CN105580333A - 评估可疑网络通信 - Google Patents
评估可疑网络通信 Download PDFInfo
- Publication number
- CN105580333A CN105580333A CN201480052461.1A CN201480052461A CN105580333A CN 105580333 A CN105580333 A CN 105580333A CN 201480052461 A CN201480052461 A CN 201480052461A CN 105580333 A CN105580333 A CN 105580333A
- Authority
- CN
- China
- Prior art keywords
- address
- white list
- network
- communication
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
识别来自网络通信的可疑网络地址。在一个实施方式中,网络装置接收入站或出站连接请求、网页、电子邮件或其它网络通信。评估模块针对相应网络地址评估网络通信,相应网络地址可以是用于网络通信的源或目的地。网络地址通常包括IP地址。评估模块确定网络通信的一个或多个特性,例如时刻、内容类型、方向性等。然后评估模块基于与IP地址关联的白名单中指定的特性来判断特性是否匹配或者以其它方式被允许。
Description
技术领域
本文中公开的发明涉及网络安全,更具体地涉及识别和禁止例如可能从黑客、入侵者、网络钓鱼源、病毒、电子邮件发送者和/或其它虚假或可疑源接收的可疑网络通信。
背景技术
当今,通过网络例如互联网,存在试图攻入其它计算机、服务器、防火墙、路由器、PDA、移动电话、游戏机和连接至网络的其它电子设备的入侵者、黑客、未授权用户和程序化装置。例如,网站服务器、其它装置和用户可能将病毒、蠕虫、广告软件、间谍软件或其它文件发送至网络上的其它电子装置。这些文件可能导致其它装置运行一些可能发起至其它设备(例如网络服务器)的网络连接的恶意软件(例如,后门、蠕虫、特洛伊木马等),从而传播病毒、得到其它病毒、将机密信息发送至其它装置、和/或其它不可取行为。期望检测并防止这些行为发生。
通常通过电子邮件,例如通过基于网络的电子邮件系统来传送文件。虽然电子邮件消息典型地在“From”字段中包括发送者的标识符,但是可能难以确保发送者标识符是有效的。例如,钓鱼电子邮件的From字段可包括具有发送者的域名的电子邮件地址,其看似指示合法金融机构的电子邮件服务器。用户可能难以判断发送者标识符是否是真实的。在其它情况中,网络装置可请求访问客户端装置以传输网页、弹出式广告或其它数据。请求网络装置的域名可指示合法金融机构的服务器。一些安全软件向用户提供具有地址信息的消息。用户可选择是否接受该请求。然而,许多用户对于判断发送者的地址信息是否真实存在困难。
另一不受欢迎的行动被称为钓鱼。术语“钓鱼”通常与试图获得个人信息和/或机密信息用于非法或未授权目的有关联。典型地,欺诈的人或组织发送一个或多个包括至钓鱼网站的超链接的电子邮件,使得用户能够输入个人信息和/或机密信息。互联网钓鱼网站使人们相信他们正进入公司或其它组织的真实官方网站。这些钓鱼网站通常通过使他们的网站看似官方网站来实现。这样,一般的用户在不知晓他们已将信息提交至钓鱼网站的情况下发出了个人/机密信息,钓鱼网站的经营者可能使用信息用于非法或未授权目的。钓鱼网站经常使用具有非常类似真实官方网站的域名的统一资源定位器(URL)。域名有时也被称为域名地址(DNA)。例如,钓鱼网站可使用DNA,如www.paypal.billing.com使人们认为这是Paypal公司的官方网站。官方相貌的域名的底层互联网协议(IP)地址通常将用户路由到钓鱼网站而非路由到真正公司的官方网站。或者,钓鱼网站可使用官方公司域名用于超链接,但是在超链接中使用钓鱼网站IP地址。当用户点击电子邮件中的超链接或者网页上的超链接时,用户被引导至钓鱼网站而非官方网站。
互联网或其它网络上的资源具有其自身唯一的IP地址。包括公司、私人组织、政府机关等组织被分配有其自身唯一的IP地址或IP地址范围。这对于钓鱼网站同样适用。因为互联网IP网络路由机制,钓鱼网站或其它网络节点不能将其IP地址伪造成其它人的官方IP地址。甚至钓鱼网站也必须使用其自身的IP地址以使得人们到达该钓鱼网站。这些以及其它问题是本发明所涉及的。
附图说明
参考以下附图描述本发明的非限制性和非详尽的实施方式。在附图中,在全部各个附图中,相同的参考标号指示相同的部件,除非另有说明。
为了更好地理解本发明,将相关联地参考附图来阅读本发明的以下具体实施方式,在附图中:
图1示出了用于实践本发明的环境的一个实施方式的功能框图;
图2示出了可包含在实现本发明的系统中的客户端和/或服务器装置的一个实施方式;
图3示出了用于本发明的一个实施方式的架构和通信序列;
图4示出了用于本发明的一个实施方式的屏幕截图;以及
图5示出了用于本发明的另一实施方式的架构和通信序列。
图6是示出网络通信评估器处理的流程图。
具体实施方式
现将在下文中参考形成本发明的一部分的附图更全面地描述本发明的实施方式,其中通过示例的方式示出了本发明可能实践的具体示例性实施方式。然而,本发明可以体现为多种不同的形式,并且不应解释为受限于本文中所阐述的实施方式;相反,提供这些实施方式使得本公开将是全面且完整的,并且将本发明的范围充分传递给本领域技术人员。除了其它方面,本发明可以体现为多种方法或装置。相应地,本发明可以为全部硬件实施方式、全部软件实施方式或者组合软件和硬件方面的实施方式。因此,不以限制的意义进行以下的详细描述。
在整个说明书和权利要求书中,除非上下文清楚地另有所指,否则以下术语表示在本文中清楚关联的含义。本文中使用的用词“在一个实施方式中”或者“在示例性实施方式中”不必一定指示同一实施方式,虽然其可能指的是同一实施方式。而且,本文中使用的用词“在另一实施方式中”不必一定指的是不同的实施方式,虽然可能如此。因此,如以下所描述的,本发明的各种实施方式可以在不偏离本发明的范围或精神的情况下容易地组合。
此外,如本文中使用的,术语“或”是包含式“or”运算符,并且等同于术语“和/或”,除非上下文清楚地另有所指。术语“基于”不是排他的并且允许基于没有描述的其它因素,除非上下文清楚地另有所指。此外,在整个说明书中,“一(a)”、“一(an)”和“该(the)”的含义包括复数个引用。“在…中(in)”的含义包括“在…中(in)”和“在…上(on)”。
在说明书中,术语“客户端”指的是计算模块作为数据或服务的端处理器的通常角色,术语“服务器”指的是计算模块作为对一个或多个客户端的数据或服务的提供者的角色。通常,计算模块可用作客户端、请求一条事务中的数据或服务并用作服务器、提供另一事务中的数据或服务,因此将其角色从客户端改变为服务器或者反之亦然均是可能的。
术语“网”通常指的是根据供计算装置(例如个人电脑、膝上型电脑、工作站、服务器、迷你电脑、主机、移动电话、个人数字助手(PDA)等)使用的一个或多个协议、格式、语法和/或其它约定在网络上可访问的装置、数据和/或其它资源的集合。网络协议包括但不限于超文本传输协议(HTTP)。这些约定包括但不限于超文本标记语言(HTML)和可延伸标记语言(XML)。术语“网页”和“网络数据”通常指的是符合网络约定的文档、文件、应用、服务和/或其它数据并且通常可通过运行应用的计算装置,例如通用浏览器访问。示例性通用浏览器包括来自微软公司的互联网浏览器TM、来自网景通信公司的网景TM、和来自Mozilla基金的火狐TM。网页通常由能够访问网页的搜索引擎索引。示例性搜索引擎为Google公司的GoogleTM。
术语“URL”通常指的是统一资源定位符,但是也可包括统一资源标识符和/或其它地址信息。URL通常识别协议,例如超文本传输协议(例如,“http://”)、主机名称(例如,“news.google.com”)或网域名称(例如,“google.com”)、路径(例如,“/intl/en/options”)和特殊文件(例如,“pack_installer.html”)或查询字符串(例如,“?hl=en”)。术语“URI”通常指的是用于识别名称或网络资源的字符串。与URL组合,其可代表网络上的网络资源。
简言之,本发明的实施方式评估网络地址相对于已知信任地址的名单以验证通信。提供了多层安全。在一个实施方式中,顶层是IP地址;第二层是端口号;以及第三层是通信载荷的性能。其它层可与通信的其它方面关联。可选择性地实施一个或多个层。每个层可与批准通信需要的用户参与级别关联。
示例性操作环境
图1示出了本发明可操作的环境的一个实施方式。然而,可能不需要这些部件中的全部来实践本发明,并且可在不偏离本发明的精神或范围的情况下对部件的设置和类型进行变化。
如附图中所示,系统10包括客户端装置12-14、网络15、在线服务16和与在线服务不直接关联的可疑网络节点17。网络15与客户端装置12-14、在线服务16和可疑网络节点17中的每个处于通信,并且能够在客户端装置12-14、在线服务16和可疑网络节点17中的每个之间进行通信。在线服务16可包括用于合法网站、电子邮件服务、文件存储服务、主机名称分配服务、网络地址识别服务等的一个或多个服务器。可疑网络节点17可包括不诚实用户的客户端装置、计算机病毒源、用于冒充为另一网站的网站的一个或多个服务器、已被黑客盗用的有效网站节点、或者用于非法或误导目的的另一网站节点。每个网络节点具有网络地址,例如每个网络节点独特的IP地址。网络地址通常还包括端口号以识别特殊的通信会话、网络节点内的特殊资源、或者对于网络地址的其它细化以使节点之间能够进行适当的通信。真实的网络地址是用于至网络节点的通信或来自网络节点的通信所需的。地址掩码、域名转换和其它方案可掩饰沿着通信路径的各个点处的网络地址。然而,真实的网络地址在某一点导出,或者在预期的节点之间将不会出现通信。
客户端装置12-14实质上可包括能够在网络(例如网络15)上从另一计算装置(例如在线服务16等)相互接收消息,或者将消息发送至另一计算装置的任何计算装置。这些装置的集合可包括作为通常考虑的更通用装置并且典型地使用有线通信介质例如个人电脑、多处理系统、基于微处理器的或可编程的家用电子产品、网络PC等连接的装置。这些装置的集合还可包括作为通常考虑的更专业装置并且典型地使用无线通信介质例如移动电话、智能电话、呼叫器、对讲器、射频(RF)装置、红外(IR)装置、CB、组合前述装置的一个或多个的集成装置或者实质上任何移动装置等来连接的移动终端。类似地,客户端装置12-14可以是能够使用有线或无线通信介质例如个人数字助手(PDA)、POCKETPC、可穿戴式电脑和设置为在有线和/或无线通信介质上进行通信的任何其它装置来连接的任何装置。
客户端装置12-14内的每个客户端装置包括使用户能够控制设置并且指示客户端装置执行操作的用户接口。每个客户端装置还可包括浏览器应用,浏览器应用配置为接收和发送网页、基于网页的消息等。浏览器应用可配置为实质上采用任何基于网络的语言来接收和显示图片、文本、多媒体等,基于网络的语言包括但不限于标准通用标记语言(SGML)、超文本标记语言(HTML)、可延伸标记语言(XML)、无线应用协议(WAP)、手持设备标记语言(HDML),例如无线标记语言(WML)、WMLScript、JavaScript等。客户端装置12-14还可配置有通信接口,该通信接口使客户端装置能够采用相同或不同的通信模式将消息发送至另一计算装置并且从另一计算装置接收消息,通信模式包括但不限于即时通讯(IM)、短信服务(SMS)通讯、多媒体消息服务(MMS)通讯、互联网中继聊天(IRC)、Mardam-Bey的互联网中继聊天(mIRC)、Jabber等。
网络15配置为将一个计算装置耦接至另一计算装置以使它们能够通信。网络15能够采用任何形式的介质用于将信息从一个电子装置传输到另一电子装置。而且,除了对局域网(LAN)、广域网(WAN)、直连(例如通过通用串行总线(USB)端口)、其它形式的计算机可读介质或它们的任何组合的接口之外,网络15还可包括有线接口(例如互联网接口)和/或无线接口(例如蜂窝网接口)。在包括基于不同架构和协议的那些互联的LAN组上,路由器用作LAN之间的链接,使消息能够从一个LAN发送至另一LAN。而且,LAN内的通信链接通常包括双绞线或同轴电缆,而网络之间的通信链接可使用空中移动电话信号、模拟电话线、全部或部分专用数字线路包括T1、T2、T3和T4、数字信号级3(DS3)、光学载波3(OC3)、OC12、OC48、异步传输模式(ATM)、综合服务数字网络(ISDN)、数字用户线路(DSL)、包括卫星链接的无线链接、或者等同的和/或本领域技术人员已知的其它通信链接。另外,远程计算机和其它相关电子装置可通过调制解调器和临时电话链接远程地连接至LAN或WAN。实质上,网络15包括信息可通过其在客户端装置12-14、在线服务16、和/或可疑网络节点17之间行进的任何通信方法。网络15被构造为与包括传输控制协议/互联网协议(TCP/IP)、用户数据电报协议(UDP)、WAP、码分多址访问(CDMA)、全球移动通信系统(GSM)等的各种通信协议一起使用。
如上所述用于在通信链接中传输信息的介质通常包括可通过计算装置访问的任何介质。计算机可读介质可包括计算机存储介质、有线和无线通信介质、或者它们的任何组合。另外,计算机可读介质通常存储和/或承载计算机可读指令、数据结构、程序模块或者可提供给处理器的其它数据。计算机可读介质可包括用于传输经调制的数据信号例如载波、数据信号或者其它传输机制的传输介质,并且包括任何信息传输介质。术语“经调制的数据信号”和“载波信号”包括如下信号,该信号具有一个或多个特性集合或者在该信号中以关于编码信息、指令、数据等方式进行改变。通过示例的方式,通信介质包括无线介质例如声学、RF、红外和其它无线介质,还包括有线介质,例如双绞线、同轴电缆、光纤、波导和其它有线介质。
以下参考图2更详细地描述电子装置的一个实施方式。为了讨论的目的,描述通用客户端计算装置作为示例。然而,在本发明的实施方式中可使用服务器装置、专用装置(例如,移动电话)和/或其它电子装置。在该实施例中,客户端装置20可包括能够连接至网络15以使用户能够与其它网络资源例如客户端装置、门户服务器16、和/或可疑网络节点17通信的任何计算装置。客户端装置20可包括比示出的部件更多的部件。然而,所示的部件足以公开用于实践本发明的示例性实施方式。客户端装置20的许多部件也可在在线服务16的服务器、可疑网络节点17的服务器、和/或其它电子装置中重复。
如附图中所示,客户端装置20包括通过总线23与大容量存储器24通信的处理单元22。大容量存储器24大致包括RAM26、ROM28、和其它存储器件。大容量存储器24示出了一种类型的计算机可读介质,即计算机存储介质。计算机存储介质(也被称为“计算机可读介质”)可包括在用于存储信息例如计算机可读指令、数据结构、程序模块或其它数据的任何方法或技术中实施的易失性和非易失性的、可移动的和不可移动的介质。计算机存储介质的其它示例包括EEPROM、闪速存储器或其它半导体存储技术、CD-ROM、数字通用光盘(DVD)或其它光存储器、磁带盒、磁带、磁盘存储器或其它磁存储装置、或可用于存储所需信息并且可通过计算装置访问的任何其它介质。计算机存储介质可存储瞬时的或非瞬时数据和/或信号。
大容量存储器24存储用于控制客户端装置20的低级别操作的基本输入/输出系统(“BIOS”)30。大容量存储器还存储用于控制客户端装置20的操作的操作系统31。应该理解,该部件可包括通用操作系统例如Windows.TM、UNIX、LINUX.TM等版本。操作系统还可包括虚拟机模块或与虚拟机模块接口,虚拟机模块能够通过应用程序控制硬件组件和/或操作系统运行。
大容量存储器24还包括一个或多个数据存储单元32,数据存储单元32可通过客户端装置20使用以存储除了别的以外的程序34和/或其它数据。程序34可包括可通过客户端装置20执行以实现HTTP处理程序应用的计算机可执行指令,HTTP处理程序应用用于发送、接收和以其它方式处理HTTP通信。类似地,程序34可包括用于处理安全连接的HTTPS处理程序应用,例如以安全方式启动与外部应用的通信。应用程序的其它示例包括调度、日历、网络服务、代码转换器、数据库程序、文字处理程序、电子制表程序等。相应地,程序34可处理网页、音频、视频并能与另一电子装置的另一用户进行电讯通信。
此外,大容量存储器24存储用于消息传送和/或其它应用的一个或多个程序。消息传送客户端模块36可包括计算机可执行指令,计算机可执行指令可在操作系统31的控制下运行以进行电子邮件、短消息、SMS和/或其它消息传送服务。类似地,配置成很像客户端装置20的服务器装置(和/或客户端装置20自身)可包括消息传送服务器模块37,消息传送服务器模块37提供路由、访问控制和/或其它服务器端的消息传送服务。客户端装置20还可包括评估模块38,评估模块38通常评估用于有效发送者、请求和/或其它数据的通信。在一个实施方式中,评估模块38可包括反钓鱼模块,反钓鱼模块与钓鱼网站进行交互以使客户端装置20能够识别钓鱼网站的网络地址,并且可确定该网络地址是否与非法网站关联。另一示例性实施方式包括验证模块,验证模块可检查电子邮件消息、文件下载、重定向和/或其它通信。评估模块38可与其它应用分开地实施、可实施为另一应用(例如浏览器)的插件、可在其它应用(例如电子邮件应用)中直接实施、可实施为服务器应用、和/或其它形式。
客户端装置20还包括用于与输入/输出装置通信的输入/输出接口40,输入/输出装置例如为键盘、鼠标、滚轮、操纵杆、摇杆式开关、小键盘、打印机、扫描机和/或没有在图2中具体示出的其它输入装置。客户端装置20的用户可使用输入/输出装置与可独立于或集成于操作系统31和/或程序34-38的用户接口进行交互。与用户接口的交互包括通过显示器和视频显示适配器42进行视觉交互。
对于一些客户端装置例如个人电脑,客户端装置20可包括用于计算机可读存储介质的可移动介质驱动44和/或永久介质驱动46。可移动介质驱动44可包括光盘驱动、软盘驱动和/或磁盘驱动中的一个或多个。永久或可移动存储介质可包括以用于存储信息例如计算机可读指令、数据结构、程序模块或其它数据的任何方法或技术实现的、易失性的、非易失性的、可移动的和不可移动的介质。计算机存储介质的示例包括CD-ROM45、数字通用光盘(DVD)或其它光存储、磁带盒、磁带、磁盘存储或其它磁存储装置、RAM、ROM、EEPROM、闪存或其它存储技术、或者可用于存储所需信息并可通过计算装置访问的任何其它介质。
通过网络通信接口单元48,客户端装置20可与广域网例如互联网、局域网、有线电话网、移动电话网或其它通信网络,例如图1中的网络15进行通信。网络通信接口单元48有时被认为是收发器、收发装置、网络接口卡(NIC)等。
示例性实施方案
为了使用户更容易地记住网络地址,域名如www.cnn.com与数字IP地址关联。域名有时也称为域名地址(DNA)。可为域名添加附加信息,例如路径,以指定统一资源标识符(URI),URI通常与数字统一资源定位器(URL)关联,URL指定例如标记文件、图像或其它数据的资源的网络位置。中央数据库通常用于维护IP地址与相应域名之间的关联。通常,域名服务器(DNS)、互联网服务提供商(ISP)或其它数据库维护这些关联。在包含互联网的示例性实施方式中,例如互联网名称与数字地址分配机构(ICANN)、互联网地址编码分配机构(IANA)、或其它分配机构的机构维护域名与IP地址之间的关联。所有者名称、国家和/或其它信息也与每个IP地址关联。
多个实施方式能够识别可疑网络节点。例如,本发明的实施方式可识别钓鱼网站。以下描述两个实施例,尽管不限于以下内容。
1.钓鱼网站IP地址—如果钓鱼网站将其IP地址直接提供给顾客,则通过本地数据库或分配权力机构来检查IP地址。通过相对于本地分配数据库或相对于ICANN、IANA或其它分配组织的数据库来询问网站的IP地址,识别网站的所有者。
2.钓鱼网站域名—一般来说,通常不直接提供IP地址。相反,通常提供域名,如www.cnn.com。通过相对于DNS询问域名,可找到相应的IP地址。在相对于本地分配数据库或ICANN、IANA或其它分配机构的数据库询问该IP地址之后,网站的所有者被识别出。本领域技术人员将认识到可通过单个服务进行这两个步骤。
多个实施方式也可用于不同的应用。以下描述三个实施例,尽管不限于以下内容。
A)嵌入式功能—应用程序包括评估文档中链接的嵌入式功能。例如,电子邮件程序、IM程序或文字处理程序包括菜单选择或按钮以激活用于评估消息或文档中链接的嵌入式功能。用户可激活该功能,或者该功能可在检查文档中链接后自动地运行。该功能访问与链接关联的地址,以获得IP地址和端口号。该功能询问本地或远程分配数据库以获得所有者的名称和国家。功能可显示所有者的名称和国家,例如当用户将鼠标指针定位在链接上方时,和/或在预定屏幕位置中。功能可附加地或可替换地将所有者的名称和国家和与域名关联的已知所有者的数据库进行比较。经鼠标越过或在预定屏幕位置中显示警告。
B)浏览器显示--类似地,直接修改浏览器或者通过插件修改,以提供一个或多个新字段,示出与当前URL或浏览器提出的网页关联的IP地址所有者的名称和国家。此外,如果当前域名的所有者与对于该域名的已知所有者的名称和国家不匹配,浏览器可发布视觉、听觉或其它警告。
C)在线服务—用户可通过网页字段提交URL或域名至在线询问服务,并且接收域名所有者的真实名称和国家。在线服务冒险访问URL以获得IP地址。在线服务可将IP地址返回给提交用户的客户端以用于进一步评估。可替换地,在线服务可确定所有者的名称和国家并将该信息与已知的对应于所提交域名的所有者的名称和国家的数据库进行比较。然后,在线服务将所有者的名称和国家发送至提交用户的客户端。如果域名与域名所有者的真实名称和国家不关联,在线服务或客户端网页向用户发布警告。
现提供用于确定所有者和国家的其它细节。通常以授权的方式分配IP地址(例如,用于IPV4或V6)。可通过ISP向用户分配IP地址。ISP通常从本地互联网注册机构(LIR)、从国家互联网注册机构(NIR)、或从一个或多个适当的地区互联网注册机构(RIR)获得IP地址的分配:
AfriNIC(非洲网络信息中心)--非洲地区(http://www.afrinic.net/)
APNIC(亚太地区网络信息中心)--亚洲/太平洋地区(http://www.apnic.net/)
ARIN(美国网络地址注册管理组织)--北美地区(http://www.arin.net/)
LACNIC(拉丁美洲及加勒比地区互联网地址注册管理机构)--拉丁美洲和一些加勒比岛(http://lacnic.net/en/index.html)
RIPENCC(欧洲网络协调中心)--欧洲、中东和中亚(http://www.ripe.net/)
注册机构通常操作维护域名与IP地址之间的关联的服务器。这些服务器有时被称为“whois”服务器。通过询问以上网站服务器的一个或多个,可找到IP地址所有者的名称和国家。可通过使浏览器发送HTTP请求至适当的一个或多个服务器并获得响应来执行询问。可替换地,一个本地数据库例如客户端浏览器数据库,或者其它本地或缓存数据库可包括“whois”服务器的一个或全部数据库,以使询问更加容易且快速。一旦所有者和/或国家被识别出,用户或自动化处理可确定网站是真正的或是钓鱼网站。
类似于DNS数据库,公共whois数据库可能不完全是可靠的。钓鱼网站的所有者可能通过whois注册机构登记以利用注册机构用于它们自身。为了消除该潜在问题,可使用本地数据库来补充或替换来自公共“whois”服务器的信息,以增强对所有者名称的分辨。例如,通过“whois”服务器可能不能明显地识别合法公司名称。补充数据库可连同该公司的IP地址一同提供与该公司有关的更精确的信息,例如唯一码。在另一实施例中,合法金融机构、公司或政府机构可在被添加至该补充数据库之前单独地检验和证实。
在一些情况下,IP地址识别代理服务器、网络地址转换(NAT)服务器、防火墙、和/或其它网络媒介。为了找到潜在钓鱼网站(或其它非法资源)的真实IP地址,网络媒介装置、其所有者、或其它授权实体检查一个或多个媒介映射表、日志文件和/或其它映射数据。通过媒介映射数据,授权实体将时间戳和/或TCP端口号映射至内部IP地址信息。可相对于内部被分配的名称来检查内部IP地址,以确定名称、位置和/或其它内部信息。获得这种内部信息通畅包括来自互联网服务提供商的、来自网络媒介的所有者的、和/或来自其它源的合作。该附加的内部信息可被提供给客户端或者提供至信任的评估装置,以确定网站是否是有效的或者是钓鱼网站。
在一个实施方式中,日志文件或映射数据可具有以下信息用于反向搜索:
1.时间戳
2.内部/本地数据,例如至潜在钓鱼网站的、至潜在黑客的账户的、至内部文件和/或至其它内部资源的内部IP地址。
3.外部网络数据,例如互联网源和/或目的地IP地址、源和/或TCP/UDP端口号、和/或识别对于潜在钓鱼网站、对于潜在黑客账户和/或对于其它源的映射信息的其它数据。例如,媒介网关日志文件可包括源IP地址和源TCP端口号,垃圾邮件通过其发送具有至钓鱼网站的链接的电子邮件。日志文件还可包括电子邮件消息发送的目的地IP地址和目的地端口号。类似地,日志文件可包括媒介网关日志文件,媒介网关日志文件可包括黑客试图通过其访问目的地IP地址和目的地端口号的源IP地址和源TCP端口号。通常,使用端口号80或443。如果这些端口号没有返回,那么链接可能与钓鱼网站关联。相反,如果合法网站故意使用除了80或443之外的端口号,并且返回的端口号为80或443,那么相应链接可能与钓鱼网站关联。
图3示出了用于本发明的一个实施方式的架构、通信序列和方法。可能不需要所示的模块的全部来实践本发明,或者可包括附加的模块来用于其它实施方式。在各个实施方式中,一些模块可组合,而其它模块可分成多个模块。
在该示例性实施方式中,架构包括客户端20a,客户端20a通过公共互联网15a与对应于钓鱼网站的IP地址网络服务器17a进行通信。客户端20a包括与互联网15a通信并与TCP/IP堆栈33通信的操作系统31。TCP/IP堆栈33与网络浏览器34a通信,网络浏览器34a与反钓鱼模块38a通信。反钓鱼模块与网络地址数据库50通信,网络地址数据库50可以是客户端20a中的本地数据库或者可以是通过本地网络或通过互联网15a可用的远程网络数据库,例如网络地址注册数据库。网络地址数据库50通常存储IP地址和域名及其所有者之间的关联。
客户端20a的用户可接收包括链接的电子邮件,或者可查看由浏览器34a提出的网页中的链接。该连接可能显得有效,但是用户可能不能肯定链接的有效性。用户可以将鼠标指针定位在链接上方或者选择该链接。在一个实施方式中,用户可将鼠标指针定位在链接上方并按压鼠标上的右键以选择菜单选项,从而调用用于检查该链接的反钓鱼模块38a。在另一实施方式中,用户可简单地选择链接。以下讨论描述了用户通过网络浏览器34a选择链接的实施方式。然而,本领域技术人应认识到可使用消息传送服务例如电子邮件、和/或其它应用。类似地,本领域技术人应认识到可通过在按压右鼠标按钮时可用的菜单选项来执行对链接的被动检查。
在该示例性实施方式中,在通信步骤101中,浏览器34a检查链接的用户选择并发送用于相应网页的请求。该请求首先被发送至TCP/IP堆栈33以将链接URL解析为IP地址。解析URL可需要访问网络地址注册数据库、互联网服务提供商(ISP)、或将URL与其相应IP地址关联的其它源。然而,来自这种源的IP地址可能被掩饰或者以其它方式误导。而且,通过解析URL不一定获得端口号。为了确保获得真实IP地址和端口号,在通信步骤102中,TCP/IP堆栈33将请求发送至操作系统31a,在通信步骤103中,操作系统使得TCP连接通过互联网连接至可疑网络节点17a。
在通信步骤104中,可疑网络节点17a(例如,其相应服务器)返回被请求的网页。而且,被返回的是钓鱼网站的准确的IP地址和端口号。在通信步骤105中,客户端操作系统31a接收网页、地址和端口号,并将该信息传送至TCP/IP堆栈33。在通信步骤106中,TCP/IP堆栈将网页传送至浏览器34a。在通信步骤107中,浏览器从TCP/IP堆栈请求IP地址和端口号。例如,浏览器可调用GetIPAddressByName对象或GetHostByName对象。在通信步骤108中,TCP/IP堆栈将IP地址和端口号返回至浏览器。
然后,在通信步骤109中,浏览器34a将IP地址、端口号和URL(或域名或主机名称)传送至反钓鱼模块38a。在通信步骤110中,反钓鱼模块使用该信息从数据库50请求所有者名称、国家、和/或其它识别数据(如果有的话)。在通信步骤111中,数据库50将所请求的信息返回给反钓鱼模块38a。反钓鱼模块38a可将该信息直接传送至浏览器34a以显示。然而,在一个实施方式中,反钓鱼模块38a确定所有者名称和国家是否与URL的域名的已知信息匹配。如果没有发现匹配,反钓鱼模块然后在通信步骤112中向浏览器34a发送指令以显示警告。
图4示出了用于本发明的一个实施方式的网页200的屏幕截图。在该实施例中,钓鱼网站伪装成公司例如Paypal公司的官方网站。在浏览器地址字段中示出了全球资源定位器(URL)202。从来路不明的电子邮件通过超链接访问URL。与URL的域名关联的IP地址是68.142.234.59。在浏览器地址字段中示出的域名地址附近显示了关联的IP地址所有者的名称204和国家206。用户、反钓鱼插件和/或其它判断模块可将所有者的名称和国家与域名进行比较以判断真实性。一些比较相对简单。例如,如果IP所有者的名称是未知的组织或人们名字,而域名指示知名的公司,则可以是针对IP所有者是域名的真实所有者的加权决定。类似地,如果IP所有者的国家是具有假冒活动历史或者远离该知名公司的祖国的国家,那么可以是针对IP所有者是域名的真实所有者的进一步加权。IP地址也可简单地与已知的IP地址或者已知公司的地址范围进行比较。加权的信息可导致IP地址不是真实网站而是钓鱼网站的决定。
如图4所示,网页200看似是Paypal公司的网页。IP所有者202显示为Inktomi公司,其是有效的公司。然而,与域名www.paypay.com关联的IP地址是216.113.188.67。大组织可具有许多IP地址,因此可能不清楚IP地址是否被有效组织所有。与URL的IP地址关联的国家206是美国,这也看似是有效的。因此,可使用附加信息。在该实施例中,已知Paypal公司由Ebay公司所有,而不是与Inktomi公司关联。因此,示出的网站有可能是钓鱼网站。在另一浏览器字段中以弹出窗口和/或以其它方式显示可选的警告208。
另一示例性实施方案
在IP网络例如互联网中,两个节点之间的连接或会话通常使用IP地址和TCP/UDP端口号来进行。任一节点知晓其自身以及另一节点的IP地址和端口号。端口通常是至网络节点的末端。端口号通常代表特定通信会话、特定功能、特定资源或该网络节点内的其它身份。端口号通常被分成三个范围:知名端口、注册端口和动态和/或私人端口。知名端口通常通过分配服务例如IANA来分配。注册端口可以可选地注册以用于期望目的。动态或私人端口通常由网络节点使用,以用于经常改变通信和/或用于私人目的。
对于至另一节点的出站连接,客户端使用另一节点的IP地址和端口号。对于入站连接,例如至客户端,请求将识别其IP地址和端口号。如果使用媒介节点,例如互联网服务提供商服务器,媒介节点将通常知晓每个节点的IP地址和端口号。例如,服务器将通常知晓请求节点和客户端节点的IP地址和本地端口号,使得媒介节点可中继请求节点与客户端节点之间的通信。
类似地,对于下载由服务器或客户端发起的文件,IP地址和端口号是已知的。例如,如果下载是来自网站或其它网络服务,如上所述,可通过公共或本地分配数据库来确定提供文件的网络节点的IP地址和端口号。在一些情况下,IP地址和端口号可以是有效的、可信网络节点的IP地址和端口号。然而,黑客可访问可信节点并试图分布病毒或其它不可取文件。在这种情况下,本发明的实施方式评估通信的载荷。在一个实施方式中,评估模块评估数据包的载荷以相对于指示可允许数据的分类标识符来确定并检查载荷数据。在另一实施方式中,评估模块评估待传送文件的整体文件扩展、文件作者、创建日期和/或其它特性,以判断文件是否应被阻塞和/或是否发布警告。例如,从信任网络节点下载新文档但是不下载可执行代码可以是可接受的。一个或多个分类码可与每个信任节点的IP地址和端口号关联,以指示被允许的那些类型的载荷数据、下载文件或其它数据。
IP地址、端口号和分类码被存储在文件、数据库和/或指示为有效的和/或以其它方式信任的网络节点和文件的其它数据源中。这种数据源在本文中有时被称为白名单。白名单通常不同于黑名单,黑名单特别地识别待阻塞或以其它方式不被信任的地址、节点、数据源或其它信息。例如,用于本发明的某些实施方式的白名单不包括用于任何未授权网络节点或任何匿名代理服务器的IP地址。
白名单可以是IANAWHOIS数据库的子集。其可仅识别合法金融机构、良好信誉网站、良好信誉下载网站、良好信誉反病毒公司网站和/或其它服务提供商的网络节点。这种服务提供商可包括ISP。因此,可在安装期间或其它过程中修改白名单,以包括与一个或多个互联网服务提供商关联的IP地址和其它信息。服务提供商可能需要访问客户端设备、客户端节点可能需要访问的其它互联网节点、或者允许访问用于特定功能的某一装置的一些其它网络节点。此外,白名单可包括地址所有者的名称、域名、分类号和其它信息。白名单可存储在客户端处、在提供文件的服务器处、在通信中的媒介节点处、或者在不是两个端节点之间的通信的直接方的中立节点处。在单个或多个节点处可使用多个白名单,以容纳被掩饰的网络地址、代理服务器等。例如,多个白名单可分布至多个路由器或其它节点,以在消息、网页或其它通信沿着通信路径移动时执行媒介检查。
本发明的实施方式可实现为提供多层安全性。顶层是IP地址。第二层是端口号。第三层是分类。其它层可与通信的其它方面关联。根据应用需求,实施方式可应用不同级别的评估。一个实施方式可以通过相对于信任IP地址检查白名单仅执行第一层评估。对于更高安全性,实施方式可检查全部三层。管理员可在评估模块中设置评估级别。
白名单中的其它信息可包括安全等级,其用于指示是否需要用户交互。例如,对于最高安全等级,评估模块将自动执行其评估并作出所有决定。对于另一安全等级,可能需要用户交互以允许通信、文件下载、或者与可疑网站节点关联的其它动作。对于最低等级,评估模块可自动地阻塞通信、文件下载或其它访问。附加地或可替换地,安全等级可在检查通信的同时确认或单独地确定。例如,如果IP地址、端口号和分类码与白名单中的那些匹配,评估模块可指示高安全等级。如果IP地址和端口号匹配,但是分类码不匹配,评估模块可确定中间安全等级,并请求用户关于如何进行的指令。如果IP地址和端口号都与白名单中的那些不匹配,评估模块可确定为最低安全等级。评估模块和/或其它应用可根据安全等级进行不同动作。
存在评估模块可识别高风险网络节点的多个场景。尽管不限于以下内容,一些实施例包括:
1.对于出站连接请求,如访问网站、FTP(文件传输协议)站点、或其它网络节点,检查目的地节点的IP地址和端口号。如果目的地节点的IP地址和端口号不在白名单中,或者以其它方式被视为高风险,评估模块可阻止连接、提供警告、需要用户批准、需要目的地节点的附加验证、或者执行另一预定动作。如果用户将批准连接,目的地节点的IP地址、端口号、和/或其它信息将被添加至白名单。
2.对于入站连接请求,相对于白名单检查请求节点的IP地址和本地装置端口号。这可阻止入侵者、黑客或其它未授权用户获得对于接收装置的访问。接收装置(或中间节点)可拒绝连接、提供警告、需要用户批准、需要请求节点的附加验证、或者执行预定动作。如果用户将批准连接,则请求者节点的IP地址、端口号、和/或其它信息将被添加至白名单。
3.对于文件传输,可在下载文件之前检查源节点。相反,可在文件被发送至可疑节点之前检查目的地节点。如上所述,可相对白名单检查IP地址、端口号和文件类型。类似于连接场景,评估模块可阻止文件传输、需要用户批准、需要请求节点的附加验证、或者执行另一预定动作。如果用户将批准连接,则可疑节点的IP地址、端口号、和/或其它信息将被添加至白名单。文件扩展名也将与相应IP地址、端口号、和/或其它信息一同被存储为分类。
图5示出了用于本发明的另一实施方式的架构、通信序列和方法。可不需要所示模块的全部来实践本发明,或者可包括附加模块以用于其它实施方式。在多个实施方式中,一些模块可组合,而其它模块可划分成多个模块。关于以下架构讨论示例性场景。
在该示例性实施方式中,架构包括客户端20b,客户端20b通过公共互联网15b与对应于网站、FTP站点或其它互联网服务的网络节点317的IP地址进行通信。客户端20b包括与互联网15b通信并与TCP/IP堆栈333通信的操作系统31b。TCP/IP堆栈333与互联网网络应用34b通信,互联网网络应用34b与授权模块38b通信。互联网网络应用34b可以是可用于阻止包含黑客、病毒或其它不受欢迎实体通信的电子邮件应用或其它应用。授权模块与本地数据库350通信,本地数据库350可包含在客户端20b中或者与客户端20b通信。本地数据库350通常包括白名单,其存储IP地址、TCP/IP端口号、分类、安全等级、域名、它们的所有者和/或其它数据之间的关联。
示例性场景1:出站连接
在该示例性实施方式中,客户端20b的用户可发起互联网连接,例如连接至网站。在通信步骤301中,互联网网络应用34b检查用于连接的用户请求。该请求首先被发送至TCP/IP堆栈333以将域名或URL解析为IP地址。解析域名可能需要访问DNS。然而,来自DNS的IP地址可能被掩饰或者以其它方式误导。在通信步骤302中,TCP/IP堆栈333将请求发送至操作系统31b,在通信步骤303中,操作系统使得TCP连接通过互联网连接至网络节点317。
在通信步骤304中,网络节点317(例如,网站的相应服务器)返回请求。而且,被返回的是网络实体的正确IP地址和端口号。在通信步骤305中,客户端操作系统31b接收IP地址和端口号,并将该信息传送至TCP/IP堆栈333。在通信步骤306中,TCP/IP堆栈传送控制至应用34a。应用程序可确定从接网络节点317收的任何文件或其它数据的分类码。在通信步骤307中,应用从TCP/IP堆栈请求IP地址和端口号。例如,网络应用可调用GetIPAddressByName对象或GetHostByName对象。在通信步骤308中,TCP/IP堆栈将IP地址和端口号返回给应用。
然后,在通信步骤309中,网络应用34b将IP地址、端口号、分类码和其它信息传送至授权模块38b。授权模块使用该信息检查数据库350。在通信步骤310中,授权模块可将具有IP地址、端口号、分类码和其它信息的搜索请求发送至数据库350。数据库350执行搜索以判断IP地址和其它信息是否包含在信任信息的白名单中。数据库350也可确定与IP地址关联的所有者、国家、安全码和/或其它信息。在通信步骤311中,数据库350将经请求的信息返回给授权模块38b。授权模块38b可将该信息直接传送至网络应用34b。基于IP地址和端口号是否在白名单中,授权模块可在步骤312中发送指令以关闭连接、丢弃所接收的信息、发出警告消息、等待用户决定和/或其它预定动作。
示例性场景2:入站连接
在通信步骤304中,网络节点317可请求连接至客户端20b。客户端操作系统31b接收该请求,其包括网络节点317的IP地址和端口号。请求通常还包括网络应用34b的端口号,以将网络应用34b识别为网络节点期望接触的资源。请求还可包括文件名称或者与网络节点期望的数据有关的其它信息。在通信步骤305中,操作系统将该信息传送至TCP/IP堆栈333。在通信步骤306中,TCP/IP堆栈将该信息传送至互联网网络应用34b。
然后,在通信步骤309中,网络应用34b将IP地址、端口号和其它信息传送至授权模块38b。授权模块可确定用于由网络节点317请求的任何信息的分类码。授权模块使用该信息来检查数据库350。在通信步骤310中,授权模块可向数据库350发送具有IP地址、端口号、分类码、和其它信息的搜索请求。数据库350执行搜索以判断IP地址和其它信息是否包含在信任信息的白名单中。数据库350也可确定与IP地址关联的所有者、国家、安全代码、和/或其它信息。在通信步骤311中,数据库350将经请求的信息返回给授权模块38b。授权模块38b可将该信息直接传送至网络应用34b。基于IP地址和端口号是否在白名单中,授权模块可在步骤312中发送指令以关闭连接、拒绝所接收的信息、发出警告消息、等待用户决定和/或预定动作。
示例性场景3:消息传送
如果网络应用34b是消息传送服务,例如电子邮件客户端如MicrosoftOutlook.TM,其可检查接收到的电子邮件报头。在报头中,存在具有发送电子邮件服务的IP地址和端口号的“ReceivedFrom”字段。报头可包括其它信息,例如与抄送件(CC)接收者关联的装置的IP地址、所接收的电子邮件的任何附件的指示和/或其它数据。网络应用34b可确定任何所附文件的分类码。然后,在通信步骤309中,网络应用将IP地址、端口号和其它信息传送至授权模块38b。授权模块使用该信息判断电子邮件发送者是否被信任。具体地,在通信步骤310中,授权模块在搜索请求中将IP地址和端口号(以及分类码,如果有的话)发送至数据库350。数据库在白名单中检查IP地址和端口号。数据库还可获取域名、电子邮件功能代码、安全等级、和/或其它数据(如果有的话)。在通信步骤311中,数据库350将其搜索的结果返回给授权38a。授权模块38b可将该信息直接传送至电子邮件网络应用34b。基于IP地址和端口号是否在白名单中,授权模块可在步骤312中发送指令来删除电子邮件、重定向电子邮件(例如,至垃圾文件夹)、发送警告、等待用户指令、和/或其它动作。
更详细地,本发明的示例性实施方式可包括使用简单邮件传输协议(SMTP)的互联网电子邮件系统。对于互联网电子邮件,使用SMPT传送或获得邮件。这通常可通过媒介邮件服务器来进行。当接收电子邮件时,邮件服务器将接收发送邮件客户端的IP地址和TCP/UDP端口号。邮件服务器将发送者的IP地址添加到电子邮件报头的“ReceivedFrom”字段。如上所述,可验证IP地址。
这种验证的另一实施方式也可包括通过邮件服务器的反向DNS查找,以证实电子邮件发送者的域名。注意到一些邮件服务器使用域信息以阻塞垃圾电子邮件。垃圾邮件阻塞可使用域信息来检查邮件服务器域和/或客户端发送者的域。然而,如上所述,域信息可能被掩饰。通过或不通过DNS查找,本发明的实施方式通过相对于白名单数据库检查电子邮件的实际IP地址来验证电子邮件。然而,可通过从电子邮件报头中的IP地址信息获取的域信息来检查附加信息,例如所有者和国家。可通过使用域查找以确保接收到的IP地址与接收到的电子邮件地址中指示的域关联,来获得额外信任。例如,验证模块可使用来自电子邮件报头的IP地址来搜索白名单、或域分配服务已确定与IP地址关联的域名。然后,授权模块可将经确定的域名与在电子邮件消息的“ReceivedFrom”字段中指定的域名进行比较。如果域名不匹配,则消息可能是非法的。甚至如果来自消息的IP地址和端口号与白名单中的那些匹配,不同的域名也可能指示黑客访问信任网络节点,并且正使用该信任网络节点用于垃圾消息或其它不受欢迎的活动。
如果电子邮件已通过另一SMTP服务器转发/中继,接收者电子邮件客户端也将检查转发/中继邮件服务器是否是可靠的。如果电子邮件报头不完整或者转发/中继邮件服务器不可用于识别发送者,授权模块可删除电子邮件、或进行以上讨论的其它动作。
而且,对于SMTP电子邮件,发送者使用电子邮件域,如xxxxmsn.com。仅通过域名,通常不容易识别该电子邮件是否来自普通MSN用户或来自MSN内重要组织的成员,例如会计或行政部门。能够确定细节级别是金融机构或其它组织可能希望具有的功能。
为了解决这个问题,发送电子邮件服务器可建立用于某一部门的多个IP地址。一些IP地址可用于普通用户。其它IP地址可用于特殊用户和/或其它特殊目的。以此方式,金融机构或其它组织可将金融信息电子邮件发送至他们的顾客。附加地或可替换地,TCP/IP端口可用用于支持该功能。这是有用处的,如果有限的IP地址可用于互联网邮件服务。在另一实施方式中,子组织代码可包括在通信中和/或添加至白名单数据库以识别电子邮件的子组织或其它分类。类似地,功能代码可包括在通信中和/或添加至白名单数据库,以指示用于通信的目的。顾客的客户端装置可使用本发明的实施方式来验证发送者,并检查用于可接受组织的代码和/或功能代码,其可将有效电子邮件与钓鱼电子邮件区分开。
正如警告显示钓鱼网站,电子邮件客户端可提供显示字段。电子邮件客户端也可提供菜单选项以控制确认。当用户接收电子邮件时,菜单选项和/或显示字段使用户能够识别电子邮件发送者、子组织、和/或其它功能/数据。在一个实施方式中,接收者电子邮件客户端自动将发送者的IP地址、端口号和域名与本地白名单数据库进行比较。如果发送者的IP地址(例如,如基于电子邮件中的FROM或RECEIVED字段确定)、端口号、和/或域名不在数据库中,或者与数据库中的那些条目不同,则使用显示字段指示电子邮件可能实际不来自电子邮件地址中显示的发送者。可替换地,用户可激活菜单选项来执行此检查、显示与电子邮件或发送者有关的信息、和/或进行其它操作。
在一些实施方式中,除了已知组织IP地址之外,白名单具有以下特征中的一种或多种。所描述的白名单的核心优势在于双向通信(例如,作为TCP/IP会话的一方)中使用的IP地址难以伪造或不可能伪造。虽然攻击者或其它方可能欺骗数据包中的源IP地址,但是这种电子欺骗通常不能在TCP/IP上下文中使用,在TCP/IP上下文中双向通信对于构建会话是必要的。因此,通过使用从网络堆栈获得的IP地址,所描述的技术可识别具有高度可信度的可疑网络通信。
此外,白名单提供相对黑名单的优势在于,一旦可疑IP地址被添加至黑名单,该IP地址的未授权用户可仅将它们的攻击移动至以不同IP地址操作的不同的操作系统。在犯罪组织操作失密机的整个网络的世界中,这些组织将其未授权活动(例如,发送垃圾邮件)从一个机器转至另一机器是不重要的。
所描述的技术也可在给定计算系统内的多个不同级别处运作。例如,所描述的技术可使用从操作系统内核、网络堆栈和应用接收或获得的信息。例如,授权模块38b(图5)可使用从应用级别(例如,从电子邮件客户端接收的电子邮件报头字段)、网络级别(例如,从TCP/IP堆栈接收的IP地址)以及操作系统(例如,从操作系统内核接收的允许设置)接收的信息。
而且,所描述的技术提供用于在计算系统的不同级别处实现安全性的基础设施或框架。例如,白名单或类似结构可包含用于在操作系统内核、网络堆栈和一个或多个应用中实现安全性或验证设施的信息或特性。
白名单可包含与地理信息关联的IP地址。一类地理信息是基于已分配特殊IP地址的地区互联网注册机构。如上所述,通过地区互联网注册机构例如ARIN、APNIC、LACNIC、AfriNIC、RIPENCC等分配IP地址。给定一个IP地址,能够确定哪个地区互联网注册机构分配IP地址,并由此确定与IP地址关联的地区(例如,大陆国家)。地区注册机构还可支持将提供与IP地址关联的国家或更详细的地理信息,例如国家、州或城市的查询。地理信息的其它源包括whois数据库和配置为提供细粒度的地理信息(包括国家、州、城市、纬度/经度、邮政编码、区域码等)的商业或公共地理定位服务,
地理信息可用于限制访问特定地区中的用户。例如,政府可限制访问位于该政府的国家或管辖权中的IP地址。作为另一实施例,用于特定地区的IP地址可标记为危险,例如基于来自该地区操作的计算机犯罪的高级别。作为另一实施例,电子商务计算系统(例如,银行系统、在线购物系统)可以仅允许顾客通过与顾客所在的相同地理区域(例如,城市、州、国家)关联的IP地址访问。例如,如果特殊顾客居住于西雅图,特殊的电子商务系统可仅允许通过分配给华盛顿州或美国的IP地址访问顾客的账户。而且,对于高度安全组织例如政府或军队,组织可仅允许某些地理位置访问并阻塞其它位置(例如,中国)。
白名单可在不同的实施方式中具有不同的形式。白名单可存在于公共互联网和/或私人内部网络上。白名单可以类似于在公共互联网上采用的方式为私人内部网络创建。例如,银行可具有将顾客内部IP地址与特定银行账户关联的白名单。在消费者侧,银行账户持有者可具有包括银行的计算系统的内部IP地址的白名单。而且,可在单个装置上存在多个名单。例如,一个白名单用于入站数据量,另一个用于出站数据。此外,每个网络接口卡(NIC)可具有其自己的白名单。此外,白名单可静态地(例如,预定地)或动态地生成。例如,对于网站,可基于接入的IP地址信息生成动态名称。然后,可基于该名单比较稍后的访问,使得可指示可疑通信,例如当网站URL解析出与存储在名单中的IP地址不同的IP地址。
示例性白名单可包含以下表1中描述的字段或特性中的一个或多个。每个字段指示一个或多个可允许通信特性,例如,允许的通信方向(例如,上传或下载、发送或接收)、允许的通信时间段(例如,在8AM与11PM之间)、允许的程序/过程(例如,互联网浏览器)等。在其它实施方式中,表也可以或替代包括不允许通信特性的指示,例如不允许通信的时间段(例如,在午夜与4AM之间)、不允许通信端口(例如,常用于HTTP的端口80)等。
表1
以上字段可以各种方式组合。例如,参考图1,当客户端12、13、或14发起出站连接时,其可检查进程名称、访问时间窗口、批/交互处理、目的地IP地址、URL/URI或域名(如果有的话)、安全等级、上传/下载、分类码或载荷类型中的一种或多种。在一些实施方式中,如果这些项中的任一个与白名单中的相应条目/字段不匹配,则可不允许连接。在其它实施方式中,例如可通过呈现弹出窗口/对话、发送描述可疑通信的消息(例如,电子邮件)等向用户通知。
作为另一实施例,当客户端12、13或14接收入站连接时,其可检查远程装置的IP地址和端口号、服务该连接(例如,在端口上监听)的程序(进程名称)、访问时间窗口、批或交互处理、URL/URI或域名(如果有的话)、安全等级、上传/下载、分类码或载荷类型中的一种或多种。
白名单还可包括通常识别例如具有良好安全实践的知名公司的安全系统或服务的条目。对于这些系统(例如,通过IP地址或域名来识别),可以安全地允许访问、下载或上传任何类型的数据。
如果装置已被恶意代码例如病毒感染,所描述的技术可通过检查程序名称(例如,进程名称)、访问时间窗口、载荷类型、批或交互模式来阻止病毒访问网络上传重要信息。这可阻止病毒扩散至其它装置。如果病毒正试图打开已在可允许进程表上访问在线电子邮件账户以发出数据的另一程序如网络浏览器,则访问时间窗口和批模式检查仍可通过例如不允许所有批模式网络浏览器程序来停止。
在一些实施方式中可以以下方式检查恶意或可疑电子邮件。首先,与电子邮件客户端关联的授权模块可从电子邮件报头中的FROM字段提取源电子邮件地址(例如,sourcehostname.net)。在恶意电子邮件中,源电子邮件地址通常被伪造,使其看似来自友好或其它已知方。然后,授权模块通过例如对从源电子邮件地址提取的主机名称(例如,hostname.net)执行域名查找基于源电子邮件地址,来确定第一IP地址。接下来,授权模块将从电子邮件报头中RECEIVED字段提取第二IP地址。RECEIVED字段通常由接收者的SMTP服务器插入并且包括发送者的SMTP服务器的实际源IP地址。然后,授权模块将第一IP地址与第二IP地址进行比较以进行匹配。如果它们不匹配,则电子邮件可能不是真实的,并且发送者伪造了源电子邮件地址,可进行适当的动作,例如通知用户拒绝打开电子邮件、使其不能呈现图像、标记语言、或代码等。
图6是示出网络通信评估器处理600的流程图。该过程可通过例如由计算系统20(图2)执行的评估模块38的模块来执行。
过程开始于块602,其访问指定用于信任网络地址的可允许通信特性的白名单。访问白名单可包括接收、询问、搜索或以其它方式处理白名单。在一些实施方式中,白名单包括行或条目,该行或条目均包括与例如以上在表1中描述的那些一个或多个可允许网络通信特性的指示关联的信任网络地址。
在块604中,过程确定与网络通信对应的IP地址。确定IP地址可包括从计算系统中的TCP/IP堆栈或其它通信模块请求IP地址。IP地址可以是源或目的地IP地址。典型地,如果通信是入站连接,将检查源IP地址,如果通信是出站,则将检查目的地IP地址。在其它场景中,可以其它方式例如通过与网络通信关联的域名询问DNS服务器来确定IP地址。例如可参考URL、电子邮件消息、电子邮件地址等来确定域名。
在块606中,过程确定与网络通信关联的第一通信特性。确定第一通信特性包括例如确定表1中描述的特性之一。例如,过程可确定以下特性,例如时刻、通信的方向性、数据载荷的类型等。过程可通过例如针对IP地址询问地理定位信息服务,并且响应与IP地址关联的位置(例如,城市、州、国家、邮政编码)的指示接收来确定与网络通信关联的地理位置。
在块608中,过程确定通过白名单与IP地址关联的可允许通信特性的第二通信特性。确定第二特性可包括在白名单中查找IP地址,并获取与IP地址关联的且对应于第一通信特性的通信特性。例如,如果第一通信特性为时刻,过程可在白名单中查找可允许通信时间段。如果第一通信特性是地理位置,过程可在白名单中查找可允许地理位置。
在块610中,过程判断第二通信特性是否包含第一通信特性。判断第二通信特性是否包含第一通信特性可包括判断第二特性是否附有或包含第一特性。例如,如果第二特性是可允许国家(例如,华盛顿州),那么在第一特性(例如,华盛顿州、西雅图、US邮政编码)相同或位于可允许国家内的情况下,第一特性被国家包含。类似地,如果第二特性是可允许时间段(例如,处于6AM与11PM之间),那么在第一特性(例如,10PM)处于该时间段内的情况下,第一特性被时间段包含。
在一些实施方式中,判断第二通信特性是否包含第一通信特性包括判断两个特性是否匹配。匹配特性可包括执行等同测试,例如两个字符串、数量或其它数据类型之间的相等性。在一些情况下,匹配可以是严格相等测试,而在另一些情况下,近似就可足够,例如在不敏感字符串匹配的情况中。
在块612中,过程提供网络通信的可允许性的指示。提供可允许性的指示可包括通知用户(例如,通过对话框或弹出窗口)、发送消息(例如,电子邮件)、在日志中记录指示、将某一值返回给另一过程或代码块等。
一些实施方式可提供附加或可替换功能。一个实施方式执行用户验证,例如可出现在网络上下文中。现有的验证方案使用用户名/密码组合。一些实施方式还可结合用户名/密码组合方案使用上述技术中的一种或多种。例如,一些实施方式除了用户名和密码之外可检查IP地址。由于IP地址在网络上分配且是唯一的,所以不容易假装成其它。因此,如果黑客已偷取用户的用户名和密码,他将不能攻入账户,因为她/他没有正确的IP地址。端口号和其它特性(例如,时刻、地理地区)也可包括在验证方案中。注意到,这些特性中的一些但不是全部可在没有用户的交互、干预或参与的情况下确定。例如,IP地址可参考TCP/IP堆栈而直接确定。
而且,当前互联网服务提供商可使用网络地址转换(NAT)或代理服务,使得许多用户可共享相同的IP地址。一些实施方式通过使用分配与通过NAT/代理模块管理的内部IP地址对应的静态TCP端口号的NAT/代理服务(例如,由路由器或网关提供),使得每个内部IP将具有相同的外部IP地址,但具有唯一且可识别的端口号。
一些实施方式将图6的过程扩展为以下附加操作:从计算系统的TCP/IP堆栈接收第一IP地址和端口号;接收与网络通信关联的统一资源定位器(URL)/统一资源标识符(URI);通过相对于将所有者名称与IP地址关联的分配数据库查询从TCP/IP堆栈接收的第一IP地址来确定与第一IP地址关联的第一名称;通过相对于将所有者名称与域名关联的分配数据库询问与网络资源关联的URL/URI的域名来确定与URL/URI关联的第二名称;以及基于第一IP地址和端口号被包括在信任网络地址的预定白名单中并且基于第一名称是否与第二名称匹配,设定通信操作是允许的或是不允许的指示器。
一些实施方式提供用于控制通信的系统,包括:通信接口,用于与网络资源进行通信,所述通信接口包括TCP/IP堆栈;存储器,用于存储指令;以及处理器,与所述通信接口和所述存储器通信,其中所述处理器被配置为通过执行以下步骤来评估网络通信:接收信任网络地址的预先定义的白名单,所述白名单不包括用于任何未经证实的网络节点的地址,但是对于每个信任网络地址包括可允许通信特性的一个或多个指示;确定与所述网络通信对应的第一互联网协议(IP)地址;确定与所述网络通信关联的第一通信特性;确定第二通信特性,所述第二通信特性为通过所述白名单中与所述第一IP地址对应的条目所指定的可允许通信特性;通过确定所述第二通信特性是否包含所述第一通信特性,相对于所述白名单来评估所述网络通信;响应于确定所述第二通信特性没有包含所述第一通信特性,设定所述网络通信是不允许的指示器;以及响应于确定所述第二通信特性包含所述第一通信特性,设定所述网络通信是允许的指示器。
本文中参考的所有文献整体通过引用并入本文中,这些文献包括但不限于以下相关申请:于2007年2月28提交的标题为“评估可疑网络通信”的第No.11/712,648号美国申请,现为美国专利No.8,621,604;于2006年9月6日提交的标题为“识别用于验证的网络地址源”的第No.11/470,581号美国申请;于2005年9月6日提交的标题为“识别用于验证的网络地址源”的第No.60/714,889号美国临时申请;以及于2006年3月17日提交的标题为“识别用于验证的网络地址源”的第No.60/783,446号美国临时申请。
以上说明、示例和数据提供了对制造和使用本发明的组成部分的完整描述。例如,数字证书可用于验证、加密可用于通信,并且可包括其它特征。然而,其它实施方式将对本领域技术人员是清楚的。由于可在不偏离本发明的精神和范围的情况下进行本发明的许多实施方式,所以本发明存在于所附的权利要求中。
Claims (15)
1.一种计算系统中用于控制通信的方法,包括:在计算系统中,通过以下步骤来评估网络通信:
接收信任网络地址的预先定义的白名单,所述白名单不包括用于任何未授权的网络节点的地址,但是对于每个信任网络地址包括可允许通信特性的一个或多个指示,其中所述可允许通信特性包括可允许地理位置的指示、可允许程序的指示、可允许访问时间的指示、可允许用户的指示、可允许数据类型的指示、以及可允许访问控制的指示中的多个;
确定与所述网络通信对应的第一互联网协议(IP)地址;
确定与所述网络通信关联的第一通信特性;
确定第二通信特性,所述第二通信特性为通过所述白名单中与所述第一IP地址对应的条目所指定的可允许通信特性;
通过判断所述第二通信特性是否包含所述第一通信特性,相对于所述白名单来评估所述网络通信;
响应于确定所述第二通信特性没有包含所述第一通信特性,设定所述网络通信是不允许的指示器;以及
响应于确定所述第二通信特性包含所述第一通信特性,设定所述网络通信是允许的指示器。
2.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括可允许地理位置的指示,以及所述方法还包括:
通过询问地理定位信息提供者,确定与所述第一IP地址关联的地理位置;以及
判断与所述第一IP地址关联的所述地理位置是否与通过所述白名单中的所述条目被指示为可允许的地理位置匹配,或者判断由所述白名单中的所述条目被指示为可允许的所述地理位置是否包含与所述第一IP地址关联的所述地理位置。
3.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括被允许通过所述网络地址通信的程序的指示,所述程序的指示包括程序名称和/或程序代码的散列,所述方法还包括:
确定在所述计算系统上执行且参与所述网络通信的通信程序;以及
判断所述通信程序是否与被指示为所述白名单中的所述条目允许的程序匹配。
4.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括可允许访问时间的指示,所述方法还包括:
确定所述网络通信发生的时间;以及
判断经确定的时间是否与被指示为所述白名单中的所述条目允许的访问时间匹配,或者被指示为所述白名单中的所述条目允许的访问时间是否包含所述经确定的时间。
5.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括可允许用户的指示,所述方法还包括:
确定与所述网络通信关联的用户;以及
判断经确定的用户与被指示为所述白名单中的所述条目允许的用户是否匹配,或者被指示为所述白名单中的所述条目允许的用户是否包含所述经确定的用户。
6.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括可允许数据类型的指示,所述可允许数据类型为可执行代码、脚本、宏、音频、视频、图像和文本中的一种,所述方法还包括:
确定与通过所述网络连接传输的数据对应的数据类型;以及
判断经确定的数据类型与被指示为所述白名单中的所述条目允许的数据类型是否匹配。
7.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括非交互性程序是否被允许通过所述网络地址通信的指示,所述方法还包括:
确定在所述计算系统上执行的且参与所述网络通信的通信程序;以及
确定所述通信程序是以交互模式还是以非交互模式操作。
8.如权利要求1所述的方法,还包括通过以下步骤来评估具有RECEIVED报头字段和FROM报头字段的电子邮件消息的真实性,所述RECEIVED报头字段通过接收者SMTP服务器插入,所述FROM报头字段指定在发送者系统被插入的源电子邮件地址:
基于所述RECEIVED报头字段确定所述第一IP地址;
基于所述源电子邮件地址通过执行域名查找来确定第二IP地址;以及
判断所述第一IP地址与所述第二IP地址是否匹配,以及在不匹配的情况下,设定所述电子邮件消息具有伪造源地址的指示。
9.如权利要求1所述的方法,其中所述网络通信发生在内部网络内,以及其中所述第一IP地址是所述内部网络的IP地址。
10.如权利要求1所述的方法,其中所述网络通信通过传入的TCP/IP连接请求而启动。
11.如权利要求1所述的方法,其中所述网络通信通过传出的TCP/IP连接请求而启动。
12.如权利要求1所述的方法,其中对于所述白名单中的每个网络地址,所述白名单中的所述可允许通信特性包括可允许用户和访问控制的指示,所述方法还包括:
确定与所述网络通信关联的用户;
确定与所述网络通信关联的用户访问控制权限;
确定用户IP地址和/或端口号;以及
判断经确定的用户、经确定的用户访问控制权限以及经确定的用户IP地址/端口号是否匹配,或者是否被所述白名单中的所述条目所包含。
13.如权利要求1所述的方法,其中所述第一IP地址是与客户端计算装置关联的IP地址,以及其中评估所述网络通信的步骤包括:
判断所述第一IP地址通过所述白名单是否与对应于所述客户端的标识符关联;以及
判断与所述第一IP地址关联的地理位置是否被通过所述白名单与所述第一IP地址关联的地理位置所包含。
14.一种非瞬时性计算机可读介质,包括用于使计算装置执行如权利要求1-13中任一项所述的方法的可执行指令。
15.一种用于控制通信的系统,包括:
通信接口,用于与网络资源进行通信,所述通信接口包括TCP/IP堆栈;
存储器,用于存储指令;以及
处理器,与所述通信接口和所述存储器通信,其中所述处理器被配置为通过执行如权利要求1-13中任一项所述的方法来评估网络通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/967,155 US9015090B2 (en) | 2005-09-06 | 2013-08-14 | Evaluating a questionable network communication |
| US13/967155 | 2013-08-14 | ||
| PCT/US2014/031244 WO2015023316A1 (en) | 2013-08-14 | 2014-03-19 | Evaluating a questionable network communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105580333A true CN105580333A (zh) | 2016-05-11 |
Family
ID=52468562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480052461.1A Withdrawn CN105580333A (zh) | 2013-08-14 | 2014-03-19 | 评估可疑网络通信 |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP3033865A4 (zh) |
| JP (1) | JP2016532381A (zh) |
| KR (1) | KR20160044524A (zh) |
| CN (1) | CN105580333A (zh) |
| BR (1) | BR112016003033A2 (zh) |
| CA (1) | CA2921345A1 (zh) |
| WO (1) | WO2015023316A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107154926A (zh) * | 2017-03-22 | 2017-09-12 | 国家计算机网络与信息安全管理中心 | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
| CN108777709A (zh) * | 2018-05-31 | 2018-11-09 | 康键信息技术(深圳)有限公司 | 网站访问方法、装置、计算机设备和存储介质 |
| CN109313676A (zh) * | 2016-09-23 | 2019-02-05 | 惠普发展公司,有限责任合伙企业 | 基于安全级别和访问历史的ip地址访问 |
| CN109714242A (zh) * | 2017-10-25 | 2019-05-03 | 北京二六三企业通信有限公司 | 垃圾邮件的识别方法和装置 |
| WO2019134333A1 (zh) * | 2018-01-08 | 2019-07-11 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN110431817A (zh) * | 2017-03-10 | 2019-11-08 | 维萨国际服务协会 | 识别恶意网络设备 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| CN110995576A (zh) * | 2019-12-16 | 2020-04-10 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN111788813A (zh) * | 2017-06-07 | 2020-10-16 | 关连风科技股份有限公司 | 网络系统 |
| CN112688939A (zh) * | 2020-12-23 | 2021-04-20 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
| US11363060B2 (en) * | 2019-10-24 | 2022-06-14 | Microsoft Technology Licensing, Llc | Email security in a multi-tenant email service |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6609233B2 (ja) * | 2016-09-20 | 2019-11-20 | 株式会社日立ソリューションズ | 不審通信制御方法、不審通信制御装置及び不審通信制御システム |
| JP6761181B2 (ja) * | 2017-02-13 | 2020-09-23 | 富士通株式会社 | ポリシー設定装置、ポリシー設定方法およびポリシー設定プログラム |
| US10601866B2 (en) | 2017-08-23 | 2020-03-24 | International Business Machines Corporation | Discovering website phishing attacks |
| US10833922B2 (en) * | 2017-09-12 | 2020-11-10 | Synergex Group | Methods, systems, and media for adding IP addresses to firewalls |
| US11102207B2 (en) * | 2017-11-21 | 2021-08-24 | T-Mobile Usa, Inc. | Adaptive greylist processing |
| US11606372B2 (en) | 2017-12-19 | 2023-03-14 | T-Mobile Usa, Inc. | Mitigating against malicious login attempts |
| JP2019125915A (ja) * | 2018-01-17 | 2019-07-25 | 三菱電機株式会社 | ビル管理システム |
| US11188622B2 (en) * | 2018-09-28 | 2021-11-30 | Daniel Chien | Systems and methods for computer security |
| US10552639B1 (en) | 2019-02-04 | 2020-02-04 | S2 Systems Corporation | Local isolator application with cohesive application-isolation interface |
| US11880422B2 (en) | 2019-02-04 | 2024-01-23 | Cloudflare, Inc. | Theft prevention for sensitive information |
| US10558824B1 (en) | 2019-02-04 | 2020-02-11 | S2 Systems Corporation | Application remoting using network vector rendering |
| US10452868B1 (en) | 2019-02-04 | 2019-10-22 | S2 Systems Corporation | Web browser remoting using network vector rendering |
| WO2021005758A1 (ja) * | 2019-07-10 | 2021-01-14 | 日本電信電話株式会社 | 国推定装置、国推定方法および国推定プログラム |
| US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
| US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
| US11962618B2 (en) * | 2020-12-28 | 2024-04-16 | Citrix Systems, Inc. | Systems and methods for protection against theft of user credentials by email phishing attacks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
| CN1773936A (zh) * | 2004-11-12 | 2006-05-17 | 国际商业机器公司 | 用于确定计算机网络通信的目标的可用性的方法和系统 |
| CN101002427A (zh) * | 2004-06-30 | 2007-07-18 | 诺基亚公司 | 用于动态设备地址管理的方法和系统 |
| US20090043765A1 (en) * | 2004-08-20 | 2009-02-12 | Rhoderick John Kennedy Pugh | Server authentication |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| US7409202B2 (en) * | 2003-08-12 | 2008-08-05 | Nextel Communications Inc. | Communications restrictions for mobile group communication devices |
| KR100522138B1 (ko) * | 2003-12-31 | 2005-10-18 | 주식회사 잉카인터넷 | 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법 |
| JP2007104509A (ja) * | 2005-10-06 | 2007-04-19 | Nippon F Secure Kk | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム |
| JP2008042642A (ja) * | 2006-08-08 | 2008-02-21 | Nippon Telegr & Teleph Corp <Ntt> | ポリシー管理システム、ポリシー管理装置、ポリシー管理方法およびポリシー管理プログラム |
| US8423631B1 (en) * | 2009-02-13 | 2013-04-16 | Aerohive Networks, Inc. | Intelligent sorting for N-way secure split tunnel |
| CN102405636A (zh) * | 2009-04-30 | 2012-04-04 | 日本电气株式会社 | 不正当呼叫检测装置、不正当呼叫检测方法及不正当呼叫检测用程序 |
| JP5204054B2 (ja) * | 2009-07-24 | 2013-06-05 | 株式会社野村総合研究所 | ネットワーク管理システムおよび通信管理サーバ |
| WO2011030455A1 (ja) * | 2009-09-14 | 2011-03-17 | 森清 | セキュア監査システム及びセキュア監査方法 |
| US8751808B2 (en) * | 2009-11-12 | 2014-06-10 | Roy Gelbard | Method and system for sharing trusted contact information |
| US20120297481A1 (en) * | 2011-05-16 | 2012-11-22 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
| US8990356B2 (en) * | 2011-10-03 | 2015-03-24 | Verisign, Inc. | Adaptive name resolution |
-
2014
- 2014-03-19 BR BR112016003033A patent/BR112016003033A2/pt not_active IP Right Cessation
- 2014-03-19 EP EP14836161.1A patent/EP3033865A4/en not_active Withdrawn
- 2014-03-19 CN CN201480052461.1A patent/CN105580333A/zh not_active Withdrawn
- 2014-03-19 KR KR1020167006706A patent/KR20160044524A/ko not_active Application Discontinuation
- 2014-03-19 WO PCT/US2014/031244 patent/WO2015023316A1/en active Application Filing
- 2014-03-19 JP JP2016534574A patent/JP2016532381A/ja active Pending
- 2014-03-19 CA CA2921345A patent/CA2921345A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
| CN101002427A (zh) * | 2004-06-30 | 2007-07-18 | 诺基亚公司 | 用于动态设备地址管理的方法和系统 |
| US20090043765A1 (en) * | 2004-08-20 | 2009-02-12 | Rhoderick John Kennedy Pugh | Server authentication |
| CN1773936A (zh) * | 2004-11-12 | 2006-05-17 | 国际商业机器公司 | 用于确定计算机网络通信的目标的可用性的方法和系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11223602B2 (en) | 2016-09-23 | 2022-01-11 | Hewlett-Packard Development Company, L.P. | IP address access based on security level and access history |
| CN109313676A (zh) * | 2016-09-23 | 2019-02-05 | 惠普发展公司,有限责任合伙企业 | 基于安全级别和访问历史的ip地址访问 |
| CN109313676B (zh) * | 2016-09-23 | 2022-01-25 | 惠普发展公司,有限责任合伙企业 | 基于安全级别和访问历史的ip地址访问 |
| CN110431817A (zh) * | 2017-03-10 | 2019-11-08 | 维萨国际服务协会 | 识别恶意网络设备 |
| US11425148B2 (en) | 2017-03-10 | 2022-08-23 | Visa International Service Association | Identifying malicious network devices |
| CN107154926A (zh) * | 2017-03-22 | 2017-09-12 | 国家计算机网络与信息安全管理中心 | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
| CN111788813B (zh) * | 2017-06-07 | 2024-06-21 | 关连风科技股份有限公司 | 网络系统 |
| CN111788813A (zh) * | 2017-06-07 | 2020-10-16 | 关连风科技股份有限公司 | 网络系统 |
| CN109714242A (zh) * | 2017-10-25 | 2019-05-03 | 北京二六三企业通信有限公司 | 垃圾邮件的识别方法和装置 |
| WO2019134333A1 (zh) * | 2018-01-08 | 2019-07-11 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108777709A (zh) * | 2018-05-31 | 2018-11-09 | 康键信息技术(深圳)有限公司 | 网站访问方法、装置、计算机设备和存储介质 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| US11363060B2 (en) * | 2019-10-24 | 2022-06-14 | Microsoft Technology Licensing, Llc | Email security in a multi-tenant email service |
| CN110995576A (zh) * | 2019-12-16 | 2020-04-10 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN110995576B (zh) * | 2019-12-16 | 2022-04-29 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN112688939A (zh) * | 2020-12-23 | 2021-04-20 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| BR112016003033A2 (pt) | 2017-09-12 |
| EP3033865A4 (en) | 2016-08-17 |
| JP2016532381A (ja) | 2016-10-13 |
| KR20160044524A (ko) | 2016-04-25 |
| WO2015023316A1 (en) | 2015-02-19 |
| EP3033865A1 (en) | 2016-06-22 |
| CA2921345A1 (en) | 2015-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105580333A (zh) | 评估可疑网络通信 | |
| US10084791B2 (en) | Evaluating a questionable network communication | |
| US9912677B2 (en) | Evaluating a questionable network communication | |
| US9674145B2 (en) | Evaluating a questionable network communication | |
| US9015090B2 (en) | Evaluating a questionable network communication | |
| US8621604B2 (en) | Evaluating a questionable network communication | |
| US10382436B2 (en) | Network security based on device identifiers and network addresses | |
| US10542006B2 (en) | Network security based on redirection of questionable network access | |
| US8869237B2 (en) | Method and system for propagating network policy | |
| CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
| AU2002340207B2 (en) | Verification of a person identifier received online | |
| USRE48159E1 (en) | Method and system for propagating network policy | |
| JP2003529254A (ja) | 遠隔装置から顧客のセキュリティを検査するためのインターネット/ネットワーク・セキュリティ方法およびシステム | |
| CN101495956A (zh) | 扩展一次性密码方法和装置 | |
| Maroofi et al. | Adoption of email anti-spoofing schemes: a large scale analysis | |
| Korczyński et al. | Zone poisoning: The how and where of non-secure DNS dynamic updates | |
| US12003537B2 (en) | Mitigating phishing attempts | |
| JP4693174B2 (ja) | 中間ノード | |
| Gasser et al. | Security implications of publicly reachable building automation systems | |
| Babu et al. | A comprehensive analysis of spoofing | |
| US20070297408A1 (en) | Message control system in a shared hosting environment | |
| WO2019172947A1 (en) | Evaluating a questionable network communication | |
| Steffens | 4.1 Attacker Perspective: Managing the Control Server Infrastructure | |
| Rubin | A Report to the Federal Trade Commission on Reponses to their Request For Information on Establishing a National Do Not E-mail Registry | |
| Panwar | Network interception and its legal issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20160511 |
|
| WW01 | Invention patent application withdrawn after publication |