成されている。図2Cは、IoTサーバとIoTモジュールとの間の一つの例示的なイベントパスを示している。IoTサーバ134は、デバイス発見イベントおよびセッションイベントをIoTモジュール138へ送信する。例示的な発見イベントおよびセッションイベントが、それぞれ、図2Dおよび図2Eに示されている。様々な実施形態において、デバイスを一意的に識別し、または、デバイスの識別を確認することができるパケットが観察されるときはいつでも(例えば、DHCP、UPNP、またはSMBパケットが観察される時はいつでも)、IoTサーバ134によって発見イベントが送信される。デバイスが(デバイスのネットワーク内外を問わず、他のノードと共に)有する各セッションは、セッションに関する情報(例えば、送信元/宛先情報、受信/送信されたパケット数、等)を要約するセッションイベント内で記述される。適用できる場合、複数のセッションイベントは、IoTモジュール138へ送信する前に、IoTサーバ134によって一緒にバッチされ得る。図2Eに示される例においては、2つのセッションが含まれている。IoTモジュール138は、デバイス評決イベント(234)を介してデバイス分類情報をIoTサーバ134に提供する。
IoTモジュール138を実装する一つの例は、マイクロサービスベースのアーキテクチャを使用することである。IoTモジュール138は、また、適用できる場合、異なるプログラミング言語、データベース、ハードウェア、およびソフトウェア環境を使用して、かつ/あるいは、メッセージングを可能にし、コンテキストによって制限され、自律的に開発され、独立して展開可能であり、分散化され、かつ、構築されて、自動化されたプロセスである、サービスとして実装することもできる。IoTモジュール138によって実行される1つのタスクは、IoTサーバ134によって提供される(および、データアプライアンス136および148といったデータアプライアンスの他の実施形態によって提供される)データ内のIoTデバイスを識別し、そして、これらの装置に関する追加のコンテキスト情報を提供する(例えば、それぞれのデータアプライアンスに戻す)ことである。
図2Fは、IoTモジュールの実施形態を示している。領域294は、全テナントのデータ全体にわたり、間隔(例えば、5分毎、1時間毎、および1日毎)で実行されるスパークアプリケーション(Spark Application)のセットを示している。領域296は、カフカ(Kafka)メッセージバスを示している。IoTモジュール138によって(例えば、IoTサーバ134から)受信されたセッションイベントメッセージは、IoTサーバ134で観測される際に、(例えば、帯域幅を保存するために)複数のイベントを一緒にバンドルする。変換モジュール236は、受信したセッションイベントを個々のイベントへと平坦化し、そして、250においてそれらをパブリッシュするように構成されている。平坦化されたイベントは、様々な異なる集約ルールを使用して集約モジュール238によって集約される。一つの例示的なルールは、「時間間隔(例えば、5分間)について、特定のデバイス及びそれが使用する各(APP-ID)アプリケーションについて全てのイベントデータを集約する」ことである。別の例示的なルールは、「時間間隔(例えば、1時間)について、特定の宛先IPアドレスと通信する特定のデバイスについて全てのイベントデータを集約する」ことである。各ルールについて、集約エンジン238は、集約されることを要する属性のリスト(例えば、デバイスによって使用されるアプリケーションのリスト、または、宛先IPアドレスのリスト)を追跡する。特徴抽出モジュール240は、属性から特徴を抽出する(252)。分析モジュール242は、装置分類を実行するために抽出された特徴を使用し(例えば、教師あり学習および教師なし学習を使用する)、その結果(254)は、(例えば、操作インテリジェンスモジュール244、脅威分析モジュール246、および異常検出モジュール248を介して)他のタイプの分析にパワー供給するために使用される。操作インテリジェンスモジュール244は、OTフレームワークおよび動作的(operational)またはビジネスインテリジェンスに関連する分析を提供する。アラート(256)が、分析の結果に基づいて生成できる。様々な実施形態において、モンゴデータベース(Mongo DB)258は、集約されたデータおよび特徴値を保管するために使用される。バックグラウンドサービス262は、スパークアプリケーションによって集約されたデータを受信し、そして、データをモンゴデータベース258に書き込む。APIサーバ260は、フロントエンド142から受信したリクエストを処理するために、モンゴデータベース258からデータを取り出してマージする。
図2Gは、IoTデバイス識別分析を(例えば、分析モジュール242および関連要素の実施形態としてのIoTモジュール138内に)実装する例示的な方法を示している。発見イベントおよびセッションイベントは(例えば、図2Dおよび図2Eに、それぞれ、示されるように)、カフカトピックとしてメッセージバス上で生データ264として受信され(そして、また、ストレージ装置158にも保管される)。特徴は、特徴エンジン276によって抽出される(例えば、Spark/MapReducerを使用して実施することができる)。生データは、(例えば、送信元/宛先アドレスの)地理位置情報といった、追加のコンテキスト情報が、セキュリティプラットフォーム140によって、豊富化されている(266)。メタデータ特徴抽出(268)の最中に、時間間隔内にIPアドレスから送信されるパケットの数、時間間隔内に特定のデバイスによって使用されるアプリケーションの数、および、時間間隔内にデバイスによってコンタクトされるIPアドレスの数、といった特徴が構築される。特徴は、リアルタイムでインライン分析エンジン272に(例えば、JSONフォーマットで)渡され、そして、(例えば、オフラインモデリング299の最中に)後続のクエリのために(例えば、Apache Parquet/DataFrameといった適切なフォーマットで、特徴データベース270内に)保管される、の両方である。
メタデータから構築される機能に加えて、第2タイプの機能が、IoTモジュール138によって構築され得る(274)。ここにおいては、分析機能と称されている。一つの例示的な分析機能は、集計データを使用して、時系列データに基づいて、経時的に構築されるものである。分析機能は、同様に、リアルタイムで分析エンジン272へ渡され、そして、特徴データベース270内に保管される。
インライン分析エンジン272は、メッセージバス上でメッセージハンドラーを介して特徴を受信する。実行されるタスクの1つは、アクティビティ分類(278)であり、これは、受信した特徴値/セッション情報に基づいてセッションに関連するアクティビティ(ファイルダウンロード、ログイン/認証プロセス、または、ディスクバックアップアクティビティ、といったもの)を識別するように試み、そして、適用可能なタグを付加する。アクティビティ分類278を実施する一つの方法は、畳み込みニューラルネットワークと組み合わされたニューラルネットワークベースの多層パーセプトロンを介するものである。
アクティビティ分類の結果、特定のデバイスが印刷アクティビティに従事している(すなわち、印刷プロトコルを使用している)と判断され、そして、また、(例えば、HP URLを呼び出し、かつ、ステータス情報をレポートするために使用することによって、更新についてチェックするために)HPによって所有されるリソースにも定期的にコンタクトしていると仮定する。様々な実施形態において、分類情報は、クラスタリングプロセス(教師なし)および予測プロセス(教師あり)の両方に渡される。いずれかのプロセスが装置の分類に成功した場合、分類は、装置データベース286内に保管される。
装置は、ステージ1クラスタリングエンジン280によって、その属性および他の挙動パターンに基づいて、複数のクラスタへとクラスタ化することができる。クラスタリングエンジン280を実装する一つの方法は、極端な勾配ブーストフレームワーク(例えば、XGB)を使用することである。ステージ1の分類器は、これまで見られなかったが、既存の既知の装置に類似する、装置を分類するために有用であり得る(例えば、サーモスタットの新規ベンダーが、既知のサーモスタットと同様に動作するサーモスタット装置を販売し始める)。
図2Gに示されるように、アクティビティ分類情報も、また、分類器282のセットに提供され、そして、予測が、装置に対する提供された特徴に基づいて実行される。2つの可能性が生じ得る。第1シナリオでは、デバイスが既知のデバイスプロファイルと一致する高い可能性が存在すると判断される(すなわち、高い信頼スコア)。もしそうであれば、装置に関する情報は、(例えば、提供された情報および任意の追加の適用可能なコンテキスト情報を使用して)装置の識別のための最終判断を行うステージ2分類器(284)に提供され、そして、それに従って、装置データベース286を更新する。ステージ2分類器を実装する一つの方法は、勾配ブースティングフレームワークを使用することである。2番目のシナリオでは、信頼スコアが低い(例えば、デバイスがHPプリンタとHPラップトップの両方に50%の信頼度でマッチしている)と仮定する。このシナリオにおいて、分類器282によって決定された情報は、クラスタリングにおいて使用可能な追加情報として、クラスタリングエンジン280に提供され得る。
図2Gには、また、オフラインモデリングモジュール299も示されている。オフラインモデリングモジュール299は、時間制約がないので、インライン分析エンジン272と対照的である(一方で、インライン分析エンジン272は、リアルタイムに(例えば、メッセージ234として)デバイス分類情報を提供するように試みる)。定期的に(例えば、1日1回、または、1週間1回)、オフラインモデリングモジュール299(例えば、Pythonを使用して実装されるもの)は、インライン分析モジュール272によって使用されるモデルを再構築する。アクティビティモデリングエンジン288は、アクティビティ分類器278のためのモデルを構築する。このモデルは、また、インライン分析の最中にデバイス識別のために分類器によって使用される、デバイスタイプモデル(296)にも使用される。ベースラインモデリングエンジン290は、デバイスモデルのベースライン挙動のモデルを構築する。このモデルは、また、特定のタイプのデバイス異常(292)およびキルチェーン(kill chain)といった、特定のタイプの脅威(294)をモデル化する際にも使用される。生成されたモデルは、様々な実施形態において、モデルデータベース298に保管される。
IV.ネットワークエンティティID AAA
前述のように、Aliceが、アクメ(ACME)によってノートパソコン104を発行されたと仮定する。ネットワーク110の種々のコンポーネントは、彼女が様々なリソースにアクセスするためにそれを使用する際に、Aliceのラップトップを認証するために協働する。一つの例として、Aliceがラップトップ104をネットワーク110(図示なし)内に置かれた無線アクセスポイントに接続するとき、無線アクセスポイントは、ネットワークアクセスを提供しながら、AAAサーバ156と通信することができる。別の例として、Aliceがラップトップ104を使用して彼女のアクメ電子メールにアクセスするとき、ラップトップ104は、彼女の受信ボックスをフェッチしながら、ディレクトリサービス154と通信することができる。コモディティオペレーティングシステムを実行するコモディティラップトップとして、ラップトップ104は、必要とする適切なリソースへのアクセスをラップトップ104が得るのを助ける、適切なAAAメッセージ(例えば、RADIUSクライアントメッセージ)を生成することができる。
上述のように、110といったネットワークにおいてIoTデバイス(例えば、デバイス146)によって提起される1つの問題は、そうしたデバイスが、しばしば、「非管理(“unmanaged”)」(例えば、設定、プロビジョン、ネットワーク管理者に管理がされない、等)であり、RADIUSといったプロトコルをサポートしておらず、そして、従って、ラップトップ104など他のデバイスといったAAAサービスと統合できないことである。IoTデバイスにネットワーク110内のネットワークアクセスを提供するために、種々のアプローチを採用することができ、それぞれが欠点を有している。1つのオプションは、アクメについて、ゲストネットワークの使用を(例えば、事前共有鍵(pre-shared key)を介して)IoTデバイスに制限することである。残念ながら、このことは、IoTデバイスが、合法的にアクセスを有するべきネットワーク110内の他のノードと通信できない場合に、IoTデバイスのユーティリティを制限する可能性がある。別のオプションは、セグメント化されたネットワークを有することのセキュリティ上の利点を緩和しながら、ネットワーク110への無制限のアクセスをIoTデバイスに許容することである。さらに別のオプションは、アクメについて、所与のIoTデバイスがネットワーク110内のリソースにアクセスできる方法を支配するルールを手動で指定することである。このアプローチは、一般的に、様々な理由により、支持できない/実施不可能なものである。一つの例として、管理者は、しばしば、IoTデバイスの展開に関与せず、そして、従って、そうしたデバイスについてポリシが含まれるべきであることを知らない(例えば、データアプライアンス102)。管理者が、例えば、アプライアンス102内の特定のIoTデバイスについて(例えば、デバイス112といったデバイスについて)手動でポリシを設定する場合でさえ、そうしたポリシを最新の状態に保つことは、エラーを起こしやすく、そして、ネットワーク110内に存在し得る多くのIoTデバイスの数を考えると、一般的に、不可能である。さらに、そうしたポリシは、おそらく単純であり(例えば、IPアドレス及び/又はMACアドレスによって、CTスキャナ112を特定のネットワークに割り当てること)、そして、CTスキャナ112を含む接続/ポリシについてより細かく制御することはできない(例えば、外科装置と販売端末に適用可能なポリシを動的に含むこと)。さらに、前述のように、CTスキャナ112がデータアプライアンス102に手動で含まれる場合でさえ、IoTデバイスは、一般的に、RADIUSといった技術をサポートせず、そして、そうしたAAAサーバにCTスキャナ112のネットワークアクセスを管理させることの利点は、そうした技術をより完全にサポートする他のタイプの装置(例えば、ラップトップ104)と比較して制限される。以下で、さらに詳細に説明されるように、様々な実施形態において、データアプライアンス102は(例えば、IoTサーバ134を介して)、受動的なやり方で、ネットワーク110内に存在するIoTデバイスに対してAAA機能性についてサポートを提供するように構成されている。
以下の説明においては、アクメにおけるAliceの部門が、最近、インタラクティブなホワイトボード146を購入し、その結果、Aliceが、他のアクメ従業員、並びに、アクメ外部の個人(例えば、自身のネットワーク114、データアプライアンス136、およびホワイトボード144を有している、ベータ大学の研究者である、Bob)と協働できる、と仮定する。ホワイトボード146の初期セットアップの一部として、Aliceは、電源に接続し、そして、有線(wired)接続(例えば、会議室のコンセント)、または、無線クレデンシャル(例えば、会議室の訪問者による使用のためのクレデンシャル)を提供する。ホワイトボード146がネットワーク接続を提供すると、IoTサーバ134は(例えば、上述のようなネットワークセンサといったメカニズムを介して)、ホワイトボード146をネットワーク110内の新しいデバイスとして認識する。この検出に応答してとられる一つのアクションは、セキュリティプラットフォーム140と通信することである(例えば、データベース160内にホワイトボード146のために新しいレコードを作成すること、および、ホワイトボード146に関連する現在利用可能なコンテキスト情報を検索すること(例えば、ホワイトボード146の製造業者、ホワイトボード146のモデル、等を獲得すること))。セキュリティプラットフォーム140によって提供される任意のコンテキスト情報は、適用できる場合、ディレクトリサービス154及び/又はAAAサーバ156に、順に提供することができる、データアプライアンス102に対して提供され、(そして、保管される)。適用できる場合、IoTモジュール138は、ホワイトボード146に関する更新されたコンテキスト情報を、それが利用可能になったときに、データアプライアンス102に提供することができる。そして、データアプライアンス102は(例えば、IoTサーバ134を介して)、同様に、ホワイトボード146に関する進行中の情報をセキュリティプラットフォーム140に提供することができる。そうした情報の例は、ホワイトボード146といったデバイスについて挙動プロファイルを構築するためにセキュリティプラットフォーム140によって使用することができるネットワーク110上のホワイトボード146の挙動に関する観察(例えば、接続に関する統計情報)を含む。同様な挙動プロファイルは、他のデバイス(例えば、ホワイトボード144)のセキュリティプラットフォーム140によって構築することができる。そうしたプロファイルは、異常な挙動の検出を含む、様々な目的に使用することができる。一つの例として、データアプライアンス148は、セキュリティプラットフォーム140によって提供される情報を使用することができ、温度計152が、温度計152の過去の観察結果と比較して異常に動作しているか否か、及び/又は、類似のモデル、製造者、または、より一般的には、他のネットワーク内に存在する温度計を含む、他の温度計(図示なし)と比較して異常に動作しているか否かを検出する。異常挙動が(例えば、データアプライアンス148によって)検出された場合、ネットワーク116上の他のノードへの温度計152のアクセスを制限する、警告を発生する、等といった、適切な修復措置を自動的にとることができる。
図3は、ネットワークにおけるIoTデバイスについてAAAサポートを受動的に提供するためのプロセスに係る実施形態を示している。様々な実施形態において、プロセス300は、IoTサーバ134によって実行される。本プロセスは、IoTデバイスによって送信されたパケットのセットが取得されると、302で開始される。一つの例として、ホワイトボード146が最初にネットワーク110上に提供されるとき、そうしたパケットは、IoTサーバ134によって302で受動的に受信され得る。パケットは、また、ホワイトボード146のその後の使用の最中に(例えば、Aliceがホワイトボード144を介してBobとホワイトボードセッションする際に)、302で受信することもできる。304において、データパケットのセットに含まれる少なくとも1つのパケットが分析される。304で実行される処理の一つの例として、IoTサーバ134は、302で受信されたパケットがホワイトボード146によって送信されていると判断する。IoTサーバ134がとることができる1つのアクションは、ネットワーク110上の新しいIoTデバイスとしてホワイトボード146を識別し、そして、適用可能の場合、IoTモジュール138からコンテキスト情報を獲得することである。306において、IoTサーバ134は、IoTデバイスに代わり、IoTデバイスに関連する情報を含むAAAメッセージを送信する。そうしたメッセージの一つの例を図4Aに示されている。上述のように、ホワイトボード146はRADIUSプロトコルをサポートしていない。しかしながら、IoTサーバ134は、ホワイトボード146に代わり、(例えば、302において、そして、また、適用できる場合は、セキュリティプラットフォーム140からも受信される情報を使用して)図4Aに示されているようなメッセージを生成することができる。上述のように、IoTサーバ134がホワイトボード146に関する情報をIoTモジュール138に提供するとき、IoTモジュール138は、様々なアクションをとることができる。データベース160内にホワイトボード146に関するレコードを作成すること、そして、そのレコードにホワイトボード146に関するコンテキスト情報を取り込むこと(例えば、その製造業者、モデル番号、等を決定すること)、といったものである。ホワイトボード146に関する追加のコンテキスト情報がセキュリティプラットフォーム140によって収集されると、そのプロファイルは更新され、そして、データアプライアンス102に対して伝搬され得る。ホワイトボード146が最初にネットワーク110内に提供されたとき、追加のコンテキスト情報は利用可能でなくてよい(例えば、セキュリティプラットフォーム140は、そうした追加情報を有しておらず、または、そうした情報をセキュリティプラットフォーム140によってIoTサーバ134に提供することは、瞬時でなくてよい)。従って、そして、図4Aに示されるように、ホワイトボード146に代わりIoTサーバ134によって生成されたRADIUSメッセージは、限定された情報を含み得る。追加のコンテキスト情報が受信されると(例えば、IoTモジュール138からIoTサーバ134によって)、ホワイトボード146に代わりIoTサーバ134によって送信される後続のRADIUSメッセージは、そうした追加情報によって豊富にされ得る。そうした後続のメッセージの例が、図4Bおよび図4Cに示されている。図4Bは、一旦、IoTモジュール138によってホワイトボード146に関するコンテキスト情報が提供されると、IoTサーバ134がホワイトボード146に代わり送信することができるRADIUSメッセージの例を示している(例えば、幅広いIoTデバイスに関するコンテキスト情報のデータベースを含む)。図4Bに示される例では、ホワイトボードの製造者(Panasonic)およびデバイスの性質(例えば、対話型ホワイトボードである)といったコンテキスト情報が含まれている。そうしたコンテキスト情報は、AAAサーバ156といったAAAサーバによって使用されて、(ホワイトボード146を修正する必要なく)AAAサービスをホワイトボード146に提供することができる。電話会議装置専用のサブネットワーク上に自動的に提供することによる、といったものである。他のタイプのIoTデバイスも、また、デバイスタイプ、目的、等といった属性に基づいて、自動的にグループ化することができる(例えば、重要な外科用機器は、そうした機器専用のサブネットワーク上に自動的に提供され、そして、従って、ネットワーク上の他の機器から隔離されている)。そうしたコンテキスト情報は、トラフィックシェピングポリシといったポリシを実施するために使用することができる。(例えば、APP-IDを使用して決定される際に)ソーシャルネットワーキングパケット上のホワイトボード146パケットに優先的な扱いを与えるポリシ、といったものである。微細化(fine-grained)された方針は、同様に、重要な手術機器との通信に適用され得る(例えば、そうした機器と通信する任意の機器を時代遅れのオペレーティングシステムを持たないようにする、等)。図4Cに示される例では、さらに、より多くの追加のコンテキスト情報が、ホワイトボード146の代わりに、RADIUSメッセージ内に、IoTサーバ134によって含まれている。そうした追加のコンテキスト情報は、デバイスモデル、オペレーティングシステム、および、オペレーティングバージョンといった、追加の属性情報を含む。ホワイトボード146が最初にネットワーク110で提供されるとき、図4Cに示される全てのコンテキスト情報は、おそらく利用可能ではない。ホワイトボード146がネットワーク110内で経時的に使用されると、追加のコンテキスト情報が収集するされ得る(例えば、IoTサーバ134が、ホワイトボード146からのパケットを受動的に観察し続け、そして、セキュリティプラットフォーム140に情報を提供する際に)。この追加情報は、細分化されたポリシを実施するために(例えば、データアプライアンス102によって)活用することができる。一つの例として、図4Cに示されるように、ホワイトボード146は、Linuxベースであり、かつ、バージョン3.16を有する特定のオペレーティングシステムを実行する。頻繁に、IoTデバイスは、アップグレード可能/パッチ不可であるオペレーティングシステムのバージョンを実行する。そうしたデバイスは、それらのオペレーティングシステムに対するエクスプロイト(exploits)が開発されると、セキュリティリスクを引き起こし得る。データアプライアンス102は、コンテキスト情報に基づいたセキュリティポリシを実装することができる。時代遅れのオペレーティングシステムを有するIoTデバイスをネットワーク110内の他のノードから分離すること(または、そうでなければ、それらのアクセスを制限すること)、一方で、現在のオペレーティングシステムを有するものに対してより制限の少ないネットワークアクセスを許可すること、等による、といったものである。
図4Aから図4Cは、RADIUSアクセス要求メッセージの例を示している。適用可能な場合に、IoTサーバ134は、ホワイトボード146の代わりに種々のタイプのRADIUSメッセージを生成することができる。一つの例として、RADIUSアカウンティング開始メッセージは、ホワイトボード146からのトラフィックが最初に観察されたときに、トリガされ得る。定期的なRADIUSアカウンティング中間更新メッセージは、ホワイトボードが使用されている間に送信することができ、そして、RADIUSアカウンティング停止メッセージは、ホワイトボード146がオフラインになったときに送信することができる。
V. IoTデバイスの発見および識別
上述のように、(例えば、IoTモジュール138を介して)セキュリティプラットフォーム140によって実行される1つのタスクは、IoTデバイス分類である。一つの例として、IoTサーバ134がデバイス発見メッセージをIoTモジュール138へ送信すると、IoTモジュール138は、デバイスについて分類を決定し、そして、応答を試みる(例えば、図2Cで示される評決234)。デバイスは、IoTモジュール138によってユニークな識別子と関連付けられ、その結果、適用できる場合、デバイスの後続の分類は、実行される必要がない(または、適用できる場合、そうでなければ実行されるであろう頻度よりも少ない頻度で実行される)。また、上述のように、決定された分類は(例えば、データアプライアンス102によって)使用され、デバイスへ/からのトラフィックに対するポリシを実施することもできる。
様々なアプローチが、デバイスを分類するために使用され得る。第1アプローチは、組織固有の識別子(organizationally unique identifier、OUI)、それが実行するアプリケーションのタイプ、等といった、デバイスの静的属性を活用するルール/ヒューリスティックのセットに基づいて分類を実行することである。第2アプローチは、デバイスの動的であるが、ネットワークトラフィックから抽出された事前定義された属性(例えば、1日に送信されるパケットの数)を活用する、機械学習技術を使用して分類を行うことである。残念ながら、これらのアプローチは両方とも弱点を有している。
ルールベースのアプローチは、一般的に、IoTデバイスのタイプごとに別個のルールを手動で作成する必要がある(デバイスの署名のタイプについて、署名としてどの属性/値が使用されるべきかを記述する)。このアプローチによって提示される1つの課題は、どの署名がデバイスの識別に関連し、かつ、他のデバイスの特徴の中でユニークである、の両方であるかを決定することである。さらに、ルールベースのアプローチでは、トラフィックから容易に取得できる限定された数の静的属性が利用可能である(例えば、ユーザーエージェント、OUI、URL宛先、等)。属性は、一般的に、正規の(regular)表現がマッチするパターンで表示されるように、十分に単純である必要がある。もう1つの課題は、新しいデバイスがマーケットに参入する際に(例えば、CTスキャナの新しいブランドまたはやモデルが提供される)、存在/識別可能な新しい静的属性を特定することである。別の課題は、ルールをトリガするために、ネットワークトラフィック内の全てのマッチング属性を収集する必要があることである。より少ない属性を用いて評決に至ることはできない。一つの例として、署名は、特定のURLに接続するために、特定のOUIを有する特定のデバイスを必要とし得る。OUIを有すること自体は、既にデバイスのアイデンティティの十分なインジケータであり得るが、URLも、また、観察されるまで、署名はトリガされない。このことは、デバイスのアイデンティティを決定することに、さらなる遅れを生じさせるだろう。別の1つの課題は、(例えば、デバイス、または、デバイスで使用されるサービスに対して行われる更新のために)経時的に変化するデバイスについて静的属性として、署名を維持および更新することである。一つの例として、特定のデバイスは、最初、第1タイプのネットワークカードを使用して製造されたかもしれないが、時間が経つと、製造者は、(異なるOUIを示す)異なるネットワークカードに切り替え得る。ルールベースのシステムが変更を認識していない場合、偽陽性(false positive)が発生し得る。さらに別の課題は、毎日オンラインに持ち込まれる新たなIoTデバイスの数が何百万もの新たなIoTデバイスインスタンスに近づく場合に、署名生成/検証をスケーリングすることである。その結果、新たに作成されたルールが、既存のルールと矛盾し、そして、分類における偽陽性を引き起こし得る。
機械学習ベースのアプローチは、一般的に、ネットワークトラフィックから抽出された静的及び/又は動的特徴に基づくトレーニングモデルを作成することを含んでいる。新しいIoTデバイスからのネットワークデータの予測結果は、関連する精度を有するデバイスのアイデンティティを提供する予備訓練(pre-trained)モデルに基づいている。機械学習アプローチに伴う問題の例は、以下のとおりである。所望の精度に到達するために必要な計算時間は、予測が全ての新しいデバイス、または、一定/一意のID(例えば、MACアドレス)を有していないデバイスについて行われる場合、受け入れられことがあり得る。生成される必要のある機能は、数千または数万個も存在し得るものであり、そして、これらの機能は、有効な予測を行うために十分な数の機能が利用可能になるまでに、著しい時間を要して(ポリシ実施の目的を損なう可能性がある)、事前に定義された時間枠にわたり変換され得る。さらに、予測の遅れを最小にすることを目標とする場合には、ストリーミングネットワークデータのための大規模なデータパイプラインを構築し、そして、維持するためのコストが高くなり得る。さらに別の問題は、所与の展開環境に特有の無関係な特徴によってもたらされるノイズが、予測の精度を低下させ得ることである。そして、デバイスタイプの数が数万以上に達すると、モデルの維持および更新について課題が存在する。
様々な実施形態において、セキュリティプラットフォーム140は、分類に対するハイブリッドアプローチを使用することによって、上述の2つのアプローチそれぞれの問題に対処する。一つの例示的なハイブリッドアプローチにおいて、ネットワーク挙動パターン識別子(ここにおいては、また、パターンIDとも呼ばれるもの)が、デバイスの各タイプについて生成される。様々な実施形態において、パターンIDは、属性またはシーケンス特徴のリストであり、(特徴または挙動カテゴリの重要度スコアとして)それらのそれぞれの確率と組み合わされ、別個のネットワーク行動記述を形成し、そして、IoTデバイスのタイプを識別するために使用され得る。パターンIDは、(例えば、データベース内に)保管され、そして、デバイスの識別/検証のために使用され得る。
属性のセットについてトレーニングするとき、極端なグラデーションブースティングフレームワーク(例えば、XGB)といった、特定のアプローチが、重要な特徴のトップリスト(静的属性、動的属性、及び/又は、集約/変換値のいずれか)を提供することができる。パターンIDは、一旦確立されたデバイスタイプを一意に識別するために使用することができる。特定の特徴がデバイスについて支配的である場合(例えば、特定の静的特徴(ブート時に高度に特定的なURLにコンタクトする、といったこと)は、98%の信頼度でデバイスを識別する)、それらは、自動的にルールを生成するために使用され得る。支配的な特徴が存在しない場合でさえ、それにもかかわらず、トップの特徴(top features)の表現がパターンIDとして使用され得る(例えば、複数の特徴のセットがパターンの中へに連結される場合)。全ての既知のモデル(および、全ての既知のIoTデバイス)を含むデータセットについてトレーニングすることによって、モデル間/一意に識別する特徴間の潜在的な競合を回避することができる。さらに、パターンIDは、人間が読むことができるものである必要はない(しかし、識別目的のために、保管、共有、及び/又は再利用することができる)。このアプローチによって、著しい時間節約も、また、実現することができ、その結果、リアルタイムに近い分類で使用することができる。支配的な特徴が観察されるとすぐに、(多数の特徴が生じるまで待つ必要の代わりに)特定のデバイスの分類が生じ得る。
「Teem Room Display iPad(登録商標)」デバイスについてパターンIDを作成するために使用され得るデータの一つの例は、以下を含むことができる(多変量モデルのトレーニングまたは複数のバイナリモデルのトレーニングを通じて自動的に生成される完全なリストを伴う)。
*Appleデバイス(100%)
*Special iPad(>98.5%)
*Teem Room App(>95%)
*Meeting volume pattern VPM-17(>95%)
*Server-in-the-cloud(>80%)
ハイブリッドアプローチの一つの例示的な方法は、以下のとおりである。ニューラルネットワークベースの機械学習システムが、自動パターンIDトレーニングおよび生成のために使用することができる。ニューラルネットワークモデルをトレーニングするために使用され得る特徴の例は、ネットワークトラフィックから抽出された静的特徴(例えば、OUI、ホスト名、TLSフィンガープリント、マッチド(matched)L7ペイロード署名、等)、および、ネットワークトラフィックから抽出されるが、環境に特有ではないシーケンス特徴(例えば、アプリケーションのL7属性、カテゴリ特徴へ変換されるボリューム範囲、等)の両方を含んでいる。軽量データパイプラインが、リアルタイムでの特徴生成のために、選択されたネットワークデータをストリームするために使用され得る。予測エンジンは、モデルをインポートし、そして、予測における遅延を最小限に抑えるためのキャッシュを提供する。予測においては、選択されたシーケンス特徴を安定化するために、短い(例えば、分ベースの)集約(aggregation)が使用され得る。カスタマイズされたデータの正規化、濃縮、集約、および変換技術は、シークエンス特徴を設計するために使用され得る。より長い集約ウィンドウは、より正確なトレーニングのために使用され得る。精度は、経時的にマージされ、そして、集約される特徴を用いて、予測について改善され得る。バックエンドフィードバックエンジンを使用して、パターンID予測に使用される属性の拡張を助ける「低速経路(“slow path”)」予測システム(例えば、デバイスタイプモデリングサブシステムおよびデバイスグループモデリングサブシステムを含む機械学習ベースのアプローチ)の結果をルーティングすることができる。デバイスグループモデルは、十分なサンプルまたは特徴が利用可能でない場合に、デバイスタイプモデルに伴う問題を補償するようにトレーニングすることができ、許容閾値を超える精度を改善する(例えば、事前に定義されたタイプのセットに基づいて予測結果を割り当て、そのうちのいくつかは、ラベルなしの類似タイプのデバイスをクラスタ化するための別のサブシステムを伴う)。最後に、リアルタイム予測エンジンからの結果を公表するために、評決モジュールが使用され得る。
ここにおいて説明されるような分類に対するハイブリッドアプローチの例示的な利点は、以下のとおりである。第一に、高速コンバージェンスが発生し、所与のデバイスについて、数分または数秒以内に識別される可能性があることである。第二に、ルールベースのシステムおよび機械学習ベースのシステムの個々の問題を扱うことである。第三に、予測結果における安定性および一貫性を提供することである。第四に、数万(または、それ以上)の異なるタイプのIoTデバイスをサポートするスケーラビリティを有することである。予測は、一般的に、(所与のデバイスがL3ネットワークトラフィックベースの識別といった、一意のID割り当てを欠いていても)新しいデバイスについてのみ必要とされる。
モジュール138の一つの実施形態が図5に示されている。IoTモジュール138を実装する一つの例示的な方法は、サービスが細分化され、そして、プロトコルが軽量化されている、マイクロサービスベースのアーキテクチャを使用することである。サービスは、また、適用できる場合、異なるプログラミング言語、データベース、ハードウェア、およびソフトウェア環境、及び/又は、メッセージングがイネーブルされ、コンテキストにより制限され、自律的に開発され、独立して展開可能であり、分散化され、そして、自動化されたプロセスで構築され、かつ、リリースされる、比較的小規模なサービスを使用して、実施することもできる。
上述のように、様々な実施形態において、セキュリティプラットフォーム140は、ネットワーク(例えば、ネットワーク110)上のIoTデバイスに関する情報を(例えば、データアプライアンス102から)周期的に受信する。ある場合に、IoTデバイスは、セキュリティプラットフォーム140によって以前に分類されている(例えば、昨年ネットワーク110にインストールされたCTスキャナ)。他の場合には、IoTデバイスは、セキュリティプラットフォーム140によって新たに見られる(例えば、最初にホワイトボード146がインストールされたとき)。所与のデバイスが、セキュリティプラットフォーム140によって以前に分類されていないと仮定する(例えば、一意のデバイス識別子および関連するデバイス情報のセットが保管されているデータベース286内に、デバイスに対するエントリが存在しない)。図5に示されるように、新しい装置に関する情報は、分類のために2つの異なる処理パイプラインへ提供され得る。パイプライン504は、「高速経路(“fast path”)」分類パイプライン(パターンIDベースのスキームに対応している)を表し、そして、パイプライン502は、「低速経路(“slow path”)」分類パイプライン(機械学習ベースのスキームに対応している)を表す。
パイプライン504においては、高速経路特徴エンジニアリングが実行され(508)、デバイスの適用可能な静的およびシーケンス特徴を識別する。高速経路予測は、パターンIDまたは以前に構築されたモデル(例えば、トップの重要な特徴に基づき、かつ、オフライン処理パイプライン506を使用して構築されたモデル)を使用して実行される(510)。特定のパターンにマッチングするデバイスについて信頼スコアが決定される(512)。装置の信頼スコアが、予めトレーニングされた閾値(例えば、モジュール138またはコンポーネントの全体的な予測精度に基づくものであり、例えば0.9)を満たす場合に、分類は、(デバイスデータベース516内の)デバイスに割り当てられ、または、適用できる場合に、更新され得る。最初に、信頼スコアは、リアルタイムに近い高速経路処理に基づいている。このアプローチの利点は、データアプライアンス102が、デバイスのトラフィックに対して非常に迅速に(例えば、モジュール138が、新たな/分類されていないものとしてデバイスを識別する数分以内に)ポリシの適用を開始することができることである。アプライアンス102は、システム140からの分類評決を待つ間、フェールセーフ(fail-safe)(例えば、様々なネットワークリソースへアクセスするためのデバイスの能力を低減/制限する)、または、フェールデインジャ(fail-danger)(例えば、デバイスの幅広いアクセスを可能にする)に構成することができる。追加情報が(例えば、低速経路処理を介して)利用可能になると、信頼スコアは、適用できる場合、その追加情報に基づくことができる(例えば、信頼スコアの増加、または、高速経路分類の最中になされた誤りの訂正/修正)。
使用され得る例示的な特徴(例えば、静的属性およびシーケンス特徴)は、以下を含んでいる。パターンIDは、論理条件を含む、これらの属性の任意の組み合わせであり得る。
*macアドレスにおけるOUI
*デコードされたプロトコルからのホスト名ストリング
*HTTP、および、他のクリアテキストプロトコルからのユーザエージェントストリング
*デコードされたSNMP応答からのシステム名ストリング
*デコードされたLDAPプロトコルからのOS、ホスト名、ドメイン、およびユーザ名
*デコードされたDNSプロトコルからのURL
*デコードされたSMBプロトコルからの、SMBバージョン、コマンド、エラー
*TCPフラグ
*デコードされたDHCPプロトコルからのオプションストリング
*Digital Imaging and Communications in Medicine(DICOM)といったデコードされたIoTプロトコルからのストリング
*ローカルネットワークからのインバウンドアプリケーションのリスト
*インターネットからのインバウンドアプリケーションのリスト
*ローカルネットワークへのアウトバウンドアプリケーションのリスト
*インターネットへのアウトバウンドアプリケーションのリスト
*ローカルネットワークからのインバウンドサーバポートのリスト
*インターネットからのインバウンドサーバポートのリスト
*ローカルネットワークへのアウトバウンドサーバポートのリスト
*インターネットへのアウトバウンドサーバポートのリスト
*ローカルネットワークからのインバウンドIPのリスト
*インターネットからのインバウンドURLのリスト
*ローカルネットワークへのアウトバウンドIPのリスト
*インターネットへのアウトバウンドURLのリスト
場合によっては、512で決定された信頼スコアが非常に低いことがある。このこと起こり得る1つの理由は、デバイスが新しいタイプであり(例えば、新しいタイプのIoT玩具、または、セキュリティプラットフォーム140によって以前に分析されていない他のタイプの製品)、そして、セキュリティプラットフォーム140上のデバイスについて利用可能な対応するパターンIDが存在しないからである。そうしたシナリオにおいて、デバイスおよび分類結果に関する情報は、オフライン処理パイプライン506に提供され得る。これは、例えば、デバイスおよび他の適用可能な情報によって示される挙動に対してクラスタリングを実行することができる(514)(例えば、デバイスが、無線装置であること、プリンタのように動作すること、DICOMプロトコルを使用すること、等を決定するためである)。クラスタリング情報は、ラベルとして適用され、そして、適用可能な場合には、追加リサーチ518のためにフラグ付けされ、その後、同様なデバイスが自動的にグループ化されるように見える。リサーチの結果、所与のデバイスに関する追加情報が決定された場合(例えば、それが新しいタイプの消費者指向のIoT食肉温度計に対応するものとして識別された)、デバイス(および、同様な特性を有する他の全てのデバイス)は、それに応じて(例えば、ブランドXYZ食肉温度計として)再度レベル付けされ、そして、関連するパターンIDが生成され、そして、適用できる場合には、(例えば、モデルが再構築された後で)パイプライン502/504によって使用可能となる。様々な実施形態において、オフラインモデリング520は、IoTデバイス識別のために使用される様々なモデル522をトレーニングし、かつ、更新するために毎日実行されるプロセスである。様々な実施形態において、モデルは、新しいラベル付きデバイスをカバーするために毎日更新され、そして、挙動の変化を反映するために毎週再構築され(低速経路パイプライン502について)、そして、週の最中に追加された新しい特徴およびデータの洞察を収容する。セキュリティプラットフォーム140に新しいタイプのデバイスを追加する場合(すなわち、新しいデバイスパターンを作成する場合)、複数の既存のデバイスパターンが影響を受ける可能性があり、特徴またはそれらの重要度スコアのリストのいずれかが更新されることを要求していることに留意されたい。本プロセスは、自動的に実行することができ(そして、ルールベースのソリューションと比較して大きな利点である)。
高速経路モデリングのために、ニューラルネットワークベースモデル(例えば、FNN)、および、一般機械学習モデル(例えば、XGB)が多変量分類モデルのために広く使用されている。結果を改善し、クラスタリングへのインプットを提供するために、選択したプロファイルのバイナリモデルも、また、構築される。バイナリモデルは、デバイスの識別、または、デバイスの所定の挙動に対して「はい」/「いいえ」の回答を与える。例えば、バイナリモデルを使用して、デバイスがIP電話のタイプであるか、おそらくIP電話ではないか、いずれかを判断するために使用され得る。多変量モデルは、1の確率で正規化された多くの出力を有する。各出力は、デバイスのタイプに対応している。バイナリモデルは、一般的に、より速いが、正しい「はい」の回答を見つけるために、デバイスが多くの予測を経ることを要求するだろう。多変量モデルは、一段階でそれを達成することができる。
低速経路パイプライン502は、特徴が抽出される点でパイプライン504と類似している(524)。しかしながら、パイプライン502によって使用される特徴は、典型的に、構築するのに一定の時間を要する。一つの例として、「1日あたりの送信バイト数(“number of bytes sent per day”)」の特徴は、収集するために1日を必要とする。別の例として、所定の使用パターンは、発生し/観察されるのに一定の時間を要し得る(例えば、CTスキャナがスキャンを実行するため1時間ごとに使用される(第1挙動)、毎日データをバックアップする(第2挙動)、および、製造業者のウェブサイトを更新のために毎週チェックする場合(第3挙動))。低速経路パイプライン502は、特徴の完全なセット上で新しいデバイスのインスタンスを分類する試みにおいて、多変量分類器を呼び出す(526)。使用される特徴は、静的またはシーケンス特徴に限定されるものではなく、ボリュームおよび時系列ベースの特徴も、同様に含んでいる。このことは、一般的に、第1段階の予測と呼ばれる。所定のプロフィールについて、第1段階の予測結果が最適でない場合(信頼度が低い)、その結果を改善する試みにおいて、第2段階の予測結果が使用される。低速経路パイプライン502は、新しいデバイスのインスタンスを分類するために、追加的にインポートされたデバイスのコンテキストによってサポートされる、ディシジョンツリー分類器のセットを呼び出す(528)。追加的なデバイスのコンテキストは、外部ソースからインポートされる。一つの例として、デバイスが接続したURLは、特徴として含めることができるカテゴリおよびリスクベースの評判を与えられ得る。別の例として、デバイスによって使用されるアプリケーションは、特徴として含めることができるカテゴリおよびリスクベースのスコアを与えられ得る。第1段階予測526および第2段階予測528からの結果を組み合わせることによって、導出信頼スコアを用いて低速経路分類の最終評決に到達することができる。
一般的には、低速経路パイプライン502に含まれる2つの段階が存在している。低速経路パイプラインでは、いくつかの実施形態において、第1段階モデルが、ニューラルネットワーク技術に基づいて、多変量分類器を用いて構築される。低速経路パイプラインの第2段階は、一般的に、第1段階の確率関連の例外を処理するための追加的なロジックを備えた決定ベースモデルのセットである。予測において、第2段階は、第1段階からの入力を統合し、第1段階の出力を検証し、そして、低速経路の最終出力を生成するために、ルールおよびコンテキストを適用する。最終出力は、デバイスのアイデンティティ、全体的な信頼スコア、将来の高速経路パイプライン504に使用できるパターンID、および、説明リストを含んでいる。信頼スコアは、モデルの信頼性と精度(モデルは、また、信頼スコアも有する)、および、分類の一部としての確率に基づいている。説明リストは、結果に貢献する特徴のリストを含む。上述のように、結果が既知のパターンIDから逸脱した場合に、調査がトリガされ得る。
いくつかの実施形態において、低速経路モデリングのために、2つのタイプのモデルが構築される。1つは個々のアイデンティティ用であり、そして、もう1つはグループのアイデンティティ用である。例えば、異なるベンダーから、または、異なるモデルの2台のプリンタ間の違いを見分けることは、しばしば、温度計からプリンタを区別することよりも困難である(例えば、プリンタは、ネットワーク挙動を示し、類似のプロトコルを話す傾向があるからである)。種々の実施形態においては、種々のベンダーからの種々のプリンタが、グループ内に含まれ、そして、「プリンタ」モデルは、グループ分類のためにトレーニングされる。このグループ分類結果は、特定のプリンタに対する特定のモデルよりも良好な精度を提供することができ、そして、デバイスの信頼スコアを更新するために、または、適用できる場合には、個々のプロファイルのアイデンティティベースの分類に対する参照および検証を提供するために使用することができる。
図6は、IoTデバイスを分類するためのプロセスに係る一つの例を示している。様々な実施形態において、プロセス600は、セキュリティプラットフォーム140によって実行される。プロセス600は、また、適用できる場合には、他のシステムによっても実行可能である(例えば、IoTデバイスと敷地内(on-premise)で共配置されているシステム)。プロセス600は、IoTデバイスのネットワーク通信に関連付けられた情報が受信されると、602で開始される。一つの例として、そうした情報は、データアプライアンス102が所与のIoTデバイスに対するデバイス発見イベントを送信するときに、セキュリティプラットフォーム140によって受信される。604においては、デバイスが分類されていない(または、適用できる場合に、再分類が実施されるべきである)との判断が行われる。一つの例として、プラットフォーム140は、デバイスが分類されたか否かを判断するためにデータベース286をクエリ(query)することができる。606においては、2つの部分からなる(two-part)分類が実行される。一つの例として、2つの部分からなる分類は、606で、高速経路分類パイプライン504および低速経路分類パイプライン502の両方に対するデバイスに関する情報を提供するプラットフォーム140によって実行される。最後に、608では、606で実行された分類プロセスの結果が、IoTデバイスに対してポリシを適用するように構成されたセキュリティアプライアンスに提供される。上述のように、これにより、非常に細分化されたセキュリティポリシが、最小限の管理努力で、潜在的にミッションクリティカルな環境において実装され得る。
プロセス600を実行する第1例において、Xbox Oneゲームコンソールがネットワーク110に接続されていると仮定する。分類中に、デバイスが以下の主要な特徴を有していると判断することができる。「ベンダー=マイクロソフト(“vendor=Microsoft”)」特徴が100%の信頼性を有し、「マイクロソフトクラウドサーバと通信する(“communicates with Microsoft cloud server”)」特徴が89.7%の信頼性を有し、そして、「ゲーム機(“game console”)」特徴と78.5%の信頼性でマッチする。これら3つの特徴/信頼スコアは、プロファイルIDのセットに対して集合的にマッチングさせることができ(ニューラルネットワークベースの予測によって実行されるプロセス)、Xbox Oneゲームコンソールとしてデバイスを識別する(すなわち、512で、閾値を満たすプロファイルIDマッチが見つかる)。第2例においては、AudioCodes IP電話がネットワーク110に接続されていると仮定する。分類中に、デバイスが、「ベンダー=オーディオコード(“vendor=AudioCodes”)」特徴と100%の信頼性で、「IPオーディオデバイスである(“is an IP audio device”)」特徴と98.5%の信頼性で、および、「ローカルサーバのように動作する(“acts like a local sever”)」特徴と66.5%の信頼性でマッチすると判断することができる。これら3つの特徴/信頼スコアも、また、プロファイルIDのセットに対してマッチするが、このシナリオでは、既存のプロファイルIDは十分な信頼性でマッチしないと仮定している。デバイスに関する情報は、次いで、クラスタリングプロセス514に提供され、そして、適用可能な場合には、新しいプロファイルIDが最終的に生成されて、デバイスに関連付けされ得る(および、将来のデバイスを分類するために使用され得る)。
適用可能な場合に、セキュリティプラットフォーム140は、決定された分類に基づいて、特定のポリシを推奨することができる。以下は、実施可能なポリシの例である。
*全ての輸液ポンプ(Infusion Pump)について(ベンダーに関係なく)インターネットトラフィックを拒否する
*所定のGEホストから/に対するものを除く、全てのGE ECGマシンについてインターネットトラフィックを拒否する
*全てのCTスキャナについて(ベンダーに関係なく)画像保存通信システム(Picture Archiving and Communication System、PACS)サーバへの内部トラフィックのみを許可する
上述の実施形態は、理解を明確にするためにある程度詳細に説明されてきたが、本発明は、提供された詳細に限定されるものではない。本発明を実施するための多くの代替的な方法が存在している。開示された実施形態は、例示的なものであり、かつ、限定的なものではない。

Claims (12)

  1. プロセッサおよびメモリを含む、システムであって、
    前記プロセッサは、
    IoTデバイスのネットワーク通信に関連する情報を受信し、
    前記IoTデバイスが分類されているか否かを判断し、
    前記IoTデバイスが分類されていないとの判断に応じて、2つの部分からなる分類プロセスを実行し、
    前記分類プロセスの第1部分は、インライン分類を含み、
    前記分類プロセスの第2部分は、前記インライン分類のその後の検証を含み、かつ、
    前記IoTデバイスにポリシを適用するように構成されたセキュリティアプライアンスに対して、前記分類プロセスの結果を提供する、
    ように構成されており、
    前記メモリは、前記プロセッサに結合されており、かつ、前記プロセッサに命令を提供する、
    システム。
  2. 前記情報は、前記IoTデバイスをモニタリングするように構成されたデータアプライアンスから受信される、
    請求項1に記載のシステム。
  3. 前記受信された情報は、ネットワークトラフィックメタデータを含む、
    請求項1に記載のシステム。
  4. 前記分類プロセスの前記第1部分は、ルールベースの分類を含む、
    請求項1に記載のシステム。
  5. 前記分類プロセスの前記第2部分は、機械学習ベースの分類を含む、
    請求項1に記載のシステム。
  6. 前記分類プロセスを実行することは、前記IoTデバイスについていずれかの特徴が支配的であるか否かを決定すること、を含む、
    請求項1に記載のシステム。
  7. 前記2つの部分からなる分類プロセスを実行することは、前記IoTデバイスの1つ以上の特徴がネットワーク挙動パターン識別子と一致することの信頼性を判断すること、を含む、
    請求項1に記載のシステム。
  8. 前記プロセッサは、さらに、前記ネットワーク挙動パターン識別子を生成するように構成されている、
    請求項7に記載のシステム。
  9. 前記分類プロセスの結果は、グループ分類を含む、
    請求項1に記載のシステム。
  10. 前記分類プロセスの結果は、プロファイル分類を含む、
    請求項1に記載のシステム。
  11. IoTデバイスのネットワーク通信に関連する情報を受信するステップと、
    前記IoTデバイスが分類されているか否かを判断するステップと、
    前記IoTデバイスが分類されていないとの判断に応じて、2つの部分からなる分類プロセスを実行するステップであり、
    前記分類プロセスの第1部分は、インライン分類を含み、
    前記分類プロセスの第2部分は、前記インライン分類のその後の検証を含む、
    ステップと、
    前記IoTデバイスにポリシを適用するように構成されたセキュリティアプライアンスに対して、前記分類プロセスの結果を提供するステップと、
    を含む、方法。
  12. 複数のコンピュータ命令を含み、有形のコンピュータ読取可能な記憶媒体に保管される、コンピュータプログラムであって、
    前記命令が実行されると、コンピュータに、
    IoTデバイスのネットワーク通信に関連する情報を受信するステップと、
    前記IoTデバイスが分類されているか否かを判断するステップと、
    前記IoTデバイスが分類されていないとの判断に応じて、2つの部分からなる分類プロセスを実行するステップであり、
    前記分類プロセスの第1部分は、インライン分類を含み、
    前記分類プロセスの第2部分は、前記インライン分類のその後の検証を含む、
    ステップと、
    前記IoTデバイスにポリシを適用するように構成されたセキュリティアプライアンスに対して、前記分類プロセスの結果を提供するステップと、
    を実施させる、
    コンピュータプログラム。
JP2022565976A 2020-06-01 2021-06-01 IoTデバイスの検出および識別 Active JP7418611B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202063033004P 2020-06-01 2020-06-01
US63/033,004 2020-06-01
US17/133,189 2020-12-23
US17/133,189 US11115799B1 (en) 2020-06-01 2020-12-23 IoT device discovery and identification
PCT/US2021/035278 WO2021247597A1 (en) 2020-06-01 2021-06-01 Iot device discovery and identification

Publications (2)

Publication Number Publication Date
JP2023524235A JP2023524235A (ja) 2023-06-09
JP7418611B2 true JP7418611B2 (ja) 2024-01-19

Family

ID=77559107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022565976A Active JP7418611B2 (ja) 2020-06-01 2021-06-01 IoTデバイスの検出および識別

Country Status (6)

Country Link
US (2) US11115799B1 (ja)
EP (1) EP4158923A1 (ja)
JP (1) JP7418611B2 (ja)
KR (1) KR20220162774A (ja)
CN (1) CN115486105A (ja)
WO (1) WO2021247597A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9774604B2 (en) 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
US10380348B2 (en) 2016-11-21 2019-08-13 ZingBox, Inc. IoT device risk assessment
US11070568B2 (en) 2017-09-27 2021-07-20 Palo Alto Networks, Inc. IoT device management visualization
US11082296B2 (en) 2017-10-27 2021-08-03 Palo Alto Networks, Inc. IoT device grouping and labeling
EP3808052A4 (en) 2018-06-18 2022-03-02 Palo Alto Networks, Inc. PATTERN MATCH-BASED DETECTION IN INTERNET OF THINGS SECURITY
US11451571B2 (en) 2018-12-12 2022-09-20 Palo Alto Networks, Inc. IoT device risk assessment and scoring
US11689573B2 (en) 2018-12-31 2023-06-27 Palo Alto Networks, Inc. Multi-layered policy management
US11115799B1 (en) * 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification
CN117999769A (zh) * 2021-09-14 2024-05-07 三星电子株式会社 用于控制家用电器的方法和系统
WO2023055851A1 (en) * 2021-09-29 2023-04-06 Palo Alto Networks, Inc. Iot security policy on a firewall
US11552975B1 (en) 2021-10-26 2023-01-10 Palo Alto Networks, Inc. IoT device identification with packet flow behavior machine learning model
KR102623302B1 (ko) * 2021-11-26 2024-01-09 학교법인 건국대학교 의료기기 전용 보안 솔루션을 위한 시스템 및 장치
WO2023111662A1 (en) * 2021-12-18 2023-06-22 Knwn Technologies, Inc. Biometric identification via holographic environmental data
US20240015134A1 (en) * 2022-07-05 2024-01-11 Tweenznet Ltd. System and method of discovering a network asset from a network sample
CN115065552B (zh) * 2022-07-27 2023-01-10 北京六方云信息技术有限公司 工业通讯防护方法、装置、终端设备及存储介质
US20240093465A1 (en) * 2022-09-21 2024-03-21 Caterpillar Inc. Identifying telemetry data using artificial intelligence

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110087626A1 (en) 2009-10-10 2011-04-14 Oracle International Corporation Product classification in procurement systems
US20160301717A1 (en) 2015-01-20 2016-10-13 Cisco Technology, Inc. Classification of security policies across multiple security products
US20170180380A1 (en) 2015-12-16 2017-06-22 Verizon Patent And Licensing Inc. NETWORK ACCESS SECURITY FOR INTERNET OF THINGS (IoT) DEVICES
US20190014169A1 (en) 2014-09-30 2019-01-10 Palo Alto Networks, Inc. Mobile url categorization
US20190268305A1 (en) 2018-02-28 2019-08-29 Palo Alto Networks, Inc. Identifying security risks and enforcing policies on encrypted/encoded network communications
US20190387399A1 (en) 2018-05-29 2019-12-19 FirstPoint Mobile Guard Ltd. SYSTEM AND METHOD FOR SECURING COMMUNICATION AND INFORMATION OF IoT DEVICES THROUGH A CONTROLLED CELLULAR COMMUNICATION NETWORK
JP2020503784A (ja) 2016-12-30 2020-01-30 インテル・コーポレーション モノのインターネット

Family Cites Families (169)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6142682A (en) 1997-06-13 2000-11-07 Telefonaktiebolaget Lm Ericsson Simulation of computer processor
US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US20060265397A1 (en) 2001-03-06 2006-11-23 Knowledge Vector, Inc. Methods, systems, and computer program products for extensible, profile-and context-based information correlation, routing and distribution
US6877146B1 (en) 2001-06-03 2005-04-05 Cadence Design Systems, Inc. Method and apparatus for routing a set of nets
WO2004107130A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US9609003B1 (en) 2007-06-12 2017-03-28 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US9407662B2 (en) 2005-12-29 2016-08-02 Nextlabs, Inc. Analyzing activity data of an information management system
US8738749B2 (en) 2006-08-29 2014-05-27 Digimarc Corporation Content monitoring and host compliance evaluation
US8331229B1 (en) 2006-12-15 2012-12-11 At&T Mobility Ii Llc Policy-enabled dynamic deep packet inspection for telecommunications networks
KR100949808B1 (ko) 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
ATE516655T1 (de) 2007-12-31 2011-07-15 Telecom Italia Spa Verfahren zur detektion von anomalien in einem kommunikationssystem, das symbolische paketmerkmale verwendet
US20130247190A1 (en) 2008-07-22 2013-09-19 Joel R. Spurlock System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity
US8159966B1 (en) 2008-11-24 2012-04-17 Sprint Communications Company L.P. Packet processing profile selection and delivery in wireless communication systems
WO2010127365A1 (en) 2009-05-01 2010-11-04 Citrix Systems, Inc. Systems and methods for establishing a cloud bridge between virtual storage resources
US8874550B1 (en) 2010-05-19 2014-10-28 Trend Micro Incorporated Method and apparatus for security information visualization
US20120065749A1 (en) 2010-09-13 2012-03-15 Motorola Mobility, Inc. Display of Devices on an Interface based on a Contextual Event
US20120102543A1 (en) 2010-10-26 2012-04-26 360 GRC, Inc. Audit Management System
US9215244B2 (en) 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
CN102025577B (zh) 2011-01-06 2012-07-04 西安电子科技大学 物联网网络系统及数据处理方法
US8973088B1 (en) 2011-05-24 2015-03-03 Palo Alto Networks, Inc. Policy enforcement using host information profile
US8671099B2 (en) 2011-12-28 2014-03-11 International Business Machines Corporation Clustering devices in an internet of things (‘IoT’)
US8683598B1 (en) 2012-02-02 2014-03-25 Symantec Corporation Mechanism to evaluate the security posture of a computer system
US8990948B2 (en) 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
WO2013177311A1 (en) 2012-05-23 2013-11-28 Observable Networks, Llc System and method for continuous device profiling (cdp)
US9548987B1 (en) 2012-06-11 2017-01-17 EMC IP Holding Company LLC Intelligent remediation of security-related events
US8891528B2 (en) 2012-06-21 2014-11-18 Breakingpoint Systems, Inc. Managing the capture of packets in a computing system
US9015233B2 (en) 2012-06-29 2015-04-21 At&T Intellectual Property I, L.P. System and method for segregating layer seven control and data traffic
US9900171B2 (en) 2013-02-25 2018-02-20 Qualcomm Incorporated Methods to discover, configure, and leverage relationships in internet of things (IoT) networks
US9324119B2 (en) 2013-03-15 2016-04-26 Alert Enterprise Identity and asset risk score intelligence and threat mitigation
US9639820B2 (en) 2013-03-15 2017-05-02 Alert Enterprise Systems, structures, and processes for interconnected devices and risk management
JP2014182461A (ja) 2013-03-18 2014-09-29 Toshiba Corp 通信装置、通信方法、通信システム、およびプログラム
US9600914B2 (en) * 2013-04-09 2017-03-21 Koninklijke Philips N.V. Layered two-dimensional projection generation and display
US20140325670A1 (en) 2013-04-25 2014-10-30 Rivendale Software Solution Private Limited System and method for providing risk score based on sensitive information inside user device
US9372922B2 (en) 2013-07-11 2016-06-21 Neura, Inc. Data consolidation mechanisms for internet of things integration platform
EP3036938A4 (en) 2013-08-23 2017-04-12 Samsung Electronics Co., Ltd. Mobile software defined networking (mobisdn)
US9961096B1 (en) 2013-09-17 2018-05-01 Cisco Technology, Inc. Distributed behavior based anomaly detection
US9652362B2 (en) 2013-12-06 2017-05-16 Qualcomm Incorporated Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US10489361B2 (en) 2014-01-27 2019-11-26 Camelot Uk Bidco Limited System and methods for cleansing automated robotic traffic from sets of usage logs
US9510195B2 (en) 2014-02-10 2016-11-29 Stmicroelectronics International N.V. Secured transactions in internet of things embedded systems networks
US20150039513A1 (en) 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
US9807110B2 (en) * 2014-03-11 2017-10-31 Vectra Networks, Inc. Method and system for detecting algorithm-generated domains
US10176428B2 (en) 2014-03-13 2019-01-08 Qualcomm Incorporated Behavioral analysis for securing peripheral devices
US10313494B2 (en) 2014-03-27 2019-06-04 Pismo Labs Technology Limited Methods and systems for identifying data sessions at a VPN gateway
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US10360196B2 (en) 2014-04-15 2019-07-23 Splunk Inc. Grouping and managing event streams generated from captured network data
US9286453B2 (en) 2014-05-06 2016-03-15 International Business Machines Corporation Dynamic adjustment of authentication policy
US9721212B2 (en) 2014-06-04 2017-08-01 Qualcomm Incorporated Efficient on-device binary analysis for auto-generated behavioral models
US10212176B2 (en) 2014-06-23 2019-02-19 Hewlett Packard Enterprise Development Lp Entity group behavior profiling
US9891907B2 (en) 2014-07-07 2018-02-13 Harman Connected Services, Inc. Device component status detection and illustration apparatuses, methods, and systems
US9705914B2 (en) 2014-07-23 2017-07-11 Cisco Technology, Inc. Signature creation for unknown attacks
US9699659B2 (en) 2014-07-31 2017-07-04 Qualcomm Incorporated On-boarding a device to a secure local network
US9479525B2 (en) 2014-10-23 2016-10-25 International Business Machines Corporation Interacting with a remote server over a network to determine whether to allow data exchange with a resource at the remote server
US20160128043A1 (en) 2014-10-30 2016-05-05 Qualcomm Incorporated Dynamic mobile ad hoc internet of things (iot) gateway
CN107006050A (zh) 2014-12-12 2017-08-01 瑞典爱立信有限公司 用于处理控制平面信令的方法和节点
US9584536B2 (en) 2014-12-12 2017-02-28 Fortinet, Inc. Presentation of threat history associated with network activity
KR101634295B1 (ko) 2014-12-16 2016-06-30 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
US9661011B1 (en) 2014-12-17 2017-05-23 Amazon Technologies, Inc. Techniques for data routing and management using risk classification and data sampling
US9635021B2 (en) 2014-12-18 2017-04-25 Intel Corporation Trusted ephemeral identifier to create a group for a service and/or to provide the service
US20160196558A1 (en) 2015-01-05 2016-07-07 Ebay Inc. Risk assessment based on connected wearable devices
US9774604B2 (en) 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
US9813432B2 (en) 2015-01-23 2017-11-07 Cisco Technology, Inc. Tracking anomaly propagation at the network level
WO2016118979A2 (en) 2015-01-23 2016-07-28 C3, Inc. Systems, methods, and devices for an enterprise internet-of-things application development platform
US10043591B1 (en) 2015-02-06 2018-08-07 Brain Trust Innovations I, Llc System, server and method for preventing suicide
US20170011406A1 (en) 2015-02-10 2017-01-12 NXT-ID, Inc. Sound-Directed or Behavior-Directed Method and System for Authenticating a User and Executing a Transaction
US20180027006A1 (en) 2015-02-24 2018-01-25 Cloudlock, Inc. System and method for securing an enterprise computing environment
US9979606B2 (en) 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
US20160267406A1 (en) 2015-03-09 2016-09-15 Mastercard International Incorporated Systems and Methods for Rating Merchants
US10063585B2 (en) 2015-03-18 2018-08-28 Qualcomm Incorporated Methods and systems for automated anonymous crowdsourcing of characterized device behaviors
US10212178B2 (en) 2015-04-07 2019-02-19 Zingbox, Ltd. Packet analysis based IoT management
US10592673B2 (en) 2015-05-03 2020-03-17 Arm Limited System, device, and method of managing trustworthiness of electronic devices
US9838204B2 (en) 2015-05-14 2017-12-05 Verizon Patent And Licensing Inc. IoT communication utilizing secure asynchronous P2P communication and data exchange
US10728338B2 (en) 2015-05-18 2020-07-28 Interdigital Patent Holdings, Inc. Automated profiling and context dependent cooperative IoT management operations
KR101679578B1 (ko) 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
US10419438B2 (en) 2015-06-09 2019-09-17 Intel Corporation System, apparatus and method for auto-optimization of access control policy and key management in a network authoring tool
US10389756B2 (en) 2015-06-09 2019-08-20 Intel Corporation System, apparatus and method for security interoperability path analysis in an internet of things (IOT) network
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US20180012227A1 (en) 2016-07-05 2018-01-11 NXT-ID, Inc. Biometric, Behavioral-Metric, Knowledge-Metric, and Electronic-Metric Directed Authentication and Transaction Method and System
US10419428B2 (en) 2015-07-05 2019-09-17 NXT-ID, Inc. System and method to authenticate electronics using electronic-metrics
US10320613B1 (en) 2015-08-11 2019-06-11 Cisco Technology, Inc. Configuring contextually aware IoT policies
EP3136297A1 (en) 2015-08-27 2017-03-01 Tata Consultancy Services Limited System and method for determining information and outliers from sensor data
WO2017037444A1 (en) 2015-08-28 2017-03-09 Statustoday Ltd Malicious activity detection on a computer network and network metadata normalisation
US9894028B2 (en) 2015-08-31 2018-02-13 Microsoft Technology Licensing, Llc Personalized cross session diversity
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10237875B1 (en) 2015-09-25 2019-03-19 Amazon Technologies, Inc. Routing-aware network limiter
US9641553B2 (en) 2015-09-25 2017-05-02 Intel Corporation Methods and apparatus to facilitate end-user defined policy management
US10630706B2 (en) 2015-10-21 2020-04-21 Vmware, Inc. Modeling behavior in a network
US20170126704A1 (en) 2015-10-28 2017-05-04 Qualcomm Incorporated Method And Devices For Non-Intrusive Malware Detection For The Internet Of Things (IOT)
US20170124660A1 (en) 2015-11-02 2017-05-04 Verizon Patent And Licensing Inc. Telematics Based Systems and Methods for Determining and Representing Driving Behavior
WO2017087840A1 (en) 2015-11-20 2017-05-26 Webroot Inc. Binocular fusion analytics security
US9998483B2 (en) 2015-12-22 2018-06-12 Mcafee, Llc Service assurance and security of computing systems using fingerprinting
US20170188242A1 (en) 2015-12-23 2017-06-29 Intel IP Corporation Method and apparatus for IoT device clustering
US10460600B2 (en) 2016-01-11 2019-10-29 NetraDyne, Inc. Driver behavior monitoring
US9849364B2 (en) 2016-02-02 2017-12-26 Bao Tran Smart device
US11130042B2 (en) 2016-02-02 2021-09-28 Bao Tran Smart device
US10348739B2 (en) 2016-02-09 2019-07-09 Ca, Inc. Automated data risk assessment
US10083055B2 (en) 2016-02-12 2018-09-25 At&T Intellectual Property I, L.P. Management of IoT devices in a virtualized network
US11768823B2 (en) 2016-02-17 2023-09-26 Verizon Patent And Licensing Inc. Rules execution system for IoT devices
US10652254B2 (en) 2016-02-23 2020-05-12 Zenedge, Inc. Analyzing web application behavior to detect malicious requests
US10178116B2 (en) 2016-02-29 2019-01-08 Soliton Systems K.K. Automated computer behavioral analysis system and methods
US10459827B1 (en) 2016-03-22 2019-10-29 Electronic Arts Inc. Machine-learning based anomaly detection for heterogenous data sources
US20170279685A1 (en) 2016-03-25 2017-09-28 Cisco Technology, Inc. Adjusting anomaly detection operations based on network resources
US10038700B1 (en) 2016-03-29 2018-07-31 EMC IP Holding Company LLC Establishing trustworthiness of devices in the internet of things (IoT) to control inter-device communication
US10616249B2 (en) 2016-03-31 2020-04-07 Intel Corporation Adaptive internet of things edge device security
US10022613B2 (en) 2016-05-02 2018-07-17 Bao Tran Smart device
US10046228B2 (en) 2016-05-02 2018-08-14 Bao Tran Smart device
US10532268B2 (en) 2016-05-02 2020-01-14 Bao Tran Smart device
KR101879931B1 (ko) 2016-05-10 2018-07-20 한국과학기술원 IoT 서비스 관리를 위한 방법 및 장치
US10250435B2 (en) 2016-05-24 2019-04-02 Dell Products, Lp System and method for intelligent discovery and rescue of devices in an internet-of-things network
US10705894B2 (en) 2016-05-30 2020-07-07 Samsung Electronics Co., Ltd. Electronic device for authenticating application and operating method thereof
US11232465B2 (en) 2016-07-13 2022-01-25 Airship Group, Inc. Churn prediction with machine learning
US10191794B2 (en) 2016-09-28 2019-01-29 Mcafee, Llc Monitoring and analyzing watchdog messages in an internet of things network environment
US10122743B2 (en) 2016-10-24 2018-11-06 Senrio Inc. Methods and systems for detecting anomalous behavior of network-connected embedded devices
US9692784B1 (en) 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US10855715B2 (en) 2016-10-31 2020-12-01 Sumo Logic, Inc. Method for predicting security risks of assets on a computer network
US10511620B2 (en) 2016-10-31 2019-12-17 Armis Security Ltd. Detection of vulnerable devices in wireless networks
US10380348B2 (en) 2016-11-21 2019-08-13 ZingBox, Inc. IoT device risk assessment
US10771487B2 (en) 2016-12-12 2020-09-08 Gryphon Online Safety Inc. Method for protecting IoT devices from intrusions by performing statistical analysis
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
US11477202B2 (en) 2016-12-29 2022-10-18 AVAST Software s.r.o. System and method for detecting unknown IoT device types by monitoring their behavior
US11057344B2 (en) 2016-12-30 2021-07-06 Fortinet, Inc. Management of internet of things (IoT) by security fabric
US10938926B2 (en) 2016-12-30 2021-03-02 Fortinet, Inc. User and IoT (internet of things) apparatus tracking in a log management system
CN108306911B (zh) 2017-01-12 2020-12-29 中移物联网有限公司 一种物联网事件监测方法及设备
US10389753B2 (en) 2017-01-23 2019-08-20 Ntt Innovation Institute, Inc. Security system and method for internet of things infrastructure elements
US20180234302A1 (en) 2017-02-10 2018-08-16 Qualcomm Incorporated Systems and methods for network monitoring
US10855800B2 (en) 2017-02-15 2020-12-01 Dell Products, L.P. Managing device profiles in the Internet-of-Things (IoT)
US10721254B2 (en) 2017-03-02 2020-07-21 Crypteia Networks S.A. Systems and methods for behavioral cluster-based network threat detection
US10127791B2 (en) 2017-03-07 2018-11-13 Verizon Patent And Licensing Inc. Internet of things (IoT) event distribution
CN107135093B (zh) 2017-03-17 2020-05-05 西安电子科技大学 一种基于有限自动机的物联网入侵检测方法及检测系统
US10552294B2 (en) 2017-03-31 2020-02-04 Commvault Systems, Inc. Management of internet of things devices
US10630728B2 (en) 2017-03-31 2020-04-21 Wipro Limited Systems and methods for minimizing privacy intrusion during internet of things lawful interception
US10785249B2 (en) 2017-04-06 2020-09-22 Fortinet, Inc. Predicting the risk associated with a network flow, such as one involving an IoT device, and applying an appropriate level of security inspection based thereon
US10992711B2 (en) 2017-04-13 2021-04-27 At&T Intellectual Property I, L.P. Network aware data driven internet of things service engine
US10623389B2 (en) 2017-05-11 2020-04-14 International Business Machines Corporation Authenticating a device based on communication patterns in a group of devices
US10887306B2 (en) 2017-05-11 2021-01-05 International Business Machines Corporation Authenticating an unknown device based on relationships with other devices in a group of devices
US10204219B2 (en) 2017-06-05 2019-02-12 Karamba Security In-memory protection for controller security
US10878103B2 (en) 2017-06-05 2020-12-29 Karamba Security Ltd. In-memory protection for controller security
US11250343B2 (en) 2017-06-08 2022-02-15 Sap Se Machine learning anomaly detection
US10862911B2 (en) 2017-06-27 2020-12-08 Allot Ltd. System, device, and method of adaptive network protection for managed internet-of-things services
US20190019249A1 (en) 2017-07-12 2019-01-17 Mastercard International Incorporated Methods, Systems, Networks, And Media For Generating Personal Profile Scores Using A Geo-Location Based Model
WO2019051507A1 (en) 2017-09-11 2019-03-14 Carbon Black, Inc. METHODS OF BEHAVIORAL DETECTION AND PREVENTION OF CYBERATTAICS, AS WELL AS APPARATUS AND RELATED TECHNIQUES
US10498750B2 (en) 2017-09-14 2019-12-03 Zscaler, Inc. Systems and methods for security and control of internet of things and zeroconf devices using cloud services
US20190089747A1 (en) 2017-09-19 2019-03-21 Cisco Technology, Inc. Protecting secure session from iot gateways
JP7130361B2 (ja) 2017-09-22 2022-09-05 東芝テック株式会社 制御装置及び制御方法
US11070568B2 (en) 2017-09-27 2021-07-20 Palo Alto Networks, Inc. IoT device management visualization
US20190138512A1 (en) 2017-09-27 2019-05-09 Johnson Controls Technology Company Building risk analysis system with dynamic and base line risk
US10885393B1 (en) 2017-09-28 2021-01-05 Architecture Technology Corporation Scalable incident-response and forensics toolkit
US10735203B2 (en) 2017-10-09 2020-08-04 Cisco Technology, Inc. Sharing network security threat information using a blockchain network
CN107862468A (zh) 2017-11-23 2018-03-30 深圳市智物联网络有限公司 设备风险识别模型建立的方法及装置
US10229269B1 (en) 2018-02-13 2019-03-12 Malwarebytes Inc. Detecting ransomware based on file comparisons
US11455641B1 (en) * 2018-03-11 2022-09-27 Secureauth Corporation System and method to identify user and device behavior abnormalities to continuously measure transaction risk
US11005839B1 (en) 2018-03-11 2021-05-11 Acceptto Corporation System and method to identify abnormalities to continuously measure transaction risk
US11528611B2 (en) * 2018-03-14 2022-12-13 Rose Margaret Smith Method and system for IoT code and configuration using smart contracts
CN108650133A (zh) 2018-05-14 2018-10-12 深圳市联软科技股份有限公司 网络风险评估方法及系统
US20190361917A1 (en) 2018-05-25 2019-11-28 Bao Tran Smart device
US10797965B2 (en) 2018-07-30 2020-10-06 Dell Products L.P. Dynamically selecting or creating a policy to throttle a portion of telemetry data
US10742687B2 (en) 2018-08-30 2020-08-11 Ordr Inc. Determining a device profile and anomalous behavior associated with a device in a network
US10979447B2 (en) 2018-08-30 2021-04-13 Ordr Inc. Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network
US10997251B2 (en) 2018-10-15 2021-05-04 Bao Tran Smart device
US10917257B2 (en) 2018-11-15 2021-02-09 International Business Machines Corporation Internet of things enabled device termination
US11299174B2 (en) 2018-11-16 2022-04-12 Kyndryl, Inc. Dual-test operator assessment
US11356440B2 (en) 2018-11-30 2022-06-07 International Business Machines Corporation Automated IoT device registration
US20200177485A1 (en) * 2018-12-04 2020-06-04 Cisco Technology, Inc. Network traffic metrics and trends for internet of things management
US11408871B2 (en) 2018-12-31 2022-08-09 Dish Network L.L.C. Internet-of-things smell sensor devices and services
US10764315B1 (en) 2019-05-08 2020-09-01 Capital One Services, Llc Virtual private cloud flow log event fingerprinting and aggregation
US11520792B2 (en) * 2019-06-29 2022-12-06 Palo Alto Networks, Inc. Distributed cardinality optimization
US11115799B1 (en) * 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110087626A1 (en) 2009-10-10 2011-04-14 Oracle International Corporation Product classification in procurement systems
US20190014169A1 (en) 2014-09-30 2019-01-10 Palo Alto Networks, Inc. Mobile url categorization
US20160301717A1 (en) 2015-01-20 2016-10-13 Cisco Technology, Inc. Classification of security policies across multiple security products
US20170180380A1 (en) 2015-12-16 2017-06-22 Verizon Patent And Licensing Inc. NETWORK ACCESS SECURITY FOR INTERNET OF THINGS (IoT) DEVICES
JP2020503784A (ja) 2016-12-30 2020-01-30 インテル・コーポレーション モノのインターネット
US20190268305A1 (en) 2018-02-28 2019-08-29 Palo Alto Networks, Inc. Identifying security risks and enforcing policies on encrypted/encoded network communications
US20190387399A1 (en) 2018-05-29 2019-12-19 FirstPoint Mobile Guard Ltd. SYSTEM AND METHOD FOR SECURING COMMUNICATION AND INFORMATION OF IoT DEVICES THROUGH A CONTROLLED CELLULAR COMMUNICATION NETWORK

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Michael Blackstock et al.,IoT Interoperabilty: A Hub-based Approach,2014 International Conference on the Internet of Things (IOT),米国,IEEE,2014年10月06日,pp. 79-84

Also Published As

Publication number Publication date
KR20220162774A (ko) 2022-12-08
US20210377719A1 (en) 2021-12-02
JP2023524235A (ja) 2023-06-09
CN115486105A (zh) 2022-12-16
EP4158923A1 (en) 2023-04-05
WO2021247597A1 (en) 2021-12-09
US11722875B2 (en) 2023-08-08
US11115799B1 (en) 2021-09-07

Similar Documents

Publication Publication Date Title
JP7418611B2 (ja) IoTデバイスの検出および識別
US11888890B2 (en) Cloud management of connectivity for edge networking devices
US11520792B2 (en) Distributed cardinality optimization
US11663030B2 (en) Extending expiration of user sessions with authentication refresh
US20210377215A1 (en) Automating iot device identification using statistical payload fingerprints
US11799858B2 (en) Network entity ID AAA
US20230231860A1 (en) Iot device identification by machine learning with time series behavioral and statistical features
US20240098062A1 (en) Iot device application workload capture
US20230125310A1 (en) Iot device identification with packet flow behavior machine learning model
US20220095092A1 (en) Iot security policy on firewall
US20230095870A1 (en) Iot security event correlation
US20230188540A1 (en) Iot adaptive threat prevention
WO2023055851A1 (en) Iot security policy on a firewall
US11683345B2 (en) Application identity-based enforcement of datagram protocols
US20240154986A1 (en) Providing identity protection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240109

R150 Certificate of patent or registration of utility model

Ref document number: 7418611

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150