本发明专利技术公开了用于分组杀毒的方法、系统和计算机可读介质。特定方法拦截分组流的分组,分组流根据特定协议被发送。基于与特定协议相关联的规范来分析分组。基于分析,可以用经杀毒的数据值来替换分组的字段中的数据值,以创建经杀毒的分组。经杀毒的分组可以被注入到分组流中,或者可以任选地被转发至签名模块,签名模块检验经杀毒的分组中是否有恶意内容。当发现恶意内容时,可以丢弃经杀毒的分组,可以记录经杀毒的分组,可以重定向经杀毒的分组,或者可以将关于经杀毒的分组的通知发送至管理员。
【技术实现步骤摘要】
【国外来华专利技术】分组的杀毒处理背景信息技术(IT)专家和IT部门通常采用网络安全系统来防止安全威胁损害计算环境。网络安全系统经常包括用于监视诸如因特网通信量这样的网络通信量中是否有已知安全威胁的工具。监视网络通信量可以包括检查组成网络通信量的各个分组。然而,一般检查各个分组中是否有已知安全威胁。因而,可能不能检测到未知的安全威胁。概述本专利技术描述了按照已公开的规范的协议杀毒处理,所述已公开的规范诸如协议规范、请求注解(RFC)文档、因特网草案、研究出版物、会议出版物和幻灯片、以及备有证明文件的预期的应用行为特征。对流入和流出计算环境的分组流的分组进行拦截。分组流根据特定协议被发送。基于特定协议的规范来分析分组。当分析表明特定分组包括含有有问题的(例如无效的)数据值的字段时,数据值可被经杀毒的值代替,以创建经杀毒的分组。经杀毒的分组然后被回注到分组流中。所产生的经杀毒的分组可以服从基于签名的验证,经杀毒的分组与恶意分组签名相比较。如果发现匹配,则可以采取安全动作(例如,丢弃分组、重写分组、记录分组、或重定向分组)。可以从与特定协议相关联的已公开的规范中所包括的常见值列表中检索经杀毒的值。因此,系统可以实施和扩展符合协议的已公开标准的准则使用。提供概述以便以简化形式介绍在以下具体实施方式中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。附图说明图1是示出分组杀毒系统的具体实施例的框图;图2是示出分组杀毒系统的另一具体实施例的框图;图3是示出分组杀毒方法的具体实施例的流程图;图4是示出分组杀毒方法的另一具体实施例的流程图;图5是示出分组杀毒方法的另一具体实施例的流程图;以及图6是包括可用于支持如图1-5所示的计算机实现的方法、计算机程序产品以及系统组件的实施方式的计算设备的计算环境的框图。详细描述在特定的实施例中,公开了包括拦截分组流的分组在内的方法。分组流包括根据特定协议发送的数据。方法还包括基于与特定协议相关联的规范来分析该分组。基于分析, 可以用经杀毒的数据值来替换分组的字段的数据值,以创建经杀毒的分组。方法包括将经杀毒的分组注入到分组流中。在另一具体实施例中,公开了包括网络接口、分析模块、杀毒模块在内的系统。网络接口被配置成拦截分组流中的分组并且将经杀毒的分组注入到分组流中。分组和经杀毒的分组符合一特定协议。分析模块被配置成将分组与特定协议的协议规范相比较。杀毒模块被配置成标识分组中的包含无效数据值的任一字段。杀毒模块还被配置成用经杀毒的数据值来替换无效数据值以形成经杀毒的分组。在另一特定实施例中,公开了包括指令的计算机可读介质,所述指令在由计算机执行时使计算机接收分组流的分组,所述分组流以特定的网络协议来发送。计算机可读介质还包括在由计算机执行时使计算机基于与网络协议相关联的规范来分析分组的指令。基于该分析,标识了分组的特定字段中的无效数据值。计算机可读介质包括在由计算机执行时使计算机从特定字段的常见数据值列表中检索经杀毒的数据值的指令。计算机可读介质还包括在由计算机执行时使计算机用经杀毒的数据值来替换特定字段内的无效数据值以形成经杀毒的分组的指令。经杀毒的分组与一个或多个恶意分组签名相比较以形成经杀毒的和经签名验证的分组。计算机可读介质包括在由计算机执行时使计算机执行以下操作的指令当比较未标识出经杀毒的分组和一个或多个恶意分组签名的任一个之间的匹配时, 将经杀毒的和经签名验证的分组发送到目标计算设备。图1是示出分组杀毒系统100的具体实施例的框图。系统100包括网络接口 110, 网络接口 110被配置成拦截分组流102的分组(例如分组104)。网络接口 110还被配置成将诸如经杀毒的分组106这样的分组注入到分组流102中。网络接口 110在通信上耦合至分析模块120并且耦合至杀毒模块130。分析模块120和杀毒模块130也在通信上彼此耦I=I O分组流102可以根据特定协议来发送。例如,并且不加限制,特定协议可以包括超文本传输协议(HTTP)、超文本传输协议安全(HTTPQ、文件传输协议(FTP)、传输控制协议 (TCP)、因特网控制消息协议(ICMP)、服务器消息块(SMB)、简单网络管理协议(SNMP)、因特网消息访问协议(IMAP)、表格数据流(TDS)、邮局协议(P0P3)、简单邮件传输协议(SMTP)或远程过程调用(RPC)。网络接口 110可以是诸如以太网接口这样的有线数据通信接口、或者是诸如IEEE 802. 11兼容无线接口这样的无线数据通信接口。网络接口 110可以拦截分组流102中的分组(诸如分组104),并且将所拦截的分组发送至分析模块120。分析模块120被配置成从网络接口 110接收所拦截的分组,并且可以包括逻辑122 以将所拦截的分组与协议规范IM相比较。逻辑122可以将分组104与协议规范IM相比较。在具体的实施例中,协议规范IM包括与特定协议相关联的请求注解(RFC)文档或者与特定协议相关联的因特网草案。在另一特定实施例中,协议规范1 包括与特定协议相关联的应用的备有证明文件的预期应用行为特征。例如,协议规范1 可以表明,由特定web 浏览器发送的HTTP分组一般包括符合特定格式的头部区段。分析模块120也可以被配置成将分组104和分析结果108发送至杀毒模块130。杀毒模块130可以从分析模块120接收分组104和关于分组104的分析结果108。 杀毒模块130可以包括用于标识包含无效数据值的分组字段的逻辑132。例如,逻辑132 可以基于分析结果108(并因此基于协议规范124)来标识分组104中包含无效数据值的字段。应当注意,无效数据值不需要是恶意的。相反,无效数据值可以不符合已公开的规范 (例如,分组104可以包括具有比已公开协议规范中提供的最大可接受长度还长的长度的数据字段)。数据值也可以偏离备有证明文件的预期应用行为。杀毒模块130还可以包括逻辑134,用于用经杀毒的数据值来替换无效数据值从而创建经杀毒的分组106。杀毒模块130被配置成将诸如经杀毒的分组106这样的经杀毒的分组发送至网络接口 110,用于重新注入到分组流102中。在一特定实施例中,分组104 包括校验和值,杀毒模块130在将经杀毒的分组106发送至网络接口之前,重新计算经杀毒的分组106的校验和值。由于分组104和经杀毒的分组106之间的数据差异,校验和值可能需要被重新计算。分析模块120和杀毒模块130可以在开放系统互连(OCS)参考模型中的高于网络层的一个或多个层上进行操作。例如,分析模块120和杀毒模块130可以在传输层、会话层、 表示层或应用层中的一个或多个上进行操作。在一特定实施例中,分析模块120和杀毒模块130位于同一位置(例如,位于同一计算设备处)。计算设备可以是个人计算机、服务器、网关、防火墙、基于主机的入侵检测和防御系统或某一其他计算设备。或者,分析模块120和杀毒模块130可以是分布式的(即, 位于不同的地点)。例如,分析模块120和杀毒模块130可以位于分布式入侵检测和防御系统的不同计算设备处。操作中,网络接口 110可以拦截分组系统102的分组104,其中分组流102按照特定协议被发送。例如本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2009.05.08 US 12/437,5591.一种方法,包括拦截(30 分组流(102)的分组(104),其中所述分组流(10 根据特定协议被发送;基于与所述特定协议相关联的规范(124)来分析(304)所述分组(104);基于所述分析,用经杀毒的数据值来替换(306)分组的字段中的数据值,以创建经杀毒的分组(106);以及将经杀毒的分组(106)注入(308)到分组流(102)中。2.如权利要求1所述的方法,其特征在于,所述数据值不是恶意的数据值。3.如权利要求1所述的方法,其特征在于,所述规范是所述特定协议的协议规范、与所述特定协议相关联的请求注解(RFC)文档、以及与所述特定协议相关联的因特网草案中的一个。4.如权利要求1所述的方法,其特征在于,所述规范包括与所述特定协议相关联的计算机应用的备有证明文件的预期行为特征。5.如权利要求1所述的方法,其特征在于,所述分组包括校验和,所述方法还包括为经杀毒的分组计算经修改的校验和。6.如权利要求1所述的方法,其特征在于,当字段的安全评级为低安全评级时,所述经杀毒的数据值可由拦截所述分组的计算机的用户修改,当字段的安全评级为高安全评级时,所述经杀毒的数据值不可由拦截所述分组的计算机的用户修改。7.如权利要求1所述的方法,还包括,为所述特定协议保持常见字段数据值的列表,其中,所述经杀毒的数据值是所述字段的常见字段数据值。8.如权利要求7所述的方法,其特征在于,所...
【专利技术属性】
技术研发人员:A·辛格,T·A·加纳查亚,S·兰伯特,N·J·利维奇,S·巴楼得,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。