CN107636669B - 不期望网络业务的控制 - Google Patents

不期望网络业务的控制 Download PDF

Info

Publication number
CN107636669B
CN107636669B CN201580080882.XA CN201580080882A CN107636669B CN 107636669 B CN107636669 B CN 107636669B CN 201580080882 A CN201580080882 A CN 201580080882A CN 107636669 B CN107636669 B CN 107636669B
Authority
CN
China
Prior art keywords
host
identifier
network node
detection
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201580080882.XA
Other languages
English (en)
Other versions
CN107636669A (zh
Inventor
闫峥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Technologies Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Technologies Oy filed Critical Nokia Technologies Oy
Publication of CN107636669A publication Critical patent/CN107636669A/zh
Application granted granted Critical
Publication of CN107636669B publication Critical patent/CN107636669B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

根据本发明的实施例,对包括主机和网络节点的具有隐私保护的网络实体执行信任评估以确定不期望业务源。信任评估基于来自主机的检测报告和来自网络节点的监控报告。网络节点不知道检测报告的内容,而执行信任评估的实体不知道主机和网络节点的真实标识符。

Description

不期望网络业务的控制
技术领域
本发明涉及网络安全领域,更具体地,涉及基于信任管理的不期望网络业务的控制。
背景技术
随着网络技术的快速发展和广泛应用,在因特网或各种通信网络中已经提供了大量的服务或应用以使用户从中获益。然而,在因特网中仍存在大量的不期望业务,例如垃圾邮件、恶意软件、恶意入侵等。这样的不期望业务给用户带来了麻烦,导致在网络传输上的沉重负担,并影响网络安全。因此,在因特网或包括已有或未来的移动/无线网络的通信网络中控制不期望业务的有效解决方案是必须且关键的。
为了控制不期望网络业务,例如防火墙、网络监控和入侵检测系统(IDS)的技术被广泛开发并用于控制垃圾邮件、恶意软件或分布式拒绝服务(DDoS)攻击。另一种用于控制不期望网络业务的技术是基于信任和信誉管理,即,对每个网络实体的信任评估。
近几年,已经提出了许多经由信任和信誉管理来控制不期望业务的方案以用于不同类型的不期望业务,例如电子邮件垃圾、即时通信垃圾(spim)、基于互联网电话的垃圾(SPIT)和网页垃圾。但是,信任和信誉管理涉及由诸如网络主机或网络终端的报告者进行不期望业务检测报告或入侵报告,这可能需要报告者的隐私信息,因此,报告者的隐私受到影响并不能被保护。
随着网络主机的隐私保护受到越来越多的关注,期望新的具有隐私保护的信任管理用于不期望业务控制。
发明内容
下文呈现了本发明的简要概述以提供本发明的一些方面的基本理解。该概述不是本发明的广泛综述。它并不旨在标识本发明的关键或重要因素,也不旨在描述本发明的范围。以下的概述仅以简洁的形式呈现本发明的一些概念,作为下面提供的更详细描述的序言。
本发明旨在用于不期望业务的控制的方法及其装置。
根据一个实施例,提供一种用于不期望网络业务的控制的方法。在该方法中,检测流经签约网络节点的主机的不期望业务。用网络节点未知的同态加密密钥对不期望业务的检测结果进行加密。然后,生成检测报告,其包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果。最后,利用主机的公钥基础设施(PKI)公钥/私钥对,对检测报告进行签名。
根据另一个实施例,提供一种用于不期望网络业务的控制的方法。在该方法中,在网络节点处,从签约网络节点的主机接收具有数字签名的检测报告,其中,检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及不期望业务的加密检测结果,并且加密检测结果基于网络节点未知的同态加密密钥。验证各检测报告的数字签名。然后,通过应用基于同态的算法来聚合与同一源主机有关的检测报告的加密检测结果,并基于聚合结果来确定将要被监控的可疑源主机。
根据另一个实施例,提供一种用于不期望网络业务的控制的方法。在该方法中,从网络节点接收报告。响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符,其中加密检测结果基于网络节点未知的同态加密密钥,用与同态加密密钥成对的同态解密密钥来解密聚合结果。然后,基于所解密的聚合结果,确定源主机是否是将要被监控的可疑源主机,并且将确定结果和源主机的匿名标识符发送到网络节点。响应于报告是具有数字签名的监控报告,其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果,验证数字签名。然后,用同态解密密钥来对加密检测结果进行解密。基于检测结果和监控结果,评估可疑源主机的全局信任。响应于全局信任满足第四条件,确定可疑源主机是真正的不期望业务源。最后,将全局信任和真正的不期望业务源的标识符发送到网络节点。在该方法中,第三标识符是网络节点的匿名标识符,第四标识符是可疑源主机的匿名标识符。
根据另一个实施例,提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行:检测流经签约网络节点的主机的不期望业务;使用网络节点未知的同态加密密钥,对不期望业务的检测结果进行加密;生成检测报告,其包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果;以及利用主机的公钥基础设施(PKI)公钥/私钥对来对检测报告进行签名。
根据另一个实施例,提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行:在网络节点处,从签约网络节点的主机接收具有数字签名的检测报告,其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及不期望业务的加密检测结果,其中加密检测结果基于网络节点未知的同态加密密钥;验证各检测报告的数字签名;聚合与同一源主机有关的检测报告的加密检测结果;以及基于聚合结果来确定将要被监控的可疑源主机。
根据另一个实施例,提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行:从网络节点接收报告;响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符,其中加密检测结果基于网络节点未知的同态加密密钥,用与同态加密密钥成对的同态解密密钥来解密聚合结果;基于所解密的聚合结果,确定源主机是否是将要被监控的可疑源主机;将确定结果和源主机的匿名标识符发送到网络节点;响应于报告是具有数字签名的监控报告,其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果,验证数字签名;用同态解密密钥来对加密检测结果进行解密;基于所解密的检测结果和监控结果,评估可疑源主机的全局信任;响应于全局信任满足第四条件,确定可疑源主机是真正的不期望业务源;以及将全局信任和真正的不期望业务源的标识符发送到网络节点。在该装置中,第三标识符是网络节点的匿名标识符,第四标识符是可疑源主机的匿名标识符。
根据另一个实施示例,提供一种计算机程序产品,其包括一个或多个指令的一个或多个序列,所述指令在由一个或多个处理器执行时使装置至少执行上述的用于不期望网络业务的控制的方法的步骤。
根据另一个实施例,提供一种用于不期望网络业务的控制的装置。该装置包括:用于检测流经签约网络节点的主机的不期望业务的装置;用于使用网络节点未知的同态加密密钥来对不期望业务的检测结果进行加密的装置;用于生成检测报告的装置,其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果;以及用于利用主机的公钥基础设施(PKI)公钥/私钥对来对检测报告进行签名的装置。
根据另一个实施例,提供一种用于不期望网络业务的控制的装置。该装置包括:用于在网络节点处从签约网络节点的主机接收具有数字签名的检测报告的装置,其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符;以及不期望业务的加密检测结果,其中加密检测结果基于网络节点未知的同态加密密钥;用于验证各检测报告的数字签名的装置;用于通过应用基于同态的计算来聚合与同一源主机有关的检测报告的加密检测结果的装置;以及用于基于聚合结果来确定将要被监控的可疑源主机的装置。
根据另一个实施例,提供一种用于不期望网络业务的控制的装置。该装置包括:用于从网络节点接收报告的装置;用于响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符,用与同态加密密钥成对的同态解密密钥来解密聚合结果的装置,其中加密检测结果基于网络节点未知的同态加密密钥;用于基于所解密的聚合结果来确定所述源主机是否是将要被监控的可疑源主机的装置;用于向网络节点发送确定结果和源主机的匿名标识符的装置;用于响应于报告是具有数字签名的监控报告来验证数字签名的装置,其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果;用于用同态解密密钥来对加密检测结果进行解密的装置;用于基于所解密的检测结果和监控结果来评估可疑源主机的全局信任的装置;用于响应于全局信任满足第四条件来确定可疑源主机是真正的不期望业务源的装置;以及用于将全局信任和真正的不期望业务源的标识符发送到网络节点的装置。在该装置中,第三标识符是网络节点的匿名标识符,第四标识符是可疑源主机的匿名标识符。
通常,在本说明书中使用的所有术语将根据其在本技术领域中的通常含义进行解释,除非在此另有明确定义。所有对于“一个/该(元件、设备、装置、部件、步骤等)”的引用将被公开地解释为引用所述元件、设备、装置、部件、步骤等的至少一个实例,除非另有明确说明。本文公开的任何方法的步骤不必按照所公开的确切顺序来执行,除非明确说明。
本领域的技术人员将理解,以上仅仅是对下面更详细描述的主题的介绍。本发明的其它目的、特征和优点将从以下的详细公开内容、所附的从属权利要求和附图中显现。
附图说明
对于本发明及其某些优点的更全面的理解可以通过参考以下结合附图的描述来获得,其中,相同的附图标记表示相同的特征,并且其中:
图1是其中本发明的实施例的用于不期望网络业务的控制的方法可实施的系统的示例性框图;
图2是示出根据本发明的第一实施例的用于不期望网络业务的控制的方法的流程图;
图3是示出如图2所示的检测不期望业务的过程的流程图;
图4是示出根据本发明的第二实施例的用于不期望网络业务的控制的方法的流程图;
图5是示出根据本发明的第三实施例的用于不期望网络业务的控制的方法的流程图;
图6是示出根据本发明的第四实施例的用于不期望网络业务的控制的方法的流程图;
图7是示出如图6所示的评估全局信任的过程的流程图;
图8是示出根据本发明的第五实施例的用于不期望网络业务的控制的方法的流程图;
图9是示出根据本发明的实施例的用于不期望网络业务的控制的装置的示意性框图。
具体实施方式
在以下各种例示性的实施例的描述中,参考了附图,其形成该描述的一部分,并且在附图中通过图示的方式示出了可以实践本发明的各种示例性实施例。应当理解,在不脱离本发明的范围的情况下,也可以使用其它实施例,并可进行结构和功能的修改。
本发明的用于不期望网络业务的控制的方法的实施例是基于对网络系统(诸如因特网、通信网络、移动蜂窝网络等)中的网络实体的信任管理,并且考虑网络实体的隐私。
图1示出了其中用于不期望网络业务的控制的方法的实施例可实施的网络系统的示例。如图1所示,网络系统包括至少一个主机Host_11、Host_12、…、Host_1m、…、Host_n1、Host_n2、…、Host_nm,至少一个网络节点Node_1、…、Node_n,以及可执行信任管理的称为全局信任操作者(GTO)的实体。主机和网络节点可统称为网络实体。
在本实施例中,主机可以是任何签约网络节点并连接到该网络节点以访问由该网络节点提供的服务的网络设备。主机可以例如是计算机(诸如个人计算机、膝上型计算机、笔记本等)、通信终端(诸如移动电话、智能电话)等。
网络节点可以是诸如因特网服务提供商(ISP)网络的服务提供商网络的节点,其向它自己的签约主机提供服务。
GTO是与网络节点不同的实体,并可与网络节点进行通信。GTO相当于被授权方,并如实地进行计算。在实施例中,GTO可被部署为云服务提供商的云计算服务。
根据本发明的用于不期望网络业务的控制的方法的实施例可在如图1所示的主机、网络节点和实体处或由它们合作执行。在不期望网络业务的控制期间,在实施例中,在主机处,不期望业务的检测报告被应用部分同态加密(HE)机制,并被发送到网络节点。在另一个实施例中,在网络节点处,在GTO的支持下,检测报告用于找到不期望业务源。然后,网络节点可监控可疑源的业务,并将监控报告和检测报告一起发送到GTO。在另一个实施例中,GTO可基于监控报告和检测报告来对主机和网络节点执行信任评估,以确定真正的不期望业务源。
在本发明的实施例中,网络节点不应知道来自主机的检测报告的内容,但知道主机的真实标识符。GTO不应知道主机和网络节点的真实标识符,但应该知道检测报告的内容。这样,能够实现网络实体的隐私保护。
在一种实施方式中,如图1所示的网络系统可基于软件定义网络。在这种情况下,在主机和网络节点处执行的业务监控可在数据平面实施,在GTO处执行的不期望业务源的信任评估和确定可在控制平面实施。
下面,结合附图详细描述分别在主机、网络节点和GTO处执行的用于不期望网络业务的控制的方法。
图2示出了根据本发明的第一实施例的用于不期望网络业务的控制的方法的流程图。在本实施例中,该方法在主机处执行或由主机执行。
如图2所示,在步骤S202,检测流经主机的不期望业务。在本实施例中,检测可通过监控主机的本地业务、监控主机在本地业务上的行为和检查本地业务的内容相似性来执行。通常,业务由多个内容构成,并且为了简单起见,术语“业务”和“内容”在下文中可交替使用。
图3示出了在主机处检测不期望业务的过程的示意性流程图。如图3所示,在步骤S302,监控主机的进入业务。监控主机Uk(k=1,2,…,K)的进入业务的目的是检测主机Uk是否已经被入侵。主机的进入业务的增加表明可能被入侵。
在实施例中,业务监控结果可用第一指标
Figure BDA0001505415900000081
表示为:
Figure BDA0001505415900000082
其中,
Figure BDA0001505415900000083
表示在时间t主机Uk的进入业务,
Figure BDA0001505415900000084
f(·)表示S型函数。因此,第一指标
Figure BDA0001505415900000085
被归一化到区间(0,1)。第一指标
Figure BDA0001505415900000086
越大,主机Uk则越可能被入侵。
然后,在步骤S304,如果第一指标
Figure BDA0001505415900000087
满足第一条件,例如,第一指标
Figure BDA0001505415900000088
不小于用于触发相似性检查的第一预定阈值THR1,则检查进入业务的内容的相似性。在大多数的网络入侵中,相似的内容可被多次发送到同一主机。由主机接收的内容的相似性可在一定程度上反映是不期望内容的可能性。
在实施例中,对于由主机Uk在时间窗
Figure BDA0001505415900000089
内接收的一组相似大小的内容
Figure BDA00015054159000000810
其中,T是用于归一化内容处理时间的时间窗,内容的相似性Ek可计算为:
Figure BDA00015054159000000811
其中,
Figure BDA00015054159000000812
是在内容
Figure BDA00015054159000000813
与内容
Figure BDA00015054159000000814
之间的差值,并可基于语义相关性度量来计算,θ(I)是瑞利(Rayleigh)累积分布函数,即
Figure BDA0001505415900000091
另外,
Figure BDA0001505415900000092
可以是由主机Uk接收的第i个内容的散列代码。
由于主机Uk可接收多组相似内容,因此,由主机Uk接收的进入业务的相似性可如下通过考虑所有相似内容来计算:
Figure BDA0001505415900000093
其中,M’是相似内容的组的数量。组中相似内容的数量越大,相似内容越可能是不期望的。在公式(2)、(3)中,瑞利累积分布函数θ(I)用于考虑整数I的影响。
另一方面,如果第一指标
Figure BDA0001505415900000094
小于第一预定阈值THR1,则主机继续监控它的进入业务。
在步骤S306,监控主机Uk在处理进入业务中的行为。主机Uk在处理所接收的业务中的行为可暗示主机想要该内容或者厌恶该内容。因此,关于主机的行为的监控结果可用于表明业务是否是主观个人需求想要的。
在实施例中,行为监控结果可用第二指标τi表示为:
Figure BDA0001505415900000095
如果
Figure BDA0001505415900000096
其中,
Figure BDA0001505415900000097
表示内容
Figure BDA0001505415900000098
的丢弃时间,
Figure BDA0001505415900000099
表示内容
Figure BDA00015054159000000910
的接收时间。丢弃时间可以例如是将内容移动到垃圾文件夹或指定内容是不期望的时间。第二指标τi越大,内容
Figure BDA00015054159000000911
越可能是主机Uk不期望的。
另外,如果
Figure BDA00015054159000000912
则第二指标τi将不应计算在内。
尽管步骤S302、S304和S306在以上被描述为顺序地执行,但本领域的技术人员可以理解,步骤S306也可以与步骤S302、S304并行地执行。
然后,在步骤S308,基于由第一指标
Figure BDA00015054159000000913
表示的业务监控结果、内容的相似性sim_ink和由第二指标τi表示的行为监控结果,获得检测结果。
在实施例中,检测结果可由值
Figure BDA00015054159000000914
表示,其表明内容
Figure BDA00015054159000000915
是在时间t由主机Uk表明的不期望内容的可能性。在实施例中,值
Figure BDA0001505415900000101
可如下计算:
Figure BDA0001505415900000102
返回图2,在步骤S204,用同态加密密钥加密检测结果。如上所述,网络节点不应知道主机的检测结果,但GTO应知道它以用于信任评估。因此,同态加密密钥对于网络节点是不知道的,并可由GTO生成并向主机发布。
在实施例中,例如,由GTO基于Paillier密码系统来生成一对同态加密密钥HE_PK和同态解密密钥HE_SK。然后,同态加密密钥HE_PK被发布给相关的主机,并且主机可用它来加密检测结果。
为了避免生成过多的检测报告,检测结果可通过第二条件来过滤。例如,如果检测结果的值
Figure BDA0001505415900000103
不小于用于触发检测报告的第二预定阈值THR2,则检测结果将被加密。否则,检测结果被丢弃。
然后,在步骤S206,生成检测报告。检测报告可包括主机Uk的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果
Figure BDA0001505415900000104
在实施例中,第一标识符可以是标识主机的真实标识符或者是主机的匿名标识符。例如,真实标识符可以是主机的IP地址。匿名标识符可隐藏主机的真实标识符以使得接收机不能知道真实标识符,也可唯一地标识主机。例如,匿名标识符可以是真实标识符的散列代码。另外,主机的匿名标识符可通过以网络节点知道但GTO未知的特定方式对真实标识符进行编码来获得。
源主机可以是被其它主机投诉发送不期望业务的主机。第二标识符可以是标识源主机的真实标识符或者是源主机的匿名标识符。在实施例中,真实标识符可以是源主机的IP地址,匿名标识符可以是源主机的IP地址的散列代码。
内容标识符用于标识不期望业务,并可以是内容的散列代码。在上面的描述中,
Figure BDA0001505415900000105
可以是内容标识符。
因此,检测报告可被表示为
Figure BDA0001505415900000106
其中,k是主机的第一标识符,k’是源主机的第二标识符,i表示内容标识符,t表示主机的报告时间,
Figure BDA0001505415900000111
是所加密的检测结果。
在生成检测报告后,在步骤S208,用主机的公钥基础设施(PKI)公钥/私钥对的私钥来对检测报告进行签名,因此,检测报告具有数字签名。然后,具有数字签名的检测报告将被自动发送到主机签约的网络节点。
数字签名可用于解决不可否认性问题和确保检测报告的完整性。在实施例中,签名在检测报告的散列代码上签署。
主机可生成它自己的公钥/私钥对,并与该主机签约的网络节点共享公钥。网络节点可在接收到主机的检测报告后用该公钥验证数字签名。
图4示出了根据本发明的第二实施例的用于不期望网络业务的控制的方法的流程图。在本实施例中,该方法在网络节点处或者由网络节点执行。
如图4所示,在步骤S402,在网络节点处,从签约网络节点的主机接收检测报告。该检测报告具有由主机签署的数字签名。
如上所述,检测报告包括主机的第一标识符、源主机的第二标识符、内容标识符和加密检测结果。加密检测结果是基于同态加密密钥HE_PK。
然后,在步骤S404,验证各检测报告的数字签名。如上所述,主机与网络节点共享它的PKI公钥/私钥对的公钥,网络节点可使用主机的公钥来验证由主机签署的数字签名。
网络节点用主机的公钥来对检测报告进行解密,并在本地计算检测报告的散列代码。如果所接收的解密的散列代码与在本地计算的散列代码相匹配,则它意味着检测报告确实由与网络节点共享公钥的主机发送,并且数字签名是有效的。
由于网络节点不知道同态加密密钥,因此,网络节点不能对加密检测结果进行解密,因此,不能知道检测报告的内容。基于以上事实,网络节点不能自己找到可疑源主机。在本实施例中,网络节点与GTO合作以确定可疑源主机。
在步骤S406,网络节点聚合与同一源主机有关的检测报告的加密检测结果。网络节点可基于源主机的第二标识符和内容标识符来确定哪些检测报告与同一源主机有关。然后,网络节点可对加密检测结果执行加法、乘法和除法以获得聚合结果。
由于检测结果用同态加密密钥进行加密,因此,加密检测结果的聚合结果可用对应的同态解密密钥来被解密为原始检测结果的聚合结果。
通常,同态加密机制具有同态加法属性和同态常数乘法属性。具体地,同态加密具有以下特点:
Figure BDA0001505415900000121
E(m×k)=E(m)k
其中,E(·)表示采用同态加密密钥HE_PK的加密函数,mi表示将要被加密的明文,E(mi)≠0。相应地,同态解密密钥具有以下特点:
Figure BDA0001505415900000122
D{E(m)k}=m×k
其中,D(·)表示采用与同态加密密钥HE_PK对应的同态解密密钥HE_SK的解密函数。
Paillier密码系统是具有上述特点的同态加密机制的例子。
在本实施例中,网络节点基于加密检测结果
Figure BDA0001505415900000123
如下计算聚合结果s_ei(t):
Figure BDA0001505415900000124
其中,
Figure BDA0001505415900000125
是主机Uk在时间t的全局信任的值,
Figure BDA0001505415900000126
是主机Uk在时间t的检测信任的值。关于全局信任和检测信任的详情将在后面描述。
然后,在步骤S408,网络节点基于聚合结果来确定将要被监控的可疑源主机。在实施例中,确定条件是检测结果的聚合结果满足预定条件。然而,网络节点由于不知道检测结果而不能聚合检测结果。网络节点应与GTO合作,GTO可知道检测结果以找到可疑源主机。
在该步骤中,网络节点将聚合结果和源主机的匿名标识符发送到GTO。如上所述,为了保护隐私,GTO不应知道网络实体的真实标识符。因此,源主机的匿名标识符被发送到GTO。
如果检测报告中的源主机的第二标识符是源主机的真实标识符,则网络节点计算第二标识符的散列代码,作为源主机的匿名标识符。
然后,网络节点可从GTO接收表明源主机是否是可疑源主机的确定结果和源主机的匿名标识符。在GTO处确定可疑源主机的过程将在后面描述。如果源主机是可疑源主机,则网络节点检查该源主机是否签约该网络节点。网络节点可对其日志中的主机的标识符执行散列处理,并将作为可疑源主机的匿名标识符的散列代码与所计算的散列代码进行比较,以确定可疑源主机是否签约网络节点。
在确定了可疑源主机之后,网络节点可对可疑源主机采取任何措施。例如,网络节点可对可疑源主机采取行政措施或处以违约金。
在如图5所示的另一个实施例中,在确定了可疑源主机(步骤S408)后,网络节点监控流经可疑源主机的业务(步骤S502)。可疑源主机的业务监控类似于在主机处的不期望业务的检测。
监控可疑源主机的业务的目的是进一步找到具有一定可信度的真正的不期望业务源。网络节点监控可疑源主机Uk'的出站业务。业务监控结果可由第三指标
Figure BDA0001505415900000131
如下表示:
Figure BDA0001505415900000132
其中,
Figure BDA0001505415900000133
是可疑源主机Uk'在时间t的出站业务。
然后,网络节点检查出站业务的内容的相似性。与公式(3)类似,从可疑源主机Uk'发送的M组相似内容的相似性可被计算为:
Figure BDA0001505415900000134
然后,网络节点n关于可疑源主机Uk'的监控结果可基于业务监控结果和内容的相似性而获得。在本实施例中,监控结果可由值
Figure BDA0001505415900000135
表示,其被如下计算:
Figure BDA0001505415900000136
然后,在步骤S504,如果监控结果
Figure BDA0001505415900000137
满足第三条件,例如,监控结果
Figure BDA0001505415900000138
不小于用于触发监控报告的第三预定阈值THR3,则生成监控报告。监控报告可包括网络节点的第三标识符、可疑源主机的监控报告、可疑源主机的第四标识符以及来自不同主机的与可疑源主机有关的加密检测结果。第三标识符和第四标识符是匿名标识符。在实施例中,网络节点的第三标识符可以是网络节点的IP地址的散列代码,可疑源主机的第四标识符可以是可疑源主机的IP地址的散列代码。
因此,监控报告可被表示为
Figure BDA0001505415900000141
其中,n表示网络节点的第三标识符,
Figure BDA0001505415900000142
表示监控结果,k’表示可疑源主机Uk'的第四标识符,
Figure BDA0001505415900000143
表示来自主机Uk的与可疑源主机有关的加密检测结果。
如果监控结果
Figure BDA0001505415900000144
不满足第三条件,则进行步骤S502,网络节点继续监控可疑源主机的业务。
然后,在步骤S506,使用网络节点的公钥基础设施(PKI)公钥/私钥对的私钥来对监控报告进行签名,因此,监控报告具有数字签名。在本实施例中,签名在监控报告的散列代码上前述。然后,具有数字签名的监控报告将发送到GTO以用于信任评估。
网络节点可生成它自己的PKI公钥/私钥对,并与GTO共享公钥。GTO可在接收到来自网络节点的监控报告时用网络节点的公钥来验证数字签名。
图6是示出了根据本发明的第四实施例的用于不期望网络业务的控制的方法的流程图。在本实施例中,该方法在实体GTO处执行或由实体GTO执行。
在本实施例中,GTO主要实施两个过程,即,基于来自网络节点的聚合结果来确定可疑源主机,以及基于来自网络节点的关于可疑源主机的监控报告来确定真正的不期望业务源。在这两个过程期间,GTO仅知道检测报告的内容,而并不知道报告的主机和网络节点的真实标识符。
如图6所示,在步骤S602,从网络节点接收报告。然后,确定所接收的报告是否是监控报告。
如果报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符,则在步骤S604,使用同态解密密钥HE_SK对该报告进行解密。如上所述,GTO可生成一对同态加密密钥HE_PK和同态解密密钥HE_SK,并与主机共享同态加密密钥HE_PK。主机可使用同态加密密钥HE_PK来加密检测结果,然后,网络节点计算加密检测结果的聚合结果。因此,GTO可使用同态解密密钥HE_SK对加密检测结果的聚合结果进行解密,以获得检测结果的聚合结果。
由于源主机的匿名标识符,因此,GTO不知道源主机的真实标识符。
然后,在步骤S606,基于所解密的聚合结果,确定源主机是否是将要被监控的可疑源主机。如上所述,加密检测结果的聚合结果可被表示为s_ei(t),所解密的聚合结果可被表示为si(t)。网络节点将所解密的聚合结果si(t)与用于触发在网络节点处的监控的预定阈值THR5进行比较。如果所解密的聚合结果不小于预定阈值THR5(对应于“第五条件”),则确定源主机是可疑源主机。如果所解密的聚合结果小于预定阈值THR5,则源主机不被确定为可疑源主机。
在实施例中,确定结果可由指标sik'表示。如果si(t)≥thr0,则sik'=1,其表明源主机是可疑源主机。如果si(t)<thr0,则sik'=0,其表明源主机不是可疑源主机。
在步骤S608,确定结果和源主机的匿名标识符被发送到网络节点,这样网络节点可监控可疑源主机的业务。另外,确定结果和源主机的匿名标识符也可被发送到与GTO连接的所有网络节点,以触发在不同的网络节点处监控可疑源主机的业务。
如果所接收的报告是具有数字签名的监控报告,则在步骤S610,GTO验证该签名。如上所述,网络节点生成它自己的PKI公钥/私钥对,并与GTO共享公钥。因此,GTO可使用网络节点的公钥来解密监控报告,并计算监控报告的散列代码。如果所接收的监控报告的所解密的散列代码与所计算的散列代码相匹配,则签名被验证为有效。
应注意,GTO可接收来自与该GTO连接的不同的网络节点的多个监控报告,并且所接收的监控报告可以与同一可疑源主机有关。在以下的描述中,假设GTO接收来自N个网络节点的与可疑源主机Uk'有关的监控报告,并且这些监控报告包括来自K1个主机的与可疑源主机Uk'有关的加密检测结果。
在步骤S612,在监控结果中包括的加密检测结果使用同态解密密钥HE_SK来解密。
然后,在步骤S614,基于来自K1个主机的检测结果和来自N个网络节点的监控结果,对可疑源主机评估全局信任。在本实施例中,全局信任用于表明可疑源主机是真正的不期望业务源的可能性。
图7示出了评估全局信任的过程的流程图。如图7所示,在步骤S702,聚合来自K1个主机的检测结果。主机Uk(k=1,…,K1)可在不同的时间t多次报告检测报告。考虑时间的影响,考虑最近的检测报告。因此,在本实施例中,时间衰减因子
Figure BDA0001505415900000161
用于衰减检测结果
Figure BDA0001505415900000162
其中,tp是信任评估时间,τ是控制时间衰减的参数。来自K1个主机的检测结果的聚合结果可如下表示:
Figure BDA0001505415900000163
其中,
Figure BDA0001505415900000164
是主机Uk在时间tp的检测信任的值,
Figure BDA0001505415900000165
是主机Uk在时间tp的全局信任的值。应注意,在公式(6)和(10)中的主机的全局信任的值和检测信任的值实际上可使用主机的最后的评估值。
然后,在步骤S704,聚合来自N个网络节点的监控结果。由于来自网络节点的报告将立即触发在GTO处的信任评估,因此,时间衰减可被忽略。在本实施例中,监控结果的聚合结果可如下表示:
Figure BDA0001505415900000166
其中,
Figure BDA0001505415900000167
是网络节点n在时间tp的检测信任的值,
Figure BDA0001505415900000168
是网络节点n在时间tp的全局信任的值,
Figure BDA0001505415900000169
表示来自网络节点n的关于可疑源主机Uk'的监控结果。应注意,在公式(11)中的网络节点的全局信任的值和检测信任的值实际上可使用网络节点的最后的评估值。
然后,在步骤S706,基于检测结果的聚合结果和监控结果的聚合结果,计算全局信任。在本实施例中,全局信任的值可通过从最后的全局信任的评估值中减去检测结果的聚合结果和监控结果的聚合结果来计算。考虑主机和网络节点的数量,全局信任的值可如下计算:
Figure BDA0001505415900000171
其中,θ(·)是瑞利累积分布函数,utk'表示最后的全局信任的评估值。对于每个网络实体(例如,主机、网络节点),全局信任可被初始化为1,这意味着网络实体是好的实体。
尽管上文详细描述了可疑源主机的全局信任的评估,但是,本领域的技术人员可以理解,对于其它主机和网络节点的全局信任的评估是类似的。为了简单起见,网络节点的全局信任可总是被设置为1。
另外,在一些实施例中,可从公式(10)、(11)中除去检测信任。
返回图6,在步骤S616,如果可疑源主机的全局信任满足第四条件,例如,全局信任小于用于确定不期望业务源的预定阈值THR4,则可疑源主机被确定为真正的不期望业务源。
然后,在步骤S618,全局信任和真正的不期望业务源的标识符被发送到网络节点。网络节点可对真正的不期望业务源采取任何措施。此外,所评估的全局信任可由网络节点在聚合加密检测结果中使用。在实施例中,真正的不期望业务源的标识符可被添加到黑名单中,并且黑名单和全局信任被提供给网络节点。应注意,真正的不期望业务源的标识符是它的匿名标识符,而网络节点应该找到真正的不期望业务源的真实标识符以执行业务过滤和控制。
在如图8所示的另一个实施例中,在确定了真正的不期望业务源(步骤S616)后,在步骤S802,GTO可对发送监控报告的网络节点和发送检测报告的主机执行检测信任的评估。
在本实施例中,检测信任表示主机的检测报告的可信度或网络节点的监控报告的可信度。由于多种原因,主机或网络节点可能不报告正确的检测结果或监控结果。例如,主机或网络节点可能被入侵,或者主机或网络节点有意陷害其它主机,或者在主机中安装的检测工具坏了,或者检测工具是劣质的而检测不合格。这些可导致检测报告或监控报告的质量的降低。检测信任可用于表明检测报告或监控报告的质量。
现在,检测信任的评估的过程如下描述,该过程包括对各个主机评估检测信任和对各个网络节点评估检测信任。
在评估主机的检测信任中,首先,检查主机的检测结果是否与在步骤S614中评估的真正的不期望业务源的全局信任相匹配。这可通过计算检测结果与全局信任之间的偏差并将该偏差与预定阈值thr1进行比较来实现。如果偏差小于阈值thr1,则表明检测结果与全局信任相匹配,主机的检测信任将被增加。如果偏差大于阈值thr1,则表明检测结果与全局信任不匹配,检测信任将被降低。
在实施例中,主机Uk在时间t的检测信任
Figure BDA0001505415900000181
可如下计算:
Figure BDA0001505415900000182
其中,dtk表示最后的所评估的检测信任,δ>0是控制检测信任的变化的参数,y是表明检测结果的匹配或不匹配的标志,γ是记录不匹配的检测结果的数量的警告标志,thr3是表明开关和抵触行为攻击的阈值,μ>0是控制不匹配的检测惩罚的参数。可以看出,检测信任在[0,1]范围内,并可被初始化为0.5。
如果检测结果与全局信任相匹配,则y=1且γ不变。如果检测结果与全局信任不匹配,则y=-1且γ++。γ的初始值是0。
评估网络节点的检测信任可采用与如上所述的评估主机的检测信任相同的方式执行。本领域的技术人员可以理解,公式(13)也应用于网络节点的检测信任的计算。
主机的检测信任的评估和网络节点的检测信任的评估可依次或并行地执行。
然后,在步骤S804,网络节点的检测信任和主机的检测信任被发送到所有网络节点。因此,网络节点可在聚合所解密的检测结果中使用最新的检测信任。
显然,本领域的技术人员可以理解,检测信任可与真正的不期望业务源的确定结果和全局信任一起发送。
采用如图2至图8所示的实施例的方法,网络节点没有办法知道来自主机的检测报告的内容,并且仅可对加密检测报告执行聚合,而无需知道检测报告的明文。GTO可知道检测报告的内容,但不知道主机和网络节点的真实身份。主机和网络节点的匿名标识符可确保身份隐私。本发明的实施例可实现在网络节点处的报告和聚合上的隐私保护,并实现在GTO处的身份隐私保护。另外,本发明的实施例采用PKI机制以确保报告的不可否认性和完整性,并采用同态加密机制以确保网络节点不能访问检测报告的内容,并因此保护主机的隐私。
图9是示出了根据本发明的实施例的装置900的示意性框图。在图9中,装置900可包括数据处理器(DP)900A、存储程序(PROG)900C的存储器(MEM)900B、和发送/接收部900D。
在实施例中,假定PROG 900C中的至少一个包括程序指令,其在由关联的DP 900A执行时使装置900可根据如上所述的图2和图3所示的方法的示例性实施例来运行。也就是说,图2和图3所示的方法的示例性实施例至少部分地由能够由装置900的DP 900A执行的计算机软件、或者由硬件、或者由软件和硬件的组合来实现。
在另一个实施例中,程序指令可使装置900能够根据如上所述的图4和图5所示的方法的示例性实施例来运行。
在另一个实施例中,程序指令可使装置900能够根据如上所述的图6至图8所示的方法的示例性实施例来运行。
MEM 900B可以是任何适合于本地技术环境的类型,并可使用任何合适的数据存储技术实现,诸如基于半导体的存储设备、闪存、磁性存储设备和系统、光存储设备和系统、固定存储器和可移除存储器。DP 900A可以是任何适合于本地技术环境的类型,并作为非限制性示例,可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器体系结构的处理器中的一个或多个。
通常,各种示例性实施例可以采用硬件或专用电路、软件、逻辑或其任何组合实现。例如,一些方面可以在硬件中实现,而其它方面可在可以由控制器、微处理器或其它计算设备执行的固件或软件中实现,尽管本发明并不限于此。虽然本发明的示例性实施例的各种方面可以被例示或描述为框图、流程图或使用一些其它图示,但应当理解,本文所述的这些块、装置、系统、技术或方法可作为非限制性示例在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或其组合中实现。
因此,应当理解,本发明的示例性实施例中的至少一些方面可以采用诸如集成电路芯片和模块的各种组件实现。因此,应当理解,本发明的示例性实施例可以在体现为集成电路的装置中实现,其中集成电路可以包括用于体现数据处理器、数字信号处理器中的至少一个或多个的电路(以及可能的固件)、基带电路、和射频电路,这些电路是可配置的以便根据本发明的示例性实施例运行。
应当理解,本发明的示例性实施例的至少一些方面可以体现在由一个或多个计算机或其它设备执行的(诸如在一个或多个程序模块中的)计算机可执行指令。通常,程序模块包括在由计算机或其它设备中的处理器执行时执行特定任务或实现特定抽象数据的例程、程序、对象、组件、数据结构等。计算机可执行指令可存储在诸如硬盘、光盘、可移除存储介质、固态存储器、RAM等的计算机可读取介质上。如本领域中的技术人员将理解的,程序模块的功能可以如在各种实施例中所期望的被组合或分布。此外,功能可以整体或部分地体现在诸如集成电路、现场可编程门阵列(FPGA)等的固件或硬件等同物中。
本发明包括在此明确公开的任何新颖的特征或特征的组合或其任何概括。当结合附图阅读时,鉴于前面的描述,对本发明的前面的示例性实施例的各种修改和调整对于相关领域的技术人员而言将变得显而易见。然而,任何和所有修改仍将落入本发明的非限制性和示例性实施例的范围内。

Claims (40)

1.一种由主机执行的用于不期望网络业务的控制的方法,包括:
检测流经所述主机的不期望业务,其中所述主机签约网络节点;
使用所述网络节点未知的同态加密密钥,对所述不期望业务的检测结果进行加密,其中所述检测结果指示所述主机的进入业务是所述不期望业务的可能性;
生成检测报告,其中,所述检测报告包含所述主机的第一标识符、向所述主机发送所述不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所加密的检测结果;
利用所述主机的公钥基础设施(PKI)公钥/私钥对,对所述检测报告进行签名;以及
将签名的检测报告发送到所述网络节点以用于可疑源主机的确定。
2.根据权利要求1所述的方法,其中,检测不期望业务包括:
监控所述主机的所述进入业务;
响应于业务监控结果满足第一条件,检查所述进入业务的内容的相似性;
监控所述主机在处理所述进入业务中的行为;以及
基于所述业务监控结果、所述内容的相似性以及行为监控结果,获得检测结果。
3.根据权利要求1所述的方法,其中,所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符,
所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符,
所述内容标识符是所述内容的散列代码。
4.根据权利要求3所述的方法,其中,所述匿名标识符是真实标识符的散列代码。
5.根据权利要求1所述的方法,其中,响应于所述检测结果满足第二条件,对所述检测结果进行加密。
6.一种由网络节点执行的用于不期望网络业务的控制的方法,包括:
在所述网络节点处,从签约所述网络节点的主机接收具有数字签名的检测报告,其中,所述检测报告包含所述主机的第一标识符、向所述主机发送不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所述不期望业务的加密检测结果,其中,所述加密检测结果是基于所述网络节点未知的同态加密密钥对指示所述主机的进入业务是所述不期望业务的可能性的检测结果加密而获得的;
利用所述主机的公钥基础设施(PKI)公钥/私钥对中的公钥,验证相应的检测报告的数字签名;
聚合与同一源主机有关的检测报告的加密检测结果;
向不同于所述网络节点的实体发送聚合结果和对应的源主机的匿名标识符;以及
从所述实体接收表明所述源主机是否是将要被监控的可疑源主机的确定结果和所述对应的源主机的匿名标识符。
7.根据权利要求6所述的方法,进一步包括:
监控流经所述可疑源主机的业务;
响应于监控结果满足第三条件,生成监控报告,所述监控报告包含所述网络节点的第三标识符、所述可疑源主机的监控结果、所述可疑源主机的第四标识符、以及与所述可疑源主机有关的加密检测结果;
利用所述网络节点的公钥基础设施(PKI)公钥/私钥对,对所述监控报告进行签名;以及
将签名的监控报告发送到所述实体;
其中,所述第三标识符是所述网络节点的匿名标识符,
其中,所述第四标识符是所述可疑源主机的匿名标识符。
8.根据权利要求6的所述方法,其中,所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符,
所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符,
所述内容标识符是所述内容的散列代码。
9.根据权利要求7或8所述的方法,其中,所述匿名标识符是真实标识符的散列代码。
10.根据权利要求6所述的方法,还包括:
检查所述可疑源主机是否签约所述网络节点。
11.根据权利要求7所述的方法,其中,监控流经所述可疑源主机的业务包括:
监控所述可疑源主机的出站业务;
检查所述出站业务的内容的相似性;以及
基于业务监控结果和所述内容的相似性,获得监控结果。
12.一种用于不期望网络业务的控制的方法,包括:
从网络节点接收报告;
响应于所述报告包含与同一源主机有关的加密检测结果的聚合结果和所述源主机的匿名标识符,其中所述加密检测结果基于所述网络节点未知的同态加密密钥,用与所述同态加密密钥成对的同态解密密钥来解密所述聚合结果;
基于所解密的聚合结果,确定所述源主机是否是将要被监控的可疑源主机;
向所述网络节点发送确定结果和所述源主机的匿名标识符;
响应于所述报告是具有数字签名的监控报告,其中所述监控报告包含所述网络节点的第三标识符、可疑源主机的监控结果、所述可疑源主机的第四标识符、以及关于所述可疑源主机的加密检测结果,验证所述数字签名;
用所述同态解密密钥来对所述加密检测结果进行解密;
基于所解密的检测结果和监控结果,评估所述可疑源主机的全局信任;
响应于所述全局信任满足第四条件,确定所述可疑源主机是真正的不期望业务源;以及
向所述网络节点发送所述全局信任和所述真正的不期望业务源的标识符;
其中,所述第三标识符是所述网络节点的匿名标识符,
其中,所述第四标识符是所述可疑源主机的匿名标识符。
13.根据权利要求12所述的方法,进一步包括:
基于所述真正的不期望业务源的全局信任,评估所述网络节点的检测信任;
基于所述真正的不期望业务源的全局信任,评估提供所述加密检测结果的各主机的检测信任;以及
向所述网络节点发送所述检测信任。
14.根据权利要求12所述的方法,其中,基于所解密的结果,确定所述源主机是否是将要被监控的可疑源主机包括:
响应于所解密的结果满足第五条件,确定所述源主机是所述可疑源主机;以及
响应于所解密的结果不满足第五条件,确定所述源主机不是所述可疑源主机。
15.根据权利要求12所述的方法,其中,评估所述可疑源主机的全局信任包括:
聚合所述检测结果;
聚合关于同一可疑源主机的来自不同的网络节点的监控结果;以及
基于所述检测结果的聚合结果和所述监控结果的聚合结果,计算所述全局信任。
16.根据权利要求13所述的方法,其中,评估所述网络节点的检测信任包括:
检查所述网络节点的监控结果是否与所述真正的不期望业务源的全局信任相匹配;
响应于所述网络节点的监控结果与所述真正的不期望业务源的全局信任相匹配,增加所述网络节点的检测信任;以及
响应于所述网络节点的监控结果与所述真正的不期望业务源的全局信任不匹配,降低所述网络节点的检测信任。
17.根据权利要求13所述的方法,其中,评估提供所述加密检测结果的各主机的检测信任包括:
检查所述主机的检测结果是否与所述真正的不期望业务源的全局信任相匹配;
响应于所述主机的检测结果与所述真正的不期望业务源的全局信任相匹配,增加所述网络节点的检测信任;以及
响应于所述主机的检测结果与所述真正的不期望业务源的全局信任不匹配,降低所述网络节点的检测信任。
18.一种用于不期望网络业务的控制的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少执行:
检测流经主机的不期望业务,其中所述主机签约网络节点;
使用所述网络节点未知的同态加密密钥,对所述不期望业务的检测结果进行加密,其中所述检测结果指示所述主机的进入业务是所述不期望业务的可能性;
生成检测报告,其中,所述检测报告包含所述主机的第一标识符、向所述主机发送所述不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所加密的检测结果;
利用所述主机的公钥基础设施(PKI)公钥/私钥对,对所述检测报告进行签名;以及
将签名的检测报告发送到所述网络节点以用于可疑源主机的确定。
19.根据权利要求18所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置与所述至少一个处理器一起使所述装置通过以下操作来检测不期望业务:
监控所述主机的所述进入业务;
响应于业务监控结果满足第一条件,检查所述进入业务的内容的相似性;
监控所述主机在处理所述进入业务中的行为;以及
基于所述业务监控结果、所述内容的相似性、以及行为监控结果,获得检测结果。
20.根据权利要求18所述的装置,其中,所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符,
所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符,
所述内容标识符是所述内容的散列代码。
21.根据权利要求20所述的装置,其中,所述匿名标识符是真实标识符的散列代码。
22.根据权利要求18所述的装置,其中,响应于所述检测结果满足第二条件,对所述检测结果加密。
23.一种用于不期望网络业务的控制的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少执行:
在网络节点处,从签约所述网络节点的主机接收具有数字签名的检测报告,其中,所述检测报告包含所述主机的第一标识符、向所述主机传输不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所述不期望业务的加密检测结果,其中,所述加密检测结果是基于所述网络节点未知的同态加密密钥对指示所述主机的进入业务是所述不期望业务的可能性的检测结果加密而获得的;
利用所述主机的公钥基础设施(PKI)公钥/私钥对中的公钥,验证各检测报告的数字签名;
聚合与同一源主机有关的检测报告的加密检测结果;
向不同于所述网络节点的实体发送聚合结果和对应的源主机的匿名标识符;以及
从所述实体接收表明所述源主机是否是将要被监控的可疑源主机的确定结果和所述对应的源主机的匿名标识符。
24.根据权利要求23所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置还至少执行:
监控流经所述可疑源主机的业务;
响应于监控结果满足第三条件,生成监控报告,所述监控报告包含所述网络节点的第三标识符、所述可疑源主机的监控结果、所述可疑源主机的第四标识符、以及与所述可疑源主机有关的加密检测结果;以及
利用所述网络节点的公钥基础设施(PKI)公钥/私钥对,对所述监控报告进行签名;以及
将签名的监控报告发送到所述实体;
其中,所述第三标识符是所述网络节点的匿名标识符,
其中,所述第四标识符是所述可疑源主机的匿名标识符。
25.根据权利要求23所述的装置,其中,所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符,
所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符,
所述内容标识符是所述内容的散列代码。
26.根据权利要求24或25所述的装置,其中,所述匿名标识符是真实标识符的散列代码。
27.根据权利要求23所述的装置,其中,所述至少一个存储器和所述计算机程序代码进一步被配置为与所述至少一个处理器一起使所述装置:
检查所述可疑源主机是否签约所述网络节点。
28.根据权利要求24所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置通过以下操作来监控流经所述可疑源主机的业务:
监控所述可疑源主机的出站业务;
检查所述出站业务的内容的相似性;以及
基于业务监控结果和所述内容的相似性,获得监控结果。
29.一种用于不期望网络业务的控制的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少执行:
从网络节点接收报告;
响应于所述报告包含与同一源主机有关的加密检测结果的聚合结果和所述源主机的匿名标识符,其中所述加密检测结果基于所述网络节点未知的同态加密密钥,用与所述同态加密密钥成对的同态解密密钥来解密所述聚合结果;
基于所解密的聚合结果,确定所述源主机是否是将要被监控的可疑源主机;
向所述网络节点发送确定结果和所述源主机的匿名标识符;
响应于所述报告是具有数字签名的监控报告,其中所述监控报告包含所述网络节点的第三标识符、可疑源主机的监控结果、所述可疑源主机的第四标识符、以及关于所述可疑源主机的加密检测结果,验证所述数字签名;
用所述同态解密密钥来对所述加密检测结果进行解密;
基于所解密的检测结果和监控结果,评估所述可疑源主机的全局信任;
响应于所述全局信任满足第四条件,确定所述可疑源主机是真正的不期望业务源;以及
向所述网络节点发送所述全局信任和所述真正的不期望业务源的标识符;
其中,所述第三标识符是所述网络节点的匿名标识符,
其中,所述第四标识符是所述可疑源主机的匿名标识符。
30.根据权利要求29所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少进一步执行:
基于所述真正的不期望业务源的全局信任,评估所述网络节点的检测信任;
基于所述真正的不期望业务源的全局信任,评估提供所述加密检测结果的各主机的检测信任;以及
向所述网络节点发送所述检测信任。
31.根据权利要求29所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置通过以下操作来基于所解密的结果而确定所述源主机是否是将要被监控的可疑源主机:
响应于所解密的结果满足第五条件,确定所述源主机是所述可疑源主机;以及
响应于所解密的结果不满足第五条件,确定所述源主机不是所述可疑源主机。
32.根据权利要求29所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置通过以下操作来评估所述可疑源主机的全局信任:
聚合所述检测结果;
聚合关于同一可疑源主机的来自不同的网络节点的监控结果;以及
基于所述检测结果的聚合结果和所述监控结果的聚合结果,计算所述全局信任。
33.根据权利要求30所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置通过以下操作来评估所述网络节点的检测信任:
检查所述网络节点的监控结果是否与所述真正的不期望业务源的全局信任相匹配;
响应于所述网络节点的监控结果与所述真正的不期望业务源的全局信任相匹配,增加所述网络节点的检测信任;以及
响应于所述网络节点的监控结果与所述真正的不期望业务源的全局信任不匹配,降低所述网络节点的检测信任。
34.根据权利要求30所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置通过以下操作来评估提供所述加密检测结果的各主机的检测信任:
检查所述主机的检测结果是否与所述真正的不期望业务源的全局信任相匹配;
响应于所述主机的检测结果与所述真正的不期望业务源的全局信任相匹配,增加所述网络节点的检测信任;以及
响应于所述主机的检测结果与所述真正的不期望业务源的全局信任不匹配,降低所述网络节点的检测信任。
35.一种计算机可读存储介质,在其上存储有包括一个或多个指令的一个或多个序列,其中,所述指令在由一个或多个处理器执行时使所述一个或多个处理器至少执行权利要求1至5任意一项所述的方法的步骤。
36.一种计算机可读存储介质,在其上存储有包括一个或多个指令的一个或多个序列,其中,所述指令在由一个或多个处理器执行时使所述一个或多个处理器至少执行权利要求6至11任意一项所述的方法的步骤。
37.一种计算机可读存储介质,在其上存储有包括一个或多个指令的一个或多个序列,其中,所述指令在由一个或多个处理器执行时使所述一个或多个处理器至少执行权利要求12至17任意一项所述的方法的步骤。
38.一种用于不期望网络业务的控制的装置,包括:
用于检测流经主机的不期望业务的装置,其中所述主机签约网络节点;
用于使用所述网络节点未知的同态加密密钥来对对所述不期望业务的检测结果进行加密的装置,其中所述检测结果指示所述主机的进入业务是所述不期望业务的可能性;
用于生成检测报告的装置,其中,所述检测报告包含所述主机的第一标识符、向所述主机发送所述不期望的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所加密的检测结果;
用于利用所述主机的公钥基础设施(PKI)公钥/私钥对来对所述检测报告进行签名的装置;以及
用于将签名的检测报告发送到所述网络节点以用于可疑源主机的确定的装置。
39.一种用于不期望网络业务的控制的装置,包括:
用于在网络节点处从签约所述网络节点的主机接收具有数字签名的检测报告的装置,其中,所述检测报告包含所述主机的第一标识符、向所述主机发送不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所述不期望业务的加密检测结果,其中,所述加密检测结果是基于所述网络节点未知的同态加密密钥对指示所述主机的进入业务是所述不期望业务的可能性的检测结果加密而获得的;
用于利用所述主机的公钥基础设施(PKI)公钥/私钥对中的公钥来验证相应的检测报告的数字签名的装置;
用于聚合与同一源主机有关的检测报告的加密检测结果的装置;
用于向不同于所述网络节点的实体发送聚合结果和对应的源主机的匿名标识符的装置;以及
用于从所述实体接收表明所述源主机是否是将要被监控的可疑源主机的确定结果和所述对应的源主机的匿名标识符的装置。
40.一种用于不期望网络业务的控制的装置,包括:
用于从网络节点接收报告的装置;
用于响应于所述报告包含与同一源主机有关的加密检测结果的聚合结果和所述源主机的匿名标识符,用与同态加密密钥成对的同态解密密钥来解密所述聚合结果的装置,其中,所述加密检测结果基于所述网络节点未知的同态加密密钥;
用于基于所解密的聚合结果来确定所述源主机是否是将要被监控的可疑源主机的装置;
用于向所述网络节点发送确定结果和所述源主机的匿名标识符的装置;
用于响应于所述报告是具有数字签名的监控报告来验证所述数字签名的装置,其中,所述监控报告包含所述网络节点的第三标识符、可疑源主机的监控结果、所述可疑源主机的第四标识符、以及关于所述可疑源主机的加密检测结果;
用于用所述同态解密密钥来对所述加密检测结果进行解密的装置;
用于基于所解密的检测结果和监控结果来评估所述可疑源主机的全局信任的装置;
用于响应于所述全局信任满足第四条件来确定所述可疑源主机是真正的不期望业务源的装置;以及
用于向所述网络节点发送所述全局信任和所述真正的不期望业务源的标识符的装置;
其中,所述第三标识符是所述网络节点的匿名标识符,
其中,所述第四标识符是所述可疑源主机的匿名标识符。
CN201580080882.XA 2015-06-15 2015-06-15 不期望网络业务的控制 Expired - Fee Related CN107636669B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/081430 WO2016201593A1 (en) 2015-06-15 2015-06-15 Control of unwanted network traffic

Publications (2)

Publication Number Publication Date
CN107636669A CN107636669A (zh) 2018-01-26
CN107636669B true CN107636669B (zh) 2020-07-24

Family

ID=57544726

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580080882.XA Expired - Fee Related CN107636669B (zh) 2015-06-15 2015-06-15 不期望网络业务的控制

Country Status (4)

Country Link
US (1) US10887332B2 (zh)
EP (1) EP3308311B1 (zh)
CN (1) CN107636669B (zh)
WO (1) WO2016201593A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017045347A (ja) * 2015-08-28 2017-03-02 日本電気株式会社 情報管理装置、通信管理システム、情報通信装置、情報管理方法、および情報管理用プログラム
US10397002B2 (en) * 2017-02-10 2019-08-27 International Business Machines Corporation Signature scheme for homomorphic message encoding functions
CN108449317B (zh) * 2018-02-08 2020-07-07 湘潭大学 一种基于sgx与同态加密进行安全验证的门禁系统及其实现方法
EP3777066B1 (en) * 2018-04-03 2023-09-27 Lenovo (Singapore) Pte. Ltd. Pdu session for encrypted traffic detection
CN112671736B (zh) * 2020-12-16 2023-05-12 深信服科技股份有限公司 一种攻击流量确定方法、装置、设备及存储介质
CN113542266B (zh) * 2021-07-13 2022-09-27 中国人民解放军战略支援部队信息工程大学 一种基于云模型的虚拟网元信任度量方法及系统
CN113852955B (zh) * 2021-09-23 2024-04-05 北京邮电大学 一种无线感知网络中安全数据传输与合法节点认证的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102419808A (zh) * 2011-09-28 2012-04-18 奇智软件(北京)有限公司 一种下载链接安全性检测方法、装置及系统
CN102656587A (zh) * 2009-08-13 2012-09-05 赛门铁克公司 在信誉系统中使用客户端装置的置信量度
CN103180862A (zh) * 2010-08-25 2013-06-26 前景公司 用于服务器耦合的恶意软件防止的系统和方法
US8590014B1 (en) * 2010-09-13 2013-11-19 Zynga Inc. Network application security utilizing network-provided identities
CN103825743A (zh) * 2014-02-13 2014-05-28 南京邮电大学 一种具有隐私保护功能的数据安全聚合方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7856100B2 (en) 2005-12-19 2010-12-21 Microsoft Corporation Privacy-preserving data aggregation using homomorphic encryption
US8646038B2 (en) * 2006-09-15 2014-02-04 Microsoft Corporation Automated service for blocking malware hosts
WO2008043109A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
GB2452555B (en) 2007-09-07 2012-05-02 Toshiba Res Europ Ltd Identification of insecure network nodes
US8498415B2 (en) 2007-11-27 2013-07-30 Bon K. Sy Method for preserving privacy of a reputation inquiry in a peer-to-peer communication environment
US8667582B2 (en) * 2007-12-10 2014-03-04 Mcafee, Inc. System, method, and computer program product for directing predetermined network traffic to a honeypot
EP2286565A1 (en) 2008-06-18 2011-02-23 NEC Europe Ltd. Method for aggregating information values in a network
US8943200B2 (en) 2008-08-05 2015-01-27 At&T Intellectual Property I, L.P. Method and apparatus for reducing unwanted traffic between peer networks
US9367680B2 (en) * 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US8578491B2 (en) * 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
US8843997B1 (en) 2009-01-02 2014-09-23 Resilient Network Systems, Inc. Resilient trust network services
US8599692B2 (en) * 2009-10-14 2013-12-03 Vss Monitoring, Inc. System, apparatus and method for removing unwanted information from captured data packets
US20120121080A1 (en) * 2010-11-11 2012-05-17 Sap Ag Commutative order-preserving encryption
US8850588B2 (en) * 2012-05-01 2014-09-30 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
WO2013189723A1 (en) 2012-06-21 2013-12-27 Telefonica, S.A. Method and system for malware detection and mitigation
US20130347103A1 (en) 2012-06-21 2013-12-26 Mark Veteikis Packet capture for error tracking
WO2015024173A1 (en) * 2013-08-20 2015-02-26 Nokia Corporation A method and apparatus for privacy-enhanced evidence evaluation
US9319419B2 (en) 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9960975B1 (en) * 2014-11-05 2018-05-01 Amazon Technologies, Inc. Analyzing distributed datasets

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102656587A (zh) * 2009-08-13 2012-09-05 赛门铁克公司 在信誉系统中使用客户端装置的置信量度
CN103180862A (zh) * 2010-08-25 2013-06-26 前景公司 用于服务器耦合的恶意软件防止的系统和方法
US8590014B1 (en) * 2010-09-13 2013-11-19 Zynga Inc. Network application security utilizing network-provided identities
CN102419808A (zh) * 2011-09-28 2012-04-18 奇智软件(北京)有限公司 一种下载链接安全性检测方法、装置及系统
CN103825743A (zh) * 2014-02-13 2014-05-28 南京邮电大学 一种具有隐私保护功能的数据安全聚合方法

Also Published As

Publication number Publication date
US10887332B2 (en) 2021-01-05
US20180139223A1 (en) 2018-05-17
EP3308311A1 (en) 2018-04-18
CN107636669A (zh) 2018-01-26
EP3308311B1 (en) 2020-02-19
EP3308311A4 (en) 2018-12-19
WO2016201593A1 (en) 2016-12-22

Similar Documents

Publication Publication Date Title
CN107636669B (zh) 不期望网络业务的控制
KR101252707B1 (ko) 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치
US8839460B2 (en) Method for securely communicating information about the location of a compromised computing device
CN107251513B (zh) 用于恶意代码检测的准确保证的系统及方法
US9275237B2 (en) Method and apparatus for privacy and trust enhancing sharing of data for collaborative analytics
US11516206B2 (en) Cybersecurity system having digital certificate reputation system
US10680805B2 (en) Data encryption control using multiple controlling authorities
US9386031B2 (en) System and method for detection of targeted attacks
CN115098549B (zh) 公平的数据匿踪查询方法、装置、设备及存储介质
US20220038478A1 (en) Confidential method for processing logs of a computer system
US10122755B2 (en) Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node
CN116132989A (zh) 一种工业互联网安全态势感知系统及方法
Hegarty et al. Extrusion detection of illegal files in cloud-based systems
CN115344848B (zh) 标识获取方法、装置、设备及计算机可读存储介质
Thapar et al. A study of data threats and the role of cryptography algorithms
CN112995096B (zh) 数据加密、解密方法、装置及设备
Radanliev Cyber-attacks on Public Key Cryptography
US9781158B1 (en) Integrated paronymous network address detection
Lacroix et al. Vehicular ad hoc network security and privacy: A second look
CN113556365B (zh) 认证结果数据传输系统、方法及装置
Feng et al. A new method of formalizing anonymity based on protocol composition logic
CN114867016A (zh) 一种节点认证方法、系统及装置
CN117749476A (zh) 基于加密算法的可信安全连接方法及装置、电子设备
CN116633578A (zh) 保护身份隐私的方法、装置、终端设备和可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200724

Termination date: 20210615