知財求人 - 知財ポータルサイト「IP Force」
特許7566746無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-04
(45)【発行日】2024-10-15
(54)【発明の名称】無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法
(51)【国際特許分類】
H04W 12/122 20210101AFI20241007BHJP
H04W 12/06 20210101ALI20241007BHJP
H04W 24/00 20090101ALI20241007BHJP
H04W 84/12 20090101ALI20241007BHJP
【FI】
H04W12/122
H04W12/06
H04W24/00
H04W84/12
【請求項の数】
16
(21)【出願番号】P 2021533804
(86)(22)【出願日】2020-01-14
(65)【公表番号】
(43)【公表日】2022-03-24
(86)【国際出願番号】 US2020013557
(87)【国際公開番号】W WO2020163049
(87)【国際公開日】2020-08-13
【審査請求日】2023-01-16
(31)【優先権主張番号】62/800,927
(32)【優先日】2019-02-04
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/365,393
(32)【優先日】2019-03-26
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】520079108
【氏名又は名称】802・セキュア・インコーポレーテッド
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(72)【発明者】
【氏名】グリュッツマッハー,コンラッド
(72)【発明者】
【氏名】フェルナンデス,クリフォード
【審査官】松野 吉宏
(56)【参考文献】
【文献】特開2011-234346(JP,A)
【文献】特開2019-021095(JP,A)
【文献】特開2015-115794(JP,A)
【文献】国際公開第2007/116605(WO,A1)
【文献】特開2017-033186(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24 - 7/26
H04W 4/00 - 99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
ネットワークにアクセスするワイヤレス・クライアント・デバイスを監視する方法であって、前記方法は、無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の通信のための規定の無線周波数割当空間をスキャンすることと、
前記無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスが、スキャンした規定の無線周波数割当空間に基づき前記ネットワークに接続していることを決定することであって、前記ネットワークは、承認されるネットワーク又は承認されないネットワークのうち1つである、決定することと、
前記無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の通信活動に関するデータを収集することと、
前記無線周波数スキャン・デバイスによって、挙動パターンと前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の通信活動に関して収集された前記データとの分析に基づいて、前記挙動パターンの知識ベースであって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の接続のためのアクセス制御を確立するために用いられる、前記挙動パターンの知識ベースを生成することと、
前記ネットワークが承認されるネットワークであるとき、前記無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとを認識することと、
前記ネットワークが承認されないネットワークであるとき、前記無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の前記通信活動に関して収集された前記データから挙動パターンを抽出し、前記無線周波数スキャン・デバイスによって、抽出された前記挙動パターンを前記挙動パターンの知識ベースの挙動パターンと比較することと
を含み、前記収集したデータは、前記ワイヤレス・クライアント・デバイスの挙動パターンを記憶、分析するためのものである、方法。
【請求項2】
前記無線周波数スキャン・デバイスによって、前記無線周波数スキャン・デバイスとサーバとの間のセキュア通信チャネル上で、生成した前記知識ベースを前記サーバに送信することを更に含む、請求項1に記載の方法。
【請求項3】
前記承認されるネットワークに接続する前記ワイヤレス・クライアント・デバイスのための正常挙動パターンを確立するため、前記収集したデータを分析することを更に含む、請求項1に記載の方法。
【請求項4】
前記ネットワークが承認されないネットワークであるとき、前記比較に基づき、前記抽出した挙動パターンが前記ワイヤレス・クライアント・デバイスの異常挙動パターンであることを決定することを更に含む、請求項1に記載の方法。
【請求項5】
前記抽出した挙動パターンが異常挙動パターンであるという前記決定に基づき、救済行動を実施することを更に含む、請求項4に記載の方法。
【請求項6】
前記無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスが、前記承認されるネットワークとの接続の終了の後、前記承認されないネットワークとの接続を開始したことに基づき、データを収集することと、前記無線周波数スキャン・デバイスによって、前記ワイヤレス・クライアント・デバイスの挙動パターンを記憶、分析するため、前記収集したデータを送信することと
を更に含む、請求項1に記載の方法。
【請求項7】
1以上のプロセッサによって実行されると、前記1以上のプロセッサが、ワイヤレス・クライアント・デバイスとネットワークとの間の通信のための規定の無線周波数割当空間をスキャンし、
前記ワイヤレス・クライアント・デバイスが、前記スキャンした規定の無線周波数割当空間に基づき前記ネットワークに接続していることを決定し、
前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の通信活動に関するデータを収集し、
挙動パターンと前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の通信活動に関して収集された前記データとの分析に基づいて、前記挙動パターンの知識ベースであって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の接続のためのアクセス制御を確立するために用いられる、前記挙動パターンの知識ベースを生成し、
前記ネットワークが承認されるネットワークであるとき、前記ワイヤレス・クライアント・デバイスと前記ネットワークとを認識し、
前記ネットワークが承認されないネットワークであるとき、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の前記通信活動に関して収集された前記データから挙動パターンを抽出し、抽出された前記挙動パターンを前記挙動パターンの知識ベースの挙動パターンと比較する
ように動作させる命令を記憶した非一時的コンピュータ可読媒体であって、前記ネットワークは、承認されるネットワーク又は承認されないネットワークのうち1つであり、前記収集したデータは、前記ワイヤレス・クライアント・デバイスの挙動パターンを記憶、分析するためのものである、非一時的コンピュータ可読媒体。
【請求項8】
前記命令は、前記1以上のプロセッサによって実行されると、前記1以上のプロセッサが、さらに、前記1以上のプロセッサとサーバとの間のセキュア通信チャネル上で前記収集したデータを前記サーバに送信する、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項9】
前記命令は、前記1以上のプロセッサによって実行されると、前記1以上のプロセッサが、さらに、前記承認されるネットワークに接続する前記ワイヤレス・クライアント・デバイスのための正常挙動パターンを確立するため、前記収集したデータを分析する、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項10】
前記ネットワークは、前記承認されないネットワークであるとき、前記命令は、前記1以上のプロセッサによって実行されると、前記1以上のプロセッサが、さらに、前記比較に基づき、前記抽出した挙動パターンが前記ワイヤレス・クライアント・デバイスの異常挙動パターンであることを決定する、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項11】
前記命令は、前記1以上のプロセッサによって実行されると、前記1以上のプロセッサが、さらに、前記抽出した挙動パターンが異常挙動パターンであるという前記決定に基づき、救済行動を開始する、請求項10に記載の非一時的コンピュータ可読媒体。
【請求項12】
前記命令は、前記1以上のプロセッサによって実行されると、前記1以上のプロセッサが、さらに、前記承認されるネットワークとの接続を終了した後、前記承認されないネットワークとの接続を開始したことに基づき、データを収集し、
前記ワイヤレス・クライアント・デバイスの挙動パターンを記憶、分析するため、前記収集したデータを送信する、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項13】
サーバ・システムであって、前記サーバ・システムは、少なくとも1つの記憶デバイスと、
前記少なくとも1つの記憶デバイスに結合する少なくとも1つのプロセッサであって、
監視デバイスからセキュア通信チャネル上で、承認されるネットワークに接続するワイヤレス・クライアント・デバイスの第1のデータを受信し、
前記承認されるネットワークに接続する前記ワイヤレス・クライアント・デバイスの正常挙動パターンを決定するため、前記受信したデータを分析し、
前記受信した第1のデータ及び前記正常挙動パターンを前記少なくとも1つの記憶デバイス内に記憶し、
前記監視デバイスから前記セキュア通信チャネル上で、承認されないネットワークに接続するワイヤレス・クライアント・デバイスの第2のデータを受信し、
前記承認されないネットワークに接続する前記ワイヤレス・クライアント・デバイスの異常挙動パターンを決定するため、前記受信した第2のデータを分析し、
前記受信した第2のデータ及び前記異常挙動パターンを前記少なくとも1つの記憶デバイス内に記憶し、
記憶された前記第1のデータ、記憶された前記第2のデータ、前記記憶してある正常挙動パターン、及び前記記憶してある異常挙動パターンに基づいて、挙動パターンの知識ベースであって、前記ワイヤレス・クライアント・デバイスと前記ネットワークとの間の接続のためのアクセス制御を確立するために用いられる、前記挙動パターンの知識ベースを生成し、
前記ワイヤレス・クライアント・デバイスと前記承認されるネットワークとを認識し、
前記ワイヤレス・クライアント・デバイスと前記承認されないネットワークとの間の通信活動に関して収集された前記データから挙動パターンを抽出し、抽出された前記挙動パターンを前記挙動パターンの知識ベースの挙動パターンと比較する
ように構成したプロセッサと、
前記プロセッサに結合するセキュリティ・マネージャと
を備え、前記セキュリティ・マネージャは、
前記異常挙動パターンを決定した後、アクセス制御ポリシーに基づき、前記ワイヤレス・クライアント・デバイスのための救済行動を生成する
ように構成する、サーバ・システム。
【請求項14】
前記受信した第2のデータを分析して、前記ワイヤレス・クライアント・デバイスの前記承認されないネットワークへの接続の前記異常挙動パターンを決定するために、前記プロセッサは、前記受信した第2のデータからの挙動パターンと、前記記憶してある正常挙動パターンとを比較して、前記ワイヤレス・クライアント・デバイスの前記承認されないネットワークへの接続の前記異常挙動パターンを決定する
ように構成される、請求項13に記載のサーバ・システム。
【請求項15】
前記セキュリティ・マネージャは、通信チャネル上で、前記ワイヤレス・クライアント・デバイスに関連付けた計算デバイスに前記救済行動を送信する
ように更に構成する、請求項14に記載のサーバ・システム。
【請求項16】
前記監視デバイスは、ワイヤレス無線周波数監視デバイスである、請求項13に記載のサーバ・システム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2019年2月4日出願の米国特許仮出願第62/800,927号の利益を主張し、当該出願の開示は、参照により本明細書に組み込まれる。
本出願は、2019年2月4日出願の米国特許仮出願第62/800,927号の利益を主張し、当該出願の開示は、参照により本明細書に組み込まれる。
【0002】
本開示の実施形態は、エンドポイント活動の観察によって、ネットワーク上でのサイバー攻撃、特に、脆弱なワイヤレス・アクセス・ポイントを介するネットワーク上でのサイバー攻撃を識別し、防止するシステム及び方法に関する。
【背景技術】
【0003】
コンピュータ・システム及びネットワークに蔓延する問題の1つには、ここ数年にわたって増加しているサイバー攻撃からのセキュリティの欠如がある。コンピュータ及びデータ・ネットワークに対する脅威は、ハッカーがより巧妙、より革新的になるにつれて増え続けている。既存のセキュリティに対する解決策では、コンピュータ及びデータ・ネットワークに継続的に向けられる課題に対処することができない。
【発明の概要】
【発明が解決しようとする課題】
【0004】
概要
【0005】
現在のセキュリティ対策は、ローカル・エリア・ネットワーク(LAN)に接続する可能性がある「ローグ」又は「権限のない」アクセス・ポイント(AP)、プロトコル攻撃(例えば、認証解除、Evil Twin AP、KRACK、WPA PSKコレクション・リカバリ)の識別、又は認証(例えば、Open、事前共有鍵、拡張認証プロトコル)若しくは他のルール・ベース・アクセス制御(例えば、アクセス制御リスト、CISCO TRUSTSEC等)の提示に基づくアクセスの付与を中心に展開している。
【0006】
こうした技法は、開始された攻撃から、基礎をなすネットワーク・セキュリティを守ることができる一方で、使用中の無線周波数(RF)空間内のエンド・ユーザをほとんど保護しない。こうした技法は、攻撃へとつながる、ネットワークへの悪意のあるアクセスも防止しない。デバイス上ウイルス保護、デバイス暗号化、VPN、及び他のエンドポイント解決策等の解決策を使用しなければならないが、これらは、RF空間内で悪意のあるクライアントの挙動を識別しないことがある。
【0007】
上記で明らかにした問題の一部を克服するため、本開示によってゼロ・トラスト・ワイヤレス監視を提案する。
【0008】
比較技術/概念
【0009】
ゼロ・トラスト・ワイヤレス監視は、直接的なゲートキーパ技術ではないが、既存のロール・ベース・アクセス制御及びネットワーク・アクセス制御システムと比較することができる。
【0010】
ロール・ベース・アクセス制御
【0011】
元来、米国標準技術局(NIST)によって提案されたロール・ベース・アクセス制御(Role Based Access Control、RBAC)モデルは、現在、INCITS359-2012内に記録、維持されている。
【0012】
セキュリティ管理は、費用がかかり、エラーを起こしやすい可能性がある。というのは、管理者は、通常、システム上で各ユーザのためのアクセス制御リストを個々に指定するためである。RBACの場合、セキュリティは、組織構造に厳密に対応するレベルで管理される。各ユーザには、1つ又は複数の役割が割り当てられ、各役割には、当該役割においてユーザに許可される1つ又は複数の権限が割り当てられる。RBACが伴うセキュリティ管理は、特定の仕事において人が実行しなければならない動作を決定し、従業員に適切な役割を割り当てることにある。相互に排他的な役割又は役割の階層がもたらす複雑さは、RBACソフトウェアによって処理され、セキュリティ管理をより容易にする。
【0013】
ネットワーク・セグメンテーション/ゼロ・トラスト(登録商標):
【0014】
ゼロ・トラスト(登録商標)アーキテクチャ概念は、「絶対に信頼せず、常に検証する」という指導原理を促進する、Forrester Researchによって最初に提案された。ゼロ・トラストの境界は、ネットワークの様々なセグメントを効果的に区分化し、
・GlobalProtect及びパートナーシップを介したセキュア・アクセス
・全トラフィックの点検
・高度な脅威保護
に基づきアクセスを付与又は否定するものである。
・GlobalProtect及びパートナーシップを介したセキュア・アクセス
・全トラフィックの点検
・高度な脅威保護
に基づきアクセスを付与又は否定するものである。
【0015】
CISCO TRUSTSEC(登録商標):
【0016】
図1は、Cisco TrustSec(登録商標)の例示的なブロック図を示す。Cisco TrustSec(登録商標)は、ネットワーク・サービス及びアプリケーションへのセキュア・アクセスの供給及び管理を簡略化する。ネットワーク・トポロジに基づくアクセス制御機構とは異なり、Cisco TrustSec(登録商標)のポリシーは、論理グルーピングを使用するため、アクセスは、リソースが移動体及び仮想化ネットワーク内で移動する場合であっても、一貫して維持される。IPアドレス及びVLANからアクセス・エンタイトルメントを分離することにより、セキュリティ・ポリシー保全タスクを簡略化し、オペレーション費用を低下させ、有線、ワイヤレス及びVPNアクセスに共有アクセス・ポリシーを一貫して適用可能にする。
【0017】
Cisco TrustSec(登録商標)は、アイデンティティ・サービス・エンジン(ISE)を使用し、セキュリティ・グループ・タグ(SGT)と呼ばれる論理タグを付与するものであり、セキュリティ・グループ・タグは、認証されるアクセス・ポイント(AP)又はエンドポイントを通じてネットワークにアクセスする個人資産及び法人資産のためのアクセス制御を詳述する。このSGTは、CISCOインフラストラクチャにわたり、あらゆる生成したアクセス制御リストと共にエンド・ユーザに追従する。
【0018】
図1は、スイッチ109、ルータ110、ファイアウォール108を含むネットワークへのアクセスを示し、ネットワークは、企業のHRサーバ106及び財務サーバ107等のリソースに通じている。iPhone(登録商標)等の個人資産102A又はMac等の会社資産102Bを使用する従業員は、認証されたアクセス・ポイント(AP)101を通じてネットワークにアクセスする。AP101は、ワイヤレス・ローカル・エリア・ネットワーク・コントローラ(WLC)103に結合され、WLC103は、資産102Aと102Bとの間を区別することができる。WLC103は、ISE104に更に結合され、ISE104は、資産に関するプロファイリング・データ及び分類データをWLC103から収集し、セキュリティ分類を含む資産関連SGTを生成し、資産関連SGTは、ネットワークにアクセスしている資産102A又は102Bに関するアクセス制御を詳述する。次に、SGTは、資産SGT105として資産と関連付けられ、資産がネットワーク内でHRサーバ106又は財務サーバ107等のリソースとの通信又はリソースへのアクセスを試みる際、ネットワークを移動する。資産SGT105に関連付けたセキュリティ分類は、資産がネットワーク内で任意の特定のリソース106又は107にアクセスし得るかどうかを決定する。アクセス制御は、ドメイン・コントローラ(DC)ファイアウォール108又はDCスイッチ109等のネットワーク内の分散アクセス制御機構によって、アクセスされるリソースの前で実施される。
【0019】
こうした技法は、基礎をなすネットワークを攻撃からセキュアに保ち得る一方で、使用中のRF空間内のエンド・ユーザをほとんど保護しない。デバイス上ウイルス保護、デバイス暗号化、VPN、及び他のエンドポイント解決策等の解決策を使用しなければならないが、これらは、RF空間内で悪意のあるクライアントの挙動を識別しないことがある。
【課題を解決するための手段】
【0020】
したがって、攻撃者を追跡し、攻撃を防止する方法を提供し得る方法及びシステムを有することが有用である。上記で明らかにした既存のシステムに関する問題の一部を克服するため、ゼロ・トラスト・ワイヤレス監視を提案する。
【図面の簡単な説明】
【0021】
【図1】従来技術ネットワークを示すブロック図であり、従来技術ネットワークは、ワイヤレス及びインターネット・アクセス、並びにセキュリティ・グループ・タグを使用するセキュリティ・プロトコルを伴う。
【図2】一実施形態による、セキュア・ネットワークと対話する被監視クライアントに対する観察を表すブロック図である。
【図3】一実施形態による、非セキュア・ネットワークと対話する被監視クライアントを表すブロック図である。
【図4】一実施形態による、通信で使用されるアドレス・フィールドを示す送信フレームの一区間のブロック図である。フレームは、アクセス・ポイント及びネットワークを識別するために使用される。
【図5】一実施形態による、セキュア・クラウドにおける分散分析及びセキュリティ管理機能に関する概略ブロック図である。
【図6】一実施形態による、認可されるネットワークに接続する被監視クライアントの正常挙動パターンを確立する例示的フロー・チャートである。
【図7】一実施形態による、認可されないネットワークに接続する被監視クライアントの逸脱した挙動を識別する例示的フロー・チャートである。
【発明を実施するための形態】
【0022】
エンドポイント活動の観察及び監視を使用して、サイバー・セキュリティ攻撃の識別を可能にするシステム及び方法を提供する。エンドポイント・デバイスがセキュア・ネットワークの接続確立につながる様々なステップ巡回する際、エンドポイント・デバイスのワイヤレス関連活動を追従、監視することによって、知識ベースをクラウド内に確立する。この知識ベースは、ネットワークのユーザがいるべき場所にいるという信頼を構築する、活動及び通信の分析によるものである。一実施形態では、ユーザが有効な資格情報を提示するまでアクセスが与えられない。これらの資格情報に基づき、ネットワークは、ネットワーク内でのユーザの通信及び特定の標的へのアクセスを制御するアクセス制御、トンネル又は他の技法に基づく特定の経路を構築する。
【0023】
本開示の一態様によれば、ネットワークにアクセスするワイヤレス・クライアント・デバイスを監視する方法は、無線周波数スキャン・エンジンによって、ワイヤレス・クライアント・デバイスとネットワークとの間の通信のための規定の無線周波数割当空間をスキャンすることと、無線周波数スキャン・エンジンによって、ワイヤレス・クライアント・デバイスが、スキャンした規定の無線周波数割当空間に基づきネットワークに接続していることを決定することであって、ネットワークは、承認されるネットワーク又は承認されないネットワークのうち1つである、決定することと、無線周波数スキャン・エンジンによって、ワイヤレス・クライアント・デバイスとネットワークとの間の通信活動に関するデータを収集することとを含み、収集データは、ワイヤレス・クライアント・デバイスの挙動パターンを記憶及び分析するためのものである。
【0024】
本開示の別の態様によれば、ワイヤレス監視デバイスは、無線周波数スキャン・エンジンを含み、無線周波数スキャン・エンジンは、ワイヤレス・クライアント・デバイスとネットワークとの間の通信のための規定の無線周波数割当空間をスキャンし、ワイヤレス・クライアント・デバイスが、スキャンした規定の無線周波数割当空間に基づきネットワークに接続していることを決定し、ワイヤレス・クライアント・デバイスとネットワークとの間の通信活動に関するデータを収集するように構成し、ネットワークは、承認されるネットワーク又は承認されないネットワークのうち1つであり、収集したデータは、ワイヤレス・クライアント・デバイスの挙動パターンを記憶及び分析するためのものである。
【0025】
本開示の別の態様によれば、サーバは、記憶デバイスと、記憶デバイスに結合するプロセッサとを含む。プロセッサは、セキュア通信チャネル上で、監視デバイスから第1のデータを受信し、受信した第1のデータを分析し、承認されるネットワークに接続するワイヤレス・クライアント・デバイスの正常挙動パターンを決定し、受信した第1のデータ及び正常挙動パターンを記憶デバイス内に記憶し、セキュア通信チャネル上で、監視デバイスから第2のデータを受信し、受信した第2のデータを分析し、承認されないネットワークに接続するワイヤレス・クライアント・デバイスの異常挙動パターンを決定し、受信した第2のデータ及び異常挙動パターンを記憶デバイス内に記憶するように構成される。サーバは、プロセッサに結合されるセキュリティ・マネージャを更に含み、セキュリティ・マネージャは、ワイヤレス・クライアント・デバイスの異常挙動パターン及びアクセス制御ポリシーに基づき、ワイヤレス・クライアント・デバイスのための救済行動を生成するように構成される。
【0026】
モノのインターネットの採用に伴って、IEEE802.11に接続するデバイスは、以前よりもかなり普及しており、これらが使用するオペレーティング・システムは、エンドポイント・セキュリティ解決策を提供しない可能性がある。こうしたデバイスは、ライフサイクルの多くの時間で、現在のIEEE802.11セキュリティ・プラットフォームの状態が見えないまま、IEEE802.11のアクセス・ポイント又はステーションとして動作することがある。
【0027】
IEEE802.11デバイスの挙動の追従は、ゼロ・トラスト・ワイヤレス監視の基幹である。デバイスが、ネットワーク接続の様々な段階の間を巡回する際、ゼロ・トラスト・ワイヤレス監視は、活動を観察し、この活動に基づき、当該アクセス・ポイントでのデバイスのプロファイルを生成する。監視される活動には、
・クライアントがいずれのAPにも接続していないこと
・クライアントがオープンなAPに接続していること
・クライアントがWiFiダイレクト・デバイスに接続していること
・クライアントが承認される企業APに接続していること
・承認される又は承認されないアクセス・ポイントとして傍受すること
・承認される又は承認されないアクセス・ポイントに接続するデバイスにより、承認される又は承認されないアクセス・ポイントとして傍受すること
を含む。
・クライアントがいずれのAPにも接続していないこと
・クライアントがオープンなAPに接続していること
・クライアントがWiFiダイレクト・デバイスに接続していること
・クライアントが承認される企業APに接続していること
・承認される又は承認されないアクセス・ポイントとして傍受すること
・承認される又は承認されないアクセス・ポイントに接続するデバイスにより、承認される又は承認されないアクセス・ポイントとして傍受すること
を含む。
【0028】
これらの挙動は、観察した知識ベースを形成し、この知識ベースは、セキュア・クラウド内で収集、分析、記憶される。APにおけるユーザの正常行動パターンを観察することによって、セキュリティ・システムは、ネットワークのユーザがいるべき場所におり、セキュリティ・プロトコル設定に従って行動しているという信頼を構築する。
【0029】
RFネットワークの観察
【0030】
ゼロ・トラスト・ワイヤレス監視は、クライアントとネットワークとの間の接続の間、情報を収集し、挙動を監視して、事前規定のRF割当空間を観察する。典型的な挙動の観察は、被監視クライアントとネットワークとの間の物理的な通信である。2つのネットワーク群が割当空間内に存在する。1)承認されるネットワーク群。クライアントは、このネットワーク群に接続する正当な理由を有し、このネットワーク群への接続を承認されている、及び2)承認されないネットワーク群。クライアントは、このネットワーク群に接続する理由がなく、したがって、接続が承認されない。
【0031】
例として:
【0032】
観察1:承認されるネットワークに対してのクライアントの監視
【0033】
図2に示す一実施形態では、監視システムは、集積アンテナを有するRFスキャン・エンジン(A)202を含むワイヤレス監視デバイスと、セキュア・クラウドE209(「サーバ」)内のセキュア・クラウドをベースとする分析システム212と、セキュリティ・マネージャ210とを含む。RFスキャン・エンジン(A)202は、RF割当空間内201でいくつかの承認されるネットワーク(C)204及び承認されないネットワーク(D)207を監視し、承認されるネットワーク内の複数の無線205Aから205C、及び承認されないネットワーク内の複数の無線208Aから208Cにより、これらのネットワークを識別する。
【0034】
監視システムのRFスキャン・エンジン(A)202によって、ワイヤレス・アクセス・ポイント無線205Cの1つを通じて承認されるネットワークC204と通信している被監視クライアント(B)203(例えば、ワイヤレス・クライアント・デバイス)を観察する。RFスキャン・エンジン(A)202は、ワイヤレス・クライアント・デバイスとネットワーク(例えば、承認されるネットワーク204)との間で通信する規定の無線周波数割当空間をスキャンし、ワイヤレス・クライアント・デバイスが、スキャンした規定の無線周波数割当空間に基づきネットワークに接続していることを決定する。
【0035】
RF割当空間201を監視するRFスキャン・エンジン(A)202は、このデータ及び情報(例えば、ワイヤレス・クライアント・デバイスとネットワークとの間の通信行動について収集したデータ)をセキュア・クラウド(E)209内の分析システムに送信し、分析システムは、専用セキュア通信チャネル211を介してこの観察を報告し、取引が生じたことをセキュア・クラウド(E)内のセキュリティ・マネージャ210に気付かせる。分析システムは、クラウド内に存在するように示されるが、別の実施形態では、分析システムは、処理負荷に対処するように、RFスキャン・エンジン202上の適切なプロセッサ(複数可)を使用するRFスキャナ202上に実装してもよい。
【0036】
観察2:承認されないネットワークに対してのクライアントの監視
【0037】
一実施形態では、監視システムの同じRFスキャン・エンジン(A)202は、RF割当空間201を監視しており、被監視クライアント(B)203が、承認されるネットワーク(C)204への接続及び通信を停止し、現在、ワイヤレス・アクセス・ポイント無線208Cの1つを介して承認されないネットワーク(D)207と通信していることに気付く。RFスキャン・エンジン(A)202は、この観察及びあらゆる入手可能な接続データ(例えば、ワイヤレス・クライアント・デバイスとネットワークとの間の通信行動について収集したデータ)を専用セキュア通信チャネル211上でセキュア・クラウド(E)209に送信し、分析、監視する。
【0038】
このデータがセキュア・クラウド(E)に送信され、分析されると、行われた対話に関する情報がセキュリティ・マネージャ210に通知される。セキュリティ・マネージャ210によって、修正的、救済的なセキュリティ・アクセス関連行動を行い、被監視RF空間201内の被監視クライアント203の挙動の変化、及び承認されないネットワーク(D)207に応答することができる。
【0039】
RFスキャン・エンジン202は、事前規定のRF周波数空間201のための監視デバイス(即ち、ワイヤレス監視デバイス)として働く。RFスキャン・エンジンは、この空間内の全ての無線周波数の伝送を監視し、IEEE802.11、802.15.1、802.15.4等の公知のプロトコルの復号、分類を試みる。これらの詳細又は収集したデータは、処理、記憶、分析のためのセキュア・クラウド・インフラストラクチャ(D)209に送信される。この監視システムは、被監視クライアント203の挙動を連続的に監視、評価し、被監視クライアント203に対し、どのアクセス判定を行った又は修正したかに基づき、正常挙動パターン及び許容できない(「異常」)挙動パターンを識別することを可能にする。
【0040】
RFスキャン・エンジン
【0041】
一例としてIEEE802.11を使用すると、RFスキャン・エンジン(「スキャナ」)は、入手可能な無線チャネルを監視し、エンドポイント・デバイス(例えばワイヤレス・クライアント・デバイス)が送信した識別フレームを復号する。これらのフレーム内では、媒体アクセス制御(MAC)ヘッダを含む区分及びデータ・フレームは、複数のアドレスを含み、複数のアドレスは、通信を可能にし、フレームが発信者から宛先に到着可能にする。
【0042】
図4は、MACヘッダ及びデータ・フレーム部分を示し、データ・フレーム部分は、宛先へのアドレスを含む。図示のフレームは、アドレスの他に、フレーム検査/制御(Frame check/control、FC)セグメント、継続時間/識別(duration and identification、D/I)セグメント、シーケンス制御セグメント、及び巡回冗長検査を含むセグメントを含む。
【0043】
この基本領域及び更なる領域から出発し、監視システムのRFスキャン・エンジン(A)202によって通信挙動のマッピングを生成、追跡する。IEEE802.11アクセス・ポイントは、広告無線名(BSSID)及びネットワーク名(ESSID)、並びにこれらが観察される更なる領域を通じて識別される。
【0044】
IEEE802.11ステーション(クライアント又はクライアント・デバイス)は、無線MACアドレス、及びこれらが観察される更なるフィールドを通じて識別される。
【0045】
監視システムがこれら様々なデバイス及びネットワークについて学習するにつれて、通信パターンを識別し始め、被監視RF空間201内のクライアントの対話に関する挙動マップを構築する。この挙動マップは、あらゆる必要な分析及び行動のためにセキュア・クラウド・インフラストラクチャに送信される。
【0046】
セキュア・クラウド・インフラストラクチャ
【0047】
データが収集され、RF割当空間の管理者として働くセキュア・クラウドに渡されるにつれて、セキュア・クラウドは、観察した挙動の周りに境界を置くことによって、クライアントに適用可能なポリシー規則及び施行方法を規定する。これらの境界は、個別の区分から構成され、挙動信頼レベルをもたらし、挙動信頼レベルは、クライアントに付与されるアクセス・レベルを規定する。
【0048】
図5は、セキュア・クラウド209(「サーバ」)内で実施される分散分析及びセキュリティ管理機能の例示的ブロック図を示す。一実施形態では、同様の分析機能をRFスキャナ上に実装し、収集したデータを分析し、被監視割当空間でのセキュリティ制御を開始することができる。一実施形態では、RFスキャン・エンジン(A)202から観察したデータ(例えば第1のデータ及び第2のデータを含む収集データ)は、専用セキュア通信チャネル211を介してセキュア・クラウド209に供給される。収集したデータは、セキュア・クラウド209又はサーバ内の複数の分散プロセッサ501Aから501Dと関連付けた分散記憶装置502Aから502D内に記憶する。
【0049】
分散プロセッサ501Aから501Dは、受信した第1のデータの分析に必要な処理能力をもたらし、承認されるネットワーク(C)204に接続する場合、被監視クライアント203の過去及び現在の挙動からネットワークにワイヤレス接続する場合の被監視クライアント(B)203の正常挙動パターンを規定する。被監視クライアント203の現在の挙動を規定する。承認されないネットワーク(D)207への接続等、被監視クライアント(B)203による異常接続が観察されると、被監視クライアントの活動は、RFスキャン・エンジン(A)202によって観察され、収集したデータ(例えば第2のデータ)は、セキュア・クラウド209に送信される。分散プロセッサ501Aから501Dは、データを分析し、分析したデータと、記憶してある被監視クライアントの正常挙動パターンとを比較し、被監視クライアント(例えばワイヤレス・クライアント・デバイス)の逸脱した(例えば異常)挙動パターンを識別する。異常挙動パターンを決定した後、抽出した挙動情報をセキュリティ・マネージャ504に送信し、セキュリティ・マネージャ504に結合するメモリ506内に記憶したアクセス制御ポリシー命令に基づき、修正的、救済的セキュリティ・アクセス関連行動を生成する。情報は、通信アクセス504を介して企業のセキュリティ・コントローラ(例えば計算デバイス)にも送信される。セキュリティ・マネージャとのあらゆる対話は、入出力端末505を介して更に促進される。
【0050】
図6は、一実施形態において、承認(「認可」)されるネットワークに接続、通信する被監視クライアントの通信行動の観察を使用し、通信行動の正常挙動パターンを生成/更新する方法のフロー・チャートである。
【0051】
動作S601において、RFスキャン・エンジンによって監視される被監視RF割当空間において、監視システムのRFスキャン・エンジンは、クライアントが通信のための接続確立を試みる際、クライアントとネットワークとの間に発生する通信行動を連続的にスキャンする。
【0052】
被監視割当空間内のクライアントである被監視クライアントが、クライアントの接続が許可されている、承認されるネットワークへの接続を試みる際、クライアントは、この接続を確立するため、いくつかの能動ステップを経る。RFスキャン・エンジンは、被監視クライアントの接続を承認したネットワークとして、被監視クライアント及びネットワークの両方を認識する。動作S602において、RFスキャン・エンジンは、通信をもたらす行動(例えば通信行動)についてのデータ及び情報を収集する。
【0053】
被監視クライアントと認可されるネットワークとの間の接続につながる行動について収集したデータ及び情報は、合法又は認可された行動であるとみなされる。動作S603において、合法又は認可された行動について収集したデータ(例えば第1のデータ)は、分析のために専用セキュア・リンク(「セキュア通信チャネル」)上でセキュア・クラウドに送信され、承認されるネットワークに接続するクライアント・デバイスの正常挙動パターンを確立する。
【0054】
セキュア・クラウドに送信したデータは、クラウド内の分散処理機能によって記憶、分析され、接続に関する正常挙動パターンが確立され、承認されるネットワークに被監視クライアントを接続する。正常挙動パターンの更新を伴うRF割当空間の連続スキャンにより、承認されるネットワークに接続する被監視クライアントに関する挙動パターン履歴の展開を可能にする。動作S604において、セキュア・クラウド内(例えば1つ又は複数の記憶デバイス502A~502D内)にこの挙動パターンを記憶する。
【0055】
図7は、一実施形態において、被監視割当空間内で、承認(認可)されないネットワークに接続、通信する被監視クライアントの行動を観察する方法のフロー・チャートである。そのような行動は、被監視クライアントによる逸脱した又は疑わしい(例えば異常)挙動パターンとみなすことができ、不法又は認可されないアクセスの指標をもたらすことができる。
【0056】
動作S701において、RFスキャン・エンジンによって監視される被監視RF割当空間において、監視システムのRFスキャン・エンジンは、クライアントが通信のための接続確立を試みる際、クライアントとネットワークとの間に発生するクライアントの行動を連続的にスキャンする。
【0057】
被監視割当空間内のクライアントである被監視クライアントが、クライアントの接続が認められていない又は許可されていないネットワークへの接続を試みる際、クライアントは、この接続を確立するため、いくつかの能動ステップを経る。RFスキャン・エンジンは、被監視クライアント、及び被監視クライアントが接続を試みるネットワークの両方を認識する。動作S702において、RFスキャン・エンジンは、接続努力に関する行動についてのデータ及び情報を収集する。
【0058】
被監視クライアントと承認されないネットワークとの間の接続のための行動について収集したデータ及び情報は、不法又は認可されていない行動であるとみなすことができる。動作S703において、認可されていない行動について収集したデータ(例えば第2のデータ)は、承認されないネットワークに接続を試みるクライアントの認可されていない(例えば異常)挙動パターンを分析し、確立するため、専用セキュア・リンク(「セキュア通信チャネル」)上でセキュア・クラウドに送信される。
【0059】
動作S704において、セキュア・クラウドに送信したデータは、クラウド内の分散処理機能(例えば図5の1つ又は複数のプロセッサ501A~501D)によって記憶、分析され、ネットワークへの接続を試みるクライアントのための挙動パターンが確立される。
【0060】
抽出した挙動パターンは、既に記憶してある接続の正常挙動パターンと比較され、被監視クライアントの挙動及び行動が逸脱している(例えば異常である)ことを確立する。この確立は、動作S705における認可されない行動の指標である。
【0061】
動作S706において、認可されない行動に関する情報は、クラウド内のセキュリティ・マネージャにもたらされ、セキュリティ・プロトコル及びアクセス制御修正により救済行動を取る外部実体にも通知される。
【0062】
アクセス・ポイントの信頼レベル
【0063】
アクセス中、無線及びネットワークは自身をIEEE802.11として広告する。アクセス・ポイント自体は、様々な信頼レベルに分類することができる。各信頼レベルは、
・特定の信頼レベルにおいてセキュア・ネットワークへの接続を許可されたクライアント群
・新たに観察されるクライアントが割り当てられるクライアント群
・既存のアクセス・ポイントと同じ特徴に一致し、当該群に割り当てられる、新たに観察されるアクセス・ポイント
を更に規定する。
・特定の信頼レベルにおいてセキュア・ネットワークへの接続を許可されたクライアント群
・新たに観察されるクライアントが割り当てられるクライアント群
・既存のアクセス・ポイントと同じ特徴に一致し、当該群に割り当てられる、新たに観察されるアクセス・ポイント
を更に規定する。
【0064】
クライアント群
【0065】
IEEE802.11クライアントは、観察された挙動に基づき群に割り当てられる。アクセス・ポイントに通信するクライアントを、割り当てた信頼レベルで最初に観察する際、クライアントは、信頼レベル・ポリシーによって規定した群内に置かれる。更なる挙動は、クライアント群が通信を許可された信頼レベル・ポリシーに基づき応答される。
【0066】
挙動マッピング及び応答
【0067】
観察された挙動マッピングは、規定のポリシーに対して分析される。次に、ポリシーからの逸脱に基づき、
・イベント生成を通じて職員に通知する
・クラウド又は構内監視応答システムにイベントを転送する
・802.11WiFi認証解除フレームを使用し、違反ネットワークへの通信をクライアントに禁止することによって、応答する
等の行動が取られる。
・イベント生成を通じて職員に通知する
・クラウド又は構内監視応答システムにイベントを転送する
・802.11WiFi認証解除フレームを使用し、違反ネットワークへの通信をクライアントに禁止することによって、応答する
等の行動が取られる。
【0068】
本発明の更なる実装
【0069】
MAC層又は他の同様の技法を利用するあらゆる無線周波数プロトコルは、わずかな修正が必要な場合でさえ、この方法によって監視することができる。
【0070】
802.15.4及びZigBee
【0071】
IEEE802.15.4及びZigbeeは、より低電力のワイド・エリア・ネットワークのためのプロトコルである。アクセス・ポイント及びクライアントの代わりに、IEEE802.15.4及びZigbeeは、
・エンド・ノード
・ゲートウェイ
・コントローラ
を規定する。
・エンド・ノード
・ゲートウェイ
・コントローラ
を規定する。
【0072】
これらのデバイスの間で同様の挙動パターンを識別し、RFスキャナ及びセキュア・クラウドによって監視、報告し、影響を及ぼすことができる。
【0073】
ワイヤレス医療テレメトリ・サービス
【0074】
ワイヤレス医療テレメトリ・サービス(WMTS)は、登録医療従事者及び機器によって使用される、免許を受けたFCCスペクトルである。プロトコルは、MAC層ベース又は納入業者の所有権とすることができる。たいていの場合、RFスキャナ及びセキュア・クラウドは、本文書で概説したものと同様の特徴及び機能を提供することができる。
【0075】
上記で示し、説明した構成要素の一部又は全ては、ソフトウェア、ハードウェア又はそれらの組合せ内で実装し得ることを理解されたい。例えば、そのような構成要素は、永続的な記憶デバイス内にインストールし、記憶したソフトウェアとして実装することができ、このソフトウェアは、プロセッサ(図示せず)によってメモリ内にロード、実行し、本出願全体を通じて説明した工程又は動作を実行することができる。代替的に、そのような構成要素は、集積回路(例えば特定用途向けIC又はASIC)等の専用ハードウェア、デジタル信号プロセッサ(DSP)、又はフィールド・プログラマブル・ゲート・アレイ(FPGA)内にプログラムした又は組み込んだ実行コードとして実施することができ、この実行コードには、対応するドライバ及び/又はオペレーティング・システムを介してアプリケーションからアクセスすることができる。更に、そのような構成要素は、1つ又は複数の特定の命令を介してソフトウェア構成要素がアクセス可能な命令セットの一部として、プロセッサ又はプロセッサ・コア内に特定のハードウェア論理として実装することができる。
【0076】
これら及び同様の用語の全ては、適切な物理量に関連し、これらの量に適用される好都合な標示にすぎないことにも理解されたい。別段に明記されていない限り、上記の説明から明らかであるように、説明全体にわたって、以下の特許請求の範囲内で示される用語等の用語を利用する説明は、コンピュータ・システム又は同様の電子計算デバイスの行動及び工程を指し、こうした行動及び工程は、コンピュータ・システムのレジスタ及びメモリ内に物理(電子)量として表されるデータを操作し、コンピュータ・システムのメモリ若しくはレジスタ又は他のそのような情報記憶装置、送信若しくは表示デバイス内に物理量として同様に表される他のデータに変換することを了解されたい。
【0077】
本開示の実施形態は、本明細書の動作を実施する装置にも関する。そのようなコンピュータ・プログラムは、非一時的コンピュータ可読媒体内に記憶される。機械可読媒体は、機械(例えばコンピュータ)が可読な形態で情報を記憶するあらゆる機構を含む。例えば、機械可読(例えばコンピュータ可読)媒体は、機械(例えばコンピュータ)可読記憶媒体(例えば、読取り専用メモリ(「ROM」)、ランダム・アクセス・メモリ(「RAM」)、磁気ディスク記憶媒体、光記憶媒体、フラッシュ・メモリ・デバイス)を含む。
【0078】
先行する図面に示す工程又は方法は、ハードウェア(例えば回路構成、専用論理等)、ソフトウェア(例えば、非一時的コンピュータ可読媒体上で実現される)、又は両方の組合せを含む処理論理によって実行することができる。工程又は方法は、いくつかの連続動作の観点から上記で説明したが、説明した動作の一部は、異なる順序で実施し得ることを了解されたい。更に、一部の動作は、連続ではなく並行して実施し得る。
【0079】
本開示の実施形態は、任意の特定のプログラミング言語を参照しながら説明するものではない。様々なプログラミング言語を使用し、本明細書で説明する本開示の実施形態の教示を実施し得ることを了解されたい。
【0080】
上記明細書において、本開示の実施形態は、特定の例示的実施形態を参照しながら説明している。以下の特許請求の範囲に記載されている本開示のより広範な趣旨及び範囲から逸脱することなく、これら実施形態に対して様々な修正形態を行い得ることは明らかである。したがって、本明細書及び図面は、制限的な意味ではなく、例示的な意味とみなすべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】