CN1965309A - 检测经中继的通信 - Google Patents

检测经中继的通信 Download PDF

Info

Publication number
CN1965309A
CN1965309A CNA2005800042408A CN200580004240A CN1965309A CN 1965309 A CN1965309 A CN 1965309A CN A2005800042408 A CNA2005800042408 A CN A2005800042408A CN 200580004240 A CN200580004240 A CN 200580004240A CN 1965309 A CN1965309 A CN 1965309A
Authority
CN
China
Prior art keywords
trunking
feature
information
communication
original source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2005800042408A
Other languages
English (en)
Other versions
CN1965309B (zh
Inventor
萨尔·维尔夫
施瓦特·谢克特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Froude Technology Co ltd
PayPal Israel Ltd
Original Assignee
NPX TECHNOLOGIES Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NPX TECHNOLOGIES Ltd filed Critical NPX TECHNOLOGIES Ltd
Publication of CN1965309A publication Critical patent/CN1965309A/zh
Application granted granted Critical
Publication of CN1965309B publication Critical patent/CN1965309B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2589NAT traversal over a relay server, e.g. traversal using relay for network address translation [TURN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

在此提供了用于确定可能的中继设备是否为中继设备的方法、装置和计算机可读代码。在某些实施例中,从可能的中继设备接收第一和第二信息要素,该可能的中继设备是第二信息要素的原始源。为了确定该可能的中继设备是否为中继设备,确定第一信息要素的原始源的特征和该可能的中继设备的特征是否为不大可能与单个设备相关的特征,其中该确定的肯定结果表示该可能的中继设备是中继设备。在一示例性实施例中,所公开的系统包括信息要素接收器和特征不相容性分析器。可选地,所公开的系统包括特征发现模块、参数获得器和特征数据库。

Description

检测经中继的通信
技术领域
本发明涉及用于检测经中继的通信的方法、装置和计算机可读代码。
背景技术
中继设备通常用于许多通信介质和环境中,尤其是在互联网上。中继设备是从发送器接收通信并将其转发给接收器的通信设备。
中继设备可以用于其中不能在发送器和接收器之间进行直接通信的情况,或者用于提高各种应用的性能和安全性。
例如,安全环境(例如,私营公司数据网络)中的用户可能被禁止直接连接到公共互联网上的HTTP服务器(参见RFC 2616;要获得与RFC系列文件相关的信息,请参见http://www.rfc-editor.org处的RFC编者网站)。在这些情况下,可以在该安全网络中安装HTTP代理服务器,并且允许连接至外部HTTP服务器。于是用户可以利用该代理对到外部HTTP服务器的HTTP请求和来自外部HTTP服务器的响应进行中继。在该示例中,HTTP代理服务器是中继设备。在另一示例中,小型网络(例如,家庭网络)中的用户可以使用SOCKS代理(参见RFC 1928),以使用具有单个IP地址的一个互联网连接从多台个人计算机连接至互联网(参见RFC 791)。在该示例中,SOCKS代理是中继设备。在另一示例中,某些HTTP代理通过存储其接收的内容的本地副本并随后从本地存储对相同内容的请求进行服务,而用作缓存代理。这样,缓存代理减少了发送至远程服务器的请求的数量。在另一示例中,HTTP代理通过拒绝用户对令人不快的材料的访问而用作内容过滤代理。
除了这些正常应用以外,中继设备经常被用于恶意的目的。
例如,恶意用户(攻击者)将利用中继设备来隐藏其真实的IP地址。通常,通过检查互联网服务供应商(ISP)记录来揭示在攻击时谁使用了该IP地址,以利用IP地址使攻击者的身份暴露。由于被攻击方看到的通信好像是来自中继设备的IP地址,所以攻击者保持匿名,并且几乎不可能承担后果(例如,丧失其ISP帐号或者被捕)。黑客、欺骗者和诈骗者经常使用这种技术。
攻击者还可以通过指示一个中继设备连接至另一个中继设备,等等,并指示最后一个中继设备连接至目标,来一次使用多个中继设备。这在最后一个中继设备的运营商被要求提供在攻击时使用的IP地址的情况下保护了攻击者。
在另一示例中,攻击者将利用大量的中继设备来产生通信来自许多不同用户的假象。攻击者使用这种技术来避开防滥用系统,该防滥用系统根据攻击者进行的潜在滥用行为的速率(即,某一时间段内所进行的行为的数量)来屏蔽(block)IP地址。例如,使用密码对其用户进行认证的许多在线服务将在几次失败登录尝试之后屏蔽IP地址,以防止暴力攻击。在暴力攻击中,攻击者尝试通过尝试许多不同的密码来试图找到密码,直到成功登录为止。在另一示例中,许多提供对个人信息目录的访问的在线服务将在一IP地址发送查询的速率超过一特定限度的情况下,屏蔽该IP地址,以防止攻击者获得大量的个人信息,这些个人信息可以用于其他滥用行为,例如发送垃圾信息(主动提供的电子消息)。在另一示例中,防垃圾信息系统将屏蔽发送大量消息的IP地址。在另一示例中,由于网站可以在每一次用户浏览在线广告(或点击它)时得到支付,所以在线广告公司将忽略来自同一IP地址的大量广告浏览(或广告点击),以防止欺骗者产生对广告的虚假浏览(或点击)。
通过使用多个中继设备,欺骗者绕过了这些防线。
在另一示例中,攻击者将利用中继设备来产生他位于不同地理位置的假象。由于许多在线信用卡诈骗试图来自美国外部,所以许多美国在线贸易商都不接受外国信用卡或向国外运送产品。诈骗者可以通过使用美国信用卡以及运送给美国的同谋来克服这些障碍。贸易商通过拒绝其中IP地址的地理位置(如诸如Mountain View,California,USA的Quova,Inc提供的GeoPoint的IP地理位置服务所报告的;参见美国专利6,684,250和6,757,740)与订单中提供的(一个或多个)地址不匹配(例如信用卡帐单地址在美国,而IP地址在印度尼西亚)的订单来进行响应。欺骗者通过使用位于可接受位置的中继设备来克服这种障碍。
尽管经适当配置的中继设备通常可以实现仅允许授权用户进行访问的访问控制机制,但是许多中继设备是可全局访问(被称为“开放代理”)的,并且被攻击者滥用。在某些情况下,开放代理是存在的,因为它们作为硬件设备或软件的一部分被运送,并由其所有者在不知情的情况下进行了安装,或者因为管理者对中继设备进行了错误的或者粗心的设置,而对来自未授权源的通信进行中继。在其他情况下,例如通过向计算机的所有者发送“特洛伊木马”、通过计算机病毒,或者通过手动入侵(hacking)计算机(入侵是利用故障或错误配置来获得对计算机的控制的行为),开放代理在未经计算机所有者的允许的情况下被恶意安装。
由于中继设备,尤其是可全局访问的中继设备经常被用于恶意目的,所以许多在线服务供应商和贸易商都将通过中继设备接收到的任意通信视为恶意的。例如,许多SMTP服务器(参见RFC 821)将不接受通过中继设备接收到的邮件,许多IRC服务器(参见RFC 2810)将不接受通过中继设备而连接的用户,并且某些互联网贸易商将不接受通过中继设备接收到的订单。
目前用于确定通信是否通过中继设备进行了中继的方法基于对来自通信的源IP地址的通信对于中继设备(假设该中继设备在经中继的通信中报告其自身的源IP地址)是否具有代表性的检查。
一种这样的方法是检查HTTP通信是否包含对于中继设备唯一的HTTP头部。这种头部的示例包括“X-Forwarded-For”、“X-Originating-IP”、“Via”、“X-Cache”和“Client-IP”。该方法的局限性在于,当中继协议不是HTTP时不能使用该方法。其进一步的局限性在于,并非所有的中继设备都报告这种头部,尤其是在中继以低于HTTP的级别进行操作执行的情况下,如SOCKS代理的情况那样,或者在使用HTTP CONNECT方法(参见RFC 2817)时。
另一种方法是尝试利用不可能由中继设备实施的协商协议(agreedupon protocol)来连接回源IP地址(创建“反向连接”)。例如,许多IRC服务器会尝试利用大多数IRC客户端可实施的标识协议(参见RFC 1413)来连接回源IP地址。由于中继设备不可能实施标识协议,所以从源IP地址接收到连接尝试成功的指示(例如,包含SYN和ACK控制标志的TCP片段,为获得对TCP的说明,可参见RFC 793)表示通信很有可能未被中继。该方法的局限性在于,服务供应商和用户必须对将用于反向连接的协议进行协商,导致服务供应商必须利用协商协议来发起到每个用户的连接,并且方法的局限性在于,每个用户都必须操作服务器以接受该连接。
另一种方法涉及利用中继设备公用的协议和端口号(例如,TCP端口1080上的SOCKS或者TCP端口8080上的HTTP)来创建到源IP地址的反向连接,然后尝试对通信进行中继。由于大多数用户不在其计算机上进行可全局访问的通信中继,所以成功的尝试将表示该用户很有可能正在使用中继设备。该方法的局限性在于,服务供应商必须发起到每个用户的反向连接,并且需要大量的反向连接来覆盖可能的中继设备配置的重要部分。该方法进一步的局限性在于,创建多个反向连接是一种消耗资源的操作,并且可能被认为是不道德的、滥用的或者是存在问题的。
在消除目前方法的局限性的努力中,在线服务供应商通过共享与中继设备有关的信息而彼此合作。例如,服务供应商经常查询列出了可全局访问的通信中继的各种通信参数(由其他服务供应商或数据库操作员发现的)的数据库(称为“黑名单”),以例如检查是否列出了给定的源IP地址。这种数据库是由San,Jose,California,USA的Mail AbusePrevention System LLC维护的MAPS Open Proxy Stopper。这些数据库受局于用来扩充它们的方法,并且进一步的局限性在于并非总是最新的。
很明显,需要一种用于确定通信是否通过中继设备进行了中继的有效方法。
发明内容
现将首次公开一种用于确定从可能的中继设备接收到的信息要素是否已通过中继设备进行了中继的方法。所公开的用于确定可能的中继设备是否是中继设备的方法包括从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源。
在某些实施例中,所公开的方法进一步包括确定第一信息要素的原始源的特征和该可能的中继设备的特征是否是不大可能与单个设备相关的特征。在某些实施例中,所公开的方法进一步包括确定第一信息要素的原始源的特征和该可能的中继设备的特征是否是不大可能描述单个设备的特征。
这里公开了信息要素的对于确定所接收的信息要素是否已经过中继非常有用的发送器和原始源的多个特征。信息要素的对于检测所接收的信息要素是否已经过中继有用的发送器和原始源的特征包括但不限于设备的配置状态、设备的通信性能、相关DNS请求的特征,以及延迟参数,例如对于信息要素的发送器和/或原始源的往返(round trip)时间。
根据某些实施例,第二信息要素是下述的类型,即,一种中继设备类型的中继设备不大可能中继的类型。
根据某些实施例,第一信息要素是下述的类型,即,一种中继设备类型的中继设备可能中继的类型。
与本发明的实施例相关的中继设备的示例性类型包括但不限于SOCKS代理、HTTP代理(包括使用GET方法和/或CONNECT方法的HTTP代理)、IP路由器和网络地址翻译设备。
根据某些实施例,第一信息要素和/或第二信息要素是从以下组中选择的类型的通信的一部分,该组包括IP、TCP、ICMP、DNS、HTTP、SMTP、TLS和SSL。根据某些实施例,第一和第二信息要素是单个通信的一部分。
根据某些实施例,在协议栈的两个不同层中发送第一和第二信息要素。
根据某些实施例,该确定阶段包括发现第一信息要素的原始源的特征,以及发现该可能的中继设备的特征。
根据某些实施例,该确定阶段还包括对第一信息要素的原始源的特征和该可能的中继设备的特征进行比较。
因此,在一个说明性示例中,针对第一信息要素的原始源和该可能的中继设备都确定诸如操作系统的配置状态参数。如果在信息包的原始源和该可能的中继设备的配置状态参数之间发现了差异,这不大可能表示单个设备,从而可以推断该可能的中继设备与原始源设备不是同一设备,而是单独的中继设备。
在某些实施例中,该方法包括获得表示第一信息要素的原始源的特征的参数,以及获得表示该可能的中继设备的特征的参数。
因此,应该注意,不必明确获知第一信息要素的源和该可能的中继设备的源的特征。在一具体示例中,获得该可能的中继设备与第一信息要素的源之间的延迟差异,而无需获得各自的延迟。
在某些实施例中,该方法包括获得表示第一信息要素的原始源的特征与该可能的中继设备的特征之间的关系的参数。
在某些实施例中,该确定阶段包括对表示第一信息要素的原始源的特征和该可能的中继设备的特征之间的关系的参数进行分析。
在某些实施例中,该参数是从第一信息要素和第二信息要素中的至少一个获得的。
根据某些实施例,该方法还包括向第一信息要素的原始源和可能的中继设备中的至少一个发送出局通信,并从第一信息要素的原始源和可能的中继设备中的至少一个接收第三信息要素。
根据某些实施例,该方法还包括从第三信息要素得到与第一信息要素的原始源和可能的中继设备中的至少一个的特征相关的信息。
根据某些实施例,该方法还包括验证第三信息要素的原始源是第一信息要素的原始源。
根据某些实施例,该方法还包括验证第三信息要素的原始源是该可能的中继设备。
在一个示例性实施例中,在接收到可能已经过中继的第一和第二信息要素之后,向该通信的声称源返回HTTP响应和ping。无论是否存在中间中继设备,HTTP响应都被中继设备中继到该通信的原始源,该原始源进而返回第三通信要素。相反,中继设备对ping进行响应,而不将ping转发给第一信息要素的原始源。因此,延迟的较大差异表示存在中继设备。
根据某些实施例,该方法还包括从该可能的中继设备接收第三信息要素,并从该第三信息要素得到与该可能的中继设备的特征相关的信息。
根据某些实施例,该方法还包括从第一信息要素的源接收第三信息要素,并从该第三信息要素得到与第一信息要素的源的特征相关的信息。
根据某些实施例,第一通信的源的特征和可能的中继设备的特征中的至少一个是与配置状态相关的特征。
与配置状态相关的示例性特征包括但不限于操作系统类型、操作系统版本、软件类型、HTTP客户端类型、HTTP服务器类型、SMTP客户端类型、SMTP服务器类型、时间设置、时钟设置以及时区设置。
根据某些实施例,该确定阶段包括检查表示与配置状态相关的特征的参数。
表示与配置状态相关的特征的参数包括但不限于HTTP“User-Agent”头部、RFC 822“X-mailer”头部、RFC 822“Received”头部、RFC 822“Date”头部、协议实施方式、TCP/IP栈指纹、IP地址、TCP端口、TCP初始序列号、TCP初始窗口、Whois记录、反向DNS记录以及确认信息的速率。
根据某些实施例,第一通信的源的特征和可能的中继设备的特征中的至少一个是与通信性能相关的特征。
根据某些实施例,与通信性能相关的特征是从以下组中选择的,该组包括所测量的通信性能、所测量的相对通信性能以及所估计的通信性能。
根据某些实施例,与通信性能相关的特征是从以下组中选择的,该组包括通信的延迟、入局(incoming)通信的延迟、出局(outgoing)通信的延迟、通信速率、入局通信速率、出局通信速率、入局最大通信速率以及出局最大通信速率。
根据某些实施例,该确定阶段包括检查表示与通信性能相关的特征的参数。
根据某些实施例,该参数是从以下组中选择的,该组包括接收信息要素的时刻、发送信息要素的时刻、往返时间、往返时间间隙、IP地址、Whois记录、反向DNS记录以及确认信息的速率。
根据某些实施例,较高的往返时间间隙表示中继设备被用于恶意用途的较高可能性。
根据某些实施例,第一信息要素的源的特征和可能的中继设备的特征中的至少一个是从以下组中选择的,该组包括子网、网络管理者以及地理位置。
根据某些实施例,该确定包括对表示第一通信的源的特征和第二通信的源的特征中的至少一个的参数进行检查,该参数是从以下组中选择的,该组包括HTTP“User-Agent”头部、RFC 822“X-mailer”头部、RFC822“Received”头部、RFC 822“Date”头部、IP地址、WHOIS记录、反向DNS记录。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源;以及对第一和第二信息要素中的至少一个的原始源的配置状态进行分析,其中该配置状态是从以下组中选择的,该组包括操作系统类型、操作系统版本、软件类型、HTTP客户端类型、HTTP服务器类型、SMTP客户端类型、SMTP服务器类型、时间设置、时钟设置以及时区设置。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源;以及对与第一和第二信息要素中的至少一个的原始源的通信性能相关的特征进行分析。
根据某些实施例,与通信性能相关的特征是从以下组中选择的,该组包括通信的延迟、入局通信的延迟、出局通信的延迟、通信的往返时间、通信速率、入局通信速率、出局通信速率、入局最大通信速率以及出局最大通信速率。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:向可能的中继设备发送消息,导致最终接收该消息,以发送一出局DNS请求;以及根据该出局DNS请求来确定该可能的中继设备是否为中继设备。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源;以及检查到该可能的中继设备的往返时间是否与到第一信息要素的原始源的往返时间明显不同。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源;以及检查该可能的中继设备的操作系统是否与第一信息要素的原始源的操作系统不同。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源;以及检查该可能的中继设备的位置是否与第一信息要素的原始源的位置不同。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:从该可能的中继设备接收第一和第二信息要素,其中该可能的中继设备是第二信息要素的原始源;以及检查该可能的中继设备的管理者是否与第一信息要素的原始源的管理者不同。
现将首次公开一种用于确定可能的中继设备是否为中继设备的方法。所公开的方法包括:确定第一信息要素的原始源的特征和该可能的中继设备的特征是否为不大可能与单个设备相关的特征,其中该可能的中继设备是第一信息要素和第二信息要素的发送器,其中该可能的中继设备是第二信息要素的原始源,并且其中该确定的肯定结果表示该可能的中继设备是中继设备。
现将首次公开一种用于确定所接收的信息是否由中继设备进行了中继的方法。所公开的方法包括:根据所接收的信息要素来确定通信性能量度;以及根据该确定的结果来产生表示所接收的信息是否由中继设备进行了中继的输出。
现将首次公开一种用于确定所接收的信息是否由中继设备进行了中继的方法。所公开的方法包括:根据所接收的信息要素来确定表示通信性能的参数;以及根据该确定的结果来产生表示所接收的信息是否由中继设备进行了中继的输出。
示例性的所确定的通信性能量度包括但不限于:与所监测主机的通信的延迟、与所监测主机的通信的入局延迟、与所监测主机的通信的出局延迟、通信速率、入局通信速率、出局通信速率、入局最大通信速率以及出局最大通信速率。
现将首次公开一种用于确定可能的中继设备是否为中继设备的系统。根据某些实施例,所公开的系统包括:信息要素接收器,用于从包括信息源设备和该可能的中继设备在内的多个设备接收信息要素;以及特征不相容性分析器,用于确定信息源设备的特征与可能的中继设备的特征是否为不大可能与单个设备相关的特征。
根据某些实施例,该系统还包括特征发现模块,用于发现从以下组中选择的至少一个特征,该组包括所述信息源设备的特征和所述可能的中继设备的特征。
可选地,所述信息要素接收器还被构造用于从所监测主机接收信息要素。
可选地,所述系统包括出局信息要素发送器。
根据某些实施例,该系统还包括参数获得器,用于获得从以下组中选择的至少一个参数,该组包括表示信息源设备的特征的参数、表示可能的中继设备的特征的参数,以及表示信息源设备的特征和可能的中继设备的特征是否为不大可能与单个设备相关的特征的参数。
根据某些实施例,该系统还包括特征数据库,用于存储多对特征与表示该多对特征是否为不相容特征的数据之间的映射。
根据以下的详细说明和示例,这些和其他实施例将变得明了。
附图说明
为了理解本发明并了解如何在实际当中实施本发明,下面仅以非限定性示例的方式,参照附图来说明优选实施例,附图中:
图1例示了其中中继检测系统根据本发明的某些实施例进行操作的环境。
图2A示出了向中继检测系统发送信息要素的可能的中继设备。
图2B示出了由根据本发明某些实施例的中继检测设备接收的信息要素的原始源。
图2C示出了其中可能的中继设备是信息源设备的情况。
图2D示出了其中可能的中继设备和信息源设备为不同设备的情况。
图3示出了根据本发明的多个实施例的系统。
图4A描绘了在使用中继设备的情况下,信息源设备与所监测主机之间的通信的延迟。
图4B描绘了在未使用中继设备的情况下,信息源设备与所监测主机之间的通信的延迟。
图5A示出了以下情况:信息源设备向所监测主机直接发送两个信息要素(可能被中继的信息要素1和可能被中继的信息要素2),而不使用中继设备。
图5B示出了以下情况:两个不同的设备(信息源设备和信息源设备2)分别向所监测主机发送信息要素,其中两个信息要素都由中继设备进行了中继。
具体实施方式
在阐述本发明之前,首先说明下文中使用的特定术语的定义将有助于理解本发明。
这里使用的术语“通信”是指至少一个信息要素在两个设备之间的传送。例如,通过互联网从一个设备到另一设备传送的IP分组是通信。在另一示例中,通过互联网从HTTP客户端向HTTP服务器传送的HTTP请求是通信。应该注意,一个或更多个通信可以在一个或更多个其他通信中传送。其中一个通信包含其他通信的一组通信被称为“协议栈”。例如,HTTP协议中的通信(即,HTTP请求或响应)通常包含在TCP协议中的通信(即,TCP连接)中,该通信又包含在IP协议中的通信(即,一个或更多个IP数据报)中。
这里使用的术语“信息要素的原始源”是指发送该信息要素,但是没有对来自另一设备的该信息要素进行中继的设备。
这里使用的术语“发送器”是指发送信息要素的设备,包括该信息要素以前由另一设备进行了中继的情况。当从一设备接收到信息要素时,该设备就是该信息要素的发送器。
这里使用的术语“特征”是指与设备相关的可能在两个不同设备之间不同的任意信息。
本发明的实施例叙述了通过数据网络接收和/或发送“信息要素”。在某些实施例中,使用通信协议来传送信息要素。用于通过数据网络传送信息要素的示例性通信协议包括但不限于HTTP、SMTP、DNS(参见RFC 1034)、SSL/TLS(参见RFC 2246)、TCP、UDP(参见RFC 768)、IP以及ICMP(参见RFC 792)。
图1示出了其中中继检测系统102根据本发明的某些实施例进行操作的环境。在某些实施例中,中继检测系统102(RDS)接收通过互联网100从信息源设备104(ISD)传送的信息要素。
在某些情况下,为了向所监测主机110(MH)发送信息要素,ISD 104首先向中继设备108(RD)发送信息要素,该中继设备108接收这些信息要素并随后将所接收的信息要素中继至MH 110。对于这些情况,经中继的信息要素从信息源设备104传送至所监测主机110,如路径122所示。
另选地,ISD 104不使用中继设备108,并且将信息要素发送给所监测主机110,而不通过RD 108,如路径120所示。
希望确定发送至MH 110的信息要素是否是通过RD 108发送的。
本发明人发明了用于确定发送至MH 110的信息要素是否是经由RD108发送的方法、装置以及计算机可读软件。在某些实施例中,该确定由RDS 102来执行,RDS 102对由MH 110接收的至少一个通信进行监测,并试图确定该通信是否是利用RD 108而发送至MH 110的。这里使用的术语“监测”是指接收通信的动作,包括从或向执行该监测的设备发送通信的情况。
任意类型的中继设备都适于本发明。中继设备的类型的示例包括但不限于SOCKS代理(参见RFC 1928)、利用GET方法的HTTP代理(参见RFC 2616)、利用CONNECT方法的HTTP代理(参见RFC 2817)、IP路由器(参见RFC 1812)以及NAT设备(参见RFC 2663)。
ISD 104是被构造用来通过任意数据网络(例如,互联网100)与其他设备进行通信的设备。在某些实施例中,ISD 104是由个人或个人组来操作的设备。在某些实施例中,ISD 104是自动进行操作的设备。在某些实施例中,ISD 104是以模拟人的行为的方式自动进行操作的设备。示例性ISD包括但不限于:运行诸如Microsoft Internet Explorer的HTML浏览器(参见http://www.w3.org/TR/htm处的W3C网站中的HTML规范,以获得对HTML的说明)的计算机、运行IRC客户端的计算机、运行SMTP客户端的计算机,以及运行XHTML浏览器的移动电话。MH 110是被构造用来通过任意数据网络(例如,互联网100)与其他设备进行通信的设备。在一个示例性实施例中,所监测主机110是服务器。适当的所监测主机110的示例包括但不限于HTTP服务器、SSL/TLS服务器、SMTP服务器、文件服务器、telnet服务器、FTP服务器、SSH服务器、DNS服务器以及IRC服务器。MH 110的应用的示例包括但不限于经营在线商店、运行在线广告服务以及接收电子邮件。
在某些实施例中,RDS 102对从MH 110发送的和/或发送给MH 110的信息要素进行监测。可选地,RDS 102还被构造用来与RD 108和/或ISD 104进行通信。可选地,RDS 102还被构造用来对从RDS 102发送的和/或发送给RDS 102的信息要素进行监测。
RDS 102、ISD 104、RD 108和MH 110中的每一个都可以是硬件、软件或其组合,可以位于相同或不同的地理位置,或者可以是同一设备的组件。
为简单起见,所示的环境包含一个信息源设备和一个中继设备。在实际中,有许多信息源设备与互联网100相连,每一个信息源设备都可以使用或可以不使用同样连接至互联网100的多个中继设备之一。本发明的目的是区分不使用中继设备的信息源设备的总体情况与使用中继设备的信息源设备的总体情况。应该理解,从所示的环境外推到诸如互联网或其他网络的现实生活环境也落入了本领域技术人员的范围之内。
参照图2A,注意到,根据本发明的某些实施例,RDS 102接收发送至MH 110的信息要素,其中可能的中继设备150(PRD)是这些信息要素的发送器,但是不必是这些信息要素中的每一个或任意一个的原始源。根据某些实施例,可能的中继设备150(PRD)的身份是未知的,并且可以是RD 108或ISD 104。
本发明的某些实施例提供了用于确定PRD 150是RD 108还是ISD104的方法、装置和计算机可读软件。
图2B示出了根据本发明某些实施例的由RDS 102接收的信息要素的原始源。由RDS 102来接收第一信息要素和第二信息要素。根据某些实施例,PRD 150是第二信息要素的原始源,因此第二信息要素也可以被称为非中继信息要素(NRIE)。相反,ISD 104是第一信息要素的原始源,因此第一信息要素也可以被称为可能中继信息要素(PRIE)。因此,在PRD 150是ISD 104的情况下,PRD 150是PRIE的原始源,而在PRD150是RD 108的情况下,PRD 150不是PRIE的原始源。
在具体实施例中,NRIE是一种没有被特定类型的中继设备进行中继的类型,因此确保了第二信息要素实际上没有被该类型的中继设备进行中继。例如,标准HTTP代理(利用CONNECT或GET方法)不对ICMP消息进行中继。因此,如果RD 108是这种类型的代理并且RD 108是ICMP消息的发送器,则ICMP消息可以被认为是NRIE。
根据本发明的某些实施例,确定ISD 104的特征和PRD 150的特征是否为不大可能与同一设备相关的特征(不相容特征)。如果一特征是与一设备相关的信息,则称该特征为与该特定设备相关。
在某些实施例中,从PRIE的内容得到ISD 104的特征。在另选实施例中,从下述的其他特征得到ISD 104的特征。在某些实施例中,从NRIE的内容得到PRD 150的特征。在另选实施例中,从下述的其他特征得到PRD 150的特征。
还应该注意,本发明不需要实际获得PRD 150的特征或者ISD 104的特征。在以下详述的某些实施例中,RDS 102可以确定特征是否为不相容特征,而无需发现这些特征中的每一个或任意一个。不相容特征的存在增大了ISD 104和PRD 150为不同设备(即,PRD 150为RD 108)的可能性,而不相容特征的不存在增大了PRD 150和ISD 104是同一设备(即,PRD 150不是RD 108)的可能性。
图2C示出了其中PRD 150是ISD 104的情况。在这种情况下,检测到第一信息要素的原始源(ISD 104)与第二信息要素的原始源(PRD 150)是同一设备,因此可以推断该可能的中继设备150是ISD 104而不是中继设备108,并且还可以推断PRIE没有由中继设备108进行中继。
图2D示出了其中PRD 150和ISD 104是不同设备的另选情况。在这种情况下,检测到第一信息要素的原始源(ISD 104)是与第二信息要素的原始源(PRD 150)不同的设备。因此,由于PRIE具有不是PRD 150的原始源,所以可以推断PRIE已经由PRD 150进行了中继,并且因此推断PRD 150是中继设备108。
这里使用的术语“特征”是指至少一个特征。因此,公开了将一个以上的特征的组合定义为其自身中的或者其自身的一特征。
这里使用的“ISD特征”是第一信息要素的原始源(即,PRIE的源,其为ISD 104)的特征,而“PRD特征”是第二信息要素的源(即,NRIE的源,其为PRD 150)的特征。以下给出了ISD特征、PRD特征、发现这些特征的方法,以及其中可以使用这些特征来确定ISD 104是否为与PRD 150不同的设备的方式的示例。
如上所述,确保NRIE不由RD 108进行中继的一个选择是将NRIE选择为下述的信息要素类型,该信息要素类型已知不由RD 108所属的特定中继设备类型的中继设备进行中继。例如,已知特定的SOCKS代理对HTTP通信进行中继,而不对TCP通信进行中继。如果RD 108是SOCKS代理,则其将保持与ISD 104的一个TCP连接以及与MH 110的另一个独立TCP连接,并将从一个TCP连接到另一个TCP连接对HTTP通信进行中继。因此,在某些实施例中,PRIE是可能中继HTTP通信的一部分,而NRIE是非中继TCP通信的一部分。
在某些实施例中,第一和第二信息要素(NRIE和PRIE)是单个通信的协议栈上的两个不同层的一部分。因此,在一个特定的情况下,发送TCP通信中的单个HTTP,并且第一非中继信息要素是该通信的TCP层的一部分,而第二可能中继信息要素是该通信的HTTP层的一部分。另选地,第一和第二要素是两个独立通信的一部分。
然而,中继检测系统102经常不必知道中继设备108的类型。在某些实施例中,所公开的方法明确要求以下可选步骤:估计特定类型的中继设备或以其为目标;以及在假设可能类型的中继设备是目标类型的中继设备的情况下执行该方法。
在某些实施例中,对不同的多对NRIE和PRIE重复本发明的方法,其中每一对都有助于检测至少一种类型的中继设备。
总体上来讲,在某些实施例中公开了以下内容:所公开的方法可以顺序或并行重复多次,其中可能的中继设备是中继设备的最终可能性是从所重复的方法的结果的某种合计(aggregate)得到的。在某些实施例中,获得合计包括获得平均值、加权平均值、最小值、最大值,或者本领域中已知的以合计结果为特征的任意其他方法。
使用通信延迟
在本发明的一个具体实施例中,将ISD特征选择为ISD 104与MH110之间的通信的延迟,并将PRD特征选择为PRD 150与MH 110之间的通信的延迟。由于从一个设备到另一设备的延迟通常是相对稳定的,所以同一设备不大可能表现出两种显著不同的延迟。因此,如果ISD 104延迟与PRD 150延迟显著不同,则相对更可能的是PRD 150和ISD 104是不同的设备(即,PRD 150是中继设备108,并且PRIE被中继)。类似地,如果ISD 104延迟和PRD 150延迟相似,则相对更可能的是PRD 150和ISD 104是同一设备(即,PRIE未被中继)。
这里使用的术语“延迟”是指通信的发送与其接收之间的时间延迟。
延迟的出现有多种原因。一个原因是电信号或电磁波(例如,电缆中的电信号、光缆中的光或者微波链路中的微波)传播通信路径上的两点之间的距离所需的时间。另一原因是通过通信线路传送信息所需的时间(例如,通过480千比特每秒(kbps)通信线路完全传送1500字节将花费25毫秒(ms))。另一原因是在许多数据网络中使用的存储-转发方法,在该方法中,仅在完全接收了通信的多个部分(例如,分组或信元)之后,才将该通信的多个部分从一个中间网络单元转发至下一个中间网络单元。另一个原因是通信在网络中的交换单元的缓冲器中的延迟(例如,当通信线路处于传送一个通信的处理中时,将新通信保存在缓冲器中,直到该线路空闲为止)。另一个原因是特定通信的处理时间,例如用于进行路由决策、加密、解密、压缩或解压缩的处理时间。
由于从一个设备发送通信并在不同设备处接收该通信,所以通常较容易测量往返时间(RTT)而不是延迟。RTT是从MH 110发送出局通信(OC)与MH 110接收到入局通信(IC)之间所经过的时间,该入局通信是在接收到OC时立即发送的。因此,RTT是OC的延迟和IC的延迟的总和。例如,在使用ICMP回应机制(参见RFC 792)时,RTT是在发送回应消息和接收回应答复消息之间所经过的时间。
图4A描绘了在使用RD 108的情况下,ISD 104与MH 110之间的通信的延迟。
T1是从MH 110到RD 108的通信的延迟。
T2是从RD 108到ISD 104的通信的延迟。
T3是从ISD 104到RD 108的通信的延迟。
T4是从RD 108到MH 110的通信的延迟。
图4B描绘了在未使用RD 108的情况下,ISD 104与MH 110之间的通信的延迟。
T5是从MH 110到ISD 104的通信的延迟。
T6是从ISD 104到MH 110的通信的延迟。
这里使用的术语“ISD RTT”是指MH 110与ISD 104之间的通信的往返时间。
这里使用的术语“PRD RTT”是指MH 110与PRD 150之间的通信的往返时间。
这里使用的术语“RTT间隙”是指ISD RTT与PRD RTT之间的差。
在PRD 150是RD 108(即,PRIE被中继)的情况下,往返时间ISDRTT应该大于PRD RTT。具体地,PRD RTT等于T1+T4(MH 110与RD108之间的RTT),而ISD RTT等于T1+T2+T3+T4(MH 110与RD 108之间的RTT加上RD 108与ISD 104之间的RTT)。RTT间隙等于PRD 150(其为RD 108)与ISD 104之间的RTT(其等于T2+T3)。
然而,在PRD 150是ISD 104(即,PRIE不被中继)的情况下,ISDRTT和PRD RTT都等于T5+T6(MH 110与ISD 104之间的RTT)。因此,RTT间隙应该接近于零。
例如,如果ISD RTT为640毫秒并且PRD RTT为130毫秒,则与ISD RTT为133毫秒并且PRD RTT为130毫秒的情况相比,更有可能PRD150是中继设备108,并且PRIE被中继。
应该注意,即使在PRD 150是ISD 104的情况下,由于各个通信所经受的不同网络延迟,也可能发现ISD RTT和PRD RTT之间的某些差异。然而,在大多数实际情况下,使用中继设备时的RTT间隙明显大于不使用中继设备时的RTT间隙。
在测量RTT间隙时,RDS 102有效地执行两个特征比较。第一个是对从ISD 104到MH 110的通信的延迟与从PRD 150到MH 110的通信的延迟进行比较。第二个是对从MH 110到ISD 104的通信的延迟与从MH110到PRD 150的通信的延迟进行比较。与非中继通信相比,在中继通信中两个延迟都应该较大,意味着与非中继通信相比,在经中继的通信中RTT间隙(其为两个延迟差异的总和)也应该较大。
在一示例性实施例中,RD 108是SOCKS代理,ISD 104是HTTP客户端而MH 110是HTTP服务器。在这种情况下,RDS 102通过测量HTTP通信(PRIE)的RTT来获得ISD RTT,并通过测量TCP通信(NRIE)的RTT来获得PRD RTT。
在另一示例性实施例中,RD 108是使用CONNECT方法的HTTP代理,ISD 104是SMTP客户端,而MH 110是SMTP服务器。在这种情况下,RDS 102通过测量SMTP通信(PRIE)的RTT来获得ISD RTT。然后,RDS 102向其中接收到SMTP通信的TCP连接(NRIE)的源IP地址发送ICMP回应消息。RDS 102随后接收ICMP回应答复消息。PRD RTT是两个ICMP消息之间的时间(如下所述,ICMP回应答复消息的原始源为PRD 150)。
下面描述用于测量各种类型的通信的RTT的方法。
RTT间隙在区分中继设备的各种应用方面也是有用的。出于性能和安全性的原因,合法用户通常使用附近的中继设备(例如,在同一公司网络上),导致短的RTT间隙。另一方面,恶意用户通常使用远程中继设备(例如,在另一国家中),导致长的RTT间隙。因此,长RTT间隙表示中继设备被用于恶意目的。该方法在恶意用户无法避免使用远程中继设备的情况下尤其有效。例如,想要表现为好像其位于美国境内的印度尼西亚欺骗者必须使用远程中继设备。在另一示例中,如果所有中继都必须具有短的RTT间隙,则垃圾信息发送者显然更难使用大量的中继。
测量RTT
精确的RTT测量要求在接收到OC时立即发送IC。这可以通过多种方式来实现。
某些协议实现提供了对某些通信的立即响应。例如,在TCP三方握手中,在接收到包含SYN控制标志的相关片段(SYN片段)时应该立即发送包含SYN和ACK控制标志的片段(SYN-ACK片段)。在这种情况下,RTT是SYN片段(OC)的发送与SYN-ACK片段(IC)的接收之间的时间。
在其他情况下,该协议实现可能不提供立即响应,而是希望对该通信进行处理的应用来生成它。例如,HTTP客户端通常在接收到HTTP“302”响应时立即产生HTTP请求。在另一示例中,HTML浏览器通常在接收到HTML网页中的第一个嵌入图像(例如,使用HTML<img>标签)时立即产生HTTP请求。在另一示例中,SSL/TLS层将在接收到表示TCP连接已建立的TCP SYN-ACK片段时立即发送ClientHello消息。在另一示例中,SMTP客户端通常在接收到对于以前的“MAIL”命令(参见RFC 821)的“250”响应时立即发送“RCPT”命令。在另一示例中,IRC客户端通常在从IRC服务器接收到“PING”消息时立即发送“PONG”消息。
在其他情况下,可以使用人类交互来产生立即响应。例如,向用户显示游戏,在该游戏中,用户需要在看到屏幕上的信号时立即按下键盘键。该信号在接收到OC时显示,在用户做出响应时发送IC。
在短时间内进行的多次RTT测量可能产生不同的结果。这是由于网络拥塞和其他参数的变化所致。因此,建议在可能的情况下进行多次RTT测量。此外,由于RTT不会降低到低于电信号或电磁信号传播整个路径所花费的时间,所以使用多次RTT测量中的最低值通常会产生更精确和可靠的结果。
应该注意,恶意用户可能在接收到OC之前发送IC。这将欺骗RDS102计算较短的RTT。因此,建议在OC中设置一些秘密信息(秘密信息是无法被那些还未获知该秘密的人或设备轻易获得的信息),并要求IC包含该秘密信息(或其派生物)。这防止了在接收到OC中的秘密信息之前发送IC。例如,上述HTTP“302”响应可以将HTTP客户端重定向到包含秘密的URL。HTTP客户端随后将产生对于该URL的HTTP请求,由此发回相同的秘密。在另一示例中,TCP SYN-ACK片段(OC)包含秘密初始序列号,而包含ACK控制标志的TCP片段(TCP ACK片段;IC)包含确认号,该确认号是初始序列号的派生物。在另一示例中,ICMP回应消息(OC)包含秘密标识符、序列号或者数据,而ICMP回应答复消息(IC)包含相同的秘密。
应该注意,在计算RTT时,RDS 102还必须对由MH 110发送的通信进行监测(不仅对由MH 110接收的通信),以检测发送各个OC的时刻。然而,如果已知对于ISD 104的OC和对于PRD 150的OC要在相同的时刻发送,则可以绕过该要求。在这种情况下,RTT是未知的,但是仍然可以计算出RTT间隙,RTT间隙等于各个IC的到达时刻之间的差。例如,如果PRIE是SSL/TLS而NRIE是TCP,则由MH 110发送的TCPSYN-ACK片段是这种OC,并且RTT间隙是对应的TCP ACK片段的接收与SSL/TLS ClientHello消息的接收之间的时间。
如果MH 110未发送OC(其可以由RDS 102使用),则RDS 102可能需要自己发送这种OC。例如,RDS 102对去往和来自网站(MH 110)的HTTP通信进行监测。为了测量PRIE的RTT,RDS 102为由MH 110接收的HTTP请求中的某些提供HTTP“302”响应,如上所述。在该示例中,RDS 102可能需要是安装在MH 110上的软件模块,因此它可以对发送至MH 110的HTTP通信进行响应。
在涉及延迟或RTT的测量的实施例中,建议检查ISD RTT是否“明显不同”于PRD RTT。当它们之间的差异是在对与相同设备的通信进行RTT测量时很少出现的差异时,RTT是明显不同的。在撰写本文时,处于相当稳定的互联网环境中的两个设备之间的RTT在几秒钟的时间期限内的变化不会超过50毫秒。相反,经中继的通信中的RTT间隙通常超过100毫秒。因此,在某些实施例中,“显著不同”可以被解释为表示“超过60毫秒”。在某些实施例中,“显著不同”可以被解释为表示“超过80毫秒”。在某些实施例中,“显著不同”可以被解释为表示“超过100毫秒”,等等。
在某些实施例中,对于设备的RTT不是直接测量的,而是根据与该设备有关的已知信息估计的,这些已知信息例如是其地理位置、其IP地址的反向DNS记录(即,主机地址到主机名翻译)以及/或者其IP地址的WHOIS记录(参见http://www.arin.net处的美国互联网编号注册管理机构网站,来获取与WHOIS服务有关的信息)。例如,如果MH 110位于美国纽约的纽约城,而IP地理位置服务表示PRD 150位于美国加州的洛杉矶,并且在PRD 150的IP地址的反向DNS记录中发现了表示它可能是数字用户线(DSL;参见http://www.dslforum.org上的DSL论坛网站,来获取与DSL相关的信息)的文本“dsl”,则RDS 102可以估计MH 110与PRD 150之间的RTT在65~85毫秒的范围内。这是因为,已知纽约城与洛杉矶之间的互联网上的RTT通常大约为55毫秒,并且因为,已知DSL通常向RTT添加额外的10~30毫秒。
使用设备配置状态
在本发明的另一具体实施例中,ISD特征和PRD特征分别是ISD 104和PRD 150的配置状态。这里使用的术语“配置状态”是指设备的硬件和软件以及它们被定制的方式。
如果ISD特征和PRD特征是不大可能与同一设备相关的配置状态,则相对更可能的是,PRD 150和ISD 104是不同的设备(即,PRD 150是中继设备108,并且PRIE被中继)。
类似地,如果ISD特征和PRD特征是可能与同一设备相关的配置状态,则相对更可能的是,PRD 150和ISD 104是同一设备(即,PRIE不被中继)。
存在多种已知的用于从通信中检测设备的配置状态的方法。一种方法是使用由通信中的设备提供的明确的配置信息。例如,HTTP客户端通常在各个HTTP请求中包含头部“User-Agent”,该头部提供了与操作系统类型和版本、HTTP客户端类型和版本以及安装在该设备上的附加软件有关的信息。电子邮件应用可以在RFC 822“X-Mailer”头部中提供类似的信息,电子邮件服务器可以在RFC 822“Received”头部中提供这种信息,而HTTP服务器通常在HTTP响应中包含头部“Server”,该头部提供了与HTTP服务器类型和版本有关的信息。
另一种方法是根据设备实施各种通信协议的方式来推断该设备的配置状态。普及的网络管理工具“Nmap”包括该方法的多种实现,如Nmap的开发人员所著的文章“Remote OS detection via TCP/IP Stack Fingerprinting”(可以在http://www.insecure.org/nmap/nmap-fingerprinting-article.html处获得)中详细描述的。例如,该文章建议检查通过TCP实现选择的初始窗口,因为不同的操作系统选择不同的编号。应该注意,尽管该文章假设所调查的设备对通信进行响应,但是该方法也适用于由设备发起的通信(尽管特定的指标可能会改变)。
在本实施例的一个示例(其中RD 108是SOCKS代理)中,RDS 102对包括头部“User-Agent:Mozilla/4.0(可兼容;MSIE 6.0;Windows NT5.0)”的HTTP请求(PRIE)进行监测,该头部表示操作系统为MicrosoftWindows 2000。通过具有初始窗口5840(这对于其他操作系统(尤其是Red Hat Enterprise Linux)是典型的)的TCP连接(NRIE)来发送该HTTP请求。由于一个设备不能并行运行两个操作系统,所以RDS 102确定ISD104和PRD 150为不同设备(即,PRD 150是中继设备108,并且该HTTP请求被中继)。在该示例中,ISD特征是下述的信息:ISD 104正在运行Microsoft Windows 2000操作系统,而PRD特征是下述的信息:PRD 150正在运行Red Hat Enterprise Linux操作系统。
在本实施例的另一示例(其中RD 108是使用CONNECT方法的HTTP代理)中,RDS 102对包括头部“Mozilla/5.0(Macintosh;U;PPCMac OS X;en)AppleWebKit/124(KHTML,类似Gecko)Safari/125”的HTTP请求(PRIE)进行监测,该头部表示操作系统为Apple Mac OSX。通过TCP连接(NRIE)来发送该HTTP请求。RDS 102连接至该TCP连接的源IP地址的端口80,并发送HTTP请求。RDS 102随后接收包含头部“Server:Microsoft-IIS/5.0”的HTTP响应(如下所述,该HTTP响应的原始源为PRD 150)。由于已知Microsoft IIS服务器不在Apple MacOS X操作系统上运行,所以RDS 102确定ISD 104和PRD 150是不同的设备(即,PRD 150是中继设备108,并且来自ISD 104的HTTP请求被中继)。在该示例中,ISD特征是下述的信息:ISD 104正在运行Apple MacOS X操作系统,而PRD特征是下述的信息:PRD 150正在运行MicrosoftIIS服务器。
在某些情况下,需要向信息要素的原始源发送OC,该OC将导致该原始源发送回可用来确定其配置的IC。在以上给出的其中使用了HTTP“Server”头部的示例中,从RDS 102发送至PRD 150的HTTP请求是OC,而HTTP响应是IC。下面对确保OC被发送至信息要素的原始源的方法以及确保从信息要素的原始源接收到IC的方法进行说明。
使用位置、子网或管理者信息
在本发明的另一具体实施例中,ISD特征和PRD特征分别是ISD 104和PRD 150的位置、子网和/或管理者。这里使用的术语“位置”是指设备的地理位置,术语“子网”是指在网络拓扑中靠近一设备的一组设备,而术语“管理者”是指将该设备连接至网络(例如,至互联网)的组织。设备的位置的示例可以是“美国,纽约,纽约城”或者“北纬32度5分,东经34度46分”。设备的子网的示例可以是“位于与IP地址为1.2.3.4的设备相同的局域网段上的所有设备”。设备的管理者的示例可以是“美国乔治亚州亚特兰大的Earthlink公司”,它是将用户连接至互联网以进行收费的互联网服务供应商,或者“美国新泽西州普林斯顿的GeneralElectric公司”,它是根据需要将其一些雇员连接至互联网以进行工作的公司。
单个设备不大可能同时具有两个不同的位置、子网或管理者。因此,如果发现与PRD 150相比,ISD 104位于不同的位置和/或不同的子网以及/或者具有不同的管理者,则相对更可能的是,ISD 104和PRD 150是不同的设备(即,PRIE被中继)。类似地,如果发现ISD 104和PRD 150位于相同的位置和/或相同的子网以及/或者具有相同的管理者,则相对更可能的是,PRD 150和ISD 104是同一设备(即,PRIE未被中继)。
在一示例性实施例中,RD 108是SOCKS代理,ISD 104是SMTP客户端,而MH 110是SMTP服务器。在这种情况下,RDS 102使用TCP会话(NRIE)的源IP地址和IP地理位置服务来估计PRD 150的位置。随后,其使用SMTP通信(PRIE)中所报告的RFC 822“Date”头部来估计ISD 104的位置。该“Date”头部表示ISD 104的时间(“挂钟”)和时区配置,因此表示了其位置(因为设备通常被配置为本地时间和时区)。如果两个位置不匹配(例如,地理位置服务表示PRD 150位于纽约城,而ISD 104的时区为GMT+7),则RDS 102确定PRD 150和ISD 104是不同的设备(即,PRD 150是中继设备108,并且SMTP通信被中继)。
估计PRD 150的位置的另选方法(除使用IP地理位置服务以外)包括但不限于:(a)检查IP地址的WHOIS记录,WHOIS记录中给出的地址有可能相对接近PRD 150的位置;以及(b)检查IP地址的反向DNS记录(例如,如果该记录以“.fr”结束,则PRD 150有可能在法国)。
估计ISD 104的位置的另选方法(除使用SMTP通信中的“Date”头部以外)包括但不限于:(a)(在PRIE是SMTP的情况下)检查SMTP通信中所报告的最后一个RFC 822“Received”头部,它应该包含由ISD104使用的SMTP服务器的时区配置,该时区配置通常与ISD 104自身的时区相同;(b)(在PRIE是HTTP的情况下)检查HTTP头部“Accept-Language”,其表示ISD 104所支持的语言(例如,头部“Accept-Language:ru”表示ISD 104支持俄语内容,因此相对更可能的是,ISD 104位于俄罗斯);以及(c)使用上述用于估计PRD 150的位置的方法中的任意一种,来检查由ISD 104处的事件触发的另一通信(ISD触发通信,如稍后详细说明)的源的位置。
在另一示例性实施例中,RD 108属于不对TCP进行中继(即,TCP是NRIE)的类型的中继设备,RDS 102使用TCP会话的源IP地址来估计PRD 150的子网。这可以通过检索与该IP地址相关的WHOIS记录、反向DNS记录或者路由数据库记录(参见http://www.radb.net处的RADb网站,来获取与路由数据库有关的信息)来完成。这也可以通过使用响应于具有小Time-to-Live值的IP分组而发送的“Time Exceeded”ICMP消息来发现与PRD 150相邻的路由器来完成,如Unix工具traceroute(或者等效的Microsoft Windows工具tracert)所完成的,因为同一子网中的设备通常通过同一路由器连接至互联网100。RDS 102随后估计ISD 104的子网。这可以通过使用上述用于估计PRD 150的子网的方法中的任意一种来检查ISD触发通信(如稍后详细说明)的源的子网而完成。如果这两个子网不匹配(例如,这些设备的WHOIS记录中的子网名不同或者这些设备不具有公共的相邻路由器),则RDS 102确定PRD 150和ISD 104是不同的设备(即,PRD 150是中继设备108,并且PRIE被中继)。
在另一示例性实施例中,RD 108属于不对TCP进行中继(即,TCP是NRIE)的类型的中继设备,RDS 102使用TCP会话的源IP地址来估计PRD 150的管理者。估计管理者的示例性方法包括但不限于:(a)检索与该IP地址相关联的WHOIS记录(该记录中给出的组织名称有可能是管理者);(b)检索与该IP地址相关联的反向DNS记录(例如,如果该记录以“cox.net”结束,则管理者可能是“美国乔治亚州亚特兰大的Cox通信公司”);(c)在与该IP地址相关联的反向DNS记录中检索与二级域(second-level domain)相关联的WHOIS记录;以及(d)检索与该IP地址相关联的路由数据库记录。RDS 102随后估计ISD 104的管理者。估计ISD 104的管理者的方法包括但不限于:(a)(在PRIE为HTTP的情况下)检查经常包含有与管理者相关的信息的HTTP头部“User-Agent”。例如包含文本“AOL 9.0”的“User-Agent”头部表示安装在ISD 104上的HTML浏览器是由美国维吉尼亚州杜勒斯的美国在线公司(AOL)提供的。由于许多互联网用户都从相同的组织(他们通过该组织连接至互联网)接收其HTML浏览器,所以这增大了ISD 104通过AOL连接至互联网(即,AOL是管理者)的可能性。在另一示例中,文本“Cox High Speed Internet Customer”表示该浏览器是由美国乔治亚州亚特兰大的Cox通信公司提供的;(b)(在PRIE是SMTP的情况下)检查RFC 822“Organization”头部,该头部经常包含与管理者有关的信息;以及(c)使用上述估计PRD 150的管理者的方法中的任意一种,来检查ISD触发通信(如稍后详细说明)的源IP地址的管理者。
ISD触发通信
可以通过触发ISD 104以发送通信来发现与ISD 104相关的信息。这种通信是“ISD触发通信”。
在PCT申请WO02/08853中公开了暴露ISD 104的IP地址的示例性ISD触发通信,在此通过引用并入其全部内容。在接收到ISD 104的IP地址之后,RDS 102可以使用上述方法来找到其位置、子网或管理者。然后可以将它们与PRD 150的位置、子网或管理者进行比较,并确定它们是否为不同的设备。另选地,RDS 102可以直接将ISD 104的IP地址与PRD 150的IP地址进行比较。如果它们不同,则相对更可能的是,ISD104与PRD 150是不同的设备(即,PRD 150是中继设备108,并且PRIE被中继)。
另一示例性触发通信为DNS请求。在某些情况下,ISD 104发送与PRIE相关联的DNS请求,以将主机名翻译为IP地址。ISD 104向所使用的一个或更多个DNS服务器发送该DNS请求。ISD 104的DNS服务器随后向权威性DNS服务器发送DNS请求,以获得给定的主机名。RDS102监测被发送给该权威性DNS服务器的DNS请求。应该注意,尽管可以从ISD 104所使用的DNS服务器接收到RDS 102监测的DNS请求,但是ISD 104是包含在该DNS请求中的至少一个信息要素的原始源。美国专利申请US2002016831(在此通过引用并入其全文)描述了使设备产生DNS请求的方法,以及将该DNS请求与发出它们的设备的识别信息相关联的方法。一种用于将DNS请求与相关PRIE相关联的方法是,将权威性DNS服务器配置为以不同的IP地址来对翻译主机名的各个请求进行回复,并保存哪个DNS请求接收到哪个IP地址作为回复的记录。当在这些IP地址中的一个处接收到PRIE时,可以从该记录中检索相关的DNS请求。
在从ISD 104的DNS服务器接收到DNS请求之后,RDS 102可以使用上述方法来找到其位置、子网或管理者。出于性能和经济性的因素,将连接至互联网的许多设备配置为使用位于相同位置、在相同子网上或者由相同管理者管理的DNS服务器。因此,RDS 102可以分别将PRD 150的位置、子网或管理者与ISD 104的DNS服务器的位置、子网或管理者进行比较。如果它们不匹配,则相对更可能的是,PRD 150是与ISD 104不同的设备(即,PRIE被中继)。
使用最大通信速率
在本发明的另一具体实施例中,使用PRD 150和ISD 104的最大通信速率(MCR)来确定它们是否为相同的设备。术语MCR是指在一时间间隔期间设备可以接收(入局MCR)或发送(出局MCR)的信息的最大量。“比特每秒”(bps)是MCR的通用量度。例如,某些DSL线具有1.5兆bps(Mbps)的入局MCR以及96千bps(kbps)的出局MCR。
如果PRD 150的MCR与ISD 104的不同,则相对更可能的是,ISD104是与PRD 150不同的设备(即,PRIE被中继)。
在本实施例的一个示例中,RD 108通过具有1.5Mbps入局MCR和96kbps出局MCR的DSL线连接至互联网100。由于从MH 110到ISD104的中继通信通过RD 108的入局接口并随后通过其出局接口传送,所以ISD 104的入局MCR不会超过RD 108的出局MCR(96kbps)。因此,PRD 150的入局MCR是1.5Mbps,而ISD 104的入局MCR是96kbps或更低。
在本实施例的另一示例中,RD 108在两个方向上都以20 Mbps的MCR连接至互联网100,而ISD 104通过具有1.5Mbps入局MCR和96kbps出局MCR的DSL线连接至互联网100。因此,PRD 150的入局MCR为20Mbps,而ISD 104的入局MCR为1.5Mbps,并且PRD 150的出局MCR为20Mbps,而ISD 104的出局MCR为96kbps。
检测MCR
根据本发明的某些实施例,通过检测ISD 104的MCR和PRD 150的MCR并进行比较来检测它们是否不同。检测MCR的一种方法是使用自动调节至最大可能通信速率的协议(例如TCP)来向设备发送信息或从设备接收信息,并观察通信速率。为了获得对于在TCP中使用的用于调节至MCR的某些机制的说明,请参见文章“JACOBSON,V.Congestionavoidance and control.In Proceedings of SIGCOMM’88(Stanford,CA,Aug.1988),ACM”及其引用的文章。
观察设备的入局通信速率的另一种方法涉及对从该设备接收到的接收确认进行监测。例如,接收到与TCP连接相关的信息的设备经常发送其成功接收到的信息的量。在某一时刻接收到字节数3,000,000的确认并且在20秒之后接收到字节数3,250,000的确认表示该设备正在以12,500字节每秒的速率接收信息,12,500字节每秒等于100,000比特每秒(即,其入局MCR为100kbps)。在另一示例中,如上所述,HTML浏览器通常在接收到HTML页面中的第一个嵌入图像(例如,使用HTML<img>标签)时立即产生HTTP请求。在开始发送其中该嵌入图像标签被设置在偏移1,000,000字节处的HTML页面之后40秒接收到该HTTP请求,表示该设备正在以25,000字节每秒的速率接收信息,25,000字节每秒等于200,000比特每秒(即,其入局MCR为200kbps)。应该注意,这种测量可能是不精确的,因为其对HTML页面的起始的发送与HTTP请求的接收进行比较,由此向该量度添加了至少一个往返时间。测量该往返时间并将其从该时间量度中减去而可以得到更加精确的结果。
RD 108通常对MH 110和ISD 104之间的中继通信进行缓冲。缓冲器是临时存储器,RD 108向其中写入其接收到的通信,并从其中读取其发送的通信。当缓冲器未满时,RD 108可以按照其入局MCR速率接收通信。当缓冲器已满时,RD 108可以按照其可以清空缓冲器的速率(即,按照其可以从缓冲器向外发送通信的速率)来接收通信。这意味着,当缓冲器未满时,从MH 110到RD 108的通信速率的量度将是RD 108的入局MCR的指标,而当缓冲器变满时,将是ISD 104的入局MCR的指标。如果ISD 104的入局MCR小于RD 108的入局MCR,则缓冲器会变满。例如,如果RD 108具有大小为100,000字节的缓冲器,并且其入局MCR为1.5Mbps,而ISD 104的入局MCR为96Kbps,则这些缓冲器将以1.404Mbps的速率被填充。按照该速率,缓冲器变满将需要大约0.57秒。在该示例中,通信速率的量度在开始的0.57秒内将是1.5Mbps,这是RD 108的入局MCR的指标,而通信速率的量度在开始的0.57秒之后将是96Kbps,这是ISD 104的入局MCR的指标。
因此,在PRD 150是RD 108的情况下,PRD 150的入局MCR由缓冲器变满之前的PRD 150的入局通信速率来表示,而ISD 104的入局MCR由缓冲器变满之后的PRD 150的入局通信速率来表示。
在PRD 150是ISD 104的情况下,该缓冲器不存在,从而PRD 150入局通信速率不改变,保持与ISD 104的入局MCR相等。
因此,PRD 150的入局MCR等于PRD 150的入局通信速率,直到使RD 108的缓冲器变满的时刻为止,此后,ISD 104的入局MCR等于PRD 150的入局通信速率。
因此,RDS 102可以通过在这两个时刻比较PRD 150的入局通信速率,来确定PRD 150是否是中继设备108。
在许多情况下,从RD 108到MH 110的通信速率都不超过ISD 104的出局MCR,因为RD 108仅将其从ISD 104接收到的信息发送给MH110,并且通常不会自己产生大量信息。然而,由于如上所述,RD 108对ISD 104和MH 110之间的通信进行缓冲,所以可以如下测量RD 108的出局MCR。某些协议包含了“流量控制”机制,这使得在停止发送新信息以及在继续发送时,接收信息的设备可以向发送该信息的设备发送信号。例如,在TCP中,如果接收设备发送了“Window”值为零的ACK片段,则发送设备通常会停止发送新信息,直到其接收到“Window”值为正的ACK段为止。MH 110或RDS 102可以使用“流量控制”机制向RD 108发送信号,以停止发送新信息。这将使得RD 108的缓冲器将被RD 108要继续从ISD 104接收而不发送至MH 110的信息填满。MH 110或RDS 102随后将使用“流量控制”机制向RD 108发送信号,以恢复发送新信息。由于现在RD 108将从其本地缓冲器发送信息,直到缓冲器空闲为止,所以通信速率的量度将是RD 108的出局MCR的指标。
根据本发明的某些实施例,通过检测PRD 150中的缓冲器是被填充还是被清空的指标来检查ISD 104的MCR是否与PRD 150的MCR不同。例如,如上所述,如果ISD 104的入局MCR小于PRD 150的入局MCR,则RD 108中的缓冲器将被填满。在另一示例中,如上所述,如果ISD 104的出局MCR小于PRD 150的出局MCR,则RD 108中的缓冲器将被清空。某些协议允许设备向与其进行通信的其他设备通告其缓冲器的容量及其派生容量,而该信息可以用来估计设备的缓冲器是被填满还是变得空闲。例如,在TCP中,设备在其发送的每一个ACK片段的“Window”头部中通告其愿意接收的信息量。“Window”头部的该值的变化通常反映了该设备的缓冲器的容量的变化。“Window”值的增大表示缓冲器正被清空,而“Window”值的减小表示缓冲器正被填充。
因此,减小的“Window”值是PRD 150的入局MCR大于ISD 104的入局MCR的直接表示,意味着PRD 150和ISD 104是不同的设备(即,PRD 150是中继设备108)。
检测MCR的另一种方法是测量两个通信(它们之间的差别仅在于各自所包含的信息量)的两个延迟,然后根据这两个延迟之间的差异来计算MCR。如上所述,通信通过通信线路传送所需的时间与该通信中所包含的信息量成比例。因此,MCR等于这两个通信中的信息量之间的差除以这两个延迟之间的差。
该方法还可以与RTT量度一起使用而不是与延迟一起使用。例如,可以使用具有短回应消息(例如64字节)的ICMP回应机制的RTT以及具有长回应消息(例如1500字节)的RTT来检测设备的MCR。应该注意,如果入局和出局通信包含相同的信息量,如在ICMP回应示例中那样,则该RTT方法将提供该设备的入局和出局MCR两者的组合量度。克服该限制的一种方法是使用其中仅入局和出局通信中的一个包含大量信息的协议来进行RTT测量。这将降低其他通信的延迟对于RTT的贡献,由此提供了第一通信的延迟的更好的近似。例如,发送至已关闭端口的TCP SYN片断通常会触发包含RST标志的片段(RST片段)。尽管SYN片段可以是由其发送者选定的大小,但是RST片段通常较小(例如,40字节)。
检测MCR的另一种方法是根据与该设备有关的其他已知信息来估计MCR。例如,在该设备的IP地址的反向DNS中发现文本“dsl”表示其可能是DSL线,DSL线通常具有500至2,500kbps的入局MCR以及64至256kbps的出局MCR。在另一示例中,发现PRD 150的管理者是AOL表示其可能是通过语音调制解调器拨号线路进行连接的(因为这是AOL所提供的基本连接选项),语音调制解调器拨号线路通常具有达到56kbps的入局MCR以及达到33kbps的出局MCR。
使用同一中继设备的两个设备
在本发明的另一具体实施例中,RDS 102通过确定两个信息要素的原始源是两个不同的设备,而检测出PRD 150是中继设备108,而不要求原始源之一为PRD 150。
在该实施例中,RDS 102试图在区分以下两种情况:
图5A示出了第一种情况,其中ISD 104向MH 110直接发送两个信息要素,PRIE1和PRIE2,而不使用RD 108。这两个信息要素是RD 108可以中继的类型。
图5B示出了第二种情况,其中两个不同的设备,ISD 104和ISD2 106分别向MH 110发送信息要素,其中两个信息要素都经过RD 108中继。
RDS 102如下地区分这两种情况:
RDS 102对MH 110的通信进行监测,由此从RD 108接收到两个可能经中继的信息要素(PRIE1和PRIE2)。RDS 102随后检查PRIE1的原始源(PRIE1源)的特征(PRIE1特征)和PRIE2的原始源(PRIE2源)的特征(PRIE2特征)是否为不相容特征。如果PRIE1特征和PRIE2特征确实为不相容特征,则更可能的是,PRIE1的原始源和PRIE2的原始源是不同的设备,这意味着第二种情况更有可能,这意味着PRIE1和PRIE2可能经过了中继。
为简单起见,本实施例的说明仅包含三个设备,其中两个设备使用中继设备。实际上,有许多设备与互联网100相连,它们中的每一个都可以使用或者不使用同样连接至互联网100的多个中继设备之一。更一般地,该实施例通过确定从可能的中继设备接收到的至少两个可能经中继的信息要素的至少两个原始源具有不相容特征,而检测到可能的中继设备是中继设备。由于通过定义单个设备不可能具有不相容特征,所以两个原始源可能是不同的设备,因此这些源中的至少一个不是可能的中继设备,这意味着来自该源的信息要素经过了中继,并且该可能的中继设备是中继设备。
上述用于确定多个特征是否为不相容特征的所有方法也适用于本实施例(经过必要的修正)。例如,RDS 102可以比较PRIE1和PRIE2中提供的HTTP“User-Agent”头部,并且如果它们表示不同的操作系统,则确定ISD 104和ISD2 106是不同的设备,因此确定PRD 150是中继设备108。在另一示例中,RDS 102可以检测到与PRIE1源和PRIE2源的通信的RTT明显不同。应该注意,在这种情况下,每个RTT都是(a)RD 108与MH 110之间的RTT和(b)各个原始源与RD 108之间的RTT的总和。因此,该情况下的RTT间隙是(c)PRIE1与RD 108之间的RTT和(d)PRIE2源与RD 108之间的RTT之间的差的结果。这两个RTT不必明显不同,但是在某些情况下它们可以明显不同,而使得RDS 102能够检测RTT间隙。
确保与原始源的通信
在本发明的某些实施例中,根据一个或更多个新通信,而不是根据原始通信或包含NRIE和/或PRIE的通信,来获得与设备的特征相关的信息。对于将要可用的这些新通信,应该验证这些通信是与PRIE和/或NRIE的原始源的通信。
美国公开专利申请2004243832(在此通过引用并入其全部内容)公开了多种用于确定两个网络消息是否来自于同一发送者的方法。尽管这些方法涉及消息而不是信息要素或通信,并且涉及发送者而不是原始源,但是本领域的技术人员应该理解,其中所述的大多数方法都适用于检测两个信息要素是否由同一原始源发送的。
在一个示例性实施例中,通过相同源IP地址接收的或者发送至相同目的IP地址的ICMP分组和TCP/IP分组可以被认为是与同一设备的通信。
在另一示例性实施例中,属于一个TCP连接的入局TCP/IP分组可以被认为是来自同一设备。
在另一示例性实施例中,根据HTTP协议而在HTTP请求之后发送的HTTP响应可以被认为是与该HTTP请求的源的通信。
系统
图3描绘了根据本发明一具体实施例的中继检测系统102的组成部分。
信息要素接收器30对MH 110接收的通信进行监测。其可能还对MH 110发送的通信进行监测。其可能还对出局通信发送器36发送的通信进行监测。
特征不相容性分析器34确定ISD特征和PRD特征是否为不相容特征。
可选特征发现模块32发现ISD特征和/或PRD特征。
可选出局通信发送器36发送一个或更多个出局通信。
可选参数获得器38获得表示以下信息的一个或更多个参数:(a)ISD特征;(b)PRD特征;和/或(c)ISD特征和PRD特征是否为不相容特征。
可选特征数据库40包含多对特征以及它们是否为不相容特征的列表。例如,特征数据库40可以包含各个操作系统支持哪些HTML客户端的描述。
多样性
应该理解,根据某些实施例,本发明使用了在本说明书所公开的对于确定可能的中继设备是否为中继设备以及/或者对于确定所接收的信息要素是否由中继设备进行了中继有用的特征或参数的任意组合。
在上述的某些实施例中,ISD特征和/或PRD特征与延迟和/或通信速率相关。本领域技术人员应该理解,这些是其中ISD特征和/或PRD特征与通信性能相关的更一般情况中的特殊情况。“通信性能”是指描述通信的速度、速率、时间、效率等的所有参数的一般性术语。
在确定两个特征是否为不相容特征时,RDS 102应该考虑发现各个特征的时刻。例如,如果两个特征是等于9:05am和10:05am的挂钟配置,而第二特征是正好在第一特征之后一小时发现的,则不能认为这两个特征是不相容特征,因为发现时刻的差别直接说明了特征的差别。然而,如果相同的两个特征在大致相同的时刻被发现,则可以认为它们是不相容特征。在另一示例中,如果一个特征是900毫秒的RTT量度,而另一个特征是940毫秒的RTT,并且第一特征是在另一特征之后24小时发现的,则这两个特征不一定是不相容特征,因为网络拓扑变化可能造成这种差异。然而,如果在相同的100毫秒时间段内发现相同的两个特征,则拓扑变化的可能性较小,因此这两个特征更可能是不相容特征。
如果几乎在相同的时刻发现这些特征,则RDS 102应该考虑这些特征是否不可能同时与同一设备相关。
以上特别参照当前所公开的实施例对本申请的多个创新教示进行了说明。然而,应该理解,这种类型的实施例仅提供了此处的创新教示的许多有益应用的几个示例。通常,在本申请的说明书中进行的描述不必限定各个所要求保护的发明中的任何一个。此外,某些描述可适用于某些发明特征而不适用于其他发明特征。
尽管示出并描述了本发明的具体实施例,但是对于本领域的技术人员显而易见的是,可以在不脱离本发明的情况下,可以在其更宽广的方面进行多种变化和修改,因此,所附权利要求旨在涵盖落入本发明真实精神和范围内的所有这些变化和修改。
根据某些实施例,这里所使用的术语“不大可能”是指最大可能性为最多40%的可能性。
在其他实施例中,该最大可能性为最大30%。
在其他实施例中,该最大可能性为最大20%。
在其他实施例中,该最大可能性为最大10%。
在其他实施例中,该最大可能性为最大5%。
在其他实施例中,该最大可能性为最大1%。
在其他实施例中,该最大可能性为最大1/2%。
类似地,“可能”事件是下述的事件,该时间发生的可能性为100%减去“不大可能”事件的可能性。
根据某些实施例,“单个”设备是在物理上的一个设备。然而,本领域中公知的是,连接至数据网络的电子设备(例如中继设备、所监测的主机和信息源设备)通常是在逻辑上被配置为作为“单个”设备将它们自己呈现给数据网络和/或该数据网络上的设备的多个物理上不同的设备的集群。因此,这里使用的“单个”设备是指单个物理设备,以及在逻辑上被配置为将它们自己表现为单个设备的多个物理设备。
根据某些实施例,这里使用的“不同”位置是指位于不同国家的地点。
根据某些实施例,这里使用的“不同”位置是指位于不同州的地点。
根据某些实施例,这里使用的“不同”位置是指位于不同省的地点。
根据某些实施例,这里使用的“不同”位置是指位于不同洲的地点。
根据某些实施例,这里使用的“不同”位置是指位于不同时区的地点。
根据某些实施例,这里使用的“不同”位置是指相距最少100公里,或者最少200公里,或者最少1000公里,或者最少2500公里的地点。

Claims (50)

1、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)确定所述第一信息要素的原始源的特征和所述可能的中继设备的特征是否为不大可能与单个设备相关的特征,
其中所述确定的肯定结果表示所述可能的中继设备是中继设备。
2、根据权利要求1所述的方法,其中,所述第二信息要素是下述的类型,即,一种中继设备类型的中继设备不大可能中继的类型。
3、根据权利要求2所述的方法,其中,所述中继设备类型是从以下组中选择的,该组包括SOCKS代理、使用GET方法的HTTP代理、使用CONNECT方法的HTTP代理、IP路由器和网络地址翻译设备。
4、根据权利要求1所述的方法,其中,所述第二信息要素是通信的一部分,其中该通信是从以下组中选择的类型,该组包括IP、TCP、ICMP、DNS、HTTP、SMTP、TLS和SSL。
5、根据权利要求1所述的方法,其中,所述第一信息要素是通信的一部分,其中该通信是从以下组中选择的类型,该组包括IP、TCP、ICMP、DNS、HTTP、SMTP、TLS和SSL。
6、根据权利要求1所述的方法,其中,所述第一信息要素和所述第二信息要素是单个通信的多个部分。
7、根据权利要求6所述的方法,其中,所述第一信息要素和所述第二信息要素在协议栈的两个不同的层中进行发送。
8、根据权利要求1所述的方法,其中,所述确定阶段包括:
i)发现所述第一信息要素的原始源的所述特征;以及
ii)发现所述可能的中继设备的所述特征。
9、根据权利要求8所述的方法,其中,所述确定阶段还包括:
iii)对所述第一信息要素的原始源的所述特征和所述可能的中继设备的所述特征进行比较。
10、根据权利要求8所述的方法,还包括:
c)获得表示所述第一信息要素的原始源的所述特征的参数;以及
d)获得表示所述可能的中继设备的所述特征的参数。
11、根据权利要求8所述的方法,其中,所述确定阶段还包括:
iii)考虑发现所述第一信息要素的原始源的所述特征和所述可能的中继设备的所述特征中的至少一个的时刻。
12、根据权利要求1所述的方法,还包括:
c)获得表示所述第一信息要素的所述原始源的所述特征和所述可能的中继设备的所述特征之间的关系的参数。
13、根据权利要求12所述的方法,其中,所述确定阶段包括:对表示所述第一信息要素的所述原始源的所述特征和所述可能的中继设备的所述特征之间的关系的所述参数进行分析。
14、根据权利要求12所述的方法,其中,所述参数是从所述第一信息要素和所述第二信息要素中的至少一个获得的。
15、根据权利要求1所述的方法,还包括:
c)向所述第一信息要素的所述原始源和所述可能的中继设备中的至少一个发送出局通信;以及
d)从所述第一信息要素的所述原始源和所述可能的中继设备中的所述至少一个接收第三信息要素。
16、根据权利要求15所述的方法,还包括:
e)从所述第三信息要素得到与所述第一信息要素的所述原始源和所述可能的中继设备中的所述至少一个的特征相关的信息。
17、根据权利要求15所述的方法,还包括:
iii)验证所述第三信息要素的原始源是所述第一信息要素的所述原始源。
18、根据权利要求15所述的方法,还包括:
iii)验证所述第三信息要素的原始源是所述可能的中继设备。
19、根据权利要求15所述的方法,其中,所述第三信息要素是从以下组中选择的,该组包括ICMP消息、ICMP回应答复消息、DNS询问、HTTP请求、HTTP响应、HTTP“Server”头部、IP地址、TCP端口、TCP初始序列号、TCP初始窗口、WHOIS记录以及反向DNS记录。
20、根据权利要求1所述的方法,其中,所述第一信息要素的原始源的所述特征和所述可能的中继设备的所述特征中的至少一个是与配置状态相关的特征。
21、根据权利要求20所述的方法,其中,与配置状态相关的所述特征是从以下组中选择的,该组包括操作系统类型、操作系统版本、软件类型、HTTP客户端类型、HTTP服务器类型、SMTP客户端类型、SMTP服务器类型、时间设置、时钟设置以及时区设置。
22、根据权利要求21所述的方法,其中,所述确定包括对表示与配置状态相关的所述特征的参数进行检查。
23、根据权利要求21所述的方法,其中,所述参数是从以下组中选择的,该组包括HTTP“User-Agent”头部、RFC 822“X-Mailer”头部、RFC 822“Received”头部、RFC 822“Date”头部、协议实现方式、TCP/IP栈指纹、IP地址、TCP端口、TCP初始序列号以及TCP初始窗口。
24、根据权利要求1所述的方法,其中,所述第一信息要素的源的所述特征和所述可能的中继设备的所述特征中的至少一个是与通信性能相关的特征。
25、根据权利要求24所述的方法,其中,与通信性能相关的所述特征是从以下组中选择的,该组包括所测量的通信性能、所测量的相对通信性能以及所估计的通信性能。
26、根据权利要求24所述的方法,其中,与通信性能相关的所述特征是从以下组中选择的,该组包括通信的延迟、入局通信的延迟、出局通信的延迟、通信的往返时间、通信速率、入局通信速率、出局通信速率、最大通信速率、入局最大通信速率以及出局最大通信速率。
27、根据权利要求24所述的方法,其中,所述确定包括对表示与通信性能相关的所述特征的参数进行检查。
28、根据权利要求27所述的方法,其中,所述参数是从以下组中选择的,该组包括接收信息要素的时刻、发送信息要素的时刻、往返时间、往返时间间隙、IP地址、Whois记录、反向DNS记录以及确认信息的速率。
29、根据权利要求28所述的方法,其中,较高的往返时间间隙表示中继设备被用于恶意目的的较高可能性。
30、根据权利要求24所述的方法,其中,根据与所述第一通信的所述原始源和所述可能的中继设备中的至少一个有关的信息,来估计与通信性能相关的所述特征。
31、根据权利要求30所述的方法,其中,与所述第一通信的所述原始源和所述可能的中继设备中的至少一个有关的所述信息是从以下组中选择的,该组包括设备的位置、设备的主机名以及设备的管理者。
32、根据权利要求1所述的方法,其中,所述第一信息要素的原始源的所述特征和所述可能的中继设备的所述特征中的至少一个是从以下组中选择的,该组包括子网、管理者和位置。
33、根据权利要求32所述的方法,其中,所述确定包括对表示所述第一通信的源的所述特征和所述第二通信的源的所述特征中的至少一个的参数进行检查,所述参数是从以下组中选择的,该组包括HTTP“User-Agent”头部、RFC 822“X-Mailer”头部、RFC 822“Received”头部、RFC 822“Date”头部、IP地址、WHOIS记录以及反向DNS记录。
34、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)对所述第一信息要素和所述第二信息要素中的至少一个的原始源的配置状态进行分析,所述配置状态是从以下组中选择的,该组包括操作系统类型、操作系统版本、软件类型、HTTP客户端类型、HTTP服务器类型、SMTP客户端类型、SMTP服务器类型、时间设置、时钟设置以及时区设置。
35、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)对与所述第一信息要素和所述第二信息要素中的至少一个的原始源的通信性能相关的特征进行分析。
36、根据权利要求35所述的方法,其中,与通信性能相关的所述特征是从以下组中选择的,该组包括通信的延迟、入局通信的延迟、出局通信的延迟、通信的往返时间、通信速率、入局通信速率、出局通信速率、最大通信速率、入局最大通信速率以及出局最大通信速率。
37、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)向信息源设备发送消息,触发所述信息源设备发送DNS请求;
b)根据所述DNS请求来确定所述可能的中继设备是否为中继设备。
38、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素;以及
b)确定所述第一信息要素的原始源的特征和所述第二信息要素的原始源的特征是否为不大可能与单个设备相关的特征,
其中所述确定的肯定结果表示所述可能的中继设备是中继设备。
39、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)检查到所述可能的中继设备的往返时间是否明显不同于到所述第一信息要素的原始源的往返时间。
40、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)检查所述可能的中继设备的操作系统是否不同于所述第一信息要素的原始源的操作系统。
41、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)检查所述可能的中继设备的位置是否不同于所述第一信息要素的原始源的位置。
42、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)从所述可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)检查所述可能的中继设备的管理者是否不同于所述第一信息要素的原始源的管理者。
43、一种确定可能的中继设备是否为中继设备的方法,该方法包括:
a)确定第一信息要素的原始源的特征和所述可能的中继设备的特征是否为不大可能与单个设备相关的特征,
其中所述可能的中继设备是所述第一信息要素和第二信息要素的发送器,
其中所述可能的中继设备是所述第二信息要素的原始源,
其中所述确定的肯定结果表示所述可能的中继设备是中继设备。
44、一种用于确定可能的中继设备是否为中继设备的系统,该系统包括:
a)信息要素接收器,用于从包括信息源设备和所述可能的中继设备在内的多个设备接收信息要素;以及
b)特征不相容性分析器,用于确定所述信息源设备的特征与所述可能的中继设备的特征是否为不大可能与单个设备相关的特征。
45、根据权利要求44所述的系统,还包括:
c)特征发现模块,用于发现从以下组中选择的至少一个特征,该组包括所述信息源设备的特征和所述可能的中继设备的特征。
46、根据权利要求44所述的系统,其中,所述信息要素接收器还被构造用来从所监测的主机接收信息要素。
47、根据权利要求44所述的系统,还包括:
c)出局信息要素发送器。
48、根据权利要求44所述的系统,还包括:
c)参数获得器,用于获得从以下组中选择的至少一个参数,该组包括:表示信息源设备的特征的参数;表示所述可能的中继设备的特征的参数;以及表示所述信息源设备的特征和所述可能的中继设备的特征是否为不大可能与单个设备相关的特征的参数。
49、根据权利要求44所述的系统,还包括:
c)特征数据库,用于存储多对特征与表示所述多对特征是否为不相容特征的数据之间的映射。
50、一种计算机软件,其驻留在计算机可读存储介质中,包括用于使计算机执行以下操作的指令:
a)从可能的中继设备接收第一和第二信息要素,其中所述可能的中继设备是所述第二信息要素的原始源;以及
b)确定所述第一信息要素的原始源的特征和所述可能的中继设备的特征是否为不大可能与单个设备相关的特征,
其中所述确定的肯定结果表示所述可能的中继设备是中继设备。
CN2005800042408A 2004-01-09 2005-01-09 中继设备确定方法和系统 Expired - Fee Related CN1965309B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US53492704P 2004-01-09 2004-01-09
US60/534,927 2004-01-09
PCT/IL2005/000033 WO2005065038A2 (en) 2004-01-09 2005-01-09 Detecting relayed communications

Publications (2)

Publication Number Publication Date
CN1965309A true CN1965309A (zh) 2007-05-16
CN1965309B CN1965309B (zh) 2010-11-17

Family

ID=34749015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2005800042408A Expired - Fee Related CN1965309B (zh) 2004-01-09 2005-01-09 中继设备确定方法和系统

Country Status (9)

Country Link
US (4) US8966088B2 (zh)
EP (1) EP1702429B1 (zh)
JP (1) JP4596275B2 (zh)
CN (1) CN1965309B (zh)
AU (1) AU2005203856B2 (zh)
BR (1) BRPI0506963A2 (zh)
CA (1) CA2552481C (zh)
IL (2) IL176697A (zh)
WO (1) WO2005065038A2 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104767837A (zh) * 2014-01-08 2015-07-08 阿里巴巴集团控股有限公司 一种识别代理ip地址的方法及装置
CN107222503A (zh) * 2017-07-10 2017-09-29 北京知道未来信息技术有限公司 一种探测流加密代理服务器的方法
CN110830454A (zh) * 2019-10-22 2020-02-21 远江盛邦(北京)网络安全科技股份有限公司 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法
CN110839017A (zh) * 2019-10-21 2020-02-25 腾讯科技(深圳)有限公司 代理ip地址识别方法、装置、电子设备及存储介质
WO2021088438A1 (zh) * 2019-11-05 2021-05-14 华为技术有限公司 一种接入设备类型确定方法、设备及系统

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1965309B (zh) 2004-01-09 2010-11-17 Npx科技有限公司 中继设备确定方法和系统
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US7941370B2 (en) 2006-04-25 2011-05-10 Uc Group Limited Systems and methods for funding payback requests for financial transactions
US8301703B2 (en) * 2006-06-28 2012-10-30 International Business Machines Corporation Systems and methods for alerting administrators about suspect communications
JP4731428B2 (ja) * 2006-08-28 2011-07-27 セコム株式会社 監視装置、及び受信装置
US8667596B2 (en) 2006-09-06 2014-03-04 Devicescape Software, Inc. Systems and methods for network curation
US9326138B2 (en) 2006-09-06 2016-04-26 Devicescape Software, Inc. Systems and methods for determining location over a network
US8743778B2 (en) 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US8000283B2 (en) * 2007-03-07 2011-08-16 Motorola Solutions, Inc. Method and apparatus for relay station neighbor discovery
US20090284600A1 (en) * 2008-05-14 2009-11-19 Chuan Wang Remote-control door viewer surveillance system
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
US20100106611A1 (en) * 2008-10-24 2010-04-29 Uc Group Ltd. Financial transactions systems and methods
US8489732B1 (en) 2009-08-07 2013-07-16 Google Inc. System and method of using spatial and temporal signals to identify and prevent attacks
US8423791B1 (en) 2009-08-07 2013-04-16 Google Inc. Location data quarantine system
KR101167938B1 (ko) * 2009-09-22 2012-08-03 엘지전자 주식회사 컨텐츠에 대한 권리 이용 방법
JP5508042B2 (ja) * 2010-01-20 2014-05-28 克佳 長嶋 Ipアクセスログ解析装置およびその方法
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US8407341B2 (en) * 2010-07-09 2013-03-26 Bank Of America Corporation Monitoring communications
US20120272314A1 (en) * 2011-04-21 2012-10-25 Cybyl Technologies, Inc. Data collection system
US20120310778A1 (en) 2011-06-03 2012-12-06 Uc Group Limited Systems and methods for clearing and settling transaction activity
US20120317172A1 (en) * 2011-06-13 2012-12-13 International Business Machines Corporation Mobile web app infrastructure
CN103024091B (zh) * 2011-09-26 2016-05-25 阿里巴巴集团控股有限公司 获得网络客户端真实物理地址的方法及装置
JP2015536593A (ja) * 2012-10-09 2015-12-21 アダプティブ スペクトラム アンド シグナル アラインメント インコーポレイテッド 通信システムにおけるレイテンシ測定のための方法及びシステム
WO2014207262A1 (es) * 2013-06-24 2014-12-31 Telefonica Digital España, S.L.U. Un método para comunicaciones seguras a través de redes diferentes usando el protocolo socks
EP2819379A1 (en) 2013-06-28 2014-12-31 Thomson Licensing Method for adapting the downloading behavior of a client terminal configured to receive multimedia content, and corresponding terminal
KR101548210B1 (ko) * 2014-01-06 2015-08-31 고려대학교 산학협력단 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법
US9628512B2 (en) * 2014-03-11 2017-04-18 Vectra Networks, Inc. Malicious relay detection on networks
CN105338126B (zh) 2014-07-17 2018-10-23 阿里巴巴集团控股有限公司 远程查询信息的方法及服务器
US9721253B2 (en) 2015-05-06 2017-08-01 Forter Ltd. Gating decision system and methods for determining whether to allow material implications to result from online activities
US10715539B1 (en) * 2016-11-07 2020-07-14 United Services Automobile Association (Usaa) Request header anomaly detection
US10789301B1 (en) * 2017-07-12 2020-09-29 Groupon, Inc. Method, apparatus, and computer program product for inferring device rendered object interaction behavior
CN110022334B (zh) * 2018-01-09 2022-01-11 香港理工大学深圳研究院 一种代理服务器的检测方法、检测装置及终端设备
CN110710158B (zh) * 2018-05-07 2022-08-09 谷歌有限责任公司 验证与数字助理应用交接的代理的操作状态
US11449691B2 (en) * 2020-08-20 2022-09-20 Assa Abloy Ab Relay attack detection for interfaces using command-response pair
US12052282B2 (en) * 2021-08-25 2024-07-30 Paypal, Inc. Automatic detection of proxy-based phishing sites
CN114143807B (zh) * 2021-10-27 2023-08-08 中盈优创资讯科技有限公司 一种路由注册完整率评价方法及装置
US11888730B1 (en) 2022-09-20 2024-01-30 Block, Inc. Dynamically optimizing routing within a decentralized network

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US20020007411A1 (en) 1998-08-10 2002-01-17 Shvat Shaked Automatic network user identification
US6452915B1 (en) 1998-07-10 2002-09-17 Malibu Networks, Inc. IP-flow classification in a wireless point to multi-point (PTMP) transmission system
US6496824B1 (en) * 1999-02-19 2002-12-17 Saar Wilf Session management over a stateless protocol
DE69934871T2 (de) * 1999-03-05 2007-07-05 International Business Machines Corp. Verfahren und System zur optimalen Auswahl eines Webfirewalls in einem TCP/IP Netzwerk
US6832253B1 (en) * 1999-04-01 2004-12-14 Cisco Technologies, Inc. Proximity as an aid to caching and secondary serving of data
US6757740B1 (en) * 1999-05-03 2004-06-29 Digital Envoy, Inc. Systems and methods for determining collecting and using geographic locations of internet users
US6519568B1 (en) * 1999-06-15 2003-02-11 Schlumberger Technology Corporation System and method for electronic data delivery
EP1234244A4 (en) 1999-11-23 2005-03-09 Escom Corp ELECTRONIC MESSAGE FILTER COMPRISING A WHITE LIST BASED DATABASE AND QUARANTINE MECHANISM
CN1158612C (zh) * 1999-12-16 2004-07-21 华为技术有限公司 用于帧中继网络和异步传输模式网络互通的方法以及装置
US6684250B2 (en) * 2000-04-03 2004-01-27 Quova, Inc. Method and apparatus for estimating a geographic location of a networked entity
US7200673B1 (en) * 2000-06-09 2007-04-03 Steven Augart Determining the geographic location of a network device
US20020016831A1 (en) * 2000-08-07 2002-02-07 Vidius Inc. Apparatus and method for locating of an internet user
US20020032793A1 (en) 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US20030026268A1 (en) * 2000-11-28 2003-02-06 Siemens Technology-To-Business Center, Llc Characteristic routing
US7305461B2 (en) * 2000-12-15 2007-12-04 International Business Machines Corporation Method and system for network management with backup status gathering
US7360245B1 (en) * 2001-07-18 2008-04-15 Novell, Inc. Method and system for filtering spoofed packets in a network
US6907525B2 (en) * 2001-08-14 2005-06-14 Riverhead Networks Inc. Protecting against spoofed DNS messages
AU2002326635A1 (en) * 2001-08-15 2003-03-03 Shea Writer Methods for verifying cardholder authenticity and for creating billing address database
WO2003019404A1 (en) * 2001-08-30 2003-03-06 Riverhead Networks Inc. Protecting against distributed denial of service attacks
JP2003099381A (ja) 2001-09-21 2003-04-04 Kddi Corp メール発信用リンクを含むページを送信するwwwサーバ及びプログラム
US8650103B2 (en) * 2001-10-17 2014-02-11 Ebay, Inc. Verification of a person identifier received online
FI116017B (fi) 2002-01-22 2005-08-31 Netseal Mobility Technologies Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi
US7310356B2 (en) * 2002-06-24 2007-12-18 Paradyne Corporation Automatic discovery of network core type
US7444428B1 (en) * 2002-08-26 2008-10-28 Netapp, Inc. Method and apparatus for estimating relative network proximity in the presence of a network filter
ATE495609T1 (de) * 2002-11-29 2011-01-15 Freebit Co Ltd Server für routingverbindung mit einem clientgerät
CN1965309B (zh) * 2004-01-09 2010-11-17 Npx科技有限公司 中继设备确定方法和系统
EP1769381A4 (en) * 2004-03-04 2012-02-22 Quova Inc GEOLOCATION AND GEOCONFORMITY EXERCISED BY A CLIENT AGENT
JP4027378B2 (ja) 2005-04-26 2007-12-26 キヤノン株式会社 無線通信装置および無線通信方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104767837A (zh) * 2014-01-08 2015-07-08 阿里巴巴集团控股有限公司 一种识别代理ip地址的方法及装置
CN104767837B (zh) * 2014-01-08 2018-08-24 阿里巴巴集团控股有限公司 一种识别代理ip地址的方法及装置
CN107222503A (zh) * 2017-07-10 2017-09-29 北京知道未来信息技术有限公司 一种探测流加密代理服务器的方法
CN107222503B (zh) * 2017-07-10 2020-08-11 北京知道未来信息技术有限公司 一种探测流加密代理服务器的方法
CN110839017A (zh) * 2019-10-21 2020-02-25 腾讯科技(深圳)有限公司 代理ip地址识别方法、装置、电子设备及存储介质
CN110839017B (zh) * 2019-10-21 2022-02-08 腾讯科技(深圳)有限公司 代理ip地址识别方法、装置、电子设备及存储介质
CN110830454A (zh) * 2019-10-22 2020-02-21 远江盛邦(北京)网络安全科技股份有限公司 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法
WO2021088438A1 (zh) * 2019-11-05 2021-05-14 华为技术有限公司 一种接入设备类型确定方法、设备及系统

Also Published As

Publication number Publication date
IL176697A (en) 2015-02-26
WO2005065038A2 (en) 2005-07-21
CA2552481A1 (en) 2005-07-21
US20150172253A1 (en) 2015-06-18
US8966088B2 (en) 2015-02-24
WO2005065038A3 (en) 2006-11-16
EP1702429A4 (en) 2011-08-03
AU2005203856B2 (en) 2009-07-30
US10798055B2 (en) 2020-10-06
EP1702429B1 (en) 2017-05-10
IL237152B (en) 2018-02-28
EP1702429A2 (en) 2006-09-20
CN1965309B (zh) 2010-11-17
US11522827B2 (en) 2022-12-06
AU2005203856A1 (en) 2005-07-21
JP4596275B2 (ja) 2010-12-08
CA2552481C (en) 2016-08-02
US20090144408A1 (en) 2009-06-04
US10122683B2 (en) 2018-11-06
BRPI0506963A2 (pt) 2011-11-16
IL176697A0 (en) 2006-10-31
US20190182210A1 (en) 2019-06-13
US20210126899A1 (en) 2021-04-29
JP2008527761A (ja) 2008-07-24

Similar Documents

Publication Publication Date Title
CN1965309B (zh) 中继设备确定方法和系统
CN100471104C (zh) 非法通信检测装置
Hopper et al. How much anonymity does network latency leak?
US8869237B2 (en) Method and system for propagating network policy
AU2008203138B2 (en) Method and device for anonymous encrypted mobile data and speech communication
EP2502398B1 (en) Detecting malicious behaviour on a network
US20010044820A1 (en) Method and system for website content integrity assurance
US20160248813A1 (en) Method and system for propagating network policy
JP2011205641A (ja) 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
Alani et al. Tcp/ip model
Clayton Anonymity and traceability in cyberspace
JP5374536B2 (ja) 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
US20070297408A1 (en) Message control system in a shared hosting environment
Peuhkuri Internet traffic measurements–aims, methodology, and discoveries
Xin et al. Design improvement for tor against low-cost traffic attack and low-resource routing attack
Jin et al. A detour strategy for visiting phishing URLs based on dynamic DNS response policy zone
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
Jin et al. Trigger-based Blocking Mechanism for Access to Email-derived Phishing URLs with User Alert
Xing et al. Yesterday Once More: Global Measurement of Internet Traffic Shadowing Behaviors
Dai Internet-Wide Evaluations of Security and Vulnerabilities
Suzuki et al. A scheme of secret communication using Internet control message protocol
JP2002223254A (ja) 電子メール・セキュア配送システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: PAYPAL ISRAEL CO., LTD.

Free format text: FORMER NAME: FULAODE TECHNOLOGY CO., LTD.

Owner name: FULAODE TECHNOLOGY CO., LTD.

Free format text: FORMER NAME: NPX TECHNOLOGIES LTD.

CP01 Change in the name or title of a patent holder

Address after: Israel Tel Aviv

Patentee after: PayPal Israel Ltd.

Address before: Israel Tel Aviv

Patentee before: Froude Technology Co.,Ltd.

Address after: Israel Tel Aviv

Patentee after: Froude Technology Co.,Ltd.

Address before: Israel Tel Aviv

Patentee before: NPX Technologies Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101117