被國家包含����。類似地,如果第二特性是可允許時 間段(例如����,處于6AM與IlPM之間)��,那么在第一特性(例如�����,10PM)處于該時間段內(nèi)的情況下���, 第一特性被時間段包含。
[0118] 在一些實(shí)施方式中��,判斷第二通信特性是否包含第一通信特性包括判斷兩個特性 是否匹配�����。匹配特性可包括執(zhí)行等同測試���,例如兩個字符串���、數(shù)量或其它數(shù)據(jù)類型之間的相 等性。在一些情況下�����,匹配可W是嚴(yán)格相等測試����,而在另一些情況下,近似就可足夠����,例如在 不敏感字符串匹配的情況中。
[0119] 在塊612中���,過程提供網(wǎng)絡(luò)通信的可允許性的指示��。提供可允許性的指示可包括通 知用戶(例如����,通過對話框或彈出窗口)����、發(fā)送消息(例如,電子郵件)����、在日志中記錄指示、將 某一值返回給另一過程或代碼塊等。
[0120] -些實(shí)施方式可提供附加或可替換功能�����。一個實(shí)施方式執(zhí)行用戶驗(yàn)證���,例如可出 現(xiàn)在網(wǎng)絡(luò)上下文中?���,F(xiàn)有的驗(yàn)證方案使用用戶名/密碼組合�。一些實(shí)施方式還可結(jié)合用戶 名/密碼組合方案使用上述技術(shù)中的一種或多種。例如�,一些實(shí)施方式除了用戶名和密碼之 外可檢查IP地址。由于IP地址在網(wǎng)絡(luò)上分配且是唯一的�����,所W不容易假裝成其它��。因此�����,如 果黑客已偷取用戶的用戶名和密碼�,他將不能攻入賬戶���,因?yàn)樗?他沒有正確的IP地址。端 口號和其它特性(例如��,時刻�、地理地區(qū))也可包括在驗(yàn)證方案中�����。注意到��,運(yùn)些特性中的一 些但不是全部可在沒有用戶的交互�����、干預(yù)或參與的情況下確定����。例如,IP地址可參考TCP^P 堆找而直接確定�。
[0121] 而且,當(dāng)前互聯(lián)網(wǎng)服務(wù)提供商可使用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)或代理服務(wù)����,使得許多用 戶可共享相同的IP地址�。一些實(shí)施方式通過使用分配與通過NAT/代理模塊管理的內(nèi)部IP地 址對應(yīng)的靜態(tài)TCP端口號的MT/代理服務(wù)(例如�,由路由器或網(wǎng)關(guān)提供),使得每個內(nèi)部IP將 具有相同的外部IP地址��,但具有唯一且可識別的端口號�����。
[0122] -些實(shí)施方式將圖6的過程擴(kuò)展為W下附加操作:從計算系統(tǒng)的TCP/IP堆找接收 第一IP地址和端口號����;接收與網(wǎng)絡(luò)通信關(guān)聯(lián)的統(tǒng)一資源定位器(TOL)/統(tǒng)一資源標(biāo)識符 (URI);通過相對于將所有者名稱與IP地址關(guān)聯(lián)的分配數(shù)據(jù)庫查詢從TCP/IP堆找接收的第 一 IP地址來確定與第一 IP地址關(guān)聯(lián)的第一名稱;通過相對于將所有者名稱與域名關(guān)聯(lián)的分 配數(shù)據(jù)庫詢問與網(wǎng)絡(luò)資源關(guān)聯(lián)的URL/URI的域名來確定與URL/URI關(guān)聯(lián)的第二名稱;W及基 于第一 IP地址和端口號被包括在信任網(wǎng)絡(luò)地址的預(yù)定白名單中并且基于第一名稱是否與 第二名稱匹配�,設(shè)定通信操作是允許的或是不允許的指示器。
[0123] -些實(shí)施方式提供用于控制通信的系統(tǒng)�,包括:通信接口,用于與網(wǎng)絡(luò)資源進(jìn)行通 信���,所述通信接口包括TCP/IP堆找;存儲器�����,用于存儲指令���;W及處理器���,與所述通信接口和 所述存儲器通信,其中所述處理器被配置為通過執(zhí)行W下步驟來評估網(wǎng)絡(luò)通信:接收信任 網(wǎng)絡(luò)地址的預(yù)先定義的白名單��,所述白名單不包括用于任何未經(jīng)證實(shí)的網(wǎng)絡(luò)節(jié)點(diǎn)的地址��, 但是對于每個信任網(wǎng)絡(luò)地址包括可允許通信特性的一個或多個指示;確定與所述網(wǎng)絡(luò)通信 對應(yīng)的第一互聯(lián)網(wǎng)協(xié)議(IP)地址;確定與所述網(wǎng)絡(luò)通信關(guān)聯(lián)的第一通信特性;確定第二通 信特性���,所述第二通信特性為通過所述白名單中與所述第一 IP地址對應(yīng)的條目所指定的可 允許通信特性;通過確定所述第二通信特性是否包含所述第一通信特性,相對于所述白名 單來評估所述網(wǎng)絡(luò)通信��;響應(yīng)于確定所述第二通信特性沒有包含所述第一通信特性�����,設(shè)定 所述網(wǎng)絡(luò)通信是不允許的指示器����;W及響應(yīng)于確定所述第二通信特性包含所述第一通信特 性,設(shè)定所述網(wǎng)絡(luò)通信是允許的指示器�����。
[0124] 本文中參考的所有文獻(xiàn)整體通過引用并入本文中�,運(yùn)些文獻(xiàn)包括但不限于W下相 關(guān)申請:于2007年2月28提交的標(biāo)題為"評估可疑網(wǎng)絡(luò)通信"的第No. 11/712,648號美國申 請�����,現(xiàn)為美國專利No.8,621���,604;于2006年9月6日提交的標(biāo)題為"識別用于驗(yàn)證的網(wǎng)絡(luò)地址 源"的第No. 11/470,581號美國申請;于2005年9月6日提交的標(biāo)題為"識別用于驗(yàn)證的網(wǎng)絡(luò) 地址源"的第No.60/714,889號美國臨時申請;W及于2006年3月17日提交的標(biāo)題為"識別用 于驗(yàn)證的網(wǎng)絡(luò)地址源"的第No. 60/783�,446號美國臨時申請。
[0125] W上說明��、示例和數(shù)據(jù)提供了對制造和使用本發(fā)明的組成部分的完整描述�。例如, 數(shù)字證書可用于驗(yàn)證����、加密可用于通信,并且可包括其它特征�。然而,其它實(shí)施方式將對本 領(lǐng)域技術(shù)人員是清楚的�����。由于可在不偏離本發(fā)明的精神和范圍的情況下進(jìn)行本發(fā)明的許多 實(shí)施方式����,所W本發(fā)明存在于所附的權(quán)利要求中�。
【主權(quán)項】
1. 一種計算系統(tǒng)中用于控制通信的方法���,包括:在計算系統(tǒng)中���,通過以下步驟來評估網(wǎng) 絡(luò)通信: 接收信任網(wǎng)絡(luò)地址的預(yù)先定義的白名單,所述白名單不包括用于任何未授權(quán)的網(wǎng)絡(luò)節(jié) 點(diǎn)的地址��,但是對于每個信任網(wǎng)絡(luò)地址包括可允許通信特性的一個或多個指示�,其中所述 可允許通信特性包括可允許地理位置的指示、可允許程序的指示��、可允許訪問時間的指示�����、 可允許用戶的指示�����、可允許數(shù)據(jù)類型的指示����、以及可允許訪問控制的指示中的多個����; 確定與所述網(wǎng)絡(luò)通信對應(yīng)的第一互聯(lián)網(wǎng)協(xié)議(IP)地址��; 確定與所述網(wǎng)絡(luò)通信關(guān)聯(lián)的第一通信特性��; 確定第二通信特性��,所述第二通信特性為通過所述白名單中與所述第一 IP地址對應(yīng)的 條目所指定的可允許通信特性�; 通過判斷所述第二通信特性是否包含所述第一通信特性�����,相對于所述白名單來評估所 述網(wǎng)絡(luò)通信�; 響應(yīng)于確定所述第二通信特性沒有包含所述第一通信特性,設(shè)定所述網(wǎng)絡(luò)通信是不允 許的指示器����;以及 響應(yīng)于確定所述第二通信特性包含所述第一通信特性,設(shè)定所述網(wǎng)絡(luò)通信是允許的指 示器�。2. 如權(quán)利要求1所述的方法,其中對于所述白名單中的每個網(wǎng)絡(luò)地址�,所述白名單中的 所述可允許通信特性包括可允許地理位置的指示,以及所述方法還包括: 通過詢問地理定位信息提供者����,確定與所述第一IP地址關(guān)聯(lián)的地理位置����;以及 判斷與所述第一 IP地址關(guān)聯(lián)的所述地理位置是否與通過所述白名單中的所述條目被 指示為可允許的地理位置匹配����,或者判斷由所述白名單中的所述條目被指示為可允許的所 述地理位置是否包含與所述第一 IP地址關(guān)聯(lián)的所述地理位置。3. 如權(quán)利要求1所述的方法����,其中對于所述白名單中的每個網(wǎng)絡(luò)地址,所述白名單中的 所述可允許通信特性包括被允許通過所述網(wǎng)絡(luò)地址通信的程序的指示��,所述程序的指示包 括程序名稱和/或程序代碼的散列�,所述方法還包括: 確定在所述計算系統(tǒng)上執(zhí)行且參與所述網(wǎng)絡(luò)通信的通信程序;以及 判斷所述通信程序是否與被指示為所述白名單中的所述條目允許的程序匹配��。4. 如權(quán)利要求1所述的方法�,其中對于所述白名單中的每個網(wǎng)絡(luò)地址���,所述白名單中的 所述可允許通信特性包括可允許訪問時間的指示�,所述方法還包括: 確定所述網(wǎng)絡(luò)通信發(fā)生的時間��;以及 判斷經(jīng)確定的時間是否與被指示為所述白名單中的所述條目允許的訪問時間匹配���,或 者被指示為所述白名單中的所述條目允許的訪問時間是否包含所述經(jīng)確定的時間��。5. 如權(quán)利要求1所述的方法����,其中對于所述白名單中的每個網(wǎng)絡(luò)地址,所述白名單中的 所述可允許通信特性包括可允許用戶的指示���,所述方法還包括: 確定與所述網(wǎng)絡(luò)通信關(guān)聯(lián)的用戶�����;以及 判斷經(jīng)確定的用戶與被指示為所述白名單中的所述條目允許的用戶是否匹配����,或者被 指示為所述白名單中的所述條目允許的用戶是否包含所述經(jīng)確定的用戶��。6. 如權(quán)利要求1所述的方法�����,其中對于所述白名單中的每個網(wǎng)絡(luò)地址�,所述白名單中的 所述可允許通信特性包括可允許數(shù)據(jù)類型的指示,所述可允許數(shù)據(jù)類型為可執(zhí)行代碼、腳 本�����、宏��、音頻�����、視頻���、圖像和文本中的一種�,所述方法還包括: 確定與通過所述網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)對應(yīng)的數(shù)據(jù)類型����;以及 判斷經(jīng)確定的數(shù)據(jù)類型與被指示為所述白名單中的所述條目允許的數(shù)據(jù)類型是否匹 配。7. 如權(quán)利要求1所述的方法�,其中對于所述白名單中的每個網(wǎng)絡(luò)地址,所述白名單中的 所述可允許通信特性包括非交互性程序是否被允許通過所述網(wǎng)絡(luò)地址通信的指示����,所述方 法還包括: 確定在所述計算系統(tǒng)上執(zhí)行的且參與所述網(wǎng)絡(luò)通信的通信程序��;以及 確定所述通信程序是以交互模式還是以非交互模式操作。8. 如權(quán)利要求1所述的方法�����,還包括通過以下步驟來評估具有RECEIVED報頭字段和 FROM報頭字段的電子郵件消息的真實(shí)性�,所述RECEIVED報頭字段通過接收者SMTP服務(wù)器插 入,所述FROM報頭字段指定在發(fā)送者系統(tǒng)被插入的源電子郵件地址: 基于所述RECEIVED報頭字段確定所述第一 IP地址����; 基于所述源電子郵件地址通過執(zhí)行域名查找來確定第二IP地址;以及 判斷所述第一 IP地址與所述第二IP地址是否匹配�,以及在不匹配的情況下,設(shè)定所述 電子郵件消息具有偽造源地址的指示��。9. 如權(quán)利要求1所述的方法����,其中所述網(wǎng)絡(luò)通信發(fā)生在內(nèi)部網(wǎng)絡(luò)內(nèi),以及其中所述第一 IP地址是所述內(nèi)部網(wǎng)絡(luò)的IP地址�����。10. 如權(quán)利要求1所述的方法���,其中所述網(wǎng)絡(luò)通信通過傳入的TCP/IP連接請求而啟動�����。11. 如權(quán)利要求1所述的方法�,其中所述網(wǎng)絡(luò)通信通過傳出的TCP/IP連接請求而啟動。12. 如權(quán)利要求1所述的方法��,其中對于所述白名單中的每個網(wǎng)絡(luò)地址��,所述白名單中 的所述可允許通信特性包括可允許用戶和訪問控制的指示����,所述方法還包括: 確定與所述網(wǎng)絡(luò)通信關(guān)聯(lián)的用戶; 確定與所述網(wǎng)絡(luò)通信關(guān)聯(lián)的用戶訪問控制權(quán)限���; 確定用戶IP地址和/或端口號�����;以及 判斷經(jīng)確定的用戶�����、經(jīng)確定的用戶訪問控制權(quán)限以及經(jīng)確定的用戶IP地址/端口號是 否匹配����,或者是否被所述白名單中的所述條目所包含���。13. 如權(quán)利要求1所述的方法�,其中所述第一 IP地址是與客戶端計算裝置關(guān)聯(lián)的IP地 址���,以及其中評估所述網(wǎng)絡(luò)通信的步驟包括: 判斷所述第一IP地址通過所述白名單是否與對應(yīng)于所述客戶端的標(biāo)識符關(guān)聯(lián)�����;以及 判斷與所述第一 IP地址關(guān)聯(lián)的地理位置是否被通過所述白名單與所述第一 IP地址關(guān) 聯(lián)的地理位置所包含����。14. 一種非瞬時性計算機(jī)可讀介質(zhì)��,包括用于使計算裝置執(zhí)行如權(quán)利要求1-13中任一 項所述的方法的可執(zhí)行指令���。15. -種用于控制通信的系統(tǒng)�,包括: 通信接口�,用于與網(wǎng)絡(luò)資源進(jìn)行通信,所述通信接口包括TCP/IP堆棧��; 存儲器��,用于存儲指令;以及 處理器���,與所述通信接口和所述存儲器通信�����,其中所述處理器被配置為通過執(zhí)行如權(quán) 利要求1-13中任一項所述的方法來評估網(wǎng)絡(luò)通信�����。
【專利摘要】識別來自網(wǎng)絡(luò)通信的可疑網(wǎng)絡(luò)地址���。在一個實(shí)施方式中,網(wǎng)絡(luò)裝置接收入站或出站連接請求����、網(wǎng)頁、電子郵件或其它網(wǎng)絡(luò)通信�����。評估模塊針對相應(yīng)網(wǎng)絡(luò)地址評估網(wǎng)絡(luò)通信�,相應(yīng)網(wǎng)絡(luò)地址可以是用于網(wǎng)絡(luò)通信的源或目的地。網(wǎng)絡(luò)地址通常包括IP地址�����。評估模塊確定網(wǎng)絡(luò)通信的一個或多個特性,例如時刻�����、內(nèi)容類型��、方向性等����。然后評估模塊基于與IP地址關(guān)聯(lián)的白名單中指定的特性來判斷特性是否匹配或者以其它方式被允許�����。
【IPC分類】H04L29/00, G06F21/51
【公開號】CN105580333
【申請?zhí)枴緾N201480052461
【發(fā)明人】丹尼爾·錢
【申請人】丹尼爾·錢
【公開日】2016年5月11日
【申請日】2014年3月19日
【公告號】CA2921345A1, EP3033865A1, WO2015023316A1