CN104426906A - 识别计算机网络内的恶意设备 - Google Patents
识别计算机网络内的恶意设备 Download PDFInfo
- Publication number
- CN104426906A CN104426906A CN201410393021.4A CN201410393021A CN104426906A CN 104426906 A CN104426906 A CN 104426906A CN 201410393021 A CN201410393021 A CN 201410393021A CN 104426906 A CN104426906 A CN 104426906A
- Authority
- CN
- China
- Prior art keywords
- equipment
- malice
- data point
- safety means
- grading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明描述了用于基于设备的简档来主动地识别可能攻击者的技术。例如,一种设备包括一个或多个处理器和网络接口卡,这些网络接口卡用以从远程设备接收定向至由该设备所保护的一个或多个计算设备的网络流量,基于该网络流量的内容来确定用于该设备的第一集合的数据点,向该远程设备发送响应以查明用于该设备的第二集合的数据点,并且从该远程设备接收该第二集合的数据点的至少一部分。该设备还包括安全模块,该安全模块由这些处理器可操作为确定恶意评级,并且基于该恶意评级来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该远程设备所接收的其他网络流量。
Description
技术领域
本公开内容涉及计算系统,并且更具体地涉及计算系统攻击检测和预防。
背景技术
存在着越来越大量和越来越复杂的网络攻击,特别是针对web应用和服务器的那些网络攻击,其涉及高价值流量。不安全的应用和服务器能够导致顾客损失、财政损失、声誉受损和法律冲突。在从一组攻击者中检测网络攻击的尝试中,例如,公司可以使用攻击签名。然而,攻击签名是反应性的,因为它们仅阻挡触发了已有签名的攻击,并且在一些实例中,是在攻击者已经造成了一些损害之后。此外,攻击者可能更改网络流量,使得攻击者的流量不再与签名相匹配,由此使签名失败并且防止安全设备阻挡该攻击。
发明内容
一般性地,本公开内容描述了用于主动识别可能的攻击者的技术。在一些示例实施方式中,这些技术通过构造简档来识别可能的攻击者,该简档包括从潜在攻击的设备所采集的设备环境信息以及从自该设备所接收的通信所抽取的头部数据(例如,超文本传输协议(HTTP)头部数据)的组合。例如,本公开内容的技术可以使得安全服务能够将由该安全服务关于该设备的操作环境而采集的环境信息与从该设备所接收的通信中的头部数据相比较。如果该安全服务识别到该环境信息与该头部数据之间的不一致,则该安全服务可以确定该设备是与攻击者相关联的恶意设备。进一步地,该安全服务可以分析该环境信息和头部数据来识别该设备的插件、应用、或者其他特性,以确定这些设备特性中的任何设备特性是否指示恶意设备。在该设备被确定是恶意设备的示例中,安全设备可以管理源自该恶意设备的网络流量。
该安全服务可以本地实施在该安全设备处,或者实施在云计算系统中。通过将该安全服务实施在云计算系统中,该安全服务可以使用全局数据库来从多个不同的公司聚集关于攻击者设备的信息,以提供用于攻击者和威胁信息的集合点(consolidation point)。该安全服务然后可以将所获知的攻击者设备信息传播给网络中的其他安全设备。以这种方式,攻击者设备特性的全局数据库可以被生成并且跨安全设备而分布,使得这些安全设备能够识别并且缓解由攻击者设备所发起的攻击,即使这些攻击者设备以前从未攻击过由该特定安全设备所保护的资源。
在一个示例中,一种方法包括:由安全设备并且从一个设备接收定向至由该安全设备所保护的一个或多个计算设备的网络流量;基于该网络流量的内容,来确定用于该设备的第一集合的数据点,该第一集合的数据点包括在该设备处执行的软件应用的特性;并且由该安全设备向该设备发送响应以查明用于该设备的第二集合的数据点,该第二集合的数据点包括由该设备所提供的并且在该设备本地的操作环境的特性。该方法还可以包括:由该安全设备并且从该设备接收该第二集合的数据点的至少一部分;基于该第二集合的数据点的所接收的部分和该第一集合的数据点,来确定恶意评级;以及基于该恶意评级,来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该设备所接收的其他网络流量。
在另一个示例中,一种设备包括一个或多个处理器、一个或多个网络接口卡、以及安全模块。该一个或多个网络接口卡从远程设备接收定向至由该设备所保护的一个或多个计算设备的网络流量;基于该网络流量的内容,来确定用于该设备的第一集合的数据点,该第一集合的数据点包括在该远程设备处执行的软件应用的特性;向该远程设备发送响应以查明用于该远程设备的第二集合的数据点,该第二集合的数据点包括由该远程设备所提供的并且在该远程设备本地的操作环境的特性;并且从该远程设备接收该第二集合的数据点的至少一部分。该安全模块由该一个或多个处理器可操作为:基于该第二集合的数据点的所接收的部分和该第一集合的数据点,来确定恶意评级;并且基于该恶意评级,来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该远程设备所接收的其他网络流量。
在另一个示例中,利用指令来编码计算机可读存储介质。这些指令促使一个或多个可编程处理器从一个设备接收定向至由安全设备所保护的一个或多个计算设备的网络流量;基于该网络流量的内容,来确定用于该设备的第一集合的数据点,该第一集合的数据点包括在该设备处执行的软件应用的特性;并且向该设备发送响应以查明用于该设备的第二集合的数据点,该第二集合的数据点包括由该设备所提供的并且在该设备本地的操作环境的特性。这些指令进一步促使该一个或多个可编程处理器从该设备接收该第二集合的数据点的至少一部分;基于该第二集合的数据点的所接收的部分和该第一集合的数据点,来确定恶意评级;并且基于该恶意评级,来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该设备所接收的其他网络流量。
在下面随附的附图和描述中阐述了一个或多个实施例的细节。根据该描述和附图并且根据权利要求,其他特征、目的、以及优点将是明显的。
附图说明
图1是图示了根据本公开内容的一个或多个方面的示例恶意设备识别网络系统的框图。
图2是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的示例安全设备的框图。
图3是图示了根据本公开内容的一个或多个方面的用于合并恶意设备信息的示例安全服务服务器的框图。
图4是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的示例过程的流程图。
图5是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的另一个示例过程的流程图。
具体实施方式
图1是图示了根据本公开内容的一个或多个方面的示例恶意设备识别网络系统2的框图。如图1中所示出的,网络系统2包括计算设备10、代理服务器12、目标网络14、以及安全服务16。计算设备10是可以被用来攻击目标网络或数据中心的网络资源的计算设备的一个示例。在一些示例中,计算设备10是移动台、膝上型计算机、台式计算机、或服务器计算系统,或者可以包括多个计算设备。例如,计算设备10可以是攻击者对其具有控制的一组计算设备(例如,因为该攻击者先前劫持了那些计算设备)。在一些示例中,计算设备10是由一个或多个计算设备所执行的虚拟机或者软件应用(例如,web浏览器、攻击者工具、脚本、等等)。
计算设备10可能尝试直接地或者通过代理服务器(诸如代理服务器12)连接至目标网络14。代理服务器12可能通过例如使得由计算设备10所生成的网络流量看起来像该网络流量是在代理服务器12处起源的,而混淆与计算设备10相关联的IP地址。通过混淆计算设备10的IP地址,通常的安全器具可能允许该攻击的网络流量进入目标网络,因为该攻击的网络流量不再匹配先前被配置为阻挡来自计算设备10的网络流量的规则。对照地,根据本公开内容的技术所配置的安全设备20,可以继续阻挡来自计算设备10的网络流量,即使计算设备10利用代理服务器12用于网络攻击。
目标网络14可以包括用于提供web应用的一个或多个服务器(诸如应用服务器22)以及安全设备(诸如安全设备20)。目标网络14可以包括另外的网络设备,诸如防火墙、路由器、交换机、服务节点、等等(未示出)。应用服务器22是为用户提供web应用的web应用服务器的示例。在一些示例中,应用服务器22可以被配置为集群、被配置为分布式计算系统、或者被配置为其他冗余的和/或负载均衡的配置。安全设备20是一种网络设备,该网络设备被配置为通过例如识别并且管理从被识别为恶意设备的设备(例如,计算设备10)所接收的网络通信,来保护应用服务器22免于攻击设备之害。
尽管在本文中被描述为确定计算设备10是否是“恶意设备”,但是本公开内容的技术可以识别在计算设备10处执行的一个或多个软件应用是否是恶意软件应用。作为一个示例,计算设备10可以执行探测目标网络14以寻找潜在安全漏洞的程序脚本。作为另一个示例,计算设备10可以执行提供web爬虫功能的软件应用。在这两个示例中,安全设备20和安全服务16可以将在计算设备10处执行的特定软件应用识别为是恶意的或者善意的。如本文所描述的,确定设备是“恶意设备”包括确定在该设备处执行的一个或多个软件应用是恶意的软件应用。因此,术语“恶意设备”包括“恶意的软件应用”,并且确定设备是否是恶意设备包括确定在该设备处执行的软件应用是否是恶意的软件应用。
在一个示例中,计算设备10向应用服务器22发送针对内容的请求。该针对内容的请求可以直接发送给目标网络14或者通过代理服务器12来路由。请求被直接发送给目标网络14指的是请求不经过代理服务器(例如,代理服务器12)而被发送,但是该请求可能行进通过中间网络设备,诸如路由器、网关、防火墙、等等,和/或通过中间网络,并且在它们没有通过代理服务器而被发送的意义上仍然被考虑为被直接发送给目标网络14。在一些实例中,计算设备10可以将一些请求直接发送给目标网络14,并且将其他请求通过代理服务器12发送给目标网络14。
安全设备20被配置为保护应用服务器22,并且在网络路径中定位在计算设备10与应用服务器22之间。安全设备20接收由计算设备10先前发送的请求,并且发起简档构建过程。术语“简档”指代与计算设备10有关的多个数据点(例如,特性)的组合,当该计算设备通过例如请求对web应用的接入、发起虚拟专用网(VPN)会话、发起安全壳连接、等等,来尝试接入目标网络时,这些数据点能够由该安全设备撷取。一般而言,为特定设备所生成的简档可以包括与多个属性有关的数据点(例如,与计算设备10相关联的特性),这些属性与由该计算设备所提供的并且在该计算设备本地的操作环境相关联,这些操作环境诸如用户代理、HTTP_ACCEPT头部、浏览器插件细节、该设备的时区、该设备的监视器的屏幕尺寸和色彩深度、所安装的系统字体、操作系统版本信息、以及是否启用了cookie。在一些示例中,该简档还包括与该设备的IP地址有关的数据点。
在一个示例中,为了生成计算设备10的简档,安全设备20可以初始地允许来自计算设备10的该请求被发送给应用服务器22。响应于确定应用服务器22中的一个或多个应用服务器已经发送了对该请求的响应消息,安全设备20可以拦截该响应消息并且将可执行代码(例如,脚本、Java代码、等等)注入到所拦截的响应消息中,以用于在计算设备10的操作环境内执行。当在计算设备10上被执行时,所注入的代码运行以查明数据点,诸如配置信息。在另一个示例中,安全设备20拦截来自计算设备10的初始请求,并且向计算设备10发送响应,而不允许来自计算设备10的该请求到达应用服务器22。在这个示例中,安全设备20可以生成用以包括在该响应中的伪信息、以及查明计算设备10的配置信息的可执行代码。在任一示例中,计算设备10接收对该请求的响应,并且一经执行所注入的代码,就发送由安全设备20所请求的数据点的至少一部分。
安全设备20可以备选地或者附加地分析并且收集来自计算设备10所发送的该请求的信息(例如,不注入代码或者以其他方式请求来自计算设备10的具体信息)。安全设备20还可以将从该请求所收集的该信息包括在安全设备20为计算设备10生成的简档中。安全设备20通过例如针对每个数据点来收集所有的相异值的列表,使得该简档包括针对每个特定数据点的值的列表(而不仅仅是针对多个值为其而被接收的数据点的单个值),而根据全部所收集的信息来生成简档。在一些示例中,安全设备20将散列函数应用至每个数据点以使这些数据点匿名,使得这些数据点不包括任何个人信息但是仍然可以被用来生成用于设备的简档。如果安全设备20不能针对所请求的数据点中的一个或多个数据点而收集值(例如,因为计算设备10没有将这些值包括在响应中),则安全设备20不将那些值包括在该简档中。因此,用于不同设备的不同简档可以包括不同集合的数据点(例如,特性)。
在一些示例中,安全设备20将所生成的简档的不同数据点相互比较,以识别该简档内的不一致。在一个示例中,该简档包括与在计算设备10处执行的操作系统版本相对应的至少两个数据点。与操作系统版本相对应的这些数据点可以包括由计算设备10所提供的信息(例如,头部信息),并且可以包括由安全设备20(例如,响应于代码注入)所收集的信息。安全设备20可以比较该两种不同方式中的每种方式所提供的操作系统版本信息,以确定他们是否不一致。例如,该头部信息中所提供的操作系统版本信息可能指定一个操作系统,而由安全设备20响应于所注入的代码而收集的该信息可能指定不同的操作系统。
安全设备20还可以将操作系统版本信息与所安装的插件信息相比较,以识别不一致。在一个示例中,由计算设备10所提供的该头部信息指示特定插件被安装在计算设备10处。然而,响应于所注入的代码而提供给安全设备20的操作系统版本信息,指示计算设备10正执行与该插件不兼容的操作系统。
一般而言,该设备简档中的不一致被确定为对应于该设备(例如,计算设备10)是恶意设备的增加的可能性。相应地,在其中安全设备20在所生成的简档中识别了一个或多个不一致的实例中,安全设备20可以增加对于计算设备10的恶意评级。尽管描述为被增加,但是该恶意评级可以用任何方式来调整,使得安全设备20和/或安全服务16被配置为将所调整的恶意评级与计算设备10是恶意设备的增加的可能性相关。
安全设备20还可以基于所识别的插件和安装在计算设备10处的其他软件应用,以及计算设备10正在使用来连接至目标网络14的连接类型,来调整对于计算设备10的恶意评级。基于所识别的插件、软件应用、以及连接类型,安全设备20可以调整该恶意评级。例如,如果反病毒软件应用被安装在计算设备10处,则安全设备20可以减小或者以其他方式调整对于计算设备10的恶意评级,以指示计算设备10是恶意设备的减小的可能性。作为另一个示例,如果安全设备20确定该计算设备10正在使用虚拟专用网(VPN)连接而连接至目标网络14,则安全设备20可以减小对于计算设备10的恶意评级。在另一个示例中,安全设备20可以确定匿名化插件被安装在计算设备10处,并且作为响应而增加计算设备10的恶意评级。
替代执行本地的恶意确定过程,或者除了执行本地的恶意确定过程之外,安全设备20可以通过例如将所生成的设备简档发送给安全服务(例如,安全服务16),而将计算设备10识别为恶意设备。安全设备20可以向安全服务16发送附加信息,诸如安全设备20的标识符以及如下的指示:本地恶意确定过程是否指示计算设备10是很可能的恶意设备。
安全服务16可以包括多个安全服务服务器24,多个安全服务服务器24可以被配置为提供安全服务。例如,安全服务服务器24可以被配置作为管理全局设备指纹数据库的云数据中心内的集群或者分布式计算系统。安全服务服务器24从安全设备20接收设备简档信息,并且分析该简档以确定该简档是否指示恶意设备。如关于安全设备20所描述的,安全服务16可以响应于识别到设备简档信息中的不一致,而增加对于特定设备的恶意评级。
响应于分析该设备简档信息并且生成恶意评级,安全服务16可以向安全设备20发送与计算设备10是否很可能是恶意设备有关的指示。该指示可以包括生成恶意评级和/或安全服务16是否将计算设备10归类为恶意设备的指示。在任一实例中,安全设备20可以基于从安全服务16所接收的信息,来确定计算设备10是否是恶意设备。安全设备20还可以基于上面所描述的对设备简档信息的本地分析,或者基于该本地分析与从安全服务16所接收的该信息的组合,来确定计算设备10是否是恶意设备。
如果安全设备20确定计算设备10是恶意设备,则安全设备20可以通过例如发起反措施以禁止计算设备10攻击目标网络14和应用服务器22的能力,来管理从计算设备10所接收的网络流量。这些反措施可以包括:发送伪信息、丢弃从计算设备10所接收的网络分组、使该网络连接减速、移除潜在有害的用户输入值、将这些网络分组重定向、或者以其他方式防止从计算设备10所发送的网络分组到达目标网络14的所保护的资源(例如,应用服务器22)。
图2是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的示例安全设备的框图。图2图示了安全设备20的仅一个特定示例,并且在其他实例中可以使用安全设备20的许多其他示例。仅为了举例说明的目的,下面在图1的网络系统2的背景中来描述安全设备20。
如在图2的具体示例中所示出的,安全设备20可以提供用于可执行软件指令的执行环境。在这个示例中,安全设备20包括一个或多个处理器30、一个或多个网络接口卡32、以及一个或多个存储设备34。组件30、32和34中的每个组件可以通过用于组件间通信的一个或多个通信信道而(物理地、通信地、和/或操作地)互连。在一些示例中,该(些)通信信道可以包括一个或多个系统总线、网络连接、过程间的通信数据结构、或者用于通信数据的其他信道。
在一些示例中,(多个)处理器30被配置为实施功能和/或执行指令。例如,(多个)处理器30可以能够处理(多个)存储设备34中所存储的指令。(多个)处理器30的示例可以包括以下各项中的一项或多项:微处理器、控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或者其他类型的分立或集成逻辑电路。
(多个)存储设备34可以被配置为存储用于在安全设备20内使用的程序代码和/或数据。在图2的示例中,(多个)存储设备34可以存储包括数据收集模块36、操作系统38、以及安全模块40的软件组件。在一些示例中,(多个)存储设备34被描述为计算机可读存储介质。在一些示例中,(多个)存储设备34包括暂时性存储器,意味着存储设备34的主要目的不是长期存储。在一些示例中,(多个)存储设备34包括易失性存储器,意味着(多个)存储设备34在安全设备20被关闭时不维持所存储的内容。易失性存储器的示例可以包括:随机访问存储器(RAM)、动态随机访问存储器(DRAM)、静态随机访问存储器(SRAM)、以及本领域中已知的其他形式的易失性存储器。在一些示例中,(多个)存储设备34被用来存储用于由(多个)处理器30执行的程序指令。在一些示例中,(多个)存储设备34由在安全设备20上运行的程序或应用使用以在程序执行期间暂时性地存储信息。
在一些示例中,(多个)存储设备34包括一个或多个计算机可读存储介质。(多个)存储设备34可以被配置为相比易失性存储器而存储更大量的信息。(多个)存储设备34可以进一步被配置用于信息的长期存储。在一些示例中,(多个)存储设备34包括非易失性存储元件。这些非易失性存储元件的示例包括:磁硬盘、光盘、软盘、闪存、或者电可编程存储器(EPROM)或电可擦除且可编程(EEPROM)存储器的形式。
安全设备20可以使用(多个)网络接口卡32来经由一个或多个通信网络(诸如一个或多个无线网络)而与外部设备通信。(多个)网络接口卡32可以包括一个或多个以太网卡、光收发机、射频收发机、或者被配置为发送和接收信息的其他类型的设备。网络接口的其他示例可以包括:蓝牙无线电、3G无线电、和WiFi无线电、以及通用串行总线(USB)接口。在一些示例中,安全设备20可以使用(多个)网络接口卡32来与可操作地耦合至安全设备20的另一个设备无线地通信。
操作系统38可以控制安全设备20的各组件的操作。例如,操作系统38可以促进数据收集模块36、处理器30、网络接口卡32、以及存储设备34之间的通信。存储设备34的一个或多个组件(包括操作系统38、数据收集模块36、以及安全模块40)每个都可以包括可以由安全设备20可执行的程序指令和/或数据。数据收集模块36和安全模块40可以包括指令,这些指令促使安全设备20执行本公开内容中所描述的操作和动作中的一个或多个操作和动作。在一些示例中,在(多个)存储设备34中所图示的组件中的一个或多个组件,可以实施在硬件和/或软件和硬件的组合中。
根据本公开内容的技术,安全设备20从计算设备10接收网络流量,诸如针对与在应用服务器22处执行的web应用有关的信息的请求。该网络流量可以经由网络接口卡32中的一个网络接口卡而被接收。该网络流量被定向至数据收集模块36以用于处理。如图2中所示出的,数据收集模块36包括分组解析模块42、代码注入模块44、以及简档生成模块46。响应于数据收集模块36接收到该请求,分组解析模块42解析该请求以抽取该网络流量中所包括的信息(诸如用户代理信息),该信息能够与其他数据点相结合地被用来确定计算设备10是否是恶意设备。所抽取的信息可以包括计算设备10的特性。所抽取的信息可以被提供给简档生成模块46,以用于在生成用于计算设备10的设备简档中使用。
在一些示例中,该网络流量沿路传递至应用服务器22中的一个应用服务器(图1),并且应用服务器22生成对该网络流量的响应。该响应从应用服务器22发送,并且定向至计算设备10(例如,具有与计算设备10相关联的目的地地址)。然而,在该响应离开目标网络14之前,安全设备20可以拦截该响应并且可以更改该响应。例如,代码注入模块44可以将代码注入到该响应中,以便促使计算设备10提供与计算设备10有关的配置和其他信息。代码注入模块44可以基于请求的类型和所交换的响应来动态地生成该代码。例如,如果该网络流量源自web浏览器,则代码注入模块44可以注入由web浏览器可执行的代码,使得当该响应由计算设备10接收并且在该web浏览器内显示时,该web浏览器自动地执行该代码并且与计算设备10有关的该信息被发送给安全设备20。作为另一个示例,如果该网络流量源自不同的应用、脚本、等等,则代码注入模块44将适当类型的代码注入到该响应中。一般而言,代码注入模块44被配置为将代码注入到该响应中,使得该代码由计算设备10执行并且作为结果的信息被返回给安全设备20,而不需要计算设备10的用户来执行任何附加动作。
在其他示例中,安全模块40生成虚假响应并且发送给计算设备10,使得该请求不被转发给应用服务器22。替代地,安全模块40表现得好像它是应用服务器22中的一个应用服务器,并且在收集与计算设备10有关的附加信息的尝试中与计算设备10交换分组,而不向可能的攻击开放应用服务器22。如上面所描述的,由安全模块40所发送的响应可以包括由代码注入模块44注入到该响应中的代码。
在另外的网络流量由安全设备20接收时,可以从这些请求抽取的任何附加信息被传递给简档生成模块46。类似地,响应于所注入的代码由计算设备10执行,由安全设备20所接收的与计算设备10有关的配置信息和其他信息被提供给简档生成模块46。简档生成模块46收集所有的不同数据项目和相关联的数据值。在一些示例中,每个数据项目与不同的重要性评级相关联,使得被确定具有较高重要性的那些数据项目是更有可能准确地将计算设备10识别为恶意设备的数据项目,而被确定具有较低重要性的那些数据项目较少可能准确地将计算设备10识别为恶意设备。简档生成模块46可以抑制生成用于计算设备10的简档,直到数据项目的数目和用于与计算设备10相关联的对应数据值满足阈值数目,或者组合的重要性评级满足阈值总重要性评级。也就是说,简档生成模块46可以抑制生成用于计算设备10的简档,直到简档生成模块46已经接收到足够的与计算设备10有关的信息,以能够以阈值级别的准确性将计算设备10识别为恶意设备。
一旦简档生成模块46已经接收到足够的与计算设备10有关的信息以生成简档,简档生成模块46就生成用于计算设备10的简档。在一些示例中,安全设备20通过至少将所生成的简档发送给安全服务16并且接收恶意评级的指示和/或安全服务16是否将计算设备10归类为恶意设备的指示,来确定计算设备10是否是恶意设备。在一些示例中,安全设备20通过至少分析所生成的设备简档以识别在计算设备10处所安装的恶意插件中的一个或多个恶意插件、识别在计算设备10处所安装的一个或多个善意插件、以及识别所生成的简档中的各种数据点之间的一个或多个不一致,来确定计算设备10是否是恶意设备。安全设备20可以基于对该设备简档的分析来生成恶意评级,并且将所生成的恶意评级与阈值恶意评级相比较,来确定是否将计算设备10归类为恶意设备。
除了基于所生成的简档来将计算设备10分类之外,安全设备20还可以监测计算设备10与应用服务器22之间所交换的网络流量,以确定该网络流量是否指示恶意设备。如果是,则安全设备20可以确定计算设备10是恶意设备,即便所生成的简档可能指示其他。然而,如果所生成的简档指示计算设备10与恶意设备相关联,则安全设备20就好像计算设备10是恶意设备那样对待从计算设备10所接收的网络流量,即便与计算设备10相关联的该网络流量没有被确定为指示恶意设备。
一般而言,安全设备20基于计算设备10是否被归类为恶意设备,来选择性地管理来自计算设备10的网络流量。例如,如果计算设备10被确定为是恶意设备,则安全模块40可以管理从计算设备10所接收的网络流量,诸如通过丢弃从计算设备10所接收的分组、向计算设备10发送伪信息、请求与计算设备10有关的附加信息以创建更完整的简档、或者执行其他动作来缓解由计算设备10所尝试的任何攻击。如果计算设备10被确定为不是恶意设备,则安全设备20可以继续允许网络流量在计算设备10与应用服务器22之间交换,而不应用上面所描述的各种反措施。
图3是图示了根据本公开内容的一个或多个方面的用于合并恶意设备信息的示例安全服务服务器的框图。图3图示了安全服务服务器24的仅一个特定示例,并且在其他实例中可以使用安全服务服务器24的许多其他示例。仅为了举例说明的目的,下面在图1的网络系统2的背景中来描述安全服务服务器24。
如在图3的具体示例中所示出的,安全服务服务器24可以提供用于可执行软件指令的执行环境。在这个示例中,安全服务服务器24包括一个或多个处理器60、一个或多个网络接口卡62、以及一个或多个存储设备64。组件60、62和64中的每个组件可以通过用于组件间通信的一个或多个通信信道而(物理地、通信地、和/或操作地)互连。在一些示例中,该(些)通信信道可以包括一个或多个系统总线、网络连接、过程间的通信数据结构、或者用于通信数据的其他信道。
在一些示例中,(多个)处理器60被配置为实施功能和/或执行指令。例如,(多个)处理器60可以能够处理(多个)存储设备64中所存储的指令。(多个)处理器60的示例可以包括以下各项中的一项或多项:微处理器、控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或者其他类型的分立或集成逻辑电路。
(多个)存储设备64可以被配置为存储用于在安全服务服务器24内使用的程序代码和/或数据。在图3的示例中,(多个)存储设备64可以存储包括分析模块66、规则数据库68、设备简档数据库70、以及操作系统72的软件组件。在一些示例中,(多个)存储设备64被描述为计算机可读存储介质。在一些示例中,(多个)存储设备64包括暂时性存储器,意味着存储设备64的主要目的不是长期存储。在一些示例中,(多个)存储设备64包括易失性存储器,意味着(多个)存储设备64在安全服务服务器24被关闭时不维持所存储的内容。易失性存储器的示例可以包括:随机访问存储器(RAM)、动态随机访问存储器(DRAM)、静态随机访问存储器(SRAM)、以及本领域中已知的其他形式的易失性存储器。在一些示例中,(多个)存储设备64被用来存储用于由(多个)处理器60执行的程序指令。在一些示例中,(多个)存储设备64由在安全服务服务器24上运行的程序或应用使用以在程序执行期间暂时性地存储信息。
在一些示例中,(多个)存储设备64包括一个或多个计算机可读存储介质。(多个)存储设备64可以被配置为相比易失性存储器而存储更大量的信息。(多个)存储设备64可以进一步被配置用于信息的长期存储。在一些示例中,(多个)存储设备64包括非易失性存储元件。这些非易失性存储元件的示例包括:磁硬盘、光盘、软盘、闪存、或者电可编程存储器(EPROM)或电可擦除且可编程(EEPROM)存储器的形式。
安全服务服务器24可以使用(多个)网络接口卡62来经由一个或多个通信网络(诸如一个或多个无线网络)而与外部设备通信。(多个)网络接口卡62可以包括一个或多个以太网卡、光收发机、射频收发机、或者被配置为发送和接收信息的其他类型的设备。网络接口的其他示例可以包括:蓝牙无线电、3G无线电、和WiFi无线电、以及通用串行总线(USB)接口。在一些示例中,安全服务服务器24可以使用(多个)网络接口卡62来与可操作地耦合至安全服务服务器24的另一个设备无线地通信。
操作系统72可以控制安全服务服务器24的各组件的操作。例如,操作系统72可以促进分析模块66、规则数据库68、设备简档数据库70、处理器60、网络接口卡62、以及存储设备64之间的通信。存储设备64的一个或多个组件(包括操作系统70、分析模块66、规则数据库68、以及设备简档数据库70)每个都可以包括可以由安全服务服务器24可执行的程序指令和/或数据。分析模块66、规则数据库68、以及设备简档数据库70可以每个都包括指令,这些指令促使安全服务服务器24执行本公开内容中所描述的操作和动作中的一个或多个操作和动作。在一些示例中,在(多个)存储设备64中所图示的组件中的一个或多个组件,可以实施在硬件和/或软件和硬件的组合中。
根据本公开内容的技术,安全服务服务器24接收用于计算设备10的设备简档信息。该设备简档信息可以是由安全设备20所生成的设备简档。例如,该设备简档信息可以包括,由安全设备20基于对从计算设备10所接收的网络流量的分析而收集的数据项目的至少一部分。该设备简档信息还可以包括,响应于所注入的代码由计算设备10执行而由计算设备10所提供的一个或多个数据点。
该设备简档信息可以被提供给分析模块66用于分析并且确定计算设备10是否是恶意设备。如图3中所示出的,分析模块66包括规则分析模块74、规则更新模块76、安全设备更新模块78、以及分类器模块80。规则分析模块74可以从规则数据库68取回一个或多个规则以应用至该设备简档信息,以便生成对于计算设备10的恶意评级。尽管被描述为数据库,但是规则数据库68可以是任何数据结构或数据结构的组合,包括散列表、链表、等等。通常,规则数据库68被配置为存储与用来确定设备是否是恶意设备的一个或多个规则有关的信息。在一个示例中,这些规则是逻辑构造,这些逻辑构造可以被应用至设备简档信息以识别异常并且为特定设备生成(例如,计算)恶意评级。在一些示例中,这些规则可以由安全专家定义,并且可以具有与攻击签名相类似的特性。也就是说,这些规则可以手动地被配置为识别某些异常(例如,不一致)、识别某些安装的插件、识别是否根本没有安装任何插件、等等,并且基于该特定设备的所识别的特性来计算恶意评级,该恶意评级可以被用来将该特定设备归类为恶意设备。
在一些示例中,可以使用机器学习技术来生成这些规则。例如,包括异常和插件信息的学习数据集合可以被提供给安全服务服务器24。分析模块66和规则更新模块76可以处理该学习数据集合,以训练并且学习可以存储在规则数据库68中的规则。规则更新模块76可以使用该学习数据集合来更新已经存储在规则数据库68中的规则,并且可以基于该学习数据集合来生成附加规则。分析模块66可以在一个时段内处理多个学习数据集合,并且可以在处理学习数据集合之间处理其他数据(例如,从由安全设备20所接收的当前网络流量所采集的设备简档信息)。如果安全专家或者其他管理员手动地改变用于一个或多个设备的类别(例如,将设备从被归类为恶意设备改变至被归类为非恶意),则规则更新模块76可以基于对这些设备的手动归类来更新这些规则。进一步地,使用机器学习技术所生成的这些规则可以与由安全专家所生成的规则相结合。
规则分析模块74将这些规则应用至该设备简档信息的至少一部分。作为一个示例,该设备简档信息包括用户代理头部信息和浏览器插件信息,该用户代理头部信息指示计算设备10是平板计算设备,该浏览器插件信息指示不兼容的插件被安装在计算设备10上并且计算设备10支持不与该平板计算设备操作系统兼容的文件扩展。这些规则可以识别该用户代理头部信息与该插件信息之间的不一致,触发异常并且导致增加的恶意评级(例如,因为该用户代理头部很有可能被伪造)。作为另一个示例,如果这些规则识别到专有的并且很可能仅由合法用户在企业发行(corporate-issued)的设备上运行的、安装在该设备处的某些浏览器扩展,和/或识别到与已知的HTTP头部相结合的反病毒插件或指示善意用户的其他插件,则规则分析模块74减少恶意评级,因为该设备较不可能是恶意设备。这些浏览器扩展和插件可以被包括在插件和/或浏览器扩展的白名单中。
作为另一个示例,计算设备10可能执行自动化的漏洞扫描器(例如,作为不用浏览器而运行的脚本),该自动化的漏洞扫描器被配置为,在模仿浏览器并且避开安全系统的检测的尝试中,输出与该浏览器的用户代理信息和其他数据点相类似的用户代理信息和其他数据点。在这个示例中,包括从代码注入所收集的数据点的设备简档信息,将很可能指示完全没有浏览器插件或者任何所包括的浏览器插件信息与用户代理信息之间的不一致。规则分析模块74将应用这些规则并且识别这些异常和不一致,这可能导致更高的恶意评级。
作为又另一个示例,计算设备10可能执行web搜索引擎蜘蛛系统(例如,web爬虫软件应用)。设备简档信息可以包括指示网络流量源自蜘蛛的已知用户代理信息。然而,在一些实例中,计算设备10可能执行尝试将它自身假装为蜘蛛的恶意软件。规则分析模块74可以分析设备简档信息,并且基于是否识别到异常,而在有效的蜘蛛与尝试将它自身假装为有效蜘蛛(例如,通过改变在计算设备10处执行的软件应用的特性)的恶意软件进行区分。换句话说,规则分析模块74和分类器模块80可以基于设备简档信息中所包括的HTTP和浏览器特性的组合,来确定哪些请求相对于伪装的黑客或脚本而来自真实的搜索蜘蛛。
通过应用这些规则,规则分析模块74可以生成用于设备的恶意评级。该恶意评级可以是,基于该设备是恶意设备的增加的可能性或者减小的可能性而改变的任何值。为了清楚性的目的,讨论了数值的恶意评级,但是应当理解,其他类型的恶意值也被设想到,并且应当理解,恶意评级不应当被限制于数值。
在一些示例中,可以基于特定数据点指示该设备是恶意设备的可能性而不同地加权每个不同的数据点。例如,因为一些浏览器插件(诸如代理、匿名器、以及超文本传送协议(HTTP)嗅探器)更有可能在恶意设备上执行,应用至每个插件的加权可以随着在单个设备处所检测到的这些插件的数目的增加而增加。换句话说,如果计算设备10安装了两个这种插件,则该加权可以是二,但是如果四个这种插件安装在计算设备10处,则该加权可以是十。
尽管被描述为将规则应用至设备简档信息,但是规则分析模块74还可以将这些规则应用至网络流量模式,以增加或减少对于特定设备的恶意评级。例如,如果用于源自计算设备10的网络流量的网络流量模式对应于指示扫描安全设备20以寻找漏洞的模式,则规则分析模块74可以增加对于计算设备10的恶意评级。作为另一个示例,网络流量模式对应于通常的web会话,规则分析模块74可以减少对于计算设备10的恶意评级。
规则分析模块74可以将恶意评级传递给分类器模块80。分类器模块80确定与该恶意评级相关联的设备(例如,计算设备10)是否是恶意设备。作为一个示例,分类器模块80可以将所生成的恶意评级与阈值恶意值相比较。如果所生成的恶意评级满足该阈值恶意值,则分类器模块80将计算设备10分类为恶意设备。如果所生成的恶意评级不满足该阈值,则分类器模块80不将计算设备10分类为恶意设备。
安全服务16可以将所生成的恶意评级和针对每个设备的分类传播给其他安全设备。一般而言,安全服务服务器24维护安全设备数据库70。安全设备数据库70包括与订购了由安全服务16和安全服务服务器24所提供的安全服务的安全设备有关的信息。安全设备更新模块78可以将设备简档信息发送给向安全服务16注册过的一个或多个安全设备(例如,具有安全设备数据库70内的条目的安全设备)。例如,安全设备更新模块78可以将设备简档、恶意评级、恶意设备归类、等等发送给其他安全设备。
尽管分析模块66在图3的示例中被图示为被包括在安全服务服务器24内,但是在其他示例中,分析模块66和/或规则分析模块74、规则更新模块76、安全设备更新模块78、以及分类器模块80的任意组合可以被包括在图1和2的安全设备20内。换句话说,安全设备20可以被配置为执行关于安全服务服务器24而描述的技术中的任何技术或者全部技术,包括训练规则、应用规则、生成恶意评级、将设备分类、以及更新其他安全设备。此外,图1-3中所图示的并且关于图1-3所描述的功能的特定分布仅仅是本公开内容的这些特定技术可以如何分布的一种示例。安全设备20和安全服务16可以每个都执行归于如关于图1-3所描述的每个功能的或多或少的功能。
图4是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的示例过程的流程图。仅为了举例说明的目的,下面在如图1和2中所示出的安全设备20的背景内来描述这些示例操作。其他示例安全设备也可以执行下面所描述的这些示例操作。
安全设备20从可能的恶意设备(例如,计算设备10)接收传入的针对数据的请求(90)。分组解析模块42解析该请求以抽取信息,诸如用户代理信息。安全设备20可以将该传入的请求转发给处理该请求并且发送响应的应用服务器22中的一个应用服务器。安全设备20拦截该响应并且代码注入模块44注入代码,这些代码促使计算设备10向安全设备20发送附加数据点(例如,浏览器和/或设备特性)和相关联的值(92)。计算设备10接收该响应并且将这些数据点和相关联的值发送给安全设备20,而不需要计算设备10的用户来执行任何附加的动作。
安全设备20接收该设备信息(94),并且简档生成模块46生成用于计算设备10的设备简档(96)。使用所生成的设备简档,安全模块40生成对于计算设备10的恶意评级(98)。例如,安全模块40可以将一个或多个规则应用至该设备简档信息,以识别该设备简档信息中的任何不一致或异常,以及识别在计算设备10处所安装的插件,并且使用这个所识别的信息来生成该恶意评级。
安全模块40基于该恶意评级而将计算设备10分类为恶意设备或者不为恶意设备(例如,善意设备)(98)。在一些示例中,安全模块40将所生成的恶意评级与阈值相比较,并且基于该恶意评级是否满足该阈值来将计算设备10分类。
安全设备20基于对计算设备10的分类来管理来自计算设备10的网络流量(100)。例如,如果安全模块40将计算设备10分类为恶意设备,则安全设备20可以积极地管理来自计算设备10的所有网络流量。例如,安全设备20可以防止该网络流量到达应用服务器22。在一些示例中,安全设备20可以阻挡该网络流量、扼流该网络流量、将该网络流量重定向、将该网络流量记入日志、或者采取其他反措施以最小化源自计算设备10的任何潜在攻击的影响。例如,安全模块40可以拦截由计算设备10所发送的所有分组,并且提供伪响应以便收集与计算设备10有关的附加数据点。
在一些示例中,安全设备20可以基于由攻击者设备所生成的网络流量,来确定计算设备10是恶意设备。例如,如果计算设备10正在探测应用服务器22处执行的软件的已知安全漏洞,则安全设备20确定计算设备10是恶意设备,并且可以通过例如阻挡该网络流量、扼流网络流量、将网络流量重定向、将该网络流量记入日志、或者采取其他反措施以最小化源自计算设备10的任何潜在攻击的影响,来管理源自计算设备10的网络流量。如果安全设备20确定计算设备10不是恶意设备,则安全设备20可以允许网络流量在计算设备10与应用服务器22之间自由地交换。
图5是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的另一个示例过程的流程图。仅为了举例说明的目的,下面在图1-3中所示出的安全设备20和安全服务服务器24的背景内来描述这些示例操作。其他示例安全设备和安全服务服务器也可以执行下面所描述的这些示例操作。
安全设备20从可能的恶意设备(例如,计算设备10)接收传入的针对数据的请求(110)。分组解析模块42解析该请求以抽取信息,诸如用户代理信息。安全设备20可以将该传入的请求转发给处理该请求并且发送响应的应用服务器22中的一个应用服务器。安全设备20拦截该响应并且代码注入模块44注入代码,这些代码促使计算设备10向安全设备20发送附加数据点(例如,浏览器和/或设备特性)和相关联的值(112)。计算设备10接收该响应并且将这些数据点和相关联的值发送给安全设备20,而不需要计算设备10的用户来执行任何附加的动作。
安全设备20接收该设备信息(114),并且简档生成模块46生成用于计算设备10的设备简档(116)。安全设备20将所生成的简档发送给安全服务服务器24(118)。安全服务服务器24接收该设备简档信息(120)。使用该设备简档信息,规则分析模块74生成对于计算设备10的恶意评级(122)。例如,规则分析模块74可以将规则数据库68的一个或多个规则应用至该设备简档信息,以识别该设备简档信息中的任何不一致或异常,以及识别在计算设备10处所安装的插件,并且使用这个所识别的信息来生成该恶意评级。
分类器模块80基于该恶意评级而将计算设备10分类为恶意设备或者不为恶意设备(例如,善意设备)(124)。在一些示例中,分类器模块80将所生成的恶意评级与阈值相比较,并且基于该恶意评级是否满足该阈值来将计算设备10分类。安全服务服务器24将该设备分类信息发送给安全设备20(126)。并发地,在所调度的时间,或者在某个其他时间,安全设备更新模块78(例如,基于安全设备数据库70中所存储的信息)将所更新的设备简档和分类信息发送给向安全服务16注册过的安全设备(128)。
安全设备20从安全服务服务器24接收该分类信息(130),并且基于对计算设备10的分类来管理来自计算设备10的网络流量(132)。例如,如果所接收的分类信息指示计算设备10是恶意设备,则安全设备20可以积极地管理来自计算设备10的所有网络流量。如果所接收的分类信息指示计算设备10不是恶意设备,则安全设备20可以允许网络流量在计算设备10与应用服务器22之间自由地交换。
在一些示例中,一种设备包括一个或多个处理器;一个或多个网络接口卡,用以从远程设备接收定向至由该设备所保护的一个或多个计算设备的网络流量,基于该网络流量的内容来确定用于该设备的第一集合的数据点,该第一集合的数据点包括在该远程设备处执行的软件应用的特性,向该远程设备发送响应以查明用于该远程设备的第二集合的数据点,该第二集合的数据点包括由该远程设备所提供的并且在该远程设备本地的操作环境的特性,并且从该远程设备接收该第二集合的数据点的至少一部分;以及安全模块,由该一个或多个处理器可操作为,基于该第二集合的数据点的该所接收的部分和该第一集合的数据点来确定恶意评级,并且基于该恶意评级来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该远程设备所接收的其他网络流量。
在该设备的一些示例中,指纹模块包括代码注入模块,该代码注入模块由该一个或多个处理器可操作为,在发送该响应之前,向从该一个或多个计算设备中的至少一个计算设备所接收的该响应中注入代码,以查明该第二集合的数据点,其中响应于该网络流量从该一个或多个计算设备中的至少一个计算设备接收该响应。
在一些示例中,该设备还包括:简档生成模块,由该一个或多个处理器可操作为,基于该第二集合的数据点的该所接收的部分和该第一集合的数据点,来生成用于该远程设备的简档;以及数据收集模块,由该一个或多个处理器可操作为,向安全服务发送该远程设备的该简档,并且从该安全服务接收该远程设备是否是恶意设备的指示,其中该安全模块由该一个或多个处理器可操作为,基于该指示来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该远程设备所接收的其他网络流量。
在该设备的一些示例中,该安全模块由该一个或多个处理器可操作为,基于该第二集合的数据点的该所接收的部分来识别一个或多个插件,确定该第二集合的数据点的该所接收的部分和该第一集合的数据点是否包括不一致的信息,响应于确定该第二集合的数据点的该所接收的部分和该第一集合的数据点包括不一致的信息,基于该一个或多个插件和该不一致的信息,来生成指示该远程设备是恶意的增加的可能性的恶意评级,并且响应于确定该第二集合的数据点的该所接收的部分和该第一集合的数据点包括一致的信息,基于该一个或多个插件和该一致的信息,来生成指示该远程设备是恶意的减少的可能性的恶意评级。
在该设备的一些示例中,该安全模块由该一个或多个处理器可操作为,基于该第二集合的数据点的该所接收的部分,来确定安装在该远程设备处的至少一个插件是否是恶意插件,响应于确定至少一个插件是恶意插件,调整恶意评级以对应于该远程设备是恶意的增加的可能性,并且响应于确定至少一个插件不是恶意插件,调整恶意评级以对应于该远程设备是恶意的减少的可能性。
在该设备的一些示例中,该安全模块由该一个或多个处理器可操作为,响应于基于该第二集合的数据点的该所接收的部分而确定白名单中的插件被安装在该远程设备处,调整恶意评级以对应于该远程设备是恶意的减少的可能性。
在该设备的一些示例中,该安全模块由该一个或多个处理器可操作为,基于该第二集合的数据点的该所接收的部分和该第一集合的数据点,来确定该远程设备正在执行web爬虫软件应用,并且基于该确定来调整恶意评级以对应于该远程设备是恶意的减少的可能性。
在该设备的一些示例中,该安全模块由该一个或多个处理器可操作为,响应于确定该远程设备的恶意评级不满足阈值,准许来自该远程设备的其他网络流量到达由该安全设备所保护的该一个或多个计算设备,并且响应于确定该远程设备的恶意评级满足该阈值,防止该其他网络流量到达由该安全设备所保护的该一个或多个计算设备。
本公开内容中所描述的技术可以至少部分地实施在硬件、软件、固件、或者它们的任意组合中。例如,所描述的技术的各种方面可以实施在一个或多个处理器内,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或者任何其他等效的集成或分立逻辑电路、以及这些组件的任意组合。术语“处理器”或“处理电路”可以一般性地指代单独的或与其他逻辑电路相结合的、前述逻辑电路中的任何一种逻辑电路,或者任何其他的等效电路。包括硬件的控制单元也可以执行本公开内容的技术中的一种或多种技术。
这种硬件、软件、以及固件可以实施在同一设备内或者分离的设备内,以支持本公开内容中所描述的各种操作和功能。另外,所描述的单元、模块、或组件中的任何单元、模块、或组件可以一起实施或者分离地实施为分立但是可互操作的逻辑设备。将不同的特征描绘为模块或单元意图为突出不同的功能方面,并且不必然暗示这些模块或单元必须由分离的硬件或软件组件来实现。更确切地说,与一个或多个模块或单元相关联的功能可以由分离的硬件或软件组件来执行,或者集成在公共或分离的硬件或软件组件内。
本公开内容中所描述的技术还可以被具体化或者编码在计算机可读介质中,诸如包含指令的计算机可读存储介质。被嵌入或编码在计算机可读介质中的指令,例如当这些指令被执行时,可以促使可编程处理器或者其他处理器执行该方法。计算机可读存储介质可以包括:随机访问存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁介质、光学介质、或者其他计算机可读存储介质。应当理解,术语“计算机可读存储介质”指代物理存储介质(例如,非瞬态介质),而不是信号、载波、或者其他瞬变介质。
已经描述了各种实施例。这些和其他实施例在下列权利要求的范围内。
Claims (13)
1.一种方法,包括:
由安全设备接收从设备定向至由所述安全设备所保护的一个或多个计算设备的网络流量;
基于所述网络流量的内容,来确定用于所述设备的第一集合的数据点,所述第一集合的数据点包括在所述设备处执行的软件应用的特性;
由所述安全设备向所述设备发送响应以查明用于所述设备的第二集合的数据点,所述第二集合的数据点包括由所述设备所提供的并且在所述设备本地的操作环境的特性;
由所述安全设备并且从所述设备接收所述第二集合的数据点的至少一部分;
基于所述第二集合的数据点的所接收的部分以及所述第一集合的数据点,来确定恶意评级;以及
基于所述恶意评级,来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的其他网络流量。
2.根据权利要求1所述的方法,其中从所述一个或多个计算设备中的至少一个计算设备接收所述响应,所述方法进一步包括:
在发送所述响应之前,向所述响应中注入用于查明所述第二集合的数据点的代码,其中响应于所述网络流量而从所述一个或多个计算设备中的至少一个计算设备接收所述响应。
3.根据权利要求1-2中任一项所述的方法,其中确定所述恶意评级包括:
由所述安全设备通过至少将所述设备的所述第一集合的数据点中的至少一个数据点与所述第二集合的数据点的所接收的部分中的至少一个数据点相比较,来生成所述恶意评级。
4.根据权利要求1-3中任一项所述的方法,其中确定所述恶意评级包括:
基于所述第二集合的数据点的所接收的部分和所述第一集合的数据点,来生成用于所述设备的简档;
向安全服务发送所述设备的所述简档;
从所述安全服务接收所述设备是否是恶意设备的指示;以及
基于所述指示,来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的所述其他网络流量。
5.根据权利要求1-4中任一项所述的方法,其中确定所述恶意评级包括:
基于所述第二集合的数据点的所接收的部分,来识别一个或多个插件;
确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点是否包括不一致的信息;
响应于确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点包括不一致的信息,基于所述一个或多个插件和所述不一致的信息,来生成指示所述设备是恶意的增加的可能性的所述恶意评级;以及
响应于确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点包括一致的信息,基于所述一个或多个插件和所述一致的信息,来生成指示所述设备是恶意的减少的可能性的所述恶意评级。
6.根据权利要求1-5中任一项所述的方法,其中确定所述恶意评级包括:
基于所述第二集合的数据点的所接收的部分,来确定安装在所述设备处的至少一个插件是否是恶意插件;
响应于确定至少一个插件是恶意插件,调整所述恶意评级以对应于所述设备是恶意的增加的可能性;以及
响应于确定至少一个插件不是恶意插件,调整所述恶意评级以对应于所述设备是恶意的减少的可能性。
7.根据权利要求1-6中任一项所述的方法,其中确定所述恶意评级包括:
响应于基于所述第二集合的数据点的所接收的部分而确定白名单中的插件被安装在所述设备处,调整所述恶意评级以对应于所述设备是恶意的减少的可能性。
8.根据权利要求1-7中任一项所述的方法,其中确定所述恶意评级包括:
基于所述第二集合的数据点的所接收的部分和所述第一集合的数据点,来确定所述设备正在执行web爬虫软件应用;以及
基于所述确定来调整所述恶意评级以对应于所述设备是恶意的减少的可能性。
9.根据权利要求1-8中任一项所述的方法,其中基于所述确定,来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的所述其他网络流量包括:
响应于确定所述设备的所述恶意评级不满足阈值,准许来自所述设备的所述其他网络流量到达由所述安全设备所保护的所述一个或多个计算设备;以及
响应于确定所述设备的所述恶意评级满足所述阈值,防止所述其他网络流量到达由所述安全设备所保护的所述一个或多个计算设备。
10.根据权利要求1-9中任一项所述的方法,其中选择性地管理所述其他网络流量包括,响应于确定所述设备的所述恶意评级满足阈值,通过执行以下各项中的一项或多项来管理所述其他网络流量:扼流所述其他网络流量、从所述其他网络流量移除一个或多个用户输入值、丢弃所述其他网络流量、以及将所述其他网络流量重定向至不同的设备。
11.根据权利要求1-10中任一项所述的方法,进一步包括:
响应于确定所述设备的所述恶意评级满足阈值,确定所述设备是恶意设备;
防止所述网络流量到达由所述安全设备所保护的所述一个或多个计算设备;以及
利用所述安全设备来生成对所述网络流量的响应,所述响应包括针对所述设备的附加数据点的请求。
12.一种设备,包括:
一个或多个处理器;
一个或多个网络接口卡,用以:从远程设备接收定向至由所述设备所保护的一个或多个计算设备的网络流量;基于所述网络流量的内容来确定用于所述设备的第一集合的数据点,所述第一集合的数据点包括在所述远程设备处执行的软件应用的特性;向所述远程设备发送响应以查明用于所述远程设备的第二集合的数据点,所述第二集合的数据点包括由所述远程设备所提供的并且在所述远程设备本地的操作环境的特性;并且从所述远程设备接收所述第二集合的数据点的至少一部分;以及
安全模块,由所述一个或多个处理器可操作为,基于所述第二集合的数据点的所接收的部分和所述第一集合的数据点来确定恶意评级,并且基于所述恶意评级来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述远程设备所接收的其他网络流量。
13.根据权利要求12所述的设备,进一步包括用于执行由权利要求1-11中任一项所记载的所述方法的装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/014,537 US9015839B2 (en) | 2013-08-30 | 2013-08-30 | Identifying malicious devices within a computer network |
US14/014,537 | 2013-08-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104426906A true CN104426906A (zh) | 2015-03-18 |
Family
ID=51429087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410393021.4A Pending CN104426906A (zh) | 2013-08-30 | 2014-08-11 | 识别计算机网络内的恶意设备 |
Country Status (3)
Country | Link |
---|---|
US (4) | US9015839B2 (zh) |
EP (1) | EP2843904A3 (zh) |
CN (1) | CN104426906A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106022113A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 经由沙盒检测恶意文件感染 |
CN106817340A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 预警决策的方法、节点及子系统 |
CN108289032A (zh) * | 2017-01-09 | 2018-07-17 | 腾讯科技(深圳)有限公司 | 一种数据传输方法及装置 |
CN111178220A (zh) * | 2019-12-24 | 2020-05-19 | 上海眼控科技股份有限公司 | 检测客车内的安全设施的方法、设备和存储介质 |
CN113596022A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 识别网络内恶意源的设备和方法 |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9225737B2 (en) | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
US9015839B2 (en) | 2013-08-30 | 2015-04-21 | Juniper Networks, Inc. | Identifying malicious devices within a computer network |
FR3015839A1 (fr) * | 2013-12-23 | 2015-06-26 | Orange | Procede de ralentissement d'une communication dans un reseau |
US9225729B1 (en) | 2014-01-21 | 2015-12-29 | Shape Security, Inc. | Blind hash compression |
US8997226B1 (en) | 2014-04-17 | 2015-03-31 | Shape Security, Inc. | Detection of client-side malware activity |
US10412050B2 (en) * | 2014-05-23 | 2019-09-10 | Citrix Systems, Inc. | Protect applications from session stealing/hijacking attacks by tracking and blocking anomalies in end point characteristics throughout a user session |
TWI561032B (en) * | 2014-07-15 | 2016-12-01 | Wistron Neweb Corp | Router and information collection method thereof |
US10298599B1 (en) | 2014-09-19 | 2019-05-21 | Shape Security, Inc. | Systems for detecting a headless browser executing on a client computer |
US9954893B1 (en) | 2014-09-23 | 2018-04-24 | Shape Security, Inc. | Techniques for combating man-in-the-browser attacks |
JP6226080B2 (ja) * | 2014-09-25 | 2017-11-08 | 日本電気株式会社 | 通信制御装置、通信制御方法、通信制御プログラム、及び、情報システム |
US9747636B2 (en) | 2014-12-08 | 2017-08-29 | Bank Of America Corporation | Enhancing information security using an information passport dashboard |
US9405813B1 (en) * | 2015-02-19 | 2016-08-02 | Vuclip | Media device knowledge base |
US9749353B1 (en) | 2015-03-16 | 2017-08-29 | Wells Fargo Bank, N.A. | Predictive modeling for anti-malware solutions |
US9794265B1 (en) * | 2015-03-16 | 2017-10-17 | Wells Fargo Bank, N.A. | Authentication and authorization without the use of supplicants |
US9986058B2 (en) | 2015-05-21 | 2018-05-29 | Shape Security, Inc. | Security systems for mitigating attacks from a headless browser executing on a client computer |
US9626181B2 (en) * | 2015-07-06 | 2017-04-18 | Dell Products L.P. | Systems and methods to securely inject binary images and code into firmware |
WO2017007705A1 (en) | 2015-07-06 | 2017-01-12 | Shape Security, Inc. | Asymmetrical challenges for web security |
US10230718B2 (en) | 2015-07-07 | 2019-03-12 | Shape Security, Inc. | Split serving of computer code |
US9866532B2 (en) | 2015-10-07 | 2018-01-09 | International Business Machines Corporation | Anonymization of traffic patterns over communication networks |
CN105227664A (zh) * | 2015-10-10 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种云计算中心的基础安全服务引擎 |
US10375026B2 (en) | 2015-10-28 | 2019-08-06 | Shape Security, Inc. | Web transaction status tracking |
US10212130B1 (en) | 2015-11-16 | 2019-02-19 | Shape Security, Inc. | Browser extension firewall |
US10567396B2 (en) | 2015-12-15 | 2020-02-18 | Webroot Inc. | Real-time scanning of IP addresses |
WO2017139709A1 (en) | 2016-02-12 | 2017-08-17 | Shape Security, Inc. | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer |
US10855696B2 (en) | 2016-03-02 | 2020-12-01 | Shape Security, Inc. | Variable runtime transpilation |
US9917850B2 (en) | 2016-03-03 | 2018-03-13 | Shape Security, Inc. | Deterministic reproduction of client/server computer state or output sent to one or more client computers |
US10567363B1 (en) | 2016-03-03 | 2020-02-18 | Shape Security, Inc. | Deterministic reproduction of system state using seeded pseudo-random number generators |
US10129289B1 (en) | 2016-03-11 | 2018-11-13 | Shape Security, Inc. | Mitigating attacks on server computers by enforcing platform policies on client computers |
US20170272547A1 (en) * | 2016-03-18 | 2017-09-21 | Interactive Intelligence Group, Inc. | System and method for configuration and interchanging of business functionality implementations |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10565266B2 (en) * | 2016-09-29 | 2020-02-18 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for multiple profile creation to mitigate profiling |
US10715548B2 (en) * | 2016-10-17 | 2020-07-14 | Akamai Technologies, Inc. | Detecting device masquerading in application programming interface (API) transactions |
US11403563B2 (en) * | 2016-10-19 | 2022-08-02 | Accertify, Inc. | Systems and methods for facilitating recognition of a device and/or an instance of an app invoked on a device |
US10462179B2 (en) * | 2016-11-03 | 2019-10-29 | Arbor Networks, Inc. | System and method for scaled management of threat data |
EP3577589B1 (en) * | 2016-12-08 | 2024-01-03 | Cequence Security, Inc. | Prevention of malicious automation attacks on a web service |
CN106790023B (zh) * | 2016-12-14 | 2019-03-01 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
US10673870B2 (en) * | 2017-01-27 | 2020-06-02 | Splunk Inc. | Security monitoring of network connections using metrics data |
US10536466B1 (en) * | 2017-04-26 | 2020-01-14 | Branch Banking And Trust Company | Risk assessment of electronic communication using time zone data |
WO2019030748A1 (en) * | 2017-08-03 | 2019-02-14 | Cyber Sepio Systems Ltd | SYSTEM AND METHOD FOR SECURING A COMPUTER SYSTEM AGAINST THREATS INTRODUCED ÈAR FROM USB DEVICES |
IL254573A0 (en) | 2017-09-18 | 2017-11-30 | Cyber Sepio Systems Ltd | Install a method and computer software product for securing a local network from threats posed by foreign or hostile accessories |
US20190281077A1 (en) * | 2018-03-07 | 2019-09-12 | At&T Intellectual Property I, L.P. | System and method for automatically learning signatures for operations policies |
US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
US11962606B2 (en) * | 2018-04-04 | 2024-04-16 | Twistlock Ltd. | Protecting serverless applications |
CN108595963A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种漏洞扫描方法和装置 |
US11050714B2 (en) | 2018-07-19 | 2021-06-29 | Barracuda Networks, Inc. | System and method of utilizing network security devices for industrial device protection and control |
US11916953B2 (en) * | 2018-09-24 | 2024-02-27 | Cybereason, Inc. | Method and mechanism for detection of pass-the-hash attacks |
US10785125B2 (en) * | 2018-12-03 | 2020-09-22 | At&T Intellectual Property I, L.P. | Method and procedure for generating reputation scores for IoT devices based on distributed analysis |
US11074088B2 (en) * | 2018-12-07 | 2021-07-27 | Barracuda Networks, Inc. | System and method of utilizing security device plugin for external device monitoring and control in a secured environment |
US11233816B2 (en) * | 2019-02-15 | 2022-01-25 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
US11770385B2 (en) * | 2019-12-31 | 2023-09-26 | Paypal, Inc. | Systems and methods for malicious client detection through property analysis |
CN115086053A (zh) * | 2022-06-23 | 2022-09-20 | 支付宝(杭州)信息技术有限公司 | 用于识别伪装设备的方法和系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
CN101175078A (zh) * | 2006-10-30 | 2008-05-07 | 丛林网络公司 | 应用分布式阈值随机漫步的潜在网络威胁识别 |
US20090064334A1 (en) * | 2007-08-30 | 2009-03-05 | International Business Machines Corporation | Adaptive Autonomic Threat Detection and Quarantine |
US20100030891A1 (en) * | 2008-07-30 | 2010-02-04 | Electronics And Telecommunications Research Institute | Web-based traceback system and method using reverse caching proxy |
US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
CN103218563A (zh) * | 2006-03-24 | 2013-07-24 | Avg荷兰私人有限公司 | 软件漏洞利用防护 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7711779B2 (en) | 2003-06-20 | 2010-05-04 | Microsoft Corporation | Prevention of outgoing spam |
US7526806B2 (en) * | 2003-11-05 | 2009-04-28 | Cisco Technology, Inc. | Method and system for addressing intrusion attacks on a computer system |
US7540025B2 (en) | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
US20080077793A1 (en) | 2006-09-21 | 2008-03-27 | Sensory Networks, Inc. | Apparatus and method for high throughput network security systems |
US20090265777A1 (en) | 2008-04-21 | 2009-10-22 | Zytron Corp. | Collaborative and proactive defense of networks and information systems |
US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US8769689B2 (en) | 2009-04-24 | 2014-07-01 | Hb Gary, Inc. | Digital DNA sequence |
US8856315B2 (en) * | 2009-05-29 | 2014-10-07 | Verizon Patent And Licensing Inc. | Device classification system |
KR101219538B1 (ko) | 2009-07-29 | 2013-01-08 | 한국전자통신연구원 | 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법 |
US8555393B2 (en) | 2009-12-03 | 2013-10-08 | Verizon Patent And Licensing Inc. | Automated testing for security vulnerabilities of devices |
US8869271B2 (en) * | 2010-02-02 | 2014-10-21 | Mcafee, Inc. | System and method for risk rating and detecting redirection activities |
JP5779334B2 (ja) * | 2010-11-09 | 2015-09-16 | デジタルア−ツ株式会社 | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
US8689328B2 (en) | 2011-02-11 | 2014-04-01 | Verizon Patent And Licensing Inc. | Maliciouis user agent detection and denial of service (DOS) detection and prevention using fingerprinting |
US9106693B2 (en) | 2013-03-15 | 2015-08-11 | Juniper Networks, Inc. | Attack detection and prevention using global device fingerprinting |
US20130254889A1 (en) * | 2013-03-29 | 2013-09-26 | Sky Socket, Llc | Server-Side Restricted Software Compliance |
US9015839B2 (en) | 2013-08-30 | 2015-04-21 | Juniper Networks, Inc. | Identifying malicious devices within a computer network |
-
2013
- 2013-08-30 US US14/014,537 patent/US9015839B2/en active Active
-
2014
- 2014-08-11 CN CN201410393021.4A patent/CN104426906A/zh active Pending
- 2014-08-28 EP EP14182605.7A patent/EP2843904A3/en not_active Withdrawn
-
2015
- 2015-04-17 US US14/689,255 patent/US9258328B2/en active Active
- 2015-12-30 US US14/984,884 patent/US9497163B2/en active Active
-
2016
- 2016-11-14 US US15/350,179 patent/US9848016B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
CN103218563A (zh) * | 2006-03-24 | 2013-07-24 | Avg荷兰私人有限公司 | 软件漏洞利用防护 |
CN101175078A (zh) * | 2006-10-30 | 2008-05-07 | 丛林网络公司 | 应用分布式阈值随机漫步的潜在网络威胁识别 |
US20090064334A1 (en) * | 2007-08-30 | 2009-03-05 | International Business Machines Corporation | Adaptive Autonomic Threat Detection and Quarantine |
US20100030891A1 (en) * | 2008-07-30 | 2010-02-04 | Electronics And Telecommunications Research Institute | Web-based traceback system and method using reverse caching proxy |
US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106022113A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 经由沙盒检测恶意文件感染 |
CN106022113B (zh) * | 2015-03-31 | 2019-08-23 | 瞻博网络公司 | 经由沙盒检测恶意文件感染 |
CN110378108A (zh) * | 2015-03-31 | 2019-10-25 | 瞻博网络公司 | 经由沙盒检测恶意文件感染 |
CN106817340A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 预警决策的方法、节点及子系统 |
CN106817340B (zh) * | 2015-11-27 | 2020-05-08 | 阿里巴巴集团控股有限公司 | 预警决策的方法、节点及子系统 |
US11102240B2 (en) | 2015-11-27 | 2021-08-24 | Alibaba Group Holding Limited | Early-warning decision method, node and sub-system |
CN108289032A (zh) * | 2017-01-09 | 2018-07-17 | 腾讯科技(深圳)有限公司 | 一种数据传输方法及装置 |
CN108289032B (zh) * | 2017-01-09 | 2022-05-13 | 腾讯科技(深圳)有限公司 | 一种数据传输方法及装置 |
CN111178220A (zh) * | 2019-12-24 | 2020-05-19 | 上海眼控科技股份有限公司 | 检测客车内的安全设施的方法、设备和存储介质 |
CN113596022A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 识别网络内恶意源的设备和方法 |
Also Published As
Publication number | Publication date |
---|---|
US9258328B2 (en) | 2016-02-09 |
US9015839B2 (en) | 2015-04-21 |
US20170063922A1 (en) | 2017-03-02 |
EP2843904A2 (en) | 2015-03-04 |
US9497163B2 (en) | 2016-11-15 |
US9848016B2 (en) | 2017-12-19 |
EP2843904A3 (en) | 2015-03-11 |
US20150222661A1 (en) | 2015-08-06 |
US20150067866A1 (en) | 2015-03-05 |
US20160119286A1 (en) | 2016-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
JP7167240B6 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
EP2779574B1 (en) | Attack detection and prevention using global device fingerprinting | |
CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
CN106534114B (zh) | 基于大数据分析的防恶意攻击系统 | |
TW201703483A (zh) | 用於改善分散式網路中分析之方法及系統 | |
US10642906B2 (en) | Detection of coordinated cyber-attacks | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
KR102293773B1 (ko) | 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법 | |
US20180139142A1 (en) | Network traffic pattern based machine readable instruction identification | |
CN112039865A (zh) | 一种威胁驱动的网络攻击检测与响应方法 | |
CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
Gunawan et al. | On the review and setup of security audit using Kali Linux | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
Gnatyuk et al. | Studies on Cloud-based Cyber Incidents Detection and Identification in Critical Infrastructure. | |
Rani et al. | A framework for the identification of suspicious packets to detect anti-forensic attacks in the cloud environment | |
Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
Al-Jarrah et al. | Hierarchical detection of insider attacks in cloud computing systems | |
Hu et al. | Method for Cyber Threats Detection and Identification in Modern Cloud Services | |
Banitalebi Dehkordi | Examining the status of CPU working load, processing load and controller bandwidth under the influence of packet-in buffer status located in Openflow switches in SDN-based IoT framework | |
Shareef et al. | Malicious activity detection using HTTP annotation patterns | |
Nandan et al. | Cyber Attacks on Smart Cities and How Artificial Intelligence can be Used as a Boon | |
CN115809467A (zh) | 行为识别方法、装置、设备、存储介质及计算机程序产品 | |
CN115865472A (zh) | 一种基于日志分析的请求拦截方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20191122 |
|
AD01 | Patent right deemed abandoned |