[发明专利]软件漏洞利用防护

权利要求书

1.一种在网络计算环境中的目标计算机处使用的系统，所述系统包括：

处理设备；以及

与所述处理设备通信的非临时性的处理器可读储存介质，其中所述处理器可读储存介质包含一个或更多个编程指令，所述一个或更多个编程指令在被执行时使所述处理设备进行以下内容：

使用安装在目标计算机上的安全组件在所述目标计算机的传输层监控流入网络流量，所述流入网络流量被识别为以所述目标计算机为目的，其中以所述目标计算机为目的的流入网络流量包括消息，所述消息以执行所述监控的所述目标计算机的应用层为目的；

在所述传输层接收作为所述网络流量的部分的消息，所述消息被识别为以所述目标计算机为目的；

将被包括在所述接收的消息中的数据的至少一部分与用于识别恶意代码的利用证据进行比较，所述恶意代码被配置来利用安装在所述目标计算机上的应用的漏洞，所述利用证据通过收集关于所述恶意代码的信息的安全服务提供给所述安全组件，其中所述安全服务位于所述安全组件的外部；以及

基于与所述利用证据的所述比较，识别一条或更多条规则，所述规则指示所述安全组件对所述接收的消息进行一项或更多项行动，从而所述消息中的任何恶意代码不被转移到所述目标计算机的所述应用层。

2.如权利要求1的系统，其中所述传输层包括所述目标计算机的TCP套接。

3.如权利要求1的系统，其中在被执行时使所述处理设备比较被包括在所述消息中的数据的至少一部分的一个或更多个编程指令还包括在被执行时使所述处理设备进行以下内容的一个或更多个编程指令：

将数据的所述至少一部分识别为对应于恶意代码，以及

完成以下中的一项或更多项：

阻挡所述接收的消息进入所述目标计算机；

向所述目标计算机的使用者通知所述消息与所述恶意代码的所述对应，以便允许所述使用者采取适当行动；以及

修改所述消息，以便禁用所述恶意代码的任何有害特征。

4.如权利要求3的系统，其中在被执行时使所述处理设备比较被包括在所述消息中的数据的至少一部分的一个或更多个编程指令还包括在被执行时使所述处理设备进行以下内容的一个或更多个编程指令：

将数据的所述至少一部分识别为对应于恶意代码；以及

在阻挡所述接收的消息的同时，允许其他良性消息传到所述目标计算机。

5.如权利要求3的系统，其中在被执行时使所述处理设备比较被包括在所述消息中的数据的至少一部分的一个或更多个编程指令还包括在被执行时使所述处理设备进行以下内容的一个或更多个编程指令：

将数据的所述至少一部分识别为对应于恶意代码；

通过使用者界面向所述目标计算机的所述使用者通知所述消息的所述对应；以及

允许所述使用者接受或者拒绝所述消息。

6.如权利要求1的系统，其中所述利用证据包括与恶意代码相关联的已知电子地址列表。

7.如权利要求6的系统，其中所述电子地址列表包括网站的IP地址或URL，并且其中所述消息的来源的IP地址或URL与所述与恶意代码相关联的已知电子地址列表进行比较。

8.如权利要求1的系统，其中所述利用证据包括所述恶意代码的一个或更多个签名，所述签名为代表所述恶意代码的独特的数据结构。

9.如权利要求1的系统，其中所述处理器可读储存介质还包含在被执行时使所述处理设备进行以下内容的一个或更多个编程指令：

从所述安全服务接收命令，所述命令指示被用于识别恶意代码的利用证据应该基于一种或更多种事件而过期；以及

一旦所述一种或更多种事件发生，如一条或更多条规则所定义的那样对所述利用证据采取行动。

10.如权利要求9的系统，其中：

所述一种或更多种事件包括确定已经经过了风险窗口或者所述恶意代码低于某威胁评级阈值；并且

在被执行时使所述处理设备对所述利用证据采用行动的所述一个或更多个编程指令还包括在被执行时使所述处理设备从所述安全组件删除所述利用证据的一个或更多个编程指令。

11.如权利要求9的系统，其中：

所述一种或更多种事件包括确定已经经过了风险窗口或者所述恶意代码低于某威胁评级阈值；并且

在被执行时使所述处理设备对所述利用证据采用行动的所述一个或更多个编程指令还包括在被执行时使所述处理设备暂时中止对所述利用证据的所述比较的一个或更多个编程指令。