CN104753736A - 用于检测对虚拟专用网络的恶意规避的方法和系统 - Google Patents
用于检测对虚拟专用网络的恶意规避的方法和系统 Download PDFInfo
- Publication number
- CN104753736A CN104753736A CN201410616510.1A CN201410616510A CN104753736A CN 104753736 A CN104753736 A CN 104753736A CN 201410616510 A CN201410616510 A CN 201410616510A CN 104753736 A CN104753736 A CN 104753736A
- Authority
- CN
- China
- Prior art keywords
- response
- vpn
- message
- specified client
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000004044 response Effects 0.000 claims abstract description 46
- 238000001514 detection method Methods 0.000 claims description 22
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 claims description 2
- 230000001010 compromised effect Effects 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 18
- 238000003860 storage Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 238000004590 computer program Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012057 exposure response modelling Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于检测对虚拟专用网络的恶意规避的方法和系统。一个涉及方法的实施例与可用于访问资源服务器的VPN关联。当确定指定客户机已访问所述VPN时,标识资源服务器,每个资源服务器均具有地址并且可以接收通过所述VPN从所述客户机路由的业务。所述方法还包括将与每个标识的资源服务器对应的消息发送到所述客户机,其中与所述标识的资源服务器中的一个给定标识的资源服务器对应的消息旨在导致将响应从所述客户机发送到所述给定标识的资源服务器的所述地址。使用对发送到所述客户机的相应消息的响应,判定是否已危及从所述客户机到所述VPN的业务的路由。
Description
技术领域
在此公开和要求保护的本发明一般地涉及一种用于检测对虚拟专用网络(VPN)的恶意或其它不希望的规避的方法和系统。
背景技术
在当前工作环境中,当企业或其它组织的员工未在传统的办公环境时,他们通常需要连接到至关重要的企业资源。实际上,例如他们可能必须从家里、从宾馆房间、从客户位置,或者在旅行时从移动设备连接。因为这些资源通常受防火墙保护,所以通常通过使用虚拟专用网络(VPN)实现访问,虚拟专用网络允许员工从其客户机设备(例如,膝上型计算机、平板计算机、电话等)安全地访问资源。如所属技术领域的技术人员已知的,VPN是一种专用网络,其跨诸如因特网之类的公共网络延伸。因此,客户机设备可以跨公共网络发送和接收数据,好像客户机设备直接连接到企业网络。
各种认证和加密方法用于控制谁可以建立VPN连接,并且还用于保护通过VPN连接交换的数据。VPN通过添加需要在可以访问资源之前规避的额外防御层,起着保护资源免受外部攻击的作用。VPN具有的进一步作用是在数据来往于客户机传输时防止窃取数据。
在建立VPN连接之后,员工可以经常通过与在企业位置时可用的连接性类似的连接性,访问所有企业资源。这种访问通常通过在客户机设备上安装各种“IP路由”实现,IP路由通过VPN引导目标为企业服务器的业务。用于并非企业控制的服务器的第三方的业务(例如,到可公开访问的信息网站的业务)可以直接从客户机设备流向第三方服务器,或者在某些配置中也可以通过企业VPN服务器路由。
现有技术的问题是无法防止恶意创建的路由,这些路由可以中断或拦截预期的业务流模式。通过使用各种技术(例如,恶意WiFi热点分发的其它路由或专门创建的IP地址分配),攻击者可以拦截和操纵旨在使用VPN发送到企业的业务。如果攻击者可以获得对另一个VPN帐户的访问(例如,通过恶意或粗心的内部人员),则可以例如通过使用从无特权企业帐户获得的VPN证书,使用获得的访问拦截来自特权用户(例如,系统管理员或高级员工)的通信而不被注意。
发明内容
本发明的各实施例提供一种用于通过根据使用的路由和计时分析IP响应模式,检测拦截VPN保护的业务的企图的方法。如果在响应模式中检测到差异,则可以采取适当的操作,如VPN连接终止,或者向VPN用户或系统管理员发送警报。本发明的各实施例仅依赖于企业资源,而不是安装在客户机上的代理。这非常重要,因为攻击者可以操纵客户机的代理。此外,某些客户机平台可以允许不足以检查客户机配置的代理。例如,iOS设备通常严格限制被允许用于已安装客户机的操作,并且检查路由表以检测错误配置也许是不可能的。
一个涉及计算机实现的方法的实施例与虚拟专用网络(VPN)关联,所述虚拟专用网络可用于访问一个或多个资源服务器。所述方法包括以下步骤:确定指定客户机已访问所述VPN。响应于确定所述指定客户机已访问所述VPN,选择均可由于异常而被误用的一个或多个IP地址,所述异常源于操纵由所述指定客户机使用的路由表。所述方法还包括监视流到或流出所述指定客户机的选定网络业务,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机。从所监视的业务获得指定信息,以及使用所获得的信息判定是否已危及从所述指定客户机到所述VPN的业务的路由。
附图说明
图1是示出本发明的各实施例解决的一种类型的攻击情形的示意图;
图2是示出在实现本发明的各实施例中使用的组件的框图;
图3是示出包括本发明的一个实施例的方法的步骤的流程图;
图4是示出其中可以实现本发明的一个实施例的数据处理系统网络的框图;
图5是示出可在实现本发明的各实施例中使用的计算机或数据处理系统的框图。
具体实施方式
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括—但不限于—电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括—但不限于—无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各个方面的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其它设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article ofmanufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。
参考图1,示出由员工或其它用户(未示出)操作的客户机设备102,该员工或其它用户与诸如商业企业之类的组织关联。用户想要访问具有企业的一个或多个敏感资源104-108的远程服务器,方法是通过虚拟专用网络(VPN)服务器110建立到远程服务器的连接。资源104、106和108在图1中也分别称为资源1、2和N。通常,VPN服务器110和客户机设备102之间的路径具有固定长度(例如一个跳跃),并且在设备和VPN服务器之间创建隧道。VPN 110与企业关联,并且如上所述是专用网络,其使用诸如因特网之类的公共网络将远程站点或用户连接在一起。
目前,用于将客户机102连接到VPN服务器110的一种很常见的方法是使用WiFi热点等。这种类型的热点通过使用连接到因特网服务提供商的路由器,通过无线局域网(WLAN)提供因特网接入。热点通常在许多不同类型的公共设施中发现,这些公共设施包括机场、火车站、图书馆和咖啡店,但不限于此。路由器通常具有路由表,其列出到特定网络目的地的路由。
图1进一步示出攻击情形,其中恶意攻击者(未示出)试图规避或重新路由业务114。更具体地说,攻击者设法将旨在在客户机102和VPN服务器110之间流动的业务114路由到攻击服务器112。攻击者例如可以试图执行一种类型的攻击,称为“中间人”攻击。在这种类型的攻击中,攻击者能够拦截在第一和第二实体之间流动的业务。作为这种攻击中的第一阶段,恶意攻击者可能建立接入点116,接入点116包括如上所述的热点。该接入点可以在其中WiFi热点通常所在的机场或其它公共设施之中或附近。但是,热点接入点116将由攻击者控制。热点可以采用攻击者的机器,该机器伪装成合法接入点。备选地,接入点可以是由攻击者操纵的合法接入点。
在一种可能的方法中,攻击者可以谨慎地创建IP地址,接入点116将该IP地址提供给客户机102。例如,该地址可以向客户机显示为到敏感资源服务器的IP地址的本地路由。然后,客户机102发送到该地址的业务实际上将路由到攻击者服务器112,而不是通过VPN连接发送。因此,将严重危及该业务的路由。攻击者能够拦截发送到所有敏感资源服务器的业务,或者仅发送到其子集的业务。在拦截业务并且根据需要复制和分析业务之后,攻击者可能使用从客户机102复制的证书或者使用攻击者获得的其它VPN证书,将业务转发到VPN服务器110。
参考图2,示出放入上面结合图1描述的组件的配置中的检测组件202。更具体地说,检测器202位于VPN服务器110和相应敏感资源服务器104-108之间的路径中。检测组件202可操作以实现包括本发明的一个实施例的方法的步骤,如以下结合图3描述的那样。该实施例能够检测例如结合图1描述的攻击情形,并且可以进一步用于检验尚未危及在客户机102和每个敏感资源服务器之间路由的业务。在此,至少如果业务沿着包括一个或多个非法节点或恶意节点的路线流动,则认为危及业务路由。非法节点是至少以下节点:对于业务发送者来说未知、对于与发送者关联的组织来说未知,和/或对于提供部分或全部路由的每个合法网络服务提供商来说未知。但是,本发明的各实施例并不限于以上危及路由的定义。
在本发明的一个实施例中,检测组件202可以实现为VPN服务器110的组件、在VPN服务器上运行的附加可执行文件。备选地,检测组件202可以实现为连接到VPN服务器的中央交换机中的组件。在另一个实施例中,检测组件202可以实现为连接到中央交换机上的监视端口的独立系统,只要定址到所有敏感资源服务器的特定分组可见。但是,本发明并不限于这些实施例。
参考图3,示出包括本发明的一个实施例的方法的步骤,其中部分或全部步骤可以由诸如检测组件202之类的设备执行。所述方法用于检验从客户机发送到VPN服务器的业务的路由,即,以便确保尚未危及该路由。所述方法在步骤302开始,此时首先检测新客户机102到VPN服务器110的连接。有用的是,检测组件202或其它检测器例如通过实时日志文件被提供来自VPN服务器的事件信息,并且通过持续监视事件信息检测新客户机。备选地,检测器202可以监视网络业务并查找客户机与敏感资源服务器建立的连接,其中客户机先前未活动。
在步骤304,生成企业的敏感资源服务器的列表,其中需要检验列表上业务采取的从新客户机到每个敏感资源服务器的路由。在一个实施例中,所述列表包括企业或组织中的所有敏感资源服务器。在其它实施例中,所述列表可以是敏感资源服务器的随机子集;敏感资源服务器的具有最敏感信息的子集;或者将新客户机连接到VPN的用户最可能使用的敏感资源服务器的子集。检测组件202可以添加特定地址,这些地址可用于获得旨在从客户机出发通过VPN服务器的网络地址空间的覆盖范围。
在生成敏感资源服务器的列表之后,执行步骤306以便检验列表上的每个服务器的路由,如上所述。通常,这通过以下操作执行:针对列表上的每个敏感资源服务器,将ping或其它消息发送到客户机,其中ping或其它消息将导致客户机返回响应。因此,对于每个列出的敏感资源服务器,检测组件202将ping或其它消息发送到使用该列出的服务器的IP地址的客户机。作为预备步骤,可以与客户机的IP地址一起发送某些ping,以便建立ping时间变化的基准。
在本发明的一个实施例中,将ping发送到客户机,其中ping具有诸如GUID之类的唯一标识符作为其有效负载。如上所述,ping具有列出的敏感资源服务器之一的地址,并且客户机应该将对ping的响应返回到该地址。ping和ping响应的总时间(称为往返时间)将由检测组件202检测。
在另一个实施例中,检测组件202将消息发送到客户机上的已知服务,其中该服务将产生对消息的响应。一个此类服务可以是监听新消息的消息传送功能。备选地,检测组件可以将消息发送到客户机以生成错误响应。在另一个实施例中,检测组件202可以使ping或其它消息从列表上的敏感资源服务器之一或者从VPN服务器发送到客户机。因此,可以看到在这些实施例中,从网络服务器侧而不是客户机侧开始探测客户机到VPN的连接。
在将相应ping或其它消息发送到客户机之后,检测组件202监视网络业务以便检测对每个ping消息或其它类型消息的客户机响应。该检测在图3的方法的步骤308处执行。在该步骤,还测量客户机响应的选定参数。在已检测对列表上的敏感资源服务器的所有ping的客户机响应之后,所述方法继续到步骤310。该步骤将相应客户机响应的选定参数彼此相比较,以便评估参数值的一致性。
对于步骤308和310,要测量和比较的有用参数包括客户机响应时间、每个客户机响应分组的生存时间(TTL),以及被发现缺失或从未被接收到的特定客户机响应。通常,对于安全或不受危及的网络而言,比较步骤310应该发现,对于针对步骤304的列表上的每个敏感资源服务器检测的客户机响应,测量的TTL值是一致的,即基本相同。因此,如果发现针对相应客户机响应计算的TTL参数值分布在超出预先指定的限制的范围内,则可以很容易地确定已危及客户机业务路由。
同样,客户机响应时间的显著分布也可以指示危及路由。如果发现计时有所变化,则这可以指示正在执行业务拦截中涉及的额外处理步骤。在一个有用的实施例中,如果给定消息响应的值和与客户机-VPN连接关联的响应的平均响应时间值之间的差超出预先指定的差,则确定已危及路由。
此外,如果未检测到或未接收到与给定敏感资源服务器关联的客户机响应,则强有力或很有说服力地推断已危及从客户机到该给定敏感资源服务器的业务路由。用于断定已危及路由的进一步基础是确定对来自敏感资源服务器的ping或其它消息的响应的源地址与客户机的地址不匹配,或者与ping或其它消息被发送到的其它地址不匹配。
在本发明的各实施例中,已经认识到,对于给定的一组检测到的客户机响应,步骤310的结果可能不可用于判定是否已危及客户机业务路由。这种情况例如可以由分组丢失或看似高但未高到足以确定已危及路由的响应时间分布所导致。相应地,图3的方法具有决策步骤312以便处理这种情况。如果在步骤312确定先前检测到的客户机响应不能用于判定是否已危及路由,则所述方法返回到步骤306的输入。然后执行另一个操作以便检验步骤304的先前列表上的敏感资源服务器的路由。
如果决策步骤312的结果是肯定的,则图3的方法继续到决策步骤314。该步骤从检测到的客户机响应和步骤310的结果,判定是否已危及客户机路由。如果步骤314的判定是肯定的,则所述方法转到步骤316,步骤316终止客户机到VPN的连接。检测组件202例如可以通知VPN服务器终止客户机连接,或者可以向客户机发送导致客户机终止连接的网络消息。
在一个备选实施例中,检测组件202可以将被危及的VPN连接通知设备用户或管理员,以便允许他们适当地处理这种情况。
如果在步骤314判定尚未危及路由,则所述方法继续到步骤318。该步骤等待发生另一次路由检验迭代。通过提供步骤318,图3的方法定期检验在步骤302检测到的特定客户机的路由。在下一次迭代之前的时间(包括等待时间)可被预先选择,或者可以依赖于检测组件在先前判定未危及路由中的置信度级别。在某些实施例中,等待时间可以为大约数天或大约数周。
在等待时间之后,图3的方法在决策步骤320判定客户机是否仍然活动。如果不活动,则在步骤322完成客户机检验,并且所述方法结束。否则,所述方法继续到步骤304的输入。然后针对客户机的另一次路由检验,生成新的敏感资源服务器列表。因此,上面的检验方法定期继续,直到检测到路由危及或者客户机变得不活动。
在另一实施例中,检测组件还接收有关用户的信息,这些用户用于授权访问敏感资源服务器和用于这些访问的VPN地址。检测组件将判定在用户和VPN连接之间的关联中是否存在任何异常。如果针对全部源自一个VPN连接的业务,使用数个用户授权访问敏感资源服务器,则检测组件可以终止客户机连接。同样,如果使用一个用户ID授权访问数个敏感资源服务器,但在从客户机到敏感资源服务器的这些连接中涉及数个VPN连接,则同样可以终止客户机连接。
图4是其中可以实现本发明示例性实施例的数据处理系统网络的图形表示。网络数据处理系统400是其中可以实现示例性实施例的计算机网络。网络数据处理系统400包含网络402,网络402是用于在网络数据处理系统400中连接在一起的各种设备和计算机之间提供通信链路的介质。网络402可以包括连接,例如有线、无线通信链路或光缆。
在所示实例中,服务器计算机404和服务器计算机406连同存储单元408一起连接到网络402。此外,客户端计算机410、412和414连接到网络402。客户端计算机410、412和414例如可以是个人计算机或网络计算机。在所示实例中,服务器计算机404为客户端计算机410、412和414提供信息,例如引导文件、操作系统映像和应用。在该实例中,客户端计算机410、412和414是服务器计算机404的客户机。网络数据处理系统400可以包括未示出的其它服务器计算机、客户端计算机和其它设备。
位于网络数据处理系统400中的程序代码可以存储在计算机可记录存储介质上,并且下载到数据处理系统或其它设备以便使用。例如,程序代码可以存储在服务器计算机404的计算机可记录存储介质上,并且通过网络402下载到客户端计算机410以便在客户端计算机410上使用。
在所示实例中,网络数据处理系统400是因特网,同时网络402代表全球范围内使用传输控制协议/网际协议(TCP/IP)协议集来相互通信的网络和网关的集合。在因特网的核心是主节点或主机之间的高速数据通信线路的主干,它包括数以千计的商业、政府、教育以及其它路由数据和消息的计算机系统。当然,网络数据处理系统400也可以实现为许多不同类型的网络,例如内联网、局域网(LAN)或广域网(WAN)。图4旨在作为一个实例,并非旨在作为对不同示例性实施例的体系架构限制。
现在转到图5,示出根据一个示例性实施例的数据处理系统的图示。在该示例性实例中,数据处理系统500包括通信结构502,其在处理器单元504、存储器506、永久性存储装置508、通信单元510、输入/输出(I/O)单元512和显示器514之间提供通信。
处理器单元504用于处理可以被加载到存储器506的软件的指令。处理器单元504可以是多个处理器、多处理器核心,或者某种其它类型的处理器,具体取决于特定实现。“多个”如在此参考项使用的,指一个或多个项。此外,处理器单元504可以使用多个异构处理器系统来实现,其中在一个芯片上同时存在主处理器与辅助处理器。作为另一个示例性实例,处理器单元504可以是包含同一类型的多个处理器的对称多处理器系统。
存储器506和永久性存储装置508是存储设备516的实例。存储设备是任何能够存储信息的硬件,所述信息例如包括但不限于数据、功能形式的程序代码和/或其它合适的临时性和/或持久性信息。在这些实例中,存储设备516也可以称为计算机可读存储设备。在这些实例中,存储器506例如可以是随机存取存储器或任何其它合适的易失性或非易失性存储设备。永久性存储装置508可以采取各种形式,具体取决于特定实现。
例如,永久性存储装置508可以包含一个或多个组件或设备。例如,永久性存储装置508可以是硬盘驱动器、闪存、可重写光盘、可重写磁带或上述某种组合。永久性存储装置508使用的介质也可以是移动的。例如,可移动硬盘驱动器可以用于永久性存储装置508。
在这些实例中,通信单元510提供与其它数据处理系统或设备的通信。在这些实例中,通信单元510是网络接口卡。通信单元510可以通过使用物理和无线通信链路之一或两者来提供通信。
输入/输出单元512允许使用其它可以连接到数据处理系统500的设备来输入和输出数据。例如,输入/输出单元512可以通过键盘、鼠标和/或某种其它合适的输入设备来提供连接以实现用户输入。此外,输入/输出单元512可以将输出发送到打印机。显示器514提供用于向用户显示信息的机构。
用于操作系统、应用和/或程序的指令可以位于存储设备516中,存储设备516通过通信结构502与处理器单元504通信。在这些示例性实例中,指令以功能形式位于永久性存储装置508中。这些指令可以被加载到存储器506以便由处理器单元504处理。处理器单元504可以使用计算机实现的指令(可以位于存储器(例如存储器506)中)执行不同实施例的过程。
这些指令被称为程序代码、计算机可用程序代码或计算机可读程序代码,它们可以由处理器单元504中的处理器读取和处理。在不同的实施例中,程序代码可以包含在不同的物理或计算机可读存储介质(例如存储器506或永久性存储装置508)中。
程序代码518以功能形式位于可选择性地移动的计算机可读介质520中,并且可以被加载或传输到数据处理系统500以便由处理器单元504处理。在这些实例中,程序代码518和计算机可读介质520形成计算机程序产品522。在一个实例中,计算机可读介质520可以是计算机可读存储介质524或计算机可读信号介质526。
计算机可读存储介质524例如可以包括光盘或磁盘,它们被插入或放置到属于永久性存储装置508的一部分的驱动器或其它设备中,以便传输到属于永久性存储装置508的一部分的存储设备(例如硬盘驱动器)。计算机可读存储介质524还可以采取永久性存储装置的形式,例如连接到数据处理系统500的硬盘驱动器、拇指驱动器或闪存。
在某些情况下,计算机可读存储介质524可能不可从数据处理系统500移除。在这些实例中,计算机可读存储介质524是用于存储程序代码518的物理或有形存储设备,而不是传播或传输程序代码518的介质。计算机可读存储介质524也称为计算机可读有形存储设备或计算机可读物理存储设备。换言之,计算机可读存储介质524是个人可以触摸到的介质。
备选地,可以使用计算机可读信号介质526将程序代码518传输到数据处理系统500。计算机可读信号介质526例如可以是包含程序代码518的传播数据信号。例如,计算机可读信号介质526可以是电磁信号、光信号和/或任何其它合适类型的信号。这些信号可以通过通信链路传输,这些通信链路例如包括无线通信链路、光缆、同轴电缆、电线和/或任何其它合适类型的通信链路。换言之,在示例性实例中,通信链路和/或连接可以是物理或无线的。
在某些示例性实施例中,可以通过网络借助计算机可读信号介质526,将程序代码518从另一个设备或数据处理系统下载到永久性存储装置508,以便在数据处理系统500中使用。例如,可以通过网络将存储在服务器数据处理系统内的计算机可读存储介质中的程序代码从该服务器下载到数据处理系统500。提供程序代码518的数据处理系统可以是服务器计算机、客户端计算机、远程数据处理系统,或者能够存储和传输程序代码518的某种其它设备。例如,可以通过网络将存储在数据处理系统500内的计算机可读存储介质中的程序代码从远程数据处理系统下载到数据处理系统500中的计算机可读存储介质。此外,可以通过网络将存储在服务器计算机内的计算机可读存储介质中的程序代码从该服务器计算机下载到远程数据处理系统中的计算机可读存储介质。
出于示例目的给出了对本发明的不同实施例的描述,但所述描述并非旨在是穷举的或是限于所公开的实施例。在不偏离所述实施例的范围和精神的情况下,对于所属技术领域的普通技术人员来说许多修改和变化都将是显而易见的。在此使用的术语的选择,旨在最佳地解释实施例的原理、实际应用或对市场中的技术的技术改进,或者使所属技术领域的其它普通技术人员能够理解在此公开的实施例。
附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (19)
1.一种与可用于访问一个或多个资源服务器的虚拟专用网络VPN结合的计算机实现的方法,所述方法包括以下步骤:
确定指定客户机已访问所述VPN;
响应于确定所述指定客户机已访问所述VPN,选择均可由于异常而被误用的一个或多个IP地址,所述异常源于操纵由所述指定客户机使用的路由表;
监视包括流到或流出所述指定客户机的选定网络业务的消息和响应,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机;
从所监视的业务获得指定信息;以及
使用所获得的信息判定是否已危及从所述指定客户机到所述VPN的业务的路由。
2.根据权利要求1的方法,其中:
一个或多个标识的资源服务器中的每一个均具有包括所述IP地址之一的地址,并将与每个标识的资源服务器对应的消息发送到所述指定客户机,其中与所述标识的资源服务器中的一个给定标识的资源服务器对应的消息旨在导致将响应从所述指定客户机发送到所述给定标识的资源服务器的所述地址,并且相应消息和对所述相应消息的响应包括选定网络业务。
3.根据权利要求1的方法,其中:
对所监视的网络业务中的相应消息的响应提供从一组参数中选择的一个或多个参数,所述一组参数至少包括:响应时间、响应的生存时间TTL,以及指示是否针对与所标识的IP地址之一对应的消息接收到响应的信息。
4.根据权利要求1的方法,其中:
所监视的业务提供选定参数,并且对于至少一个所述选定参数,针对每个响应计算所述参数的值,并且如果相应响应的所述参数值分布在超出预先指定的限制的范围内,则确定已危及所述路由。
5.根据权利要求1的方法,其中:
所监视的业务中的所述消息和响应提供包括响应时间的选定参数,并且如果给定消息响应的所述响应时间的值和与所述VPN关联的响应的平均响应时间值之间的差超过预先指定的差,则确定已危及所述路由。
6.根据权利要求1的方法,其中:
如果针对从标识的资源服务器之一发送到所述指定客户机的消息,未从所述指定客户机接收到响应,则确定已危及所述路由。
7.根据权利要求1的方法,其中:
如果对特定消息的响应的源地址与所述指定客户机的地址不匹配,或者选择性地,与标识的资源服务器之一将所述特定消息发送到的其它地址不匹配,则确定已危及所述路由。
8.根据权利要求1的方法,其中:
响应于确定已危及所述路由,终止所述指定客户机到所述VPN的连接,或者选择性地,向所述指定客户机的用户或VPN连接的管理员发送通知。
9.根据权利要求2的方法,其中:
发送到所述指定客户机的每个所述消息都包括ping分组。
10.根据权利要求2的方法,其中:
发送到所述指定客户机的每个所述消息都包括发送到所述指定客户机上产生指定类型响应的服务的消息。
11.根据权利要求1的方法,其中:
位于所述VPN与相应资源服务器之间的检测组件可操作以将相应消息发送到所述指定客户机并检测对所述消息的响应。
12.根据权利要求1的方法,其中:
响应于确定尚未危及所述路由,在预定等待时间之后,标识一组新的IP地址,并监视流到或流出所述指定客户机的选定网络业务,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机。
13.根据权利要求1的方法,其中:
在周期性间隔,标识一组新的IP地址,并监视流到或流出所述指定客户机的选定网络业务,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机,直到所述客户机变得不活动或确定已危及所述路由。
14.根据权利要求1的方法,其中:
响应于确定所监视的业务针对是否已危及所述路由提供指定的不确定性级别,将与每个标识的IP地址对应的特定消息发送到所述指定客户机。
15.一种与可用于访问一个或多个资源服务器的虚拟专用网络VPN结合的系统,所述系统包括:
用于确定指定客户机已访问所述VPN的装置;
用于响应于确定所述指定客户机已访问所述VPN,标识一个或多个资源服务器的装置,其中每个标识的资源服务器具有地址,并且可被访问以便接收通过所述VPN从所述指定客户机路由的计算机业务;
用于将与每个标识的资源服务器对应的消息发送到所述指定客户机的装置,其中与所述标识的资源服务器中的一个给定标识的资源服务器对应的消息旨在导致将响应从所述指定客户机发送到所述给定标识的资源服务器的所述地址;以及
用于使用对发送到所述指定客户机的相应消息的响应,判定是否已危及从所述指定客户机到所述VPN的业务的路由的装置。
16.根据权利要求15的系统,其中:
对相应消息的响应提供从一组参数中选择的一个或多个参数,所述一组参数至少包括:响应时间、响应的生存时间TTL,以及指示是否针对与所述标识的资源服务器之一对应的每个消息接收到响应的信息。
17.根据权利要求16的系统,其中:
对于至少一个所选择的参数,针对每个响应计算所述参数的值,并且如果相应响应的所述参数值分布在超出预先指定的限制的范围内,则确定已危及所述路由。
18.根据权利要求15的系统,其中:
如果针对从所述标识的资源服务器之一发送到所述指定客户机的消息,未从所述指定客户机接收到响应,则确定已危及所述路由。
19.根据权利要求15的系统,其中:
响应于确定尚未危及所述路由,在预定等待时间之后,标识一组新的资源服务器,并且将与所述一组新的资源服务器中的每个资源服务器对应的消息发送到所述指定客户机。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/145010 | 2013-12-31 | ||
| US14/145,010 US9185121B2 (en) | 2013-12-31 | 2013-12-31 | Detecting malicious circumvention of virtual private network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104753736A true CN104753736A (zh) | 2015-07-01 |
| CN104753736B CN104753736B (zh) | 2018-04-17 |
Family
ID=53483243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410616510.1A Expired - Fee Related CN104753736B (zh) | 2013-12-31 | 2014-11-05 | 用于检测对虚拟专用网络的恶意规避的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9185121B2 (zh) |
| CN (1) | CN104753736B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109479011A (zh) * | 2016-07-18 | 2019-03-15 | 意大利电信股份公司 | 分组交换通信网络中的业务监视 |
| CN110402573A (zh) * | 2017-03-13 | 2019-11-01 | 微软技术许可有限责任公司 | 用于过滤不可能的用户行进指示符的系统 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10361585B2 (en) | 2014-01-27 | 2019-07-23 | Ivani, LLC | Systems and methods to allow for a smart device |
| US9474042B1 (en) | 2015-09-16 | 2016-10-18 | Ivani, LLC | Detecting location within a network |
| US10455357B2 (en) | 2015-09-16 | 2019-10-22 | Ivani, LLC | Detecting location within a network |
| US10321270B2 (en) | 2015-09-16 | 2019-06-11 | Ivani, LLC | Reverse-beacon indoor positioning system using existing detection fields |
| US11350238B2 (en) | 2015-09-16 | 2022-05-31 | Ivani, LLC | Systems and methods for detecting the presence of a user at a computer |
| US11533584B2 (en) | 2015-09-16 | 2022-12-20 | Ivani, LLC | Blockchain systems and methods for confirming presence |
| US10382893B1 (en) | 2015-09-16 | 2019-08-13 | Ivani, LLC | Building system control utilizing building occupancy |
| US10665284B2 (en) | 2015-09-16 | 2020-05-26 | Ivani, LLC | Detecting location within a network |
| US10056129B1 (en) | 2017-08-10 | 2018-08-21 | Micron Technology, Inc. | Cell bottom node reset in a memory array |
| US12015674B2 (en) | 2022-03-04 | 2024-06-18 | Oversec, Uab | Virtual private network connection status detection |
| US20230283594A1 (en) * | 2022-03-04 | 2023-09-07 | Oversec, Uab | Virtual private network resource management |
| US12015672B2 (en) | 2022-03-04 | 2024-06-18 | Oversec, Uab | Network reconnection request handling |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| US20050128989A1 (en) * | 2003-12-08 | 2005-06-16 | Airtight Networks, Inc | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
| CN1889573A (zh) * | 2006-07-31 | 2007-01-03 | 华为技术有限公司 | 一种主动诱骗方法与系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8132242B1 (en) | 2006-02-13 | 2012-03-06 | Juniper Networks, Inc. | Automated authentication of software applications using a limited-use token |
| US8495181B2 (en) | 2006-08-03 | 2013-07-23 | Citrix Systems, Inc | Systems and methods for application based interception SSI/VPN traffic |
| US20080301801A1 (en) | 2007-05-31 | 2008-12-04 | Premkumar Jothimani | Policy based virtual private network (VPN) communications |
-
2013
- 2013-12-31 US US14/145,010 patent/US9185121B2/en not_active Expired - Fee Related
-
2014
- 2014-11-05 CN CN201410616510.1A patent/CN104753736B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| US20050128989A1 (en) * | 2003-12-08 | 2005-06-16 | Airtight Networks, Inc | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
| CN1889573A (zh) * | 2006-07-31 | 2007-01-03 | 华为技术有限公司 | 一种主动诱骗方法与系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109479011A (zh) * | 2016-07-18 | 2019-03-15 | 意大利电信股份公司 | 分组交换通信网络中的业务监视 |
| US11902118B2 (en) | 2016-07-18 | 2024-02-13 | Telecom Italia S.P.A. | Traffic monitoring in a packet-switched communication network |
| CN110402573A (zh) * | 2017-03-13 | 2019-11-01 | 微软技术许可有限责任公司 | 用于过滤不可能的用户行进指示符的系统 |
| CN110402573B (zh) * | 2017-03-13 | 2022-03-25 | 微软技术许可有限责任公司 | 用于过滤不可能的用户行进指示符的系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9185121B2 (en) | 2015-11-10 |
| US20150188931A1 (en) | 2015-07-02 |
| CN104753736B (zh) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104753736A (zh) | 用于检测对虚拟专用网络的恶意规避的方法和系统 | |
| US11894993B2 (en) | Systems and methods for troubleshooting and performance analysis of cloud-based services | |
| US20210288917A1 (en) | Communications Hub | |
| US11374957B2 (en) | Determining risk associated with internet protocol (IP) addresses involved in internet communications | |
| US10462188B2 (en) | Computer network security system | |
| US20190394227A1 (en) | Network security threat intelligence sharing | |
| Chung et al. | NICE: Network intrusion detection and countermeasure selection in virtual network systems | |
| US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
| JP2018519688A (ja) | クラウド内の複数境界ファイアウォール | |
| US20170302548A1 (en) | Service latency monitoring using two way active measurement protocol | |
| US10205641B2 (en) | Inspection of traffic via SDN | |
| US20200322181A1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| CN112956158B (zh) | 结构数据平面监视 | |
| US20210226866A1 (en) | Threat detection of application traffic flows | |
| CN110545277B (zh) | 应用于安全系统的风险处理方法、装置、计算设备、介质 | |
| US20230361999A1 (en) | Methods and apparatus for multi-path mesh network encryption and key generation | |
| US11991047B2 (en) | Detecting access points located within proximity of a computing device for troubleshooting of a network | |
| Liatifis et al. | Dynamic risk assessment and certification in the power grid: a collaborative approach | |
| US11683350B2 (en) | System and method for providing and managing security rules and policies | |
| US20220311805A1 (en) | System and Method for Providing and Managing Security Rules and Policies | |
| Zolotukhin et al. | On detection of network-based co-residence verification attacks in sdn-driven clouds | |
| KR20220033195A (ko) | 노드 간 암호화 통신을 지원하는 sdn 제어기 및 sdn 제어기의 동작 방법 | |
| CN117527342A (zh) | 数据处理方法和装置、电子设备、计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180417 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |