本申請(qǐng)是pct國(guó)際申請(qǐng)?zhí)枮閜ct/us2012/058687、國(guó)際申請(qǐng)日為2012年10月4日、中國(guó)國(guó)家申請(qǐng)?zhí)枮?01280049251.8、題為“用于跟蹤和阻擋惡意因特網(wǎng)主機(jī)的分布式系統(tǒng)和方法”的申請(qǐng)的分案申請(qǐng)。

本公開的領(lǐng)域

本公開一般地涉及信譽(yù)服務(wù)的領(lǐng)域，信譽(yù)服務(wù)影響個(gè)體網(wǎng)絡(luò)設(shè)備(網(wǎng)關(guān))，以便控制它是否應(yīng)當(dāng)阻擋特定的源通信(例如，具有特定因特網(wǎng)協(xié)議(ip)地址的源)，同時(shí)仍然保護(hù)終端用戶免遭已標(biāo)識(shí)的威脅。更具體地，但不作為限制，本公開涉及(基于用戶定義的配置參數(shù))臨時(shí)地變更一個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備的配置以便在一段時(shí)間內(nèi)允許來自“已阻擋的”ip地址的通信的系統(tǒng)和方法?？梢允褂门R時(shí)允許的通信來了解關(guān)于威脅的信息，如果實(shí)際上在網(wǎng)絡(luò)設(shè)備處阻擋來自該ip地址的所有通信，則不可能有該威脅。

背景

當(dāng)前，電子郵件和web安全(ews)設(shè)備可以被配置為在檢測(cè)到某種形式的威脅時(shí)在可配置的時(shí)間量(例如10分鐘)內(nèi)阻擋因特網(wǎng)協(xié)議(ip)源地址。用于判斷總體威脅的集中式系統(tǒng)和方法(例如，由加利福利亞州圣克拉拉市的邁克菲(mcafee)公司提供的全球威脅情報(bào)(gti)系統(tǒng))使用接收到的電子郵件(不是在終端用戶處而是在執(zhí)行分析的處理器處)來生成電子郵件的指紋。這些指紋可以由gti用來獲得任何一個(gè)時(shí)刻穿越因特網(wǎng)的威脅的精確圖像。

然而，如果在所有網(wǎng)絡(luò)設(shè)備(有時(shí)被稱為網(wǎng)關(guān))處完全阻擋ip地址，則設(shè)備不能接收來自該ip地址的電子郵件且因此不能對(duì)要發(fā)送給gti的數(shù)據(jù)提取指紋。此外，當(dāng)前所有網(wǎng)絡(luò)設(shè)備獨(dú)立地工作，且可以全部都阻擋相同的ip地址。結(jié)果，不能有效地對(duì)新威脅提取指紋，且gti可能缺乏數(shù)據(jù)，這可能減少gti的有效性。

當(dāng)前不存在以協(xié)調(diào)方式具體地指示個(gè)體設(shè)備是否阻擋ip地址的已知現(xiàn)有技術(shù)解決方案。當(dāng)前的集中式解決方案對(duì)所有網(wǎng)關(guān)設(shè)備提供相同的響應(yīng)，且使得個(gè)體網(wǎng)關(guān)的配置判斷是否應(yīng)當(dāng)阻該ip。這種模型的一個(gè)問題是trustedsource^tm和gti兩者都不能接收到關(guān)于潛在威脅的足夠信息(trustedsource是mcafee公司的商標(biāo))。

為了解決這些和其他問題，公開以下方法和系統(tǒng)，該方法和系統(tǒng)為網(wǎng)絡(luò)設(shè)備提供集中式管理系統(tǒng)，使得可以以協(xié)調(diào)方式指示不同的網(wǎng)絡(luò)設(shè)備臨時(shí)地改變它們的配置，從特定的ip地址收集信息，然后恢復(fù)它們先前配置的阻擋功能。

附圖簡(jiǎn)述

圖1是示出根據(jù)一種實(shí)施例的網(wǎng)絡(luò)架構(gòu)的框圖。

圖2是其上可以安裝根據(jù)一種實(shí)施例的軟件的計(jì)算機(jī)的框圖。

圖3是根據(jù)一種實(shí)施例的全球威脅情報(bào)(gti)云的框圖。

圖4a是示出用于在個(gè)體網(wǎng)關(guān)處阻擋ip地址的現(xiàn)有技術(shù)的流程圖。

圖4b是示出根據(jù)一個(gè)公開的實(shí)施例的用于協(xié)調(diào)阻擋ip地址的技術(shù)的流程圖。

圖5是示出經(jīng)由被配置為利用圖4b的技術(shù)執(zhí)行協(xié)調(diào)阻擋的多個(gè)網(wǎng)絡(luò)設(shè)備連接到因特網(wǎng)的多個(gè)網(wǎng)絡(luò)的框圖。

詳細(xì)描述

下面詳細(xì)描述的各種實(shí)施例提供用于對(duì)來自已標(biāo)識(shí)的ip地址的電子郵件消息執(zhí)行集中式和協(xié)調(diào)的分析的技術(shù)。即使本公開具體地引用了“ip”地址，但本公開的概念不限于ip的任何具體版本(例如，ipv4、ipv6等等)，且也可以適用于其他網(wǎng)絡(luò)技術(shù)和協(xié)議。為了清晰起見而使用對(duì)ip地址的引用，例如“已阻擋的”ip地址。對(duì)ip地址的特定引用也可以被認(rèn)為是包括任何發(fā)起源地址或其他類型的關(guān)于潛在惡意內(nèi)容的“發(fā)源名稱”。

所公開的實(shí)施例的實(shí)現(xiàn)可以把資源的“云”用于集中式管理和分析。與云交互的個(gè)體站點(diǎn)或內(nèi)部網(wǎng)絡(luò)不需要考慮云中的資源的內(nèi)部結(jié)構(gòu)，且可以以協(xié)調(diào)方式參與，以便探知因特網(wǎng)上的潛在危險(xiǎn)的“流氓主機(jī)”的更全面的觀點(diǎn)。如果該分析標(biāo)識(shí)對(duì)關(guān)于已阻擋的ip地址的進(jìn)一步信息的需求，則資源(例如，網(wǎng)絡(luò)設(shè)備)可以是臨時(shí)地被(重新)配置為使得它不在100％的時(shí)間都阻擋可疑ip地址，且因而允許進(jìn)一步收集信息以便增強(qiáng)潛在的威脅集合觀點(diǎn)。為了本公開的簡(jiǎn)單和清晰起見，主要針對(duì)從具體源主機(jī)去往具體接受方的電子郵件公開實(shí)施例。然而，可以類似地在滿足用戶的請(qǐng)求之前阻擋用戶對(duì)web頁面或內(nèi)容(例如可執(zhí)行程序的下載)的請(qǐng)求。在這兩種說明性情況中，可以保護(hù)內(nèi)部網(wǎng)絡(luò)遠(yuǎn)離可以被認(rèn)為是在給定內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)容忍度之外的對(duì)象。

圖1示出根據(jù)一種實(shí)施例的網(wǎng)絡(luò)架構(gòu)100。如圖所示，提供了多個(gè)網(wǎng)絡(luò)102。在本網(wǎng)絡(luò)架構(gòu)100的上下文中，網(wǎng)絡(luò)102均可以采取任何形式，包括但不限于局域網(wǎng)(lan)、無線網(wǎng)絡(luò)、廣域網(wǎng)(wan)(例如因特網(wǎng))等等。

耦合到網(wǎng)絡(luò)102的是數(shù)據(jù)服務(wù)器計(jì)算機(jī)104，它能夠在網(wǎng)絡(luò)102上通信。也耦合到網(wǎng)絡(luò)102和數(shù)據(jù)服務(wù)器計(jì)算機(jī)104的是多個(gè)終端用戶計(jì)算機(jī)106。這樣的數(shù)據(jù)服務(wù)器計(jì)算機(jī)104和/或客戶端計(jì)算機(jī)106均可以包括臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)、手持式計(jì)算機(jī)、移動(dòng)電話、手持式計(jì)算機(jī)、外圍設(shè)備(例如打印機(jī)等等)、計(jì)算機(jī)的任何組件和/或任何其他類型的邏輯。為了促進(jìn)在網(wǎng)絡(luò)102當(dāng)中的通信，可選地在其間耦合至少一個(gè)網(wǎng)關(guān)或路由器108。

現(xiàn)在參見圖2，以框圖形式示出根據(jù)一種實(shí)施例用于提供拒絕連接的協(xié)調(diào)技術(shù)的示例處理設(shè)備200。處理設(shè)備200可以充當(dāng)網(wǎng)關(guān)或路由器108、客戶端計(jì)算機(jī)106或服務(wù)器計(jì)算機(jī)104。示例處理設(shè)備200包括系統(tǒng)單元210，系統(tǒng)單元210可以可選地連接到系統(tǒng)260的輸入設(shè)備(例如，鍵盤、鼠標(biāo)、觸摸屏等等)和顯示器270。系統(tǒng)單元210中包括了程序存儲(chǔ)設(shè)備(psd)280(有時(shí)稱為硬盤或計(jì)算機(jī)可讀介質(zhì))。系統(tǒng)單元210還包括網(wǎng)絡(luò)接口240，網(wǎng)絡(luò)接口240用于經(jīng)由網(wǎng)絡(luò)與其他計(jì)算和企業(yè)基礎(chǔ)設(shè)施設(shè)備(未示出)通信。網(wǎng)絡(luò)接口240可以被包括在系統(tǒng)單元210之內(nèi)或系統(tǒng)單元210之外。在任一種情況中，系統(tǒng)單元210通信地耦合到網(wǎng)絡(luò)接口240。程序存儲(chǔ)設(shè)備280表示任何形式的非易失性存儲(chǔ)，包括但不限于所有形式的光和磁(包括固態(tài))存儲(chǔ)元件，包括可移動(dòng)介質(zhì)，且可以被包括在系統(tǒng)單元210之內(nèi)或系統(tǒng)單元210之外。程序存儲(chǔ)設(shè)備280可以用于存儲(chǔ)控制系統(tǒng)單元210的軟件、由處理設(shè)備200使用的數(shù)據(jù)或兩者。

系統(tǒng)單元210可以被編程為執(zhí)行根據(jù)本公開的方法(其示例如圖4b所示)。系統(tǒng)單元210包括處理器單元(pu)220、輸入-輸出(i/o)接口250和存儲(chǔ)器230。處理單元220可以包括任何可編程控制器設(shè)備，例如包括大型機(jī)處理器，或來自英特爾公司的和處理器系列以及來自arm的cortex和arm處理器系列的一個(gè)或多個(gè)成員。(英特爾、intelatom、core、pentium和celeron是英特爾公司的注冊(cè)商標(biāo)。cortex是arm有限公司的注冊(cè)商標(biāo)。arm是arm有限公司的注冊(cè)商標(biāo)。)存儲(chǔ)器230可以包括一個(gè)或多個(gè)存儲(chǔ)器模塊，且包括隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、可編程只讀存儲(chǔ)器(prom)、可編程讀寫存儲(chǔ)器和固態(tài)存儲(chǔ)器。pu220也可以包括一些內(nèi)部存儲(chǔ)器，例如包括高速緩存存儲(chǔ)器。

處理設(shè)備200上可以駐留任何期望的操作系統(tǒng)。各實(shí)施例可以使用任何期望的編程語言來實(shí)現(xiàn)，且可以被實(shí)現(xiàn)為一個(gè)或多個(gè)可執(zhí)行程序，該可執(zhí)行程序可以鏈接到外部可執(zhí)行例程庫，該外部可執(zhí)行例程庫可以由協(xié)調(diào)ip阻擋軟件的提供商、操作系統(tǒng)的提供商或任何其他期望的合適庫例程的提供商提供。

在準(zhǔn)備在處理設(shè)備200上執(zhí)行所公開的實(shí)施例時(shí)，可以提供在把處理設(shè)備200配置為執(zhí)行所公開的實(shí)施例的程序指令，這些程序指令可以被存儲(chǔ)在任何類型的非暫態(tài)計(jì)算機(jī)可讀介質(zhì)上，或者可以從服務(wù)器104下載到程序存儲(chǔ)設(shè)備280上。在此所使用的對(duì)“計(jì)算機(jī)系統(tǒng)”的引用包括提供被描述為由計(jì)算機(jī)系統(tǒng)執(zhí)行的能力的單個(gè)計(jì)算機(jī)和一起工作的多個(gè)個(gè)體計(jì)算機(jī)。

現(xiàn)在參見圖3，框圖300示出gti云310的一個(gè)示例。gti云310可以為多個(gè)客戶機(jī)(有時(shí)被稱為用戶)提供集中式功能，而不要求云的客戶機(jī)理解云資源的復(fù)雜性或提供對(duì)云資源的支持。在gti云310內(nèi)部，通常存在多個(gè)服務(wù)器(例如，服務(wù)器1320和服務(wù)器2340)。每一個(gè)服務(wù)器又通常連接到專用數(shù)據(jù)存儲(chǔ)(例如，330和350)，且可能連接到集中式數(shù)據(jù)存儲(chǔ)，例如集中式數(shù)據(jù)庫360。每一通信路徑通常是網(wǎng)絡(luò)或由通信路徑325、345、361、362和370表示的直接連接。盡管圖300示出兩個(gè)服務(wù)器和單個(gè)集中式數(shù)據(jù)庫，但可比擬的實(shí)現(xiàn)可以采取帶有或不帶有個(gè)體數(shù)據(jù)庫、形成邏輯集中式數(shù)據(jù)庫的數(shù)據(jù)庫層次結(jié)構(gòu)或兩者的組合的多個(gè)服務(wù)器的形式。此外，在gti云310中的每一組件之間可以存在多個(gè)通信路徑和多種類型的通信路徑(例如，有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、直連線纜、交換線纜等等)。這樣的變化是本領(lǐng)域中的技術(shù)人員熟知的，且因此在這里不進(jìn)一步討論。而且，盡管在此被公開為云資源，但在替代的實(shí)施例中，gti云310的功能的本質(zhì)可以由在組織內(nèi)部的常規(guī)配置(即，不是云配置)的資源來執(zhí)行。

現(xiàn)在參見圖4a，流程圖400示出單獨(dú)地基于來自信譽(yù)服務(wù)的其配置和評(píng)分的組合(基于指紋數(shù)據(jù))阻擋ip地址的網(wǎng)絡(luò)設(shè)備的現(xiàn)有技術(shù)。即，諸如網(wǎng)關(guān)108等的網(wǎng)絡(luò)設(shè)備是與任何其他網(wǎng)絡(luò)設(shè)備隔離的，且不知道任何其他網(wǎng)絡(luò)設(shè)備的當(dāng)前動(dòng)作。在框401開始，網(wǎng)絡(luò)設(shè)備108從諸如因特網(wǎng)等的外部網(wǎng)絡(luò)上的遠(yuǎn)程主機(jī)接收電子郵件(假定網(wǎng)絡(luò)設(shè)備108還沒有阻擋與該遠(yuǎn)程主機(jī)相關(guān)聯(lián)的ip地址)。在402框，在接收之后，且通常在允許電子郵件進(jìn)入網(wǎng)絡(luò)設(shè)備108的“另一”(例如，內(nèi)部)側(cè)上的網(wǎng)絡(luò)之前，網(wǎng)絡(luò)設(shè)備108執(zhí)行指紋分析。也在框402，把來自指紋分析的數(shù)據(jù)和關(guān)于遠(yuǎn)程主機(jī)的發(fā)源連接的信息(例如，ip地址、主機(jī)名)發(fā)送給執(zhí)行信譽(yù)服務(wù)(rs)的可信源服務(wù)(tss)。tss通常是其客戶隱含信任且依賴的信息的提供者(即，源)。tss通常被與之連接以便得到其任何服務(wù)的客戶機(jī)所知道且認(rèn)證。rs可以是tss的一個(gè)功能，基于其他實(shí)體持有的關(guān)于在社區(qū)或域內(nèi)的一組對(duì)象(例如，服務(wù)提供商、服務(wù)、貨物或?qū)嶓w)觀點(diǎn)的集合，該功能計(jì)算和公布對(duì)象的信譽(yù)評(píng)分。接下來，在框403，rs從rs可用的信息判斷威脅水平(即，評(píng)分)。rs可用的信息包括從網(wǎng)絡(luò)設(shè)備108發(fā)送的關(guān)于所考慮的對(duì)象的數(shù)據(jù)，以及先前在rs處接收到的信息。在rs處分析之后，rs把對(duì)象的評(píng)分發(fā)送回網(wǎng)絡(luò)設(shè)備108(框404)。如上面所提到的，該評(píng)分指示通過rs可用的有關(guān)信息所確定的該對(duì)象的風(fēng)險(xiǎn)水平。最終，在框405，網(wǎng)絡(luò)設(shè)備108判斷是否允許該對(duì)象行進(jìn)到其預(yù)期接收方(或允許對(duì)該對(duì)象的訪問)。如果不允許，則網(wǎng)絡(luò)設(shè)備108可以阻擋傳送或?qū)υ搶?duì)象的訪問。而且，基于其配置，網(wǎng)絡(luò)設(shè)備108可以在一段時(shí)間(例如，默認(rèn)為10分鐘)內(nèi)阻擋來自已標(biāo)識(shí)的有問題主機(jī)的ip地址的未來通信。

參見圖4b，流程圖410示出不同于現(xiàn)有技術(shù)的技術(shù)，該技術(shù)允許具體的網(wǎng)絡(luò)設(shè)備108與其他網(wǎng)絡(luò)設(shè)備一起經(jīng)由集中式服務(wù)執(zhí)行可以由一個(gè)所公開的實(shí)施例實(shí)現(xiàn)的ip地址的協(xié)調(diào)阻擋。在框420開始，網(wǎng)絡(luò)設(shè)備108接收電子郵件(或其他對(duì)象請(qǐng)求)。接下來，在框430，網(wǎng)絡(luò)設(shè)備108可以執(zhí)行指紋提取(或相似類型的分析)并把該信息發(fā)送給rs。然后，網(wǎng)絡(luò)設(shè)備108可以把指紋數(shù)據(jù)和發(fā)源連接信息發(fā)送給執(zhí)行rs的tss。不同于現(xiàn)有技術(shù)，網(wǎng)絡(luò)設(shè)備108可以發(fā)送附加信息以供由rs分析。附加信息可以包括設(shè)備標(biāo)識(shí)信息、設(shè)備配置信息、當(dāng)前阻擋信息和網(wǎng)絡(luò)通信信息中的一種或多種。在一種實(shí)施例中，在框440，rs可以以與現(xiàn)有技術(shù)相同或相似的方式確定對(duì)象的威脅水平。在框450，rs可以判斷是否可以控制具體的網(wǎng)絡(luò)設(shè)備108以便接收更多樣本(即，網(wǎng)絡(luò)設(shè)備108正在參與在此公開的協(xié)調(diào)阻擋)。rs可以基于設(shè)備的參與狀態(tài)確定要發(fā)送給網(wǎng)絡(luò)設(shè)備108的響應(yīng)的類型(框460)。如果這一具體的設(shè)備不參與(判斷470的“否”分支)，則rs可以把該評(píng)分發(fā)送給設(shè)備(框475)，這非常類似于現(xiàn)有技術(shù)。替代地，如果設(shè)備參與(判斷470的“是”分支)，則rs還可以發(fā)送不同于現(xiàn)有技術(shù)的響應(yīng)(框480)，該響應(yīng)除了帶有評(píng)分之外還帶有阻擋標(biāo)志和/或所請(qǐng)求的阻擋時(shí)間(其可以是0，指示在任何時(shí)間都不阻擋)。最終，在框490，接收到增強(qiáng)的信息的網(wǎng)絡(luò)設(shè)備(網(wǎng)關(guān))可以更新其阻擋策略。阻擋策略可以基于該設(shè)備是否被允許阻擋所建議的次數(shù)(例如，可能的附加本地配置設(shè)置)以及相應(yīng)地阻擋所配置/所請(qǐng)求的時(shí)間量，來更新。從以上解釋應(yīng)明顯看出，在此公開的各實(shí)施例允許網(wǎng)絡(luò)設(shè)備和tss/rs與其他參與網(wǎng)絡(luò)設(shè)備以協(xié)調(diào)方式一起工作，以使得tss/rs可以繼續(xù)接收信息，否則該信息可能已經(jīng)被整體阻擋。因此，tss/rs可以向訂閱tss/rs的所有客戶機(jī)提供增強(qiáng)的和更全面的信息。注意，tss/rs可以跟蹤哪些客戶機(jī)正在參與以及它們?nèi)绾螀⑴c，以便確保把不必要的“非阻擋請(qǐng)求”保持為最小，以免被要求對(duì)先前已經(jīng)阻擋的數(shù)據(jù)執(zhí)行附加分析的設(shè)備負(fù)擔(dān)過重。而且，在此具體公開的實(shí)施例中，rs對(duì)象包括web站點(diǎn)和電子郵件，然而，可以預(yù)期其他類型的對(duì)象，且這些對(duì)象受益于本公開的概念。例如，rs可能正在聚集ip地址(連接的源)、會(huì)話屬性(例如發(fā)件人/收件人)、這一ip已經(jīng)做出對(duì)其他郵件服務(wù)器的連接次數(shù)的計(jì)數(shù)(頻率)。還值得注意的是，流氓主機(jī)的標(biāo)識(shí)和流氓主機(jī)的阻擋兩者都可以不只是應(yīng)用到電子郵件，可以包括任何數(shù)量的ip技術(shù)，例如文件傳輸協(xié)議(ftp)、超文本傳輸協(xié)議(http)、ip語音(voip)、即時(shí)消息收發(fā)(im)等等。

現(xiàn)在參見圖5，框圖500示出經(jīng)由被配置為執(zhí)行利用圖4b的技術(shù)的協(xié)調(diào)阻擋的多個(gè)網(wǎng)絡(luò)設(shè)備(540和550)由連接鏈路501相互連接且連接到因特網(wǎng)(510)的多個(gè)網(wǎng)絡(luò)(520和530)。網(wǎng)絡(luò)520和530表示兩個(gè)不同的網(wǎng)絡(luò)，它們可以是兩個(gè)不同組織的內(nèi)部網(wǎng)絡(luò)或單個(gè)組織的兩個(gè)不同的物理或邏輯網(wǎng)絡(luò)。例如，地理上分散的組織的兩個(gè)區(qū)域部門或單個(gè)組織的兩個(gè)部門可以具有不同的安全要求。在任何上面的情況中，經(jīng)由網(wǎng)絡(luò)設(shè)備1a-n(540)把網(wǎng)絡(luò)520連接到外部，且經(jīng)由網(wǎng)絡(luò)設(shè)備2a-n(550)把網(wǎng)絡(luò)530連接到外部。

網(wǎng)絡(luò)520示出簡(jiǎn)化的內(nèi)部網(wǎng)絡(luò)，它可以是經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備1a-n(540)連接到因特網(wǎng)510的典型企業(yè)網(wǎng)絡(luò)。在網(wǎng)絡(luò)520內(nèi)部有一個(gè)或多個(gè)電子郵件服務(wù)器522和多個(gè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備(icnd)524和526。icnd1a524表示單個(gè)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，且icnd1b-1n526表示多個(gè)其他計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，這些計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備可以是附加的路由器、膝上型計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)或其他設(shè)備。每一網(wǎng)絡(luò)設(shè)備可以經(jīng)由利用本領(lǐng)域中普通技術(shù)人員已知的網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議的有線連接或無線連接來連接到網(wǎng)絡(luò)。下面的示例示出多個(gè)內(nèi)部設(shè)備(522、524和526)如何與提供與諸如因特網(wǎng)510等的外部網(wǎng)絡(luò)的連接的一個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備540交互。類似地，網(wǎng)絡(luò)530示出具有第二組電子郵件服務(wù)器532、單個(gè)icnd2a534和多個(gè)isnd2b-2n536的第二內(nèi)部網(wǎng)絡(luò)，且這些內(nèi)部設(shè)備中的每一個(gè)都經(jīng)由網(wǎng)絡(luò)設(shè)備550連接到因特網(wǎng)510。如上面所解釋的，用于阻擋ip地址的現(xiàn)有技術(shù)使得所有網(wǎng)絡(luò)設(shè)備540與網(wǎng)絡(luò)設(shè)備550獨(dú)立地工作。相反，即使網(wǎng)絡(luò)設(shè)備540和網(wǎng)絡(luò)設(shè)備550從不直接地通信或?qū)嶋H地彼此知曉，所公開的實(shí)施例也允許網(wǎng)絡(luò)設(shè)備540和網(wǎng)絡(luò)設(shè)備550以“協(xié)調(diào)”的方式借助于在gti云310處可獲得的集中式信息來工作。

因特網(wǎng)510示出實(shí)際因特網(wǎng)的極大簡(jiǎn)化的視圖。因特網(wǎng)510包括多個(gè)外部電子郵件服務(wù)器1-n514、多個(gè)外部web服務(wù)器1-n、潛在的流氓服務(wù)器1-n517和來自圖3的gti云310。如本領(lǐng)域中普通技術(shù)人員所已知的，因特網(wǎng)510中的每一服務(wù)器具有唯一地址和標(biāo)識(shí)信息，且一些服務(wù)器是合法服務(wù)器而其他服務(wù)器作為流氓服務(wù)器呈現(xiàn)可能的威脅。在此所使用的流氓服務(wù)器是指這樣的服務(wù)器：它們假扮成合法服務(wù)器，或者以可能經(jīng)由垃圾、惡意軟件、病毒、拒絕服務(wù)攻擊等等破壞服務(wù)器的方式工作。流氓服務(wù)器可以事實(shí)上是這樣的合法服務(wù)器：已經(jīng)以某種方式受到影響，使得它當(dāng)前不以適當(dāng)方式工作，且應(yīng)當(dāng)被阻擋一段時(shí)間以防止跨越其他網(wǎng)絡(luò)的連串破壞。

下列示例概括了網(wǎng)絡(luò)設(shè)備的一種可能場(chǎng)景，這些網(wǎng)絡(luò)設(shè)備可以屬于或不屬于單個(gè)組織，但都連接到一致性rs，且可以以協(xié)調(diào)方式與rs一起工作。此示例允許rs影響個(gè)體網(wǎng)關(guān)，以便控制它是否應(yīng)阻擋特定的ip地址，同時(shí)仍然保護(hù)終端用戶免遭威脅。首先，網(wǎng)關(guān)接收電子郵件，在把它發(fā)送給其預(yù)期接收方(例如，icnd524)之前進(jìn)行分析。網(wǎng)關(guān)執(zhí)行指紋提取操作并發(fā)送：指紋數(shù)據(jù)、發(fā)源連接信息、網(wǎng)關(guān)阻擋配置信息(例如，被配置為阻擋或不阻擋，且如果被配置為阻擋則還有阻擋時(shí)間)、接收率(例如，網(wǎng)關(guān)從這一ip地址接收連接的速率——可能包括先前x分鐘以來的已阻擋連接)。rs確定威脅水平，且確定是否希望網(wǎng)關(guān)繼續(xù)從可疑ip地址接收樣本。rs的確定可以基于用戶是否已經(jīng)把網(wǎng)關(guān)配置為阻擋該ip地址，且其他網(wǎng)關(guān)是否正在從相同的ip地址接收威脅。rs可以進(jìn)一步確定它希望請(qǐng)求網(wǎng)關(guān)繼續(xù)從ip地址接收的時(shí)間量，否則該ip網(wǎng)關(guān)被阻擋，且使得該請(qǐng)求基于以連接從ip地址到達(dá)這一網(wǎng)關(guān)和其他網(wǎng)關(guān)處的速率。接下來，rs可以把響應(yīng)發(fā)送給請(qǐng)求的網(wǎng)關(guān)，該響應(yīng)具有：具體電子郵件的評(píng)分(以使得網(wǎng)關(guān)知道怎樣處理這一特定消息)；指示該網(wǎng)關(guān)是否可以阻擋該ip地址的標(biāo)志(從rs的角度)和rs希望該網(wǎng)關(guān)阻擋該ip地址的時(shí)間量。結(jié)果，如果允許該網(wǎng)關(guān)阻擋該ip地址，且用戶已經(jīng)配置該網(wǎng)關(guān)阻擋，則可以在所配置的時(shí)間量?jī)?nèi)阻擋該ip地址。應(yīng)明顯看出，網(wǎng)關(guān)可以仍然把ip地址阻擋用作阻擋來自已知惡意因特網(wǎng)主機(jī)的威脅的有效方式，且rs可能接收足夠的樣本數(shù)據(jù)以便維持其有效性并減少或消除這樣的條件：由于只要從ip地址檢測(cè)到第一個(gè)威脅則所有設(shè)備都阻擋該ip地址，信譽(yù)系統(tǒng)不能有效地工作。

如上面所解釋的，rs可以確定具體的網(wǎng)關(guān)應(yīng)阻擋ip地址的時(shí)間量。這種確定可以被發(fā)送給網(wǎng)關(guān)，作為網(wǎng)關(guān)可以基于其自己的配置同意或不同意的“請(qǐng)求”。網(wǎng)關(guān)做出的同意判斷可以基于以隨同網(wǎng)關(guān)其他本地配置參數(shù)一起返回的實(shí)際評(píng)分。替代地，可以以主-從安排來配置rs和網(wǎng)關(guān)，其中rs確定優(yōu)先于本地配置。在網(wǎng)關(guān)處的又一本地配置設(shè)置可以允許rs僅在評(píng)分在預(yù)先定義的范圍內(nèi)或低于/高于閾值時(shí)為主設(shè)備。以上的組合以及關(guān)于網(wǎng)關(guān)判斷是否應(yīng)同意“請(qǐng)求”的其他組合也可能的。

在前述的描述中，出于解釋的目的，陳述了眾多特定的細(xì)節(jié)以便提供對(duì)所公開的實(shí)施例的透徹理解。然而，本領(lǐng)域中的技術(shù)人員將明顯看出，無需這些特定的細(xì)節(jié)就可以實(shí)踐所公開的實(shí)施例。在其他實(shí)例中，以框圖形式示出了結(jié)構(gòu)和設(shè)備，以便避免模糊所公開的實(shí)施例。對(duì)不帶有下標(biāo)或后綴的數(shù)字的引用應(yīng)被理解為引用對(duì)應(yīng)于所引用數(shù)字的下標(biāo)和后綴的所有實(shí)例。此外，在本公開中使用的語言主要是出于可讀性和教學(xué)目的而選擇，且沒有將其選擇為描述或限定本發(fā)明主題，本發(fā)明主題訴諸于確定這樣的發(fā)明主題所必需的權(quán)利要求。本說明書中對(duì)“實(shí)施例”或“一個(gè)實(shí)施例”的引用意味著結(jié)合該實(shí)施例描述的具體的特征、結(jié)構(gòu)或特性被包括在至少一個(gè)所公開的實(shí)施例中，且對(duì)“實(shí)施例”或“一個(gè)實(shí)施例”的多次引用不應(yīng)被理解成必定全部都是表示相同的實(shí)施例。

還應(yīng)理解，預(yù)期上面的描述是說明性的而非限制性的。例如，上面所描述的實(shí)施例可以相互組合使用。在閱讀上面的描述之后，本領(lǐng)域中的技術(shù)人員將明顯看出許多其他實(shí)施例。因此應(yīng)當(dāng)參照所附的權(quán)利要求以及與這樣的權(quán)利要求所授權(quán)的等效物的全部范圍來判斷本發(fā)明的范圍。在所附的權(quán)利要求書中，術(shù)語“包括(including)”和“其中(inwhich)”用作各自的術(shù)語“包括(comprising)”和“其中(wherein)”的通俗英語等效物。

本文所公開的一些示例性實(shí)施例包括計(jì)算機(jī)系統(tǒng)的示例，該計(jì)算機(jī)系統(tǒng)被配置為促進(jìn)協(xié)調(diào)源阻擋方法，該計(jì)算機(jī)系統(tǒng)包括：到多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)或多個(gè)連接；以及通信上相互耦合的一個(gè)或多個(gè)處理器，其中，一個(gè)或多個(gè)處理器共同地被配置為：接收來自第一網(wǎng)關(guān)的信息，該信息涉及來自源地址的網(wǎng)絡(luò)數(shù)據(jù)傳送，該源地址在第一網(wǎng)絡(luò)上，且該網(wǎng)絡(luò)數(shù)據(jù)傳送去往第二網(wǎng)絡(luò)上的目的地地址，該第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)彼此不直接連接；基于已接收的信息確定評(píng)分；確定參與狀態(tài)，該參與狀態(tài)指示第一網(wǎng)關(guān)對(duì)協(xié)調(diào)源阻擋方法的參與；準(zhǔn)備第一響應(yīng)消息以傳送給第一網(wǎng)關(guān)，該第一響應(yīng)消息包括對(duì)評(píng)分的指示和阻擋請(qǐng)求指示符；以及發(fā)起第一響應(yīng)消息向第一網(wǎng)關(guān)的傳送。該計(jì)算機(jī)系統(tǒng)也可以具有第一響應(yīng)消息，只有在該參與狀態(tài)指示參與協(xié)調(diào)源阻擋方法時(shí)，該第一響應(yīng)消息才包括阻擋請(qǐng)求指示符。該計(jì)算機(jī)系統(tǒng)可以具有網(wǎng)絡(luò)數(shù)據(jù)傳送，該網(wǎng)絡(luò)數(shù)據(jù)傳送包括電子郵件消息、下載對(duì)象、通用資源定位符(url)、即時(shí)消息、文件傳輸協(xié)議(ftp)傳送、超文本傳輸協(xié)議(http)傳送、因特網(wǎng)協(xié)議語音(voip)傳送或其組合。該計(jì)算機(jī)系統(tǒng)可以具有包括因特網(wǎng)協(xié)議第4版(ipv4)或因特網(wǎng)協(xié)議第6版(ipv6)的網(wǎng)絡(luò)數(shù)據(jù)傳送協(xié)議。該計(jì)算機(jī)系統(tǒng)可以具有源地址，該源地址包括因特網(wǎng)協(xié)議(ip)地址、域名、通用資源定位符(url)、主機(jī)名或其組合。該計(jì)算機(jī)可以具有從第一網(wǎng)關(guān)接收的信息，該信息包括網(wǎng)絡(luò)數(shù)據(jù)傳送的至少一部分的指紋。該計(jì)算機(jī)系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請(qǐng)求指示符基于第二網(wǎng)關(guān)相對(duì)于源地址的阻擋狀態(tài)。該計(jì)算機(jī)系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請(qǐng)求指示符基于與網(wǎng)絡(luò)數(shù)據(jù)傳送的源地址相關(guān)聯(lián)的網(wǎng)絡(luò)活動(dòng)。該計(jì)算機(jī)系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請(qǐng)求指示符基于第一網(wǎng)關(guān)的配置信息。該計(jì)算機(jī)系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請(qǐng)求指示符基于所確定的評(píng)分。該計(jì)算機(jī)系統(tǒng)可以被配置成云資源。該計(jì)算機(jī)系統(tǒng)可以使得一個(gè)或多個(gè)處理器進(jìn)一步被配置為主動(dòng)地把第二消息發(fā)送給參與協(xié)調(diào)阻擋方法的第二網(wǎng)關(guān)，該第二消息包括阻擋請(qǐng)求指示符，該阻擋請(qǐng)求指示符涉及由第一網(wǎng)關(guān)接收的網(wǎng)絡(luò)數(shù)據(jù)傳送的源地址，而不考慮第二網(wǎng)關(guān)是否已經(jīng)接收來自源地址的傳送。而且，第二消息可以被發(fā)送給第二網(wǎng)關(guān)，以便請(qǐng)求第二網(wǎng)關(guān)不阻擋該源地址。而且，不阻擋源地址的請(qǐng)求可以指示不阻擋該源地址的時(shí)間段。該第二消息可以被發(fā)送給第二網(wǎng)關(guān)，以便請(qǐng)求第二網(wǎng)關(guān)阻擋源地址。

還公開了被配置為參與協(xié)調(diào)源地址阻擋方法的網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)，該網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)包括：到第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)的一個(gè)或多個(gè)連接，該第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)彼此不直接連接；以及通信上相互耦合的一個(gè)或多個(gè)處理器，其中，該一個(gè)或多個(gè)處理器被配置為：接收來自源地址的網(wǎng)絡(luò)數(shù)據(jù)傳送，該源地址在第一網(wǎng)絡(luò)上，且該網(wǎng)絡(luò)數(shù)據(jù)傳送去往第二網(wǎng)絡(luò)上的目的地地址；對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳送的至少一部分執(zhí)行指紋分析；把第一消息發(fā)送給集中式阻擋協(xié)調(diào)計(jì)算機(jī)系統(tǒng)，該第一消息包括指紋分析的指示、源地址的指示和涉及網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)的阻擋配置信息，其中，該阻擋配置信息包括網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)對(duì)協(xié)調(diào)源地址阻擋方法的參與狀態(tài)的指示；接收響應(yīng)于第一消息的第二消息，該第二消息包括與第一消息中的信息相關(guān)的評(píng)分和阻擋請(qǐng)求；以及基于該阻擋請(qǐng)求和第二消息中的信息判斷阻擋或不阻擋來自源地址的通信。該網(wǎng)絡(luò)設(shè)備可以被配置成執(zhí)行集中式阻擋功能的云的用戶。該網(wǎng)絡(luò)設(shè)備可以發(fā)送阻擋請(qǐng)求，該阻擋請(qǐng)求指示阻擋來自源地址的傳送。該網(wǎng)絡(luò)設(shè)備可以被配置為只有在該評(píng)分高于經(jīng)配置的閾值時(shí)，執(zhí)行對(duì)來自該源地址的傳送的阻擋。該網(wǎng)絡(luò)設(shè)備可以被配置為使得對(duì)來自源地址的傳送的阻擋是基于網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)的本地配置信息來判斷的。該網(wǎng)絡(luò)設(shè)備可以被配置為使得第二消息還指示與對(duì)阻擋來自源地址的傳送的請(qǐng)求相關(guān)聯(lián)的時(shí)間段。該網(wǎng)絡(luò)設(shè)備可以被配置為使得第二消息進(jìn)一步包括涉及源地址的網(wǎng)絡(luò)通信信息，且對(duì)來自源地址的傳送的阻擋是至少部分地基于該網(wǎng)絡(luò)通信信息來判斷的。該網(wǎng)絡(luò)設(shè)備可以被配置為使得網(wǎng)絡(luò)數(shù)據(jù)傳送包括電子郵件消息、下載對(duì)象、通用資源定位符(url)、即時(shí)消息、文件傳輸協(xié)議(ftp)傳送、超文本傳輸協(xié)議(http)傳送、因特網(wǎng)協(xié)議語音(voip)傳送或其組合。該網(wǎng)絡(luò)設(shè)備可以被配置為使得網(wǎng)絡(luò)數(shù)據(jù)傳送的協(xié)議包括因特網(wǎng)協(xié)議第4版(ipv4)或因特網(wǎng)協(xié)議第6版(ipv6)。該網(wǎng)絡(luò)設(shè)備可以被配置為使得源地址包括因特網(wǎng)協(xié)議(ip)地址、域名、通用資源定位符(url)、主機(jī)名或其組合。當(dāng)然，計(jì)算機(jī)可讀介質(zhì)可以存儲(chǔ)配置上面所描述的網(wǎng)絡(luò)設(shè)備的指令。