【技术实现步骤摘要】
使用全球设备指纹识别的攻击检测和防止
本公开内容涉及计算系统,并且更具体地涉及计算系统攻击检测和防止。
技术介绍
网络攻击的数量和复杂性正逐渐增加,特别是针对经营高价值业务的web应用和服务器的那些网络攻击。不安全的应用和服务器能够导致顾客损失、金融损失、名誉损害以及法律冲突。在阻挡来自一组黑客的网络攻击的尝试中,例如,公司可以识别与黑客相关联的互联网协议(IP)地址,并且阻挡通过所识别的IP地址连接该公司的服务器的任何尝试。然而,IP地址不是追踪攻击者身份的可靠方法。攻击者可以使用代理服务器、网络地址转换服务器、或者其他机制来隐藏和/或改变如下的IP地址:该攻击者正在从这些IP地址攻击该公司。
技术实现思路
一般性地,本公开内容描述了用于使用全球攻击者数据库的技术,该数据库利用设备指纹识别来唯一识别被用来攻击公司的数据中心或其他计算机系统的设备。本公开内容的技术使得公司能够具有对攻击设备的知识而不只是它们的IP地址,并且使得该知识能够跨越数据中心快速地散布并且散布到安全服务中,该安全服务能够在由一个或多个组织所使用的云数据中心中被托管。安全设备可以被配置为检测攻击,并且生成每个攻击设备的指纹。该指纹可以包括关于攻击者设备的信息,即使该攻击者设备改变其IP地址、隐藏到代理之后、使用其他匿名化服务、或者以其他方式尝试混淆该攻击者设备的标识,该信息唯一地或者几乎唯一地识别该攻击者设备。一旦生成该指纹,这些安全设备可以将该指纹发送给该安全服务。安全服务可以在该安全设备处本地地被实施,或者在云计算系统中被实施。通过在云计算系统中实施该安全服务,该安全服务可以使用全球数 ...
【技术保护点】
一种方法,包括:由安全设备从一个设备接收指向由所述安全设备所保护的一个或多个计算设备的网络业务;响应于接收到所述网络业务,由所述安全设备向所述设备发送对用于所述设备的多个数据点的请求,其中所述数据点包括与所述设备相关联的特性;由所述安全设备从所述设备接收所请求的多个数据点中的至少一部分;由所述安全设备将所请求的多个数据点中的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较;基于所述比较,确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值;以及响应于确定与所述第一已知攻击者设备相关联的数据点的所述第一相应集合满足所述相似度阈值,由所述安全设备向安全服务发送所述设备的指纹信息,其中所述安全设备是与所述安全服务相关联的多个安全设备之一。
【技术特征摘要】
2013.03.15 US 61/800,243;2013.06.04 US 13/910,0191.一种方法,包括:由安全设备从一个设备接收指向由所述安全设备所保护的一个或多个计算设备的网络业务;将所述网络业务转发给所述一个或多个计算设备;响应于从所述一个或多个计算设备接收到对所述网络业务的响应:由所述安全设备将从所述设备请求多个数据点的代码注入到所述响应中以形成经修改的响应,其中所述多个数据点至少包括所述设备的配置信息;以及由所述安全设备向所述设备发送所述经修改的响应;由所述安全设备从所述设备接收所请求的多个数据点的至少一部分,其中所请求的多个数据点的所述部分包括以下一项或多项:所述设备的用户代理、所述设备的HTTP_ACCEPT头部、所述设备的浏览器插件信息、所述设备的时区信息、所述设备的监测器的屏幕大小、所述设备的监测器的色彩深度、在所述设备处安装的系统字体、或者在所述设备处是否启用了cookie;由所述安全设备将所请求的多个数据点的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较;基于所述比较,确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值;以及基于所述确定,选择性地管理指向由所述安全设备所保护的所述一个或多个计算设备并从所述设备接收的附加网络业务。2.根据权利要求1所述的方法,进一步包括:分析所述网络业务来提取与关于所述设备的一个或多个数据点有关的信息;以及由所述安全设备,从与所述一个或多个数据点有关的所述信息和所请求的多个数据点的所接收部分,来生成用于所述设备的设备指纹,其中所述设备指纹识别所述设备。3.根据权利要求2所述的方法,进一步包括,在确定与所述第一已知攻击者设备相关联的数据点的所述第一相应集合满足所述相似度阈值之前:向安全服务发送所述设备的所述设备指纹;以及从所述安全服务接收所述设备是否是已知攻击者设备的指示;以及基于所述指示,选择性地管理指向由所述安全设备所保护的所述一个或多个计算设备并从所述设备所接收的附加网络业务。4.根据权利要求2所述的方法,进一步包括:由所述安全设备基于从所述设备所接收的所述网络业务,确定所述设备是攻击者设备;以及从所述安全设备向安全服务发送所述设备的所述设备指纹以及所述设备是所述攻击者设备的指示。5.根据权利要求2所述的方法,进一步包括:由所述安全设备从安全服务接收设备指纹信息;将所生成的设备指纹信息与所接收的设备指纹相比较,来确定所述设备是否是攻击者设备;以及基于所述比较,选择性地管理指向由所述安全设备所保护的所述一个或多个计算设备并从所述设备所接收的附加网络业务。6.根据权利要求1所述的方法,其中将所请求的多个数据点的所接收部分和与已知攻击者设备相关联的数据点的相应集合相比较包括:对所请求的多个数据点的所接收部分应用模糊散列算法。7.根据权利要求6所述的方法,进一步包括:基于所述模糊散列算法的所述应用,确定所请求的多个数据点的所接收部分和与第一已知攻击者设备相关联的数据点的所述第一相应集合的不完全匹配满足所述相似度阈值。8.根据权利要求1所述的方法,进一步包括:响应于确定与...
【专利技术属性】
技术研发人员:D·J·奎因兰,K·亚当斯,O·伊巴图林,Y·T·莫拉莱斯,R·W·卡梅伦,B·伯恩斯,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。