專利名稱:用于為網(wǎng)絡(luò)提供漏洞利用保護(hù)的系統(tǒng)與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全�����,尤其涉及網(wǎng)絡(luò)的漏洞利用保護(hù)��。
背景技術(shù):
互聯(lián)網(wǎng)連接世界各地的數(shù)百萬節(jié)點�。通過敲擊按鍵, 一個地方的用戶 可以存取幾千英里之外的另一計算機上的文件。此外�����,互聯(lián)網(wǎng)便利了稱為 電子郵件的電子消息形式的信息的交換����。盡管最先被用于傳送短文本消 息,但電子郵件現(xiàn)在可用于發(fā)送數(shù)字圖像�����、聲音文件�����、文檔��、電子數(shù)據(jù)表�����、 可執(zhí)行程序以及其它電子文件���。發(fā)送所述文件只需將其附加到電子郵件消 息并且敲擊發(fā)送按鍵���。
但是��,這種傳送信息的便利還被用于其它目的�。最先廣受關(guān)注的漏洞 利用實例之一涉及使用電子郵件服務(wù)器傳播程序�。 一旦電子郵件服務(wù)器受 到程序"感染",它就開始將包括所述程序的電子郵件消息發(fā)送至其知道 的其它電子郵件服務(wù)器�����。所述程序像病毒一樣以驚人的速度從一臺郵件服 務(wù)器擴展至另一臺郵件服務(wù)器��。盡管所述程序并不刪除文件或破壞電子郵 件服務(wù)器上的數(shù)據(jù)����,但因為受感染電子郵件服務(wù)器發(fā)送大量電子郵件消 息�,所述程序使得從電子郵件服務(wù)器檢索電子郵件消息的速度極為緩慢。
當(dāng)前���,幾乎每天都會報告類病毒程序(下稱"漏洞利用")���。所述漏
洞利用中的一些相對溫和;其它則破壞數(shù)據(jù)或捕獲敏感信息����。除非正確保護(hù)�,否則即使只有少量計算機受到感染�,這些漏洞利用仍可以使得公司網(wǎng) 絡(luò)或電子郵件系統(tǒng)崩潰,或是竊取敏感信息����。
用于應(yīng)付這些漏洞利用的最流行的方法是在每臺計算機上建立病毒 保護(hù)軟件。 一旦病毒保護(hù)軟件的版本發(fā)布����,則病毒尋求繞過該漏洞利用保 護(hù)軟件生成該病毒保護(hù)軟件無法識別的新漏洞利用。這促使病毒保護(hù)軟件 研發(fā)人員更新其病毒保護(hù)軟件以檢測新漏洞利用����。以前,在每臺計算機上 更新病毒保護(hù)軟件需要得到磁盤上的更新��,并逐臺計算機建立所述更新����。 目前,病毒保護(hù)軟件允許計算機用戶使用互聯(lián)網(wǎng)下載更新����。由于建立更新 需*個用戶(或計算機支持組)的努力�,通常無法使每臺計算機上的病 毒保護(hù)軟件都是最新的��。而且�����,新病毒的介紹與生成和發(fā)布旨在抵御新病 毒的更新之間存在顯著延遲�����。此外��,病毒保護(hù)軟件通常無法抵御更常見類 別的稱為漏洞利用的類病毒程序�。
發(fā)明內(nèi)容
根據(jù)本發(fā)明,提供了 一種用于為連接至網(wǎng)絡(luò)的設(shè)備提供漏洞利用保護(hù)
已封裝附件解封裝的組件��,在該附件被壓縮時執(zhí)行該附件的至少 一種解壓 縮的組件����,確定消息的標(biāo)題���、正文和/或附件是否包括漏洞利用的組件����, 以及保持并選擇性清除包括漏洞利用的消息的組件。接收指向網(wǎng)絡(luò)的消息 的設(shè)備使用上述組件來為至少 一個消息提供漏洞利用保護(hù)�����。
在本發(fā)明的一個方面中����,所述消息包括標(biāo)題、正文和附件�。所述標(biāo)題 包括至少一個具有預(yù)定義大小的字段。當(dāng)該字段數(shù)據(jù)的大小不同于所定義 大小時����,漏洞利用得以建立。漏洞利用也可能建立在消息的正文和/或附 件內(nèi)����。
在本發(fā)明的另 一方面中,在所述系統(tǒng)上執(zhí)行的客戶機通過輪詢與漏洞 利用保護(hù)軟件的銷售商相關(guān)的服務(wù)器來確定何時可以得到更新�。當(dāng)所^ 戶機確定可以得到更新時,其自動檢索所述更新���。在本發(fā)明的另 一方面中�,所述系統(tǒng)使用來自至少兩個銷售商的漏洞利 用保護(hù)軟件來確定附件是否包括漏洞利用����。
在本發(fā)明的另一方面中���,所述系統(tǒng)的組件被實施在軟件內(nèi),并可能被 包括在防火墻、路由器、交換機以及業(yè)務(wù)管理器中的至少一個上。
在本發(fā)明的另一方面中���,所述封裝包括通用互聯(lián)網(wǎng)函件擴充服務(wù)
(MIME) 、 Base64編碼和未編碼中的至少一種。
以下詳細(xì)描述以及相關(guān)附圖介紹將使得表現(xiàn)本發(fā)明特征的上述和其 它特征以及優(yōu)點變得清楚���。
圖l-3示出了其內(nèi)可以實現(xiàn)本發(fā)明的示例性環(huán)境的組件����; 圖4示出了用于為網(wǎng)絡(luò)提供漏洞利用保護(hù)的系統(tǒng)在其內(nèi)操作的示例性 環(huán)境�;
圖5示出了可用于提供漏洞利用保護(hù)的防火墻的組件��;以及 圖6示出了用于根據(jù)本發(fā)明檢測漏洞利用的流程圖。
具體實施例方式
在以下本發(fā)明示例性實施例詳細(xì)描述中�����,參照構(gòu)成本發(fā)明的一部分的 以說明方式示出的附圖,以及本發(fā)明可能被實現(xiàn)為的特定實施例���。這些實 施例會被詳細(xì)描述,以使本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)本發(fā)明��,且應(yīng)當(dāng)理解的 是���,也可能在并不背離本發(fā)明的精神和范圍的情況下使用其它實施例以及 做出其它改變���。因此,以下詳細(xì)描述并不具有限制性的意義�����,本發(fā)明的范 圍由所附權(quán)利要求書定義。
在以下描述內(nèi)���,首先給出本文獻(xiàn)始終使用的一些術(shù)語的定義。接著�����, 公開其內(nèi)可以實現(xiàn)本發(fā)明的示例性操作環(huán)境的示例性組件�����。此后����,公開其 內(nèi)可以實現(xiàn)本發(fā)明的示例性操作環(huán)境�����。最后,提供一種檢測和清除漏洞利 用的方法�����。
定義除非本文明確指示,否則該部分內(nèi)的定義應(yīng)用于本文件。短語"本文 件,�����,指的是本申請的說明書�、權(quán)利要求以及摘要�����。
"包括"指的是包括但并非僅限于。因此�,包括A的列表并不排除包括B。
"分組��,,指的是任意或可選擇數(shù)據(jù)量,所述數(shù)據(jù)可由一個或多個比特 的序列代表。分組可能對應(yīng)于在開放系統(tǒng)互連(OSI)模型的任何層內(nèi)建 立的數(shù)據(jù)單元��、在OSI模型內(nèi)建立的數(shù)據(jù)單元的組合或非OSI數(shù)據(jù)單元���,
所述數(shù)據(jù)單元例如是段���、消息、分組�����、數(shù)據(jù)報、幀�、符號流或流。 "客戶機"指的是在一個或多個電子設(shè)備上執(zhí)行的處理器或一組處理
器���,所述電子設(shè)備例如是圖3的計算設(shè)備300���?����?蛻魴C并不僅限于在工作站 上運行�����;它也可能在諸如WWW服務(wù)器���、文件服務(wù)器的服務(wù)器上運行�,或 在其它服務(wù)器、其它計算設(shè)備上運行���,或被在一組所述設(shè)備上分配���。在適 當(dāng)?shù)那闆r下,除了上述定義之外或代替上述定義�,術(shù)語"客戶機,��,應(yīng)當(dāng)被 解釋為一個或多個客戶機過程可在其上執(zhí)行的一種或多種設(shè)備�,例如被配 置為起到萬維網(wǎng)(WWW)服務(wù)器作用的諸如計算設(shè)備300的計算設(shè)備, 被配置為路由器��、網(wǎng)關(guān)���、工作站等的計算設(shè)備���。
與其類似的是,"服務(wù)器"是指在一個或多個電子設(shè)備上執(zhí)行的過程 或過程組�����,所述電子設(shè)備例如是被配置為WWW服務(wù)器的計算設(shè)備300。 與客戶機一樣�,服務(wù)器并不僅限于在被配置為主導(dǎo)將業(yè)務(wù)提供給其它計算 設(shè)備的計算設(shè)備上運行。相反�,它也可能在通常被視為客戶計算機的設(shè)備 上執(zhí)行,例如在被配置為用戶工作站的計算設(shè)備300上執(zhí)行��,或是被在各 個電子設(shè)備之間分配�����,其中每個設(shè)備都包括一個或多個共同構(gòu)成服務(wù)器應(yīng) 用的過程�。在適當(dāng)?shù)那闆r下,除了上述定義之外或替代上述定義�,術(shù)語"服 務(wù)器"應(yīng)當(dāng)被解釋為 一個或多個服務(wù)器過程在其上執(zhí)行的 一種或多種設(shè) 備��,例如被配置為起到WWW服務(wù)器�、路由器、網(wǎng)關(guān)���、工作站等作用的計 算設(shè)備����。
漏洞利用是任何可能被用于通過電子郵件不適當(dāng)?shù)亟尤胗嬎銠C的程 序和/或軟件���。漏洞利用包括常見的計算機病毒�,還包括其它用于不適當(dāng)
8地接入計算機的方法。例如�����,計算機病毒通常包括在電子郵件消息的附件 內(nèi)��。但一些漏洞利用包括在電子郵件消息的標(biāo)題或正文內(nèi)�。例如, 一些漏 洞利用嘗試使得為部分或全部電子郵件消息的標(biāo)題或正文分配的緩沖器 溢出�。這些漏洞利用通常會在所述溢出內(nèi)包括的數(shù)據(jù)的字節(jié)內(nèi)包括可執(zhí)行 代碼。所述的可執(zhí)行代碼被以可由主機執(zhí)行的方式設(shè)置�����。所述的可執(zhí)行代 碼此后可能會在所述主機上不適當(dāng)?shù)卮嫒?shù)據(jù)和/或執(zhí)行未經(jīng)授權(quán)的程 序�����。
參照附圖�����,在附圖和本文件中,相同的號碼指示類似的部分���。 術(shù)語的定義同樣貫穿全文����。這些定義并不必通過使用"意味著"或"指
的是"來以語言介紹��,而是可通過實例和/或所執(zhí)行功能來介紹��。除非另
有明確指示�,否則所述定義將同樣適用于本文。 示例性操作環(huán)境
圖l-3示出了其內(nèi)可以實現(xiàn)本發(fā)明的示例性環(huán)境的組件��。并不需要所 有的組件來實現(xiàn)本發(fā)明�,可在并不背離本發(fā)明的精神或范圍的情況下,改 變布置和所述組件的類型���。
圖l示出了無線網(wǎng)絡(luò)105和110以及電話網(wǎng)絡(luò)115和120,它們分別通過 網(wǎng)關(guān)130A-130D互連到廣域網(wǎng)/局域網(wǎng)200����。網(wǎng)關(guān)130A-130D的每一個都 選擇性地包括防火墻組件,例如分別包括防火墻140A-140D�。每個網(wǎng)關(guān) 130A-130D內(nèi)的字母FW代表防火墻。
無線網(wǎng)絡(luò)105和110傳送信息和話音通信到能夠無線通信的設(shè)備,或是 從所述設(shè)M送信息和話音通信���,所述設(shè)備例如是蜂窩電話��、智能電話�、 尋呼機�、步談機、射頻i殳備�����、紅外(IR)設(shè)備���、CB以及組合一種或多種 上述設(shè)備的集成設(shè)備等�。無線網(wǎng)絡(luò)105和110同樣可以將信息傳送到其它具 有連接到無線網(wǎng)絡(luò)的接口的設(shè)備����,例如PDA、袖珍PC���、便攜計算機���、個 人計算機���、多處理器系統(tǒng)、基于微處理器的或可編程用戶電子設(shè)備����、網(wǎng)絡(luò) PC以及其它適當(dāng)裝配的設(shè)備。無線網(wǎng)絡(luò)105和110可能包括無線和有線組 件�。例如,無線網(wǎng)絡(luò)110可能包括鏈接到諸如電話網(wǎng)115的有線電話網(wǎng)的蜂 窩塔(未示出)��。通常�,所述蜂窩塔將通信傳送至蜂窩電話、尋呼機和其它無線設(shè)備�����,并從所述設(shè)備傳送通信�����,而所述有線電話網(wǎng)將通信傳送至常 規(guī)電話����、遠(yuǎn)程通信鏈路等�����。
類似的,電話網(wǎng)115和120將信息和話音通信傳送至能夠?qū)崿F(xiàn)有線通信 的設(shè)備���,并從所述設(shè)M送信息和話音通信�,所述設(shè)備例如是常規(guī)電話以 及包括調(diào)制解調(diào)器或其它一些接口與電話網(wǎng)通信的設(shè)備�����。諸如電話網(wǎng)120 的電話網(wǎng)也可能包括無線和有線組件�����。例如���,電話網(wǎng)可能包括微波鏈路�、 衛(wèi)星鏈路�、無線電鏈路以及其它無線鏈路來互連有線網(wǎng)。
網(wǎng)關(guān)130A-130D將無線網(wǎng)105和110以及電話網(wǎng)115和120互連到 WAN/LAN200���。諸如網(wǎng)關(guān)130A的網(wǎng)關(guān)在諸如無線網(wǎng)105和WAN/LAN200 的網(wǎng)絡(luò)之間傳送數(shù)據(jù)����。在傳送數(shù)據(jù)中,所述網(wǎng)關(guān)可能會將所述數(shù)據(jù)翻譯為 適合于接收網(wǎng)絡(luò)的格式����。例如,使用無線設(shè)備的用戶可能會通過呼叫某一 號碼���、調(diào)至特定頻率或選褲4殳備的瀏覽特征來開始瀏覽互聯(lián)網(wǎng)�。在接收到 適當(dāng)尋址或格式化的信息時��,無線網(wǎng)絡(luò)105可能被配置為在所述無線設(shè)備 和網(wǎng)關(guān)130A之間發(fā)送數(shù)據(jù)�����。網(wǎng)關(guān)130A可能會將來自所述無線設(shè)備的網(wǎng)頁
息�����。網(wǎng)關(guān)130A此后可能將對于所述消息的響應(yīng)翻譯為與所述無線設(shè)備兼容 的格式��。網(wǎng)關(guān)130A同樣將從無線設(shè)備發(fā)送的其它消息轉(zhuǎn)換為適合于 WAN/LAN200的消息��,例如電子郵件��、話音通信���、接觸數(shù)據(jù)庫����、日歷�����、 約會以及其它消息�����。
在將所述數(shù)據(jù)向任何一個方向翻譯之前或之后���,出于安全���、過濾或其 它原因,所述網(wǎng)關(guān)可能會將所述數(shù)據(jù)通過諸如防火墻140A的防火墻傳送����。 諸如防火墻140A的防火墻可能包括或發(fā)送消息到漏洞利用檢測器。結(jié)合圖 4-6詳細(xì)描述了本發(fā)明實施例語境內(nèi)的防火墻及其操作���。簡要地說����,網(wǎng)關(guān) 可能會將數(shù)據(jù)傳送過防火墻,以確定其是否應(yīng)當(dāng)將該數(shù)據(jù)轉(zhuǎn)發(fā)至接收網(wǎng) 絡(luò)����。所述防火墻可能會將諸如電子郵件消息的一些數(shù)據(jù)通過漏洞利用檢測 器傳送,所述漏洞利用檢測器可能會從所述數(shù)據(jù)中檢測并清除漏洞利用����。 如果數(shù)據(jù)包括漏洞利用,則所述防火墻可能停止將所述數(shù)據(jù)通過所述網(wǎng)關(guān) 傳送��。在本發(fā)明的其它實施例中��,漏洞利用檢測器位于獨立于網(wǎng)關(guān)和/或防 火墻的組件上����。例如,在本發(fā)明的一些實施例中�,漏洞利用檢測器可能包
括在諸如無線網(wǎng)絡(luò)105的無線網(wǎng)絡(luò)的路由器內(nèi),所述漏洞利用檢測器接收 指向到以及來自諸如無線網(wǎng)絡(luò)105的無線網(wǎng)絡(luò)的消息����。這否定了諸如網(wǎng)關(guān) 130A的網(wǎng)絡(luò)間網(wǎng)關(guān)上的漏洞利用檢測器,或是使得所述網(wǎng)關(guān)上的漏洞利用 檢測器冗余。理想的是����,漏洞利用檢測器位于網(wǎng)絡(luò)的入口位置處,從而保 護(hù)所述網(wǎng)絡(luò)內(nèi)的全部設(shè)備免受漏洞利用���。但漏洞利用檢測器可能位于網(wǎng)絡(luò) 內(nèi)的其它位置,或與諸如交換機�����、集線器��、服務(wù)器�、路由器、業(yè)務(wù)管理器 等的其它設(shè)備集成����,或獨立于所述設(shè)備。
在本發(fā)明的另 一 實施例中����,漏洞利用檢測器可從諸如網(wǎng)關(guān)的尋求提供 漏洞利用保護(hù)的設(shè)備接入。在本文中���,可接入意味著漏洞利用保護(hù)器物理 上位于實施所述網(wǎng)關(guān)的服務(wù)器或計算設(shè)備上��,或所述漏洞利用檢測器在可 從所述網(wǎng)關(guān)接入的另一服務(wù)器或計算設(shè)備上��。在此實施例中�,網(wǎng)關(guān)可能會 通過應(yīng)用編程接口 (API)接入所述漏洞利用檢測器。理想的是���,尋求漏 洞利用保護(hù)的設(shè)備通過相關(guān)漏洞利用檢測器指向所有消息���,從而使得所述 漏洞利用檢測器"邏輯上"位于所述設(shè)備互連的網(wǎng)絡(luò)之間。在一些情況下���, 設(shè)備可能并不通過漏洞利用檢測器發(fā)送所有消息�����。例如�,漏洞利用檢測器 可能失靈����,或某些消息可能被明確或隱含地指定為避免所述漏洞利用檢測 器。
WAN/LAN200通常在如結(jié)合圖2詳細(xì)描述的計算設(shè)備之間傳送信息��。 WAN的一個實例是互聯(lián)網(wǎng),其經(jīng)由大量網(wǎng)關(guān)����、路由器、交換機��、集線器 等連接數(shù)百萬計算機���。LAN的實例是用于連接單個辦公室內(nèi)的計算機的網(wǎng) 絡(luò)�。WAN可能被用于連接多個LAN����。
應(yīng)當(dāng)認(rèn)識到的是��,WAN/LAN�、電話網(wǎng)和無線網(wǎng)之間的區(qū)別并不清晰。 換言之�,這些類型網(wǎng)絡(luò)中的每一種都可能包括一個或多個邏輯上屬于一種 或多種其它類型網(wǎng)絡(luò)的部分。例如�����,WAN/LAN200可能包括一些模擬或 數(shù)字電話線以在計算設(shè)備之間傳送信息���。電話網(wǎng)120可能包括無線組件以瓦基于分組的組件��,例如IP話音���。無線網(wǎng)105可能包括有線組件和/或基于 分組的組件��。網(wǎng)絡(luò)是指WAN/LAN����、電話網(wǎng)�、無線網(wǎng)或它們的任何組合。 圖2示出了多個由路由器210互連的局域網(wǎng)("LAN" ) 220和廣域網(wǎng) ("WAN" ) 230�。路由器210是加速分組傳送的通信網(wǎng)絡(luò)上的中間設(shè)備。 在通過可能的連接網(wǎng)鏈接大量計算機的單個網(wǎng)絡(luò)上��,路由器接收所傳送的 分組�,并將其經(jīng)由可用路由轉(zhuǎn)發(fā)至其正確目的地。在包括基于不同體系結(jié) 構(gòu)與協(xié)議的LAN的互連LAN組中����,路由器起到LAN之間的鏈路的作用, 使得分組能被從一個LAN發(fā)送至另一個LAN����??赏ㄟ^使用專用硬件��、諸如 結(jié)合圖3描述的計算設(shè)備300的執(zhí)行適當(dāng)軟件的計算設(shè)備或其任何組合來 實施路由器�����。
LAN內(nèi)的通信鏈路一般包括雙絞線�����、光纖或同軸電纜����,而網(wǎng)絡(luò)之間的 通信鏈路可能會漏洞利用模擬電話線、包括Tl��、 T2�����、 T3和T4的全部或部 分專用數(shù)字線�、綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)��、數(shù)字用戶線(DSL)�����、無線 鏈路或其它本領(lǐng)域技術(shù)人員熟知的通信鏈路。此外���,諸如遠(yuǎn)程計算機240 的計算機以及其它相關(guān)電子設(shè)備可被經(jīng)由調(diào)制解調(diào)器和暫時電話鏈路遠(yuǎn)
程連4妾到LAN220或WAN230����。圖2內(nèi)的WAN�����、 LAN和路由器的數(shù)量可^f壬 意增加或減少����,并不背離本發(fā)明的精神和范圍。
同樣�����,應(yīng)當(dāng)理解的是�,互聯(lián)網(wǎng)自身可能由大量如此互連的網(wǎng)絡(luò)、計算 機和路由器組成���。術(shù)語"互聯(lián)網(wǎng)"通常是指使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié) 議("TCP/IP")協(xié)議組相互通信的網(wǎng)絡(luò)��、網(wǎng)關(guān)�、路由器和計算機的世 界范圍內(nèi)的集合?��;ヂ?lián)網(wǎng)的中心是主要節(jié)點或主機之間的高速數(shù)據(jù)通信主 線�����,其路由數(shù)據(jù)和分組��,所述節(jié)點和主機包括數(shù)千商業(yè)��、政府���、教育和其 它計算機系統(tǒng)?�?稍诨ヂ?lián)網(wǎng)上實現(xiàn)本發(fā)明實施例��,并未背離本發(fā)明的精神 和范圍��。
用于在上述通信鏈路內(nèi)發(fā)射信息的媒介示出了 一種計算機可讀媒介����, 即通信媒介。計算機可讀媒介通常包括任何可由計算設(shè)備存取的媒介���。計 算機可讀媒介可能包括計算機存儲媒介���、通信媒介或其任何組合。
12通信媒介通常包括計算機可讀指令���、數(shù)據(jù)結(jié)構(gòu)��、程序模塊�、諸如載波 的已調(diào)制數(shù)據(jù)信號內(nèi)的其它數(shù)據(jù)或其它傳輸機制����,并包括任何信息傳送媒 介。術(shù)語"已調(diào)制數(shù)據(jù)信號"意味著將具有一個或多個其特征的信號設(shè)置 或改變?yōu)榫幋a該信號內(nèi)的信息�。例如,通信媒介包括諸如雙絞線�、同軸電
纜、光纖���、波導(dǎo)管和其它有線媒介的有線媒介����,以及諸如聲音、RF���、紅 外以及其它無線媒介的無線媒介��。
借助能夠鏈接位于世界各地的計算機的能力�,互聯(lián)網(wǎng)近年來得到迅速 發(fā)展�����。隨著互聯(lián)網(wǎng)的發(fā)展���,WWW同樣迅速發(fā)展���。 一般而言,WWW是位 于世界各地的HTTP (超文本傳送協(xié)議)服務(wù)器上的鏈接超文本文件的總 組��。WWW上的文件稱為頁或網(wǎng)頁��,通常以HTML(超文本鏈接標(biāo)示語言) 或其它一些鏈接標(biāo)示語言編寫�,由規(guī)定特定機器以及可據(jù)其存取文件的路 徑名的URL (統(tǒng)一資源定位器)識別,并^K吏用HTTP從服務(wù)器傳送至終 端用戶����。嵌入HTML文件的代碼稱為標(biāo)記,其將該文件內(nèi)的文字和圖像與 URL聯(lián)系起來��,從而使得用戶可以通過按鍵或按鼠標(biāo)來存取可能在地球另 一端的另一文件�����。這些文件可能包括文本(具有各種字體和格式)��、圖像��、 電影文件����、々某體截屏、聲音����、Java小應(yīng)用程序、ActiveX控制或其它在用 戶激活其時執(zhí)行的嵌入式軟件程序�。訪問網(wǎng)頁的用戶也能夠從FTP站點下 載文件,并通過使用該網(wǎng)頁上的鏈接將分組經(jīng)由電子郵件發(fā)送到其它用 戶�。
以下將結(jié)合圖3詳細(xì)描述可提供WWW站點的計算設(shè)備。在被用于提 供WWW站點時�����,所述計算設(shè)備通常稱為WWW服務(wù)器。WWW服務(wù)器是
連接至互聯(lián)網(wǎng)的計算設(shè)備���,其具有用于為www站點存儲超文本文件的存 儲設(shè)備�,并運行管理軟件以處理對所存儲超文本文件的請求�。超文本文件 通常包括若干超鏈接,即用于將該文件鏈接到可能存儲在互聯(lián)網(wǎng)上別處的
WWW站點內(nèi)的另 一超文本文件的突出部分�。每個超鏈接都與URL相關(guān), 所述URL提供連接至互聯(lián)網(wǎng)的服務(wù)器上的被鏈接文件的位置����,并描述該文 件。因此�����,只要從任何WWW服務(wù)器檢索超文本文件���,該文件即被視為從
www中檢索���。如本領(lǐng)域技術(shù)人員所知,www服務(wù)器也可能包括用于存儲和傳送應(yīng)用程序以在遠(yuǎn)程計算機上執(zhí)行的設(shè)備�����,所述應(yīng)用程序例如是
Sun微系統(tǒng)的以Java編程語言編寫的應(yīng)用程序。同樣�,WWW服務(wù)器還可 能包括用于在其自身上執(zhí)行腳本和其它應(yīng)用程序的設(shè)備����。
用戶可能會經(jīng)由位于有線或無線設(shè)備上的WWW瀏覽器應(yīng)用程序從 所述WWW檢索超文本文件。WWW瀏覽器是用于提供到所述WWW的圖 形用戶接口的軟件應(yīng)用程序�����,例如Netscape的NAVIGATOR 以及 Microsof的INTERNET EXPLORER ,在用戶經(jīng)由WWW瀏覽器請求時��, 所述WWW瀏覽器使用所需的超文本文件的URL以及HTTP從適當(dāng) WWW服務(wù)器存取和檢索該文件��。HTTP是較TCP/IP更高級的協(xié)議��,是 特別為WWW的需要設(shè)計的��。HTTP用于將請求從瀏覽器傳送至網(wǎng)絡(luò)服務(wù) 器���,以及將網(wǎng)頁從網(wǎng)絡(luò)服務(wù)器傳送回請求瀏覽器或客戶機�����。所述WWW 瀏覽器同樣可能從WWW服務(wù)器檢索諸如JAVA小應(yīng)用程序的應(yīng)用程序以 在客戶計算機上執(zhí)行�。
圖3示出了一種計算設(shè)備。所述設(shè)備例如被用作服務(wù)器���、工作站�、網(wǎng) 絡(luò)設(shè)備���、路由器����、網(wǎng)橋���、防火墻���、漏洞利用檢測器、網(wǎng)關(guān)和/或業(yè)務(wù)管理 i殳備����。當(dāng)凈皮用于提供WWW站點時,計算設(shè)備300將WWW網(wǎng)頁傳送至 在請求設(shè)備上執(zhí)行的WWW瀏覽器應(yīng)用程序�,以執(zhí)行該過程。例如����,計算 設(shè)備300可能會傳送網(wǎng)頁和窗體�����,以接收關(guān)于用戶的信息�����,例如地址、電 話號碼�、記賬信息、信用卡號碼等�。此外,計算設(shè)備300可能將WWW頁 傳送至允許顧客加入WWW站點的請求設(shè)備���。所述事項可能發(fā)生在互聯(lián) 網(wǎng)���、WAN/LAN100或本領(lǐng)域技術(shù)人員熟知的其它一些通信網(wǎng)絡(luò)上。
應(yīng)當(dāng)理解的是�,計算設(shè)備300可能包括遠(yuǎn)多于圖3所示出的組件。但是��, 所示出的組件足以說明用于實現(xiàn)本發(fā)明的示例性環(huán)境�����。如圖3所示,計算 設(shè)備300可能會經(jīng)由網(wǎng)絡(luò)接口單元310連接到WAN/LAN200或其它通信 網(wǎng)絡(luò)����。網(wǎng)絡(luò)接口單元31t)包括將計算設(shè)備300連接到WAN/LAN200所需的 電路,并被構(gòu)造成與包括TCP/IP協(xié)議的各種通信協(xié)議一起使用�。網(wǎng)絡(luò)接 口單元310通常是包括在計算設(shè)備300內(nèi)的卡。計算i殳備300還包括經(jīng)由總線322連接的處理單元312��、視頻顯示適配 器314�、海量存儲器。所述海量存儲器通常包括隨^^取存儲器("RAM") 316�、只讀存儲器("ROM" ) 332以及一個或多個永久海量存儲設(shè)備, 例如石更盤驅(qū)動器328��、》茲帶驅(qū)動器(并未顯示)����、諸如CD-ROM/DVD-ROM 驅(qū)動器的光驅(qū)動器326和/或軟盤驅(qū)動器(并未顯示)。所述海量存儲器存儲 操作系統(tǒng)320,以控制計算設(shè)備300的操作��。應(yīng)當(dāng)理解的是��,該組件可能包 括通用操作系統(tǒng)���,例如UNIX�����、 LINUXTM或由華盛頓�,雷蒙德的微軟公 司制造的操作系統(tǒng)。還提供了基本輸入/輸出系統(tǒng)("BIOS" )318以控制計 算設(shè)備300的低層操作���。
上述海量存儲器示出了另 一種計算機可讀媒介��,即計算機存儲媒介����。 計算機存儲^f某介可能包括用于存儲信息的以任何一種方法或技術(shù)來實施
的易失和非易失����、可拆卸和不可拆卸的媒介���,所述信息例如計算機可讀指 令����、數(shù)據(jù)結(jié)構(gòu)�、程序模塊或其它數(shù)據(jù)�����。計算積^儲媒介的實例包括RAM��、 R()M�����、 EEPROM�����、閃存或其它存儲技術(shù)��、CD-ROM����、數(shù)字通用盤(DVD) 或其它光存儲器�、磁盒、磁帶��、磁盤存儲器或其它磁存儲設(shè)備���,或是其它 可用于存儲所需信息并可由計算設(shè)備存取的媒介����。
所述海量存儲器還可能存儲程序代碼和數(shù)據(jù),以提供WWW站點��。更 具體地說�,所述海量存儲器可能存儲包括專用軟件330和其它程序334的應(yīng) 用。專用軟件330可能包括WWVV服務(wù)器應(yīng)用程序�����,該程序包括計算機可 執(zhí)行指令��,所述計算機可執(zhí)行指令在由計算設(shè)備300執(zhí)行時���,生成WWW 瀏覽器顯示�����,包括執(zhí)行上述邏輯。計算設(shè)備300可能包括JAVA虛擬機��、用 于傳送和接收電子郵件的SMTP處理器應(yīng)用��、用于接收和處理HTTP請求 的HTTP處理器應(yīng)用���、用于傳輸?shù)皆诳蛻粲嬎銠C上執(zhí)行的WWW瀏覽器的 JAVA小應(yīng)用程序�、用于處理安全連接的HTTPS處理器應(yīng)用。所述HTTPS 處理器應(yīng)用可能被用于與外部安全應(yīng)用通信��,以在安全方式中發(fā)送和接收 敏感信息���,例如信用卡信息��。
計算設(shè)備300也可能包括用于與外部設(shè)備通信的輸入/輸出接口 324 ��, 例如鼠標(biāo)�、鍵盤��、掃描儀或其它圖3內(nèi)未顯示的輸入設(shè)備�����。在本發(fā)明的一些實施例中�����,計算設(shè)備并不包括用戶輸入/輸出組件��。例如,計算設(shè)備300 可能會連接或不連接到監(jiān)控器��。此外�����,計算設(shè)備300可能具有或不具有視 頻顯示適配器314或輸入/輸出接口324���。例如���,計算設(shè)備300可能會實施網(wǎng) 絡(luò)設(shè)備,例如路由器����、網(wǎng)關(guān)、業(yè)務(wù)管理設(shè)備等�����,其連接至網(wǎng)絡(luò)但并不需要 直接連接到輸入/輸出設(shè)備����。所述設(shè)備例如可經(jīng)由網(wǎng),入���。
計算設(shè)備300可能還包括附加海量存儲設(shè)備��,例如光驅(qū)326和硬盤驅(qū)動 器328�����。除了其它內(nèi)容外���,硬盤驅(qū)動器328還被計算設(shè)備300用于存儲應(yīng)用
據(jù)����。WWVV服務(wù)器應(yīng)用可被作為專用軟件300和/或其它程序334存儲���。此 夕卜���,客戶數(shù)據(jù)庫、產(chǎn)品數(shù)據(jù)庫��、圖像數(shù)據(jù)庫以及相關(guān)數(shù)據(jù)庫也可能被存儲 在海量存儲器或RAM316內(nèi)�。
從上述討論可以認(rèn)識到,本發(fā)明的各個方面可能體現(xiàn)在路由器210�����、 計算設(shè)備300、網(wǎng)關(guān)�����、防火墻����、其它設(shè)備以及上述設(shè)備的一些組合上。例 如�����,防止漏洞利用的編程步驟可能包括在專用軟件330和/或其它程序334 內(nèi)��。
示例性配置系統(tǒng)以防止漏洞利用
圖4示出了 一種示例性環(huán)境����,其中根據(jù)本發(fā)明一個實施例的為網(wǎng)絡(luò)提 供漏洞利用保護(hù)的系統(tǒng)操作。該系統(tǒng)包括外部網(wǎng)絡(luò)405��、防火墻500��、網(wǎng)絡(luò) 設(shè)備415�、工作站420、文件服務(wù)器425��、郵件服務(wù)器430���、移動設(shè)備435�、 應(yīng)用服務(wù)器440���、電話設(shè)備445和網(wǎng)絡(luò)450�����。網(wǎng)絡(luò)450將防火墻500耦合到網(wǎng) 絡(luò)設(shè)備415��、工作站420�����、文件服務(wù)器425�、郵件服務(wù)器430��、移動設(shè)備435���、 應(yīng)用服務(wù)器440����、電話設(shè)備445。防火墻500將網(wǎng)絡(luò)450耦合到外部網(wǎng)絡(luò)405���。
網(wǎng)絡(luò)設(shè)備415�����、工作站420�����、文件服務(wù)器425�、郵件服務(wù)器430�、移動 設(shè)備435、應(yīng)用服務(wù)器440��、電話設(shè)備445是能夠與網(wǎng)絡(luò)450連接的設(shè)備���。 所述設(shè)備組可能包括通常使用有線通信媒介連接的設(shè)備�����,例如個人計算 機����、多處理器系統(tǒng)、基于微處理器或可編程的客戶電子設(shè)備���、網(wǎng)絡(luò)PC等����。 所述設(shè)備組還可能包括通常使用無線通信媒介連接的設(shè)備����,例如蜂窩電 話����、智能電話、尋呼機���、步話機���、射頻(RF)設(shè)備、紅外(IR)設(shè)備���、CB�、組合一種或多種前述設(shè)備的集成設(shè)備等��。 一些設(shè)備能夠使用有線或 無線通信媒介連接到網(wǎng)絡(luò)450,例如PDA���、袖珍PC���、便攜計算機或上述其 它裝配成使用有線和/或無線通信媒介的設(shè)備?���?赡軐嵤┤魏紊鲜鲈O(shè)備的 示例性設(shè)備是以適當(dāng)硬件和/或軟件配置的圖3的計算設(shè)備300.
網(wǎng)絡(luò)設(shè)備415例如可能是路由器、交換機或其它一些網(wǎng)絡(luò)設(shè)備�。工作 站420可能是被用戶用于接入其它計算機以及可通過網(wǎng)絡(luò)450,包括外部網(wǎng) 絡(luò)405達(dá)到的資源的計算機�。文件服務(wù)器425例如可能提供到海量存儲設(shè)備 的接入。郵件服務(wù)器430可能存儲電子郵件消息并提供對電子郵件消息的 存取��。移動設(shè)備435可能是蜂窩電話�����、PDA����、便攜計算機或其它一些被用 戶用于接入可通過網(wǎng)絡(luò)450達(dá)到的資源的設(shè)備。應(yīng)用服務(wù)器440可能存儲應(yīng) 用并提供到應(yīng)用的接入�,所述應(yīng)用例如是數(shù)據(jù)庫應(yīng)用�����、計算應(yīng)用等���。電話 設(shè)備445可能會提供用于經(jīng)由網(wǎng)絡(luò)450傳送話音、傳真和其它消息的裝置����。 每個所述設(shè)備都可能代表其它一些能夠與網(wǎng)絡(luò)450連接的設(shè)備��,這并不背 離本發(fā)明的精神和范圍��。
外部網(wǎng)絡(luò)4U5和網(wǎng)絡(luò)450是如前文定義的網(wǎng)絡(luò)���。外部網(wǎng)絡(luò)例如可能是互 聯(lián)網(wǎng)或其它 一些WAN/LAN ���。
防火墻500為消息提供從外部網(wǎng)絡(luò)405到網(wǎng)絡(luò)450的路徑。防火墻500 可能為或不為所述消息提供僅有的路徑�����。此外��,外部網(wǎng)絡(luò)405和網(wǎng)絡(luò)450 之間的路徑上可能存在其它計算設(shè)備(并未顯示),這并不背離本發(fā)明的 精神和范圍�����。防火墻可能被包括在網(wǎng)關(guān)���、路由器���、交換機或其它計算設(shè)備 上,或僅可以接入到所述設(shè)備�����。
防火墻500可能會通過包括和/或接入結(jié)合圖5詳述的漏洞利用檢測器 (并未顯示)為耦合到網(wǎng)絡(luò)450的設(shè)備提供漏洞利用保護(hù)�。防火墻500可能 被配置為通過漏洞利用檢測器發(fā)送某一類型的消息。例如����,防火墻500可 能被配置為在通過漏洞利用檢測器傳送所有電子郵件消息時,在非電子郵 件數(shù)據(jù)上執(zhí)行常規(guī)處理���。
示例性漏洞利用檢測器
17圖5示出了根據(jù)本發(fā)明 一個實施例的可用于提供漏洞利用保護(hù)的防火 墻的組件��。防火墻500的組件包括消息受話器505����、漏洞利用檢測器510、 輸出組件545以及其它防火墻組件550����。漏洞利用檢測器510包括消息隊列 515、內(nèi)容過濾器520��、解壓縮組件525�、掃描器組件530、隔離組件535以 及漏洞利用去除器540����。還示出了消息傳輸代理555����。
防火墻500可以接收在耦合到網(wǎng)絡(luò)450的設(shè)備與圖4的外部網(wǎng)絡(luò)405之 間發(fā)送的多種類型消息。 一些消息可能涉及WWW業(yè)務(wù)或在兩個參與通信 的計算機之間傳送的數(shù)據(jù)�����,而其它消息可能涉及電子郵件���。消息受話器505 收聽消息����,并在接收到諸如電子郵件或文件的適當(dāng)消息時,將該消息發(fā)送 至漏洞利用檢測器510以掃描漏洞利用���。 一些消息可能不適宜漏洞利用檢 測�����。這種消息由消息受話器505傳送到其它防火墻組件550���。
在處理電子郵件消息時,漏洞利用檢測器510部分地通過掃描和確i人 電子郵件消息的字段來提供漏洞利用保護(hù)�。電子郵件消息通常包括標(biāo)題 (可能包括某些字段)、正文(通常包括電子郵件的文本)以及一個或多 個可選擇附件����。如前所述, 一些漏洞利用被制作成溢出標(biāo)題或正文內(nèi)的緩 存器���。漏洞利用檢測器510可能會檢查電子郵件消息的字段長度��,以確定 所述字段是否長于其應(yīng)有長度��。"長于其應(yīng)有長度"可能由標(biāo)準(zhǔn)�、郵件服務(wù) 器技術(shù)規(guī)范定義,或由防火墻管理員選擇����。如果電子郵件消息包括任何長 于其應(yīng)有長度的字段,則該消息可能會被發(fā)送至下文詳述的隔離組件535�。
漏洞利用檢測器510可能會使用來自多個銷售商的漏洞利用保護(hù)軟 件。例如��,客戶機可能在連接到病毒保護(hù)更新服務(wù)器的漏洞利用檢測器510 上執(zhí)行���。該客戶機可能會周期性地輪詢與每個銷售商相關(guān)的服務(wù)器���,并尋 找標(biāo)記以了解是否可以得到漏洞利用保護(hù)更新。如果可得到更新�����,則所述 客戶機自動檢索所述更新并檢查其真實性�。例如����,所述更新可能會包括將 無用信號加入所發(fā)送文件的數(shù)字簽名�����。核對所述數(shù)字簽名以確定所述文件 來自值得信賴的發(fā)送人�����,所述無用信號可被用于確定所述文件并未被在傳 送中修改����。另一過程可能會分開所述更新����、停止漏洞利用檢測器510的執(zhí) 行、安裝所述更新并重啟漏洞利用檢測器510�����。漏洞利用檢測器510可能被配置為輪詢定制的漏洞利用保護(hù)更新���,所 述更新例如由信息技術(shù)組研制��。該過程可能以與上述向銷售商輪詢更新類 似的方式執(zhí)行�。
除了輪詢之外或代替所述輪詢���,更新可能被推至漏洞利用檢測器510��。 換言之��,客戶機可能在從漏洞利用保護(hù)更新服務(wù)器收聽更新的漏洞利用檢 測器510上執(zhí)行�����。為了更新在防火墻410上執(zhí)行的漏洞利用保護(hù)���,所述服務(wù) 器可能會打開與該客戶機的連接���,并發(fā)送漏洞利用保護(hù)更新。發(fā)送更新的 服務(wù)器可能為鑒權(quán)自身所需����。此外,所ii^戶機可能會通過使用上述無用 信號來檢查所發(fā)送更新�����,以確定所述文件在傳送中并未被改變�����。
以下將解釋漏洞利用檢測器510的組件�。在"t妾收消息以掃描漏洞利用 時,漏洞利用檢測器510將該消息存儲在消息隊列515內(nèi)�。內(nèi)容過濾器520 處理來自消息隊列515的消息,以確定在該消息進(jìn)入所述系統(tǒng)之前已應(yīng)用 于其的封裝方法��。例如�����,可能會使用通用互聯(lián)網(wǎng)函件擴充服務(wù)(MIME)��、 Base64編碼和未編碼來封裝消息����。內(nèi)容過濾器520也可能會從電子郵件剝 離附件以更精確地檢驗所述附件。從內(nèi)容過濾器520輸出的消息或附件(以 下都稱為"消息")由解壓縮組件525處理��。
解壓縮組件525確定消息是否被壓縮����。如果所述消息并未被壓縮,則 構(gòu)成所述消息的比特^L序列發(fā)送至掃描器組件530���。如果所述消息^皮壓縮�, 則解壓縮組件525會在將其發(fā)送至掃描器組件530之前將所述消息解壓縮 一次或多次。如果消息被壓縮多次���,則解壓縮可能會被以嵌套方式執(zhí)行����。 例如�,可能首先以zip文件格式壓縮消息內(nèi)包括的文件組,然后通過使用 UNIX "ta���,�,指令以tar文件格式壓縮該文件組����。在將文件解tar壓縮之后,解 壓縮組件525可能會確定所述解tar壓縮文件先前由諸如WINZIP的zip壓 縮軟件所壓縮��。為了得到解zip壓縮的(多個)文件�,解壓縮組件525此后 可能會將解tar壓縮的文件解zip壓縮。解壓縮組件525可能要解兩級以上壓 縮來得到解壓縮后文件�。
掃描器組件530從解壓縮組件525接收解壓后的消息以及并未被壓縮 的消息。掃描器組件530包括掃描消息的漏洞利用的軟件����。掃描器組件530可能使用多個銷售商的漏洞利用保護(hù)軟件來掃描消息�����。例如�����,掃描器組件
530可能將消息通過軟件傳送��,所述軟件來自病毒保護(hù)軟件銷售商�����,例如 Norton、 MacAfee��、 Network Associates股份有卩艮公司、Kaspersky Lab��、 Sophos等。此外,掃描器組件530可能會將專有或用戶定義的算法應(yīng)用于 所述消息��,以掃描漏洞利用。例如�,可能會將測試緩存器溢出的用戶定義 的算法用于檢測漏洞利用�����。
掃描器組件530還可能包括為管理員希望防止受到網(wǎng)絡(luò)外界分配的消 息與內(nèi)容生成數(shù)字簽名的內(nèi)部機制。例如�����,參照圖4, 一個所述計算設(shè)備 上的用戶可能生成對外部網(wǎng)絡(luò)405保密的消息并試圖將其轉(zhuǎn)發(fā)�。掃描器組 件530可能會檢查其接收到的每個消息(包括輸出消息)的所述數(shù)字簽名��。 當(dāng)發(fā)現(xiàn)數(shù)字簽名指示不應(yīng)當(dāng)轉(zhuǎn)發(fā)所述消息時�,掃描器組件530可能會將所 述消息和關(guān)于是誰發(fā)送該消息、何時發(fā)送該消息以及與該消息相關(guān)的其它 數(shù)據(jù)的信息 一起轉(zhuǎn)發(fā)至隔離組件�。
當(dāng)確定消息具有漏洞利用時�,所述消息^皮發(fā)送至隔離組件535����。隔離 組件535可能會存儲包括漏洞利用的消息���,由網(wǎng)絡(luò)管理員做進(jìn)一步檢查。 此外���,隔離組件535可能將受感染的消息發(fā)送到漏洞利用去除器540將漏洞 利用去除�。
當(dāng)掃描器組件530并未在消息內(nèi)發(fā)現(xiàn)漏洞利用時��,所述消息可能被轉(zhuǎn) 發(fā)至輸出組件545��。輸出組件545將消息轉(zhuǎn)發(fā)至其接收者。輸出組件545 可能是可用于經(jīng)由網(wǎng)絡(luò)轉(zhuǎn)發(fā)消息的硬件和/或軟件�����。例如,輸出組件545可 能包括諸如網(wǎng)^i口單元310的網(wǎng)^^口�。
漏洞利用去除器540可能會將漏洞利用從消息去除����。在檢測生成清理 后的消息之后���,可能會將某些漏洞利用從消息去除�����。當(dāng)前不受漏洞利用的 清理后消息可能隨后被轉(zhuǎn)發(fā)至其預(yù)計的接收者。在清理消息之后�,漏洞利 用去除器可能會將所述消息轉(zhuǎn)發(fā)至輸出組件545����。如果漏洞利用去除器無 法刪除漏洞利用,則其可能將所述消息發(fā)送回隔離組件535�。 除了將消息傳送到漏洞利用檢測器之外,防火墻可能還會執(zhí)行其它任 務(wù)����。例如,防火墻可能會阻塞到或來自某些地址的消息���。所述的其它任務(wù)可能由其它防火墻組件550實現(xiàn)。當(dāng)其它防火墻組件550確定應(yīng)當(dāng)通過防火 墻500傳送消息時�,其它防火墻組件550將所述消息轉(zhuǎn)發(fā)到輸出組件545。
消息傳輸代理555是接收電子郵件的計算設(shè)備����。電子郵件接收設(shè)備包 括郵件服務(wù)器。郵件服務(wù)器的實例包括孩i軟"交換局"�、"Q郵件"、Lotus Notes等���。參照圖4����,防火墻500可能將消息轉(zhuǎn)發(fā)至郵件服務(wù)器430。
掃描漏洞利用的示例性方法
圖6示出了根據(jù)本發(fā)明的一個實施例檢測漏洞利用的流程圖����。當(dāng)諸如 圖5的消息受話器505的受話器準(zhǔn)備接收消息時,過程在方框605處開始�����。
在方框610處�,所述消息由受話器接收。所述受話器確定是否應(yīng)當(dāng)掃 描所述消息的漏洞利用��。如果將掃描所述消息的漏洞利用��,則處理在方框 615處繼續(xù)����;否則可能會對所述消息執(zhí)行其它處理(未示出)。例如���,參 照圖5��,包括電子郵件消息的消息由消息受話器505接收���。消息受話器505 確定應(yīng)當(dāng)掃描所述消息的漏洞利用���,并將所述消息發(fā)送到消息隊列515。
如果有必要��,則在方框615處將所述消息解封裝��?��?梢匀舾煞绞綄⑾?息封裝��,包括MIME��、 Base64編碼和未解碼�����。為了檢索所述消息,可能會 將所述消息解封裝���。例如���,參照圖5,所述電子郵件消息可能包括祐 使用 MIME編碼的附件�����。內(nèi)容過濾器520可能會將所述附件解封裝。在方框615 之后����,處理在方框620處繼續(xù)。
在方框620處�����,所述消息和/或其附件��,如果存在的話�,可能會被一 次或多次解壓縮。例如���,參照圖5����,電子郵件消息可能包括已由WinZip壓 縮的附件����。解壓縮組件525可能會確定所使用的壓縮算法,并將所述附件 解壓縮����。在方框620之后�,處理在方框625處繼續(xù)����。
在方框625處,掃描消息的漏洞利用�。可能使用常規(guī)漏洞利用檢測軟 件和/或?qū)S谢蛴脩舳x的漏洞利用檢測軟件來掃描所述消息�。例如,參 照圖5,可能會掃描電子郵件消息的標(biāo)題��、正文與附件字段����,以確定它們 是小于還是等于所述字段的最大長度。此外���,如果存在電子郵件的附件�, 則可能通過各個銷售商的病毒檢測軟件傳送電子郵件的附件����,以確定所述 附件是否包括任何漏洞利用����。在方框625之后�����,處理在方框630處繼續(xù)�����。在方框630處����,確定所述掃描是否檢測到任何漏洞利用�。如果發(fā)現(xiàn)漏 洞利用,則處理在方框635處繼續(xù)��;否則處理在方框640處繼續(xù)�。
在方框635處,消息被隔離���,且選擇性地將一個或多個漏洞利用去除���。 被隔離可能意味著將所述消息與其它關(guān)于所述消息的信息一起存儲起來, 所述的其它關(guān)于所述消息的信息例如是誰發(fā)送所述消息、所述消息被尋址
到誰以及所述消息何時到達(dá)�����。這可能是為了進(jìn)一步檢查或分析而執(zhí)行的���。 作為選擇��,被隔離可能意味著將所述消息刪除�����。當(dāng)從消息處理去除漏洞利 用時�,可能在方框640處繼續(xù)�����;否則�,特定消息的處理完成,且可能掃描 另一消息的漏洞利用����。例如,參照圖5���,隔離組件接收包括漏洞利用的電 子郵件����,并將所述電子郵件存儲起來用于進(jìn)一步檢查�����。
在方框640處���,將消息轉(zhuǎn)發(fā)至其接收者��。所述消息可能是由漏洞利用 檢測器接收的原始消息���,或可能是將漏洞利用從其去除的消息。例如����,參 照圖5,輸出組件545將消息轉(zhuǎn)發(fā)至消息傳輸代理555��。
在方框645處�,處理結(jié)束。此時已為掃描消息的漏洞利用���。如果所述 消息的任何部分已被封裝��,則所述消息已被解封裝����。如果所述消息已被一 次或多次壓縮,則所述消息已被一次或多次解壓縮��。對于漏洞利用的掃描 已發(fā)生在所述消息上�。如果發(fā)現(xiàn)漏洞利用,則它們已被隔離和/或選擇性 地浮皮從所述消息去除���。所述消息或清理后的消息隨后^皮轉(zhuǎn)發(fā)至接收者����?���??能會為每個所接收消息重復(fù)上述過程。
本發(fā)明的各個實施例可能會被實施為計算機實施步驟的序列或在計 算系統(tǒng)上運行的程序模塊和/或所述計算系統(tǒng)內(nèi)的互連機器邏輯電路或電 路模塊�����。對于所述實施方式的選擇取決于實施本發(fā)明的計算系統(tǒng)的性能要 求�����。對于^^開,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識到的是�,所公開的各個實施例 的功能與操作可能被實施在軟件��、固件���、專用數(shù)字邏輯或是其任何組合內(nèi)�����, 這并不背離本發(fā)明的精神或范圍��。
上述技術(shù)規(guī)范�����、實例與數(shù)據(jù)提供了制造和使用本發(fā)明部分的充分描 述���。由于可在并不背離本發(fā)明精神和范圍的情況下實施本發(fā)明的多種實施 例,所以本發(fā)明歸屬于所附權(quán)利要求書����。
權(quán)利要求
1.一種用于向連接至網(wǎng)絡(luò)的多個設(shè)備提供漏洞利用保護(hù)的方法��,包括(a)在節(jié)點中接收消息�����,所述節(jié)點接收指向任何一個所述設(shè)備的消息��,并且在將所述消息向至少一個所述設(shè)備轉(zhuǎn)發(fā)之前��,引起對所述消息的漏洞利用的掃描���,其中所述消息包括標(biāo)題以及壓縮后的附件;(b)對所述附件解壓縮����;(c)確定所述標(biāo)題是否包含所述漏洞利用;(d)在所述標(biāo)題中包含漏洞利用時����,隔離所述消息。
2. 根據(jù)權(quán)利要求l的方法�,還包括 在所述附件,皮封裝時,將所述附件解封裝���。
3. 根據(jù)權(quán)利要求l的方法����,還包括去除所述漏洞利用,并向至少一個 所述設(shè)備轉(zhuǎn)發(fā)所述消息���。
4. 根據(jù)權(quán)利要求2的方法�����,還包括確定所述消息的正文是否包括漏洞 利用。
5. 根據(jù)權(quán)利要求4的方法����,其中使用至少來自兩個銷售商的漏洞利用 保護(hù)軟件來確定所述標(biāo)題是否包括漏洞利用。
6. 根據(jù)權(quán)利要求2的方法���,其中至少使用通用互聯(lián)網(wǎng)函件擴充服務(wù) (M1ME) ��、 Base64編碼和未編碼中的至少一種來封裝所述附件���。
7. —種用于向連接至網(wǎng)絡(luò)的多個設(shè)備提供漏洞利用保護(hù)的方法,包括(a) 在節(jié)點中接收消息�����,所述節(jié)點接收指向任何一個所述設(shè)備的消 息,并且在將所述消息向至少一個所述設(shè)備轉(zhuǎn)發(fā)之前����,引起對所述消息的 漏洞利用的掃描,其中所述消息包括標(biāo)題��,以及正文和附件中的任何一個��;(b) 確定所述標(biāo)題和所述正文中的至少一個是否包括漏洞利用���,所 述標(biāo)題包括具有定義大小的字段�,并且在所述字段中的數(shù)據(jù)的大小不同于 所述定義的大小時���,所述標(biāo)題包括漏洞利用���;(C)在所述消息的標(biāo)題和正文中的至少一個包含漏洞利用時,隔離 所述消息���。
8. 根據(jù)權(quán)利要求7的方法���,其中使用至少來自兩個銷售商的漏洞利用 保護(hù)軟件來確定所述消息的標(biāo)題和正文中的至少一個是否包括漏洞利用。
9. 一種用于向連接至網(wǎng)絡(luò)的多個設(shè)備提供漏洞利用保護(hù)的系統(tǒng)��,包括(a) 用于接收包括標(biāo)題、以及正文和附件中的至少一個的消息的裝置�;(b) 用于確定所述附件是否被封裝,并且在所述附件被封裝時將所 述附件解封裝的裝置�����;(c) 用于在所述附件凈皮壓縮時至少一次解壓縮所述附件的裝置�;(d) 用于確定所述標(biāo)題和正文中的至少一個是否包括漏洞利用的裝 置;以及(e )用于在所述消息包括所述漏洞利用時隔離所述消息的裝置���。
10. 根據(jù)權(quán)利要求9的系統(tǒng)����,其中所述標(biāo)題包括具有定義大小的字段����, 在所述字段中的數(shù)據(jù)的大小不同于所述定義的大小時��,所述用于確定所述 標(biāo)題和正文中的至少 一個是否包括漏洞利用的裝置被設(shè)置成確定所述標(biāo) 題包括漏洞利用��。
11. 一種用于為連接至網(wǎng)絡(luò)的多個設(shè)備提供漏洞利用保護(hù)的系統(tǒng)��,包括(a) 用于接收消息的內(nèi)容過濾器��,所述消息指向至少一個所述設(shè)備, 并且包括標(biāo)題�����、正文和附件�,其中所述內(nèi)容過濾器確定在所述系統(tǒng)接收該 消息之前已經(jīng)封裝所述附件,并且對所述附件解封裝�����;(b) 解壓縮組件��,耦合到所述內(nèi)容過濾器��,并且在所述附件被壓縮時執(zhí)行對于所述附件的至少一種解壓縮����;(c) 掃描器組件,耦合到所述解壓縮組件��,并且確定所述標(biāo)題和正文中的至少一個是否包括漏洞利用����,并確定所述標(biāo)題、正文以及附件中的至少一個是否包含應(yīng)當(dāng)被轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)之外的內(nèi)容;(d) 隔離組件�,耦合到所述掃描器組件,并且在所述消息包括漏洞利用時保持所述消息�����;以及(e) 用于接收指向所述網(wǎng)絡(luò)的消息的設(shè)備�,所述設(shè)備至少使用所述掃描器組件向至少 一個所述消息提供漏洞利用保護(hù)。
全文摘要
本發(fā)明公開了一種用于為連接至網(wǎng)絡(luò)的多個設(shè)備提供漏洞利用保護(hù)的系統(tǒng)�,包括用于接收消息的內(nèi)容過濾器,所述消息指向至少一個所述設(shè)備����,并且包括標(biāo)題、正文和附件��,其中所述內(nèi)容過濾器確定在所述系統(tǒng)接收該消息之前已經(jīng)封裝所述附件��,并且對所述附件解封裝解壓縮組件����,耦合到所述內(nèi)容過濾器�,并且在所述附件被壓縮時執(zhí)行對于所述附件的至少一種解壓縮;掃描器組件�,耦合到所述解壓縮組件,并且確定所述標(biāo)題和正文中的至少一個是否包括漏洞利用;隔離組件�,耦合到所述掃描器組件,并且在所述消息包括漏洞利用時保持所述消息�;用于接收指向所述網(wǎng)絡(luò)的消息的設(shè)備,所述設(shè)備至少使用所述掃描器組件向至少一個所述消息提供漏洞利用保護(hù)�����。
文檔編號H04L29/06GK101567889SQ20091013710
公開日2009年10月28日 申請日期2002年4月12日 優(yōu)先權(quán)日2001年4月13日
發(fā)明者格里高里·J·斯密斯 申請人:諾基亞公司