本申請是pct國際申請?zhí)枮閜ct/us2012/058687、國際申請日為2012年10月4日、中國國家申請?zhí)枮?01280049251.8、題為“用于跟蹤和阻擋惡意因特網(wǎng)主機的分布式系統(tǒng)和方法”的申請的分案申請。

本公開的領(lǐng)域

本公開一般地涉及信譽服務(wù)的領(lǐng)域，信譽服務(wù)影響個體網(wǎng)絡(luò)設(shè)備(網(wǎng)關(guān))，以便控制它是否應(yīng)當阻擋特定的源通信(例如，具有特定因特網(wǎng)協(xié)議(ip)地址的源)，同時仍然保護終端用戶免遭已標識的威脅。更具體地，但不作為限制，本公開涉及(基于用戶定義的配置參數(shù))臨時地變更一個或多個網(wǎng)絡(luò)設(shè)備的配置以便在一段時間內(nèi)允許來自“已阻擋的”ip地址的通信的系統(tǒng)和方法。可以使用臨時允許的通信來了解關(guān)于威脅的信息，如果實際上在網(wǎng)絡(luò)設(shè)備處阻擋來自該ip地址的所有通信，則不可能有該威脅。

背景

當前，電子郵件和web安全(ews)設(shè)備可以被配置為在檢測到某種形式的威脅時在可配置的時間量(例如10分鐘)內(nèi)阻擋因特網(wǎng)協(xié)議(ip)源地址。用于判斷總體威脅的集中式系統(tǒng)和方法(例如，由加利福利亞州圣克拉拉市的邁克菲(mcafee)公司提供的全球威脅情報(gti)系統(tǒng))使用接收到的電子郵件(不是在終端用戶處而是在執(zhí)行分析的處理器處)來生成電子郵件的指紋。這些指紋可以由gti用來獲得任何一個時刻穿越因特網(wǎng)的威脅的精確圖像。

然而，如果在所有網(wǎng)絡(luò)設(shè)備(有時被稱為網(wǎng)關(guān))處完全阻擋ip地址，則設(shè)備不能接收來自該ip地址的電子郵件且因此不能對要發(fā)送給gti的數(shù)據(jù)提取指紋。此外，當前所有網(wǎng)絡(luò)設(shè)備獨立地工作，且可以全部都阻擋相同的ip地址。結(jié)果，不能有效地對新威脅提取指紋，且gti可能缺乏數(shù)據(jù)，這可能減少gti的有效性。

當前不存在以協(xié)調(diào)方式具體地指示個體設(shè)備是否阻擋ip地址的已知現(xiàn)有技術(shù)解決方案。當前的集中式解決方案對所有網(wǎng)關(guān)設(shè)備提供相同的響應(yīng)，且使得個體網(wǎng)關(guān)的配置判斷是否應(yīng)當阻該ip。這種模型的一個問題是trustedsource^tm和gti兩者都不能接收到關(guān)于潛在威脅的足夠信息(trustedsource是mcafee公司的商標)。

為了解決這些和其他問題，公開以下方法和系統(tǒng)，該方法和系統(tǒng)為網(wǎng)絡(luò)設(shè)備提供集中式管理系統(tǒng)，使得可以以協(xié)調(diào)方式指示不同的網(wǎng)絡(luò)設(shè)備臨時地改變它們的配置，從特定的ip地址收集信息，然后恢復(fù)它們先前配置的阻擋功能。

附圖簡述

圖1是示出根據(jù)一種實施例的網(wǎng)絡(luò)架構(gòu)的框圖。

圖2是其上可以安裝根據(jù)一種實施例的軟件的計算機的框圖。

圖3是根據(jù)一種實施例的全球威脅情報(gti)云的框圖。

圖4a是示出用于在個體網(wǎng)關(guān)處阻擋ip地址的現(xiàn)有技術(shù)的流程圖。

圖4b是示出根據(jù)一個公開的實施例的用于協(xié)調(diào)阻擋ip地址的技術(shù)的流程圖。

圖5是示出經(jīng)由被配置為利用圖4b的技術(shù)執(zhí)行協(xié)調(diào)阻擋的多個網(wǎng)絡(luò)設(shè)備連接到因特網(wǎng)的多個網(wǎng)絡(luò)的框圖。

詳細描述

下面詳細描述的各種實施例提供用于對來自已標識的ip地址的電子郵件消息執(zhí)行集中式和協(xié)調(diào)的分析的技術(shù)。即使本公開具體地引用了“ip”地址，但本公開的概念不限于ip的任何具體版本(例如，ipv4、ipv6等等)，且也可以適用于其他網(wǎng)絡(luò)技術(shù)和協(xié)議。為了清晰起見而使用對ip地址的引用，例如“已阻擋的”ip地址。對ip地址的特定引用也可以被認為是包括任何發(fā)起源地址或其他類型的關(guān)于潛在惡意內(nèi)容的“發(fā)源名稱”。

所公開的實施例的實現(xiàn)可以把資源的“云”用于集中式管理和分析。與云交互的個體站點或內(nèi)部網(wǎng)絡(luò)不需要考慮云中的資源的內(nèi)部結(jié)構(gòu)，且可以以協(xié)調(diào)方式參與，以便探知因特網(wǎng)上的潛在危險的“流氓主機”的更全面的觀點。如果該分析標識對關(guān)于已阻擋的ip地址的進一步信息的需求，則資源(例如，網(wǎng)絡(luò)設(shè)備)可以是臨時地被(重新)配置為使得它不在100％的時間都阻擋可疑ip地址，且因而允許進一步收集信息以便增強潛在的威脅集合觀點。為了本公開的簡單和清晰起見，主要針對從具體源主機去往具體接受方的電子郵件公開實施例。然而，可以類似地在滿足用戶的請求之前阻擋用戶對web頁面或內(nèi)容(例如可執(zhí)行程序的下載)的請求。在這兩種說明性情況中，可以保護內(nèi)部網(wǎng)絡(luò)遠離可以被認為是在給定內(nèi)部網(wǎng)絡(luò)的風險容忍度之外的對象。

圖1示出根據(jù)一種實施例的網(wǎng)絡(luò)架構(gòu)100。如圖所示，提供了多個網(wǎng)絡(luò)102。在本網(wǎng)絡(luò)架構(gòu)100的上下文中，網(wǎng)絡(luò)102均可以采取任何形式，包括但不限于局域網(wǎng)(lan)、無線網(wǎng)絡(luò)、廣域網(wǎng)(wan)(例如因特網(wǎng))等等。

耦合到網(wǎng)絡(luò)102的是數(shù)據(jù)服務(wù)器計算機104，它能夠在網(wǎng)絡(luò)102上通信。也耦合到網(wǎng)絡(luò)102和數(shù)據(jù)服務(wù)器計算機104的是多個終端用戶計算機106。這樣的數(shù)據(jù)服務(wù)器計算機104和/或客戶端計算機106均可以包括臺式計算機、膝上型計算機、手持式計算機、移動電話、手持式計算機、外圍設(shè)備(例如打印機等等)、計算機的任何組件和/或任何其他類型的邏輯。為了促進在網(wǎng)絡(luò)102當中的通信，可選地在其間耦合至少一個網(wǎng)關(guān)或路由器108。

現(xiàn)在參見圖2，以框圖形式示出根據(jù)一種實施例用于提供拒絕連接的協(xié)調(diào)技術(shù)的示例處理設(shè)備200。處理設(shè)備200可以充當網(wǎng)關(guān)或路由器108、客戶端計算機106或服務(wù)器計算機104。示例處理設(shè)備200包括系統(tǒng)單元210，系統(tǒng)單元210可以可選地連接到系統(tǒng)260的輸入設(shè)備(例如，鍵盤、鼠標、觸摸屏等等)和顯示器270。系統(tǒng)單元210中包括了程序存儲設(shè)備(psd)280(有時稱為硬盤或計算機可讀介質(zhì))。系統(tǒng)單元210還包括網(wǎng)絡(luò)接口240，網(wǎng)絡(luò)接口240用于經(jīng)由網(wǎng)絡(luò)與其他計算和企業(yè)基礎(chǔ)設(shè)施設(shè)備(未示出)通信。網(wǎng)絡(luò)接口240可以被包括在系統(tǒng)單元210之內(nèi)或系統(tǒng)單元210之外。在任一種情況中，系統(tǒng)單元210通信地耦合到網(wǎng)絡(luò)接口240。程序存儲設(shè)備280表示任何形式的非易失性存儲，包括但不限于所有形式的光和磁(包括固態(tài))存儲元件，包括可移動介質(zhì)，且可以被包括在系統(tǒng)單元210之內(nèi)或系統(tǒng)單元210之外。程序存儲設(shè)備280可以用于存儲控制系統(tǒng)單元210的軟件、由處理設(shè)備200使用的數(shù)據(jù)或兩者。

系統(tǒng)單元210可以被編程為執(zhí)行根據(jù)本公開的方法(其示例如圖4b所示)。系統(tǒng)單元210包括處理器單元(pu)220、輸入-輸出(i/o)接口250和存儲器230。處理單元220可以包括任何可編程控制器設(shè)備，例如包括大型機處理器，或來自英特爾公司的和處理器系列以及來自arm的cortex和arm處理器系列的一個或多個成員。(英特爾、intelatom、core、pentium和celeron是英特爾公司的注冊商標。cortex是arm有限公司的注冊商標。arm是arm有限公司的注冊商標。)存儲器230可以包括一個或多個存儲器模塊，且包括隨機存取存儲器(ram)、只讀存儲器(rom)、可編程只讀存儲器(prom)、可編程讀寫存儲器和固態(tài)存儲器。pu220也可以包括一些內(nèi)部存儲器，例如包括高速緩存存儲器。

處理設(shè)備200上可以駐留任何期望的操作系統(tǒng)。各實施例可以使用任何期望的編程語言來實現(xiàn)，且可以被實現(xiàn)為一個或多個可執(zhí)行程序，該可執(zhí)行程序可以鏈接到外部可執(zhí)行例程庫，該外部可執(zhí)行例程庫可以由協(xié)調(diào)ip阻擋軟件的提供商、操作系統(tǒng)的提供商或任何其他期望的合適庫例程的提供商提供。

在準備在處理設(shè)備200上執(zhí)行所公開的實施例時，可以提供在把處理設(shè)備200配置為執(zhí)行所公開的實施例的程序指令，這些程序指令可以被存儲在任何類型的非暫態(tài)計算機可讀介質(zhì)上，或者可以從服務(wù)器104下載到程序存儲設(shè)備280上。在此所使用的對“計算機系統(tǒng)”的引用包括提供被描述為由計算機系統(tǒng)執(zhí)行的能力的單個計算機和一起工作的多個個體計算機。

現(xiàn)在參見圖3，框圖300示出gti云310的一個示例。gti云310可以為多個客戶機(有時被稱為用戶)提供集中式功能，而不要求云的客戶機理解云資源的復(fù)雜性或提供對云資源的支持。在gti云310內(nèi)部，通常存在多個服務(wù)器(例如，服務(wù)器1320和服務(wù)器2340)。每一個服務(wù)器又通常連接到專用數(shù)據(jù)存儲(例如，330和350)，且可能連接到集中式數(shù)據(jù)存儲，例如集中式數(shù)據(jù)庫360。每一通信路徑通常是網(wǎng)絡(luò)或由通信路徑325、345、361、362和370表示的直接連接。盡管圖300示出兩個服務(wù)器和單個集中式數(shù)據(jù)庫，但可比擬的實現(xiàn)可以采取帶有或不帶有個體數(shù)據(jù)庫、形成邏輯集中式數(shù)據(jù)庫的數(shù)據(jù)庫層次結(jié)構(gòu)或兩者的組合的多個服務(wù)器的形式。此外，在gti云310中的每一組件之間可以存在多個通信路徑和多種類型的通信路徑(例如，有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、直連線纜、交換線纜等等)。這樣的變化是本領(lǐng)域中的技術(shù)人員熟知的，且因此在這里不進一步討論。而且，盡管在此被公開為云資源，但在替代的實施例中，gti云310的功能的本質(zhì)可以由在組織內(nèi)部的常規(guī)配置(即，不是云配置)的資源來執(zhí)行。

現(xiàn)在參見圖4a，流程圖400示出單獨地基于來自信譽服務(wù)的其配置和評分的組合(基于指紋數(shù)據(jù))阻擋ip地址的網(wǎng)絡(luò)設(shè)備的現(xiàn)有技術(shù)。即，諸如網(wǎng)關(guān)108等的網(wǎng)絡(luò)設(shè)備是與任何其他網(wǎng)絡(luò)設(shè)備隔離的，且不知道任何其他網(wǎng)絡(luò)設(shè)備的當前動作。在框401開始，網(wǎng)絡(luò)設(shè)備108從諸如因特網(wǎng)等的外部網(wǎng)絡(luò)上的遠程主機接收電子郵件(假定網(wǎng)絡(luò)設(shè)備108還沒有阻擋與該遠程主機相關(guān)聯(lián)的ip地址)。在402框，在接收之后，且通常在允許電子郵件進入網(wǎng)絡(luò)設(shè)備108的“另一”(例如，內(nèi)部)側(cè)上的網(wǎng)絡(luò)之前，網(wǎng)絡(luò)設(shè)備108執(zhí)行指紋分析。也在框402，把來自指紋分析的數(shù)據(jù)和關(guān)于遠程主機的發(fā)源連接的信息(例如，ip地址、主機名)發(fā)送給執(zhí)行信譽服務(wù)(rs)的可信源服務(wù)(tss)。tss通常是其客戶隱含信任且依賴的信息的提供者(即，源)。tss通常被與之連接以便得到其任何服務(wù)的客戶機所知道且認證。rs可以是tss的一個功能，基于其他實體持有的關(guān)于在社區(qū)或域內(nèi)的一組對象(例如，服務(wù)提供商、服務(wù)、貨物或?qū)嶓w)觀點的集合，該功能計算和公布對象的信譽評分。接下來，在框403，rs從rs可用的信息判斷威脅水平(即，評分)。rs可用的信息包括從網(wǎng)絡(luò)設(shè)備108發(fā)送的關(guān)于所考慮的對象的數(shù)據(jù)，以及先前在rs處接收到的信息。在rs處分析之后，rs把對象的評分發(fā)送回網(wǎng)絡(luò)設(shè)備108(框404)。如上面所提到的，該評分指示通過rs可用的有關(guān)信息所確定的該對象的風險水平。最終，在框405，網(wǎng)絡(luò)設(shè)備108判斷是否允許該對象行進到其預(yù)期接收方(或允許對該對象的訪問)。如果不允許，則網(wǎng)絡(luò)設(shè)備108可以阻擋傳送或?qū)υ搶ο蟮脑L問。而且，基于其配置，網(wǎng)絡(luò)設(shè)備108可以在一段時間(例如，默認為10分鐘)內(nèi)阻擋來自已標識的有問題主機的ip地址的未來通信。

參見圖4b，流程圖410示出不同于現(xiàn)有技術(shù)的技術(shù)，該技術(shù)允許具體的網(wǎng)絡(luò)設(shè)備108與其他網(wǎng)絡(luò)設(shè)備一起經(jīng)由集中式服務(wù)執(zhí)行可以由一個所公開的實施例實現(xiàn)的ip地址的協(xié)調(diào)阻擋。在框420開始，網(wǎng)絡(luò)設(shè)備108接收電子郵件(或其他對象請求)。接下來，在框430，網(wǎng)絡(luò)設(shè)備108可以執(zhí)行指紋提取(或相似類型的分析)并把該信息發(fā)送給rs。然后，網(wǎng)絡(luò)設(shè)備108可以把指紋數(shù)據(jù)和發(fā)源連接信息發(fā)送給執(zhí)行rs的tss。不同于現(xiàn)有技術(shù)，網(wǎng)絡(luò)設(shè)備108可以發(fā)送附加信息以供由rs分析。附加信息可以包括設(shè)備標識信息、設(shè)備配置信息、當前阻擋信息和網(wǎng)絡(luò)通信信息中的一種或多種。在一種實施例中，在框440，rs可以以與現(xiàn)有技術(shù)相同或相似的方式確定對象的威脅水平。在框450，rs可以判斷是否可以控制具體的網(wǎng)絡(luò)設(shè)備108以便接收更多樣本(即，網(wǎng)絡(luò)設(shè)備108正在參與在此公開的協(xié)調(diào)阻擋)。rs可以基于設(shè)備的參與狀態(tài)確定要發(fā)送給網(wǎng)絡(luò)設(shè)備108的響應(yīng)的類型(框460)。如果這一具體的設(shè)備不參與(判斷470的“否”分支)，則rs可以把該評分發(fā)送給設(shè)備(框475)，這非常類似于現(xiàn)有技術(shù)。替代地，如果設(shè)備參與(判斷470的“是”分支)，則rs還可以發(fā)送不同于現(xiàn)有技術(shù)的響應(yīng)(框480)，該響應(yīng)除了帶有評分之外還帶有阻擋標志和/或所請求的阻擋時間(其可以是0，指示在任何時間都不阻擋)。最終，在框490，接收到增強的信息的網(wǎng)絡(luò)設(shè)備(網(wǎng)關(guān))可以更新其阻擋策略。阻擋策略可以基于該設(shè)備是否被允許阻擋所建議的次數(shù)(例如，可能的附加本地配置設(shè)置)以及相應(yīng)地阻擋所配置/所請求的時間量，來更新。從以上解釋應(yīng)明顯看出，在此公開的各實施例允許網(wǎng)絡(luò)設(shè)備和tss/rs與其他參與網(wǎng)絡(luò)設(shè)備以協(xié)調(diào)方式一起工作，以使得tss/rs可以繼續(xù)接收信息，否則該信息可能已經(jīng)被整體阻擋。因此，tss/rs可以向訂閱tss/rs的所有客戶機提供增強的和更全面的信息。注意，tss/rs可以跟蹤哪些客戶機正在參與以及它們?nèi)绾螀⑴c，以便確保把不必要的“非阻擋請求”保持為最小，以免被要求對先前已經(jīng)阻擋的數(shù)據(jù)執(zhí)行附加分析的設(shè)備負擔過重。而且，在此具體公開的實施例中，rs對象包括web站點和電子郵件，然而，可以預(yù)期其他類型的對象，且這些對象受益于本公開的概念。例如，rs可能正在聚集ip地址(連接的源)、會話屬性(例如發(fā)件人/收件人)、這一ip已經(jīng)做出對其他郵件服務(wù)器的連接次數(shù)的計數(shù)(頻率)。還值得注意的是，流氓主機的標識和流氓主機的阻擋兩者都可以不只是應(yīng)用到電子郵件，可以包括任何數(shù)量的ip技術(shù)，例如文件傳輸協(xié)議(ftp)、超文本傳輸協(xié)議(http)、ip語音(voip)、即時消息收發(fā)(im)等等。

現(xiàn)在參見圖5，框圖500示出經(jīng)由被配置為執(zhí)行利用圖4b的技術(shù)的協(xié)調(diào)阻擋的多個網(wǎng)絡(luò)設(shè)備(540和550)由連接鏈路501相互連接且連接到因特網(wǎng)(510)的多個網(wǎng)絡(luò)(520和530)。網(wǎng)絡(luò)520和530表示兩個不同的網(wǎng)絡(luò)，它們可以是兩個不同組織的內(nèi)部網(wǎng)絡(luò)或單個組織的兩個不同的物理或邏輯網(wǎng)絡(luò)。例如，地理上分散的組織的兩個區(qū)域部門或單個組織的兩個部門可以具有不同的安全要求。在任何上面的情況中，經(jīng)由網(wǎng)絡(luò)設(shè)備1a-n(540)把網(wǎng)絡(luò)520連接到外部，且經(jīng)由網(wǎng)絡(luò)設(shè)備2a-n(550)把網(wǎng)絡(luò)530連接到外部。

網(wǎng)絡(luò)520示出簡化的內(nèi)部網(wǎng)絡(luò)，它可以是經(jīng)由一個或多個網(wǎng)絡(luò)設(shè)備1a-n(540)連接到因特網(wǎng)510的典型企業(yè)網(wǎng)絡(luò)。在網(wǎng)絡(luò)520內(nèi)部有一個或多個電子郵件服務(wù)器522和多個內(nèi)部計算機和網(wǎng)絡(luò)設(shè)備(icnd)524和526。icnd1a524表示單個計算機網(wǎng)絡(luò)設(shè)備，且icnd1b-1n526表示多個其他計算機網(wǎng)絡(luò)設(shè)備，這些計算機網(wǎng)絡(luò)設(shè)備可以是附加的路由器、膝上型計算機、臺式計算機或其他設(shè)備。每一網(wǎng)絡(luò)設(shè)備可以經(jīng)由利用本領(lǐng)域中普通技術(shù)人員已知的網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議的有線連接或無線連接來連接到網(wǎng)絡(luò)。下面的示例示出多個內(nèi)部設(shè)備(522、524和526)如何與提供與諸如因特網(wǎng)510等的外部網(wǎng)絡(luò)的連接的一個或多個網(wǎng)絡(luò)設(shè)備540交互。類似地，網(wǎng)絡(luò)530示出具有第二組電子郵件服務(wù)器532、單個icnd2a534和多個isnd2b-2n536的第二內(nèi)部網(wǎng)絡(luò)，且這些內(nèi)部設(shè)備中的每一個都經(jīng)由網(wǎng)絡(luò)設(shè)備550連接到因特網(wǎng)510。如上面所解釋的，用于阻擋ip地址的現(xiàn)有技術(shù)使得所有網(wǎng)絡(luò)設(shè)備540與網(wǎng)絡(luò)設(shè)備550獨立地工作。相反，即使網(wǎng)絡(luò)設(shè)備540和網(wǎng)絡(luò)設(shè)備550從不直接地通信或?qū)嶋H地彼此知曉，所公開的實施例也允許網(wǎng)絡(luò)設(shè)備540和網(wǎng)絡(luò)設(shè)備550以“協(xié)調(diào)”的方式借助于在gti云310處可獲得的集中式信息來工作。

因特網(wǎng)510示出實際因特網(wǎng)的極大簡化的視圖。因特網(wǎng)510包括多個外部電子郵件服務(wù)器1-n514、多個外部web服務(wù)器1-n、潛在的流氓服務(wù)器1-n517和來自圖3的gti云310。如本領(lǐng)域中普通技術(shù)人員所已知的，因特網(wǎng)510中的每一服務(wù)器具有唯一地址和標識信息，且一些服務(wù)器是合法服務(wù)器而其他服務(wù)器作為流氓服務(wù)器呈現(xiàn)可能的威脅。在此所使用的流氓服務(wù)器是指這樣的服務(wù)器：它們假扮成合法服務(wù)器，或者以可能經(jīng)由垃圾、惡意軟件、病毒、拒絕服務(wù)攻擊等等破壞服務(wù)器的方式工作。流氓服務(wù)器可以事實上是這樣的合法服務(wù)器：已經(jīng)以某種方式受到影響，使得它當前不以適當方式工作，且應(yīng)當被阻擋一段時間以防止跨越其他網(wǎng)絡(luò)的連串破壞。

下列示例概括了網(wǎng)絡(luò)設(shè)備的一種可能場景，這些網(wǎng)絡(luò)設(shè)備可以屬于或不屬于單個組織，但都連接到一致性rs，且可以以協(xié)調(diào)方式與rs一起工作。此示例允許rs影響個體網(wǎng)關(guān)，以便控制它是否應(yīng)阻擋特定的ip地址，同時仍然保護終端用戶免遭威脅。首先，網(wǎng)關(guān)接收電子郵件，在把它發(fā)送給其預(yù)期接收方(例如，icnd524)之前進行分析。網(wǎng)關(guān)執(zhí)行指紋提取操作并發(fā)送：指紋數(shù)據(jù)、發(fā)源連接信息、網(wǎng)關(guān)阻擋配置信息(例如，被配置為阻擋或不阻擋，且如果被配置為阻擋則還有阻擋時間)、接收率(例如，網(wǎng)關(guān)從這一ip地址接收連接的速率——可能包括先前x分鐘以來的已阻擋連接)。rs確定威脅水平，且確定是否希望網(wǎng)關(guān)繼續(xù)從可疑ip地址接收樣本。rs的確定可以基于用戶是否已經(jīng)把網(wǎng)關(guān)配置為阻擋該ip地址，且其他網(wǎng)關(guān)是否正在從相同的ip地址接收威脅。rs可以進一步確定它希望請求網(wǎng)關(guān)繼續(xù)從ip地址接收的時間量，否則該ip網(wǎng)關(guān)被阻擋，且使得該請求基于以連接從ip地址到達這一網(wǎng)關(guān)和其他網(wǎng)關(guān)處的速率。接下來，rs可以把響應(yīng)發(fā)送給請求的網(wǎng)關(guān)，該響應(yīng)具有：具體電子郵件的評分(以使得網(wǎng)關(guān)知道怎樣處理這一特定消息)；指示該網(wǎng)關(guān)是否可以阻擋該ip地址的標志(從rs的角度)和rs希望該網(wǎng)關(guān)阻擋該ip地址的時間量。結(jié)果，如果允許該網(wǎng)關(guān)阻擋該ip地址，且用戶已經(jīng)配置該網(wǎng)關(guān)阻擋，則可以在所配置的時間量內(nèi)阻擋該ip地址。應(yīng)明顯看出，網(wǎng)關(guān)可以仍然把ip地址阻擋用作阻擋來自已知惡意因特網(wǎng)主機的威脅的有效方式，且rs可能接收足夠的樣本數(shù)據(jù)以便維持其有效性并減少或消除這樣的條件：由于只要從ip地址檢測到第一個威脅則所有設(shè)備都阻擋該ip地址，信譽系統(tǒng)不能有效地工作。

如上面所解釋的，rs可以確定具體的網(wǎng)關(guān)應(yīng)阻擋ip地址的時間量。這種確定可以被發(fā)送給網(wǎng)關(guān)，作為網(wǎng)關(guān)可以基于其自己的配置同意或不同意的“請求”。網(wǎng)關(guān)做出的同意判斷可以基于以隨同網(wǎng)關(guān)其他本地配置參數(shù)一起返回的實際評分。替代地，可以以主-從安排來配置rs和網(wǎng)關(guān)，其中rs確定優(yōu)先于本地配置。在網(wǎng)關(guān)處的又一本地配置設(shè)置可以允許rs僅在評分在預(yù)先定義的范圍內(nèi)或低于/高于閾值時為主設(shè)備。以上的組合以及關(guān)于網(wǎng)關(guān)判斷是否應(yīng)同意“請求”的其他組合也可能的。

在前述的描述中，出于解釋的目的，陳述了眾多特定的細節(jié)以便提供對所公開的實施例的透徹理解。然而，本領(lǐng)域中的技術(shù)人員將明顯看出，無需這些特定的細節(jié)就可以實踐所公開的實施例。在其他實例中，以框圖形式示出了結(jié)構(gòu)和設(shè)備，以便避免模糊所公開的實施例。對不帶有下標或后綴的數(shù)字的引用應(yīng)被理解為引用對應(yīng)于所引用數(shù)字的下標和后綴的所有實例。此外，在本公開中使用的語言主要是出于可讀性和教學(xué)目的而選擇，且沒有將其選擇為描述或限定本發(fā)明主題，本發(fā)明主題訴諸于確定這樣的發(fā)明主題所必需的權(quán)利要求。本說明書中對“實施例”或“一個實施例”的引用意味著結(jié)合該實施例描述的具體的特征、結(jié)構(gòu)或特性被包括在至少一個所公開的實施例中，且對“實施例”或“一個實施例”的多次引用不應(yīng)被理解成必定全部都是表示相同的實施例。

還應(yīng)理解，預(yù)期上面的描述是說明性的而非限制性的。例如，上面所描述的實施例可以相互組合使用。在閱讀上面的描述之后，本領(lǐng)域中的技術(shù)人員將明顯看出許多其他實施例。因此應(yīng)當參照所附的權(quán)利要求以及與這樣的權(quán)利要求所授權(quán)的等效物的全部范圍來判斷本發(fā)明的范圍。在所附的權(quán)利要求書中，術(shù)語“包括(including)”和“其中(inwhich)”用作各自的術(shù)語“包括(comprising)”和“其中(wherein)”的通俗英語等效物。

本文所公開的一些示例性實施例包括計算機系統(tǒng)的示例，該計算機系統(tǒng)被配置為促進協(xié)調(diào)源阻擋方法，該計算機系統(tǒng)包括：到多個計算機網(wǎng)絡(luò)的一個或多個連接；以及通信上相互耦合的一個或多個處理器，其中，一個或多個處理器共同地被配置為：接收來自第一網(wǎng)關(guān)的信息，該信息涉及來自源地址的網(wǎng)絡(luò)數(shù)據(jù)傳送，該源地址在第一網(wǎng)絡(luò)上，且該網(wǎng)絡(luò)數(shù)據(jù)傳送去往第二網(wǎng)絡(luò)上的目的地地址，該第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)彼此不直接連接；基于已接收的信息確定評分；確定參與狀態(tài)，該參與狀態(tài)指示第一網(wǎng)關(guān)對協(xié)調(diào)源阻擋方法的參與；準備第一響應(yīng)消息以傳送給第一網(wǎng)關(guān)，該第一響應(yīng)消息包括對評分的指示和阻擋請求指示符；以及發(fā)起第一響應(yīng)消息向第一網(wǎng)關(guān)的傳送。該計算機系統(tǒng)也可以具有第一響應(yīng)消息，只有在該參與狀態(tài)指示參與協(xié)調(diào)源阻擋方法時，該第一響應(yīng)消息才包括阻擋請求指示符。該計算機系統(tǒng)可以具有網(wǎng)絡(luò)數(shù)據(jù)傳送，該網(wǎng)絡(luò)數(shù)據(jù)傳送包括電子郵件消息、下載對象、通用資源定位符(url)、即時消息、文件傳輸協(xié)議(ftp)傳送、超文本傳輸協(xié)議(http)傳送、因特網(wǎng)協(xié)議語音(voip)傳送或其組合。該計算機系統(tǒng)可以具有包括因特網(wǎng)協(xié)議第4版(ipv4)或因特網(wǎng)協(xié)議第6版(ipv6)的網(wǎng)絡(luò)數(shù)據(jù)傳送協(xié)議。該計算機系統(tǒng)可以具有源地址，該源地址包括因特網(wǎng)協(xié)議(ip)地址、域名、通用資源定位符(url)、主機名或其組合。該計算機可以具有從第一網(wǎng)關(guān)接收的信息，該信息包括網(wǎng)絡(luò)數(shù)據(jù)傳送的至少一部分的指紋。該計算機系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請求指示符基于第二網(wǎng)關(guān)相對于源地址的阻擋狀態(tài)。該計算機系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請求指示符基于與網(wǎng)絡(luò)數(shù)據(jù)傳送的源地址相關(guān)聯(lián)的網(wǎng)絡(luò)活動。該計算機系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請求指示符基于第一網(wǎng)關(guān)的配置信息。該計算機系統(tǒng)可以使得第一響應(yīng)消息中的阻擋請求指示符基于所確定的評分。該計算機系統(tǒng)可以被配置成云資源。該計算機系統(tǒng)可以使得一個或多個處理器進一步被配置為主動地把第二消息發(fā)送給參與協(xié)調(diào)阻擋方法的第二網(wǎng)關(guān)，該第二消息包括阻擋請求指示符，該阻擋請求指示符涉及由第一網(wǎng)關(guān)接收的網(wǎng)絡(luò)數(shù)據(jù)傳送的源地址，而不考慮第二網(wǎng)關(guān)是否已經(jīng)接收來自源地址的傳送。而且，第二消息可以被發(fā)送給第二網(wǎng)關(guān)，以便請求第二網(wǎng)關(guān)不阻擋該源地址。而且，不阻擋源地址的請求可以指示不阻擋該源地址的時間段。該第二消息可以被發(fā)送給第二網(wǎng)關(guān)，以便請求第二網(wǎng)關(guān)阻擋源地址。

還公開了被配置為參與協(xié)調(diào)源地址阻擋方法的網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)，該網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)包括：到第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)的一個或多個連接，該第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)彼此不直接連接；以及通信上相互耦合的一個或多個處理器，其中，該一個或多個處理器被配置為：接收來自源地址的網(wǎng)絡(luò)數(shù)據(jù)傳送，該源地址在第一網(wǎng)絡(luò)上，且該網(wǎng)絡(luò)數(shù)據(jù)傳送去往第二網(wǎng)絡(luò)上的目的地地址；對網(wǎng)絡(luò)數(shù)據(jù)傳送的至少一部分執(zhí)行指紋分析；把第一消息發(fā)送給集中式阻擋協(xié)調(diào)計算機系統(tǒng)，該第一消息包括指紋分析的指示、源地址的指示和涉及網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)的阻擋配置信息，其中，該阻擋配置信息包括網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)對協(xié)調(diào)源地址阻擋方法的參與狀態(tài)的指示；接收響應(yīng)于第一消息的第二消息，該第二消息包括與第一消息中的信息相關(guān)的評分和阻擋請求；以及基于該阻擋請求和第二消息中的信息判斷阻擋或不阻擋來自源地址的通信。該網(wǎng)絡(luò)設(shè)備可以被配置成執(zhí)行集中式阻擋功能的云的用戶。該網(wǎng)絡(luò)設(shè)備可以發(fā)送阻擋請求，該阻擋請求指示阻擋來自源地址的傳送。該網(wǎng)絡(luò)設(shè)備可以被配置為只有在該評分高于經(jīng)配置的閾值時，執(zhí)行對來自該源地址的傳送的阻擋。該網(wǎng)絡(luò)設(shè)備可以被配置為使得對來自源地址的傳送的阻擋是基于網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)的本地配置信息來判斷的。該網(wǎng)絡(luò)設(shè)備可以被配置為使得第二消息還指示與對阻擋來自源地址的傳送的請求相關(guān)聯(lián)的時間段。該網(wǎng)絡(luò)設(shè)備可以被配置為使得第二消息進一步包括涉及源地址的網(wǎng)絡(luò)通信信息，且對來自源地址的傳送的阻擋是至少部分地基于該網(wǎng)絡(luò)通信信息來判斷的。該網(wǎng)絡(luò)設(shè)備可以被配置為使得網(wǎng)絡(luò)數(shù)據(jù)傳送包括電子郵件消息、下載對象、通用資源定位符(url)、即時消息、文件傳輸協(xié)議(ftp)傳送、超文本傳輸協(xié)議(http)傳送、因特網(wǎng)協(xié)議語音(voip)傳送或其組合。該網(wǎng)絡(luò)設(shè)備可以被配置為使得網(wǎng)絡(luò)數(shù)據(jù)傳送的協(xié)議包括因特網(wǎng)協(xié)議第4版(ipv4)或因特網(wǎng)協(xié)議第6版(ipv6)。該網(wǎng)絡(luò)設(shè)備可以被配置為使得源地址包括因特網(wǎng)協(xié)議(ip)地址、域名、通用資源定位符(url)、主機名或其組合。當然，計算機可讀介質(zhì)可以存儲配置上面所描述的網(wǎng)絡(luò)設(shè)備的指令。