[发明专利]通过监测其行为检测未知IoT设备的系统和方法

权利要求书

1.一种用于确定设备类型的计算机实施的方法，所述计算机实施的方法包括以下步骤：

接收连接到一个或多个本地网络的具有未知设备类型的一个或多个第一设备的至少一个数据流；

从具有已知设备类型的第二设备的行为数据创建至少一个功能组，其中，所述第二设备中的每一个执行与所述功能组中的其他第二设备相同的任务；

创建所述至少一个功能组的行为简档，其中，所述行为简档包括描述所述第二设备的行为的统计模式的行为数据，其中，所述描述行为的统计模式的行为数据包括所述第二设备的连接持续时间；

从所述一个或多个第一设备的所述至少一个数据流确定行为数据；

确定所述一个或多个第一设备的所述行为数据与所述至少一个功能组的所述行为简档之间的相似度；以及

响应于确定所述相似度超过预定或可配置阈值，将与所述至少一个功能组相关联的设备类型分配给所述一个或多个第一设备。

2.如权利要求1所述的计算机实施的方法，其中所述一个或多个第一设备的所述至少一个数据流包括以下中的一个或多个：入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。

3.如权利要求1所述的计算机实施的方法，还包括将已知设备类型数据部署到所述一个或多个本地网络的步骤。

4.如权利要求1所述的计算机实施的方法，其中将所述一个或多个第一设备的所述至少一个数据流从一个或多个路由器或监测节点发送到行为分析器。

5.如权利要求4所述的计算机实施的方法，其中所述一个或多个路由器或监测节点耦合到互联网，并且其中所述互联网耦合到所述行为分析器。

6.如权利要求4所述的计算机实施的方法，其中所述行为分析器耦合到具有通过用户输入、检测、或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。

7.如权利要求1所述的计算机实施的方法，其中所述行为数据包括具有至少一个功能组的可接受范围的一个或多个阈值。

8.一种用于确定未知物联网IoT设备类型的系统，所述系统包括：

运行可运行程序的计算设备；

与一个或多个监测节点相关联的一个或多个设备；

一个或多个路由器，以在本地网络和互联网之间运行所述一个或多个第一设备的数据流的传输；以及

行为分析器，被配置为：

接收连接到本地网络的具有未知设备类型的一个或多个第一设备的数据流；

从具有已知设备类型的第二设备的行为数据创建至少一个功能组，其中，所述第二设备中的每一个执行与所述功能组中的其他第二设备相同的任务，

创建所述至少一个功能组的行为简档，其中，所述行为简档包括描述所述第二设备的行为的统计模式的行为数据，其中，所述描述行为的统计模式的行为数据包括所述第二设备的连接持续时间，

从所述一个或多个第一设备的所述数据流确定行为数据，

确定所述一个或多个第一设备的所述行为数据与所述至少一个功能组的所述行为简档之间的相似度，以及

响应于确定所述相似度超过预定或可配置阈值，将与所述至少一个功能组相关联的设备类型分配给所述一个或多个第一设备。

9.如权利要求8所述的系统，其中所述计算设备包括一个或多个处理器、网络接口模块、和存储器，并且其中所述处理器耦合到所述网络接口模块，并且被配置为运行行为跟踪过程。

10.如权利要求8所述的系统，其中所述行为分析器耦合到具有所述行为简档和已知设备行为数据的行为数据库。

11.如权利要求8所述的系统，其中所述一个或多个监测节点包括数据流监测器和设备统计。