TW200814676A - Switching network employing server quarantine functionality - Google Patents
Switching network employing server quarantine functionality Download PDFInfo
- Publication number
- TW200814676A TW200814676A TW096115841A TW96115841A TW200814676A TW 200814676 A TW200814676 A TW 200814676A TW 096115841 A TW096115841 A TW 096115841A TW 96115841 A TW96115841 A TW 96115841A TW 200814676 A TW200814676 A TW 200814676A
- Authority
- TW
- Taiwan
- Prior art keywords
- template
- isolation
- packet
- server
- node
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
200814676 九、發明說明: 【發明所屬之技術領域】 本發明涉及通信基礎架構,更具體地說,涉及報文分組交 換通信網路中的交換節點的操作。 【先前技術】 因特網終端設備使用包括網路節點的因特網來交換音 頻、視頻和資料包,這種交換通常是無限制的。因特網基礎架 構通常包括網路節點如路由器、交換機、分組交換機、接入= 以及因特網服務提供商網路(ISPN)、因特網通信路裡和終端 設備。終端設備包括個人電腦或者筆記本電腦、飼服器、機頂 盒、手持貧料設備/通信設備以及其他的用戶端設備等。在無 限制的環境中,終端設備通常成爲惡意程式的目標,該惡意程 式包括病毒和惡意代瑪。此外,終端設備也有意地或者無意地 成爲這些惡意代碼的傳獅。通常,惡意程式終端設 備’就會不爲用戶所察覺地在終端設備複製,從而重復感染因 特網基礎架構。 但是,終端設備通常不能消除這些資料包或者資料包流 (packet flow)。例如’很多煩人的廣告彈出視餘編用戶點 料誤的餘’而不知道這些彈出視窗使用各種惡意代絲感 木、、鈿α又備這些不想要的代碼是惡意的,其將個人資料傳輸 到未知的伺服器’導致個人資料可能被溢用。在其他情況下, 終端設備的用戶會絲病毒㈣、隔離和/或刪除的套裝軟 200814676 體。用戶通常購買多種 通常不能處理日益增裝軟體’因爲當前套裝軟體 是免費的,但是,大夕I…丙母列表。雖然這些套裝軟體有時候 到_擔崎心尤其是考慮 各dm賴中,娜顯本發轉種優點、 【發明内容】#及其實施例細節的更深入的理解。 μΓΓ提供了—種裝置及操作方法,將在其後對附圖的簡 =:對具體實施方式部分的詳細說明,以及權利要求中進 在本發明中,一種將多個資料包從具有源端地址的源端設 備發朗具有目的端地址的目的端賴的通信架構,包括具有 夕個又換&備的通彳5路;^,多個預定義賴板和細邏輯,以 及多個隔離服務功能塊。該源端設備發送資料包至多個交換設 備中的第-父換設備,該資料包包含有源端地址和目的端位 址。該第-父換设備通過將資料包與所述多細定義的模板進 行比較’將顧端位址標識爲傳播惡意程式的源位址,並應用 相關邏輯,以及執行所述相關邏輯内指示的選定的隔離服務功 能處理。最後,該第一交換設備執行相關邏輯内指示的選定的 隔離服務功能處理。該源端地址可代表一個或者多個主域 (home-domain)路徑文件或子域(sub-domain)路徑文件, 且所有文件位於伺服器或伺服器群上。 200814676 在本發明中,一種互聯網中用於將多個資料包從具有源端 玉址的源端設備發送到具有目 '、 ^入 叫地址的目的端設備的網路 ^,包齡嫩,體,㈣㈣路通信連接的 ^里電路。該處理電路通過將資料包與多個預定義的模板進行 A,將_端位址標識鱗播惡纽式的源位址 關邏輯,以及執行所述相關邏輯 應用相 處理。 侧狀的賊服務功能 稱 «本發個方面,提供了 —鑛倾包從源端設傷 =的端設備的通信架構’所述源端設備具有功能變數名 和菖剷網路位址,所述通信架構包括·· b夂數名翻服$,用於存儲與所述源端設備對應 的功能變數名稱及當前網路位址; 中間路由節點; “存儲在所述中間路由節點中的多個模板,其中的第一 杈板攸功錢數名翻㈣的細記憶體巾使用所述源 端備的力此支數名稱進行更新,所述第一模板將所述源 端設備的當前網路位址作爲目標; 隔離服務功能塊; 所述中間路由節點在接收到來自所述源端設備的資 料包後’成功地將所述資料包與第-模板進行匹配·,以及 所述中間路由節點通過觸發所述隔離服務功能對成 8 200814676 功匹配進行回應。
優選地,所述源端設備包括惡評伺服器(notark)US server)所述夕匈莫板中的所述第一模板通過將當前網路位址 作爲目標從而將所述惡評伺服器作爲目標。 優選地,所述源端設備是伺服器群。 優選地,所述隔離服務功能塊傳送人爲口令(human challenge ) 〇 優選地,所述隔離服務功能塊傳送警告消息。 優選地’所述源端設備提供惡意内容,所述隔離服務功能 塊使所述惡評内容無效。 俊述也所述源端设備提供惡意内容,所述隔離服務功能 塊刪除所述惡評内容。 優選地,所述隔離服務功能塊至少部分位於所述中間路由 節點内。 優選地,所麵離服務魏塊至少部分位於支援飼服器 内。 優選地,所述目的端設備支援所述隔離服務功能。 山根據本發明的另-個方面,提供了一種用於將資料包從源 w備發往目的端設傷的通信架構中的中間路由節點,並中所 迷源端設備具有網路識職,且所述源端設備包含惡評内容, 9 200814676 所述中間路由節點包括: 通信介面; 包合多個模板的記憶體; 所述多個模板中將所述網路識別符的至少一部分作 爲目標的第—模板; 。刀 兵所述s己憶體及通信介面相連的處理電路,用於對從 所述源端雜接收的·包進行比較時,將所述資料包與 多個模板中的所述第-模板匹配;以及 觸發隔 所述處理電路至少部分地基於所述匹配 離功能以作出回應。 優選地’所述中間路由節點包括路由器。 優選地’所述中間路由節點包括接入點。 、制地,所述處理電路基於與所述多個模板中所述第一模 板乂及第板的㈣結果’觸發所述_功能以作出回應, 其中所述第二模板將統—f源定位符(url)的至少—部分作 優馳,所述處理電路基於與所述多個模板中所述第—模 板以及第二模板的匹配結果,觸發所述隔離功能以作出回應,、 其中所述第二模板將所述惡評内容的名稱的至少—部分作爲 一模 優選地’所述處理電路基於與所述多個模板中所述第 10 200814676 隔離功能以作出回應 目錄路徑的至少—部 板以及第一模板的匹配結果,觸發所述 其中所述第二模板將到所述惡評内容的 分作爲目標。 根據本發_又-個方面,提供了—種通過分組交換通传 路径中的中間網路節點執行的方法,所述中間網路節點通㈣ =源端術目嶋㈣,物物射網路識別 付和惡砰内容,所述方法包括·· 接收包含所述網路識別符的資料包; 將所述資料包與多個模板進行比較; 將所述資料包的至少一部分與所述多個模板中的第 一模板匹配; 至少部分絲於所輕配結果,财斷力能以 回應。 優選地,所述方法進一步 的至少一力八。 / 0括·在本地執行所述隔離功能 w I yj =地’所顧離舰_發包括:發送請求給支 "«執行所述隔離功能的至少一部分。 優選地,所述方法進一牛 哭的〜 y匕括·基於與功能變數名稱伺服 °°的父互,更新所述多個模板中的所述第-模板。 W也’所逑方法進_步包括:將所述資料包的至少一部 11 200814676 分與所述多個模板中的第— 模板中_,_ _’且基於與所述多個 、 ¥ —她_配結果,觸發所述隔離 功月b以作出回應。 優選地,所述多個模板中 , ^ 的所述弟一杈板將所述網路識別 付1下>^目標。 優選地’所述多個模板中的所述第一模板將與所述惡評内 容相關的統—f源定位符的至少—部分作爲目標。 …本發明的其他優點、目的和新穎性特徵,及其詳細的圖解 說明’將在接下來的描述和圖示中得到更充分的闊釋。 【實施方式】 圖1是根據本發明構建的通信架構的一個實施例的示意 圖’其中’中間資料包路徑節點檢測與以下已知源相關的資料 包路由嘗試⑴縣程式;2)非法内容;或者3)非法傳播。 在檢測到這些資料包時,中間資料包路徑節點1〇9調用隔離服 務功能塊。隔離服務功能塊可包含在中間資料包路徑節點、外 部支援伺服器或者舰器集群、以及源端設備或者目的端設備 的-個或者乡辦。不管隔離服務魏塊存儲在哪里,該隔離 服務功能塊選擇性地包括但不限於:發送消息給源端設備和/ 或目的端設備,向源端和/或目的端設備發送“人爲口令,, (humanchallenge)機制,中斷或者放棄正在進行的資料包的 傳輸。在本说明書中,術浯惡意程式”包括不想要的或者不 12 200814676 適當的廣告程式或者病毒文件等。“非法内容,,包括國家的法 律禁止的内容,例如赌博、兒童色情等。“非法傳播,,涉及其 他的合法内容的未授權傳播,例如未授權傳播版權保護的材 料。惡意程式、非法内容以及非法傳播的内容在此統稱爲“惡 評内容’’(notorious content)。已知的和經常重復的惡意程式、 非法内容以及非法傳播的源在本說明書中稱爲“惡評源,,。在 本說明書中,術語“内容,,的意思還包括“服務,, ,例如“惡
評内容”包括“惡評服務,,。 惡意程式還包括有病毒、蠕蟲、特洛伊木馬的程式碼,或 者簡單地是不想要的廣告程式。這些惡意程式碼以它們破壞用 戶端設備153的正常功能爲特徵,例如使設備變慢,通過煩人 的彈出視窗和廣告干擾用戶,將私人資訊傳輸到設備外,改變 用戶對設備的設定,改變註冊内容等。 爲了識別惡評源,中間資料包路徑節點使用多個模板與所 接收的每個資料包進行比較。i模板嘗試識別單個惡評飼服 器’而其他模板嘗試識別惡評舰轉。例如,另—些模板以 單個文件爲目標,例如基於肌(統_資較位符)如Ηττρ (超文本雜協定)ΙΙΜ立址、路捏或者4當案名或者FTp (文件 傳輸協定)位址、文件夾和槽案名’這種以文件爲目標的模板 稱爲“路徑文件模板”或者“以路經文件爲目標的模板,,。並 他類型的模板嘗賴麵定雜的财辑,例如,ρτρ幻牛 13 200814676 夾中的所有文件,或特定HTTP路徑中的所有文件。在本說明 書甲,這種模板稱爲“路徑模板,,或者“以路徑爲目標的模 板”。同樣’某模板以指定路徑的所有文件爲目標,包括子 路徑和子文倾’這觀減爲“子路_板,,或者“以子路 徑爲目標的模板”。 各種協定(例如’ FTP和Ηττρ)都使用一系列步驟在一 個。又U個5又備之間建立連接,例如,在源端設備和目的 端設備如鑛H和用戶端之間建立連接。作歧齡驟的一部 分’標識URL的資料包通常是模板的目標。類她,當僅知 這功能變數名猶,要確定其1?健,就使用㈣(用戶資 料報協定)與功能變數名稱伺服器聯繫。發送到功能變數名稱 伺服器的資料包极目標,這樣,專·匹配功能變數名稱的 拉板能夠絲地進行邮。其倾域_独當前ιρ位址 1目標(在1p位址隨日編變化時),這就要求通過使用功能 文數名無叫功能名稱伺鞋來進行至少職性地更新。 权板至少以三種方式創建。第一,系統管理員通過人工介 Z軸反。第二,基於之前的資料包有效謝檢測到的惡 第三1動在或者不在系統管理員的干涉下)創賴板。 财去、立¥二方(值得信_病毒檢般司、警察或者版權 在fi進她合以添加模板(根據配置的情況 ,可在或者不 在系、、先官理員的干涉下進行)。例如 14 200814676 營_博站點,當出站資料包(例如,目標設備的位址)落入 ^疋國家日守’該站離是非法運營的。爲了隔離這種非法運 營,該蚊國家的當局可以通過基於電腦通過因特網直接輸入 目標· ’或者請求祕管則輸人目標模板。例如,目標模 板内容包括賭博站點的功能變數名稱、賭博站點的ιρ (因特網 協定^位址、該特定國家内的用戶端設備使用的ip地址範圍。 中間節點通過比較賭博站點的IP地址和資料包中的源位址或 2目的地址’隨後比較用戶端設備的源地址範圍或者目的地址 範圍,能夠推斷是否需要進行隔離。類似地,例如,通過匹配 中間資料包路徑節點,對已知的嘗試自我傳播的病毒進行重復 檢測。重復檢測之後,#試警告和幫助用戶端設備的用戶、或 者倾器的管理員,__的用戶端設備、伺服器或者路 在’以免必須匹配資料包有效載荷的内容模板。其他的惡評内 谷和惡評源也可進行類似的識別和隔離。 /具體來說,因特網107中的多針間資料包路徑節點(或 者稱爲中間節點或者中間路由節點)1〇9識別惡評飼服器和惡 才内谷。在某些情況之下,例如祠服器提供無價值的服務,那 麽,該飼服器被標識爲惡評飼服器,導致在主模板和關聯邏輯 m中添加兩個主模板。其中的第一模板用於匹配舰器的功 能變數名稱’第二模板用於匹配該祠服器的ip位址。添加這 些叙板後’任何的中間資料包路徑節點聊在將所接收的資料 15 200814676 包與其中任-個模板成功匹配後,將作出回應,觸發本地隔離 功能115或者遠端隔離功能117。 一個典型的例子涉及用戶端設備153上的瀏覽器發送 UDP資料包到功能變數名稱伺服器(DNS) 141。在資 料包中,通過功能變數名稱標識出惡評伺服器,例如伺服器群 151中的伺服器。這樣的資料包通常包括有基於功能變數名稱 的IP位址請求。DNS 141通常回應這些資料包,使用該功能 變數名稱查找當前註冊的IP地址。魏魏名稱和對應的當 前IP位址143由DNS 141進行關聯存儲。但是,當一個中間 資料包路徑節點109接收到標識惡評伺服器的功能變數名稱 的UDP f料包時,以該功能變數名稱爲目標的模板將相匹 配,並觸發隔離服務功能。 另一個例子涉及用戶端設備153或者惡評伺服器發送資 料包,該資料包由一個中間資料包路徑節點丨〇 9接收。該中間 資料包路徑節點109使用惡評伺服器的當前lp位址與該資料 包的源位址或者目的地址進行匹配,並調用本地或者遠端隔離 功能做出回應。因爲當前IP地址經常改變,所以通過使用對 應功能變數名稱與DNS 141進行交互,周期性地更新依賴於 當别IP位址的模板。 當伺服器提供惡評内容且尚未被指認爲惡評伺服器時(例 如,伺服器也提供一些有價值的内容,或者相關的内容提供商 16 200814676 沒有進行監管時),除了匹配上面提到的兩個模板的至少一個 模板之外’還使用與該伺服器中的惡評内容内的名稱和位置有 關的其他模板。這些模板以文件夾路徑、槽案名、文件夾内容、 子文件夾内容爲目標。典型例子涉及使用URL的TCP或者 FTP印求。進行這種請求的用戶端設備153將識別出:1)伺 服器的IP位址;2)該伺服器上到目標内容的文件夾路徑;以
/ ' 及3)惡評内容的檔案名。任何接收該資料包的中間資料包路 U 109將找到與该ip位址的匹配(在這種情況下,這還 不足以觸發_功能),且更重要的是,還匹配_個或多個文 件夾路㈣至少—部分以及惡評内容的名。這兩種匹配一 起促使接收資料包財_料包路徑節點1Q9觸發本地或者 遠端隔離功能。 在某些情況中,創建的模板以非惡評伺服器的 I,該目標可岐惡評内容的實際名字(檔“或者服務 或者其Γ聯的模板)也可⑽完整的文件央 _巧π在某些f月況中,有报多文件/服務路捏都具 同的根称模板賣僅⑽根酬目 捕料 ::==的任何子_ 一。= 用/、搜索有關的通配符,例如“*, 狗以多财姐造蛛錢_及其„__^2 定需要_舰。 4 W充分地確 17 200814676 本說明書所_源錄表社域路敎件147、子域路徑 文件149 α及全體伺服器或者伺服器群中的文件。就是說,源 位址整體上局部上表示健猶構的根,或者健樹結構 的分支,幫助確定主域路徑文件147、子域路败件⑽、全 體伺服器或者伺服器群中的文件。飼服器151在運行時産生飼 服器頁面(serverpage)’或者基於請求傳送預先構建^服器 頁面,亚运可使用惡意程式將令人討厭的文件、頁自或者其他 惡評内容通過網路發送到用戶端系統。 在識別出惡評伺服器或者惡評内容之後,中間資料包路斤 節點應(以下簡稱中間節點)觸發本地或者遠端隔離服射 能。該功能可針雜定惡評伺㈣或者惡評内容進行專門設 叶’或者可設計爲服務於一個或所有類型的惡評飼服器和惡評 内谷。典獅隔離功能包括:丨)臨時或者永久的巾斷資料包 傳輸;2)能_容的職触謂信;υ與惡評值器或 者提供惡制容_㈣進行通信;4)在可能的情況下禁止 評内容或者使惡評内容失效(或者,至少提供這方面的功 能)。所述通錢常包括:a)人爲口令鋪崎止任何有關的 惡意程式纖用戶介魏及隱藏通信;b)告钱息;e)標識 惡評内容或者餅伺服器的性質;d)清_戶端系統或者祠 艮时系、.先中與惡5f•内谷或者惡評祠服器有關的任何内容;以及 e)向用戶端纽或者伺服_統提供免疫或者防護功能,例 18 200814676 如防火牆等。 在應用隔離服務功能時,中間節點109獲得支援伺服器 169的幫助’將具有源位址的資料包引導到支援伺服器169以 進订遠端隔離處理。支援伺服器169可獨立地應用隔離功能, 或者在中間玲點169的支援下應用隔離功能。中間節點通 過應用與觸發H關聯的邏輯,確定是否應用本地和/或遠端隔 離功旎。在該隔離處理中,用戶端設備151也可提供幫助。例 如’可以在網頁瀏覽II或者在用戶端設備151上運行的另一可 罪程式碼巾猶魏模組,支援射間節點109絲支援飼服 裔169内的隔離服務功能進行交互。例如,所述交互包括接收 和顯不&離>肖息以及人爲口令,以及幫顧戶端鋪⑸的清 理應用程式和防火牆程式。 t間節‘點109可以是任何的將資料包從飼服器151路由到 用戶端设備153的交換設備。例如,巾間節點1()9可以是接入 路由或者貝料分組父換設備。就是說,終端設備之間的 路由路徑包括個人接入點、服務提供商接入點、其他服務提供 商設備以及多個骨幹節點,所有這些都使用中間節點磨表 不0 在本發明的多數實施例中,中間節點1()9執行—系列活 動。百先,中間節,點109嘗試識別惡評伺服器以及惡評内容。 其次,中間節點卿嘗試防止惡評内容對用戶端設備153產生 19 200814676 不利影響。第三,對於受到不利影響(以及通常被感染的)用 戶端設備,中間節點109嘗試移除這種不利影響。第四,中間 節點⑽中斷與惡評伺服器或者與惡評内容有關的資料包 流。最後,中間點應嘗試從飼服器、系統中清除該惡評内容。 本地和/或遠端隔離服務功能幫助伺服器151 容,例如,從主域路徑文件14 ”心汗内 口 仕又仟M7、子域路徑文件149、整個伺 服器或者做ϋ剩請巾移除病錢者惡意文件,或者移除 所有的文件。類似的幫助還提供給用戶端賴⑸。爲了移除 或者淨化-些惡評内容,可編寫獨立的應用程式,通過隔離服 務的通信提供並允許下载魏財。在其他—些情形下, 提供文字說明以便用戶或者系統管則能夠實施清除處理或 者淨化處理。作爲隔離服務功能處理的—部分,中間節點⑽ 能夠在提供/不提供給用戶口令機制的情況下向伺服 用戶端設備⑸發送消息。這些消息可包括與惡意程核料 他惡評内容有關的資訊、警報、所進行的中斷處理和幫助。這 些消息能夠覽器或者作業系統的幫助下以彈出視窗的形 式向伺服器151或者用戶端設備153的用戶顯示。 爲了識別出已知的惡意源的源位址,中間節點1〇9包含有 主模板和關聯邏輯111、次級模板和關聯邏輯113。主模板和 次級模板包含有能夠識別出表示主域路徑文件147、子域路狎 文件149、整個伺服器或者伺服器群的文件的源位址的比特序 20 200814676 丨知用貝料庫中的功能變數名稱、IP 4立址、DNS控制碼(即, 功能變數名稱)或者槽案名的形式。這些模板幫助識別源位 、'、、于於每個拉板’都具有關聯的邏輯,這些邏輯有效地將資 辟匕犯到-個或多個隔離服務功能仍,或者引導到位於支 =服器169的外部隔離服務功能⑺。除了主模板和闕聯的 、輯_人級換板和關聯的邏輯113、隔離服務功能115之 外’中間節點109也包括有通信應用程式m,通信應用程式 117產生具有人爲口令機制的消息並將消息傳輸到飼服器151 或者用戶端设備153的螢幕。模組⑴、113、115、117和⑺ 進行處理的一個實施裏的詳細描述將結合圖2給出。要注意的 是’所示的錢做n⑽代表触鱗制巾_點ι〇9 的處於相同位置的伺服|g,或者表示遠端的外部提供商的伺 服器。 爲了產生表示主域路徑文件147、子域路徑文件149、整 個伺服器或者舰ϋ群中的文件的源位址賴板,中間節點 刚或者支援伺服器I69在接收到資料包時,識別其中的惡意 私式或者其他惡洲容。惡評程式的特徵是包括—個或者多個 有效載荷比特序列’資料包中存儲這種比序酬表示資料包有 效载荷中至少存在-部分特定的惡意程式。惡意程式的另一特 徵是包括有與倾發佈惡意程式的已知終端設備的地址相匹 配的源地址。類似地’惡意程式的特徵還包括相匹配的槽案名 200814676 文本序列或者其他有效載荷或辅助的資料包搁位,至少部分的 表不可成存在惡意程式。當來自飼服器⑸的這種資料包達任 何的㈣即點1()9之時’將資料包内容與一個或多個主模板進 灯比較,如果出現了與惡意程式匹配、就應用闕聯的邏輯。如 果在使社難比鱗檢_縣惡意財的可雛,就將資 料包内容與次級模板進行比較並應用關聯的邏輯,以此重復下 去’直到得出結論爲止。該資料包中的源位址以模板的形式存 儲並生成關聯的邏輯。除了上述自動生成模板的方法,還可以 手動產生模板,即通過收集與惡意程式有_統計值並據此產 生模板。 一旦識別出源地址,隔離服務功能115或者Π7,結合通 信應用程式m執行各種預定的任務。例如,通信應用程式 in將發送警告給參與交換並繼續傳送資料包的兩終端設備中 的方或雙兩。或者’也可以在有告警或者無告警的情況在丟 棄該資料包。在識別出源位址後,與模板有關的邏輯將資料包 引導到-個或多個隔離服務功能115或171,接著該隔離服務 功能115以逐步的方式執行多級處理中的—個或多個處理。例 如,如果伺服器151的侵犯是良性的,例如煩人的彈出廣告, 那麼,就丢棄資料包’並將與祠服器151有關的合適的警告消 息發送到舰器151以及用戶端設備153。通常,這種網頁和 彈出廣告誤導用戶點擊錯誤的按鈕’用戶不知道這種行爲導致 22 200814676 種錢崎級,隔離服務 頁二止^ 採科太嚴格的行爲,例如不允許下載網
4方面的網頁’或者禁止誤導用戶的彈出視窗,並 可發送或不發送消息。 囡I 當伺服器m嘗試紐地魏惡意 式處於高風險級時,隔離服務功能塊115的處理將縣= 措施,例如向鑛器151發送警告消息,通知將情路由,直 抓復了心沾式或者其他的鱗内容_爲止。這種警告消 息也包括有與可用於修復該問題的幫助有_資訊。飼服哭 151的用戶能夠下載隔離功能塊。可從外部伺服器169或者中 間節點109獲得的隔離功能塊與消息一起,允許伺服器⑸和 用戶端設備_戶自己學習以及修復惡意程式。這些下載的隔 離功能塊是可執行或可編譯的代碼,在用戶接受的情況下發送 到終端設備,可的衫統或者網頁職騎行。此外,在某 些其他情況下’例如當惡意程式導致嚴重損職戶端設備153 的功能時’中間節,點109使用已知的有益代碼替換該惡意程 式’並將它們傳輸到用戶端設備153,同日夸對伺服器151採取 —定的措施。另外,中間節點109採取的最大援助包括隔離伺 服器本身,也可以隔離伺服器群。 通信應用程式117發送的消息包括有標題如“惡意程式 I告,以及有關该惡意程式的類型的簡要描述、發送者和接 23 200814676 收者的ip地址和/或功能變數名 心思程式類型、風除闵去 :’請,二’’;或者在檢測到惡意程式時處 細服☆疋惡意程式源,不能m網頁和/或文件” 在發送到文件包含獅式......”。消息中也可嶋有鱼風 險因素有關的資訊,以及與源於_服器151的惡意程式的行 爲有關的育訊,例如“已經知道下列伺服器發送:亞音 K惡意程式麵和代碼序號>,,:具有高顺料:二 跎註冊表,並可能使 < 一個或多個應用程式的有關行爲〉失 效;惡意程式2<惡意程式類型和代碼序號> :具有中等風險因 素’產生煩人的和誤導用戶的彈出窗口。”消息中有關的幫助 可以是“要修復來自該鑛H的惡意程式〈惡意程式類型和代 碼序號>,請點擊下面的按紐”,點擊該按轉提供隔離功能 下载或者將用戶端設備153引導到另一個可下載的網站。對於 其他類型的,惡評内容,也提供類似的消息和有關的功能。 當惡意程式碼嘗試自我複製或者嘗試誤導中間節點比9 4 ’通信應用程式將使用人爲口令機制。人爲口令包括幾個數 2或者字母,其方向與電腦上顯示的文字、數位不同。人爲口 々故制期望自然人用戶鍵入這些文字和數位的組合,並同意傳 輪這些資料包。這個過程可允許傳輸具有相似檔案名或者代碼 24 200814676 段但是未必是惡意的或者誤導用戶的資料包。通過人爲口令機 制,中間網路節點⑽在必要時還收集—些用戶資訊以進行進 -步的處理。另外,中間節點應能夠在提供人爲口令機制的 同時發送與惡意程式有關的、;肖息、f訊、警告以及幫助。與惡 意程式有關的資訊包括値器(可以是—個舰器)、功能變 數名稱位址、惡思私式名稱和代碼、惡意程式的功能及其 如何感染用戶端設備、與飼服器及惡意程式有關的統計值、以 及可用於修復該惡意程式的方法。 —例如,根據中間節,點109收集的統計資料對舰器151定 、及爲在處理惡⑦程式碼方面^:弱的。存儲在中間節點卿(支 =服器刪處的統計㈣既可輯過各_戶的反饋來收 集’也可輯過分析舰n的惡意程式侵害的數量來收集。其 他的分析和定級伺服器的統計方法也是可行的。 發送到用戶端設備⑸的帶有人爲口令機_資訊還包 括用戶針對飼服器m進行反饋的規定,將用戶引導到有用的 ^點的鏈結’如何在用戶端設備設置觀器勒程式以進行後 續的,意程式防護的資訊。或者,在獲得人爲口令的回應時, /即點1G9將輕g引導到—個或多個提供必須資訊的站 ’’’、占,该貪訊教導用戶並提供修復惡意程式的幫助。但是,如果 中間節點109明確的確定伺服器151發送包含惡意代碼和破壞 性代碼的資料包,那麼,中間節點將阻止這種傳輸並做出 200814676 。適的回應,例如巾斷後續來自伺廳151的資料包的路由, 同日π可使用或者不使用上面提_人爲口令_、資訊和馨 告。 ° 中間節點109爲了執行上述的隔離處理,如果資料包是加 始的則解密資料包’並調用本地的或者遠端的服務來進行解密 處理。另外,巾卿點_通過-定方式完成隔離處理沒,以 便不在從伺服器151到用戶端設備153的通信路徑重復這些處 理。k一無重復處理通過在隔離處理完成以後,在資料包中添 加比較表版本代碼(_parisiGntablevefsiQ請㈣來完成。 所述比較表版本代碼包含有與職料包比較的主模板和次級 模板有關的資訊、與之前節點對該資料包使用的隔離服務功能 有關的資訊。比較表版本代碼包含_訊包括模板版本、相關 邏輯的版本、本地_服務姐版柄及翻的本地或者遠端 隔離服務功能。例如’如果通信路徑中的任何節點包括有增強 的或者最新㈣難點可決定健需要比_些增強的 模板,似的約束也可應關相關邏輯和隔離服務功㈣上。 如果資料包中沒有比較表版本代碼,那麼,執行處理的中 間節點可確定之前的節點沒有對該資料包進行過分析。反之, 如果存在有比較表版本代碼,那麼,執行處理的中間節點對1 比較表版本代碼進行解碼,㈣定之奸轉生軸離處^ 接著,如果還需要進-步的隔離處理,則僅僅進行所需的隔離 26 200814676 處理。 如果到達該φ pq μ 曰1郎點的資料包是經過加密的,且表明 進一步的分析,那府 /λ 麼,網路節點先執行資料包的解密。雖然公 鑰可從伺服器151 @ 、 次者用戶端設備151獲得,但是僅有用戶端 設備153崎♦雖然隔離處理的描述僅僅示出了-種可能 的實施例/是本發料局限於所财的實施例。 Θ疋圖1所不通信架構中的中間資料包路徑節點221、 終端設備207、a Α“ 、 力此框圖205。具體來說,當伺服器207 (也可以μ服器群)發送資料包2ΐι到因特網時,—個或者 多個中間資料包路徑節 k即”,.占221開始進仃一系列分析223和處 理。成功完成分析和處理(以後簡稱隔離處理)的資料包連同 消息-起被發送到用戶端設備233,用戶端設備233可以是個 人電腦、手持設備或者電話。或者,在分析過程225、奶中, 通過檢測到_址發送具有惡意程式或者其他树内容的資 料包時,隔離處理则起—系肋作,例如输績料包、、 發送消息和隔離該伺服器207。 在中間節點221上對到達的資料包進行分析時,首先使用 多個主模板與資料包内容進行比較。通過這種主模板比較 225,中間節點221確定伺服器的源地址。出現匹酉日士 節點221應用與該主模板有關的邏輯225。 ' f 接者邏輯225又引 起次級模板比較227,使用選擇的一組次級 及杈板與資料包内容 27 200814676 進Γ比接者,應用與次簡板有_邏輯。魏模板比較 亞音。闕補的翻過程重復執行’直到作出關於源地址傳播 -忍転式或者惡勒容的結論爲止。 二,疋妳地址爲 W心狂八或者其他惡評内容傳播源,就 t進行隔離處229。在這裏,應用隔離服務功能處理。另外, ^點221在專案表中插入隔離狀態,所述專案表包括有主 ^位址265、子域路她址275、整翻服H或者祠服器 [立址、站點路徑、風險因素等。通常,_專案表包括: 、=表示主語路徑位址的源位址;㈦表示子域路徑位址的 /'、立址,(c)表示單個飼服器的源位址;⑷表示具有多個位 =整個物理概器的源位址;⑷與源端設備的有關的通信 一從’⑺惡意程式的風險級別指示;以及⑷隔離狀態指 不。另外’專絲中的隔離狀態是可編輯的,可由系統管理員 或者通過與可罪第二方(例如惡意程式清除公司的雇員、警察 或者其他權威人士)進行軟體交互來添加新條目。 隔離狀態指示還導致一系列動作,包括但不限於:⑻改變 或者丢輸⑹⑻⑽姆2()7、233奴合適的帶有 人^令機制的警告、資訊或者蝴幫助消息;⑷中斷到饲 服的2〇7的路由服務;⑷提供幫助給終端設備撕、说修 復惡意程式;以及(e)料用戶供附加魏和幫助的: 』或者’如果中間節點221上的隔離服務功能不可用,就將 28 200814676 資料包引導到支援伺服器215,以進行外部隔離服務功能2i7 處理。也可以使用支援伺服器215上可用的其他外部服務功能 219。終端設備2〇7、233可包括有其他能夠執行或者編譯下載 的卿(隔離功能下載)、cp (通信路徑)和ca (通信應用 私式)的軟體元件,例如BA (瀏覽器應用程式)。通信應用程 式月b夠在螢幕上顯示消息以及人爲口令,例如不需要劉覽器的 彈出視窗。 圖3是圖1所示的通信架構的一個實施例的示意圖3〇5, 其中示出了終端设備、中間資料包路徑節點以及祠服器或祠服 器群的其他細節。根據本發明,骨幹網313内的中間交換/路 由節點307到310包含惡意程式識別系統(MIS) 315、316以 及隔離服務功能塊(QSF) 325、326,QSF幫助檢測發送惡 思矛王式的祠服器以及執行隔離處理。類似地,其他中間接點如 個人接入點(PAP) 335、接入點(AP) 337、339、因特網服 務提供商網路341、343和345也包含有惡意程式識別系統 (MIS) 317到322以及隔離服務功能塊(qsf) 327到332。 下面將結合圖4、5和6的對構成惡意程式識別系統315到322 的功能模組進行詳細描述。 另外,如圖所示,支援伺服器393通信地連接到一個或多 個中間節點309到310,支援伺服器393提供附加的外部隔離 服務功能395,並向交換/路由節點307到310增加隔離處理能 29 200814676 力。這些支援伺服器393表示通信地連接到中間接點的、位於 相同位置的舰n,或者表示遠端的外部提供商賴服器。 終端設備包括伺服器351、個人電腦353或者個人電話機 355 ’終端設備使用中間接點3〇7到31〇、335、337、339、撕、 343以及345的網路服務來交換資料、音頻或者視頻資料包。 這些終端設備35卜353以及355還包括有下載的qfd (隔離 功能下載)369到37卜〇> (通信路徑)361到⑹以及ca (通信應用程式)365到367。這些軟體元件幫助中間節點3〇7 到 310、335、337、339、341、izu 4 ^
Mi、343和345進行隔離處理,如 上面結合圖1和2所述。 圖4疋根據圖1和圖3的實施例構建的網路節點(交換機 /路由器/ISPN/AP ) 407的示意圖405。另外,附圖示出了通信 路# 455,通信路徑455通信地連接網路節點4〇7和相鄰節點 467,節點467具有類似的隔離處理能力。網路節點電路撕 表示任何的路㈣料包的因特網節點,網路節點電路4〇7可部 分地或者全部聽合雖何的瓣設射,例如交換機、路由 器、ISPN或者接入點。網路節點電路4〇7财包括處理電路 409、本地圮憶體417、管理介面4奶和網路介面私卜這歧元 件互相之間通過—個或多㈣統匯流排、專用的通信路徑、或 者其他直接的或者間接的通信路徑通信地連接。在各種實施例 中’處理電路409可以是微處理器、數位信號處理器、狀態機、 30 200814676 專用積體電路、現場可編程開陣列、或者其他類型的電路。产 理電路409通信地連制、編碼/加密管祀、解碼/解密管2 以及惡意程式識別電路415。這些硬體元件4n、化和仍 可以是硬佈線的,以提高隔離處理和路由的速度。 本地記憶體417可叹隨機存取記龍、唯讀記憶體、快 閃記憶體、㈣驅、光學鶴器,或者是其他_的能夠 _電腦指令和資料的記憶體。本地記憶體奶包括服務模組 官理器(SMM) 419,通過將包_容和負載内容與合適的模 板進行比較來分析賴資料包。這些模板以及錢的邏輯包括 主模板和相關邏輯42卜次級模板和相關邏輯。如果在主模板 比較過程中發現了匹配’有關的邏輯42U字資料包引導到選定 的次級她組進行進-步的分析,在:欠級模板比較之後,就應 用與次級模板有關的邏輯。這一過程重復執行直到得出結論爲 止。然後,應用合適的隔離服務功能仍或者遠端隔離服務功 能。通信應用程式427允許在螢幕上顯示消息和人爲口令,例 如在不需要瀏覽器的情況下彈出視窗。 另外,網路介面441包括有線和無線資料包交換介面 445有線和無線電路交換介面。進一步地,網路介面 也可以包括内置的或者獨立的介面處理電路4的。網路介面 441允許網路設備與其他的網路設備進行通信,允許處理電路 409接收和發送資料包,該資料包可能包括惡意程式碼序列。 31 200814676 另外,當本地上的這些功能無法使用時,網路介面州能夠使 用外部的隔離服務功能以進行分析和處理。管理介面449包括 顯示器和鍵盤介面,這些管理介面物允許進行網路交換的用 戶控制本發明所述的系統。 在其他的實施例中,本發明的網路節點4〇7具有比附圖所 二的更少的或者更多的树’以及更少的或更多的功能。換句 話說,所示_路設備健是提供—種根據本發明的可能的功 能和構造的實施例。圖5和圖6描述了網路節點的其他可能實 網路節點407通過通魏徑455通信地連接到外部網路設 備’例如相鄰節點467或者支援舰器(未示出)。相鄰節點 467也由本發明的元件組成,例如惡意程式識別電路仍^讀 (服務模組管理器)479、PT &从(主模板及有關的邏輯) ST & AL (-人級模板和有關的邏輯)。另外,相鄰 節點術可能具有網路節點術的其他元件例如加密管和解密 管(未示出)。 網路節點術通過將⑽包内容與多個域板進行比 較,來開始進行分析。節點撕通過這種主模板比較確定資料 包中的源位址是否是任何已知的發送惡意程式的飼服器。出現 匹配時,節點407應用與主模板有關的邏輯。這一操作進而引 出人、’及模板比^ ’將貧料包包頭内容和有效載荷内容與選定的 32 200814676 -人級模板組進行比較。接著,應用與次級模板有關的邏輯。次 級模板比較以及應用有關的邏輯的過程重復進行,直到得出關 於源位址的結論爲止。—旦確定驗址是已知的發送惡意程式 的祠服器,就開始隔離處理。在這裏,通過使用本地上可用的 Ik離服務功旎425或者將資料包引導到相鄰節點467使用外部 隔離服務功能(QSF)如QSF485,對該資料包顧隔離服務 功月b。另外,節點407在專案表中插入隔離狀態指示,該專案 表包括全部的IP位址或者具有多個lp位址的全部的物理伺服 器、站點路徑、風險因素等。隔離狀態指示包括改變或者丟棄 資料包、向終端設備發送具有用戶口令機制的警告、資訊或者 幫助相關消息,以及向終端設備提供幫助以修復惡意程式。或 者’如果麵407上的隔離服務功能不可用,就將資料包引導 到外部提供商的舰H以進行外部隔離功能處理。 圖5疋沒有安裝本發明的元件以與相鄰節點兄?進行交互 以完成隔離服務功能處理的網路節點(交換機/路由器 /ISPN/AP) 5〇7的示意圖%。網路節點π?可以是傳統老式 (legacy)設備,網路節點5〇7包括處理電路5〇9、網路介面 515以及本地記憶體517。該節點5〇7通過通信路徑通信 地連接到相鄰節點567。相鄰節點567包含有至少圖4所示的 本發明的-些兀件。圖5所示的相鄰節點567包括處理電路 569、本地記憶體577、管理介面柳和網路介面%卜相鄰節 33 200814676 點567的硬佈線元件包括編碼/加密管切、解鱗贫管仍、 惡意程式觸路仍。另外,網路介㈣包括有線和無線 貧料包交換介面555、有線和無線電路交換介面切。網路介 面551也可以包括内置的或者獨立的介面處理電路切。本地 記憶體577包括服務模組管理器(隨)w、隔離服務功能 塊585和通信應用程式587。 但是,網路節點507沒有安裝本發明的任何元件,但包括 有服務模組管理器521。當龍包到達節點5G7時,服務模組 官理器521使用封裝指令將資料包引導到相鄰節點初,以對 資料包進行隔離處理並將資料包返回到節點5〇7。相鄰節點 567按照圖4中關於節點407所述的方式對資料包進行隔離處 理,並將資料包返回給節點5〇7。接著,節點5〇7向目的端設 備路由該資料包。因此,網路節點507通過僅僅將資料包引導 到相鄰郎點567來完成資料包的隔離處理’並接收處理後的資 料包。 圖6是根據本發明的圖1和圖3構建的路由器675的示意 圖605。路由器675可以是分組交換器或者接入點。例如,路 由器電路675可以指圖3所述的骨幹網313中任何的網路節 點。路由器電路607通常包括通用主處理卡655、交換器6〇9 以及多個線卡615和618。在某些實施例中,線卡615和618 可以不同。 34 200814676 第一線卡615包括網路介面625,網路介面625能夠與有 線和無_關如顧制__认鱗和而麗 (密集波分複用)光纖網交互。第—線卡61s也包括交換介面 645 ’交換介面645允許線卡與互連交換器6〇9進行交互。此 外,第-線卡615包括次級處理電路635,次級處理電路635 在互連交換器、’路由資料包之前對資料&進行預處理。次級 處理電路635包括轉發引擎637和路由緩存。次級處理電路 635除了預處理資料包之外,也包括有ρτ&al (主模板和有 關的邏輯)64卜進站資料包首先與主模板進行比較,並應用 有關的邏輯。如果出現了匹配,就是用本地可用的隔離服務功 能639來處理資料包。 通用主處理卡655還包括核心主處理電路657,核心主處 理電路657通信地連制、_/加好_和解碼/加密管 661。通用主處理電路655也包括有服務模組管理器(SMM) 665、SP & AL (附加模板及有關的邏輯)66?和卿(隔離服 務功能塊)669。在第一線卡615引導下,服務模組管理器奶 。口 SP& AL667、qsf 669執行次級隔離分析和處理。 服務模組管理器665通過比較進站資料包有效載荷和SP & AL⑹,並翻附加模板的_邏輯所指示的合適的隔離服 矛力力此669來執订源地址檢测和處理功能。隔離服務功能處 理涉及在檢測到源地址時向對應的終端設備發送具有人爲口 35 200814676 令的消息。該消息可以是在終端設備的顯示器上顯示的彈出、、肖 息,例如在個人電腦、飼服器或者如圖3所述的電話機上顯 不。該消息包括標題例如“惡評内容警告,,、惡意程式的簡要 描述、發送方和接收方的IP地址、惡意程式類型、風險因素 以及其他的-些細節。另外,sp&AL6_ qsf_可爲外 部提供商的模板以及隔離服務模組提供存儲空間。 圖7是根據本發_圖丨和圖3的實_猶的終端設備 (飼服器和/或用戶端)術的示意圖705。終端設備電路斯 可以是發起或接收可能經過加密或未經加密、可能包含亞音程 式或其他惡評的龍㈣任何設備電路。終端設備電路 7〇7可以部分或全部地結合到圖i和圖3所述的任何的終端設 備中。終端設備電路707通常包括處理電路7〇9、本地記憶體 爪^用戶介面731以及網路介面7SS。這些元件通過一個或 多個系統匯流排、專用通信路徑、或者其他直接的或者間接的 猶路徑通信地互相連接。在某些實施例中,處理電路可 以是微處理器、數位錢處職、狀雜、專用積體電路、現 場可編程閘陣列、或者其他處理電路。 網路介面755包括有線和無線資料包交換介面—、有線 和無線電路交換介面761。網路介面7SS還包括内置的或者獨 立的;i面處理電路757。網路介面755允物^設備與其他的 終端設備通信。用戶介面731包括顯示介面和鍵盤介面。 36 200814676 本地記憶體爪可叹隨财取記,_ 閃記憶體、硬碟驅動器、光學驅動界 礼體、快 在儲,<#入 σ $者疋其他_的能夠 子“地々和資料的記憶體。本地記憶體7 徑717、通传應用浐彳匕括有通^路 〜用私式719以及隔離功能下載軟體723。另外, 本地§己憶體7丨5可包含有瀏覽 7^魅 域“應妹式砂以及作業系統 覽器727。遂11覽器應用程式W能夠執行或者編譯所 下載机離功能下餘體72;3,隔離功能下载軟體切幫助用 戶瞭觸意程式有關的内容以及修復惡意輕式有關的問題。當 網路節點在發起於或者目的地爲終端設備電路撕的資料: 中仏測到惡意程式碼片段時’網路節點可用這些下載軟體 723。通信應用程式719允許消息和人爲口令在螢幕上顯示, 例如不需要瀏覽器的彈出視窗。
在其他實施例中,本發明的終端設備電路7〇7可包括更少 的或者更多的元件,以及更少的或更多的功能。換句話說,所 不的終端設備僅僅是提供一種根據本發明的可能的功能和構 造的實施例。 終端设備707通過網路775通信地連接到外部網路設備, 例如遠端設備781。外部網路設備781也包括有本發明的元件 例如處理電路783和本地記憶體795,本地記憶體795包括本 發明的功能模組如服務模組管理器785和ΡΤ & AL 787、ST & AL 789、QSF 791和CA793。伺服器或用戶端通常通過互相 37 200814676 包來進行通信。這些資料包可能有意地或者無意 Γ' 构段。網路節點如遠端設備撕檢測到源地 崎,網路節點會瓣個可能物之-。這些可能的步驟 2改魏轉㈣包,向終端設贿送财人爲口令機制的 <的警告、貧訊或者幫助相關消息,提供幫助給終端設備修 復惡意程式。這些功能通過遠端設備781的元件n 789、791和793結合終端設備電路w的元件7Π、719、™、 723、725、727和729 -起工作來實現。 圖8是圖4、圖5和圖6所示網路設備處理惡意程式時的 典型方絲程的流· 8G5。儘f針_是惡意程式,該方法 流程也適用於所有類型的惡評内容。具體來說,在步驟8ιι 中’網路設備通過網路介面接收路由的·包。在下一步驟 8'中’網路設備將該資料包與主模板進行比較,並應用相關 邏輯。該主模板包括包賴板和有效載荷模板。當資料包到達 該網路設_,將該資料包與主模板進行比較。若該資料包與 目標爲惡評伺服器的源位址的主模板之間存在匹配,那麼將立 即觸發隔離服務功能。若該來源並非惡評的,而僅僅包含有惡 評内容,那麼將在步驟815中將其與次級模板進行匹配。在 此’網路設備在相匹配的主模板的相關邏輯的指引下,將該資 料包與至少一個次級模板進行比較。若沒有出現匹配,繼續與 剩下的其他次級模板進行比較。若該資料包與至少一個次級模 38 200814676 板之間確實存在匹配,便可得出結論爲,該資料包與惡評内容 相關。 爲了對ά亥匹配作出回應,在下一步驟幻7中,應用所選擇 的隔離服務功能處理。換句話說,一旦該源地址被證實爲發送 惡思耘式或與惡评内容相關的地址,即啓動該隔離處理。該步 驟中’可湘本地隔離服務功能和/或遠端隔離服務功能來應 用該隔離服務功能處理。 然後,在下一步驟819中,網路設備在專案表中插入隔離 狀態符,該專案表包含主域路徑位址、子網域路徑位址,以及 正個飼服态或者飼服态群的位址、站點路徑、風險因素等等。 一般而s,該專案表可包括:(a)代表主域路徑地址的源地址; (b)代表子域路徑地址的源地址;(c)代表單個伺服器的源 地址;(d)代表具有多個位址的整個物理伺服器的源位址;(幻 與源端終端設備相關的通信路控;⑴惡意程式的風險級指示 付,(g)隔離狀態指示符。該隔離狀態指示符進一步通過網路 設備引導一系列操作,可包括修改或丟棄資料包,發送帶有人 爲口令機制的合適的警告、資訊或幫助相關消息,中斷路由服 務提供幫助給終端設備修復惡意程式,以及將用戶引導到提 供附加貢訊和協助的站點。然後,若在該隔離狀態指示符中作 出才曰示,則在步驟821中將該資料包向目的端終端設備路由。 上述内容提及的“與模板進行匹配,,實際上是指,與該模 39 200814676 板相關的邏輯進行匹配。例如,若該模板找到相關性,那麼邏 輯則指示成功匹配;或者,若該模板沒有找到相關性,則指示 結果相反。邏輯還可能會更加複雜,例如,需要與主模板和第 -次級模板之間存在相關性,同時與第三:欠級模板之間沒有相 關性。該流程圖僅爲本發明可能的流程圖中的一個簡要示例。 〜圖9是圖4、圖5和圖6所示網路設備在—個實施例中更 爲詳細的功能流程圖905。該網路設備的詳細功能從步驟9〇7 開始執行。在步驟909中,_路設備通過網路介面接收路由 過來的資料包,並將其引導至驗證管理器單元。該驗證管理哭 驗證是否已由在源端和目的駿備之_通信職内參與資 科包路由的在先節點執行了隔離處理。在下—判斷步驟犯 Γ該網路設備決定是否指示有任何進—步的分析。如果沒 牛^網路設備則在步驟933令路由該資料包,且 一步驟935中結束。 若在判斷步驟913中,驗證管理哭也…女,& 的處理,财下4 疋有必要進行進一步 中/ 步驟915中,資料包被料至編碼/加密管 1力Γ判!f步驟917中,該編碼/加密管確定資料包是否 :過加[若是,則在下-_919t,網路設備接 在鑰並對該資料包進行解密。如果判斷牛、心、 匕如果_步驟917的結果是該資 ’又有!過加密,網路設備則轉爲執行步驟919。牛 1中’網物_將_容及极觸崎與主· 40 200814676 及次級模板進行比較,從而分析該資料包,並應用相關邏輯。 在下-判斷步驟923尹,網路設備確定在主模板及次級模 板的比較過針是否存在随,若沒有發現存在匹配,網路設 備將在步驟933中路由該資料包,並在下一步驟93s中結束其 功能。若在步驟923令發現存在匹配,則在下一步驟925中, ,,’罔路《χ備應用隔離服務功|纟,或者將該資料 中進行隔離功能處理。在下一步細 甲添加隔離狀態指示符。在下一步驟929中,網路設傷根據該 專案表中的隔離狀態指示符發送警告消息至做器。然後,該 網路設備執行隔離狀態指示,包括在下一步驟913中,中斷路 由任何來自相關IP位址(即,主域路徑位址、子域路徑位址、 正個飼服益或飼服器群的位址)的資料包。然後,在下一步驟 933中’右隔離狀態給出指示,則網路設備路由該資料包,並 在下一步驟935中結束其功能。 圖10疋圖4、圖5、圖6所示網路設備在一個實施例中其 惡意程式識別電路的功能實賴。該惡意程式識別電路⑽c) 、此可擴展爲此夠識別任何種類的惡評内容,其從步驟 j。執行在步驟1〇〇9中,該惡意程式識別電路從服務模組 管理器(SMM)中接收資料包。在步驟腿中,該惡意程式 識別電__服務池f帥所檢刺的驗址,並將該源 地址添加到專案表中。在下一步驟ι〇ΐ3中,該惡意程式識別 41 200814676 電路在該專案表中插入隔離狀態指示符,該專案表的輪入内容 可能包括主域路址、子域路徑他、整_職或者飼服 器群的位址、站點路徑以及其他條目之間的風險因素。 —後在下步知1015中,該惡意程式識別電路根據該 隔離狀態指示符的指示,向源端設備的用戶發送帶有人爲口令 的警告消息,並接收回應。在下一步驟膽中,該惡意程式 識別電路將該資料包發送至另—個單元進行路由。若沒有指示 進仃進#的路由’該惡意程式識別電路丢棄該資料包,並提 」、且、口。亥退端5又備修復惡意程式’以及令斷對來自源地址的 π的進步路由,直至問題被解決。然後在下—步驟】⑽ 結束其功能。 連接嫩㈣,增嫩職語“通信 匕線的和無線的、直接的連接和通過其他元件、元 =_間接連接。本領域普通技術人員還可知,推定連接 Υ Ρ==,個部件與另—個部件連接)包括兩個料之間與 接連接方式相同的無線的和有線的、直接的和間接的連 關係助方法步驟展示了本發明的特定功能及其 的。只躲2 範圍和順序是爲了便於描述任意定義 序。任何:述或、Γ寺定的功能和順序,也可應用其他界限和順 精神 的界限或順序因此落入本發明的範圍和 42 200814676 實質。 本發明還借助功能模組對某些重要的功能進行了描述。所 述功能模組的界限和各種功能模組的關係是爲了便於描述任 意定義的。只要能夠執行特定的功能,也可應用其他的界限或 關係。所述其他的界限或關係也因此落入本發明的範圍和精神 實質。 本領域普通技術人員還可知,本申請中的功能模組和其他 展不性她和7L件可實現爲離散元件、專用積體電路、執行恰 當軟體的處理器和前述的任意組合。 此外’儘官以上是通過—些實施㈣本發明進行的描述, 本員或技術人員知悉,本發明不局限於這些實施例,在不脫離 本發明的精神和範圍的情況下,可以對這些特徵和實施例進行 各種改變轉效雜。本發明的賴細僅由本_請的權利要 求書來限定。 【圖式簡單說明】 、,圖1疋根據本發明構建的通信架構的示意圖,其中,中間 貝料g路L即點中斷從已知的作爲惡意程式源的主域路徑位 址、子域路經位址、整個祠服器或者飼服器群發起的資料包的 路由,並結合转伺服器和湖㈣群執行麟服務功能處 理; 圖2是圖1的通信架構内的終端設備和中間資料包路徑節 43 200814676 點的功能框圖; 圖3是圖1的通__—個實施例的示意®,其中示出 Ux備、巾間㈣包路徑節點和鎌誠伺服器群的細 圖4是根據圖1和圖3構建的網路節點(交職/路由器 /ISPN/AP)的框圖; 圖5是另一網路節點(交換機/路由器/ISPN/AP)的框圖, 這種網路節點沒有絲本發日_元件以與相鄰節點交互來完 成隔離服務功能處理; 圖6是根據圖丨和圖3構造的路由器的示意圖; 圖7是根據圖1和圖3構造的終端設備(伺服器和/或用 戶端)的示意圖; 圖8是圖4、5和6 _路設備的總的功能流程圖; 圖9是圖4、5和6的網麟備執行的詳細流程圖; 圖10疋圖4、5和6内的惡意程式識別電路的功能流程圖 【主要元件符號說明】 網際網路107 主範本和關聯邏輯111 本地隔離功能115 功能變數名稱伺服器(DNS) 主域路徑檔147 伺服器群151 中間資料包路徑節點109 次級範本和關聯邏輯113 退端隔離功能117 IP 地址 143 子域路徑檔149 用戶端設備153 44 200814676 支援伺服器169 功能框圖205 貢料包211 外部隔離服務功能171 終端設備207、233 支援伺服器215
外部隔離服務功能217 中間資料包路徑節點221 主範本比較225 隔離處理229 子域路徑位址275 中間交換/路由節點307-310 惡意程式識別系統(MIS) 315、316 惡意程式識別系統(MIS) 317- 322 隔離服務功能塊(QSF) 325、326 隔離服務功能塊(QSF) 327-332 外部服務功能219 分析223 次級範本比較227 主域路徑位址265 示意圖305 骨幹網313 個人接入點(PAP) 335 接入點(AP) 337、339 網際網路服務提供商網路341、343、345
伺服器351 個人電腦353 個人電話機355 CP (通信路徑)361-363 CA (通信應用程式)365-367 下載的QFD (隔離功能下載)369-371 支援伺服器393 示意圖405 外部隔離服務功能395 網路郎點(交換機/路由器/BPN/AP) 407 處理電路409 解碼/解密管413 本地記憶體417 編碼/加密管411 惡意程式識別電路415 服務模組管理器(SMM) 419 45 200814676 主範本和相關邏輯421 隔離服務功能425 通信應用程式427 網路介面441 内置的或者獨立的介面處理電路 443 有線和無線資料包交換介面445 有線和無線電路交換介面447 管理介面449 通信路徑455 相鄰節點467 惡思程式識別電路477 SMM(服務模組管理器)479 PT&AL (主範本及有關的邏輯) 481 外部隔離服務功能(QSF) 485 ST&AL (次級範本和有關的邏輯)487 網路節點(交換機/路由器/ISPN/AP) 507 處理電路509 網路介面515 本地記憶體517 服務模組管理器521 網路介面551 内置的或者獨立的介面處理電路 553 有線和無線資料包交換介面555 有線和無線電路交換介面557 管理介面559 相鄰節點567 處理電路569 編碼/加密管571 解碼/解密管573 惡意程式識別電路575 本地記憶體577 j 眼務模組管理器(SMM) 579 隔離服務功能塊585 通信應用程式587 通信路徑595 示意圖605 路由器電路607 交換器609 第一線卡615 線卡618 46 200814676 網路介面625 次級處理電路635 轉發引擎637 隔離服務功能639 PT&AL(主範本和有關的邏輯)641 交換介面645 通用主處理卡655 核心主處理電路657 編碼/加密管659 解碼/加密管661
服務模組管理器(SMM) 665 SP&AL (附加範本及有關的邏輯)667 QSF (隔離服務功能塊)669 路由器675 示意圖705 終端設備(飼服器和/或用戶端)7〇7 處理電路709 本地記憶體715 通信路徑717 隔離功能下載軟體723 流覽器727 用戶介面731 通信應用程式719 作業系統725 流覽器應用程式729 網路介面755
内置的或者獨立的介面處理電路757 有線和無線資料包交換介面759 有線和無線電路交換介面761 網路775 處理電路783 PT&AL 787 QSF 791 外部網路設備781 服務模組管理器785 ST&AL 789 CA 793 本地記憶體795 47
Claims (1)
- 200814676 卜、申請專利範圍: 卜-種將資料包從源端設 源端設備具有功能變數名^1目的缺細通_,所述 轉和當那網路位, 所述通信架構包括: /、特徵在於, 功能她的 中間路由節點; 存齡所述中間路由節點中的多個模板,其中的第1 反仗魏魏名_服器的相_體中使 備 的:力:數名稱進行更新,所述第—模板將所述源端= 當刚網路位址作爲目標; 隔離服務功能塊; 所述中間路由節點在接收到來自所啦原端設備的資料包 後,成功地將所述資料包與第一模板進行匹配;以及 所述中間路由節點通過觸發所述隔離服務功能對成功匹 配進行回應。 2、 如申請專利範圍第1項所述的通信架構,其中,所述源端設 備包括惡評伺服器,所述多個模板中的所述第一模板通過將 當前網路位址作爲目標從而將所述惡評伺服器作爲目標。 3、 如申請專利範圍第1項所述的通信架構,其中,所述源端設 備是伺服器群。 4、 如申請專利範圍第丨項所述的通信架構,其中,所述隔離服 48 200814676 務功能塊傳送人爲口令。 3用於__端設贿往目_設備㈣信架構中 _由賴,其情述源端設備具有網路翻符, =喊備包含惡勒容,雜徵在於,所述中間路由節點 通信介面;包含多個模板的記憶體; 部分作爲目 所述多個模板中將所述網路識別符的至少一 標的第一模板; 與所述心隐體及通信介面相連的處理電路,用於對從 端設備魏的㈣包進行比較時,將所職料包與多個 杲板中的所述第一模板匹配;以及所述處理電路至少部分地基於所述匹配結果 功能以作出回應。 ’觸發隔離 ’其中,所述中 ’如申請專利範圍第5項所述的中間路由節點 間路由節點包括路由器。 ’如申請專利範圍第5項所述的中間路由節點,其中,所述中 間路由節點包括接入點。 、如申請專利範圍第5項所述的t間路由節點,其中,所述處 理電路基於與所述多個模板中所述第—模板以及第二模板: 匹配結果,觸發所述隔離功能以作出回應,其中所述第二模 49 200814676 _統-資源定位符的至少—部分作爲目襟。 9種通過分組交換通信路獲中的中間網路節點執行的方法, 所述中間網路節輯信連接在源端設備和目的雜備之間, 所述源端設備具有網路識別符和惡評内容,其特徵在於 述方法包括: 接收包含所述網路識別符的資料包; 將所述資料包與多倾板進行比較; 將所述資料包的至少—部分與所述多麵板中的第—模 板匹配; ' 至少部分地基於所述匹配結果,觸發隔離功能以作出回 應。 如申明專利範圍第9項所述的方法,其中,所述方法進—步 包括:在本地執行所述隔離功能的至少_部分。 50
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/429,477 US7948977B2 (en) | 2006-05-05 | 2006-05-05 | Packet routing with payload analysis, encapsulation and service module vectoring |
| US11/429,478 US7596137B2 (en) | 2006-05-05 | 2006-05-05 | Packet routing and vectoring based on payload comparison with spatially related templates |
| US11/474,033 US20070258468A1 (en) | 2006-05-05 | 2006-06-23 | Intermediate network node supporting packet analysis of encrypted payload |
| US11/491,052 US7895657B2 (en) | 2006-05-05 | 2006-07-20 | Switching network employing virus detection |
| US11/506,661 US20070258437A1 (en) | 2006-05-05 | 2006-08-18 | Switching network employing server quarantine functionality |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200814676A true TW200814676A (en) | 2008-03-16 |
| TWI359598B TWI359598B (en) | 2012-03-01 |
Family
ID=38474316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW096115841A TWI359598B (en) | 2006-05-05 | 2007-05-04 | Switching network employing server quarantine func |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070258437A1 (zh) |
| EP (1) | EP1853035A1 (zh) |
| TW (1) | TWI359598B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI502952B (zh) * | 2008-03-25 | 2015-10-01 | Chunghwa Telecom Co Ltd | Digital switch traffic routing auditing method |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7774846B2 (en) * | 2005-08-10 | 2010-08-10 | Intel Corporation | Method and apparatus for controlling data propagation |
| US20080155696A1 (en) * | 2006-12-22 | 2008-06-26 | Sybase 365, Inc. | System and Method for Enhanced Malware Detection |
| US8479284B1 (en) * | 2007-12-20 | 2013-07-02 | Symantec Corporation | Referrer context identification for remote object links |
| US8180761B1 (en) | 2007-12-27 | 2012-05-15 | Symantec Corporation | Referrer context aware target queue prioritization |
| US8516590B1 (en) | 2009-04-25 | 2013-08-20 | Dasient, Inc. | Malicious advertisement detection and remediation |
| US8370938B1 (en) * | 2009-04-25 | 2013-02-05 | Dasient, Inc. | Mitigating malware |
| US8555391B1 (en) * | 2009-04-25 | 2013-10-08 | Dasient, Inc. | Adaptive scanning |
| US8683584B1 (en) * | 2009-04-25 | 2014-03-25 | Dasient, Inc. | Risk assessment |
| US20110138469A1 (en) * | 2009-12-03 | 2011-06-09 | Recursion Software, Inc. | System and method for resolving vulnerabilities in a computer network |
| CN102271051B (zh) * | 2010-06-07 | 2014-07-30 | 联想(北京)有限公司 | 一种判断计算机接入网络异常的方法、装置及计算机 |
| US8948795B2 (en) | 2012-05-08 | 2015-02-03 | Sybase 365, Inc. | System and method for dynamic spam detection |
| US9049169B1 (en) * | 2013-05-30 | 2015-06-02 | Trend Micro Incorporated | Mobile email protection for private computer networks |
| US10084813B2 (en) * | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
| US10333908B2 (en) * | 2015-02-03 | 2019-06-25 | SecuritiNet Inc. | Transaction-based secure information delivery and assessment |
| US10581914B2 (en) | 2016-06-03 | 2020-03-03 | Ciena Corporation | Method and system of mitigating network attacks |
| US12289343B2 (en) | 2021-02-18 | 2025-04-29 | Ciena Corporation | Detecting malicious threats in a 5G network slice |
| CN112995220A (zh) * | 2021-05-06 | 2021-06-18 | 广东电网有限责任公司佛山供电局 | 一种用于计算机网络安全数据保密系统 |
| US20250385868A1 (en) * | 2024-06-17 | 2025-12-18 | Stripe Inc. | Load balancer and shuffle sharding for cloud-hosted services |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4240878A (en) * | 1979-11-02 | 1980-12-23 | Sybron Corporation | Method of forming a platinum layer on tantalum |
| US5109844A (en) * | 1990-10-11 | 1992-05-05 | Duke University | Retinal microstimulation |
| DE4207368A1 (de) * | 1991-08-06 | 1993-02-11 | Biotronik Mess & Therapieg | Stimmulationselektrode |
| DE4231603A1 (de) * | 1992-09-17 | 1994-03-24 | Biotronik Mess & Therapieg | Herzschrittmachersystem |
| DE4231600B4 (de) * | 1992-09-17 | 2004-08-12 | Biotronik Meß- und Therapiegeräte GmbH & Co. Ingenieurbüro Berlin | Implantierbares Defibrillationssystem |
| DE19525143A1 (de) * | 1995-07-11 | 1997-01-16 | Biotronik Mess & Therapieg | Elektrolytkondensator, insbesondere Tantal-Elektrolytkondensator |
| US5623600A (en) * | 1995-09-26 | 1997-04-22 | Trend Micro, Incorporated | Virus detection and removal apparatus for computer networks |
| DE19609471A1 (de) * | 1996-03-01 | 1997-11-13 | Biotronik Mess & Therapieg | Elektrodenanordnung |
| DE59712479D1 (de) * | 1996-03-21 | 2005-12-22 | Biotronik Gmbh & Co Kg | Implantierbare Stimulationselektrode |
| DE19638581A1 (de) * | 1996-09-20 | 1998-03-26 | Biotronik Mess & Therapieg | Implantierbare Vorrichtung zur Tachykardie-Früherkennung und -Unterdrückung beim Herzen |
| DE19654491A1 (de) * | 1996-12-17 | 1998-06-18 | Biotronik Mess & Therapieg | Stimulationselektrodenanordnung |
| US6393568B1 (en) * | 1997-10-23 | 2002-05-21 | Entrust Technologies Limited | Encryption and decryption system and method with content analysis provision |
| US5935155A (en) * | 1998-03-13 | 1999-08-10 | John Hopkins University, School Of Medicine | Visual prosthesis and method of using same |
| US6195698B1 (en) * | 1998-04-13 | 2001-02-27 | Compaq Computer Corporation | Method for selectively restricting access to computer systems |
| DE19847446B4 (de) * | 1998-10-08 | 2010-04-22 | Biotronik Gmbh & Co. Kg | Nervenelektrodenanordnung |
| DE19929553A1 (de) * | 1999-06-23 | 2001-01-04 | Biotronik Mess & Therapieg | Herzschrittmacher |
| US6678740B1 (en) * | 2000-01-14 | 2004-01-13 | Terayon Communication Systems, Inc. | Process carried out by a gateway in a home network to receive video-on-demand and other requested programs and services |
| US7188175B1 (en) * | 2000-04-06 | 2007-03-06 | Web.Com, Inc. | Method and system for communicating between clients in a computer network |
| US6678272B1 (en) * | 2000-05-24 | 2004-01-13 | Advanced Micro Devices, Inc. | Apparatus and method using a register scheme for efficient evaluation of equations in a network switch |
| US7124440B2 (en) * | 2000-09-07 | 2006-10-17 | Mazu Networks, Inc. | Monitoring network traffic denial of service attacks |
| WO2003050644A2 (en) * | 2001-08-14 | 2003-06-19 | Riverhead Networks Inc. | Protecting against malicious traffic |
| US7540031B2 (en) * | 2001-08-01 | 2009-05-26 | Mcafee, Inc. | Wireless architecture with malware scanning component manager and associated API |
| US6974533B2 (en) * | 2002-04-11 | 2005-12-13 | Second Sight Medical Products, Inc. | Platinum electrode and method for manufacturing the same |
| US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
| US7512808B2 (en) * | 2003-08-29 | 2009-03-31 | Trend Micro, Inc. | Anti-computer viral agent suitable for innoculation of computing devices |
| JP4365672B2 (ja) * | 2003-12-04 | 2009-11-18 | 株式会社日立製作所 | パケット通信ノード装置 |
| US7533415B2 (en) * | 2004-04-21 | 2009-05-12 | Trend Micro Incorporated | Method and apparatus for controlling traffic in a computer network |
| US7624445B2 (en) * | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
| US7933208B2 (en) * | 2004-09-27 | 2011-04-26 | Polytechnic Institute Of New York University | Facilitating storage and querying of payload attribution information |
| US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
-
2006
- 2006-08-18 US US11/506,661 patent/US20070258437A1/en not_active Abandoned
-
2007
- 2007-01-05 EP EP07000204A patent/EP1853035A1/en not_active Ceased
- 2007-05-04 TW TW096115841A patent/TWI359598B/zh not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI502952B (zh) * | 2008-03-25 | 2015-10-01 | Chunghwa Telecom Co Ltd | Digital switch traffic routing auditing method |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI359598B (en) | 2012-03-01 |
| EP1853035A1 (en) | 2007-11-07 |
| US20070258437A1 (en) | 2007-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW200814676A (en) | Switching network employing server quarantine functionality | |
| Jain et al. | A survey of phishing attack techniques, defence mechanisms and open research challenges | |
| Bambacht et al. | Web3: A decentralized societal infrastructure for identity, trust, money, and data | |
| CN101164050B (zh) | 通过数据流安全标志的分布式流量扫描 | |
| US9635042B2 (en) | Risk ranking referential links in electronic messages | |
| Sotirov et al. | MD5 considered harmful today | |
| US10157280B2 (en) | System and method for identifying security breach attempts of a website | |
| Goldberg | A pseudonymous communications infrastructure for the internet | |
| TWI351860B (en) | Switching network employing a user challenge mecha | |
| US20160226908A1 (en) | Identification of and countermeasures against forged websites | |
| US20160044054A1 (en) | Network appliance for dynamic protection from risky network activities | |
| TWI387281B (zh) | 通信架構中的中間網路節點及其執行的方法 | |
| JP2016532381A (ja) | 疑わしいネットワーク通信の評価 | |
| US10021133B1 (en) | System and method for anti-phishing system | |
| Bojjagani et al. | PhishPreventer: a secure authentication protocol for prevention of phishing attacks in mobile environment with formal verification | |
| US20170026381A1 (en) | Content access validation system and method | |
| TW200820680A (en) | Switching network employing adware quarantine techniques | |
| Clark | Control point analysis | |
| Clark | The role of trust in cyberspace | |
| Wozak et al. | End-to-end security in telemedical networks–a practical guideline | |
| JP2007310781A (ja) | 接続先詐称回避方法及び中間ノード | |
| Karamanos | Investigation of home router security | |
| Ekawade et al. | Phishing attacks and its preventions | |
| Fitzgerald | Exploiting a Contact Tracing App to Attack Neighboring Devices | |
| Hidayat et al. | Forensic Analysis of Web Phishing and Social Engineering Using the National Institute of Standards and Technology Method Case Study of Facebook Account Data Theft |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |