CN101068253A - 通信架构、中间路由节点及其执行的方法 - Google Patents

通信架构、中间路由节点及其执行的方法 Download PDF

Info

Publication number
CN101068253A
CN101068253A CNA2007101031492A CN200710103149A CN101068253A CN 101068253 A CN101068253 A CN 101068253A CN A2007101031492 A CNA2007101031492 A CN A2007101031492A CN 200710103149 A CN200710103149 A CN 200710103149A CN 101068253 A CN101068253 A CN 101068253A
Authority
CN
China
Prior art keywords
template
packet
server
source end
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007101031492A
Other languages
English (en)
Other versions
CN101068253B (zh
Inventor
詹姆士·D·贝内特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Broadcom Corp
Zyray Wireless Inc
Original Assignee
Zyray Wireless Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US11/429,478 external-priority patent/US7596137B2/en
Priority claimed from US11/474,033 external-priority patent/US20070258468A1/en
Priority claimed from US11/491,052 external-priority patent/US7895657B2/en
Priority claimed from US11/506,661 external-priority patent/US20070258437A1/en
Application filed by Zyray Wireless Inc filed Critical Zyray Wireless Inc
Publication of CN101068253A publication Critical patent/CN101068253A/zh
Application granted granted Critical
Publication of CN101068253B publication Critical patent/CN101068253B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种通信架构、中间路由节点及其执行的方法。在通信架构中,若源端设备不包含恶评内容(例如,恶意程序,或非法内容、服务或传播),中间节点支持将数据包从源端设备发送至目的端设备。该中间节点,例如交换机、路由器、接入点、桥接器或网关,包含多个预定模板和相应的隔离服务功能。通过将接收到的数据包与多个预定模板及相关逻辑进行比较,该中间节点识别出恶评源端设备,例如恶评服务器和恶评内容。该模板将一个或者多个域名、IP地址或URL等的至少一部分作为目标。一旦被识别,本地和/或远端隔离服务功能则尝试在源端设备和目的端设备中抵消、警告、清除和/或阻止该恶评内容。该警告可包括有人为口令以避免被恶意程序代替。

Description

通信架构、中间路由节点及其执行的方法
技术领域
本发明涉及通信基础架构,更具体地说,涉及报文分组交换通信网络中的交换节点的操作。
背景技术
因特网终端设备使用包括网络节点的因特网来交换音频、视频和数据包,这种交换通常是无限制的。因特网基础架构通常包括网络节点如路由器、交换机、分组交换机、接入点以及因特网服务提供商网络(ISPN)、因特网通信路径和终端设备。终端设备包括个人计算机或者笔记本计算机、服务器、机顶盒、手持数据设备/通信设备以及其他的客户端设备等。在无限制的环境中,终端设备通常成为恶意程序的目标,该恶意程序包括病毒和恶意代码。此外,终端设备也有意地或者无意地成为这些恶意代码的传播源。通常,恶意程序一旦感染终端设备,就会不为用户所察觉地在终端设备复制,从而重复感染因特网基础架构。
但是,终端设备通常不能消除这些数据包或者数据包流(packet flow)。例如,很多烦人的广告弹出窗口欺骗用户点击错误的按钮,而不知道这些弹出窗口使用各种恶意代码来感染终端设备。这些不想要的代码是恶意的,其将个人数据传输到未知的服务器,导致个人数据可能被滥用。在其它情况下,终端设备的用户会安装病毒检测、隔离和/或删除的软件包。用户通常购买多种病毒处理软件包,因为当前软件包通常不能处理日益增加的病毒列表。虽然这些软件包有时候是免费的,但是,大多数情况下还是相当昂贵的,尤其是考虑到需要负担多种软件包之时。
从以下的描述和附图中,可以得到对本发明的各种优点、各个方面、创新特征、及其实施例细节的更深入的理解。
发明内容
本发明提供了一种装置及操作方法,将在其后对附图的简要说明、对具体实施方式部分的详细说明,以及权利要求中进行阐述。
在本发明中,一种将多个数据包从具有源端地址的源端设备发送到具有目的端地址的目的端设备的通信架构,包括具有多个交换设备的通信路径,多个预定义的模板和相关逻辑,以及多个隔离服务功能块。该源端设备发送数据包至多个交换设备中的第一交换设备,该数据包包含有源端地址和目的端地址。该第一交换设备通过将数据包与所述多个预定义的模板进行比较,将该源端地址标识为传播恶意程序的源地址,并应用相关逻辑,以及执行所述相关逻辑内指示的选定的隔离服务功能处理。最后,该第一交换设备执行相关逻辑内指示的选定的隔离服务功能处理。该源端地址可代表一个或者多个主域(home-domain)路径文件或子域(sub-domain)路径文件,且所有文件位于服务器或服务器群上。
在本发明中,一种互联网中用于将多个数据包从具有源端地址的源端设备发送到具有目的端地址的目的端设备的网络节点电路,包括接口电路、存储器,和与接口电路通信连接的处理电路。该处理电路通过将数据包与多个预定义的模板进行比较,将该源端地址标识为传播恶意程序的源地址,并应用相关逻辑,以及执行所述相关逻辑内指示的选定的隔离服务功能处理。
根据本发明的一个方面,提供了一种将数据包从源端设备发往目的端设备的通信架构,所述源端设备具有域名和当前网络地址,所述通信架构包括:
域名服务器,用于存储与所述源端设备对应的域名及当前网络地址;
中间路由节点;
存储在所述中间路由节点中的多个模板,其中的第一模板从域名服务器的相关存储器中使用所述源端设备的域名进行更新,所述第一模板将所述源端设备的当前网络地址作为目标;
隔离服务功能块;
所述中间路由节点在接收到来自所述源端设备的数据包后,成功地将所述数据包与第一模板进行匹配;以及
所述中间路由节点通过触发所述隔离服务功能对成功匹配进行响应。
优选地,所述源端设备包括恶评服务器(notorious server),所述多个模板中的所述第一模板通过将当前网络地址作为目标从而将所述恶评服务器作为目标。
优选地,所述源端设备是服务器群。
优选地,所述隔离服务功能块传送人为口令(human challenge)。
优选地,所述隔离服务功能块传送警告消息。
优选地,所述源端设备提供恶意内容,所述隔离服务功能块使所述恶评内容无效。
优选地,所述源端设备提供恶意内容,所述隔离服务功能块删除所述恶评内容。
优选地,所述隔离服务功能块至少部分位于所述中间路由节点内。
优选地,所述隔离服务功能块至少部分位于支持服务器内。
优选地,所述目的端设备支持所述隔离服务功能。
根据本发明的另一个方面,提供了一种用于将数据包从源端设备发往目的端设备的通信架构中的中间路由节点,其中所述源端设备具有网络识别符,且所述源端设备包含恶评内容,所述中间路由节点包括:
通信接口;
包含多个模板的存储器;
所述多个模板中将所述网络识别符的至少一部分作为目标的第一模板;
与所述存储器及通信接口相连的处理电路,用于对从所述源端设备接收的数据包进行比较时,将所述数据包与多个模板中的所述第一模板匹配;以及
所述处理电路至少部分地基于所述匹配结果,触发隔离功能以作出响应。
优选地,所述中间路由节点包括路由器。
优选地,所述中间路由节点包括接入点。
优选地,所述处理电路基于与所述多个模板中所述第一模板以及第二模板的匹配结果,触发所述隔离功能以作出响应,其中所述第二模板将统一资源定位符(URL)的至少一部分作为目标。
优选地,所述处理电路基于与所述多个模板中所述第一模板以及第二模板的匹配结果,触发所述隔离功能以作出响应,其中所述第二模板将所述恶评内容的名称的至少一部分作为目标。
优选地,所述处理电路基于与所述多个模板中所述第一模板以及第二模板的匹配结果,触发所述隔离功能以作出响应,其中所述第二模板将到所述恶评内容的目录路径的至少一部分作为目标。
根据本发明的又一个方面,提供了一种通过分组交换通信路径中的中间网络节点执行的方法,所述中间网络节点通信连接在源端设备和目的端设备之间,所述源端设备具有网络识别符和恶评内容,所述方法包括:
接收包含所述网络识别符的数据包;
将所述数据包与多个模板进行比较;
将所述数据包的至少一部分与所述多个模板中的第一模板匹配;
至少部分地基于所述匹配结果,触发隔离功能以作出响应。
优选地,所述方法进一步包括:在本地执行所述隔离功能的至少一部分。
优选地,所述隔离功能的触发包括:发送请求给支持服务器以执行所述隔离功能的至少一部分。
优选地,所述方法进一步包括:基于与域名服务器的交互,更新所述多个模板中的所述第一模板。
优选地,所述方法进一步包括:将所述数据包的至少一部分与所述多个模板中的第二模板进行匹配,且基于与所述多个模板中所述第一模板以及第二模板的匹配结果,触发所述隔离功能以作出响应。
优选地,所述多个模板中的所述第一模板将所述网络识别符作为目标。
优选地,所述多个模板中的所述第一模板将与所述恶评内容相关的统一资源定位符的至少一部分作为目标。
本发明的其他优点、目的和新颖性特征,及其详细的图解说明,将在接下来的描述和图示中得到更充分的阐释。
附图说明
图1是根据本发明构建的通信架构的示意图,其中,中间数据包路径节点中断从已知的作为恶意程序源的主域路径地址、子域路径地址、整个服务器或者服务器群发起的数据包的路由,并结合外部服务器和/或服务器群执行隔离服务功能处理;
图2是图1的通信架构内的终端设备和中间数据包路径节点的功能框图;
图3是图1的通信架构的一个实施例的示意图,其中示出了终端设备、中间数据包路径节点和服务器或服务器群的细节;
图4是根据图1和图3构建的网络节点(交换机/路由器/ISPN/AP)的框图;
图5是另一网络节点(交换机/路由器/ISPN/AP)的框图,这种网络节点没有安装本发明的组件以与相邻节点交互来完成隔离服务功能处理;
图6是根据图1和图3构造的路由器的示意图;
图7是根据图1和图3构造的终端设备(服务器和/或客户端)的示意图;
图8是图4、5和6的网络设备的总的功能流程图;
图9是图4、5和6的网络设备执行的详细流程图;
图10是图4、5和6内的恶意程序识别电路的功能流程图。
具体实施方式
图1是根据本发明构建的通信架构的一个实施例的示意图,其中,中间数据包路径节点检测与以下已知源相关的数据包路由尝试:1)恶意程序;2)非法内容;或者3)非法传播。在检测到这些数据包时,中间数据包路径节点109调用隔离服务功能块。隔离服务功能块可包含在中间数据包路径节点、外部支持服务器或者服务器集群、以及源端设备或者目的端设备的一个或者多个中。不管隔离服务功能块存储在哪里,该隔离服务功能块选择性地包括但不限于:发送消息给源端设备和/或目的端设备,向源端和/或目的端设备发送“人为口令”(human challenge)机制,中断或者放弃正在进行的数据包的传输。在本说明书中,术语“恶意程序”包括不想要的或者不适当的广告程序或者病毒文件等。“非法内容”包括国家的法律禁止的内容,例如赌博、儿童色情等。“非法传播”涉及其他的合法内容的未授权传播,例如未授权传播版权保护的材料。恶意程序、非法内容以及非法传播的内容在此统称为“恶评内容”(notorious content)。已知的和经常重复的恶意程序、非法内容以及非法传播的源在本说明书中称为“恶评源”。在本说明书中,术语“内容”的意思还包括“服务”,例如“恶评内容”包括“恶评服务”。
恶意程序还包括有病毒、蠕虫、特洛伊木马的程序代码,或者简单地是不想要的广告程序。这些恶意程序代码以它们破坏客户端设备153的正常功能为特征,例如使设备变慢,通过烦人的弹出窗口和广告干扰用户,将私人信息传输到设备外,改变用户对设备的设定,改变注册内容等。
为了识别恶评源,中间数据包路径节点使用多个模板与所接收的每个数据包进行比较。一些模板尝试识别单个恶评服务器,而其他模板尝试识别恶评服务器群。例如,另一些模板以单个文件为目标,例如基于URL(统一资源定位符)如HTTP(超文本传输协议)IP地址、路径或者文件名或者FTP(文件传输协议)地址、文件夹和文件名,这种以文件为目标的模板称为“路径文件模板”或者“以路径文件为目标的模板”。其它类型的模板尝试捕获指定路径的所有文件,例如,FTP文件夹中的所有文件,或特定HTTP路径中的所有文件。在本说明书中,这种模板称为“路径模板”或者“以路径为目标的模板”。同样,某些模板以指定路径的所有文件为目标,包括子路径和子文件夹,这种模板称为“子路径模板”或者“以子路径为目标的模板”。
各种协议(例如,FTP和HTTP)都使用一系列步骤在一个设备与另一个设备之间建立连接,例如,在源端设备和目的端设备如服务器和客户端之间建立连接。作为这些步骤的一部分,标识URL的数据包通常是模板的目标。类似地,当仅知道域名时,要确定其IP地址,就使用UDP(用户数据报协议)与域名服务器联系。发送到域名服务器的数据包也是目标,这样,专用于匹配域名的模板能够成功地进行匹配。其他模板构建用于以当前IP地址为目标(在IP地址随时间而变化时),这就要求通过使用域名访问域名服务器来进行至少周期性地更新。
模板至少以三种方式创建。第一,系统管理员通过人工接口创建模板。第二,基于之前的数据包有效载荷中检测到的恶评内容自动地(在或者不在系统管理员的干涉下)创建模板。第三,独立第三方(值得信赖的病毒检测公司、警察或者版权持有者)进行配合以添加模板(根据配置的情况,可在或者不在系统管理员的干涉下进行)。例如,已知的在国外合法地运营的赌博站点,当出站数据包(例如,目标设备的地址)落入特定国家时,该站点就是非法运营的。为了隔离这种非法运营,该特定国家的当局可以通过基于计算机通过因特网直接输入目标模板,或者请求系统管理员输入目标模板。例如,目标模板内容包括赌博站点的域名、赌博站点的IP(因特网协议)地址、该特定国家内的客户端设备使用的IP地址范围。中间节点通过比较赌博站点的IP地址和数据包中的源地址或者目的地址,随后比较客户端设备的源地址范围或者目的地址范围,能够推断是否需要进行隔离。类似地,例如,通过匹配中间数据包路径节点,对已知的尝试自我传播的病毒进行重复检测。重复检测之后,尝试警告和帮助客户端设备的用户、或者服务器的管理员,隔离关联的客户端设备、服务器或者路径,以免必须匹配数据包有效载荷的内容模板。其他的恶评内容和恶评源也可进行类似的识别和隔离。
具体来说,因特网107中的多个中间数据包路径节点(或者称为中间节点或者中间路由节点)109识别恶评服务器和恶评内容。在某些情况之下,例如服务器提供无价值的服务,那么,该服务器被标识为恶评服务器,导致在主模板和关联逻辑111中添加两个主模板。其中的第一模板用于匹配服务器的域名,第二模板用于匹配该服务器的IP地址。添加这些模板后,任何的中间数据包路径节点109在将所接收的数据包与其中任一个模板成功匹配后,将作出响应,触发本地隔离功能115或者远程隔离功能117。
一个典型的例子涉及客户端设备153上的浏览器发送UDP数据包到域名服务器(DNS)141。在UDP数据包中,通过域名标识出恶评服务器,例如服务器群151中的服务器。这样的数据包通常包括有基于域名的IP地址请求。DNS 141通常响应这些数据包,使用该域名查找当前注册的IP地址。域名和对应的当前IP地址143由DNS 141进行关联存储。但是,当一个中间数据包路径节点109接收到标识恶评服务器的域名的UDP数据包时,以该域名为目标的模板将相匹配,并触发隔离服务功能。
另一个例子涉及客户端设备153或者恶评服务器发送数据包,该数据包由一个中间数据包路径节点109接收。该中间数据包路径节点109使用恶评服务器的当前IP地址与该数据包的源地址或者目的地址进行匹配,并调用本地或者远程隔离功能做出响应。因为当前IP地址经常改变,所以通过使用对应域名与DNS 141进行交互,周期性地更新依赖于当前IP地址的模板。
当服务器提供恶评内容且尚未被指认为恶评服务器时(例如,服务器也提供一些有价值的内容,或者相关的内容提供商没有进行监管时),除了匹配上面提到的两个模板的至少一个模板之外,还使用与该服务器中的恶评内容内的名称和位置有关的其它模板。这些模板以文件夹路径、文件名、文件夹内容、子文件夹内容为目标。典型例子涉及使用URL的TCP或者FTP请求。进行这种请求的客户端设备153将识别出:1)服务器的IP地址;2)该服务器上到目标内容的文件夹路径;以及3)恶评内容的文件名。任何接收该数据包的中间数据包路径节点109将找到与该IP地址的匹配(在这种情况下,这还不足以触发隔离功能),且更重要的是,还匹配一个或多个文件夹路径的至少一部分以及恶评内容的文件名。这两种匹配一起促使接收数据包的中间数据包路径节点109触发本地或者远程隔离功能。
在某些情况中,创建的模板以非恶评服务器的恶评内容为目标,该目标可以是恶评内容的实际名字(文件名或者服务名)。该模板(或者其他关联的模板)也可以以完整的文件夹路径为目标。在某些情况中,有很多文件/服务路径都具有共同的根路径,模板可能仅仅以该根路径为目标,以确保捕获落入该根路径或者其下的任何子文件夹的任何内容。模板结构中也可以使用与搜索有关的通配符,例如“*”或者“?”。能够以多种方式构造主和次级模板及其关联的逻辑,以充分地确定需要隔离功能。
本说明书所用的源地址表示主域路径文件147、子域路径文件149以及全体服务器或者服务器群中的文件。就是说,源地址整体上或者局部上表示地址树结构的根,或者地址树结构的分支,帮助确定主域路径文件147、子域路径文件149、全体服务器或者服务器群中的文件。服务器151在运行时产生服务器页面(server page),或者基于请求传送预先构建的服务器页面,并还可使用恶意程序将令人讨厌的文件、页面或者其他恶评内容通过网络发送到客户端系统。
在识别出恶评服务器或者恶评内容之后,中间数据包路径节点109(以下简称中间节点)触发本地或者远程隔离服务功能。该功能可针对特定恶评服务器或者恶评内容进行专门设计,或者可设计为服务于一个或所有类型的恶评服务器和恶评内容。典型的隔离功能包括:1)临时或者永久的中断数据包传输;2)与恶评内容的预期接收方通信;3)与恶评服务器或者提供恶评内容的服务器进行通信;4)在可能的情况下禁止恶评内容或者使恶评内容失效(或者,至少提供这方面的功能)。所述通信通常包括:a)人为口令机制以防止任何有关的恶意程序拦截用户接口以及隐藏通信;b)告警消息;c)标识恶评内容或者恶评服务器的性质;d)清除客户端系统或者服务器系统中与恶评内容或者恶评服务器有关的任何内容;以及e)向客户端系统或者服务器系统提供免疫或者防护功能,例如防火墙等。
在应用隔离服务功能时,中间节点109获得支持服务器169的帮助,将具有源地址的数据包引导到支持服务器169以进行远程隔离处理。支持服务器169可独立地应用隔离功能,或者在中间节点169的支持下应用隔离功能。中间节点109通过应用与触发器关联的逻辑,确定是否应用本地和/或远程隔离功能。在该隔离处理中,客户端设备151也可提供帮助。例如,可以在网页浏览器或者在客户端设备151上运行的另一可靠程序代码中构建功能模块,支持与中间节点109或者支持服务器169内的隔离服务功能进行交互。例如,所述交互包括接收和显示隔离消息以及人为口令,以及帮助客户端设备151的清理应用程序和防火墙程序。
中间节点109可以是任何的将数据包从服务器151路由到客户端设备153的交换设备。例如,中间节点109可以是接入点、路由器或者数据分组交换设备。就是说,终端设备之间的路由路径包括个人接入点、服务提供商接入点、其他服务提供商设备以及多个骨干节点,所有这些都使用中间节点109表示。
在本发明的多数实施例中,中间节点109执行一系列活动。首先,中间节点109尝试识别恶评服务器以及恶评内容。其次,中间节点109尝试防止恶评内容对客户端设备153产生不利影响。第三,对于受到不利影响(以及通常被感染的)客户端设备,中间节点109尝试移除这种不利影响。第四,中间节点109中断与恶评服务器或者与恶评内容有关的数据包流。最后,中间点109尝试从服务器系统中清除该恶评内容。
本地和/或远程隔离服务功能帮助服务器151清除恶评内容,例如,从主域路径文件147、子域路径文件149、整个服务器或者服务器群内文件中移除病毒或者恶意文件,或者移除所有的文件。类似的帮助还提供给客户端设备153。为了移除或者净化一些恶评内容,可编写独立的应用程序,通过隔离服务的通信提供并允许下载这种应用程序。在其他一些情形下,提供文字说明以便用户或者系统管理员能够实施清除处理或者净化处理。作为隔离服务功能处理的一部分,中间节点109能够在提供/不提供给用户口令机制的情况下向服务器151和客户端设备153发送消息。这些消息可包括与恶意程序或者其他恶评内容有关的信息、警报、所进行的中断处理和帮助。这些消息能够在浏览器或者操作系统的帮助下以弹出窗口的形式向服务器151或者客户端设备153的用户显示。
为了识别出已知的恶意源的源地址,中间节点109包含有主模板和关联逻辑111、次级模板和关联逻辑113。主模板和次级模板包含有能够识别出表示主域路径文件147、子域路径文件149、整个服务器或者服务器群的文件的源地址的比特序列,采用数据库中的域名、IP地址、DNS句柄(即,域名)或者文件名的形式。这些模板帮助识别源地址。对于每个模板,都具有关联的逻辑,这些逻辑有效地将数据包引导到一个或多个隔离服务功能115,或者引导到位于支持服务器169的外部隔离服务功能171。除了主模板和关联的逻辑111、次级模板和关联的逻辑113、隔离服务功能115之外,中间节点109也包括有通信应用程序117,通信应用程序117产生具有人为口令机制的消息并将消息传输到服务器151或者客户端设备153的屏幕。模块111、113、115、117和171进行处理的一个实施里的详细描述将结合图2给出。要注意的是,所示的支持服务器169代表通信地连接到中间节点109的、处于相同位置的服务器,或者表示远程的外部提供商的服务器。
为了产生表示主域路径文件147、子域路径文件149、整个服务器或者服务器群中的文件的源地址的模板,中间节点109或者支持服务器169在接收到数据包时,识别其中的恶意程序或者其他恶评内容。恶评程序的特征是包括一个或者多个有效载荷比特序列,数据包中存储这种比序列则表示数据包有效载荷中至少存在一部分特定的恶意程序。恶意程序的另一特征是包括有与重复发布恶意程序的已知终端设备的地址相匹配的源地址。类似地,恶意程序的特征还包括相匹配的文件名文本序列或者其他有效载荷或辅助的数据包字段,至少部分的表示可能存在恶意程序。当来自服务器151的这种数据包达任何的中间节点109之时,将数据包内容与一个或多个主模板进行比较,如果出现了与恶意程序匹配,就应用关联的逻辑。如果在使用主模板比较时检测到存在恶意程序的可能性,就将数据包内容与次级模板进行比较并应用关联的逻辑,以此重复下去,直到得出结论为止。该数据包中的源地址以模板的形式存储并生成关联的逻辑。除了上述自动生成模板的方法,还可以手动产生模板,即通过收集与恶意程序有关的统计值并据此产生模板。
一旦识别出源地址,隔离服务功能115或者117,结合通信应用程序117执行各种预定的任务。例如,通信应用程序117将发送警告给参与交换并继续传送数据包的两终端设备中的一方或双两。或者,也可以在有告警或者无告警的情况在丢弃该数据包。在识别出源地址后,与模板有关的逻辑将数据包引导到一个或多个隔离服务功能115或171,接着该隔离服务功能115以逐步的方式执行多级处理中的一个或多个处理。例如,如果服务器151的侵犯是良性的,例如烦人的弹出广告,那么,就丢弃数据包,并将与服务器151有关的合适的警告消息发送到服务器151以及客户端设备153。通常,这种网页和弹出广告误导用户点击错误的按钮,用户不知道这种行为导致终端设备受恶意程序感染。对于这种低风险因素级,隔离服务功能块115或者171采用不太严格的行为,例如不允许下载网页,禁止某些方面的网页,或者禁止误导用户的弹出窗口,并可发送或不发送消息。
当服务器151尝试重复地发送恶意程序时,或者在恶意程序处于高风险级时,隔离服务功能块115的处理将采取严厉的措施,例如向服务器151发送警告消息,通知将中断路由,直到修复了恶意程序或者其他的恶评内容问题为止。这种警告消息也包括有与可用于修复该问题的帮助有关的信息。服务器151的用户能够下载隔离功能块。可从外部服务器169或者中间节点109获得的隔离功能块与消息一起,允许服务器151和客户端设备的用户自己学习以及修复恶意程序。这些下载的隔离功能块是可执行或可编译的代码,在用户接受的情况下发送到终端设备,可由操作系统或者网页浏览器运行。此外,在某些其它情况下,例如当恶意程序导致严重损坏客户端设备153的功能时,中间节点109使用已知的有益代码替换该恶意程序,并将它们传输到客户端设备153,同时对服务器151采取一定的措施。另外,中间节点109采取的最大援助包括隔离服务器本身,也可以隔离服务器群。
通信应用程序117发送的消息包括有标题如“恶意程序警告”,以及有关该恶意程序的类型的简要描述、发送者和接收者的IP地址和/或域名、恶意程序类型、风险因素和其他一些细节。另外,该消息对中间节点109遇到的情况给出简要描述,例如“下载的网页/文件正在进行防恶意程序处理,请稍后……”;或者在检测到恶意程序时提示“对不起,该服务器是恶意程序源,不能下载网页和/或文件”,或者“正在发送到文件包含恶意程序……”。消息中也可以包括有与风险因素有关的信息,以及与源于该服务器151的恶意程序的行为有关的信息,例如“已经知道下列服务器发送:恶意程序1<恶意程序类型和代码序号>”:具有高风险因素,影响你的PC注册表,并可能使<一个或多个应用程序的有关行为>失效;恶意程序2<恶意程序类型和代码序号>:具有中等风险因素,产生烦人的和误导用户的弹出窗口。”消息中有关的帮助可以是“要修复来自该服务器的恶意程序<恶意程序类型和代码序号>,请点击下面的按钮”,点击该按钮将提供隔离功能下载或者将客户端设备153引导到另一个可下载的网站。对于其它类型的恶评内容,也提供类似的消息和有关的功能。
当恶意程序代码尝试自我复制或者尝试误导中间节点109时,通信应用程序将使用人为口令机制。人为口令包括几个数字或者字母,其方向与计算机上显示的文字、数字不同。人为口令机制期望自然人用户键入这些文字和数字的组合,并同意传输这些数据包。这个过程可允许传输具有相似文件名或者代码段但是未必是恶意的或者误导用户的数据包。通过人为口令机制,中间网络节点109在必要时还收集一些用户信息以进行进一步的处理。另外,中间节点109能够在提供人为口令机制的同时发送与恶意程序有关的消息、信息、警告以及帮助。与恶意程序有关的信息包括服务器(可以是一个服务器)、域名、IP地址、恶意程序名称和代码、恶意程序的功能及其如何感染客户端设备、与服务器及恶意程序有关的统计值、以及可用于修复该恶意程序的方法。
例如,根据中间节点109收集的统计数据对服务器151定级为在处理恶意程序代码方面是弱的。存储在中间节点109(支持服务器169)处的统计数据既可以通过各种用户的反馈来收集,也可以通过分析服务器的恶意程序侵害的数量来收集。其他的分析和定级服务器的统计方法也是可行的。
发送到客户端设备151的带有人为口令机制的信息还包括用户针对服务器151进行反馈的规定,将用户引导到有用的站点的链接,如何在客户端设备设置浏览器应用程序以进行后续的恶意程序防护的信息。或者,在获得人为口令的响应时,中间节点109将浏览器引导到一个或多个提供必须信息的站点,该信息教导用户并提供修复恶意程序的帮助。但是,如果中间节点109明确的确定服务器151发送包含恶意代码和破坏性代码的数据包,那么,中间节点109将阻止这种传输并做出合适的响应,例如中断后续来自服务器151的数据包的路由,同时可使用或者不使用上面提到的人为口令机制、信息和警告。
中间节点109为了执行上述的隔离处理,如果数据包是加密的则解密数据包,并调用本地的或者远程的服务来进行解密处理。另外,中间节点109通过一定方式完成隔离处理没,以便不在从服务器151到客户端设备153的通信路径重复这些处理。这一无重复处理通过在隔离处理完成以后,在数据包中添加比较表版本代码(comparision table version code)来完成。所述比较表版本代码包含有与该数据包比较的主模板和次级模板有关的信息、与之前节点对该数据包使用的隔离服务功能有关的信息。比较表版本代码包含的信息包括模板版本、相关逻辑的版本、本地隔离服务功能版本以及应用的本地或者远程隔离服务功能。例如,如果通信路径中的任何节点包括有增强的或者最新版的模板,该节点可决定仅仅需要比较那些增强的模板。类似的约束也可应用到相关逻辑和隔离服务功能块上。
如果数据包中没有比较表版本代码,那么,执行处理的中间节点可确定之前的节点没有对该数据包进行过分析。反之,如果存在有比较表版本代码,那么,执行处理的中间节点对该比较表版本代码进行解码,以确定之前已经发生的隔离处理。接着,如果还需要进一步的隔离处理,则仅仅进行所需的隔离处理。
如果到达该中间节点的数据包是经过加密的,且表明需要进一步的分析,那么,网络节点先执行数据包的解密。虽然公钥可从服务器151或者客户端设备151获得,但是仅有客户端设备153知道私钥。虽然隔离处理的描述仅仅示出了一种可能的实施例,但是本发明不局限于所描述的实施例。
图2是图1所示通信架构中的中间数据包路径节点221、终端设备207、233功能框图205。具体来说,当服务器207(也可以是服务器群)发送数据包211到因特网时,一个或者多个中间数据包路径节点221开始进行一系列分析223和处理。成功完成分析和处理(以后简称隔离处理)的数据包连同消息一起被发送到客户端设备233,客户端设备233可以是个人计算机、手持设备或者电话。或者,在分析过程225、227中,通过检测到源地址发送具有恶意程序或者其他恶评内容的数据包时,隔离处理229引起一系列动作,例如丢弃该数据包、发送消息和隔离该服务器207。
在中间节点221上对到达的数据包进行分析时,首先使用多个主模板与数据包内容进行比较。通过这种主模板比较225,中间节点221确定服务器的源地址。出现匹配时,中间节点221应用与该主模板有关的逻辑225。接着逻辑225又引起次级模板比较227,使用选择的一组次级模板与数据包内容进行比较。接着,应用与次级模板有关的逻辑。次级模板比较以及相关逻辑的应用过程重复执行,直到作出关于源地址传播恶意程序或者恶评内容的结论为止。
一旦确定源地址为恶意程序或者其他恶评内容传播源,就开始进行隔离处229。在这里,应用隔离服务功能处理。另外,中间节点221在项目表中插入隔离状态,所述项目表包括有主域路径地址265、子域路径地址275、整个服务器或者服务器群的地址、站点路径、风险因素等。通常,这种项目表包括:(a)表示主语路径地址的源地址;(b)表示子域路径地址的源地址;(c)表示单个服务器的源地址;(d)表示具有多个地址的整个物理服务器的源地址;(e)与源端设备的有关的通信路径;(f)恶意程序的风险级别指示;以及(g)隔离状态指示。另外,项目表中的隔离状态是可编辑的,可由系统管理员或者通过与可靠第三方(例如恶意程序清除公司的雇员、警察或者其他权威人士)进行软件交互来添加新条目。
隔离状态指示还导致一系列动作,包括但不限于:(a)改变或者丢弃数据包;(b)向终端设备207、233发送合适的带有人为口令机制的警告、信息或者相关帮助消息;(c)中断到服务器207的路由服务;(d)提供帮助给终端设备207、233修复恶意程序;以及(e)引导用户到提供附加信息和帮助的站点。或者,如果中间节点221上的隔离服务功能不可用,就将数据包引导到支持服务器215,以进行外部隔离服务功能217处理。也可以使用支持服务器215上可用的其他外部服务功能219。终端设备207、233可包括有其它能够执行或者编译下载的QFD(隔离功能下载)、CP(通信路径)和CA(通信应用程序)的软件组件,例如BA(浏览器应用程序)。通信应用程序能够在屏幕上显示消息以及人为口令,例如不需要浏览器的弹出窗口。
图3是图1所示的通信架构的一个实施例的示意图305,其中示出了终端设备、中间数据包路径节点以及服务器或服务器群的其他细节。根据本发明,骨干网313内的中间交换/路由节点307到310包含恶意程序识别系统(MIS)315、316以及隔离服务功能块(QSF)325、326,QSF帮助检测发送恶意程序的服务器以及执行隔离处理。类似地,其他中间接点如个人接入点(PAP)335、接入点(AP)337、339、因特网服务提供商网络341、343和345也包含有恶意程序识别系统(MIS)317到322以及隔离服务功能块(QSF)327到332。下面将结合图4、5和6的对构成恶意程序识别系统315到322的功能模块进行详细描述。
另外,如图所示,支持服务器393通信地连接到一个或多个中间节点309到310,支持服务器393提供附加的外部隔离服务功能395,并向交换/路由节点307到310增加隔离处理能力。这些支持服务器393表示通信地连接到中间接点的、位于相同位置的服务器,或者表示远程的外部提供商的服务器。
终端设备包括服务器351、个人计算机353或者个人电话机355,终端设备使用中间接点307到310、335、337、339、341、343以及345的网络服务来交换数据、音频或者视频数据包。这些终端设备351、353以及355还包括有下载的QFD(隔离功能下载)369到371、CP(通信路径)361到363以及CA(通信应用程序)365到367。这些软件组件帮助中间节点307到310、335、337、339、341、343和345进行隔离处理,如上面结合图1和2所述。
图4是根据图1和图3的实施例构建的网络节点(交换机/路由器/ISPN/AP)407的示意图405。另外,附图示出了通信路径455,通信路径455通信地连接网络节点407和相邻节点467,节点467具有类似的隔离处理能力。网络节点电路407表示任何的路由数据包的因特网节点,网络节点电路407可部分地或者全部地结合到任何的网络设备中,例如交换机、路由器、ISPN或者接入点。网络节点电路407通常包括处理电路409、本地存储器417、管理接口449和网络接口441。这些组件互相之间通过一个或多个系统总线、专用的通信路径、或者其他直接的或者间接的通信路径通信地连接。在各种实施例中,处理电路409可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列、或者其他类型的电路。处理电路409通信地连接到编码/加密管411、解码/解密管413以及恶意程序识别电路415。这些硬件组件411、413和415可以是硬布线的,以提高隔离处理和路由的速度。
本地存储器417可以是随机存取存储器、只读存储器、闪存、硬盘驱动器、光学驱动器,或者是其它类型的能够存储计算机指令和数据的存储器。本地存储器417包括服务模块管理器(SMM)419,通过将包头内容和负载内容与合适的模板进行比较来分析进站数据包。这些模板以及有关的逻辑包括主模板和相关逻辑421、次级模板和相关逻辑。如果在主模板比较过程中发现了匹配,有关的逻辑421将数据包引导到选定的次级模板组进行进一步的分析,在次级模板比较之后,就应用与次级模板有关的逻辑。这一过程重复执行直到得出结论为止。然后,应用合适的隔离服务功能425或者远程隔离服务功能。通信应用程序427允许在屏幕上显示消息和人为口令,例如在不需要浏览器的情况下弹出窗口。
另外,网络接口441包括有线和无线数据包交换接口445、有线和无线电路交换接口447。进一步地,网络接口441也可以包括内置的或者独立的接口处理电路443。网络接口441允许网络设备与其他的网络设备进行通信,允许处理电路409接收和发送数据包,该数据包可能包括恶意程序代码序列。另外,当本地上的这些功能无法使用时,网络接口441能够使用外部的隔离服务功能以进行分析和处理。管理接口449包括显示器和键盘接口,这些管理接口449允许进行网络交换的用户控制本发明所述的系统。
在其他的实施例中,本发明的网络节点407具有比附图所示的更少的或者更多的组件,以及更少的或更多的功能。换句话说,所示的网络设备仅仅是提供一种根据本发明的可能的功能和构造的实施例。图5和图6描述了网络节点的其他可能实施例。
网络节点407通过通信路径455通信地连接到外部网络设备,例如相邻节点467或者支持服务器(未示出)。相邻节点467也由本发明的组件组成,例如恶意程序识别电路477、SMM(服务模块管理器)479、PT & AL(主模板及有关的逻辑)481、ST & AL(次级模板和有关的逻辑)487。另外,相邻节点467可能具有网络节点407的其它组件例如加密管和解密管(未示出)。
网络节点407通过将数据包内容与多个主模板进行比较,来开始进行分析。节点407通过这种主模板比较确定数据包中的源地址是否是任何已知的发送恶意程序的服务器。出现匹配时,节点407应用与主模板有关的逻辑。这一操作进而引出次级模板比较,将数据包包头内容和有效载荷内容与选定的次级模板组进行比较。接着,应用与次级模板有关的逻辑。次级模板比较以及应用有关的逻辑的过程重复进行,直到得出关于源地址的结论为止。一旦确定源地址是已知的发送恶意程序的服务器,就开始隔离处理。在这里,通过使用本地上可用的隔离服务功能425或者将数据包引导到相邻节点467使用外部隔离服务功能(QSF)如QSF 485,对该数据包应用隔离服务功能。另外,节点407在项目表中插入隔离状态指示,该项目表包括全部的IP地址或者具有多个IP地址的全部的物理服务器、站点路径、风险因素等。隔离状态指示包括改变或者丢弃数据包、向终端设备发送具有用户口令机制的警告、信息或者帮助相关消息,以及向终端设备提供帮助以修复恶意程序。或者,如果节点407上的隔离服务功能不可用,就将数据包引导到外部提供商的服务器以进行外部隔离功能处理。
图5是没有安装本发明的组件以与相邻节点567进行交互以完成隔离服务功能处理的网络节点(交换机/路由器/ISPN/AP)507的示意图50。网络节点507可以是传统老式(legacy)设备,网络节点507包括处理电路509、网络接口515以及本地存储器517。该节点507通过通信路径595通信地连接到相邻节点567。相邻节点567包含有至少图4所示的本发明的一些组件。图5所示的相邻节点567包括处理电路569、本地存储器577、管理接口559和网络接口551。相邻节点567的硬布线组件包括编码/加密管571、解码/解密管573、恶意程序识别电路575。另外,网络接口551包括有线和无线数据包交换接口555、有线和无线电路交换接口557。网络接口551也可以包括内置的或者独立的接口处理电路553。本地存储器577包括服务模块管理器(SMM)579、隔离服务功能块585和通信应用程序587。
但是,网络节点507没有安装本发明的任何组件,但包括有服务模块管理器521。当数据包到达节点507时,服务模块管理器521使用封装指令将数据包引导到相邻节点567,以对数据包进行隔离处理并将数据包返回到节点507。相邻节点567按照图4中关于节点407所述的方式对数据包进行隔离处理,并将数据包返回给节点507。接着,节点507向目的端设备路由该数据包。因此,网络节点507通过仅仅将数据包引导到相邻节点567来完成数据包的隔离处理,并接收处理后的数据包。
图6是根据本发明的图1和图3构建的路由器675的示意图605。路由器675可以是分组交换器或者接入点。例如,路由器电路675可以指图3所述的骨干网313中任何的网络节点。路由器电路607通常包括通用主处理卡655、交换器609以及多个线卡615和618。在某些实施例中,线卡615和618可以不同。
第一线卡615包括网络接口625,网络接口625能够与有线和无线网络例如10Mbit、1000Mbit以太网络和5Gbit DWDM(密集波分复用)光纤网交互。第一线卡615也包括交换接口645,交换接口645允许线卡与互连交换器609进行交互。此外,第一线卡615包括次级处理电路635,次级处理电路635在互连交换器609路由数据包之前对数据包进行预处理。次级处理电路635包括转发引擎637和路由缓存。次级处理电路635除了预处理数据包之外,也包括有PT & AL(主模板和有关的逻辑)641。进站数据包首先与主模板进行比较,并应用有关的逻辑。如果出现了匹配,就是用本地可用的隔离服务功能639来处理数据包。
通用主处理卡655还包括核心主处理电路657,核心主处理电路657通信地连接到编码/加密管659和解码/加密管661。通用主处理电路655也包括有服务模块管理器(SMM)665、SP & AL(附加模板及有关的逻辑)667和QSF(隔离服务功能块)669。在第一线卡615引导下,服务模块管理器665结合SP & AL 667、QSF 669执行次级隔离分析和处理。
服务模块管理器665通过比较进站数据包有效载荷和SP & AL 667,并应用附加模板的相关逻辑所指示的合适的隔离服务功能669,来执行源地址检测和处理功能。隔离服务功能处理涉及在检测到源地址时向对应的终端设备发送具有人为口令的消息。该消息可以是在终端设备的显示器上显示的弹出消息,例如在个人计算机、服务器或者如图3所述的电话机上显示。该消息包括标题例如“恶评内容警告”、恶意程序的简要描述、发送方和接收方的IP地址、恶意程序类型、风险因素以及其他的一些细节。另外,SP & AL 667和QSF 669可为外部提供商的模板以及隔离服务模块提供存储空间。
图7是根据本发明的图1和图3的实施例构建的终端设备(服务器和/或客户端)707的示意图705。终端设备电路707可以是发起或接收可能经过加密或未经加密、可能包含恶意程序或其它恶评内容的数据包的任何设备电路。终端设备电路707可以部分或全部地结合到图1和图3所述的任何的终端设备中。终端设备电路707通常包括处理电路709、本地存储器715、用户接口731以及网络接口755。这些组件通过一个或多个系统总线、专用通信路径、或者其他直接的或者间接的通信路径通信地互相连接。在某些实施例中,处理电路709可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列、或者其他处理电路。
网络接口755包括有线和无线数据包交换接口759、有线和无线电路交换接口761。网络接口755还包括内置的或者独立的接口处理电路757。网络接口755允许终端设备与其他的终端设备通信。用户接口731包括显示接口和键盘接口。
本地存储器715可以是随机存取存储器、只读存储器、闪存、硬盘驱动器、光学驱动器,或者是其它类型的能够存储计算机指令和数据的存储器。本地存储器715包括有通信路径717、通信应用程序719以及隔离功能下载软件723。另外,本地存储器715可包含有浏览器应用程序729以及操作系统725和浏览器727。浏览器应用程序729能够执行或者编译所下载的隔离功能下载软件723,隔离功能下载软件723帮助用户了解恶意程序有关的内容以及修复恶意程序有关的问题。当网络节点在发起于或者目的地为终端设备电路707的数据包中检测到恶意程序代码片段时,网络节点可用这些下载软件723。通信应用程序719允许消息和人为口令在屏幕上显示,例如不需要浏览器的弹出窗口。
在其它实施例中,本发明的终端设备电路707可包括更少的或者更多的组件,以及更少的或更多的功能。换句话说,所示的终端设备仅仅是提供一种根据本发明的可能的功能和构造的实施例。
终端设备707通过网络775通信地连接到外部网络设备,例如远程设备781。外部网络设备781也包括有本发明的组件例如处理电路783和本地存储器795,本地存储器795包括本发明的功能模块如服务模块管理器785和PT&AL 787、ST & AL 789、QSF 791和CA 793。服务器或客户端通常通过互相之间交换数据包来进行通信。这些数据包可能有意地或者无意地包含恶意程序代码片段。网络节点如远程设备781检测到源地址时,网络节点会采用多个可能的步骤之一。这些可能的步骤包括改变或丢弃数据包,向终端设备发送具有人为口令机制的合适的警告、信息或者帮助相关消息,提供帮助给终端设备修复恶意程序。这些功能通过远程设备781的组件785、787、789、791和793结合终端设备电路707的组件717、719、721、723、725、727和729一起工作来实现。
图8是图4、图5和图6所示网络设备处理恶意程序时的典型方法流程的流程图805。尽管针对的是恶意程序,该方法流程也适用于所有类型的恶评内容。具体来说,在步骤811中,网络设备通过网络接口接收路由的数据包。在下一步骤813中,网络设备将该数据包与主模板进行比较,并应用相关逻辑。该主模板包括包头模板和有效载荷模板。当数据包到达该网络设备时,将该数据包与主模板进行比较。若该数据包与目标为恶评服务器的源地址的主模板之间存在匹配,那么将立即触发隔离服务功能。若该来源并非恶评的,而仅仅包含有恶评内容,那么将在步骤815中将其与次级模板进行匹配。在此,网络设备在相匹配的主模板的相关逻辑的指引下,将该数据包与至少一个次级模板进行比较。若没有出现匹配,继续与剩下的其它次级模板进行比较。若该数据包与至少一个次级模板之间确实存在匹配,便可得出结论为,该数据包与恶评内容相关。
为了对该匹配作出响应,在下一步骤817中,应用所选择的隔离服务功能处理。换句话说,一旦该源地址被证实为发送恶意程序或与恶评内容相关的地址,即启动该隔离处理。该步骤中,可利用本地隔离服务功能和/或远端隔离服务功能来应用该隔离服务功能处理。
然后,在下一步骤819中,网络设备在项目表中插入隔离状态符,该项目表包含主域路径地址、子网域路径地址,以及整个服务器或者服务器群的地址、站点路径、风险因素等等。一般而言,该项目表可包括:(a)代表主域路径地址的源地址;(b)代表子域路径地址的源地址;(c)代表单个服务器的源地址;(d)代表具有多个地址的整个物理服务器的源地址;(e)与源端终端设备相关的通信路径;(f)恶意程序的风险级指示符;(g)隔离状态指示符。该隔离状态指示符进一步通过网络设备引导一系列操作,可包括修改或丢弃数据包,发送带有人为口令机制的合适的警告、信息或帮助相关消息,中断路由服务,提供帮助给终端设备修复恶意程序,以及将用户引导到提供附加信息和协助的站点。然后,若在该隔离状态指示符中作出指示,则在步骤821中将该数据包向目的端终端设备路由。
上述内容提及的“与模板进行匹配”实际上是指,与该模板相关的逻辑进行匹配。例如,若该模板找到相关性,那么逻辑则指示成功匹配;或者,若该模板没有找到相关性,则指示结果相反。逻辑还可能会更加复杂,例如,需要与主模板和第一次级模板之间存在相关性,同时与第三次级模板之间没有相关性。该流程图仅为本发明可能的流程图中的一个简要示例。
图9是图4、图5和图6所示网络设备在一个实施例中更为详细的功能流程图905。该网络设备的详细功能从步骤907开始执行。在步骤909中,该网络设备通过网络接口接收路由过来的数据包,并将其引导至验证管理器单元。该验证管理器验证是否已由在源端和目的端设备之间的通信路径内参与数据包路由的在先节点执行了隔离处理。在下一判断步骤913中,该网络设备决定是否指示有任何进一步的分析。如果没有,该网络设备则在步骤933中路由该数据包,且其功能在下一步骤935中结束。
若在判断步骤913中,验证管理器决定有必要进行进一步的处理,则在下一步骤915中,数据包被引导至编码/加密管中。在下一判断步骤917中,该编码/加密管确定数据包是否经过加密,若是,则在下一步骤919中,网络设备接收对应的密钥并对该数据包进行解密。如果判断步骤917的结果是该数据包没有经过加密,网络设备则转为执行步骤919。在下一步骤921中,网络设备通过将包头内容及有效载荷内容与主模板及次级模板进行比较,从而分析该数据包,并应用相关逻辑。
在下一判断步骤923中,网络设备确定在主模板及次级模板的比较过程中是否存在匹配,若没有发现存在匹配,网络设备将在步骤933中路由该数据包,并在下一步骤935中结束其功能。若在步骤923中发现存在匹配,则在下一步骤925中,网络设备应用隔离服务功能,或者将该数据包引导至外部设备中进行隔离功能处理。在下一步骤927中,网络设备在项目表中添加隔离状态指示符。在下一步骤929中,网络设备根据该项目表中的隔离状态指示符发送警告消息至服务器。然后,该网络设备执行隔离状态指示,包括在下一步骤913中,中断路由任何来自相关IP地址(即,主域路径地址、子域路径地址、整个服务器或服务器群的地址)的数据包。然后,在下一步骤933中,若隔离状态给出指示,则网络设备路由该数据包,并在下一步骤935中结束其功能。
图10是图4、图5、图6所示网络设备在一个实施例中其恶意程序识别电路的功能实现图。该恶意程序识别电路(MIC)的功能可扩展为能够识别任何种类的恶评内容,其从步骤1007开始执行。在步骤1009中,该恶意程序识别电路从服务模块管理器(SMM)中接收数据包。在步骤1011中,该恶意程序识别电路识别由服务模块管理器所检测到的源地址,并将该源地址添加到项目表中。在下一步骤1013中,该恶意程序识别电路在该项目表中插入隔离状态指示符,该项目表的输入内容可能包括主域路径地址、子域路径地址、整个服务器或者服务器群的地址、站点路径以及其他条目之间的风险因素。
然后,在下一步骤1015中,该恶意程序识别电路根据该隔离状态指示符的指示,向源端设备的用户发送带有人为口令的警告消息,并接收响应。在下一步骤1017中,该恶意程序识别电路将该数据包发送至另一个单元进行路由。若没有指示进行进一步的路由,该恶意程序识别电路丢弃该数据包,并提供帮组给该远端设备修复恶意程序,以及中断对来自源地址的数据包的进一步路由,直至问题被解决。然后在下一步骤1019结束其功能。
本领域普通技术人员可知,本申请中所使用的短语“通信连接”包括有线的和无线的、直接的连接和通过其它组件、元件或模块的间接连接。本领域普通技术人员还可知,推定连接(即推定一个部件与另一个部件连接)包括两个部件之间与“通信连接”方式相同的无线的和有线的、直接的和间接的连接。
本发明通过借助方法步骤展示了本发明的特定功能及其关系。所述方法步骤的范围和顺序是为了便于描述任意定义的。只要能够执行特定的功能和顺序,也可应用其它界限和顺序。任何所述或选的界限或顺序因此落入本发明的范围和精神实质。
本发明还借助功能模块对某些重要的功能进行了描述。所述功能模块的界限和各种功能模块的关系是为了便于描述任意定义的。只要能够执行特定的功能,也可应用其它的界限或关系。所述其它的界限或关系也因此落入本发明的范围和精神实质。
本领域普通技术人员还可知,本申请中的功能模块和其它展示性模块和组件可实现为离散组件、专用集成电路、执行恰当软件的处理器和前述的任意组合。
此外,尽管以上是通过一些实施例对本发明进行的描述,本领域技术人员知悉,本发明不局限于这些实施例,在不脱离本发明的精神和范围的情况下,可以对这些特征和实施例进行各种改变或等效替换。本发明的保护范围仅由本申请的权利要求书来限定。
本专利申请参考并引用以下专利申请:
申请日为2006年5月5日的美国专利申请No.11/429,477,名称为“PACKET ROUTING WITH PAYLOAD ANALYSI,ENCAPSULATION AND SEVICE MODULEVECTORING”(BP5390);
申请日为2006年5月5日的美国专利申请No.11/429,478,名称为“PACKET ROUTING AND VECTORING BASED ON PAYLOAD COMPARISON WITHSPAT IALLY RELATED TEMPLATES”(BP5391);
申请日为2006年7月20日的美国专利申请No.11/491,033,名称为“SWITCHING NETWORK EMPLOYING VIRUS DETECTION”(BP 5457);
申请日为2006年6月23日的美国专利申请No.11/474,033,名称为“INTERMEDIATE NETWORK NODE SUPPORTING PACKET ANALYSIS OF ENCRYPTEDPAYLOAD”(BP5458);
以及申请日为2006年8月18日的美国专利申请No.11/xxx,xxx,名称为“SWITCHING NETWORK EMPLAYING ADWARE QUARANTINE TECHEIQUES”(BP5524)。

Claims (10)

1、一种将数据包从源端设备发往目的端设备的通信架构,所述源端设备具有域名和当前网络地址,其特征在于,所述通信架构包括:
域名服务器,用于存储与所述源端设备对应的域名及当前网络地址;
中间路由节点;
存储在所述中间路由节点中的多个模板,其中的第一模板从域名服务器的相关存储器中使用所述源端设备的域名进行更新,所述第一模板将所述源端设备的当前网络地址作为目标;
隔离服务功能块;
所述中间路由节点在接收到来自所述源端设备的数据包后,成功地将所述数据包与第一模板进行匹配;以及
所述中间路由节点通过触发所述隔离服务功能对成功匹配进行响应。
2、根据权利要求1所述的通信架构,其特征在于,所述源端设备包括恶评服务器,所述多个模板中的所述第一模板通过将当前网络地址作为目标从而将所述恶评服务器作为目标。
3、根据权利要求1所述的通信架构,其特征在于,所述源端设备是服务器群。
4、根据权利要求1所述的通信架构,其特征在于,所述隔离服务功能块传送人为口令。
5、一种用于将数据包从源端设备发往目的端设备的通信架构中的中间路由节点,其中所述源端设备具有网络识别符,且所述源端设备包含恶评内容,其特征在于,所述中间路由节点包括:
通信接口;
包含多个模板的存储器;
所述多个模板中将所述网络识别符的至少一部分作为目标的第一模板;
与所述存储器及通信接口相连的处理电路,用于对从所述源端设备接收的数据包进行比较时,将所述数据包与多个模板中的所述第一模板匹配;以及
所述处理电路至少部分地基于所述匹配结果,触发隔离功能以作出响应。
6、根据权利要求5所述的中间路由节点,其特征在于,所述中间路由节点包括路由器。
7、根据权利要求5所述的中间路由节点,其特征在于,所述中间路由节点包括接入点。
8、根据权利要求5所述的中间路由节点,其特征在于,所述处理电路基于与所述多个模板中所述第一模板以及第二模板的匹配结果,触发所述隔离功能以作出响应,其中所述第二模板将统一资源定位符的至少一部分作为目标。
9、一种通过分组交换通信路径中的中间网络节点执行的方法,所述中间网络节点通信连接在源端设备和目的端设备之间,所述源端设备具有网络识别符和恶评内容,其特征在于,所述方法包括:
接收包含所述网络识别符的数据包;
将所述数据包与多个模板进行比较;
将所述数据包的至少一部分与所述多个模板中的第一模板匹配;
至少部分地基于所述匹配结果,触发隔离功能以作出响应。
10、根据权利要求9所述的方法,其特征在于,所述方法进一步包括:在本地执行所述隔离功能的至少一部分。
CN2007101031492A 2006-05-05 2007-04-28 通信系统、中间路由节点及其执行的方法 Expired - Fee Related CN101068253B (zh)

Applications Claiming Priority (10)

Application Number Priority Date Filing Date Title
US11/429,477 US7948977B2 (en) 2006-05-05 2006-05-05 Packet routing with payload analysis, encapsulation and service module vectoring
US11/429,478 2006-05-05
US11/429,477 2006-05-05
US11/429,478 US7596137B2 (en) 2006-05-05 2006-05-05 Packet routing and vectoring based on payload comparison with spatially related templates
US11/474,033 2006-06-23
US11/474,033 US20070258468A1 (en) 2006-05-05 2006-06-23 Intermediate network node supporting packet analysis of encrypted payload
US11/491,052 2006-07-20
US11/491,052 US7895657B2 (en) 2006-05-05 2006-07-20 Switching network employing virus detection
US11/506,661 US20070258437A1 (en) 2006-05-05 2006-08-18 Switching network employing server quarantine functionality
US11/506,661 2006-08-18

Publications (2)

Publication Number Publication Date
CN101068253A true CN101068253A (zh) 2007-11-07
CN101068253B CN101068253B (zh) 2010-11-24

Family

ID=38508901

Family Applications (7)

Application Number Title Priority Date Filing Date
CN2007101013615A Expired - Fee Related CN101123583B (zh) 2006-05-05 2007-04-17 网络节点设备及其方法
CN200710101368.7A Expired - Fee Related CN101115003B (zh) 2006-05-05 2007-04-19 支持传送带有媒体内容的数据包的通信设施及其方法
CN2007101026278A Active CN101068142B (zh) 2006-05-05 2007-04-24 一种通信架构及其内的中间路由节点和方法
CNA2007101029806A Pending CN101068207A (zh) 2006-05-05 2007-04-26 一种通信架构、分组交换机、网络节点和数据包传送方法
CN200710102676.1A Expired - Fee Related CN101068204B (zh) 2006-05-05 2007-04-26 通信架构中的中间网络节点及其执行的方法
CN2007101029755A Expired - Fee Related CN101068206B (zh) 2006-05-05 2007-04-27 分组交换机、网络节点、分组交换架构及数据包路由方法
CN2007101031492A Expired - Fee Related CN101068253B (zh) 2006-05-05 2007-04-28 通信系统、中间路由节点及其执行的方法

Family Applications Before (6)

Application Number Title Priority Date Filing Date
CN2007101013615A Expired - Fee Related CN101123583B (zh) 2006-05-05 2007-04-17 网络节点设备及其方法
CN200710101368.7A Expired - Fee Related CN101115003B (zh) 2006-05-05 2007-04-19 支持传送带有媒体内容的数据包的通信设施及其方法
CN2007101026278A Active CN101068142B (zh) 2006-05-05 2007-04-24 一种通信架构及其内的中间路由节点和方法
CNA2007101029806A Pending CN101068207A (zh) 2006-05-05 2007-04-26 一种通信架构、分组交换机、网络节点和数据包传送方法
CN200710102676.1A Expired - Fee Related CN101068204B (zh) 2006-05-05 2007-04-26 通信架构中的中间网络节点及其执行的方法
CN2007101029755A Expired - Fee Related CN101068206B (zh) 2006-05-05 2007-04-27 分组交换机、网络节点、分组交换架构及数据包路由方法

Country Status (4)

Country Link
US (1) US7948977B2 (zh)
EP (1) EP1853025B1 (zh)
CN (7) CN101123583B (zh)
TW (1) TWI363530B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102884764A (zh) * 2012-06-30 2013-01-16 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN105873090A (zh) * 2015-01-21 2016-08-17 中国移动通信集团辽宁有限公司 一种信息传播跟踪方法及其装置
CN107196963A (zh) * 2009-09-22 2017-09-22 高通股份有限公司 使用url模板和构造规则的增强型块请求流送
US10855736B2 (en) 2009-09-22 2020-12-01 Qualcomm Incorporated Enhanced block-request streaming using block partitioning or request controls for improved client-side handling
US11477253B2 (en) 2006-06-09 2022-10-18 Qualcomm Incorporated Enhanced block-request streaming system using signaling or block creation
CN109684624B (zh) * 2017-10-18 2023-12-08 北京京东尚科信息技术有限公司 一种自动识别订单地址路区的方法和装置

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101170413B (zh) * 2007-12-06 2011-01-05 华为技术有限公司 一种数字证书及其私钥的获得、分发方法及设备
US20100008358A1 (en) * 2008-07-10 2010-01-14 Utah State University System and Methods for Content Insertion within a Router
CN101572700B (zh) * 2009-02-10 2012-05-23 中科正阳信息安全技术有限公司 一种HTTP Flood分布式拒绝服务攻击防御方法
CN102577576B (zh) * 2009-05-08 2017-03-01 瑞典爱立信有限公司 本地交换
CN101741547B (zh) * 2009-12-18 2012-05-23 西安西电捷通无线网络通信股份有限公司 节点间保密通信方法及系统
US9716672B2 (en) 2010-05-28 2017-07-25 Brocade Communications Systems, Inc. Distributed configuration management for virtual cluster switching
US9270486B2 (en) 2010-06-07 2016-02-23 Brocade Communications Systems, Inc. Name services for virtual cluster switching
US9001824B2 (en) 2010-05-18 2015-04-07 Brocade Communication Systems, Inc. Fabric formation for virtual cluster switching
US9769016B2 (en) 2010-06-07 2017-09-19 Brocade Communications Systems, Inc. Advanced link tracking for virtual cluster switching
US8867552B2 (en) 2010-05-03 2014-10-21 Brocade Communications Systems, Inc. Virtual cluster switching
US8879540B1 (en) 2010-06-03 2014-11-04 8X8, Inc. Systems, methods, devices and arrangements for emergency call services
US8422986B1 (en) * 2010-06-03 2013-04-16 8X8, Inc. Systems, methods, devices and arrangements for emergency call services using non-traditional endpoint devices
US9689988B1 (en) 2010-06-03 2017-06-27 8X8, Inc. Systems, methods, devices and arrangements for emergency call services and emergency broadcasts
US9116223B1 (en) 2010-06-03 2015-08-25 8X8, Inc. Systems, methods, devices and arrangements for emergency call services and user participation incentives
US9806906B2 (en) 2010-06-08 2017-10-31 Brocade Communications Systems, Inc. Flooding packets on a per-virtual-network basis
US9608833B2 (en) 2010-06-08 2017-03-28 Brocade Communications Systems, Inc. Supporting multiple multicast trees in trill networks
US9628293B2 (en) 2010-06-08 2017-04-18 Brocade Communications Systems, Inc. Network layer multicasting in trill networks
US9246703B2 (en) * 2010-06-08 2016-01-26 Brocade Communications Systems, Inc. Remote port mirroring
US9807031B2 (en) 2010-07-16 2017-10-31 Brocade Communications Systems, Inc. System and method for network configuration
CN102469450B (zh) * 2010-11-08 2014-06-04 中国移动通信集团广东有限公司 一种手机病毒特征的识别方法及装置
CN102104872A (zh) * 2011-02-23 2011-06-22 中兴通讯股份有限公司 安全访问wapi网络的方法、装置及系统
US9270572B2 (en) 2011-05-02 2016-02-23 Brocade Communications Systems Inc. Layer-3 support in TRILL networks
CN102299821A (zh) * 2011-08-08 2011-12-28 北京安天电子设备有限公司 一种网络病毒监控设备测试系统及方法
CN102957673B (zh) * 2011-08-24 2015-12-16 腾讯科技(深圳)有限公司 一种信息的处理方法、设备和系统
US9736085B2 (en) 2011-08-29 2017-08-15 Brocade Communications Systems, Inc. End-to end lossless Ethernet in Ethernet fabric
US9699117B2 (en) 2011-11-08 2017-07-04 Brocade Communications Systems, Inc. Integrated fibre channel support in an ethernet fabric switch
US9450870B2 (en) 2011-11-10 2016-09-20 Brocade Communications Systems, Inc. System and method for flow management in software-defined networks
US8995272B2 (en) 2012-01-26 2015-03-31 Brocade Communication Systems, Inc. Link aggregation in software-defined networks
WO2013119802A1 (en) 2012-02-11 2013-08-15 Social Communications Company Routing virtual area based communications
US9742693B2 (en) 2012-02-27 2017-08-22 Brocade Communications Systems, Inc. Dynamic service insertion in a fabric switch
US9154416B2 (en) 2012-03-22 2015-10-06 Brocade Communications Systems, Inc. Overlay tunnel in a fabric switch
US9374301B2 (en) 2012-05-18 2016-06-21 Brocade Communications Systems, Inc. Network feedback in software-defined networks
US10277464B2 (en) 2012-05-22 2019-04-30 Arris Enterprises Llc Client auto-configuration in a multi-switch link aggregation
US10454760B2 (en) 2012-05-23 2019-10-22 Avago Technologies International Sales Pte. Limited Layer-3 overlay gateways
US9602430B2 (en) 2012-08-21 2017-03-21 Brocade Communications Systems, Inc. Global VLANs for fabric switches
US9330054B2 (en) 2012-10-31 2016-05-03 Freescale Semiconductor, Inc. System and method for assigning a message
US9401872B2 (en) 2012-11-16 2016-07-26 Brocade Communications Systems, Inc. Virtual link aggregations across multiple fabric switches
US9413691B2 (en) 2013-01-11 2016-08-09 Brocade Communications Systems, Inc. MAC address synchronization in a fabric switch
US9350680B2 (en) 2013-01-11 2016-05-24 Brocade Communications Systems, Inc. Protection switching over a virtual link aggregation
US9548926B2 (en) 2013-01-11 2017-01-17 Brocade Communications Systems, Inc. Multicast traffic load balancing over virtual link aggregation
US9565113B2 (en) 2013-01-15 2017-02-07 Brocade Communications Systems, Inc. Adaptive link aggregation and virtual link aggregation
US9565099B2 (en) 2013-03-01 2017-02-07 Brocade Communications Systems, Inc. Spanning tree in fabric switches
US9401818B2 (en) 2013-03-15 2016-07-26 Brocade Communications Systems, Inc. Scalable gateways for a fabric switch
US9699001B2 (en) 2013-06-10 2017-07-04 Brocade Communications Systems, Inc. Scalable and segregated network virtualization
US9565028B2 (en) 2013-06-10 2017-02-07 Brocade Communications Systems, Inc. Ingress switch multicast distribution in a fabric switch
CN104348795B (zh) * 2013-07-30 2019-09-20 深圳市腾讯计算机系统有限公司 通用网关接口业务入侵防护的方法及装置
US9806949B2 (en) 2013-09-06 2017-10-31 Brocade Communications Systems, Inc. Transparent interconnection of Ethernet fabric switches
US9912612B2 (en) 2013-10-28 2018-03-06 Brocade Communications Systems LLC Extended ethernet fabric switches
GB2520085B (en) * 2013-11-11 2016-04-13 Rosberg System As Telecommunications system
US9548873B2 (en) 2014-02-10 2017-01-17 Brocade Communications Systems, Inc. Virtual extensible LAN tunnel keepalives
US10581758B2 (en) 2014-03-19 2020-03-03 Avago Technologies International Sales Pte. Limited Distributed hot standby links for vLAG
US10476698B2 (en) 2014-03-20 2019-11-12 Avago Technologies International Sales Pte. Limited Redundent virtual link aggregation group
CN105024981B (zh) * 2014-04-29 2019-08-16 腾讯科技(深圳)有限公司 数据处理方法、装置及相关路由设备
US10063473B2 (en) 2014-04-30 2018-08-28 Brocade Communications Systems LLC Method and system for facilitating switch virtualization in a network of interconnected switches
US9800471B2 (en) 2014-05-13 2017-10-24 Brocade Communications Systems, Inc. Network extension groups of global VLANs in a fabric switch
US10616108B2 (en) 2014-07-29 2020-04-07 Avago Technologies International Sales Pte. Limited Scalable MAC address virtualization
US9544219B2 (en) 2014-07-31 2017-01-10 Brocade Communications Systems, Inc. Global VLAN services
US9807007B2 (en) 2014-08-11 2017-10-31 Brocade Communications Systems, Inc. Progressive MAC address learning
US9524173B2 (en) 2014-10-09 2016-12-20 Brocade Communications Systems, Inc. Fast reboot for a switch
US9699029B2 (en) 2014-10-10 2017-07-04 Brocade Communications Systems, Inc. Distributed configuration management in a switch group
SG11201704059RA (en) * 2014-11-25 2017-06-29 Ensilo Ltd Systems and methods for malicious code detection accuracy assurance
US9626255B2 (en) 2014-12-31 2017-04-18 Brocade Communications Systems, Inc. Online restoration of a switch snapshot
US9628407B2 (en) 2014-12-31 2017-04-18 Brocade Communications Systems, Inc. Multiple software versions in a switch group
US10003552B2 (en) 2015-01-05 2018-06-19 Brocade Communications Systems, Llc. Distributed bidirectional forwarding detection protocol (D-BFD) for cluster of interconnected switches
US9942097B2 (en) 2015-01-05 2018-04-10 Brocade Communications Systems LLC Power management in a network of interconnected switches
US9807005B2 (en) 2015-03-17 2017-10-31 Brocade Communications Systems, Inc. Multi-fabric manager
US10038592B2 (en) 2015-03-17 2018-07-31 Brocade Communications Systems LLC Identifier assignment to a new switch in a switch group
EP3258409B1 (en) * 2015-03-18 2019-07-17 Nippon Telegraph and Telephone Corporation Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware
US10579406B2 (en) 2015-04-08 2020-03-03 Avago Technologies International Sales Pte. Limited Dynamic orchestration of overlay tunnels
US10439929B2 (en) 2015-07-31 2019-10-08 Avago Technologies International Sales Pte. Limited Graceful recovery of a multicast-enabled switch
CN105187538A (zh) * 2015-09-14 2015-12-23 北京星网锐捷网络技术有限公司 一种Web认证噪声处理方法及处理装置
US10171303B2 (en) 2015-09-16 2019-01-01 Avago Technologies International Sales Pte. Limited IP-based interconnection of switches with a logical chassis
US9912614B2 (en) 2015-12-07 2018-03-06 Brocade Communications Systems LLC Interconnection of switches based on hierarchical overlay tunneling
EP3200037A1 (en) * 2016-01-26 2017-08-02 Basf Se System and method for risk based control of a process performed by production equipment
US10530934B1 (en) 2016-05-04 2020-01-07 8X8, Inc. Endpoint location determination for call routing decisions
US10542150B1 (en) 2016-05-04 2020-01-21 8X8, Inc. Server generated timing of location updates for call routing decisions
US10326888B1 (en) 2016-05-04 2019-06-18 8X8, Inc. Location updates for call routing decisions
US11076051B1 (en) 2016-05-04 2021-07-27 8X8, Inc. Endpoint location update control for call routing decisions
DE112016007289T5 (de) * 2016-09-30 2019-06-19 Intel Corporation Erweiterter speicher für smm-transfermonitor
US10237090B2 (en) 2016-10-28 2019-03-19 Avago Technologies International Sales Pte. Limited Rule-based network identifier mapping
CN107203580B (zh) * 2017-02-27 2018-06-26 广州旺加旺网络科技有限公司 一种网页显示方法以及使用网页显示方法的移动终端
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和系统
CN107370747A (zh) * 2017-08-14 2017-11-21 北京奇安信科技有限公司 一种阻止恶意文件传播的方法及装置
US11080303B2 (en) * 2017-09-08 2021-08-03 Bank Of America Corporation System and method of multiprotocol publisher and subscriber services
TWI825293B (zh) * 2020-03-24 2023-12-11 瑞昱半導體股份有限公司 應用在網路裝置中的電路
CN111881450B (zh) * 2020-08-04 2023-12-29 深信服科技股份有限公司 一种终端文件的病毒检测方法、装置、系统、设备和介质

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5608720A (en) * 1993-03-09 1997-03-04 Hubbell Incorporated Control system and operations system interface for a network element in an access system
US5623600A (en) 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US6393568B1 (en) 1997-10-23 2002-05-21 Entrust Technologies Limited Encryption and decryption system and method with content analysis provision
US6195698B1 (en) 1998-04-13 2001-02-27 Compaq Computer Corporation Method for selectively restricting access to computer systems
US6512769B1 (en) * 1998-06-03 2003-01-28 Cisco Technology, Inc. Method and apparatus for rate-based cell traffic arbitration in a switch
JP2001005757A (ja) 1999-06-23 2001-01-12 Hitachi Ltd 電子透かしを利用したデータのフィルタリングシステム
US20020007453A1 (en) 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
US6678272B1 (en) * 2000-05-24 2004-01-13 Advanced Micro Devices, Inc. Apparatus and method using a register scheme for efficient evaluation of equations in a network switch
US7016956B2 (en) * 2000-07-31 2006-03-21 Ellacoya Networks, Inc. Directory-enabled intelligent broadband service switch
US6381242B1 (en) 2000-08-29 2002-04-30 Netrake Corporation Content processor
US20020069370A1 (en) 2000-08-31 2002-06-06 Infoseer, Inc. System and method for tracking and preventing illegal distribution of proprietary material over computer networks
US7124440B2 (en) 2000-09-07 2006-10-17 Mazu Networks, Inc. Monitoring network traffic denial of service attacks
US6466591B1 (en) * 2000-12-30 2002-10-15 Redback Networks Inc. Method and apparatus for processing of multiple protocols within data and control channels in data transmission signals
US7627897B2 (en) 2001-01-03 2009-12-01 Portauthority Technologies Inc. Method and apparatus for a reactive defense against illegal distribution of multimedia content in file sharing networks
US7404212B2 (en) 2001-03-06 2008-07-22 Cybersoft, Inc. Apparatus and methods for intercepting, examining and controlling code, data and files and their transfer
US7681032B2 (en) 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
US7512980B2 (en) 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US9392002B2 (en) 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7693285B2 (en) 2002-03-06 2010-04-06 Entrust, Inc. Secure communication apparatus and method
EP1616418A1 (en) 2003-04-10 2006-01-18 Koninklijke Philips Electronics N.V. Multimedia messaging method and system
KR100534057B1 (ko) 2003-05-30 2005-12-07 주식회사 마크애니 멀티미디어 콘텐츠의 불법유통 방지를 위한 방법 및 이를이용한 장치
CN1332354C (zh) * 2003-07-23 2007-08-15 索尼英国有限公司 数据内容识别
US7769994B2 (en) 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
US7444515B2 (en) 2003-08-14 2008-10-28 Washington University Method and apparatus for detecting predefined signatures in packet payload using Bloom filters
US7606927B2 (en) * 2003-08-27 2009-10-20 Bbn Technologies Corp Systems and methods for forwarding data units in a communications network
US7287278B2 (en) 2003-08-29 2007-10-23 Trend Micro, Inc. Innoculation of computing devices against a selected computer virus
JP4365672B2 (ja) * 2003-12-04 2009-11-18 株式会社日立製作所 パケット通信ノード装置
US7436770B2 (en) 2004-01-21 2008-10-14 Alcatel Lucent Metering packet flows for limiting effects of denial of service attacks
US20050251486A1 (en) 2004-02-03 2005-11-10 Mark Nair System and methods for protecting digital works using a watermark gateway
US7533415B2 (en) 2004-04-21 2009-05-12 Trend Micro Incorporated Method and apparatus for controlling traffic in a computer network
US7624445B2 (en) 2004-06-15 2009-11-24 International Business Machines Corporation System for dynamic network reconfiguration and quarantine in response to threat conditions
US7933208B2 (en) 2004-09-27 2011-04-26 Polytechnic Institute Of New York University Facilitating storage and querying of payload attribution information
US20060085528A1 (en) 2004-10-01 2006-04-20 Steve Thomas System and method for monitoring network communications for pestware
US20060075494A1 (en) 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US20060092921A1 (en) * 2004-10-12 2006-05-04 Rajesh Narayanan Configuration for using open programming languages to dynamically configure packet processing rules
US8238347B2 (en) * 2004-10-22 2012-08-07 Cisco Technology, Inc. Fibre channel over ethernet
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
WO2006060581A2 (en) 2004-11-30 2006-06-08 Sensory Networks Inc. Apparatus and method for acceleration of security applications through pre-filtering
US20070180227A1 (en) 2005-03-01 2007-08-02 Matsushita Electric Works, Ltd. Decryption apparatus for use in encrypted communications
US20060248575A1 (en) 2005-05-02 2006-11-02 Zachary Levow Divided encryption connections to provide network traffic security
CN1330131C (zh) * 2005-06-10 2007-08-01 广东省电信有限公司研究院 一种交互式的网络蠕虫检测系统和方法
CN100464548C (zh) * 2005-10-10 2009-02-25 广东省电信有限公司研究院 一种阻断蠕虫攻击的系统和方法
US20080039995A1 (en) * 2005-12-31 2008-02-14 General Motors Corporation Vehicle fleet email notification method and system

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11477253B2 (en) 2006-06-09 2022-10-18 Qualcomm Incorporated Enhanced block-request streaming system using signaling or block creation
US11743317B2 (en) 2009-09-22 2023-08-29 Qualcomm Incorporated Enhanced block-request streaming using block partitioning or request controls for improved client-side handling
CN107196963A (zh) * 2009-09-22 2017-09-22 高通股份有限公司 使用url模板和构造规则的增强型块请求流送
US11770432B2 (en) 2009-09-22 2023-09-26 Qualcomm Incorporated Enhanced block-request streaming system for handling low-latency streaming
CN107196963B (zh) * 2009-09-22 2020-08-28 高通股份有限公司 使用url模板和构造规则的增强型块请求流送
US10855736B2 (en) 2009-09-22 2020-12-01 Qualcomm Incorporated Enhanced block-request streaming using block partitioning or request controls for improved client-side handling
WO2014000303A1 (zh) * 2012-06-30 2014-01-03 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN102884764B (zh) * 2012-06-30 2015-05-27 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN102884764A (zh) * 2012-06-30 2013-01-16 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
US9578040B2 (en) 2012-06-30 2017-02-21 Huawei Technologies Co., Ltd. Packet receiving method, deep packet inspection device and system
CN105873090A (zh) * 2015-01-21 2016-08-17 中国移动通信集团辽宁有限公司 一种信息传播跟踪方法及其装置
CN105873090B (zh) * 2015-01-21 2019-07-02 中国移动通信集团辽宁有限公司 一种信息传播跟踪方法及其装置
CN109684624B (zh) * 2017-10-18 2023-12-08 北京京东尚科信息技术有限公司 一种自动识别订单地址路区的方法和装置

Also Published As

Publication number Publication date
CN101068253B (zh) 2010-11-24
CN101068204A (zh) 2007-11-07
CN101115003B (zh) 2016-02-03
CN101068142B (zh) 2012-09-05
CN101068206B (zh) 2011-12-14
TWI363530B (en) 2012-05-01
US20070258449A1 (en) 2007-11-08
CN101068142A (zh) 2007-11-07
EP1853025B1 (en) 2013-12-18
CN101068206A (zh) 2007-11-07
CN101115003A (zh) 2008-01-30
CN101123583B (zh) 2011-04-20
US7948977B2 (en) 2011-05-24
CN101068207A (zh) 2007-11-07
TW200816712A (en) 2008-04-01
CN101123583A (zh) 2008-02-13
CN101068204B (zh) 2012-12-12
EP1853025A1 (en) 2007-11-07

Similar Documents

Publication Publication Date Title
CN101068253A (zh) 通信架构、中间路由节点及其执行的方法
TWI359598B (en) Switching network employing server quarantine func
CN1287305C (zh) 网络系统
US8635697B2 (en) Method and system for operating system identification in a network based security monitoring solution
CN101009704A (zh) 一种处理高级网络内容的计算机系统与方法
CN1612532B (zh) 基于主机的网络入侵检测系统
CN1574840A (zh) 对等名称解析电信协议及在此使用的消息格式数据结构
CN103428183B (zh) 恶意网址的识别方法和装置
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
CN101034977A (zh) 在客户端计算机上施加策略兼容的方法、装置、信号和介质
US20200304521A1 (en) Bot Characteristic Detection Method and Apparatus
CN1771709A (zh) 网络攻击特征标记的产生
KR20070103502A (ko) 통신 제어 장치
CN1578212A (zh) 非法通信检测装置
CN1509438A (zh) 用于为网络提供利用保护的系统与方法
JP2020017809A (ja) 通信装置及び通信システム
CN1960246A (zh) 过滤网络中终端与目的主机间传输的危害性数据的方法
JP2006262019A (ja) ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP5699162B2 (ja) コンピュータ資源の乗っ取りを検出する方法
CN1298141C (zh) 实现安全交换网络数据的方法
CN102510563A (zh) 一种移动互联网恶意软件检测的方法及系统
JP4693174B2 (ja) 中間ノード
WO2006120972A1 (ja) 通信端末及びセキュアデバイス並びに集積回路
WO2013097600A1 (zh) 签名库的匹配路径生成方法及相关装置
WO2015141628A1 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101124

Termination date: 20140428