//www. a打inic. net/)
[0047] APNIC (亞太地區(qū)網(wǎng)絡(luò)信息中屯����、)一亞洲/太平洋地區(qū)化ttp: //www. apnic. net/) [004引 ARIN(美國網(wǎng)絡(luò)地址注冊管理組織)--北美地區(qū)化ttp://WWW. arin.net/)
[0049] LACNIC(拉下美洲及加勒比地區(qū)互聯(lián)網(wǎng)地址注冊管理機構(gòu)拉下美洲和一些加 勒tk 島(http://Iacnic.net/en/index.html)
[0050] RIPE NCC(歐洲網(wǎng)絡(luò)協(xié)調(diào)中屯�����、)--歐洲、中東和中亞化ttp://Ww.ripe.net/)
[0051] 注冊機構(gòu)通常操作維護域名與IP地址之間的關(guān)聯(lián)的服務(wù)器�。運些服務(wù)器有時被稱 為"whois"服務(wù)器。通過詢問W上網(wǎng)站服務(wù)器的一個或多個�,可找到IP地址所有者的名稱和 國家?����?赏ㄟ^使瀏覽器發(fā)送HTTP請求至適當?shù)囊粋€或多個服務(wù)器并獲得響應(yīng)來執(zhí)行詢問�。 可替換地��,一個本地數(shù)據(jù)庫例如客戶端瀏覽器數(shù)據(jù)庫�����,或者其它本地或緩存數(shù)據(jù)庫可包括 "whois"服務(wù)器的一個或全部數(shù)據(jù)庫��,W使詢問更加容易且快速�。一旦所有者和/或國家被 識別出,用戶或自動化處理可確定網(wǎng)站是真正的或是釣魚網(wǎng)站�。
[0052] 類似于DNS數(shù)據(jù)庫,公共Whois數(shù)據(jù)庫可能不完全是可靠的���。釣魚網(wǎng)站的所有者可 能通過Whois注冊機構(gòu)登記W利用注冊機構(gòu)用于它們自身��。為了消除該潛在問題�,可使用本 地數(shù)據(jù)庫來補充或替換來自公共"whois"服務(wù)器的信息,W增強對所有者名稱的分辨���。例 如���,通過"whois"服務(wù)器可能不能明顯地識別合法公司名稱。補充數(shù)據(jù)庫可連同該公司的IP 地址一同提供與該公司有關(guān)的更精確的信息��,例如唯一碼�。在另一實施例中,合法金融機 構(gòu)�、公司或政府機構(gòu)可在被添加至該補充數(shù)據(jù)庫之前單獨地檢驗和證實。
[0053] 在一些情況下����,IP地址識別代理服務(wù)器、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器�、防火墻、和/ 或其它網(wǎng)絡(luò)媒介�����。為了找到潛在釣魚網(wǎng)站(或其它非法資源)的真實IP地址,網(wǎng)絡(luò)媒介裝置�、 其所有者、或其它授權(quán)實體檢查一個或多個媒介映射表���、日志文件和/或其它映射數(shù)據(jù)���。通 過媒介映射數(shù)據(jù),授權(quán)實體將時間戳和/或TCP端口號映射至內(nèi)部IP地址信息���?���?上鄬τ趦?nèi) 部被分配的名稱來檢查內(nèi)部IP地址�,W確定名稱�、位置和/或其它內(nèi)部信息。獲得運種內(nèi)部 信息通楊包括來自互聯(lián)網(wǎng)服務(wù)提供商的���、來自網(wǎng)絡(luò)媒介的所有者的��、和/或來自其它源的合 作�。該附加的內(nèi)部信息可被提供給客戶端或者提供至信任的評估裝置��,W確定網(wǎng)站是否是 有效的或者是釣魚網(wǎng)站。
[0054] 在一個實施方式中���,日志文件或映射數(shù)據(jù)可具有W下信息用于反向捜索:
[0055] 1.時間戳
[0056] 2.內(nèi)部/本地數(shù)據(jù)���,例如至潛在釣魚網(wǎng)站的、至潛在黑客的賬戶的�����、至內(nèi)部文件和/ 或至其它內(nèi)部資源的內(nèi)部IP地址�。
[0057] 3.外部網(wǎng)絡(luò)數(shù)據(jù),例如互聯(lián)網(wǎng)源和/或目的地IP地址���、源和/或TCP/UDP端口號���、和/ 或識別對于潛在釣魚網(wǎng)站、對于潛在黑客賬戶和/或?qū)τ谄渌吹挠成湫畔⒌钠渌鼣?shù)據(jù)���。例 如���,媒介網(wǎng)關(guān)日志文件可包括源IP地址和源TCP端口號,垃圾郵件通過其發(fā)送具有至釣魚網(wǎng) 站的鏈接的電子郵件����。日志文件還可包括電子郵件消息發(fā)送的目的地IP地址和目的地端口 號�����。類似地��,日志文件可包括媒介網(wǎng)關(guān)日志文件�,媒介網(wǎng)關(guān)日志文件可包括黑客試圖通過其 訪問目的地IP地址和目的地端口號的源IP地址和源TCP端口號�。通常,使用端口號80或443����。 如果運些端口號沒有返回,那么鏈接可能與釣魚網(wǎng)站關(guān)聯(lián)����。相反,如果合法網(wǎng)站故意使用除 了80或443之外的端口號����,并且返回的端口號為80或443��,那么相應(yīng)鏈接可能與釣魚網(wǎng)站關(guān) 聯(lián)���。
[0058] 圖3示出了用于本發(fā)明的一個實施方式的架構(gòu)��、通信序列和方法�����?��?赡懿恍枰?的模塊的全部來實踐本發(fā)明�,或者可包括附加的模塊來用于其它實施方式���。在各個實施方 式中�����,一些模塊可組合����,而其它模塊可分成多個模塊�。
[0059] 在該示例性實施方式中,架構(gòu)包括客戶端20a�����,客戶端20a通過公共互聯(lián)網(wǎng)15a與對 應(yīng)于釣魚網(wǎng)站的IP地址網(wǎng)絡(luò)服務(wù)器17a進行通信?�?蛻舳?0a包括與互聯(lián)網(wǎng)15a通信并與 TCP/IP堆找33通信的操作系統(tǒng)31 dTCP^P堆找33與網(wǎng)絡(luò)瀏覽器34a通信����,網(wǎng)絡(luò)瀏覽器34a與 反釣魚模塊38a通信。反釣魚模塊與網(wǎng)絡(luò)地址數(shù)據(jù)庫50通信����,網(wǎng)絡(luò)地址數(shù)據(jù)庫50可W是客戶 端20a中的本地數(shù)據(jù)庫或者可W是通過本地網(wǎng)絡(luò)或通過互聯(lián)網(wǎng)15a可用的遠程網(wǎng)絡(luò)數(shù)據(jù)庫, 例如網(wǎng)絡(luò)地址注冊數(shù)據(jù)庫�。網(wǎng)絡(luò)地址數(shù)據(jù)庫50通常存儲IP地址和域名及其所有者之間的關(guān) 聯(lián)。
[0060] 客戶端20a的用戶可接收包括鏈接的電子郵件�,或者可查看由瀏覽器34a提出的網(wǎng) 頁中的鏈接。該連接可能顯得有效����,但是用戶可能不能肯定鏈接的有效性。用戶可W將鼠標 指針定位在鏈接上方或者選擇該鏈接�。在一個實施方式中,用戶可將鼠標指針定位在鏈接 上方并按壓鼠標上的右鍵W選擇菜單選項�,從而調(diào)用用于檢查該鏈接的反釣魚模塊38a。在 另一實施方式中�����,用戶可簡單地選擇鏈接�����。W下討論描述了用戶通過網(wǎng)絡(luò)瀏覽器34a選擇鏈 接的實施方式�。然而,本領(lǐng)域技術(shù)人應(yīng)認識到可使用消息傳送服務(wù)例如電子郵件�、和/或其 它應(yīng)用。類似地��,本領(lǐng)域技術(shù)人應(yīng)認識到可通過在按壓右鼠標按鈕時可用的菜單選項來執(zhí) 行對鏈接的被動檢查��。
[0061] 在該示例性實施方式中����,在通信步驟101中,瀏覽器34a檢查鏈接的用戶選擇并發(fā) 送用于相應(yīng)網(wǎng)頁的請求����。該請求首先被發(fā)送至TCP/IP堆找33W將鏈接U化解析為IP地址。解 析U化可需要訪問網(wǎng)絡(luò)地址注冊數(shù)據(jù)庫����、互聯(lián)網(wǎng)服務(wù)提供商(ISP)、或?qū)化與其相應(yīng)IP地址 關(guān)聯(lián)的其它源��。然而,來自運種源的IP地址可能被掩飾或者W其它方式誤導(dǎo)����。而且,通過解 析U化不一定獲得端口號�。為了確保獲得真實IP地址和端口號,在通信步驟102中���,雌?八口堆 找33將請求發(fā)送至操作系統(tǒng)31a�,在通信步驟103中���,操作系統(tǒng)使得TCP連接通過互聯(lián)網(wǎng)連接 至可疑網(wǎng)絡(luò)節(jié)點17曰���。
[0062] 在通信步驟104中,可疑網(wǎng)絡(luò)節(jié)點17a(例如�����,其相應(yīng)服務(wù)器)返回被請求的網(wǎng)頁�����。而 且,被返回的是釣魚網(wǎng)站的準確的IP地址和端口號�����。在通信步驟105中��,客戶端操作系統(tǒng)31a 接收網(wǎng)頁����、地址和端口號���,并將該信息傳送至TCP/IP堆找33��。在通信步驟106中���,TCP^P堆找 將網(wǎng)頁傳送至瀏覽器34a。在通信步驟107中��,瀏覽器從TCP/IP堆找請求IP地址和端口號����。例 如,瀏覽器可調(diào)用GetIPAd化essByName對象或Ge地OStByName對象���。在通信步驟108中����,TCP/ IP堆找將IP地址和端口號返回至瀏覽器。
[0063] 然后��,在通信步驟109中��,瀏覽器34a將IP地址���、端口號和URL(或域名或主機名稱) 傳送至反釣魚模塊38a�。在通信步驟110中�,反釣魚模塊使用該信息從數(shù)據(jù)庫50請求所有者 名稱、國家��、和/或其它識別數(shù)據(jù)(如果有的話)���。在通信步驟111中��,數(shù)據(jù)庫50將所請求的信 息返回給反釣魚模塊38a����。反釣魚模塊3&1可將該信息直接傳送至瀏覽器34aW顯示���。然而�, 在一個實施方式中,反釣魚模塊38a確定所有者名稱和國家是否與ML的域名的已知信息匹 配���。如果沒有發(fā)現(xiàn)匹配���,反釣魚模塊然后在通信步驟112中向瀏覽器34a發(fā)送指令W顯示警 告���。
[0064] 圖4示出了用于本發(fā)明的一個實施方式的網(wǎng)頁200的屏幕截圖��。在該實施例中�����,釣 魚網(wǎng)站偽裝成公司例如化ypal公司的官方網(wǎng)站��。在瀏覽器地址字段中示出了全球資源定位 器(m?L) 202����。從來路不明的電子郵件通過超鏈接訪問URL����。與TOL的域名關(guān)聯(lián)的IP地址是 68.142.234.59。在瀏覽器地址字段中示出的域名地址附近顯示了關(guān)聯(lián)的IP地址所有者的 名稱204和國家206。用戶����、反釣魚插件和/或其它判斷模塊可將所有者的名稱和國家與域名 進行比較W判斷真實性。一些比較相對簡單����。例如,如果IP所有者的名稱是未知的組織或人 們名字����,而域名指示知名的公司,則可W是針對IP所有者是域名的真實所有者的加權(quán)決定����。 類似地,如果IP所有者的國家是具有假冒活動歷史或者遠離該知名公司的祖國的國家����,那 么可W是針對IP所有者是域名的真實所有者的進一步加權(quán)。IP地址也可簡單地與已知的IP 地址或者已知公司的地址范圍進行比較�。加權(quán)的信息可導(dǎo)致IP地址不是真實網(wǎng)站而是釣魚 網(wǎng)站的決定。
[006引如圖4所示��,網(wǎng)頁200看似是化ypal公司的網(wǎng)頁����。IP所有者202顯示為Inktomi公司����, 其是有效的公司�。然而,與域名WWW. paypay. com關(guān)聯(lián)的IP地址是216.113.188.67�。大組織可 具有許多IP地址,因此可能不清楚IP地址是否被有效組織所有�����。與U化的IP地址關(guān)聯(lián)的國家 206是美國���,運也看似是有效的。因此����,可使用附加信息。在該實施例中�,已知化ypal公司由 化ay公司所有,而不是與Inktomi公司關(guān)聯(lián)�。因此,示出的網(wǎng)站有可能是釣魚網(wǎng)站��。在另一瀏 覽器字段中W彈出窗口和/或W其它方式顯示可選的警告208。 巧066] 另一示例性實施方案
[0067] 在IP網(wǎng)絡(luò)例如互聯(lián)網(wǎng)中���,兩個節(jié)點之間的連接或會話通常使用IP地址和TCP/UDP 端口號來進行�����。任一節(jié)點知曉其自身W及另一節(jié)點的IP地址和端口號�����。端口通常是至網(wǎng)絡(luò) 節(jié)點的末端�。端口號通常代表特定通信會話����、特定功能、特定資源或該網(wǎng)絡(luò)節(jié)點內(nèi)的其它身 份��。端口號通常被分成=個范圍:知名端口�����、注冊端口和動態(tài)和/或私人端口��。知名端口通常 通過分配服務(wù)例如IANA來分配��。注冊端口可W可選地注冊W用于期望目的。動態(tài)或私人端 口通常由網(wǎng)絡(luò)節(jié)點使用�,W用于經(jīng)常改變通信和/或用于私人目的。
[0068] 對于至另一節(jié)點的出站連接����,客戶端使用另一節(jié)點的IP地址和端口號。對于入站 連接�����,例如至客戶端���,請求將識別其IP地址和端口號�。如果使用媒介節(jié)點����,例如互聯(lián)網(wǎng)服務(wù) 提供商服務(wù)器���,媒介節(jié)點將通常知曉每個節(jié)點的IP地址和端口號�����。例如����,服務(wù)器將通常知曉 請求節(jié)點和客戶端節(jié)點的IP地址和本地端口號,使得媒介節(jié)點可中繼請求節(jié)點與客戶端節(jié) 點之間的通信�。
[0069] 類似地,對于下載由服務(wù)器或客戶端發(fā)起的文件�����,IP地址和端口號是已知的�。例 如,如果下載是來自網(wǎng)站或其它網(wǎng)絡(luò)服務(wù)�,如上所述,可通過公共或本地分配數(shù)據(jù)庫來確定 提供文件的網(wǎng)絡(luò)節(jié)點的IP地址和端口號�。在一些情況下,IP地址和端口號可W是有效的�����、可 信網(wǎng)絡(luò)節(jié)點的IP地址和端口號�����。然而�,黑客可訪問可信節(jié)點并試圖分布病毒或其它不可取 文件。在運種情況下����,本發(fā)明的實施方式評估通信的載荷����。在一個實施方式中���,評估模塊評 估數(shù)據(jù)包的載荷W相對于指示可允許數(shù)據(jù)的分類標識符來確定并檢查載荷數(shù)據(jù)�����。在另一實 施方式中�,評估模塊評估待傳送文件的整體文件擴展��、文件作者��、創(chuàng)建日期和/或其它特性�����, W判斷文件是否應(yīng)被阻塞和/或是否發(fā)布警告�。例如����,從信任網(wǎng)絡(luò)節(jié)點下載新文檔但是不下 載可執(zhí)行代碼可W是可接受的�����。一個或多個分類碼可與每個信任節(jié)點的IP地址和端口號關(guān) 聯(lián)��,W指示被允許的那些類型的載荷數(shù)據(jù)����、下載文件或其它數(shù)據(jù)����。
[0070] IP地址、端口號和分類碼被存儲在文件��、數(shù)據(jù)庫和/或指示為有效的和/或W其它 方式信任的網(wǎng)絡(luò)節(jié)點和文件的其它數(shù)據(jù)源中�����。運種數(shù)據(jù)源在本文中有時被稱為白名單�。白 名單通常不同于黑名