KR20220162774A - Iot 디바이스 검색 및 식별 - Google Patents

Iot 디바이스 검색 및 식별 Download PDF

Info

Publication number
KR20220162774A
KR20220162774A KR1020227038302A KR20227038302A KR20220162774A KR 20220162774 A KR20220162774 A KR 20220162774A KR 1020227038302 A KR1020227038302 A KR 1020227038302A KR 20227038302 A KR20227038302 A KR 20227038302A KR 20220162774 A KR20220162774 A KR 20220162774A
Authority
KR
South Korea
Prior art keywords
classification
iot
network
classification process
iot device
Prior art date
Application number
KR1020227038302A
Other languages
English (en)
Inventor
준 두
이린 자오
Original Assignee
팔로 알토 네트웍스, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 팔로 알토 네트웍스, 인크. filed Critical 팔로 알토 네트웍스, 인크.
Publication of KR20220162774A publication Critical patent/KR20220162774A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

사물 인터넷(IoT) 디바이스 식별을 수행하는 기술이 개시된다. IoT 디바이스의 네트워크 통신과 연관된 정보가 수신된다. IoT 디바이스가 분류되었는지 여부의 결정이 이루어진다. IoT 디바이스가 분류되지 않았다는 결정에 응답하여, 2-부분 분류 프로세스가 수행되며, 여기서 제1 부분은 인라인 분류를 포함하고 제2 부분은 인라인 분류의 후속 검증을 포함한다. 분류 프로세스의 결과는 IoT 디바이스에 정책을 적용하도록 구성된 보안 어플라이언스에 제공된다.

Description

IOT 디바이스 검색 및 식별
다른 출원들의 상호 참조
본 출원은 2020년 6월 1일 출원된 IOT 디바이스 검색 및 식별(IOT DEVICE DISCOVERY AND IDENTIFICATION)이라는 제목의 미국 가특허출원번호 63/033,004에 대한 우선권을 주장하며, 이는 모든 목적들을 위해 참조로 여기에 통합된다.
본 발명은 IoT 디바이스 검색 및 식별에 관한 것이다.
악의적인 사람들은 다양한 방법들로 컴퓨터 시스템들을 손상시키려고 시도한다. 한 예로서, 그러한 사람들은 이메일 첨부 파일에 악성 소프트웨어("맬웨어")를 내장하거나 포함하고 의심하지 않는 사용자들에게 맬웨어를 전송하거나 전송되도록 할 수 있다. 맬웨어가 실행되면 맬웨어는 피해자의 컴퓨터를 손상시키고 추가적인 악의적인 작업들(예를 들어, 민감한 데이터 추출, 다른 시스템으로 전파 등)을 수행할 수 있다. 다양한 접근 방식을 사용하여 이러한 및 다른 손상에 대해 컴퓨터들을 강화할 수 있다. 불행하게도, 컴퓨터들을 보호하기 위한 기존의 접근 방식들은 모든 컴퓨팅 환경들에 반드시 적합한 것은 아니다. 또한, 맬웨어 작성자들은 탐지를 피하기 위해 그들의 기술을 계속해서 적응시키고 있으며, 다양한 상황들에서 맬웨어를 탐지하고 그 피해를 방지하기 위한 개선된 기술들이 지속적으로 필요하다.
본 발명은 프로세스로서; 장치; 시스템; 물건의 구성; 컴퓨터 판독 가능한 저장 매체에 포함된 컴퓨터 프로그램 제품; 및/또는 프로세서, 예컨대 프로세서에 결합된 메모리에 저장되거나 및/또는 그에 의해 제공되는 명령들을 실행하도록 구성된 프로세서를 포함하여 다양한 방식들로 구현될 수 있다. 본 명세서에서, 이러한 구현들 또는 본 발명이 취할 수 있는 다른 모든 형태는 기술들로 지칭될 수 있다. 일반적으로, 개시된 프로세스들의 단계들의 순서는 본 발명의 범위 내에서 변경될 수 있다. 달리 명시되지 않는 한, 작업을 수행하도록 구성되는 것으로 설명된 프로세서 또는 메모리와 같은 구성요소는 주어진 시간에 작업을 수행하도록 일시적으로 구성되는 일반 구성요소 또는 작업을 수행하도록 제작된 특정 구성요소로 구현될 수 있다. 본 명세서에서 사용되는 것으로서, 용어 '프로세서' 는 컴퓨터 프로그램 명령들과 같은 데이터를 처리하도록 구성된 하나 이상의 디바이스들, 회로들 및/또는 프로세싱 코어들을 의미한다.
본 발명의 하나 이상의 실시 예들에 대한 상세한 설명은 본 발명의 원리를 예시하는 첨부 도면들과 함께 아래에 제공된다. 본 발명은 이러한 실시 예들과 관련하여 설명되지만, 본 발명은 임의의 실시 예로 제한되지 않는다. 본 발명의 범위는 청구 범위에 의해서만 제한되고, 본 발명은 수많은 대안들, 수정들 및 등가물들을 포함한다. 본 발명의 완전한 이해를 제공하기 위해 다음의 설명에서 다수의 특정 세부 사항들이 설명된다. 이러한 세부 사항들은 예의 목적으로 제공되며, 본 발명은 이러한 특정 세부 사항들의 일부 또는 전부없이 청구 범위에 따라 실시될 수 있다. 명확성을 위해, 본 발명과 관련된 기술 분야들에서 알려진 기술 자료는 상세하게 설명하지 않았으며, 이는 본 발명이 불필요하게 모호 해지는 일이 없도록 하기 위함이다.
시스템 및 방법에 대해 설명한다. 사물 인터넷(IoT) 디바이스의 네트워크 통신과 연관된 정보가 수신된다. 일부 양상들에서, 정보는 IoT 디바이스를 모니터링하도록 구성된 데이터 어플라이언스로부터 수신된다. 일부 양상들에서, 수신된 정보는 네트워크 트래픽 메타데이터를 포함한다. IoT 디바이스가 분류되지 않았다고 결정하는 데 응답하여, 2-부분 분류 프로세스(two-part classification process)가 수행된다. 분류 프로세스의 제1 부분은 인라인 분류(inline classification)를 포함하고, 분류 프로세스의 제2 부분은 인라인 분류의 후속 검증을 포함한다. 일부 양상들에서, 분류의 제1 부분은 규칙 기반 분류를 포함한다. 일부 양상들에서, 분류 프로세스의 제2 부분은 기계 학습 기반 분류를 포함한다. 일부 양상들에서, 분류 프로세스를 수행하는 것은 IoT 디바이스에 대한 임의의 피처(feature)들이 지배적(dominant)인지 여부를 결정하는 것을 포함한다. 일부 양상들에서, 2-부분 분류 프로세스를 수행하는 것은 IoT 디바이스의 하나 이상의 피처들이 네트워크 행동 패턴 식별자와 일치하는 신뢰도를 결정하는 것을 포함한다. 네트워크 행동 패턴 식별자는 시스템/방법/컴퓨터 프로그램 제품에 의해 생성될 수 있다. 분류 프로세스의 결과는 IoT 디바이스에 정책을 적용하도록 구성된 보안 어플라이언스에 제공된다. 일부 양상들에서, 결과는 그룹 분류를 포함한다. 일부 양상들에서, 결과는 프로파일 분류를 포함한다.
본 발명의 다양한 실시예들은 다음의 상세한 설명 및 첨부 도면들에 개시된다.
도 1은 악의적인 활동이 탐지되고 그 피해가 줄어들게 되는 환경의 예를 도시한다.
도 2a는 데이터 어플라이언스의 실시예를 도시한다.
도 2b는 데이터 어플라이언스의 실시예의 논리적 구성요소들의 기능도이다.
도 2c는 IoT 서버와 IoT 모듈 간의 예시적인 이벤트 경로를 도시한다.
도 2d는 디바이스 검색 이벤트의 예를 도시한다.
도 2e는 세션 이벤트의 예를 도시한다.
도 2f는 IoT 모듈의 실시예를 도시한다.
도 2g는 IoT 디바이스 분석을 구현하는 예시적인 방법을 도시한다.
도 3은 네트워크에서 IoT 디바이스에 대한 AAA 지원을 수동적으로 제공하기 위한 프로세스의 실시예를 도시한다.
도 4a 내지 도 4c는 다양한 실시예들에서 IoT 디바이스를 대신하여 IoT 서버에 의해 AAA 서버로 전송되는 RADIUS 메시지들의 예들을 도시한다.
도 5는 IoT 모듈의 실시예를 도시한다.
도 6은 IoT 디바이스를 분류하는 프로세스의 예를 도시한다.
I. 개요
방화벽은 일반적으로 승인된 통신이 방화벽을 통과하도록 허용하면서 승인되지 않은 액세스로부터 네트워크를 보호한다. 방화벽은 일반적으로 네트워크 액세스를 위한 방화벽 기능을 제공하는 디바이스, 디바이스 세트 또는 디바이스에서 실행되는 소프트웨어이다. 예를 들어, 방화벽은 디바이스들(예를 들어, 컴퓨터, 스마트폰, 또는 다른 유형들의 네트워크 통신 가능 디바이스들)의 운영 시스템에 통합될 수 있다. 방화벽은 또한 컴퓨터 서버, 게이트웨이, 네트워크/라우팅 디바이스(예를 들어, 네트워크 라우터), 및 데이터 어플라이언스(예를 들어, 보안 어플라이언스 또는 다른 유형들의 특수 목적 디바이스들)와 같은 다양한 유형들의 디바이스들 상의 하나 이상의 소프트웨어 애플리케이션들로서 통합되거나 실행될 수 있으며, 다양한 구현들에서 특정 동작들은 ASIC 또는 FPGA와 같은 특수 목적 하드웨어에서 구현될 수 있다.
방화벽들은 일반적으로 일련의 규칙들에 따라 네트워크 전송을 거부하거나 허용한다. 이러한 규칙들의 세트들은 종종 정책(예를 들어, 네트워크 정책 또는 네트워크 보안 정책)이라고 지칭된다. 예를 들어, 방화벽은 원치 않는 외부 트래픽이 보호된 디바이스들에 도달하는 것을 방지하기 위한 일련의 규칙들이나 정책들을 적용함으로써 인바운드 트래픽을 필터링할 수 있다. 방화벽은 또한 일련의 규칙들 또는 정책들(예를 들어, 허용, 차단, 모니터링, 알림 또는 기록 및/또는 다른 조치들이 여기에 설명된 것과 같은 다양한 기준에 따라 트리거될 수 있는 방화벽 규칙들 또는 방화벽 정책들에 지정될 수 있다)을 적용함으로써 아웃바운드 트래픽을 필터링할 수 있다. 또한 방화벽은 일련의 규칙들 또는 정책들을 유사하게 적용함으로써 로컬 네트워크(예를 들어, 인트라넷) 트래픽을 필터링할 수 있다.
보안 디바이스들(예를 들어, 보안 어플라이언스, 보안 게이트웨이, 보안 서비스, 및/또는 다른 보안 디바이스들)은 다양한 보안 기능들(예를 들어, 방화벽, 안티-맬웨어, 침입 방지/탐지, 데이터 손실 방지(DLP: Data Loss Prevention), 및/또는 다른 보안 기능들), 네트워킹 기능들(예를 들어, 라우팅, 서비스 품질(QoS), 네트워크 관련 리소스들의 워크로드 밸런싱, 및/또는 다른 네트워킹 기능들), 및/또는 다른 기능들을 포함할 수 있다. 예를 들어, 라우팅 기능들은 소스 정보(예를 들어, IP 주소 및 포트), 목적지 정보(예를 들어, IP 주소 및 포트), 및 프로토콜 정보를 기반으로 할 수 있다.
기본 패킷 필터링 방화벽은 네트워크를 통해 전송되는 개별 패킷들을 검사함으로써 네트워크 통신 트래픽을 필터링한다(예를 들어, 상태 비저장(stateless) 패킷 필터링 방화벽인 패킷 필터링 방화벽 또는 1세대 방화벽). 상태 비저장 패킷 필터링 방화벽들은 일반적으로 개별 패킷 자체를 검사하고 검사된 패킷들에 기초하여 규칙들을 적용한다(예를 들어, 패킷의 소스 및 목적지 주소 정보, 프로토콜 정보, 포트 번호의 조합을 사용).
애플리케이션 방화벽들은 또한 애플리케이션 계층 필터링을 수행할 수 있다(예를 들어, TCP/IP 스택의 애플리케이션 레벨에서 작동하는 애플리케이션 계층 필터링 방화벽 또는 2세대 방화벽). 애플리케이션 계층 필터링 방화벽들 또는 애플리케이션 방화벽들은 일반적으로 특정 애플리케이션 및 프로토콜(예를 들어, HTTP(HyperText Transfer Protocol)을 사용한 웹 브라우징, DNS(Domain Name System) 요청, FTP(File Transfer Protocol)를 사용한 파일 전송, 및 Telnet, DHCP, TCP, UDP 및 TFTP(GSS)와 같은 다른 다양한 유형들의 애플리케이션 및 다른 프로토콜)을 식별할 수 있다. 예를 들어, 애플리케이션 방화벽은 표준 포트를 통해 통신을 시도하려고 하는 승인되지 않은 프로토콜을 차단할 수 있다(예를 들어, 해당 프로토콜에 대한 비표준 포트를 사용하여 침투하려는 승인되지 않은/정책 외 프로토콜은 일반적으로 애플리케이션 방화벽들을 사용하여 식별될 수 있음).
상태 기반(stateful) 방화벽은 또한 네트워크 전송의 패킷 흐름과 연관된 일련의 패킷 컨텍스트 내에서 각 패킷이 검사되는 상태 기반 패킷 검사를 수행할 수 있다. 이 방화벽 기술은 일반적으로, 방화벽을 통과하는 모든 연결들의 기록들을 유지하고 패킷이 새로운 연결의 시작인지, 기존 연결의 일부인지, 또는 잘못된 연결인지의 여부를 결정할 수 있기 때문에 상태 기반 패킷 검사라고 지칭된다. 예를 들어, 연결 상태 자체가 정책 내에서 규칙을 트리거하는 기준 중 하나가 될 수 있다.
고급 또는 차세대 방화벽들은 위에서 설명한 바와 같이 상태 비저장 및 상태 기반 패킷 필터링 및 애플리케이션 계층 필터링을 수행할 수 있다. 차세대 방화벽들은 추가 방화벽 기술들을 수행할 수 있다. 예를 들어, 때때로 고급 또는 차세대 방화벽이라고 지칭되는 특정 최신 방화벽들은 또한 사용자들 및 콘텐트(예를 들어, 차세대 방화벽들)을 식별할 수 있다. 특히, 특정 차세대 방화벽들은 이러한 방화벽들이 자동으로 식별할 수 있는 애플리케이션 목록을 수천 개의 애플리케이션들로 확장하고 있다. 이러한 차세대 방화벽들의 예들은 Palo Alto Networks, Inc.로부터 상업적으로 유용할 수 있다(예를 들어, Palo Alto Networks의 PA 시리즈 방화벽들). 예를 들어, Palo Alto Networks의 차세대 방화벽들은 기업들이 다음과 같은 다양한 식별 기술들을 사용하여 단지 포트들, IP 주소들 및 패킷들뿐만 아니라 애플리케이션들, 사용자들 및 콘텐트를 식별하고 제어할 수 있게 한다: 정확한 애플리케이션 식별을 위한 APP-ID, 사용자 식별(예를 들어, 사용자 또는 사용자 그룹별)을 위한 User-ID, 실시간 콘텐트 스캔(예를 들어, 웹 서핑 제어 및 데이터 및 파일 전송 제한)을 위한 Content-ID. 이러한 식별 기술들은 기업들이 기존 포트 차단 방화벽들에 의해 제공되는 기존 접근 방식을 따르는 대신에 비즈니스 관련 개념들을 사용하여 애플리케이션을 안전하게 사용할 수 있게 한다. 또한, 차세대 방화벽들을 위한 특수 목적 하드웨어(예를 들어, 전용 어플라이언스들로 구현)는 일반적으로 범용 하드웨어(예를 들어, 대기 시간을 최소화하면서 네트워크 처리량을 극대화하기 위해 단일 패스 소프트웨어 엔진과 긴밀하게 통합되는 전용 기능 특정 프로세싱을 사용하는 Palo Alto Networks, Inc.에서 제공하는 보안 어플라이언스들)에서 실행되는 소프트웨어보다 애플리케이션 검사에 대해 더 높은 레벨의 성능을 제공한다.
고급 또는 차세대 방화벽들은 또한 가상화된 방화벽들을 사용하여 구현될 수 있다. 이러한 차세대 방화벽들의 예들은 Palo Alto Networks, Inc.로부터 상업적으로 이용 가능한다(예로서, 예를 들어, VMware® ESXi™ 및 NSX™, Citrix®Netscaler SDX™, KVM/OpenStack(Centos/RHEL, Ubuntu®) 및 Amazon Web Services(AWS)를 포함하는 다양한 상업용 가상화 환경들을 지원하는 Palo Alto Networks의 VM 시리즈 방화벽들). 예를 들어, 가상화된 방화벽들은 물리적 폼 팩터 어플라이언스에서 사용할 수 있는 유사하거나 또는 정확히 동일한 차세대 방화벽 및 고급 위협 방지 피처들을 지원할 수 있으며, 이는 기업들이 프라이빗, 퍼블릭, 및 하이브리드 클라우드 컴퓨팅 환경으로 유입되는 애플리케이션들을 안전하게 활성화할 수 있게 한다. VM 모니터링, 동적 주소 그룹, 및 REST 기반 API와 같은 자동화 피처들을 통해 기업들은 해당 컨텍스트를 보안 정책에 동적으로 공급하는 VM 변경 사항을 사전에 모니터링할 수 있으므로 VM이 변경될 때 발생할 수 있는 정책 지연을 제거할 수 있다.
II. 예시적 환경
도 1은 악의적인 활동이 탐지되고 그 피해가 줄어들게 되는 환경의 예를 도시한다. 도 1에 도시된 예에서, 클라이언트 디바이스들(104-108)은 (각각) 병원("Acme Hospital"이라고도 함)의 기업 네트워크(110)에 존재하는 랩톱 컴퓨터, 데스크톱 컴퓨터, 및 태블릿이다. 데이터 어플라이언스(102)는 클라이언트 디바이스들(104, 106)과 같은 클라이언트 디바이스와 기업 네트워크(110) 외부의 노드들(예를 들어, 외부 네트워크(118)를 통해 접근 가능) 사이의 통신에 관한 정책들을 시행하도록 구성된다.
이러한 정책들의 예들은 트래픽 형성, 서비스 품질, 및 트래픽 라우팅을 관리하는 것들을 포함한다. 정책들의 다른 예들은 수신(및/또는 발신) 이메일 첨부 파일들, 웹 사이트 콘텐트, 인스턴트 메시징 프로그램들을 통해 교환되는 파일들, 및/또는 다른 파일 전송에서 위협에 대한 검색을 요구하는 것들과 같은 보안 정책들을 포함한다. 일부 실시예들에서, 데이터 어플라이언스(102)는 또한 기업 네트워크(110) 내에 머무르는 트래픽에 대한 정책들을 시행하도록 구성된다.
네트워크(110)는 또한 디렉토리 서비스(154) 및 AAA(Authentication, Authorization, and Accounting) 서버(156)를 포함한다. 도 1에 도시된 예에서, 디렉터리 서비스(154)(또한, ID(identity) 제공자 또는 도메인 컨트롤러라고 지칭됨)는 LDAP(Lightweight Directory Access Protocol) 또는 다른 적절한 프로토콜들을 사용한다. 디렉토리 서비스(154)는 사용자 ID 및 자격증명 정보(credential information)를 관리하도록 구성된다. 디렉토리 서비스(154)의 한 예는 Microsoft Active Directory 서버이다. Kerberos 기반 시스템과 같은 Active Directory 서버 대신 다른 유형들의 시스템들이 또한 사용될 수 있으며, 여기에 설명된 기술들은 이에 따라 조정된다. 도 1에 도시된 예에서, AAA 서버(156)는 네트워크 승인 제어(NAC: network admission control) 서버이다. AAA 서버(156)는 네트워크에 대한 유선, 무선, 및 VPN 사용자들 및 디바이스들을 인증하고, 네트워크에 대한 액세스를 허용하기 전에 정책 준수를 위해 디바이스를 평가 및 수정하고, 역할에 기초하여 액세스를 차별화하고, 네트워크에 누가 있는지에 대해 감사 및 보고하도록 구성된다. AAA 서버(156)의 한 예는 RADIUS(Remote Authentication Dial-In User Service)를 사용하는 Cisco ISE(Identity Services Engine) 서버이다. RADIUS 이외의 프로토콜들을 사용하는 것을 포함하여 다른 유형들의 AAA 서버들이 여기에 설명된 기술들과 함께 사용될 수 있다.
다양한 실시예들에서, 데이터 어플라이언스(102)는 디렉토리 서비스(154) 및/또는 AAA 서버(156)와의 통신을 청취하도록 구성된다(예를 들어, 수동적으로 메시지를 모니터링). 다양한 실시예들에서, 데이터 어플라이언스(102)는 디렉토리 서비스(154) 및/또는 AAA 서버(156)와 통신하도록(즉, 이들과 능동적으로 메시지를 통신하도록) 구성된다. 다양한 실시예들에서, 데이터 어플라이언스(102)는 디렉토리 서비스(154) 및/또는 AAA 서버(156)와 같은 다양한 네트워크 요소들과 통신하는(예를 들어, 이들과 능동적으로 메시지를 통신하는) 오케스트레이터(orchestrator)(도시되지 않음)와 통신하도록 구성된다. 다른 유형들의 서버들이 또한 네트워크(110)에 포함될 수 있고 적용 가능한 경우 데이터 어플라이언스(102)와 통신할 수 있으며, 다양한 실시예들에서 디렉토리 서비스(154) 및/또는 AAA 서버(156)는 또한 네트워크(110)에서 생략될 수 있다.
단일 데이터 어플라이언스(102)를 갖는 것으로 도 1에 도시되어 있지만, 주어진 네트워크 환경(예를 들어, 네트워크(110))은 개별적으로 또는 협력하여 동작하든지 간에 다수의 데이터 어플라이언스들의 실시예들을 포함할 수 있다. 유사하게, 용어 "네트워크"는 단순함을 위해 본 명세서에서 일반적으로 단수로 참조되지만(예를 들어, "네트워크(110)"), 본 명세서에 기술된 기술들은 적용 가능한 경우 다양한 네트워크 계층들에 걸쳐 다양한 네트워킹 프로토콜들(예를 들어, TCP 및 UDP) 및 인프라(예를 들어, 스위치들 및 라우터들)를 사용하는 네트워킹 기술들(예를 들어, 가상 및 물리적)의 다양한 혼합들을 포함하는 다양한 크기들 및 토폴로지들의 다양한 네트워크 환경들에 사용될 수 있다.
데이터 어플라이언스(102)는 원격 보안 플랫폼(140)과 협력하여 작동하도록 구성될 수 있다. 보안 플랫폼(140)은 맬웨어 샘플들에 대한 정적 및 동적 분석(예를 들어, 샘플 분석 모듈(124)을 통해)을 수행하고, 알려진 맬웨어 파일들, 도메인들 등의 시그니처 목록을 서브스크립션의 일부로서 데이터 어플라이언스(102)와 같은 데이터 어플라이언스들에 제공하는 것을 포함하는 다양한 서비스들을 제공할 수 있다. 아래에서 더 상세히 설명되는 바와 같이, 보안 플랫폼(140)은 또한 네트워크(110)와 같은 네트워크 내에 존재하는 IoT 디바이스들의 검색, 분류, 관리 등과 연관된 정보를 (예를 들어, IoT 모듈(138)을 통해) 제공할 수 있다. 다양한 실시예들에서, 시그니처, 분석 결과, 및/또는 추가 정보(예를 들어, 샘플, 애플리케이션, 도메인 등에 관한)가 데이터베이스(160)에 저장된다. 다양한 실시예들에서, 보안 플랫폼(140)은 전형적인 서버급 운영 시스템들(예를 들어, Linux)을 실행하는 하나 이상의 상업적으로 이용 가능한 전용 하드웨어 서버들(예를 들어, 멀티 코어 프로세서(들), 32G+의 RAM, 기가비트 네트워크 인터페이스 어댑터(들), 및 하드 드라이브(들)을 가짐)을 포함한다. 보안 플랫폼(140)은 다수의 그러한 서버들, 솔리드 스테이트 드라이브들 또는 다른 스토리지(158), 및/또는 다른 적용 가능한 고성능 하드웨어를 포함하는 확장 가능한 기반구조에 걸쳐 구현될 수 있다. 보안 플랫폼(140)은 하나 이상의 제3자들에 의해 제공되는 구성요소들을 포함하는 여러 분산된 구성요소들을 포함할 수 있다. 예를 들어, 보안 플랫폼(140)의 일부 또는 전체는 Amazon Elastic Compute Cloud(EC2) 및/또는 Amazon Simple Storage Service(S3)를 사용하여 구현될 수 있다. 또한, 데이터 어플라이언스(102)에서와 같이, 보안 플랫폼(140)이 데이터 저장 또는 데이터 프로세싱과 같은 작업을 수행하는 것으로 언급될 때마다, 보안 플랫폼(140)의 하위 구성요소 또는 다중 하위 구성요소들은 해당 작업을 수행하기 위해 협력할 수 있다(개별적으로 또는 제3자 구성요소들과 협력하여)는 것을 이해해야 한다. 예를 들어, 보안 플랫폼(140)은 하나 이상의 가상 머신(VM) 서버들과 협력하여 (예를 들어, 샘플 분석 모듈(124)을 통한) 정적/동적 분석 및/또는 (예를 들어, IoT 모듈(138)을 통한) IoT 디바이스 기능을 수행할 수 있다. 가상 머신 서버의 예는, 예를 들어 VMware ESXi, Citrix XenServer, 또는 Microsoft Hyper-V와 같이, 상업적으로 이용 가능한 가상화 소프트웨어를 실행하는 상업적으로 이용 가능한 서버급 하드웨어(예를 들어, 멀티 코어 프로세서, 32+ 기가바이트의 RAM, 및 하나 이상의 기가비트 네트워크 인터페이스 어댑터들)를 포함하는 물리적 머신이다. 일부 실시예들에서, 가상 머신 서버는 생략된다. 또한, 가상 머신 서버는 보안 플랫폼(140)을 관리하는 동일한 엔티티의 제어 하에 있을 수 있지만, 또한 제3자에 의해 제공될 수도 있다. 일례로, 가상 머신 서버는 EC2에 의존할 수 있으며, 보안 플랫폼(140)의 오퍼레이터가 소유하고 제어하는 전용 하드웨어에 의해 보안 플랫폼(140)의 나머지 부분들이 제공된다.
데이터 어플라이언스의 실시예가 도 2a에 도시되어 있다. 도시된 예는 다양한 실시예들에서 데이터 어플라이언스(102)에 포함된 물리적 구성요소들의 표현이다. 구체적으로, 데이터 어플라이언스(102)는 고성능 멀티 코어 중앙 처리 장치(CPU)(202) 및 랜덤 액세스 메모리(RAM)(204)를 포함한다. 데이터 어플라이언스(102)는 또한 스토리지(210)(하나 이상의 하드 디스크들 또는 솔리드 스테이트 스토리지 유닛들과 같은)를 포함한다. 다양한 실시예들에서, 데이터 어플라이언스(102)는 기업 네트워크(110)를 모니터링하고 개시된 기술들을 구현하는데 사용되는 정보(RAM(204), 스토리지(210), 및/또는 다른 적절한 위치들 어디든 간에)를 저장한다. 이러한 정보의 예들은 애플리케이션 식별자, 콘텐트 식별자, 사용자 식별자, 요청된 URL, IP 주소 매핑, 정책 및 기타 구성 정보, 시그니처, 호스트 이름/URL 범주화 정보, 맬웨어 프로파일, 기계 학습 모델, IoT 디바이스 분류 정보 등을 포함한다. 데이터 어플라이언스(102)는 또한 하나 이상의 선택적 하드웨어 가속기들을 포함할 수 있다. 예를 들어, 데이터 어플라이언스(102)는 암호화(encryption) 및 복호화(decryption) 동작들을 수행하도록 구성된 암호화 엔진(206), 및 매칭을 수행하고, 네트워크 프로세서들로서 작용하고, 및/또는 다른 작업들을 수행하도록 구성된 하나 이상의 FPGA(Field Programmable Gate Array)(208)들을 포함할 수 있다.
데이터 어플라이언스(102)에 의해 수행되는 것으로 여기에서 설명된 기능은 다양한 방식들로 제공/구현될 수 있다. 예를 들어, 데이터 어플라이언스(102)는 전용 디바이스 또는 디바이스들의 세트일 수 있다. 주어진 네트워크 환경은 다수의 데이터 어플라이언스들을 포함할 수 있으며, 이들 각각은 네트워크의 특정 부분 또는 부분들에 서비스를 제공하도록 구성될 수 있고, 네트워크의 특정 부분 또는 부분들에 서비스를 제공하기 위해 협력할 수 있다. 데이터 어플라이언스(102)에 의해 제공되는 기능은 또한 범용 컴퓨터, 컴퓨터 서버, 게이트웨이, 및/또는 네트워크/라우팅 디바이스에 소프트웨어로서 실행되거나 통합되될 수 있다. 일부 실시예들에서, 데이터 어플라이언스(102)에 의해 제공되는 것으로 설명된 적어도 일부 기능은 클라이언트 디바이스에서 실행되는 소프트웨어에 의해 클라이언트 디바이스(예를 들어, 클라이언트 디바이스(104) 또는 클라이언트 디바이스(106))에 대신(또는 추가로) 제공된다. 데이터 어플라이언스(102)에 의해 수행되는 것으로 본 명세서에서 설명된 기능은 또한 보안 플랫폼(140)에 의해 또는 그와 함께 협력하여 적어도 부분적으로 수행될 수 있고, 및/또는 보안 플랫폼(140)에 의해 수행되는 것으로 본 명세서에서 설명된 기능은 또한 적용 가능한 경우 데이터 어플라이언스(102)에 의해 또는 그와 함께 협력하여 적어도 부분적으로 수행될 수 있다. 일례로서, IoT 모듈(138)에 의해 수행되는 것으로 설명된 다양한 기능은 IoT 서버(134)의 실시예들에 의해 수행될 수 있다.
데이터 어플라이언스(102)가 작업을 수행하는 것으로 설명될 때마다, 데이터 어플라이언스(102)의 단일 구성요소, 구성요소들의 서브세트, 또는 모든 구성요소들이 작업을 수행하기 위해 협력할 수 있다. 유사하게, 데이터 어플라이언스(102)의 구성요소가 작업을 수행하는 것으로 설명될 때마다, 하위 구성요소가 작업을 수행할 수 있고 및/또는 그 구성요소가 다른 구성요소들과 결합하여 작업을 수행할 수 있다. 다양한 실시예들에서, 데이터 어플라이언스(102)의 부분들은 하나 이상의 제3자들에 의해 제공된다. 데이터 어플라이언스(102)에 이용 가능한 컴퓨팅 리소스들의 양(amount of computing resources)과 같은 팩터들에 따라서, 데이터 어플라이언스(102)의 다양한 논리적 구성요소들 및/또는 피처(feature)들이 생략될 수 있고 여기에 설명된 기술들은 그에 따라 적응될 수 있다. 유사하게, 추가적인 논리적 구성요소들/피처들이 적용 가능한 경우 데이터 어플라이언스(102)의 실시예들에 포함될 수 있다. 다양한 실시예들에서 데이터 어플라이언스(102)에 포함된 구성요소의 일례는 애플리케이션을 식별하도록 구성된 애플리케이션 식별 엔진이다(예를 들어, 패킷 흐름 분석에 기초하여 애플리케이션들을 식별하기 위한 다양한 애플리케이션 시그니처들을 사용). 예를 들어, 애플리케이션 식별 엔진은 웹 브라우징 - 소셜 네트워킹; 웹 브라우징 - 뉴스; SSH; 등과 같이 세션이 수반하는 트래픽의 유형을 결정할 수 있다. 다양한 실시예들에서 데이터 어플라이언스(102)에 포함된 구성요소의 다른 예는 아래에서 더 상세히 설명되는 IoT 서버(134)이다. IoT 서버(134)는 물리적이든지 가상화든지 독립형 서버(또는 서버들의 세트)를 포함하는 다양한 형태들을 취할 수 있으며, 또한 적용 가능한 경우(예를 들어, 도 1에 도시된 바와 같이) 데이터 어플라이언스(102)와 함께 배치 및/또는 그에 통합될 수 있다.
도 2b는 데이터 어플라이언스의 실시예의 논리적 구성요소들의 기능도이다. 도시된 예는 다양한 실시예들에서 데이터 어플라이언스(102)에 포함될 수 있는 논리적 구성요소들의 표현이다. 달리 명시되지 않는 한, 데이터 어플라이언스(102)의 다양한 논리적 구성요소들은 일반적으로 하나 이상의 스크립트들의 세트(예를 들어, 적용 가능한 경우 Java, Python 등으로 작성됨)를 포함하는 다양한 방식들로 구현될 수 있다.
도시된 바와 같이, 데이터 어플라이언스(102)는 방화벽을 포함하고, 관리 평면(212) 및 데이터 평면(214)을 포함한다. 관리 평면은 정책들을 구성하고 로그 데이터를 보기 위해 사용자 인터페이스를 제공하는 것과 같은 사용자 상호작용을 관리하는 역할을 한다. 데이터 평면은 패킷 프로세싱 및 세션 핸들링을 수행하는 것과 같이 데이터를 관리하는 역할을 한다.
네트워크 프로세서(216)는 클라이언트 디바이스(108)와 같은 클라이언트 디바이스로부터 패킷들을 수신하고 이들을 프로세싱을 위해 데이터 평면(214)에 제공하도록 구성된다. 흐름 모듈(218)이 새로운 세션의 부분으로서 패킷들을 식별할 때마다 새로운 세션 흐름을 생성한다. 후속 패킷들은 흐름 조회(flow lookup)에 기초하여 세션에 속하는 것으로 식별된다. 적용 가능한 경우, SSL 복호화는 SSL 복호화 엔진(220)에 의해 적용된다. 그렇지 않으면, SSL 복호화 엔진(220)에 의한 프로세싱은 생략된다. 복호화 엔진(220)은 데이터 어플라이언스(102)가 SSL/TLS 및 SSH 암호화 트래픽을 검사하고 제어하는 데 도움을 줄 수 있으며, 따라서 암호화된 트래픽에 숨겨져 있을 수 있는 위협들을 차단하는 데 도움이 될 수 있다. 복호화 엔진(220)은 또한 민감한 콘텐트가 기업 네트워크(110)를 떠나는(leaving) 것을 방지하는 것을 도울 수 있다. 복호화는 다음과 같은 파라미터에 기초하여 선택적으로 제어(예를 들어, 활성화 또는 비활성화)될 수 있다: URL 카테고리, 트래픽 소스, 트래픽 목적지, 사용자, 사용자 그룹, 및 포트. 복호화 정책들(예를 들어, 복호화할 세션 지정) 외에도, 복호화 프로파일들이 정책에 의해 제어되는 세션들에 대한 다양한 옵션들을 제어하도록 할당될 수 있다. 예를 들어, 특정 암호화 스위트(cipher suites) 및 암호화 프로토콜 버전의 사용이 요구될 수 있다.
애플리케이션 식별(APP-ID) 엔진(222)은 세션이 수반하는 트래픽의 유형을 결정하도록 구성된다. 일례로서, 애플리케이션 식별 엔진(222)은 수신된 데이터에서 GET 요청을 인식할 수 있고 세션이 HTTP 디코더를 필요로 한다고 결론을 내릴 수 있다. 일부 경우들, 예를 들어 웹 브라우징 세션에서, 식별된 애플리케이션은 변경될 수 있으며 이러한 변경은 데이터 어플라이언스(102)에 의해 기록된다. 예를 들어, 사용자는 처음에 기업 Wiki(방문한 URL에 기초하여 "웹 브라우징 - 생산성(Productivity)"으로 분류됨)를 검색한 다음, 소셜 네트워킹 사이트(방문한 URL에 따라 "웹 브라우징 - 소셜 네트워킹"으로 분류됨)를 검색할 수 있다. 프로토콜의 다른 유형들은 대응하는 디코더를 갖는다.
애플리케이션 식별 엔진(222)에 의해 이루어진 결정에 기초하여, 패킷들은 위협 엔진(threat engine)(224)에 의해 (순서가 잘못되어 수신될 수 있는) 패킷들을 올바른 순서로 조합하고, 토큰화(tokenization)를 수행하고, 정보를 추출하도록 구성된 적절한 디코더로 전송된다. 위협 엔진(224)은 또한 패킷에 어떤 일이 일어나야 하는지를 결정하기 위해 시그니처 매칭을 수행한다. 필요에 따라, SSL 암호화 엔진(226)은 복호화된 데이터를 재암호화할 수 있다. 패킷들은 (예를 들어, 목적지로) 전송하기 위해 포워드 모듈(228)을 사용하여 포워딩된다.
도 2b에 또한 도시된 바와 같이, 정책들(232)이 수신되어 관리 평면(212)에 저장된다. 정책들은 도메인 및/또는 호스트/서버 이름들을 사용하여 지정될 수 있는 하나 이상의 규칙들을 포함할 수 있으며, 규칙들은 모니터링된 세션 트래픽 흐름들로부터 추출된 다양한 파라미터/정보에 기초하여 가입자/IP 흐름들에 대한 보안 정책 시행에 대한 것과 같이 하나 이상의 시그니처들 또는 다른 매칭 기준들 또는 경험적 방법들을 적용할 수 있다. 인터페이스(I/F) 통신기(230)가 (예를 들어, (REST) API, 메시지, 또는 네트워크 프로토콜 통신 또는 다른 통신 메커니즘을 통해) 관리 통신을 위해 제공된다. 정책들(232)은 또한 IoT 디바이스들을 수반하는 통신들을 관리하기 위한 정책들을 포함할 수 있다.
III. IoT 디바이스 검색 및 식별
도 1로 돌아가서, 악의적인 개인이 (예를 들어, 시스템(120)을 사용하여) 맬웨어(130)를 생성했다고 가정한다. 악의적인 개인은 취약한 클라이언트 디바이스들이 맬웨어(130)의 카피를 실행하여 클라이언트 디바이스를 손상시키고 클라이언트 디바이스가 봇넷의 봇(bot)이 되기를 바란다. 그런 다음 손상된 클라이언트 디바이스는 작업들(예를 들어, 암호화폐 채굴, 서비스 거부 공격 참여, 기타 취약한 클라이언트 디바이스들로 전파)을 수행하고 정보를 보고하거나 외부 엔터티(예를 들어, 명령 및 제어(C&C) 서버(150))에 데이터를 유출하도록 지시될 수 있고, 뿐만 아니라, 적용 가능한 경우 C&C 서버(150)로부터 명령들을 수신하도록 지시될 수 있다.
도 1에 도시된 일부 클라이언트 디바이스들은 일반적으로 기업 조직 내에서 사용되는 상용 컴퓨팅 디바이스이다. 예를 들어, 클라이언트 디바이스들(104, 106, 108)은 각각 일반적인 운영 시스템(예를 들어, macOS, Windows, Linux, Android 등)을 실행한다. 이러한 상용 컴퓨팅 디바이스들은 종종 관리자들(예를 들어, 각각 회사에서 발급한 랩톱, 데스크톱, 및 태블릿)에 의해 프로비저닝되고 및 유지 관리되며, 종종 (예를 들어, 사용자 ID 및 자격 증명 정보로 구성되는 디렉토리 서비스 제공자(또한, 도메인 컨트롤러라 칭함)에 의해 관리되는) 사용자 계정들과 함께 작동된다. 일례로, 직원 앨리스(Alice)는 그녀의 ACME 관련 이메일에 액세스하고 다양한 ACME 관련 작업들을 수행하는 데 사용하는 랩톱(104)을 발급받을 수 있다. 다른 유형들의 클라이언트 디바이스들(여기에서는 일반적으로 사물 인터넷 또는 IoT 디바이스라고 칭함)도 역시 네트워크들에 점점 더 많이 존재하며 IT 부서에서 종종 "관리되지 않는(unmanaged)" 상태이다. 이러한 일부 디바이스들(예를 들어, 원격 회의 디바이스들)은 다양한 상이한 유형들의 기업들에서 찾을 수 있다(예를 들어, IoT 화이트보드(144 및 146)). 이러한 디바이스들은 또한 수직 사양(vertical specific)일 수도 있다. 예를 들어, 주입 펌프 및 컴퓨터 단층 촬영 스캐너(예를 들어, CT 스캐너(112))는 의료 기업 네트워크(예를 들어, 네트워크(110)) 내에서 찾아 볼 수 있는 IoT 디바이스들의 예들이고, 로봇 팔들은 제조 기업 네트워크에서 찾아 볼 수 있는 디바이스들의 예들이다. 또한, 소비자 지향 IoT 디바이스들(예를 들어, 카메라들)도 기업 네트워크에 존재할 수 있다. 상용 컴퓨팅 디바이스들과 마찬가지로, 네트워크 내에 존재하는 IoT 디바이스들은 이러한 네트워크들의 내부 또는 외부(또는 적용 가능한 경우 둘 다)에 있는 리소스들과 통신할 수 있다.
범용 컴퓨팅 디바이스들과 마찬가지로, IoT 디바이스들은 악의적인 개인들의 타겟이다. 불행히도, 네트워크 내의 IoT 디바이스들의 존재는 몇 가지 고유한 보안/관리 문제들을 발생시킬 수 있다. IoT 디바이스들은 종종 저전력 디바이스 또는 특수 목적 디바이스이며, 네트워크 관리자들의 지식 없이 사용되는 경우가 많다. 그러한 관리자들이 알고 있는 경우에도, IoT 디바이스들에 엔드포인트 보호 소프트웨어 또는 에이전트를 설치하지 못할 수 있다. IoT 디바이스들은 독점(또는 비표준(non-standard)) 프로토콜을 사용하여 제3자 클라우드 인프라(예를 들어, 클라우드 인프라(126)와 직접 통신하는 산업용 써모미터(152))에 의해 관리되고 그와 단독으로/직접적으로 통신할 수 있다. 이는 위협이나 공격이 언제 디바이스에 대해 발생하는지에 대한 결정을 내리기 위해 그러한 디바이스들 안팎의 네트워크 트래픽을 모니터링하려는 시도들을 혼란스럽게 할 수 있다. 또한, (예를 들면, 의료 환경에서) 일부 IoT 디바이스들은 미션 크리티컬(예를 들어, 네트워크 연결 수술 시스템)이다. 불행하게도, IoT 디바이스의 손상(예를 들어, 맬웨어(130)에 의해) 또는 IoT 디바이스와 연관된 트래픽에 대한 보안 정책들의 잘못된 적용은 잠재적으로 치명적인 영향을 미칠 수 있다. 여기에 설명된 기술들을 사용하여 IoT 디바이스를 포함하는 여러 다른 종류들로 이루어진 네트워크들의 보안을 개선할 수 있고, 이러한 네트워크들에 대한 피해들이 감소될 수 있다.
다양한 실시예들에서, 데이터 어플라이언스(102)는 IoT 서버(134)를 포함한다. IoT 서버(134)는 일부 실시예들에서 보안 플랫폼(140)의 IoT 모듈(138)과 협력하여 네트워크(예를 들어, 네트워크(110)) 내의 IoT 디바이스들을 식별하도록 구성된다. 그러한 식별은, 예를 들어, 데이터 어플라이언스(102)에 의해, IoT 디바이스들과 연관된 트래픽에 관한 정책들을 만들고 시행하는 것을 돕고, (예를 들어, AAA(156)에 컨텍스트 정보를 제공하는) 네트워크(110)의 다른 요소들의 기능을 향상시키기 위해 사용될 수 있다. 다양한 실시예들에서, IoT 서버(134)는 트래픽을 수동적으로 스니핑/모니터링하도록 구성된 하나 이상의 네트워크 센서들을 통합한다. 이러한 네트워크 센서 기능을 제공하는 한 가지 예시적인 방법은 탭 인터페이스 또는 스위치 미러 포트이다. 적용 가능하다면 (추가로 또는 대신에) 트래픽 모니터링에 대한 다른 접근 방식들이 적용될 수 있다.
다양한 실시예들에서, IoT 서버(134)는 (예를 들어, 프론트엔드(142)를 통해) IoT 모듈(138)에 (예를 들어, 수동 모니터링 네트워크(110)로부터 수집된) 로그 또는 다른 데이터를 제공하도록 구성된다. 도 2c는 IoT 서버와 IoT 모듈 간의 예시적인 이벤트 경로를 도시한다. IoT 서버(134)는 디바이스 검색 이벤트들 및 세션 이벤트들을 IoT 모듈(138)에 전송한다. 예시적인 검색 이벤트(discovery event) 및 세션 이벤트(session event)가 도 2d 및 2e에 각각 도시되어 있다. 다양한 실시예들에서, 디바이스의 ID를 고유하게 식별하거나 확인할 수 있는 패킷을 관찰할 때마다(예를 들어, DHCP, UPNP, 또는 SMB 패킷이 관찰될 때마다) 검색 이벤트가 IoT 서버(134)에 의해 전송된다. 디바이스가 가지고 있는 각각의 세션(디바이스의 네트워크 내부 또는 외부에 있는 다른 노드 포함)은 세션에 대한 정보(예를 들어, 소스/목적지 정보, 수신된/전송된 패킷들의 수 등)를 요약하는 세션 이벤트 내에서 설명된다. 적용 가능한 경우, IoT 모듈(138)로 전송하기 전에 IoT 서버(134)에 의해 다수의 세션 이벤트들이 함께 일괄처리(batch)될 수 있다. 도 2e에 도시된 예에는, 두 개의 세션들이 포함되어 있다. IoT 모듈(138)은 디바이스 판정 이벤트들(234)을 통해 디바이스 분류 정보를 IoT 서버(134)에 제공한다.
IoT 모듈(138)을 구현하는 한 가지 예시적인 방법은 마이크로서비스 기반 아키텍처(microservices-based architecture)를 사용하는 것이다. IoT 모듈(138)은 또한 적용 가능한 경우 다른 프로그래밍 언어, 데이터베이스, 하드웨어, 및 소프트웨어 환경을 사용하여 구현될 수 있고 및/또는 메시징이 가능하고, 컨텍스트에 의해 제한되고, 자율적으로 개발되고, 독립적으로 사용 가능하고, 분산되고(decentralized), 자동화된 프로세스들로 구축(build) 및 릴리스(release)되는 서비스들로서 구현될 수 있다. IoT 모듈(138)에 의해 수행되는 하나의 작업은 IoT 서버(134)에 의해 제공되는 (및 데이터 어플라이언스들(136 및 148)과 같은 데이터 어플라이언스의 다른 실시예들에 의해 제공되는) 데이터에서 IoT 디바이스들을 식별하고 이러한 디바이스들에 대한 추가 컨텍스트 정보를 (예를 들어, 다시 각자의 데이터 어플라이언스들에) 제공하는 것이다.
도 2f는 IoT 모듈의 실시예를 도시한다. 영역(294)은 모든 테넌트들(tenants)의 데이터에 걸쳐 간격을 두고(예를 들어, 5분마다, 매시간, 매일) 실행되는 스파크 애플리케이션들(Spark Applications)의 세트를 나타낸다. 영역(296)은 Kafka 메시지 버스를 나타낸다. (예를 들어, IoT 서버(134)로부터) IoT 모듈(138)에 의해 수신된 세션 이벤트 메시지들은 (예를 들어, 대역폭을 보존하기 위해) IoT 서버(134)에서 관찰된 바와 같이 다수의 이벤트들을 함께 묶는다(bundle). 변환 모듈(236)은 수신된 세션 이벤트들을 개별 이벤트들로 평탄화하고(flatten) 250에서 이들을 공개하도록 구성된다. 평탄화된 이벤트들은 다양한 상이한 집계 규칙들을 사용하여 집계 모듈(aggregation module)(238)에 의해 집계된다. 규칙의 예는 "시간 간격(예를 들어, 5분) 동안, 특정 디바이스 및 사용된 각각의 (APP-ID) 애플리케이션에 대한 모든 이벤트 데이터를 집계한다"이다. 또 다른 규칙의 예는 "시간 간격(예를 들어, 1시간) 동안, 특정 목적지 IP 주소와 통신하는 특정 디바이스에 대한 모든 이벤트 데이터를 집계한다."이다. 각각의 규칙에 대해, 집계 엔진(238)은 집계될 필요가 있는 속성들(attributes)의 목록(예를 들어, 디바이스에 의해 사용되는 애플리케이션들의 목록 또는 목적지 IP 주소들의 목록)을 추적한다. 피처 추출 모듈(feature extraction module)(240)은 속성들로부터 피처들(252)을 추출한다. 분석 모듈(242)은 (예를 들어, 지도(supervised) 및 비지도(unsupervised) 학습을 사용하여) 디바이스 분류를 수행하기 위해 추출된 피처들을 사용하고, 그 결과(254)는 (예를 들어, 운영 인텔리전스 모듈(operational intelligence module)(244), 위협 분석 모듈(246), 및 이상 탐지 모듈(anomaly detection module)(248)을 통해) 다른 유형들의 분석들을 진행하는 데 사용된다. 운영 인텔리전스 모듈(244)은 OT 프레임워크 및 운영 또는 비즈니스 인텔리전스(예를 들어, 디바이스가 어떻게 사용되는지)와 관련된 분석을 제공한다. 경보(alerts)(256)가 분석들의 결과에 기초하여 생성될 수 있다. 다양한 실시예들에서, MongoDB(258)가 집계된 데이터 및 피처 값들을 저장하는 데 사용된다. 백그라운드 서비스들(262)이 Spark 애플리케이션에 의해 집계된 데이터를 수신하고 데이터를 MongoDB(258)에 기록한다. API Server(260)가 MongoDB(258)로부터 데이터를 가져오고 병합하여 Front End(142)로부터 받은 요청을 처리한다.
도 2g는 (예를 들어, 분석 모듈(242) 및 관련 요소들의 실시예로서 IoT 모듈(138) 내에서) IoT 디바이스 식별 분석들을 구현하는 예시적인 방법을 도시한다. 검색 이벤트들 및 세션 이벤트들(예를 들어, 도 2d 및 2e에 각각 도시됨)은 Kafka 토픽으로서 메시지 버스에서 원시 데이터(264)로서 수신된다(또한, 스토리지(158)에 저장된다). 피처들은 피처 엔진(276)(예를 들어, Spark/MapReducer를 사용하여 구현될 수 있음)에 의해 추출된다. 원시 데이터는 지리적 위치 정보(예를 들어, 소스/목적지 주소)와 같은 보안 플랫폼(140)에 의한 추가 컨텍스트 정보로 강화된다(266). 메타데이터 피처 추출 동안(268), IP 주소로부터 일정 시간 간격 내에 전송된 패킷들의 수, 상기 시간 간격 동안 특정 디바이스에 의해 사용된 애플리케이션들의 수, 상기 시간 간격 동안 상기 디바이스에 의해 접촉된 IP 주소들의 수가 구성된다. 피처들은 (예를 들어, JSON 형식으로) 인라인 분석 엔진(272)에 실시간으로 전달되고(예를 들어, 메지시 버스 상에서), (예를 들어, 오프라인 모델링 동안(299)) 후속 질의(subsequent querying)를 위해 (예를 들어, Apache Parquet/DataFrame과 같은 적절한 형식으로 피처 데이터베이스(270)에) 저장된다.
메타데이터로부터 구축된 피처들에 더하여, 여기에서 분석 피처들로 지칭되는 제2 유형의 피처들이 IoT 모듈(138)에 의해 구축될 수 있다(274). 예시적인 분석 피처는 집계 데이터를 사용하여 시계열 데이터를 기반으로 시간이 지남에 따라 구축된 것이다. 분석 피처들은 유사하게 실시간으로 분석 엔진(272)에 전달되고 피처 데이터베이스(270)에 저장된다.
인라인 분석 엔진(272)은 메시지 핸들러를 통해 메시지 버스 상에서 피처들을 수신한다. 수행되는 한 가지 작업은 수신된 피처 값들/세션 정보에 기초하여 세션과 연관된 활동들(예를 들어, 파일 다운로드, 로그인/인증 프로세스, 또는 디스크 백업 활동)에 대한 식별을 시도하고 적용 가능한 태그들을 첨부하는 활동 분류(activity classification)(278)이다. 활동 분류(278)를 구현하는 한 가지 방법은 합성곱 신경망과 결합된 신경망 기반 다층 퍼셉트론을 통하는 것이다.
활동 분류의 결과로서 특정 디바이스가 인쇄 활동(예를 들어, 인쇄 프로토콜을 사용)에 참여하고 또한 (예를 들어, HP URL을 호출하고 이를 상태 정보를 보고하는 데 사용함으로써 업데이트를 확인하기 위해) HP 소유 리소스들에 주기적으로 접촉하는 것으로 결정된 것으로 가정한다. 다양한 실시예들에서, 분류 정보는 클러스터링 프로세스(비지도(unsupervised)) 및 예측 프로세스(지도(supervised)) 모두에 전달된다. 프로세스 중 하나가 디바이스의 성공적인 분류를 초래하는 경우, 분류는 디바이스 데이터베이스(286)에 저장된다.
디바이스는 그 속성들 및 다른 행동 패턴들에 기초하여 1단계 클러스터링 엔진(280)에 의해 다수의 클러스터들로 클러스터링될 수 있다(예를 들어, 프린터처럼 동작하고, HP 디바이스처럼 동작하는 등). 클러스터링 엔진(280)을 구현하는 한 가지 방법은 익스트림 그래디언트 부스팅 프레임워크(예를 들어, XGB)를 사용하는 것이다. 1단계 분류기는 이전에 보이지는 않았지만 기존의 알려진 디바이스들과 유사한 디바이스들을 분류하는 데 유용될 수 있다(예를 들어, 온도 조절기의 새로운 벤더가 알려진 온도 조절기와 유사하게 동작하는 온도 조절기 디바이스들을 판매하기 시작함).
도 2g에 도시된 바와 같이, 활동 분류 정보는 또한 분류기들의 세트(282)에 제공되고, 예측은 디바이스에 대해 제공된 피처들에 기초하여 수행된다. 두 가지 가능성들이 발생할 수 있다. 제1 시나리오에서, 디바이스가 알려진 디바이스 프로파일과 일치할 가능성이 높은 것으로(즉, 높은 신뢰도 스코어) 결정된다. 만약 그렇다면, 디바이스에 대한 정보는 디바이스의 식별에 대한 최종 판정을 내리는 2단계 분류기(284)에 제공되고(예를 들어, 제공된 정보 및 임의의 추가 적용 가능한 컨텍스트 정보를 사용하여) 그에 따라 디바이스 데이터베이스(286)를 업데이트한다. 2단계 분류기를 구현하는 한 가지 방법은 그래디언트 부스팅 프레임워크를 사용하는 것이다. 제2 시나리오에서, 신뢰도 스코어가 낮다고 가정한다(예를 들어, 디바이스는 50% 신뢰도로 HP 프린터와 HP 노트북 모두와 일치한다). 이 시나리오에서, 분류기(282)에 의해 결정된 정보는 클러스터링에서 사용 가능한 추가 정보로서 클러스터링 엔진(280)에 제공될 수 있다.
또한, 도 2g에는 오프라인 모델링 모듈(299)이 도시되어 있다. 오프라인 모델링 모듈(299)은 시간 제약이 없기 때문에 인라인 분석 엔진(272)과 대조된다(인라인 분석 엔진(272)은 실시간으로 (예를 들어, 메시지(234)로서) 디바이스 분류 정보를 제공하는 것을 시도한다). 주기적으로(예를 들어, 하루에 한 번 또는 일주일에 한 번), 오프라인 모델링 모듈(299)(예를 들어, Python을 사용하여 구현)은 인라인 분석 모듈(272)에 의해 사용되는 모델을 재구축한다. 활동 모델링 엔진(288)은 인라인 분석 동안 디바이스 식별을 위해 분류기들에 의해 사용되는 디바이스 유형 모델들(296)에 대해서도 사용되는 활동 분류기(278)에 대한 모델들을 구축한다. 베이스라인 모델링 엔진(290)은 킬 체인(kill chain)과 같은 특정 유형들의 디바이스 이상(device anomalies)(292) 및 특정 유형들의 위협(294)을 모델링할 때도 사용되는 디바이스 모델들의 베이스라인 행동 모델을 구축한다. 다양한 실시예들에서, 생성된 모델들은 모델 데이터베이스(298)에 저장된다.
IV. 네트워크 엔티티 ID AAA
앞서 언급했듯이 앨리스가 ACME로부터 랩톱(104)을 발급받았다고 가정한다. 네트워크(110)의 다양한 구성요소들은 앨리스가 다양한 리소스들에 액세스하기 위해 랩톱을 사용할 때 앨리스의 랩톱을 인증하기 위해 협력할 것이다. 일례로, 앨리스가 네트워크(110) 내에 위치한 무선 액세스 포인트에 랩톱(104)을 연결할 때(도시되지 않음), 무선 액세스 포인트는 네트워크 액세스를 프로비저닝하는 동안 AAA 서버(156)와 (직접적으로든 또는 간접적으로든) 통신할 수 있다. 다른 예로서, 앨리스가 그녀의 ACME 이메일에 액세스하기 위해 랩톱(104)을 사용할 때, 랩톱(104)은 그녀의 받은 편지함을 가져오는 동안 디렉토리 서비스(154)와 (직접적으로든 또는 간접적이든) 통신할 수 있다. 상용 운영 시스템을 실행하는 상용 랩톱으로서, 랩톱(104)은 랩톱(104)이 필요한 적절한 리소스들에 액세스하는 데 도움이 되는 적절한 AAA 메시지들(예를 들어, RADIUS 클라이언트 메시지들)을 생성할 수 있다.
앞서 언급된 바와 같이, 110과 같은 네트워크에서 IoT 디바이스들(예를 들어, 디바이스(146))에 의해 제기되는 한 가지 문제는 그러한 디바이스들이 종종 "관리되지 않는"다는 것이며(예를 들어, 네트워크 관리자들에 의해 구성, 프로비저닝, 관리되지 않음), RADIUS와 같은 프로토콜들을 지원하지 않으며, 따라서 랩톱(104)과 같은 다른 디바이스들과 같은 AAA 서비스들과 통합될 수 없다는 것이다. 네트워크(110) 내의 네트워크 액세스를 IoT 디바이스들에 제공하기 위해 각각이 단점들이 있는 다양한 접근 방식들이 채택될 수 있다. 한 가지 옵션은 ACME에 대해 (예를 들어, 사전 공유 키를 통해) IoT 디바이스들이 게스트 네트워크를 사용하는 것을 제한하는 것이다. 불행하게도, 이러한 것은 IoT 디바이스가 합법적으로 액세스해야 하는 네트워크(110) 내의 다른 노드들과 통신할 수 없는 경우 IoT 디바이스의 효용을 제한할 수 있다. 또 다른 옵션은 IoT 디바이스들에 네트워크(110)에 대한 제한없는 액세스를 허용하는 것이며, 이는 세그먼트화된 네트워크를 갖는 보안 이점을 완화하는 것이다. 또 다른 옵션은 ACME에 대해 주어진 IoT 디바이스가 네트워크(110)의 리소스들에 액세스할 수 있어야 하는 방법을 제어하는 규칙들을 수동으로 지정하는 것이다. 이 접근 방식은 일반적으로 다양한 이유들로 유지/실행할 수 없다. 일례로, 관리자들은 종종 IoT 디바이스들의 배치에 수반되지 않을 수 있으며, 따라서 그러한 디바이스들에 대한 정책들이 (예를 들어, 데이터 어플라이언스(102)에) 포함되어야 하는지를 알지 못할 것이다. 예를 들어 관리자들이 어플라이언스(102)의 특정 IoT 디바이스들(예를 들어, 디바이스(112)와 같은 디바이스들)에 대한 정책들을 수동으로 구성할 수 있는 경우에도, 이러한 정책들을 최신 상태로 유지하는 것은 오류가 발생하기 쉽고 일반적으로 네트워크(110)에 존재할 수 있는 IoT 장치들의 수를 고려할 때 일반적으로 유지될 수 없다. 또한, 그러한 정책들은 단순할 가능성이 높으며(예를 들어, IP 주소 및/또는 MAC 주소로 CT 스캐너(112)를 특정 네트워크에 할당), (예를 들어, POS 단말들(point of sales terminals)과 수술 기기들에 적용 가능한 정책들을 동적으로 포함하는) CT 스캐너(112)와 관련된 연결들/정책들에 대한 보다 세밀한 제어를 허용하지 않는다. 또한, 앞서 언급한 바와 같이, CT 스캐너(112)가 수동으로 데이터 어플라이언스(102)에 포함된 경우에도, IoT 디바이스들은 일반적으로 RADIUS와 같은 기술들을 지원하지 않으며, 그러한 AAA 서버들이 CT 스캐너(112)의 네트워킹 액세스를 관리하는 이점들은 그러한 기술들을 보다 완벽하게 지원하는 다른 유형들의 디바이스들(예를 들어, 랩톱(104))에 비교하여 제한될 것이다. 아래에서 더 상세히 설명되는 바와 같이, 다양한 실시예들에서, (예를 들어, IoT 서버(134)를 통해) 데이터 어플라이언스(102)는 수동 방식으로 네트워크(110)에 존재하는 IoT 디바이스들에 AAA 기능에 대한 지원을 제공하도록 구성된다.
다음의 논의에서, ACME의 앨리스 부서가 최근 대화형 화이트보드(146)를 구입하였으며 그래서 앨리스가 다른 ACME 직원들 및 ACME 외부인들(예를 들어, 자신의 네트워크(114), 데이터 어플라이언스(136) 및 화이트보드(144)를 갖고 있는 Beta 대학의 연구원인 밥(Bob))과 협력할 수 있게 된 것을 가정한다. 화이트보드(146)의 초기 설정의 일부로서, 앨리스는 화이트보드를 전원에 연결하고, 화이트보드에 (예를 들어, 회의실의 콘센트에 대한) 유선 연결을 제공하거나 또는 무선 자격 증명(예를 들어, 회의실의 방문자들이 사용하기 위한 자격 증명들)을 제공한다. 화이트보드(146)가 네트워크 연결을 프로비저닝할 때, IoT 서버(134)는 (예를 들어, 위에서 설명된 네트워크 센서와 같은 메커니즘을 통해) 화이트보드(146)를 네트워크(110) 내의 새로운 디바이스로 인식할 것이다. 이러한 탐지에 대한 응답으로 취해진 하나의 조치는 보안 플랫폼(140)과 통신하는 것이다(예를 들어, 데이터베이스(160)에서 화이트보드(146)에 대한 새로운 기록을 생성하고 화이트보드(146)와 연관된 현재 이용 가능한 컨텍스트 정보를 검색하는 것(예를 들어, 화이트보드(146)의 제조업체, 화이트보드(146)의 모델 등)). 보안 플랫폼(140)에 의해 제공되는 임의의 컨텍스트 정보는 데이터 어플라이언스(102)에 제공될 수 있고(그리고 저장될 수 있고), 그리고 적용 가능한 경우 이를 디렉토리 서비스(154) 및/또는 AAA 서버(156)에 제공할 수 있다. 적용 가능한 경우, IoT 모듈(138)은 화이트보드(146)에 대한 업데이트된 컨텍스트 정보를 데이터 어플라이언스(102)가 사용 가능하게 될 때 제공할 수 있다. 그리고, 데이터 어플라이언스(102)는 유사하게 (예를 들어, IoT 서버(134)를 통해) 보안 플랫폼(140)에 화이트보드(146)에 대한 지속적인 정보를 제공할 수 있다. 이러한 정보의 예들은 화이트보드(146)와 같은 디바이스들에 대한 행동 프로파일들을 구축하기 위해 보안 플랫폼(140)에 의해 사용될 수 있는 네트워크(110)에서의 화이트보드(146)의 행동들에 관한 관찰들(예를 들어, 만들어지는 연결들에 대한 통계 정보)을 포함한다. 유사한 행동 프로파일들이 다른 디바이스들(예를 들어, 화이트보드(144))에 대한 보안 플랫폼(140)에 의해 구축될 수 있다. 이러한 프로파일들은 이상 행동들(anomalous behaviors)을 탐지하는 것을 포함하여 다양한 목적들로 사용될 수 있다. 일례로서, 데이터 어플라이언스(148)는 써모미터(152)가 써모미터(152)의 이력 관찰들과 비교하여 및/또는 유사한 모델, 제조업체, 또는 더 일반적으로 다른 네트워크에 있는 써모미터를 포함하는 다른 써모미터들(도시되지 않음)과 비교하여 비정상적으로 작동하는지 여부를 탐지하기 위해 보안 플랫폼(140)에 의해 제공된 정보를 사용할 수 있다. 이상 행동이 (예를 들어, 데이터 어플라이언스(148)에 의해) 탐지되면, 네트워크(116) 상의 다른 노드들에 대한 써모미터(152)의 액세스를 제한하고, 경보를 생성하는 등의 적절한 교정 조치가 자동으로 취해질 수 있다.
도 3은 네트워크에서 IoT 디바이스에 대한 AAA 지원을 수동적으로 제공하기 위한 프로세스의 실시예를 도시한다. 다양한 실시예들에서, 프로세스(300)는 IoT 서버(134)에 의해 수행된다. 프로세스는 IoT 디바이스에 의해 전송된 패킷들의 세트가 획득될 때 302에서 시작된다. 일례로서, 화이트보드(146)가 네트워크(110)에 처음으로 프로비저닝될 때, 그러한 패킷들은 302에서 IoT 서버(134)에 의해 수동적으로 수신될 수 있다. 패킷들은 또한 화이트보드(146)의 후속 사용 동안 302에서 수신될 수 있다(예를 들어, 앨리스가 화이트보드(144)를 통해 밥(Bob)과 화이트보드 세션들을 갖기 때문에). 304에서, 데이터 패킷들의 세트에 포함된 적어도 하나의 패킷이 분석된다. 304에서 수행되는 프로세싱의 일례로서, IoT 서버(134)는 302에서 수신된 패킷들이 화이트보드(146)에 의해 전송되고 있다고 결정한다. IoT 서버(134)가 취할 수 있는 한 가지 조치는 화이트보드(146)를 네트워크(110) 상의 새로운 IoT 디바이스로 식별하고, 이용 가능한 경우 IoT 모듈(138)로부터 컨텍스트 정보를 획득하는 것이다. 306에서, IoT 서버(134)는 IoT 디바이스를 대신하여 IoT 디바이스와 연관된 정보를 포함하는 AAA 메시지를 전송한다. 이러한 메시지의 예는 도 4a에 도시된다. 앞서 언급했듯이, 화이트보드(146)는 RADIUS 프로토콜을 지원하지 않는다. 그러나, IoT 서버(134)는 화이트보드(146)를 대신하여 도 4a에 도시된 바와 같은 메시지를 생성할 수 있다(예를 들어, 302에서 수신된 정보 및 적용 가능한 경우 보안 플랫폼(140)으로부터도 수신된 정보를 사용). 이전에 언급된 바와 같이, IoT 서버(134)가 화이트보드(146)에 관한 정보를 IoT 모듈(138)에 제공할 때, IoT 모듈(138)은 데이터베이스(160)에서 화이트보드(146)에 대한 기록을 생성하고 그 기록을 화이트보드(146)에 관한 컨텍스트 정보로 채우는 것과 같은 다양한 조치들을 취할 수 있다(예를 들어, 제조업체, 모델 번호 등을 결정). 화이트보드(146)에 관한 추가적인 컨텍스트 정보가 보안 플랫폼(140)에 의해 수집됨에 따라, 그 프로파일이 업데이트되고 데이터 어플라이언스(102)로 전파될 수 있다. 화이트보드(146)가 네트워크(110) 내에 초기에 프로비저닝될 때, 추가적인 컨텍스트 정보가 이용가능하지 않을 수도 있다(예를 들어, 보안 플랫폼(140)이 그러한 추가 정보를 갖지 않을 수 있거나 또는 보안 플랫폼(140)에 의해 IoT 서버(134)에 그러한 정보를 제공하는 것은 즉각적이지 않을 수 있다). 따라서, 도 4a에 도시된 바와 같이, 화이트보드(146)를 대신하여 IoT 서버(134)에 의해 생성된 RADIUS 메시지는 제한된 정보를 포함할 수 있다. 추가적인 컨텍스트 정보가 (예를 들어, IoT 서버(134)에 의해 IoT 모듈(138)로부터) 수신됨에 따라, 화이트보드(146)를 대신하여 IoT 서버(134)에 의해 전송된 후속 RADIUS 메시지는 이러한 추가적인 정보로 보강될 수 있다. 이러한 후속 메시지의 예들은 도 4b 및 4c에 예시되어 있다. 도 4b는 화이트보드(146)에 관한 컨텍스트 정보가 (예를 들어, 다양한 IoT 디바이스들에 관한 컨텍스트 정보의 데이터베이스를 포함하는) IoT 모듈(138)에 의해 제공됨에 따라 IoT 서버(134)가 화이트보드(146)를 대신하여 전송할 수 있는 RADIUS 메시지의 예를 도시한다. 도 4b에 도시된 예에서는 화이트보드의 제조업체(Panasonic) 및 디바이스의 특성(예를 들어, 대화형 화이트보드)과 같은 컨텍스트 정보가 포함된다. 이러한 컨텍스트 정보는 AAA 서버(156)와 같은 AAA 서버들에 의해 (화이트보드(146)를 수정할 필요 없이) AAA 서비스들을 화이트보드(146)에 제공하는 데 사용될 수 있으며, 예를 들어 원격 회의 장비 전용 서브네트워크에 이를 자동으로 프로비저닝하는 데 사용될 수 있다. 다른 유형들의 IoT 디바이스들이 또한 디바이스 유형, 목적 등과 같은 속성들에 기초하여 자동으로 그룹화될 수 있다(예를 들어, 중요한 수술 장비가 해당 장비 전용 서브네트워크에 자동으로 프로비저닝되고 그에 따라 네트워크 상의 다른 디바이스들과 분리된다). 이러한 컨텍스트 정보는 (예를 들어, APP-ID를 사용하여 결정되는) 소셜 네트워킹 패킷들보다 화이트보드(146) 패킷들을 우선적으로 처리하는 정책과 같은 트래픽 형성 정책들과 같은 정책들을 시행하는 데 사용될 수 있다. 세분화된 정책들이 중요한 수술 장비와의 통신에 유사하게 적용될 수 있다(예를 들어, 그러한 장비와 통신하는 모든 디바이스가 오래된 운영 시스템을 갖는 것을 방지하는 등). 도 4c에 도시된 예에서, 화이트보드(146)를 대신하여 IoT 서버(134)에 의해 RADIUS 메시지에 추가적인 컨텍스트 정보가 포함된다. 이러한 추가적인 컨텍스트 정보는 디바이스 모델, 운영 시스템, 및 운영 버전과 같은 추가적인 속성 정보를 포함한다. 화이트보드(146)가 네트워크(110)에서 초기에 프로비저닝될 때, 도 4c에 도시된 모든 컨텍스트 정보는 이용가능하지 않을 가능성이 높다. 화이트보드(146)가 시간이 지남에 따라 네트워크(110) 내에서 사용됨에 따라(예를 들어, IoT 서버(134)가 계속해서 화이트보드(146)로부터 패킷들을 수동적으로 관찰하고 보안 플랫폼(140)에 정보를 제공함에 따라) 추가적인 컨텍스트 정보가 수집될 수 있다. 이러한 추가적인 정보는 세분화된 정책들을 시행하기 위해 (예를 들어, 데이터 어플라이언스(102)에 의해) 활용될 수 있다. 일례로서, 도 4c에 도시된 바와 같이, 화이트보드(146)는 Linux 기반이고 3.16 버전을 갖는 특정 운영 시스템을 실행한다. 종종 IoT 디바이스들은 업그레이드할 수 없거나 패치할 수 없는 운영 시스템들의 버전들을 실행한다. 이러한 디바이스들은 해당 운영 시스템들에 대한 익스플로잇이 개발될 때 보안 위험을 초래할 수 있다. 데이터 어플라이언스(102)는, 현재 운영 시스템들을 가진 IoT 디바이스들에게는 덜 제한적인 네트워크 액세스를 허용하면서 오래된 운영 시스템들을 가진 IoT 디바이스들을 네트워크(110)의 다른 노드들로부터 분리(또는 그렇지 않으면 그들의 액세스를 제한)하는 것과 같이 컨텍스트 정보에 기반한 보안 정책들을 구현할 수 있다.
도 4a-4c는 RADIUS 액세스 요청 메시지들의 예들을 보여준다. 적용 가능한 경우, IoT 서버(134)는 화이트보드(146)를 대신하여 다양한 유형들의 RADIUS 메시지들을 생성할 수 있다. 일례로, RADIUS 계정 시작 메시지들은 화이트보드(146)로부터의 트래픽이 처음 관찰될 때 트리거될 수 있다. 화이트보드가 사용되는 동안 주기적인 RADIUS 계정 중간 업데이트 메시지들이 전송될 수 있으며, 화이트보드(146)가 오프라인이 되면 RADIUS 계정 중지 메시지들이 전송될 수 있다.
V. IoT 디바이스 검색 및 식별
위에서 논의된 바와 같이, 보안 플랫폼(140)에 의해 (예를 들어, IoT 모듈(138)을 통해) 수행되는 하나의 작업은 IoT 디바이스 분류이다. 예로서, IoT 서버(134)가 디바이스 검색 메시지를 IoT 모듈(138)에 전송할 때, IoT 모듈(138)은 디바이스에 대한 분류를 결정하고 응답을 시도한다(예를 들어, 도 2c에 도시된 판정(234)으로). 디바이스는 IoT 모듈(138)에 의해 고유 식별자와 연관되며, 따라서 적용 가능한 경우 디바이스의 후속 분류가 수행될 필요가 없다(또는 적용 가능한 경우, 그렇지 않을 경우 수행되는 것보다 덜 빈번하게 수행됨). 또한 위에서 논의된 바와 같이, 결정된 분류는 디바이스로/로부터의 트래픽에 대한 정책들을 시행하기 위해 (예를 들어, 데이터 어플라이언스(102)에 의해) 사용될 수 있다.
다양한 접근 방식들이 디바이스를 분류하기 위해 사용될 수 있다. 첫 번째 접근 방식은 OUI(Organizationally Unique Identifier), 실행하는 애플리케이션 유형 등과 같은 디바이스의 정적 속성들을 활용하는 일련의 규칙들/휴리스틱들에 기초하여 분류를 수행하는 것이다. 두 번째 접근 방식은 디바이스의 동적이지만 그의 네트워크 트래픽으로부터 추출된 사전 정의된 속성들(예를 들어, 하루에 전송되는 패킷들의 수)을 활용하는 기계 학습 기술들을 사용하여 분류를 수행하는 것이다. 불행히도, 이러한 접근 방식들에는 모두 약점이 있다.
규칙 기반 접근 방식은 일반적으로 별도의 규칙이 각 유형의 IoT 디바이스에 대해 수동으로 생성되는 것을 필요로 한다(어느 속성들/값들이 디바이스의 시그니처 유형에 대한 시그니처로 사용되어야 하는지를 기술). 이러한 접근 방식에 의해 제시되는 한 가지 과제는 어느 시그니처들이 디바이스 식별과 관련이 있고 다른 디바이스 시그니처들 중에서 고유한 것인지를 결정하는 데 있다. 또한, 규칙 기반 접근 방식을 사용하면, 트래픽에서 쉽게 얻을 수 있는 제한된 수의 정적 속성들(예를 들어, 사용자 에이전트, OUI, URL 목적지 등)이 사용 가능하다. 속성들은 일반적으로 정규 표현이 일치할 수 있는 패턴으로 표시될 만큼 충분히 단순해야 한다. 또 다른 과제는 새로운 디바이스들이 시장에 진입함에 따라 존재하거나 식별할 수 있는 새로운 정적 속성들(예를 들어, CT 스캐너의 새로운 브랜드 또는 모델이 제공됨)을 식별하는 데 있다. 또 다른 과제는 규칙을 트리거하기 위해 네트워크 트래픽에서 일치하는 모든 속성을 수집해야 한다는 것이다. 더 적은 수의 속성들로는 판정에 도달할 수 없다. 예를 들어, 시그니처는 특정 URL에 연결하기 위해 특정 OUI가 있는 특정 디바이스를 요구할 수 있다. OUI 자체를 갖는다는 것은 이미 디바이스의 ID를 나타내는 충분한 지표일 수 있지만, URL도 관찰될 때까지 시그니처는 트리거되지 않는다. 이러한 것은 디바이스의 ID를 결정하는 데 더 많은 지연이 발생할 수 있다. 또 다른 과제는 (예를 들어, 디바이스 또는 디바이스에 의해 사용되는 서비스들에 대한 업데이트로 인해) 시간이 지남에 따라 변경되는 디바이스의 정적 속성으로 시그니처들을 유지하고 업데이트하는 것이다. 예를 들어, 특정 디바이스는 처음에는 제1 유형의 네트워크 카드를 사용하여 제조되었을 수 있지만, 시간이 지남에 따라 제조업체는 상이한 네트워크 카드(상이한 OUI를 표시함)로 전환할 수 있다. 규칙 기반 시스템이 변경 내용을 인식하지 못하는 경우, 잘못된 긍정 결과(false positives)가 발생할 수 있다. 또 다른 과제는 매일 온라인으로 제공되는 새로운 IoT 디바이스들의 수가 수백만 개의 새로운 디바이스 인스턴스들에 근접할 때 시그니처 생성/검증을 확장하는 데 있다. 결과적으로, 새로 생성된 규칙들은 기존의 규칙들과 충돌하고 분류에서 잘못된 긍정 결과를 유발할 수 있다.
기계 학습 기반 접근 방식은 일반적으로 네트워크 트래픽으로부터 추출된 정적 및/또는 동적 피처들에 기초하여 트레이닝 모델들을 생성하는 것을 수반한다. 새로운 IoT 디바이스의 네트워크 데이터에 대한 예측 결과는 연관된 정확도로 디바이스의 ID를 제공하는 사전 트레이닝된 모델들을 기반으로 한다. 기계 학습 접근 방식의 문제들의 예들은 다음과 같다. 예측이 모든 새로운 디바이스 또는 일정한/고유한 ID(예를 들어, MAC 주소)가 없는 디바이스에서 수행되는 경우, 원하는 정확도에 도달하는 데 필요한 계산 시간이 허용되지 않을 수 있다. 생성해야 하는 피처들이 수천 또는 수만 개일 수 있으며, 이러한 피처들은 효과적인 예측을 하기 위한 충분한 수의 피처들이 사용 가능하게 되기 전에 (정책 시행의 목적을 무효화할 수 있는) 상당한 시간이 소요되는 사전 정의된 시간 윈도우에 걸쳐 변형될 수 있다. 또한, 예측 지연을 최소화하는 것이 목표인 경우, 네트워크 데이터를 스트리밍하기 위한 대규모 데이터 파이프라인을 구축하고 유지하는 데 비용이 많이 들 수 있다. 또 다른 문제는 주어진 배치 환경에 대해 관련이 없는 피처들로 인해 발생하는 노이즈가 예측의 정확도를 감소시킬 수 있다는 것이다. 그리고, 디바이스 유형들의 수가 수만 개 이상에 도달하면, 모델들을 유지 관리하고 업데이트하는 데 어려움이 있다.
다양한 실시예들에서, 보안 플랫폼(140)은 분류에 대한 하이브리드 접근 방식을 사용함으로써 전술한 2개의 접근 방식들 각각의 문제를 다룬다. 예시적인 하이브리드 접근 방식에서, 네트워크 행동 패턴 식별자(여기에서 패턴 ID로도 지칭됨)는 각각의 유형의 디바이스에 대해 생성된다. 다양한 실시예들에서, 패턴 ID는 별개의 네트워크 행동 설명을 형성하고 IoT 디바이스의 유형을 식별하는 데 사용될 수 있는, (피처 또는 행동 카테고리에 대한 중요도 스코어로서) 각자의 확률들과 결합된 속성들 또는 시퀀스 피처들의 목록이다. 패턴 ID는 (예를 들어, 데이터베이스에) 저장되고 디바이스들의 ID를 식별/검증하는 데 사용될 수 있다.
속성들의 세트에 대해 트레이닝할 때 익스트림 그래디언트 부스팅 프레임워크(예를 들어, XGB)와 같은 특정 접근 방식들은 중요한 피처들(정적 속성, 동적 속성, 및/또는 집계된/변환된 값)의 상위 목록을 제공할 수 있다. 패턴 ID는 일단 확립되면 디바이스 유형을 고유하게 식별하는 데 사용될 수 있다. 특정 피처들이 디바이스들에 대해 지배적인 경우(예를 들어, 특정 정적 피처(예를 들어, 부팅 시 특정 URL에 연결)가 98% 신뢰도를 갖는 디바이스를 식별하는 경우), 이들은 규칙을 자동으로 생성하는 데 사용될 수 있다. 지배적인 피처들이 존재하지 않는 경우에도, 상위 피처들의 표현이 패턴 ID로 사용될 수 있다(예를 들어, 여러 피처들의 세트가 패턴으로 연결된 경우). 알려진 모든 모델들(및 알려진 모든 IoT 디바이스들)을 포함하는 데이터 세트에 대한 트레이닝을 통해 모델들/고유 식별 피처들 사이의 잠재적 충돌이 회피될 수 있다. 또한, 패턴 ID는 사람에 의해 판독 가능할 필요가 없다(그러나 식별 목적을 위해 저장, 공유, 및/또는 재사용될 수 있다). 이러한 접근 방식을 통해 상당한 시간 절약이 또한 실현될 수 있으며, 따라서 이는 거의 실시간 분류에 사용될 수 있다. 지배적인 피처가 관찰되자마자 특정 디바이스의 분류가 발생할 수 있다(많은 수의 피처들이 발생할 때까지 기다려야 하는 대신).
"Teem Room Display iPad" 디바이스에 대한 패턴 ID를 생성하는 데 사용될 수 있는 데이터의 예는 다음을 포함할 수 있다(다변수 모델의 트레이닝 또는 여러 이진 모델 트레이닝을 통해 자동으로 생성된 전체 목록 포함).
* 애플 디바이스(100%)
* 스페셜 아이패드(>98.5%)
* 팀 룸 앱(>95%)
* 미팅 볼륨 패턴 VPM-17(>95%)
* 클라우드 내 서버(>80%)
하이브리드 접근 방식을 구현하는 방법의 예는 다음과 같다. 신경망 기반 기계 학습 시스템은 자동화된 패턴 ID 트레이닝 및 생성에 사용될 수 있다. 신경망 모델을 트레이닝하는 데 사용될 수 있는 피처들의 예들은 네트워크 트래픽으로부터 추출된 정적 피처들(예를 들어, OUI, 호스트 이름, TLS 핑거프린트, 일치하는 L7 페이로드 시그니처 등) 및 네트워크 트래픽으로부터 추출되지만 환경에 특정되지 않은 시퀀스 피처들(예를 들어, 애플리케이션, 애플리케이션의 L7 속성, 범주형 기능으로 변환된 볼륨 범위 등)을 모두 포함한다. 경량 데이터 파이프라인(lightweight data pipeline)이 실시간으로 피처 생성을 위해 선택한 네트워크 데이터를 스트리밍하기 위해 사용될 수 있다. 모델들을 가져오고 캐싱(caching)을 제공하여 예측 지연을 최소화하기 위해 예측 엔진이 사용될 수 있다. 예측에서, 짧은(예를 들어, 분 기반) 집계가 선택된 시퀀스 피처들을 안정화하기 위해 사용될 수 있다. 사용자 지정 데이터 정규화(customized data normalization), 강화(enrichment), 집계(aggregation), 및 변환(transformation) 기술들이 시퀀스 피처들을 엔지니어링하는 데 사용될 수 있다. 더 나은 정확도를 위해 트레이닝하는 데 더 긴 집계 윈도우가 사용될 수 있다. 시간이 지남에 따라 피처들이 병합 및 집계되어 예측의 정확도가 향상될 수 있다. 백엔드 피드백 엔진이 패턴 ID 예측에 사용되는 속성들을 확장하는 데 도움이 되는 "느린 경로(slow path)" 예측 시스템(예를 들어, 디바이스 유형 모델링 서브시스템 및 디바이스 그룹 모델링 서브시스템을 포함하는 기계 학습 기반 접근 방식)의 결과를 라우팅하는 데 사용될 수 있다. 디바이스 그룹 모델이 허용 가능한 임계값 이상으로 정확도를 개선하기 위해 충분한 샘플들이나 피처들이 사용 가능하지 않을 때 디바이스 유형 모델의 문제들을 보상하도록 드레이닝될 수 있다(예를 들어, 사전 정의된 유형들의 세트에 기초하여 예측 결과들을 할당, 그 중 일부가 라벨이 지정되지 않은(unlabeled) 유사한 유형들의 디바이스들을 클러스터링하기 위해 다른 서브시스템과 함께 제공됨). 마지막으로, 판정 모듈이 실시간 예측 엔진의 결과들을 게시하기 위해 사용될 수 있다.
여기에 설명된 것과 같은 분류에 대한 하이브리드 접근 방식의 예시적인 이점은 다음과 같다. 첫째, 빠른 수렴이 발생하여 주어진 디바이스가 몇 분 또는 몇 초 내에 잠재적으로 식별될 수 있다. 둘째, 규칙 기반 및 기계 학습 기반 시스템들의 개별 문제들을 처리한다. 셋째, 예측 결과들의 안정성과 일관성을 제공한다. 넷째, 수만(또는 그 이상) 상이한 유형들의 IoT 디바이스들을 지원할 수 있는 확장성을 가지고 있다. 예측은 일반적으로 새로운 디바이스들에서만 필요하다(주어진 디바이스이 L3 네트워크 트래픽 기반 식별과 같은 고유한 ID 할당이 없는 경우에도).
모듈(138)의 실시예가 도 5에 도시되어 있다. IoT 모듈(138)을 구현하는 한 가지 예시적인 방법은 서비스들이 세분화되고 프로토콜들이 가벼운 마이크로서비스 기반 아키텍처를 사용하는 것이다. 서비스들은 또한 적용 가능한 경우 다른 프로그래밍 언어, 데이터베이스, 하드웨어, 및 소프트웨어 환경을 사용하여 구현될 수 있고 및/또는 메시징이 가능하고, 컨텍스트에 의해 제한되고, 자율적으로 개발되고, 독립적으로 사용 가능하고, 분산되고, 자동화된 프로세스들로 구축 및 릴리스되는 비교적 작은 서비스들을 사용하여 구현될 수 있다.
앞서 언급한 바와 같이, 다양한 실시예들에서, 보안 플랫폼(140)은 네트워크(예를 들어, 네트워크(110)) 상의 IoT 디바이스에 관한 정보(예를 들어, 데이터 어플라이언스(102)로부터)를 주기적으로 수신한다. 일부 경우들에서, IoT 디바이스들은 이전에 보안 플랫폼(140)(예를 들어, 작년에 네트워크(110)에 설치된 CT 스캐너)에 의해 분류되었을 것이다. 다른 경우들에서, IoT 디바이스들은 보안 플랫폼(140)에 의해 새롭게 보일 것이다(예를 들어, 최초 화이트보드(146)가 설치된 경우). 주어진 디바이스가 보안 플랫폼(140)에 의해 이전에 분류되지 않았다고 가정한다(예를 들어, 디바이스에 대한 항목이 고유한 디바이스 식별자들 및 연관된 디바이스 정보의 세트를 저장하는 데이터베이스(286)에 존재하지 않음). 도 5에 예시된 바와 같이, 새로운 디바이스에 대한 정보는 분류를 위해 두 개의 서로 다른 프로세싱 파이프라인들에 제공될 수 있다. 파이프라인(504)은 "빠른 경로" 분류 파이프라인(패턴 ID 기반 방식에 해당)을 나타내고, 파이프라인(502)은 "느린 경로" 분류 파이프라인(기계학습 기반 방식에 해당)을 나타낸다.
파이프라인(504)에서, 디바이스의 적용 가능한 정적 및 시퀀스 피처들을 식별하기 위해 빠른 경로 피처 엔지니어링이 수행된다(508). 패턴 ID들 또는 이전에 구축된 모델들(예를 들어, 가장 중요한 피처들을 기반으로 하고 오프라인 프로세싱 파이프라인(506)을 사용하여 구축된 모델들)을 사용하여 빠른 경로 예측이 수행된다(510). 특정 패턴과 일치하는 디바이스에 대한 신뢰도 스코어가 결정된다(512). 디바이스에 대한 신뢰도 스코어가 사전 트레이닝된 임계값을 충족하는 경우(예를 들어, 0.9와 같은 모듈(138) 또는 그 구성요소들의 전체 예측 정확도에 기초하여), 분류는 (디바이스 데이터베이스(516)에서) 디바이스에 할당되거나 적용 가능한 경우 업데이트될 수 있다. 처음에, 신뢰도 스코어는 거의 실시간 빠른 경로 프로세싱을 기반으로 한다. 이러한 접근 방식의 장점은 데이터 어플라이언스(102)가 디바이스의 트래픽에 정책들을 매우 빠르게 적용하기 시작할 수 있다는 것이다(예를 들어, 디바이스를 새로운/분류되지 않은 것으로 식별하는 모듈(138)의 몇 분 이내에). 어플라이언스(102)는 시스템(140)의 분류 판정이 있을 때까지 고장 안전(fail-safe)(예를 들어, 다양한 네트워크 리소스들에 액세스하는 디바이스의 능력을 감소/제한) 또는 고장 위험(fail-danger)(예를 들어, 디바이스의 광범위한 액세스를 허용)으로 구성될 수 있다. 추가 정보가 이용 가능하게 됨에 따라(예를 들어, 느린 경로 프로세싱을 통해) 신뢰도 스코어는 적용 가능한 경우 해당 추가 정보에 기초할 수 있다(예를 들어, 신뢰도 스코어 증가 또는 빠른 경로 분류 동안 실수 정정/수정).
사용될 수 있는 피처들(예를 들어, 정적 속성들 및 시퀀스 피처들)의 예들은 다음과 같다. 패턴 ID들은 다음 논리적 조건들과 이러한 속성들의 임의의 조합일 수 있다:
* 맥 주소의 OUI
* 디코딩된 프로토콜의 호스트 이름 문자열
* HTTP 및 기타 클리어 텍스트 프로토콜의 사용자 에이전트 문자열
* 디코딩된 SNMP 응답의 시스템 이름 문자열
* 디코딩된 LDAP 프로토콜의 OS, 호스트 이름, 도메인, 및 사용자 이름
* 디코딩된 DNS 프로토콜의 URL
* 디코딩된 SMB 프로토콜의 SMB 버전, 명령, 오류
* TCP 플래그
* 디코딩된 DHCP 프로토콜의 옵션 문자열
* DICOM(Digital Imaging and Communications in Medicine)과 같은 디코딩된 IoT 프로토콜의 문자열
* 로컬 네트워크로부터의 인바운드 애플리케이션 목록
* 인터넷으로부터의 인바운드 애플리케이션 목록
* 로컬 네트워크에 대한 아웃바운드 애플리케이션 목록
* 인터넷에 대한 아웃바운드 애플리케이션 목록
* 로컬 네트워크로부터의 인바운드 서버 포트 목록
* 인터넷으로부터의 인바운드 서버 포트 목록
* 로컬 네트워크에 대한 아웃바운드 서버 포트 목록
* 인터넷에 대한 아웃바운드 서버 포트 목록
* 로컬 네트워크로부터의 인바운드 IP 목록
* 인터넷으로부터의 인바운드 URL 목록
* 로컬 네트워크에 대한 아웃바운드 IP 목록
* 인터넷에 대한 아웃바운드 URL 목록
일부 경우들에서, 512에서 결정된 신뢰도 스코어가 매우 낮을 수 있다. 이러한 것이 발생할 수 있는 한 가지 이유는 디바이스가 새로운 유형이고(예를 들어, 새로운 유형의 IoT 토이 또는 보안 플랫폼(140)에 의해 이전에 분석되지 않은 다른 유형의 제품) 보안 플랫폼(140)의 디바이스에 대해 사용 가능한 해당 패턴 ID가 없기 때문이다. 이러한 시나리오에서, 디바이스 및 분류 결과들에 관한 정보는, 예를 들어, 디바이스 및 기타 적용 가능한 정보(예를 들어, 디바이스가 무선 디바이스이고, 프린터처럼 작동하고, DICOM 프로토콜을 사용하는 등을 결정)에 의해 나타나는 행동들에 대해 클러스터링(514)을 수행할 수 있는, 오프라인 프로세싱 파이프라인(506)에 제공될 수 있다. 클러스터링 정보는 라벨들(labels)로 적용될 수 있고 적용 가능한 추가 연구(518)를 위해 플래그가 지정될 수 있으며, 이후에 보여지는 유사한 디바이스들이 자동으로 함께 그룹화된다. 연구 결과로서 주어진 디바이스에 관한 추가 정보가 결정되면(예를 들어, 새로운 유형의 소비자 지향 IoT 육류 써모미터에 해당하는 것으로 식별됨), 해당 디바이스(및 유사한 속성들을 가진 다른 모든 디바이스들)은 그에 따라 다시 라벨링(relabel)되고(예를 들어, 브랜드 XYZ 육류 써모미터로), 연관된 패턴 ID가 생성되고 적용 가능한 경우 파이프라인들(502/504)에 의해 사용될 수 있게 된다(예를 들어, 모델들이 재구축된 후). 다양한 실시예들에서, 오프라인 모델링(520)은 IoT 디바이스 식별에 사용되는 다양한 모델들(522)을 트레이닝 및 업데이트하기 위해 매일 실행되는 프로세스이다. 다양한 실시예들에서, 모델들은 새로운 라벨링된 디바이스들을 커버하기 위해 매일 새로고침(refresh)되고, (느린 경로 파이프라인(502)에 대한) 행동 변화들을 반영하고 주 동안 추가된 새로운 피처들 및 데이터 인사이트를 수용하기 위해 매주 재구축된다. 보안 플랫폼(140)에 새로운 유형들의 디바이스들을 추가할 때(즉, 새로운 디바이스 패턴들을 생성할 때), 여러 기존 디바이스 패턴들이 영향을 받을 수 있으며, 피처 목록 또는 중요도 스코어가 업데이트되어야 한다는 것을 유의해야 한다. 프로세스는 자동으로 수행될 수 있다(규칙 기반 솔루션에 비해 주요한 이점이다).
빠른 경로 모델링의 경우, 신경망 기반 모델들(예를 들어, FNN) 및 일반 기계 학습 모델들(예를 들어, XGB)은 다변수 분류 모델들에 광범위하게 사용된다. 결과들을 개선하고 클러스터링에 대한 입력을 제공하기 위해 선택된 프로파일들에 대해 이진 모델들이 또한 구축된다. 이진 모델은 디바이스의 ID 또는 디바이스의 특정 행동들에 대한 예/아니오 응답을 제공한다. 예를 들어, 이진 모델은 디바이스가 IP 전화의 유형인지 또는 IP 전화가 아닐 가능성이 있는지 여부를 결정하는 데 사용될 수 있다. 다변수 모델은 확률 1로 정규화된 많은 출력들을 갖는다. 각각의 출력은 디바이스 유형에 대응한다. 이진 모델들이 일반적으로 더 빠르긴 하지만, 디바이스가 올바른 "예" 대답을 찾을 수 있으려면 예측에서 많은 모델들을 거쳐야 한다. 다변수 모델은 한 번에 이를 달성할 수 있다.
느린 경로 파이프라인(502)은 피처들이 추출된다는 점에서 파이프라인(504)과 유사하다(524). 그러나, 파이프라인(502)에 의해 사용되는 피처들은 일반적으로 구축하는 데 시간이 걸린다. 예를 들어 "하루에 보낸 바이트들의 수"의 피처는 수집하는 데 하루가 필요하다. 또 다른 예로서, 특정 사용 패턴들은 발생하고/관찰되는 데 시간이 걸릴 수 있다(예를 들어, CT 스캐너가 매시간 사용되어 스캔들을 수행하고(제1 행동), 매일 데이터를 백업하고(제2 행동), 매주 업데이트를 위한 제조업체 웹사이트를 체크한다(제3 행동)). 느린 경로 파이프라인(502)은 피처들의 전체 세트에 대한 새로운 디바이스 인스턴스를 분류하는 것을 시도하기 위해 다변수 분류기를 호출한다(526). 사용되는 피처들은 정적 또는 시퀀스 피처들에 국한되지 않고, 볼륨 및 시계열 기반 피처들도 포함한다. 이것은 일반적으로 1단계 예측이라고 지칭된다. 1단계 예측 결과가 최적이 아닌 특정 프로파일들의 경우(신뢰도가 낮음), 결과를 개선하기 위한 시도로 2단계 예측이 사용된다. 느린 경로 파이프라인(502)은 새로운 디바이스 인스턴스를 분류하기 위해 추가로 가져온 디바이스 컨텍스트에 의해 지원되는 결정 트리 분류기들(decision tree classifiers)의 세트를 호출한다(528). 추가 디바이스 컨텍스트는 외부 소스로부터 가져온다. 예를 들어, 디바이스가 연결된 URL에는 피처로서 포함될 수 있는 위험 기반 평판 및 카테고리가 주어졌을 수 있다. 다른 예로서, 디바이스에 의해 사용되는 애플리케이션에는 피처로서 포함될 수 있는 위험 기반 스코어 및 카테고리가 주어졌을 수 있다. 1단계 예측(526)과 2단계 예측(528)으로부터의 결과를 결합함으로써, 느린 경로 분류의 최종 판정이 유도된 신뢰도 스코어로 도달될 수 있다.
일반적으로 느린 경로 파이프라인(502)에는 두 단계들이 포함된다. 느린 경로 파이프라인에서, 일부 실시예들에서, 1단계 모델들은 신경망 기술들에 기초하여 다변수 분류기들로 구축된다. 느린 경로 파이프라인의 2단계는 일반적으로 1단계의 확률 관련 예외들을 처리하기 위한 추가 논리가 있는 결정 기반 모델들(decision-based models)의 세트이다. 예측에서 2단계는 1단계로부터의 입력을 통합하고 규칙들 및 컨텍스트를 적용하여 1단계 출력을 검증하고 느린 경로의 최종 출력을 생성한다. 최종 출력은 디바이스의 ID, 전체 신뢰도 스코어, 미래의 빠른 경로 파이프라인(504)에 사용될 수 있는 패턴 ID, 및 설명 목록을 포함한다. 신뢰도 스코어는 모델의 신뢰성과 정확도(모델들도 또한 신뢰도 스코어들을 갖는다) 및 분류의 일부로서 확률에 기초한다. 설명 목록은 결과에 기여하는 피처들의 목록을 포함한다. 위에서 언급했듯이, 결과가 알려진 패턴 ID들과 다른 경우 조사(investigation)가 트리거될 수 있다.
일부 실시예들에서, 느린 경로 모델링의 경우, 2가지 유형의 모델들이 구축되는데, 하나는 개인 ID를 위한 것이고 다른 하나는 그룹 ID를 위한 것이다. 예를 들어, 프린터와 써모미터를 구별하는 것보다 예를 들어 상이한 모델들 또는 상이한 벤더들로부터의 두 프린터들을 구별하는 것이 종종 더 어렵다(예를 들어, 프린터들은 네트워크 행동을 나타내는 경향이 있고 유사한 프로토콜들을 사용하는 경향이 있기 때문이다). 다양한 실시예들에서, 다양한 벤더들로부터의 다양한 프린터들이 그룹에 포함되고, 그룹 분류를 위해 "프린터" 모델이 트레이닝된다. 이러한 그룹 분류 결과는 특정 프린터에 대한 특정 모델보다 더 나은 정확도를 제공할 수 있으며, 적용 가능한 경우 디바이스의 신뢰도 스코어를 업데이트하거나 개별 프로파일 ID 기반 분류에 대한 참조 및 검증을 제공하는 데 사용될 수 있다.
도 6은 IoT 디바이스를 분류하는 프로세스의 예를 도시한다. 다양한 실시예들에서, 프로세스(600)는 보안 플랫폼(140)에 의해 수행된다. 프로세스(600)는 또한 적용 가능한 다른 시스템들(예를 들어, IoT 디바이스들과 온프레미스(on-premise)로 배치된 시스템)에 의해 수행될 수 있다. 프로세스(600)는 IoT 디바이스의 네트워크 통신과 연관된 정보가 수신될 때 602에서 시작한다. 일례로서, 이러한 정보는 데이터 어플라이언스(102)가 주어진 IoT 디바이스에 대한 디바이스 검색 이벤트를 보안 플랫폼(140)에 전송할 때 보안 플랫폼(140)에 의해 수신된다. 604에서, 디바이스가 분류되지 않았다는(또는 적용 가능한 경우, 재분류가 수행되어야 한다는) 결정이 내려진다. 일례로서, 플랫폼(140)은 디바이스가 분류되었는지 여부를 결정하기 위해 데이터베이스(286)에 질의할 수 있다. 606에서, 2-부분 분류가 수행된다. 일례로서, 2-부분 분류가 606에서 플랫폼(140)에 의해 수행되어 디바이스에 관한 정보를 빠른 경로 분류 파이프라인(504) 및 느린 경로 분류 파이프라인(502) 모두에 제공한다. 마지막으로, 608에서, 606에서 수행된 분류 프로세스의 결과가 IoT 디바이스에 정책을 적용하도록 구성된 보안 어플라이언스에 제공된다. 위에서 언급했듯이, 이러한 것은 최소한의 관리 노력으로 잠재적인 미션 크리티컬 환경에서 고도로 세분화된 보안 정책들이 구현될 수 있게 한다.
프로세스(600)를 수행하는 첫 번째 예에서, Xbox One 게임 콘솔이 네트워크(110)에 연결되었다고 가정한다. 분류하는 동안, 디바이스가 다음과 같은 지배적인 피처들을 갖는지에 대한 결정이 이루어질 수 있다: 100% 신뢰도를 갖는 "벤더 = Microsoft" 피처, 89.7% 신뢰도를 갖는 "Microsoft 클라우드 서버와 통신" 피처, 및 78.5%의 신뢰도를 갖는 "게임 콘솔"과 일치하는 피처. 이러한 세 가지 피처들/신뢰도 스코어들은 프로파일 ID들의 세트에 대해 일괄적으로 일치될 수 있어(프로세스가 신경망 기반 예측에 의해 수행된다) 디바이스를 Xbox One 게임 콘솔로 식별할 수 있다(즉, 512에서 임계값을 충족하는 프로파일 ID 일치가 발견됨). 두 번째 예에서, AudioCodes IP 전화가 네트워크(110)에 연결되었다고 가정한다. 분류하는 동안, 디바이스가 100% 신뢰도를 갖는 "벤더 = AudioCodes" 피처, 98.5% 신뢰도를 갖는 "IP 오디오 디바이스인" 피처, 및 66.5%의 "로컬 서버처럼 작동하는" 피처와 일치하는지에 대한 결정이 이루어질 수 있다. 이러한 세 가지 피처들/신뢰도 스코어들은 또한 프로파일 ID들의 세트와 일치하지만, 이 시나리오에서는 기존 프로파일 ID가 충분한 신뢰도로 일치하지 않는다고 가정한다. 그리고, 디바이스에 관한 정보가 클러스터링 프로세스(514)에 제공될 수 있고, 적용 가능한 경우, 새로운 프로파일 ID가 궁극적으로 생성되고 디바이스와 연관될 수 있다(그리고 미래의 디바이스들을 분류하는 데 사용된다).
적용 가능한 경우, 보안 플랫폼(140)은 결정된 분류에 기초하여 특정 정책들을 추천할 수 있다. 다음은 시행될 수 있는 정책들의 예들이다:
* 모든 주입 펌프들에 대한 인터넷 트래픽 거부(벤더와 관계 없음)
* 특정 GE 호스트들을 제외한 모든 GE ECG 기계들에 대한 인터넷 트래픽 거부
* 모든 CT 스캐너들에 대해 PACS(Picture Archiving and Communication System) 서버들에 대한 내부 트래픽만 허용(벤더와 관계 없음)
전술한 실시 예들이 이해의 명확성을 위해 일부 상세하게 설명되었지만, 본 발명은 제공된 세부 사항에 제한되지 않는다. 본 발명을 구현하는 많은 대안적인 방법들이 있다. 개시된 실시 예들은 예시적인 것이며 제한적인 것이 아니다.

Claims (12)

  1. 시스템에 있어서:
    프로세서로서,
    IoT 디바이스의 네트워크 통신과 연관된 정보를 수신하고;
    IoT 디바이스가 분류되었는지 여부를 결정하고;
    IoT 디바이스가 분류되지 않았다는 결정에 응답하여, 2-부분 분류 프로세스를 수행하고 - 여기서, 분류 프로세스의 제1 부분은 인라인 분류를 포함하고, 분류 프로세스의 제2 부분은 인라인 분류의 후속 검증을 포함함 -;
    IoT 디바이스에 정책을 적용하도록 구성된 보안 어플라이언스에 분류 프로세스의 결과를 제공하도록 구성된,
    상기 프로세서; 및
    상기 프로세서에 결합되고, 상기 프로세서에 명령들을 제공하도록 구성된 메모리를 포함하는, 시스템.
  2. 제1항에 있어서, 상기 정보는 IoT 디바이스를 모니터링하도록 구성된 데이터 어플라이언스로부터 수신되는, 시스템.
  3. 제1항에 있어서, 수신된 정보는 네트워크 트래픽 메타데이터를 포함하는, 시스템.
  4. 제1항에 있어서, 상기 분류 프로세스의 제1 부분은 규칙 기반 분류를 포함하는, 시스템.
  5. 제1항에 있어서, 상기 분류 프로세스의 제2 부분은 기계 학습 기반 분류를 포함하는, 시스템.
  6. 제1항에 있어서, 상기 분류 프로세스를 수행하는 것은 IoT 디바이스에 대한 임의의 피처(feature)들이 지배적(dominant)인지 여부를 결정하는 것을 포함하는, 시스템.
  7. 제1항에 있어서, 상기 2-부분 분류 프로세스를 수행하는 것은 IoT 디바이스의 하나 이상의 피처들이 네트워크 행동 패턴 식별자와 일치하는 신뢰도를 결정하는 것을 포함하는, 시스템.
  8. 제7항에 있어서, 상기 프로세서는 또한 상기 네트워크 행동 패턴 식별자를 생성하도록 구성되는, 시스템.
  9. 제1항에 있어서, 상기 분류 프로세스의 결과는 그룹 분류를 포함하는, 시스템.
  10. 제1항에 있어서, 상기 분류 프로세스의 결과는 프로파일 분류를 포함하는, 시스템.
  11. 방법에 있어서:
    IoT 디바이스의 네트워크 통신과 연관된 정보를 수신하는 단계;
    IoT 디바이스가 분류되었는지 여부를 결정하는 단계;
    IoT 디바이스가 분류되지 않았다는 결정에 응답하여, 2-부분 분류 프로세스를 수행하는 단계로서, 분류 프로세스의 제1 부분은 인라인 분류를 포함하고, 분류 프로세스의 제2 부분은 인라인 분류의 후속 검증을 포함하는, 상기 2-부분 분류 프로세스를 수행하는 단계; 및
    IoT 디바이스에 정책을 적용하도록 구성된 보안 어플라이언스에 분류 프로세스의 결과를 제공하는 단계를 포함하는, 방법.
  12. 컴퓨터 명령들을 포함하며 유형의 컴퓨터 판독 가능한 저장 매체에 구현된 컴퓨터 프로그램 제품으로서,
    상기 컴퓨터 명령들은:
    IoT 디바이스의 네트워크 통신과 연관된 정보를 수신하고;
    IoT 디바이스가 분류되었는지 여부를 결정하고;
    IoT 디바이스가 분류되지 않았다는 결정에 응답하여, 2-부분 분류 프로세스를 수행하고 - 여기서, 분류 프로세스의 제1 부분은 인라인 분류를 포함하고, 분류 프로세스의 제2 부분은 인라인 분류의 후속 검증을 포함함 -;
    IoT 디바이스에 정책을 적용하도록 구성된 보안 어플라이언스에 분류 프로세스의 결과를 제공하기 위한 것인, 컴퓨터 프로그램 제품.

KR1020227038302A 2020-06-01 2021-06-01 Iot 디바이스 검색 및 식별 KR20220162774A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202063033004P 2020-06-01 2020-06-01
US63/033,004 2020-06-01
US17/133,189 2020-12-23
US17/133,189 US11115799B1 (en) 2020-06-01 2020-12-23 IoT device discovery and identification
PCT/US2021/035278 WO2021247597A1 (en) 2020-06-01 2021-06-01 Iot device discovery and identification

Publications (1)

Publication Number Publication Date
KR20220162774A true KR20220162774A (ko) 2022-12-08

Family

ID=77559107

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227038302A KR20220162774A (ko) 2020-06-01 2021-06-01 Iot 디바이스 검색 및 식별

Country Status (6)

Country Link
US (2) US11115799B1 (ko)
EP (1) EP4158923A4 (ko)
JP (1) JP7418611B2 (ko)
KR (1) KR20220162774A (ko)
CN (1) CN115486105A (ko)
WO (1) WO2021247597A1 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9774604B2 (en) 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
US10380348B2 (en) 2016-11-21 2019-08-13 ZingBox, Inc. IoT device risk assessment
US11070568B2 (en) 2017-09-27 2021-07-20 Palo Alto Networks, Inc. IoT device management visualization
US11082296B2 (en) 2017-10-27 2021-08-03 Palo Alto Networks, Inc. IoT device grouping and labeling
CN112640381B (zh) 2018-06-18 2024-03-08 帕洛阿尔托网络公司 检测物联网设备的不合期望的行为的方法和系统
US11451571B2 (en) 2018-12-12 2022-09-20 Palo Alto Networks, Inc. IoT device risk assessment and scoring
US11689573B2 (en) 2018-12-31 2023-06-27 Palo Alto Networks, Inc. Multi-layered policy management
US11115799B1 (en) * 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification
US11863340B2 (en) * 2021-09-14 2024-01-02 Samsung Electronics Co., Ltd. Method and system for controlling home appliance
KR20240034858A (ko) * 2021-09-29 2024-03-14 팔로 알토 네트웍스, 인크. 방화벽에서의 iot 보안 정책
US11552975B1 (en) 2021-10-26 2023-01-10 Palo Alto Networks, Inc. IoT device identification with packet flow behavior machine learning model
KR102623302B1 (ko) * 2021-11-26 2024-01-09 학교법인 건국대학교 의료기기 전용 보안 솔루션을 위한 시스템 및 장치
WO2023111662A1 (en) * 2021-12-18 2023-06-22 Knwn Technologies, Inc. Biometric identification via holographic environmental data
US20240015134A1 (en) * 2022-07-05 2024-01-11 Tweenznet Ltd. System and method of discovering a network asset from a network sample
CN115065552B (zh) * 2022-07-27 2023-01-10 北京六方云信息技术有限公司 工业通讯防护方法、装置、终端设备及存储介质
US20240093465A1 (en) * 2022-09-21 2024-03-21 Caterpillar Inc. Identifying telemetry data using artificial intelligence
CN118214578A (zh) * 2022-12-15 2024-06-18 特灵国际有限公司 建筑物自动化系统的反应式网络安全

Family Cites Families (176)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6142682A (en) 1997-06-13 2000-11-07 Telefonaktiebolaget Lm Ericsson Simulation of computer processor
US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US20060265397A1 (en) 2001-03-06 2006-11-23 Knowledge Vector, Inc. Methods, systems, and computer program products for extensible, profile-and context-based information correlation, routing and distribution
US6877146B1 (en) 2001-06-03 2005-04-05 Cadence Design Systems, Inc. Method and apparatus for routing a set of nets
CA2527501A1 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US9609003B1 (en) 2007-06-12 2017-03-28 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8321437B2 (en) 2005-12-29 2012-11-27 Nextlabs, Inc. Detecting behavioral patterns and anomalies using activity profiles
US8738749B2 (en) 2006-08-29 2014-05-27 Digimarc Corporation Content monitoring and host compliance evaluation
US8331229B1 (en) 2006-12-15 2012-12-11 At&T Mobility Ii Llc Policy-enabled dynamic deep packet inspection for telecommunications networks
KR100949808B1 (ko) 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
EP2227889B1 (en) 2007-12-31 2011-07-13 Telecom Italia S.p.A. Method of detecting anomalies in a communication system using symbolic packet features
US20130247190A1 (en) 2008-07-22 2013-09-19 Joel R. Spurlock System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity
US8159966B1 (en) 2008-11-24 2012-04-17 Sprint Communications Company L.P. Packet processing profile selection and delivery in wireless communication systems
WO2010127365A1 (en) 2009-05-01 2010-11-04 Citrix Systems, Inc. Systems and methods for establishing a cloud bridge between virtual storage resources
US8768930B2 (en) 2009-10-10 2014-07-01 Oracle International Corporation Product classification in procurement systems
US8874550B1 (en) 2010-05-19 2014-10-28 Trend Micro Incorporated Method and apparatus for security information visualization
US20120065749A1 (en) 2010-09-13 2012-03-15 Motorola Mobility, Inc. Display of Devices on an Interface based on a Contextual Event
US20120102543A1 (en) 2010-10-26 2012-04-26 360 GRC, Inc. Audit Management System
US9215244B2 (en) 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
CN102025577B (zh) 2011-01-06 2012-07-04 西安电子科技大学 物联网网络系统及数据处理方法
US8973088B1 (en) 2011-05-24 2015-03-03 Palo Alto Networks, Inc. Policy enforcement using host information profile
US8671099B2 (en) 2011-12-28 2014-03-11 International Business Machines Corporation Clustering devices in an internet of things (‘IoT’)
US8683598B1 (en) 2012-02-02 2014-03-25 Symantec Corporation Mechanism to evaluate the security posture of a computer system
US8850588B2 (en) 2012-05-01 2014-09-30 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
WO2013177311A1 (en) 2012-05-23 2013-11-28 Observable Networks, Llc System and method for continuous device profiling (cdp)
US9548987B1 (en) 2012-06-11 2017-01-17 EMC IP Holding Company LLC Intelligent remediation of security-related events
US8891528B2 (en) 2012-06-21 2014-11-18 Breakingpoint Systems, Inc. Managing the capture of packets in a computing system
US9015233B2 (en) 2012-06-29 2015-04-21 At&T Intellectual Property I, L.P. System and method for segregating layer seven control and data traffic
US9900171B2 (en) 2013-02-25 2018-02-20 Qualcomm Incorporated Methods to discover, configure, and leverage relationships in internet of things (IoT) networks
US9324119B2 (en) 2013-03-15 2016-04-26 Alert Enterprise Identity and asset risk score intelligence and threat mitigation
US9639820B2 (en) 2013-03-15 2017-05-02 Alert Enterprise Systems, structures, and processes for interconnected devices and risk management
JP2014182461A (ja) 2013-03-18 2014-09-29 Toshiba Corp 通信装置、通信方法、通信システム、およびプログラム
US9600914B2 (en) * 2013-04-09 2017-03-21 Koninklijke Philips N.V. Layered two-dimensional projection generation and display
US20140325670A1 (en) 2013-04-25 2014-10-30 Rivendale Software Solution Private Limited System and method for providing risk score based on sensitive information inside user device
US9372922B2 (en) 2013-07-11 2016-06-21 Neura, Inc. Data consolidation mechanisms for internet of things integration platform
EP3036938A4 (en) 2013-08-23 2017-04-12 Samsung Electronics Co., Ltd. Mobile software defined networking (mobisdn)
US9961096B1 (en) 2013-09-17 2018-05-01 Cisco Technology, Inc. Distributed behavior based anomaly detection
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9652362B2 (en) 2013-12-06 2017-05-16 Qualcomm Incorporated Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors
CA2936047C (en) 2014-01-27 2023-04-04 Thomson Reuters Global Resources System and methods for cleansing automated robotic traffic from sets of usage logs
US9510195B2 (en) 2014-02-10 2016-11-29 Stmicroelectronics International N.V. Secured transactions in internet of things embedded systems networks
US20150039513A1 (en) 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
WO2015138519A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. Method and system for detecting algorithm-generated domains
US10176428B2 (en) 2014-03-13 2019-01-08 Qualcomm Incorporated Behavioral analysis for securing peripheral devices
US10313494B2 (en) 2014-03-27 2019-06-04 Pismo Labs Technology Limited Methods and systems for identifying data sessions at a VPN gateway
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US10360196B2 (en) 2014-04-15 2019-07-23 Splunk Inc. Grouping and managing event streams generated from captured network data
US9286453B2 (en) 2014-05-06 2016-03-15 International Business Machines Corporation Dynamic adjustment of authentication policy
US9721212B2 (en) 2014-06-04 2017-08-01 Qualcomm Incorporated Efficient on-device binary analysis for auto-generated behavioral models
US10212176B2 (en) 2014-06-23 2019-02-19 Hewlett Packard Enterprise Development Lp Entity group behavior profiling
US9891907B2 (en) 2014-07-07 2018-02-13 Harman Connected Services, Inc. Device component status detection and illustration apparatuses, methods, and systems
US9705914B2 (en) 2014-07-23 2017-07-11 Cisco Technology, Inc. Signature creation for unknown attacks
US9699659B2 (en) 2014-07-31 2017-07-04 Qualcomm Incorporated On-boarding a device to a secure local network
US10079876B1 (en) 2014-09-30 2018-09-18 Palo Alto Networks, Inc. Mobile URL categorization
US9479525B2 (en) 2014-10-23 2016-10-25 International Business Machines Corporation Interacting with a remote server over a network to determine whether to allow data exchange with a resource at the remote server
US20160128043A1 (en) 2014-10-30 2016-05-05 Qualcomm Incorporated Dynamic mobile ad hoc internet of things (iot) gateway
US9584536B2 (en) 2014-12-12 2017-02-28 Fortinet, Inc. Presentation of threat history associated with network activity
EP3231247A1 (en) 2014-12-12 2017-10-18 Telefonaktiebolaget LM Ericsson (publ) A method and node for handling control plane signaling
KR101634295B1 (ko) 2014-12-16 2016-06-30 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
US9661011B1 (en) 2014-12-17 2017-05-23 Amazon Technologies, Inc. Techniques for data routing and management using risk classification and data sampling
US9635021B2 (en) 2014-12-18 2017-04-25 Intel Corporation Trusted ephemeral identifier to create a group for a service and/or to provide the service
US20160196558A1 (en) 2015-01-05 2016-07-07 Ebay Inc. Risk assessment based on connected wearable devices
US9774604B2 (en) 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
US9401933B1 (en) * 2015-01-20 2016-07-26 Cisco Technology, Inc. Classification of security policies across multiple security products
US9813432B2 (en) 2015-01-23 2017-11-07 Cisco Technology, Inc. Tracking anomaly propagation at the network level
US10043591B1 (en) 2015-02-06 2018-08-07 Brain Trust Innovations I, Llc System, server and method for preventing suicide
US20170011406A1 (en) 2015-02-10 2017-01-12 NXT-ID, Inc. Sound-Directed or Behavior-Directed Method and System for Authenticating a User and Executing a Transaction
CN107409126B (zh) 2015-02-24 2021-03-09 思科技术公司 用于保护企业计算环境安全的系统和方法
US9979606B2 (en) 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
US20160267406A1 (en) 2015-03-09 2016-09-15 Mastercard International Incorporated Systems and Methods for Rating Merchants
US10063585B2 (en) 2015-03-18 2018-08-28 Qualcomm Incorporated Methods and systems for automated anonymous crowdsourcing of characterized device behaviors
US10212178B2 (en) 2015-04-07 2019-02-19 Zingbox, Ltd. Packet analysis based IoT management
US10592673B2 (en) 2015-05-03 2020-03-17 Arm Limited System, device, and method of managing trustworthiness of electronic devices
US9838204B2 (en) 2015-05-14 2017-12-05 Verizon Patent And Licensing Inc. IoT communication utilizing secure asynchronous P2P communication and data exchange
EP3298758A1 (en) 2015-05-18 2018-03-28 InterDigital Technology Corporation Automated profiling and context dependent cooperative iot management operations
KR101679578B1 (ko) 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
CA3128629A1 (en) 2015-06-05 2016-07-28 C3.Ai, Inc. Systems and methods for data processing and enterprise ai applications
US10389756B2 (en) 2015-06-09 2019-08-20 Intel Corporation System, apparatus and method for security interoperability path analysis in an internet of things (IOT) network
US10419438B2 (en) 2015-06-09 2019-09-17 Intel Corporation System, apparatus and method for auto-optimization of access control policy and key management in a network authoring tool
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10419428B2 (en) 2015-07-05 2019-09-17 NXT-ID, Inc. System and method to authenticate electronics using electronic-metrics
US20180012227A1 (en) 2016-07-05 2018-01-11 NXT-ID, Inc. Biometric, Behavioral-Metric, Knowledge-Metric, and Electronic-Metric Directed Authentication and Transaction Method and System
US10320613B1 (en) 2015-08-11 2019-06-11 Cisco Technology, Inc. Configuring contextually aware IoT policies
EP3136297A1 (en) 2015-08-27 2017-03-01 Tata Consultancy Services Limited System and method for determining information and outliers from sensor data
WO2017037444A1 (en) 2015-08-28 2017-03-09 Statustoday Ltd Malicious activity detection on a computer network and network metadata normalisation
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US9894028B2 (en) 2015-08-31 2018-02-13 Microsoft Technology Licensing, Llc Personalized cross session diversity
US9641553B2 (en) 2015-09-25 2017-05-02 Intel Corporation Methods and apparatus to facilitate end-user defined policy management
US10237875B1 (en) 2015-09-25 2019-03-19 Amazon Technologies, Inc. Routing-aware network limiter
US10305922B2 (en) 2015-10-21 2019-05-28 Vmware, Inc. Detecting security threats in a local network
US20170126704A1 (en) 2015-10-28 2017-05-04 Qualcomm Incorporated Method And Devices For Non-Intrusive Malware Detection For The Internet Of Things (IOT)
US20170124660A1 (en) 2015-11-02 2017-05-04 Verizon Patent And Licensing Inc. Telematics Based Systems and Methods for Determining and Representing Driving Behavior
US10594710B2 (en) 2015-11-20 2020-03-17 Webroot Inc. Statistical analysis of network behavior using event vectors to identify behavioral anomalies using a composite score
US9942235B2 (en) * 2015-12-16 2018-04-10 Verizon Patent And Licensing Inc. Network access security for internet of things (IoT) devices
US9998483B2 (en) 2015-12-22 2018-06-12 Mcafee, Llc Service assurance and security of computing systems using fingerprinting
US20170188242A1 (en) 2015-12-23 2017-06-29 Intel IP Corporation Method and apparatus for IoT device clustering
US10460600B2 (en) 2016-01-11 2019-10-29 NetraDyne, Inc. Driver behavior monitoring
US9849364B2 (en) 2016-02-02 2017-12-26 Bao Tran Smart device
US11130042B2 (en) 2016-02-02 2021-09-28 Bao Tran Smart device
US10348739B2 (en) 2016-02-09 2019-07-09 Ca, Inc. Automated data risk assessment
US10083055B2 (en) 2016-02-12 2018-09-25 At&T Intellectual Property I, L.P. Management of IoT devices in a virtualized network
US11768823B2 (en) 2016-02-17 2023-09-26 Verizon Patent And Licensing Inc. Rules execution system for IoT devices
US10652254B2 (en) 2016-02-23 2020-05-12 Zenedge, Inc. Analyzing web application behavior to detect malicious requests
US10178116B2 (en) 2016-02-29 2019-01-08 Soliton Systems K.K. Automated computer behavioral analysis system and methods
US10459827B1 (en) 2016-03-22 2019-10-29 Electronic Arts Inc. Machine-learning based anomaly detection for heterogenous data sources
US20170279685A1 (en) 2016-03-25 2017-09-28 Cisco Technology, Inc. Adjusting anomaly detection operations based on network resources
US10038700B1 (en) 2016-03-29 2018-07-31 EMC IP Holding Company LLC Establishing trustworthiness of devices in the internet of things (IoT) to control inter-device communication
US10616249B2 (en) 2016-03-31 2020-04-07 Intel Corporation Adaptive internet of things edge device security
US10046228B2 (en) 2016-05-02 2018-08-14 Bao Tran Smart device
US10022613B2 (en) 2016-05-02 2018-07-17 Bao Tran Smart device
US10532268B2 (en) 2016-05-02 2020-01-14 Bao Tran Smart device
KR101879931B1 (ko) 2016-05-10 2018-07-20 한국과학기술원 IoT 서비스 관리를 위한 방법 및 장치
US10250435B2 (en) 2016-05-24 2019-04-02 Dell Products, Lp System and method for intelligent discovery and rescue of devices in an internet-of-things network
US10705894B2 (en) 2016-05-30 2020-07-07 Samsung Electronics Co., Ltd. Electronic device for authenticating application and operating method thereof
US11232465B2 (en) 2016-07-13 2022-01-25 Airship Group, Inc. Churn prediction with machine learning
US10191794B2 (en) 2016-09-28 2019-01-29 Mcafee, Llc Monitoring and analyzing watchdog messages in an internet of things network environment
US10122743B2 (en) 2016-10-24 2018-11-06 Senrio Inc. Methods and systems for detecting anomalous behavior of network-connected embedded devices
US9692784B1 (en) 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US10855715B2 (en) 2016-10-31 2020-12-01 Sumo Logic, Inc. Method for predicting security risks of assets on a computer network
US10511620B2 (en) 2016-10-31 2019-12-17 Armis Security Ltd. Detection of vulnerable devices in wireless networks
US10380348B2 (en) 2016-11-21 2019-08-13 ZingBox, Inc. IoT device risk assessment
US10771487B2 (en) 2016-12-12 2020-09-08 Gryphon Online Safety Inc. Method for protecting IoT devices from intrusions by performing statistical analysis
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
EP3563554B1 (en) 2016-12-29 2020-07-15 Avast Software S.R.O. System and method for detecting unknown iot device types by monitoring their behavior
TWI764971B (zh) * 2016-12-30 2022-05-21 美商英特爾公司 物聯網
US10938926B2 (en) 2016-12-30 2021-03-02 Fortinet, Inc. User and IoT (internet of things) apparatus tracking in a log management system
US11057344B2 (en) 2016-12-30 2021-07-06 Fortinet, Inc. Management of internet of things (IoT) by security fabric
CN108306911B (zh) 2017-01-12 2020-12-29 中移物联网有限公司 一种物联网事件监测方法及设备
US10389753B2 (en) 2017-01-23 2019-08-20 Ntt Innovation Institute, Inc. Security system and method for internet of things infrastructure elements
US20180234302A1 (en) 2017-02-10 2018-08-16 Qualcomm Incorporated Systems and methods for network monitoring
US10855800B2 (en) 2017-02-15 2020-12-01 Dell Products, L.P. Managing device profiles in the Internet-of-Things (IoT)
US10721254B2 (en) 2017-03-02 2020-07-21 Crypteia Networks S.A. Systems and methods for behavioral cluster-based network threat detection
US10127791B2 (en) 2017-03-07 2018-11-13 Verizon Patent And Licensing Inc. Internet of things (IoT) event distribution
CN107135093B (zh) 2017-03-17 2020-05-05 西安电子科技大学 一种基于有限自动机的物联网入侵检测方法及检测系统
US10630728B2 (en) 2017-03-31 2020-04-21 Wipro Limited Systems and methods for minimizing privacy intrusion during internet of things lawful interception
US10552294B2 (en) 2017-03-31 2020-02-04 Commvault Systems, Inc. Management of internet of things devices
US10785249B2 (en) 2017-04-06 2020-09-22 Fortinet, Inc. Predicting the risk associated with a network flow, such as one involving an IoT device, and applying an appropriate level of security inspection based thereon
US10992711B2 (en) 2017-04-13 2021-04-27 At&T Intellectual Property I, L.P. Network aware data driven internet of things service engine
US10887306B2 (en) 2017-05-11 2021-01-05 International Business Machines Corporation Authenticating an unknown device based on relationships with other devices in a group of devices
US10623389B2 (en) 2017-05-11 2020-04-14 International Business Machines Corporation Authenticating a device based on communication patterns in a group of devices
US10878103B2 (en) 2017-06-05 2020-12-29 Karamba Security Ltd. In-memory protection for controller security
US10204219B2 (en) 2017-06-05 2019-02-12 Karamba Security In-memory protection for controller security
US11250343B2 (en) 2017-06-08 2022-02-15 Sap Se Machine learning anomaly detection
US10862911B2 (en) 2017-06-27 2020-12-08 Allot Ltd. System, device, and method of adaptive network protection for managed internet-of-things services
US20190019249A1 (en) 2017-07-12 2019-01-17 Mastercard International Incorporated Methods, Systems, Networks, And Media For Generating Personal Profile Scores Using A Geo-Location Based Model
US11003775B2 (en) 2017-09-11 2021-05-11 Carbon Black, Inc. Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques
US10498750B2 (en) 2017-09-14 2019-12-03 Zscaler, Inc. Systems and methods for security and control of internet of things and zeroconf devices using cloud services
US20190089747A1 (en) 2017-09-19 2019-03-21 Cisco Technology, Inc. Protecting secure session from iot gateways
JP7130361B2 (ja) 2017-09-22 2022-09-05 東芝テック株式会社 制御装置及び制御方法
US11070568B2 (en) 2017-09-27 2021-07-20 Palo Alto Networks, Inc. IoT device management visualization
DE112018004325T5 (de) 2017-09-27 2020-05-14 Johnson Controls Technology Company Systeme und verfahren für die risikoanalyse
US10885393B1 (en) 2017-09-28 2021-01-05 Architecture Technology Corporation Scalable incident-response and forensics toolkit
US10735203B2 (en) 2017-10-09 2020-08-04 Cisco Technology, Inc. Sharing network security threat information using a blockchain network
CN107862468A (zh) 2017-11-23 2018-03-30 深圳市智物联网络有限公司 设备风险识别模型建立的方法及装置
US10229269B1 (en) 2018-02-13 2019-03-12 Malwarebytes Inc. Detecting ransomware based on file comparisons
US11190487B2 (en) * 2018-02-28 2021-11-30 Palo Alto Networks, Inc. Identifying security risks and enforcing policies on encrypted/encoded network communications
US11005839B1 (en) 2018-03-11 2021-05-11 Acceptto Corporation System and method to identify abnormalities to continuously measure transaction risk
US11455641B1 (en) * 2018-03-11 2022-09-27 Secureauth Corporation System and method to identify user and device behavior abnormalities to continuously measure transaction risk
US11528611B2 (en) * 2018-03-14 2022-12-13 Rose Margaret Smith Method and system for IoT code and configuration using smart contracts
CN108650133A (zh) 2018-05-14 2018-10-12 深圳市联软科技股份有限公司 网络风险评估方法及系统
US20190361917A1 (en) 2018-05-25 2019-11-28 Bao Tran Smart device
IL266963B2 (en) * 2018-05-29 2023-08-01 Firstpoint Mobile Guard Ltd A system and method for securing communication and information of the Internet of Things through a controlled cellular network
US10797965B2 (en) 2018-07-30 2020-10-06 Dell Products L.P. Dynamically selecting or creating a policy to throttle a portion of telemetry data
US10979447B2 (en) 2018-08-30 2021-04-13 Ordr Inc. Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network
US10742687B2 (en) 2018-08-30 2020-08-11 Ordr Inc. Determining a device profile and anomalous behavior associated with a device in a network
US10997251B2 (en) 2018-10-15 2021-05-04 Bao Tran Smart device
US10917257B2 (en) 2018-11-15 2021-02-09 International Business Machines Corporation Internet of things enabled device termination
US11299174B2 (en) 2018-11-16 2022-04-12 Kyndryl, Inc. Dual-test operator assessment
US11356440B2 (en) 2018-11-30 2022-06-07 International Business Machines Corporation Automated IoT device registration
US20200177485A1 (en) * 2018-12-04 2020-06-04 Cisco Technology, Inc. Network traffic metrics and trends for internet of things management
US11408871B2 (en) 2018-12-31 2022-08-09 Dish Network L.L.C. Internet-of-things smell sensor devices and services
US10764315B1 (en) 2019-05-08 2020-09-01 Capital One Services, Llc Virtual private cloud flow log event fingerprinting and aggregation
US11520792B2 (en) * 2019-06-29 2022-12-06 Palo Alto Networks, Inc. Distributed cardinality optimization
US11115799B1 (en) * 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification

Also Published As

Publication number Publication date
JP2023524235A (ja) 2023-06-09
EP4158923A4 (en) 2024-06-26
US20210377719A1 (en) 2021-12-02
EP4158923A1 (en) 2023-04-05
US11722875B2 (en) 2023-08-08
CN115486105A (zh) 2022-12-16
US11115799B1 (en) 2021-09-07
JP7418611B2 (ja) 2024-01-19
WO2021247597A1 (en) 2021-12-09

Similar Documents

Publication Publication Date Title
US11722875B2 (en) IoT device discovery and identification
US11496461B2 (en) Gateway management for a zero trust environment
US12028316B2 (en) Automating IOT device identification using statistical payload fingerprints
US20240098062A1 (en) Iot device application workload capture
US20230231860A1 (en) Iot device identification by machine learning with time series behavioral and statistical features
US20220095092A1 (en) Iot security policy on firewall
US11799858B2 (en) Network entity ID AAA
US20230188540A1 (en) Iot adaptive threat prevention
US20230125310A1 (en) Iot device identification with packet flow behavior machine learning model
US20240037231A1 (en) Sample traffic based self-learning malware detection
US20230095870A1 (en) Iot security event correlation
KR20240034858A (ko) 방화벽에서의 iot 보안 정책
US11770361B1 (en) Cobalt strike beacon HTTP C2 heuristic detection
US20240039952A1 (en) Cobalt strike beacon https c2 heuristic detection
US20240039951A1 (en) Probing for cobalt strike teamserver detection
US20230342460A1 (en) Malware detection for documents with deep mutual learning
US20230082289A1 (en) Automated fuzzy hash based signature collecting system for malware detection

Legal Events

Date Code Title Description
E902 Notification of reason for refusal