[发明专利]对网络资源的基于健康状况的访问

说明书

背景技术

防病毒、防间谍软件，及其他防恶意软件应用程序试图通过标识有害的应用程序或其他可执行代码并删除或至少中立化有害的代码来保护客户机计算机。当前的防恶意软件应用程序(例如，Microsoft Windows Defender、Microsoft Forefront Client Security、Microsoft OneCare、Microsoft Forefront Server for Exchange Server等等)使用基于签名的方法来检测病毒、蠕虫，以及间谍软件。一种常见的恶意软件预防类型依赖于检查用户(例如，在web浏览器中)请求的统一资源定位符(URL)或因特网协议(IP)地址，并阻止对被标记为恶意或潜在恶意的URL的访问。常常，当用户访问一个网站并允许“未知软件”的安装时(通常，用户认为他们正在安装好的软件)，客户机计算机被感染，如此，阻止对已知是恶意的站点的访问可以保护用户的计算机系统免受感染。

机器健康状态是用来确定计算机系统的健康状况并基于计算机系统的健康状况来确定计算机系统可以执行的动作的一种技术。例如，许多公司的局域网(LAN)管理员都定义策略，在策略允许计算机系统访问企业网络之前，每一个计算机系统都必须符合该策略。例如，管理员可以定义一个策略，该策略指定在该策略允许计算机系统访问LAN之前，特定操作系统补丁或特定防病毒定义版本必须存在于该组织中的计算机系统上。

当前的web过滤技术，无论是基于主机的(本地计算机)还是基于边缘的(网关设备/服务器)，都使用策略来控制对网络协议或目的地的访问。这些策略通常使用在策略创作时已知的机器或用户属性，如测试一组中的成员身份，测试目的地或源站点名称，或对于对某些网络资源的访问，施加一天中的时间限制。

一个问题是，这些保护机制常常不必要地限制性过强。允许用户创建内容的网站除网站的几个恶意区域之外还可能具有网站的许多非恶意区域。另外，用户的职业可能需要访问有害的网站(例如，标识雇用该用户的公司的享有版权的材料的非法的分发)，并且用户可能采取其他预防措施来防止感染该用户的计算机系统的风险。例如，用户可能在受保护的或沙箱模式下运行浏览器以防止网站对计算机系统的其他元件产生影响。用户还可以运行严格的防病毒软件以降低感染的风险。在机器健康的情况下，很少使用膝上型计算机的用户可能将膝上型计算机带到演讲现场，并希望访问一个网站，但是，被阻止这样做，因为该用户最近没有利用补丁更新膝上型计算机。

在其他时候，传统的保护机制限制性可能不足够强。例如，基于URL的阻止只是和已知的恶意URL的列表一样好。恶意软件作者时常改变主存恶意代码的域名，并且由此，基于URL的阻止可能不能在某一时段标识恶意网站，直到管理员将该网站添加到恶意网站列表中。

发明内容

此处所描述了一种保护系统，该保护系统基于一计算机系统的健康状态和特定资源的信誉的组合，来确定该计算机系统是否可以访问该资源。当一个用户试图访问一个资源时，该保护系统截取该请求。保护系统确定用户正试图访问的资源的信誉。保护系统还确定用户正在试图访问资源所采用的计算机系统的健康状况。基于所确定的资源的信誉和所确定的计算机系统的健康状况，该保护系统确定是否允许所请求的对该资源的访问。由此，保护系统允许管理员基于计算机系统的健康状况保护计算机系统避开潜在恶意的资源。保护是动态的，因为计算机系统的健康状况和特定资源的信誉两者都可以随着时间而变化，并且，保护系统是基于发出请求时的信誉和健康状况来保护计算机系统的。

提供本发明内容是为了以精简的形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限定所要求保护的主题的范围。

附图说明

图1是示出了一个实施例中的保护系统的组件的框图。

图2是示出了一个实施例中的在其中使用了保护系统的环境的框图。

图3是示出了一个实施例中的系统处理接收到的对资源的访问请求的过程的流程图。

图4是示出了在一个实施例中访问控制组件允许或拒绝访问资源的请求的过程的流程图。

具体实施方式