[发明专利]对于协议指纹识别和信誉相关的系统和方法

说明书

在一个示例实施例中提供方法，其包括基于从通过网络连接而接收的数据包提取的性质生成指纹并且基于该指纹而请求信誉值。如果接收的信誉值指示指纹与恶意活动关联则可对网络连接采取策略动作。该方法可另外包括基于协议指纹并且更特定地基于未识别的协议的指纹来显示关于协议的信息。在再其他实施例中，信誉值还可基于与网络连接关联的网络地址。

技术领域

该说明书大体上涉及网络安全领域，并且更特定地，涉及对于协议指纹识别和信誉相关的系统和方法。

背景技术

网络安全的领域在现今的社会中已变得越来越重要。因特网已实现遍布全世界不同计算机网络的互连。然而，有效保护并且维持稳定的计算机和系统的能力对于组件制造商、系统设计师和网络操作者呈现出显著障碍。该障碍由于由恶意操作者利用的不断演进的一系列战术而变得甚至更复杂。一旦某一类型的恶意软件（例如，僵尸（bot））已经影响主机，恶意操作者可从远程计算机发出命令来控制恶意软件。可以指示软件来执行任何数量的恶意动作，诸如例如从主机发出垃圾邮件或恶意email、从与主机关联的企业或个人窃取敏感信息、传播到其他主机和/或帮助分布式拒绝服务攻击。另外，恶意操作者可以向其他恶意操作者出售或用别的方式准许其他恶意操作者访问，由此扩大主机的利用。因此，对于开发创新工具来对抗允许恶意操作者利用计算机的战术仍然存在显著挑战。

附图说明

为了提供对本公开及其特征和优势的更完整理解，结合附图参考下面的描述，其中类似的标号代表类似的部件，其中：

图1是根据该说明书的简化框图，其图示其中协议为了网络保护可指纹识别并且相关的网络环境的示例实施例；

图2是根据该说明书的简化框图，其图示可与网络环境的一个潜在实施例关联的额外细节；以及

图3是根据该说明书的简化交互图，其图示可与网络环境的一个实施例关联的示例操作。

具体实施方式

概观

在一个示例实施例中提供方法，其包括基于从数据包（通过网络连接接收）提取的性质生成指纹并且基于该指纹而请求信誉值。如果接收的信誉值指示指纹与恶意活动关联，可对网络连接采取策略动作。方法可另外包括基于协议指纹并且更特定地基于未识别的协议的指纹来显示关于协议的信息。在再其他实施例中，信誉值还可基于与网络连接关联的网络地址。

示例实施例

转向图1，图1是其中协议为了网络保护可指纹识别并且相关的网络环境10的示例实施例的简化框图。网络环境10可以包括因特网15、端主机20a和20b、防火墙22、远程主机25a和25b以及威胁情报服务器30。一般，端主机20a-b可以是网络连接中的任何类型的终端点，其包括但不限于桌上型计算机、服务器、膝上型计算机、移动电话或可以接收或建立与远程主机的网络连接（例如在任意两个端口35a-f之间）的任何其他类型的装置。例如，端主机20a可执行应用40a，并且端主机20b可执行应用40b。远程主机25a-b大体上代表可被恶意软件（“malware”）损害的任何类型的计算机或其他装置，其可在例如命令和控制（C&C）服务器45等计算机或装置的控制下。端主机20a-b、防火墙22、远程主机25a-b、威胁情报服务器30以及C&C服务器45中的每个可具有关联的因特网协议（IP）地址。

图1的元件中的每个可通过简单的接口或通过任何其他适合的连接（有线或无线）而耦合于彼此，其对于网络通信提供可行路径。另外，这些元件中的任何一个或多个可基于特定配置需要而组合或从架构去除。网络通信典型地遵循某些协议，其规定规程和格式化用于在元件之间交换消息。从而，网络环境10可包括能够传送控制协议/因特网协议（TCP/IP）通信用于在网络中传送或接收包的配置。网络环境10还可连同用户数据报协议/IP（UDP/IP）或任何其他适合的协议（在适合的情况下）并且基于特定需要而操作。