專利名稱:防止惡意連線通信的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防止惡意連線通信的方法及系統(tǒng)。
背景技術(shù):
現(xiàn)在的網(wǎng)絡(luò)發(fā)達(dá)��,幾乎每位使用者計(jì)算機(jī)每天都會(huì)收到許多電子郵件
(e-mails)�。因此惡意入侵者常常利用e-mail夾藏或植入"惡意程序"(包括一 般的病毒、木馬�、后門、漏洞�����、破壞等等),伺機(jī)攻擊收信者的計(jì)算機(jī)(受害 計(jì)算機(jī))����。
一般使用者常會(huì)利用防火墻保護(hù)其網(wǎng)絡(luò)結(jié)構(gòu),使得惡意入侵者難以由外 部主動(dòng)連到受害計(jì)算機(jī)通信���。然而���,若由防火墻之內(nèi)的使用者對(duì)外發(fā)出通信 連線,通常防火墻就無(wú)法提供保護(hù)���;這是因?yàn)榉阑饓χ畠?nèi)的使用者對(duì)外通信 的限制較低����,否則使用者會(huì)幾乎無(wú)法對(duì)外連線��。
網(wǎng)際網(wǎng)絡(luò)協(xié)議(IP)地址是由四組數(shù)字組成����,例如201.105.194.134���,對(duì)于 使用者而言�����,要記住這些數(shù)字非常不容易�;因此由英文字母所組成的域名(http 或URL),例如www.example.com可提供使用者較為方便記憶的名稱����。而域 名服務(wù)器(DNS)就是被用來(lái)翻譯域名(或全球資源定位,或稱URL)�����,例如可 在DNS設(shè)定www.example.com對(duì)應(yīng)的IP地址即為201.105.194.134���。因此當(dāng) 使用者鍵入網(wǎng)址(例如www.example.com)�,可通過(guò)DNS找到相對(duì)應(yīng)的IP地 址(例如201.105.194.134)�����,順利實(shí)現(xiàn)網(wǎng)際網(wǎng)絡(luò)連線����。
為了適應(yīng)某些用戶特性,例如使用浮動(dòng)IP地址���,這些用戶往往需要在非 固定地址連線�,還發(fā)展出動(dòng)態(tài)DNS (DDNS "動(dòng)態(tài)域名服務(wù)")。例如���, www.example.com對(duì)應(yīng)的IP地址為201.105.194.134��,若當(dāng)IP地址的服務(wù)器 在維修一周��,需改到其他服務(wù)器(例如201.105.194.136)提供連線時(shí)��,該用戶 可利用DDNS設(shè)定www.example.com對(duì)應(yīng)的IP地址改為201.105.194.136�, 一周之后在改回原對(duì)應(yīng)的201.105.194.134����。此時(shí),用戶可設(shè)定IP地址的存 活時(shí)間(TTL)為一周�����。黑客常常會(huì)利用上述使用者上網(wǎng)的連線特性��,以e-mail夾藏或植入惡意 程序����,誘使收信者的計(jì)算機(jī)自行對(duì)外上網(wǎng)連線��,以此進(jìn)行攻擊受害計(jì)算機(jī)。 為了解決上述的公知問(wèn)題�����,因此而產(chǎn)生出本發(fā)明的構(gòu)想�。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于防止與黑客惡意連線的通信。
本發(fā)明的另一目的在于通過(guò)防止惡意連線通信的方法以及系統(tǒng)�����,找出更 多的"惡意程序"(例如變型或新型計(jì)算機(jī)病毒)����,進(jìn)而找出破解或反制這 些惡意程序的方法。
為達(dá)到上述目的�����,本發(fā)明提供一種防止惡意連線通信的方法及系統(tǒng)����。防 止惡意連線通信的方法包括以下步驟
Sl:接收至少一特定網(wǎng)際網(wǎng)絡(luò)協(xié)議(IP)地址及一IP存活臨界值。例如特 定IP地址為127.0.0.1或?yàn)橹辽僖粌?nèi)連網(wǎng)(intranet)IP地址����,也就是通過(guò)本發(fā) 明(例如為特定軟件或程序)網(wǎng)管人員可設(shè)定特定IP地址為127.0.0.1或其內(nèi)連 網(wǎng)IP地址�。然而�����,特定IP地址并非僅限于上述地址�,本發(fā)明還有其他判斷 方式,以下將作進(jìn)一步說(shuō)明���。
S2:接收網(wǎng)絡(luò)上實(shí)際通信中的新接收IP地址及一存活時(shí)間值(TTL)���,該 存活時(shí)間值是該新接收的IP地址的存活時(shí)間。當(dāng)使用者計(jì)算機(jī)連網(wǎng)時(shí)����,本發(fā) 明即可接收到新接收的IP地址及其存活時(shí)間值(TTL)。
S3:判斷該新接收的IP地址是否符合該至少一特定IP地址��。在此的判 斷也就是���,使用者計(jì)算機(jī)連線時(shí)所接收到新接收的IP地址與網(wǎng)管人員所設(shè)定 的特定IP地址是否相符�。若判斷為"是"�,本發(fā)明還可進(jìn)一步提供一新導(dǎo)向 IP地址(S5)�����,以使得使用者計(jì)算機(jī)連線導(dǎo)向該新導(dǎo)向IP地址�,而不是新 接收的IP地址���。
S4:判斷該TTL是否小于或等于該IP存活臨界值。在此的判斷也就是�����, 使用者計(jì)算機(jī)連線時(shí)所接收到新接收的IP地址相對(duì)應(yīng)TTL與網(wǎng)管人員所設(shè) 定的IP存活臨界值相比較�,TTL是否小于或等于該IP存活臨界值?若判斷 為"是"���,本發(fā)明還可進(jìn)一步提供一新導(dǎo)向IP地址(S5)����,以使得使用者 計(jì)算機(jī)連線導(dǎo)向該新導(dǎo)向IP地址�,而非是新接收的IP地址。
此外���,本發(fā)明還提供一種防止惡意連線通信的系統(tǒng)�,其包括 一安全模塊與一記錄模塊。安全模塊可依據(jù)一網(wǎng)站查詢名單��、 一新接收的IP地址或一
TTL����,以辨認(rèn)一惡意連線通信,并將該惡意連線通信導(dǎo)向到一新導(dǎo)向IP地址�����。 記錄模塊則是記錄導(dǎo)向到該新導(dǎo)向IP地址的該惡意連線通信����。安全模塊可以 是內(nèi)嵌于也可以外掛于一域名服務(wù)器(DNS)。
更進(jìn)一步而言��,安全模塊包括一査詢檢査單元�。査詢檢查單元設(shè)有網(wǎng)站 査詢名單�,當(dāng)使用者欲連線至一網(wǎng)址時(shí),該查詢檢査單元可比對(duì)該網(wǎng)址是否
符合該網(wǎng)站查詢名單�����,以辨認(rèn)該惡意連線通信。
安全模塊還可包括一響應(yīng)檢查單元�。當(dāng)查詢檢查單元比對(duì)網(wǎng)址未符合網(wǎng) 站查詢名單時(shí),該安全模塊接收該新接收的IP地址及其TTL�����,響應(yīng)檢查單 元?jiǎng)t比對(duì)該新接收的IP地址及其TTL�,以辨認(rèn)該惡意連線通信。例如��,響 應(yīng)檢査單元的比對(duì)方法可以是如上面所述防止惡意連線通信的方法����。
此外��,本發(fā)明還提供一種可被計(jì)算機(jī)讀取的產(chǎn)品����,其是防止惡意連線通 信,該產(chǎn)品包括有可記錄程序碼的媒介(medium)����,該媒介包括有下列的程序 碼接收至少一特定網(wǎng)際網(wǎng)絡(luò)協(xié)議(IP)地址及一IP存活臨界值;接收一新接 收的IP地址及一存活時(shí)間值����,該存活時(shí)間值為該新接收的IP地址的存活時(shí) 間��;以及判斷當(dāng)符合下列兩者至少其中一時(shí)��,則提供一新導(dǎo)向IP地址(1) 該新接收的IP地址符合該至少一特定IP地址�,以及(2)該存活時(shí)間小于或等 于該IP存活臨界值����。
為了實(shí)現(xiàn)本發(fā)明的另一目的,找出更多的惡意程序�,并發(fā)展相對(duì)應(yīng)的破 解、反制技術(shù)���,本發(fā)明的安全模塊還包括一導(dǎo)向機(jī)制(meansforredirecting)��。 當(dāng)查詢檢查單元或響應(yīng)檢査單元辨認(rèn)出該惡意連線通信�,該導(dǎo)向機(jī)制使該惡 意連線通信導(dǎo)向到該新導(dǎo)向IP地址�����。此時(shí)�����,在新導(dǎo)向IP地址裝設(shè)監(jiān)聽設(shè)備(軟 /硬件)�,以此記錄惡意連線的通信內(nèi)容,以發(fā)展相對(duì)應(yīng)的破解���、反制技術(shù)。
圖1A和圖1B是黑客攻擊的計(jì)算機(jī)連線示意圖2是根據(jù)本發(fā)明的一種防止惡意連線通信的方法�,顯示其流程示意圖; 圖3是根據(jù)本發(fā)明的防止惡意連線通信的系統(tǒng)方框示意圖����。 并且�����,上述附圖中的附圖標(biāo)記說(shuō)明如下 IO服務(wù)器11、 12用戶計(jì)算機(jī)
20防火墻
30 DDNS服務(wù)器
31安全模塊
311查詢檢查單元
312導(dǎo)向機(jī)制
313響應(yīng)檢査單元
32記錄模塊
40中繼站
具體實(shí)施例方式
為使本發(fā)明的上述和其他目的���、特征和優(yōu)點(diǎn)能更明顯易懂���,下文特舉出 優(yōu)選實(shí)施例,并結(jié)合附圖��,進(jìn)行如下的詳細(xì)說(shuō)明��。
請(qǐng)先參見圖1A����,其顯示黑客攻擊時(shí)的計(jì)算機(jī)連線示意圖���。當(dāng)使用者計(jì) 算機(jī)11要連到外部網(wǎng)絡(luò)時(shí)�����,通常會(huì)先向域名服務(wù)器(DNS)查詢所對(duì)應(yīng)網(wǎng)址的 IP地址解析�。DNS可以是設(shè)在其內(nèi)部服務(wù)器10�����,當(dāng)內(nèi)部服務(wù)器10的DNS 查不到時(shí)����,還可向外査詢其他DNS (在此未顯示)。動(dòng)態(tài)DNS (DDNS) 30則 提供浮動(dòng)IP用戶�����,可隨時(shí)通過(guò)網(wǎng)頁(yè)更換對(duì)應(yīng)的IP地址。例如�����, www.badsite.com原本是對(duì)應(yīng)到201.100.194.134�����,但通過(guò)DDNS的設(shè)定更換 IP地址�,該網(wǎng)址可修改為對(duì)應(yīng)到127.0.0.1。 DNS或DDNS并未限定其數(shù)量�, 簡(jiǎn)言之,當(dāng)使用者計(jì)算機(jī)ll連網(wǎng)時(shí)����,可通過(guò)DNS階層結(jié)構(gòu), 一個(gè)接著一個(gè) 査詢�,以找到所對(duì)應(yīng)的IP地址�。
黑客技術(shù)可通過(guò)電子郵件或其他方式�,將使用者計(jì)算機(jī)11連至其網(wǎng)址 (www.badsite.com)的中繼站40,這種方式是已知技術(shù)��,故不在此贅述�����。如圖 1A所示,黑客還可利用DDNS 30的特性��,當(dāng)使用者計(jì)算機(jī)11連至 www.badsite.com時(shí)��,將其解析為自身計(jì)算機(jī)(也就是當(dāng)?shù)刂鳈C(jī)(Localhost): 127.0.0.1)����,如此一來(lái),防火墻20就無(wú)法察覺www.badsite.com實(shí)際是惡意連 線網(wǎng)址�。或者����,如圖1B所示,利用DDNS 30的特性���,黑客也可將其網(wǎng)址 (www.badsite.com)對(duì)應(yīng)IP地址改為內(nèi)部網(wǎng)絡(luò)互連(intranet)��,使得使用者計(jì)算 機(jī)11連往內(nèi)部其他使用者計(jì)算機(jī)12��。當(dāng)黑客欲發(fā)動(dòng)攻擊使用者計(jì)算機(jī)11時(shí)�,黑客才會(huì)將DDNS 30的網(wǎng)址 (www.badsite.com)設(shè)定改為真正的IP地址(例如上述的201.100.194.134)�。當(dāng) 使用者計(jì)算機(jī)11與中繼站40連線時(shí)�����,黑客即可發(fā)動(dòng)攻擊�����。
請(qǐng)參見圖2��,本發(fā)明提供一種防止惡意連線通信的方法�����,其包括以下 Sl-S5的步驟����。
Sh接收至少一特定網(wǎng)際網(wǎng)絡(luò)協(xié)議(IP)地址及一 IP存活臨界值���。 例如����,特定IP地址可以為上述的Localhost: 127.0.0.1或?yàn)橹辽僖粌?nèi)連網(wǎng) (intranet)IP地址���。也就是通過(guò)本發(fā)明(例如可以為特定軟件或程序)����,網(wǎng)管人 員可設(shè)定特定IP地址為127.0.0.1或?yàn)槠鋬?nèi)連網(wǎng)IP地址���。換言之�����,當(dāng)如圖1A 或1B所示的使用者計(jì)算機(jī)11連線的IP地址為特定IP地址時(shí)��,在此即判斷 為惡意連線(有受攻擊的危險(xiǎn))�����,以下將有進(jìn)一步說(shuō)明����。
然而�����,特定IP地址并非僅限于上述地址����,本發(fā)明尚有其他判斷式��,以下 將有進(jìn)一步說(shuō)明��。另外關(guān)于網(wǎng)管人員設(shè)定IP存活臨界值�����,以下也將作進(jìn)一步 的說(shuō)明��。
S2:接收一新接收的IP地址及一存活時(shí)間值(TTL)�,該存活時(shí)間值為該 新接收的IP地址的存活時(shí)間���。
例如�,當(dāng)如圖1所示的使用者計(jì)算機(jī)11要連至www.badsite.com時(shí)�����,根 據(jù)DDNS 30所提供的IP地址���,本發(fā)明即接收到新接收的IP地址(例如 127.0.0.1)及其存活時(shí)間值(TTL)�。更進(jìn)一步而言�,根據(jù)DNS(或DDNS)階層 結(jié)構(gòu)與通信協(xié)議,使用者計(jì)算機(jī)ll査詢網(wǎng)址連線時(shí),例如圖1A或1B所示 的DDNS 30會(huì)將使用者計(jì)算機(jī)11查詢網(wǎng)址的結(jié)果(對(duì)應(yīng)的IP地址)傳回給使 用者計(jì)算機(jī)11 �,且該査詢結(jié)果中會(huì)有欄位(header欄位)記錄所對(duì)應(yīng)的IP地址 的存活時(shí)間(TTL)。利用DNS或DDNS的響應(yīng)(response)功能即可獲得TTL�, 此方式是本領(lǐng)域普通技術(shù)人員可了解的��,故不在此贅述�。
S3:判斷新接收的IP地址是否符合至少一特定IP地址。
舉例而言�,此步驟的判斷是在于,如圖1的使用者計(jì)算機(jī)11要連線時(shí) 所接收到新接收的IP地址與網(wǎng)管人員所設(shè)定的特定IP地址是否相符����。網(wǎng)管 人員所設(shè)定的特定IP地址除了上述的localhost IP與intranet IP之外,還有可 能包括其他異常連線����,像是使用者為國(guó)內(nèi)業(yè)務(wù),但其計(jì)算機(jī)卻一直企圖連往 歐洲的IP��,此一異常連線的IP地址也可經(jīng)由網(wǎng)管人員設(shè)定為特定IP地址�。若S3判斷為"是",例如新接收的IP地址即為127.0.0.1或其他網(wǎng)管人 員設(shè)定的特定IP地址���,本發(fā)明還可進(jìn)一步提供一新導(dǎo)向IP地址(S5)�����,以 使得使用者計(jì)算機(jī)11連線導(dǎo)向新導(dǎo)向IP地址��,而不是新接收的IP地址����。當(dāng) 使用者計(jì)算機(jī)11連線導(dǎo)向新導(dǎo)向IP地址時(shí),依據(jù)本發(fā)明的方法�,還可記錄 使用者計(jì)算機(jī)11與中繼站40之間的惡意連線通信的內(nèi)容。
S4:判斷該TTL是否小于或等于該IP存活臨界值����。
在此的判斷就是在于,使用者計(jì)算機(jī)11連線時(shí)所接收到新接收的IP地 址相對(duì)應(yīng)的TTL與網(wǎng)管人員所設(shè)定的IP存活臨界值相比較���,TTL是否小于 或等于網(wǎng)管人員設(shè)定的IP存活臨界值�?更進(jìn)一步而言�,通常TTL的設(shè)定若 過(guò)短則不屬于常態(tài),也就是IP地址更換過(guò)于頻繁應(yīng)該不屬于常態(tài)����。因此,網(wǎng) 管人員可設(shè)定IP存活臨界值為小于一個(gè)月的時(shí)間值��,例如可設(shè)為86400秒(一 日)或更長(zhǎng)或更短,這是根據(jù)其經(jīng)驗(yàn)值而設(shè)定�。按照過(guò)去查獲的惡意程序案例, 往往TTL值為60秒或300秒��,明顯的不合網(wǎng)絡(luò)應(yīng)用特性��,此判斷是用來(lái)辨 識(shí)惡意程序連線的重要依據(jù)�。
若S4判斷為"是"�,本發(fā)明進(jìn)一步提供一新導(dǎo)向IP地址(S5),以使 得使用者計(jì)算機(jī)連線導(dǎo)向該新導(dǎo)向IP地址�,而非是新接收的IP地址。同樣 地�,當(dāng)使用者計(jì)算機(jī)11連線導(dǎo)向新導(dǎo)向IP地址時(shí),根據(jù)本發(fā)明的方法���,還 可記錄使用者計(jì)算機(jī)11與中繼站40之間的惡意連線通信的內(nèi)容��。
由于上述的方法最好以計(jì)算機(jī)程序完成����,因此本發(fā)明的方法可以以計(jì)算 機(jī)程序?qū)懹谳d有計(jì)算機(jī)可使用的媒介����,譬如硬盤,集成電路,光盤及其他可 記錄計(jì)算機(jī)程序的產(chǎn)品��。
更進(jìn)一步而言���,本發(fā)明的防止惡意連線通信的方法����,可以計(jì)算機(jī)程序語(yǔ) 言寫成以便執(zhí)行��,而計(jì)算機(jī)程序可以儲(chǔ)存于任何微處理單元可以辨識(shí)��、解讀 的記錄媒體�,或包含有該記錄媒體的產(chǎn)品及裝置。其不限于任何形式���,該產(chǎn) 品較佳為CD�����, CD-R����, MO����,軟盤磁片�����,硬盤磁片�,IC芯片或任何本領(lǐng)域普 通技術(shù)人員所可使用的包含有該記錄媒體的產(chǎn)品���。由于本發(fā)明的防止惡意連 線通信的方法已充分公開�,任何熟悉計(jì)算機(jī)程序語(yǔ)言的人閱讀本發(fā)明說(shuō)明書 就可以知道如何編寫計(jì)算機(jī)軟件程序��,故有關(guān)計(jì)算機(jī)軟件程序細(xì)節(jié)部分不在 此贅述��。
此外,本發(fā)明還提供一種防止惡意連線通信的系統(tǒng)���,如圖3所示��,其包括 一安全模塊31與一記錄模塊32��。安全模塊31可依據(jù)一網(wǎng)站查詢名單���、 一新接收的IP地址或一 TTL���,以辨認(rèn)一惡意連線通信,并將惡意連線通信 導(dǎo)向到一新導(dǎo)向IP地址�����。記錄模塊32則記錄導(dǎo)向到新導(dǎo)向IP地址的惡意連 線通信�。安全模塊31可以內(nèi)嵌于或者也可外掛于一域名服務(wù)器(DNS),例如 安全模塊31可內(nèi)嵌于或外掛于圖1所示的服務(wù)器10����。
更進(jìn)一步而言,安全模塊31包括一査詢檢査單元311��。查詢檢查單元 311設(shè)有網(wǎng)站査詢名單�����,此網(wǎng)站査詢名單可以是來(lái)自各防毒公司提供的惡意 網(wǎng)站名單���,或其他類似的來(lái)源��。當(dāng)使用者計(jì)算機(jī)欲連線至一網(wǎng)址時(shí)��,查詢檢 査單元311可比對(duì)該網(wǎng)址是否符合該網(wǎng)站查詢名單����,以辨認(rèn)該惡意連線通信。 在此����,若査詢檢査單元311比對(duì)出使用者計(jì)算機(jī)所要連線的網(wǎng)址(或IP地址) "符合"網(wǎng)站査詢名單的網(wǎng)址(或IP地址)時(shí),即表示存有惡意連線通信�����,可 利用其他機(jī)制中斷連線或防止連線����。在本優(yōu)選實(shí)施例中,安全模塊31還可 將惡意連線通信導(dǎo)向到新導(dǎo)向IP地址�,并通過(guò)記錄模塊32記錄惡意連線通 信的內(nèi)容�。
安全模塊31還可包括一響應(yīng)檢查單元313����。當(dāng)查詢檢査單元311比對(duì)網(wǎng) 址(或IP地址)未符合網(wǎng)站查詢名單時(shí),安全模塊31則會(huì)接收到新接收的IP 地址及其TTL�����。更進(jìn)一步而言,當(dāng)查詢檢查單元311比對(duì)網(wǎng)址(或IP地址) 未符合網(wǎng)站查詢名單時(shí)�����,通過(guò)DNS或DDNS可提供新IP地址給響應(yīng)檢査單 元313�。
在此響應(yīng)檢査單元313比對(duì)所接收的新IP地址及其TTL���,以辨認(rèn)是否 為惡意連線通信�。例如��,響應(yīng)檢查單元的比對(duì)方法可以為如圖2所述的方法��, 故不在此重復(fù)贅述響應(yīng)檢查單元313的比對(duì)��。
為了實(shí)現(xiàn)本發(fā)明的另一目的����,找出更多的惡意程序�,并發(fā)展相對(duì)應(yīng)的破 解��、反制技術(shù)���,因此本發(fā)明的安全模塊31還包括一導(dǎo)向機(jī)制(means for redirecting)312�。當(dāng)查詢檢查單元311或響應(yīng)檢查單元313辨認(rèn)出惡意連線通 信時(shí)�,導(dǎo)向機(jī)制312可使該惡意連線通信導(dǎo)向到新導(dǎo)向IP地址�����。例如�,在新 導(dǎo)向IP地址裝設(shè)監(jiān)聽設(shè)備(軟/硬件),以執(zhí)行側(cè)錄����,以此記錄惡意連線的通信 內(nèi)容并可獲得更多惡意程序的內(nèi)容或活動(dòng)型態(tài),以發(fā)展相對(duì)應(yīng)的破解技術(shù)��。 由于網(wǎng)絡(luò)的側(cè)錄技術(shù)為本領(lǐng)域普通技術(shù)人員己知內(nèi)容��,故不多贅述�。
雖然本發(fā)明已經(jīng)通過(guò)優(yōu)選實(shí)施例公開如上技術(shù)���,然而其并非用來(lái)限定本發(fā)明����,任何本領(lǐng)域普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍內(nèi)����,當(dāng)可作 各種更動(dòng)與潤(rùn)飾,因此本發(fā)明的保護(hù)范圍當(dāng)視隨附的權(quán)利要求所界定的范圍 為準(zhǔn)��。
權(quán)利要求
1.一種防止惡意連線通信的系統(tǒng)���,其包括一安全模塊�,其可根據(jù)一網(wǎng)站查詢名單�����、一新接收的IP地址或一存活時(shí)間����,以辨認(rèn)一惡意連線通信,并將該惡意連線通信導(dǎo)向到一新導(dǎo)向IP地址�;以及一記錄模塊�����,其記錄導(dǎo)向到該新導(dǎo)向IP地址的該惡意連線通信。
2. 如權(quán)利要求1所述的系統(tǒng)���,其該安全模塊包括一査詢檢查單元�,其設(shè)有該網(wǎng)站查詢名單����,當(dāng)使用者欲連線至一網(wǎng)址或 一IP地址時(shí),該查詢檢查單元可比對(duì)該網(wǎng)址是否符合該網(wǎng)站查詢名單�,以辨 認(rèn)該惡意連線通信。
3. 如權(quán)利要求2所述的系統(tǒng)�����,當(dāng)該査詢檢查單元比對(duì)該網(wǎng)址或該IP地址未符合該網(wǎng)站查詢名單時(shí)��,該安全模塊接收該新接收的IP地址及該存活時(shí) 間��,且該新接收的IP地址及該存活時(shí)間對(duì)應(yīng)于該網(wǎng)址���,其中該安全模塊還包括一響應(yīng)檢査單元���,該響應(yīng)檢查單元比對(duì)該新接收的IP地址及該存活時(shí) 間,以辨認(rèn)該惡意連線通信�。
4. 如權(quán)利要求3所述的系統(tǒng),其中該安全模塊包括一導(dǎo)向機(jī)制��,當(dāng)該查詢檢查單元或該響應(yīng)檢查單元辨認(rèn)出該惡意連線通 信��,該導(dǎo)向機(jī)制使該惡意連線通信導(dǎo)向到該新導(dǎo)向IP地址�。
5. 如權(quán)利要求1所述的系統(tǒng),其中該安全模塊內(nèi)嵌于或外掛于一域名服 務(wù)器����。
6. —種防止惡意連線通信的方法,其包括 接收至少一特定網(wǎng)際網(wǎng)絡(luò)協(xié)議IP地址及一 IP存活臨界值�����;接收一新接收的IP地址及一存活時(shí)間值�,該存活時(shí)間值為該新接收的IP地址的存活時(shí)間;以及判斷當(dāng)符合下列兩者至少其中一時(shí)����,則提供一新導(dǎo)向IP地址1) 該新接收的IP地址符合該至少一特定IP地址,以及2) 該存活時(shí)間小于或等于該IP存活臨界值����。
7. 如權(quán)利要求6所述的方法,在提供該新導(dǎo)向IP地址之后還包括記錄該惡意連線的通信內(nèi)容���。
8. 如權(quán)利要求6所述的方法�����,其中該IP存活臨界值為小于一個(gè)月的時(shí)間值���。
9. 如權(quán)利要求6所述的方法��,其中該至少一特定IP地址為127.0.0.1或?yàn)?至少一內(nèi)連網(wǎng)IP地址�。
10. —種可被計(jì)算機(jī)讀取的產(chǎn)品���,其是防止惡意連線通信�,該產(chǎn)品包括 有可記錄程序碼的媒介���,該媒介包括有下列的程序碼接收至少一特定網(wǎng)際網(wǎng)絡(luò)協(xié)議IP地址及一 IP存活臨界值���; 接收一新接收的IP地址及一存活時(shí)間值,該存活時(shí)間值為該新接收的 IP地址的存活時(shí)間��;以及判斷當(dāng)符合下列兩者至少其中一時(shí)��,則提供一新導(dǎo)向IP地址1) 該新接收的IP地址符合該至少一特定IP地址�,以及2) 該存活時(shí)間小于或等于該IP存活臨界值�。
11. 如權(quán)利要求10所述的產(chǎn)品����,其中該媒介還包括下列的程序碼 在提供該新導(dǎo)向IP地址之后還包括記錄該惡意連線的通信內(nèi)容�。
12. 如權(quán)利要求IO所述的產(chǎn)品,其中該IP存活臨界值為小于一個(gè)月的時(shí) 間值�。
13. 如權(quán)利要求10所述的產(chǎn)品,其中該至少一特定IP地址為127.0.0.1 或?yàn)橹辽僖粌?nèi)連網(wǎng)IP地址�。
全文摘要
一種防止惡意連線通信的方法及系統(tǒng)。通過(guò)一安全模塊設(shè)定特定IP地址及其存活時(shí)間(TTL)��,判斷是否存在惡意連線���。還可以進(jìn)一步使惡意連線導(dǎo)向記錄模塊���,以獲得惡意連線的活動(dòng)內(nèi)容,用來(lái)防止與黑客惡意連線的通信���。
文檔編號(hào)H04L29/06GK101616141SQ200810128660
公開日2009年12月30日 申請(qǐng)日期2008年6月23日 優(yōu)先權(quán)日2008年6月23日
發(fā)明者黃瓊瑩 申請(qǐng)人:宏碁股份有限公司