TW201445962A - 網際網路協定威脅防止 - Google Patents

網際網路協定威脅防止 Download PDF

Info

Publication number
TW201445962A
TW201445962A TW103109605A TW103109605A TW201445962A TW 201445962 A TW201445962 A TW 201445962A TW 103109605 A TW103109605 A TW 103109605A TW 103109605 A TW103109605 A TW 103109605A TW 201445962 A TW201445962 A TW 201445962A
Authority
TW
Taiwan
Prior art keywords
risk
addresses
address
category
level
Prior art date
Application number
TW103109605A
Other languages
English (en)
Inventor
David Edward Maestas
Original Assignee
Techguard Security L L C
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Techguard Security L L C filed Critical Techguard Security L L C
Publication of TW201445962A publication Critical patent/TW201445962A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明實時阻斷高風險IP連接,同時允許特製一可接受風險設定檔以便匹配網路資源之安全需求。藉由獲取關於IP位址之IP威脅資訊、包括風險置信度級別、指定相應於該等IP位址之各種特徵的加權因數值,且使用該等加權因數值來對該等風險置信度級別進行數學變換,以阻斷來自引起不可接受之風險級別的IP位址的訊務量。此外,將風險置信度級別數學變換至一使用者定義的可接受風險級別允許來自具有一可接受風險級別的該IP位址之訊務量。

Description

網際網路協定威脅防止
本發明之各態樣允許實時阻斷高風險IP連接,同時允許使用者特製其可接受之風險設定檔以便匹配其網路資源之安全需求。
相關申請案之交互參照
本申請案主張2013年3月14日申請之美國臨時申請案第61/782,669號之權益,其全部揭露內容以引用的方式併入本文中以達所有目的。
連接至網際網路的計算裝置面臨不斷的安全風險。連接至網際網路的電腦服務(尤其為面向公眾之服務)面臨諸多攻擊,該等攻擊經設計以剝奪對資源的存取(亦即,拒絕服務)、中斷對資源的存取(例如,發佈政治聲明)或提供對資源的非法存取(例如,出於貨幣原因)。受保護網路之防火牆內部的網際網絡連接裝置在與防火牆外部的資源進行通訊時係處於風險中。防火牆內部的此等裝置可遭惡意軟體感染,該惡意軟體試圖將該等裝置列入僵屍網路(bot-net)中,或試圖將個人及/或金融資訊發送至網際網路上的未授權實體。
曾經,將存取規則添加至防火牆中來限制入埠或離埠網際網路連接已解決此問題。然而,現今黑客及網路罪犯更加高端,且能夠藉由經由代理伺服器、匿名上網服務以及已被列入由攻擊者控制的僵屍網路中的電腦進行連接來隱藏其身份。簡單地阻斷網際網路協定(IP)位址不足以防 止攻擊,因為攻擊者所使用之IP位址可每日、每時改變,且有時甚至更頻繁地改變。此外,僅有兩個選項(亦即,阻斷或不阻斷)不會為評估威脅提供足夠的變通性。而且,建立例外方案係人工密集式的。
網際網路風險智慧提供者(IRIP)為一實體,該實體監視用於惡意活動訊號之網際網路網路節點,且提供對該實體之發現內容的存取。在偵測到可能的惡意活動之後,IRIP將與該活動相關聯的IP位址添加至可下載清單或實時饋送。除IP位址外,該IRIP包括潛在風險之風險類別及一置信度計分,該置信度計分指示所偵測IP位址實際為一風險的可能性。一典型IRIP能夠監視數百萬IP位址,且因而IP位址之一典型清單可以數百萬來編號。遺憾地,通常用來終止高風險IP位址連接至網路中或連接至網路外的習知防火牆及路由器僅能夠阻斷小百分比的IP位址(例如,10,000個至多100,000個IP位址)。除上述缺點外,防火牆及路由器亦需隨著威脅環境改變而不斷實時更新存取規則,該等規則判定將阻斷哪些IP位址(亦即,風險阻斷)。需要的是一種實時阻斷高風險IP連接同時允許使用者特製其可接受之風險設定檔(profile)以便匹配其網路資源之安全需求的實踐方式。
簡言之,本發明之各態樣允許實時阻斷高風險IP連接,同時允許使用者特製其可接受之風險設定檔以便匹配其網路資源之安全需求。IP威脅資訊係經由一饋送(例如,基於可延伸標示語言(XML)或JavaScript物件標記法(JSON))自一或多個提供者獲取。該資訊例如包括:一IP位址、一附名風險類別,及該所列IP位址實際為該附名類別內之一威脅的一置信度級別。有利地,來自每一提供者的該等類別名稱係對映至一組共同類別 名稱,從而解決潛在的命名衝突。基於個別風險計分之一集體風險計分考慮由IRIP指定的置信度級別、一IP位址在一預定時間間隔範圍內已列為高風險的次數,以及自上一次列出該IP位址以來的時間間隔。另外,對來自該IRIP資料之該等計分進行加權改良威脅評估。
在一態樣中,一種評估與針對一風險類別之一IP位址相關聯的一風險之電腦實施方法包含將複數個威脅資訊儲存於一記憶體裝置中。該威脅資訊包括:該IP位址、與該IP位址相關聯的一風險類別及與該IP位址相關聯的一風險置信度級別。另外,該方法包含:將一風險類別接受級別儲存於該記憶體裝置中及判定與該IP位址相關聯的一風險類別值。根據該方法,該風險類別值係根據以下者來判定:該風險置信度級別;在一第一時間間隔期間,該風險置信度級別已超過該風險類別接受級別的實例數目;以及表示自該風險置信度級別先前超過該風險類別接受級別以來的所經過時間的一第二時間間隔。該方法進一步包含:將該風險類別值儲存於該記憶體裝置中,及提出關於與針對該風險類別之該IP位址相關聯的該威脅隨該風險類別值及該風險類別接受級別變化的一決策。
在另一態樣中,一種判定複數個IP位址之一集體風險計分的處理器實施方法包含經由一電腦通訊網路接收來自一或多個IRIP的針對一特定類別之複數個IP位址。另外,該方法包括:判定該等經接收之IP位址中每一者的來源特徵,及將加權因數指定至該等來源特徵,及對該等已加權之來源特徵進行數學變換來調整該等經接收之IP位址中每一者的一風險置信度級別。該方法進一步包含:基於該等IP位址之該等經調整之置信度級別來判定該等IP位址之一集體風險計分,及允許來自該等IP位址中每 一者的訊務量,該等IP位址具有低於一可接受風險級別的一集體風險計分。
在又一態樣中,一種用於判定自複數個來源實時接收的複數個IP位址之風險的系統包含一記憶體,該記憶體用於儲存複數個IP位址及一日期及一時間、一指定風險類別及每一IP位址之一置信度級別。一圖形使用者介面顯示與每一IP位址相關聯的複數個類別且接收來自一使用者之輸入,該輸入包括該複數個類別中每一者的一可接受風險級別。該系統亦包括一電腦處理器,該電腦處理器用於執行電腦可執行指令以用於接收來自一或多個IRIP的針對一特定類別之複數個IP位址,判定該一或多個經接收之IP位址是否與一個以上類別相關聯,判定針對一類別之該等經接收之IP位址中每一者的來源特徵,將針對每一類別之一加權因數指定至該等來源特徵中每一者,藉由使用基於每一類別之該等加權因數的一數學變換來調整該等經接收之IP位址中每一者的一置信度級別,基於該等經調整之置信度級別判定所有該等IP位址之一集體風險計分,接收來自一使用者的針對每一類別的一可接受風險級別,將該集體風險計分與來自該使用者的該經接收之可接受風險級別相比較,以及允許具有低於該可接受風險級別之一集體風險計分的任何IP位址通過該網路之防火牆。
在又一態樣中,一種電腦網路防火牆系統包含儲存處理器可執行指令的至少一個有形、非暫時性電腦可讀媒體。一威脅評估處理器經規劃來執行該等指令。而且,該等指令在藉由該處理器執行該等指令時,將複數個威脅資訊儲存於該電腦可讀媒體上。該威脅資訊包括:一IP位址、與該IP位址相關聯的一風險類別及與該IP位址相關聯的一風險置信度級別。另外,該等經執行之指令儲存一風險可接受級別,及根據以下者來判 定與該IP位址相關聯的一風險值:該風險置信度級別;在第一時間間隔期間,該風險置信度級別已超過一閾值級別的實例數目,及表示自該風險置信度級別先前超過該閾值級別以來的所經過時間的一第二時間間隔。該經執行之指令進一步將該風險值與該風險可接受級別相比較,以及當該風險值大於或等於該風險可接受級別時,利用與該IP位址相關聯的一計算裝置阻斷電腦網路通訊。
其他目標及特徵在下文中將為部分明顯的且部分加以指出。
圖1為根據本發明之一實施例的示範性威脅評估過程的圖。
圖2進一步例示圖1之多個IRIP特徵的示範性加權過程。
圖3進一步例示圖1之來源及/或目的地特徵的示範性加權過程。
圖4進一步例示圖1之發端國家特徵的示範性加權過程。
圖5進一步例示圖1之發端ISP特徵的示範性加權過程。
圖6進一步例示圖1之時序特徵的示範性加權過程。
圖7進一步例示圖1之多個類別特徵的示範性加權過程。
圖8A至圖8B為根據本發明之一實施例的示範性集合過程的圖。
圖9至圖12為根據本發明之一實施例的示範性使用者介面的截屏。
遍及圖式中的相應元件符號指示相應部件。
本發明之各態樣允許基於IP威脅資訊來實時阻斷高風險IP連接,同時允許使用者特製其可接受之風險設定檔以便匹配其網路資源之安全需求。IP威脅資訊提供與潛在高風險IP位址相關的細節。此資訊至少部分地包括:IP位址、附名風險類別,及相應於該相關聯IP位址實際為該附名類別內之威脅的置信度級別的風險計分。涵蓋的是,可包括與IP位址相關的額外資訊。在一實施例中,IP威脅資訊係經由基於諸如XML或JSON之編碼格式的實時饋送來跨通訊網路自一或多個提供者(例如,IRIP)獲取。在另一實施例中,IP威脅資訊係自一電腦可讀儲存媒體獲取。
圖1例示體現本發明之態樣的用於評估威脅之過程。根據本發明之態樣,該過程將權重指定至與IP位址相關聯的各種特徵,且藉由使用一數學變換來調整IP位址之風險計分。
在本發明之一實施例中,風險類別名稱係對映至一組共同類別名稱中。如圖1中所示,IP威脅資訊係自複數個IRIP 102獲取,且由每一IRIP所提供之附名風險類別在104處對映至一共同類別名稱中。例如,攻擊者通常經由使用匿名代理伺服器(亦即,匿名上網服務)來隱藏其於網際網路上的身份,從而使網際網路活動無法追蹤。不同IRIP可不同地標記與附名風險類別相關聯的IP位址,其取決於個別命名規約。例如,不同IRIP可將來自匿名上網服務之IP位址標記為「Tor節點」、「Tor退出節點」或「Tor匿名上網服務節點」。為建立一共同分類學,IRIP類別名稱中的每一者係對映至例如「Tor節點」的一共同類別名稱。作為另一實例,IRIP可使用諸如「匿名上網服務節點」、「代理伺服器節點」以及「中繼節點」之類別名稱,該等類別名稱可對映至「代理伺服器節點」。將來自不同IRIP的不同類別名 稱對映至一共同類別避免命名規約的問題或給定類別內之拼字問題。示範性類別可包括但不限於:「命令及控制伺服器」、「已知受感染功能程式(bot)」、「已知垃圾郵件來源」、「Tor節點」、「已知遭破解或敵意主機」、「代理伺服器主機」、「主機執行掃瞄」、「SSH或其他蠻力攻擊者」、「偽AV及AS產品」、「分散式命令及控制節點」、「嫌疑exe或散播病毒程式(dropper)服務」、「行動CnC」以及「行動間諜軟體Cnc」。
較佳地,在104處經對映之IP威脅資訊係儲存於本地資料庫中。在一實施例中,獲取IP威脅資訊之時間戳(例如,日期及時間)係儲存於具有IP威脅資訊的本地資料庫中。日期及時間可用於計時條目之壽命。因為時間在沒有關於特定IP位址的額外資訊的情況下流逝,所以彼特定IP位址為高風險之確定性減少。例如,IRIP可在一預定時間週期範圍內將特定IP位址始終列為高風險。相較於並未被始終排為高風險的其他高風險IP位址而言,彼特定高風險IP位址可保證較高權值之指定。
進一步參考圖1,風險評估減輕處理器(RAMP)引擎106為與IP位址相關聯的各種特徵指定權重。已指定權重的示範性特徵包括但不限於:多個IRIP特徵108、來源及/或目的地特徵110、發端國家特徵112、發端ISP特徵114、時序特徵116、自律系統號碼(ASN)特徵118及多個類別特徵120。如以下更詳細解釋,在已將各種加權因數指定至IP位址後,隨後藉由數學變換122(例如,線性變換、指數變換或對數變換)使用加權值來將一調整施加於風險計分。基於加權風險類別值之一或多者,本發明之態樣提出一決策或另外判定一動作。示範性動作包括一決策,用以允許訊務量、重選路由傳遞訊務量、允許訊務量但對訊務量做記錄等等。
圖2進一步例示多個IRIP特徵108之加權過程。在一實施例中,將一加權因數值指定給自多個IRIP獲取的每一IP位址,該加權因數值相較於指定至與單一IRIP相關聯的IP位址的加權因數值而言具有更大的加權因數值。
圖3進一步例示來源及/或目的地特徵110之加權過程。在此實施例中,加權因數係施加來考慮與發端(亦即,入埠或來源)IP位址或去往某些區域(亦即,離埠或目的地)IP位址之連接相關聯的風險。區域之實例包括但不限於地理區域,諸如國家、商業分區、政治區及其類似物。例如,在中國發端之IP位址可能比在加拿大發端之IP位址具有更高風險。另外,來自諸如金融或關鍵基礎設施之管制行業的IP位址與來自例如娛樂或不動產行業的IP位址相比,構成風險之可能較小。此外,來自強力支援色情內容或其他不良主題之政治團體的連接將更可能成為網路活躍分子攻擊的目標,且其與來自支援宗教自由或其他良好主題之政治團體的IP位址相比將更可能被感染。
圖3之加權過程將來源及/或目的地權重與由每一IRIP提供者提供之風險計分組合來得出一加權風險計分,該加權風險計分考慮連接自何處發端(入埠)或在何處終止(離埠)。在離埠(亦即,目的地)狀況下,例如,惡意軟體可駐存於電腦上且在背景不引人注意地運行。當惡意軟體將資訊發送至IP位址時,目的地IP位址之風險計分係與已建立之可接受級別比較,且若該計分超過最大可接受風險級別,則中斷該連接。
此外,在一實施例中,來源及/或目的地加權因數考慮地理鄰近度而非國家過濾,或除國家過濾之外仍考慮地理鄰近度。地理鄰近度 有關於IP位址與已列為高風險的其他IP位址有多近。此方法與國家過濾並不相同,儘管兩種方法之間可能存在一些重疊。此技術使用數學公式來判定潛在高風險IP位址與高風險IP位址之最鄰近群集的鄰近度。將相距該群集之距離與該群集之加權威脅計分組合來判定不與該群集相關聯之IP位址的風險。IP位址與該群集愈近,指定至該IP位址之風險計分愈高。有益地,當群集與IP位址緊密鄰近但處於不同國家(諸如靠近邊界)時,此地理鄰近度方法提供較佳結果。例如,位於距華盛頓布萊恩10英里處的IP位址可與位於諸如美國華盛頓西雅圖或加拿大不列顛哥倫比亞溫哥華之相鄰城市的群集相關聯。若群集位於西雅圖且IP位址位於加拿大不列顛哥倫比亞白石鎮,則當利用國家過濾網(例如,美國)時不將該情況列為威脅。然而,藉由使用地理鄰近度,群集與IP位址之間存在的美國-加拿大邊界係無關的,且在給定IP位址與位於西雅圖之群集的鄰近度的情況下,該IP位址將為較高威脅風險。
圖4例示根據本發明之實施例的發端國家特徵112的加權過程。例如,在將權重指定至自特定國家發端的IP位址時,相較於自諸如加拿大之較低風險國家發端的IP位址而言,RAMP引擎106將更大的加權值指定至自諸如中國之較高風險國家發端的IP位址。
在圖5中,體現本發明之態樣的發端ISP特徵114的加權過程考慮ISP之威脅經驗。例如,RAMP 106可考慮與自特定ISP發端之連接相關聯的風險,該特定ISP具有高數目的始終出現於IP威脅饋送上之IP位址,從而指示ISP並未實施足夠限制來防止其IP位址空間被用於惡意目的。因此,ISP係根據例如ISP的將特定IP位址評估為威脅之可靠性來加權。
圖6進一步例示時序特徵116之加權過程。在一實施例中,RAMP引擎106判定在預定時間間隔範圍內已將所關注IP位址列為高風險的頻繁程度,且將彼次數與預定閾值相比較。當在時間間隔範圍內IP位址已列為高風險的次數超過閾值時,頻繁加權值w1,w2,...,wn獲指定至風險計分(其中wi>0且wi<2),從而得出±100%。當在時間間隔範圍內IP位址已列為高風險的次數並未超過閾值時,「不頻繁」加權值獲指定至該風險計分。在另一實施例中,RAMP引擎106判定自IP位址先前被列為高風險以來的時間間隔。時間間隔加權值獲指定至與已判定時間間隔成比例的風險計分。
現在參考圖7,複數個IRIP可列出一個以上附名風險類別中之某一IP位址。多個類別特徵120的示範性加權過程說明此情境。例如,一個IRIP可將特定IP位址列為垃圾郵件,而另一IRIP可將相同IP位址列為垃圾郵件及Tor退出節點。在一實施例中,RAMP引擎106判定IP位址是否列於一個以上附名風險類別中,且在該IP位址列於一個以上類別中時指定「多」加權值,且在該IP位址未列於一個以上類別中時指定「非多」加權值。此外,RAMP引擎可指定與附名風險類別之數目成比例的多類別加權值,IP位址已列於該等附名風險類別中。
再次參考由圖1所例示之實施例,在已將各種加權因數指定至IP位址之後,隨後藉由數學變換122(例如,線性變換、指數變換或對數變換)使用該等加權值來將一調整施加至風險計分。
圖8A及圖8B中所例示之示範性流程圖展示:在數學變換之後,附名風險類別中之所有IP位址經集合來判定一集體風險計分。一可 接受風險級別獲接收且用來判定該類別之集體風險計分是否小於該類別之可接受風險級別。基於該集體風險計分,本發明之態樣提出一決策或另外判定一動作。示範性動作包括一決策,用以允許訊務量、重選路由傳遞訊務量、允許訊務量但對訊務量做記錄等等。在一實施例中,當集體風險計分小於可接受風險級別時,允許來自包括於集體風險計分中之IP位址之通訊通過網路防火牆。當集體風險計分大於可接受風險級別時,不允許來自包括於集體風險計分中之IP位址之通訊通過網路防火牆。要理解的是,可集合加權風險計分之任何組合。
圖9例示根據本發明之一實施例的示範性圖形使用者介面(GUI)。圖9之使用者介面允許使用者輸入及編輯與IP威脅資訊提供者(諸如IRIP)相關的資訊。輸入及編輯資訊允許IP威脅資訊提供者被添加至IP威脅資訊自其獲取之提供者清單。可輸入及/或編輯的示範性資訊包括:IP威脅資訊提供者之名稱、提供者ID、提供者全球資源***或IP位址、密碼鍵、安全認證及/或IP威脅資訊獲取偏好。
圖10例示根據本發明之一實施例的示範性GUI。圖10之使用者介面顯示使用者已輸入其資訊的IP威脅資訊提供者。該顯示允許使用者快速判定當前利用哪些IP威脅資訊提供者及與彼等提供者相關聯的資訊。可顯示的示範性資訊包括:提供者現行狀態、提供者名稱、提供者ID及IP威脅資訊獲取細節。該顯示亦允許使用者輸入命令來執行某些動作。示範性動作包括:啟動自某一提供者獲取的威脅資訊、編輯提供者資訊、刪除提供者及自提供者重新獲取IP威脅資訊。
圖11及圖12各自例示根據本發明之一實施例的示範性 GUI。在每一圖中,GUI將複數個附名風險類別顯示給使用者、提供一系列「滑動塊」輸入控制或其類似物,且提供相應於每一附名風險類別的加權值範圍。在一實施例中,該使用者可選擇特定風險類別且將相應於彼類別之滑動塊控制移動至一特定加權值(例如,範圍為0至100),該特定加權值變為彼類別之可接受風險級別。較佳地,亦將預設加權值提供給該使用者,該預設加權值可用作判定是否應該基於由IRIP所提供之當前風險評估來增加或減少所選類別之加權值的參考。涵蓋的是,其他控制手段可用來輸入或指定加權值,該等控制構件包括「旋轉器」、「量規」、文字輸入欄位及類似輸入方法。
每一IRIP可使用不同數值來將置信度指定至每一IP位址。該等數值在對映至滑動塊位置之前得以正規化。該等指定權重係用於計算來自所有IRIP資料之複合計分,該複合計分隨後儲存於RAMP引擎106中。
在一實施例中,第二組滑動塊控制係用來設置一所需置信級別以便阻斷連接。例如,每一經定義之風險類別存在一個滑動塊。使用者可設置每一類別之預設可接受風險計分,且使用者亦可在其網路中設置每一受保護資源之唯一級別。若IP位址係儲存於RAMP引擎中,且所儲存置信度級別大於藉由使用滑動塊設置之值,則阻斷與網路資源之連接/阻斷來自網路資源的連接。
進一步參考RAMP引擎106,針對指定風險資料庫來處理每一IP封包(例如,IPv4或IPv6 IP位址)利用諸如RAMP引擎106之高效能查找引擎。體現本發明之態樣的RAMP引擎106能夠利用IP位址之饋送實時更新。
為保護每一資源具有不同風險設定檔的多個網路資源,RAMP引擎106必須能夠編輯儲存於記憶體中之IP位址「清單」而無需重新編譯。儲存每一風險類別之風險置信度計分(例如,集體風險計分)允許將RAMP引擎106用以保護多個網路資源,其中每一受保護資源具有對使用者而言可接受的不同可接受風險設定檔。
用於儲存複數個IP位址之方法在此項技術中係已知的。一種已知方法使用布隆(Bloom)過濾器來快速判定IP位址是否並未儲存於資料儲存庫(例如,記憶體或資料庫)中。布隆過濾器可用來提高查找速度,但是若自該資料儲存庫移除資料條目(例如,阻斷的IP位址),則布隆過濾器必須重寫。例如,當使用布隆過濾器時,不存在用於自資料儲存庫刪除條目(例如,IP位址)而無需重新編譯減去將要刪除之條目的整個IP位址清單之機構。例如,RAMP引擎106使用布隆過濾器來利用更快的存取時間,且包括指定至每一IP位址的一組置信度計分。通常,儲存置信度級別與每一IP位址將需要32位元儲存器來存取8位元資料(對資料調正需求而言),從而通常將需要使儲存器需求加倍且亦使快取失誤之機會加倍。
本發明之態樣藉由將使用每一IP位址之索引及使用相同索引存取置信度計分來加快存取時間。例如,藉由利用IP位址來對映置信度計分,所揭露之威脅評估過程能夠獨立地儲存資料項,從而允許達成較好的記憶體利用率及更高的快取命中比率。因而,IP位址可藉由基於儲存於資料庫中之置信度計分的過濾決策來有效移除,而無需重建任何資料儲存庫或重新編譯任何資料。以此方式,RMAP引擎106可儲存置信度定級、使用索引來對映IP位址,及在一實施例中使用布隆過濾器而無需重新編譯整 個IP位址清單。當新IP位址經由實時饋送送達時,該等新IP位址即儲存於二級儲存庫中,且可藉由RAMP引擎來處理,藉由RAMP引擎來以該二級儲存庫置換舊資料儲存庫且隨後廢除該二次儲存器。
本發明之實施例可包含專用電腦或通用電腦,其包括如下文更詳細地描述的各種電腦硬體。
本發明範疇內之實施例亦包括電腦可讀媒體,其用於載送電腦可執行指令或資料結構或使電腦可執行指令或資料結構儲存於該電腦可讀媒體上。此等電腦可讀媒體可為任何可利用之媒體,其可藉由通用電腦或專用電腦來存取。舉例而言且不限制,此等電腦可讀媒體可包含:RAM、ROM、EEPROM、CD-ROM或其他光碟儲存器、磁碟儲存器,或其他磁性儲存裝置,或任何其他媒體,其可用來載送或儲存呈電腦可執行指令或資料結構之形式的所要程式碼構件,且該等媒體可藉由通用電腦或專用電腦來存取。當在網路或與一電腦的另一通訊連接(固線式、無線、或固線式或無線之組合)範圍內轉移或提供資訊時,該電腦將該連接適當視為一電腦可讀媒體。因而,任何此種連接適合稱為電腦可讀媒體。亦應將以上者之組合包括於電腦可讀媒體之範疇內。例如,電腦可執行指令包含使通用電腦、專用電腦或專用處理裝置執行某一功能或功能群組之指令及資料。
以下論述意欲提供適合計算環境之簡短、一般描述,本發明之態樣可在該計算環境中實施。儘管不需要,但是將在藉由網路環境中之電腦執行的電腦可執行指令(諸如程式模組)的一般情境下描述本發明之態樣。一般而言,程式模組包括執行特定任務或實施特定抽象資料類型之常式、程式、物件、組件、資料結構等等。電腦可執行指令、相關聯的資料 結構以及程式模組表示用於執行本文所揭露方法之步驟的程式碼構件之實例。此等可執行指令或相關聯的資料結構之特定序列表示用於實施此等步驟中所述之功能的相應行為之實例。
熟習該項技術者將理解的是,本發明之態樣可在網路計算環境中以許多類型之電腦系統組態來實踐,該等電腦系統組態包括個人電腦、手持式裝置、多處理器系統、基於微處理器的消費者電子產品或可規劃消費者電子產品、網路PC、迷你電腦、主機電腦及其類似組態。本發明之態樣亦可在分散式計算環境中實踐,在該等環境中,任務係藉由經由通訊網路鏈接(藉由固線式鏈接、無線鏈接或藉由固線式或無線鏈接之組合)的本地或遠程處理裝置來執行。在一分散式計算環境中,程式模組可位於本地及遠程記憶體儲存裝置(包括記憶體儲存裝置)中。
用於實施本發明之態樣的一示範性系統包括呈習知電腦形式的通用計算裝置,其包括處理單元、系統記憶體及將包括系統記憶體之各種系統組件耦合至處理單元的系統匯流排。系統匯流排可為若干類型之匯流排結構中的任意者,其包括記憶體匯流排或記憶體控制器、周邊匯流排及使用各種匯流排架構中之任意者的本地匯流排。系統記憶體包括唯讀記憶體(ROM)及隨機存取記憶體(RAM)。在諸如開機期間,可將含有基本常式的基本輸入/輸出系統(BIOS)儲存於ROM中,其有助於電腦內之元件之間轉移資訊。此外,該電腦可包括能夠無線接收來自網際網路的IP位址或將IP位址無線發射至網際網路的任何裝置(例如,電腦、膝上型電腦、平板電腦、PDA、手機、行動電話、智慧型電視及類似裝置)。
該電腦亦可包括:用於自磁性硬碟讀取或寫入硬碟之硬碟驅 動機、用於自可移磁碟讀取或寫入可移磁碟之磁碟驅動機,以及用於自可移光碟讀取或寫入可移光碟之光碟驅動機(諸如CD-ROM或其他光學媒體)。磁性硬碟驅動機、磁碟驅動機以及光碟驅動機係分別藉由硬碟驅動介面、磁碟驅動介面以及光碟驅動介面來連接至系統匯流排。該等驅動機及其相關聯的電腦可讀媒體提供電腦可執行指令、資料結構、程式模組以及電腦之其他資料的非依電性儲存。儘管本文所述之示範性環境使用磁性硬碟、可移磁碟以及可移光碟,但是仍可使用用於儲存資料之其他類型的電腦可讀媒體,其包括磁卡帶、快閃記憶卡、數位視訊光碟、伯努利匣、RAM、ROM、固態驅動機(SSD)及類似媒體。
該電腦通常包括各種電腦可讀媒體。電腦可讀媒體可為可由電腦存取之任何可利用的媒體,且包括依電性媒體及非依電性媒體、可移媒體及不可移媒體。舉例而言且不限制,電腦可讀媒體可包含電腦儲存媒體及通訊媒體。電腦儲存媒體包括以任何方式或技術實施來儲存諸如電腦可讀指令、資料結構、程式模組或其他資料之資訊的依電性媒體及非依電性媒體、可移媒體及不可移媒體。電腦儲存媒體係非暫時性的且包括但不限於:RAM、ROM、EEPROM、快閃記憶體或其他記憶體技術、CD-ROM、數位通用磁碟(DVD)或其他光碟儲存器、SSD、磁卡帶、磁帶、磁碟儲存器或其他磁碟儲存裝置或可用來儲存所要非暫時性資訊之任何其他媒體,該等非暫時性資訊可由電腦來存取。或者,通訊媒體通常使電腦可讀指令、資料結構、程式模組或其他資料在諸如載波或其他傳送機構之已調製資料訊號中具體化,且通訊媒體包括任何資訊傳遞媒體。
包含一或多個程式模組之程式碼構件可儲存於硬碟、磁碟、 光碟、ROM及/或RAM上,該程式碼構件包括操作系統、一或多個應用程式、其他程式模組以及程式資料。使用者可經由鍵盤、指向裝置或諸如麥克風、操縱桿、遊戲手柄、衛星接收碟、掃瞄器或其類似裝置之其他輸入裝置(未圖示)將命令及資訊輸入電腦中。此等及其他輸入裝置常常經由耦合至系統匯流排的串聯埠介面來連接至處理單元。或者,該等輸入裝置可藉由諸如並聯埠、遊戲埠或通用串列匯流排(USB)之其他介面連接。監視器或另一顯示裝置亦經由諸如視訊配接器之介面來連接至系統匯流排。除監視器之外,個人電腦通常包括其他周邊輸出裝置(未圖示),諸如揚聲器及印表機。
本發明之一或多個態樣可作為應用程式、程式模組及/或程式資料體現在資料及/或電腦可執行指令或處理器可執行指令(亦即,軟體)、儲存於系統記憶體或非依電性記憶體中之常式或功能中。或者,軟體可遠程地儲存,諸如儲存於具有遠程應用程式之遠程電腦上。一般而言,當藉由電腦中之處理器或其他裝置執行程式模組時,該等程式模組包括執行特定任務或實施特定抽象資料類型之常式、程式、物件、元件、資料結構等等。電腦可執行指令可儲存於一或多個有形、非暫時性電腦可讀儲存媒體(例如,硬碟、光碟、可移儲存媒體、固態記憶體、RAM等等)上,且藉由一或多個處理器或其他裝置來執行。如熟習該項技術者將理解的是,程式模組之功能性可根據需要在各種實施例中加以組合或予以分配。另外,該功能性可在韌體或硬體等效物中完整或部分地體現,該等韌體或硬體等效物諸如積體電路、特殊應用積體電路、現場可規劃閘陣列(FPGA)及類似物。
電腦可在使用與一或多個遠程電腦的邏輯連接之網路環境 中操作。遠程電腦可各自為另一個人電腦、平板電腦、PDA、伺服器、路由器、網路PC、同級裝置或其他共同網路節點,且該等遠程電腦通常包括上文相對於電腦所述之許多或所有元件。邏輯連接包括此處舉例而言且並不限制的方式提出的區域網路(LAN)及廣域網路(WAN)。此等網路環境常見於辦公室範圍或企業範圍電腦網路、內部網路以及網際網路中。
當在LAN網路環境中使用電腦時,該電腦係經由網路介面或配接器來連接至局部網路。當在WAN網路環境中使用電腦時,該電腦可包括數據機、無線鏈路或用於在諸如網際網路的廣域網路範圍內建立通訊之其他裝置。可處於內部或外部的數據機係經由串聯埠介面來連接至系統匯流排。在一網路環境中,相對於電腦或電腦之部分描繪之程式模組可儲存於遠程記憶體儲存裝置中。將理解的是,所示之網路連接係示範性的,且可使用在廣域網路範圍內建立通訊之其他裝置。
較佳地,電腦可執行指令係儲存於諸如硬碟驅動機之記憶體中且藉由一電腦來執行。有利地,電腦處理器具有實時執行所有操作(例如,執行電腦可執行指令)之能力。
在操作中,體現本發明之態樣的系統判定複數個IP位址之集體風險計分。如此進行時,系統接收來自一或多個網際網路風險智慧提供者(IRIP)的針對特定類別之複數個IP位址,判定該一或多個經接收之IP位址是否與一個以上類別相關聯,且判定針對一類別之經接收之IP位址中每一者的來源特徵。此外,系統將針對每一類別之一加權因數指定至來源特徵中每一者,藉由使用基於每一類別之加權因數的一數學變換來調整經接收之IP位址中每一者的一置信度級別,且基於該等經調整之置信度級別 判定所有IP位址之一集體風險計分。取決於使用者可接受的每一類別之一風險級別,系統將集體風險計分與來自該使用者的經接收之可接受風險級別相比較,且允許具有一可接受風險級別的IP位址通過該網路之防火牆。
除非另外規定,否則本文所例示及所述之本發明之實施例的執行次序或操作效能不是必要的。換言之,除非另外規定,否則可以任何次序執行該等操作,且本發明之實施例可包括相較本文所揭露之彼等操作而言額外或較少的操作。例如,涵蓋的是,在另一操作之前、同時或之後執行或實行特定操作係處於本發明之態樣的範疇內。
可利用電腦可執行指令來實施本發明之實施例。該等電腦可執行指令可組織於一或多個電腦可執行組件或模組中。可利用任何數目之此等組件或模組及此等組件或模組之任何組織來實施本發明之態樣。例如,本發明之態樣並不限於圖式中所例示及本文所述之特定電腦可執行指令或特定組件或模組。本發明之其他實施例可包括不同的電腦可執行指令或組件,其具有多於或少於本文所例示及所述之功能性的功能性。
當介紹本發明之態樣或其實施例之元件時,冠詞「一」及「該」欲意謂存在一或多個元件。術語「包含」、「包括」及「具有」意欲包括性的且意謂可能存在除所列元件以外之其他元件。
已詳細描述本發明之態樣,明顯的是,在不脫離如附加申請專利範圍所界定的本發明之態樣的範疇時,修改及變化係可能的。因為在不脫離本發明之態樣之範疇的情況下,可在以上構造、產品以及方法中做出各種改變,所以應意欲將以上描述及隨附圖式中所展示的所有事物解釋為例示性的且不具有限制意義。

Claims (21)

  1. 一種評估與針對一風險類別之一網際網路協定(IP)位址相關聯的一風險之電腦實施方法,該方法包含:將複數個威脅資訊儲存於一記憶體裝置中,該威脅資訊包括:該IP位址、與該IP位置相關聯的一風險類別及與該IP位址相關聯的一風險置信度級別;將一風險類別可接受級別儲存於該記憶體裝置中;根據以下者判定與該IP位址相關聯的一風險類別值:該風險置信度級別,以及計時資訊,該計時資訊包含:在第一時間間隔期間,該風險置信度級別已超過該風險類別可接受級別的實例數目,以及表示自該風險置信度級別先前超過該風險類別可接受級別以來的所經過時間的一第二時間間隔;將該風險類別值儲存於該記憶體裝置中;以及根據該風險類別值及該風險類別可接受級別來判定與該IP位址針對該風險類別相關聯的一動作。
  2. 如申請專利範圍第1項之方法,其進一步包含:經由一圖形使用者介面接收來自一使用者的該風險類別可接受級別,以及將該風險類別值與該風險類別可接受級別相比較,其中經判定之該動作包含:當該風險類別值小於該風險類別可接受級別時,允許利用與該IP位址相關聯的一計算裝置進行通訊。
  3. 如申請專利範圍第1項之方法,其進一步包含:經由一電腦通訊網路獲取來自一或多個網際網路風險智慧提供者(IRIP)的該複數個威脅資訊;以及將相應於獲取該複數個威脅資訊的一時間戳儲存於該記憶體裝置中,其中該計時資訊係基於該時間戳來判定。
  4. 如申請專利範圍第3項之方法,其進一步包含:將該複數個威脅資訊儲存於該記憶體裝置中,該威脅資訊進一步包括對是否自一個以上IRIP獲取該IP位址之判定;當自一個以上IRIP獲取該IP位址時,進一步根據一多IRIP加權因數來判定與該IP位址相關聯的該風險值,其中該多IRIP加權因數增大該風險值。
  5. 如申請專利範圍第1項之方法,其進一步包含:將該複數個威脅資訊儲存於該記憶體裝置中,該威脅資訊進一步包括對該IP位址是否與一個以上風險類別相關聯之判定;當該IP位址與一個以上風險類別相關聯時,進一步根據一多類別加權因數來判定與該IP位址相關聯的該風險值,其中該多類別加權因數增大該風險值。
  6. 如申請專利範圍第1項之方法,其進一步包含:將該複數個威脅資訊儲存於該記憶體裝置中,該威脅資訊進一步包括對與該IP位址相關聯的來源特徵及目的地特徵之判定;進一步根據相應於該等來源特徵及該等目的地特徵之一來源/目的地加權因數來判定與該IP位址相關聯的該風險值,其中該來源/目的地 加權因數增大該風險值。
  7. 如申請專利範圍第6項之方法,其中該等來源特徵及該等目的地特徵包含以下之至少一者:一地理區域、一國家、一商業分區、一工業分區以及一政治區域。
  8. 如申請專利範圍第1項之方法,其進一步包含:將該複數個威脅資訊儲存於該記憶體裝置中,該威脅資訊進一步包括對與該IP位址相關聯的網際網路服務提供者(ISP)特徵之判定;進一步根據相應於該等ISP特徵之一ISP加權因數來判定與該IP位址相關聯的該風險值,其中該ISP加權因數增大該風險值。
  9. 如申請專利範圍第1項之方法,其進一步包含:將該複數個威脅資訊儲存於該記憶體裝置中,該威脅資訊進一步包括相對於與一或多個其他IP位址相關聯的地理鄰近度特徵來對與該IP位址相關聯的地理鄰近度特徵之判定,該一或多個其他IP位址具有超過該閾值級別的風險置信度級別;進一步根據相應於與該IP位址相關聯的地理鄰近度特徵來判定與該IP位址相關聯的風險值,其中該地理加權因數增大該風險值。
  10. 一種判定複數個網際網路協定(IP)位址之一集體風險計分的處理器實施方法,該方法包含:經由一電腦通訊網路接收來自一或多個網際網路風險智慧提供者(IRIP)的針對一特定類別之複數個IP位址;處理用於判定與複數個經接收之IP位址中每一者相關聯的複數個來源特徵的指令; 處理用於將一或多個加權因數指定至該複數個來源特徵中每一者的指令;處理用於對該複數個加權來源特徵中每一者進行數學變換從而調整該複數個經接收之IP位址中每一者的一風險置信度級別的指令;處理用於根據該複數個經接收之IP位址中每一者的經調整之置信度級別來判定該複數個經接收之IP位址之一集體風險計分的指令;以及處理用於允許利用與該複數個經接收之IP位址中每一者相關聯的計算裝置進行電腦網路通訊的指令,該複數個經接收之IP位址相較於該集體風險計分而言具有一可接受風險級別。
  11. 如申請專利範圍第10項之方法,其進一步包含:處理用於判定是否自一個以上IRIP接收該複數個經接收之IP位址中每一者的指令;以及處理用於將一或多個額外加權因數指定至自一個以上IRIP所接收之該複數個經接收之IP位址中每一者的指令。
  12. 如申請專利範圍第10項之方法,其中該集體風險計分是在一時間間隔期間,隨該等經接收之IP位址中每一者的風險置信度級別已超過該可接受級別之實例數目而變化。
  13. 如申請專利範圍第10項之方法,其中該等來源特徵中之至少一者包含與該複數個經接收之IP位址中每一者相關聯的一來源/目的地特徵,且進一步包含處理用於根據相應於該來源/目的地特徵之一來源/目的地加權因數來判定與該等經接收之IP位址中每一者相關聯的一風險值的 指令,其中該來源/目的地加權因數增大該風險值。
  14. 如申請專利範圍第13項之方法,其中該來源/目的地特徵包含以下至少一者:一地理區域、一國家、一商業分區、一工業分區以及一政治區域。
  15. 如申請專利範圍第10項之方法,其中該等來源特徵中之至少一者包含與該複數個經接收之IP位址中每一者相關聯的一網際網路服務提供者(ISP)特徵,且進一步包含處理用於根據相應於該ISP特徵之一ISP加權因數來判定與該等經接收之IP位址中每一者相關聯的一風險值的指令,其中該ISP加權因數增大該風險值。
  16. 如申請專利範圍第10項之方法,其進一步包含處理用於生成一圖形使用者介面(GUI)的指令,該圖形使用者介面用於顯示與該複數個IP位址相關聯的複數個風險類別且用於接收來自一使用者之輸入,該輸入包括該複數個風險類別中每一者的一風險可接受級別。
  17. 一種用於判定自複數個來源所實時接收的複數個網際網路協定(IP)位址的風險之系統,該系統包含:一記憶體,其用於儲存該複數個IP位址、與該複數個IP位址中每一者相關聯的一時間戳、與該複數個IP位址中每一者相關聯的一風險類別,及與該複數個IP位址中每一者相關聯的一風險置信度級別;一圖形使用者介面(GUI),其用於將與該複數個IP位址相關聯的複數個風險類別顯示於一顯示器上,且接收來自一使用者之輸入,該輸入包括該複數個風險類別中每一者的一風險可接受級別;一電腦可讀儲存媒體,其上已儲存有電腦處理器可執行指令; 一電腦處理器,其用於執行該等電腦可執行指令,該等指令包含:接收來自一或多個網際網路風險智慧提供者(IRIP)的與一特定風險類別相關聯的複數個IP位址;判定該一或多個經接收之IP位址是否與一個以上風險類別相關聯;判定針對一類別之經接收之IP位址中每一者的來源特徵;將針對每一類別之一加權因數指定至該等來源特徵中每一者;藉由使用基於每一類別之加權因數的一數學變換來調整該等經接收之IP位址中每一者的一置信度級別;基於經調整之置信度級別判定所有IP位址之一集體風險計分;接收來自一使用者的針對每一類別之一可接受風險級別;將該集體風險計分與來自該使用者的經接收之可接受風險級別相比較;以及允許具有一可接受風險級別的任何IP位址通過該網路之防火牆。
  18. 如申請專利範圍第17項之系統,其中該等來源特徵中之至少一者包含與該複數個經接收之IP位址中每一者相關聯的一來源/目的地特徵,且其中該等電腦可執行指令包含根據相應於該來源/目的地特徵之一來源/目的地加權因數來判定與該等經接收之IP位址中每一者相關聯的一風險值,其中該來源/目的地加權因數增大該風險值。
  19. 如申請專利範圍第17項之系統,其中該等來源特徵中之至少一者包含與該複數個經接收之IP位址中每一者相關聯的一網際網路服務提供者(ISP)特徵,且其中該等電腦可執行指令包含根據相應於該ISP特徵之一ISP加權因數來判定與該等經接收之IP位址中每一者相關聯的一風險值,其中該ISP加權因數增大該風險值。
  20. 如申請專利範圍第17項之系統,其中該集體風險計分是在基於與該IP位址相關聯的時間戳的一時間間隔期間,隨該等經接收之IP位址中每一者的風險置信度級別已超過該可接受風險級別之實例數目而變化。
  21. 一種電腦網路防火牆系統,其包含:至少一有形、非暫時性電腦可讀媒體,其儲存處理器可執行指令;一威脅評估處理器,其經規劃以執行該等指令,其中該等指令在由該處理器執行時:將複數個威脅資訊儲存於該電腦可讀媒體上,該威脅資訊包括:一IP位址、與該IP位址相關聯的一風險類別,及與該IP位址相關聯的一風險置信度級別;儲存一風險可接受級別;根據以下者判定與該IP位址相關聯的一風險值:該風險置信度級別,在一第一時間間隔期間,該風險置信度級別已超過一閾值級別的實例數目,以及表示自該風險置信度級別先前超過該閾值級別以來的所經過時間的一第二時間間隔; 將該風險值與該風險可接受級別相比較;以及當該風險值大於或等於該風險可接受級別時,利用與該IP位址相關聯的一計算裝置阻斷電腦網路通訊。
TW103109605A 2013-03-14 2014-03-14 網際網路協定威脅防止 TW201445962A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US201361782669P 2013-03-14 2013-03-14

Publications (1)

Publication Number Publication Date
TW201445962A true TW201445962A (zh) 2014-12-01

Family

ID=51535131

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103109605A TW201445962A (zh) 2013-03-14 2014-03-14 網際網路協定威脅防止

Country Status (8)

Country Link
US (2) US9342691B2 (zh)
EP (1) EP2972867A4 (zh)
CN (1) CN105210042B (zh)
AU (1) AU2014244137B2 (zh)
BR (1) BR112015023341A2 (zh)
CA (1) CA2909161A1 (zh)
TW (1) TW201445962A (zh)
WO (1) WO2014160062A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI617939B (zh) * 2016-12-01 2018-03-11 財團法人資訊工業策進會 攻擊節點偵測裝置、方法及其電腦程式產品
US10742668B2 (en) 2016-12-05 2020-08-11 Institute For Information Industry Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10356106B2 (en) 2011-07-26 2019-07-16 Palo Alto Networks (Israel Analytics) Ltd. Detecting anomaly action within a computer network
EP2946332B1 (en) 2013-01-16 2018-06-13 Palo Alto Networks (Israel Analytics) Ltd Automated forensics of computer systems using behavioral intelligence
US9942250B2 (en) * 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9736019B2 (en) 2015-05-14 2017-08-15 Eero Inc. Methods for dynamic router configuration in a mesh network
US10075461B2 (en) 2015-05-31 2018-09-11 Palo Alto Networks (Israel Analytics) Ltd. Detection of anomalous administrative actions
US9923914B2 (en) 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
WO2017048250A1 (en) * 2015-09-16 2017-03-23 Hewlett Packard Enterprise Development Lp Confidence levels in reputable entities
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10715544B2 (en) * 2016-02-05 2020-07-14 Sony Corporation Method, apparatus and system for calculating a risk score of a user request by a user on a web application
US10148675B1 (en) 2016-03-30 2018-12-04 Amazon Technologies, Inc. Block-level forensics for distributed computing systems
US10320750B1 (en) 2016-03-30 2019-06-11 Amazon Technologies, Inc. Source specific network scanning in a distributed environment
US10079842B1 (en) 2016-03-30 2018-09-18 Amazon Technologies, Inc. Transparent volume based intrusion detection
US10178119B1 (en) 2016-03-30 2019-01-08 Amazon Technologies, Inc. Correlating threat information across multiple levels of distributed computing systems
US10142290B1 (en) * 2016-03-30 2018-11-27 Amazon Technologies, Inc. Host-based firewall for distributed computer systems
US10333962B1 (en) 2016-03-30 2019-06-25 Amazon Technologies, Inc. Correlating threat information across sources of distributed computing systems
US20180063170A1 (en) * 2016-04-05 2018-03-01 Staffan Truvé Network security scoring
US10366229B2 (en) 2016-06-20 2019-07-30 Jask Labs Inc. Method for detecting a cyber attack
US10425436B2 (en) 2016-09-04 2019-09-24 Palo Alto Networks (Israel Analytics) Ltd. Identifying bulletproof autonomous systems
US10574681B2 (en) 2016-09-04 2020-02-25 Palo Alto Networks (Israel Analytics) Ltd. Detection of known and unknown malicious domains
US10686829B2 (en) 2016-09-05 2020-06-16 Palo Alto Networks (Israel Analytics) Ltd. Identifying changes in use of user credentials
US10484429B1 (en) * 2016-10-26 2019-11-19 Amazon Technologies, Inc. Automated sensitive information and data storage compliance verification
US10467632B1 (en) 2016-12-13 2019-11-05 Massachusetts Mutual Life Insurance Company Systems and methods for a multi-tiered fraud alert review
KR101781450B1 (ko) * 2017-01-03 2017-09-25 한국인터넷진흥원 사이버 공격에 대한 위험도 산출 방법 및 장치
US10595215B2 (en) * 2017-05-08 2020-03-17 Fortinet, Inc. Reducing redundant operations performed by members of a cooperative security fabric
CN108881123A (zh) * 2017-05-12 2018-11-23 上海赛特斯信息科技股份有限公司 恶意流量识别***及方法
US10778645B2 (en) * 2017-06-27 2020-09-15 Microsoft Technology Licensing, Llc Firewall configuration manager
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
CN107528859B (zh) * 2017-09-29 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防御方法及设备
CN111512288B (zh) * 2017-12-22 2021-05-14 第六感因塞斯公司 将实体映射到帐户
JP6977625B2 (ja) * 2018-03-07 2021-12-08 富士通株式会社 評価プログラム、評価方法および評価装置
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
CN110011977B (zh) * 2019-03-07 2021-07-27 北京华安普特网络科技有限公司 一种网站安全防御方法
KR20200129776A (ko) * 2019-05-10 2020-11-18 삼성전자주식회사 재전송 공격에 대한 방어책을 포함하는 메모리 시스템의 구동 방법 및 이를 수행하는 메모리 시스템
US11356472B1 (en) * 2019-12-16 2022-06-07 Wells Fargo Bank, N.A. Systems and methods for using machine learning for geographic analysis of access attempts
US11012492B1 (en) 2019-12-26 2021-05-18 Palo Alto Networks (Israel Analytics) Ltd. Human activity detection in computing device transmissions
US11606385B2 (en) 2020-02-13 2023-03-14 Palo Alto Networks (Israel Analytics) Ltd. Behavioral DNS tunneling identification
US11811820B2 (en) 2020-02-24 2023-11-07 Palo Alto Networks (Israel Analytics) Ltd. Malicious C and C channel to fixed IP detection
US11425162B2 (en) 2020-07-01 2022-08-23 Palo Alto Networks (Israel Analytics) Ltd. Detection of malicious C2 channels abusing social media sites
US11316823B2 (en) 2020-08-27 2022-04-26 Centripetal Networks, Inc. Methods and systems for efficient virtualization of inline transparent computer networking devices
US11368473B2 (en) * 2020-09-21 2022-06-21 Microsoft Technology Licensing, Llc Interface threat assessment in multi-cluster system
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US20220159029A1 (en) * 2020-11-13 2022-05-19 Cyberark Software Ltd. Detection of security risks based on secretless connection data
US11394686B1 (en) * 2021-02-25 2022-07-19 Nvidia Corporation Dynamic network address translation using prediction
US11831688B2 (en) 2021-06-18 2023-11-28 Capital One Services, Llc Systems and methods for network security
US12039017B2 (en) 2021-10-20 2024-07-16 Palo Alto Networks (Israel Analytics) Ltd. User entity normalization and association
WO2023079319A1 (en) * 2021-11-05 2023-05-11 Citrix Systems, Inc. System and method for deriving network address spaces affected by security threats to apply mitigations
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
US11880496B2 (en) * 2022-04-06 2024-01-23 Whitestar Communications, Inc. Mitigating against a persistent consistent threat in a network device based on reducing temporal surface area
US11968222B2 (en) 2022-07-05 2024-04-23 Palo Alto Networks (Israel Analytics) Ltd. Supply chain attack detection
US11750643B1 (en) * 2022-10-11 2023-09-05 Second Sight Data Discovery, Inc. Apparatus and method for determining a recommended cyber-attack risk remediation action

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020099691A1 (en) 1998-06-24 2002-07-25 Michael Dean Lore Method and apparatus for aggregation of data in a database management system
US7136860B2 (en) * 2000-02-14 2006-11-14 Overture Services, Inc. System and method to determine the validity of an interaction on a network
US6754662B1 (en) 2000-08-01 2004-06-22 Nortel Networks Limited Method and apparatus for fast and consistent packet classification via efficient hash-caching
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
US20030163445A1 (en) 2002-02-26 2003-08-28 Oza Alpesh B. Method and apparatus for high-speed address learning in sorted address tables
US6996562B2 (en) 2002-07-29 2006-02-07 Microsoft Corporation Method and data structure for performing regular expression searches in a fixed length word language
US20040128355A1 (en) 2002-12-25 2004-07-01 Kuo-Jen Chao Community-based message classification and self-amending system for a messaging system
US7325059B2 (en) 2003-05-15 2008-01-29 Cisco Technology, Inc. Bounded index extensible hash-based IPv6 address lookup method
US7602785B2 (en) 2004-02-09 2009-10-13 Washington University Method and system for performing longest prefix matching for network address lookup using bloom filters
US7369557B1 (en) 2004-06-03 2008-05-06 Cisco Technology, Inc. Distribution of flows in a flow-based multi-processor system
US20080010678A1 (en) 2004-09-17 2008-01-10 Jeff Burdette Authentication Proxy
US7657756B2 (en) * 2004-10-08 2010-02-02 International Business Machines Corporaiton Secure memory caching structures for data, integrity and version values
US7590733B2 (en) 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
CN100403691C (zh) * 2005-11-17 2008-07-16 郭世泽 网络信息***的安全性及生存性评估的***和方法
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US7996348B2 (en) 2006-12-08 2011-08-09 Pandya Ashish A 100GBPS security and search architecture using programmable intelligent search memory (PRISM) that comprises one or more bit interval counters
GB2458094A (en) 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
CN101005510A (zh) * 2007-01-19 2007-07-25 南京大学 一种综合漏洞的网络实时风险评估方法
US7933282B1 (en) 2007-02-08 2011-04-26 Netlogic Microsystems, Inc. Packet classification device for storing groups of rules
US8272044B2 (en) 2007-05-25 2012-09-18 New Jersey Institute Of Technology Method and system to mitigate low rate denial of service (DoS) attacks
US7779143B2 (en) 2007-06-28 2010-08-17 Alcatel-Lucent Usa Inc. Scalable methods for detecting significant traffic patterns in a data network
US7849146B2 (en) 2008-02-21 2010-12-07 Yahoo! Inc. Identifying IP addresses for spammers
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8018940B2 (en) 2008-08-13 2011-09-13 Alcatel Lucent Network address lookup based on bloom filters
WO2010022767A1 (en) 2008-08-26 2010-03-04 Telefonaktiebolaget Lm Ericsson (Publ) Packet forwarding in a network
US8438386B2 (en) * 2009-04-21 2013-05-07 Webroot Inc. System and method for developing a risk profile for an internet service
KR101260032B1 (ko) * 2010-12-23 2013-05-06 한국인터넷진흥원 악성코드 경유-유포지 평가 장치
US8516595B2 (en) * 2010-12-28 2013-08-20 Caixa d'Estalvis I Pensions de Barcelona “La Caixa” Method and system for estimating the reliability of blacklists of botnet-infected computers
US8726376B2 (en) * 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
CN102281163A (zh) * 2011-09-19 2011-12-14 南京大学 一种网络入侵检测报警的方法
US8782157B1 (en) * 2013-01-11 2014-07-15 Robert Hansen Distributed comment moderation

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI617939B (zh) * 2016-12-01 2018-03-11 財團法人資訊工業策進會 攻擊節點偵測裝置、方法及其電腦程式產品
US10742668B2 (en) 2016-12-05 2020-08-11 Institute For Information Industry Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof

Also Published As

Publication number Publication date
AU2014244137B2 (en) 2018-12-06
US20140283085A1 (en) 2014-09-18
CN105210042A (zh) 2015-12-30
CA2909161A1 (en) 2014-10-02
AU2014244137A1 (en) 2015-11-05
WO2014160062A1 (en) 2014-10-02
BR112015023341A2 (pt) 2017-07-18
US9342691B2 (en) 2016-05-17
EP2972867A4 (en) 2017-03-01
US20160337315A1 (en) 2016-11-17
CN105210042B (zh) 2019-07-12
EP2972867A1 (en) 2016-01-20

Similar Documents

Publication Publication Date Title
TW201445962A (zh) 網際網路協定威脅防止
US11575686B2 (en) Client reputation driven role-based access control
US10135857B2 (en) Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US9516062B2 (en) System and method for determining and using local reputations of users and hosts to protect information in a network environment
Anathi et al. An intelligent approach for dynamic network traffic restriction using MAC address verification
US9015839B2 (en) Identifying malicious devices within a computer network
US11528293B2 (en) Routing based on a vulnerability in a processing node
US10432658B2 (en) Systems and methods for identifying and performing an action in response to identified malicious network traffic
WO2016199127A2 (en) Predicting and preventing an attacker&#39;s next actions in a breached network
US9881304B2 (en) Risk-based control of application interface transactions
JP2017033531A (ja) 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
US20230164184A1 (en) Cloud-based deception technology with auto-decoy and breadcrumb creation
Lin et al. A novel method of mining network flow to detect P2P botnets
US20230370495A1 (en) Breach prediction via machine learning
US9769187B2 (en) Analyzing network traffic based on a quantity of times a credential was used for transactions originating from multiple source devices
Mims The Botnet Problem
Wang et al. k-zero day safety: evaluating the resilience of networks against unknown attacks
US20230164183A1 (en) Cloud-based deception technology with granular scoring for breach detection
EP4184868A1 (en) Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques
US20230164182A1 (en) Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques