用于检测对虚拟专用网络的恶意规避的方法和系统的制作方法

用于检测对虚拟专用网络的恶意规避的方法和系统的制作方法
【技术领域】
[0001]在此公开和要求保护的本发明一般地涉及一种用于检测对虚拟专用网络(VPN)的恶意或其它不希望的规避的方法和系统。
【背景技术】
[0002]在当前工作环境中，当企业或其它组织的员工未在传统的办公环境时，他们通常需要连接到至关重要的企业资源。实际上，例如他们可能必须从家里、从宾馆房间、从客户位置，或者在旅行时从移动设备连接。因为这些资源通常受防火墙保护，所以通常通过使用虚拟专用网络(VPN)实现访问，虚拟专用网络允许员工从其客户机设备(例如，膝上型计算机、平板计算机、电话等)安全地访问资源。如所属技术领域的技术人员已知的，VPN是一种专用网络，其跨诸如因特网之类的公共网络延伸。因此，客户机设备可以跨公共网络发送和接收数据，好像客户机设备直接连接到企业网络。
[0003]各种认证和加密方法用于控制谁可以建立VPN连接，并且还用于保护通过VPN连接交换的数据。VPN通过添加需要在可以访问资源之前规避的额外防御层，起着保护资源免受外部攻击的作用。VPN具有的进一步作用是在数据来往于客户机传输时防止窃取数据。
[0004]在建立VPN连接之后，员工可以经常通过与在企业位置时可用的连接性类似的连接性，访问所有企业资源。这种访问通常通过在客户机设备上安装各种“IP路由”实现，IP路由通过VPN引导目标为企业服务器的业务。用于并非企业控制的服务器的第三方的业务(例如，到可公开访问的信息网站的业务)可以直接从客户机设备流向第三方服务器，或者在某些配置中也可以通过企业VPN服务器路由。
[0005]现有技术的问题是无法防止恶意创建的路由，这些路由可以中断或拦截预期的业务流模式。通过使用各种技术(例如，恶意WiFi热点分发的其它路由或专门创建的IP地址分配)，攻击者可以拦截和操纵旨在使用VPN发送到企业的业务。如果攻击者可以获得对另一个VPN帐户的访问(例如，通过恶意或粗心的内部人员)，则可以例如通过使用从无特权企业帐户获得的VPN证书，使用获得的访问拦截来自特权用户(例如，系统管理员或高级员工)的通信而不被注意。

【发明内容】

[0006]本发明的各实施例提供一种用于通过根据使用的路由和计时分析IP响应模式，检测拦截VPN保护的业务的企图的方法。如果在响应模式中检测到差异，则可以采取适当的操作，如VPN连接终止，或者向VPN用户或系统管理员发送警报。本发明的各实施例仅依赖于企业资源，而不是安装在客户机上的代理。这非常重要，因为攻击者可以操纵客户机的代理。此外，某些客户机平台可以允许不足以检查客户机配置的代理。例如，1S设备通常严格限制被允许用于已安装客户机的操作，并且检查路由表以检测错误配置也许是不可能的。
[0007]—个涉及计算机实现的方法的实施例与虚拟专用网络(VPN)关联，所述虚拟专用网络可用于访问一个或多个资源服务器。所述方法包括以下步骤:确定指定客户机已访问所述VPN。响应于确定所述指定客户机已访问所述VPN，选择均可由于异常而被误用的一个或多个IP地址，所述异常源于操纵由所述指定客户机使用的路由表。所述方法还包括监视流到或流出所述指定客户机的选定网络业务，其中所述业务中的至少一些业务与相应IP地址关联，并通过所述VPN路由到或路由出所述指定客户机。从所监视的业务获得指定信息，以及使用所获得的信息判定是否已危及从所述指定客户机到所述VPN的业务的路由。
【附图说明】
[0008]图1是示出本发明的各实施例解决的一种类型的攻击情形的示意图；
[0009]图2是示出在实现本发明的各实施例中使用的组件的框图；
[0010]图3是示出包括本发明的一个实施例的方法的步骤的流程图；
[0011]图4是示出其中可以实现本发明的一个实施例的数据处理系统网络的框图；
[0012]图5是示出可在实现本发明的各实施例中使用的计算机或数据处理系统的框图。
【具体实施方式】
[0013]所属技术领域的技术人员知道，本发明的各个方面可以实现为系统、方法或计算机程序产品。因此，本发明的各个方面可以具体实现为以下形式，即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。此外，本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式，该计算机可读介质中包含计算机可读的程序代码。
[0014]可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是一但不限于一电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPR0M或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0015]计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括一但不限于一电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0016]计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括一但不限于一无线、有线、光缆、RF等等，或者上述的任意合适的组合。
[0017]可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各个方面的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言一诸如Java、Smalltalk、C++等，还包括常规的过程式程序设计语言一诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络一包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0018]下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
[0019]也可以把这些计算机程序指令存储在计算机可读介质中，这些指令使得计算机、其它可编程数据处理装置、或其它设备以特定方式工作，从而，存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
[0020]也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。
[0021]参考图1，示出由员工或其它用户(未示出)操作的客户机设备102，该员工或其它用户与诸如商业企业之类的组织关联。用户想要访问具有企业的一个或多个敏感资源104-108的远程服务器，方法是通过虚拟专用网络(VPN)服务器110建立到远程服务器的连接。资源104、106和108在图1中也分别称为资源1、2和N。通常，VPN服务器110和客户机设备