本发明涉及一种类型的监视装置,这种类型的监视装置例如包括用于分析接收到的数据的数据分析模块。本发明还涉及一种类型的设备监视系统,这种类型的设备监视系统例如包括多个待被监视的联网的通信使能的设备。本发明还涉及一种监视多个联网设备的方法,该方法是例如监视从多个联网的通信使能的设备接收到的数据的类型。
背景技术:
物联网(IoT)系统通常包括多个分离的小型(例如电池供电的)设备和中央单元。这些设备经由通信信道(例如无线信道)连接到中央单元。在许多情况下,无线信道使用标准化的通信系统,例如长期演进(LTE)、3G或IEEE 802.11通信系统。这意味着设备距中央单元的距离可能相当大。该距离甚至不受无线信道范围的限制,因为有可能通过例如云服务进行连接。因此,并不是总可能例如通过现场检查来可视地确定是否已发生设备篡改。因此,安全性对于物联网设备是至关重要的。远程监视因此是期望的。
从制造的角度来看,当设备被预先加载软件以使得能够执行设备所设计的目的,并且设备在测试期间被通电时按预期启动时,设备对于从工厂派发的目的被认为是适当的。但是,这种适于目的的定义忽略了安全性考虑,例如,以上提到的远程设备受现场直接篡改损坏的漏洞。而且,在许多情况下,设备至少部分地相似并且有时由同一制造商制造。因此,由于设计的相似性,对一台设备的成功攻击意味着共享相同漏洞的所有其它设备可能成为攻击的目标。因此,受损设备的制造商的许多客户可能处于危险之中。
因此,随之而来的是,存在各种技术来利用这些漏洞。在这方面,不同的网络应用不同的安全措施和不同程度的严格性。由于安全措施中的这些差异,因此与一个网络或端对端连接相关联的一组设备的底层硬件元件与另一个网络或端对端连接中的设备所采用的相同硬件元件的漏洞之间的相关性可能不受欢迎。类似地,底层硬件单元可以被并入到广泛部署的许多不同设备中,虽然漏洞对于给定设备的一个所有者或制造商是已知的,但是对于采用相同底层硬件元件的另一个设备的拥有者或制造商,该漏洞可能是未知的。此外,安全措施可以由给定网络的中央单元或者甚至第三方来实现,因此对网络中实现的安全措施可用的数据是仅在应用级别可用的高级测量数据。因此,当某些类型的活动使用在应用层获得的数据被感知时,可能看起来是正常的活动,而实际上,活动是异常的,活动的异常性质只可通过分析较低级别的数据被检测到,例如受危害的并参与分布式拒绝服务(DDoS)攻击的相机设备。
有时可以通过监视中央单元和设备之间的流量或设备中的本地流量来检测IoT系统的漏洞,其信息可以用于向中央单元通知检测到的威胁。例如,美国专利号8,676,149涉及基于设备中的流量数据来检测异常并向中央单元报告任何异常的设备。“Anomaly Detection in Cellular Machine-to-Machine Communications”(Murynets等人,2013年IEEE International Conference on Communications,ICC 20132013)公开了其中分析机器对机器(M2M)流量并且从大量设备的流量数据在一组设备和/或单个设备内检测异常的研究。该研究是基于网络中M2M设备的流量数据离线进行的。但是,使用这些已知技术的在应用级别上已经受到损坏的设备并不总是容易地可识别的,尤其在实时的情况下。
技术实现要素:
根据本发明的第一方面,因此提供了一种用于通信使能的设备的网络的监视装置,该装置包括:处理资源,被配置为支持数据选择模块和数据分析模块;通信接口,可操作地耦合到处理资源并且被布置为接收多个数据片段;其中多个数据片段各自具有相应的设备标识符和相关联的观察数据,多个数据片段分别包括多个唯一设备标识符;数据选择模块被布置为读取多个数据片段的相应标识符和相关联的观察数据并且识别由于共同设备特性而生成的多个数据片段的集合;以及数据分析模块被布置为分析由数据选择模块识别出的多个数据片段的集合,以便相对于预定的预期操作参数检测异常设备活动。
共同设备特性可以涉及设备行为。共同设备特性可以是设备物理参数。
设备物理参数可以是由外围设备可检测的。
外围设备可以是独立于处理资源的测量设备。外围设备可以是温度传感器。外围设备可以是GNSS接收器。
共同设备特性可以是由设备应用的执行而产生的可测量参数。
处理资源可以被布置为响应于检测到指示非预期设备操作的异常设备活动而生成警报。
处理资源可以被布置为响应于警报的生成而发起设备更新的通信。更新可以是固件更新。
数据选择模块可以被布置为识别多个数据片段的集合的另一个共同设备特性;以及数据分析模块可以被布置为分析由数据选择模块相对于另一个共同设备特性识别出的多个数据片段的集合,以便增加使用共同设备特性检测异常设备活动的置信度。
数据选择模块可以被布置为识别由于共同设备特性而生成的另一个多个数据片段的集合;并且数据分析模块可以被布置为分析由数据选择模块识别出的另一个多个数据片段集合,以便检测异常设备活动。
接收到的多个数据片段中的数据片段可以被加密。数据片段可以作为压缩数据被接收。实际上,数据片段可以使用任何合适的带宽优化技术来传送。在这方面,数据片段可以表示识别数据变化的数据差异或增量。
根据本发明的第二方面,因此提供了一种设备监视系统,包括:如以上关于本发明的第一方面所述的监视装置;多个能够与监视装置通信的通信使能的设备。
多个设备包括:包括支持包括应用层的协议栈的设备处理资源的设备;以及设备处理资源也可以支持独立于应用层执行的监视模块。
该系统还可以包括:与多个通信使能的设备的组相关联的控制实体。
监视装置可以被布置为向控制实体传送警报。
多个设备可以被布置为向监视装置传送多个数据片段。
设备处理资源可以被布置为在由处理资源支持的沙盒中执行监视模块。
监视模块可以被布置为传送多个数据片段中的数个;并且该多个数据片段中的数个可以包括与设备唯一相关联的标识符。
监视装置可以包括将多个设备中的待被监视的设备识别为设备监视订阅服务的一部分的被监视设备的注册。
数据选择模块可以被布置为通过参考设备的标识来确定设备的组。
由监视模块传送的观察数据的性质可以是工厂设置。
根据本发明的第三方面,因此提供了一种物联网,其包括如以上关于本发明的第二方面所述的设备监视系统。
根据本发明的第四方面,因此提供了一种监视多个联网设备的方法,该方法包括:从多个设备接收多个数据片段,多个数据片段包括每个具有相应的设备标识符和相关联的观察数据;读取多个数据片段的相应标识符和相关联的观察数据,以便识别由于共同设备特性而生成的多个数据片段的集合;以及分析识别出的多个数据片段集合,以便检测异常设备活动。
因此,可以提供支持用于行为异常检测的设备分组的装置、系统和方法。通过独立于应用设计、并且在低于对应用(例如协议栈的应用层)或与给定设备通信的终点处的实体可见的系统级别处监视设备,以其它方式不能被常规终端用户测量技术检测到的行为可以被检测到,包括那些对设备的预期操作没有直接或立即影响但是仍然对其它系统造成损害的行为。因此,设备不仅可以在可能发生攻击(诸如出现无效命令的突然增加以发现弱点)的情况下被监视,而且设备的灵活分组允许这些检测可以被设备的所有者看到,于是,设备在其发生之前被认为潜在地容易受到同样的攻击。同样,灵活的设备分组也可以减少通常辨别单个设备的不正确行为所需要的经过时间。实际黑客攻击的实时检测也可以实现更快的响应。此外,在其中在第一组设备中检测到的潜在异常活动对于活动是否异常是不确定的情况下,可以用关于第二组设备检测到的活动对该活动进行交叉检查,向第一组设备分享相关硬件特征,以便确定是否可以发现比相对于第一组设备辨别的更多数量的行为实例,从而获得对异常活动的确认。
附图说明
现在将参考附图仅以示例的方式描述本发明的至少一个实施例,其中:
图1是构成本发明的实施例的设备监视系统的示意图;
图2是图1的并且构成本发明的另一个实施例的监视装置的示意图;
图3是图1的通信使能的设备的示意图;
图4是由图3的通信使能的设备所采用的生成数据片段的方法的流程图;以及
图5是由图2的监视装置所采用的并且构成本发明的另一个实施例的监视多个联网设备的方法的流程图。
具体实施方式
贯穿以下描述,相同的附图标记将用于识别相似的部分。
参考图1,提供了监视第一IoT网络102和第二IoT网络104的设备监视系统100。第一IoT网络102包括第一组或第一多个通信使能的设备106,并且第二IoT网络104包括第二组或第二多个通信使能的设备108。第一多个通信使能的设备106和第二多个通信使能的设备108中的每个设备109包括例如在制造时被分配唯一标识符(ID)的通信模块111。第一多个设备106和第二多个设备108中的设备可以是分别与第一IoT网络102和第二IoT网络104兼容的任何期望的类型,例如,网络摄像头、GNSS跟踪单元、交通工具、HVAC系统和/或智能仪表。通信模块111是使得能够与设备109进行通信的任何合适的模块。应当理解的是,对于给定设备,通信模块111的制造商可以与设备109的制造商不同且独立。在这方面,通信模块111的制造商可以是设备109的制造商的供应商。此外,设备109的所有者、保管者和/或用户也可以独立于和不同于通信模块111和/或设备109的制造商。
第一IoT网络102具有第一控制实体110,并且第二IoT网络104具有第二控制实体112。第一控制实体110和第二控制实体112是提供的分别管理或监督第一IoT网络102和第二IoT网络104的操作或操作的方面的任何技术资源。第一控制实体110和第二控制实体112的确切角色取决于相应IoT网络102、104的目的。例如,IoT网络可以是资产跟踪设备的网络、用于监视资产的相机设备的监控网络、或具有多个客户且其中一些客户拥有通信使能的设备的互联网服务提供商(ISP)或基础设施提供商的网络。通常,控制实体使用通信使能的计算装置(例如服务器)来实现。在这方面,控制实体110、112可以是拥有或管理与给定控制实体相关联的网络的实体的服务器,例如从设备109收集数据和/或支持数据管理功能(例如某些行为或功能的远程控制)的服务器。
提供例如互联网114的广域网(WAN),并且第一多个通信使能的设备106能够经由互联网114与第一控制实体110通信。第二多个通信使能的设备108也能够经由互联网114与第二控制实体112通信。
监视装置116能够经由互联网114与第一多个通信使能的设备106、第二多个通信使能的设备108、第一控制实体110和/或第二控制实体112通信。
第二多个通信使能的设备108包括通信使能的设备的子集118。在这个示例中,通信使能的设备的子集118和第一多个通信使能的设备106例如使用由同一制造商制造的通信模块111实现。
转到图2,监视装置116在这个示例中被实现为服务器,并且包括处理资源200,处理资源200在这个示例中是处理器。处理资源200可操作地耦合到易失性存储器(例如RAM202)和非易失性存储器(例如数字存储器204)。处理资源200还耦合到键盘206和显示器208。存储设备210(例如硬盘驱动器或固态驱动器(SSD))也可操作地耦合到处理器200,并且包括设备数据的数据库212。作为不同的数据库或作为上述数据库的一部分,订阅数据可以被存储在存储设备210中,其细节将在下文被描述。本领域技术人员应当理解的是,上述监视装置116的体系架构包括其它元件,但是由于这样的附加元件对于理解本文所包含的示例不是关键的,因此,为了保持描述的简洁和清楚起见,没有详细描述它们。
在这个示例中,设备数据的数据库212存储包括每个单独设备的标识符和设备类型的设备注册数据。设备数据的数据库212也存储技术规范数据,该技术规范数据构成与注册的标识符相关联的预定的预期操作参数,其可以包括行为和/或物理参数。例如,行为可以包括由设备109采取的动作的频率、被执行的功能,诸如生成的输出的种类。物理参数可以包括设备109的一个或多个物理元件的物理特性,例如设备的处理资源的正常操作温度,或物理属性或性能参数,例如数据速率。
取决于给定的通信使能的设备驻留其中的IoT网络,设备由第一控制实体110或第二控制实体112注册。可替代地,制造商可以向监视装置116注册一个或多个通信使能的设备。制造商可以是设备109的制造商、通信模块111的制造商或者对监视与待被监视的设备相关联的行为感兴趣的任何其它实体。这种实体可以被认为是订户。还应该理解的是,在(设备109或通信模块111的)制造商希望订阅监视服务的情况下,制造商可以负责制造若干产品,并且制造商可以选择仅向监视装置116注册其中不同型号的通信使能的设备共享共同方面或特征的一些通信使能的设备。
在这个示例中,处理资源200支持数据选择模块214和数据分析模块216。数据选择模块214可操作地耦合到监视装置116的通信接口218和存储设备210。数据选择模块214也能够与数据分析模块216通信,数据分析模块216可操作地耦合到监视装置116的通信接口218和数据存储器210。
参考图3,设备109包括部分支持协议栈302、304、306、308的设备处理资源300。在这个示例中,协议栈包括能够与应用环境层304通信的应用层302,应用环境层304能够与协议栈的调制解调器层306通信。协议栈还包括能够与调制解调器层306通信的硬件和驱动程序层308。调制解调器层306以及硬件和驱动程序层308用于与互联网114以及在这个示例中的监视装置116通信。通信模块111支持协议栈的一部分或全部,例如调制解调器层306和硬件和驱动程序层308的部分以及监视模块310。
应用层302用于托管设备的所有者已经安装在设备109上的设备109的所有应用和功能。应用层302还可以包括由设备109的制造商提供的、与设备109的基本操作相关的应用。
应用环境层304包括例如用于设备109的操作系统和应用编程接口(API)。取决于设备109用于发送数据的通信技术,例如根据LTE通信标准,调制解调器层306用于准备从较高层接收到的要以所需形式发送的数据,以及准备从较低层接收到的要以所需形式由较高层接收的数据。
硬件和驱动程序层308包括从调制解调器层306以所需形式传输数据所需的硬件,例如射频(RF)传输级和(一个或多个)天线。
虚线312指示协议栈的边界,在这个示例中,在该协议栈的边界下面,通信模块111的制造商可以访问,但是设备109的所有者(或者诸如控制实体110、112的其它实体)不能访问。
监视模块310被布置为执行应用层302,即虚线312下面的监视软件314,并且包括由监视模块310收集到的用于转发给监视装置116的数据的地址信息316。监视模块310可以被布置为例如在由应用环境层304提供的沙盒中执行,或者作为由应用环境层304支持的单独任务执行。地址信息可以是IP地址或任何其它类型的地址。外部设备318(例如外围模块或单元)可操作地耦合到监视模块310以及硬件和驱动程序层308。虽然在这个示例中外部设备318被绘出和描述为在设备109外部,但是应该理解的是,取决于设备109的配置,外部设备318可以被生产作为设备的一部分。在这方面,外部设备318的相对位置应当被理解为是例如关于用于支持协议栈302、304、306、308的电子电路系统,即,外部设备318可以是功能上独立于支持协议栈302、304、306、308的硬件并且可以被放置在设备109的壳体(未示出)内或壳体的外部。实际上,“外部”设备308甚至可以是支持协议栈302、304、306、308的相同的集成电路的一部分。在这个示例中,该外部设备318是向设备109及其应用提供数据的温度传感器或GNSS接收器。它也可以通过与监视模块310的连接向监视软件314提供数据。虽然在这个示例中外部设备318连接到硬件和驱动程序层308,但是本领域技术人员应该理解的是,如果需要的话,数据可以直接提供给协议栈的其它层。除了可操作地耦合到外部设备318之外,监视模块310也可操作地耦合到应用环境层304、调制解调器层306以及硬件和驱动程序层308。监视模块310能够接收源自设备109内、被称为内部数据资产的数据资产,以及源自设备109外部的一个或多个源(例如外部设备318)、被称为外部数据资产的数据资产。数据资产构成观察数据。使用数据资产是为了检测远程位置(即监视装置116)处的异常设备活动。异常设备活动可以涉及设备的行为和/或设备的物理参数,例如温度(有时企图是使设备加热以便损坏它们)。异常设备活动可以包括异常传输。异常设备活动可能由在应用层302处执行的代码而导致,例如,由于设备109被破坏或出现故障而产生。
在操作中(图4),监视模块310的监视软件314被布置为通过将监视模块310耦合到协议栈以及耦合到外部设备318来监视(步骤400)到监视模块310的输入,即上面提到的内部和/或外部数据资产。在这方面,这种数据获取可以通过调用针对应用环境层304、调制解调器层306和/或硬件和驱动程序层308的专用应用编程接口(API)来完成。可选地或附加地,监视模块310可以由应用环境层304、调制解调器层306和/或硬件和驱动程序层308调用以获得数据资产。取决于资产数据的性质,这些操作可以基于动作/事件驱动或基于时间。
数据资产源自协议栈的应用层302的下面。数据资产的示例包括但不限于,温度测量值、GNSS位置数据、基站切换数据、IMEI数据、唤醒时间、内部管芯温度、应用环境存储器使用、中央处理单元(CPU)空闲时间和/或闪存访问利用率。捕获的数据资产的类型可以在制造期间进行配置。监视软件314分析(步骤402)接收到的数据资产,以便确定是否有任何数据资产符合在制造时由设备109的制造商预定义的选择标准。在接收到的数据资产被确定为是需要向监视装置116报告的种类的情况下,监视软件314将数据资产与设备109的唯一标识符和由监视模块300存储的地址信息316打包(步骤404)。打包过程可以包括对数据资产、标识符和/或地址信息的加密。如果期望,也可以应用数据压缩,或者任何其它带宽优化技术,例如通信数据差异或增量。打包的数据资产然后被传送到应用环境层304,以便由协议栈的较低层(即虚线312下面)处理。可替代地,如果当前没有接收到可报告的数据资产,则监视软件314继续监视数据资产以识别需要向监视装置116报告的任何数据资产。由应用环境层304接收到的打包的数据资产由协议栈根据协议栈的设计进行处理并且经由协议栈的硬件和驱动程序层308发送(步骤406)。
如应当理解的,第一IoT网络102和第二IoT网络104中的每个包括第一多个通信使能的设备106和第二多个通信使能的设备108,数个通信使能的设备订阅设备监视订阅服务,并且因此每个将数据片段传送到监视装置116。因此,监视装置116接收多个数据片段。
转到图5,数据选择模块214经由通信接口218接收(步骤500)以上提到的多个数据片段。然后,数据选择模块214参考包含在数据片段中的标识符和设备数据的数据库212尝试识别(步骤502)反映源自共享共同设备特性的设备的一组或多组数据片段。在这方面,由设备数据的数据库212存储的技术规范数据由数据选择模块214通过参考例如包含在数据片段中的标识符来访问,以便识别共同设备特性。在这个示例中,共同设备特性是唤醒功能。源自也具有唤醒功能的某种类别的设备(例如智能仪表)的数据片段例如被选择作为一组数据片段。因此,也可以看出,可以使用多于一个共同设备特性(在这个示例中,另一个共同设备特性)作为数据片段选择的基础。一旦识别出共享一个或多个共同设备特性的多个数据片段,数据选择模块214将该组数据片段传送到数据分析模块216,以便分析该组数据片段,从而识别(步骤504)第一IoT网络102和/或第二IoT网络104中通信使能的设备的任何异常行为,即分组数据片段的方法可以是网络无关的。在具有唤醒功能的某种类别的设备的情况下,唤醒的正常周期可以是例如每2小时。数据分析模块216访问设备数据的数据库212以便确定正常周期。但是,在其它实施例中,这种技术规范数据可以在设备109向监视装置116注册的期间进行配置。然后,该信息被数据分析模块216使用,以便确定多个数据片段是否构成以在正常操作参数内的周期执行唤醒的报告。例如,如果从该组数据片段中获得的数据资产指示唤醒周期不符合正常操作周期,例如显著小于每两小时的时间周期,则这被数据分析模块216认为是异常行为。在这方面,可以执行该组数据片段的数据资产的统计分析,以便确定生成数据片段的统计上有效数量的设备是否没有按照预期操作参数操作。如果统计上有效数量的设备被发现异常操作,那么这可能表明设备已经被损害。附加地或替代地,被确定为没有按照正常操作参数操作的少量设备可能表明一个或多个设备的故障。在一些示例中,数据分析模块216可以分析一个或多个附加的共同设备特性,以便获得使用共同设备特性检测异常设备活动的增加的置信度。在一些示例中,可以使用共同设备特性来识别多于一组的数据片段,每组分别表现异常。在这方面,每组数据片段仍然可以共享共同特征,例如,诸如通信模块111的底层硬件元件,使得每组的数据片段也可以符合另一个共同的分组。因此,分析共同分组的数据片段可以揭示由两个组并且因此不同设备(例如不同类别的设备,诸如智能仪表和智能路灯)展现出的异常行为,从而揭示通过独立分析来自单独组数据片段的数据片段不一定可检测到的异常行为。
在一些示例中,由数据分析模块216用来分析给定组数据片段的标准或准则可以是可配置的。在这方面,标准或准则可以由例如控制实体110、112中的一个或任何其它适当的实体(诸如监视装置116)单方面地关于例如技术规格数据来设置。在这样的示例中,可以从适当的实体向监视装置116传送调整请求。在一个示例中,标准或准则的调整可以是由于与设备109相关联的、可能导致不可接受的大量虚假警报的环境条件而导致的。例如,在数个设备109位于高环境温度的环境中的情况下,例如由于温暖的气候和/或室内使用,可以增加如果被超过将通常暗示异常活动的温度参数,以考虑环境温度。附加地或替代地,在关于给定标准或准则分析一组数据片段导致不可接受的大量虚假警报的情况下,构成例如一个或多个阈值的标准或准则可以被调整以减少虚假警报的数量。这可以只是对于由于虚假警报的数量为不可接受的高,而不是可被识别的其它原因(例如环境原因)是必要的。
在设备中的一个或多个设备是订阅设备(数据分析模块216参考由数据库212存储的订阅数据确定)的情况下,数据分析模块216通过生成指示一个或多个设备在以非期望方式操作的警报来对检测到异常设备行为做出响应。然后,警报可以被传送(步骤506)到向监视装置116注册设备109的实体,例如,服务的订户,诸如设备的制造商、设备109的实际所有者、通信模块111的制造商和/或与正在异常操作的设备相关联的控制实体。
对发送的警报的响应可以取决于警报的接收者的策略。例如,一个制造商可以进一步调查异常行为并确定需要向一个或多个设备发送设备更新,例如软件更新,诸如空中固件(FOTA)更新。
虽然以上已经描述了本发明的特定示例,但是本领域技术人员将理解的是,许多等同的修改和变化是可能的。例如,虽然已经在监视通信使能的设备的唤醒行为的上下文中描述了以上示例,但是其它活动可以形成检测异常行为的基础,例如监视用无效AT命令对设备的轰击。
还应该理解的是,虽然已经在IoT网络的上下文中描述了以上示例,但是本领域技术人员应该理解的是,这些示例适用于通信使能的设备的其它网络。
还应该理解的是,虽然本文阐述的示例是在由通信模块111执行分析的上下文中描述的,但是本文描述的支持监视模块310的设备109的设备处理资源可以包括用于在设备109内更深入监视目的的处理,例如通信模块111的部件或元件或仍然进一步嵌套的元件。在这样的情况下,由更深元件支持的监视模块310将可以访问相对于协议栈在虚线312下面发生的活动。在这方面,作为示例,监视模块310可以由将构成以上提到的设备处理资源的一部分的订户身份模块(SIM)的处理器支持。
因此,以上阐述的本发明的示例性实施例被认为是说明性的而不是限制性的。在不脱离本发明的精神和范围的情况下,可以对所描述的实施例进行各种改变。
除了所描述的结构部件和用户交互之外,以上实施例的装置和方法可以在计算机系统中(特别地在计算机硬件中或在计算机软件中)实现,或者在专门制造的或适配的集成电路中实现。
以上实施例的方法可以作为计算机程序提供,或者作为携带计算机程序的计算机程序产品或计算机可读介质提供,该计算机程序被布置为当在计算机或其它处理器上运行时执行上述(一个或多个)方法。
术语“计算机可读介质”包括但不限于可以由计算机或计算机系统直接读取和访问的任何介质和媒体。介质可以包括但不限于磁存储介质,诸如软盘、硬盘存储介质和磁带;光存储介质,诸如光盘或CD-ROM;电存储介质,诸如存储器,包括RAM、ROM和闪存;以及以上的混合和组合,诸如磁/光存储介质。