專利名稱:檢測經(jīng)中繼的通信的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于檢測經(jīng)中繼的通信的方法��、裝置和計算機可讀代碼���。
背景技術(shù):
中繼設(shè)備通常用于許多通信介質(zhì)和環(huán)境中�,尤其是在互聯(lián)網(wǎng)上���。中繼設(shè)備是從發(fā)送器接收通信并將其轉(zhuǎn)發(fā)給接收器的通信設(shè)備��。
中繼設(shè)備可以用于其中不能在發(fā)送器和接收器之間進行直接通信的情況��,或者用于提高各種應(yīng)用的性能和安全性��。
例如����,安全環(huán)境(例如�����,私營公司數(shù)據(jù)網(wǎng)絡(luò))中的用戶可能被禁止直接連接到公共互聯(lián)網(wǎng)上的HTTP服務(wù)器(參見RFC 2616��;要獲得與RFC系列文件相關(guān)的信息����,請參見http://www.rfc-editor.org處的RFC編者網(wǎng)站)。在這些情況下��,可以在該安全網(wǎng)絡(luò)中安裝HTTP代理服務(wù)器�����,并且允許連接至外部HTTP服務(wù)器����。于是用戶可以利用該代理對到外部HTTP服務(wù)器的HTTP請求和來自外部HTTP服務(wù)器的響應(yīng)進行中繼。在該示例中����,HTTP代理服務(wù)器是中繼設(shè)備。在另一示例中���,小型網(wǎng)絡(luò)(例如�,家庭網(wǎng)絡(luò))中的用戶可以使用SOCKS代理(參見RFC 1928),以使用具有單個IP地址的一個互聯(lián)網(wǎng)連接從多臺個人計算機連接至互聯(lián)網(wǎng)(參見RFC 791)�����。在該示例中����,SOCKS代理是中繼設(shè)備。在另一示例中��,某些HTTP代理通過存儲其接收的內(nèi)容的本地副本并隨后從本地存儲對相同內(nèi)容的請求進行服務(wù)��,而用作緩存代理�����。這樣�,緩存代理減少了發(fā)送至遠程服務(wù)器的請求的數(shù)量。在另一示例中��,HTTP代理通過拒絕用戶對令人不快的材料的訪問而用作內(nèi)容過濾代理��。
除了這些正常應(yīng)用以外��,中繼設(shè)備經(jīng)常被用于惡意的目的�。
例如����,惡意用戶(攻擊者)將利用中繼設(shè)備來隱藏其真實的IP地址���。通常,通過檢查互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)記錄來揭示在攻擊時誰使用了該IP地址�,以利用IP地址使攻擊者的身份暴露。由于被攻擊方看到的通信好像是來自中繼設(shè)備的IP地址�����,所以攻擊者保持匿名��,并且?guī)缀醪豢赡艹袚?dān)后果(例如�����,喪失其ISP帳號或者被捕)��。黑客����、欺騙者和詐騙者經(jīng)常使用這種技術(shù)。
攻擊者還可以通過指示一個中繼設(shè)備連接至另一個中繼設(shè)備�����,等等,并指示最后一個中繼設(shè)備連接至目標(biāo)���,來一次使用多個中繼設(shè)備��。這在最后一個中繼設(shè)備的運營商被要求提供在攻擊時使用的IP地址的情況下保護了攻擊者��。
在另一示例中��,攻擊者將利用大量的中繼設(shè)備來產(chǎn)生通信來自許多不同用戶的假象��。攻擊者使用這種技術(shù)來避開防濫用系統(tǒng)��,該防濫用系統(tǒng)根據(jù)攻擊者進行的潛在濫用行為的速率(即�,某一時間段內(nèi)所進行的行為的數(shù)量)來屏蔽(block)IP地址�。例如,使用密碼對其用戶進行認證的許多在線服務(wù)將在幾次失敗登錄嘗試之后屏蔽IP地址����,以防止暴力攻擊。在暴力攻擊中�,攻擊者嘗試通過嘗試許多不同的密碼來試圖找到密碼,直到成功登錄為止。在另一示例中����,許多提供對個人信息目錄的訪問的在線服務(wù)將在一IP地址發(fā)送查詢的速率超過一特定限度的情況下,屏蔽該IP地址����,以防止攻擊者獲得大量的個人信息,這些個人信息可以用于其他濫用行為����,例如發(fā)送垃圾信息(主動提供的電子消息)����。在另一示例中,防垃圾信息系統(tǒng)將屏蔽發(fā)送大量消息的IP地址�。在另一示例中,由于網(wǎng)站可以在每一次用戶瀏覽在線廣告(或點擊它)時得到支付��,所以在線廣告公司將忽略來自同一IP地址的大量廣告瀏覽(或廣告點擊)�,以防止欺騙者產(chǎn)生對廣告的虛假瀏覽(或點擊)。
通過使用多個中繼設(shè)備����,欺騙者繞過了這些防線。
在另一示例中,攻擊者將利用中繼設(shè)備來產(chǎn)生他位于不同地理位置的假象�����。由于許多在線信用卡詐騙試圖來自美國外部����,所以許多美國在線貿(mào)易商都不接受外國信用卡或向國外運送產(chǎn)品。詐騙者可以通過使用美國信用卡以及運送給美國的同謀來克服這些障礙。貿(mào)易商通過拒絕其中IP地址的地理位置(如諸如Mountain View��,California�,USA的Quova���,Inc提供的GeoPoint的IP地理位置服務(wù)所報告的�����;參見美國專利6,684,250和6,757,740)與訂單中提供的(一個或多個)地址不匹配(例如信用卡帳單地址在美國�,而IP地址在印度尼西亞)的訂單來進行響應(yīng)���。欺騙者通過使用位于可接受位置的中繼設(shè)備來克服這種障礙��。
盡管經(jīng)適當(dāng)配置的中繼設(shè)備通?�?梢詫崿F(xiàn)僅允許授權(quán)用戶進行訪問的訪問控制機制����,但是許多中繼設(shè)備是可全局訪問(被稱為“開放代理”)的,并且被攻擊者濫用�����。在某些情況下�����,開放代理是存在的��,因為它們作為硬件設(shè)備或軟件的一部分被運送��,并由其所有者在不知情的情況下進行了安裝���,或者因為管理者對中繼設(shè)備進行了錯誤的或者粗心的設(shè)置,而對來自未授權(quán)源的通信進行中繼�����。在其他情況下���,例如通過向計算機的所有者發(fā)送“特洛伊木馬”�����、通過計算機病毒�����,或者通過手動入侵(hacking)計算機(入侵是利用故障或錯誤配置來獲得對計算機的控制的行為)�,開放代理在未經(jīng)計算機所有者的允許的情況下被惡意安裝。
由于中繼設(shè)備����,尤其是可全局訪問的中繼設(shè)備經(jīng)常被用于惡意目的,所以許多在線服務(wù)供應(yīng)商和貿(mào)易商都將通過中繼設(shè)備接收到的任意通信視為惡意的����。例如,許多SMTP服務(wù)器(參見RFC 821)將不接受通過中繼設(shè)備接收到的郵件�,許多IRC服務(wù)器(參見RFC 2810)將不接受通過中繼設(shè)備而連接的用戶,并且某些互聯(lián)網(wǎng)貿(mào)易商將不接受通過中繼設(shè)備接收到的訂單����。
目前用于確定通信是否通過中繼設(shè)備進行了中繼的方法基于對來自通信的源IP地址的通信對于中繼設(shè)備(假設(shè)該中繼設(shè)備在經(jīng)中繼的通信中報告其自身的源IP地址)是否具有代表性的檢查。
一種這樣的方法是檢查HTTP通信是否包含對于中繼設(shè)備唯一的HTTP頭部����。這種頭部的示例包括“X-Forwarded-For”�、“X-Originating-IP”���、“Via”��、“X-Cache”和“Client-IP”����。該方法的局限性在于��,當(dāng)中繼協(xié)議不是HTTP時不能使用該方法�����。其進一步的局限性在于��,并非所有的中繼設(shè)備都報告這種頭部�,尤其是在中繼以低于HTTP的級別進行操作執(zhí)行的情況下�,如SOCKS代理的情況那樣,或者在使用HTTP CONNECT方法(參見RFC 2817)時�。
另一種方法是嘗試?yán)貌豢赡苡芍欣^設(shè)備實施的協(xié)商協(xié)議(agreedupon protocol)來連接回源IP地址(創(chuàng)建“反向連接”)。例如��,許多IRC服務(wù)器會嘗試?yán)么蠖鄶?shù)IRC客戶端可實施的標(biāo)識協(xié)議(參見RFC 1413)來連接回源IP地址。由于中繼設(shè)備不可能實施標(biāo)識協(xié)議���,所以從源IP地址接收到連接嘗試成功的指示(例如��,包含SYN和ACK控制標(biāo)志的TCP片段���,為獲得對TCP的說明,可參見RFC 793)表示通信很有可能未被中繼�。該方法的局限性在于,服務(wù)供應(yīng)商和用戶必須對將用于反向連接的協(xié)議進行協(xié)商���,導(dǎo)致服務(wù)供應(yīng)商必須利用協(xié)商協(xié)議來發(fā)起到每個用戶的連接����,并且方法的局限性在于�,每個用戶都必須操作服務(wù)器以接受該連接。
另一種方法涉及利用中繼設(shè)備公用的協(xié)議和端口號(例如����,TCP端口1080上的SOCKS或者TCP端口8080上的HTTP)來創(chuàng)建到源IP地址的反向連接,然后嘗試對通信進行中繼����。由于大多數(shù)用戶不在其計算機上進行可全局訪問的通信中繼����,所以成功的嘗試將表示該用戶很有可能正在使用中繼設(shè)備�。該方法的局限性在于,服務(wù)供應(yīng)商必須發(fā)起到每個用戶的反向連接�����,并且需要大量的反向連接來覆蓋可能的中繼設(shè)備配置的重要部分�。該方法進一步的局限性在于,創(chuàng)建多個反向連接是一種消耗資源的操作�����,并且可能被認為是不道德的����、濫用的或者是存在問題的。
在消除目前方法的局限性的努力中�����,在線服務(wù)供應(yīng)商通過共享與中繼設(shè)備有關(guān)的信息而彼此合作�����。例如��,服務(wù)供應(yīng)商經(jīng)常查詢列出了可全局訪問的通信中繼的各種通信參數(shù)(由其他服務(wù)供應(yīng)商或數(shù)據(jù)庫操作員發(fā)現(xiàn)的)的數(shù)據(jù)庫(稱為“黑名單”)����,以例如檢查是否列出了給定的源IP地址。這種數(shù)據(jù)庫是由San�����,Jose�,California,USA的Mail AbusePrevention System LLC維護的MAPS Open Proxy Stopper�。這些數(shù)據(jù)庫受局于用來擴充它們的方法,并且進一步的局限性在于并非總是最新的��。
很明顯����,需要一種用于確定通信是否通過中繼設(shè)備進行了中繼的有效方法。
發(fā)明內(nèi)容
現(xiàn)將首次公開一種用于確定從可能的中繼設(shè)備接收到的信息要素是否已通過中繼設(shè)備進行了中繼的方法��。所公開的用于確定可能的中繼設(shè)備是否是中繼設(shè)備的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素�,其中該可能的中繼設(shè)備是第二信息要素的原始源。
在某些實施例中�����,所公開的方法進一步包括確定第一信息要素的原始源的特征和該可能的中繼設(shè)備的特征是否是不大可能與單個設(shè)備相關(guān)的特征。在某些實施例中��,所公開的方法進一步包括確定第一信息要素的原始源的特征和該可能的中繼設(shè)備的特征是否是不大可能描述單個設(shè)備的特征�����。
這里公開了信息要素的對于確定所接收的信息要素是否已經(jīng)過中繼非常有用的發(fā)送器和原始源的多個特征�����。信息要素的對于檢測所接收的信息要素是否已經(jīng)過中繼有用的發(fā)送器和原始源的特征包括但不限于設(shè)備的配置狀態(tài)���、設(shè)備的通信性能���、相關(guān)DNS請求的特征,以及延遲參數(shù)�,例如對于信息要素的發(fā)送器和/或原始源的往返(round trip)時間。
根據(jù)某些實施例����,第二信息要素是下述的類型,即,一種中繼設(shè)備類型的中繼設(shè)備不大可能中繼的類型��。
根據(jù)某些實施例��,第一信息要素是下述的類型���,即,一種中繼設(shè)備類型的中繼設(shè)備可能中繼的類型�����。
與本發(fā)明的實施例相關(guān)的中繼設(shè)備的示例性類型包括但不限于SOCKS代理����、HTTP代理(包括使用GET方法和/或CONNECT方法的HTTP代理)、IP路由器和網(wǎng)絡(luò)地址翻譯設(shè)備�。
根據(jù)某些實施例,第一信息要素和/或第二信息要素是從以下組中選擇的類型的通信的一部分��,該組包括IP�、TCP、ICMP���、DNS����、HTTP、SMTP����、TLS和SSL。根據(jù)某些實施例�,第一和第二信息要素是單個通信的一部分。
根據(jù)某些實施例��,在協(xié)議棧的兩個不同層中發(fā)送第一和第二信息要素���。
根據(jù)某些實施例���,該確定階段包括發(fā)現(xiàn)第一信息要素的原始源的特征,以及發(fā)現(xiàn)該可能的中繼設(shè)備的特征�。
根據(jù)某些實施例,該確定階段還包括對第一信息要素的原始源的特征和該可能的中繼設(shè)備的特征進行比較����。
因此,在一個說明性示例中�����,針對第一信息要素的原始源和該可能的中繼設(shè)備都確定諸如操作系統(tǒng)的配置狀態(tài)參數(shù)。如果在信息包的原始源和該可能的中繼設(shè)備的配置狀態(tài)參數(shù)之間發(fā)現(xiàn)了差異����,這不大可能表示單個設(shè)備,從而可以推斷該可能的中繼設(shè)備與原始源設(shè)備不是同一設(shè)備��,而是單獨的中繼設(shè)備���。
在某些實施例中,該方法包括獲得表示第一信息要素的原始源的特征的參數(shù)�,以及獲得表示該可能的中繼設(shè)備的特征的參數(shù)。
因此�,應(yīng)該注意,不必明確獲知第一信息要素的源和該可能的中繼設(shè)備的源的特征�����。在一具體示例中����,獲得該可能的中繼設(shè)備與第一信息要素的源之間的延遲差異,而無需獲得各自的延遲�。
在某些實施例中,該方法包括獲得表示第一信息要素的原始源的特征與該可能的中繼設(shè)備的特征之間的關(guān)系的參數(shù)�����。
在某些實施例中,該確定階段包括對表示第一信息要素的原始源的特征和該可能的中繼設(shè)備的特征之間的關(guān)系的參數(shù)進行分析��。
在某些實施例中��,該參數(shù)是從第一信息要素和第二信息要素中的至少一個獲得的��。
根據(jù)某些實施例��,該方法還包括向第一信息要素的原始源和可能的中繼設(shè)備中的至少一個發(fā)送出局通信��,并從第一信息要素的原始源和可能的中繼設(shè)備中的至少一個接收第三信息要素���。
根據(jù)某些實施例��,該方法還包括從第三信息要素得到與第一信息要素的原始源和可能的中繼設(shè)備中的至少一個的特征相關(guān)的信息�。
根據(jù)某些實施例��,該方法還包括驗證第三信息要素的原始源是第一信息要素的原始源�。
根據(jù)某些實施例,該方法還包括驗證第三信息要素的原始源是該可能的中繼設(shè)備�。
在一個示例性實施例中,在接收到可能已經(jīng)過中繼的第一和第二信息要素之后�,向該通信的聲稱源返回HTTP響應(yīng)和ping�����。無論是否存在中間中繼設(shè)備�����,HTTP響應(yīng)都被中繼設(shè)備中繼到該通信的原始源�����,該原始源進而返回第三通信要素���。相反���,中繼設(shè)備對ping進行響應(yīng)�,而不將ping轉(zhuǎn)發(fā)給第一信息要素的原始源����。因此,延遲的較大差異表示存在中繼設(shè)備�����。
根據(jù)某些實施例,該方法還包括從該可能的中繼設(shè)備接收第三信息要素���,并從該第三信息要素得到與該可能的中繼設(shè)備的特征相關(guān)的信息��。
根據(jù)某些實施例���,該方法還包括從第一信息要素的源接收第三信息要素,并從該第三信息要素得到與第一信息要素的源的特征相關(guān)的信息����。
根據(jù)某些實施例,第一通信的源的特征和可能的中繼設(shè)備的特征中的至少一個是與配置狀態(tài)相關(guān)的特征�。
與配置狀態(tài)相關(guān)的示例性特征包括但不限于操作系統(tǒng)類型、操作系統(tǒng)版本�、軟件類型、HTTP客戶端類型�����、HTTP服務(wù)器類型����、SMTP客戶端類型、SMTP服務(wù)器類型��、時間設(shè)置、時鐘設(shè)置以及時區(qū)設(shè)置�����。
根據(jù)某些實施例��,該確定階段包括檢查表示與配置狀態(tài)相關(guān)的特征的參數(shù)�。
表示與配置狀態(tài)相關(guān)的特征的參數(shù)包括但不限于HTTP“User-Agent”頭部、RFC 822“X-mailer”頭部���、RFC 822“Received”頭部��、RFC 822“Date”頭部�、協(xié)議實施方式�、TCP/IP棧指紋�����、IP地址�、TCP端口、TCP初始序列號���、TCP初始窗口��、Whois記錄����、反向DNS記錄以及確認信息的速率。
根據(jù)某些實施例�����,第一通信的源的特征和可能的中繼設(shè)備的特征中的至少一個是與通信性能相關(guān)的特征����。
根據(jù)某些實施例,與通信性能相關(guān)的特征是從以下組中選擇的�����,該組包括所測量的通信性能����、所測量的相對通信性能以及所估計的通信性能����。
根據(jù)某些實施例,與通信性能相關(guān)的特征是從以下組中選擇的,該組包括通信的延遲��、入局(incoming)通信的延遲�、出局(outgoing)通信的延遲、通信速率���、入局通信速率���、出局通信速率、入局最大通信速率以及出局最大通信速率����。
根據(jù)某些實施例,該確定階段包括檢查表示與通信性能相關(guān)的特征的參數(shù)���。
根據(jù)某些實施例���,該參數(shù)是從以下組中選擇的,該組包括接收信息要素的時刻�、發(fā)送信息要素的時刻、往返時間�����、往返時間間隙���、IP地址����、Whois記錄�����、反向DNS記錄以及確認信息的速率�。
根據(jù)某些實施例,較高的往返時間間隙表示中繼設(shè)備被用于惡意用途的較高可能性���。
根據(jù)某些實施例��,第一信息要素的源的特征和可能的中繼設(shè)備的特征中的至少一個是從以下組中選擇的�,該組包括子網(wǎng)���、網(wǎng)絡(luò)管理者以及地理位置����。
根據(jù)某些實施例����,該確定包括對表示第一通信的源的特征和第二通信的源的特征中的至少一個的參數(shù)進行檢查���,該參數(shù)是從以下組中選擇的,該組包括HTTP“User-Agent”頭部����、RFC 822“X-mailer”頭部、RFC822“Received”頭部�、RFC 822“Date”頭部、IP地址����、WHOIS記錄、反向DNS記錄����。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法。所公開的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素����,其中該可能的中繼設(shè)備是第二信息要素的原始源;以及對第一和第二信息要素中的至少一個的原始源的配置狀態(tài)進行分析�����,其中該配置狀態(tài)是從以下組中選擇的�,該組包括操作系統(tǒng)類型、操作系統(tǒng)版本�、軟件類型、HTTP客戶端類型����、HTTP服務(wù)器類型、SMTP客戶端類型�����、SMTP服務(wù)器類型�����、時間設(shè)置�、時鐘設(shè)置以及時區(qū)設(shè)置。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法���。所公開的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素�����,其中該可能的中繼設(shè)備是第二信息要素的原始源���;以及對與第一和第二信息要素中的至少一個的原始源的通信性能相關(guān)的特征進行分析����。
根據(jù)某些實施例�����,與通信性能相關(guān)的特征是從以下組中選擇的�,該組包括通信的延遲、入局通信的延遲��、出局通信的延遲����、通信的往返時間、通信速率����、入局通信速率、出局通信速率��、入局最大通信速率以及出局最大通信速率��。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�。所公開的方法包括向可能的中繼設(shè)備發(fā)送消息�,導(dǎo)致最終接收該消息���,以發(fā)送一出局DNS請求�����;以及根據(jù)該出局DNS請求來確定該可能的中繼設(shè)備是否為中繼設(shè)備。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法��。所公開的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素��,其中該可能的中繼設(shè)備是第二信息要素的原始源�����;以及檢查到該可能的中繼設(shè)備的往返時間是否與到第一信息要素的原始源的往返時間明顯不同�����。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法��。所公開的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素��,其中該可能的中繼設(shè)備是第二信息要素的原始源�����;以及檢查該可能的中繼設(shè)備的操作系統(tǒng)是否與第一信息要素的原始源的操作系統(tǒng)不同。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�。所公開的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素,其中該可能的中繼設(shè)備是第二信息要素的原始源�;以及檢查該可能的中繼設(shè)備的位置是否與第一信息要素的原始源的位置不同。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法���。所公開的方法包括從該可能的中繼設(shè)備接收第一和第二信息要素�,其中該可能的中繼設(shè)備是第二信息要素的原始源�;以及檢查該可能的中繼設(shè)備的管理者是否與第一信息要素的原始源的管理者不同。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法��。所公開的方法包括確定第一信息要素的原始源的特征和該可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征�����,其中該可能的中繼設(shè)備是第一信息要素和第二信息要素的發(fā)送器�����,其中該可能的中繼設(shè)備是第二信息要素的原始源�����,并且其中該確定的肯定結(jié)果表示該可能的中繼設(shè)備是中繼設(shè)備。
現(xiàn)將首次公開一種用于確定所接收的信息是否由中繼設(shè)備進行了中繼的方法��。所公開的方法包括根據(jù)所接收的信息要素來確定通信性能量度��;以及根據(jù)該確定的結(jié)果來產(chǎn)生表示所接收的信息是否由中繼設(shè)備進行了中繼的輸出���。
現(xiàn)將首次公開一種用于確定所接收的信息是否由中繼設(shè)備進行了中繼的方法�。所公開的方法包括根據(jù)所接收的信息要素來確定表示通信性能的參數(shù)���;以及根據(jù)該確定的結(jié)果來產(chǎn)生表示所接收的信息是否由中繼設(shè)備進行了中繼的輸出。
示例性的所確定的通信性能量度包括但不限于與所監(jiān)測主機的通信的延遲�、與所監(jiān)測主機的通信的入局延遲、與所監(jiān)測主機的通信的出局延遲���、通信速率����、入局通信速率�����、出局通信速率�、入局最大通信速率以及出局最大通信速率�����。
現(xiàn)將首次公開一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的系統(tǒng)��。根據(jù)某些實施例���,所公開的系統(tǒng)包括信息要素接收器,用于從包括信息源設(shè)備和該可能的中繼設(shè)備在內(nèi)的多個設(shè)備接收信息要素��;以及特征不相容性分析器����,用于確定信息源設(shè)備的特征與可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征。
根據(jù)某些實施例�,該系統(tǒng)還包括特征發(fā)現(xiàn)模塊,用于發(fā)現(xiàn)從以下組中選擇的至少一個特征��,該組包括所述信息源設(shè)備的特征和所述可能的中繼設(shè)備的特征���。
可選地���,所述信息要素接收器還被構(gòu)造用于從所監(jiān)測主機接收信息要素。
可選地,所述系統(tǒng)包括出局信息要素發(fā)送器�����。
根據(jù)某些實施例�����,該系統(tǒng)還包括參數(shù)獲得器��,用于獲得從以下組中選擇的至少一個參數(shù)�����,該組包括表示信息源設(shè)備的特征的參數(shù)����、表示可能的中繼設(shè)備的特征的參數(shù)�����,以及表示信息源設(shè)備的特征和可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征的參數(shù)����。
根據(jù)某些實施例,該系統(tǒng)還包括特征數(shù)據(jù)庫,用于存儲多對特征與表示該多對特征是否為不相容特征的數(shù)據(jù)之間的映射�����。
根據(jù)以下的詳細說明和示例�����,這些和其他實施例將變得明了��。
為了理解本發(fā)明并了解如何在實際當(dāng)中實施本發(fā)明�����,下面僅以非限定性示例的方式�,參照附圖來說明優(yōu)選實施例,附圖中圖1例示了其中中繼檢測系統(tǒng)根據(jù)本發(fā)明的某些實施例進行操作的環(huán)境����。
圖2A示出了向中繼檢測系統(tǒng)發(fā)送信息要素的可能的中繼設(shè)備。
圖2B示出了由根據(jù)本發(fā)明某些實施例的中繼檢測設(shè)備接收的信息要素的原始源���。
圖2C示出了其中可能的中繼設(shè)備是信息源設(shè)備的情況�。
圖2D示出了其中可能的中繼設(shè)備和信息源設(shè)備為不同設(shè)備的情況����。
圖3示出了根據(jù)本發(fā)明的多個實施例的系統(tǒng)��。
圖4A描繪了在使用中繼設(shè)備的情況下����,信息源設(shè)備與所監(jiān)測主機之間的通信的延遲�����。
圖4B描繪了在未使用中繼設(shè)備的情況下���,信息源設(shè)備與所監(jiān)測主機之間的通信的延遲����。
圖5A示出了以下情況信息源設(shè)備向所監(jiān)測主機直接發(fā)送兩個信息要素(可能被中繼的信息要素1和可能被中繼的信息要素2)���,而不使用中繼設(shè)備。
圖5B示出了以下情況兩個不同的設(shè)備(信息源設(shè)備和信息源設(shè)備2)分別向所監(jiān)測主機發(fā)送信息要素����,其中兩個信息要素都由中繼設(shè)備進行了中繼。
具體實施例方式
在闡述本發(fā)明之前���,首先說明下文中使用的特定術(shù)語的定義將有助于理解本發(fā)明����。
這里使用的術(shù)語“通信”是指至少一個信息要素在兩個設(shè)備之間的傳送。例如��,通過互聯(lián)網(wǎng)從一個設(shè)備到另一設(shè)備傳送的IP分組是通信�。在另一示例中,通過互聯(lián)網(wǎng)從HTTP客戶端向HTTP服務(wù)器傳送的HTTP請求是通信�����。應(yīng)該注意�����,一個或更多個通信可以在一個或更多個其他通信中傳送�。其中一個通信包含其他通信的一組通信被稱為“協(xié)議棧”�����。例如��,HTTP協(xié)議中的通信(即�����,HTTP請求或響應(yīng))通常包含在TCP協(xié)議中的通信(即,TCP連接)中�����,該通信又包含在IP協(xié)議中的通信(即�����,一個或更多個IP數(shù)據(jù)報)中��。
這里使用的術(shù)語“信息要素的原始源”是指發(fā)送該信息要素�����,但是沒有對來自另一設(shè)備的該信息要素進行中繼的設(shè)備���。
這里使用的術(shù)語“發(fā)送器”是指發(fā)送信息要素的設(shè)備����,包括該信息要素以前由另一設(shè)備進行了中繼的情況�����。當(dāng)從一設(shè)備接收到信息要素時��,該設(shè)備就是該信息要素的發(fā)送器���。
這里使用的術(shù)語“特征”是指與設(shè)備相關(guān)的可能在兩個不同設(shè)備之間不同的任意信息���。
本發(fā)明的實施例敘述了通過數(shù)據(jù)網(wǎng)絡(luò)接收和/或發(fā)送“信息要素”。在某些實施例中��,使用通信協(xié)議來傳送信息要素���。用于通過數(shù)據(jù)網(wǎng)絡(luò)傳送信息要素的示例性通信協(xié)議包括但不限于HTTP�、SMTP���、DNS(參見RFC 1034)�����、SSL/TLS(參見RFC 2246)����、TCP����、UDP(參見RFC 768)�、IP以及ICMP(參見RFC 792)����。
圖1示出了其中中繼檢測系統(tǒng)102根據(jù)本發(fā)明的某些實施例進行操作的環(huán)境。在某些實施例中����,中繼檢測系統(tǒng)102(RDS)接收通過互聯(lián)網(wǎng)100從信息源設(shè)備104(ISD)傳送的信息要素。
在某些情況下���,為了向所監(jiān)測主機110(MH)發(fā)送信息要素�����,ISD 104首先向中繼設(shè)備108(RD)發(fā)送信息要素�����,該中繼設(shè)備108接收這些信息要素并隨后將所接收的信息要素中繼至MH 110�。對于這些情況�,經(jīng)中繼的信息要素從信息源設(shè)備104傳送至所監(jiān)測主機110,如路徑122所示����。
另選地,ISD 104不使用中繼設(shè)備108�����,并且將信息要素發(fā)送給所監(jiān)測主機110��,而不通過RD 108�,如路徑120所示。
希望確定發(fā)送至MH 110的信息要素是否是通過RD 108發(fā)送的�����。
本發(fā)明人發(fā)明了用于確定發(fā)送至MH 110的信息要素是否是經(jīng)由RD108發(fā)送的方法����、裝置以及計算機可讀軟件。在某些實施例中��,該確定由RDS 102來執(zhí)行��,RDS 102對由MH 110接收的至少一個通信進行監(jiān)測�,并試圖確定該通信是否是利用RD 108而發(fā)送至MH 110的。這里使用的術(shù)語“監(jiān)測”是指接收通信的動作�,包括從或向執(zhí)行該監(jiān)測的設(shè)備發(fā)送通信的情況����。
任意類型的中繼設(shè)備都適于本發(fā)明��。中繼設(shè)備的類型的示例包括但不限于SOCKS代理(參見RFC 1928)����、利用GET方法的HTTP代理(參見RFC 2616)、利用CONNECT方法的HTTP代理(參見RFC 2817)�、IP路由器(參見RFC 1812)以及NAT設(shè)備(參見RFC 2663)。
ISD 104是被構(gòu)造用來通過任意數(shù)據(jù)網(wǎng)絡(luò)(例如���,互聯(lián)網(wǎng)100)與其他設(shè)備進行通信的設(shè)備��。在某些實施例中���,ISD 104是由個人或個人組來操作的設(shè)備。在某些實施例中���,ISD 104是自動進行操作的設(shè)備���。在某些實施例中,ISD 104是以模擬人的行為的方式自動進行操作的設(shè)備。示例性ISD包括但不限于運行諸如Microsoft Internet Explorer的HTML瀏覽器(參見http://www.w3.org/TR/htm處的W3C網(wǎng)站中的HTML規(guī)范�����,以獲得對HTML的說明)的計算機��、運行IRC客戶端的計算機��、運行SMTP客戶端的計算機�����,以及運行XHTML瀏覽器的移動電話����。MH 110是被構(gòu)造用來通過任意數(shù)據(jù)網(wǎng)絡(luò)(例如����,互聯(lián)網(wǎng)100)與其他設(shè)備進行通信的設(shè)備。在一個示例性實施例中���,所監(jiān)測主機110是服務(wù)器�����。適當(dāng)?shù)乃O(jiān)測主機110的示例包括但不限于HTTP服務(wù)器�、SSL/TLS服務(wù)器、SMTP服務(wù)器�、文件服務(wù)器、telnet服務(wù)器����、FTP服務(wù)器、SSH服務(wù)器����、DNS服務(wù)器以及IRC服務(wù)器。MH 110的應(yīng)用的示例包括但不限于經(jīng)營在線商店�、運行在線廣告服務(wù)以及接收電子郵件。
在某些實施例中���,RDS 102對從MH 110發(fā)送的和/或發(fā)送給MH 110的信息要素進行監(jiān)測��?����?蛇x地����,RDS 102還被構(gòu)造用來與RD 108和/或ISD 104進行通信?��?蛇x地����,RDS 102還被構(gòu)造用來對從RDS 102發(fā)送的和/或發(fā)送給RDS 102的信息要素進行監(jiān)測�。
RDS 102、ISD 104���、RD 108和MH 110中的每一個都可以是硬件、軟件或其組合��,可以位于相同或不同的地理位置����,或者可以是同一設(shè)備的組件。
為簡單起見�����,所示的環(huán)境包含一個信息源設(shè)備和一個中繼設(shè)備����。在實際中,有許多信息源設(shè)備與互聯(lián)網(wǎng)100相連,每一個信息源設(shè)備都可以使用或可以不使用同樣連接至互聯(lián)網(wǎng)100的多個中繼設(shè)備之一���。本發(fā)明的目的是區(qū)分不使用中繼設(shè)備的信息源設(shè)備的總體情況與使用中繼設(shè)備的信息源設(shè)備的總體情況��。應(yīng)該理解����,從所示的環(huán)境外推到諸如互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)的現(xiàn)實生活環(huán)境也落入了本領(lǐng)域技術(shù)人員的范圍之內(nèi)�����。
參照圖2A�,注意到,根據(jù)本發(fā)明的某些實施例����,RDS 102接收發(fā)送至MH 110的信息要素,其中可能的中繼設(shè)備150(PRD)是這些信息要素的發(fā)送器�����,但是不必是這些信息要素中的每一個或任意一個的原始源�。根據(jù)某些實施例,可能的中繼設(shè)備150(PRD)的身份是未知的����,并且可以是RD 108或ISD 104���。
本發(fā)明的某些實施例提供了用于確定PRD 150是RD 108還是ISD104的方法、裝置和計算機可讀軟件���。
圖2B示出了根據(jù)本發(fā)明某些實施例的由RDS 102接收的信息要素的原始源��。由RDS 102來接收第一信息要素和第二信息要素��。根據(jù)某些實施例���,PRD 150是第二信息要素的原始源,因此第二信息要素也可以被稱為非中繼信息要素(NRIE)���。相反,ISD 104是第一信息要素的原始源���,因此第一信息要素也可以被稱為可能中繼信息要素(PRIE)�。因此����,在PRD 150是ISD 104的情況下���,PRD 150是PRIE的原始源,而在PRD150是RD 108的情況下���,PRD 150不是PRIE的原始源�。
在具體實施例中���,NRIE是一種沒有被特定類型的中繼設(shè)備進行中繼的類型��,因此確保了第二信息要素實際上沒有被該類型的中繼設(shè)備進行中繼����。例如���,標(biāo)準(zhǔn)HTTP代理(利用CONNECT或GET方法)不對ICMP消息進行中繼��。因此���,如果RD 108是這種類型的代理并且RD 108是ICMP消息的發(fā)送器,則ICMP消息可以被認為是NRIE����。
根據(jù)本發(fā)明的某些實施例�����,確定ISD 104的特征和PRD 150的特征是否為不大可能與同一設(shè)備相關(guān)的特征(不相容特征)���。如果一特征是與一設(shè)備相關(guān)的信息,則稱該特征為與該特定設(shè)備相關(guān)����。
在某些實施例中,從PRIE的內(nèi)容得到ISD 104的特征�。在另選實施例中,從下述的其他特征得到ISD 104的特征���。在某些實施例中��,從NRIE的內(nèi)容得到PRD 150的特征����。在另選實施例中�,從下述的其他特征得到PRD 150的特征�����。
還應(yīng)該注意,本發(fā)明不需要實際獲得PRD 150的特征或者ISD 104的特征���。在以下詳述的某些實施例中����,RDS 102可以確定特征是否為不相容特征���,而無需發(fā)現(xiàn)這些特征中的每一個或任意一個���。不相容特征的存在增大了ISD 104和PRD 150為不同設(shè)備(即,PRD 150為RD 108)的可能性��,而不相容特征的不存在增大了PRD 150和ISD 104是同一設(shè)備(即��,PRD 150不是RD 108)的可能性���。
圖2C示出了其中PRD 150是ISD 104的情況����。在這種情況下����,檢測到第一信息要素的原始源(ISD 104)與第二信息要素的原始源(PRD 150)是同一設(shè)備�����,因此可以推斷該可能的中繼設(shè)備150是ISD 104而不是中繼設(shè)備108�,并且還可以推斷PRIE沒有由中繼設(shè)備108進行中繼����。
圖2D示出了其中PRD 150和ISD 104是不同設(shè)備的另選情況。在這種情況下����,檢測到第一信息要素的原始源(ISD 104)是與第二信息要素的原始源(PRD 150)不同的設(shè)備。因此��,由于PRIE具有不是PRD 150的原始源��,所以可以推斷PRIE已經(jīng)由PRD 150進行了中繼���,并且因此推斷PRD 150是中繼設(shè)備108���。
這里使用的術(shù)語“特征”是指至少一個特征。因此�����,公開了將一個以上的特征的組合定義為其自身中的或者其自身的一特征���。
這里使用的“ISD特征”是第一信息要素的原始源(即����,PRIE的源��,其為ISD 104)的特征����,而“PRD特征”是第二信息要素的源(即,NRIE的源�����,其為PRD 150)的特征�����。以下給出了ISD特征���、PRD特征�����、發(fā)現(xiàn)這些特征的方法��,以及其中可以使用這些特征來確定ISD 104是否為與PRD 150不同的設(shè)備的方式的示例���。
如上所述�,確保NRIE不由RD 108進行中繼的一個選擇是將NRIE選擇為下述的信息要素類型�,該信息要素類型已知不由RD 108所屬的特定中繼設(shè)備類型的中繼設(shè)備進行中繼。例如�,已知特定的SOCKS代理對HTTP通信進行中繼,而不對TCP通信進行中繼�。如果RD 108是SOCKS代理,則其將保持與ISD 104的一個TCP連接以及與MH 110的另一個獨立TCP連接�,并將從一個TCP連接到另一個TCP連接對HTTP通信進行中繼。因此����,在某些實施例中,PRIE是可能中繼HTTP通信的一部分���,而NRIE是非中繼TCP通信的一部分���。
在某些實施例中����,第一和第二信息要素(NRIE和PRIE)是單個通信的協(xié)議棧上的兩個不同層的一部分�。因此�,在一個特定的情況下,發(fā)送TCP通信中的單個HTTP���,并且第一非中繼信息要素是該通信的TCP層的一部分,而第二可能中繼信息要素是該通信的HTTP層的一部分。另選地����,第一和第二要素是兩個獨立通信的一部分��。
然而,中繼檢測系統(tǒng)102經(jīng)常不必知道中繼設(shè)備108的類型��。在某些實施例中��,所公開的方法明確要求以下可選步驟估計特定類型的中繼設(shè)備或以其為目標(biāo)���;以及在假設(shè)可能類型的中繼設(shè)備是目標(biāo)類型的中繼設(shè)備的情況下執(zhí)行該方法���。
在某些實施例中,對不同的多對NRIE和PRIE重復(fù)本發(fā)明的方法���,其中每一對都有助于檢測至少一種類型的中繼設(shè)備����。
總體上來講�����,在某些實施例中公開了以下內(nèi)容所公開的方法可以順序或并行重復(fù)多次��,其中可能的中繼設(shè)備是中繼設(shè)備的最終可能性是從所重復(fù)的方法的結(jié)果的某種合計(aggregate)得到的��。在某些實施例中�,獲得合計包括獲得平均值���、加權(quán)平均值�、最小值���、最大值����,或者本領(lǐng)域中已知的以合計結(jié)果為特征的任意其他方法。
使用通信延遲在本發(fā)明的一個具體實施例中�,將ISD特征選擇為ISD 104與MH110之間的通信的延遲,并將PRD特征選擇為PRD 150與MH 110之間的通信的延遲�。由于從一個設(shè)備到另一設(shè)備的延遲通常是相對穩(wěn)定的,所以同一設(shè)備不大可能表現(xiàn)出兩種顯著不同的延遲����。因此,如果ISD 104延遲與PRD 150延遲顯著不同��,則相對更可能的是PRD 150和ISD 104是不同的設(shè)備(即�����,PRD 150是中繼設(shè)備108���,并且PRIE被中繼)���。類似地,如果ISD 104延遲和PRD 150延遲相似����,則相對更可能的是PRD 150和ISD 104是同一設(shè)備(即,PRIE未被中繼)。
這里使用的術(shù)語“延遲”是指通信的發(fā)送與其接收之間的時間延遲��。
延遲的出現(xiàn)有多種原因�。一個原因是電信號或電磁波(例如,電纜中的電信號����、光纜中的光或者微波鏈路中的微波)傳播通信路徑上的兩點之間的距離所需的時間。另一原因是通過通信線路傳送信息所需的時間(例如��,通過480千比特每秒(kbps)通信線路完全傳送1500字節(jié)將花費25毫秒(ms))����。另一原因是在許多數(shù)據(jù)網(wǎng)絡(luò)中使用的存儲-轉(zhuǎn)發(fā)方法,在該方法中���,僅在完全接收了通信的多個部分(例如�����,分組或信元)之后��,才將該通信的多個部分從一個中間網(wǎng)絡(luò)單元轉(zhuǎn)發(fā)至下一個中間網(wǎng)絡(luò)單元。另一個原因是通信在網(wǎng)絡(luò)中的交換單元的緩沖器中的延遲(例如��,當(dāng)通信線路處于傳送一個通信的處理中時,將新通信保存在緩沖器中��,直到該線路空閑為止)�。另一個原因是特定通信的處理時間,例如用于進行路由決策����、加密、解密����、壓縮或解壓縮的處理時間。
由于從一個設(shè)備發(fā)送通信并在不同設(shè)備處接收該通信�����,所以通常較容易測量往返時間(RTT)而不是延遲���。RTT是從MH 110發(fā)送出局通信(OC)與MH 110接收到入局通信(IC)之間所經(jīng)過的時間��,該入局通信是在接收到OC時立即發(fā)送的��。因此�,RTT是OC的延遲和IC的延遲的總和����。例如��,在使用ICMP回應(yīng)機制(參見RFC 792)時����,RTT是在發(fā)送回應(yīng)消息和接收回應(yīng)答復(fù)消息之間所經(jīng)過的時間���。
圖4A描繪了在使用RD 108的情況下���,ISD 104與MH 110之間的通信的延遲。
T1是從MH 110到RD 108的通信的延遲��。
T2是從RD 108到ISD 104的通信的延遲�。
T3是從ISD 104到RD 108的通信的延遲。
T4是從RD 108到MH 110的通信的延遲�����。
圖4B描繪了在未使用RD 108的情況下�����,ISD 104與MH 110之間的通信的延遲��。
T5是從MH 110到ISD 104的通信的延遲��。
T6是從ISD 104到MH 110的通信的延遲�����。
這里使用的術(shù)語“ISD RTT”是指MH 110與ISD 104之間的通信的往返時間��。
這里使用的術(shù)語“PRD RTT”是指MH 110與PRD 150之間的通信的往返時間���。
這里使用的術(shù)語“RTT間隙”是指ISD RTT與PRD RTT之間的差��。
在PRD 150是RD 108(即�����,PRIE被中繼)的情況下���,往返時間ISDRTT應(yīng)該大于PRD RTT。具體地�,PRD RTT等于T1+T4(MH 110與RD108之間的RTT),而ISD RTT等于T1+T2+T3+T4(MH 110與RD 108之間的RTT加上RD 108與ISD 104之間的RTT)���。RTT間隙等于PRD 150(其為RD 108)與ISD 104之間的RTT(其等于T2+T3)���。
然而����,在PRD 150是ISD 104(即�,PRIE不被中繼)的情況下,ISDRTT和PRD RTT都等于T5+T6(MH 110與ISD 104之間的RTT)����。因此,RTT間隙應(yīng)該接近于零�����。
例如����,如果ISD RTT為640毫秒并且PRD RTT為130毫秒,則與ISD RTT為133毫秒并且PRD RTT為130毫秒的情況相比����,更有可能PRD150是中繼設(shè)備108,并且PRIE被中繼��。
應(yīng)該注意��,即使在PRD 150是ISD 104的情況下,由于各個通信所經(jīng)受的不同網(wǎng)絡(luò)延遲��,也可能發(fā)現(xiàn)ISD RTT和PRD RTT之間的某些差異����。然而��,在大多數(shù)實際情況下����,使用中繼設(shè)備時的RTT間隙明顯大于不使用中繼設(shè)備時的RTT間隙。
在測量RTT間隙時��,RDS 102有效地執(zhí)行兩個特征比較�����。第一個是對從ISD 104到MH 110的通信的延遲與從PRD 150到MH 110的通信的延遲進行比較����。第二個是對從MH 110到ISD 104的通信的延遲與從MH110到PRD 150的通信的延遲進行比較。與非中繼通信相比���,在中繼通信中兩個延遲都應(yīng)該較大���,意味著與非中繼通信相比���,在經(jīng)中繼的通信中RTT間隙(其為兩個延遲差異的總和)也應(yīng)該較大。
在一示例性實施例中��,RD 108是SOCKS代理�����,ISD 104是HTTP客戶端而MH 110是HTTP服務(wù)器����。在這種情況下,RDS 102通過測量HTTP通信(PRIE)的RTT來獲得ISD RTT����,并通過測量TCP通信(NRIE)的RTT來獲得PRD RTT。
在另一示例性實施例中���,RD 108是使用CONNECT方法的HTTP代理����,ISD 104是SMTP客戶端,而MH 110是SMTP服務(wù)器�。在這種情況下,RDS 102通過測量SMTP通信(PRIE)的RTT來獲得ISD RTT�。然后,RDS 102向其中接收到SMTP通信的TCP連接(NRIE)的源IP地址發(fā)送ICMP回應(yīng)消息�����。RDS 102隨后接收ICMP回應(yīng)答復(fù)消息�����。PRD RTT是兩個ICMP消息之間的時間(如下所述���,ICMP回應(yīng)答復(fù)消息的原始源為PRD 150)。
下面描述用于測量各種類型的通信的RTT的方法�����。
RTT間隙在區(qū)分中繼設(shè)備的各種應(yīng)用方面也是有用的�����。出于性能和安全性的原因���,合法用戶通常使用附近的中繼設(shè)備(例如��,在同一公司網(wǎng)絡(luò)上)���,導(dǎo)致短的RTT間隙�。另一方面���,惡意用戶通常使用遠程中繼設(shè)備(例如�����,在另一國家中)���,導(dǎo)致長的RTT間隙。因此����,長RTT間隙表示中繼設(shè)備被用于惡意目的。該方法在惡意用戶無法避免使用遠程中繼設(shè)備的情況下尤其有效�。例如,想要表現(xiàn)為好像其位于美國境內(nèi)的印度尼西亞欺騙者必須使用遠程中繼設(shè)備��。在另一示例中��,如果所有中繼都必須具有短的RTT間隙,則垃圾信息發(fā)送者顯然更難使用大量的中繼��。
測量RTT精確的RTT測量要求在接收到OC時立即發(fā)送IC����。這可以通過多種方式來實現(xiàn)。
某些協(xié)議實現(xiàn)提供了對某些通信的立即響應(yīng)��。例如�,在TCP三方握手中,在接收到包含SYN控制標(biāo)志的相關(guān)片段(SYN片段)時應(yīng)該立即發(fā)送包含SYN和ACK控制標(biāo)志的片段(SYN-ACK片段)�。在這種情況下,RTT是SYN片段(OC)的發(fā)送與SYN-ACK片段(IC)的接收之間的時間�。
在其他情況下,該協(xié)議實現(xiàn)可能不提供立即響應(yīng)���,而是希望對該通信進行處理的應(yīng)用來生成它。例如����,HTTP客戶端通常在接收到HTTP“302”響應(yīng)時立即產(chǎn)生HTTP請求。在另一示例中�����,HTML瀏覽器通常在接收到HTML網(wǎng)頁中的第一個嵌入圖像(例如,使用HTML<img>標(biāo)簽)時立即產(chǎn)生HTTP請求��。在另一示例中����,SSL/TLS層將在接收到表示TCP連接已建立的TCP SYN-ACK片段時立即發(fā)送ClientHello消息。在另一示例中��,SMTP客戶端通常在接收到對于以前的“MAIL”命令(參見RFC 821)的“250”響應(yīng)時立即發(fā)送“RCPT”命令����。在另一示例中,IRC客戶端通常在從IRC服務(wù)器接收到“PING”消息時立即發(fā)送“PONG”消息�����。
在其他情況下�����,可以使用人類交互來產(chǎn)生立即響應(yīng)�。例如,向用戶顯示游戲,在該游戲中,用戶需要在看到屏幕上的信號時立即按下鍵盤鍵�。該信號在接收到OC時顯示,在用戶做出響應(yīng)時發(fā)送IC�。
在短時間內(nèi)進行的多次RTT測量可能產(chǎn)生不同的結(jié)果���。這是由于網(wǎng)絡(luò)擁塞和其他參數(shù)的變化所致�。因此,建議在可能的情況下進行多次RTT測量�。此外,由于RTT不會降低到低于電信號或電磁信號傳播整個路徑所花費的時間��,所以使用多次RTT測量中的最低值通常會產(chǎn)生更精確和可靠的結(jié)果�����。
應(yīng)該注意�����,惡意用戶可能在接收到OC之前發(fā)送IC���。這將欺騙RDS102計算較短的RTT。因此�����,建議在OC中設(shè)置一些秘密信息(秘密信息是無法被那些還未獲知該秘密的人或設(shè)備輕易獲得的信息)��,并要求IC包含該秘密信息(或其派生物)。這防止了在接收到OC中的秘密信息之前發(fā)送IC�。例如,上述HTTP“302”響應(yīng)可以將HTTP客戶端重定向到包含秘密的URL����。HTTP客戶端隨后將產(chǎn)生對于該URL的HTTP請求,由此發(fā)回相同的秘密�����。在另一示例中�����,TCP SYN-ACK片段(OC)包含秘密初始序列號����,而包含ACK控制標(biāo)志的TCP片段(TCP ACK片段;IC)包含確認號����,該確認號是初始序列號的派生物。在另一示例中�����,ICMP回應(yīng)消息(OC)包含秘密標(biāo)識符、序列號或者數(shù)據(jù)��,而ICMP回應(yīng)答復(fù)消息(IC)包含相同的秘密��。
應(yīng)該注意����,在計算RTT時,RDS 102還必須對由MH 110發(fā)送的通信進行監(jiān)測(不僅對由MH 110接收的通信)�,以檢測發(fā)送各個OC的時刻。然而���,如果已知對于ISD 104的OC和對于PRD 150的OC要在相同的時刻發(fā)送����,則可以繞過該要求���。在這種情況下����,RTT是未知的�,但是仍然可以計算出RTT間隙����,RTT間隙等于各個IC的到達時刻之間的差�。例如��,如果PRIE是SSL/TLS而NRIE是TCP�����,則由MH 110發(fā)送的TCPSYN-ACK片段是這種OC���,并且RTT間隙是對應(yīng)的TCP ACK片段的接收與SSL/TLS ClientHello消息的接收之間的時間�。
如果MH 110未發(fā)送OC(其可以由RDS 102使用)�����,則RDS 102可能需要自己發(fā)送這種OC��。例如����,RDS 102對去往和來自網(wǎng)站(MH 110)的HTTP通信進行監(jiān)測。為了測量PRIE的RTT��,RDS 102為由MH 110接收的HTTP請求中的某些提供HTTP“302”響應(yīng)�,如上所述���。在該示例中,RDS 102可能需要是安裝在MH 110上的軟件模塊��,因此它可以對發(fā)送至MH 110的HTTP通信進行響應(yīng)��。
在涉及延遲或RTT的測量的實施例中��,建議檢查ISD RTT是否“明顯不同”于PRD RTT�。當(dāng)它們之間的差異是在對與相同設(shè)備的通信進行RTT測量時很少出現(xiàn)的差異時,RTT是明顯不同的�����。在撰寫本文時�,處于相當(dāng)穩(wěn)定的互聯(lián)網(wǎng)環(huán)境中的兩個設(shè)備之間的RTT在幾秒鐘的時間期限內(nèi)的變化不會超過50毫秒。相反���,經(jīng)中繼的通信中的RTT間隙通常超過100毫秒���。因此,在某些實施例中���,“顯著不同”可以被解釋為表示“超過60毫秒”�。在某些實施例中,“顯著不同”可以被解釋為表示“超過80毫秒”��。在某些實施例中�,“顯著不同”可以被解釋為表示“超過100毫秒”����,等等。
在某些實施例中�����,對于設(shè)備的RTT不是直接測量的�,而是根據(jù)與該設(shè)備有關(guān)的已知信息估計的,這些已知信息例如是其地理位置����、其IP地址的反向DNS記錄(即,主機地址到主機名翻譯)以及/或者其IP地址的WHOIS記錄(參見http://www.arin.net處的美國互聯(lián)網(wǎng)編號注冊管理機構(gòu)網(wǎng)站��,來獲取與WHOIS服務(wù)有關(guān)的信息)�。例如,如果MH 110位于美國紐約的紐約城���,而IP地理位置服務(wù)表示PRD 150位于美國加州的洛杉磯�����,并且在PRD 150的IP地址的反向DNS記錄中發(fā)現(xiàn)了表示它可能是數(shù)字用戶線(DSL�;參見http://www.dslforum.org上的DSL論壇網(wǎng)站,來獲取與DSL相關(guān)的信息)的文本“dsl”����,則RDS 102可以估計MH 110與PRD 150之間的RTT在65~85毫秒的范圍內(nèi)。這是因為�,已知紐約城與洛杉磯之間的互聯(lián)網(wǎng)上的RTT通常大約為55毫秒,并且因為�����,已知DSL通常向RTT添加額外的10~30毫秒�。
使用設(shè)備配置狀態(tài)在本發(fā)明的另一具體實施例中,ISD特征和PRD特征分別是ISD 104和PRD 150的配置狀態(tài)�����。這里使用的術(shù)語“配置狀態(tài)”是指設(shè)備的硬件和軟件以及它們被定制的方式����。
如果ISD特征和PRD特征是不大可能與同一設(shè)備相關(guān)的配置狀態(tài)��,則相對更可能的是��,PRD 150和ISD 104是不同的設(shè)備(即�,PRD 150是中繼設(shè)備108����,并且PRIE被中繼)��。
類似地��,如果ISD特征和PRD特征是可能與同一設(shè)備相關(guān)的配置狀態(tài)�,則相對更可能的是,PRD 150和ISD 104是同一設(shè)備(即���,PRIE不被中繼)����。
存在多種已知的用于從通信中檢測設(shè)備的配置狀態(tài)的方法����。一種方法是使用由通信中的設(shè)備提供的明確的配置信息。例如����,HTTP客戶端通常在各個HTTP請求中包含頭部“User-Agent”���,該頭部提供了與操作系統(tǒng)類型和版本、HTTP客戶端類型和版本以及安裝在該設(shè)備上的附加軟件有關(guān)的信息����。電子郵件應(yīng)用可以在RFC 822“X-Mailer”頭部中提供類似的信息,電子郵件服務(wù)器可以在RFC 822“Received”頭部中提供這種信息�,而HTTP服務(wù)器通常在HTTP響應(yīng)中包含頭部“Server”,該頭部提供了與HTTP服務(wù)器類型和版本有關(guān)的信息���。
另一種方法是根據(jù)設(shè)備實施各種通信協(xié)議的方式來推斷該設(shè)備的配置狀態(tài)�。普及的網(wǎng)絡(luò)管理工具“Nmap”包括該方法的多種實現(xiàn)����,如Nmap的開發(fā)人員所著的文章“Remote OS detection via TCP/IP Stack Fingerprinting”(可以在http://www.insecure.org/nmap/nmap-fingerprinting-article.html處獲得)中詳細描述的。例如����,該文章建議檢查通過TCP實現(xiàn)選擇的初始窗口,因為不同的操作系統(tǒng)選擇不同的編號���。應(yīng)該注意����,盡管該文章假設(shè)所調(diào)查的設(shè)備對通信進行響應(yīng),但是該方法也適用于由設(shè)備發(fā)起的通信(盡管特定的指標(biāo)可能會改變)�����。
在本實施例的一個示例(其中RD 108是SOCKS代理)中���,RDS 102對包括頭部“User-AgentMozilla/4.0(可兼容�����;MSIE 6.0;Windows NT5.0)”的HTTP請求(PRIE)進行監(jiān)測��,該頭部表示操作系統(tǒng)為MicrosoftWindows 2000�����。通過具有初始窗口5840(這對于其他操作系統(tǒng)(尤其是Red Hat Enterprise Linux)是典型的)的TCP連接(NRIE)來發(fā)送該HTTP請求��。由于一個設(shè)備不能并行運行兩個操作系統(tǒng)���,所以RDS 102確定ISD104和PRD 150為不同設(shè)備(即����,PRD 150是中繼設(shè)備108,并且該HTTP請求被中繼)��。在該示例中�����,ISD特征是下述的信息ISD 104正在運行Microsoft Windows 2000操作系統(tǒng)��,而PRD特征是下述的信息PRD 150正在運行Red Hat Enterprise Linux操作系統(tǒng)���。
在本實施例的另一示例(其中RD 108是使用CONNECT方法的HTTP代理)中�����,RDS 102對包括頭部“Mozilla/5.0(Macintosh�;U���;PPCMac OS X��;en)AppleWebKit/124(KHTML�,類似Gecko)Safari/125”的HTTP請求(PRIE)進行監(jiān)測���,該頭部表示操作系統(tǒng)為Apple Mac OSX�����。通過TCP連接(NRIE)來發(fā)送該HTTP請求��。RDS 102連接至該TCP連接的源IP地址的端口80���,并發(fā)送HTTP請求����。RDS 102隨后接收包含頭部“ServerMicrosoft-IIS/5.0”的HTTP響應(yīng)(如下所述���,該HTTP響應(yīng)的原始源為PRD 150)。由于已知Microsoft IIS服務(wù)器不在Apple MacOS X操作系統(tǒng)上運行����,所以RDS 102確定ISD 104和PRD 150是不同的設(shè)備(即,PRD 150是中繼設(shè)備108��,并且來自ISD 104的HTTP請求被中繼)����。在該示例中����,ISD特征是下述的信息ISD 104正在運行Apple MacOS X操作系統(tǒng)�,而PRD特征是下述的信息PRD 150正在運行MicrosoftIIS服務(wù)器。
在某些情況下�,需要向信息要素的原始源發(fā)送OC,該OC將導(dǎo)致該原始源發(fā)送回可用來確定其配置的IC�����。在以上給出的其中使用了HTTP“Server”頭部的示例中���,從RDS 102發(fā)送至PRD 150的HTTP請求是OC����,而HTTP響應(yīng)是IC��。下面對確保OC被發(fā)送至信息要素的原始源的方法以及確保從信息要素的原始源接收到IC的方法進行說明����。
使用位置、子網(wǎng)或管理者信息在本發(fā)明的另一具體實施例中��,ISD特征和PRD特征分別是ISD 104和PRD 150的位置、子網(wǎng)和/或管理者����。這里使用的術(shù)語“位置”是指設(shè)備的地理位置,術(shù)語“子網(wǎng)”是指在網(wǎng)絡(luò)拓撲中靠近一設(shè)備的一組設(shè)備���,而術(shù)語“管理者”是指將該設(shè)備連接至網(wǎng)絡(luò)(例如�����,至互聯(lián)網(wǎng))的組織����。設(shè)備的位置的示例可以是“美國���,紐約���,紐約城”或者“北緯32度5分,東經(jīng)34度46分”��。設(shè)備的子網(wǎng)的示例可以是“位于與IP地址為1.2.3.4的設(shè)備相同的局域網(wǎng)段上的所有設(shè)備”����。設(shè)備的管理者的示例可以是“美國喬治亞州亞特蘭大的Earthlink公司”�����,它是將用戶連接至互聯(lián)網(wǎng)以進行收費的互聯(lián)網(wǎng)服務(wù)供應(yīng)商,或者“美國新澤西州普林斯頓的GeneralElectric公司”�����,它是根據(jù)需要將其一些雇員連接至互聯(lián)網(wǎng)以進行工作的公司�。
單個設(shè)備不大可能同時具有兩個不同的位置、子網(wǎng)或管理者�����。因此���,如果發(fā)現(xiàn)與PRD 150相比�����,ISD 104位于不同的位置和/或不同的子網(wǎng)以及/或者具有不同的管理者����,則相對更可能的是����,ISD 104和PRD 150是不同的設(shè)備(即����,PRIE被中繼)��。類似地�����,如果發(fā)現(xiàn)ISD 104和PRD 150位于相同的位置和/或相同的子網(wǎng)以及/或者具有相同的管理者����,則相對更可能的是,PRD 150和ISD 104是同一設(shè)備(即�����,PRIE未被中繼)����。
在一示例性實施例中,RD 108是SOCKS代理����,ISD 104是SMTP客戶端,而MH 110是SMTP服務(wù)器��。在這種情況下���,RDS 102使用TCP會話(NRIE)的源IP地址和IP地理位置服務(wù)來估計PRD 150的位置�����。隨后��,其使用SMTP通信(PRIE)中所報告的RFC 822“Date”頭部來估計ISD 104的位置��。該“Date”頭部表示ISD 104的時間(“掛鐘”)和時區(qū)配置�����,因此表示了其位置(因為設(shè)備通常被配置為本地時間和時區(qū))�����。如果兩個位置不匹配(例如�����,地理位置服務(wù)表示PRD 150位于紐約城��,而ISD 104的時區(qū)為GMT+7)���,則RDS 102確定PRD 150和ISD 104是不同的設(shè)備(即��,PRD 150是中繼設(shè)備108��,并且SMTP通信被中繼)����。
估計PRD 150的位置的另選方法(除使用IP地理位置服務(wù)以外)包括但不限于(a)檢查IP地址的WHOIS記錄���,WHOIS記錄中給出的地址有可能相對接近PRD 150的位置�����;以及(b)檢查IP地址的反向DNS記錄(例如��,如果該記錄以“.fr”結(jié)束���,則PRD 150有可能在法國)。
估計ISD 104的位置的另選方法(除使用SMTP通信中的“Date”頭部以外)包括但不限于(a)(在PRIE是SMTP的情況下)檢查SMTP通信中所報告的最后一個RFC 822“Received”頭部�,它應(yīng)該包含由ISD104使用的SMTP服務(wù)器的時區(qū)配置,該時區(qū)配置通常與ISD 104自身的時區(qū)相同���;(b)(在PRIE是HTTP的情況下)檢查HTTP頭部“Accept-Language”�,其表示ISD 104所支持的語言(例如,頭部“Accept-Languageru”表示ISD 104支持俄語內(nèi)容�,因此相對更可能的是��,ISD 104位于俄羅斯)����;以及(c)使用上述用于估計PRD 150的位置的方法中的任意一種,來檢查由ISD 104處的事件觸發(fā)的另一通信(ISD觸發(fā)通信���,如稍后詳細說明)的源的位置�����。
在另一示例性實施例中���,RD 108屬于不對TCP進行中繼(即,TCP是NRIE)的類型的中繼設(shè)備��,RDS 102使用TCP會話的源IP地址來估計PRD 150的子網(wǎng)�。這可以通過檢索與該IP地址相關(guān)的WHOIS記錄、反向DNS記錄或者路由數(shù)據(jù)庫記錄(參見http://www.radb.net處的RADb網(wǎng)站�,來獲取與路由數(shù)據(jù)庫有關(guān)的信息)來完成����。這也可以通過使用響應(yīng)于具有小Time-to-Live值的IP分組而發(fā)送的“Time Exceeded”ICMP消息來發(fā)現(xiàn)與PRD 150相鄰的路由器來完成�,如Unix工具traceroute(或者等效的Microsoft Windows工具tracert)所完成的,因為同一子網(wǎng)中的設(shè)備通常通過同一路由器連接至互聯(lián)網(wǎng)100���。RDS 102隨后估計ISD 104的子網(wǎng)��。這可以通過使用上述用于估計PRD 150的子網(wǎng)的方法中的任意一種來檢查ISD觸發(fā)通信(如稍后詳細說明)的源的子網(wǎng)而完成�。如果這兩個子網(wǎng)不匹配(例如���,這些設(shè)備的WHOIS記錄中的子網(wǎng)名不同或者這些設(shè)備不具有公共的相鄰路由器)����,則RDS 102確定PRD 150和ISD 104是不同的設(shè)備(即�����,PRD 150是中繼設(shè)備108��,并且PRIE被中繼)��。
在另一示例性實施例中��,RD 108屬于不對TCP進行中繼(即,TCP是NRIE)的類型的中繼設(shè)備��,RDS 102使用TCP會話的源IP地址來估計PRD 150的管理者�。估計管理者的示例性方法包括但不限于(a)檢索與該IP地址相關(guān)聯(lián)的WHOIS記錄(該記錄中給出的組織名稱有可能是管理者);(b)檢索與該IP地址相關(guān)聯(lián)的反向DNS記錄(例如����,如果該記錄以“cox.net”結(jié)束����,則管理者可能是“美國喬治亞州亞特蘭大的Cox通信公司”);(c)在與該IP地址相關(guān)聯(lián)的反向DNS記錄中檢索與二級域(second-level domain)相關(guān)聯(lián)的WHOIS記錄�����;以及(d)檢索與該IP地址相關(guān)聯(lián)的路由數(shù)據(jù)庫記錄�。RDS 102隨后估計ISD 104的管理者。估計ISD 104的管理者的方法包括但不限于(a)(在PRIE為HTTP的情況下)檢查經(jīng)常包含有與管理者相關(guān)的信息的HTTP頭部“User-Agent”���。例如包含文本“AOL 9.0”的“User-Agent”頭部表示安裝在ISD 104上的HTML瀏覽器是由美國維吉尼亞州杜勒斯的美國在線公司(AOL)提供的����。由于許多互聯(lián)網(wǎng)用戶都從相同的組織(他們通過該組織連接至互聯(lián)網(wǎng))接收其HTML瀏覽器��,所以這增大了ISD 104通過AOL連接至互聯(lián)網(wǎng)(即,AOL是管理者)的可能性����。在另一示例中,文本“Cox High Speed Internet Customer”表示該瀏覽器是由美國喬治亞州亞特蘭大的Cox通信公司提供的���;(b)(在PRIE是SMTP的情況下)檢查RFC 822“Organization”頭部�����,該頭部經(jīng)常包含與管理者有關(guān)的信息�����;以及(c)使用上述估計PRD 150的管理者的方法中的任意一種�,來檢查ISD觸發(fā)通信(如稍后詳細說明)的源IP地址的管理者�。
ISD觸發(fā)通信可以通過觸發(fā)ISD 104以發(fā)送通信來發(fā)現(xiàn)與ISD 104相關(guān)的信息。這種通信是“ISD觸發(fā)通信”��。
在PCT申請WO02/08853中公開了暴露ISD 104的IP地址的示例性ISD觸發(fā)通信��,在此通過引用并入其全部內(nèi)容�����。在接收到ISD 104的IP地址之后,RDS 102可以使用上述方法來找到其位置���、子網(wǎng)或管理者���。然后可以將它們與PRD 150的位置、子網(wǎng)或管理者進行比較���,并確定它們是否為不同的設(shè)備�����。另選地,RDS 102可以直接將ISD 104的IP地址與PRD 150的IP地址進行比較�。如果它們不同,則相對更可能的是�����,ISD104與PRD 150是不同的設(shè)備(即����,PRD 150是中繼設(shè)備108,并且PRIE被中繼)。
另一示例性觸發(fā)通信為DNS請求�。在某些情況下,ISD 104發(fā)送與PRIE相關(guān)聯(lián)的DNS請求����,以將主機名翻譯為IP地址。ISD 104向所使用的一個或更多個DNS服務(wù)器發(fā)送該DNS請求�。ISD 104的DNS服務(wù)器隨后向權(quán)威性DNS服務(wù)器發(fā)送DNS請求,以獲得給定的主機名�����。RDS102監(jiān)測被發(fā)送給該權(quán)威性DNS服務(wù)器的DNS請求��。應(yīng)該注意�����,盡管可以從ISD 104所使用的DNS服務(wù)器接收到RDS 102監(jiān)測的DNS請求�����,但是ISD 104是包含在該DNS請求中的至少一個信息要素的原始源����。美國專利申請US2002016831(在此通過引用并入其全文)描述了使設(shè)備產(chǎn)生DNS請求的方法,以及將該DNS請求與發(fā)出它們的設(shè)備的識別信息相關(guān)聯(lián)的方法。一種用于將DNS請求與相關(guān)PRIE相關(guān)聯(lián)的方法是�����,將權(quán)威性DNS服務(wù)器配置為以不同的IP地址來對翻譯主機名的各個請求進行回復(fù)���,并保存哪個DNS請求接收到哪個IP地址作為回復(fù)的記錄��。當(dāng)在這些IP地址中的一個處接收到PRIE時���,可以從該記錄中檢索相關(guān)的DNS請求。
在從ISD 104的DNS服務(wù)器接收到DNS請求之后�,RDS 102可以使用上述方法來找到其位置、子網(wǎng)或管理者���。出于性能和經(jīng)濟性的因素�����,將連接至互聯(lián)網(wǎng)的許多設(shè)備配置為使用位于相同位置、在相同子網(wǎng)上或者由相同管理者管理的DNS服務(wù)器�����。因此,RDS 102可以分別將PRD 150的位置�、子網(wǎng)或管理者與ISD 104的DNS服務(wù)器的位置、子網(wǎng)或管理者進行比較����。如果它們不匹配,則相對更可能的是�����,PRD 150是與ISD 104不同的設(shè)備(即����,PRIE被中繼)。
使用最大通信速率在本發(fā)明的另一具體實施例中�����,使用PRD 150和ISD 104的最大通信速率(MCR)來確定它們是否為相同的設(shè)備��。術(shù)語MCR是指在一時間間隔期間設(shè)備可以接收(入局MCR)或發(fā)送(出局MCR)的信息的最大量����。“比特每秒”(bps)是MCR的通用量度����。例如���,某些DSL線具有1.5兆bps(Mbps)的入局MCR以及96千bps(kbps)的出局MCR。
如果PRD 150的MCR與ISD 104的不同����,則相對更可能的是,ISD104是與PRD 150不同的設(shè)備(即�����,PRIE被中繼)���。
在本實施例的一個示例中�,RD 108通過具有1.5Mbps入局MCR和96kbps出局MCR的DSL線連接至互聯(lián)網(wǎng)100����。由于從MH 110到ISD104的中繼通信通過RD 108的入局接口并隨后通過其出局接口傳送,所以ISD 104的入局MCR不會超過RD 108的出局MCR(96kbps)����。因此��,PRD 150的入局MCR是1.5Mbps,而ISD 104的入局MCR是96kbps或更低��。
在本實施例的另一示例中����,RD 108在兩個方向上都以20 Mbps的MCR連接至互聯(lián)網(wǎng)100,而ISD 104通過具有1.5Mbps入局MCR和96kbps出局MCR的DSL線連接至互聯(lián)網(wǎng)100�����。因此��,PRD 150的入局MCR為20Mbps����,而ISD 104的入局MCR為1.5Mbps,并且PRD 150的出局MCR為20Mbps�,而ISD 104的出局MCR為96kbps。
檢測MCR根據(jù)本發(fā)明的某些實施例����,通過檢測ISD 104的MCR和PRD 150的MCR并進行比較來檢測它們是否不同。檢測MCR的一種方法是使用自動調(diào)節(jié)至最大可能通信速率的協(xié)議(例如TCP)來向設(shè)備發(fā)送信息或從設(shè)備接收信息�����,并觀察通信速率。為了獲得對于在TCP中使用的用于調(diào)節(jié)至MCR的某些機制的說明��,請參見文章“JACOBSON����,V.Congestionavoidance and control.In Proceedings of SIGCOMM’88(Stanford,CA���,Aug.1988)����,ACM”及其引用的文章��。
觀察設(shè)備的入局通信速率的另一種方法涉及對從該設(shè)備接收到的接收確認進行監(jiān)測���。例如�,接收到與TCP連接相關(guān)的信息的設(shè)備經(jīng)常發(fā)送其成功接收到的信息的量����。在某一時刻接收到字節(jié)數(shù)3,000,000的確認并且在20秒之后接收到字節(jié)數(shù)3,250,000的確認表示該設(shè)備正在以12,500字節(jié)每秒的速率接收信息,12,500字節(jié)每秒等于100,000比特每秒(即��,其入局MCR為100kbps)����。在另一示例中,如上所述�,HTML瀏覽器通常在接收到HTML頁面中的第一個嵌入圖像(例如,使用HTML<img>標(biāo)簽)時立即產(chǎn)生HTTP請求����。在開始發(fā)送其中該嵌入圖像標(biāo)簽被設(shè)置在偏移1,000,000字節(jié)處的HTML頁面之后40秒接收到該HTTP請求,表示該設(shè)備正在以25,000字節(jié)每秒的速率接收信息��,25,000字節(jié)每秒等于200,000比特每秒(即����,其入局MCR為200kbps)。應(yīng)該注意���,這種測量可能是不精確的���,因為其對HTML頁面的起始的發(fā)送與HTTP請求的接收進行比較,由此向該量度添加了至少一個往返時間�����。測量該往返時間并將其從該時間量度中減去而可以得到更加精確的結(jié)果����。
RD 108通常對MH 110和ISD 104之間的中繼通信進行緩沖��。緩沖器是臨時存儲器�,RD 108向其中寫入其接收到的通信����,并從其中讀取其發(fā)送的通信。當(dāng)緩沖器未滿時��,RD 108可以按照其入局MCR速率接收通信��。當(dāng)緩沖器已滿時�,RD 108可以按照其可以清空緩沖器的速率(即,按照其可以從緩沖器向外發(fā)送通信的速率)來接收通信��。這意味著����,當(dāng)緩沖器未滿時,從MH 110到RD 108的通信速率的量度將是RD 108的入局MCR的指標(biāo)�����,而當(dāng)緩沖器變滿時,將是ISD 104的入局MCR的指標(biāo)����。如果ISD 104的入局MCR小于RD 108的入局MCR,則緩沖器會變滿����。例如���,如果RD 108具有大小為100,000字節(jié)的緩沖器��,并且其入局MCR為1.5Mbps���,而ISD 104的入局MCR為96Kbps,則這些緩沖器將以1.404Mbps的速率被填充�����。按照該速率�����,緩沖器變滿將需要大約0.57秒����。在該示例中���,通信速率的量度在開始的0.57秒內(nèi)將是1.5Mbps,這是RD 108的入局MCR的指標(biāo)��,而通信速率的量度在開始的0.57秒之后將是96Kbps�,這是ISD 104的入局MCR的指標(biāo)。
因此����,在PRD 150是RD 108的情況下,PRD 150的入局MCR由緩沖器變滿之前的PRD 150的入局通信速率來表示���,而ISD 104的入局MCR由緩沖器變滿之后的PRD 150的入局通信速率來表示�。
在PRD 150是ISD 104的情況下�,該緩沖器不存在,從而PRD 150入局通信速率不改變�����,保持與ISD 104的入局MCR相等���。
因此�,PRD 150的入局MCR等于PRD 150的入局通信速率,直到使RD 108的緩沖器變滿的時刻為止�����,此后�����,ISD 104的入局MCR等于PRD 150的入局通信速率�。
因此��,RDS 102可以通過在這兩個時刻比較PRD 150的入局通信速率�����,來確定PRD 150是否是中繼設(shè)備108��。
在許多情況下����,從RD 108到MH 110的通信速率都不超過ISD 104的出局MCR,因為RD 108僅將其從ISD 104接收到的信息發(fā)送給MH110����,并且通常不會自己產(chǎn)生大量信息。然而,由于如上所述�����,RD 108對ISD 104和MH 110之間的通信進行緩沖����,所以可以如下測量RD 108的出局MCR。某些協(xié)議包含了“流量控制”機制��,這使得在停止發(fā)送新信息以及在繼續(xù)發(fā)送時��,接收信息的設(shè)備可以向發(fā)送該信息的設(shè)備發(fā)送信號����。例如,在TCP中��,如果接收設(shè)備發(fā)送了“Window”值為零的ACK片段�����,則發(fā)送設(shè)備通常會停止發(fā)送新信息����,直到其接收到“Window”值為正的ACK段為止����。MH 110或RDS 102可以使用“流量控制”機制向RD 108發(fā)送信號�,以停止發(fā)送新信息。這將使得RD 108的緩沖器將被RD 108要繼續(xù)從ISD 104接收而不發(fā)送至MH 110的信息填滿�����。MH 110或RDS 102隨后將使用“流量控制”機制向RD 108發(fā)送信號���,以恢復(fù)發(fā)送新信息����。由于現(xiàn)在RD 108將從其本地緩沖器發(fā)送信息���,直到緩沖器空閑為止,所以通信速率的量度將是RD 108的出局MCR的指標(biāo)�����。
根據(jù)本發(fā)明的某些實施例���,通過檢測PRD 150中的緩沖器是被填充還是被清空的指標(biāo)來檢查ISD 104的MCR是否與PRD 150的MCR不同�。例如,如上所述�,如果ISD 104的入局MCR小于PRD 150的入局MCR,則RD 108中的緩沖器將被填滿�。在另一示例中,如上所述��,如果ISD 104的出局MCR小于PRD 150的出局MCR����,則RD 108中的緩沖器將被清空。某些協(xié)議允許設(shè)備向與其進行通信的其他設(shè)備通告其緩沖器的容量及其派生容量�����,而該信息可以用來估計設(shè)備的緩沖器是被填滿還是變得空閑���。例如�����,在TCP中���,設(shè)備在其發(fā)送的每一個ACK片段的“Window”頭部中通告其愿意接收的信息量?���!癢indow”頭部的該值的變化通常反映了該設(shè)備的緩沖器的容量的變化�����?���!癢indow”值的增大表示緩沖器正被清空�,而“Window”值的減小表示緩沖器正被填充。
因此�����,減小的“Window”值是PRD 150的入局MCR大于ISD 104的入局MCR的直接表示���,意味著PRD 150和ISD 104是不同的設(shè)備(即�,PRD 150是中繼設(shè)備108)���。
檢測MCR的另一種方法是測量兩個通信(它們之間的差別僅在于各自所包含的信息量)的兩個延遲,然后根據(jù)這兩個延遲之間的差異來計算MCR�。如上所述,通信通過通信線路傳送所需的時間與該通信中所包含的信息量成比例���。因此���,MCR等于這兩個通信中的信息量之間的差除以這兩個延遲之間的差��。
該方法還可以與RTT量度一起使用而不是與延遲一起使用��。例如�,可以使用具有短回應(yīng)消息(例如64字節(jié))的ICMP回應(yīng)機制的RTT以及具有長回應(yīng)消息(例如1500字節(jié))的RTT來檢測設(shè)備的MCR�。應(yīng)該注意,如果入局和出局通信包含相同的信息量��,如在ICMP回應(yīng)示例中那樣�����,則該RTT方法將提供該設(shè)備的入局和出局MCR兩者的組合量度�����?�?朔撓拗频囊环N方法是使用其中僅入局和出局通信中的一個包含大量信息的協(xié)議來進行RTT測量��。這將降低其他通信的延遲對于RTT的貢獻����,由此提供了第一通信的延遲的更好的近似�����。例如����,發(fā)送至已關(guān)閉端口的TCP SYN片斷通常會觸發(fā)包含RST標(biāo)志的片段(RST片段)���。盡管SYN片段可以是由其發(fā)送者選定的大小���,但是RST片段通常較小(例如,40字節(jié))���。
檢測MCR的另一種方法是根據(jù)與該設(shè)備有關(guān)的其他已知信息來估計MCR����。例如��,在該設(shè)備的IP地址的反向DNS中發(fā)現(xiàn)文本“dsl”表示其可能是DSL線��,DSL線通常具有500至2,500kbps的入局MCR以及64至256kbps的出局MCR�。在另一示例中,發(fā)現(xiàn)PRD 150的管理者是AOL表示其可能是通過語音調(diào)制解調(diào)器撥號線路進行連接的(因為這是AOL所提供的基本連接選項)���,語音調(diào)制解調(diào)器撥號線路通常具有達到56kbps的入局MCR以及達到33kbps的出局MCR�。
使用同一中繼設(shè)備的兩個設(shè)備在本發(fā)明的另一具體實施例中�����,RDS 102通過確定兩個信息要素的原始源是兩個不同的設(shè)備��,而檢測出PRD 150是中繼設(shè)備108�����,而不要求原始源之一為PRD 150���。
在該實施例中�����,RDS 102試圖在區(qū)分以下兩種情況圖5A示出了第一種情況�����,其中ISD 104向MH 110直接發(fā)送兩個信息要素��,PRIE1和PRIE2�,而不使用RD 108。這兩個信息要素是RD 108可以中繼的類型�。
圖5B示出了第二種情況,其中兩個不同的設(shè)備����,ISD 104和ISD2 106分別向MH 110發(fā)送信息要素,其中兩個信息要素都經(jīng)過RD 108中繼���。
RDS 102如下地區(qū)分這兩種情況RDS 102對MH 110的通信進行監(jiān)測���,由此從RD 108接收到兩個可能經(jīng)中繼的信息要素(PRIE1和PRIE2)。RDS 102隨后檢查PRIE1的原始源(PRIE1源)的特征(PRIE1特征)和PRIE2的原始源(PRIE2源)的特征(PRIE2特征)是否為不相容特征�。如果PRIE1特征和PRIE2特征確實為不相容特征,則更可能的是����,PRIE1的原始源和PRIE2的原始源是不同的設(shè)備,這意味著第二種情況更有可能��,這意味著PRIE1和PRIE2可能經(jīng)過了中繼����。
為簡單起見�,本實施例的說明僅包含三個設(shè)備��,其中兩個設(shè)備使用中繼設(shè)備����。實際上���,有許多設(shè)備與互聯(lián)網(wǎng)100相連���,它們中的每一個都可以使用或者不使用同樣連接至互聯(lián)網(wǎng)100的多個中繼設(shè)備之一。更一般地�,該實施例通過確定從可能的中繼設(shè)備接收到的至少兩個可能經(jīng)中繼的信息要素的至少兩個原始源具有不相容特征,而檢測到可能的中繼設(shè)備是中繼設(shè)備�。由于通過定義單個設(shè)備不可能具有不相容特征,所以兩個原始源可能是不同的設(shè)備�����,因此這些源中的至少一個不是可能的中繼設(shè)備����,這意味著來自該源的信息要素經(jīng)過了中繼��,并且該可能的中繼設(shè)備是中繼設(shè)備���。
上述用于確定多個特征是否為不相容特征的所有方法也適用于本實施例(經(jīng)過必要的修正)。例如����,RDS 102可以比較PRIE1和PRIE2中提供的HTTP“User-Agent”頭部,并且如果它們表示不同的操作系統(tǒng)�,則確定ISD 104和ISD2 106是不同的設(shè)備,因此確定PRD 150是中繼設(shè)備108�����。在另一示例中��,RDS 102可以檢測到與PRIE1源和PRIE2源的通信的RTT明顯不同�。應(yīng)該注意,在這種情況下��,每個RTT都是(a)RD 108與MH 110之間的RTT和(b)各個原始源與RD 108之間的RTT的總和����。因此,該情況下的RTT間隙是(c)PRIE1與RD 108之間的RTT和(d)PRIE2源與RD 108之間的RTT之間的差的結(jié)果�����。這兩個RTT不必明顯不同,但是在某些情況下它們可以明顯不同���,而使得RDS 102能夠檢測RTT間隙����。
確保與原始源的通信在本發(fā)明的某些實施例中�����,根據(jù)一個或更多個新通信���,而不是根據(jù)原始通信或包含NRIE和/或PRIE的通信,來獲得與設(shè)備的特征相關(guān)的信息��。對于將要可用的這些新通信���,應(yīng)該驗證這些通信是與PRIE和/或NRIE的原始源的通信���。
美國公開專利申請2004243832(在此通過引用并入其全部內(nèi)容)公開了多種用于確定兩個網(wǎng)絡(luò)消息是否來自于同一發(fā)送者的方法。盡管這些方法涉及消息而不是信息要素或通信�����,并且涉及發(fā)送者而不是原始源,但是本領(lǐng)域的技術(shù)人員應(yīng)該理解�����,其中所述的大多數(shù)方法都適用于檢測兩個信息要素是否由同一原始源發(fā)送的�。
在一個示例性實施例中,通過相同源IP地址接收的或者發(fā)送至相同目的IP地址的ICMP分組和TCP/IP分組可以被認為是與同一設(shè)備的通信�����。
在另一示例性實施例中���,屬于一個TCP連接的入局TCP/IP分組可以被認為是來自同一設(shè)備����。
在另一示例性實施例中�����,根據(jù)HTTP協(xié)議而在HTTP請求之后發(fā)送的HTTP響應(yīng)可以被認為是與該HTTP請求的源的通信�。
系統(tǒng)圖3描繪了根據(jù)本發(fā)明一具體實施例的中繼檢測系統(tǒng)102的組成部分。
信息要素接收器30對MH 110接收的通信進行監(jiān)測���。其可能還對MH 110發(fā)送的通信進行監(jiān)測�。其可能還對出局通信發(fā)送器36發(fā)送的通信進行監(jiān)測。
特征不相容性分析器34確定ISD特征和PRD特征是否為不相容特征���。
可選特征發(fā)現(xiàn)模塊32發(fā)現(xiàn)ISD特征和/或PRD特征����。
可選出局通信發(fā)送器36發(fā)送一個或更多個出局通信�。
可選參數(shù)獲得器38獲得表示以下信息的一個或更多個參數(shù)(a)ISD特征;(b)PRD特征���;和/或(c)ISD特征和PRD特征是否為不相容特征。
可選特征數(shù)據(jù)庫40包含多對特征以及它們是否為不相容特征的列表���。例如�����,特征數(shù)據(jù)庫40可以包含各個操作系統(tǒng)支持哪些HTML客戶端的描述���。
多樣性應(yīng)該理解,根據(jù)某些實施例�,本發(fā)明使用了在本說明書所公開的對于確定可能的中繼設(shè)備是否為中繼設(shè)備以及/或者對于確定所接收的信息要素是否由中繼設(shè)備進行了中繼有用的特征或參數(shù)的任意組合���。
在上述的某些實施例中,ISD特征和/或PRD特征與延遲和/或通信速率相關(guān)�。本領(lǐng)域技術(shù)人員應(yīng)該理解,這些是其中ISD特征和/或PRD特征與通信性能相關(guān)的更一般情況中的特殊情況���?����!巴ㄐ判阅堋笔侵该枋鐾ㄐ诺乃俣?��、速率、時間�����、效率等的所有參數(shù)的一般性術(shù)語���。
在確定兩個特征是否為不相容特征時����,RDS 102應(yīng)該考慮發(fā)現(xiàn)各個特征的時刻。例如�����,如果兩個特征是等于9:05am和10:05am的掛鐘配置���,而第二特征是正好在第一特征之后一小時發(fā)現(xiàn)的���,則不能認為這兩個特征是不相容特征,因為發(fā)現(xiàn)時刻的差別直接說明了特征的差別�����。然而�����,如果相同的兩個特征在大致相同的時刻被發(fā)現(xiàn)���,則可以認為它們是不相容特征。在另一示例中�,如果一個特征是900毫秒的RTT量度,而另一個特征是940毫秒的RTT���,并且第一特征是在另一特征之后24小時發(fā)現(xiàn)的�����,則這兩個特征不一定是不相容特征�,因為網(wǎng)絡(luò)拓撲變化可能造成這種差異。然而�,如果在相同的100毫秒時間段內(nèi)發(fā)現(xiàn)相同的兩個特征,則拓撲變化的可能性較小����,因此這兩個特征更可能是不相容特征。
如果幾乎在相同的時刻發(fā)現(xiàn)這些特征����,則RDS 102應(yīng)該考慮這些特征是否不可能同時與同一設(shè)備相關(guān)。
以上特別參照當(dāng)前所公開的實施例對本申請的多個創(chuàng)新教示進行了說明����。然而,應(yīng)該理解�����,這種類型的實施例僅提供了此處的創(chuàng)新教示的許多有益應(yīng)用的幾個示例�����。通常,在本申請的說明書中進行的描述不必限定各個所要求保護的發(fā)明中的任何一個����。此外,某些描述可適用于某些發(fā)明特征而不適用于其他發(fā)明特征�。
盡管示出并描述了本發(fā)明的具體實施例,但是對于本領(lǐng)域的技術(shù)人員顯而易見的是�,可以在不脫離本發(fā)明的情況下,可以在其更寬廣的方面進行多種變化和修改�,因此,所附權(quán)利要求旨在涵蓋落入本發(fā)明真實精神和范圍內(nèi)的所有這些變化和修改����。
根據(jù)某些實施例,這里所使用的術(shù)語“不大可能”是指最大可能性為最多40%的可能性�����。
在其他實施例中����,該最大可能性為最大30%����。
在其他實施例中����,該最大可能性為最大20%�����。
在其他實施例中�����,該最大可能性為最大10%���。
在其他實施例中�,該最大可能性為最大5%�。
在其他實施例中,該最大可能性為最大1%����。
在其他實施例中,該最大可能性為最大1/2%��。
類似地��,“可能”事件是下述的事件,該時間發(fā)生的可能性為100%減去“不大可能”事件的可能性���。
根據(jù)某些實施例���,“單個”設(shè)備是在物理上的一個設(shè)備。然而���,本領(lǐng)域中公知的是��,連接至數(shù)據(jù)網(wǎng)絡(luò)的電子設(shè)備(例如中繼設(shè)備����、所監(jiān)測的主機和信息源設(shè)備)通常是在邏輯上被配置為作為“單個”設(shè)備將它們自己呈現(xiàn)給數(shù)據(jù)網(wǎng)絡(luò)和/或該數(shù)據(jù)網(wǎng)絡(luò)上的設(shè)備的多個物理上不同的設(shè)備的集群���。因此��,這里使用的“單個”設(shè)備是指單個物理設(shè)備����,以及在邏輯上被配置為將它們自己表現(xiàn)為單個設(shè)備的多個物理設(shè)備���。
根據(jù)某些實施例���,這里使用的“不同”位置是指位于不同國家的地點。
根據(jù)某些實施例��,這里使用的“不同”位置是指位于不同州的地點�。
根據(jù)某些實施例,這里使用的“不同”位置是指位于不同省的地點�����。
根據(jù)某些實施例����,這里使用的“不同”位置是指位于不同洲的地點。
根據(jù)某些實施例��,這里使用的“不同”位置是指位于不同時區(qū)的地點����。
根據(jù)某些實施例,這里使用的“不同”位置是指相距最少100公里����,或者最少200公里,或者最少1000公里��,或者最少2500公里的地點。
權(quán)利要求
1.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源��;以及b)確定所述第一信息要素的原始源的特征和所述可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征���,其中所述確定的肯定結(jié)果表示所述可能的中繼設(shè)備是中繼設(shè)備����。
2.根據(jù)權(quán)利要求1所述的方法����,其中,所述第二信息要素是下述的類型����,即,一種中繼設(shè)備類型的中繼設(shè)備不大可能中繼的類型����。
3.根據(jù)權(quán)利要求2所述的方法,其中����,所述中繼設(shè)備類型是從以下組中選擇的��,該組包括SOCKS代理��、使用GET方法的HTTP代理、使用CONNECT方法的HTTP代理��、IP路由器和網(wǎng)絡(luò)地址翻譯設(shè)備��。
4.根據(jù)權(quán)利要求1所述的方法�,其中,所述第二信息要素是通信的一部分���,其中該通信是從以下組中選擇的類型�,該組包括IP��、TCP���、ICMP�、DNS����、HTTP、SMTP�����、TLS和SSL。
5.根據(jù)權(quán)利要求1所述的方法���,其中�,所述第一信息要素是通信的一部分�����,其中該通信是從以下組中選擇的類型��,該組包括IP�����、TCP���、ICMP�、DNS�����、HTTP、SMTP�、TLS和SSL。
6.根據(jù)權(quán)利要求1所述的方法���,其中�����,所述第一信息要素和所述第二信息要素是單個通信的多個部分。
7.根據(jù)權(quán)利要求6所述的方法���,其中�,所述第一信息要素和所述第二信息要素在協(xié)議棧的兩個不同的層中進行發(fā)送����。
8.根據(jù)權(quán)利要求1所述的方法,其中�����,所述確定階段包括i)發(fā)現(xiàn)所述第一信息要素的原始源的所述特征��;以及ii)發(fā)現(xiàn)所述可能的中繼設(shè)備的所述特征����。
9.根據(jù)權(quán)利要求8所述的方法�����,其中�,所述確定階段還包括iii)對所述第一信息要素的原始源的所述特征和所述可能的中繼設(shè)備的所述特征進行比較�����。
10.根據(jù)權(quán)利要求8所述的方法��,還包括c)獲得表示所述第一信息要素的原始源的所述特征的參數(shù)�����;以及d)獲得表示所述可能的中繼設(shè)備的所述特征的參數(shù)��。
11.根據(jù)權(quán)利要求8所述的方法�,其中,所述確定階段還包括iii)考慮發(fā)現(xiàn)所述第一信息要素的原始源的所述特征和所述可能的中繼設(shè)備的所述特征中的至少一個的時刻��。
12.根據(jù)權(quán)利要求1所述的方法��,還包括c)獲得表示所述第一信息要素的所述原始源的所述特征和所述可能的中繼設(shè)備的所述特征之間的關(guān)系的參數(shù)�。
13.根據(jù)權(quán)利要求12所述的方法,其中,所述確定階段包括對表示所述第一信息要素的所述原始源的所述特征和所述可能的中繼設(shè)備的所述特征之間的關(guān)系的所述參數(shù)進行分析�。
14.根據(jù)權(quán)利要求12所述的方法,其中���,所述參數(shù)是從所述第一信息要素和所述第二信息要素中的至少一個獲得的���。
15.根據(jù)權(quán)利要求1所述的方法,還包括c)向所述第一信息要素的所述原始源和所述可能的中繼設(shè)備中的至少一個發(fā)送出局通信���;以及d)從所述第一信息要素的所述原始源和所述可能的中繼設(shè)備中的所述至少一個接收第三信息要素�。
16.根據(jù)權(quán)利要求15所述的方法��,還包括e)從所述第三信息要素得到與所述第一信息要素的所述原始源和所述可能的中繼設(shè)備中的所述至少一個的特征相關(guān)的信息����。
17.根據(jù)權(quán)利要求15所述的方法��,還包括iii)驗證所述第三信息要素的原始源是所述第一信息要素的所述原始源�����。
18.根據(jù)權(quán)利要求15所述的方法����,還包括iii)驗證所述第三信息要素的原始源是所述可能的中繼設(shè)備�����。
19.根據(jù)權(quán)利要求15所述的方法���,其中,所述第三信息要素是從以下組中選擇的���,該組包括ICMP消息�、ICMP回應(yīng)答復(fù)消息����、DNS詢問、HTTP請求���、HTTP響應(yīng)�����、HTTP“Server”頭部���、IP地址����、TCP端口���、TCP初始序列號�����、TCP初始窗口���、WHOIS記錄以及反向DNS記錄。
20.根據(jù)權(quán)利要求1所述的方法�����,其中�,所述第一信息要素的原始源的所述特征和所述可能的中繼設(shè)備的所述特征中的至少一個是與配置狀態(tài)相關(guān)的特征��。
21.根據(jù)權(quán)利要求20所述的方法����,其中,與配置狀態(tài)相關(guān)的所述特征是從以下組中選擇的�,該組包括操作系統(tǒng)類型�����、操作系統(tǒng)版本�����、軟件類型��、HTTP客戶端類型�����、HTTP服務(wù)器類型�、SMTP客戶端類型��、SMTP服務(wù)器類型�����、時間設(shè)置�、時鐘設(shè)置以及時區(qū)設(shè)置。
22.根據(jù)權(quán)利要求21所述的方法��,其中�����,所述確定包括對表示與配置狀態(tài)相關(guān)的所述特征的參數(shù)進行檢查。
23.根據(jù)權(quán)利要求21所述的方法����,其中,所述參數(shù)是從以下組中選擇的�����,該組包括HTTP“User-Agent”頭部�����、RFC 822“X-Mailer”頭部���、RFC 822“Received”頭部���、RFC 822“Date”頭部、協(xié)議實現(xiàn)方式���、TCP/IP棧指紋、IP地址�、TCP端口���、TCP初始序列號以及TCP初始窗口。
24.根據(jù)權(quán)利要求1所述的方法��,其中�����,所述第一信息要素的源的所述特征和所述可能的中繼設(shè)備的所述特征中的至少一個是與通信性能相關(guān)的特征����。
25.根據(jù)權(quán)利要求24所述的方法,其中�����,與通信性能相關(guān)的所述特征是從以下組中選擇的�,該組包括所測量的通信性能、所測量的相對通信性能以及所估計的通信性能�����。
26.根據(jù)權(quán)利要求24所述的方法���,其中����,與通信性能相關(guān)的所述特征是從以下組中選擇的,該組包括通信的延遲��、入局通信的延遲�、出局通信的延遲、通信的往返時間�����、通信速率����、入局通信速率、出局通信速率��、最大通信速率�、入局最大通信速率以及出局最大通信速率。
27.根據(jù)權(quán)利要求24所述的方法���,其中���,所述確定包括對表示與通信性能相關(guān)的所述特征的參數(shù)進行檢查。
28.根據(jù)權(quán)利要求27所述的方法,其中�,所述參數(shù)是從以下組中選擇的���,該組包括接收信息要素的時刻���、發(fā)送信息要素的時刻、往返時間��、往返時間間隙�、IP地址、Whois記錄����、反向DNS記錄以及確認信息的速率。
29.根據(jù)權(quán)利要求28所述的方法�����,其中����,較高的往返時間間隙表示中繼設(shè)備被用于惡意目的的較高可能性。
30.根據(jù)權(quán)利要求24所述的方法�,其中,根據(jù)與所述第一通信的所述原始源和所述可能的中繼設(shè)備中的至少一個有關(guān)的信息,來估計與通信性能相關(guān)的所述特征����。
31.根據(jù)權(quán)利要求30所述的方法,其中����,與所述第一通信的所述原始源和所述可能的中繼設(shè)備中的至少一個有關(guān)的所述信息是從以下組中選擇的,該組包括設(shè)備的位置����、設(shè)備的主機名以及設(shè)備的管理者。
32.根據(jù)權(quán)利要求1所述的方法�,其中,所述第一信息要素的原始源的所述特征和所述可能的中繼設(shè)備的所述特征中的至少一個是從以下組中選擇的���,該組包括子網(wǎng)����、管理者和位置��。
33.根據(jù)權(quán)利要求32所述的方法�,其中,所述確定包括對表示所述第一通信的源的所述特征和所述第二通信的源的所述特征中的至少一個的參數(shù)進行檢查�,所述參數(shù)是從以下組中選擇的����,該組包括HTTP“User-Agent”頭部�����、RFC 822“X-Mailer”頭部����、RFC 822“Received”頭部�����、RFC 822“Date”頭部�、IP地址、WHOIS記錄以及反向DNS記錄��。
34.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�����,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素�,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源;以及b)對所述第一信息要素和所述第二信息要素中的至少一個的原始源的配置狀態(tài)進行分析��,所述配置狀態(tài)是從以下組中選擇的,該組包括操作系統(tǒng)類型�����、操作系統(tǒng)版本���、軟件類型�����、HTTP客戶端類型��、HTTP服務(wù)器類型�����、SMTP客戶端類型���、SMTP服務(wù)器類型、時間設(shè)置���、時鐘設(shè)置以及時區(qū)設(shè)置���。
35.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�����,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素�����,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源����;以及b)對與所述第一信息要素和所述第二信息要素中的至少一個的原始源的通信性能相關(guān)的特征進行分析�。
36.根據(jù)權(quán)利要求35所述的方法�����,其中�,與通信性能相關(guān)的所述特征是從以下組中選擇的,該組包括通信的延遲�����、入局通信的延遲���、出局通信的延遲����、通信的往返時間、通信速率���、入局通信速率��、出局通信速率��、最大通信速率��、入局最大通信速率以及出局最大通信速率��。
37.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�,該方法包括a)向信息源設(shè)備發(fā)送消息���,觸發(fā)所述信息源設(shè)備發(fā)送DNS請求�����;b)根據(jù)所述DNS請求來確定所述可能的中繼設(shè)備是否為中繼設(shè)備����。
38.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素�����;以及b)確定所述第一信息要素的原始源的特征和所述第二信息要素的原始源的特征是否為不大可能與單個設(shè)備相關(guān)的特征����,其中所述確定的肯定結(jié)果表示所述可能的中繼設(shè)備是中繼設(shè)備����。
39.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素����,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源�����;以及b)檢查到所述可能的中繼設(shè)備的往返時間是否明顯不同于到所述第一信息要素的原始源的往返時間���。
40.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法���,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源��;以及b)檢查所述可能的中繼設(shè)備的操作系統(tǒng)是否不同于所述第一信息要素的原始源的操作系統(tǒng)。
41.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法�,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源�����;以及b)檢查所述可能的中繼設(shè)備的位置是否不同于所述第一信息要素的原始源的位置�����。
42.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法����,該方法包括a)從所述可能的中繼設(shè)備接收第一和第二信息要素,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源��;以及b)檢查所述可能的中繼設(shè)備的管理者是否不同于所述第一信息要素的原始源的管理者����。
43.一種確定可能的中繼設(shè)備是否為中繼設(shè)備的方法,該方法包括a)確定第一信息要素的原始源的特征和所述可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征����,其中所述可能的中繼設(shè)備是所述第一信息要素和第二信息要素的發(fā)送器,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源,其中所述確定的肯定結(jié)果表示所述可能的中繼設(shè)備是中繼設(shè)備�。
44.一種用于確定可能的中繼設(shè)備是否為中繼設(shè)備的系統(tǒng),該系統(tǒng)包括a)信息要素接收器�,用于從包括信息源設(shè)備和所述可能的中繼設(shè)備在內(nèi)的多個設(shè)備接收信息要素;以及b)特征不相容性分析器�����,用于確定所述信息源設(shè)備的特征與所述可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征����。
45.根據(jù)權(quán)利要求44所述的系統(tǒng),還包括c)特征發(fā)現(xiàn)模塊���,用于發(fā)現(xiàn)從以下組中選擇的至少一個特征���,該組包括所述信息源設(shè)備的特征和所述可能的中繼設(shè)備的特征。
46.根據(jù)權(quán)利要求44所述的系統(tǒng)����,其中���,所述信息要素接收器還被構(gòu)造用來從所監(jiān)測的主機接收信息要素�����。
47.根據(jù)權(quán)利要求44所述的系統(tǒng)��,還包括c)出局信息要素發(fā)送器���。
48.根據(jù)權(quán)利要求44所述的系統(tǒng)��,還包括c)參數(shù)獲得器��,用于獲得從以下組中選擇的至少一個參數(shù)�����,該組包括表示信息源設(shè)備的特征的參數(shù)�����;表示所述可能的中繼設(shè)備的特征的參數(shù)�;以及表示所述信息源設(shè)備的特征和所述可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征的參數(shù)���。
49.根據(jù)權(quán)利要求44所述的系統(tǒng)����,還包括c)特征數(shù)據(jù)庫,用于存儲多對特征與表示所述多對特征是否為不相容特征的數(shù)據(jù)之間的映射����。
50.一種計算機軟件,其駐留在計算機可讀存儲介質(zhì)中����,包括用于使計算機執(zhí)行以下操作的指令a)從可能的中繼設(shè)備接收第一和第二信息要素,其中所述可能的中繼設(shè)備是所述第二信息要素的原始源���;以及b)確定所述第一信息要素的原始源的特征和所述可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征����,其中所述確定的肯定結(jié)果表示所述可能的中繼設(shè)備是中繼設(shè)備���。
全文摘要
在此提供了用于確定可能的中繼設(shè)備是否為中繼設(shè)備的方法���、裝置和計算機可讀代碼。在某些實施例中�,從可能的中繼設(shè)備接收第一和第二信息要素,該可能的中繼設(shè)備是第二信息要素的原始源��。為了確定該可能的中繼設(shè)備是否為中繼設(shè)備���,確定第一信息要素的原始源的特征和該可能的中繼設(shè)備的特征是否為不大可能與單個設(shè)備相關(guān)的特征�����,其中該確定的肯定結(jié)果表示該可能的中繼設(shè)備是中繼設(shè)備����。在一示例性實施例中�,所公開的系統(tǒng)包括信息要素接收器和特征不相容性分析器??蛇x地,所公開的系統(tǒng)包括特征發(fā)現(xiàn)模塊���、參數(shù)獲得器和特征數(shù)據(jù)庫����。
文檔編號H04L29/08GK1965309SQ200580004240
公開日2007年5月16日 申請日期2005年1月9日 優(yōu)先權(quán)日2004年1月9日
發(fā)明者薩爾·維爾夫, 施瓦特·謝克特 申請人:Npx科技有限公司