知財求人 - 知財ポータルサイト「IP Force」
特許5872704悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5872704
(24)【登録日】2016年1月22日
(45)【発行日】2016年3月1日
(54)【発明の名称】悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法
(51)【国際特許分類】
H04L 12/66 20060101AFI20160216BHJP
【FI】
H04L12/66 B
【請求項の数】27
【全頁数】17
(21)【出願番号】特願2014-534702(P2014-534702)
(86)(22)【出願日】2012年10月4日
(65)【公表番号】特表2014-528678(P2014-528678A)
(43)【公表日】2014年10月27日
(86)【国際出願番号】US2012058687
(87)【国際公開番号】WO2013052621
(87)【国際公開日】20130411
【審査請求日】2014年4月3日
(31)【優先権主張番号】13/253,266
(32)【優先日】2011年10月5日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】505418238
【氏名又は名称】マカフィー, インコーポレイテッド
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【弁理士】
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】リーブマン,ニコラス
(72)【発明者】
【氏名】ティディ,ラウル
(72)【発明者】
【氏名】ビショップ,マイク
【審査官】
菊地 陽一
(56)【参考文献】
【文献】
国際公開第2010/025805(WO,A1)
【文献】
特開2003−273936(JP,A)
【文献】
米国特許出願公開第2006/0123482(US,A1)
【文献】
特開2003−288282(JP,A)
【文献】
特開2007−122749(JP,A)
【文献】
特開2009−048574(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
協調ソースブロッキングを実行するよう構成されるコンピュータシステムであって、
複数のコンピュータネットワークとの1以上の接続と、
相互に通信接続される1以上のプロセッサと、
を有し、
前記1以上のプロセッサは、
第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信に関する情報を第1ゲートウェイから受信するステップであって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されておらず、前記第1ゲートウェイは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、受信するステップと、
前記受信した情報に基づきスコアを決定するステップと、
協調ソースブロッキング方法における前記第1ゲートウェイの参加を示す参加状態を決定するステップと、
前記第1ゲートウェイへの送信用の第1レスポンスメッセージであって、前記スコアの表示とブロッキングリクエストインジケータとを有する前記第1レスポンスメッセージを準備するステップであって、前記ネットワークデータ送信がブロックされるべきであることを前記スコアが示すときでさえ、前記ブロッキングリクエストインジケータは、前記ソースアドレスからの以降の情報をブロックしないように前記第1ゲートウェイに要求する情報を有する、準備するステップと、
前記第1ゲートウェイへの前記第1レスポンスメッセージの送信を開始するステップと、
を実行するようまとめて構成され、
前記第1レスポンスメッセージは、前記参加状態が前記協調ソースブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストインジケータを有するコンピュータシステム。
複数のコンピュータネットワークとの1以上の接続と、
相互に通信接続される1以上のプロセッサと、
を有し、
前記1以上のプロセッサは、
第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信に関する情報を第1ゲートウェイから受信するステップであって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されておらず、前記第1ゲートウェイは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、受信するステップと、
前記受信した情報に基づきスコアを決定するステップと、
協調ソースブロッキング方法における前記第1ゲートウェイの参加を示す参加状態を決定するステップと、
前記第1ゲートウェイへの送信用の第1レスポンスメッセージであって、前記スコアの表示とブロッキングリクエストインジケータとを有する前記第1レスポンスメッセージを準備するステップであって、前記ネットワークデータ送信がブロックされるべきであることを前記スコアが示すときでさえ、前記ブロッキングリクエストインジケータは、前記ソースアドレスからの以降の情報をブロックしないように前記第1ゲートウェイに要求する情報を有する、準備するステップと、
前記第1ゲートウェイへの前記第1レスポンスメッセージの送信を開始するステップと、
を実行するようまとめて構成され、
前記第1レスポンスメッセージは、前記参加状態が前記協調ソースブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストインジケータを有するコンピュータシステム。
【請求項2】
前記ネットワークデータ送信は、電子メールメッセージ、ダウンロードオブジェクト、URL(Universal Resource Locator)、インスタントメッセージ、FTP(File Transfer Protocol)送信、HTTP(Hypertext Transfer Protocol)送信、VOIP(Voice Over Internet Protocol)送信又はこれらの組み合わせを含む、請求項1記載のコンピュータシステム。
【請求項3】
前記ネットワークデータ送信のプロトコルは、インターネットプロトコルバージョン4(IPv4)又はインターネットプロトコルバージョン6(IPv6)を含む、請求項1記載のコンピュータシステム。
【請求項4】
前記ソースアドレスは、インターネットプロトコル(IP)アドレス、ドメインネーム、URL、ホストネーム又はこれらの組み合わせを含む、請求項1記載のコンピュータシステム。
【請求項5】
前記第1ゲートウェイから受信した情報は、前記ネットワークデータ送信の少なくとも一部のフィンガープリントを含む、請求項1記載のコンピュータシステム。
【請求項6】
前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、第2ゲートウェイの前記ソースアドレスに対するブロッキング状態に基づく、請求項1記載のコンピュータシステム。
【請求項7】
前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記ネットワークデータ送信のソースアドレスに関連するネットワーク活動に基づく、請求項1記載のコンピュータシステム。
【請求項8】
前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記第1ゲートウェイのコンフィギュレーション情報に基づく、請求項1記載のコンピュータシステム。
【請求項9】
前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記決定されたスコアに基づく、請求項1記載のコンピュータシステム。
【請求項10】
当該コンピュータシステムは、クラウドリソースを含む、請求項1記載のコンピュータシステム。
【請求項11】
前記1以上のプロセッサはさらに、前記協調ソースブロッキング方法に参加する第2ゲートウェイに第2メッセージを送信するよう構成され、
前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスから送信を受信したかに関わらず、前記第1ゲートウェイにより受信されたネットワークデータ送信の前記ソースアドレスに関するブロッキングリクエストインジケータを含む、請求項1記載のコンピュータシステム。
前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスから送信を受信したかに関わらず、前記第1ゲートウェイにより受信されたネットワークデータ送信の前記ソースアドレスに関するブロッキングリクエストインジケータを含む、請求項1記載のコンピュータシステム。
【請求項12】
前記第2メッセージは、前記第2ゲートウェイに前記ソースアドレスをブロックしないよう要求するため、前記第2ゲートウェイに送信される、請求項11記載のコンピュータシステム。
【請求項13】
前記ソースアドレスをブロックしないためのリクエストは、前記ソースアドレスをブロックしないための期間を示す、請求項12記載のコンピュータシステム。
【請求項14】
前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスをブロックするよう要求するため、前記第2ゲートウェイに送信される、請求項13記載のコンピュータシステム。
【請求項15】
プログラム命令が格納された非一時的なコンピュータ可読媒体であって、
前記プログラム命令は、
第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信に関する情報を第1ゲートウェイから受信するステップであって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されておらず、前記第1ゲートウェイは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、受信するステップと、
前記受信した情報に基づきスコアを決定するステップと、
前記第1ゲートウェイが協調ソースブロッキング方法に参加しているかを示す参加状態を決定するステップと、
前記第1ゲートウェイへの送信用の第1レスポンスメッセージであって、前記スコアの表示とブロッキングリクエストインジケータとを有する前記第1レスポンスメッセージを準備するステップであって、前記ネットワークデータ送信がブロックされるべきであることを前記スコアが示すときでさえ、前記ブロッキングリクエストインジケータは、前記ソースアドレスからの以降の情報をブロックしないように前記第1ゲートウェイに要求する情報を有する、準備するステップと、
前記第1ゲートウェイへの前記第1レスポンスメッセージの送信を開始するステップと、
を実行するよう1以上のプロセッサを設定し、
前記第1レスポンスメッセージは、前記参加状態が前記協調ソースブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストインジケータを有するコンピュータ可読媒体。
前記プログラム命令は、
第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信に関する情報を第1ゲートウェイから受信するステップであって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されておらず、前記第1ゲートウェイは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、受信するステップと、
前記受信した情報に基づきスコアを決定するステップと、
前記第1ゲートウェイが協調ソースブロッキング方法に参加しているかを示す参加状態を決定するステップと、
前記第1ゲートウェイへの送信用の第1レスポンスメッセージであって、前記スコアの表示とブロッキングリクエストインジケータとを有する前記第1レスポンスメッセージを準備するステップであって、前記ネットワークデータ送信がブロックされるべきであることを前記スコアが示すときでさえ、前記ブロッキングリクエストインジケータは、前記ソースアドレスからの以降の情報をブロックしないように前記第1ゲートウェイに要求する情報を有する、準備するステップと、
前記第1ゲートウェイへの前記第1レスポンスメッセージの送信を開始するステップと、
を実行するよう1以上のプロセッサを設定し、
前記第1レスポンスメッセージは、前記参加状態が前記協調ソースブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストインジケータを有するコンピュータ可読媒体。
【請求項16】
前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記第1ゲートウェイの決定された参加状態と前記決定されたスコアとに基づく、請求項15記載のコンピュータ可読媒体。
【請求項17】
前記協調ソースブロッキング方法に参加する第2ゲートウェイに第2メッセージを送信するよう1以上のプロセッサを設定するためのプログラム命令をさらに有し、
前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスから送信を受信したかに関わらず、前記第1ゲートウェイにより受信される前記ネットワークデータ送信のソースアドレスに関するブロッキングリクエストインジケータを含む、請求項15記載のコンピュータ可読媒体。
前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスから送信を受信したかに関わらず、前記第1ゲートウェイにより受信される前記ネットワークデータ送信のソースアドレスに関するブロッキングリクエストインジケータを含む、請求項15記載のコンピュータ可読媒体。
【請求項18】
協調ソースアドレスブロッキング方法に参加するよう構成されるネットワーク装置ゲートウェイであって、
第1ネットワークと第2ネットワークとの1以上の接続であって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されず、当該ネットワーク装置ゲートウェイは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、1以上の接続と、
相互に通信接続される1以上のプロセッサと、
を有し、
前記1以上のプロセッサは、
前記第1ネットワーク上のソースアドレスから前記第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信を前記ソースアドレスから受信するステップと、
前記ネットワークデータ送信の少なくとも一部のフィンガープリント解析を実行するステップと、
前記フィンガープリント解析の表示、前記ソースアドレスの表示、及び当該ネットワーク装置ゲートウェイに関するブロッキングコンフィギュレーション情報を含む第1メッセージを中央ブロッキング協調コンピュータシステムに送信するステップであって、前記ブロッキングコンフィギュレーション情報は、当該ネットワーク装置ゲートウェイの協調ソースアドレスブロッキング方法における参加状態の表示を有する、送信するステップと、
前記第1メッセージに応答して、前記第1メッセージにおける情報に関するスコアとブロッキングリクエストとを含む第2メッセージを受信するステップであって、前記第1メッセージにおける情報に関するスコアが、前記ネットワークデータ送信が当該ネットワーク装置ゲートウェイによりブロックされるべきであることを示すときでさえ、前記ブロッキングリクエストは、前記ソースアドレスからの以降の情報をブロックしないよう当該ネットワーク装置ゲートウェイに要求する情報を有する、受信するステップと、
前記第2メッセージにおける情報と前記ブロッキングリクエストとに基づき、前記ソースアドレスからの通信をブロックするか又はブロックしないかを決定するステップと、
を実行するよう構成され、
前記第2メッセージは、前記参加状態が前記協調ソースアドレスブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストを有するネットワーク装置ゲートウェイ。
第1ネットワークと第2ネットワークとの1以上の接続であって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されず、当該ネットワーク装置ゲートウェイは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、1以上の接続と、
相互に通信接続される1以上のプロセッサと、
を有し、
前記1以上のプロセッサは、
前記第1ネットワーク上のソースアドレスから前記第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信を前記ソースアドレスから受信するステップと、
前記ネットワークデータ送信の少なくとも一部のフィンガープリント解析を実行するステップと、
前記フィンガープリント解析の表示、前記ソースアドレスの表示、及び当該ネットワーク装置ゲートウェイに関するブロッキングコンフィギュレーション情報を含む第1メッセージを中央ブロッキング協調コンピュータシステムに送信するステップであって、前記ブロッキングコンフィギュレーション情報は、当該ネットワーク装置ゲートウェイの協調ソースアドレスブロッキング方法における参加状態の表示を有する、送信するステップと、
前記第1メッセージに応答して、前記第1メッセージにおける情報に関するスコアとブロッキングリクエストとを含む第2メッセージを受信するステップであって、前記第1メッセージにおける情報に関するスコアが、前記ネットワークデータ送信が当該ネットワーク装置ゲートウェイによりブロックされるべきであることを示すときでさえ、前記ブロッキングリクエストは、前記ソースアドレスからの以降の情報をブロックしないよう当該ネットワーク装置ゲートウェイに要求する情報を有する、受信するステップと、
前記第2メッセージにおける情報と前記ブロッキングリクエストとに基づき、前記ソースアドレスからの通信をブロックするか又はブロックしないかを決定するステップと、
を実行するよう構成され、
前記第2メッセージは、前記参加状態が前記協調ソースアドレスブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストを有するネットワーク装置ゲートウェイ。
【請求項19】
当該ネットワーク装置ゲートウェイは、中央ブロッキング機能を実行するクラウドへの加入者として構成される、請求項18記載のネットワーク装置ゲートウェイ。
【請求項20】
前記スコアが設定された閾値を上回る場合に限って、前記ソースアドレスからの送信のブロッキングが実行される、請求項18記載のネットワーク装置ゲートウェイ。
【請求項21】
前記ソースアドレスからの送信のブロッキングは、当該ネットワーク装置ゲートウェイのローカルなコンフィギュレーション情報に基づき決定される、請求項18記載のネットワーク装置ゲートウェイ。
【請求項22】
前記第2メッセージはさらに、前記ソースアドレスからの以降の情報をブロックしないためのリクエストに関連する期間を示す、請求項18記載のネットワーク装置ゲートウェイ。
【請求項23】
前記第2メッセージはさらに、前記ソースアドレスに関するネットワーク通信情報を含み、
前記ソースアドレスからの送信のブロッキングは、前記ネットワーク通信情報に少なくとも部分的に基づき決定される、請求項18記載のネットワーク装置ゲートウェイ。
前記ソースアドレスからの送信のブロッキングは、前記ネットワーク通信情報に少なくとも部分的に基づき決定される、請求項18記載のネットワーク装置ゲートウェイ。
【請求項24】
前記ネットワークデータ送信は、電子メールメッセージ、ダウンロードオブジェクト、URL(Universal Resource Locator)、インスタントメッセージ、FTP(File Transfer Protocol)送信、HTTP(Hypertext Transfer Protocol)送信、VOIP(Voice Over Internet Protocol)送信又はこれらの組み合わせを含む、請求項18記載のネットワーク装置ゲートウェイ。
【請求項25】
前記ネットワークデータ送信のプロトコルは、インターネットプロトコルバージョン4(IPv4)又はインターネットプロトコルバージョン6(IPv6)を含む、請求項18記載のネットワーク装置ゲートウェイ。
【請求項26】
前記ソースアドレスは、インターネットプロトコル(IP)アドレス、ドメインネーム、URL、ホストネーム又はこれらの組み合わせを含む、請求項18記載のネットワーク装置ゲートウェイ。
【請求項27】
プログラム命令が格納された非一時的なコンピュータ可読媒体であって、
前記プログラム命令は、
第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛のネットワークデータ送信を受信するステップであって、1以上のプロセッサは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、受信するステップと、
前記ネットワークデータ送信の少なくとも一部のフィンガープリント解析を実行するステップと、
前記フィンガープリント解析の表示、前記ソースアドレスの表示及び前記1以上のプロセッサに関するブロッキングコンフィギュレーション情報を含む第1メッセージを中央ブロッキング協調コンピュータシステムに送信するステップであって、前記ブロッキングコンフィギュレーション情報は、ネットワーク装置ゲートウェイの協調ソースアドレスブロッキング方法における参加状態の表示を含む、送信するステップと、
前記第1メッセージに応答して、前記第1メッセージにおける情報に関するスコアとブロッキングリクエストとを含む第2メッセージを受信するステップであって、前記第1メッセージにおける情報に関するスコアが、前記ネットワークデータ送信が前記1以上のプロセッサによりブロックされるべきであることを示すときでさえ、前記ブロッキングリクエストは、前記ソースアドレスからの以降の情報をブロックしないよう前記1以上のプロセッサに要求する情報を有する、受信するステップと、
前記第2メッセージにおける情報と前記ブロッキングリクエストとに基づき、前記ソースアドレスからの通信をブロックするか、又はブロックしないか決定するステップと、
を実行するよう前記1以上のプロセッサを設定し、
前記第2メッセージは、前記参加状態が前記協調ソースアドレスブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストを有するコンピュータ可読媒体。
前記プログラム命令は、
第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛のネットワークデータ送信を受信するステップであって、1以上のプロセッサは選択されたネットワークデータ送信が前記第2ネットワークに到達することを防ぐことによって前記第2ネットワークをプロテクトするよう構成される、受信するステップと、
前記ネットワークデータ送信の少なくとも一部のフィンガープリント解析を実行するステップと、
前記フィンガープリント解析の表示、前記ソースアドレスの表示及び前記1以上のプロセッサに関するブロッキングコンフィギュレーション情報を含む第1メッセージを中央ブロッキング協調コンピュータシステムに送信するステップであって、前記ブロッキングコンフィギュレーション情報は、ネットワーク装置ゲートウェイの協調ソースアドレスブロッキング方法における参加状態の表示を含む、送信するステップと、
前記第1メッセージに応答して、前記第1メッセージにおける情報に関するスコアとブロッキングリクエストとを含む第2メッセージを受信するステップであって、前記第1メッセージにおける情報に関するスコアが、前記ネットワークデータ送信が前記1以上のプロセッサによりブロックされるべきであることを示すときでさえ、前記ブロッキングリクエストは、前記ソースアドレスからの以降の情報をブロックしないよう前記1以上のプロセッサに要求する情報を有する、受信するステップと、
前記第2メッセージにおける情報と前記ブロッキングリクエストとに基づき、前記ソースアドレスからの通信をブロックするか、又はブロックしないか決定するステップと、
を実行するよう前記1以上のプロセッサを設定し、
前記第2メッセージは、前記参加状態が前記協調ソースアドレスブロッキング方法への参加を示す場合に限って、前記ブロッキングリクエストを有するコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、一般にエンドユーザを特定された脅威からプロテクトしながら、特定のソース通信(特定のインターネットプロトコル(IP)アドレスを有するソースなど)をブロックすべきか制御するため、個々のネットワーク装置(ゲートウェイ)に影響を与えるためのレピュテーションサービスの分野に関する。より詳細には、限定することなく、本開示は、ある期間における“ブロック”されたIPアドレスからの通信を許可するため、(ユーザにより定義されたコンフィギュレーションパラメータに基づき)1以上のネットワーク装置のコンフィギュレーションを一時的に変更するためのシステム及び方法に関する。一時的に許可された通信は、当該IPアドレスからの全ての通信がネットワーク装置において実際にブロックされた場合に利用可能にならない脅威に関する情報を知るため利用可能である。
【背景技術】
【0002】
現在、EWS(Email and Web Security)装置は、それがある形態の脅威を検出すると、設定可能な時間(10分など)の間にインターネットプロトコル(IP)ソースアドレスをブロックするよう構成可能である。脅威全体を決定するための中央化システム(例えば、カリフォルニア州サンタクララのMcAfee,Inc.により提供されるグローバルスレットインテリジェンス(GTI)システムなど)及び方法は、受信した電子メールを利用して(エンドユーザにおいてでなく、解析を実行するプロセッサにおいて)、電子メールのフィンガープリントを生成する。これらのフィンガープリントは、常時インターネットをトラバースして脅威の正確なピクチャを取得するため、GTIにより利用されてもよい。
【0003】
しかしながら、IPアドレスが全てのネットワーク装置(ゲートウェイと呼ばれることもある)において完全にブロックされている場合、当該装置は、IPアドレスから電子メールを受信することはできず、このため、GTIに送信すべきデータをフィンガープリントすることができない。さらに、現在、全てのネットワーク装置は独立に動作し、全てが同一のIPアドレスをブロックすることが可能である。この結果、新たな脅威は効果的にはフィンガープリントされず、GTIはデータが不足し、GTIの有効性をおそらく低減する。
【0004】
現在、個別の装置に協調してIPアドレスをブロックするか具体的に指示する既知の従来技術の解決手段はない。現在の中央化された解決手段は、全てのゲートウェイ装置に同じレスポンスを提供し、個別のゲートウェイのコンフィギュレーションにIPがブロックされるべきか判断させる。このモデルによる1つの問題は、TrustedSourceTMとGTIとの双方が可能性のある脅威に関して十分な情報を受信しないかもしれないということである(TrustedSourceは、McAfee,Inc.の商標である)。
【0005】
上記及び他の問題を解決するため、ネットワーク装置のための中央管理システムを提供するための方法及びシステムが開示され、これにより、異なるネットワーク装置が自らのコンフィギュレーションを一時的に変更し、特定のIPアドレスから情報を収集し、その後、それらの以前に設定されたブロッキングファンクションを再開するため、協調された方法により指示可能である。
【図面の簡単な説明】
【0006】
【発明を実施するための形態】
【0007】
以下においてより詳細に説明される各種実施例は、特定されたIPアドレスからの電子メールの中央化及び協調された解析を実行するための技術を提供する。本開示は“IP”アドレスに具体的に言及したとしても、本開示のコンセプトは何れか特定バージョンのIP(IPv4,IPv6など)に限定されず、他のネットワーク技術及びプロトコルに適用可能であってもよい。“ブロック”されたIPアドレスなどのIPアドレスの参照が簡単化のため利用される。IPアドレスの具体的な参照はまた、悪意のある可能性のあるコンテンツに関する何れかの発信元のソースアドレス又は他のタイプの“発信元の指定”を含むようみなすことができる。
【0008】
開示された実施例の実現は、中央化された管理及び解析のためのリソースの“クラウド”を利用可能である。クラウドとやりとりする個々のサイト又は内部ネットワークは、クラウドのリソースの内部構造を気にする必要なく、インターネット上の脅威を与える可能性のある“ルージュホスト(rouge host)”よりグローバルなビューを確実にするため、協調された方法により参加可能である。解析がブロックされたIPアドレスに関する更なる情報の必要性を特定した場合、100%の時間で疑わしいIPアドレスをブロックせず、脅威の可能性の集約的なビューを向上させるための情報の更なる収集を可能にするように、リソース(ネットワーク装置など)が一時的に(再)設定可能である。開示の簡単化及び明確化のため、特定のソースホストからの特定の受信者に意図された電子メールのための実施例が主として開示される。しかしながら、ウェブページ又はコンテンツ(実行可能のダウンロードなど)に対するユーザのリクエストは、同様にユーザのリクエストを充足するため事前にブロック可能である。これらの例示的なケースの双方において、内部ネットワークは、所与の内部ネットワークに対するリスク耐性の範囲外とみなされうるオブジェクトからプロテクト可能である。
【0009】
図1は、一実施例によるネットワークアーキテクチャ100を示す。図示されるように、複数のネットワーク102が提供される。本ネットワークアーキテクチャ100に関して、ネットワーク102はそれぞれ、限定することなく、ローカルエリアネットワーク(LAN)、無線ネットワーク、インターネットなどのワイドエリアネットワーク(WAN)などを含む何れかの形態をとりうる。
【0010】
ネットワーク102上で通信可能なデータサーバコンピュータ104が、ネットワーク102に接続される。また、複数のエンドユーザコンピュータ106が、ネットワーク102及びデータサーバコンピュータ104に接続される。このようなデータサーバコンピュータ104及び/又はクライアントコンピュータ106はそれぞれ、デスクトップコンピュータ、ラップトップコンピュータ、携帯コンピュータ、携帯電話、周辺装置(プリンタなど)、コンピュータの何れかのコンポーネント及び/又は他の何れかのタイプのロジックを含むものであってもよい。ネットワーク102の間の通信を実行するため、少なくとも1つのゲートウェイ又はルータ108が、任意的にそれらの間に接続される。
【0011】
図2を参照して、一実施例による接続技術の拒絶の協調を提供する際に利用される一例となる処理装置200が、ブロック図の形式により示される。処理装置200は、ゲートウェイ若しくはルータ108、クライアントコンピュータ106又はサーバコンピュータ104として機能してもよい。一例となる処理装置200は、システム260のための入力装置(キーボード、マウス、タッチ画面など)とディスプレイ270とに任意的に接続されるシステムユニット210を有する。プログラム記憶装置(PSD)280(ハードディスク又はコンピュータ可読媒体とも呼ばれる)が、システムユニット210に含まれる。また、ネットワークを介し他の計算及び企業インフラストラクチャ装置(図示せず)と通信するためのネットワークインタフェース240が、システムユニット210に含まれる。ネットワークインタフェース240は、システムユニット210に含まれてもよいし、又はシステムユニット210の外部であってもよい。何れのケースでも、システムユニット210はネットワークインタフェース240に通信接続される。プログラム記憶装置280は、限定することなく、ソリッドステートを含み、着脱可能な媒体を含む全ての形態の光及び磁気記憶要素を含む何れかの形態の不揮発性ストレージを表し、システムユニット210内に含まれてもよいし、又はシステムユニット210の外部であってもよい。プログラム記憶装置280は、システムユニット210を制御するためのソフトウェア、処理装置200により利用されるデータ又はその双方を格納するため利用されてもよい。
【0012】
システムユニット210は、本開示による方法を実行するようプログラムされてもよい(その一例は図4Bにある)。システムユニット210は、プロセッサユニット(PU)220、入出力(I/O)インタフェース250及びメモリ230を有する。処理ユニット220は、例えば、メインフレームプロセッサ、インテルコーポレイションのIntel Atom(登録商標)、Core(登録商標)、Pentium(登録商標)及びCeleron(登録商標)プロセッサファミリの1以上のメンバ、ARMからのCortex及びARMプロセッサファミリを含む何れかのプログラマブルコントローラ装置を含むものであってもよい。INTEL、INTEL ATOM、CORE、PENTIUM(登録商標)及びCELERONは、インテルコーポレーションの登録商標である。CORTEXは、ARM Limited Corporationの登録商標である。ARMは、ARM Limited Companyの登録商標である。メモリ230は、1以上のメモリモジュールを含み、RAM(Random Access Memory)、ROM(Read Only Memory)、PROM(Programable Read Only Memory)、プログラマブルリードライトメモリ及びソリッドステートメモリを有してもよい。PU220はまた、キャッシュメモリなどを含むある内部メモリを含むものであってもよい。
【0013】
処理装置200は、何れか所望のオペレーティングシステム上にあってもよい。実施例は、何れか所望のプログラミング言語を用いて実現されてもよく、協調IPブロッキングソフトウェアのプロバイダ、オペレーティングシステムのプロバイダ、又は他の何れか所望の適切なライブラリルーチンのプロバイダにより提供される実行可能なルーチンの外部ライブラリにリンクされる1以上の実行可能なプログラムとして実現されてもよい。
【0014】
処理装置200上で開示される実施例を実行するための準備において、開示される実施例を実行するため処理装置200を設定するためのプログラム命令が、何れかのタイプの非一時的コンピュータ可読媒体に提供及び格納されるか、又はサーバ104からプログラム記憶装置280にダウンロードされてもよい。ここで用いられる“コンピュータシステム”という表現は、単一のコンピュータと、コンピュータシステムにより実行されるものとして説明される機能を提供するため一緒に動作する複数の個別コンピュータを含む。
【0015】
図3を参照して、ブロック図300はGTIクラウド310の一例を示す。GTIクラウド310は、クラウドのクライアントがクラウドリソースの複雑さを理解したり、又はクラウドリソースのサポートを提供することを要求することなく、複数のクライアント(加入者とも呼ばれる)に対する中央化された機能を提供可能である。GTIクラウド310の内部には、典型的には、複数のサーバ(サーバ1(320)及びサーバ2(340)など)が存在する。各サーバは、典型的には、専用のデータストア(330,350など)と、おそらく中央DB360などの中央データストアとに接続される。各通信パスは、典型的には、通信パス325,345,361,362,370により表されるネットワーク又は直接的な接続である。図300は2つのサーバと1つの中央データベースとを示すが、同等な実現形態は、個別のデータベース、論理的な中央データベースを構成するデータベースの階層、又は双方の組み合わせを有する又は有さない多数のサーバの形態をとりうる。さらに、複数の通信パス及び通信パスのタイプ(有線ネットワーク、無線ネットワーク、直接的なケーブル、スイッチされたケーブルなど)が、GTIクラウド310の各コンポーネント間に存在しうる。このような変形は、当業者に知られており、さらにはここでは説明されない。また、ここではクラウドリソースとして開示されるが、GTIクラウド310の機能の本質は、他の実施例では、組織の内部の従来構成されたリソース(すなわち、クラウド構成されていない)により実行可能である。
【0016】
図4Aを参照して、フローチャート400は、レピュテーションサービスからの(フィンガープリントデータに基づく)スコア及びそれのコンフィギュレーションの組み合わせのみに基づき、IPアドレスをブロックするネットワーク装置の従来技術を示す。すなわち、ゲートウェイ108などのネットワーク装置は隔離され、他の何れかのネットワーク装置の現在のアクションを依存しない。ブロック401からスタートして、ネットワーク装置108は、インターネットなどの外部ネットワーク上のリモートホストから電子メールを受信する(ネットワーク装置108はリモートホストに関連するIPアドレスをすでにブロックしていないと仮定する)。受信後、典型的には電子メールがネットワーク装置108の“他の”(内部など)サイドのネットワークに入ることを許可する前、ネットワーク装置108は、ブロック402においてフィンガープリント解析を実行する。また、ブロック402において、フィンガープリント解析からのデータとリモートホストの発信元の接続に関する情報(IPアドレス、ホストネームネーム)とが、レピュテーションサービス(RS)を実行する信頼されたソースサービス(TSS)に送信される。TSSは、典型的には、暗黙的に信頼され、それの利用者により依拠される情報のプロバイダ(すなわち、ソース)である。TSSは、典型的には、それのサービスの何れかのためそれに接続するクライアントにより既知及び認証される。RSは、オブジェクトに関して他のエンティティが保持する意見のコレクションに基づき、コミュニティ又はドメイン内のオブジェクトセット(サービスプロバイダ、サービス、商品又はエンティティなど)のためのレピュテーションスコアを計算及び公開するTSSの1つの機能とすることが可能である。次に、ブロック403において、RSは、RSに利用可能な情報から脅威レベル(すなわち、スコア)を決定する。RSに利用可能な情報は、RSにおいて以前に受信された情報と共に、対象となるオブジェクトに関するネットワーク装置108から送信されるデータを含む。RSにおける解析後、RSは、オブジェクトに対するスコアをネットワーク装置108に送信する(ブロック404)。上述されるように、スコアは、RSに利用可能な関連する情報により決定されるようなオブジェクトのリストレベルを示す。最後に、ブロック405において、ネットワーク装置108は、オブジェクトがそれの意図する受信者に前進する(又は許可されたオブジェクトにアクセスする)ことを許可するか判断する。許可されない場合、ネットワーク装置108は、オブジェクトへのアクセス又は送信をブロック可能である。また、それのコンフィギュレーションに基づき、ネットワーク装置108は、ある期間において特定された対象ホストのIPアドレスからの以降の通信をブロックしてもよい(例えば、デフォルトで10分間など)。
【0017】
図4Bを参照して、フローチャート410は、あるネットワーク装置108が開示される一実施例により実現可能な中央サービスを介し他のネットワーク装置とIPアドレスの協調されたブロッキングを実行することを可能にする従来技術と異なる技術を示す。ブロック420からスタートして、ネットワーク装置108は、電子メール(又は他のオブジェクトリクエスト)を受信する。次に、ブロック430において、ネットワーク装置108は、フィンガープリント処理(又は同様のタイプ解析)を実行し、情報をRSに送信可能である。ネットワーク装置108は、その後、RSを実行するTSSにフィンガープリントデータ及び送信元の接続情報を送信する。従来技術と異なって、ネットワーク装置108は、RSによる解析用の追加的な情報を送信可能である。追加的な情報は、装置識別情報、装置コンフィギュレーション情報、現在のブロッキング情報及びネットワーク通信情報の1以上を含むことが可能である。ブロック440において、一実施例では、RSは、従来技術と同一又は同様の方法によりオブジェクトの脅威レベルを決定可能である。ブロック450において、RSは、特定のネットワーク装置108が更なるサンプルを受信するよう制御可能であるか決定可能である(すなわち、ネットワーク装置108は、ここに開示されるような協調ブロッキングに参加している)。RSは、装置の参加状態に基づき、ネットワーク装置108に送信するレスポンスのタイプを決定可能である(ブロック460)。当該装置が参加していない場合(判定470のNO分岐)、RSは、従来技術と全く同様に装置にスコアを送信可能である(ブロック475)。あるいは、装置が参加している場合(判定470のYES分岐)、RSは、(何れの時間においてもブロックしないよう指示するゼロであってもよい)ブロッキングフラグ及び/又は要求されたブロッキング時間に加えて、スコアにより従来技術と異なるレスポンスを送信可能である(ブロック480)。最後に、ブロック490において、エンハンスされた情報を受信するネットワーク装置(ゲートウェイ)は、それのブロッキング戦略を更新可能である。装置が示唆された時間においてブロックし(例えば、可能な追加的なローカルコンフィギュレーション設定など)、設定/要求された時間においてブロックすることが許可されているかに基づき、ブロッキング戦略が更新可能である。
【0018】
上記説明から明らかなように、ここに開示される実施例は、ネットワーク装置及びTSS/RSが協調して他の参加しているネットワーク装置と一緒に動作することを可能にし、これにより、TSS/RSは双でない場合には全体的にブロックされる情報を受信し続けることが可能である。従って、TSS/RSは、TSS/RSに加入する全てのクライアントにエンハンスされたより包括的な情報を提供できる。TSS/RSは、以前にブロックされたデータの更なる解析を実行するよう求められる装置を過剰な負担をさせないため、不要な“非ブロッキングリクエスト”が最小限に維持されることを確実にするため、何れのクライアントが参加しているか、またどのように参加しているかトラッキング可能である。また、ここに具体的に開示される実施例では、RSオブジェクトはウェブサイト及び電子メールを有するが、他のタイプのオブジェクトが想定され、本開示のコンセプトを利用可能である。例えば、RSは、IPアドレス(接続のソース)、会話属性(送信者/受信者など)、当該IPが他のメールサーバと接続した回数のカウント(頻度)を集計してもよい。また、ルージュホストの特定とルージュホストのブロッキングとの双方が複数の電子メールに適用可能であり、FTP(File Transfer Protocol)、HTTP(Hypertext Transfer Protocol)、VOIP(Voice Over IP)、IM(Instant Messaging)などの何れかの個数のIP技術が含まれてもよいことに留意することが重要である。
【0019】
図5を参照して、ブロック図500は、図4Bの技術を利用した協調ブロッキングを実行するよう構成される複数のネットワーク装置(540及び550)を介しインターネット(510)及び互いに接続リンク501により接続される複数のネットワーク(520及び530)を示す。ネットワーク520,530は、単一の組織の2つの異なる物理若しくは論理ネットワーク又は2つの異なる組織の内部ネットワークであってもよい2つの異なるネットワークを表す。例えば、地理的に分散された組織の2つの地域的な分割又は単一の組織の2つの分割は、異なるセキュリティ要求を有してもよい。上記のケースの何れかにおいて、ネットワーク520はネットワーク装置1A〜N(540)を介し外部接続され、ネットワーク530はネットワーク装置2A〜N(550)を介し外部接続される。
【0020】
ネットワーク520は、1以上のネットワーク装置1A〜N(540)を介しインターネット510に接続される企業ネットワークの典型であってもよい簡単化された内部ネットワークを示す。1以上の電子メールサーバ522、複数の内部コンピュータ及びネットワークデバイス(ICND)524,526は、ネットワーク520の内部にある。ICND1A(524)は単一のコンピュータネットワークデバイスを表し、ICND1B〜1N(526)は、追加的なルータ、ラップトップコンピュータ、デスクトップコンピュータ又は他のデバイスであってもよい複数の他のコンピュータネットワークデバイスを表す。各ネットワークデバイスは、当業者に知られるようなネットワーク及びネットワークプロトコルを用いて、有線接続又は無線接続を介しネットワークに接続されてもよい。以下の具体例は、複数の内部装置(522,524,526)がインターネット510などの外部ネットワークとの接続を提供する1以上のネットワーク装置540とどのようにやりとり可能であるか示す。同様に、ネットワーク530は、ネットワーク装置550を介しインターネット510に接続される各内部装置を有する電子メールサーバ532、単一のICND2A534及び複数のISND2B〜2N536の第2セットを有する第2内部ネットワークを示す。上述されるように、IPアドレスをブロックする従来技術は、全てのネットワーク装置540がネットワーク装置550から独立に動作させる。他方、開示される実施例は、ネットワーク装置540及び550が、互いに直接的に通信しないか、又は互いを実際に知らなくても、GTIクラウド310において利用可能な中央化情報により“協調”的に動作することを可能にする。
【0021】
インターネット510は、実際のインターネットのかなり簡単化された図を示す。インターネット510は、複数の外部電子メールサーバ1〜N(514)、複数の外部ウェブサーバ1〜N、可能性のあるルージュサーバ1〜N(517)及び図3からのGTIクラウド310を含む。当業者に知られるように、インターネット510の各サーバは、一意的なアドレス及び識別情報を有し、一部のサーバが正当なサーバであり、他のサーバがルージュサーバとして脅威の可能性を提供する。ここで用いられるルージュサーバは、スパム、マルウェア、ウイルス、DoS(Denial of Service)攻撃などを介しサービスを混乱させる可能性のある方法によって動作するサーバ又は正当なサーバになりすましたサーバを表す。ルージュサーバは、実際、それが適切な方法により現在機能しておらず、他のネットワークの混乱のカスケードを防ぐための期間においてブロックされるべきである方法により影響を受けた正当なサーバであるかもしれない。
【0022】
以下の具体例は、単一の組織に属してもよいし、属さなくてもよいが、整合性のあるRSに接続され、RSと協調して動作可能なネットワーク装置の1つの可能なシナリオを概略する。本例は、RSが脅威からエンドユーザをプロテクトしながら、それが特定のIPアドレスをブロックすべきか制御するため個々のゲートウェイにRSが影響を与えることを可能にする。まず、ゲートウェイは、それが意図する受信者(ICND524など)に送信する前に、解析用の電子メールを受信する。ゲートウェイは、フィンガープリント処理を実行し、フィンガープリントデータ、送信元接続情報、ゲートウェイブロッキングコンフィギュレーション情報(ブロックするか、又はブロックしないか、また、ブロックするよう設定される場合にはブロッキング時間など)、受信レート(おそらく以前のX分からのブロックされた接続を含む当該IPアドレスからゲートウェイが接続を受信するレートなど)を送信する。RSは、脅威レベルを決定し、ゲートウェイが疑わしいIPアドレスからサンプルを受信し続けることを所望するか判断する。RSの判断は、ユーザがIPアドレスをブロックするか、又はブロックしないようゲートウェイを設定したか、及び他のゲートウェイがIPアドレスから脅威を受けているかに基づくものとすることが可能である。RSはさらに、そうでない場合にはブロックされたIPアドレスからゲートウェイが受信し続けることを要求したい時間を決定し、当該ゲートウェイ及び他のゲートウェイにおいてIPアドレスから接続が到来しているレートに当該リクエストを基づかせることが可能である。次に、RSは、特定の電子メールのスコア(ゲートウェイが当該メッセージにより実行すべきことを知ることができるように)、ゲートウェイがIPアドレスをブロック可能であるか(RSの観点から)示すフラグ、及びRSがIPアドレスをゲートウェイにブロックしてもらいたい時間によって、レスポンスを要求元のゲートウェイに送信可能である。この結果、ゲートウェイがIPアドレスをブロックすることが許可され、ユーザがブロックするようゲートウェイを設定した場合、IPアドレスは設定された時間においてブロック可能である。明らかなように、ゲートウェイは依然として、既知の悪意あるインターネットホストから脅威をブロックするための効果的な手段としてIPアドレスブロッキングを利用可能であり、RSは、最初の脅威がアドレスから検出されるとすぐに、全ての装置が当該IPアドレスをブロックしているため、レピュテーションシステムが効果的に動作可能でない状態を低減又は解消し、それの効果を維持するのに十分なサンプルデータを受信する可能性がある。
【0023】
上述されるように、RSは、特定のゲートウェイがIPアドレスをブロックすべき時間を決定できる。当該決定は、ゲートウェイがそれ自体のコンフィギュレーションに基づき同意又は不同意することが可能な“リクエスト”としてゲートウェイに送信可能である。ゲートウェイによる同意の決定は、ゲートウェイの他のローカルなコンフィギュレーションパラメータと共に返される実際のスコアに基づくものとしてもよい。あるいは、RS及びゲートウェイは、RSの決定がローカルなコンフィギュレーションを無効にするマスタ・スレーブ構成において構成可能である。ゲートウェイにおける更なる他のローカルコンフィギュレーション設定は、スコアが所定の範囲内にあるか、又は閾値以下/以上であるときに限って、RSが増谷なることを許可することが可能である。“リクエスト”に同意すべきか判断するゲートウェイのための上記及び他の組み合わせがまた可能である。
【0024】
上記の説明では、説明のため、多数の具体的な詳細が、開示された実施例の完全な理解を提供するため与えられる。しかしながら、開示された実施例はこれらの具体的な詳細なく実現可能であることは、当業者に明らかであろう。他の例では、開示された実施例を不明瞭にすることを回避するため、構成及び装置がブロック図により示される。サブスクリプト又はサフィックスのない数字の参照は、参照された数字に対応するサブスクリプト及びサフィックスの全てのインスタンスを参照すると理解される。さらに、本開示で利用される言語は、可読性及び教示のため主として選択され、本発明の主題を確定又は制限するため選択されたものでなく、本発明の主題を決定するには、請求項に依拠される必要がある。明細書における“一実施例”又は“実施例”という表現は、当該実施例に関連して説明される特定の特徴、構成又は特性が少なくとも1つの開示された実施例に含まれることを意味し、“一実施例”又は“実施例”の参照は、必ずしも全てが同一の実施例を参照しているとは理解されるべきでない。
【0025】
上記説明は例示的であり、限定的であることを意図していないことが理解されるべきである。例えば、上述された実施例は、互いに組み合わせて利用されてもよい。他の多くの実施例は、上記説明を参照した当業者に明らかであろう。従って、本発明の範囲は、請求項に付与される均等の完全な範囲と共に、添付した請求項を参照して決定されるべきである。添付した請求項では、“含む”及び“その中で”という用語は、“有する”及び“ここで”の各用語の平易な英語の均等として利用される。
【0026】
ここに開示される複数の実施例は、協調ソースブロッキング方法を実行するよう構成されるコンピュータシステムであって、複数のコンピュータネットワークとの1以上の接続と、相互に通信接続される1以上のプロセッサとを有し、前記1以上のプロセッサは、第1ネットワーク上のソースアドレスから第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信に関する情報を第1ゲートウェイから受信するステップであって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されていない、受信するステップと、前記受信した情報に基づきスコアを決定するステップと、協調ソースブロッキング方法における前記第1ゲートウェイの参加を示す参加状態を決定するステップと、前記第1ゲートウェイへの送信用の第1レスポンスメッセージであって、前記スコアの表示とブロッキングリクエストインジケータとを有する前記第1レスポンスメッセージを準備するステップと、前記第1ゲートウェイへの前記第1レスポンスメッセージの送信を開始するステップとを実行するようまとめて構成されるコンピュータシステムを含む。コンピュータシステムはまた、前記第1レスポンスメッセージは、前記参加状態が前記協調ソースブロッキング方法への参加を示す場合に限って、ブロッキングリクエストインジケータを有することが可能である。コンピュータシステムは、前記ネットワークデータ送信は、電子メールメッセージ、ダウンロードオブジェクト、URL(Universal Resource Locator)、インスタントメッセージ、FTP(File Transfer Protocol)送信、HTTP(Hypertext Transfer Protocol)送信、VOIP(Voice Over Internet Protocol)送信又はこれらの組み合わせを含む、ことを有することが可能である。コンピュータシステムは、前記ネットワークデータ送信のプロトコルは、インターネットプロトコルバージョン4(IPv4)又はインターネットプロトコルバージョン6(IPv6)を含む、ことを有することが可能である。コンピュータシステムは、前記ソースアドレスは、インターネットプロトコル(IP)アドレス、ドメインネーム、URL、ホストネーム又はこれらの組み合わせを含む、ことを有することが可能である。コンピュータシステムは、前記第1ゲートウェイから受信した情報は、前記ネットワークデータ送信の少なくとも一部のフィンガープリントを含む、ことを有することが可能である。コンピュータシステムは、前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、第2ゲートウェイの前記ソースアドレスに対するブロッキング状態に基づく、ことを有することが可能である。コンピュータシステムは、前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記ネットワークデータ送信のソースアドレスに関連するネットワーク活動に基づく、ことを有することが可能である。コンピュータシステムは、前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記第1ゲートウェイのコンフィギュレーション情報に基づく、ことを有することが可能である。コンピュータシステムは、前記第1レスポンスメッセージにおけるブロッキングリクエストインジケータは、前記決定されたスコアに基づく、ことを有することが可能である。コンピュータシステムは、クラウドリソースとして構成可能である。コンピュータシステムは、前記1以上のプロセッサはさらに、前記協調ブロッキング方法に参加する第2ゲートウェイに第2メッセージを先行して送信するよう構成され、前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスから送信を受信したかに関わらず、前記第1ゲートウェイにより受信されたネットワークデータ送信の前記ソースアドレスに関するブロッキングリクエストインジケータを含む、ことを有することが可能である。また、前記第2メッセージは、前記第2ゲートウェイに前記ソースアドレスをブロックしないよう要求するため、前記第2ゲートウェイに送信されることが可能である。また、前記ソースアドレスをブロックしないためのリクエストは、前記ソースアドレスをブロックしないための期間を示すことが可能である。前記第2メッセージは、前記第2ゲートウェイが前記ソースアドレスをブロックするよう要求するため、前記第2ゲートウェイに送信されることが可能である。
【0027】
また、協調ソースアドレスブロッキング方法に参加するよう構成されるネットワーク装置ゲートウェイであって、第1ネットワークと第2ネットワークとの1以上の接続であって、前記第1ネットワークと前記第2ネットワークとは互いに直接的には接続されない、1以上の接続と、相互に通信接続される1以上のプロセッサとを有し、前記1以上のプロセッサは、前記第1ネットワーク上のソースアドレスから前記第2ネットワーク上のデスティネーションアドレス宛てのネットワークデータ送信を前記ソースアドレスから受信するステップと、前記ネットワークデータ送信の少なくとも一部のフィンガープリント解析を実行するステップと、前記フィンガープリント解析の表示、前記ソースアドレスの表示、及び当該ネットワーク装置ゲートウェイに関するブロッキングコンフィギュレーション情報を含む第1メッセージを中央ブロッキング協調コンピュータシステムに送信するステップであって、前記ブロッキングコンフィギュレーション情報は、当該ネットワーク装置ゲートウェイの協調ソースアドレスブロッキング方法における参加状態の表示を有する、送信するステップと、前記第1メッセージに応答して、前記第1メッセージにおける情報に関するスコアとブロッキングリクエストとを含む第2メッセージを受信するステップと、前記第2メッセージにおける情報と前記ブロッキングリクエストとに基づき、前記ソースアドレスからの通信をブロックするか又はブロックしないかを決定するステップとを実行するよう構成されるネットワーク装置ゲートウェイが開示される。当該ネットワーク装置ゲートウェイは、中央ブロッキング機能を実行するクラウドへの加入者として構成されることが可能である。ネットワーク装置は、前記ソースアドレスからの送信をブロックするよう示すブロッキングリクエストを送信可能である。ネットワーク装置は、前記スコアが設定された閾値を上回る場合に限って、前記ソースアドレスからの送信のブロッキングのために構成可能である。ネットワーク装置は、前記ソースアドレスからの送信のブロッキングは、当該ネットワーク装置ゲートウェイのローカルなコンフィギュレーション情報に基づき決定されるよう構成可能である。ネットワーク装置は、前記第2メッセージはさらに、前記ソースアドレスからの送信をブロックするためのリクエストに関連する期間を示すよう構成可能である。ネットワーク装置は、前記第2メッセージはさらに、前記ソースアドレスに関するネットワーク通信情報を含み、前記ソースアドレスからの送信のブロッキングは、前記ネットワーク通信情報に少なくとも部分的に基づき決定されるよう構成可能である。ネットワーク装置は、前記ネットワークデータ送信は、電子メールメッセージ、ダウンロードオブジェクト、URL(Universal Resource Locator)、インスタントメッセージ、FTP(File Transfer Protocol)送信、HTTP(Hypertext Transfer Protocol)送信、VOIP(Voice Over Internet Protocol)送信又はこれらの組み合わせを含むよう構成可能である。ネットワーク装置は、前記ネットワークデータ送信のプロトコルは、インターネットプロトコルバージョン4(IPv4)又はインターネットプロトコルバージョン6(IPv6)を含むよう構成可能である。ネットワーク装置は、前記ソースアドレスは、インターネットプロトコル(IP)アドレス、ドメインネーム、URL、ホストネーム又はこれらの組み合わせを含むよう構成可能である。もちろん、コンピュータ可読媒体は、上述したネットワーク装置を構成するための命令を格納可能である。