TW201830921A - 用於網路監測的系統和方法 - Google Patents
用於網路監測的系統和方法 Download PDFInfo
- Publication number
- TW201830921A TW201830921A TW106140471A TW106140471A TW201830921A TW 201830921 A TW201830921 A TW 201830921A TW 106140471 A TW106140471 A TW 106140471A TW 106140471 A TW106140471 A TW 106140471A TW 201830921 A TW201830921 A TW 201830921A
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- event
- machine learning
- event monitoring
- monitoring model
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本案描述了一種方法。該方法包括接收由機器學習引擎產生的事件監測模型。事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類。該方法亦包括基於事件監測模型來監測網路中的事件。機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的。該方法亦包括:基於事件監測模型來決定所監測的事件的網路設備分類。該方法另外包括:將觀察到的事件以及網路設備分類發送給機器學習引擎,以更新事件監測模型。
Description
概括地說,本案內容係關於通訊。更具體地,本案內容係關於用於網路監測的系統和方法。
在最近幾十年來,對計算設備的使用已經變得常見。具體而言,計算技術的發展已經減少了日益複雜以及有用的計算設備的成本。成本減少以及消費者需求已經使得對計算設備的使用激增,從而使得它們在現代社會中幾乎無處不在。隨著計算設備的使用已經擴大,對計算設備的新的以及改進的特徵的需求亦已經增長。更具體而言,經常尋求執行新功能及/或更快速、更高效地或者更可靠地執行功能的計算設備。
網路監測對於確保網路的持續、正確和安全的執行而言是重要的。例如,物聯網路(IoT)或者工業IoT(IIoT)網路是具有來自不同供應商的設備的異構環境。如今,在初始認證之後,不會發生對設備的持續監視。在IoT設備的情況下,對基於可信計算的特徵的使用並不是可行的方案,因為IoT設備可能缺乏功率和處理能力。用於基於機器學習的網路監測的系統和方法可能是有益的。
描述了一種方法。該方法包括接收由機器學習引擎產生的事件監測模型。該事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類。該方法亦包括基於該事件監測模型來監測網路中的事件。機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的。該方法亦包括基於該事件監測模型來決定所監測的事件的網路設備分類。該方法另外包括:將該觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型。
該機器學習引擎可以從複數個網路設備接收所觀察到的事件以及網路設備分類。該機器學習引擎可以基於從該複數個網路設備接收的所觀察到的事件以及該網路設備分類,來學習並產生該事件監測模型。該機器學習引擎可以使用從該複數個網路設備接收的該觀察到的事件以及該網路設備分類,來執行半監督式學習,以產生該事件監測模型。
該機器學習引擎可以學習以及產生用於要被監測的網路設備的子集的該事件監測模型。該機器學習引擎可以跨越一組網路、一組閘道或者網路內的一組節點來應用該事件監測模型。該方法可以包括將不同的機器學習模型應用於網路的不同部分。該事件監測模型可以配置哪些事件被監測以及從所監測的事件中提取哪些機器學習特徵。
該機器學習引擎可以順序地執行多種機器學習演算法,以產生用於一網路設備或者一組網路設備的該事件監測模型。該機器學習引擎可以使用具有不同參數的相同機器學習演算法,來產生用於不同網路設備或者具有不同時間資訊的同一網路設備的不同事件監測模型。
該方法亦可以包括:回應於將所觀察到的事件以及該網路設備分類發送給該機器學習引擎,來接收經更新的事件監測模型。該方法亦可以包括基於該經更新的事件監測模型來監測該網路中的事件。
該方法亦可以包括從該機器學習引擎接收複數個事件監測模型。給定的事件監測模型可以配置對網路設備的特定子集上的事件的監測。該方法亦可以包括基於該複數個事件監測模型來監測網路中的事件。
監測事件可以包括:觀察在節點之間傳送的網路傳輸量或者在節點與閘道之間傳送的網路傳輸量。
監測事件可以包括將網路查詢發送給給定的網路設備。可以觀察到由該給定的網路設備回應於該網路查詢而採取的動作。可以經由將該事件監測模型應用於所觀察到的動作,來決定該給定的網路設備的該網路設備分類。
該方法可以是在從複數個節點接收傳輸量饋給的閘道或者雲端伺服器處實現的。
該方法亦可以包括限制被分類為欺詐或者可疑的網路設備的行為。
亦描述了計算設備。該計算設備包括:處理器、與該處理器進行電子通訊的記憶體、以及在該記憶體中儲存的指令。該等指令可由該處理器執行以用於接收由機器學習引擎產生的事件監測模型。該事件監測模型被配置為基於所觀察到的事件來對網路設備行為進行分類。該等指令亦可執行以用於基於該事件監測模型來監測網路中的事件。機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的。該等指令亦可執行以用於基於該事件監測模型來決定所監測的事件的網路設備分類。該等指令另外可執行以用於:將所觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型。
亦描述了一種儲存電腦可執行代碼的非暫時性有形電腦可讀取媒體。該電腦可執行代碼包括用於使得計算設備接收由機器學習引擎產生的事件監測模型的代碼。該事件監測模型被配置為基於所觀察到的事件來對網路設備行為進行分類。該電腦可執行代碼亦包括:用於使得該計算設備基於該多個事件監測模型來監測網路中的事件的代碼。機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的。該電腦可執行代碼亦包括:用於使得該計算設備基於該事件監測模型來決定所監測的事件的網路設備分類的代碼。該電腦可執行代碼另外包括:用於使得該計算設備將所觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型的代碼。
亦描述了一種裝置。該裝置包括用於接收由機器學習引擎產生的事件監測模型的單元。該事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類。該裝置亦包括用於基於該事件監測模型來監測網路中的事件的單元。機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的。該裝置亦包括用於基於該事件監測模型來決定所監測的事件的網路設備分類的單元。該裝置另外包括:用於將所觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型的單元。
監測對於確保網路的持續、正確的執行而言是重要的。網路監測可以用於不同的用例以及用於不同類型的網路中。例如,不同的用例可以包括安全、家庭自動化以及能量管理。可以受益於網路監測的不同類型的網路中的一些網路包括針對藍芽、ZigBee(紫蜂)、WiFi、CSR網狀等的物聯網路(IoT)網路、工業IoT(IIoT)網路、汽車網路。
IoT網路(亦被稱為網狀網路)提出了對網路監測的特殊挑戰。IoT網路是具有來自不同供應商的設備的異構環境。如今,在初始認證之後,不會發生對設備的持續監視。對基於可信計算的特徵的使用(例如,安全執行環境、輸入/輸出(I/O)、儲存等)不是可行的方案,因為IoT可能缺乏功率和處理能力。這些能力可能增加IoT設備的成本。
另外,在認證之後,新的惡意軟體應用可能注入到網路中。欺詐設備可能在啟動之前在長時段內保持休眠。因此,可以採用對每個網路設備以及網路行為的自訂資料驅動監視和分析來解決該問題。所描述的系統和方法經由觀察欺詐設備在網路中的行為並且使用機器學習來將行為分類為正常、欺詐或者可疑,來提供對欺詐設備的監測和安全性。
所描述的系統和方法學習在特定網路環境中的正常行為。來自該環境的行為資料用於機器學習(ML)系統中,該機器學習系統觀察網路設備(例如,IoT節點、閘道等)的行為,並且將它們分類為「正常」或「欺詐」設備。一些關鍵步驟包括特徵定義,其中IoT設備在網路中的行為是經由對網路行為的監視來提取的。這可以經由觀察網路在閘道處的事件流來實現。另外,可以回應於與使用者、閘道以及其他IoT設備的通訊,來觀察由IoT設備採取的動作。亦可以觀察額外的自訂設備行為(若可獲得的話)。
所描述的系統和方法的益處中的一些益處包括資料驅動的網路監測。因此,這符合各種IoT網路用例的自訂性質。所描述的系統和方法亦經由監視提供持續的安全性。這並不要求底層IoT設備或者網路通訊協定的任何改變。針對IoT網路和應用層模型的大小,這些方案是非常可擴展的。此外,這些系統和方法適用於各種網路,包括IoT以及汽車。
參照各圖來描述各種配置,其中類似的元件符號可以指示功能類似的元素。可以在各種不同配置中佈置和設計如整體描述以及在各圖中示出的系統和方法。因此,下面對如附圖所示的若干配置的更詳細描述並不意欲限制範疇,而僅僅是典型實例。
圖1是示出網狀網路106配置的方塊圖。網狀網路106可以包括多個節點108。節點108可以被稱為物聯網路(IoT)設備、IoT節點或者網狀節點,這取決於在其下面的技術。網狀網路106亦可以被稱為IoT網路。網狀網路106的實例係包括CSR網狀網路以及ZigBee網路。通常,這些節點108是被配置為一起通訊以形成網路106的設備。
節點108可以是有線或者無線通訊設備。無線通訊設備可以使用一或多個通訊技術或者協定。例如,一種通訊技術可以用於行動無線系統(MWS)(例如,蜂巢)通訊,而另一種通訊技術可以用於無線連接(WCN)通訊。MWS可以指較大的無線網路(例如,無線廣域網路(WWAN)、蜂巢式電話網路、長期進化(LTE)網路、行動通訊全球系統(GSM)網路、分碼多工存取(CDMA)網路、CDMA2000網路、寬頻CDMA(W-CDMA)網路、通用行動電信系統(UMTS)網路、全球互通微波存取性(WiMAX)網路等)。WCN可以指相對較小的無線網路(例如,無線區域網路(WLAN)、無線個人區域網路(WPAN)、IEEE 802.11(Wi-Fi)網路、藍芽(BT)網路、IEEE 802.15.4(例如,ZigBee)網路、無線通用序列匯流排(USB)網路等)。在一種方法中,網狀網路106可以使用藍芽作為底層無線技術在設備之間進行通訊。
節點108亦可以被稱為無線設備、行動設備、行動站、用戶站、客戶端、客戶端站、使用者設備(UE)、遠端站、存取終端、行動終端、終端、使用者終端、用戶單元等。節點108的實例係包括膝上型電腦或者桌上型電腦、蜂巢式電話、智慧型電話、無線數據機、電子閱讀器、平板設備、遊戲系統、鍵盤、小鍵盤、電腦滑鼠、遠端控制器、耳機、溫控器、煙霧探測器、感測器等。
可以添加閘道104,以提供對網狀網路106的全面覆蓋。在本實例中,兩個閘道104a-b提供對第一網狀網路106a中的節點108a-e的覆蓋。另一閘道104c提供對第二網狀網路106b中的節點108f-h的覆蓋。後端伺服器102可以提供設備配置、證書以及策略。
在一種網路拓撲中,節點108本身可以直接連接到雲端(亦即,後端伺服器102)。例如,行動設備可以是具有WiFi連接的節點108,並且可以與後端伺服器102直接連接。
在另一網路拓撲中,存在一大類IoT設備作為受限設備。例如,節點108可以具有有限的微控制器以及記憶體。這些節點108亦可以是成本較低的,但是它們也是不太安全。在該網路拓撲中,在後端伺服器102與網狀節點108之間需要閘道104代理。
安全性對於確保網狀網路106的連續、正確的執行而言是重要的。網狀網路106是可以包括來自不同供應商的設備的多樣性環境中。在初始認證之後,可能不會發生對設備的持續監視。基於可信計算的安全性(例如,安全執行環境、I/O、儲存等)不是可行的方案,因為IoT節點108可能缺少功率和處理能力。可信計算特徵的引入增加了IoT設備的成本,並且在工業IoT(IIoT)設置中是昂貴的。
在對網狀網路106的安全性挑戰的實例中,節點108可能是被駭客攻擊的相機。網狀網路106的前提是在單機(standalone)的基礎上執行。節點108可能在遠端位置處的野外。安全性是關鍵要素。由於網狀網路106通常是由來自不同供應商的設備組成的,所以它們可能不都是以相同方式實現的。節點108可能不是都安全的。例如,一些供應商可能採取捷徑。當消費者將這些設備放置在他們的房間中或者企業中時,或者在這些節點108被部署在野外的智慧城市的情況下,安全性成為重要問題。
在基於計算的安全性方法中,安全性可以考慮半連接晶片,在半連接晶片中,晶片的能力有潛在的安全性。例如,一些基於計算的安全性考慮是節點108是否具有安全儲存、安全執行環境、安全I/O以及安全啟動(boot)程序。這些是可以由晶片提供的特徵。但是,預期這些特徵由應用用來使節點108變堅固並且防止駭客存取節點108本身。一個問題是這些晶片中的一些晶片並不具有這些特徵。它們與其他晶片相比更容易受到駭客攻擊。即使這些特徵在晶片上是可獲得的,但是可能並沒有被使用。因此,在網狀網路106中存在其安全性是可能未知的大量設備。
此外,可能在認證之後將新的惡意軟體應用注入到網狀網路106中。由於網路配置頻繁地改變,因此傳統的網路監測方案將會失敗。此外,欺詐設備可能在啟動之前在長時段內保持休眠。因此,重要挑戰是經由觀察設備在網路中的行為來提供對付欺詐IoT設備(例如,網狀節點108)的安全性。
在許多情況中,欺詐設備在一段時間內保持休眠,並且隨後稍後出現,並且表現出惡意行為。當首先部署網路106並且稍後替換掉節點108時,配置本身可能非常頻繁地改變。替換可能不是如最初在網路106中部署的那些一樣安全。所有這些都是安全性挑戰中的因素。
網狀網路106的另一用例包括家庭自動化。然而,家庭自動化環境中的節點108可以是自動化的。然而,對節點108進行程式設計對於人類使用者來說可能是繁瑣的。
網狀網路106的另一用例包括能量管理。例如,節點108可能不必要地消耗功率。因此,經由使節點108自動地進入睡眠模式,可以獲得益處。此外,為了維持系統有效,可以經由本文描述的網路監測來辨識以及校正沒有正確執行的節點108。
圖2是示出被配置用於網路監測的系統200的方塊圖。系統200可以包括傳輸量監測器214以及機器學習引擎210。
如前述,網路監測對於網路106的持續、正確執行是重要的。此外,網狀網路106提供額外的挑戰。本文描述的系統和方法提供對一或多個網路106的監測。
傳輸量監測器214可以被配置為從一或多個網路設備220接收網路傳輸量222。在一種實現中,網路設備220可以是網狀網路106的一部分。例如,網路設備220可以是CSR網狀網路中的節點108。在一種方法中,傳輸量監測器214可以在網路106的閘道104中實現。在另一種方法中,傳輸量監測器214可以在後端伺服器102中實現。例如,傳輸量監測器214可以經由網際網路從一或多個網路設備220接收網路傳輸量222。在這種方法中,網路設備220可以包括節點108、閘道104以及其他設備(例如,路由器、域伺服器等)。
機器學習引擎210可以在後端伺服器102中實現。例如,可以將機器學習引擎210包括在託管在後端伺服器120上的基於機器學習的事件分析器服務中。在一種實現中,機器學習引擎210可以是基於雲端的。機器學習引擎210可以被配置為與一個傳輸量監測器214或者來自不同網路106的複數個傳輸量監測器214進行通訊。
所描述的系統和方法提供了基於資料驅動行為的機器學習(ML)方案,其觀察網路設備220(例如,IoT設備)的行為,並且將它們分類為正常設備或欺詐設備。這種網路監測包括特徵提取。一些關鍵特徵提取步驟可以包括經由監視網路行為,來提取在網路106中的網路設備220的行為。可以在閘道104或者後端伺服器102處觀察網路106的事件流。例如,事件流可以包括節點108與閘道104之間傳送的封包。亦可以經由觀察由節點108回應於與使用者、閘道104和其他網路設備(例如,其他節點108、路由器等)的通訊而採取的動作,來提取網路的行為。可以觀察額外的設備動作(若可獲得的話)。
這些系統和方法是依據CSR網狀網路而描述的。例如,這些系統和方法提供了特徵向量(例如,觀察事件),其對於CSR網狀網路中的基於行為的ML安全性的效能而言是重要的。然而,應當注意的是,本文描述的系統和方法可以應用於其他類型的網路(例如,針對藍芽、ZigBee、WiFi等的IoT網路、IIoT網路、汽車)。
傳輸量監測器214和機器學習引擎210可以用於監測網路106。為了確保安全網路106,重要的是知道網路設備220在其生命週期中的任何時刻是安全的。例如,網路設備220最初可能看起來是安全的,但是其可能是並不是真正安全的欺詐設備。完整的網路監測方法並不是簡單地認證網路設備220,並且隨後忘記它。相反,傳輸量監測器214和機器學習引擎210可以經由觀察網路傳輸量222,來分析來自網路設備220的資料。因此,傳輸量監測器214以及機器學習引擎210可以日復一日地觀察網路106,以決定網路106是否正在被某個欺詐設備所危害。
系統和方法描述了資料驅動方法。分析網路設備220的行為。隨後,網路設備220可以被分類為正常、欺詐或者可疑的。該程序涉及機器學習,以適於自訂用例。例如,在一個系統中可能是異常行為的行為在另一系統中可能不是異常的。因此,網路監測系統220必須學習網路設備220的正常行為作為參考基準,隨後辨識來自網路設備220的不符合該標準的任何行為。若網路設備220被分類為欺詐或者可疑的,則網路設備220可能經受進一步調查。
傳輸量監測器214可以包括接收網路傳輸量222的事件觀察器216。事件224是從網路傳輸量222中獲得的資料。事件觀察器216可以被配置為觀察某個網路行為。例如,事件觀察器216可以觀察在節點108與閘道104之間傳送的封包。事件觀察器216亦可以觀察由節點108回應於與使用者、閘道104和其他節點108而採取的動作。在一種實現中,傳輸量監測器214可以查詢網路設備220,以獲得關於網路設備220的標識和行為的資訊。
對觀察的事件224的選擇對於系統效能來說是關鍵的。所觀察的事件224可以包括網路設備220與閘道104之間的通訊。結合圖11來描述不同的應用層模型。所觀察的事件224亦可以包括一個網路設備220與另一網路設備220之間的通訊。例如,IoT設備可以關閉關鍵的網路應用(例如,安全相機、前門鎖等)。
所觀察的事件224亦可以包括網路設備220的動作。例如,閘道104可以向節點108發出命令。事件觀察器216可以注意節點108何時拒絕確認命令。另外,使用者可以將命令發送給節點108,並且事件觀察器216可以觀察回應。
所觀察的事件224亦可以包括網路設備220本身採取的動作。例如,事件觀察器216可以觀察用於更新的閘道104的週期性連接或者到伺服器(例如,在閘道或者雲端上)的連接。事件觀察器216亦可以觀察嘗試連接到未知伺服器的網路設備220。
在傳輸量監測器214被包括在閘道104中的實現中,事件觀察器216可以觀察閘道104所屬的網路106中的通訊。在節點108與閘道104之間發生的一般通訊在空中發生。因此,若閘道104是網路106的一部分,則傳輸量監測器214可以僅觀察網路傳輸量222,並且這對網路設備220不具有任何效能影響。換言之,網路設備220可以執行正常操作,而傳輸量監測器214收集資料。例如,傳輸量監測器214可以觀察封包何時被發送以及誰的封包被發送(亦即,哪個是源設備)。
所觀察的事件224亦可以包括側通道資訊。例如,閘道104能夠與從其上部署該閘道的設備可獲得的資訊的其他源相整合。除了可以從網狀網路106觀察到的內容,這些亦提供額外的輸入。例如,部署在WiFi路由器中的安全閘道104可以使用來自路由器的資訊,以向事件監測器218通知經由Wi-Fi進行連接的設備認證請求。這可以經由路由器上的API(作為側通道)來實現。這些請求的失敗次數可以用作用於偵測攻擊的額外特徵。
除了被動觀察之外,傳輸量監測器214可以查詢網路設備220,以獲得額外的資訊。查詢可能對網路設備220的效能有影響。若查詢被執行太多次,可能危害網路設備220效能。因此,傳輸量監測器214可以排程對網路設備220的查詢。所觀察的事件224可以包括從網路設備220本身返回的回應,或者網路設備220是否拒絕對查詢進行回應。
事件觀察器216可以將觀察到的事件224發送給機器學習引擎210。例如,事件觀察器216可以將原始網路傳輸量222饋給(feed)發送給機器學習引擎210。在另一種方法中,事件觀察器216可以將網路傳輸量222的子集發送給機器學習引擎210。
特徵提取器217可以從所觀察到的事件224中提取機器學習特徵。機器學習特徵是所觀察到的事件224的組合。機器學習特徵亦可以被稱為特徵或者特徵向量。在一個實例中,事件觀察器216可以觀察在深夜某物正在重複地存取特定的網路設備220。所有這些事件的組合可以形成可疑的機器學習特徵。任何一個數據點本身可能未必是可疑的,但是這些動作的組合形成可能可疑的模式。結合圖11描述了特徵提取器217的實例。
針對網路監測,重點考慮的是速度和效能。當評估所觀察到的事件224時,必須以高輸送量來評估它們,因為每個事件必須被組織為機器學習特徵的一部分。在基於行為的安全性的情況下,傳輸量監測器214無法花費時間來執行if-then(若-則)規則。相反,傳輸量監測器214經由從所觀察到的事件224中提取機器學習特徵並且對照由機器學習引擎210提供的事件監測模型212來評估機器學習特徵,從而實現高輸送量。這確保不危害效能。
被提取的機器學習特徵的類型可以是可配置的。傳輸量監測器214可以針對不同類型的網路106收集不同的資料。特徵提取器217可以根據網路106的類型以及用例(例如,安全性、家庭自動化、能量管理等),來建立不同的機器學習特徵。在一個實例中,傳輸量監測器214可以被配置為監測用於安全性用例的CSR網狀網路。
機器學習引擎210可以學習和產生事件監測模型212。機器學習引擎210可以使用半監督式學習、非監督式學習以及類似的技術來產生事件監測模型212。這可以是連續的程序。例如,機器學習引擎210可以使用機器學習訓練集合來學習網路106的正常行為。隨後機器學習引擎210可以產生事件監測模型212。
在一種實現中,機器學習引擎210(亦即,用於產生事件監測模型212以對網路設備220進行分類的後端演算法)可以使用決策樹或者具有提升的決策樹。例如,機器學習引擎210可以使用自我調整提升(AdaBoost)、梯度提升或者具有剪枝的提升。替代地,機器學習引擎210可以使用k均值聚類來產生事件監測模型212。機器學習引擎210亦可以使用一或多個異常偵測測試(例如,Crubb測試、3-sigma測試、絕對中位差(MAD)測試等)。
在一種實現中,機器學習引擎210學習並且產生用於要被監測的網路設備220的子集的事件監測模型212。結合圖8-10來描述不同的機器學習模型配置。
機器學習引擎210可以被配置為持續地從由一或多個傳輸量監測器214提供的資訊中學習。因此,傳輸量監測器214可以觀察在網路106上產生的資料,並且將所觀察到的事件224提供給機器學習引擎210。隨後,機器學習引擎210可以更新雲端上的異常的事件監測模型212。隨後,經更新的事件監測模型212被向下推送到傳輸量監測器214(例如,閘道104)。結合圖6描述了機器學習引擎210如何產生事件監測模型212的例子。事件監測模型212可以配置哪些事件被傳輸量監測器214監測以及從所觀察到的事件224中提取的特徵。
在從機器學習引擎210接收到事件監測模型212時,傳輸量監測器214可以基於事件監測模型212,將事件監測器218配置為監測網路106中的事件。事件監測器218可以從特徵提取器217接收從所觀察到的事件224中提取的機器學習特徵。事件監測器218可以將機器學習特徵應用於事件監測模型212。
事件監測器218可以基於事件監測模型212來決定所觀察到的事件224的網路設備分類226。使用所配置的事件監測模型212,事件監測器218可以將網路設備220的行為分類為正常、欺詐或者可疑的。例如,事件監測器218可以將機器學習特徵應用於事件監測模型212,以辨識正常行為或者欺詐行為。如本文中所使用的,正常行為是在可接受參數內的行為。欺詐行為是在可接受參數之外的行為。例如,欺詐行為可以是已知的惡意行為。欺詐行為還可以是已知落在由網路設備220表現出的標準操作之外的行為。若事件監測模型212無法決定正常或者欺詐行為,則那些所觀察到的事件224可以被視為可疑的,並且亦可以被進一步分析。應當注意的是,可以在閘道104處以及在基於雲端的後端伺服器102處完成對網路設備220行為的分析。
傳輸量監測器214可以將所觀察到的事件224以及網路設備分類226發送給機器學習引擎210。機器學習引擎210隨後可以以半監督式方式來更新所觀察到的事件224上的標籤。機器學習引擎210可以使用由傳輸量監測器214提供的這種資訊來更新事件監測模型212。
機器學習引擎210可以將經更新的事件監測模型212發送給一或多個傳輸量監測器214。在接收到經更新的事件監測模型212時,事件監測器218可以基於經更新的事件監測模型212來監測網路106中的事件。以這種方式,網路監測可以持續地適應不斷改變的狀況。此外,機器學習引擎210可以持續學習網路設備220的行為,以改進事件監測模型212。
裝置管理員228可以對事件監測器218的分類進行回應。例如,若事件監測器218偵測到欺詐或者可疑行為,則事件監測器218可以發出警報。裝置管理員228可以限制欺詐或者可疑網路設備220的行為。例如,裝置管理員228可以從網路106中移除欺詐網路設備220,或者在某種程度上禁用欺詐網路設備220。裝置管理員228亦可以將文字簡訊(例如,SMS)或者電子郵件警報發送給管理員。
在一種實現中,機器學習引擎210可以從複數個網路設備220或者傳輸量監測器214接收所觀察到的事件224以及網路設備分類。應當注意的是,機器學習引擎210可以不產生一個包羅萬象的通用事件監測模型212。機器學習引擎210可以觀察在不同場景以及不同網路106中的網路傳輸量222。機器學習引擎210可以使用機器學習演算法來產生被提供給一或多個傳輸量監測器214的一系列事件監測模型212。
機器學習引擎210可以產生用於不同用例的不同事件監測模型212。例如,機器學習引擎210可以產生用於在一種特定形式的網路106中的拒絕的服務用例的事件監測模型212。機器學習引擎210可以產生用於家用網路106的事件監測模型212或者用於工業網路106的其他事件監測模型212。機器學習引擎210亦可以產生用於汽車網路106的事件監測模型212。
另外,機器學習引擎210可以產生用於不同網路設備220的不同事件監測模型212。每個網路設備220可以具有在傳輸量監測器214上執行的其自己的事件監測模型212。因此,對於整個網路106來說,可能不是僅存在一個事件監測模型212。相反,傳輸量監測器214可以將一個事件監測模型212應用於一個網路設備220,而將另一事件監測模型212應用於一個不同的網路設備220。
亦應當注意的是,事件監測模型212可以不限於網狀網路106中的節點108。相反,事件監測模型212可以應用於閘道104。例如,在存在多個閘道104的工業情況下,學習程序可以應用於機器學習引擎210,以偵測多個閘道104的行為。機器學習引擎210可以觀察來自節點108和閘道104的所有網路傳輸量222,以便學習整個網路106的行為。因此,事件監測模型212可以用於整個網路106。
機器學習引擎210可以基於針對其而學習和產生事件監測模型212的用例,從而選擇事件監測模型212來提供給一個給定的傳輸量監測器214。在安全性用例中,在對安全性相關特徵的觀察一段時間之後,學習事件監測模型212。隨後偵測背離該模式的異常。在家庭自動化用例中,在一段時間內觀察對網路設備220的使用,隨後可以提供對此類使用的自動化。在能量管理用例中,可以觀察對網路設備220的使用,並且可以使網路設備220自動地進入睡眠模式。除了此類實例之外,亦可以實現其他用例。
機器學習引擎210可以執行從複數個網路傳輸量源的半監督式學習。因此,機器學習引擎210可以接收不同種類的觀察到的事件224。機器學習引擎210可以將網路106的行為作為整體來學習,而不僅是網路106中由給定閘道104觀察到的一部分。隨後,機器學習引擎210可以將事件監測模型212推送給一個給定的網路設備220或者一組網路設備220(例如,兩個閘道104以及多個節點108)。
由於機器學習引擎210可以基於來自多個傳輸量監測器214的網路傳輸量222來產生事件監測模型212,所以給定的傳輸量監測器214可以接收擷取超出任何單個傳輸量監測器214能夠觀察到的內容之外的網路行為的事件監測模型212。在接收到事件監測模型212時,傳輸量監測器214可以針對該先前學習的行為進行監測。
在另一種實現中,傳輸量監測器214可以在雲端中(例如,在後端伺服器102上)。在這種實現中,傳輸量監測器214可以進行進一步分析。傳輸量監測器214可以跨越多個閘道104來監測行為。因此,傳輸量監測器214可以觀察到一個特定網路106的位置被安全攻擊作為目標,或者該位置可能是郵遞區號或者是基於網路傳輸量222所來自的州。
所描述的系統和方法的一些重要態樣包括用於自組織網狀網路(對PHY和MAC協定的不可知)的持續監視框架。對於支援、更新以及應用前端監視設備(如,閘道104)中的多個機器學習模型和統計測試而言,提供了靈活性。描述了可以監測並提取用於提供網狀網路(例如,CSR網狀、藍芽特殊興趣小組(SIG)網狀以及ZigBee)中的持續的安全性的關鍵的觀察點和特徵。
所描述的系統和方法提供了資料驅動方案。這適合各種網路106用例(尤其是網狀網路)的自訂性質。所描述的系統和方法亦經由監視來提供持續的安全性,而不要求底層網設備220(例如,IoT設備)或者網路通訊協定的任何改變。
關於IoT網路和應用層模型的大小而言,所描述的系統和方法是非常可擴展的。這些方案適用於各種網路,包括IoT以及汽車網路。由於該方案是資料驅動的並且經由分析節點行為而得到正常、欺詐或者可疑分類,所以無需在實體上檢查節點、其程式或者資料記憶體來辨識威脅。這與傳統惡意軟體偵測相反,傳統惡意軟體偵測需要對欺詐程式碼(通常具有二進位形式)的記憶體表示進行檢查。
圖3是示出用於網路監測的方法300的流程圖。方法300可以由被配置為接收網路傳輸量222的傳輸量監測器214來實現。在一種實現中,可以將傳輸量監測器214包括在閘道104中。在另一種實現中,可以將傳輸量監測器214包括在從複數個節點108接收傳輸量饋給的後端伺服器102中。
傳輸量監測器214可以接收302由機器學習引擎210產生的事件監測模型212。事件監測模型212可以被配置為基於觀察到的事件224來對網路設備220行為進行分類。例如,機器學習引擎210可以應用機器學習演算法來進行分類。機器學習演算法的實例係包括決策樹、具有提升的決策樹(例如,AdaBoost、梯度提升、具有剪枝的提升)以及K均值。
傳輸量監測器214可以基於事件監測模型212來監測304網路106中的事件224。例如,傳輸量監測器214可以觀察在由一或多個網路設備220產生的網路傳輸量222中的事件224。傳輸量監測器214可以觀察在節點108之間傳送的網路傳輸量222或者在節點108與閘道104之間傳送的網路傳輸量222。傳輸量監測器214亦可以監測304由節點108回應於網路查詢而採取的動作。事件監測模型212可以配置哪些事件224被監測以及從所監測的事件224中提取的特徵。傳輸量監測器214可以從網路傳輸量222中提取機器學習特徵。
在一種實現中,傳輸量監測器214可以從機器學習引擎210接收302複數個事件監測模型212。給定的事件監測模型212可以配置對網路設備220的某個子集上的事件224的監測304。
傳輸量監測器214可以基於事件監測模型212來決定306所監測的事件224的網路設備分類226。例如,傳輸量監測器214可以將所提取的機器學習特徵應用於事件監測模型212,以決定給定的網路設備220是否具有正常(例如,良好)、欺詐(例如,壞)或者可疑的行為。
傳輸量監測器214可以限制被分類為欺詐或者可疑的網路設備220的行為。例如,傳輸量監測器214可以從網路106中移除欺詐設備。
傳輸量監測器214可以將所觀察到的事件224以及網路設備分類226發送308給機器學習引擎210,以更新事件監測模型212。機器學習引擎210可以從複數個網路設備220接收所觀察到的事件224以及網路設備分類226。例如,機器學習引擎210可以從多個傳輸量監測器214或者直接從網路設備220接收所觀察到的事件224以及網路設備分類226。
機器學習引擎210可以基於從複數個網路設備220以及傳輸量監測器214接收到的所觀察到的事件224以及網路設備分類226,來學習和產生發送給給定的傳輸量監測器214的事件監測模型212。機器學習引擎210可以使用從複數個網路設備220以及傳輸量監測器214接收的所觀察到的事件224以及網路設備分類226,來執行半監督式學習,以產生事件監測模型212。
在一種實現中,機器學習引擎210可以學習以及產生用於要被監測的網路設備220的子集的事件監測模型212。例如,機器學習引擎210可以跨越一組網路106、一組閘道104或者網路106內的一組節點108,來應用事件監測模型212。因此,傳輸量監測器214可以將不同的機器學習模型212應用於網路106的不同部分。
傳輸量監測器214可以回應於將所觀察到的事件224以及網路設備分類226發送308給機器學習引擎210,來接收經更新的事件監測模型212。傳輸量監測器214可以基於經更新的事件監測模型212來監測304網路106中的事件224。
圖4是示出用於網路監測的系統400的配置的方塊圖。系統400可以根據結合圖2所描述的系統200來實現。圖4提供高層系統概述。圖示閘道到雲端傳輸量監測器架構的例子。儘管將CSR網狀網路406示為一個實例,但是這種方法適用於其他類型的網路,例如,ZigBee、SIG網狀、Wi-Fi、藍芽、藍芽低能(BLE)等。
傳輸量監測器414可以與基於機器學習的事件分析器服務430進行通訊。可以將事件分析器服務430包括在IoT伺服器或者雲端伺服器402中。事件分析器服務430可以包括機器學習引擎410。
事件分析器服務430可以將事件監測模型412發送給傳輸量監測器414的雲端事件通訊管理器432。如結合圖2所述,可以學習並產生事件監測模型412。事件分析器服務430亦可以排程用於傳輸量監測器414的網路查詢來實現。
雲端事件通訊管理器432可以將模型更新434提供給模型管理器415。模型更新434可以包括從事件分析器服務430接收的一或多個事件監測模型412。模型管理器415可以將模型更新434儲存在模型資料庫436中。模型管理器415可以在事件監測器418處更新事件監測模型412。
事件監測模型412可以是自包含模組。事件監測模型412可以包含用於監測傳輸量的規則。事件監測模型412亦可以包含根據規則來監測傳輸量所需要的代碼。
模型管理器415可以使用經更新的事件監測模型412來監測從網狀網路406接收的原始傳輸量饋給444a。在該實例中,網狀網路406包括多個IoT端點408a-c以及行動設備408d,然而可以實現其他配置。此外,在該實例子中,網狀網路406是CSR網狀網路。
傳輸量監測器414可以包括被配置用於特定類型的網狀網路406的一或多個轉換器。例如,藍芽網狀轉換器440a接收原始傳輸量饋給444a。傳輸量監測器414亦可以包括ZigBee轉換器442,其被配置為轉換來自ZigBee網路(未圖示)的傳輸量饋給。
事件觀察器416可以從藍芽網狀轉換器440a接收原始傳輸量饋給444a。事件觀察器416可以將原始傳輸量饋給444b提供給雲端事件通訊管理器432。事件觀察器416亦可以將原始傳輸量饋給444c提供給事件監測器418。
事件管理器418可以從原始傳輸量饋給444c提取特徵(例如,機器學習特徵向量)。事件管理器418可以判斷IoT端點408a-c及/或行動設備408d中的一項或多項正在表現出正常、欺詐還是可疑行為。例如,事件監測器418可以將所提取的特徵應用於一或多個事件監測模型412。若事件監測器418偵測到欺詐或者可疑行為,則事件監測器418可以將異常警報446發送給警報管理器447。事件監測器418亦可以向裝置管理員428通知從網狀網路406中移除455欺詐設備408。
警報管理器447可以將異常警報446轉發給雲端事件通訊管理器432。警報管理器447亦可以將警報發送給管理者(例如,經由SMS或者電子郵件訊息)。
雲端事件通訊管理器432可以將回饋信號448發送給事件分析器伺服器430。回饋信號448可以包括原始傳輸量饋給444b以及異常警報446。機器學習引擎410可以使用原始傳輸量饋給444b以及異常警報446來執行半監督式學習,以更新事件監測模型412。
雲端事件通訊管理器432可以將從事件分析器服務430接收的查詢排程450發送給設備查詢管理器452。設備查詢管理器452(亦被稱為查詢管理器或者DQM)可以根據定義的查詢排程450來執行針對網狀網路406中的設備408中的一或多個設備的查詢454。例如,設備查詢管理器452可以將查詢發送給藍芽網狀轉換器440b以產生網路查詢454。網路查詢454可以用於獲得關於設備408的資訊(例如,型號)。事件監測器418可以接收查詢回應,以及經由將事件監測模型412應用於所觀察到的動作來分析其為正常、欺詐或者可疑行為。
因此,除了對去往/來自網路元件(亦即,節點、閘道等)的所有訊息被動地記錄日誌之外,監測基礎設施可以包括設備查詢管理器452,其將活動地將特定查詢訊息454發送給節點108和閘道104,以驗證它們發送回具有正確格式以及預期內容的回應訊息。設備查詢管理器452將定期查詢網路元件(及/或根據需要,當管理使用者如此指示時),以驗證它們持續的健康且正確的執行。
圖5是示出用於網路監測的方法500的另一配置的流程圖。方法500可以由被配置為從網狀網路406接收原始傳輸量饋給的傳輸量監測器414來實現。
傳輸量監測器414可以從事件監測服務430接收事件監測模型412以及網路查詢排程450。事件監測服務430可以由後端伺服器102來實現。在一種方法中,後端伺服器102可以是雲端伺服器或者IoT伺服器402。如結合圖2所述,可以由機器學習引擎410來產生事件監測模型412。
傳輸量監測器414可以利用所接收的事件監測模型412來更新504模型資料庫436。例如,模型資料庫436可以儲存多個事件監測模型412。不同的事件監測模型412可以用於不同的用例場景(例如,安全性、家庭自動化、汽車等)。不同的事件監測模型412亦可以用於網狀網路406中的不同設備408。傳輸量監測器414亦可以利用所接收的事件監測模型412來更新506事件監測器418。例如,模型管理器415可以將所接收的事件監測模型412提供給事件監測器418,以實現針對給定用例的監測。
傳輸量監測器414可以接收508原始網路傳輸量饋給444。例如,傳輸量監測器414可以觀察節點與閘道之間(例如,在節點108之間之間或者在節點108與閘道104之間)的通訊(例如,封包)。
傳輸量監測器414可以基於事件監測模組412來觀察510原始網路傳輸量饋給444中的事件。例如,事件監測模型412可以指示應當從原始網路傳輸量饋給444中記錄什麼資訊以用於進一步監測。所觀察到的事件224可以包括從原始網路傳輸量饋給444中獲得的資料。
傳輸量監測器414可以基於事件監測模型412來監測512所觀察到的事件224。可以從如事件監測模型412指示的原始網路傳輸量饋給444中提取機器學習特徵。傳輸量監測器414隨後可以應用事件監測模型412,以將網路行為分類為正常、欺詐或者可疑的。例如,傳輸量監測器414可以將決策樹及/或異常偵測測試(例如,Grubb測試、3-sigma測試、MAD測試)應用於所提取的特徵。
傳輸量監測器414可以將原始網路傳輸量饋給444以及網路設備分類226發送514給事件監測服務430。機器學習引擎410可以基於該回饋來更新事件監測模型412。
傳輸量監測器414可以監測516回應於排程的網路查詢454的事件224。例如,傳輸量監測器414可以根據從事件監測服務430接收502的網路查詢排程,來將命令發送給網狀網路406中的設備408。傳輸量監測器414可以監測516所查詢的設備408如何對網路查詢454進行回應。傳輸量監測器414可以將事件監測模型412應用於該監測的回應(或者缺少回應),以決定正常、欺詐或者可疑行為。
圖6是示出頂層網路監測框架600的方塊圖。框架600包括前端614和後端602。可以在閘道104、後端伺服器102或者基於雲端的伺服器上實現前端614。可以在後端伺服器102或者基於雲端的伺服器上實現後端602。
後端602可以學習以及產生一或多個事件監測模型612。機器學習引擎610可以接收具有相關聯的已知標籤668的複數個訓練事件656。訓練事件656可以包括被分類為正常和欺詐的行為。標籤668指示該分類。可以以半監督式方式來標記訓練事件656。
特徵提取器617a可以從訓練事件656中提取機器學習特徵向量670。結合圖11描述了特徵提取器617a的實例。特徵提取器617a可以將特徵向量670提供給機器學習演算法672。
機器學習演算法672可以基於所提取的特徵向量670以及對所提取的特徵670的統計測試,來產生一或多個事件監測模型612。在一種實現中,多個機器學習演算法672可以順序地執行,以產生用於一網路設備220或者一組網路設備220的事件監測模型612。在另一種實現中,可以針對不同的網路設備220或者具有不同事件資訊的相同網路設備220,使用相同的機器學習演算法672(但是具有不同參數),來產生不同的機器學習事件監測模型612。
後端602可以將事件監測模型612發送給前端614的分析器618。機器學習演算法672可以包括決策樹(例如,AdaBoost、梯度提升、具有剪枝的提升)、K均值、及/或異常偵測測試(例如,Grubb測試、3-sigma測試、MAD測試)。
前端614可以包括一或多個觀察器658。觀察器658可以從網路106(例如,針對藍芽、ZigBee和WiFi的IoT、IIoT、汽車)中的一或多個網路設備220接收網路傳輸量222。觀察器658可以觀察網路傳輸量222中的新事件624。這些觀察到的事件624具有未知分類。觀察器658可以將所觀察到的事件624發送給後端602。觀察器658亦可以將所觀察到的事件624發送給行為提取器662。
行為提取器662可以包括特徵提取器617b。特徵提取器617b可以從所觀察到的事件624中提取機器學習特徵向量666。應當注意的是,前端614的特徵提取器617b與後端602的特徵提取器617a相同。因此,由前端614從所觀察到的事件624中提取的特徵向量666將與由後端602從相同的觀察到的事件624中提取的特徵向量670相同。將特徵向量666提供給分析器618。
分析器618可以應用事件監測模型612,以對所觀察到的事件624的行為進行分類。例如,所觀察到的事件624可以被分類為正常(亦即,良好)、欺詐(亦即,壞)或者可疑的。分析器618可以將網路設備分類626輸出為預測標籤。前端614可以將網路設備分類626提供給後端602,以更新事件監測模型612。這種經更新的學習可以以半監督式方式來完成。
致動器628可以接收網路設備分類626。致動器628可以基於網路設備分類626來採取行動。例如,致動器628可以移除欺詐設備(例如,欺詐節點108)或者將警報發送給管理者。
圖7是示出物聯網路(IoT)分級網路拓撲700的實例。後端/雲端伺服器702可以與多個網路706a-b進行通訊。第一網路706a可以包括與一或多個IoT節點708a-d進行通訊的多個閘道(GW)704a-b。第二網路706b可以包括與一或多個IoT節點708e-h進行通訊的多個閘道704c-d。
可以將機器學習事件監測模型212應用於IoT網路拓撲700的子集。例如,可以跨越網路706、閘道704、IoT節點708或者其某種組合來應用事件監測模型212。事件監測模型212可以基於用例域,其中不同或者多個事件監測模型212可以應用於所選擇的網路拓撲700的不同部分。該方法提供了針對整個網路706a-b以及設備級別的基於行為的安全性。結合圖8-10來描述事件監測模型212的不同配置。
圖8是示出第一事件監測模型配置801的實例。後端/雲端伺服器802可以與多個網路806a-b進行通訊。第一網路806a可以包括與一或多個IoT節點808a-d進行通訊的多個閘道804a-b。第二網路806b可以包括與一或多個IoT節點808e-h進行通訊的多個閘道804c-d。
可以跨越IoT網路拓撲的不同子集來學習以及單獨地應用事件監測模型812。可以跨越不同的網路組804a-b來應用第一事件監測模型812a。該第一事件監測模型812a可以針對網路組之間。
可以跨越不同的閘道組804a-d來應用第二事件監測模型812b。該第二事件監測模型812b可以針對閘道組之間。
可以跨越不同的IoT節點組808a-h來應用第三事件監測模型812c。該第三事件監測模型812c可以針對IoT組之間。
圖9是示出第二事件監測模型配置901的實例。後端/雲端伺服器902可以與多個網路906a-b進行通訊。第一網路906a可以包括與一或多個IoT節點908a-d進行通訊的多個閘道904a-b。第二網路906b可以包括與一或多個IoT節點908e-h進行通訊的多個閘道904c-d。
每個IoT網路906可以學習事件監測模型912。事件監測模型912可以應用於IoT網路906中不同的閘道(GW)組904。例如,第一事件監測模型912a可以應用於第一閘道組內。第二事件監測模型912b可以應用於第二閘道組內。
事件監測模型912可以應用於IoT網路906中不同的IoT節點組908。例如,第三事件監測模型912c可以應用於第一IoT組內。第四事件監測模型912d可以應用於第二IoT組內。
圖10是示出第三事件監測模型配置1001的實例。後端/雲端伺服器1002可以與多個網路1006a-b進行通訊。第一網路1006a可以包括與一或多個IoT節點1008a-d進行通訊的多個閘道1004a-b。第二網路1006b可以包括與一或多個IoT節點1008e-h進行通訊的多個閘道1004c-d。
可以跨越網路設備的子集來學習以及應用事件監測模型1012。例如,第一事件監測模型1012a可以應用於第一網路組。第二事件監測模型1012b可以應用於跨越IoT網路1006的不同的閘道(GW)組1004。第三事件監測模型1012c可以應用於跨越IoT網路1006的不同的IoT節點組1008。
圖11是示出特徵提取器1117的一種配置的方塊圖。資料管理模組1176可以從資料來源1174接收資料。例如,資料來源1174可以是網路傳輸量222。資料管理模組1176可以將資料提供給資料聚合模組1178,資料聚合模組1178可以儲存一定量的接收資料。資料訊框模組1180可以決定如何將由資料聚合模組1178儲存的資料分框。
在資料訊框1180結束時,可以基於感興趣的用例,將所接收的資料提供給特徵提取方法1186。不同的用例包括安全性、家庭自動化、能量管理、汽車等。用例亦可以取決於所監測的網路的類型。可以受益於網路監測的不同類型的網路中的一些網路包括針對藍芽、ZigBee、WiFi、CSR網狀等的物聯網路(IoT)網路、工業IoT(IIoT)網路、汽車。
用例選擇模組1184可以從用例資料庫1182中選擇用例。特徵提取方法1186可以從所接收的資料訊框1180中提取機器學習特徵1188。在多個用例中可能需要相同的特徵。
幾個關鍵的觀察結果以及特徵是源位址、目的位址、時間和位置上下文資訊、跳數、模型和訊息類型、資料量、輸送量、連線時間、回應延遲、白名單以及訊息模型匹配。
在一個實例中,特徵提取器1117可以提取用於CSR網狀網路106的機器學習特徵1188。網狀網路106具有可以由給定節點108支援的各種應用模型。應用模型與節點108的能力相對應。節點108可以具有這些應用模型的任意組合。例如,節點108可以具有用於量測房間的溫度的光照模型和感測器模型二者。
在每個應用模型內,存在某些水平的屬性。例如,光照、目標水平應當是多少、節點108正在切換的頻繁程度是可觀察的屬性。傳輸量監測器214可以決定屬性的改變是否是正常的。例如,傳輸量監測器214可以在經由拋出與其應當扔掉的相比更多的訊息來拒絕服務攻擊時,判斷是否由於有人已攻擊了節點108,所以節點108正在試圖使系統過載。
一個應用模型是光照模型。可觀察到的事件224可以包括當前水平、目標水平以及狀態改變的頻率。
另一個應用模型是配置(Config)模型。可觀察到的事件224可以包括發射位準(TransmitInterval
)、發射持續時間(TransmitDuration
)、發射間隔(TxInterval
)、發射功率(TransmitPower
)以及接收器工作週期(ReceiverDutyCycle
)。
另一個應用模型是感測器模型。可觀察到的事件224可以包括感測器寫值以及感測器值。
另一個應用模型是內部韌體看門狗模型。可觀察到的事件224可以包括間隔以及ActiveAfterTime值。
另一個應用模型是電池模型。可觀察到的事件224可以包括電池水平、電池狀態以及電池週期性行為。
CSR網狀網路106中的其他可觀察到的事件224包括跳數。這可以包括節點108之每一者節點距離閘道104的跳距。這亦可以包括鄰近區域拓撲的跳數。
可觀察到的事件224亦可以包括MASP資訊。例如,可以觀察在某個時段中的MASP_DEVICE_IDENTIFICATION訊息的數量。亦可以觀察關聯超時的次數。
可觀察到的事件224亦可以包括追蹤器模型。在這種情況下,可觀察到的事件224可以包括Tracket_SET_Proximity_Config中的區域閥值以及延遲因數。
可觀察到的事件224亦可以包括訊息負載。在這種情況中,可觀察到的事件224可以包括轉發的訊息數量、打開的持續時間以及重置歷史。
可以應用於所接收的資料的特徵提取方法1186的實例係包括以下各項中的一項或多項:獲取ID、獲取時間戳記、獲取隧道辨識符(TID)、獲取模型名稱、獲取存活時間(TTL)值、獲取源序號、獲取白名單失配、檢查白名單失配、獲取模型ID、獲取總封包計數資訊、檢查模型失配、獲取總封包計數資訊以及查詢特徵緩衝器。
由特徵提取方法1186產生的機器學習特徵1188可以包括以下機器學習特徵向量中的一項或多項:源通用唯一辨識碼(UUID)、目的UUID、閘道ID、網路ID網路類型、事件時間、TID、模型名稱、TTL、源序號、白名單失配、模型ID、封包總數、模型失配、每個模型的封包數量、訊窗中的封包數量以及訊窗之每一者模型的封包數量。
應當注意的是,在其他網狀網路(例如,ZigBee)中,存在如可以在其中觀察設備事件224的CSR網狀網路中的類似概念。例如,使用者可以經由其協定將命令發送給設備,以打開設備、關閉設備或者開關(例如,切換)。出於分析目的,可以對這些事件進行監測、根據它們相應的協定來轉換以及標準化。可以應用用於異常偵測的事件監測模型212,而不考慮事件是發生在CSR網狀網路、ZigBee網路還是其他網狀網路106中。在諸如ZigBee之下的智慧能源簡檔之類的其他解決方案域中,可以從各種類型的設備(例如、智慧家電、暖通空調(HVAC)、室外照明、室內照明等)觀察能量使用。
圖12示出可以被包括在計算設備1290內的某些組件。結合圖12描述的計算設備1290可以是結合圖1所描述的後端伺服器102和閘道104以及結合圖2所描述的傳輸量監測器214和機器學習引擎210的實例及/或可以根據其來實現。
計算設備1290包括處理器1203。處理器1203可以是通用單晶片或者多晶片微處理器(例如,高級RISC(精簡指令集電腦)機器(ARM))、專用微處理器(例如,數位訊號處理器(DSP))、微控制器、可程式設計閘陣列等。處理器1203可以被稱為中央處理單元(CPU)。儘管在圖12的計算設備1290中僅示出單個處理器1203,但是在替代的配置中,可以使用處理器的組合(例如,ARM和DSP)。
計算設備1290亦包括與處理器1203進行電子通訊的記憶體1205(亦即,處理器可以從記憶體讀取資訊及/或將資訊寫入記憶體中)。記憶體1205可以是能夠儲存電子資訊的任何電子組件。記憶體1205可以被配置為隨機存取記憶體(RAM)、唯讀記憶體(ROM)、磁碟儲存媒體、光學儲存媒體、RAM中的快閃記憶體設備、與處理器包括在一起的機載(on-board)記憶體、可抹除可程式設計唯讀記憶體(EPROM)、電子可抹除可程式設計唯讀記憶體(EEPROM)、暫存器等等,包括其組合。
可以將資料1207a和指令1209a儲存在記憶體1205中。指令1209a可以包括一或多個程式、常式、子常式、函數、程序、代碼等。指令1209a可以包括單個電腦可讀取語句或者許多電腦可讀取語句。指令1209a可由處理器1203執行以實現本文揭示的方法。執行指令1209a可以涉及對儲存在記憶體1205中的資料1207a的使用。當處理器1203執行指令1209時,可以將指令1209b的各個部分載入到處理器1203上,以及可以將資料1207b的各個片段載入到處理器1203上。
計算設備1290亦可以包括發射器1211和接收器1213,以允許經由天線1217將信號發送給計算設備1290以及從計算設備1290接收信號。發射器1211和接收器1213可以被統稱為收發機1215。計算設備1290亦可以包括(未圖示)多個發射器、多個天線、多個接收器及/或多個收發機。
計算設備1290可以包括數位訊號處理器(DSP)1221。計算設備1290亦可以包括通訊介面1223。通訊介面1223可以允許使用者與計算設備1290進行互動。
計算設備1290的各個組件可以經由一或多個匯流排耦合在一起,其可以包括功率匯流排、控制信號匯流排、狀態信號匯流排、資料匯流排等。為了清楚起見,在圖12中將各個匯流排示為匯流排系統1219。
在以上描述中,有時結合各個術語使用了元件符號。在結合元件符號使用術語的情況下,這可能意味著代表在這些圖中的一或多個圖中示出的特定元素。在沒有元件符號的情況下使用術語時,這可能意味著通常代表在沒有對任何特定圖進行限制的情況下的術語。
術語「決定」包含各種各樣的動作,並且因此,「決定」可以包括計算、運算、處理、推導、調查、檢視(例如,在表格、資料庫或者另一資料結構中檢視)、查明等。此外,「決定」可以包括接收(例如,接收資訊)、存取(例如,存取記憶體中的資料)等。此外,「決定」可以包括解析、選擇、選定、建立等。
除非另外明確指定,否則短語「基於」並不意味著「僅基於」。換言之,短語「基於」描述「僅基於」以及「至少基於」二者。
應當注意的是,在相容的情況下,結合本文描述的配置中的任何一種配置所描述的特徵、功能、程序、組件、元件、結構等中的一項或多項可以與結合本文描述的其他配置中的任何配置所描述的功能、程序、組件、元件、結構等中的一項或多項進行組合。換言之,本文描述的功能、程序、組件、元件等的任何相容的組合可以根據本文揭示的系統和方法來實現。
本文所述功能可以作為一或多個指令儲存在處理器可讀取媒體或者電腦可讀取媒體上。術語「電腦可讀取媒體」代表可以由電腦或者處理器存取的任何可用媒體。經由舉例而非限制的方式,這種媒體可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電子可抹除可程式設計唯讀記憶體(EEPROM)、快閃記憶體、壓縮光碟唯讀記憶體(CD-ROM)或者其他光碟儲存、磁碟儲存或者其他磁存放裝置、或者可以用於儲存具有指令或者資料結構形式的期望程式碼並且可以被電腦存取的任何其他媒體。如本文中所使用的,磁碟(disk)和光碟(disc)包括壓縮光碟(「CD」)、鐳射光碟、光碟、數位多功能光碟(「DVD」)、軟碟和藍光光碟,其中磁碟通常磁性地複製資料,而光碟則用鐳射來光學地複製資料。應當注意的是,電腦可讀取媒體可以是有形和非暫時性的。術語「電腦程式產品」代表與可以由計算設備或者處理器執行、處理或者計算的代碼或者指令(例如,「程式」)相結合的計算設備或者處理器。如本文中所使用的,術語「代碼」可以代表可由計算設備或者處理器執行的軟體、指令、代碼或者資料。
軟體或者指令亦可以在傳輸媒體上發送。例如,若使用同軸電纜、光纖光纜、雙絞線、數位用戶線路(DSL)或者無線技術(例如,紅外線、無線電和微波)從網站、伺服器或者其他遠端源反射軟體,則同軸電纜、光纖光纜、雙絞線、DSL或者無線技術(例如,紅外線、無線電和微波)被包括在傳輸媒體的定義中。
本文揭示的方法包括用於實現該方法的一或多個步驟或者動作。在不脫離請求項的範圍的情況下,這些方法步驟及/或動作可以彼此互換。換言之,除非對於所描述的方法的適當操作而言要求步驟或者動作的特定順序,否則可以在不脫離請求項的範圍的情況下,修改特定步驟及/或動作的順序及/或使用。
所理解的是,請求項不限於以上示出的精確配置和組件。可以在不脫離請求項的範圍的情況下,在本文描述的系統、方法和裝置的佈置、操作和細節態樣進行各種修改、改變和變化。
所主張的內容參見申請專利範圍。
102‧‧‧後端伺服器
104a‧‧‧閘道
104b‧‧‧閘道
104c‧‧‧閘道
106a‧‧‧CSR網狀網路
106b‧‧‧CSR網狀網路
108a‧‧‧節點
108b‧‧‧節點
108c‧‧‧節點
108d‧‧‧節點
108e‧‧‧節點
108f‧‧‧節點
108g‧‧‧節點
108h‧‧‧節點
200‧‧‧系統
210‧‧‧機器學習引擎
212‧‧‧事件監測模型
214‧‧‧傳輸量監測器
216‧‧‧事件觀察器
217‧‧‧特徵提取器
218‧‧‧事件監測器
220‧‧‧網路設備
222‧‧‧網路傳輸量
224‧‧‧事件
226‧‧‧網路設備分類
228‧‧‧裝置管理員
300‧‧‧方法
302‧‧‧方塊
304‧‧‧方塊
306‧‧‧方塊
308‧‧‧方塊
400‧‧‧系統
402‧‧‧IoT伺服器或者雲端伺服器
406‧‧‧網狀網路
408a‧‧‧IoT端點
408b‧‧‧IoT端點
408c‧‧‧IoT端點
408d‧‧‧行動設備
410‧‧‧機器學習引擎
412‧‧‧事件監測模型
414‧‧‧傳輸量監測器
415‧‧‧模型管理器
416‧‧‧事件觀察器
418‧‧‧事件監測器
428‧‧‧裝置管理員
430‧‧‧事件分析器服務
432‧‧‧雲端事件通訊管理器
434‧‧‧模型更新
436‧‧‧模型資料庫
440a‧‧‧藍芽網狀轉換器
440b‧‧‧藍芽網狀轉換器
442‧‧‧ZigBee轉換器
444a‧‧‧原始傳輸量饋給
444b‧‧‧原始傳輸量饋給
444c‧‧‧原始傳輸量饋給
447‧‧‧警報管理器
448‧‧‧回饋信號
450‧‧‧查詢排程
452‧‧‧設備查詢管理器
454‧‧‧網路查詢
455‧‧‧移除IoT端點
500‧‧‧方法
502‧‧‧方塊
504‧‧‧方塊
506‧‧‧方塊
508‧‧‧方塊
510‧‧‧方塊
512‧‧‧方塊
514‧‧‧方塊
516‧‧‧方塊
600‧‧‧頂層網路監測框架
602‧‧‧後端
610‧‧‧機器學習引擎
612‧‧‧事件監測模型
614‧‧‧前端
617a‧‧‧特徵提取器
617b‧‧‧特徵提取器
618‧‧‧分析器
624‧‧‧新事件
626‧‧‧網路設備分類
628‧‧‧致動器
656‧‧‧訓練事件
658‧‧‧觀察器
662‧‧‧行為提取器
666‧‧‧機器學習特徵向量
668‧‧‧已知標籤
670‧‧‧機器學習特徵向量
672‧‧‧機器學習演算法
700‧‧‧物聯網路(IoT)分級網路拓撲
702‧‧‧後端/雲端伺服器
704a‧‧‧閘道(GW)
704b‧‧‧閘道(GW)
704c‧‧‧閘道(GW)
704d‧‧‧閘道(GW)
706a‧‧‧網路
706b‧‧‧網路
708a‧‧‧IoT節點
708b‧‧‧IoT節點
708c‧‧‧IoT節點
708d‧‧‧IoT節點
708e‧‧‧IoT節點
708f‧‧‧IoT節點
708g‧‧‧IoT節點
708h‧‧‧IoT節點
801‧‧‧第一事件監測模型配置
802‧‧‧後端/雲端伺服器
804a‧‧‧閘道
804b‧‧‧閘道
804c‧‧‧閘道
804d‧‧‧閘道
806a‧‧‧網路
806b‧‧‧網路
808a‧‧‧IoT節點
808b‧‧‧IoT節點
808c‧‧‧IoT節點
808d‧‧‧IoT節點
808e‧‧‧IoT節點
808f‧‧‧IoT節點
808g‧‧‧IoT節點
808h‧‧‧IoT節點
812a‧‧‧事件監測模型
812b‧‧‧事件監測模型
901‧‧‧第二事件監測模型配置
902‧‧‧後端/雲端伺服器
904a‧‧‧閘道
904b‧‧‧閘道
904c‧‧‧閘道
904d‧‧‧閘道
906a‧‧‧第二網路
906b‧‧‧第二網路
908a‧‧‧IoT節點
908b‧‧‧IoT節點
908c‧‧‧IoT節點
908d‧‧‧IoT節點
908e‧‧‧IoT節點
908f‧‧‧IoT節點
908g‧‧‧IoT節點
908h‧‧‧IoT節點
912a‧‧‧事件監測模型
912b‧‧‧事件監測模型
912c‧‧‧事件監測模型
912d‧‧‧事件監測模型
1001‧‧‧第三事件監測模型配置
1002‧‧‧後端/雲端伺服器
1004a‧‧‧閘道
1004b‧‧‧閘道
1004c‧‧‧閘道
1004d‧‧‧閘道
1006a‧‧‧網路
1006b‧‧‧網路
1008a‧‧‧IoT節點
1008b‧‧‧IoT節點
1008c‧‧‧IoT節點
1008d‧‧‧IoT節點
1008e‧‧‧IoT節點
1008f‧‧‧IoT節點
1008g‧‧‧IoT節點
1008h‧‧‧IoT節點
1012a‧‧‧事件監測模型
1012b‧‧‧事件監測模型
1012c‧‧‧事件監測模型
1117‧‧‧特徵提取器
1174‧‧‧資料來源
1176‧‧‧資料管理模組
1178‧‧‧資料聚合模組
1180‧‧‧資料訊框
1182‧‧‧用例資料庫
1184‧‧‧用例選擇模組
1186‧‧‧特徵提取方法
1188‧‧‧機器學習特徵
1203‧‧‧處理器
1205‧‧‧記憶體
1207a‧‧‧資料
1207b‧‧‧資料
1209a‧‧‧指令
1209b‧‧‧指令
1211‧‧‧發射器
1213‧‧‧接收器
1215‧‧‧收發機
1217‧‧‧天線
1219‧‧‧匯流排系統
1221‧‧‧數位訊號處理器(DSP)
1223‧‧‧通訊介面
1290‧‧‧計算設備
圖1是示出網狀網路配置的方塊圖;
圖2是示出被配置用於網路監測的系統的方塊圖;
圖3是示出用於網路監測的方法的流程圖;
圖4是示出用於網路監測的系統的配置的方塊圖;
圖5是示出用於網路監測的方法的另一配置的流程圖;
圖6是示出頂層網路監測框架的方塊圖;
圖7是示出物聯網路(IoT)分級網路拓撲的例子;
圖8是示出第一事件監測模型配置的實例;
圖9是示出第二事件監測模型配置的實例;
圖10是示出第三事件監測模型配置的實例;
圖11是示出特徵提取器的一種配置的方塊圖;及
圖12示出可以被包括在計算設備內的某些組件。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
Claims (42)
- 一種方法,包括以下步驟: 接收由一機器學習引擎產生的一事件監測模型,其中該事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類; 基於該事件監測模型來監測一網路中的事件,其中機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的; 基於該事件監測模型來決定該等所監測的事件的一網路設備分類;及 將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型。
- 根據請求項1之方法,其中該機器學習引擎從複數個網路設備接收觀察到的事件以及網路設備分類。
- 根據請求項2之方法,其中該機器學習引擎基於從該複數個網路設備接收的該等觀察到的事件以及該等網路設備分類,來學習以及產生該事件監測模型。
- 根據請求項2之方法,其中該機器學習引擎使用從該複數個網路設備接收的該等觀察到的事件以及該等網路設備分類,來執行半監督式學習,以產生該事件監測模型。
- 根據請求項1之方法,其中該機器學習引擎學習以及產生用於要被監測的網路設備的一子集的該事件監測模型。
- 根據請求項1之方法,其中該機器學習引擎跨越一組網路、一組閘道或者網路內的一組節點來應用該事件監測模型。
- 根據請求項1之方法,亦包括:將不同的機器學習模型應用於一網路的不同部分。
- 根據請求項1之方法,其中該機器學習引擎順序地執行多種機器學習演算法,以產生用於一網路設備或者一組網路設備的該事件監測模型。
- 根據請求項1之方法,其中該機器學習引擎使用具有不同參數的一相同機器學習演算法,來產生用於不同網路設備或者具有不同時間資訊的同一網路設備的不同事件監測模型。
- 根據請求項1之方法,其中該事件監測模型配置哪些事件被監測以及哪些機器學習特徵從所監測的事件中被提取。
- 根據請求項1之方法,亦包括以下步驟: 回應於將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,來接收一經更新的事件監測模型;及 基於該經更新的事件監測模型來監測該網路中的事件。
- 根據請求項1之方法,亦包括以下步驟: 從該機器學習引擎接收複數個事件監測模型,其中一給定的事件監測模型配置對網路設備的一特定子集上的事件的監測;及 基於該複數個事件監測模型來監測該網路中的事件。
- 根據請求項1之方法,其中監測事件包括以下步驟:觀察在節點之間傳送的網路傳輸量或者在一節點與一閘道之間傳送的網路傳輸量。
- 根據請求項1之方法,其中監測事件包括以下步驟: 將一網路查詢發送給一給定的網路設備; 觀察由該給定的網路設備回應於該網路查詢而採取的動作;及 經由將該事件監測模型應用於該等所觀察到的動作,來決定該給定的網路設備的該網路設備分類。
- 根據請求項1之方法,其中該方法是在從複數個節點接收傳輸量饋給的一閘道或者一雲端伺服器處實現的。
- 根據請求項1之方法,亦包括以下步驟:限制被分類為欺詐或者可疑的一網路設備的行為。
- 一種計算設備,包括: 一處理器; 一記憶體,其與該處理器進行通訊;及 儲存在該記憶體中的指令,該等指令可由該處理器執行以用於: 接收由一機器學習引擎產生的一事件監測模型,其中該事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類; 基於該事件監測模型來監測一網路中的事件,其中機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的; 基於該事件監測模型來決定該等所監測的事件的一網路設備分類;及 將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型。
- 根據請求項17之計算設備,其中該機器學習引擎從複數個網路設備接收觀察到的事件以及網路設備分類。
- 根據請求項18之計算設備,其中該機器學習引擎基於從該複數個網路設備接收的該等觀察到的事件以及該等網路設備分類,來學習以及產生該事件監測模型。
- 根據請求項18之計算設備,其中該機器學習引擎使用從該複數個網路設備接收的該等觀察到的事件以及該等網路設備分類,來執行半監督式學習,以產生該事件監測模型。
- 根據請求項17之計算設備,其中該事件監測模型配置哪些事件被監測以及哪些機器學習特徵從該等所監測的事件中被提取。
- 根據請求項17之計算設備,亦包括可執行以進行以下操作的指令: 回應於將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,來接收一經更新的事件監測模型;及 基於該經更新的事件監測模型來監測該網路中的事件。
- 根據請求項17之計算設備,亦包括可執行以進行以下操作的指令: 從該機器學習引擎接收複數個事件監測模型,其中一給定的事件監測模型配置對網路設備的一特定子集上的事件的監測;及 基於該複數個事件監測模型來監測該網路中的事件。
- 根據請求項17之計算設備,其中可執行以監測事件的該等指令包括可執行以進行以下操作的指令:觀察在節點之間傳送的網路傳輸量或者在一節點與一閘道之間傳送的網路傳輸量。
- 根據請求項17之計算設備,其中可執行以監測事件的該等指令包括可執行以進行以下操作的指令: 將一網路查詢發送給一給定的網路設備; 觀察由該給定的網路設備回應於該網路查詢而採取的動作;及 經由將該事件監測模型應用於該等所觀察到的動作,來決定該給定的網路設備的該網路設備分類。
- 一種儲存電腦可執行代碼的非暫時性有形電腦可讀取媒體,包括: 用於使得一計算設備接收由一機器學習引擎產生的一事件監測模型的代碼,其中該事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類; 用於使得該計算設備基於該事件監測模型來監測一網路中的事件的代碼,其中機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的; 用於使得該計算設備基於該事件監測模型來決定該等所監測的事件的一網路設備分類的代碼;及 用於使得該計算設備將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型的代碼。
- 根據請求項26之電腦可讀取媒體,其中該機器學習引擎從複數個網路設備接收觀察到的事件以及網路設備分類。
- 根據請求項27之電腦可讀取媒體,其中該機器學習引擎基於從該複數個網路設備接收的該等觀察到的事件以及該網路設備分類,來學習以及產生該事件監測模型。
- 根據請求項27之電腦可讀取媒體,其中該機器學習引擎使用從該複數個網路設備接收的該等觀察到的事件以及該等網路設備分類,來執行半監督式學習,以產生該事件監測模型。
- 根據請求項26之電腦可讀取媒體,其中該事件監測模型配置哪些事件被監測以及哪些機器學習特徵從所監測的事件中被提取。
- 根據請求項26之電腦可讀取媒體,其中該電腦可執行代碼亦包括: 用於使得該計算設備回應於將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,來接收一經更新的事件監測模型的代碼;及 用於使得該計算設備基於該經更新的事件監測模型來監測該網路中的事件的代碼。
- 根據請求項26之電腦可讀取媒體,其中該電腦可執行代碼亦包括: 用於使得該計算設備從該機器學習引擎接收複數個事件監測模型的代碼,其中一給定的事件監測模型配置對網路設備的一特定子集上的事件進行監測;及 用於使得該計算設備基於該複數個事件監測模型來監測一網路中的事件的代碼。
- 根據請求項26之電腦可讀取媒體,其中該用於使得該計算設備監測事件的代碼包括:用於使得該計算設備觀察在節點之間傳送的網路傳輸量或者在一節點與一閘道之間傳送的網路傳輸量的代碼。
- 根據請求項26之電腦可讀取媒體,其中該用於使得該計算設備監測事件的代碼包括: 用於使得該計算設備將一網路查詢發送給一給定的網路設備的代碼; 用於使得該計算設備觀察由該給定的網路設備回應於該網路查詢而採取的動作的代碼;及 用於使得該計算設備經由將該事件監測模型應用於該等所觀察到的動作,來決定該給定的網路設備的該網路設備分類的代碼。
- 一種裝置,包括: 用於接收由一機器學習引擎產生的一事件監測模型的單元,其中該事件監測模型被配置為基於觀察到的事件來對網路設備行為進行分類; 用於基於該事件監測模型來監測一網路中的事件的單元,其中機器學習特徵是從由一或多個網路設備產生的網路傳輸量中提取的; 用於基於該事件監測模型來決定該等所監測的事件的一網路設備分類的單元;及 用於將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,以更新該事件監測模型的單元。
- 根據請求項35之裝置,其中該機器學習引擎從複數個網路設備接收觀察到的事件以及網路設備分類。
- 根據請求項36之裝置,其中該機器學習引擎基於從該複數個網路設備接收的該等觀察到的事件以及該等網路設備分類,來學習以及產生該事件監測模型。
- 根據請求項35之裝置,其中該事件監測模型配置哪些事件被監測以及哪些機器學習特徵從所監測的事件中被提取。
- 根據請求項35之裝置,亦包括: 用於回應於將該等觀察到的事件以及該網路設備分類發送給該機器學習引擎,來接收一經更新的事件監測模型的單元;及 用於基於該經更新的事件監測模型來監測該網路中的事件的單元。
- 根據請求項35之裝置,亦包括: 用於從該機器學習引擎接收複數個事件監測模型的單元,其中一給定的事件監測模型配置對網路設備的一特定子集上的事件的監測;及 用於基於該複數個事件監測模型來監測該網路中的事件的單元。
- 根據請求項35之裝置,其中該用於監測事件的單元包括:用於觀察在節點之間傳送的網路傳輸量或者在一節點與一閘道之間傳送的網路傳輸量的單元。
- 根據請求項35之裝置,其中該用於監測事件的單元包括: 用於將一網路查詢發送給一給定的網路設備的單元; 用於觀察由該給定的網路設備回應於該網路查詢而採取的動作的單元;及 用於經由將該事件監測模型應用於該等所觀察到的動作,來決定該給定的網路設備的該網路設備分類的單元。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/429,482 US20180234302A1 (en) | 2017-02-10 | 2017-02-10 | Systems and methods for network monitoring |
| US15/429,482 | 2017-02-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201830921A true TW201830921A (zh) | 2018-08-16 |
Family
ID=60582668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106140471A TW201830921A (zh) | 2017-02-10 | 2017-11-22 | 用於網路監測的系統和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20180234302A1 (zh) |
| TW (1) | TW201830921A (zh) |
| WO (1) | WO2018147917A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI703468B (zh) * | 2018-08-22 | 2020-09-01 | 奧義智慧科技股份有限公司 | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 |
| TWI709938B (zh) * | 2019-09-03 | 2020-11-11 | 傑思國際股份有限公司 | 農業設備物聯網互動系統 |
| TWI727891B (zh) * | 2020-09-21 | 2021-05-11 | 台灣物聯網股份有限公司 | 網路安全防護方法及裝置 |
| US11263643B2 (en) | 2019-08-27 | 2022-03-01 | Coupang Corp. | Computer-implemented method for detecting fraudulent transactions using locality sensitive hashing and locality outlier factor algorithms |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10380348B2 (en) | 2016-11-21 | 2019-08-13 | ZingBox, Inc. | IoT device risk assessment |
| US11063836B2 (en) * | 2017-03-21 | 2021-07-13 | Cisco Technology, Inc. | Mixing rule-based and machine learning-based indicators in network assurance systems |
| US10635806B2 (en) * | 2017-05-04 | 2020-04-28 | Crowdstrike, Inc. | Least recently used (LRU)-based event suppression |
| US10708284B2 (en) * | 2017-07-07 | 2020-07-07 | Cisco Technology, Inc. | Private-learned IDS |
| US20190014137A1 (en) * | 2017-07-10 | 2019-01-10 | ZingBox, Inc. | IoT DEVICE SECURITY |
| US10986126B2 (en) | 2017-07-25 | 2021-04-20 | Palo Alto Networks, Inc. | Intelligent-interaction honeypot for IoT devices |
| US11165800B2 (en) * | 2017-08-28 | 2021-11-02 | Oracle International Corporation | Cloud based security monitoring using unsupervised pattern recognition and deep learning |
| US20200280579A1 (en) * | 2017-09-14 | 2020-09-03 | University Of Manitoba | System and method for analyzing internet traffic to detect distributed denial of service (ddos) attack |
| US11070568B2 (en) | 2017-09-27 | 2021-07-20 | Palo Alto Networks, Inc. | IoT device management visualization |
| US11082296B2 (en) | 2017-10-27 | 2021-08-03 | Palo Alto Networks, Inc. | IoT device grouping and labeling |
| US11509540B2 (en) * | 2017-12-14 | 2022-11-22 | Extreme Networks, Inc. | Systems and methods for zero-footprint large-scale user-entity behavior modeling |
| EP3503117A1 (en) * | 2017-12-20 | 2019-06-26 | Nokia Technologies Oy | Updating learned models |
| US11924238B2 (en) * | 2018-02-20 | 2024-03-05 | Darktrace Holdings Limited | Cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources |
| EP3528460A1 (en) * | 2018-02-20 | 2019-08-21 | Darktrace Limited | Artificial intelligence privacy protection for cybersecurity analysis |
| US10637876B2 (en) | 2018-04-27 | 2020-04-28 | Dell Products L.P. | Information handling system threat management |
| US11595407B2 (en) * | 2018-04-27 | 2023-02-28 | Dell Products L.P. | Information handling system threat management |
| US11336658B2 (en) | 2018-04-27 | 2022-05-17 | Dell Products L.P. | Information handling system threat management |
| CN112640381B (zh) | 2018-06-18 | 2024-03-08 | 帕洛阿尔托网络公司 | 检测物联网设备的不合期望的行为的方法和系统 |
| US11019083B2 (en) * | 2018-06-20 | 2021-05-25 | Cisco Technology, Inc. | System for coordinating distributed website analysis |
| EP3777033A4 (en) * | 2018-06-27 | 2021-04-07 | Apple Inc. | VOTING TOPOLOGY FOR DISTRIBUTION NETWORK |
| WO2020022953A1 (en) * | 2018-07-26 | 2020-01-30 | Singapore Telecommunications Limited | System and method for identifying an internet of things (iot) device based on a distributed fingerprinting solution |
| US11025486B2 (en) | 2018-10-19 | 2021-06-01 | Cisco Technology, Inc. | Cascade-based classification of network devices using multi-scale bags of network words |
| US11133987B2 (en) * | 2018-10-24 | 2021-09-28 | Cox Communications, Inc. | Systems and methods for network configuration management |
| US11582093B2 (en) | 2018-11-05 | 2023-02-14 | Cisco Technology, Inc. | Using stability metrics for live evaluation of device classification systems and hard examples collection |
| US11524358B2 (en) | 2018-11-07 | 2022-12-13 | GM Global Technology Operations LLC | Mechanical performance of al-steel weld joints |
| EP3878139A4 (en) * | 2018-11-09 | 2022-06-22 | QUALCOMM Incorporated | SUPERVISED TRAFFIC MANAGEMENT IN SIGMESH NETWORKS |
| US11457080B1 (en) * | 2018-11-23 | 2022-09-27 | Amazon Technologies, Inc. | Service mesh management |
| US11122060B2 (en) | 2018-11-28 | 2021-09-14 | Qualcomm Incorporated | Detection of security threats in a mesh network |
| WO2020117414A2 (en) * | 2018-12-07 | 2020-06-11 | Commscope Technologies Llc | Dynamic quantized signature vector selection for a cloud radio access network |
| US11451571B2 (en) | 2018-12-12 | 2022-09-20 | Palo Alto Networks, Inc. | IoT device risk assessment and scoring |
| CN111327404B (zh) * | 2018-12-13 | 2022-08-26 | 大唐移动通信设备有限公司 | 业务生存期处理方法及装置 |
| US10613801B1 (en) * | 2018-12-20 | 2020-04-07 | Kyocera Document Solutions Inc. | Waking an electronic device, such as a printer, from a sleep mode based on a user policy and proximity |
| US11689573B2 (en) | 2018-12-31 | 2023-06-27 | Palo Alto Networks, Inc. | Multi-layered policy management |
| US11611569B2 (en) | 2019-05-31 | 2023-03-21 | Micro Focus Llc | Machine learning-based network device profiling |
| CN110278130B (zh) * | 2019-07-16 | 2021-01-15 | 杭州安恒信息技术股份有限公司 | 一种信息设备技术测评方法、装置、设备及可读存储介质 |
| US11115799B1 (en) | 2020-06-01 | 2021-09-07 | Palo Alto Networks, Inc. | IoT device discovery and identification |
| US12015624B2 (en) | 2021-11-18 | 2024-06-18 | Motorola Solutions, Inc. | Automated detection of network security anomalies using a denoising diffusion probabilistic model |
| US11848843B2 (en) * | 2021-12-28 | 2023-12-19 | T-Mobile Innovations Llc | Network anomaly detection using machine learning models |
| WO2024072333A1 (en) * | 2022-09-27 | 2024-04-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for detecting security attacks in internet of senses (ios) applications |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2374256B1 (en) * | 2008-12-31 | 2017-07-12 | Telecom Italia S.p.A. | Anomaly detection for packet-based networks |
| US20130304677A1 (en) * | 2012-05-14 | 2013-11-14 | Qualcomm Incorporated | Architecture for Client-Cloud Behavior Analyzer |
| US20170024660A1 (en) * | 2015-07-23 | 2017-01-26 | Qualcomm Incorporated | Methods and Systems for Using an Expectation-Maximization (EM) Machine Learning Framework for Behavior-Based Analysis of Device Behaviors |
-
2017
- 2017-02-10 US US15/429,482 patent/US20180234302A1/en not_active Abandoned
- 2017-11-20 WO PCT/US2017/062590 patent/WO2018147917A1/en active Application Filing
- 2017-11-22 TW TW106140471A patent/TW201830921A/zh unknown
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI703468B (zh) * | 2018-08-22 | 2020-09-01 | 奧義智慧科技股份有限公司 | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 |
| TWI709057B (zh) * | 2018-08-22 | 2020-11-01 | 奧義智慧科技股份有限公司 | 診斷網路系統是否已受到駭客入侵的方法以及相關的可疑事件時序圖產生方法 |
| TWI726834B (zh) * | 2018-08-22 | 2021-05-01 | 新加坡商賽博創新新加坡股份有限公司 | 用於產生可供診斷標的網路系統是否受到駭客入侵攻擊的可疑事件時序圖的網路安全漏洞診斷系統 |
| TWI726749B (zh) * | 2018-08-22 | 2021-05-01 | 新加坡商賽博創新新加坡股份有限公司 | 診斷網路系統是否已受到駭客入侵的方法及相關的連動式資料圖框產生方法 |
| TWI726393B (zh) * | 2018-08-22 | 2021-05-01 | 新加坡商賽博創新新加坡股份有限公司 | 用於產生多個連動式資料圖框的多圖框網路安全分析裝置與相關的電腦程式產品 |
| US11263643B2 (en) | 2019-08-27 | 2022-03-01 | Coupang Corp. | Computer-implemented method for detecting fraudulent transactions using locality sensitive hashing and locality outlier factor algorithms |
| TWI812871B (zh) * | 2019-08-27 | 2023-08-21 | 南韓商韓領有限公司 | 電腦實行的系統以及方法 |
| TWI709938B (zh) * | 2019-09-03 | 2020-11-11 | 傑思國際股份有限公司 | 農業設備物聯網互動系統 |
| TWI727891B (zh) * | 2020-09-21 | 2021-05-11 | 台灣物聯網股份有限公司 | 網路安全防護方法及裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018147917A1 (en) | 2018-08-16 |
| US20180234302A1 (en) | 2018-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201830921A (zh) | 用於網路監測的系統和方法 | |
| US11800360B2 (en) | Cooperative security in wireless sensor networks | |
| KR101837923B1 (ko) | 비인증 액세스 포인트들의 프로파일링 | |
| EP3266159B1 (en) | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health | |
| US20180198812A1 (en) | Context-Based Detection of Anomalous Behavior in Network Traffic Patterns | |
| US20170208079A1 (en) | Methods for detecting security incidents in home networks | |
| US20220014437A1 (en) | Systems and methods for network device management using device clustering | |
| US10178593B2 (en) | Self-organizing customer premises network | |
| US9986366B2 (en) | Controlling data collection interval of M2M device | |
| JP7089861B2 (ja) | 監視装置、デバイス監視システム及び複数のネットワーク化されたデバイスの監視方法 | |
| JP2018513467A (ja) | 特性化されたデバイス挙動の自動化匿名クラウドソーシングのための方法およびシステム | |
| US10742678B2 (en) | Vulnerability analysis and segmentation of bring-your-own IoT devices | |
| US10361913B2 (en) | Determining whether to include or exclude device data for determining a network communication configuration for a target device | |
| Jmila et al. | A survey of smart home iot device classification using machine learning-based network traffic analysis | |
| WO2014114354A1 (en) | M2m communications between a server device and a client device | |
| US20190098021A1 (en) | Enhanced systems for identifying and monitoring expected communication patterns of computing devices | |
| De Keersmaeker et al. | A survey of public IoT datasets for network security research | |
| Ali et al. | SDFog-Mesh: A software-defined fog computing architecture over wireless mesh networks for semi-permanent smart environments | |
| Meidan et al. | D-Score: An expert-based method for assessing the detectability of IoT-related cyber-attacks | |
| Lasso et al. | A Survey on Software-Defined Wireless Sensor Networks: Current status, machine learning approaches and major challenges | |
| Jurado Lasso et al. | A Survey on Software-Defined Wireless Sensor Networks: Current status, machine learning approaches and major challenges | |
| Papadopoulos et al. | Industrial internet of things: Specificities and challenges | |
| Acar et al. | Peek-a-boo | |
| EP4396731A1 (en) | Managing decentralized auotencoder for detection or prediction of a minority class from an imbalanced dataset |