【技术实现步骤摘要】
识别计算机网络内的恶意设备
本公开内容涉及计算系统,并且更具体地涉及计算系统攻击检测和预防。
技术介绍
存在着越来越大量和越来越复杂的网络攻击,特别是针对web应用和服务器的那些网络攻击,其涉及高价值流量。不安全的应用和服务器能够导致顾客损失、财政损失、声誉受损和法律冲突。在从一组攻击者中检测网络攻击的尝试中,例如,公司可以使用攻击签名。然而,攻击签名是反应性的,因为它们仅阻挡触发了已有签名的攻击,并且在一些实例中,是在攻击者已经造成了一些损害之后。此外,攻击者可能更改网络流量,使得攻击者的流量不再与签名相匹配,由此使签名失败并且防止安全设备阻挡该攻击。
技术实现思路
一般性地,本公开内容描述了用于主动识别可能的攻击者的技术。在一些示例实施方式中,这些技术通过构造简档来识别可能的攻击者,该简档包括从潜在攻击的设备所采集的设备环境信息以及从自该设备所接收的通信所抽取的头部数据(例如,超文本传输协议(HTTP)头部数据)的组合。例如,本公开内容的技术可以使得安全服务能够将由该安全服务关于该设备的操作环境而采集的环境信息与从该设备所接收的通信中的头部数据相比较。如果该安全服务识别到该环境信息与该头部数据之间的不一致,则该安全服务可以确定该设备是与攻击者相关联的恶意设备。进一步地,该安全服务可以分析该环境信息和头部数据来识别该设备的插件、应用、或者其他特性,以确定这些设备特性中的任何设备特性是否指示恶意设备。在该设备被确定是恶意设备的示例中,安全设备可以管理源自该恶意设备的网络流量。 该安全服务可以本地实施在该安全设备处,或者实施 ...
【技术保护点】
一种方法,包括:由安全设备接收从设备定向至由所述安全设备所保护的一个或多个计算设备的网络流量;基于所述网络流量的内容,来确定用于所述设备的第一集合的数据点,所述第一集合的数据点包括在所述设备处执行的软件应用的特性;由所述安全设备向所述设备发送响应以查明用于所述设备的第二集合的数据点,所述第二集合的数据点包括由所述设备所提供的并且在所述设备本地的操作环境的特性;由所述安全设备并且从所述设备接收所述第二集合的数据点的至少一部分;基于所述第二集合的数据点的所接收的部分以及所述第一集合的数据点,来确定恶意评级;以及基于所述恶意评级,来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的其他网络流量。
【技术特征摘要】
2013.08.30 US 14/014,5371.一种方法,包括: 由安全设备接收从设备定向至由所述安全设备所保护的一个或多个计算设备的网络流量; 基于所述网络流量的内容,来确定用于所述设备的第一集合的数据点,所述第一集合的数据点包括在所述设备处执行的软件应用的特性; 由所述安全设备向所述设备发送响应以查明用于所述设备的第二集合的数据点,所述第二集合的数据点包括由所述设备所提供的并且在所述设备本地的操作环境的特性;由所述安全设备并且从所述设备接收所述第二集合的数据点的至少一部分; 基于所述第二集合的数据点的所接收的部分以及所述第一集合的数据点,来确定恶意评级;以及 基于所述恶意评级,来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的其他网络流量。2.根据权利要求1所述的方法,其中从所述一个或多个计算设备中的至少一个计算设备接收所述响应,所述方法进一步包括: 在发送所述响应之前,向所述响应中注入用于查明所述第二集合的数据点的代码,其中响应于所述网络流量而从所述一个或多个计算设备中的至少一个计算设备接收所述响应。3.根据权利要求1-2中任一项所述的方法,其中确定所述恶意评级包括: 由所述安全设备通过至少将所述设备的所述第一集合的数据点中的至少一个数据点与所述第二集合的数据点的所接收的部分中的至少一个数据点相比较,来生成所述恶意评级。4.根据权利要求1-3中任一项所述的方法,其中确定所述恶意评级包括: 基于所述第二集合的数据点的所接收的部分和所述第一集合的数据点,来生成用于所述设备的简档; 向安全服务发送所述设备的所述简档; 从所述安全服务接收所述设备是否是恶意设备的指示;以及 基于所述指示,来选择性地管理定向至由所述安全设备所保护的所述一个或多个计算设备的并且从所述设备所接收的所述其他网络流量。5.根据权利要求1-4中任一项所述的方法,其中确定所述恶意评级包括: 基于所述第二集合的数据点的所接收的部分,来识别一个或多个插件; 确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点是否包括不一致的信息; 响应于确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点包括不一致的信息,基于所述一个或多个插件和所述不一致的信息,来生成指示所述设备是恶意的增加的可能性的所述恶意评级;以及 响应于确定所述第二集合的数据点的所接收的部分和所述第一集合的数据点包括一致的信息,基于所述一个或多个插件和所述一致的信息,来生成指示所述设备是恶意的减少的可能性的所述恶意评级。6.根据权利要求1-5中任一项所述的方法,其中确定所述恶意评级包括: 基于所述第二集合的数据点的所接收的部分,来确定安装在所述设备处的至少一个插件是否是恶意插件; 响应于确定至少一个插件是恶意插件,调整所述恶意评级以对应于所...
【专利技术属性】
技术研发人员:O·伊巴图林,K·亚当斯,D·奎因兰,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。