CN107204993A - 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 - Google Patents
用于跟踪和阻挡恶意因特网主机的分布式系统和方法 Download PDFInfo
- Publication number
- CN107204993A CN107204993A CN201710580651.6A CN201710580651A CN107204993A CN 107204993 A CN107204993 A CN 107204993A CN 201710580651 A CN201710580651 A CN 201710580651A CN 107204993 A CN107204993 A CN 107204993A
- Authority
- CN
- China
- Prior art keywords
- gateway
- computer system
- stop
- information
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
公开跨越多个网络设备(例如,网关)执行诸如因特网协议(IP)地址等的源地址的协调阻挡的系统和方法。在一个所公开的实施例中,本方法和系统临时地变更一个或多个网络设备的配置(基于用户定义的配置参数)以便在一段时间内允许来自“已阻挡的”IP地址的通信。然后,网络设备可以“接收”电子邮件且执行分析,并把分析的结果提供给信誉服务。由此,可以使用临时地允许的通信来了解关于威胁的信息,如果在网络设备处已经实际上阻挡了来自该IP地址的所有通信,则无法获得该威胁。
Description
本申请是PCT国际申请号为PCT/US2012/058687、国际申请日为2012年10月4日、中国国家申请号为201280049251.8、题为“用于跟踪和阻挡恶意因特网主机的分布式系统和方法”的申请的分案申请。
本公开的领域
本公开一般地涉及信誉服务的领域,信誉服务影响个体网络设备(网关),以便控制它是否应当阻挡特定的源通信(例如,具有特定因特网协议(IP)地址的源),同时仍然保护终端用户免遭已标识的威胁。更具体地,但不作为限制,本公开涉及(基于用户定义的配置参数)临时地变更一个或多个网络设备的配置以便在一段时间内允许来自“已阻挡的”IP地址的通信的系统和方法。可以使用临时允许的通信来了解关于威胁的信息,如果实际上在网络设备处阻挡来自该IP地址的所有通信,则不可能有该威胁。
背景
当前,电子邮件和Web安全(EWS)设备可以被配置为在检测到某种形式的威胁时在可配置的时间量(例如10分钟)内阻挡因特网协议(IP)源地址。用于判断总体威胁的集中式系统和方法(例如,由加利福利亚州圣克拉拉市的迈克菲(McAfee)公司提供的全球威胁情报(GTI)系统)使用接收到的电子邮件(不是在终端用户处而是在执行分析的处理器处)来生成电子邮件的指纹。这些指纹可以由GTI用来获得任何一个时刻穿越因特网的威胁的精确图像。
然而,如果在所有网络设备(有时被称为网关)处完全阻挡IP地址,则设备不能接收来自该IP地址的电子邮件且因此不能对要发送给GTI的数据提取指纹。此外,当前所有网络设备独立地工作,且可以全部都阻挡相同的IP地址。结果,不能有效地对新威胁提取指纹,且GTI可能缺乏数据,这可能减少GTI的有效性。
当前不存在以协调方式具体地指示个体设备是否阻挡IP地址的已知现有技术解决方案。当前的集中式解决方案对所有网关设备提供相同的响应,且使得个体网关的配置判断是否应当阻该IP。这种模型的一个问题是TrustedSourceTM和GTI两者都不能接收到关于潜在威胁的足够信息(TrustedSource是McAfee公司的商标)。
为了解决这些和其他问题,公开以下方法和系统,该方法和系统为网络设备提供集中式管理系统,使得可以以协调方式指示不同的网络设备临时地改变它们的配置,从特定的IP地址收集信息,然后恢复它们先前配置的阻挡功能。
附图简述
图1是示出根据一种实施例的网络架构的框图。
图2是其上可以安装根据一种实施例的软件的计算机的框图。
图3是根据一种实施例的全球威胁情报(GTI)云的框图。
图4A是示出用于在个体网关处阻挡IP地址的现有技术的流程图。
图4B是示出根据一个公开的实施例的用于协调阻挡IP地址的技术的流程图。
图5是示出经由被配置为利用图4B的技术执行协调阻挡的多个网络设备连接到因特网的多个网络的框图。
详细描述
下面详细描述的各种实施例提供用于对来自已标识的IP地址的电子邮件消息执行集中式和协调的分析的技术。即使本公开具体地引用了“IP”地址,但本公开的概念不限于IP的任何具体版本(例如,IPv4、IPv6等等),且也可以适用于其他网络技术和协议。为了清晰起见而使用对IP地址的引用,例如“已阻挡的”IP地址。对IP地址的特定引用也可以被认为是包括任何发起源地址或其他类型的关于潜在恶意内容的“发源名称”。
所公开的实施例的实现可以把资源的“云”用于集中式管理和分析。与云交互的个体站点或内部网络不需要考虑云中的资源的内部结构,且可以以协调方式参与,以便探知因特网上的潜在危险的“流氓主机”的更全面的观点。如果该分析标识对关于已阻挡的IP地址的进一步信息的需求,则资源(例如,网络设备)可以是临时地被(重新)配置为使得它不在100%的时间都阻挡可疑IP地址,且因而允许进一步收集信息以便增强潜在的威胁集合观点。为了本公开的简单和清晰起见,主要针对从具体源主机去往具体接受方的电子邮件公开实施例。然而,可以类似地在满足用户的请求之前阻挡用户对web页面或内容(例如可执行程序的下载)的请求。在这两种说明性情况中,可以保护内部网络远离可以被认为是在给定内部网络的风险容忍度之外的对象。
图1示出根据一种实施例的网络架构100。如图所示,提供了多个网络102。在本网络架构100的上下文中,网络102均可以采取任何形式,包括但不限于局域网(LAN)、无线网络、广域网(WAN)(例如因特网)等等。
耦合到网络102的是数据服务器计算机104,它能够在网络102上通信。也耦合到网络102和数据服务器计算机104的是多个终端用户计算机106。这样的数据服务器计算机104和/或客户端计算机106均可以包括台式计算机、膝上型计算机、手持式计算机、移动电话、手持式计算机、外围设备(例如打印机等等)、计算机的任何组件和/或任何其他类型的逻辑。为了促进在网络102当中的通信,可选地在其间耦合至少一个网关或路由器108。
现在参见图2,以框图形式示出根据一种实施例用于提供拒绝连接的协调技术的示例处理设备200。处理设备200可以充当网关或路由器108、客户端计算机106或服务器计算机104。示例处理设备200包括系统单元210,系统单元210可以可选地连接到系统260的输入设备(例如,键盘、鼠标、触摸屏等等)和显示器270。系统单元210中包括了程序存储设备(PSD)280(有时称为硬盘或计算机可读介质)。系统单元210还包括网络接口240,网络接口240用于经由网络与其他计算和企业基础设施设备(未示出)通信。网络接口240可以被包括在系统单元210之内或系统单元210之外。在任一种情况中,系统单元210通信地耦合到网络接口240。程序存储设备280表示任何形式的非易失性存储,包括但不限于所有形式的光和磁(包括固态)存储元件,包括可移动介质,且可以被包括在系统单元210之内或系统单元210之外。程序存储设备280可以用于存储控制系统单元210的软件、由处理设备200使用的数据或两者。
系统单元210可以被编程为执行根据本公开的方法(其示例如图4B所示)。系统单元210包括处理器单元(PU)220、输入-输出(I/O)接口250和存储器230。处理单元220可以包括任何可编程控制器设备,例如包括大型机处理器,或来自英特尔公司的和处理器系列以及来自ARM的Cortex和ARM处理器系列的一个或多个成员。(英特尔、INTEL ATOM、CORE、PENTIUM和CELERON是英特尔公司的注册商标。CORTEX是ARM有限公司的注册商标。ARM是ARM有限公司的注册商标。)存储器230可以包括一个或多个存储器模块,且包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可编程读写存储器和固态存储器。PU 220也可以包括一些内部存储器,例如包括高速缓存存储器。
处理设备200上可以驻留任何期望的操作系统。各实施例可以使用任何期望的编程语言来实现,且可以被实现为一个或多个可执行程序,该可执行程序可以链接到外部可执行例程库,该外部可执行例程库可以由协调IP阻挡软件的提供商、操作系统的提供商或任何其他期望的合适库例程的提供商提供。
在准备在处理设备200上执行所公开的实施例时,可以提供在把处理设备200配置为执行所公开的实施例的程序指令,这些程序指令可以被存储在任何类型的非暂态计算机可读介质上,或者可以从服务器104下载到程序存储设备280上。在此所使用的对“计算机系统”的引用包括提供被描述为由计算机系统执行的能力的单个计算机和一起工作的多个个体计算机。
现在参见图3,框图300示出GTI云310的一个示例。GTI云310可以为多个客户机(有时被称为用户)提供集中式功能,而不要求云的客户机理解云资源的复杂性或提供对云资源的支持。在GTI云310内部,通常存在多个服务器(例如,服务器1320和服务器2340)。每一个服务器又通常连接到专用数据存储(例如,330和350),且可能连接到集中式数据存储,例如集中式数据库360。每一通信路径通常是网络或由通信路径325、345、361、362和370表示的直接连接。尽管图300示出两个服务器和单个集中式数据库,但可比拟的实现可以采取带有或不带有个体数据库、形成逻辑集中式数据库的数据库层次结构或两者的组合的多个服务器的形式。此外,在GTI云310中的每一组件之间可以存在多个通信路径和多种类型的通信路径(例如,有线网络、无线网络、直连线缆、交换线缆等等)。这样的变化是本领域中的技术人员熟知的,且因此在这里不进一步讨论。而且,尽管在此被公开为云资源,但在替代的实施例中,GTI云310的功能的本质可以由在组织内部的常规配置(即,不是云配置)的资源来执行。
现在参见图4A,流程图400示出单独地基于来自信誉服务的其配置和评分的组合(基于指纹数据)阻挡IP地址的网络设备的现有技术。即,诸如网关108等的网络设备是与任何其他网络设备隔离的,且不知道任何其他网络设备的当前动作。在框401开始,网络设备108从诸如因特网等的外部网络上的远程主机接收电子邮件(假定网络设备108还没有阻挡与该远程主机相关联的IP地址)。在402框,在接收之后,且通常在允许电子邮件进入网络设备108的“另一”(例如,内部)侧上的网络之前,网络设备108执行指纹分析。也在框402,把来自指纹分析的数据和关于远程主机的发源连接的信息(例如,IP地址、主机名)发送给执行信誉服务(RS)的可信源服务(TSS)。TSS通常是其客户隐含信任且依赖的信息的提供者(即,源)。TSS通常被与之连接以便得到其任何服务的客户机所知道且认证。RS可以是TSS的一个功能,基于其他实体持有的关于在社区或域内的一组对象(例如,服务提供商、服务、货物或实体)观点的集合,该功能计算和公布对象的信誉评分。接下来,在框403,RS从RS可用的信息判断威胁水平(即,评分)。RS可用的信息包括从网络设备108发送的关于所考虑的对象的数据,以及先前在RS处接收到的信息。在RS处分析之后,RS把对象的评分发送回网络设备108(框404)。如上面所提到的,该评分指示通过RS可用的有关信息所确定的该对象的风险水平。最终,在框405,网络设备108判断是否允许该对象行进到其预期接收方(或允许对该对象的访问)。如果不允许,则网络设备108可以阻挡传送或对该对象的访问。而且,基于其配置,网络设备108可以在一段时间(例如,默认为10分钟)内阻挡来自已标识的有问题主机的IP地址的未来通信。
参见图4B,流程图410示出不同于现有技术的技术,该技术允许具体的网络设备108与其他网络设备一起经由集中式服务执行可以由一个所公开的实施例实现的IP地址的协调阻挡。在框420开始,网络设备108接收电子邮件(或其他对象请求)。接下来,在框430,网络设备108可以执行指纹提取(或相似类型的分析)并把该信息发送给RS。然后,网络设备108可以把指纹数据和发源连接信息发送给执行RS的TSS。不同于现有技术,网络设备108可以发送附加信息以供由RS分析。附加信息可以包括设备标识信息、设备配置信息、当前阻挡信息和网络通信信息中的一种或多种。在一种实施例中,在框440,RS可以以与现有技术相同或相似的方式确定对象的威胁水平。在框450,RS可以判断是否可以控制具体的网络设备108以便接收更多样本(即,网络设备108正在参与在此公开的协调阻挡)。RS可以基于设备的参与状态确定要发送给网络设备108的响应的类型(框460)。如果这一具体的设备不参与(判断470的“否”分支),则RS可以把该评分发送给设备(框475),这非常类似于现有技术。替代地,如果设备参与(判断470的“是”分支),则RS还可以发送不同于现有技术的响应(框480),该响应除了带有评分之外还带有阻挡标志和/或所请求的阻挡时间(其可以是0,指示在任何时间都不阻挡)。最终,在框490,接收到增强的信息的网络设备(网关)可以更新其阻挡策略。阻挡策略可以基于该设备是否被允许阻挡所建议的次数(例如,可能的附加本地配置设置)以及相应地阻挡所配置/所请求的时间量,来更新。从以上解释应明显看出,在此公开的各实施例允许网络设备和TSS/RS与其他参与网络设备以协调方式一起工作,以使得TSS/RS可以继续接收信息,否则该信息可能已经被整体阻挡。因此,TSS/RS可以向订阅TSS/RS的所有客户机提供增强的和更全面的信息。注意,TSS/RS可以跟踪哪些客户机正在参与以及它们如何参与,以便确保把不必要的“非阻挡请求”保持为最小,以免被要求对先前已经阻挡的数据执行附加分析的设备负担过重。而且,在此具体公开的实施例中,RS对象包括web站点和电子邮件,然而,可以预期其他类型的对象,且这些对象受益于本公开的概念。例如,RS可能正在聚集IP地址(连接的源)、会话属性(例如发件人/收件人)、这一IP已经做出对其他邮件服务器的连接次数的计数(频率)。还值得注意的是,流氓主机的标识和流氓主机的阻挡两者都可以不只是应用到电子邮件,可以包括任何数量的IP技术,例如文件传输协议(FTP)、超文本传输协议(HTTP)、IP语音(VOIP)、即时消息收发(IM)等等。
现在参见图5,框图500示出经由被配置为执行利用图4B的技术的协调阻挡的多个网络设备(540和550)由连接链路501相互连接且连接到因特网(510)的多个网络(520和530)。网络520和530表示两个不同的网络,它们可以是两个不同组织的内部网络或单个组织的两个不同的物理或逻辑网络。例如,地理上分散的组织的两个区域部门或单个组织的两个部门可以具有不同的安全要求。在任何上面的情况中,经由网络设备1A-N(540)把网络520连接到外部,且经由网络设备2A-N(550)把网络530连接到外部。
网络520示出简化的内部网络,它可以是经由一个或多个网络设备1A-N(540)连接到因特网510的典型企业网络。在网络520内部有一个或多个电子邮件服务器522和多个内部计算机和网络设备(ICND)524和526。ICND 1A524表示单个计算机网络设备,且ICND 1B-1N 526表示多个其他计算机网络设备,这些计算机网络设备可以是附加的路由器、膝上型计算机、台式计算机或其他设备。每一网络设备可以经由利用本领域中普通技术人员已知的网络和网络协议的有线连接或无线连接来连接到网络。下面的示例示出多个内部设备(522、524和526)如何与提供与诸如因特网510等的外部网络的连接的一个或多个网络设备540交互。类似地,网络530示出具有第二组电子邮件服务器532、单个ICND 2A 534和多个ISND 2B-2N 536的第二内部网络,且这些内部设备中的每一个都经由网络设备550连接到因特网510。如上面所解释的,用于阻挡IP地址的现有技术使得所有网络设备540与网络设备550独立地工作。相反,即使网络设备540和网络设备550从不直接地通信或实际地彼此知晓,所公开的实施例也允许网络设备540和网络设备550以“协调”的方式借助于在GTI云310处可获得的集中式信息来工作。
因特网510示出实际因特网的极大简化的视图。因特网510包括多个外部电子邮件服务器1-N 514、多个外部web服务器1-N、潜在的流氓服务器1-N 517和来自图3的GTI云310。如本领域中普通技术人员所已知的,因特网510中的每一服务器具有唯一地址和标识信息,且一些服务器是合法服务器而其他服务器作为流氓服务器呈现可能的威胁。在此所使用的流氓服务器是指这样的服务器:它们假扮成合法服务器,或者以可能经由垃圾、恶意软件、病毒、拒绝服务攻击等等破坏服务器的方式工作。流氓服务器可以事实上是这样的合法服务器:已经以某种方式受到影响,使得它当前不以适当方式工作,且应当被阻挡一段时间以防止跨越其他网络的连串破坏。
下列示例概括了网络设备的一种可能场景,这些网络设备可以属于或不属于单个组织,但都连接到一致性RS,且可以以协调方式与RS一起工作。此示例允许RS影响个体网关,以便控制它是否应阻挡特定的IP地址,同时仍然保护终端用户免遭威胁。首先,网关接收电子邮件,在把它发送给其预期接收方(例如,ICND 524)之前进行分析。网关执行指纹提取操作并发送:指纹数据、发源连接信息、网关阻挡配置信息(例如,被配置为阻挡或不阻挡,且如果被配置为阻挡则还有阻挡时间)、接收率(例如,网关从这一IP地址接收连接的速率——可能包括先前X分钟以来的已阻挡连接)。RS确定威胁水平,且确定是否希望网关继续从可疑IP地址接收样本。RS的确定可以基于用户是否已经把网关配置为阻挡该IP地址,且其他网关是否正在从相同的IP地址接收威胁。RS可以进一步确定它希望请求网关继续从IP地址接收的时间量,否则该IP网关被阻挡,且使得该请求基于以连接从IP地址到达这一网关和其他网关处的速率。接下来,RS可以把响应发送给请求的网关,该响应具有:具体电子邮件的评分(以使得网关知道怎样处理这一特定消息);指示该网关是否可以阻挡该IP地址的标志(从RS的角度)和RS希望该网关阻挡该IP地址的时间量。结果,如果允许该网关阻挡该IP地址,且用户已经配置该网关阻挡,则可以在所配置的时间量内阻挡该IP地址。应明显看出,网关可以仍然把IP地址阻挡用作阻挡来自已知恶意因特网主机的威胁的有效方式,且RS可能接收足够的样本数据以便维持其有效性并减少或消除这样的条件:由于只要从IP地址检测到第一个威胁则所有设备都阻挡该IP地址,信誉系统不能有效地工作。
如上面所解释的,RS可以确定具体的网关应阻挡IP地址的时间量。这种确定可以被发送给网关,作为网关可以基于其自己的配置同意或不同意的“请求”。网关做出的同意判断可以基于以随同网关其他本地配置参数一起返回的实际评分。替代地,可以以主-从安排来配置RS和网关,其中RS确定优先于本地配置。在网关处的又一本地配置设置可以允许RS仅在评分在预先定义的范围内或低于/高于阈值时为主设备。以上的组合以及关于网关判断是否应同意“请求”的其他组合也可能的。
在前述的描述中,出于解释的目的,陈述了众多特定的细节以便提供对所公开的实施例的透彻理解。然而,本领域中的技术人员将明显看出,无需这些特定的细节就可以实践所公开的实施例。在其他实例中,以框图形式示出了结构和设备,以便避免模糊所公开的实施例。对不带有下标或后缀的数字的引用应被理解为引用对应于所引用数字的下标和后缀的所有实例。此外,在本公开中使用的语言主要是出于可读性和教学目的而选择,且没有将其选择为描述或限定本发明主题,本发明主题诉诸于确定这样的发明主题所必需的权利要求。本说明书中对“实施例”或“一个实施例”的引用意味着结合该实施例描述的具体的特征、结构或特性被包括在至少一个所公开的实施例中,且对“实施例”或“一个实施例”的多次引用不应被理解成必定全部都是表示相同的实施例。
还应理解,预期上面的描述是说明性的而非限制性的。例如,上面所描述的实施例可以相互组合使用。在阅读上面的描述之后,本领域中的技术人员将明显看出许多其他实施例。因此应当参照所附的权利要求以及与这样的权利要求所授权的等效物的全部范围来判断本发明的范围。在所附的权利要求书中,术语“包括(including)”和“其中(inwhich)”用作各自的术语“包括(comprising)”和“其中(wherein)”的通俗英语等效物。
本文所公开的一些示例性实施例包括计算机系统的示例,该计算机系统被配置为促进协调源阻挡方法,该计算机系统包括:到多个计算机网络的一个或多个连接;以及通信上相互耦合的一个或多个处理器,其中,一个或多个处理器共同地被配置为:接收来自第一网关的信息,该信息涉及来自源地址的网络数据传送,该源地址在第一网络上,且该网络数据传送去往第二网络上的目的地地址,该第一网络和第二网络彼此不直接连接;基于已接收的信息确定评分;确定参与状态,该参与状态指示第一网关对协调源阻挡方法的参与;准备第一响应消息以传送给第一网关,该第一响应消息包括对评分的指示和阻挡请求指示符;以及发起第一响应消息向第一网关的传送。该计算机系统也可以具有第一响应消息,只有在该参与状态指示参与协调源阻挡方法时,该第一响应消息才包括阻挡请求指示符。该计算机系统可以具有网络数据传送,该网络数据传送包括电子邮件消息、下载对象、通用资源定位符(URL)、即时消息、文件传输协议(FTP)传送、超文本传输协议(HTTP)传送、因特网协议语音(VOIP)传送或其组合。该计算机系统可以具有包括因特网协议第4版(IPv4)或因特网协议第6版(IPv6)的网络数据传送协议。该计算机系统可以具有源地址,该源地址包括因特网协议(IP)地址、域名、通用资源定位符(URL)、主机名或其组合。该计算机可以具有从第一网关接收的信息,该信息包括网络数据传送的至少一部分的指纹。该计算机系统可以使得第一响应消息中的阻挡请求指示符基于第二网关相对于源地址的阻挡状态。该计算机系统可以使得第一响应消息中的阻挡请求指示符基于与网络数据传送的源地址相关联的网络活动。该计算机系统可以使得第一响应消息中的阻挡请求指示符基于第一网关的配置信息。该计算机系统可以使得第一响应消息中的阻挡请求指示符基于所确定的评分。该计算机系统可以被配置成云资源。该计算机系统可以使得一个或多个处理器进一步被配置为主动地把第二消息发送给参与协调阻挡方法的第二网关,该第二消息包括阻挡请求指示符,该阻挡请求指示符涉及由第一网关接收的网络数据传送的源地址,而不考虑第二网关是否已经接收来自源地址的传送。而且,第二消息可以被发送给第二网关,以便请求第二网关不阻挡该源地址。而且,不阻挡源地址的请求可以指示不阻挡该源地址的时间段。该第二消息可以被发送给第二网关,以便请求第二网关阻挡源地址。
还公开了被配置为参与协调源地址阻挡方法的网络设备网关,该网络设备网关包括:到第一网络和第二网络的一个或多个连接,该第一网络和第二网络彼此不直接连接;以及通信上相互耦合的一个或多个处理器,其中,该一个或多个处理器被配置为:接收来自源地址的网络数据传送,该源地址在第一网络上,且该网络数据传送去往第二网络上的目的地地址;对网络数据传送的至少一部分执行指纹分析;把第一消息发送给集中式阻挡协调计算机系统,该第一消息包括指纹分析的指示、源地址的指示和涉及网络设备网关的阻挡配置信息,其中,该阻挡配置信息包括网络设备网关对协调源地址阻挡方法的参与状态的指示;接收响应于第一消息的第二消息,该第二消息包括与第一消息中的信息相关的评分和阻挡请求;以及基于该阻挡请求和第二消息中的信息判断阻挡或不阻挡来自源地址的通信。该网络设备可以被配置成执行集中式阻挡功能的云的用户。该网络设备可以发送阻挡请求,该阻挡请求指示阻挡来自源地址的传送。该网络设备可以被配置为只有在该评分高于经配置的阈值时,执行对来自该源地址的传送的阻挡。该网络设备可以被配置为使得对来自源地址的传送的阻挡是基于网络设备网关的本地配置信息来判断的。该网络设备可以被配置为使得第二消息还指示与对阻挡来自源地址的传送的请求相关联的时间段。该网络设备可以被配置为使得第二消息进一步包括涉及源地址的网络通信信息,且对来自源地址的传送的阻挡是至少部分地基于该网络通信信息来判断的。该网络设备可以被配置为使得网络数据传送包括电子邮件消息、下载对象、通用资源定位符(URL)、即时消息、文件传输协议(FTP)传送、超文本传输协议(HTTP)传送、因特网协议语音(VOIP)传送或其组合。该网络设备可以被配置为使得网络数据传送的协议包括因特网协议第4版(IPv4)或因特网协议第6版(IPv6)。该网络设备可以被配置为使得源地址包括因特网协议(IP)地址、域名、通用资源定位符(URL)、主机名或其组合。当然,计算机可读介质可以存储配置上面所描述的网络设备的指令。
Claims (44)
1.一种计算机系统,所述计算机系统被配置为有利于协调源阻挡,所述计算机系统包括
通信上相互耦合的一个或多个处理器,其中,所述一个或多个处理器共同地被配置为:
接收来自第一网关的信息,所述信息涉及来自源地址的网络数据传送;
基于所接收的信息确定评分;
判断参与状态,所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡;
准备第一响应消息以便传送到所述第一网关,所述第一响应消息包括所述评分的指示;
当所述参与状态为为肯定时,将所述第一响应消息增加成包括第一阻挡请求指示符,其中所述第一阻挡请求指示符包括请求所述第一网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息;
发起所述第一响应消息向所述第一网关的传送。
2.如权利要求1所述的计算机系统,其特征在于,只有在所述参与状态指示参与所述协调源阻挡时,所述第一响应消息才包括阻挡请求指示符。
3.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述一个或多个处理器被进一步共同地被配置为:
当所述参与状态指示所述第一网关不参与所述协调源阻挡时,准备第二响应消息以便传送到所述第二网关,所述第二响应消息包括第二阻挡请求指示符,其中所述第二阻挡请求指示符包括请求所述第二网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息。
4.如权利要求3所述的计算机系统,其特征在于,不管所述第二网关是否接收到来自源地址的传送,所述第二消息都被发送到所述第二网关。
5.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述网络数据传送包括电子邮件消息、下载对象、通用资源定位符、即时消息、文件传输协议传送、超文本传输协议传送、因特网协议语音传送或其组合。
6.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述网络数据传送的协议包括因特网协议第4版或因特网协议第6版。
7.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述源地址包括因特网协议地址、域名、通用资源定位符、主机名或其组合。
8.如权利要求1-2中任一项所述的计算机系统,其特征在于,从所述第一网关接收到的所述信息包括所述网络数据传送的至少一部分的指纹。
9.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于第二网关相对于所述源地址的阻挡状态。
10.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于与所述网络数据传送的所述源地址相关联的网络活动。
11.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于所述第一网关的配置信息。
12.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于所确定的评分。
13.如权利要求1-2中任一项所述的计算机系统,其特征在于,所述计算机系统包括云资源。
14.一种计算机系统,所述计算机系统被配置为有利于协调源阻挡,所述计算机系统包括
用于接收来自第一网关的信息,所述信息涉及来自源地址的网络数据传送的装置;
用于基于所接收的信息确定评分的装置;
用于判断参与状态,所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡的装置;
用于准备第一响应消息以便传送到所述第一网关的装置,所述第一响应消息包括所述评分的指示;
用于当所述参与状态为为肯定时,将所述第一响应消息增加成包括第一阻挡请求指示符的装置,其中所述第一阻挡请求指示符包括请求所述第一网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息;
用于发起所述第一响应消息向所述第一网关的传送的装置。
15.如权利要求14所述的计算机系统,其特征在于,只有在所述参与状态指示参与所述协调源阻挡时,所述第一响应消息才包括阻挡请求指示符。
16.如权利要求14-15中的任一项所述的计算机系统,其特征在于,还包括:
用于当所述参与状态指示所述第一网关不参与所述协调源阻挡时,准备第二响应消息以便传送到所述第二网关的装置,所述第二响应消息包括第二阻挡请求指示符,其中所述第二阻挡请求指示符包括请求所述第二网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息。
17.如权利要求14-15中任一项所述的计算机系统,其特征在于,从所述第一网关接收到的所述信息包括所述网络数据传送的至少一部分的指纹。
18.如权利要求14-15中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于第二网关相对于所述源地址的阻挡状态。
19.如权利要求14-15中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于与所述网络数据传送的所述源地址相关联的网络活动。
20.如权利要求14-15中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于所述第一网关的配置信息。
21.一种计算机系统,所述计算机系统被配置为有利于协调源阻挡,所述计算机系统包括
通信上相互耦合的一个或多个处理器;
存储器,所述存储器耦合至所述一个或多个处理器,所述存储器上存储有指令,所述指令包括在被执行时导致所述一个或多个处理器中的至少一些执行以下操作的指令:
接收来自第一网关的信息,所述信息涉及来自源地址的网络数据传送;
基于所接收的信息确定评分;
判断参与状态,所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡;
将第一响应消息发送至所述第一网关,所述第一响应消息包括所述评分以及与所述参与状态相对应的第一阻挡请求指示符;
其中与所述第一网关参与关于其它设备的协调源阻挡的确定相对应的所述第一阻挡请求指示符请求所述第一网关即使所述评分指示所述网络数据传送将被阻挡也不要阻挡来自所述源地址的将来信息。
22.如权利要求21所述的计算机系统,其特征在于,所述第一响应消息还包括所请求阻挡时间。
23.如权利要求21所述的计算机系统,其特征在于,零值的所请求阻挡时间指示在任何时间都不阻挡。
24.如权利要求21-23中任一项所述的计算机系统,其特征在于,所述指令包括在被执行时导致所述一个或多个处理器中的至少一些执行以下操作的指令:
响应于所述参与状态指示所述第一网关不参与所述协调源阻挡,准备第二消息以便传送到所述第二网关,所述第二消息包括第二阻挡请求指示符,
其中所述第二阻挡请求指示符包括请求所述第二网关即使所述评分指示所述网络数据传送将被阻挡也不要阻挡来自所述源地址的将来信息的信息。
25.如权利要求24所述的计算机系统,其特征在于,不管所述第二网关是否接收到来自源地址的传送,所述第二消息都被发送到所述第二网关。
26.如权利要求21-23中任一项所述的计算机系统,其特征在于,所述网络数据传送包括电子邮件消息、下载对象、通用资源定位符、即时消息、文件传输协议传送、超文本传输协议传送、因特网协议语音传送或其组合。
27.如权利要求21-23中任一项所述的计算机系统,其特征在于,所述网络数据传送的协议包括因特网协议第4版或因特网协议第6版。
28.如权利要求21-23中任一项所述的计算机系统,其特征在于,所述源地址包括因特网协议地址、域名、通用资源定位符、主机名或其组合。
29.如权利要求21-23中任一项所述的计算机系统,其特征在于,从所述第一网关接收到的所述信息包括所述网络数据传送的至少一部分的指纹。
30.如权利要求21-23中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于所确定的评分。
31.一种计算机系统,所述计算机系统被配置为有利于协调源阻挡,所述计算机系统包括
用于接收来自第一网关的信息,所述信息涉及来自源地址的网络数据传送的装置;
用于基于所接收的信息确定评分的装置;
用于判断参与状态的装置,所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡;
用于传送第一响应消息以传送至所述第一网关的装置,所述第一响应消息包括所述评分的指示以及与所述参与状态相对应的第一阻挡请求指示符;
其中与所述第一网关参与关于其它设备的协调源阻挡的确定相对应的所述第一阻挡请求指示符请求所述第一网关即使所述评分指示所述网络数据传送将被阻挡也不要阻挡来自所述源地址的将来信息。
32.如权利要求31所述的计算机系统,其特征在于,所述第一响应消息还包括所请求的阻挡时间。
33.如权利要求31所述的计算机系统,其特征在于,零值的所请求阻挡时间指示在任何时间都不阻挡。
34.如权利要求31-33中的任一项所述的计算机系统,其特征在于,还包括:
用于当所述参与状态指示所述第一网关不参与所述协调源阻挡时,准备第二消息以便传送到所述第二网关的装置,所述第二消息包括第二阻挡请求指示符,
其中所述第二阻挡请求指示符包括请求所述第二网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息。
35.如权利要求31-33中任一项所述的计算机系统,其特征在于,从所述第一网关接收到的所述信息包括所述网络数据传送的至少一部分的指纹。
36.如权利要求31-33中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于第二网关相对于所述源地址的阻挡状态。
37.如权利要求31-33中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于与所述网络数据传送的所述源地址相关联的网络活动。
38.如权利要求31-33中任一项所述的计算机系统,其特征在于,所述第一响应消息中的所述阻挡请求指示符基于所述第一网关的配置信息。
39.一种协调源阻挡方法,包括:
接收来自第一网关的信息,所述信息涉及来自源地址的网络数据传送;
基于所接收的信息确定评分;
判断所述第一网关是否参与关于其它设备的协调源阻挡;以及
将第一响应消息传送至所述第一网关,所述第一响应消息包括所述评分以及第一阻挡请求指示符,所述第一阻挡请求指示符对应于所述第一网关是否参与关于其它设备的协调源阻挡,
其中与所述第一网关参与关于其它设备的协调源阻挡的确定相对应的所述第一阻挡请求指示符请求所述第一网关即使所述评分指示所述网络数据传送将被阻挡也不要阻挡来自所述源地址的将来信息。
40.如权利要求39所述的方法,其特征在于,所述第一响应消息还包括所请求阻挡时间。
41.如权利要求39-40中任一项所述的方法,其特征在于,零值的所请求阻挡时间指示在任何时间都不阻挡。
42.如权利要求41所述的方法,其特征在于,还包括:
响应于确定所述第一网关不参与所述协调源阻挡,准备第二消息以便传送到所述第二网关,所述第二消息包括第二阻挡请求指示符,
其中所述第二阻挡请求指示符包括请求所述第二网关即使所述评分指示所述网络数据传送将被阻挡也不要阻挡来自所述源地址的将来信息的信息。
43.如权利要求42所述的方法,其特征在于,不管所述第二网关是否接收到来自源地址的传送,所述第二消息都被发送到所述第二网关。
44.如权利要求39-40中任一项所述的方法,其特征在于,所述网络数据传送包括电子邮件消息、下载对象、通用资源定位符、即时消息、文件传输协议传送、超文本传输协议传送、因特网协议语音传送或其组合。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/253,266 | 2011-10-05 | ||
US13/253,266 US8726385B2 (en) | 2011-10-05 | 2011-10-05 | Distributed system and method for tracking and blocking malicious internet hosts |
CN201280049251.8A CN103858381B (zh) | 2011-10-05 | 2012-10-04 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280049251.8A Division CN103858381B (zh) | 2011-10-05 | 2012-10-04 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107204993A true CN107204993A (zh) | 2017-09-26 |
CN107204993B CN107204993B (zh) | 2021-03-09 |
Family
ID=48043009
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710580651.6A Active CN107204993B (zh) | 2011-10-05 | 2012-10-04 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
CN201280049251.8A Active CN103858381B (zh) | 2011-10-05 | 2012-10-04 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280049251.8A Active CN103858381B (zh) | 2011-10-05 | 2012-10-04 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (3) | US8726385B2 (zh) |
EP (1) | EP2764660B1 (zh) |
JP (1) | JP5872704B2 (zh) |
CN (2) | CN107204993B (zh) |
WO (1) | WO2013052621A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8726385B2 (en) | 2011-10-05 | 2014-05-13 | Mcafee, Inc. | Distributed system and method for tracking and blocking malicious internet hosts |
US11165812B2 (en) | 2014-12-03 | 2021-11-02 | Splunk Inc. | Containment of security threats within a computing environment |
US10187410B2 (en) * | 2015-06-30 | 2019-01-22 | Microsoft Technology Licensing, Llc | Automatically preventing and remediating network abuse |
US10028145B2 (en) * | 2016-04-15 | 2018-07-17 | Microsoft Technology Licensing, Llc | Blocking undesirable communications in voice over internet protocol systems |
US10284521B2 (en) * | 2016-08-17 | 2019-05-07 | Cisco Technology, Inc. | Automatic security list offload with exponential timeout |
JP6636964B2 (ja) * | 2017-01-17 | 2020-01-29 | 株式会社インタフェース | ゲートウエイ装置およびゲートウエイシステム |
US10873589B2 (en) | 2017-08-08 | 2020-12-22 | Sonicwall Inc. | Real-time prevention of malicious content via dynamic analysis |
US10587577B2 (en) * | 2017-09-27 | 2020-03-10 | Servicenow, Inc. | Dynamic, event-driven traffic control in a managed network |
US11151252B2 (en) | 2017-10-13 | 2021-10-19 | Sonicwall Inc. | Just in time memory analysis for malware detection |
FR3074631A1 (fr) * | 2017-12-01 | 2019-06-07 | Orange | Technique de traitement de messages envoyes par un dispositif communicant |
US10685110B2 (en) | 2017-12-29 | 2020-06-16 | Sonicwall Inc. | Detection of exploitative program code |
US10902122B2 (en) | 2018-01-31 | 2021-01-26 | Sonicwall Inc. | Just in time memory analysis for malware detection |
US11232201B2 (en) * | 2018-05-14 | 2022-01-25 | Sonicwall Inc. | Cloud based just in time memory analysis for malware detection |
US11816193B2 (en) * | 2020-04-20 | 2023-11-14 | Cisco Technology, Inc. | Secure automated issue detection |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070217417A1 (en) * | 1999-02-08 | 2007-09-20 | Lovell Anthony M | Efficient transmission of data to multiple network nodes |
CN101438255A (zh) * | 2004-12-07 | 2009-05-20 | 思科技术公司 | 基于应用层消息检查的网络和应用攻击保护 |
WO2010025805A1 (en) * | 2008-09-05 | 2010-03-11 | Nec Europe Ltd. | Method for supporting attack detection in a distributed system |
CN201515382U (zh) * | 2009-09-03 | 2010-06-23 | 上海帕科网络科技有限公司 | 带入侵防御系统的交换机 |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US7089428B2 (en) * | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US20020194489A1 (en) * | 2001-06-18 | 2002-12-19 | Gal Almogy | System and method of virus containment in computer networks |
US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
US7331060B1 (en) * | 2001-09-10 | 2008-02-12 | Xangati, Inc. | Dynamic DoS flooding protection |
US7870203B2 (en) * | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
US8561167B2 (en) * | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
JP2003273936A (ja) * | 2002-03-15 | 2003-09-26 | First Trust:Kk | ファイアウォールシステム |
JP2003288282A (ja) * | 2002-03-28 | 2003-10-10 | Fujitsu Ltd | 不正アクセス防止プログラム |
US20080196099A1 (en) | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
CA2496779C (en) * | 2002-08-26 | 2011-02-15 | Guardednet, Inc. | Determining threat level associated with network activity |
US20050050337A1 (en) * | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Anti-virus security policy enforcement |
US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
US7797749B2 (en) * | 2004-11-03 | 2010-09-14 | Intel Corporation | Defending against worm or virus attacks on networks |
US7549162B2 (en) * | 2004-12-06 | 2009-06-16 | At&T Intellectual Property I, L.P. | Methods of providing security for data distributions in a data network and related devices, networks, and computer program products |
EP1877905B1 (en) * | 2005-05-05 | 2014-10-22 | Cisco IronPort Systems LLC | Identifying threats in electronic messages |
JP2007013343A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置 |
US7882554B2 (en) * | 2005-08-19 | 2011-02-01 | Cpacket Networks, Inc. | Apparatus and method for selective mirroring |
US9467462B2 (en) * | 2005-09-15 | 2016-10-11 | Hewlett Packard Enterprise Development Lp | Traffic anomaly analysis for the detection of aberrant network code |
KR100670815B1 (ko) | 2005-12-08 | 2007-01-19 | 한국전자통신연구원 | 순차적 데이터 처리 기반의 유해 멀티미디어 서비스 차단장치 및 그 방법 |
CA2532699A1 (en) * | 2005-12-28 | 2007-06-28 | Ibm Canada Limited - Ibm Canada Limitee | Distributed network protection |
US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
JP2007251866A (ja) * | 2006-03-20 | 2007-09-27 | Kyocera Mita Corp | 電子機器装置 |
US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
CN100484107C (zh) * | 2006-11-09 | 2009-04-29 | 华为技术有限公司 | 一种邮件筛选方法、装置及系统 |
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
GB2449852A (en) * | 2007-06-04 | 2008-12-10 | Agilent Technologies Inc | Monitoring network attacks using pattern matching |
AU2008202532A1 (en) | 2007-06-18 | 2009-01-08 | Pc Tools Technology Pty Ltd | Method of detecting and blocking malicious activity |
CN101340281B (zh) * | 2007-07-02 | 2010-12-22 | 联想(北京)有限公司 | 针对在网络上进行安全登录输入的方法和系统 |
JP2009048574A (ja) * | 2007-08-22 | 2009-03-05 | Panasonic Corp | 通信端末装置、ファイアウォールシステム及びファイアウォール方法 |
US20090077663A1 (en) * | 2007-09-17 | 2009-03-19 | Alcatel Lucent | Score-based intrusion prevention system |
US8286239B1 (en) * | 2008-07-24 | 2012-10-09 | Zscaler, Inc. | Identifying and managing web risks |
KR20100078087A (ko) | 2008-12-30 | 2010-07-08 | 한국인터넷진흥원 | Dns 서버를 이용한 악성 도메인 차단 시스템 및 그 방법 |
US8561182B2 (en) * | 2009-01-29 | 2013-10-15 | Microsoft Corporation | Health-based access to network resources |
US9021028B2 (en) * | 2009-08-04 | 2015-04-28 | Yahoo! Inc. | Systems and methods for spam filtering |
CN201523396U (zh) * | 2009-10-23 | 2010-07-07 | 北京派瑞根科技开发有限公司 | 高安全信息网络交互设备 |
US8726385B2 (en) | 2011-10-05 | 2014-05-13 | Mcafee, Inc. | Distributed system and method for tracking and blocking malicious internet hosts |
-
2011
- 2011-10-05 US US13/253,266 patent/US8726385B2/en active Active
-
2012
- 2012-10-04 WO PCT/US2012/058687 patent/WO2013052621A1/en active Application Filing
- 2012-10-04 CN CN201710580651.6A patent/CN107204993B/zh active Active
- 2012-10-04 EP EP12838186.0A patent/EP2764660B1/en active Active
- 2012-10-04 CN CN201280049251.8A patent/CN103858381B/zh active Active
- 2012-10-04 JP JP2014534702A patent/JP5872704B2/ja active Active
-
2014
- 2014-05-13 US US14/276,416 patent/US9385991B2/en active Active
-
2016
- 2016-06-27 US US15/194,372 patent/US10033697B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070217417A1 (en) * | 1999-02-08 | 2007-09-20 | Lovell Anthony M | Efficient transmission of data to multiple network nodes |
CN101438255A (zh) * | 2004-12-07 | 2009-05-20 | 思科技术公司 | 基于应用层消息检查的网络和应用攻击保护 |
WO2010025805A1 (en) * | 2008-09-05 | 2010-03-11 | Nec Europe Ltd. | Method for supporting attack detection in a distributed system |
CN201515382U (zh) * | 2009-09-03 | 2010-06-23 | 上海帕科网络科技有限公司 | 带入侵防御系统的交换机 |
Also Published As
Publication number | Publication date |
---|---|
US20140245424A1 (en) | 2014-08-28 |
WO2013052621A1 (en) | 2013-04-11 |
CN103858381A (zh) | 2014-06-11 |
US9385991B2 (en) | 2016-07-05 |
JP5872704B2 (ja) | 2016-03-01 |
EP2764660A4 (en) | 2015-07-22 |
CN107204993B (zh) | 2021-03-09 |
JP2014528678A (ja) | 2014-10-27 |
US20130091584A1 (en) | 2013-04-11 |
US8726385B2 (en) | 2014-05-13 |
CN103858381B (zh) | 2017-06-30 |
EP2764660A1 (en) | 2014-08-13 |
EP2764660B1 (en) | 2018-12-05 |
US20160308834A1 (en) | 2016-10-20 |
US10033697B2 (en) | 2018-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103858381B (zh) | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 | |
EP3369232B1 (en) | Detection of cyber threats against cloud-based applications | |
US10412103B2 (en) | Techniques for sharing network security event information | |
Meng et al. | Enhancing the security of blockchain-based software defined networking through trust-based traffic fusion and filtration | |
CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
CN104054321B (zh) | 针对云服务的安全管理 | |
Kebande et al. | Holistic digital forensic readiness framework for IoT-enabled organizations | |
US20100107085A1 (en) | Control panel for managing multiple online data management solutions | |
US20100106764A1 (en) | Datacenter hosting multiple online data management solutions | |
CN104106094A (zh) | 在网络环境下使用本地策略应用进行云电子邮件消息扫描 | |
CN107889082A (zh) | 一种利用用户之间社交关系的d2d设备发现方法 | |
CN110233831A (zh) | 恶意注册的检测方法及装置 | |
US20080301053A1 (en) | Service broker | |
CN106060097B (zh) | 一种信息安全竞赛的管理系统及管理方法 | |
Siddiqui et al. | A survey on the recent efforts of the Internet Standardization Body for securing inter-domain routing | |
Rodrigues et al. | Cooperative signaling of DDoS attacks in a blockchain-based network | |
Purohit et al. | Defensechain: Consortium blockchain for cyber threat intelligence sharing and defense | |
CN106874371A (zh) | 一种数据处理方法及装置 | |
Claffy et al. | Workshop on internet economics (wie 2019) report | |
Shokeen et al. | Vulnerabilities analysis and security assessment framework for the internet of things | |
Abdou et al. | Taxing the queue: Hindering middleboxes from unauthorized large-scale traffic relaying | |
Parameswaran et al. | Reengineering the internet for better security | |
Rathee et al. | A trust‐based mechanism for drones in smart cities | |
Xue et al. | A privacy‐preserving model for blockchain‐based data sharing in the industrial internet | |
Lu et al. | Filtering location optimization for the reactive packet filtering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: Texas, USA Patentee after: MCAFEE, Inc. Address before: California, USA Patentee before: MCAFEE, Inc. |
|
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230724 Address after: California, USA Patentee after: MASA ROBRA USA LLC Address before: Texas, USA Patentee before: MCAFEE, Inc. |