[发明专利]限制具有网络功能的设备的数据流量传输的方法和系统

说明书

一种在网络节点处限制设备的数据包传输的方法和系统。网络节点在第一时段内更新白名单，并且不根据白名单限制数据包传输。在第一时段之后，网络节点确定每个数据包的相应的目的地址，并且如果标准令人满意，则允许将数据包发送到相应的目的地址。如果标准不令人满意，则网络节点不允许将数据包发送到相应的目的地址。白名单包括至少一个目的地址。标准是基于至少一个目的地址的。将白名单列表存储在网络节点中的非暂时性计算机可读存储介质中。

技术领域

本发明总体而言涉及限制具有网络功能的设备的数据流量传输的领域。更具体地，本发明涉及更新允许从物联网(IoT)设备接收数据的目的地的白名单，并使用白名单来限制IoT设备的数据流量的传输。

背景技术

已知分布式拒绝服务(DDoS)攻击导致对合法互联网活动的广泛破坏。大量的商业活动正被破坏，并且正在遭受巨大的经济损失。感染了恶意代码的物联网(IoT)设备可被用于登陆DDoS攻击。由于网络中可能存在许多IoT设备，受感染的IoT设备可能会从网络发起DDoS攻击。这对于网络运营商来说是不希望的。

此外受感染或未受感染的IoT设备可以将数据发送到网络运营商不希望的目的地。这种数据传输不仅消耗网络资源、机密信息、隐私，商业机密也可能受到损害。网络管理员可能具有有限的配置大多数IoT设备的能力，因为IoT设备可能是不可配置的或受IoT设备供应商的控制。网络中存在的物联网设备可能存在安全风险。

发明内容

本发明公开了在网络节点处限制IoT设备的数据包传输的方法和系统。网络节点在第一时段内更新白名单，并且不根据白名单限制数据包传输。在第一时段之后，网络节点确定数据包中的每个的相应的目的地址，如果标准令人满意，则允许将数据包发送到相应的目的地址，并且如果标准不令人满意，则不允许将数据包发送到相应的目的地址。白名单包括至少一个目的地址。标准是基于至少一个目的地址的。白名单列表被存储在网络节点中的非暂时性计算机可读存储介质中。

根据本发明的一个实施例，第一时段小于1小时。在由网络节点的处理单元第一次检测到设备的媒体访问控制(MAC)地址时，第一时段开始。当更新白名单时，网络节点将IoT设备的MAC地址和目的地址存储在白名单中。

根据本发明的一个实施例，当更新白名单时，网络节点将IoT设备的互联网协议(IP)地址和目的地址存储在白名单中。

根据本发明的一个实施例，当由网络节点的处理单元确定IoT设备的品牌名称、型号名称和/或型号时，第一时段开始。

根据本发明的一个实施例，如果标准令人满意，允许将数据包发送到相应目的地址之前，网络节点从IoT设备的用户或网络节点的管理员接收批准(approval)。网络节点从远程服务器检索目标地址。网络节点在从IoT设备的用户或网络节点的管理员接收到指令之后，重置第一时段。

根据本发明的一个实施例，在第一时段内，网络节点确定至少一个目的地址中的每一个的最大数据包传输速率。白名单包括最大数据传输速率，并且标准包括最大数据传输速率。

附图说明

图1示出了根据本发明的一个实施例的网络配置；

图2是根据本发明的一个实施例的网络节点的框图。

图3A示出了根据本发明的一个实施例的基于在第一时段内所识别的数据包的目的地址来更新网络节点白名单的工作流程；

图3B示出了根据本发明的一个实施例的图3A的替代工作流程，其基于在第一时段内在网络节点处识别出的数据包的目的地址和从网络节点的服务器检索的目的地址来更新网络节点白名单；

图3C示出了根据本发明的一个实施例的图3B的替代工作流程，其基于在第一时段内所识别的数据包的目的地址和每个目的地址的最大数据包传输速率、以及IoT设备的目的地址和从服务器检索的每个目的地址的最大数据包传输速率来更新网络节点白名单；