、客户端计算机、远程数据处理系统,或者能够存储和传输程序代码518的某种其它设备。例如,可以通过网络将存储在数据处理系统500内的计算机可读存储介质中的程序代码从远程数据处理系统下载到数据处理系统500中的计算机可读存储介质。此外,可以通过网络将存储在服务器计算机内的计算机可读存储介质中的程序代码从该服务器计算机下载到远程数据处理系统中的计算机可读存储介质。
[0059]出于示例目的给出了对本发明的不同实施例的描述,但所述描述并非旨在是穷举的或是限于所公开的实施例。在不偏离所述实施例的范围和精神的情况下,对于所属技术领域的普通技术人员来说许多修改和变化都将是显而易见的。在此使用的术语的选择,旨在最佳地解释实施例的原理、实际应用或对市场中的技术的技术改进,或者使所属技术领域的其它普通技术人员能够理解在此公开的实施例。
[0060]附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
【主权项】
1.一种与可用于访问一个或多个资源服务器的虚拟专用网络VPN结合的计算机实现的方法,所述方法包括以下步骤: 确定指定客户机已访问所述VPN ; 响应于确定所述指定客户机已访问所述VPN,选择均可由于异常而被误用的一个或多个IP地址,所述异常源于操纵由所述指定客户机使用的路由表; 监视包括流到或流出所述指定客户机的选定网络业务的消息和响应,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机; 从所监视的业务获得指定信息;以及 使用所获得的信息判定是否已危及从所述指定客户机到所述VPN的业务的路由。
2.根据权利要求1的方法,其中: 一个或多个标识的资源服务器中的每一个均具有包括所述IP地址之一的地址,并将与每个标识的资源服务器对应的消息发送到所述指定客户机,其中与所述标识的资源服务器中的一个给定标识的资源服务器对应的消息旨在导致将响应从所述指定客户机发送到所述给定标识的资源服务器的所述地址,并且相应消息和对所述相应消息的响应包括选定网络业务。
3.根据权利要求1的方法,其中: 对所监视的网络业务中的相应消息的响应提供从一组参数中选择的一个或多个参数,所述一组参数至少包括:响应时间、响应的生存时间TTL,以及指示是否针对与所标识的IP地址之一对应的消息接收到响应的信息。
4.根据权利要求1的方法,其中: 所监视的业务提供选定参数,并且对于至少一个所述选定参数,针对每个响应计算所述参数的值,并且如果相应响应的所述参数值分布在超出预先指定的限制的范围内,则确定已危及所述路由。
5.根据权利要求1的方法,其中: 所监视的业务中的所述消息和响应提供包括响应时间的选定参数,并且如果给定消息响应的所述响应时间的值和与所述VPN关联的响应的平均响应时间值之间的差超过预先指定的差,则确定已危及所述路由。
6.根据权利要求1的方法,其中: 如果针对从标识的资源服务器之一发送到所述指定客户机的消息,未从所述指定客户机接收到响应,则确定已危及所述路由。
7.根据权利要求1的方法,其中: 如果对特定消息的响应的源地址与所述指定客户机的地址不匹配,或者选择性地,与标识的资源服务器之一将所述特定消息发送到的其它地址不匹配,则确定已危及所述路由。
8.根据权利要求1的方法,其中: 响应于确定已危及所述路由,终止所述指定客户机到所述VPN的连接,或者选择性地,向所述指定客户机的用户或VPN连接的管理员发送通知。
9.根据权利要求2的方法,其中: 发送到所述指定客户机的每个所述消息都包括Ping分组。
10.根据权利要求2的方法,其中: 发送到所述指定客户机的每个所述消息都包括发送到所述指定客户机上产生指定类型响应的服务的消息。
11.根据权利要求1的方法,其中: 位于所述VPN与相应资源服务器之间的检测组件可操作以将相应消息发送到所述指定客户机并检测对所述消息的响应。
12.根据权利要求1的方法,其中: 响应于确定尚未危及所述路由,在预定等待时间之后,标识一组新的IP地址,并监视流到或流出所述指定客户机的选定网络业务,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机。
13.根据权利要求1的方法,其中: 在周期性间隔,标识一组新的IP地址,并监视流到或流出所述指定客户机的选定网络业务,其中所述业务中的至少一些业务与相应IP地址关联,并通过所述VPN路由到或路由出所述指定客户机,直到所述客户机变得不活动或确定已危及所述路由。
14.根据权利要求1的方法,其中: 响应于确定所监视的业务针对是否已危及所述路由提供指定的不确定性级别,将与每个标识的IP地址对应的特定消息发送到所述指定客户机。
15.一种与可用于访问一个或多个资源服务器的虚拟专用网络VPN结合的系统,所述系统包括: 用于确定指定客户机已访问所述VPN的装置; 用于响应于确定所述指定客户机已访问所述VPN,标识一个或多个资源服务器的装置,其中每个标识的资源服务器具有地址,并且可被访问以便接收通过所述VPN从所述指定客户机路由的计算机业务; 用于将与每个标识的资源服务器对应的消息发送到所述指定客户机的装置,其中与所述标识的资源服务器中的一个给定标识的资源服务器对应的消息旨在导致将响应从所述指定客户机发送到所述给定标识的资源服务器的所述地址;以及 用于使用对发送到所述指定客户机的相应消息的响应,判定是否已危及从所述指定客户机到所述VPN的业务的路由的装置。
16.根据权利要求15的系统,其中: 对相应消息的响应提供从一组参数中选择的一个或多个参数,所述一组参数至少包括:响应时间、响应的生存时间TTL,以及指示是否针对与所述标识的资源服务器之一对应的每个消息接收到响应的信息。
17.根据权利要求16的系统,其中: 对于至少一个所选择的参数,针对每个响应计算所述参数的值,并且如果相应响应的所述参数值分布在超出预先指定的限制的范围内,则确定已危及所述路由。
18.根据权利要求15的系统,其中: 如果针对从所述标识的资源服务器之一发送到所述指定客户机的消息,未从所述指定客户机接收到响应,则确定已危及所述路由。
19.根据权利要求15的系统,其中: 响应于确定尚未危及所述路由,在预定等待时间之后,标识一组新的资源服务器,并且将与所述一组新的资源服务器中的每个资源服务器对应的消息发送到所述指定客户机。
【专利摘要】本发明涉及一种用于检测对虚拟专用网络的恶意规避的方法和系统。一个涉及方法的实施例与可用于访问资源服务器的VPN关联。当确定指定客户机已访问所述VPN时,标识资源服务器,每个资源服务器均具有地址并且可以接收通过所述VPN从所述客户机路由的业务。所述方法还包括将与每个标识的资源服务器对应的消息发送到所述客户机,其中与所述标识的资源服务器中的一个给定标识的资源服务器对应的消息旨在导致将响应从所述客户机发送到所述给定标识的资源服务器的所述地址。使用对发送到所述客户机的相应消息的响应,判定是否已危及从所述客户机到所述VPN的业务的路由。
【IPC分类】H04L29-06, H04L12-46, H04L12-26
【公开号】CN104753736
【申请号】CN201410616510
【发明人】S·N·沙里, J·R·拉奥, W·J·里彭, W·泰肯, W·Z·维内马
【申请人】国际商业机器公司
【公开日】2015年7月1日
【申请日】2014年11月5日
【公告号】US20150188931