识别计算机网络内的恶意设备制造技术

本发明专利技术描述了用于基于设备的简档来主动地识别可能攻击者的技术。例如，一种设备包括一个或多个处理器和网络接口卡，这些网络接口卡用以从远程设备接收定向至由该设备所保护的一个或多个计算设备的网络流量，基于该网络流量的内容来确定用于该设备的第一集合的数据点，向该远程设备发送响应以查明用于该设备的第二集合的数据点，并且从该远程设备接收该第二集合的数据点的至少一部分。该设备还包括安全模块，该安全模块由这些处理器可操作为确定恶意评级，并且基于该恶意评级来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该远程设备所接收的其他网络流量。

【技术实现步骤摘要】
识别计算机网络内的恶意设备
本公开内容涉及计算系统，并且更具体地涉及计算系统攻击检测和预防。
技术介绍
存在着越来越大量和越来越复杂的网络攻击，特别是针对web应用和服务器的那些网络攻击，其涉及高价值流量。不安全的应用和服务器能够导致顾客损失、财政损失、声誉受损和法律冲突。在从一组攻击者中检测网络攻击的尝试中，例如，公司可以使用攻击签名。然而，攻击签名是反应性的，因为它们仅阻挡触发了已有签名的攻击，并且在一些实例中，是在攻击者已经造成了一些损害之后。此外，攻击者可能更改网络流量，使得攻击者的流量不再与签名相匹配，由此使签名失败并且防止安全设备阻挡该攻击。
技术实现思路
一般性地，本公开内容描述了用于主动识别可能的攻击者的技术。在一些示例实施方式中，这些技术通过构造简档来识别可能的攻击者，该简档包括从潜在攻击的设备所采集的设备环境信息以及从自该设备所接收的通信所抽取的头部数据(例如，超文本传输协议(HTTP)头部数据)的组合。例如，本公开内容的技术可以使得安全服务能够将由该安全服务关于该设备的操作环境而采集的环境信息与从该设备所接收的通信中的头部数据相比较。如果该安全服务识别到该环境信息与该头部数据之间的不一致，则该安全服务可以确定该设备是与攻击者相关联的恶意设备。进一步地，该安全服务可以分析该环境信息和头部数据来识别该设备的插件、应用、或者其他特性，以确定这些设备特性中的任何设备特性是否指示恶意设备。在该设备被确定是恶意设备的示例中，安全设备可以管理源自该恶意设备的网络流量。 该安全服务可以本地实施在该安全设备处，或者实施在云计算系统中。通过将该安全服务实施在云计算系统中，该安全服务可以使用全局数据库来从多个不同的公司聚集关于攻击者设备的信息，以提供用于攻击者和威胁信息的集合点(consolidat1n point)。该安全服务然后可以将所获知的攻击者设备信息传播给网络中的其他安全设备。以这种方式，攻击者设备特性的全局数据库可以被生成并且跨安全设备而分布，使得这些安全设备能够识别并且缓解由攻击者设备所发起的攻击，即使这些攻击者设备以前从未攻击过由该特定安全设备所保护的资源。 在一个示例中，一种方法包括:由安全设备并且从一个设备接收定向至由该安全设备所保护的一个或多个计算设备的网络流量；基于该网络流量的内容，来确定用于该设备的第一集合的数据点，该第一集合的数据点包括在该设备处执行的软件应用的特性；并且由该安全设备向该设备发送响应以查明用于该设备的第二集合的数据点，该第二集合的数据点包括由该设备所提供的并且在该设备本地的操作环境的特性。该方法还可以包括:由该安全设备并且从该设备接收该第二集合的数据点的至少一部分；基于该第二集合的数据点的所接收的部分和该第一集合的数据点，来确定恶意评级；以及基于该恶意评级，来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该设备所接收的其他网络流量。 在另一个示例中，一种设备包括一个或多个处理器、一个或多个网络接口卡、以及安全模块。该一个或多个网络接口卡从远程设备接收定向至由该设备所保护的一个或多个计算设备的网络流量；基于该网络流量的内容，来确定用于该设备的第一集合的数据点，该第一集合的数据点包括在该远程设备处执行的软件应用的特性；向该远程设备发送响应以查明用于该远程设备的第二集合的数据点，该第二集合的数据点包括由该远程设备所提供的并且在该远程设备本地的操作环境的特性；并且从该远程设备接收该第二集合的数据点的至少一部分。该安全模块由该一个或多个处理器可操作为:基于该第二集合的数据点的所接收的部分和该第一集合的数据点，来确定恶意评级；并且基于该恶意评级，来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该远程设备所接收的其他网络流量。 在另一个示例中，利用指令来编码计算机可读存储介质。这些指令促使一个或多个可编程处理器从一个设备接收定向至由安全设备所保护的一个或多个计算设备的网络流量；基于该网络流量的内容，来确定用于该设备的第一集合的数据点，该第一集合的数据点包括在该设备处执行的软件应用的特性；并且向该设备发送响应以查明用于该设备的第二集合的数据点，该第二集合的数据点包括由该设备所提供的并且在该设备本地的操作环境的特性。这些指令进一步促使该一个或多个可编程处理器从该设备接收该第二集合的数据点的至少一部分；基于该第二集合的数据点的所接收的部分和该第一集合的数据点，来确定恶意评级；并且基于该恶意评级，来选择性地管理定向至由该安全设备所保护的该一个或多个计算设备的并且从该设备所接收的其他网络流量。 在下面随附的附图和描述中阐述了一个或多个实施例的细节。根据该描述和附图并且根据权利要求，其他特征、目的、以及优点将是明显的。 【附图说明】 图1是图示了根据本公开内容的一个或多个方面的示例恶意设备识别网络系统的框图。 图2是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的示例安全设备的框图。 图3是图示了根据本公开内容的一个或多个方面的用于合并恶意设备信息的示例安全服务服务器的框图。 图4是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的示例过程的流程图。 图5是图示了根据本公开内容的一个或多个方面的用于识别恶意设备的另一个示例过程的流程图。 【具体实施方式】 图1是图示了根据本公开内容的一个或多个方面的示例恶意设备识别网络系统2的框图。如图1中所示出的，网络系统2包括计算设备10、代理服务器12、目标网络14、以及安全服务16。计算设备10是可以被用来攻击目标网络或数据中心的网络资源的计算设备的一个示例。在一些示例中，计算设备10是移动台、膝上型计算机、台式计算机、或服务器计算系统，或者可以包括多个计算设备。例如，计算设备10可以是攻击者对其具有控制的一组计算设备(例如，因为该攻击者先前劫持了那些计算设备)。在一些示例中，计算设备10是由一个或多个计算设备所执行的虚拟机或者软件应用(例如，web浏览器、攻击者工具、脚本、等等)。 计算设备10可能尝试直接地或者通过代理服务器(诸如代理服务器12)连接至目标网络14。代理服务器12可能通过例如使得由计算设备10所生成的网络流量看起来像该网络流量是在代理服务器12处起源的，而混淆与计算设备10相关联的IP地址。通过混淆计算设备10的IP地址，通常的安全器具可能允许该攻击的网络流量进入目标网络，因为该攻击的网络流量不再匹配先前被配置为阻挡来自计算设备10的网络流量的规则。对照地，根据本公开内容的技术所配置的安全设备20，可以继续阻挡来自计算设备10的网络流量，即使计算设备10利用代理服务器12用于网络攻击。 目标网络14可以包括用于提供web应用的一个或多个服务器(诸如应用服务器22)以及安全设备(诸如安全设备20)。目标网络14可以包括另外的网络设备，诸如防火墙、路由器、交换机、服务节点、等等(未示出)。应用服务器22是为用户提供web应用的web应用服务器的示例。在一些示例中，应用服务器22可以被配置为集群、被配置为分布式计算系统、或者被配置为其他冗余的和/或负载均衡的配置。安全设备20是一种网络设备，该网络设备本文档来自技高网...

【技术保护点】
一种方法，包括：由安全设备接收从设备定向至由所述安全设备所保护的一个或多个计算设备的网络流量；基于所述网络流量的内容，来确定用于所述设备的第一集合的数据点，所述第一集合的数据点包括在所述设备处执行的软件应用的特性；由所述安全设备向所述设备发送响应以查明用于所述设备的第二集合的数据点，所述第二集合的数据点包括由所述设备所提供的并且在所述设备本地的操作环境的特性；由所述安全设备并且从所述设备接收所述第二集合的数据点的至少一部分；基于所述第二集合的数据点的所接收的部分以及所述第一集合的数据点，来确定恶意评级；以及基于所述恶意评级，来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的其他网络流量。

【技术特征摘要】
2013.08.30 US 14/014,5371.一种方法，包括: 由安全设备接收从设备定向至由所述安全设备所保护的一个或多个计算设备的网络流量； 基于所述网络流量的内容，来确定用于所述设备的第一集合的数据点，所述第一集合的数据点包括在所述设备处执行的软件应用的特性； 由所述安全设备向所述设备发送响应以查明用于所述设备的第二集合的数据点，所述第二集合的数据点包括由所述设备所提供的并且在所述设备本地的操作环境的特性；由所述安全设备并且从所述设备接收所述第二集合的数据点的至少一部分； 基于所述第二集合的数据点的所接收的部分以及所述第一集合的数据点，来确定恶意评级；以及 基于所述恶意评级，来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的其他网络流量。2.根据权利要求1所述的方法，其中从所述一个或多个计算设备中的至少一个计算设备接收所述响应，所述方法进一步包括: 在发送所述响应之前，向所述响应中注入用于查明所述第二集合的数据点的代码，其中响应于所述网络流量而从所述一个或多个计算设备中的至少一个计算设备接收所述响应。3.根据权利要求1-2中任一项所述的方法，其中确定所述恶意评级包括: 由所述安全设备通过至少将所述设备的所述第一集合的数据点中的至少一个数据点与所述第二集合的数据点的所接收的部分中的至少一个数据点相比较，来生成所述恶意评级。4.根据权利要求1-3中任一项所述的方法，其中确定所述恶意评级包括: 基于所述第二集合的数据点的所接收的部分和所述第一集合的数据点，来生成用于所述设备的简档； 向安全服务发送所述设备的所述简档； 从所述安全服务接收所述设备是否是恶意设备的指示；以及 基于所述指示，来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的所述其他网络流量。5.根据权利要求1-4中任一项所述的方法，其中确定所述恶意评级包括: 基于所述第二集合的数据点的所接收的部分，来识别一个或多个插件； 确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点是否包括不一致的信息； 响应于确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点包括不一致的信息，基于所述一个或多个插件和所述不一致的信息，来生成指示所述设备是恶意的增加的可能性的所述恶意评级；以及 响应于确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点包括一致的信息，基于所述一个或多个插件和所述一致的信息，来生成指示所述设备是恶意的减少的可能性的所述恶意评级。6.根据权利要求1-5中任一项所述的方法，其中确定所述恶意评级包括: 基于所述第二集合的数据点的所接收的部分，来确定安装在所述设备处的至少一个插件是否是恶意插件； 响应于确定至少一个插件是恶意插件，调整所述恶意评级以对应于所...

【专利技术属性】
技术研发人员：O·伊巴图林，K·亚当斯，D·奎因兰，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US