[发明专利]用于针对恶意软件的本地保护的系统和方法

说明书

相关申请的交叉引用

本申请涉及发明人为：Rishi Bhargava等人，2010年7月28日提交，题为“SYSTEM AND METHOD FOR NETWORK LEVEL PROTECTION AGAINST MALICIOUS SOFTWARE”的序号为12/844964的共同未决的美国专利申请（代理档案号No. 04796.1053）。该申请的公开被认为是一部分并在此通过引用将其全文并入。

技术领域

本公开一般涉及网络安全领域，更具体而言，涉及针对恶意软件的本地保护。

背景技术

在当今社会中，网络安全领域变得越来越重要。因特网使得全世界的不同计算机网络能够互联。不过，有效保护和维护稳定计算机和系统的能力给部件制造商、系统设计者和网络运营商呈现了显著的障碍。由于恶意操作员所利用的不断演进的策略系列，使得这种障碍甚至更加复杂。最近尤其让人关注的是僵尸网络（botnet），僵尸网络可用于多种多样的恶意目的。一旦恶意软件程序文件（例如僵尸程序（bot））已经感染了主计算机，恶意操作员可以从“命令和控制服务器”发出命令以控制僵尸程序。可以指示僵尸程序以执行任意数量的恶意动作，例如从主计算机发出垃圾邮件或恶意邮件，从与主计算机关联的企业或个人窃取敏感信息，向其他主计算机传播僵尸网络，和/或辅助分布式拒绝服务攻击。此外，恶意操作员能够通过命令和控制服务器向其他恶意操作员销售僵尸网络或以其他方式赋予对僵尸网络的访问，由此逐步扩大主计算机的利用。因此，为了任意数量的恶意目的，僵尸网络为恶意操作员提供了强大方式以访问其他计算机并操控那些计算机。安全专业人员需要开发新型工具以应对允许恶意操作员利用计算机的这种手段。

附图说明

为了提供对本公开及其特征和优点的更完整理解，对结合附图进行的以下描述做出参考，在附图中同样的附图标记代表同样的部分，其中：

图1是示范性网络环境的图示表示，其中可以根据本公开实施用于针对恶意软件的本地保护的系统和方法的各种实施例；

图2是服务器一个实施例的方框图，其中可以根据本公开的实施例实施系统的部件；

图3是范例计算装置的示意图，其中可以根据本公开的实施例实施系统的部件；

图4是简化流程图，示出了与根据本公开实施例的系统相关联的一系列范例步骤；

图5是简化流程图，示出了与根据本公开实施例的系统相关联的信任确定流程的一系列范例步骤；

图6是简化流程图，示出了与根据本公开实施例的系统相关联的信任确定流程的另一实施例的一系列范例步骤；

图7是简化流程图，示出了与图3的计算装置实施例相关联的一系列范例步骤；

图8是另一范例计算装置的简化示意图，其中可以根据本公开的实施例实施系统的部件；

图9是简化流程图，示出了与图8的计算装置实施例相关联的一系列范例步骤；

图10是另一范例计算装置的简化示意图，其中可以根据本公开的其他实施例实施系统的部件；

图11是简化流程图，示出了与图10的计算装置实施例相关联的一系列范例步骤；以及

图12是简化流程图，示出了与根据本公开的系统的信任确定流程的另一实施例相关联的一系列范例步骤。

具体实施方式

概述

一种范例实施方式中的方法包括截获计算装置上的网络访问企图并确定与网络访问企图相关联的软件程序文件。该方法还包括评估第一标准，以确定是否许可网络访问企图，并且如果不许可，则阻止网络访问企图。最后，第一标准包括软件程序文件的信任状态。在具体实施例中，如果软件程序文件被包括在识别可信任软件程序文件的白名单中，则将信任状态定义为信任，并且如果软件程序文件未被包括在白名单中，则将信任状态定义为不信任。在更具体的实施例中，如果软件程序文件具有不信任状态，则阻止网络访问企图。在另一更具体实施例中，该方法还包括搜索一个或多个白名单以确定是否在白名单之一中识别出软件程序文件。在其他更具体实施例中，该方法包括评估第二标准，以确定第二标准是否超越（override）第一标准，其中第二标准包括针对软件程序文件的网络访问策略。在又一实施例中，如果将软件程序文件的信任状态定义为不信任，则可以记录事件，并且这样的记录可以取代阻止网络访问企图而发生，或者可以除阻止网络访问企图之外而发生。