具有控制模块和网络访问模块的网络访问装置.pdf

摘要
申请专利号：	CN201280068654.7	申请日：	2012.04.30
公开号：	CN104067558A	公开日：	2014.09.24
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|专利申请权的转移IPC(主分类):H04L 12/24登记生效日:20170105变更事项:申请人变更前权利人:惠普发展公司，有限责任合伙企业变更后权利人:慧与发展有限责任合伙企业变更事项:地址变更前权利人:美国德克萨斯州变更后权利人:美国德克萨斯州\|\|\|实质审查的生效IPC(主分类):H04L 12/24申请日:20120430\|\|\|公开
IPC分类号：	H04L12/24; H04L29/06	主分类号：	H04L12/24
申请人：	惠普发展公司，有限责任合伙企业
发明人：	M.桑切斯; J.邱; C.F.克拉克
地址：	美国德克萨斯州
优先权：
专利代理机构：	中国专利代理(香港)有限公司 72001	代理人：	谢攀;徐红燕
PDF下载：	PDF下载

内容摘要

一种网络访问装置包括处理器和用以接收发源自客户端设备的多个分组的接口。该装置还包括网络访问模块，其用以对多个分组执行转发功能、用以确定所接收的多个分组是否包括预定类型的通信、以及用以响应于多个分组被确定为包括预定类型的通信而指令控制模块分析所述多个分组。该装置还包括控制模块，其用以确定从网络访问模块接收的多个分组的特征、用以确定该特征是否匹配于多个预定配置中的配置、以及用以响应于该特征匹配于该配置而对多个分组执行预定义的动作。

权利要求书

1.  一种网络访问装置，包括：
接口，用以接收发源自客户端设备的多个分组；
控制模块；
网络访问模块，用以对所述多个分组执行转发功能、用以确定所接收的多个分组是否包括预定类型的通信、以及用以响应于所述多个分组被确定为包括所述预定类型的通信而指令所述控制模块分析所述多个分组，并且其中所述控制模块用以确定从所述网络访问模块接收的所述多个分组的特征、用以确定所述特征是否匹配于多个预定配置中的配置、以及用以响应于所述特征匹配于所述配置而对所述多个分组执行预定义的动作；以及
处理器，用以实现所述控制模块和所述网络访问模块。

2.  如权利要求1所述的网络访问装置，其中所述控制模块还包括：
检查代理；以及
配置结构，包含所述多个预定配置，其中所述检查代理用以将所述多个分组的特征与包含在所述配置结构中的配置进行比较以确定所述特征是否匹配于所述配置，并且其中所述配置结构用以从智能馈送服务接收关于所述多个预定配置的更新。

3.  如权利要求2所述的网络访问装置，其中所述配置结构包括如下中的至少一个：数据库、一组过滤器、一组签名、以及多个馈送。

4.  如权利要求1所述的网络访问装置，其中所述网络访问模块包括装备，所述装备用以控制由所述客户端设备对网络的访问和发源自所述客户端设备去往预期的目的地地址的分组的通信，并且其中所述网络访问模块还用以响应于所述多个分组不包括所述预定类型的通信而将所述多个分组输出到所述多个分组中标识的目的地地址。

5.  如权利要求1所述的网络访问装置，其中所述网络访问模块还用以仅处理通过所述接口接收到的所述多个分组的经采样的子集，以及用以确定所述多个分组的经采样的子集中的多个分组是否包括所述预定类型的通信。

6.  如权利要求1所述的网络访问装置，其中所述预定义的动作包括如下中的至少一个：修改所述多个分组以改变所述多个分组的内容、重新路由所述多个分组、丢弃所述分组、以及重新配置所述网络访问模块。

7.  如权利要求1所述的网络访问装置，其中所述控制模块用以从包含在第二网络访问装置中的第二网络访问模块接收第二多个分组，并且其中所述控制模块还用以分析所述第二多个分组以确定是否要对从所述第二客户端设备接收的所述第二多个分组采取预定的动作。

8.  一种用于处理网络中的分组的方法，所述方法包括：
接收发源自客户端设备的多个分组；
确定所述多个分组是否包括预定类型的通信；
响应于所述多个分组不包括所述预定类型的通信而对所述多个分组执行转发功能；
响应于所述多个分组包括所述预定类型的通信而确定所述多个分组的特征是否匹配于多个预定配置中的配置；以及
响应于所述多个分组的特征匹配于所述配置的确定而对所述多个分组执行预定义的动作。

9.  如权利要求8所述的方法，还包括：
从智能馈送服务接收包含对所述多个预定配置的更新的馈送；以及
基于所接收的馈送来更新所述多个预定配置。

10.  如权利要求8所述的方法，还包括：
对所述多个分组的子集进行采样；并且
其中确定所述分组是否包括预定类型的通信还包括确定所述多个分组的经采样的子集是否包括所述预定类型的通信。

11.  如权利要求8所述的方法，其中确定所述多个分组的特征是否匹配于所述多个预定配置中的配置由第一网络访问装置中的控制模块来实现，所述方法还包括：
在所述第一网络访问装置中的控制模块中，
确定从第二网络装置接收的第二多个分组的特征是否匹配于所述多个预定配置中的配置，并且响应于所述多个分组的特征匹配于所述配置的确定而对所述第二多个分组执行预定义的动作。

12.  如权利要求8所述的方法，其中对所述多个分组执行预定义的动作还包括如下中的至少一个：修改所述多个分组以改变所述多个分组的内容、重新路由所述多个分组、丢弃所述多个分组、以及重新配置网络访问模块。

13.  一种在其上存储机器可读指令的非临时计算机可读存储介质，当所述指令被处理器执行时要实现一种用于处理网络中的分组的方法，所述机器可读指令包括代码用以：
接收发源自客户端设备的多个分组；
确定所述多个分组是否包括预定类型的通信；
响应于所述多个分组不包括所述预定类型的通信而对所述多个分组执行转发功能；
响应于所述多个分组包括所述预定类型的通信而确定所述多个分组的特征是否匹配于多个预定配置中的配置；以及
响应于所述多个分组的特征匹配于所述配置的确定而对所述多个分组执行预定义的动作。

14.  如权利要求13所述的非临时计算机可读存储介质，所述机器可读指令还包括代码用以：
从智能馈送服务接收包含对所述多个预定配置的更新的馈送；以及
基于所接收的馈送来更新所述多个预定配置。

15.  如权利要求13所述的非临时计算机可读存储介质，所述机器可读指令还包括代码用以：
对所述多个分组的子集进行采样；以及
确定所述多个分组的经采样的子集是否包括所述预定类型的通信。

说明书

具有控制模块和网络访问模块的网络访问装置
背景技术
诸如僵尸网络、恶意软件、和间谍软件之类的网络威胁的目标是取得受害者的机器的所有权，例如，以获得对敏感信息的访问或者以发动二次攻击。在任一情况下，被感染的机器时常例如通过因特网连接到它的“所有者”来传输所窃取的信息和/或接收新命令。通常当被感染的机器尝试该连接时，威胁的所有者易受到检测。
附图说明
本公开的特征通过示例的方式来说明并且不限于以下（一个或多个）图，其中相似的附图标记指示相似的元件，其中：
图1示出了根据本公开的示例的可以在其中实现网络访问装置的网络环境的功能性框图；
图2示出了根据本公开的示例的图1中所描绘的网络访问装置的简化框图；
图3和图4分别描绘了根据本公开的两个示例的用于处理网络中的分组的方法的流程图；以及
图5图示了根据本公开的示例的可以被用来执行图1和图2中所描绘的网络访问装置的各种功能的计算设备的示意性表示。
具体实施方式
为了简明和说明性的目的，本公开通过主要参照其示例来描述。在以下描述中，阐述了许多特定细节以便提供对于本公开的透彻理解。然而，将容易明显的是，可以在不限于这些特定细节的情况下实施本公开。在其他实例中，未详细描述一些方法和结构，以免不必要地使本公开晦涩难懂。如本文所使用的，术语“包括”意味着包括但不限于，术语“包括有”意味着包括有但不限于。术语“基于”意味着至少部分地基于。另外，术语“一”和“一个”意在表示特定元素的至少一个。
本文公开的是用于处理分组的网络访问装置和方法。网络访问装置包括用以执行网络访问功能（诸如，转发功能、交换功能等等）的网络访问模块和用以执行检查（inspection）和控制功能的控制模块。特别地，网络访问模块用以通过网络来路由可以包括生成树（STP）、链路聚合控制协议（LACP）、网际协议（IP）等类型的分组中的至少一种的以太网分组，遍及本公开其也被称为“分组”。通过示例的方式，网络访问模块用以从客户端设备接收包含用于访问目的地地址的请求的分组，并且用以将该分组发送至该目的地地址。网络访问模块的附加功能是用以确定所接收的分组是否包括预定类型的通信。在所接收的分组被确定为包括预定类型的通信或请求的情况下，网络访问模块要指令控制模块对分组进一步检查和动作。
控制模块用以确定从网络访问模块接收的多个分组的特征、用以确定该特征是否匹配于多个预定配置中的配置、以及用以响应于该特征匹配于该配置而对多个分组执行预定义的动作。根据示例，特征和预定配置包括应用的签名、设备的签名、web（网络）地址、IP地址等等。因而，通过特定示例的方式，网络访问装置可以直接在网络内执行对客户端设备尝试通过网络来访问的IP地址的信誉（reputation）过滤。
配置可以包含在要例如基于规则被更新的配置结构上，以使得配置保持与当前数据云图（landscape）相关。通过示例的方式，配置包括安全威胁，并且控制模块可以确定从客户端设备接收的分组是否可能是安全威胁。在其他示例中，配置包括其他类型的签名，并且控制模块可以确定从客户端设备接收的分组的特征是否匹配于这些类型的签名中的任何一个。
另外，响应于分组的特征匹配于配置的确定，控制模块要对多个分组执行预定义的动作。预定义的动作例如可以包括如下中的至少一个：修改、重新路由、丢弃、基于设定策略对分组强制执行特定动作等等。
一般而言，网络访问装置可以实现应用检测、设备检测、和/或安全威胁检测。特别地，网络访问装置可以结合安全威胁检测实现应用采指纹和设备采指纹。因此，在一个方面，本文公开的网络访问装置可以检测被感染的计算设备，并且可以确定关于被感染的计算设备的附加信息。例如，网络访问装置可以确定关于例如在计算设备变成被感染时该计算设备正在运行的应用的类型的信息，以及计算设备的简档。该信息可以有用于标识对被感染的计算设备的解决方案。
根据示例，多个网络访问装置可以实现于网络的边缘处，以在将分组引入到网络中之前对分组进行拦截和动作。另外，网络访问装置被制成觉知网络访问装置接收到的分组，并且对分组执行不仅是交换的操作。就此而言，本文公开的网络访问装置可以被视为内容觉知的，其中内容觉知的可以被定义为应用觉知的、设备觉知的、僵尸网络觉知的等等。
参考图1，示出有根据示例的网络环境100的功能性框图，在其中可以实现用于管理由客户端设备110a-110c对诸如内联网、因特网等等的网络（未示出）的访问的网络访问装置102a。应当容易明显的是，图1中所描绘的图表表示一般化图示，并且在不背离网络环境100的范围的情况下，可以添加其他组件或者可以移除、修改或重新布置现有的组件。例如，网络环境100可以包括附加的网络访问装置和任何数量的客户端设备。
网络环境100被描绘为包括在局域网（LAN）、广域网（WAN）、城域网（MAN）等之一中彼此联网的多个网络访问装置102a-102c。尽管未示出，网络环境100包括通过网络访问装置102a-102b或者通过网络环境100中的另一设备（未示出）的到因特网的连接，其中各种设备形成网络。一般而言，网络访问装置102a-102c包括起作用以允许或拒绝由客户端设备110a-110c对诸如因特网、内联网等等网络的访问的装置。就此而言，网络访问装置102a-102c可以包括交换机、路由器、无线接入点、无线控制器、集线器、桥接器、服务器等等。
根据示例，网络访问装置102a-102c位于网络的边缘处，即，客户端设备110a-110c连接到网络的地方。在该示例中，网络访问装置102a-102c用以在入口点处处理分组，分组通过所述入口点被接收到网络中。这样，网络访问装置102a-102c可以在分组被进一步引入到网络中之前拦截某些类型的分组，这可以减少通过网络传播某些类型的分组所需的带宽量。在其他示例中，网络访问装置102a-102c可以位于网络环境100中的各种其他位置处。
客户端设备110a-110c包括个人计算机、服务器、膝上型计算机、平板计算机、蜂窝电话、或者可以被用来访问网络环境100的任何其他电子设备。另外，客户端设备110a-110c可以通过任何合适的有线或无线通信链路与网络访问装置102a-102c通信。合适的有线通信链路的示例包括通过以太网链路而建立的连接或其他物理连接。合适的无线通信链路的示例包括通过802.11链路、Bluetooth^TM链路、红外通信等等而建立的连接。就此而言，网络访问装置102a-102c包括能够实现与客户端设备110a-110c的有线和无线通信中的任一者或这二者的装备。
网络访问装置102a和102b还被描绘为每个包括网络访问模块104和控制模块106。网络访问模块104用以从客户端设备110a-110c接收分组，并且可以对接收到的分组执行转发功能。转发功能可以包括例如标识分组的目的地地址并将该分组转发至所标识的目的地地址。另外，网络访问模块104用以处理分组以确定分组是否包括预定类型的通信。预定类型的通信可以包括任何可检测的协议和/或模式。通过示例的方式，预定类型的通信至少可以包括如下中的至少一个：域名服务（DNS）请求、新的IP流、预定类型的应用、从预定类型的设备接收的分组等等。因此，例如，网络访问模块104可以处理分组以标识应用模式、设备行为模式等等。
响应于分组包括不同于预定类型的通信的某一类型的通信，网络访问模块104通过将分组转发至它们各自的目的地或者网络环境100中的其他网络访问装置来对分组执行转发功能。然而，响应于分组包括预定类型的通信，控制模块106要检查分组来确定分组的特征是否匹配于多个预定配置中的配置。
特征和配置可以包括例如客户端设备110a-110c标识符（诸如，MAC地址、IP地址等等）、运行在客户端设备110a-110c上的应用的标识符（诸如，TCP端口号等等）、已知和/或被怀疑为与威胁相关联的网站的IP地址等等。威胁可以包括例如僵尸网络、恶意软件、间谍软件、特洛伊木马、蠕虫病毒、拒绝服务攻击、垃圾邮件生成等等。在任何方面并且根据示例，每个控制模块106包括包含多个预定配置的配置结构。另外，控制模块106例如通过因特网与智能馈送服务120通信，以接收对预定配置的更新，以使得预定配置保持最新并且因而相关。更特别地，智能馈送服务120收集配置（诸如，安全威胁的域名、IP地址等等）并将所收集的配置传送到控制模块106。在一个示例中，智能馈送服务120以设定时间间隔（诸如，每几个小时）传送新标识的预定配置的更新。合适的智能馈送服务120的示例是Hewlett Packard Company^TM（惠普公司）的DVLabs^TM。
如果控制模块106确定所确定的分组的特征匹配于多个配置中的配置，那么控制模块106要对多个分组执行预定义的动作。预定义的动作包括如下中的至少一个：修改分组以改变分组的内容、重新路由分组、丢弃分组、重新配置网络访问模块104等等。修改分组可以包括例如改变将分组发出网络访问装置102a的次序、向分组附接附加数据等等。另外或者可替代地，修改分组可以包括根据预定的策略修改分组的实际内容。例如，分组可以被压缩例如转换为符号，并且可以在网络中被进一步完全地解压缩。
根据特定示例，控制模块106可以确定一组IP分组发源自的客户端设备110a可能被病毒感染。在该示例中，控制模块106要采取动作来基本上减轻由病毒所导致的危害，诸如，包含在客户端设备110a中的信息的通信、病毒散布到网络环境100中的其他设备等等。例如，控制模块106要进行如下中的至少一个：重新配置网络访问模块104来阻止由受感染的客户端设备110a的网络访问、隔离受感染的客户端设备110a、阻止受感染的客户端设备对特定服务器的访问、阻止受感染的客户端设备对因特网的访问等等。另外，控制模块106要向网络管理站130发送警告以报告客户端设备110a感染了病毒。网络管理站130可以包括服务器或者服务器或其他网络装置上的一组机器可读指令，用以追踪客户端设备110a-110c的安全状态。根据示例，网络管理站130通知网络访问装置102a-102c要阻止来自受感染的客户端设备的分组。
如图1中所示，网络访问装置之一102c被描绘为包括网络访问模块104，但不包括控制模块106。另外，该网络访问装置102c的网络访问模块104被描绘为与包括控制模块106的另一网络访问装置102b中的网络访问模块104进行通信。这样，网络访问装置102c中的网络访问模块104可以将发源自客户端设备110c的分组传送至用以确定分组是否包括预定类型的通信并将那些类型的分组转发至控制模块106的网络访问模块104。另外或可替代地，网络访问装置102c中的网络访问模块104包括一组指令以确定所接收的分组是否包括预定类型的通信并将分组转发至另一网络访问装置102b中的控制模块106。就此而言，（一个或多个）控制模块106可以接收并处理来自多个网络访问装置的网络访问模块104的分组。
根据示例，作为处理所有接收到的分组来确定分组是否包括预定类型的通信的代替，网络访问模块104仅要处理多个分组的经采样的子集。通过仅处理所接收的多个分组的经采样的子集，网络访问装置102a-102c可以在不经历显著的性能损失或开销的情况下执行分组处理操作。
现在转到图2，示出有根据示例的图1中所描绘的网络访问装置102a的简化框图。图2中所描绘的框图更特别地描绘了网络访问装置102a的组件。应当容易明显的是，图2中所描绘的图表表示一般化的图示，并且在不背离网络访问装置102a的范围的情况下，可以添加其他组件或者可以移除、修改或重新布置现有的组件。
网络访问装置102a被描绘为包括网络访问模块104、处理器202、（一个或多个）输入/输出接口204、数据储存206。网络访问模块104还被描绘为包括分组处理模块208和控制模块指令模块210。可以包括微处理器、微控制器、专用集成电路（ASIC）等等的处理器202用以在网络访问网络访问装置102a中执行各种处理功能。如下文更详细地讨论的，处理功能之一包括调用或实现网络访问模块104的模块208-210。
控制模块106被描绘为包括配置结构220和检查代理222。根据示例，处理器202用以控制检查代理222的操作。然而，在另一示例中，检查代理222包括可以包括以上关于处理器202所讨论的任何类型的处理器的单独的处理器（未示出）。
根据示例，网络访问模块104包括硬件设备，诸如布置在板上的电路或多个电路。在该示例中，模块208-210包括电路组件或单独的电路。根据另一示例，网络访问模块104包括易失性或非易失性存储器，诸如动态随机存取存储器（DRAM）、电可擦除可编程只读存储器（EEPROM）、磁阻随机存取存储器（MRAM）、忆阻器、闪存、软盘、光盘只读存储器（CD-ROM）、数字视频盘只读存储器（DVD-ROM）、或者其他光或磁介质等等。在该示例中，模块208-210包括存储于网络访问模块104中的软件模块。根据另一示例，模块208-210包括硬件和软件模块的组合。
根据示例，控制模块106包括硬件设备，诸如布置在板上的电路或多个电路。在该示例中，检查代理222包括电路组件。在该示例中，检查代理222可以被集成在与模块208-210共同的电路板上或者与模块208-210分离的电路板上。根据另一示例，检查代理222包括易失性或非易失性存储器，诸如动态随机存取存储器（DRAM）、电可擦除可编程只读存储器（EEPROM）、磁阻随机存取存储器（MRAM）、忆阻器、闪存、软盘、光盘只读存储器（CD-ROM）、数字视频盘只读存储器（DVD-ROM）、或者其他光或磁介质等等。在该示例中，检查代理222包括可以存储在与模块208-210共同的存储器中的软件模块。根据另一示例，模块检查代理222包括硬件和软件模块的组合。
（一个或多个）输入/输出接口204可以包括硬件和/或软件接口。就此而言，（一个或多个）输入/输出接口204可以包括使得能够接收和发送IP分组的硬件和软件组件中的任一者或这二者。因此，例如，（一个或多个）输入/输出接口204包括要将电缆物理地插入到其中的物理端口，例如，以太网端口、光纤端口等等。在另一示例中，（一个或多个）输入/输出接口204包括使得能够实现IP分组的无线通信的装备，诸如，使得能够实现Wi-Fi^TM、Bluetooth^TM等等的装备。
在任何方面，网络访问模块104用以通过（一个或多个）输入/输出接口204从客户端设备110a-110c接收分组。处理器120还可以将所接收的分组存储在数据储存206中并且可以将数据用于实现模块208-210（以及在某些示例中，检查代理222）中。数据储存206包括易失性和/或非易失性存储器，诸如DRAM、EEPROM、MRAM、相变RAM（PCRAM）、忆阻器、闪存等等。另外或者可替代地，数据储存206包括要从可移除介质（诸如软盘、CD-ROM、DVD-ROM、或其他光或磁介质）读以及写到可移除介质的设备。
如本文进一步讨论的，配置结构220已经在其上存储了或者以其他方式包含针对其比较分组的特征的多个预定配置。配置结构220包括如下中的至少一个：数据库、一组过滤器、一组签名、馈送等等。就此而言，配置结构220可以被直接加载到存储器阵列上、到数据库中等等。另外，配置结构220用以例如从智能馈送服务120（图1）接收智能馈送230。智能馈送230可以包括关于包含在配置结构220中的预定配置的信息，例如对预定配置的更新。另外，配置结构220可以基本上基于周期性而接收该信息，以使包含在配置结构220中的预定配置保持与例如改变数据云图相关。
关于分别在图3和图4中描绘的方法300和400而详细地讨论了可以实现网络访问模块104和控制模块106的各种方式。更特别地，图3和图4描绘了根据两个示例的用于处理网络中的分组的方法300和400的各自的流程图。对本领域技术人员而言应当明显的是，方法300和400表示一般化的图示，并且在不背离方法300和400的范围的情况下，可以添加其他步骤或者可以移除、修改或重新布置现有的步骤。尽管特别参照了在图1和2中被描绘为包括可以执行方法300和400中所描述的操作的装置和/或一组机器可读指令的网络访问装置102a-102c，但应当理解，经不同配置的装置和/或机器可读指令可以在不背离方法300和400的范围的情况下执行方法300和400。
一般而言，方法300和400可以被实现成处理网络环境100中的分组以执行应用和设备的采指纹，结合威胁检测。另外，方法300和400可以实现在位于网络的边缘处的多个网络访问装置102a-102c中，以因而在分组被客户端设备110a-110c引入到网络中时拦截分组，并且基本上防止某些类型的分组通过网络的传播。
首先参考图3中的方法300，在块302处，在网络访问模块102a中例如通过（一个或多个）输入/输出接口204从客户端设备110a接收多个分组。网络访问模块102a可以直接从客户端设备110a或者从另一网络访问模块接收分组。在任何方面，分组可以包括由客户端设备110a针对到特定网站的访问或者到网络中的其他类型的访问的请求。
在块304处，例如由分组处理模块208做出关于分组是否包括预定类型的通信的确定。如上文更详细地讨论的，预定类型的通信可以包括任何可检测的协议和/或模式。根据示例，分组处理模块208可以通过对包含在分组中的信息的分析来在块304处做出确定。例如，分组处理模块208许多分析包含在分组的报头中的信息，以确定分组的可检测协议和/或模式。
在块306处，响应于分组包括预定类型的通信，例如由控制模块指令模块210指令控制模块106分析分组。更特别地，控制模块指令模块210指令控制模块106的检查代理222分析分组。在其中控制模块106与网络访问模块104集成的实例中，控制模块指令模块210可以简单地指令检查代理222分析存储于数据储存206中的分组。可替代地，并且在其中控制模块106包括与网络访问模块104分离的组件的实例中，控制模块指令模块210可以封装分组并将封装后的分组转发至控制模块106。在该示例中，检查代理222可以将分组存储在控制模块106的存储器（未示出）中。
在块308处，在控制模块106中，例如由检查代理222做出关于分组的特征是否匹配于多个预定配置中的配置的确定。更特别地，检查代理222通过确定分组的特征是否匹配于包含在配置结构220中的多个预定配置中的配置来做出该确定。在其中预定配置被存储在配置结构220中的实例中，检查代理222可以通过将分组的特征与所存储的预定配置进行比较来做出该确定。在其中配置结构220包括与预定配置对应的一组过滤器的实例中，检查代理222可以通过执行关于包含在配置结构220中的滤波器的对分组特征的过滤操作来做出该确定。
在块310处，在控制模块106中，例如由检查代理222对分组执行预定义的动作。特别地，预定义的动作包括如下中的至少一个：指令网络访问模块104输出分组、修改多个分组以改变多个分组的内容、重新路由多个分组、丢弃多个分组、重新配置网络访问模块104等等。关于执行预定义动作中的哪个的确定可以基于在块308处做出的关于分组的特征是否匹配于多个预定配置中的配置的确定。
现在转到图4中的方法400，示出有图3中描绘的用于处理分组的方法300的更详细流程图。
在块402处，如以上关于图3中的块302所讨论的，在网络访问模块102a中从客户端设备110a接收多个分组。在块404处，如以上关于块304所讨论的那样做出关于分组是否包括预定类型的通信的确定。响应于分组不包括预定类型的通信的确定，网络访问模块104对分组执行转发功能，例如，如块406处所指示的，确定针对分组的目的地地址并且输出分组。例如，网络访问模块104使得客户端设备110a能够访问由客户端设备110a所请求的网站。
根据示例，在块404处，作为处理所有接收到的分组以确定分组是否包括预定类型的通信的代替，分组处理模块208只处理多个分组的经采样的子集。经采样的子集可以包括网络访问模块104接收的所有分组的任何相当合适的子集，诸如所有分组的预定的百分比、以预定义的时间间隔接收到的分组等等。
响应于分组包括预定类型的通信的确定，在块408处，例如，如以上关于块306所讨论的，控制模块106被指令成分析分组。另外，在块410处，检查代理222确定分组的特征，其可以包括例如应用的签名、设备的签名、在分组中标识的网站的IP地址等等。
在块412处，例如，如以上关于块308所讨论的，做出关于特征是否匹配于多个预定配置中的配置的确定。根据示例，检查代理222通过将在块410处确定的特征与包含在配置结构220中的多个预定配置进行比较来做出该确定。如以上所讨论的，要基本上周期性地更新配置结构220，并且因此可以对相对最新的一组预定配置执行分组的特征的分析。如果分组的特征不匹配于包含在配置结构220中的多个预定配置中的任何配置，那么在块414处，检查代理222指令网络访问模块104输出分组。另外，在块406处，网络访问模块104输出分组，以例如建立客户端设备110a与所请求的网站之间的连接。
如果分组的特征匹配于包含在配置结构220中的多个预定配置中的配置，那么在块416处，如以上关于块310所讨论的，例如由检查代理222对分组执行预定义的动作。根据示例，检查代理222向网络管理系统130发送警告以通知网络管理系统130对分组执行的动作。通过特定示例的方式，网络管理站130可以向网络访问装置102b-102c传送客户端设备110a已经被感染的指示，来使得那些网络访问装置102b-102c也能够阻止由受感染的客户端设备110a的网络访问。
方法300和400中阐述的一些或所有操作可以在任何期望的计算机可访问介质中被包含为实用程序、程序、或子程序。另外，方法300和400可以由可以以活动和不活动这二者的各种形式而存在的机器可读指令来体现。例如，它们可以作为源代码、目标代码、可执行代码或其他形式而存在。以上的任何一个可以在非临时计算机可读存储介质上体现。非临时计算机可读存储介质的示例包括常规的计算机系统RAM、ROM、EPROM、EEPROM、以及磁或光盘或带。因此，要理解，能够执行以上所描述的功能的任何电子设备可以执行以上列举的那些功能。
现在转到图5，示出有根据示例的可以被用来执行图1和图2中描绘的网络访问装置102a的各种功能的计算设备500的示意性表示。计算设备500包括处理器502（诸如，处理器202）；显示器504（诸如但不限于监视器）；网络接口508（诸如但不限于局域网LAN、无线802.11x LAN、3G/4G移动WAN或WiMax WAN）；以及计算机可读介质510。这些组件中的每个操作地耦合至总线512。例如，总线512可以是EISA、PCI、USB、火线、网络用户总线、或者PDS。
计算机可读介质510包括参与向处理器502提供指令以供执行的任何合适的介质。例如，计算机可读介质510可以是非易失性介质。操作系统514还可以执行基本任务，诸如但不限于：识别分组的接收、将分组发送至它们的目的地地址、以及管理总线512上的业务。网络应用516包括用于建立和维护网络连接的各种组件，诸如但不限于用于实现包括TCP/IP、HTTP、以太网、USB和火线的通信协议的机器可读指令。
如以上关于图3和4中的方法300和400所讨论的，分组处理应用518提供用于处理分组的各种组件。分组处理应用518因此可以包括分组处理模块208和控制模块指令模块210。在某些示例中，分组处理应用518还包括检查代理222。就此而言，分组处理应用518可以包括模块，所述模块接收发源自客户端设备110a的多个分组、确定分组是否包括预定类型的通信、响应于分组包括预定类型的通信而指令控制模块106分析分组、并且在控制模块106中确定所接收的分组的特征、确定特征是否匹配于多个预定配置中的配置、以及响应于分组的特征匹配于配置的确定而对分组执行预定义的动作。
在某些示例中，由应用518执行的一些或所有的过程可以被集成到操作系统514中。在某些示例中，也如以上所讨论的，过程可以至少部分地实现在数字电子电路中，或者实现在计算机硬件、机器可读指令（包括固件和软件）中、或者其任何组合中。
本文所描述和说明的是本公开的示例以及一些变形。本文使用的术语、描述和图仅通过说明的方式来阐述而并不意味为限制。许多变形在本公开的范围内是可能的，所述范围意在由跟着的权利要求及其等价物来限定，其中除非另有指示，否则所有的术语都意味着在其最广泛的合理的意义中。

资源描述

《具有控制模块和网络访问模块的网络访问装置.pdf》由会员分享，可在线阅读，更多相关《具有控制模块和网络访问模块的网络访问装置.pdf（16页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104067558A43申请公布日20140924CN104067558A21申请号201280068654722申请日20120430H04L12/24200601H04L29/0620060171申请人惠普发展公司，有限责任合伙企业地址美国德克萨斯州72发明人M桑切斯J邱CF克拉克74专利代理机构中国专利代理香港有限公司72001代理人谢攀徐红燕54发明名称具有控制模块和网络访问模块的网络访问装置57摘要一种网络访问装置包括处理器和用以接收发源自客户端设备的多个分组的接口。该装置还包括网络访问模块，其用以对多个分组执行转发功能、用以确定所接收的多个分组是否包括预定类型的通。

2、信、以及用以响应于多个分组被确定为包括预定类型的通信而指令控制模块分析所述多个分组。该装置还包括控制模块，其用以确定从网络访问模块接收的多个分组的特征、用以确定该特征是否匹配于多个预定配置中的配置、以及用以响应于该特征匹配于该配置而对多个分组执行预定义的动作。85PCT国际申请进入国家阶段日2014073186PCT国际申请的申请数据PCT/US2012/0358832012043087PCT国际申请的公布数据WO2013/165368EN2013110751INTCL权利要求书2页说明书8页附图5页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图5页10申请公布号。

3、CN104067558ACN104067558A1/2页21一种网络访问装置，包括接口，用以接收发源自客户端设备的多个分组；控制模块；网络访问模块，用以对所述多个分组执行转发功能、用以确定所接收的多个分组是否包括预定类型的通信、以及用以响应于所述多个分组被确定为包括所述预定类型的通信而指令所述控制模块分析所述多个分组，并且其中所述控制模块用以确定从所述网络访问模块接收的所述多个分组的特征、用以确定所述特征是否匹配于多个预定配置中的配置、以及用以响应于所述特征匹配于所述配置而对所述多个分组执行预定义的动作；以及处理器，用以实现所述控制模块和所述网络访问模块。2如权利要求1所述的网络访问装置，其中。

4、所述控制模块还包括检查代理；以及配置结构，包含所述多个预定配置，其中所述检查代理用以将所述多个分组的特征与包含在所述配置结构中的配置进行比较以确定所述特征是否匹配于所述配置，并且其中所述配置结构用以从智能馈送服务接收关于所述多个预定配置的更新。3如权利要求2所述的网络访问装置，其中所述配置结构包括如下中的至少一个数据库、一组过滤器、一组签名、以及多个馈送。4如权利要求1所述的网络访问装置，其中所述网络访问模块包括装备，所述装备用以控制由所述客户端设备对网络的访问和发源自所述客户端设备去往预期的目的地地址的分组的通信，并且其中所述网络访问模块还用以响应于所述多个分组不包括所述预定类型的通信而将所。

5、述多个分组输出到所述多个分组中标识的目的地地址。5如权利要求1所述的网络访问装置，其中所述网络访问模块还用以仅处理通过所述接口接收到的所述多个分组的经采样的子集，以及用以确定所述多个分组的经采样的子集中的多个分组是否包括所述预定类型的通信。6如权利要求1所述的网络访问装置，其中所述预定义的动作包括如下中的至少一个修改所述多个分组以改变所述多个分组的内容、重新路由所述多个分组、丢弃所述分组、以及重新配置所述网络访问模块。7如权利要求1所述的网络访问装置，其中所述控制模块用以从包含在第二网络访问装置中的第二网络访问模块接收第二多个分组，并且其中所述控制模块还用以分析所述第二多个分组以确定是否要对从。

6、所述第二客户端设备接收的所述第二多个分组采取预定的动作。8一种用于处理网络中的分组的方法，所述方法包括接收发源自客户端设备的多个分组；确定所述多个分组是否包括预定类型的通信；响应于所述多个分组不包括所述预定类型的通信而对所述多个分组执行转发功能；响应于所述多个分组包括所述预定类型的通信而确定所述多个分组的特征是否匹配于多个预定配置中的配置；以及响应于所述多个分组的特征匹配于所述配置的确定而对所述多个分组执行预定义的动作。9如权利要求8所述的方法，还包括权利要求书CN104067558A2/2页3从智能馈送服务接收包含对所述多个预定配置的更新的馈送；以及基于所接收的馈送来更新所述多个预定配置。1。

7、0如权利要求8所述的方法，还包括对所述多个分组的子集进行采样；并且其中确定所述分组是否包括预定类型的通信还包括确定所述多个分组的经采样的子集是否包括所述预定类型的通信。11如权利要求8所述的方法，其中确定所述多个分组的特征是否匹配于所述多个预定配置中的配置由第一网络访问装置中的控制模块来实现，所述方法还包括在所述第一网络访问装置中的控制模块中，确定从第二网络装置接收的第二多个分组的特征是否匹配于所述多个预定配置中的配置，并且响应于所述多个分组的特征匹配于所述配置的确定而对所述第二多个分组执行预定义的动作。12如权利要求8所述的方法，其中对所述多个分组执行预定义的动作还包括如下中的至少一个修改所。

8、述多个分组以改变所述多个分组的内容、重新路由所述多个分组、丢弃所述多个分组、以及重新配置网络访问模块。13一种在其上存储机器可读指令的非临时计算机可读存储介质，当所述指令被处理器执行时要实现一种用于处理网络中的分组的方法，所述机器可读指令包括代码用以接收发源自客户端设备的多个分组；确定所述多个分组是否包括预定类型的通信；响应于所述多个分组不包括所述预定类型的通信而对所述多个分组执行转发功能；响应于所述多个分组包括所述预定类型的通信而确定所述多个分组的特征是否匹配于多个预定配置中的配置；以及响应于所述多个分组的特征匹配于所述配置的确定而对所述多个分组执行预定义的动作。14如权利要求13所述的非临。

9、时计算机可读存储介质，所述机器可读指令还包括代码用以从智能馈送服务接收包含对所述多个预定配置的更新的馈送；以及基于所接收的馈送来更新所述多个预定配置。15如权利要求13所述的非临时计算机可读存储介质，所述机器可读指令还包括代码用以对所述多个分组的子集进行采样；以及确定所述多个分组的经采样的子集是否包括所述预定类型的通信。权利要求书CN104067558A1/8页4具有控制模块和网络访问模块的网络访问装置背景技术0001诸如僵尸网络、恶意软件、和间谍软件之类的网络威胁的目标是取得受害者的机器的所有权，例如，以获得对敏感信息的访问或者以发动二次攻击。在任一情况下，被感染的机器时常例如通过因特网连接。

10、到它的“所有者”来传输所窃取的信息和/或接收新命令。通常当被感染的机器尝试该连接时，威胁的所有者易受到检测。附图说明0002本公开的特征通过示例的方式来说明并且不限于以下（一个或多个）图，其中相似的附图标记指示相似的元件，其中图1示出了根据本公开的示例的可以在其中实现网络访问装置的网络环境的功能性框图；图2示出了根据本公开的示例的图1中所描绘的网络访问装置的简化框图；图3和图4分别描绘了根据本公开的两个示例的用于处理网络中的分组的方法的流程图；以及图5图示了根据本公开的示例的可以被用来执行图1和图2中所描绘的网络访问装置的各种功能的计算设备的示意性表示。具体实施方式0003为了简明和说明性的目。

11、的，本公开通过主要参照其示例来描述。在以下描述中，阐述了许多特定细节以便提供对于本公开的透彻理解。然而，将容易明显的是，可以在不限于这些特定细节的情况下实施本公开。在其他实例中，未详细描述一些方法和结构，以免不必要地使本公开晦涩难懂。如本文所使用的，术语“包括”意味着包括但不限于，术语“包括有”意味着包括有但不限于。术语“基于”意味着至少部分地基于。另外，术语“一”和“一个”意在表示特定元素的至少一个。0004本文公开的是用于处理分组的网络访问装置和方法。网络访问装置包括用以执行网络访问功能（诸如，转发功能、交换功能等等）的网络访问模块和用以执行检查（INSPECTION）和控制功能的控制模块。

12、。特别地，网络访问模块用以通过网络来路由可以包括生成树（STP）、链路聚合控制协议（LACP）、网际协议（IP）等类型的分组中的至少一种的以太网分组，遍及本公开其也被称为“分组”。通过示例的方式，网络访问模块用以从客户端设备接收包含用于访问目的地地址的请求的分组，并且用以将该分组发送至该目的地地址。网络访问模块的附加功能是用以确定所接收的分组是否包括预定类型的通信。在所接收的分组被确定为包括预定类型的通信或请求的情况下，网络访问模块要指令控制模块对分组进一步检查和动作。0005控制模块用以确定从网络访问模块接收的多个分组的特征、用以确定该特征是否匹配于多个预定配置中的配置、以及用以响应于该特征。

13、匹配于该配置而对多个分组执行预定义的动作。根据示例，特征和预定配置包括应用的签名、设备的签名、WEB（网络）地址、IP说明书CN104067558A2/8页5地址等等。因而，通过特定示例的方式，网络访问装置可以直接在网络内执行对客户端设备尝试通过网络来访问的IP地址的信誉（REPUTATION）过滤。0006配置可以包含在要例如基于规则被更新的配置结构上，以使得配置保持与当前数据云图（LANDSCAPE）相关。通过示例的方式，配置包括安全威胁，并且控制模块可以确定从客户端设备接收的分组是否可能是安全威胁。在其他示例中，配置包括其他类型的签名，并且控制模块可以确定从客户端设备接收的分组的特征是否。

14、匹配于这些类型的签名中的任何一个。0007另外，响应于分组的特征匹配于配置的确定，控制模块要对多个分组执行预定义的动作。预定义的动作例如可以包括如下中的至少一个修改、重新路由、丢弃、基于设定策略对分组强制执行特定动作等等。0008一般而言，网络访问装置可以实现应用检测、设备检测、和/或安全威胁检测。特别地，网络访问装置可以结合安全威胁检测实现应用采指纹和设备采指纹。因此，在一个方面，本文公开的网络访问装置可以检测被感染的计算设备，并且可以确定关于被感染的计算设备的附加信息。例如，网络访问装置可以确定关于例如在计算设备变成被感染时该计算设备正在运行的应用的类型的信息，以及计算设备的简档。该信息可。

15、以有用于标识对被感染的计算设备的解决方案。0009根据示例，多个网络访问装置可以实现于网络的边缘处，以在将分组引入到网络中之前对分组进行拦截和动作。另外，网络访问装置被制成觉知网络访问装置接收到的分组，并且对分组执行不仅是交换的操作。就此而言，本文公开的网络访问装置可以被视为内容觉知的，其中内容觉知的可以被定义为应用觉知的、设备觉知的、僵尸网络觉知的等等。0010参考图1，示出有根据示例的网络环境100的功能性框图，在其中可以实现用于管理由客户端设备110A110C对诸如内联网、因特网等等的网络（未示出）的访问的网络访问装置102A。应当容易明显的是，图1中所描绘的图表表示一般化图示，并且在不。

16、背离网络环境100的范围的情况下，可以添加其他组件或者可以移除、修改或重新布置现有的组件。例如，网络环境100可以包括附加的网络访问装置和任何数量的客户端设备。0011网络环境100被描绘为包括在局域网（LAN）、广域网（WAN）、城域网（MAN）等之一中彼此联网的多个网络访问装置102A102C。尽管未示出，网络环境100包括通过网络访问装置102A102B或者通过网络环境100中的另一设备（未示出）的到因特网的连接，其中各种设备形成网络。一般而言，网络访问装置102A102C包括起作用以允许或拒绝由客户端设备110A110C对诸如因特网、内联网等等网络的访问的装置。就此而言，网络访问装置1。

17、02A102C可以包括交换机、路由器、无线接入点、无线控制器、集线器、桥接器、服务器等等。0012根据示例，网络访问装置102A102C位于网络的边缘处，即，客户端设备110A110C连接到网络的地方。在该示例中，网络访问装置102A102C用以在入口点处处理分组，分组通过所述入口点被接收到网络中。这样，网络访问装置102A102C可以在分组被进一步引入到网络中之前拦截某些类型的分组，这可以减少通过网络传播某些类型的分组所需的带宽量。在其他示例中，网络访问装置102A102C可以位于网络环境100中的各种其他位置处。0013客户端设备110A110C包括个人计算机、服务器、膝上型计算机、平板计。

18、算机、说明书CN104067558A3/8页6蜂窝电话、或者可以被用来访问网络环境100的任何其他电子设备。另外，客户端设备110A110C可以通过任何合适的有线或无线通信链路与网络访问装置102A102C通信。合适的有线通信链路的示例包括通过以太网链路而建立的连接或其他物理连接。合适的无线通信链路的示例包括通过80211链路、BLUETOOTHTM链路、红外通信等等而建立的连接。就此而言，网络访问装置102A102C包括能够实现与客户端设备110A110C的有线和无线通信中的任一者或这二者的装备。0014网络访问装置102A和102B还被描绘为每个包括网络访问模块104和控制模块106。网络。

19、访问模块104用以从客户端设备110A110C接收分组，并且可以对接收到的分组执行转发功能。转发功能可以包括例如标识分组的目的地地址并将该分组转发至所标识的目的地地址。另外，网络访问模块104用以处理分组以确定分组是否包括预定类型的通信。预定类型的通信可以包括任何可检测的协议和/或模式。通过示例的方式，预定类型的通信至少可以包括如下中的至少一个域名服务（DNS）请求、新的IP流、预定类型的应用、从预定类型的设备接收的分组等等。因此，例如，网络访问模块104可以处理分组以标识应用模式、设备行为模式等等。0015响应于分组包括不同于预定类型的通信的某一类型的通信，网络访问模块104通过将分组转发至。

20、它们各自的目的地或者网络环境100中的其他网络访问装置来对分组执行转发功能。然而，响应于分组包括预定类型的通信，控制模块106要检查分组来确定分组的特征是否匹配于多个预定配置中的配置。0016特征和配置可以包括例如客户端设备110A110C标识符（诸如，MAC地址、IP地址等等）、运行在客户端设备110A110C上的应用的标识符（诸如，TCP端口号等等）、已知和/或被怀疑为与威胁相关联的网站的IP地址等等。威胁可以包括例如僵尸网络、恶意软件、间谍软件、特洛伊木马、蠕虫病毒、拒绝服务攻击、垃圾邮件生成等等。在任何方面并且根据示例，每个控制模块106包括包含多个预定配置的配置结构。另外，控制模块1。

21、06例如通过因特网与智能馈送服务120通信，以接收对预定配置的更新，以使得预定配置保持最新并且因而相关。更特别地，智能馈送服务120收集配置（诸如，安全威胁的域名、IP地址等等）并将所收集的配置传送到控制模块106。在一个示例中，智能馈送服务120以设定时间间隔（诸如，每几个小时）传送新标识的预定配置的更新。合适的智能馈送服务120的示例是HEWLETTPACKARDCOMPANYTM（惠普公司）的DVLABSTM。0017如果控制模块106确定所确定的分组的特征匹配于多个配置中的配置，那么控制模块106要对多个分组执行预定义的动作。预定义的动作包括如下中的至少一个修改分组以改变分组的内容、重。

22、新路由分组、丢弃分组、重新配置网络访问模块104等等。修改分组可以包括例如改变将分组发出网络访问装置102A的次序、向分组附接附加数据等等。另外或者可替代地，修改分组可以包括根据预定的策略修改分组的实际内容。例如，分组可以被压缩例如转换为符号，并且可以在网络中被进一步完全地解压缩。0018根据特定示例，控制模块106可以确定一组IP分组发源自的客户端设备110A可能被病毒感染。在该示例中，控制模块106要采取动作来基本上减轻由病毒所导致的危害，诸如，包含在客户端设备110A中的信息的通信、病毒散布到网络环境100中的其他设备等等。例如，控制模块106要进行如下中的至少一个重新配置网络访问模块1。

23、04来阻止由受感染的客户端设备110A的网络访问、隔离受感染的客户端设备110A、阻止受感染的客户说明书CN104067558A4/8页7端设备对特定服务器的访问、阻止受感染的客户端设备对因特网的访问等等。另外，控制模块106要向网络管理站130发送警告以报告客户端设备110A感染了病毒。网络管理站130可以包括服务器或者服务器或其他网络装置上的一组机器可读指令，用以追踪客户端设备110A110C的安全状态。根据示例，网络管理站130通知网络访问装置102A102C要阻止来自受感染的客户端设备的分组。0019如图1中所示，网络访问装置之一102C被描绘为包括网络访问模块104，但不包括控制模块。

24、106。另外，该网络访问装置102C的网络访问模块104被描绘为与包括控制模块106的另一网络访问装置102B中的网络访问模块104进行通信。这样，网络访问装置102C中的网络访问模块104可以将发源自客户端设备110C的分组传送至用以确定分组是否包括预定类型的通信并将那些类型的分组转发至控制模块106的网络访问模块104。另外或可替代地，网络访问装置102C中的网络访问模块104包括一组指令以确定所接收的分组是否包括预定类型的通信并将分组转发至另一网络访问装置102B中的控制模块106。就此而言，（一个或多个）控制模块106可以接收并处理来自多个网络访问装置的网络访问模块104的分组。002。

25、0根据示例，作为处理所有接收到的分组来确定分组是否包括预定类型的通信的代替，网络访问模块104仅要处理多个分组的经采样的子集。通过仅处理所接收的多个分组的经采样的子集，网络访问装置102A102C可以在不经历显著的性能损失或开销的情况下执行分组处理操作。0021现在转到图2，示出有根据示例的图1中所描绘的网络访问装置102A的简化框图。图2中所描绘的框图更特别地描绘了网络访问装置102A的组件。应当容易明显的是，图2中所描绘的图表表示一般化的图示，并且在不背离网络访问装置102A的范围的情况下，可以添加其他组件或者可以移除、修改或重新布置现有的组件。0022网络访问装置102A被描绘为包括网络。

26、访问模块104、处理器202、（一个或多个）输入/输出接口204、数据储存206。网络访问模块104还被描绘为包括分组处理模块208和控制模块指令模块210。可以包括微处理器、微控制器、专用集成电路（ASIC）等等的处理器202用以在网络访问网络访问装置102A中执行各种处理功能。如下文更详细地讨论的，处理功能之一包括调用或实现网络访问模块104的模块208210。0023控制模块106被描绘为包括配置结构220和检查代理222。根据示例，处理器202用以控制检查代理222的操作。然而，在另一示例中，检查代理222包括可以包括以上关于处理器202所讨论的任何类型的处理器的单独的处理器（未示出）。

27、。0024根据示例，网络访问模块104包括硬件设备，诸如布置在板上的电路或多个电路。在该示例中，模块208210包括电路组件或单独的电路。根据另一示例，网络访问模块104包括易失性或非易失性存储器，诸如动态随机存取存储器（DRAM）、电可擦除可编程只读存储器（EEPROM）、磁阻随机存取存储器（MRAM）、忆阻器、闪存、软盘、光盘只读存储器（CDROM）、数字视频盘只读存储器（DVDROM）、或者其他光或磁介质等等。在该示例中，模块208210包括存储于网络访问模块104中的软件模块。根据另一示例，模块208210包括硬件和软件模块的组合。0025根据示例，控制模块106包括硬件设备，诸如布置。

28、在板上的电路或多个电路。在该示例中，检查代理222包括电路组件。在该示例中，检查代理222可以被集成在与模块说明书CN104067558A5/8页8208210共同的电路板上或者与模块208210分离的电路板上。根据另一示例，检查代理222包括易失性或非易失性存储器，诸如动态随机存取存储器（DRAM）、电可擦除可编程只读存储器（EEPROM）、磁阻随机存取存储器（MRAM）、忆阻器、闪存、软盘、光盘只读存储器（CDROM）、数字视频盘只读存储器（DVDROM）、或者其他光或磁介质等等。在该示例中，检查代理222包括可以存储在与模块208210共同的存储器中的软件模块。根据另一示例，模块检查代理。

29、222包括硬件和软件模块的组合。0026（一个或多个）输入/输出接口204可以包括硬件和/或软件接口。就此而言，（一个或多个）输入/输出接口204可以包括使得能够接收和发送IP分组的硬件和软件组件中的任一者或这二者。因此，例如，（一个或多个）输入/输出接口204包括要将电缆物理地插入到其中的物理端口，例如，以太网端口、光纤端口等等。在另一示例中，（一个或多个）输入/输出接口204包括使得能够实现IP分组的无线通信的装备，诸如，使得能够实现WIFITM、BLUETOOTHTM等等的装备。0027在任何方面，网络访问模块104用以通过（一个或多个）输入/输出接口204从客户端设备110A110C接。

30、收分组。处理器120还可以将所接收的分组存储在数据储存206中并且可以将数据用于实现模块208210（以及在某些示例中，检查代理222）中。数据储存206包括易失性和/或非易失性存储器，诸如DRAM、EEPROM、MRAM、相变RAM（PCRAM）、忆阻器、闪存等等。另外或者可替代地，数据储存206包括要从可移除介质（诸如软盘、CDROM、DVDROM、或其他光或磁介质）读以及写到可移除介质的设备。0028如本文进一步讨论的，配置结构220已经在其上存储了或者以其他方式包含针对其比较分组的特征的多个预定配置。配置结构220包括如下中的至少一个数据库、一组过滤器、一组签名、馈送等等。就此而言，配。

31、置结构220可以被直接加载到存储器阵列上、到数据库中等等。另外，配置结构220用以例如从智能馈送服务120（图1）接收智能馈送230。智能馈送230可以包括关于包含在配置结构220中的预定配置的信息，例如对预定配置的更新。另外，配置结构220可以基本上基于周期性而接收该信息，以使包含在配置结构220中的预定配置保持与例如改变数据云图相关。0029关于分别在图3和图4中描绘的方法300和400而详细地讨论了可以实现网络访问模块104和控制模块106的各种方式。更特别地，图3和图4描绘了根据两个示例的用于处理网络中的分组的方法300和400的各自的流程图。对本领域技术人员而言应当明显的是，方法30。

32、0和400表示一般化的图示，并且在不背离方法300和400的范围的情况下，可以添加其他步骤或者可以移除、修改或重新布置现有的步骤。尽管特别参照了在图1和2中被描绘为包括可以执行方法300和400中所描述的操作的装置和/或一组机器可读指令的网络访问装置102A102C，但应当理解，经不同配置的装置和/或机器可读指令可以在不背离方法300和400的范围的情况下执行方法300和400。0030一般而言，方法300和400可以被实现成处理网络环境100中的分组以执行应用和设备的采指纹，结合威胁检测。另外，方法300和400可以实现在位于网络的边缘处的多个网络访问装置102A102C中，以因而在分组被客。

33、户端设备110A110C引入到网络中时拦截分组，并且基本上防止某些类型的分组通过网络的传播。0031首先参考图3中的方法300，在块302处，在网络访问模块102A中例如通过（一个或多个）输入/输出接口204从客户端设备110A接收多个分组。网络访问模块102A可以说明书CN104067558A6/8页9直接从客户端设备110A或者从另一网络访问模块接收分组。在任何方面，分组可以包括由客户端设备110A针对到特定网站的访问或者到网络中的其他类型的访问的请求。0032在块304处，例如由分组处理模块208做出关于分组是否包括预定类型的通信的确定。如上文更详细地讨论的，预定类型的通信可以包括任何可。

34、检测的协议和/或模式。根据示例，分组处理模块208可以通过对包含在分组中的信息的分析来在块304处做出确定。例如，分组处理模块208许多分析包含在分组的报头中的信息，以确定分组的可检测协议和/或模式。0033在块306处，响应于分组包括预定类型的通信，例如由控制模块指令模块210指令控制模块106分析分组。更特别地，控制模块指令模块210指令控制模块106的检查代理222分析分组。在其中控制模块106与网络访问模块104集成的实例中，控制模块指令模块210可以简单地指令检查代理222分析存储于数据储存206中的分组。可替代地，并且在其中控制模块106包括与网络访问模块104分离的组件的实例中，。

35、控制模块指令模块210可以封装分组并将封装后的分组转发至控制模块106。在该示例中，检查代理222可以将分组存储在控制模块106的存储器（未示出）中。0034在块308处，在控制模块106中，例如由检查代理222做出关于分组的特征是否匹配于多个预定配置中的配置的确定。更特别地，检查代理222通过确定分组的特征是否匹配于包含在配置结构220中的多个预定配置中的配置来做出该确定。在其中预定配置被存储在配置结构220中的实例中，检查代理222可以通过将分组的特征与所存储的预定配置进行比较来做出该确定。在其中配置结构220包括与预定配置对应的一组过滤器的实例中，检查代理222可以通过执行关于包含在配置。

36、结构220中的滤波器的对分组特征的过滤操作来做出该确定。0035在块310处，在控制模块106中，例如由检查代理222对分组执行预定义的动作。特别地，预定义的动作包括如下中的至少一个指令网络访问模块104输出分组、修改多个分组以改变多个分组的内容、重新路由多个分组、丢弃多个分组、重新配置网络访问模块104等等。关于执行预定义动作中的哪个的确定可以基于在块308处做出的关于分组的特征是否匹配于多个预定配置中的配置的确定。0036现在转到图4中的方法400，示出有图3中描绘的用于处理分组的方法300的更详细流程图。0037在块402处，如以上关于图3中的块302所讨论的，在网络访问模块102A中从。

37、客户端设备110A接收多个分组。在块404处，如以上关于块304所讨论的那样做出关于分组是否包括预定类型的通信的确定。响应于分组不包括预定类型的通信的确定，网络访问模块104对分组执行转发功能，例如，如块406处所指示的，确定针对分组的目的地地址并且输出分组。例如，网络访问模块104使得客户端设备110A能够访问由客户端设备110A所请求的网站。0038根据示例，在块404处，作为处理所有接收到的分组以确定分组是否包括预定类型的通信的代替，分组处理模块208只处理多个分组的经采样的子集。经采样的子集可以包括网络访问模块104接收的所有分组的任何相当合适的子集，诸如所有分组的预定的百分比、以预定。

38、义的时间间隔接收到的分组等等。0039响应于分组包括预定类型的通信的确定，在块408处，例如，如以上关于块306所说明书CN104067558A7/8页10讨论的，控制模块106被指令成分析分组。另外，在块410处，检查代理222确定分组的特征，其可以包括例如应用的签名、设备的签名、在分组中标识的网站的IP地址等等。0040在块412处，例如，如以上关于块308所讨论的，做出关于特征是否匹配于多个预定配置中的配置的确定。根据示例，检查代理222通过将在块410处确定的特征与包含在配置结构220中的多个预定配置进行比较来做出该确定。如以上所讨论的，要基本上周期性地更新配置结构220，并且因此可以。

39、对相对最新的一组预定配置执行分组的特征的分析。如果分组的特征不匹配于包含在配置结构220中的多个预定配置中的任何配置，那么在块414处，检查代理222指令网络访问模块104输出分组。另外，在块406处，网络访问模块104输出分组，以例如建立客户端设备110A与所请求的网站之间的连接。0041如果分组的特征匹配于包含在配置结构220中的多个预定配置中的配置，那么在块416处，如以上关于块310所讨论的，例如由检查代理222对分组执行预定义的动作。根据示例，检查代理222向网络管理系统130发送警告以通知网络管理系统130对分组执行的动作。通过特定示例的方式，网络管理站130可以向网络访问装置10。

40、2B102C传送客户端设备110A已经被感染的指示，来使得那些网络访问装置102B102C也能够阻止由受感染的客户端设备110A的网络访问。0042方法300和400中阐述的一些或所有操作可以在任何期望的计算机可访问介质中被包含为实用程序、程序、或子程序。另外，方法300和400可以由可以以活动和不活动这二者的各种形式而存在的机器可读指令来体现。例如，它们可以作为源代码、目标代码、可执行代码或其他形式而存在。以上的任何一个可以在非临时计算机可读存储介质上体现。非临时计算机可读存储介质的示例包括常规的计算机系统RAM、ROM、EPROM、EEPROM、以及磁或光盘或带。因此，要理解，能够执行以上。

41、所描述的功能的任何电子设备可以执行以上列举的那些功能。0043现在转到图5，示出有根据示例的可以被用来执行图1和图2中描绘的网络访问装置102A的各种功能的计算设备500的示意性表示。计算设备500包括处理器502（诸如，处理器202）；显示器504（诸如但不限于监视器）；网络接口508（诸如但不限于局域网LAN、无线80211XLAN、3G/4G移动WAN或WIMAXWAN）；以及计算机可读介质510。这些组件中的每个操作地耦合至总线512。例如，总线512可以是EISA、PCI、USB、火线、网络用户总线、或者PDS。0044计算机可读介质510包括参与向处理器502提供指令以供执行的任何。

42、合适的介质。例如，计算机可读介质510可以是非易失性介质。操作系统514还可以执行基本任务，诸如但不限于识别分组的接收、将分组发送至它们的目的地地址、以及管理总线512上的业务。网络应用516包括用于建立和维护网络连接的各种组件，诸如但不限于用于实现包括TCP/IP、HTTP、以太网、USB和火线的通信协议的机器可读指令。0045如以上关于图3和4中的方法300和400所讨论的，分组处理应用518提供用于处理分组的各种组件。分组处理应用518因此可以包括分组处理模块208和控制模块指令模块210。在某些示例中，分组处理应用518还包括检查代理222。就此而言，分组处理应用518可以包括模块，所。

43、述模块接收发源自客户端设备110A的多个分组、确定分组是否包括预定类型的通信、响应于分组包括预定类型的通信而指令控制模块106分析分组、并且在控制模块106中确定所接收的分组的特征、确定特征是否匹配于多个预定配置中的配说明书CN104067558A108/8页11置、以及响应于分组的特征匹配于配置的确定而对分组执行预定义的动作。0046在某些示例中，由应用518执行的一些或所有的过程可以被集成到操作系统514中。在某些示例中，也如以上所讨论的，过程可以至少部分地实现在数字电子电路中，或者实现在计算机硬件、机器可读指令（包括固件和软件）中、或者其任何组合中。0047本文所描述和说明的是本公开的示例以及一些变形。本文使用的术语、描述和图仅通过说明的方式来阐述而并不意味为限制。许多变形在本公开的范围内是可能的，所述范围意在由跟着的权利要求及其等价物来限定，其中除非另有指示，否则所有的术语都意味着在其最广泛的合理的意义中。说明书CN104067558A111/5页12图1说明书附图CN104067558A122/5页13图2说明书附图CN104067558A133/5页14图3说明书附图CN104067558A144/5页15图4说明书附图CN104067558A155/5页16图5说明书附图CN104067558A16。

展开阅读全文