//www. a打inic. net/)
[0047] APNIC (亞太地區(qū)網(wǎng)絡(luò)信息中屯��、)一亞洲/太平洋地區(qū)化ttp: //www. apnic. net/) [004引 ARIN(美國(guó)網(wǎng)絡(luò)地址注冊(cè)管理組織)--北美地區(qū)化ttp://WWW. arin.net/)
[0049] LACNIC(拉下美洲及加勒比地區(qū)互聯(lián)網(wǎng)地址注冊(cè)管理機(jī)構(gòu)拉下美洲和一些加 勒tk 島(http://Iacnic.net/en/index.html)
[0050] RIPE NCC(歐洲網(wǎng)絡(luò)協(xié)調(diào)中屯�����、)--歐洲����、中東和中亞化ttp://Ww.ripe.net/)
[0051] 注冊(cè)機(jī)構(gòu)通常操作維護(hù)域名與IP地址之間的關(guān)聯(lián)的服務(wù)器。運(yùn)些服務(wù)器有時(shí)被稱(chēng) 為"whois"服務(wù)器�����。通過(guò)詢(xún)問(wèn)W上網(wǎng)站服務(wù)器的一個(gè)或多個(gè)���,可找到IP地址所有者的名稱(chēng)和 國(guó)家����。可通過(guò)使瀏覽器發(fā)送HTTP請(qǐng)求至適當(dāng)?shù)囊粋€(gè)或多個(gè)服務(wù)器并獲得響應(yīng)來(lái)執(zhí)行詢(xún)問(wèn)�����。 可替換地����,一個(gè)本地?cái)?shù)據(jù)庫(kù)例如客戶(hù)端瀏覽器數(shù)據(jù)庫(kù),或者其它本地或緩存數(shù)據(jù)庫(kù)可包括 "whois"服務(wù)器的一個(gè)或全部數(shù)據(jù)庫(kù)�����,W使詢(xún)問(wèn)更加容易且快速���。一旦所有者和/或國(guó)家被 識(shí)別出��,用戶(hù)或自動(dòng)化處理可確定網(wǎng)站是真正的或是釣魚(yú)網(wǎng)站��。
[0052] 類(lèi)似于DNS數(shù)據(jù)庫(kù)�,公共Whois數(shù)據(jù)庫(kù)可能不完全是可靠的�。釣魚(yú)網(wǎng)站的所有者可 能通過(guò)Whois注冊(cè)機(jī)構(gòu)登記W利用注冊(cè)機(jī)構(gòu)用于它們自身。為了消除該潛在問(wèn)題��,可使用本 地?cái)?shù)據(jù)庫(kù)來(lái)補(bǔ)充或替換來(lái)自公共"whois"服務(wù)器的信息�����,W增強(qiáng)對(duì)所有者名稱(chēng)的分辨。例 如���,通過(guò)"whois"服務(wù)器可能不能明顯地識(shí)別合法公司名稱(chēng)。補(bǔ)充數(shù)據(jù)庫(kù)可連同該公司的IP 地址一同提供與該公司有關(guān)的更精確的信息����,例如唯一碼。在另一實(shí)施例中�����,合法金融機(jī) 構(gòu)��、公司或政府機(jī)構(gòu)可在被添加至該補(bǔ)充數(shù)據(jù)庫(kù)之前單獨(dú)地檢驗(yàn)和證實(shí)�。
[0053] 在一些情況下,IP地址識(shí)別代理服務(wù)器�、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器、防火墻���、和/ 或其它網(wǎng)絡(luò)媒介�����。為了找到潛在釣魚(yú)網(wǎng)站(或其它非法資源)的真實(shí)IP地址��,網(wǎng)絡(luò)媒介裝置����、 其所有者、或其它授權(quán)實(shí)體檢查一個(gè)或多個(gè)媒介映射表��、日志文件和/或其它映射數(shù)據(jù)�����。通 過(guò)媒介映射數(shù)據(jù)����,授權(quán)實(shí)體將時(shí)間戳和/或TCP端口號(hào)映射至內(nèi)部IP地址信息??上鄬?duì)于內(nèi) 部被分配的名稱(chēng)來(lái)檢查內(nèi)部IP地址,W確定名稱(chēng)���、位置和/或其它內(nèi)部信息���。獲得運(yùn)種內(nèi)部 信息通楊包括來(lái)自互聯(lián)網(wǎng)服務(wù)提供商的、來(lái)自網(wǎng)絡(luò)媒介的所有者的����、和/或來(lái)自其它源的合 作�。該附加的內(nèi)部信息可被提供給客戶(hù)端或者提供至信任的評(píng)估裝置��,W確定網(wǎng)站是否是 有效的或者是釣魚(yú)網(wǎng)站���。
[0054] 在一個(gè)實(shí)施方式中��,日志文件或映射數(shù)據(jù)可具有W下信息用于反向捜索:
[0055] 1.時(shí)間戳
[0056] 2.內(nèi)部/本地?cái)?shù)據(jù),例如至潛在釣魚(yú)網(wǎng)站的���、至潛在黑客的賬戶(hù)的�、至內(nèi)部文件和/ 或至其它內(nèi)部資源的內(nèi)部IP地址��。
[0057] 3.外部網(wǎng)絡(luò)數(shù)據(jù)�����,例如互聯(lián)網(wǎng)源和/或目的地IP地址��、源和/或TCP/UDP端口號(hào)��、和/ 或識(shí)別對(duì)于潛在釣魚(yú)網(wǎng)站��、對(duì)于潛在黑客賬戶(hù)和/或?qū)τ谄渌吹挠成湫畔⒌钠渌鼣?shù)據(jù)。例 如�����,媒介網(wǎng)關(guān)日志文件可包括源IP地址和源TCP端口號(hào)����,垃圾郵件通過(guò)其發(fā)送具有至釣魚(yú)網(wǎng) 站的鏈接的電子郵件。日志文件還可包括電子郵件消息發(fā)送的目的地IP地址和目的地端口 號(hào)�����。類(lèi)似地���,日志文件可包括媒介網(wǎng)關(guān)日志文件�����,媒介網(wǎng)關(guān)日志文件可包括黑客試圖通過(guò)其 訪問(wèn)目的地IP地址和目的地端口號(hào)的源IP地址和源TCP端口號(hào)����。通常�,使用端口號(hào)80或443。 如果運(yùn)些端口號(hào)沒(méi)有返回,那么鏈接可能與釣魚(yú)網(wǎng)站關(guān)聯(lián)����。相反,如果合法網(wǎng)站故意使用除 了80或443之外的端口號(hào)����,并且返回的端口號(hào)為80或443,那么相應(yīng)鏈接可能與釣魚(yú)網(wǎng)站關(guān) 聯(lián)����。
[0058] 圖3示出了用于本發(fā)明的一個(gè)實(shí)施方式的架構(gòu)、通信序列和方法�。可能不需要所示 的模塊的全部來(lái)實(shí)踐本發(fā)明���,或者可包括附加的模塊來(lái)用于其它實(shí)施方式。在各個(gè)實(shí)施方 式中��,一些模塊可組合�,而其它模塊可分成多個(gè)模塊。
[0059] 在該示例性實(shí)施方式中���,架構(gòu)包括客戶(hù)端20a���,客戶(hù)端20a通過(guò)公共互聯(lián)網(wǎng)15a與對(duì) 應(yīng)于釣魚(yú)網(wǎng)站的IP地址網(wǎng)絡(luò)服務(wù)器17a進(jìn)行通信���。客戶(hù)端20a包括與互聯(lián)網(wǎng)15a通信并與 TCP/IP堆找33通信的操作系統(tǒng)31 dTCP^P堆找33與網(wǎng)絡(luò)瀏覽器34a通信����,網(wǎng)絡(luò)瀏覽器34a與 反釣魚(yú)模塊38a通信。反釣魚(yú)模塊與網(wǎng)絡(luò)地址數(shù)據(jù)庫(kù)50通信����,網(wǎng)絡(luò)地址數(shù)據(jù)庫(kù)50可W是客戶(hù) 端20a中的本地?cái)?shù)據(jù)庫(kù)或者可W是通過(guò)本地網(wǎng)絡(luò)或通過(guò)互聯(lián)網(wǎng)15a可用的遠(yuǎn)程網(wǎng)絡(luò)數(shù)據(jù)庫(kù), 例如網(wǎng)絡(luò)地址注冊(cè)數(shù)據(jù)庫(kù)��。網(wǎng)絡(luò)地址數(shù)據(jù)庫(kù)50通常存儲(chǔ)IP地址和域名及其所有者之間的關(guān) 聯(lián)���。
[0060] 客戶(hù)端20a的用戶(hù)可接收包括鏈接的電子郵件���,或者可查看由瀏覽器34a提出的網(wǎng) 頁(yè)中的鏈接。該連接可能顯得有效����,但是用戶(hù)可能不能肯定鏈接的有效性。用戶(hù)可W將鼠標(biāo) 指針定位在鏈接上方或者選擇該鏈接�。在一個(gè)實(shí)施方式中��,用戶(hù)可將鼠標(biāo)指針定位在鏈接 上方并按壓鼠標(biāo)上的右鍵W選擇菜單選項(xiàng)����,從而調(diào)用用于檢查該鏈接的反釣魚(yú)模塊38a�����。在 另一實(shí)施方式中����,用戶(hù)可簡(jiǎn)單地選擇鏈接。W下討論描述了用戶(hù)通過(guò)網(wǎng)絡(luò)瀏覽器34a選擇鏈 接的實(shí)施方式��。然而����,本領(lǐng)域技術(shù)人應(yīng)認(rèn)識(shí)到可使用消息傳送服務(wù)例如電子郵件、和/或其 它應(yīng)用��。類(lèi)似地�,本領(lǐng)域技術(shù)人應(yīng)認(rèn)識(shí)到可通過(guò)在按壓右鼠標(biāo)按鈕時(shí)可用的菜單選項(xiàng)來(lái)執(zhí) 行對(duì)鏈接的被動(dòng)檢查�����。
[0061] 在該示例性實(shí)施方式中,在通信步驟101中�����,瀏覽器34a檢查鏈接的用戶(hù)選擇并發(fā) 送用于相應(yīng)網(wǎng)頁(yè)的請(qǐng)求����。該請(qǐng)求首先被發(fā)送至TCP/IP堆找33W將鏈接U化解析為IP地址。解 析U化可需要訪問(wèn)網(wǎng)絡(luò)地址注冊(cè)數(shù)據(jù)庫(kù)�����、互聯(lián)網(wǎng)服務(wù)提供商(ISP)�、或?qū)化與其相應(yīng)IP地址 關(guān)聯(lián)的其它源。然而����,來(lái)自運(yùn)種源的IP地址可能被掩飾或者W其它方式誤導(dǎo)。而且���,通過(guò)解 析U化不一定獲得端口號(hào)�����。為了確保獲得真實(shí)IP地址和端口號(hào)��,在通信步驟102中�,雌?八口堆 找33將請(qǐng)求發(fā)送至操作系統(tǒng)31a,在通信步驟103中�,操作系統(tǒng)使得TCP連接通過(guò)互聯(lián)網(wǎng)連接 至可疑網(wǎng)絡(luò)節(jié)點(diǎn)17曰。
[0062] 在通信步驟104中�����,可疑網(wǎng)絡(luò)節(jié)點(diǎn)17a(例如��,其相應(yīng)服務(wù)器)返回被請(qǐng)求的網(wǎng)頁(yè)�����。而 且���,被返回的是釣魚(yú)網(wǎng)站的準(zhǔn)確的IP地址和端口號(hào)�。在通信步驟105中�,客戶(hù)端操作系統(tǒng)31a 接收網(wǎng)頁(yè)、地址和端口號(hào)�,并將該信息傳送至TCP/IP堆找33。在通信步驟106中���,TCP^P堆找 將網(wǎng)頁(yè)傳送至瀏覽器34a��。在通信步驟107中�,瀏覽器從TCP/IP堆找請(qǐng)求IP地址和端口號(hào)�。例 如,瀏覽器可調(diào)用GetIPAd化essByName對(duì)象或Ge地OStByName對(duì)象����。在通信步驟108中,TCP/ IP堆找將IP地址和端口號(hào)返回至瀏覽器�����。
[0063] 然后�,在通信步驟109中,瀏覽器34a將IP地址�����、端口號(hào)和URL(或域名或主機(jī)名稱(chēng)) 傳送至反釣魚(yú)模塊38a����。在通信步驟110中,反釣魚(yú)模塊使用該信息從數(shù)據(jù)庫(kù)50請(qǐng)求所有者 名稱(chēng)��、國(guó)家���、和/或其它識(shí)別數(shù)據(jù)(如果有的話)��。在通信步驟111中�,數(shù)據(jù)庫(kù)50將所請(qǐng)求的信 息返回給反釣魚(yú)模塊38a。反釣魚(yú)模塊3&1可將該信息直接傳送至瀏覽器34aW顯示���。然而��, 在一個(gè)實(shí)施方式中���,反釣魚(yú)模塊38a確定所有者名稱(chēng)和國(guó)家是否與ML的域名的已知信息匹 配。如果沒(méi)有發(fā)現(xiàn)匹配���,反釣魚(yú)模塊然后在通信步驟112中向?yàn)g覽器34a發(fā)送指令W顯示警 告���。
[0064] 圖4示出了用于本發(fā)明的一個(gè)實(shí)施方式的網(wǎng)頁(yè)200的屏幕截圖。在該實(shí)施例中�����,釣 魚(yú)網(wǎng)站偽裝成公司例如化ypal公司的官方網(wǎng)站���。在瀏覽器地址字段中示出了全球資源定位 器(m?L) 202����。從來(lái)路不明的電子郵件通過(guò)超鏈接訪問(wèn)URL��。與TOL的域名關(guān)聯(lián)的IP地址是 68.142.234.59����。在瀏覽器地址字段中示出的域名地址附近顯示了關(guān)聯(lián)的IP地址所有者的 名稱(chēng)204和國(guó)家206。用戶(hù)����、反釣魚(yú)插件和/或其它判斷模塊可將所有者的名稱(chēng)和國(guó)家與域名 進(jìn)行比較W判斷真實(shí)性。一些比較相對(duì)簡(jiǎn)單����。例如,如果IP所有者的名稱(chēng)是未知的組織或人 們名字����,而域名指示知名的公司,則可W是針對(duì)IP所有者是域名的真實(shí)所有者的加權(quán)決定�。 類(lèi)似地,如果IP所有者的國(guó)家是具有假冒活動(dòng)歷史或者遠(yuǎn)離該知名公司的祖國(guó)的國(guó)家�,那 么可W是針對(duì)IP所有者是域名的真實(shí)所有者的進(jìn)一步加權(quán)。IP地址也可簡(jiǎn)單地與已知的IP 地址或者已知公司的地址范圍進(jìn)行比較���。加權(quán)的信息可導(dǎo)致IP地址不是真實(shí)網(wǎng)站而是釣魚(yú) 網(wǎng)站的決定��。
[006引如圖4所示���,網(wǎng)頁(yè)200看似是化ypal公司的網(wǎng)頁(yè)����。IP所有者202顯示為Inktomi公司����, 其是有效的公司。然而�,與域名WWW. paypay. com關(guān)聯(lián)的IP地址是216.113.188.67。大組織可 具有許多IP地址�����,因此可能不清楚IP地址是否被有效組織所有�����。與U化的IP地址關(guān)聯(lián)的國(guó)家 206是美國(guó)�,運(yùn)也看似是有效的。因此,可使用附加信息��。在該實(shí)施例中���,已知化ypal公司由 化ay公司所有�����,而不是與Inktomi公司關(guān)聯(lián)。因此���,示出的網(wǎng)站有可能是釣魚(yú)網(wǎng)站��。在另一瀏 覽器字段中W彈出窗口和/或W其它方式顯示可選的警告208�。 巧066] 另一示例性實(shí)施方案
[0067] 在IP網(wǎng)絡(luò)例如互聯(lián)網(wǎng)中���,兩個(gè)節(jié)點(diǎn)之間的連接或會(huì)話通常使用IP地址和TCP/UDP 端口號(hào)來(lái)進(jìn)行�。任一節(jié)點(diǎn)知曉其自身W及另一節(jié)點(diǎn)的IP地址和端口號(hào)�。端口通常是至網(wǎng)絡(luò) 節(jié)點(diǎn)的末端。端口號(hào)通常代表特定通信會(huì)話�、特定功能、特定資源或該網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)的其它身 份�。端口號(hào)通常被分成=個(gè)范圍:知名端口、注冊(cè)端口和動(dòng)態(tài)和/或私人端口。知名端口通常 通過(guò)分配服務(wù)例如IANA來(lái)分配����。注冊(cè)端口可W可選地注冊(cè)W用于期望目的。動(dòng)態(tài)或私人端 口通常由網(wǎng)絡(luò)節(jié)點(diǎn)使用��,W用于經(jīng)常改變通信和/或用于私人目的���。
[0068] 對(duì)于至另一節(jié)點(diǎn)的出站連接����,客戶(hù)端使用另一節(jié)點(diǎn)的IP地址和端口號(hào)���。對(duì)于入站 連接�����,例如至客戶(hù)端��,請(qǐng)求將識(shí)別其IP地址和端口號(hào)��。如果使用媒介節(jié)點(diǎn)�����,例如互聯(lián)網(wǎng)服務(wù) 提供商服務(wù)器�����,媒介節(jié)點(diǎn)將通常知曉每個(gè)節(jié)點(diǎn)的IP地址和端口號(hào)��。例如���,服務(wù)器將通常知曉 請(qǐng)求節(jié)點(diǎn)和客戶(hù)端節(jié)點(diǎn)的IP地址和本地端口號(hào)��,使得媒介節(jié)點(diǎn)可中繼請(qǐng)求節(jié)點(diǎn)與客戶(hù)端節(jié) 點(diǎn)之間的通信。
[0069] 類(lèi)似地����,對(duì)于下載由服務(wù)器或客戶(hù)端發(fā)起的文件,IP地址和端口號(hào)是已知的�����。例 如��,如果下載是來(lái)自網(wǎng)站或其它網(wǎng)絡(luò)服務(wù)���,如上所述����,可通過(guò)公共或本地分配數(shù)據(jù)庫(kù)來(lái)確定 提供文件的網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址和端口號(hào)。在一些情況下��,IP地址和端口號(hào)可W是有效的����、可 信網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址和端口號(hào)。然而�,黑客可訪問(wèn)可信節(jié)點(diǎn)并試圖分布病毒或其它不可取 文件。在運(yùn)種情況下��,本發(fā)明的實(shí)施方式評(píng)估通信的載荷���。在一個(gè)實(shí)施方式中����,評(píng)估模塊評(píng) 估數(shù)據(jù)包的載荷W相對(duì)于指示可允許數(shù)據(jù)的分類(lèi)標(biāo)識(shí)符來(lái)確定并檢查載荷數(shù)據(jù)�����。在另一實(shí) 施方式中�����,評(píng)估模塊評(píng)估待傳送文件的整體文件擴(kuò)展、文件作者����、創(chuàng)建日期和/或其它特性, W判斷文件是否應(yīng)被阻塞和/或是否發(fā)布警告���。例如���,從信任網(wǎng)絡(luò)節(jié)點(diǎn)下載新文檔但是不下 載可執(zhí)行代碼可W是可接受的。一個(gè)或多個(gè)分類(lèi)碼可與每個(gè)信任節(jié)點(diǎn)的IP地址和端口號(hào)關(guān) 聯(lián)����,W指示被允許的那些類(lèi)型的載荷數(shù)據(jù)、下載文件或其它數(shù)據(jù)����。
[0070] IP地址��、端口號(hào)和分類(lèi)碼被存儲(chǔ)在文件��、數(shù)據(jù)庫(kù)和/或指示為有效的和/或W其它 方式信任的網(wǎng)絡(luò)節(jié)點(diǎn)和文件的其它數(shù)據(jù)源中���。運(yùn)種數(shù)據(jù)源在本文中有時(shí)被稱(chēng)為白名單�����。白 名單通常不同于黑名