分組的殺毒處理的製作方法

2023-09-12 19:20:15

專利名稱：分組的殺毒處理的製作方法
分組的殺毒處理背景信息技術(IT)專家和IT部門通常採用網絡安全系統來防止安全威脅損害計算環境。網絡安全系統經常包括用於監視諸如網際網路通信量這樣的網絡通信量中是否有已知安全威脅的工具。監視網絡通信量可以包括檢查組成網絡通信量的各個分組。然而，一般檢查各個分組中是否有已知安全威脅。因而，可能不能檢測到未知的安全威脅。概述本發明描述了按照已公開的規範的協議殺毒處理，所述已公開的規範諸如協議規範、請求註解(RFC)文檔、網際網路草案、研究出版物、會議出版物和幻燈片、以及備有證明文件的預期的應用行為特徵。對流入和流出計算環境的分組流的分組進行攔截。分組流根據特定協議被發送。基於特定協議的規範來分析分組。當分析表明特定分組包括含有有問題的(例如無效的)數據值的欄位時，數據值可被經殺毒的值代替，以創建經殺毒的分組。經殺毒的分組然後被回注到分組流中。所產生的經殺毒的分組可以服從基於籤名的驗證，經殺毒的分組與惡意分組籤名相比較。如果發現匹配，則可以採取安全動作(例如，丟棄分組、重寫分組、記錄分組、或重定向分組)。可以從與特定協議相關聯的已公開的規範中所包括的常見值列表中檢索經殺毒的值。因此，系統可以實施和擴展符合協議的已公開標準的準則使用。提供概述以便以簡化形式介紹在以下具體實施方式
中進一步描述的一些概念。本概述並不旨在標識所要求保護主題的關鍵特徵或必要特徵，也不旨在用於限制所要求保護主題的範圍。


圖1是示出分組殺毒系統的具體實施例的框圖；圖2是示出分組殺毒系統的另一具體實施例的框圖；圖3是示出分組殺毒方法的具體實施例的流程圖；圖4是示出分組殺毒方法的另一具體實施例的流程圖；圖5是示出分組殺毒方法的另一具體實施例的流程圖；以及圖6是包括可用於支持如圖1-5所示的計算機實現的方法、電腦程式產品以及系統組件的實施方式的計算設備的計算環境的框圖。詳細描述在特定的實施例中，公開了包括攔截分組流的分組在內的方法。分組流包括根據特定協議發送的數據。方法還包括基於與特定協議相關聯的規範來分析該分組。基於分析， 可以用經殺毒的數據值來替換分組的欄位的數據值，以創建經殺毒的分組。方法包括將經殺毒的分組注入到分組流中。在另一具體實施例中，公開了包括網絡接口、分析模塊、殺毒模塊在內的系統。網絡接口被配置成攔截分組流中的分組並且將經殺毒的分組注入到分組流中。分組和經殺毒的分組符合一特定協議。分析模塊被配置成將分組與特定協議的協議規範相比較。殺毒模塊被配置成標識分組中的包含無效數據值的任一欄位。殺毒模塊還被配置成用經殺毒的數據值來替換無效數據值以形成經殺毒的分組。在另一特定實施例中，公開了包括指令的計算機可讀介質，所述指令在由計算機執行時使計算機接收分組流的分組，所述分組流以特定的網絡協議來發送。計算機可讀介質還包括在由計算機執行時使計算機基於與網絡協議相關聯的規範來分析分組的指令。基於該分析，標識了分組的特定欄位中的無效數據值。計算機可讀介質包括在由計算機執行時使計算機從特定欄位的常見數據值列表中檢索經殺毒的數據值的指令。計算機可讀介質還包括在由計算機執行時使計算機用經殺毒的數據值來替換特定欄位內的無效數據值以形成經殺毒的分組的指令。經殺毒的分組與一個或多個惡意分組籤名相比較以形成經殺毒的和經籤名驗證的分組。計算機可讀介質包括在由計算機執行時使計算機執行以下操作的指令當比較未標識出經殺毒的分組和一個或多個惡意分組籤名的任一個之間的匹配時， 將經殺毒的和經籤名驗證的分組發送到目標計算設備。圖1是示出分組殺毒系統100的具體實施例的框圖。系統100包括網絡接口 110， 網絡接口 110被配置成攔截分組流102的分組(例如分組104)。網絡接口 110還被配置成將諸如經殺毒的分組106這樣的分組注入到分組流102中。網絡接口 110在通信上耦合至分析模塊120並且耦合至殺毒模塊130。分析模塊120和殺毒模塊130也在通信上彼此耦
I=I O分組流102可以根據特定協議來發送。例如，並且不加限制，特定協議可以包括超文本傳輸協議(HTTP)、超文本傳輸協議安全(HTTPQ、文件傳輸協議(FTP)、傳輸控制協議 (TCP)、網際網路控制消息協議(ICMP)、伺服器消息塊(SMB)、簡單網絡管理協議(SNMP)、網際網路消息訪問協議(IMAP)、表格數據流(TDS)、郵局協議(P0P3)、簡單郵件傳輸協議(SMTP)或遠程過程調用(RPC)。網絡接口 110可以是諸如乙太網接口這樣的有線數據通信接口、或者是諸如IEEE 802. 11兼容無線接口這樣的無線數據通信接口。網絡接口 110可以攔截分組流102中的分組(諸如分組104)，並且將所攔截的分組發送至分析模塊120。分析模塊120被配置成從網絡接口 110接收所攔截的分組，並且可以包括邏輯122 以將所攔截的分組與協議規範IM相比較。邏輯122可以將分組104與協議規範IM相比較。在具體的實施例中，協議規範IM包括與特定協議相關聯的請求註解(RFC)文檔或者與特定協議相關聯的網際網路草案。在另一特定實施例中，協議規範1 包括與特定協議相關聯的應用的備有證明文件的預期應用行為特徵。例如，協議規範1 可以表明，由特定web 瀏覽器發送的HTTP分組一般包括符合特定格式的頭部區段。分析模塊120也可以被配置成將分組104和分析結果108發送至殺毒模塊130。殺毒模塊130可以從分析模塊120接收分組104和關於分組104的分析結果108。 殺毒模塊130可以包括用於標識包含無效數據值的分組欄位的邏輯132。例如，邏輯132 可以基於分析結果108(並因此基於協議規範124)來標識分組104中包含無效數據值的欄位。應當注意，無效數據值不需要是惡意的。相反，無效數據值可以不符合已公開的規範 (例如，分組104可以包括具有比已公開協議規範中提供的最大可接受長度還長的長度的數據欄位)。數據值也可以偏離備有證明文件的預期應用行為。
殺毒模塊130還可以包括邏輯134，用於用經殺毒的數據值來替換無效數據值從而創建經殺毒的分組106。殺毒模塊130被配置成將諸如經殺毒的分組106這樣的經殺毒的分組發送至網絡接口 110，用於重新注入到分組流102中。在一特定實施例中，分組104 包括校驗和值，殺毒模塊130在將經殺毒的分組106發送至網絡接口之前，重新計算經殺毒的分組106的校驗和值。由於分組104和經殺毒的分組106之間的數據差異，校驗和值可能需要被重新計算。分析模塊120和殺毒模塊130可以在開放系統互連(OCS)參考模型中的高於網絡層的一個或多個層上進行操作。例如，分析模塊120和殺毒模塊130可以在傳輸層、會話層、 表示層或應用層中的一個或多個上進行操作。在一特定實施例中，分析模塊120和殺毒模塊130位於同一位置(例如，位於同一計算設備處)。計算設備可以是個人計算機、伺服器、網關、防火牆、基於主機的入侵檢測和防禦系統或某一其他計算設備。或者，分析模塊120和殺毒模塊130可以是分布式的(即， 位於不同的地點)。例如，分析模塊120和殺毒模塊130可以位於分布式入侵檢測和防禦系統的不同計算設備處。操作中，網絡接口 110可以攔截分組系統102的分組104，其中分組流102按照特定協議被發送。例如，分組104可以是網際網路控制消息協議(ICMP)分組。然後，網絡接口 110可以將所攔截的分組104發送至分析模塊120。分析模塊120可以將分組104與協議規範124相比較。在該情況下，由於分組104是ICMP分組，因此協議規範124與ICMP相關。 例如，協議規範1 可以包括RFC 792、與ICMP相關聯的已公開的RFC文檔。當協議規範 124包括RFC 792時，比較可以包括將分組104與為了 RFC 792中提供的ICMP分組而提供的各種可接受消息格式相比較。分析模塊120然後可以將分組104和分析結果108發送至殺毒模塊130。用於標識包含殺毒模塊130的無效數據值在內的分組欄位的邏輯132可以標識分組104中的包含無效數據值的欄位。例如，邏輯132可以標識，儘管分組104是ICMP echo_ request分組或ICMP echo_reply分組，但分組104包括含有信息的數據欄位。在ICMP中， echo_request和eCho_i^ply分組用於「查驗(ping) 」遠程計算設備，以檢測遠程計算設備是否可經由網絡訪問。因而，儘管ICMP規範(和RFC 792)允許ICMP分組具有數據負載， 但是echo_request和echo_i^ply分組通常具有空數據欄位(RFC 792表明當處理echo_ request和echo_i^ply分組時可以忽視數據欄位值)。當echo_request分組或echo_i^ply 分組在數據欄位中有信息時，遠程攻擊者可能嘗試偷偷摸摸地經由數據欄位傳送信息(例如，諸如信用卡號和社保卡號這樣的安全信息)。因此將理解，即使在分組中的可能有害的數據符合協議規範時，邏輯132也可以標識該數據。一旦已經確定分組104包括含有無效數據值的欄位，用經殺毒的數據值來替換無效數據值的邏輯134可以用經殺毒的數據值來替換分組104中的無效數據值、以形成經殺毒的分組106。例如，當分組104是數據欄位中有信息的eCh0_requeSt或eCho_i^ply分組時，邏輯134可以從數據欄位刪除該信息(例如用二進位零序列替換該信息)，從而形成經殺毒的分組106。然後，殺毒模塊130可以將經殺毒的分組106發送至網絡接口 110，網絡接口 110可以將經殺毒的分組106注入到分組流102中。將理解，圖1的系統100可以啟用高層的分組殺毒。例如，圖1的系統100可以允許在OSI參考模型的傳輸層、會話層、表示層和應用層的分組殺毒。還將理解，即使在並不知道含有數據的分組為惡意時(例如，不符合已公開的協議規範或偏離預期的應用行為)， 圖1的系統100也可以對分組進行殺毒。圖2是示出分組殺毒系統200的另一具體實施例的框圖。系統200包括網絡接口 210，網絡接口 110被配置成攔截分組流202的分組(例如，代表性分組204)。網絡接口還被配置成將諸如經殺毒的和經籤名驗證的分組208這樣的分組注入到分組流202中。系統 200還包括在通信上耦合至網絡接口 210並且耦合至殺毒模塊230的分析模塊220和籤名模塊對0。在一示例性實施例中，分組流202是圖1的分組流102，分析模塊220是圖1的分析模塊120，殺毒模塊230是圖1的殺毒模塊130。分組流202可以根據特定協議被發送。網絡接口 210可以是有線數據通信網絡接口或無線數據通信網絡接口。在攔截了分組流202的分組之後，網絡接口 210可以將經攔截的分組發送至分析模塊220。例如，網絡接口 210可以攔截分組204並且將分組204發送至分析模塊220。分析模塊220被配置成從網絡接口 210接收所攔截的分組，並且可以包括邏輯222 以將所攔截的分組與協議規範2M相比較。例如，邏輯222可以將分組204與協議規範2M 相比較。在具體的實施例中，協議規範2M包括與特定協議相關聯的請求註解(RFC)文檔、 與特定協議相關聯的網際網路草案、或者與特定協議相關聯的預期應用行為。協議規範2M 可以以這樣一種語言定義，所述語言諸如可擴展標記語言(XML)、通用應用層協議分析器語言(GAPAL)、二進位表示或某一其他語言。協議規範2M可以以任何語言來定義。分析模塊 220也可以被配置成將分組204和分析結果2 發送至殺毒模塊230。殺毒模塊230可以從分析模塊220接收分組204和關於分組204的分析結果226。 殺毒模塊230可以包括用於標識包含無效數據值的分組欄位的邏輯232。例如，邏輯232 可以基於分析結果226(並因此基於協議規範224)來標識分組204中包含無效數據值的欄位。應當注意，無效值不需要是惡意的。例如，無效數據值可能不符合已公開的協議規範或者偏離正常行為。殺毒模塊230還可以包括邏輯234，用於用經殺毒的數據值來替換無效數據值從而創建經殺毒的分組206。在一個具體實施例中，從包含各種協議的常見欄位值的列表中檢索經殺毒的數據值。常見欄位值的列表可以包括在協議規範2M中或者可以位於別處。或者，當欄位的安全評級時為低安全評級時，經殺毒的值可以是用戶指定的和用戶可修改的， 當欄位的評級為高安全評級時，經殺毒的值可以是系統指定的並且用戶不可修改的。殺毒模塊230也可以被配置成將諸如經殺毒的分組206這樣的經殺毒的分組發送至籤名模塊 2400在具體的實施例中，殺毒模塊130也可以用經殺毒的數據值來替換有效數據值以創建經殺毒的分組206。籤名模塊240被配置成從殺毒模塊230接收經殺毒的分組。籤名模塊240可以包括邏輯242和邏輯246從而創建經殺毒的和經籤名驗證的分組208，邏輯242用於將經殺毒的分組與惡意分組籤名244相比較，邏輯246用於基於比較來採取安全動作。例如，邏輯 242可以將經殺毒的分組206與惡意分組籤名244相比較，如果在經殺毒的分組206和任一惡意分組籤名244之間發現匹配，則邏輯246可以採取安全動作。惡意的分組籤名244可以包括與惡意軟體、安全漏洞、或網絡入侵企圖相關聯的籤名。例如，惡意的分組籤名244可以包括已知包含計算機病毒載荷的分組的籤名。安全動作可以包括但不限於丟棄經殺毒的分組206、重寫經殺毒的分組206、記錄經殺毒的分組206、重定向經殺毒的分組206或者將關於經殺毒的分組206的通知發送至管理員。通知可以是即時的或近乎即時的，並且其形式可以是簡單消息傳送系統(SMS)消息或電子郵件(email)。例如，經殺毒的分組206 可以被丟棄(例如，不經轉發就被丟棄)、被重寫為包括非惡意數據(例如，已知的惡意載荷可用零值來替換)、被記錄在網絡安全事件日誌(例如，由系統管理員用來測量網絡安全措施的有效性的日誌)中、或者被重定向至分組的目標接收者以外的計算設備供進一步分析 (例如，系統管理員的計算機或攻擊仿真的蜜罐(honeypot))。當用於採取安全動作的邏輯 246不丟棄經殺毒的分組時，籤名模塊240可以將所產生的經殺毒的和經籤名驗證的分組 208發送到網絡接口 210，用於注入到分組流202中。在操作中，網絡接口 210可以攔截根據特定協議發送的分組流202中的分組。例如，分組204可以是遠程過程調用(RPC)分組。網絡接口 210可以將所攔截的分組204發送至分析模塊220。分析模塊220可以將分組204與協議規範2M相比較，其中協議規範關於RPC。例如，協議規範2M可以是用於RPC的GAPAL規範。分析模塊220然後可以將分組 204和分析結果2 發送至殺毒模塊230。用於標識包含無效數據值在內的分組欄位的邏輯232可以標識分組204中的包含無效數據值的欄位。例如，邏輯232可以標識分組204在一欄位中包括圖樣「..\」，該欄位將被傳遞至RPC的通用命名慣例(UNC)標準化函數。應當注意，這一圖樣可以被用作 「Conficker」螺蟲病毒的傳播媒介。一旦已經確定分組204包括含有無效數據值的欄位，用經殺毒的數據值來替換無效數據值的邏輯234可以用經殺毒的數據值來替換分組204中的無效數據值、從而創建經殺毒的分組206。例如，經殺毒的分組206可以根據協議規範224、 通過從欄位中移除「.\」圖樣以及圖樣前的目錄名稱來創建。殺毒模塊230然後可以將經殺毒的分組206發送至籤名模塊M0。籤名模塊240可以將經殺毒的分組206與惡意的分組籤名244相比較，其中惡意的分組籤名244包括惡意的RPC分組的籤名。在具體的實施例中，比較包括檢查經殺毒的分組206中是否出現與惡意的分組籤名244相關聯的正規表達式。基於比較，籤名模塊MO 可以採取安全動作。例如，經殺毒的分組206可以被記錄。然後，籤名模塊240可以將所產生的經殺毒的和經籤名驗證的分組208發送至網絡接口 210，網絡接口 210然後可以將經殺毒的和經籤名驗證的分組208注入到分組流202中供後續的傳送和處理。應當理解，圖2的系統200與可以以各種語言定義的協議規範兼容。由此，圖2的系統200可用於第三方協議規範。與第三方協議規範的兼容性可以減少系統管理員為了用協議技術中的變化保持更新圖2的系統200而需要的工作還應當理解，通過用常見的欄位值替換無效的欄位值、以及通過不允許用戶修改高安全評級的欄位的經殺毒的值，圖2的系統200可以基於已公開的和同業審查的(peer-reviewed)標準來實施協議安全準則。還將理解，圖2的系統200可以基於經殺毒的分組和惡意分組籤名之間的比較來採取安全動作，進一步減少了通過圖2的系統200的惡意分組未被檢測的機會。圖3是示出分組殺毒方法300的具體實施例的流程圖。在一說明性實施例中，方法300可以由圖1的系統100或圖2的系統200來執行。方法300包括在302攔截分組流的分組。分組流根據特定協議被發送。例如，在圖1中，網絡接口 110可以攔截分組流102的分組104，其中分組104是ICMP分組。方法300還包括在304基於與特定協議相關聯的規範來分析該分組。例如，在圖 1中，分析模塊120可以基於協議規範124來分析ICMP分組104，協議規範124與ICMP相關聯。方法300還包括，在306，基於所述分析，用經殺毒的數據值替換分組的欄位的數據值，以創建經殺毒的分組。例如，在圖1中，殺毒模塊130可以替換ICMP分組104的欄位的數據值以創建經殺毒的分組106。方法300包括在308將經殺毒的分組注入到分組流中。例如，在圖1中，網絡接口 110可以將經殺毒的分組106注入到分組流102。將要理解，圖3的方法300可以基於協議規範來啟用高層分組殺毒，包括對包含不知道是惡意的數據(例如不符合已公開的協議規範或偏離預期行為)在內的分組進行殺毒。因此可以理解，圖3的方法300可以標識隨機的或者尚未被完全開發和測試的未知惡意軟體。圖4是示出分組殺毒方法400的另一具體實施例的流程圖。在所示實施例中，可由圖2的系統200執行方法400。方法400包括在402攔截分組流的分組。分組流根據特定協議被發送，分組包括校驗和。例如，在圖2中，網絡接口 210可以攔截分組流202的分組204，其中分組流202按照特定協議(例如RPC)被發送。方法400還包括在404基於與特定協議相關聯的規範來分析該分組。規範可以是協議規範、RFC文檔、網際網路草案，或者可以包括與特定協議相關聯的計算機應用的預期行為特徵。例如，在圖2中，分析模塊220可以將分組204與協議規範2M相比較(例如，RPC 協議規範)。協議規範2M在此參考圖2進行討論。方法400還包括，在406，基於所述分析，用經殺毒的數據值替換分組的欄位的數據值，以創建經殺毒的分組。當欄位的安全評級時為低安全評級時，經殺毒的值可以是用戶可修改的，當欄位的安全評級為高安全評級時，經殺毒的值可以是用戶不可修改的。例如， 在圖2中，殺毒模塊230可以替換分組204的欄位的數據值以創建經殺毒的分組206。方法400包括，在408為經殺毒的分組計算經修改的校驗和。例如，在圖2中，殺毒模塊230可以計算經殺毒的分組206的經修改的校驗和。方法400還包括，在410將經殺毒的分組與惡意分組籤名相比較。比較可以包括檢查經殺毒的分組中是否出現與惡意的分組籤名相關聯的正規表達式。例如，在圖2中，籤名模塊240可以將經殺毒的分組206與惡意的分組籤名244相比較。方法400還包括，在412，基於與惡意的分組籤名的比較採取安全動作，並且創建經殺毒的和經籤名驗證的分組。安全動作可以包括丟棄經殺毒的分組、重寫經殺毒的分組、記錄經殺毒的分組、重定向經殺毒的分組、或者將關於經殺毒的分組的通知發送至管理員。例如，在圖2中，籤名模塊240可以基於籤名比較來採取安全動作(例如，用零值重寫經殺毒的分組206中的惡意值)。方法400包括在414將經殺毒的和經籤名驗證的分組注入到分組流中。例如，在圖2中，網絡接口 210可以將經殺毒的和經籤名驗證的分組208注入到分組流202。應當理解，圖4的方法400既能對分組進行殺毒，又能對分組進行籤名驗證。還應當理解，通過為經殺毒的分組計算經修改的校驗和，圖4的方法400可以遵循這樣的協議安全策略，所述策略在特定分組的校驗和不對應於特定分組的數據時(即，特定分組在通過期間已被修改)、自動地丟棄特定分組。圖5是示出分組殺毒方法500的另一具體實施例的流程圖。在所示實施例中，可由圖2的系統200執行方法500。方法500包括在502接收分組流的分組。分組流根據特定網絡協議被發送。例如， 參照圖2，分析模塊220可以從網絡接口 210接收分組204。方法500還包括在504基於與特定網絡協議相關聯的規範來分析該分組。例如， 參照圖2，分析模塊220可以將分組204與協議規範2M相比較。方法500還包括，在506，基於所述分析，標識分組的特定欄位中的無效和非惡意的數據值。例如，參照圖2，分析模塊220可以標識分組204的特定欄位中的無效和非惡意 數據值。方法500包括，在508，從特定欄位的常見數據值的列表中檢索經殺毒的數據值。 例如，參照圖2，殺毒模塊230可以從特定欄位的常見數據值的列表中檢索經殺毒的值。方法500還包括，在510，用經殺毒的數據值來替換特定欄位中的無效和非惡意的數據值以形成經殺毒的分組。例如，參照圖2，殺毒模塊230可以用經殺毒的數據值來替換無效和非惡意的數據值以形成經殺毒的分組206。方法500還包括，在512，將經殺毒的分組與一個或多個惡意分組籤名相比較以形成經殺毒的和經籤名驗證的分組。例如，參照圖2，籤名模塊240可以將經殺毒的分組206 與惡意的分組籤名244相比較，並且可以形成經殺毒的和經籤名驗證的分組208。方法500包括，在514，當比較未標識出經殺毒的分組和一個或多個惡意分組籤名的任一個之間的匹配時，將經殺毒的和經籤名驗證的分組發送至目標計算設備。例如，參照圖2，網絡接口 210可以通過將經殺毒的和經籤名驗證的分組208注入到分組流202中，來將經殺毒的和經籤名驗證的分組208發送至目標計算設備。還將理解，圖5的方法可以通過基於協議規範、用經殺毒的值來替換無效的和非惡意的數據值，來實施所定義的協議準則。例如，在ICMP的情況下，圖5的方法500可以通過移除ICMP echo_request分組和ICMP echo_i^ply分組的數據欄位中的數據，來實施 ICMP安全準則。圖6示出了根據本公開的計算環境600的框圖，包括可以支持計算機實現的方法、 電腦程式產品，以及系統組件的實施例的計算設備610。在所示實施例中，計算設備610 可以包括圖1的系統組件120和130或者圖2的系統組件220、230和240中的一個或多個。 圖1的組件120和130或者圖2的組件220、230和MO中的每一個可包括計算設備610或
其一部分。計算設備610通常包括至少一個處理器620和系統存儲器630。取決於計算設備的配置和類型，系統存儲器630可以是易失性的(諸如隨機存取存儲器，即「RAM」)、非易失性的(諸如只讀存儲器，即「ROM」)、快閃記憶體以及即使在未提供電源時也保持已存儲數據的類似存儲器設備)或兩者的某種組合。系統存儲器630通常包括作業系統632、一個或多個應用程式平臺634、一個或多個應用程式636，並可包括程序數據638。在說明性實施例中， 系統存儲器630可以包括這裡所公開的一個或多個模塊。例如，系統存儲器630可以包括
10圖1的分析模塊120和圖1的殺毒模塊130中的一個或多個。舉另一個例子，圖6的系統存儲器630可以包括圖2的分析模塊220、圖2的殺毒模塊230、圖2的籤名模塊MO中的一個或多個。計算設備610還可具有附加特徵或功能。例如，計算設備610還可包括可移動和 /或不可移動附加數據存儲設備，諸如磁碟、光碟、磁帶和標準大小的或微型快閃記憶體卡。在圖6 中通過可移動存儲器640和不可移動存儲器650示出這樣的附加存儲。計算機存儲介質可包括以用於存儲諸如計算機可讀指令、數據結構、程序組件或其他數據的信息的任何方法和/或技術實現的易失性和/或非易失性存儲器、可移動和/或不可移動介質。系統存儲器630、可移動存儲640和不可移動存儲650都是計算機存儲介質的示例。計算機存儲介質包括，但不限於，RAM、ROM、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其它存儲器技術、 緊緻盤(CD)、數字多功能盤(DVD)或其它光存儲、磁帶盒、磁帶、磁碟存儲或其它磁性存儲設備、或可用於存儲信息且可以由計算設備610訪問的任何其它介質。任何這樣的計算機存儲介質都可以是計算設備610的一部分。計算設備610也可具有輸入設備660，如鍵盤、 滑鼠、筆、語音輸入設備、觸摸輸入設備等等。也可包括輸出設備670，如顯示器、揚聲器、印表機等等。計算設備610還包含允許該計算設備610通過有線或無線網絡與其它計算設備 690進行通信的一個或多個通信連接680。在所示實施例中，通信連接680包括圖1的網絡接口 110或圖2的網絡接口 210。一個或多個通信連接680是通信介質的一個示例。作為示例而非限制，通信介質可包括諸如有線網絡或直接線連接之類的有線介質，以及諸如聲學、射頻(RF)、紅外線和其他無線介質之類的無線介質。然而，可以理解，並非所有圖6所示或以其他方式在先前的附圖中描述的組件或設備都必須支持此處所描述的實施例。例如，輸入設備660和輸出設備 670可以是任選的。這裡所描述的實施例的說明旨在提供對各實施例的結構的一般理解。說明不旨在作為利用這裡所描述的結構或方法的裝置和系統的所有元件和特徵的完整描述。許多其他實施例對本領域的技術人員在審閱本發明後是顯而易見的。也可以利用其他實施例，並從本發明派生出其他實施例，以便可以在不偏離本發明的範圍的情況下作出結構和邏輯上的替換和改變。相應地，本發明和附圖應被視為說明性的，而不是限制性的。本領域技術人員將進一步理解，結合這裡所公開的實施例所描述的各種說明性邏輯塊、配置、模塊、以及進程或指令步驟，可以作為電子硬體、計算機軟體或兩者的組合來實現。各種說明性組件、框、配置、模塊或步驟已經大致按照其功能來描述。此類功能集是被實現為硬體還是軟體取決於具體應用和強加於整體系統的設計約束。技術人員可針對每種特定應用以不同方式來實現所描述的功能集，但此類實現決策不應被解釋為致使脫離本公開的範圍。結合此處所公開的各實施例所描述的方法的各個步驟可直接用硬體、由處理器執行的軟體模塊、或兩者的組合來實現。軟體模塊可駐留在諸如隨機存取存儲器(RAM)、快閃記憶體、 只讀存儲器(ROM)、寄存器、硬碟、可移動盤、⑶-ROM、或本領域內已知的任何其他形式的存儲介質等計算機可讀介質中。示例性存儲介質耦合到處理器以使得該處理器能從/向該存儲介質讀取/寫入信息。在替換方案中，存儲介質可集成到處理器或處理器並且存儲介質可作為分立組件駐留在計算設備或計算機系統中。雖然這裡顯示和描述了具體的實施例，但是，應該了解，被設計為實現相同或類似的目的的任何隨後的安排都可以代替所示出的具體實施例。本說明書計劃涵蓋各種實施例的任何隨後的修改或變化。提交本發明的摘要的同時要明白，將不用它來解釋或限制權利要求的範圍或含義。此外，在前面的具體實施方式
中，出於將本公開連成一個整體的目的，各種特徵可以組合到一起，或在一個實施例中進行描述。本發明不應被解釋為反映帶權利要求的實施例需要比每一個權利要求中明確地記載的特徵更多的特點的意圖。相反，如下面的權利要求所反映的，本發明的主題可以涉及少於所公開的實施例中的任一個的所有特徵。提供前面對各實施方式的描述是為了使本領域技術人員能製作或使用各實施方式。對這些實施例的各種修改對於本領域技術人員將是顯而易見的，並且本文中定義的普適原理可被應用於其他實施例而不會脫離本公開的範圍。因此，本發明並不旨在限於此處所示出的各實施例，而是按照與所附權利要求書所定義的原理和新穎特徵相一致的儘可能最寬的範圍。
權利要求
1.一種方法，包括攔截(30 分組流(102)的分組(104)，其中所述分組流(10 根據特定協議被發送；基於與所述特定協議相關聯的規範(124)來分析(304)所述分組(104)；基於所述分析，用經殺毒的數據值來替換(306)分組的欄位中的數據值，以創建經殺毒的分組(106)；以及將經殺毒的分組(106)注入(308)到分組流(102)中。
2.如權利要求1所述的方法，其特徵在於，所述數據值不是惡意的數據值。
3.如權利要求1所述的方法，其特徵在於，所述規範是所述特定協議的協議規範、與所述特定協議相關聯的請求註解(RFC)文檔、以及與所述特定協議相關聯的網際網路草案中的一個。
4.如權利要求1所述的方法，其特徵在於，所述規範包括與所述特定協議相關聯的計算機應用的備有證明文件的預期行為特徵。
5.如權利要求1所述的方法，其特徵在於，所述分組包括校驗和，所述方法還包括為經殺毒的分組計算經修改的校驗和。
6.如權利要求1所述的方法，其特徵在於，當欄位的安全評級為低安全評級時，所述經殺毒的數據值可由攔截所述分組的計算機的用戶修改，當欄位的安全評級為高安全評級時，所述經殺毒的數據值不可由攔截所述分組的計算機的用戶修改。
7.如權利要求1所述的方法，還包括，為所述特定協議保持常見欄位數據值的列表，其中，所述經殺毒的數據值是所述欄位的常見欄位數據值。
8.如權利要求7所述的方法，其特徵在於，所述特定協議的常見欄位數據值列表被包括在與所述特定協議相關聯的規範中。
9.如權利要求1所述的方法，還包括，在用所述經殺毒的數據值替換了所述無效數據值之後，將所述經殺毒的分組與一個或多個籤名相比較。
10.如權利要求9所述的方法，其特徵在於，所述一個或多個籤名包括惡意分組的籤名。
11.如權利要求10所述的方法，其特徵在於，檢查所述經殺毒的分組中是否出現與所述惡意分組的籤名相關聯的正規表達式。
12.如權利要求1所述的方法，還包括採取安全動作，其中所述安全動作包括丟棄經殺毒的分組、重寫經殺毒的分組、記錄經殺毒的分組、重定向經殺毒的分組、或者將關於經殺毒的分組的通知發送到管理員中的至少一個。
13.一種系統，包括網絡接口(110)，其被配置成攔截分組流(102)的分組(104)並且將經殺毒的分組 (106)注入到分組流(10 中，其中所述分組(104)和所述經殺毒的分組(106)符合一特定協議；分析模塊(120)，其被配置成將所述分組(104)與所述特定協議的協議規範(124)相比較；以及殺毒模塊(130)，其被配置成標識所述分組(104)中的包含無效數據值的欄位、並且用經殺毒的數據值來替換所述無效數據值以形成經殺毒的分組(106)。
14.如權利要求13所述的系統，還包括籤名模塊，其被配置成將所述經殺毒的分組與一個或多個惡意分組籤名相比較。
15.如權利要求13所述的系統，其特徵在於，所述分析模塊和殺毒模塊在開放系統互連(0CQ參考模型中的高於網絡層的一個或多個層上進行操作。
全文摘要
本發明公開了用於分組殺毒的方法、系統和計算機可讀介質。特定方法攔截分組流的分組，分組流根據特定協議被發送。基於與特定協議相關聯的規範來分析分組。基於分析，可以用經殺毒的數據值來替換分組的欄位中的數據值，以創建經殺毒的分組。經殺毒的分組可以被注入到分組流中，或者可以任選地被轉發至籤名模塊，籤名模塊檢驗經殺毒的分組中是否有惡意內容。當發現惡意內容時，可以丟棄經殺毒的分組，可以記錄經殺毒的分組，可以重定向經殺毒的分組，或者可以將關於經殺毒的分組的通知發送至管理員。
文檔編號H04L29/06GK102428677SQ201080020885
公開日2012年4月25日 申請日期2010年4月30日 優先權日2009年5月8日
發明者A·辛格, N·J·利維奇, S·蘭伯特, S·巴樓得, T·A·加納查亞 申請人:微軟公司