[发明专利]消息保护系统中的两阶段散列值匹配技术

说明书

技术领域

本发明涉及计算机网络安全，尤其涉及网络的系统漏洞攻击程序(exploit)保护。

背景技术

互联网连接位于全世界的数百万节点，并且有利于以通常称作电子邮件，Web浏览，文件传送，即时消息等等的电子消息的形式交换信息。点击一个按钮，在世界某处的用户可以访问数千英里以外的另一个计算机的文件。部分由于容易发送信息，所以已经存在用于非期望目的的系统漏洞攻击(exploitation)技术。系统漏洞攻击的最初引人注目的案例中的一个涉及使用电子邮件传播程序。一旦计算机受程序的″感染″，它将发送包含程序的电子邮件消息给其它计算机。类似于病毒，程序以令人惊异的速度从计算机到计算机散布。现在，新闻几乎每日都要报告类似病毒的程序(此后称作″系统漏洞攻击程序″)。这些系统漏洞攻击程序中的某些是相对无危险的；其它则破坏数据或捕捉敏感信息。除非恰当防护，否则这些系统漏洞攻击程序能够迫使公司的网络或计算机系统屈服或盗窃敏感信息，即使只有少数计算机被感染。

应对这些系统漏洞攻击程序的最普遍方法之一是在互联网网关上部署消息保护系统，其核心部分是检查所有通过的消息并且检测这种系统漏洞攻击程序的扫描引擎。然而，虽然许多消息保护系统能够有效检测消息中的系统漏洞攻击程序，然而这种系统的吞吐率通常受某些必要但是费时的过程瓶颈的限制。本领域的技术人员通常不知如何建立高效消息保护系统。

发明内容

简要地说，本发明涉及提供一种用于使用两阶段散列值匹配技术保护设备以抵御系统漏洞攻击程序的系统和方法。系统接收引向设备的对象，并且使用两阶段散列值技术确定对象是否先前已经被扫描。如果对象先前已经被扫描，则系统立即处理对象而无需再次扫描对象。

在一个方面，本发明涉及一种用于过滤出通过设备的系统漏洞攻击程序的方法。该方法接收引向设备的对象，确定与对象相关的第一值和与先前已经扫描的对象相关的第二值集。如果第一值与第二值集中的至少一个值匹配，则方法确定与对象相关的第三值和与先前已经扫描的对象相关的第四值集。如果第三值与第四值集中的至少一个值匹配，则方法立即处理该对象。

在另一方面，本发明涉及上述方法，其中第一值和第二值集只能粗略地彼此区分对象，但是能够从相关对象高效地计算。尽管需要更多时间进行计算，然而第三值和第四值集可用于确信地彼此区分对象。

在另一个方面，本发明涉及一种用具有第一索引数据字段和第二数据字段的数据结构编码的计算机可读介质。第一索引数据字段具有索引项，其中每个索引项包含第一值。第二数据字段包含对象相关项，其中每个对象相关项具有第二值。每个对象相关项被索引到第一索引数据字段中的索引项，并且与先前已经扫描的对象唯一相关。

在另一个方面，本发明涉及一种用于过滤系统漏洞攻击程序的系统。系统包含消息跟踪器和扫描部件。消息跟踪器被构造成使用两阶段散列值技术确定对象是否先前已经扫描。扫描部件被连接到消息跟踪器，并且被构造成接收未扫描对象和确定未扫描对象是否包含系统漏洞攻击程序。

通过阅读下列详细描述及查看相关附图将明白表征本发明的这些和各种其它特征以及优点。

附图说明

图1-3示出其中可实践本发明的示例性环境的部件；

图4图解了为网络提供漏洞攻击程序保护的系统所在的示例性环境；

图5图解了可以提供系统漏洞攻击程序保护的防火墙的部件；

图6是使用对象的SSHV检查对象的示例性处理的图示；

图7是使用两阶段散列值匹配技术检查对象的示例性处理的图示；

图8是实现两阶段散列值匹配技术的数据结构的图示；及

图9图解了检测系统漏洞攻击程序的流程图；基于本发明的实施例。

具体实施方式

在下面本发明的示例性实施例的详细描述中，参考形成描述的一部分并且通过图解方式示出的附图，其特定示例性实施例可以实践本发明。这些实施例被充分详细地描述以使本领域的技术人员能够实践本发明，应当理解，可以使用其它实施例，并且在不偏离本发明的实质或范围的前提下，可进行其它变化。因此，下列详细描述不是限制性的，并且由所附权利要求书定义本发明的范围。

在下面的描述中，提供在整个这个文档中使用的某些术语的第一定义。接着，公开其中可实践本发明的图解操作环境的图解部件。接着，公开了可实践本发明的图解操作环境。最后，提供了检测和清除系统漏洞攻击程序的方法。

定义

在这个部分中的定义适用于这个文档，除非上下文明确指示其它的含义。短语″这个文档″是指说明书，权利要求书和这个申请的摘要。