識別計算機網(wǎng)絡(luò)內(nèi)的惡意設(shè)備的制作方法
【專利摘要】本發(fā)明描述了用于基于設(shè)備的簡檔來主動地識別可能攻擊者的技術(shù)��。例如����,一種設(shè)備包括一個或多個處理器和網(wǎng)絡(luò)接口卡�����,這些網(wǎng)絡(luò)接口卡用以從遠程設(shè)備接收定向至由該設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量��,基于該網(wǎng)絡(luò)流量的內(nèi)容來確定用于該設(shè)備的第一集合的數(shù)據(jù)點�����,向該遠程設(shè)備發(fā)送響應(yīng)以查明用于該設(shè)備的第二集合的數(shù)據(jù)點,并且從該遠程設(shè)備接收該第二集合的數(shù)據(jù)點的至少一部分���。該設(shè)備還包括安全模塊�����,該安全模塊由這些處理器可操作為確定惡意評級�����,并且基于該惡意評級來選擇性地管理定向至由該安全設(shè)備所保護的該一個或多個計算設(shè)備的并且從該遠程設(shè)備所接收的其他網(wǎng)絡(luò)流量��。
【專利說明】識別計算機網(wǎng)絡(luò)內(nèi)的惡意設(shè)備
【技術(shù)領(lǐng)域】
[0001]本公開內(nèi)容涉及計算系統(tǒng)�����,并且更具體地涉及計算系統(tǒng)攻擊檢測和預(yù)防���。
【背景技術(shù)】
[0002]存在著越來越大量和越來越復(fù)雜的網(wǎng)絡(luò)攻擊�����,特別是針對web應(yīng)用和服務(wù)器的那些網(wǎng)絡(luò)攻擊��,其涉及高價值流量�。不安全的應(yīng)用和服務(wù)器能夠?qū)е骂櫩蛽p失�、財政損失、聲譽受損和法律沖突�。在從一組攻擊者中檢測網(wǎng)絡(luò)攻擊的嘗試中,例如�,公司可以使用攻擊簽名。然而���,攻擊簽名是反應(yīng)性的�����,因為它們僅阻擋觸發(fā)了已有簽名的攻擊��,并且在一些實例中�,是在攻擊者已經(jīng)造成了一些損害之后。此外�,攻擊者可能更改網(wǎng)絡(luò)流量,使得攻擊者的流量不再與簽名相匹配���,由此使簽名失敗并且防止安全設(shè)備阻擋該攻擊��。
【發(fā)明內(nèi)容】
[0003]一般性地����,本公開內(nèi)容描述了用于主動識別可能的攻擊者的技術(shù)�����。在一些示例實施方式中����,這些技術(shù)通過構(gòu)造簡檔來識別可能的攻擊者��,該簡檔包括從潛在攻擊的設(shè)備所采集的設(shè)備環(huán)境信息以及從自該設(shè)備所接收的通信所抽取的頭部數(shù)據(jù)(例如���,超文本傳輸協(xié)議(HTTP)頭部數(shù)據(jù))的組合�����。例如��,本公開內(nèi)容的技術(shù)可以使得安全服務(wù)能夠?qū)⒂稍摪踩?wù)關(guān)于該設(shè)備的操作環(huán)境而采集的環(huán)境信息與從該設(shè)備所接收的通信中的頭部數(shù)據(jù)相比較���。如果該安全服務(wù)識別到該環(huán)境信息與該頭部數(shù)據(jù)之間的不一致��,則該安全服務(wù)可以確定該設(shè)備是與攻擊者相關(guān)聯(lián)的惡意設(shè)備����。進一步地�,該安全服務(wù)可以分析該環(huán)境信息和頭部數(shù)據(jù)來識別該設(shè)備的插件、應(yīng)用�����、或者其他特性���,以確定這些設(shè)備特性中的任何設(shè)備特性是否指示惡意設(shè)備��。在該設(shè)備被確定是惡意設(shè)備的示例中��,安全設(shè)備可以管理源自該惡意設(shè)備的網(wǎng)絡(luò)流量��。
[0004]該安全服務(wù)可以本地實施在該安全設(shè)備處����,或者實施在云計算系統(tǒng)中。通過將該安全服務(wù)實施在云計算系統(tǒng)中���,該安全服務(wù)可以使用全局數(shù)據(jù)庫來從多個不同的公司聚集關(guān)于攻擊者設(shè)備的信息�����,以提供用于攻擊者和威脅信息的集合點(consolidat1n point)�。該安全服務(wù)然后可以將所獲知的攻擊者設(shè)備信息傳播給網(wǎng)絡(luò)中的其他安全設(shè)備���。以這種方式����,攻擊者設(shè)備特性的全局數(shù)據(jù)庫可以被生成并且跨安全設(shè)備而分布����,使得這些安全設(shè)備能夠識別并且緩解由攻擊者設(shè)備所發(fā)起的攻擊�,即使這些攻擊者設(shè)備以前從未攻擊過由該特定安全設(shè)備所保護的資源。
[0005]在一個示例中,一種方法包括:由安全設(shè)備并且從一個設(shè)備接收定向至由該安全設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量����;基于該網(wǎng)絡(luò)流量的內(nèi)容,來確定用于該設(shè)備的第一集合的數(shù)據(jù)點��,該第一集合的數(shù)據(jù)點包括在該設(shè)備處執(zhí)行的軟件應(yīng)用的特性�;并且由該安全設(shè)備向該設(shè)備發(fā)送響應(yīng)以查明用于該設(shè)備的第二集合的數(shù)據(jù)點,該第二集合的數(shù)據(jù)點包括由該設(shè)備所提供的并且在該設(shè)備本地的操作環(huán)境的特性���。該方法還可以包括:由該安全設(shè)備并且從該設(shè)備接收該第二集合的數(shù)據(jù)點的至少一部分�;基于該第二集合的數(shù)據(jù)點的所接收的部分和該第一集合的數(shù)據(jù)點���,來確定惡意評級���;以及基于該惡意評級,來選擇性地管理定向至由該安全設(shè)備所保護的該一個或多個計算設(shè)備的并且從該設(shè)備所接收的其他網(wǎng)絡(luò)流量��。
[0006]在另一個示例中�����,一種設(shè)備包括一個或多個處理器���、一個或多個網(wǎng)絡(luò)接口卡����、以及安全模塊。該一個或多個網(wǎng)絡(luò)接口卡從遠程設(shè)備接收定向至由該設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量�����;基于該網(wǎng)絡(luò)流量的內(nèi)容�,來確定用于該設(shè)備的第一集合的數(shù)據(jù)點,該第一集合的數(shù)據(jù)點包括在該遠程設(shè)備處執(zhí)行的軟件應(yīng)用的特性���;向該遠程設(shè)備發(fā)送響應(yīng)以查明用于該遠程設(shè)備的第二集合的數(shù)據(jù)點���,該第二集合的數(shù)據(jù)點包括由該遠程設(shè)備所提供的并且在該遠程設(shè)備本地的操作環(huán)境的特性;并且從該遠程設(shè)備接收該第二集合的數(shù)據(jù)點的至少一部分����。該安全模塊由該一個或多個處理器可操作為:基于該第二集合的數(shù)據(jù)點的所接收的部分和該第一集合的數(shù)據(jù)點,來確定惡意評級����;并且基于該惡意評級�,來選擇性地管理定向至由該安全設(shè)備所保護的該一個或多個計算設(shè)備的并且從該遠程設(shè)備所接收的其他網(wǎng)絡(luò)流量�。
[0007]在另一個示例中�����,利用指令來編碼計算機可讀存儲介質(zhì)����。這些指令促使一個或多個可編程處理器從一個設(shè)備接收定向至由安全設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量;基于該網(wǎng)絡(luò)流量的內(nèi)容����,來確定用于該設(shè)備的第一集合的數(shù)據(jù)點,該第一集合的數(shù)據(jù)點包括在該設(shè)備處執(zhí)行的軟件應(yīng)用的特性����;并且向該設(shè)備發(fā)送響應(yīng)以查明用于該設(shè)備的第二集合的數(shù)據(jù)點,該第二集合的數(shù)據(jù)點包括由該設(shè)備所提供的并且在該設(shè)備本地的操作環(huán)境的特性�。這些指令進一步促使該一個或多個可編程處理器從該設(shè)備接收該第二集合的數(shù)據(jù)點的至少一部分;基于該第二集合的數(shù)據(jù)點的所接收的部分和該第一集合的數(shù)據(jù)點��,來確定惡意評級���;并且基于該惡意評級��,來選擇性地管理定向至由該安全設(shè)備所保護的該一個或多個計算設(shè)備的并且從該設(shè)備所接收的其他網(wǎng)絡(luò)流量���。
[0008]在下面隨附的附圖和描述中闡述了一個或多個實施例的細節(jié)�。根據(jù)該描述和附圖并且根據(jù)權(quán)利要求�,其他特征、目的�、以及優(yōu)點將是明顯的。
【專利附圖】
【附圖說明】
[0009]圖1是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的示例惡意設(shè)備識別網(wǎng)絡(luò)系統(tǒng)的框圖�。
[0010]圖2是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于識別惡意設(shè)備的示例安全設(shè)備的框圖。
[0011]圖3是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于合并惡意設(shè)備信息的示例安全服務(wù)服務(wù)器的框圖����。
[0012]圖4是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于識別惡意設(shè)備的示例過程的流程圖。
[0013]圖5是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于識別惡意設(shè)備的另一個示例過程的流程圖����。
【具體實施方式】
[0014]圖1是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的示例惡意設(shè)備識別網(wǎng)絡(luò)系統(tǒng)2的框圖。如圖1中所示出的��,網(wǎng)絡(luò)系統(tǒng)2包括計算設(shè)備10����、代理服務(wù)器12、目標(biāo)網(wǎng)絡(luò)14��、以及安全服務(wù)16。計算設(shè)備10是可以被用來攻擊目標(biāo)網(wǎng)絡(luò)或數(shù)據(jù)中心的網(wǎng)絡(luò)資源的計算設(shè)備的一個示例�����。在一些示例中���,計算設(shè)備10是移動臺、膝上型計算機�、臺式計算機、或服務(wù)器計算系統(tǒng)�����,或者可以包括多個計算設(shè)備����。例如,計算設(shè)備10可以是攻擊者對其具有控制的一組計算設(shè)備(例如���,因為該攻擊者先前劫持了那些計算設(shè)備)�����。在一些示例中�,計算設(shè)備10是由一個或多個計算設(shè)備所執(zhí)行的虛擬機或者軟件應(yīng)用(例如���,web瀏覽器����、攻擊者工具、腳本���、等等)��。
[0015]計算設(shè)備10可能嘗試直接地或者通過代理服務(wù)器(諸如代理服務(wù)器12)連接至目標(biāo)網(wǎng)絡(luò)14�����。代理服務(wù)器12可能通過例如使得由計算設(shè)備10所生成的網(wǎng)絡(luò)流量看起來像該網(wǎng)絡(luò)流量是在代理服務(wù)器12處起源的����,而混淆與計算設(shè)備10相關(guān)聯(lián)的IP地址�。通過混淆計算設(shè)備10的IP地址,通常的安全器具可能允許該攻擊的網(wǎng)絡(luò)流量進入目標(biāo)網(wǎng)絡(luò)�,因為該攻擊的網(wǎng)絡(luò)流量不再匹配先前被配置為阻擋來自計算設(shè)備10的網(wǎng)絡(luò)流量的規(guī)則。對照地�����,根據(jù)本公開內(nèi)容的技術(shù)所配置的安全設(shè)備20,可以繼續(xù)阻擋來自計算設(shè)備10的網(wǎng)絡(luò)流量�����,即使計算設(shè)備10利用代理服務(wù)器12用于網(wǎng)絡(luò)攻擊��。
[0016]目標(biāo)網(wǎng)絡(luò)14可以包括用于提供web應(yīng)用的一個或多個服務(wù)器(諸如應(yīng)用服務(wù)器22)以及安全設(shè)備(諸如安全設(shè)備20)��。目標(biāo)網(wǎng)絡(luò)14可以包括另外的網(wǎng)絡(luò)設(shè)備��,諸如防火墻�����、路由器����、交換機�����、服務(wù)節(jié)點�、等等(未示出)。應(yīng)用服務(wù)器22是為用戶提供web應(yīng)用的web應(yīng)用服務(wù)器的示例����。在一些示例中�,應(yīng)用服務(wù)器22可以被配置為集群����、被配置為分布式計算系統(tǒng)、或者被配置為其他冗余的和/或負載均衡的配置���。安全設(shè)備20是一種網(wǎng)絡(luò)設(shè)備����,該網(wǎng)絡(luò)設(shè)備被配置為通過例如識別并且管理從被識別為惡意設(shè)備的設(shè)備(例如�,計算設(shè)備10)所接收的網(wǎng)絡(luò)通信,來保護應(yīng)用服務(wù)器22免于攻擊設(shè)備之害��。
[0017]盡管在本文中被描述為確定計算設(shè)備10是否是“惡意設(shè)備”�,但是本公開內(nèi)容的技術(shù)可以識別在計算設(shè)備10處執(zhí)行的一個或多個軟件應(yīng)用是否是惡意軟件應(yīng)用。作為一個示例��,計算設(shè)備10可以執(zhí)行探測目標(biāo)網(wǎng)絡(luò)14以尋找潛在安全漏洞的程序腳本���。作為另一個示例����,計算設(shè)備10可以執(zhí)行提供web爬蟲功能的軟件應(yīng)用。在這兩個示例中��,安全設(shè)備20和安全服務(wù)16可以將在計算設(shè)備10處執(zhí)行的特定軟件應(yīng)用識別為是惡意的或者善意的����。如本文所描述的,確定設(shè)備是“惡意設(shè)備”包括確定在該設(shè)備處執(zhí)行的一個或多個軟件應(yīng)用是惡意的軟件應(yīng)用�。因此,術(shù)語“惡意設(shè)備”包括“惡意的軟件應(yīng)用”��,并且確定設(shè)備是否是惡意設(shè)備包括確定在該設(shè)備處執(zhí)行的軟件應(yīng)用是否是惡意的軟件應(yīng)用�����。
[0018]在一個示例中�,計算設(shè)備10向應(yīng)用服務(wù)器22發(fā)送針對內(nèi)容的請求�����。該針對內(nèi)容的請求可以直接發(fā)送給目標(biāo)網(wǎng)絡(luò)14或者通過代理服務(wù)器12來路由��。請求被直接發(fā)送給目標(biāo)網(wǎng)絡(luò)14指的是請求不經(jīng)過代理服務(wù)器(例如����,代理服務(wù)器12)而被發(fā)送����,但是該請求可能行進通過中間網(wǎng)絡(luò)設(shè)備���,諸如路由器����、網(wǎng)關(guān)�、防火墻、等等���,和/或通過中間網(wǎng)絡(luò)�����,并且在它們沒有通過代理服務(wù)器而被發(fā)送的意義上仍然被考慮為被直接發(fā)送給目標(biāo)網(wǎng)絡(luò)14��。在一些實例中�����,計算設(shè)備10可以將一些請求直接發(fā)送給目標(biāo)網(wǎng)絡(luò)14�,并且將其他請求通過代理服務(wù)器12發(fā)送給目標(biāo)網(wǎng)絡(luò)14���。
[0019]安全設(shè)備20被配置為保護應(yīng)用服務(wù)器22���,并且在網(wǎng)絡(luò)路徑中定位在計算設(shè)備10與應(yīng)用服務(wù)器22之間���。安全設(shè)備20接收由計算設(shè)備10先前發(fā)送的請求,并且發(fā)起簡檔構(gòu)建過程�。術(shù)語“簡檔”指代與計算設(shè)備10有關(guān)的多個數(shù)據(jù)點(例如,特性)的組合�����,當(dāng)該計算設(shè)備通過例如請求對web應(yīng)用的接入��、發(fā)起虛擬專用網(wǎng)(VPN)會話�、發(fā)起安全殼連接�、等等,來嘗試接入目標(biāo)網(wǎng)絡(luò)時�,這些數(shù)據(jù)點能夠由該安全設(shè)備擷取。一般而言���,為特定設(shè)備所生成的簡檔可以包括與多個屬性有關(guān)的數(shù)據(jù)點(例如�,與計算設(shè)備10相關(guān)聯(lián)的特性)�����,這些屬性與由該計算設(shè)備所提供的并且在該計算設(shè)備本地的操作環(huán)境相關(guān)聯(lián),這些操作環(huán)境諸如用戶代理����、HTTP_ACCEPT頭部、瀏覽器插件細節(jié)�、該設(shè)備的時區(qū)、該設(shè)備的監(jiān)視器的屏幕尺寸和色彩深度�����、所安裝的系統(tǒng)字體�����、操作系統(tǒng)版本信息�、以及是否啟用了 cookie。在一些示例中��,該簡檔還包括與該設(shè)備的IP地址有關(guān)的數(shù)據(jù)點��。
[0020]在一個示例中��,為了生成計算設(shè)備10的簡檔����,安全設(shè)備20可以初始地允許來自計算設(shè)備10的該請求被發(fā)送給應(yīng)用服務(wù)器22��。響應(yīng)于確定應(yīng)用服務(wù)器22中的一個或多個應(yīng)用服務(wù)器已經(jīng)發(fā)送了對該請求的響應(yīng)消息��,安全設(shè)備20可以攔截該響應(yīng)消息并且將可執(zhí)行代碼(例如���,腳本、Java代碼��、等等)注入到所攔截的響應(yīng)消息中�����,以用于在計算設(shè)備10的操作環(huán)境內(nèi)執(zhí)行���。當(dāng)在計算設(shè)備10上被執(zhí)行時�����,所注入的代碼運行以查明數(shù)據(jù)點,諸如配置信息����。在另一個示例中�,安全設(shè)備20攔截來自計算設(shè)備10的初始請求�����,并且向計算設(shè)備10發(fā)送響應(yīng)�,而不允許來自計算設(shè)備10的該請求到達應(yīng)用服務(wù)器22。在這個示例中��,安全設(shè)備20可以生成用以包括在該響應(yīng)中的偽信息�、以及查明計算設(shè)備10的配置信息的可執(zhí)行代碼。在任一示例中�,計算設(shè)備10接收對該請求的響應(yīng),并且一經(jīng)執(zhí)行所注入的代碼��,就發(fā)送由安全設(shè)備20所請求的數(shù)據(jù)點的至少一部分�。
[0021]安全設(shè)備20可以備選地或者附加地分析并且收集來自計算設(shè)備10所發(fā)送的該請求的信息(例如,不注入代碼或者以其他方式請求來自計算設(shè)備10的具體信息)���。安全設(shè)備20還可以將從該請求所收集的該信息包括在安全設(shè)備20為計算設(shè)備10生成的簡檔中�����。安全設(shè)備20通過例如針對每個數(shù)據(jù)點來收集所有的相異值的列表��,使得該簡檔包括針對每個特定數(shù)據(jù)點的值的列表(而不僅僅是針對多個值為其而被接收的數(shù)據(jù)點的單個值)����,而根據(jù)全部所收集的信息來生成簡檔。在一些示例中���,安全設(shè)備20將散列函數(shù)應(yīng)用至每個數(shù)據(jù)點以使這些數(shù)據(jù)點匿名�,使得這些數(shù)據(jù)點不包括任何個人信息但是仍然可以被用來生成用于設(shè)備的簡檔��。如果安全設(shè)備20不能針對所請求的數(shù)據(jù)點中的一個或多個數(shù)據(jù)點而收集值(例如�,因為計算設(shè)備10沒有將這些值包括在響應(yīng)中),則安全設(shè)備20不將那些值包括在該簡檔中��。因此����,用于不同設(shè)備的不同簡檔可以包括不同集合的數(shù)據(jù)點(例如,特性)���。
[0022]在一些示例中���,安全設(shè)備20將所生成的簡檔的不同數(shù)據(jù)點相互比較,以識別該簡檔內(nèi)的不一致���。在一個示例中��,該簡檔包括與在計算設(shè)備10處執(zhí)行的操作系統(tǒng)版本相對應(yīng)的至少兩個數(shù)據(jù)點��。與操作系統(tǒng)版本相對應(yīng)的這些數(shù)據(jù)點可以包括由計算設(shè)備10所提供的信息(例如��,頭部信息)���,并且可以包括由安全設(shè)備20(例如,響應(yīng)于代碼注入)所收集的信息����。安全設(shè)備20可以比較該兩種不同方式中的每種方式所提供的操作系統(tǒng)版本信息,以確定他們是否不一致����。例如,該頭部信息中所提供的操作系統(tǒng)版本信息可能指定一個操作系統(tǒng)����,而由安全設(shè)備20響應(yīng)于所注入的代碼而收集的該信息可能指定不同的操作系統(tǒng)。
[0023]安全設(shè)備20還可以將操作系統(tǒng)版本信息與所安裝的插件信息相比較�����,以識別不一致。在一個示例中����,由計算設(shè)備10所提供的該頭部信息指示特定插件被安裝在計算設(shè)備10處。然而����,響應(yīng)于所注入的代碼而提供給安全設(shè)備20的操作系統(tǒng)版本信息,指示計算設(shè)備10正執(zhí)行與該插件不兼容的操作系統(tǒng)�。
[0024]一般而言,該設(shè)備簡檔中的不一致被確定為對應(yīng)于該設(shè)備(例如��,計算設(shè)備10)是惡意設(shè)備的增加的可能性���。相應(yīng)地����,在其中安全設(shè)備20在所生成的簡檔中識別了一個或多個不一致的實例中�����,安全設(shè)備20可以增加對于計算設(shè)備10的惡意評級�。盡管描述為被增力口,但是該惡意評級可以用任何方式來調(diào)整����,使得安全設(shè)備20和/或安全服務(wù)16被配置為將所調(diào)整的惡意評級與計算設(shè)備10是惡意設(shè)備的增加的可能性相關(guān)��。
[0025]安全設(shè)備20還可以基于所識別的插件和安裝在計算設(shè)備10處的其他軟件應(yīng)用,以及計算設(shè)備10正在使用來連接至目標(biāo)網(wǎng)絡(luò)14的連接類型�����,來調(diào)整對于計算設(shè)備10的惡意評級�。基于所識別的插件�����、軟件應(yīng)用�、以及連接類型,安全設(shè)備20可以調(diào)整該惡意評級�。例如,如果反病毒軟件應(yīng)用被安裝在計算設(shè)備10處���,則安全設(shè)備20可以減小或者以其他方式調(diào)整對于計算設(shè)備10的惡意評級��,以指示計算設(shè)備10是惡意設(shè)備的減小的可能性����。作為另一個示例,如果安全設(shè)備20確定該計算設(shè)備10正在使用虛擬專用網(wǎng)(VPN)連接而連接至目標(biāo)網(wǎng)絡(luò)14�,則安全設(shè)備20可以減小對于計算設(shè)備10的惡意評級。在另一個示例中�,安全設(shè)備20可以確定匿名化插件被安裝在計算設(shè)備10處,并且作為響應(yīng)而增加計算設(shè)備10的惡意評級�����。
[0026]替代執(zhí)行本地的惡意確定過程����,或者除了執(zhí)行本地的惡意確定過程之外,安全設(shè)備20可以通過例如將所生成的設(shè)備簡檔發(fā)送給安全服務(wù)(例如���,安全服務(wù)16)���,而將計算設(shè)備10識別為惡意設(shè)備。安全設(shè)備20可以向安全服務(wù)16發(fā)送附加信息���,諸如安全設(shè)備20的標(biāo)識符以及如下的指示:本地惡意確定過程是否指示計算設(shè)備10是很可能的惡意設(shè)備����。
[0027]安全服務(wù)16可以包括多個安全服務(wù)服務(wù)器24���,多個安全服務(wù)服務(wù)器24可以被配置為提供安全服務(wù)��。例如��,安全服務(wù)服務(wù)器24可以被配置作為管理全局設(shè)備指紋數(shù)據(jù)庫的云數(shù)據(jù)中心內(nèi)的集群或者分布式計算系統(tǒng)�����。安全服務(wù)服務(wù)器24從安全設(shè)備20接收設(shè)備簡檔信息�����,并且分析該簡檔以確定該簡檔是否指示惡意設(shè)備�。如關(guān)于安全設(shè)備20所描述的����,安全服務(wù)16可以響應(yīng)于識別到設(shè)備簡檔信息中的不一致,而增加對于特定設(shè)備的惡意評級��。
[0028]響應(yīng)于分析該設(shè)備簡檔信息并且生成惡意評級�����,安全服務(wù)16可以向安全設(shè)備20發(fā)送與計算設(shè)備10是否很可能是惡意設(shè)備有關(guān)的指示��。該指示可以包括生成惡意評級和/或安全服務(wù)16是否將計算設(shè)備10歸類為惡意設(shè)備的指示。在任一實例中���,安全設(shè)備20可以基于從安全服務(wù)16所接收的信息���,來確定計算設(shè)備10是否是惡意設(shè)備。安全設(shè)備20還可以基于上面所描述的對設(shè)備簡檔信息的本地分析�,或者基于該本地分析與從安全服務(wù)16所接收的該信息的組合,來確定計算設(shè)備10是否是惡意設(shè)備����。
[0029]如果安全設(shè)備20確定計算設(shè)備10是惡意設(shè)備,則安全設(shè)備20可以通過例如發(fā)起反措施以禁止計算設(shè)備10攻擊目標(biāo)網(wǎng)絡(luò)14和應(yīng)用服務(wù)器22的能力��,來管理從計算設(shè)備10所接收的網(wǎng)絡(luò)流量����。這些反措施可以包括:發(fā)送偽信息、丟棄從計算設(shè)備10所接收的網(wǎng)絡(luò)分組���、使該網(wǎng)絡(luò)連接減速����、移除潛在有害的用戶輸入值��、將這些網(wǎng)絡(luò)分組重定向、或者以其他方式防止從計算設(shè)備10所發(fā)送的網(wǎng)絡(luò)分組到達目標(biāo)網(wǎng)絡(luò)14的所保護的資源(例如�,應(yīng)用服務(wù)器22)。
[0030]圖2是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于識別惡意設(shè)備的示例安全設(shè)備的框圖���。圖2圖示了安全設(shè)備20的僅一個特定示例���,并且在其他實例中可以使用安全設(shè)備20的許多其他示例。僅為了舉例說明的目的�����,下面在圖1的網(wǎng)絡(luò)系統(tǒng)2的背景中來描述安全設(shè)備20���。
[0031]如在圖2的具體示例中所示出的,安全設(shè)備20可以提供用于可執(zhí)行軟件指令的執(zhí)行環(huán)境��。在這個示例中�,安全設(shè)備20包括一個或多個處理器30、一個或多個網(wǎng)絡(luò)接口卡32��、以及一個或多個存儲設(shè)備34��。組件30��、32和34中的每個組件可以通過用于組件間通信的一個或多個通信信道而(物理地、通信地�����、和/或操作地)互連�����。在一些示例中����,該(些)通信信道可以包括一個或多個系統(tǒng)總線、網(wǎng)絡(luò)連接����、過程間的通信數(shù)據(jù)結(jié)構(gòu)、或者用于通信數(shù)據(jù)的其他信道�。
[0032]在一些示例中,(多個)處理器30被配置為實施功能和/或執(zhí)行指令�。例如,(多個)處理器30可以能夠處理(多個)存儲設(shè)備34中所存儲的指令��。(多個)處理器30的示例可以包括以下各項中的一項或多項:微處理器�����、控制器、數(shù)字信號處理器(DSP)��、專用集成電路(ASIC)�����、現(xiàn)場可編程門陣列(FPGA)�����、或者其他類型的分立或集成邏輯電路��。
[0033](多個)存儲設(shè)備34可以被配置為存儲用于在安全設(shè)備20內(nèi)使用的程序代碼和/或數(shù)據(jù)����。在圖2的示例中����,(多個)存儲設(shè)備34可以存儲包括數(shù)據(jù)收集模塊36、操作系統(tǒng)38��、以及安全模塊40的軟件組件��。在一些示例中,(多個)存儲設(shè)備34被描述為計算機可讀存儲介質(zhì)����。在一些示例中,(多個)存儲設(shè)備34包括暫時性存儲器���,意味著存儲設(shè)備34的主要目的不是長期存儲��。在一些示例中�,(多個)存儲設(shè)備34包括易失性存儲器�,意味著(多個)存儲設(shè)備34在安全設(shè)備20被關(guān)閉時不維持所存儲的內(nèi)容。易失性存儲器的示例可以包括:隨機訪問存儲器(RAM)����、動態(tài)隨機訪問存儲器(DRAM)、靜態(tài)隨機訪問存儲器(SRAM)���、以及本領(lǐng)域中已知的其他形式的易失性存儲器�。在一些示例中��,(多個)存儲設(shè)備34被用來存儲用于由(多個)處理器30執(zhí)行的程序指令���。在一些示例中��,(多個)存儲設(shè)備34由在安全設(shè)備20上運行的程序或應(yīng)用使用以在程序執(zhí)行期間暫時性地存儲信息���。
[0034]在一些示例中���,(多個)存儲設(shè)備34包括一個或多個計算機可讀存儲介質(zhì)。(多個)存儲設(shè)備34可以被配置為相比易失性存儲器而存儲更大量的信息���。(多個)存儲設(shè)備34可以進一步被配置用于信息的長期存儲����。在一些示例中����,(多個)存儲設(shè)備34包括非易失性存儲元件。這些非易失性存儲元件的示例包括:磁硬盤����、光盤、軟盤���、閃存、或者電可編程存儲器(EPR0M)或電可擦除且可編程(EEPR0M)存儲器的形式����。
[0035]安全設(shè)備20可以使用(多個)網(wǎng)絡(luò)接口卡32來經(jīng)由一個或多個通信網(wǎng)絡(luò)(諸如一個或多個無線網(wǎng)絡(luò))而與外部設(shè)備通信�����。(多個)網(wǎng)絡(luò)接口卡32可以包括一個或多個以太網(wǎng)卡��、光收發(fā)機���、射頻收發(fā)機、或者被配置為發(fā)送和接收信息的其他類型的設(shè)備�。網(wǎng)絡(luò)接口的其他示例可以包括:藍牙無線電、3G無線電���、和WiFi無線電��、以及通用串行總線(USB)接口�。在一些示例中����,安全設(shè)備20可以使用(多個)網(wǎng)絡(luò)接口卡32來與可操作地耦合至安全設(shè)備20的另一個設(shè)備無線地通信。
[0036]操作系統(tǒng)38可以控制安全設(shè)備20的各組件的操作�����。例如,操作系統(tǒng)38可以促進數(shù)據(jù)收集模塊36�����、處理器30��、網(wǎng)絡(luò)接口卡32�����、以及存儲設(shè)備34之間的通信�。存儲設(shè)備34的一個或多個組件(包括操作系統(tǒng)38、數(shù)據(jù)收集模塊36���、以及安全模塊40)每個都可以包括可以由安全設(shè)備20可執(zhí)行的程序指令和/或數(shù)據(jù)��。數(shù)據(jù)收集模塊36和安全模塊40可以包括指令����,這些指令促使安全設(shè)備20執(zhí)行本公開內(nèi)容中所描述的操作和動作中的一個或多個操作和動作�。在一些示例中,在(多個)存儲設(shè)備34中所圖示的組件中的一個或多個組件��,可以實施在硬件和/或軟件和硬件的組合中���。
[0037]根據(jù)本公開內(nèi)容的技術(shù),安全設(shè)備20從計算設(shè)備10接收網(wǎng)絡(luò)流量,諸如針對與在應(yīng)用服務(wù)器22處執(zhí)行的web應(yīng)用有關(guān)的信息的請求��。該網(wǎng)絡(luò)流量可以經(jīng)由網(wǎng)絡(luò)接口卡32中的一個網(wǎng)絡(luò)接口卡而被接收����。該網(wǎng)絡(luò)流量被定向至數(shù)據(jù)收集模塊36以用于處理���。如圖2中所示出的�,數(shù)據(jù)收集模塊36包括分組解析模塊42���、代碼注入模塊44��、以及簡檔生成模塊46��。響應(yīng)于數(shù)據(jù)收集模塊36接收到該請求��,分組解析模塊42解析該請求以抽取該網(wǎng)絡(luò)流量中所包括的信息(諸如用戶代理信息)���,該信息能夠與其他數(shù)據(jù)點相結(jié)合地被用來確定計算設(shè)備10是否是惡意設(shè)備。所抽取的信息可以包括計算設(shè)備10的特性���。所抽取的信息可以被提供給簡檔生成模塊46�����,以用于在生成用于計算設(shè)備10的設(shè)備簡檔中使用����。
[0038]在一些示例中,該網(wǎng)絡(luò)流量沿路傳遞至應(yīng)用服務(wù)器22中的一個應(yīng)用服務(wù)器(圖1)�����,并且應(yīng)用服務(wù)器22生成對該網(wǎng)絡(luò)流量的響應(yīng)�����。該響應(yīng)從應(yīng)用服務(wù)器22發(fā)送�,并且定向至計算設(shè)備10 (例如,具有與計算設(shè)備10相關(guān)聯(lián)的目的地地址)��。然而���,在該響應(yīng)離開目標(biāo)網(wǎng)絡(luò)14之前����,安全設(shè)備20可以攔截該響應(yīng)并且可以更改該響應(yīng)。例如��,代碼注入模塊44可以將代碼注入到該響應(yīng)中���,以便促使計算設(shè)備10提供與計算設(shè)備10有關(guān)的配置和其他信息���。代碼注入模塊44可以基于請求的類型和所交換的響應(yīng)來動態(tài)地生成該代碼���。例如�����,如果該網(wǎng)絡(luò)流量源自web瀏覽器�����,則代碼注入模塊44可以注入由web瀏覽器可執(zhí)行的代碼��,使得當(dāng)該響應(yīng)由計算設(shè)備10接收并且在該web瀏覽器內(nèi)顯示時�,該web瀏覽器自動地執(zhí)行該代碼并且與計算設(shè)備10有關(guān)的該信息被發(fā)送給安全設(shè)備20��。作為另一個示例�,如果該網(wǎng)絡(luò)流量源自不同的應(yīng)用、腳本�、等等�,則代碼注入模塊44將適當(dāng)類型的代碼注入到該響應(yīng)中���。一般而言�����,代碼注入模塊44被配置為將代碼注入到該響應(yīng)中�����,使得該代碼由計算設(shè)備10執(zhí)行并且作為結(jié)果的信息被返回給安全設(shè)備20��,而不需要計算設(shè)備10的用戶來執(zhí)行任何附加動作����。
[0039]在其他示例中����,安全模塊40生成虛假響應(yīng)并且發(fā)送給計算設(shè)備10,使得該請求不被轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器22�。替代地,安全模塊40表現(xiàn)得好像它是應(yīng)用服務(wù)器22中的一個應(yīng)用服務(wù)器�,并且在收集與計算設(shè)備10有關(guān)的附加信息的嘗試中與計算設(shè)備10交換分組,而不向可能的攻擊開放應(yīng)用服務(wù)器22。如上面所描述的����,由安全模塊40所發(fā)送的響應(yīng)可以包括由代碼注入模塊44注入到該響應(yīng)中的代碼。
[0040]在另外的網(wǎng)絡(luò)流量由安全設(shè)備20接收時����,可以從這些請求抽取的任何附加信息被傳遞給簡檔生成模塊46。類似地��,響應(yīng)于所注入的代碼由計算設(shè)備10執(zhí)行�����,由安全設(shè)備20所接收的與計算設(shè)備10有關(guān)的配置信息和其他信息被提供給簡檔生成模塊46���。簡檔生成模塊46收集所有的不同數(shù)據(jù)項目和相關(guān)聯(lián)的數(shù)據(jù)值。在一些示例中��,每個數(shù)據(jù)項目與不同的重要性評級相關(guān)聯(lián)���,使得被確定具有較高重要性的那些數(shù)據(jù)項目是更有可能準(zhǔn)確地將計算設(shè)備10識別為惡意設(shè)備的數(shù)據(jù)項目����,而被確定具有較低重要性的那些數(shù)據(jù)項目較少可能準(zhǔn)確地將計算設(shè)備10識別為惡意設(shè)備。簡檔生成模塊46可以抑制生成用于計算設(shè)備10的簡檔��,直到數(shù)據(jù)項目的數(shù)目和用于與計算設(shè)備10相關(guān)聯(lián)的對應(yīng)數(shù)據(jù)值滿足閾值數(shù)目����,或者組合的重要性評級滿足閾值總重要性評級。也就是說����,簡檔生成模塊46可以抑制生成用于計算設(shè)備10的簡檔,直到簡檔生成模塊46已經(jīng)接收到足夠的與計算設(shè)備10有關(guān)的信息����,以能夠以閾值級別的準(zhǔn)確性將計算設(shè)備10識別為惡意設(shè)備。
[0041]一旦簡檔生成模塊46已經(jīng)接收到足夠的與計算設(shè)備10有關(guān)的信息以生成簡檔�,簡檔生成模塊46就生成用于計算設(shè)備10的簡檔。在一些示例中���,安全設(shè)備20通過至少將所生成的簡檔發(fā)送給安全服務(wù)16并且接收惡意評級的指示和/或安全服務(wù)16是否將計算設(shè)備10歸類為惡意設(shè)備的指示����,來確定計算設(shè)備10是否是惡意設(shè)備�。在一些示例中,安全設(shè)備20通過至少分析所生成的設(shè)備簡檔以識別在計算設(shè)備10處所安裝的惡意插件中的一個或多個惡意插件�����、識別在計算設(shè)備10處所安裝的一個或多個善意插件、以及識別所生成的簡檔中的各種數(shù)據(jù)點之間的一個或多個不一致���,來確定計算設(shè)備10是否是惡意設(shè)備���。安全設(shè)備20可以基于對該設(shè)備簡檔的分析來生成惡意評級,并且將所生成的惡意評級與閾值惡意評級相比較��,來確定是否將計算設(shè)備10歸類為惡意設(shè)備。
[0042]除了基于所生成的簡檔來將計算設(shè)備10分類之外,安全設(shè)備20還可以監(jiān)測計算設(shè)備10與應(yīng)用服務(wù)器22之間所交換的網(wǎng)絡(luò)流量,以確定該網(wǎng)絡(luò)流量是否指示惡意設(shè)備。如果是��,則安全設(shè)備20可以確定計算設(shè)備10是惡意設(shè)備�,即便所生成的簡檔可能指示其他����。然而,如果所生成的簡檔指示計算設(shè)備10與惡意設(shè)備相關(guān)聯(lián)�,則安全設(shè)備20就好像計算設(shè)備10是惡意設(shè)備那樣對待從計算設(shè)備10所接收的網(wǎng)絡(luò)流量,即便與計算設(shè)備10相關(guān)聯(lián)的該網(wǎng)絡(luò)流量沒有被確定為指示惡意設(shè)備�。
[0043]一般而言,安全設(shè)備20基于計算設(shè)備10是否被歸類為惡意設(shè)備��,來選擇性地管理來自計算設(shè)備10的網(wǎng)絡(luò)流量。例如���,如果計算設(shè)備10被確定為是惡意設(shè)備����,則安全模塊40可以管理從計算設(shè)備10所接收的網(wǎng)絡(luò)流量�����,諸如通過丟棄從計算設(shè)備10所接收的分組��、向計算設(shè)備10發(fā)送偽信息�����、請求與計算設(shè)備10有關(guān)的附加信息以創(chuàng)建更完整的簡檔��、或者執(zhí)行其他動作來緩解由計算設(shè)備10所嘗試的任何攻擊���。如果計算設(shè)備10被確定為不是惡意設(shè)備�����,則安全設(shè)備20可以繼續(xù)允許網(wǎng)絡(luò)流量在計算設(shè)備10與應(yīng)用服務(wù)器22之間交換����,而不應(yīng)用上面所描述的各種反措施。
[0044]圖3是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于合并惡意設(shè)備信息的示例安全服務(wù)服務(wù)器的框圖��。圖3圖示了安全服務(wù)服務(wù)器24的僅一個特定示例�,并且在其他實例中可以使用安全服務(wù)服務(wù)器24的許多其他示例。僅為了舉例說明的目的�,下面在圖1的網(wǎng)絡(luò)系統(tǒng)2的背景中來描述安全服務(wù)服務(wù)器24。
[0045]如在圖3的具體示例中所示出的��,安全服務(wù)服務(wù)器24可以提供用于可執(zhí)行軟件指令的執(zhí)行環(huán)境�。在這個不例中,安全服務(wù)服務(wù)器24包括一個或多個處理器60��、一個或多個網(wǎng)絡(luò)接口卡62�����、以及一個或多個存儲設(shè)備64����。組件60�、62和64中的每個組件可以通過用于組件間通信的一個或多個通信信道而(物理地、通信地���、和/或操作地)互連����。在一些示例中,該(些)通信信道可以包括一個或多個系統(tǒng)總線���、網(wǎng)絡(luò)連接��、過程間的通信數(shù)據(jù)結(jié)構(gòu)����、或者用于通信數(shù)據(jù)的其他信道�。
[0046]在一些示例中,(多個)處理器60被配置為實施功能和/或執(zhí)行指令��。例如�����,(多個)處理器60可以能夠處理(多個)存儲設(shè)備64中所存儲的指令�����。(多個)處理器60的示例可以包括以下各項中的一項或多項:微處理器�、控制器�、數(shù)字信號處理器(DSP)�、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)�����、或者其他類型的分立或集成邏輯電路�����。
[0047](多個)存儲設(shè)備64可以被配置為存儲用于在安全服務(wù)服務(wù)器24內(nèi)使用的程序代碼和/或數(shù)據(jù)���。在圖3的示例中��,(多個)存儲設(shè)備64可以存儲包括分析模塊66����、規(guī)則數(shù)據(jù)庫68��、設(shè)備簡檔數(shù)據(jù)庫70�����、以及操作系統(tǒng)72的軟件組件��。在一些示例中���,(多個)存儲設(shè)備64被描述為計算機可讀存儲介質(zhì)�����。在一些示例中���,(多個)存儲設(shè)備64包括暫時性存儲器,意味著存儲設(shè)備64的主要目的不是長期存儲��。在一些示例中���,(多個)存儲設(shè)備64包括易失性存儲器�,意味著(多個)存儲設(shè)備64在安全服務(wù)服務(wù)器24被關(guān)閉時不維持所存儲的內(nèi)容����。易失性存儲器的示例可以包括:隨機訪問存儲器(RAM)、動態(tài)隨機訪問存儲器(DRAM)�����、靜態(tài)隨機訪問存儲器(SRAM)、以及本領(lǐng)域中已知的其他形式的易失性存儲器���。在一些示例中��,(多個)存儲設(shè)備64被用來存儲用于由(多個)處理器60執(zhí)行的程序指令��。在一些示例中���,(多個)存儲設(shè)備64由在安全服務(wù)服務(wù)器24上運行的程序或應(yīng)用使用以在程序執(zhí)行期間暫時性地存儲信息。
[0048]在一些示例中�����,(多個)存儲設(shè)備64包括一個或多個計算機可讀存儲介質(zhì)����。(多個)存儲設(shè)備64可以被配置為相比易失性存儲器而存儲更大量的信息。(多個)存儲設(shè)備64可以進一步被配置用于信息的長期存儲�。在一些示例中,(多個)存儲設(shè)備64包括非易失性存儲元件��。這些非易失性存儲元件的示例包括:磁硬盤��、光盤�����、軟盤、閃存���、或者電可編程存儲器(EPROM)或電可擦除且可編程(EEPROM)存儲器的形式。
[0049]安全服務(wù)服務(wù)器24可以使用(多個)網(wǎng)絡(luò)接口卡62來經(jīng)由一個或多個通信網(wǎng)絡(luò)(諸如一個或多個無線網(wǎng)絡(luò))而與外部設(shè)備通信��。(多個)網(wǎng)絡(luò)接口卡62可以包括一個或多個以太網(wǎng)卡����、光收發(fā)機、射頻收發(fā)機����、或者被配置為發(fā)送和接收信息的其他類型的設(shè)備。網(wǎng)絡(luò)接口的其他示例可以包括:藍牙無線電���、3G無線電���、和WiFi無線電、以及通用串行總線(USB)接口���。在一些示例中�,安全服務(wù)服務(wù)器24可以使用(多個)網(wǎng)絡(luò)接口卡62來與可操作地耦合至安全服務(wù)服務(wù)器24的另一個設(shè)備無線地通信。
[0050]操作系統(tǒng)72可以控制安全服務(wù)服務(wù)器24的各組件的操作���。例如���,操作系統(tǒng)72可以促進分析模塊66、規(guī)則數(shù)據(jù)庫68���、設(shè)備簡檔數(shù)據(jù)庫70��、處理器60�、網(wǎng)絡(luò)接口卡62���、以及存儲設(shè)備64之間的通信��。存儲設(shè)備64的一個或多個組件(包括操作系統(tǒng)70��、分析模塊66�����、規(guī)則數(shù)據(jù)庫68�、以及設(shè)備簡檔數(shù)據(jù)庫70)每個都可以包括可以由安全服務(wù)服務(wù)器24可執(zhí)行的程序指令和/或數(shù)據(jù)���。分析模塊66����、規(guī)則數(shù)據(jù)庫68、以及設(shè)備簡檔數(shù)據(jù)庫70可以每個都包括指令�,這些指令促使安全服務(wù)服務(wù)器24執(zhí)行本公開內(nèi)容中所描述的操作和動作中的一個或多個操作和動作。在一些示例中��,在(多個)存儲設(shè)備64中所圖示的組件中的一個或多個組件����,可以實施在硬件和/或軟件和硬件的組合中��。
[0051]根據(jù)本公開內(nèi)容的技術(shù)���,安全服務(wù)服務(wù)器24接收用于計算設(shè)備10的設(shè)備簡檔信息����。該設(shè)備簡檔信息可以是由安全設(shè)備20所生成的設(shè)備簡檔�����。例如�����,該設(shè)備簡檔信息可以包括,由安全設(shè)備20基于對從計算設(shè)備10所接收的網(wǎng)絡(luò)流量的分析而收集的數(shù)據(jù)項目的至少一部分��。該設(shè)備簡檔信息還可以包括���,響應(yīng)于所注入的代碼由計算設(shè)備10執(zhí)行而由計算設(shè)備10所提供的一個或多個數(shù)據(jù)點���。
[0052]該設(shè)備簡檔信息可以被提供給分析模塊66用于分析并且確定計算設(shè)備10是否是惡意設(shè)備�。如圖3中所示出的,分析模塊66包括規(guī)則分析模塊74��、規(guī)則更新模塊76��、安全設(shè)備更新模塊78���、以及分類器模塊80����。規(guī)則分析模塊74可以從規(guī)則數(shù)據(jù)庫68取回一個或多個規(guī)則以應(yīng)用至該設(shè)備簡檔信息��,以便生成對于計算設(shè)備10的惡意評級�。盡管被描述為數(shù)據(jù)庫�����,但是規(guī)則數(shù)據(jù)庫68可以是任何數(shù)據(jù)結(jié)構(gòu)或數(shù)據(jù)結(jié)構(gòu)的組合�,包括散列表����、鏈表、等等�����。通常��,規(guī)則數(shù)據(jù)庫68被配置為存儲與用來確定設(shè)備是否是惡意設(shè)備的一個或多個規(guī)則有關(guān)的信息��。在一個示例中���,這些規(guī)則是邏輯構(gòu)造,這些邏輯構(gòu)造可以被應(yīng)用至設(shè)備簡檔信息以識別異常并且為特定設(shè)備生成(例如�����,計算)惡意評級����。在一些示例中����,這些規(guī)則可以由安全專家定義�,并且可以具有與攻擊簽名相類似的特性。也就是說��,這些規(guī)則可以手動地被配置為識別某些異常(例如����,不一致)、識別某些安裝的插件�、識別是否根本沒有安裝任何插件、等等�����,并且基于該特定設(shè)備的所識別的特性來計算惡意評級�����,該惡意評級可以被用來將該特定設(shè)備歸類為惡意設(shè)備�����。
[0053]在一些示例中,可以使用機器學(xué)習(xí)技術(shù)來生成這些規(guī)則�。例如,包括異常和插件信息的學(xué)習(xí)數(shù)據(jù)集合可以被提供給安全服務(wù)服務(wù)器24��。分析模塊66和規(guī)則更新模塊76可以處理該學(xué)習(xí)數(shù)據(jù)集合�����,以訓(xùn)練并且學(xué)習(xí)可以存儲在規(guī)則數(shù)據(jù)庫68中的規(guī)則���。規(guī)則更新模塊76可以使用該學(xué)習(xí)數(shù)據(jù)集合來更新已經(jīng)存儲在規(guī)則數(shù)據(jù)庫68中的規(guī)則���,并且可以基于該學(xué)習(xí)數(shù)據(jù)集合來生成附加規(guī)則。分析模塊66可以在一個時段內(nèi)處理多個學(xué)習(xí)數(shù)據(jù)集合�����,并且可以在處理學(xué)習(xí)數(shù)據(jù)集合之間處理其他數(shù)據(jù)(例如��,從由安全設(shè)備20所接收的當(dāng)前網(wǎng)絡(luò)流量所采集的設(shè)備簡檔信息)�。如果安全專家或者其他管理員手動地改變用于一個或多個設(shè)備的類別(例如�,將設(shè)備從被歸類為惡意設(shè)備改變至被歸類為非惡意),則規(guī)則更新模塊76可以基于對這些設(shè)備的手動歸類來更新這些規(guī)則�����。進一步地,使用機器學(xué)習(xí)技術(shù)所生成的這些規(guī)則可以與由安全專家所生成的規(guī)則相結(jié)合��。
[0054]規(guī)則分析模塊74將這些規(guī)則應(yīng)用至該設(shè)備簡檔信息的至少一部分���。作為一個示例�����,該設(shè)備簡檔信息包括用戶代理頭部信息和瀏覽器插件信息���,該用戶代理頭部信息指示計算設(shè)備10是平板計算設(shè)備,該瀏覽器插件信息指示不兼容的插件被安裝在計算設(shè)備10上并且計算設(shè)備10支持不與該平板計算設(shè)備操作系統(tǒng)兼容的文件擴展��。這些規(guī)則可以識別該用戶代理頭部信息與該插件信息之間的不一致����,觸發(fā)異常并且導(dǎo)致增加的惡意評級(例如,因為該用戶代理頭部很有可能被偽造)��。作為另一個示例��,如果這些規(guī)則識別到專有的并且很可能僅由合法用戶在企業(yè)發(fā)行(corporate-1ssued)的設(shè)備上運行的、安裝在該設(shè)備處的某些瀏覽器擴展�,和/或識別到與已知的HTTP頭部相結(jié)合的反病毒插件或指示善意用戶的其他插件,則規(guī)則分析模塊74減少惡意評級�����,因為該設(shè)備較不可能是惡意設(shè)備���。這些瀏覽器擴展和插件可以被包括在插件和/或瀏覽器擴展的白名單中����。
[0055]作為另一個示例���,計算設(shè)備10可能執(zhí)行自動化的漏洞掃描器(例如���,作為不用瀏覽器而運行的腳本),該自動化的漏洞掃描器被配置為��,在模仿瀏覽器并且避開安全系統(tǒng)的檢測的嘗試中����,輸出與該瀏覽器的用戶代理信息和其他數(shù)據(jù)點相類似的用戶代理信息和其他數(shù)據(jù)點�����。在這個示例中,包括從代碼注入所收集的數(shù)據(jù)點的設(shè)備簡檔信息�����,將很可能指示完全沒有瀏覽器插件或者任何所包括的瀏覽器插件信息與用戶代理信息之間的不一致��。規(guī)則分析模塊74將應(yīng)用這些規(guī)則并且識別這些異常和不一致��,這可能導(dǎo)致更高的惡意評級����。
[0056]作為又另一個示例,計算設(shè)備10可能執(zhí)行web搜索引擎蜘蛛系統(tǒng)(例如����,web爬蟲軟件應(yīng)用)。設(shè)備簡檔信息可以包括指示網(wǎng)絡(luò)流量源自蜘蛛的已知用戶代理信息����。然而,在一些實例中�����,計算設(shè)備10可能執(zhí)行嘗試將它自身假裝為蜘蛛的惡意軟件。規(guī)則分析模塊74可以分析設(shè)備簡檔信息�����,并且基于是否識別到異常�,而在有效的蜘蛛與嘗試將它自身假裝為有效蜘蛛(例如,通過改變在計算設(shè)備10處執(zhí)行的軟件應(yīng)用的特性)的惡意軟件進行區(qū)分��。換句話說���,規(guī)則分析模塊74和分類器模塊80可以基于設(shè)備簡檔信息中所包括的HTTP和瀏覽器特性的組合,來確定哪些請求相對于偽裝的黑客或腳本而來自真實的搜索蜘蛛�����。
[0057]通過應(yīng)用這些規(guī)則����,規(guī)則分析模塊74可以生成用于設(shè)備的惡意評級。該惡意評級可以是���,基于該設(shè)備是惡意設(shè)備的增加的可能性或者減小的可能性而改變的任何值�����。為了清楚性的目的����,討論了數(shù)值的惡意評級�����,但是應(yīng)當(dāng)理解�,其他類型的惡意值也被設(shè)想到,并且應(yīng)當(dāng)理解�,惡意評級不應(yīng)當(dāng)被限制于數(shù)值。
[0058]在一些示例中�����,可以基于特定數(shù)據(jù)點指示該設(shè)備是惡意設(shè)備的可能性而不同地加權(quán)每個不同的數(shù)據(jù)點�。例如,因為一些瀏覽器插件(諸如代理�����、匿名器��、以及超文本傳送協(xié)議(HTTP)嗅探器)更有可能在惡意設(shè)備上執(zhí)行�,應(yīng)用至每個插件的加權(quán)可以隨著在單個設(shè)備處所檢測到的這些插件的數(shù)目的增加而增加�����。換句話說����,如果計算設(shè)備10安裝了兩個這種插件��,則該加權(quán)可以是二����,但是如果四個這種插件安裝在計算設(shè)備10處,則該加權(quán)可以是十���。
[0059]盡管被描述為將規(guī)則應(yīng)用至設(shè)備簡檔信息����,但是規(guī)則分析模塊74還可以將這些規(guī)則應(yīng)用至網(wǎng)絡(luò)流量模式����,以增加或減少對于特定設(shè)備的惡意評級。例如���,如果用于源自計算設(shè)備10的網(wǎng)絡(luò)流量的網(wǎng)絡(luò)流量模式對應(yīng)于指示掃描安全設(shè)備20以尋找漏洞的模式�����,則規(guī)則分析模塊74可以增加對于計算設(shè)備10的惡意評級����。作為另一個示例�,網(wǎng)絡(luò)流量模式對應(yīng)于通常的web會話,規(guī)則分析模塊74可以減少對于計算設(shè)備10的惡意評級�����。
[0060]規(guī)則分析模塊74可以將惡意評級傳遞給分類器模塊80����。分類器模塊80確定與該惡意評級相關(guān)聯(lián)的設(shè)備(例如,計算設(shè)備10)是否是惡意設(shè)備����。作為一個示例,分類器模塊80可以將所生成的惡意評級與閾值惡意值相比較���。如果所生成的惡意評級滿足該閾值惡意值����,則分類器模塊80將計算設(shè)備10分類為惡意設(shè)備。如果所生成的惡意評級不滿足該閾值����,則分類器模塊80不將計算設(shè)備10分類為惡意設(shè)備。
[0061]安全服務(wù)16可以將所生成的惡意評級和針對每個設(shè)備的分類傳播給其他安全設(shè)備��。一般而言��,安全服務(wù)服務(wù)器24維護安全設(shè)備數(shù)據(jù)庫70���。安全設(shè)備數(shù)據(jù)庫70包括與訂購了由安全服務(wù)16和安全服務(wù)服務(wù)器24所提供的安全服務(wù)的安全設(shè)備有關(guān)的信息����。安全設(shè)備更新模塊78可以將設(shè)備簡檔信息發(fā)送給向安全服務(wù)16注冊過的一個或多個安全設(shè)備(例如�,具有安全設(shè)備數(shù)據(jù)庫70內(nèi)的條目的安全設(shè)備)。例如��,安全設(shè)備更新模塊78可以將設(shè)備簡檔�、惡意評級、惡意設(shè)備歸類�、等等發(fā)送給其他安全設(shè)備。
[0062]盡管分析模塊66在圖3的示例中被圖示為被包括在安全服務(wù)服務(wù)器24內(nèi)���,但是在其他示例中��,分析模塊66和/或規(guī)則分析模塊74����、規(guī)則更新模塊76�、安全設(shè)備更新模塊78、以及分類器模塊80的任意組合可以被包括在圖1和2的安全設(shè)備20內(nèi)�。換句話說���,安全設(shè)備20可以被配置為執(zhí)行關(guān)于安全服務(wù)服務(wù)器24而描述的技術(shù)中的任何技術(shù)或者全部技術(shù)��,包括訓(xùn)練規(guī)則�����、應(yīng)用規(guī)則���、生成惡意評級、將設(shè)備分類�、以及更新其他安全設(shè)備。此外����,圖1-3中所圖示的并且關(guān)于圖1-3所描述的功能的特定分布僅僅是本公開內(nèi)容的這些特定技術(shù)可以如何分布的一種示例����。安全設(shè)備20和安全服務(wù)16可以每個都執(zhí)行歸于如關(guān)于圖1-3所描述的每個功能的或多或少的功能�����。
[0063]圖4是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于識別惡意設(shè)備的示例過程的流程圖���。僅為了舉例說明的目的�,下面在如圖1和2中所示出的安全設(shè)備20的背景內(nèi)來描述這些示例操作���。其他示例安全設(shè)備也可以執(zhí)行下面所描述的這些示例操作�����。
[0064]安全設(shè)備20從可能的惡意設(shè)備(例如��,計算設(shè)備10)接收傳入的針對數(shù)據(jù)的請求
(90)���。分組解析模塊42解析該請求以抽取信息,諸如用戶代理信息�。安全設(shè)備20可以將該傳入的請求轉(zhuǎn)發(fā)給處理該請求并且發(fā)送響應(yīng)的應(yīng)用服務(wù)器22中的一個應(yīng)用服務(wù)器。安全設(shè)備20攔截該響應(yīng)并且代碼注入模塊44注入代碼,這些代碼促使計算設(shè)備10向安全設(shè)備20發(fā)送附加數(shù)據(jù)點(例如��,瀏覽器和/或設(shè)備特性)和相關(guān)聯(lián)的值(92)���。計算設(shè)備10接收該響應(yīng)并且將這些數(shù)據(jù)點和相關(guān)聯(lián)的值發(fā)送給安全設(shè)備20��,而不需要計算設(shè)備10的用戶來執(zhí)行任何附加的動作����。
[0065]安全設(shè)備20接收該設(shè)備信息(94)�,并且簡檔生成模塊46生成用于計算設(shè)備10的設(shè)備簡檔(96)。使用所生成的設(shè)備簡檔�,安全模塊40生成對于計算設(shè)備10的惡意評級
(98)�。例如,安全模塊40可以將一個或多個規(guī)則應(yīng)用至該設(shè)備簡檔信息�,以識別該設(shè)備簡檔信息中的任何不一致或異常,以及識別在計算設(shè)備10處所安裝的插件�����,并且使用這個所識別的信息來生成該惡意評級�����。
[0066]安全模塊40基于該惡意評級而將計算設(shè)備10分類為惡意設(shè)備或者不為惡意設(shè)備(例如,善意設(shè)備)(98)����。在一些示例中,安全模塊40將所生成的惡意評級與閾值相比較���,并且基于該惡意評級是否滿足該閾值來將計算設(shè)備10分類�。
[0067]安全設(shè)備20基于對計算設(shè)備10的分類來管理來自計算設(shè)備10的網(wǎng)絡(luò)流量
(100)����。例如,如果安全模塊40將計算設(shè)備10分類為惡意設(shè)備�,則安全設(shè)備20可以積極地管理來自計算設(shè)備10的所有網(wǎng)絡(luò)流量��。例如��,安全設(shè)備20可以防止該網(wǎng)絡(luò)流量到達應(yīng)用服務(wù)器22��。在一些示例中��,安全設(shè)備20可以阻擋該網(wǎng)絡(luò)流量�、扼流該網(wǎng)絡(luò)流量、將該網(wǎng)絡(luò)流量重定向���、將該網(wǎng)絡(luò)流量記入日志���、或者采取其他反措施以最小化源自計算設(shè)備10的任何潛在攻擊的影響��。例如����,安全模塊40可以攔截由計算設(shè)備10所發(fā)送的所有分組��,并且提供偽響應(yīng)以便收集與計算設(shè)備10有關(guān)的附加數(shù)據(jù)點����。
[0068]在一些示例中,安全設(shè)備20可以基于由攻擊者設(shè)備所生成的網(wǎng)絡(luò)流量���,來確定計算設(shè)備10是惡意設(shè)備���。例如�����,如果計算設(shè)備10正在探測應(yīng)用服務(wù)器22處執(zhí)行的軟件的已知安全漏洞��,則安全設(shè)備20確定計算設(shè)備10是惡意設(shè)備,并且可以通過例如阻擋該網(wǎng)絡(luò)流量��、扼流網(wǎng)絡(luò)流量�����、將網(wǎng)絡(luò)流量重定向�、將該網(wǎng)絡(luò)流量記入日志�����、或者采取其他反措施以最小化源自計算設(shè)備10的任何潛在攻擊的影響�,來管理源自計算設(shè)備10的網(wǎng)絡(luò)流量。如果安全設(shè)備20確定計算設(shè)備10不是惡意設(shè)備���,則安全設(shè)備20可以允許網(wǎng)絡(luò)流量在計算設(shè)備10與應(yīng)用服務(wù)器22之間自由地交換���。
[0069]圖5是圖示了根據(jù)本公開內(nèi)容的一個或多個方面的用于識別惡意設(shè)備的另一個示例過程的流程圖。僅為了舉例說明的目的�����,下面在圖1-3中所示出的安全設(shè)備20和安全服務(wù)服務(wù)器24的背景內(nèi)來描述這些示例操作��。其他示例安全設(shè)備和安全服務(wù)服務(wù)器也可以執(zhí)行下面所描述的這些示例操作。
[0070]安全設(shè)備20從可能的惡意設(shè)備(例如��,計算設(shè)備10)接收傳入的針對數(shù)據(jù)的請求(110)��。分組解析模塊42解析該請求以抽取信息��,諸如用戶代理信息����。安全設(shè)備20可以將該傳入的請求轉(zhuǎn)發(fā)給處理該請求并且發(fā)送響應(yīng)的應(yīng)用服務(wù)器22中的一個應(yīng)用服務(wù)器�。安全設(shè)備20攔截該響應(yīng)并且代碼注入模塊44注入代碼,這些代碼促使計算設(shè)備10向安全設(shè)備20發(fā)送附加數(shù)據(jù)點(例如����,瀏覽器和/或設(shè)備特性)和相關(guān)聯(lián)的值(112)。計算設(shè)備10接收該響應(yīng)并且將這些數(shù)據(jù)點和相關(guān)聯(lián)的值發(fā)送給安全設(shè)備20���,而不需要計算設(shè)備10的用戶來執(zhí)行任何附加的動作���。
[0071]安全設(shè)備20接收該設(shè)備信息(114)�����,并且簡檔生成模塊46生成用于計算設(shè)備10的設(shè)備簡檔(116)。安全設(shè)備20將所生成的簡檔發(fā)送給安全服務(wù)服務(wù)器24(118)�。安全服務(wù)服務(wù)器24接收該設(shè)備簡檔信息(120)。使用該設(shè)備簡檔信息��,規(guī)則分析模塊74生成對于計算設(shè)備10的惡意評級(122)���。例如,規(guī)則分析模塊74可以將規(guī)則數(shù)據(jù)庫68的一個或多個規(guī)則應(yīng)用至該設(shè)備簡檔信息��,以識別該設(shè)備簡檔信息中的任何不一致或異常���,以及識別在計算設(shè)備10處所安裝的插件�,并且使用這個所識別的信息來生成該惡意評級�。
[0072]分類器模塊80基于該惡意評級而將計算設(shè)備10分類為惡意設(shè)備或者不為惡意設(shè)備(例如����,善意設(shè)備)(124)。在一些示例中���,分類器模塊80將所生成的惡意評級與閾值相比較�����,并且基于該惡意評級是否滿足該閾值來將計算設(shè)備10分類�。安全服務(wù)服務(wù)器24將該設(shè)備分類信息發(fā)送給安全設(shè)備20(126)。并發(fā)地��,在所調(diào)度的時間����,或者在某個其他時間,安全設(shè)備更新模塊78 (例如��,基于安全設(shè)備數(shù)據(jù)庫70中所存儲的信息)將所更新的設(shè)備簡檔和分類信息發(fā)送給向安全服務(wù)16注冊過的安全設(shè)備(128)�。
[0073]安全設(shè)備20從安全服務(wù)服務(wù)器24接收該分類信息(130),并且基于對計算設(shè)備10的分類來管理來自計算設(shè)備10的網(wǎng)絡(luò)流量(132)��。例如��,如果所接收的分類信息指示計算設(shè)備10是惡意設(shè)備�,則安全設(shè)備20可以積極地管理來自計算設(shè)備10的所有網(wǎng)絡(luò)流量。如果所接收的分類信息指示計算設(shè)備10不是惡意設(shè)備���,則安全設(shè)備20可以允許網(wǎng)絡(luò)流量在計算設(shè)備10與應(yīng)用服務(wù)器22之間自由地交換�。
[0074]在一些不例中�����,一種設(shè)備包括一個或多個處理器��;一個或多個網(wǎng)絡(luò)接口卡����,用以從遠程設(shè)備接收定向至由該設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量,基于該網(wǎng)絡(luò)流量的內(nèi)容來確定用于該設(shè)備的第一集合的數(shù)據(jù)點��,該第一集合的數(shù)據(jù)點包括在該遠程設(shè)備處執(zhí)行的軟件應(yīng)用的特性���,向該遠程設(shè)備發(fā)送響應(yīng)以查明用于該遠程設(shè)備的第二集合的數(shù)據(jù)點����,該第二集合的數(shù)據(jù)點包括由該遠程設(shè)備所提供的并且在該遠程設(shè)備本地的操作環(huán)境的特性�,并且從該遠程設(shè)備接收該第二集合的數(shù)據(jù)點的至少一部分;以及安全模塊�,由該一個或多個處理器可操作為,基于該第二集合的數(shù)據(jù)點的該所接收的部分和該第一集合的數(shù)據(jù)點來確定惡意評級����,并且基于該惡意評級來選擇性地管理定向至由該安全設(shè)備所保護的該一個或多個計算設(shè)備的并且從該遠程設(shè)備所接收的其他網(wǎng)絡(luò)流量。
[0075]在該設(shè)備的一些示例中��,指紋模塊包括代碼注入模塊���,該代碼注入模塊由該一個或多個處理器可操作為����,在發(fā)送該響應(yīng)之前,向從該一個或多個計算設(shè)備中的至少一個計算設(shè)備所接收的該響應(yīng)中注入代碼����,以查明該第二集合的數(shù)據(jù)點,其中響應(yīng)于該網(wǎng)絡(luò)流量從該一個或多個計算設(shè)備中的至少一個計算設(shè)備接收該響應(yīng)��。
[0076]在一些示例中����,該設(shè)備還包括:簡檔生成模塊,由該一個或多個處理器可操作為����,基于該第二集合的數(shù)據(jù)點的該所接收的部分和該第一集合的數(shù)據(jù)點,來生成用于該遠程設(shè)備的簡檔�;以及數(shù)據(jù)收集模塊,由該一個或多個處理器可操作為����,向安全服務(wù)發(fā)送該遠程設(shè)備的該簡檔,并且從該安全服務(wù)接收該遠程設(shè)備是否是惡意設(shè)備的指示,其中該安全模塊由該一個或多個處理器可操作為����,基于該指示來選擇性地管理定向至由該安全設(shè)備所保護的該一個或多個計算設(shè)備的并且從該遠程設(shè)備所接收的其他網(wǎng)絡(luò)流量。
[0077]在該設(shè)備的一些不例中���,該安全模塊由該一個或多個處理器可操作為,基于該第二集合的數(shù)據(jù)點的該所接收的部分來識別一個或多個插件�,確定該第二集合的數(shù)據(jù)點的該所接收的部分和該第一集合的數(shù)據(jù)點是否包括不一致的信息,響應(yīng)于確定該第二集合的數(shù)據(jù)點的該所接收的部分和該第一集合的數(shù)據(jù)點包括不一致的信息��,基于該一個或多個插件和該不一致的信息��,來生成指示該遠程設(shè)備是惡意的增加的可能性的惡意評級���,并且響應(yīng)于確定該第二集合的數(shù)據(jù)點的該所接收的部分和該第一集合的數(shù)據(jù)點包括一致的信息���,基于該一個或多個插件和該一致的信息,來生成指示該遠程設(shè)備是惡意的減少的可能性的惡意評級��。
[0078]在該設(shè)備的一些不例中�,該安全模塊由該一個或多個處理器可操作為,基于該第二集合的數(shù)據(jù)點的該所接收的部分���,來確定安裝在該遠程設(shè)備處的至少一個插件是否是惡意插件��,響應(yīng)于確定至少一個插件是惡意插件����,調(diào)整惡意評級以對應(yīng)于該遠程設(shè)備是惡意的增加的可能性,并且響應(yīng)于確定至少一個插件不是惡意插件���,調(diào)整惡意評級以對應(yīng)于該遠程設(shè)備是惡意的減少的可能性��。
[0079]在該設(shè)備的一些不例中��,該安全模塊由該一個或多個處理器可操作為���,響應(yīng)于基于該第二集合的數(shù)據(jù)點的該所接收的部分而確定白名單中的插件被安裝在該遠程設(shè)備處,調(diào)整惡意評級以對應(yīng)于該遠程設(shè)備是惡意的減少的可能性�。
[0080]在該設(shè)備的一些不例中,該安全模塊由該一個或多個處理器可操作為�,基于該第二集合的數(shù)據(jù)點的該所接收的部分和該第一集合的數(shù)據(jù)點,來確定該遠程設(shè)備正在執(zhí)行web爬蟲軟件應(yīng)用����,并且基于該確定來調(diào)整惡意評級以對應(yīng)于該遠程設(shè)備是惡意的減少的可能性。
[0081]在該設(shè)備的一些不例中�,該安全模塊由該一個或多個處理器可操作為����,響應(yīng)于確定該遠程設(shè)備的惡意評級不滿足閾值�,準(zhǔn)許來自該遠程設(shè)備的其他網(wǎng)絡(luò)流量到達由該安全設(shè)備所保護的該一個或多個計算設(shè)備��,并且響應(yīng)于確定該遠程設(shè)備的惡意評級滿足該閾值���,防止該其他網(wǎng)絡(luò)流量到達由該安全設(shè)備所保護的該一個或多個計算設(shè)備�。
[0082]本公開內(nèi)容中所描述的技術(shù)可以至少部分地實施在硬件���、軟件、固件����、或者它們的任意組合中。例如�����,所描述的技術(shù)的各種方面可以實施在一個或多個處理器內(nèi)���,包括一個或多個微處理器�����、數(shù)字信號處理器(DSP)����、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)��、或者任何其他等效的集成或分立邏輯電路�、以及這些組件的任意組合。術(shù)語“處理器”或“處理電路”可以一般性地指代單獨的或與其他邏輯電路相結(jié)合的��、前述邏輯電路中的任何一種邏輯電路����,或者任何其他的等效電路。包括硬件的控制單元也可以執(zhí)行本公開內(nèi)容的技術(shù)中的一種或多種技術(shù)�。
[0083]這種硬件、軟件����、以及固件可以實施在同一設(shè)備內(nèi)或者分離的設(shè)備內(nèi),以支持本公開內(nèi)容中所描述的各種操作和功能����。另外����,所描述的單元�����、模塊�、或組件中的任何單元、模塊����、或組件可以一起實施或者分離地實施為分立但是可互操作的邏輯設(shè)備。將不同的特征描繪為模塊或單元意圖為突出不同的功能方面���,并且不必然暗示這些模塊或單元必須由分離的硬件或軟件組件來實現(xiàn)。更確切地說�,與一個或多個模塊或單元相關(guān)聯(lián)的功能可以由分離的硬件或軟件組件來執(zhí)行,或者集成在公共或分離的硬件或軟件組件內(nèi)�。
[0084]本公開內(nèi)容中所描述的技術(shù)還可以被具體化或者編碼在計算機可讀介質(zhì)中,諸如包含指令的計算機可讀存儲介質(zhì)�。被嵌入或編碼在計算機可讀介質(zhì)中的指令,例如當(dāng)這些指令被執(zhí)行時�,可以促使可編程處理器或者其他處理器執(zhí)行該方法。計算機可讀存儲介質(zhì)可以包括:隨機訪問存儲器(RAM)��、只讀存儲器(ROM)、可編程只讀存儲器(PROM)��、可擦除可編程只讀存儲器(EPROM)�����、電可擦除可編程只讀存儲器(EEPROM)�、閃存、硬盤����、CD-ROM、軟盤�����、磁帶��、磁介質(zhì)��、光學(xué)介質(zhì)��、或者其他計算機可讀存儲介質(zhì)�����。應(yīng)當(dāng)理解,術(shù)語“計算機可讀存儲介質(zhì)”指代物理存儲介質(zhì)(例如�����,非瞬態(tài)介質(zhì))���,而不是信號�����、載波����、或者其他瞬變介質(zhì)�����。
[0085]已經(jīng)描述了各種實施例���。這些和其他實施例在下列權(quán)利要求的范圍內(nèi)。
【權(quán)利要求】
1.一種方法��,包括: 由安全設(shè)備接收從設(shè)備定向至由所述安全設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量��; 基于所述網(wǎng)絡(luò)流量的內(nèi)容,來確定用于所述設(shè)備的第一集合的數(shù)據(jù)點��,所述第一集合的數(shù)據(jù)點包括在所述設(shè)備處執(zhí)行的軟件應(yīng)用的特性�; 由所述安全設(shè)備向所述設(shè)備發(fā)送響應(yīng)以查明用于所述設(shè)備的第二集合的數(shù)據(jù)點,所述第二集合的數(shù)據(jù)點包括由所述設(shè)備所提供的并且在所述設(shè)備本地的操作環(huán)境的特性���;由所述安全設(shè)備并且從所述設(shè)備接收所述第二集合的數(shù)據(jù)點的至少一部分�����; 基于所述第二集合的數(shù)據(jù)點的所接收的部分以及所述第一集合的數(shù)據(jù)點����,來確定惡意評級����;以及 基于所述惡意評級,來選擇性地管理定向至由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備的并且從所述設(shè)備所接收的其他網(wǎng)絡(luò)流量���。
2.根據(jù)權(quán)利要求1所述的方法�,其中從所述一個或多個計算設(shè)備中的至少一個計算設(shè)備接收所述響應(yīng)�����,所述方法進一步包括: 在發(fā)送所述響應(yīng)之前,向所述響應(yīng)中注入用于查明所述第二集合的數(shù)據(jù)點的代碼���,其中響應(yīng)于所述網(wǎng)絡(luò)流量而從所述一個或多個計算設(shè)備中的至少一個計算設(shè)備接收所述響應(yīng)�。
3.根據(jù)權(quán)利要求1-2中任一項所述的方法��,其中確定所述惡意評級包括: 由所述安全設(shè)備通過至少將所述設(shè)備的所述第一集合的數(shù)據(jù)點中的至少一個數(shù)據(jù)點與所述第二集合的數(shù)據(jù)點的所接收的部分中的至少一個數(shù)據(jù)點相比較�,來生成所述惡意評級。
4.根據(jù)權(quán)利要求1-3中任一項所述的方法��,其中確定所述惡意評級包括: 基于所述第二集合的數(shù)據(jù)點的所接收的部分和所述第一集合的數(shù)據(jù)點�����,來生成用于所述設(shè)備的簡檔����; 向安全服務(wù)發(fā)送所述設(shè)備的所述簡檔; 從所述安全服務(wù)接收所述設(shè)備是否是惡意設(shè)備的指示��;以及 基于所述指示���,來選擇性地管理定向至由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備的并且從所述設(shè)備所接收的所述其他網(wǎng)絡(luò)流量。
5.根據(jù)權(quán)利要求1-4中任一項所述的方法�,其中確定所述惡意評級包括: 基于所述第二集合的數(shù)據(jù)點的所接收的部分�,來識別一個或多個插件����; 確定所述第二集合的數(shù)據(jù)點的所接收的部分和所述第一集合的數(shù)據(jù)點是否包括不一致的信息; 響應(yīng)于確定所述第二集合的數(shù)據(jù)點的所接收的部分和所述第一集合的數(shù)據(jù)點包括不一致的信息���,基于所述一個或多個插件和所述不一致的信息����,來生成指示所述設(shè)備是惡意的增加的可能性的所述惡意評級��;以及 響應(yīng)于確定所述第二集合的數(shù)據(jù)點的所接收的部分和所述第一集合的數(shù)據(jù)點包括一致的信息����,基于所述一個或多個插件和所述一致的信息,來生成指示所述設(shè)備是惡意的減少的可能性的所述惡意評級�����。
6.根據(jù)權(quán)利要求1-5中任一項所述的方法��,其中確定所述惡意評級包括: 基于所述第二集合的數(shù)據(jù)點的所接收的部分�����,來確定安裝在所述設(shè)備處的至少一個插件是否是惡意插件; 響應(yīng)于確定至少一個插件是惡意插件���,調(diào)整所述惡意評級以對應(yīng)于所述設(shè)備是惡意的增加的可能性����;以及 響應(yīng)于確定至少一個插件不是惡意插件��,調(diào)整所述惡意評級以對應(yīng)于所述設(shè)備是惡意的減少的可能性��。
7.根據(jù)權(quán)利要求1-6中任一項所述的方法���,其中確定所述惡意評級包括: 響應(yīng)于基于所述第二集合的數(shù)據(jù)點的所接收的部分而確定白名單中的插件被安裝在所述設(shè)備處���,調(diào)整所述惡意評級以對應(yīng)于所述設(shè)備是惡意的減少的可能性。
8.根據(jù)權(quán)利要求1-7中任一項所述的方法��,其中確定所述惡意評級包括: 基于所述第二集合的數(shù)據(jù)點的所接收的部分和所述第一集合的數(shù)據(jù)點����,來確定所述設(shè)備正在執(zhí)行web爬蟲軟件應(yīng)用;以及 基于所述確定來調(diào)整所述惡意評級以對應(yīng)于所述設(shè)備是惡意的減少的可能性���。
9.根據(jù)權(quán)利要求1-8中任一項所述的方法����,其中基于所述確定�����,來選擇性地管理定向至由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備的并且從所述設(shè)備所接收的所述其他網(wǎng)絡(luò)流量包括: 響應(yīng)于確定所述設(shè)備的所述惡意評級不滿足閾值��,準(zhǔn)許來自所述設(shè)備的所述其他網(wǎng)絡(luò)流量到達由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備���;以及 響應(yīng)于確定所述設(shè)備的所述惡意評級滿足所述閾值,防止所述其他網(wǎng)絡(luò)流量到達由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備��。
10.根據(jù)權(quán)利要求1-9中任一項所述的方法�,其中選擇性地管理所述其他網(wǎng)絡(luò)流量包括,響應(yīng)于確定所述設(shè)備的所述惡意評級滿足閾值��,通過執(zhí)行以下各項中的一項或多項來管理所述其他網(wǎng)絡(luò)流量:扼流所述其他網(wǎng)絡(luò)流量����、從所述其他網(wǎng)絡(luò)流量移除一個或多個用戶輸入值、丟棄所述其他網(wǎng)絡(luò)流量��、以及將所述其他網(wǎng)絡(luò)流量重定向至不同的設(shè)備。
11.根據(jù)權(quán)利要求1-10中任一項所述的方法����,進一步包括: 響應(yīng)于確定所述設(shè)備的所述惡意評級滿足閾值,確定所述設(shè)備是惡意設(shè)備�����; 防止所述網(wǎng)絡(luò)流量到達由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備����;以及 利用所述安全設(shè)備來生成對所述網(wǎng)絡(luò)流量的響應(yīng),所述響應(yīng)包括針對所述設(shè)備的附加數(shù)據(jù)點的請求���。
12.—種設(shè)備,包括: 一個或多個處理器�����; 一個或多個網(wǎng)絡(luò)接口卡�����,用以:從遠程設(shè)備接收定向至由所述設(shè)備所保護的一個或多個計算設(shè)備的網(wǎng)絡(luò)流量��;基于所述網(wǎng)絡(luò)流量的內(nèi)容來確定用于所述設(shè)備的第一集合的數(shù)據(jù)點�,所述第一集合的數(shù)據(jù)點包括在所述遠程設(shè)備處執(zhí)行的軟件應(yīng)用的特性;向所述遠程設(shè)備發(fā)送響應(yīng)以查明用于所述遠程設(shè)備的第二集合的數(shù)據(jù)點����,所述第二集合的數(shù)據(jù)點包括由所述遠程設(shè)備所提供的并且在所述遠程設(shè)備本地的操作環(huán)境的特性;并且從所述遠程設(shè)備接收所述第二集合的數(shù)據(jù)點的至少一部分��;以及 安全模塊����,由所述一個或多個處理器可操作為�,基于所述第二集合的數(shù)據(jù)點的所接收的部分和所述第一集合的數(shù)據(jù)點來確定惡意評級,并且基于所述惡意評級來選擇性地管理定向至由所述安全設(shè)備所保護的所述一個或多個計算設(shè)備的并且從所述遠程設(shè)備所接收的其他網(wǎng)絡(luò)流量�����。
13.根據(jù)權(quán)利要求12所述的設(shè)備����,進一步包括用于執(zhí)行由權(quán)利要求1-11中任一項所記載的所述方法的裝置。
【文檔編號】H04L29/06GK104426906SQ201410393021
【公開日】2015年3月18日 申請日期:2014年8月11日 優(yōu)先權(quán)日:2013年8月30日
【發(fā)明者】O·伊巴圖林, K·亞當(dāng)斯, D·奎因蘭 申請人:瞻博網(wǎng)絡(luò)公司