便於網絡上計算機識別的系統與方法

2023-06-28 13:34:01

專利名稱：便於網絡上計算機識別的系統與方法
技術領域：
本發明總體上涉及用於識別可能與對網絡應用程式的攻擊有關的計算機的系統與方法，更具體而言，涉及積累計算機在登錄網絡應用程式之前的識別特徵的系統與方法。
背景技術：
為了防止未授權攻擊及如果需要的話還為了執法目的，攻擊商業或政府網絡應用程式的計算機的識別可能具有頭等的重要性。不管信息是否安全，具有訪問或破壞信息目的的計算機攻擊都一直是計算機化操作的主要問題。
控制對資料庫或服務的訪問一般包括將未授權訪問排除在外的口令安全等級或認證過程。但是，即使利用這些安全措施，攻擊也經常會成功。一旦出現攻擊，就算不是不可能，重建與入侵相關的信息也是很困難的。
與「拒絕服務」類型的攻擊相反，在攻擊可能旨在獲得對系統的訪問的情況下，攻擊者的識別可以被至少以下情形阻止(i)剛好在試圖攻擊之前，當登錄屏幕被請求並顯示時，潛在的入侵者可能不能與合法的應用程式用戶區分開的事實，及(ii)在系統能夠將訪問企圖歸類為可能的攻擊而不是合法登錄的時候，攻擊者經常已經被例如「無效用戶ID」或「無效口令」的消息警告。攻擊者可能會離開或在更高的警告等級，因此採取旨在識別進行攻擊的計算機的步驟可能太晚了。
目前，在網絡訪問之前或同時捕捉識別潛在入侵者的信息還不存在。如果這種識別信息與和特定連接相關的數據被積累、存儲並歸類了，那麼重建攻擊者身份的基礎就有可能了。一旦捕捉到了識別信息，合法資源就可以更容易地獲得。

發明內容
在本發明的一方面，提供了便於網絡中識別的方法。該方法包括步驟只有在捕捉到執行登錄的計算機的配置數據後才處理對應用程式的登錄，重新調用該配置數據並匹配至少部分重新調用的配置數據與隨後捕捉到的配置數據的對應部分，以確定重新調用的配置數據和隨後捕捉到的配置數據是否都來自該計算機。
在本發明的另一方面，提供了便於網絡中攻擊者識別的系統。該系統包括至少一個組件，其只有在捕捉到執行登錄的計算機的配置數據後才處理對應用程式的登錄，重新調用該配置數據並匹配至少部分重新調用的配置數據與隨後捕捉到的配置數據的對應部分，以確定重新調用的配置數據和隨後捕捉到的配置數據是否都來自該計算機。
在本發明的另一方面，提供了包括計算機可用介質的電腦程式產品，其中在該介質中體現了可讀的程序代碼，該電腦程式產品包括至少一個組件，其只有在捕捉到執行登錄的計算機的配置數據後才處理對應用程式的登錄，重新調用該配置數據並匹配至少部分重新調用的配置數據與隨後捕捉到的配置數據的對應部分，以確定重新調用的配置數據和隨後捕捉到的配置數據是否都來自該計算機。


圖1是本發明組件的說明性實施方式；圖2是本發明示例性安全圖形用戶接口(GUI)的說明；圖3是顯示利用本發明的步驟實施方式的流程圖；及圖4是顯示利用本發明的步驟的實施方式的流程圖。
具體實施例方式
本發明針對在處理用戶對基於網絡的應用程式或系統的登錄之前捕捉計算機信息的系統和方法。基於捕捉到的信息，如果在登錄過程中或登錄後檢測到任何違法行為，資源可以沒收。對於被認為是安全敏感的商業應用程式，本發明可以提供增強的安全方面。這類似於可用在如機場的高度安全機構的遊客的安全布置，作為進入候機區域的條件，在機場所有顧客都要同意進行包和個人檢查。
圖1是顯示本發明組件的說明性實施方式，總體上由標號100示出。組件100包括一個或多個連接到網絡110的計算機或計算設備，如個人計算機(PC)105，其中網絡110可以是網際網路、廣域網(WAN)或區域網(LAN)。可選地，數據機可以是PC 105的一部分，它可以連接到用於發出對伺服器115的安全呼叫的電話網絡135。因此，就象本領域普通技術人員可以認識到的，在實施方式中，可以有在廣泛配置中的可能利用各種連接模式的多於一個伺服器(即，1-N)和多於一個資料庫(即，1-N)。
組件100還包括可以是多於一個伺服器(即，1-N)並代表向用戶提供一個或多個應用程式130的平臺的伺服器115。應用程式可以是各種類型，如金融、定貨、搜索、信息檢索等。伺服器115可以與用於存儲應用程式和/或存儲由本發明組件收集的信息的資料庫120通信，資料庫120可以是多於一個資料庫(1-N)。還包括通常稱為「hostage.exe」的安全模塊125，它可以至少是部分地駐留在伺服器115上，而且可以下載到PC 105上並且當PC 105訪問網絡110上的應用程式時被執行。安全程序125可以將收集到的用戶信息存儲在資料庫120或類似的資料庫中。安全模塊一般是能夠運行在客戶平臺(例如，Windows、Linux等)上的可執行模塊(例如，編譯過的C程序等)。此外，應用程式和安全模塊125可以根據需要由不同的伺服器提供。因此，組件100是說明性的，而不是要限定到任何特定的拓撲結構或配置。
此外，對於特定的使用環境，安全模塊可以根據需要採取各種由網絡、應用程式或系統使用的形式，包括瀏覽器操作。根據本發明的系統或方法，現在登錄屏幕可以推遲，相反，網絡和/或應用程式現在可能要求PC 105上的用戶同意下載並運行可執行安全模塊125(即，hostage.exe)。
圖2是本發明示例性安全圖形用戶接口(GUI)的說明，總體上由標號200示出。GUI 200說明性地採用微軟Internet ExploreTM瀏覽器，為了準許訪問應用程式的登錄頁面，該瀏覽器傳達前提條件項205或多組條件。前提條件項包括同意運行由應用程式所有者數字籤名的可執行模塊(即，hostage.exe)。GUI 200是說明性的；因此，以任何語言，可以傳達前提條件項和安全處理意圖的任何合適措詞都可以使用。如果用戶通過點擊「是」按鈕210表示同意，則hostage.exe收集各種信息條目發送到應用程式所有者或代理，如以下更完全描述的，這些信息條目可以包括網絡、軟體或硬體相關的信息。用戶還可以選擇「否」按鈕215或簡單地通過選擇「取消」按鈕220來取消操作。如果選擇了「否」或「取消」按鈕，那麼應用程式不提供登錄屏幕，拒絕訪問應用程式。
網絡應用程式的合法用戶對於同意執行安全模塊不應當有任何問題或顧慮。非法用戶可以拒絕繼續或選擇繼續，冒著檢測到的危險。
圖3是顯示利用本發明在步驟300開始的步驟實施方式的流程圖。圖3和4可以同等地表示本發明組件實現其步驟的高級方框圖。圖3和4的步驟可以結合合適的硬體在電腦程式代碼中實現。該電腦程式代碼可以存儲在存儲介質中，如磁碟、硬碟、CD-ROM、DVD-ROM或磁帶，及存儲器存儲設備或一組存儲器存儲設備，如只讀存儲器(ROM)或隨機存取存儲器(RAM)。此外，電腦程式代碼還可以經網際網路或某種其它類型的網絡傳輸到工作站。
繼續圖3，在步驟305，用戶可能試圖登錄到網絡應用程式。在步驟310，可能是作為GUI，帶前提條件的提示可以呈現給用戶，請求同意下載並執行安全應用程式。在步驟315，檢查用戶是否提供了同意。如果沒有，則在步驟340處理結束，不執行安全檢查或繼續應用程式登錄進程。這有效地由用戶拒絕了對應用程式的訪問。
但是，如果接收到同意，則在步驟320，安全應用程式可以從網絡伺服器下載到用戶的計算機。在步驟325，安全應用程式執行並收集與計算機相關的各種屬性。當合成評估時，這些屬性可以提供用戶計算機的唯一描述。通常，沒有兩臺計算機有完全相同的屬性或配置。這種配置信息可以包括計算機呈現或與其相關的任何可讀或可檢測的設置、設備、分配、版本、組件或數據元素。這還可以包括可以從作業系統註冊表，例如Windows註冊表，獲得的硬體和軟體配置，包括例如來自HKEY_LOCAL_MACHINE 下的HARDWARE、SOFTWARE及SYSTEM子樹的信息。而且，如來自註冊表HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-Product ID的Windows產品ID的作業系統ID也可以收集。還可以收集以下用於計算機的任何WindowsIP配置數據，例如由「ipconfig/all command」返回的(i) 主機名，(ii) 主目錄名服務(DNS)後綴，及(iii)對於計算機中的每個乙太網適配器● 任何連接專用的DNS後綴，● 適配器的任何描述，● 適配器的任何物理地址，● 適配器的任何IP位址，● 分配給適配器的任何子網掩碼，● 分配給適配器的任何預設網關，● 分配給適配器的任何動態主機配置協議DHCP伺服器，及● 分配給適配器的任何目錄數服務(DNS)伺服器。
在步驟330，所收集的信息可以返回到應用伺服器或其它指定的目的地，帶安全檢查的時間戳在資料庫中分類並存儲。在步驟335，一旦計算機信息已經收集，登錄屏幕就可以呈現給用戶，對所請求的應用程式繼續進行一般的登錄過程(例如，用戶ID和口令驗證)。
圖4是顯示利用本發明在步驟400開始的步驟實施方式的流程圖。在步驟405，顯示獲得對應用程式訪問的條款和條件的屏幕可以呈現給用戶。條件規定用戶計算機的特定屬性和配置可以獲得並發送到應用程式的所有者或代表。當被接受時，這些條件在用戶的計算機和應用程式的所有者或代理之間建立協議，使用戶的計算機可以被搜索、關於用戶計算機配置的信息可以被收集並維護。在步驟410，根據條款或條件的協議或同意，安全應用程式模塊可以被下載並在用戶的計算機上執行。安全模塊執行並收集出現在用戶計算機中或與其關聯的各種類型的配置信息，建立(類似於用於識別人的指紋的)「計算機指紋」。當被捕捉並存儲時，這種配置信息可以在隨後需要時被使用，以幫助證實或證明在特定時間段裡該特定計算機可能已經牽涉到特定行為(例如，對其它系統/應用程式或執行的某個其它動作的攻擊)。
在步驟415，可以檢查在用戶的計算機上是否配置了數據機。如果配置了，則在步驟418，安全模塊試圖撥預定號碼，如「800」、「877」、「866」、「900」或其它預定號碼。當呼叫成功發出並在同樣由本發明提供的相應的安全呼叫接收應用程式，如運行在伺服器115或由應用程式服務提供商確定其它位置的應用程式，得到應答後，任何接收到的與計算機105中數據機所使用電話線關聯的呼叫者ID信息(即，通常由電話網絡向被呼叫方提供的)與運行在用戶計算機105上的安全模塊實例關聯並存儲。如果需要，為了以後的檢索，呼叫者ID參考信息可以相互關聯、加時間戳並存儲。這種呼叫者ID信息一般提供用戶計算機105的物理位置信息(例如，從電話公司的記錄)。如果數據機呼叫成功或者如果數據機呼叫不能建立，則處理繼續到步驟420。
但是，如果沒有數據機，或者呼叫成功發出了，則在步驟420，如果必要的話，為了組成以後識別該計算機的用戶計算機的「計算機指紋」，用戶計算機配置信息可以被捕捉。這種配置信息可以包括例如任何可以反映(至少在一定程度上)是該計算機可能(唯一)具有的分配的主機信息和/或主DNS信息。在步驟425，與每個乙太網適配器關聯的配置和參數信息可以作為部分配置信息被捕捉。對於每個乙太網適配器，這可以包括任何分配的連接專用DNS後綴、物理地址、子網掩碼、預設網關、DHCP和DNS伺服器等。
在步驟430，網際網路上到主機的路由可以作為部分配置信息被捕捉。至少在一定程度上，路由數據可以提供用戶計算機的唯一標識。例如，如果可以證明在安全檢查過程中捕捉到的路由數據是與以後檢查中所涉及計算機的相同路由信息，則有可能確定是同一計算機處於兩種情況下。
此外，如由tracert-d命令返回的任何IP位址都可以作為部分配置信息被捕捉，而且可以包括到路由器的地址和/或私有IP範圍內的地址(例如，10.0.0.1；192.168.1.1；或172.16.1.1)。這種IP位址信息可以由公司或其它網際網路服務提供商(ISP)使用，而且可以提供關於用戶網絡拓撲結構的唯一配置信息。
在步驟435，關於用戶計算機的註冊表信息可以作為部分配置信息獲得，如Windows註冊表和SYSTEM子樹(例如，在HKEY_Local_machine下面)。在步驟440，任何硬體(例如，中央處理單元(CPU)、磁碟、光碟(CD)、DVD、存儲器、數據機、I/O、硬體元件版本等)或外圍設備與軟體配置(例如，應用程式、驅動器、瀏覽器、目錄結構、軟體組件的版本等)都可以包括在配置信息中被捕捉，包括任何版本信息或製造商ID。在步驟445，關於作業系統產品信息和相關庫的信息可以作為部分配置信息被捕捉。
在步驟450，安全模塊可以在用戶的計算機上創建並存儲「cookie」或類似標記來記錄安全審查處理的日期和時間。cookie可以為識別特定的安全檢查情節而唯一創建，並且可以包括發起安全檢查的應用程式所有者的數字籤名。在步驟455，收集到的安全信息(例如，配置信息)可以被加密，可選地利用應用程式所有者的籤名數字籤名，然後傳輸到伺服器、應用程式或代理伺服器應用程式，與任何數據機產生的數據進行可能的關聯並進行分類，如果隨後發生攻擊，則用於以後重新調用。
在可選步驟460，收集到的安全信息(即，配置信息)可以被檢索並與攻擊事件(或其它類似事件)關聯，在適當的時候，可以斷言為可能的攻擊者。在步驟465，可以對可疑計算機繼續執行安全檢查，以獲得隨後的配置數據，以便將檢索到的信息(即，前面由早先的安全檢查存儲的信息)與隨後收集到的配置信息進行匹配，確定兩組配置數據來自同一計算機的關聯和可能性。這可以包括匹配來自兩組數據的配置數據的對應部分。兩組數據匹配的部分越多，可以獲得的信任程度越高，指示兩組數據很可能是來自同一計算機。這個證據可以在必要時用來加強合法權利等。處理在步驟470退出。
儘管本發明關於實施方式進行了描述，但本領域技術人員應當認識到本發明可以在所附權利要求的主旨和範圍內以修改來實施。
權利要求
1.一種便於網絡中識別的方法，包括步驟只有在捕捉到執行登錄的計算機的配置數據後才處理向應用程式的登錄；重新調用配置數據；及匹配重新調用的配置數據的至少部分與隨後捕捉到的配置數據的對應部分，以確定重新調用的配置數據和隨後捕捉到的配置數據是否都來自該計算機。
2.如權利要求1所述的方法，還包括步驟接收至少一種條件的同意；基於接收到同意將安全模塊下載到計算機；及在計算機上執行該安全模塊，以收集配置數據。
3.如權利要求1所述的方法，還包括步驟將配置數據發送到伺服器，用於存儲；及在捕捉到配置數據後提供用於登錄到應用程式的登錄屏幕。
4.如權利要求1所述的方法，還包括從可疑計算機捕捉隨後捕捉到的配置數據，用於確定可疑計算機與該計算機是否是同一計算機。
5.如權利要求1所述的方法，其中試圖登錄是成功登錄與不成功登錄中的一個。
6.如權利要求1所述的方法，還包括步驟利用與該計算機關聯的數據機撥預定號碼，進行呼叫；捕捉與該呼叫關聯的呼叫者標識(呼叫者ID)信息；及將呼叫者ID信息與配置數據相關，用於確定計算機的身份。
7.如權利要求1所述的方法，還包括步驟在試圖登錄到應用程式之前提供至少一種條件；在接收並顯示該至少一種條件後捕捉計算機的配置數據；及存儲該計算機的配置數據，用於以後當需要識別試圖登錄的計算機時重新調用。
8.如權利要求7所述的方法，其中捕捉步驟包括以下中的至少任意一個(i)捕捉計算機配置信息；(ii)捕捉與一個或多個乙太網適配器關聯的乙太網信息；(iii)確定到主機伺服器的路由；(iv)獲得註冊表信息；(v)獲得硬體配置信息；及(vi)獲得軟體配置信息。
9.如權利要求8所述的方法，其中計算機配置信息包括主機名和主目錄名服務(DNS)後綴中的至少任意一個。
10.如權利要求8所述的方法，其中乙太網信息包括以下中的至少任意一個(i)連接專用的DNS後綴，(ii)任何乙太網連接的描述，(iii)任何乙太網適配器的物理地址，(iv)任何乙太網適配器的網際網路協議(IP)地址，(v)分配給任何乙太網適配器的子網掩碼，(vi)分配給任何乙太網適配器的預設網關，(vii)分配給任何乙太網適配器的DNS伺服器，及(viii)分配給任何乙太網適配器的動態主機配置協議(DHCP)伺服器。
11.如權利要求8所述的方法，其中獲得註冊表信息步驟包括從硬體、軟體和系統子樹獲得配置。
12.如權利要求8所述的方法，其中獲得硬體配置步驟為中央處理單元(CPU)、存儲器、壓縮光碟、DVD、數據機、硬體元件版本和I/O埠中的至少任意一個獲得硬體信息，而且其中獲得軟體配置步驟獲得軟體組件標識、瀏覽器配置、軟體組件版本、驅動器版本、應用程式標識和目錄結構中的至少任意一個。
13.如權利要求1所述的方法，還包括在計算機上放置標記，標記已出現安全檢查的實例。
14.如權利要求1所述的方法，還包括當識別出需要計算機識別的事件時訪問所存儲配置數據的步驟。
15.一種便於網絡中攻擊者識別的系統，包括至少一個組件，用來只有在捕捉到執行登錄的計算機的配置數據後才處理向應用程式的登錄；重新調用配置數據；及匹配重新調用的配置數據的至少部分與隨後捕捉到的配置數據的對應部分，以確定重新調用的配置數據和隨後捕捉到的配置數據是否都來自該計算機。
16.如權利要求15所述的系統，還包括至少一個組件，用來接收至少一種條件的同意；基於接收到同意將安全模塊下載到計算機；及在計算機上執行該安全模塊，以收集配置數據。
17.如權利要求15所述的系統，還包括至少一個組件，用來將配置數據發送到伺服器，用於存儲；及在捕捉到配置數據後提供用於登錄到應用程式的登錄屏幕。
18.如權利要求15所述的系統，還包括至少一個組件，用來利用與該計算機關聯的數據機撥預定號碼，進行呼叫；捕捉該呼叫發起者的呼叫者標識(呼叫者ID)；及將呼叫者ID信息與配置數據相關，用於確定計算機的身份。
19.如權利要求15所述的系統，還包括至少一個組件，用來執行以下操作中的至少任何一個(i)捕捉計算機配置信息；(ii)捕捉與一個或多個乙太網適配器關聯的乙太網信息；(iii)確定到主機伺服器的路由；(iv)獲得註冊表信息；(v)獲得硬體配置信息；及(vi)獲得軟體配置信息。
20.如權利要求19所述的系統，其中計算機配置數據包括主機名和主目錄名服務(DNS)後綴中的至少任意一個，而且其中乙太網信息包括以下中的至少任意一個(i)連接專用的DNS後綴，(ii)任何乙太網連接的描述，(iii)任何乙太網適配器的物理地址，(iv)任何乙太網適配器的網際網路協議(IP)地址，(v)分配給任何乙太網適配器的子網掩碼，(vi)分配給任何乙太網適配器的預設網關，(vii)分配給任何乙太網適配器的DNS伺服器，及(viii)分配給任何乙太網適配器的動態主機配置協議(DHCP)伺服器。
21.如權利要求15所述的系統，還包括至少一個組件，用來從硬體、軟體和系統子樹獲得配置；為中央處理單元(CPU)、存儲器、壓縮光碟、DVD、數據機、硬體元件版本和I/O埠中的至少任意一個獲得硬體信息，及獲得軟體組件標識、瀏覽器配置、軟體組件版本、驅動器版本、應用程式標識和目錄結構中的至少任意一個。
22.如權利要求15所述的系統，還包括至少一個組件，用來在計算機上放置標記，標記已出現捕捉配置數據的實例，且當識別出攻擊事件時訪問所存儲的用於識別計算機的配置數據。
23.如權利要求15所述的系統，其中至少一個組件包括由應用程式所有者數字籤名並下載到計算機用於捕捉配置數據的安全模塊。
24.如權利要求23所述的系統，其中配置數據由應用程式所有者數字籤名。
25.一種包括計算機可用介質的電腦程式產品，在所述計算機可用介質中體現了可讀程序代碼，該電腦程式產品包括至少一個組件，用來只有在捕捉到執行登錄的計算機的配置數據後才處理向應用程式的登錄；重新調用配置數據；及匹配重新調用的配置數據的至少部分與隨後捕捉到的配置數據的對應部分，以確定重新調用的配置數據和隨後捕捉到的配置數據是否都來自該計算機。
全文摘要
提供了便於在網絡上識別進行攻擊的計算機的系統與方法。在登錄之前向試圖登錄到網絡應用程式的用戶呈現列出獲得對該應用程式訪問的前提條件的屏幕。如果用戶同意該前提條件，則安全模塊下載到用戶的計算機並被執行，該安全模塊收集各種配置設置並將收集到的信息發送到預定的目的地。安全模塊還可能試圖通過計算機中的數據機向預定的目的地發出呼叫，使得當在預定的目的地有應答時註冊呼叫者ID數據。一旦安全檢查完成，就可以繼續對網絡應用程式的登錄。由安全模塊收集到的任何數據都可以存儲，以便如果以後發生攻擊，可以重新調用並用於識別計算機。
文檔編號H04L12/24GK1791018SQ20051012466
公開日2006年6月21日 申請日期2005年11月14日 優先權日2004年12月14日
發明者德米特裡·安德列夫, 加裡納·格魯寧, 格裡高裡·維爾尚斯基 申請人:國際商業機器公司