使用全球设备指纹识别的攻击检测和防止制造技术

本公开内容描述了利用设备指纹识别来唯一地识别设备的全球攻击者数据库。例如，一种设备包括一个或多个处理器和网络接口卡，该一个或多个网络接口卡接收指向由该设备所保护的一个或多个计算设备的网络业务；向远程设备发送对该远程设备的多个数据点的请求，其中这些数据点包括与该远程设备相关联的特性；以及接收所请求的多个数据点的至少一部分。该设备还包括指纹模块，该指纹模块将这些数据点的所接收部分和与已知攻击者设备相关联的数据点的集合相比较；并且基于该比较，确定第一已知攻击者设备的数据点的第一集合是否满足相似度阈值。该设备还包括安全模块，该安全模块基于该确定来选择性地管理指向这些计算设备的附加网络业务。

【技术实现步骤摘要】
使用全球设备指纹识别的攻击检测和防止
本公开内容涉及计算系统，并且更具体地涉及计算系统攻击检测和防止。
技术介绍
网络攻击的数量和复杂性正逐渐增加，特别是针对经营高价值业务的web应用和服务器的那些网络攻击。不安全的应用和服务器能够导致顾客损失、金融损失、名誉损害以及法律冲突。在阻挡来自一组黑客的网络攻击的尝试中，例如，公司可以识别与黑客相关联的互联网协议(IP)地址，并且阻挡通过所识别的IP地址连接该公司的服务器的任何尝试。然而，IP地址不是追踪攻击者身份的可靠方法。攻击者可以使用代理服务器、网络地址转换服务器、或者其他机制来隐藏和/或改变如下的IP地址：该攻击者正在从这些IP地址攻击该公司。
技术实现思路
一般性地，本公开内容描述了用于使用全球攻击者数据库的技术，该数据库利用设备指纹识别来唯一识别被用来攻击公司的数据中心或其他计算机系统的设备。本公开内容的技术使得公司能够具有对攻击设备的知识而不只是它们的IP地址，并且使得该知识能够跨越数据中心快速地散布并且散布到安全服务中，该安全服务能够在由一个或多个组织所使用的云数据中心中被托管。安全设备可以被配置为检测攻击，并且生成每个攻击设备的指纹。该指纹可以包括关于攻击者设备的信息，即使该攻击者设备改变其IP地址、隐藏到代理之后、使用其他匿名化服务、或者以其他方式尝试混淆该攻击者设备的标识，该信息唯一地或者几乎唯一地识别该攻击者设备。一旦生成该指纹，这些安全设备可以将该指纹发送给该安全服务。安全服务可以在该安全设备处本地地被实施，或者在云计算系统中被实施。通过在云计算系统中实施该安全服务，该安全服务可以使用全球数据库从多个不同的公司聚集关于攻击者设备的信息(包括指纹)，以提供针对攻击者和威胁信息的整合点(consolidationpoint)。该安全服务可以然后将所了解的攻击者设备信息传播到网络中的其他安全设备。以这种方式，攻击者设备指纹的全球数据库可以被生成并且跨越安全设备被分发，从而即使这些攻击者设备之前从未攻击过由该特定安全设备所保护的资源，这些安全设备也能够识别并且减轻由攻击者设备所发起的攻击。在一个示例中，一种方法包括：由安全设备从一个设备接收指向由该安全设备所保护的一个或多个计算设备的网络业务；响应于接收到该网络业务，由该安全设备向该设备发送对用于该设备的多个数据点的请求，其中这些数据点包括与该设备相关联的特性；并且由该安全设备从该设备接收所请求的多个数据点的至少一部分。该方法还可以包括：由该安全设备将所请求的多个数据点的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较；基于该比较，确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值；并且基于该确定，选择性地管理指向由该安全设备所保护的该一个或多个计算设备并且从该设备所接收的附加网络业务。在另一个示例中，一种设备包括：一个或多个处理器、一个或多个网络接口卡、指纹模块、以及安全模块。该一个或多个网络接口卡从远程设备接收指向由该设备所保护的一个或多个计算设备的网络业务；响应于接收到该网络业务，向该远程设备发送对该远程设备的多个数据点的请求，其中这些数据点包括与该远程设备相关联的特性；并且从该远程设备接收所请求的多个数据点的至少一部分。该指纹模块由该一个或多个处理器可操作为：将所请求的多个数据点的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较；并且基于该比较，确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值。该安全模块由该一个或多个处理器可操作为：基于该确定，选择性地管理指向由该安全设备所保护的一个或多个计算设备并且从该设备所接收的附加网络业务。在另一个示例中，采用指令对计算机可读存储介质编码。这些指令促使一个或多个可编程处理器：从一个设备接收指向由安全设备所保护的一个或多个计算设备的网络业务；响应于接收到该网络业务，向该设备发送对用于该设备的多个数据点的请求，其中这些数据点包括与该设备相关联的特性；并且从该设备接收所请求的多个数据点的至少一部分。这些指令进一步促使该一个或多个可编程处理器：将所请求的多个数据点的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较；基于该比较，确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值；并且基于该确定，选择性地管理指向由该安全设备所保护的一个或多个计算设备并且从该设备所接收的附加网络业务。在另一个示例中，一种方法包括：利用安全系统从多个安全设备中的第一安全设备接收与一个设备相关联的设备指纹信息；利用该安全系统并且基于所接收的设备指纹信息，确定该设备是否是已知攻击者设备；并且响应于确定该设备是已知攻击者设备，由该安全系统将该设备指纹信息发送给该多个安全设备中的其他安全设备。在附图和下文的描述中阐述了一个或多个实施例的细节。从该描述和附图以及从权利要求，其他特征、目的、以及优点将是明显的。附图说明图1是根据本公开内容的一个或多个方面的图示了示例全球设备指纹网络系统的框图。图2是根据本公开内容的一个或多个方面的图示了用于对攻击者设备指纹识别的示例安全设备的框图。图3是根据本公开内容的一个或多个方面的图示了用于整合攻击者设备指纹的示例安全服务服务器的框图。图4是根据本公开内容的一个或多个方面的图示了用于对攻击者设备指纹识别的示例过程的流程图。图5是图示了用于利用中央安全服务来维护全球设备指纹识别的示例过程的流程图。具体实施方式图1是根据本公开内容的一个或多个方面的图示了示例全球设备指纹识别网络系统2的框图。如图1中所示出的，网络系统2包括攻击者设备10、代理服务器12、目标网络14A-14B、以及安全服务16。攻击者设备10是可以被用来攻击目标网络或数据中心的网络资源的计算设备的一个示例。在一些示例中，攻击者设备10是移动计算系统、膝上计算系统、台式计算系统、或者服务器计算系统，或者可以包括多个计算设备。例如，攻击者设备10可以是攻击者对其具有控制的一组计算设备(例如，因为该攻击者先前劫持了那些计算设备)。在一些示例中，攻击者设备10是虚拟机或者由一个或多个计算设备所执行的软件应用(例如，web浏览器、攻击者工具、脚本等)。攻击者设备10可能尝试直接地或者通过代理服务器(诸如代理服务器12)连接至目标网络14A、14B中的一个或多个目标网络。代理服务器12可以通过例如使得由攻击者设备10所生成的网络业务好像该网络业务在代理服务器12处起源，来混淆与攻击者设备10相关联的IP地址。通过混淆攻击者设备10的IP地址，典型的安全装置可能允许该攻击网络业务进入该目标网络，因为该攻击网络业务不再匹配先前被配置为阻挡来自攻击者设备10的网络业务的规则。相比之下，即使攻击者设备10利用代理服务器12用于网络攻击，根据本公开内容的技术所配置的安全设备20A、20B可以继续阻挡来自攻击者设备10的网络业务。目标网络14A、14B(共同被称为“目标网络14”)中的每个目标网络可以包括用于提供web应用的一个或多个服务器(诸如应用服务器22A)以及安全设备(诸如安全设备20A)。每个目标网络14可以包括附加网络设备，诸如防火墙、路由器、交换器、服务节点等(未示本文档来自技高网...

【技术保护点】
一种方法，包括：由安全设备从一个设备接收指向由所述安全设备所保护的一个或多个计算设备的网络业务；响应于接收到所述网络业务，由所述安全设备向所述设备发送对用于所述设备的多个数据点的请求，其中所述数据点包括与所述设备相关联的特性；由所述安全设备从所述设备接收所请求的多个数据点中的至少一部分；由所述安全设备将所请求的多个数据点中的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较；基于所述比较，确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值；以及响应于确定与所述第一已知攻击者设备相关联的数据点的所述第一相应集合满足所述相似度阈值，由所述安全设备向安全服务发送所述设备的指纹信息，其中所述安全设备是与所述安全服务相关联的多个安全设备之一。

【技术特征摘要】
2013.03.15 US 61/800,243;2013.06.04 US 13/910,0191.一种方法，包括：由安全设备从一个设备接收指向由所述安全设备所保护的一个或多个计算设备的网络业务；将所述网络业务转发给所述一个或多个计算设备；响应于从所述一个或多个计算设备接收到对所述网络业务的响应：由所述安全设备将从所述设备请求多个数据点的代码注入到所述响应中以形成经修改的响应，其中所述多个数据点至少包括所述设备的配置信息；以及由所述安全设备向所述设备发送所述经修改的响应；由所述安全设备从所述设备接收所请求的多个数据点的至少一部分，其中所请求的多个数据点的所述部分包括以下一项或多项：所述设备的用户代理、所述设备的HTTP_ACCEPT头部、所述设备的浏览器插件信息、所述设备的时区信息、所述设备的监测器的屏幕大小、所述设备的监测器的色彩深度、在所述设备处安装的系统字体、或者在所述设备处是否启用了cookie；由所述安全设备将所请求的多个数据点的所接收部分和与一个或多个已知攻击者设备相关联的数据点的相应集合相比较；基于所述比较，确定与第一已知攻击者设备相关联的数据点的第一相应集合是否满足相似度阈值；以及基于所述确定，选择性地管理指向由所述安全设备所保护的所述一个或多个计算设备并从所述设备接收的附加网络业务。2.根据权利要求1所述的方法，进一步包括：分析所述网络业务来提取与关于所述设备的一个或多个数据点有关的信息；以及由所述安全设备，从与所述一个或多个数据点有关的所述信息和所请求的多个数据点的所接收部分，来生成用于所述设备的设备指纹，其中所述设备指纹识别所述设备。3.根据权利要求2所述的方法，进一步包括，在确定与所述第一已知攻击者设备相关联的数据点的所述第一相应集合满足所述相似度阈值之前：向安全服务发送所述设备的所述设备指纹；以及从所述安全服务接收所述设备是否是已知攻击者设备的指示；以及基于所述指示，选择性地管理指向由所述安全设备所保护的所述一个或多个计算设备并从所述设备所接收的附加网络业务。4.根据权利要求2所述的方法，进一步包括：由所述安全设备基于从所述设备所接收的所述网络业务，确定所述设备是攻击者设备；以及从所述安全设备向安全服务发送所述设备的所述设备指纹以及所述设备是所述攻击者设备的指示。5.根据权利要求2所述的方法，进一步包括：由所述安全设备从安全服务接收设备指纹信息；将所生成的设备指纹信息与所接收的设备指纹相比较，来确定所述设备是否是攻击者设备；以及基于所述比较，选择性地管理指向由所述安全设备所保护的所述一个或多个计算设备并从所述设备所接收的附加网络业务。6.根据权利要求1所述的方法，其中将所请求的多个数据点的所接收部分和与已知攻击者设备相关联的数据点的相应集合相比较包括：对所请求的多个数据点的所接收部分应用模糊散列算法。7.根据权利要求6所述的方法，进一步包括：基于所述模糊散列算法的所述应用，确定所请求的多个数据点的所接收部分和与第一已知攻击者设备相关联的数据点的所述第一相应集合的不完全匹配满足所述相似度阈值。8.根据权利要求1所述的方法，进一步包括：响应于确定与...

【专利技术属性】
技术研发人员：D·J·奎因兰，K·亚当斯，O·伊巴图林，Y·T·莫拉莱斯，R·W·卡梅伦，B·伯恩斯，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US