用于跟踪和阻挡恶意因特网主机的分布式系统和方法技术方案

公开跨越多个网络设备(例如，网关)执行诸如因特网协议(IP)地址等的源地址的协调阻挡的系统和方法。在一个所公开的实施例中，本方法和系统临时地变更一个或多个网络设备的配置(基于用户定义的配置参数)以便在一段时间内允许来自“已阻挡的”IP地址的通信。然后，网络设备可以“接收”电子邮件且执行分析，并把分析的结果提供给信誉服务。由此，可以使用临时地允许的通信来了解关于威胁的信息，如果在网络设备处已经实际上阻挡了来自该IP地址的所有通信，则无法获得该威胁。

Distributed system and method for tracking and blocking malicious Internet hosts

Systems and methods for publicly implementing coordinated blocking of source addresses such as Internet Protocol (IP) addresses, etc., across a plurality of network devices (e.g., gateways). In a disclosed embodiment, the method and the system of temporary changes in one or more network device configuration (configuration parameters based on the user defined) to allow communication from the \barrier\ IP address in a period of time. Then, the network device can receive e-mail and perform analysis and provide the results of the analysis to the credit service. As a result, information about threats can be learned by temporarily allowing communication, and the threat cannot be achieved if the network device has virtually blocked all communications from the IP address.

【技术实现步骤摘要】
用于跟踪和阻挡恶意因特网主机的分布式系统和方法本申请是PCT国际申请号为PCT/US2012/058687、国际申请日为2012年10月4日、中国国家申请号为201280049251.8、题为“用于跟踪和阻挡恶意因特网主机的分布式系统和方法”的申请的分案申请。本公开的领域本公开一般地涉及信誉服务的领域，信誉服务影响个体网络设备(网关)，以便控制它是否应当阻挡特定的源通信(例如，具有特定因特网协议(IP)地址的源)，同时仍然保护终端用户免遭已标识的威胁。更具体地，但不作为限制，本公开涉及(基于用户定义的配置参数)临时地变更一个或多个网络设备的配置以便在一段时间内允许来自“已阻挡的”IP地址的通信的系统和方法。可以使用临时允许的通信来了解关于威胁的信息，如果实际上在网络设备处阻挡来自该IP地址的所有通信，则不可能有该威胁。背景当前，电子邮件和Web安全(EWS)设备可以被配置为在检测到某种形式的威胁时在可配置的时间量(例如10分钟)内阻挡因特网协议(IP)源地址。用于判断总体威胁的集中式系统和方法(例如，由加利福利亚州圣克拉拉市的迈克菲(McAfee)公司提供的全球威胁情报(GTI)系统)使用接收到的电子邮件(不是在终端用户处而是在执行分析的处理器处)来生成电子邮件的指纹。这些指纹可以由GTI用来获得任何一个时刻穿越因特网的威胁的精确图像。然而，如果在所有网络设备(有时被称为网关)处完全阻挡IP地址，则设备不能接收来自该IP地址的电子邮件且因此不能对要发送给GTI的数据提取指纹。此外，当前所有网络设备独立地工作，且可以全部都阻挡相同的IP地址。结果，不能有效地对新威胁提取指纹，且GTI可能缺乏数据，这可能减少GTI的有效性。当前不存在以协调方式具体地指示个体设备是否阻挡IP地址的已知现有技术解决方案。当前的集中式解决方案对所有网关设备提供相同的响应，且使得个体网关的配置判断是否应当阻该IP。这种模型的一个问题是TrustedSourceTM和GTI两者都不能接收到关于潜在威胁的足够信息(TrustedSource是McAfee公司的商标)。为了解决这些和其他问题，公开以下方法和系统，该方法和系统为网络设备提供集中式管理系统，使得可以以协调方式指示不同的网络设备临时地改变它们的配置，从特定的IP地址收集信息，然后恢复它们先前配置的阻挡功能。附图简述图1是示出根据一种实施例的网络架构的框图。图2是其上可以安装根据一种实施例的软件的计算机的框图。图3是根据一种实施例的全球威胁情报(GTI)云的框图。图4A是示出用于在个体网关处阻挡IP地址的现有技术的流程图。图4B是示出根据一个公开的实施例的用于协调阻挡IP地址的技术的流程图。图5是示出经由被配置为利用图4B的技术执行协调阻挡的多个网络设备连接到因特网的多个网络的框图。详细描述下面详细描述的各种实施例提供用于对来自已标识的IP地址的电子邮件消息执行集中式和协调的分析的技术。即使本公开具体地引用了“IP”地址，但本公开的概念不限于IP的任何具体版本(例如，IPv4、IPv6等等)，且也可以适用于其他网络技术和协议。为了清晰起见而使用对IP地址的引用，例如“已阻挡的”IP地址。对IP地址的特定引用也可以被认为是包括任何发起源地址或其他类型的关于潜在恶意内容的“发源名称”。所公开的实施例的实现可以把资源的“云”用于集中式管理和分析。与云交互的个体站点或内部网络不需要考虑云中的资源的内部结构，且可以以协调方式参与，以便探知因特网上的潜在危险的“流氓主机”的更全面的观点。如果该分析标识对关于已阻挡的IP地址的进一步信息的需求，则资源(例如，网络设备)可以是临时地被(重新)配置为使得它不在100％的时间都阻挡可疑IP地址，且因而允许进一步收集信息以便增强潜在的威胁集合观点。为了本公开的简单和清晰起见，主要针对从具体源主机去往具体接受方的电子邮件公开实施例。然而，可以类似地在满足用户的请求之前阻挡用户对web页面或内容(例如可执行程序的下载)的请求。在这两种说明性情况中，可以保护内部网络远离可以被认为是在给定内部网络的风险容忍度之外的对象。图1示出根据一种实施例的网络架构100。如图所示，提供了多个网络102。在本网络架构100的上下文中，网络102均可以采取任何形式，包括但不限于局域网(LAN)、无线网络、广域网(WAN)(例如因特网)等等。耦合到网络102的是数据服务器计算机104，它能够在网络102上通信。也耦合到网络102和数据服务器计算机104的是多个终端用户计算机106。这样的数据服务器计算机104和/或客户端计算机106均可以包括台式计算机、膝上型计算机、手持式计算机、移动电话、手持式计算机、外围设备(例如打印机等等)、计算机的任何组件和/或任何其他类型的逻辑。为了促进在网络102当中的通信，可选地在其间耦合至少一个网关或路由器108。现在参见图2，以框图形式示出根据一种实施例用于提供拒绝连接的协调技术的示例处理设备200。处理设备200可以充当网关或路由器108、客户端计算机106或服务器计算机104。示例处理设备200包括系统单元210，系统单元210可以可选地连接到系统260的输入设备(例如，键盘、鼠标、触摸屏等等)和显示器270。系统单元210中包括了程序存储设备(PSD)280(有时称为硬盘或计算机可读介质)。系统单元210还包括网络接口240，网络接口240用于经由网络与其他计算和企业基础设施设备(未示出)通信。网络接口240可以被包括在系统单元210之内或系统单元210之外。在任一种情况中，系统单元210通信地耦合到网络接口240。程序存储设备280表示任何形式的非易失性存储，包括但不限于所有形式的光和磁(包括固态)存储元件，包括可移动介质，且可以被包括在系统单元210之内或系统单元210之外。程序存储设备280可以用于存储控制系统单元210的软件、由处理设备200使用的数据或两者。系统单元210可以被编程为执行根据本公开的方法(其示例如图4B所示)。系统单元210包括处理器单元(PU)220、输入-输出(I/O)接口250和存储器230。处理单元220可以包括任何可编程控制器设备，例如包括大型机处理器，或来自英特尔公司的和处理器系列以及来自ARM的Cortex和ARM处理器系列的一个或多个成员。(英特尔、INTELATOM、CORE、PENTIUM和CELERON是英特尔公司的注册商标。CORTEX是ARM有限公司的注册商标。ARM是ARM有限公司的注册商标。)存储器230可以包括一个或多个存储器模块，且包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可编程读写存储器和固态存储器。PU220也可以包括一些内部存储器，例如包括高速缓存存储器。处理设备200上可以驻留任何期望的操作系统。各实施例可以使用任何期望的编程语言来实现，且可以被实现为一个或多个可执行程序，该可执行程序可以链接到外部可执行例程库，该外部可执行例程库可以由协调IP阻挡软件的提供商、操作系统的提供商或任何其他期望的合适库例程的提供商提供。在准备在处理设备200上执行所公开的实施例时，可以提供在把处理设备200配置为执行所公开的实施例本文档来自技高网...

【技术保护点】
一种计算机系统，所述计算机系统被配置为有利于协调源阻挡，所述计算机系统包括通信上相互耦合的一个或多个处理器，其中，所述一个或多个处理器共同地被配置为：接收来自第一网关的信息，所述信息涉及来自源地址的网络数据传送；基于所接收的信息确定评分；判断参与状态，所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡；准备第一响应消息以便传送到所述第一网关，所述第一响应消息包括所述评分的指示；当所述参与状态为为肯定时，将所述第一响应消息增加成包括第一阻挡请求指示符，其中所述第一阻挡请求指示符包括请求所述第一网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息；发起所述第一响应消息向所述第一网关的传送。

【技术特征摘要】
2011.10.05 US 13/253,2661.一种计算机系统，所述计算机系统被配置为有利于协调源阻挡，所述计算机系统包括通信上相互耦合的一个或多个处理器，其中，所述一个或多个处理器共同地被配置为：接收来自第一网关的信息，所述信息涉及来自源地址的网络数据传送；基于所接收的信息确定评分；判断参与状态，所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡；准备第一响应消息以便传送到所述第一网关，所述第一响应消息包括所述评分的指示；当所述参与状态为为肯定时，将所述第一响应消息增加成包括第一阻挡请求指示符，其中所述第一阻挡请求指示符包括请求所述第一网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息；发起所述第一响应消息向所述第一网关的传送。2.如权利要求1所述的计算机系统，其特征在于，只有在所述参与状态指示参与所述协调源阻挡时，所述第一响应消息才包括阻挡请求指示符。3.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述一个或多个处理器被进一步共同地被配置为：当所述参与状态指示所述第一网关不参与所述协调源阻挡时，准备第二响应消息以便传送到所述第二网关，所述第二响应消息包括第二阻挡请求指示符，其中所述第二阻挡请求指示符包括请求所述第二网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息。4.如权利要求3所述的计算机系统，其特征在于，不管所述第二网关是否接收到来自源地址的传送，所述第二消息都被发送到所述第二网关。5.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述网络数据传送包括电子邮件消息、下载对象、通用资源定位符、即时消息、文件传输协议传送、超文本传输协议传送、因特网协议语音传送或其组合。6.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述网络数据传送的协议包括因特网协议第4版或因特网协议第6版。7.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述源地址包括因特网协议地址、域名、通用资源定位符、主机名或其组合。8.如权利要求1-2中任一项所述的计算机系统，其特征在于，从所述第一网关接收到的所述信息包括所述网络数据传送的至少一部分的指纹。9.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于第二网关相对于所述源地址的阻挡状态。10.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于与所述网络数据传送的所述源地址相关联的网络活动。11.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于所述第一网关的配置信息。12.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于所确定的评分。13.如权利要求1-2中任一项所述的计算机系统，其特征在于，所述计算机系统包括云资源。14.一种计算机系统，所述计算机系统被配置为有利于协调源阻挡，所述计算机系统包括用于接收来自第一网关的信息，所述信息涉及来自源地址的网络数据传送的装置；用于基于所接收的信息确定评分的装置；用于判断参与状态，所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡的装置；用于准备第一响应消息以便传送到所述第一网关的装置，所述第一响应消息包括所述评分的指示；用于当所述参与状态为为肯定时，将所述第一响应消息增加成包括第一阻挡请求指示符的装置，其中所述第一阻挡请求指示符包括请求所述第一网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息；用于发起所述第一响应消息向所述第一网关的传送的装置。15.如权利要求14所述的计算机系统，其特征在于，只有在所述参与状态指示参与所述协调源阻挡时，所述第一响应消息才包括阻挡请求指示符。16.如权利要求14-15中的任一项所述的计算机系统，其特征在于，还包括：用于当所述参与状态指示所述第一网关不参与所述协调源阻挡时，准备第二响应消息以便传送到所述第二网关的装置，所述第二响应消息包括第二阻挡请求指示符，其中所述第二阻挡请求指示符包括请求所述第二网关即使在所述评分指示所述网络数据传送将被阻挡时也不要阻挡来自所述源地址的将来信息的信息。17.如权利要求14-15中任一项所述的计算机系统，其特征在于，从所述第一网关接收到的所述信息包括所述网络数据传送的至少一部分的指纹。18.如权利要求14-15中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于第二网关相对于所述源地址的阻挡状态。19.如权利要求14-15中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于与所述网络数据传送的所述源地址相关联的网络活动。20.如权利要求14-15中任一项所述的计算机系统，其特征在于，所述第一响应消息中的所述阻挡请求指示符基于所述第一网关的配置信息。21.一种计算机系统，所述计算机系统被配置为有利于协调源阻挡，所述计算机系统包括通信上相互耦合的一个或多个处理器；存储器，所述存储器耦合至所述一个或多个处理器，所述存储器上存储有指令，所述指令包括在被执行时导致所述一个或多个处理器中的至少一些执行以下操作的指令：接收来自第一网关的信息，所述信息涉及来自源地址的网络数据传送；基于所接收的信息确定评分；判断参与状态，所述参与状态指示所述第一网关是否参与关于其它设备的协调源阻挡；将第一响应消息发...

【专利技术属性】
技术研发人员：N·莱布曼，R·泰蒂，M·毕肖普，
申请(专利权)人：迈克菲股份有限公司，
类型：发明
国别省市：美国,US