检测不需要的网络流量内容的系统与方法

文档序号:7966429阅读:162来源:国知局
专利名称:检测不需要的网络流量内容的系统与方法
技术领域
本发明涉及一种计算机网络以及计算机系统,并尤其涉及在计算机网络或计算机系统中检测电子信息内容的系统和方法。
背景技术
计算机病毒的产生与传播是计算机系统与计算机网络面临的主要问题。一个计算机病毒就是在计算机网络中能够附属在其他程序或一系列的计算机指令中,进行自身复制和/或执行未经请求的内容或恶意指令的程序。病毒程序可以嵌入在电子邮件附件中,从因特网下载的文件中以及微软Office办公软件的宏指令中。计算机病毒导致的破坏的范围可以从程序接口,例如弹出显示未经请求的信息与图片,到用户硬盘或服务器中数据的彻底损坏。
为了进行病毒防护,大多数公司/机构均在其网络的计算机中安装了病毒扫描软件。即便是这样,在公司网络中每台主机对反病毒软件进行升级之前,这些机构还是会容易受到病毒的攻击。由于几乎每周都会发生新的病毒攻击,使得公司会经常暴露在病毒攻击之下,并且需要耗费大量的资源以确保公司网络中所有主机设备都保持最新的反病毒软件更新。例如,安装了现存的内容检测软件的用户需要请求下载新的病毒特征以便使内容检测软件能够检测到从上次升级之后才产生的最新的病毒。如果用户没有及时下载新的病毒特征,将导致内容检测软件不能检测到新的病毒。而且,针对现有的内容检测系统,在新的病毒刚发现之后的短时间内通常还不能在同时产生出病毒特征。这种情况下,计算机可能在用户下载到病毒特征之前就受到攻击。
除了病毒攻击,许多机构还面临着如何处理不适当内容的问题,如垃圾邮件、诸如浏览或下载不适当内容的网络滥用以及从事非生产性任务的网络使用。许多公司都在寻求在不过度限制对合法内容与服务访问的同时控制对不适当内容的访问。目前,对于屏蔽不必要的web活动最常用的解决方案是根据URL屏蔽列表,来阻止被禁止或列入黑名单的网站以及网页的访问。但是,对于病毒扫描而言,URL屏蔽列表需要不断的更新。如果用户不及时下载URL屏蔽列表,或如果暂时不能获取URL列表,则内容检测软件将不能检测到未经允许的内容,例如网页。
许多垃圾邮件排除系统也使用黑名单(垃圾邮件发送源名单)以过滤不必要的电子邮件信息。这些系统是将进入的电子邮件信息与垃圾邮件服务器中预先定义的电子服务器列表相匹配,并阻止用户通过服务器访问这些信息。但是,由于使用了病毒扫描,垃圾发送源列表也需要不断的更新。如果用户不及时下载垃圾邮件发送源列表,或如果暂时不能获取垃圾邮件发送源列表,则内容检测软件将不能检测到未经允许的内容。
现存的内容检测软件还面临一个问题就是在安装有内容检测软件的本地计算机上下载病毒特征更新、URL屏蔽列表更新以及垃圾邮件发送源列表更新等下载步骤都需要花费较长的时间并占用大量的系统资源。而且,本地计算机使用已下载的检测信息(例如,病毒特征,URL屏蔽列表以及垃圾邮件发送源识别文件)检测未经允许的内容时需要占用较大的系统资源,从而降低了本地计算机的性能。例如,本地计算机在执行病毒检测的同时,用户在使用本地计算机执行其他任务如word处理、计算机辅助绘图或网上冲浪时机器的处理速度会比较慢。
鉴于此,有效的计算机与网络内容的检测系统与方法是相当有用的。

发明内容
根据本发明的一些实施方式,提供一种对所要检测的内容进行检测的方法,包括在第一主机接收电子数据;使用所接收的电子数据来确定校验和值;并将该校验和值发送到处理工作站,所述处理工作站为不同于所述第一主机的第二主机;以及从所述处理工作站接收结果,所述结果用于表示所述电子数据是否与所要检测的内容相关。
根据本发明的其他实施方式,提供一种具有介质的计算机程序的产品,该介质中存储有一套处理器可读的指令,其中当所述处理器执行所述指令时会执行如下步骤,所述步骤包括在第一主机中接收网络流量数据;使用所接收的网络流量数据来确定校验和值;将所述校验和值发送到处理工作站,所述处理工作站为不同于所述第一主机的第二主机;以及从所述处理工作站接收结果,该结果是用于表示该电子数据是否与所要检测的内容相关。
根据本发明的其他实施方式,提供一种对所要检测的内容进行检测的系统,包括处理器,用于接收网络数据以及使用所接收的网络数据来确定校验和值,所述处理器与第一主机相连;以及数据传输与接收装置,用于向处理工作站发送所述校验和值以及从所述处理工作站接收结果,所述结果用于表示该电子数据是否与所要检测的内容相关,其中所述处理工作站为不同于所述第一主机的第二主机。
根据本发明的其他实施方式,提供一种对所要检测的内容进行检测的方法,包括在接收工作站接收电子数据;以及确定所接收的电子数据数否与所要检测的内容相关;其中所述接收工作站中不包括用于识别所要检测内容的内容检测数据。
根据本发明的其他实施方式,提供一种具有介质的计算机程序的产品,所述介质中存储有一套处理器可读的指令,其中当所述处理器执行所述指令时会执行如下步骤,所述步骤包括在接收工作站接收电子数据;以及确定所接收的电子数据是否与所要检测的内容相关;其中所述接收工作站中不包括用于识别所要检测内容的内容检测数据。
根据本发明的其他实施方式,提供一种对所要检测的内容进行检测的系统,包括用于接收网络流量数据的接收工作站;以及数据传输与接收装置,用于接收表示所接收的电子数据与所要检测的内容是否相关的结果;其中所述接收工作站中不包括用于识别所要检测内容的内容检测数据。
根据本发明的其他实施方式,提供一种对所要检测的内容进行检测的方法,包括在第一主机上接收校验和值;将所述校验和值与参考和值相比较;根据比较来确定表示电子数据与所要检测的内容是否相关的结果;以及向接收工作站发送所述结果,所述接收工作站为不同于所述第一主机的第二主机。
根据本发明的其他实施方式,提供一种具有介质的计算机程序的产品,该介质中存储有一套处理器可读的指令,其中当所述处理器执行所述指令时会执行如下步骤,所述步骤包括在第一主机上接收校验和值;将所述校验和值与参考和值相比较;根据比较来确定表示电子数据与所要检测的内容是否相关的结果;以及向接收工作站发送所述结果,所述接收工作站为不同于所述第一主机的第二主机。
根据本发明的其他实施方式,提供一种对所要检测的内容进行检测的系统,包括处理工作站,所述处理工作站具有数据传输与接收装置,所述数据传输与接收装置用于接收表示所接收的电子数据与所要检测的内容是否相关的结果;其中所述处理工作站用于将校验和值与参考校验和值相比较,并且根据比较确定表示电子数据与所要检测的内容是否相关的结果;并且所述处理工作站还用于使得数据传输与接收装置向接收工作站发送所述结果;其中所述处理工作站与所述接收工作站为不同的主机。
实施方式的其他方面与特征将在下文描述中详细说明。


以下本申请实施方式的设计与操作流程的说明图。所有相似功能部件使用相同的编号注明。为了更好的理解本发明各种实施方式的优势和目的,将结合附图多上述实施方式进行更加详细地说明。这里需要说明的是,这些附图都是本申请的典型实施方式,并不用于限制本发明的范围,在此结合附图对上述实施方式的附加特征和细节进行详细描述和说明。
图1是根据本发明的实施方式中所描述的具有接收工作站与处理工作站的内容检测系统的框图;图2是根据本发明的实施方式中所描述的图1所示的接收工作站所执行的方法示意图;图3是根据本发明的实施方式中所描述的图1所示的处理工作站所执行的方法示意图;图4是根据本发明的实施方式中所描述的用于执行各种功能的计算机硬件系统的流程图。
具体实施例方式
接下来,参考附图对本发明的各种实施方式进行说明。需要说明的是,附图并没有按照规定比例绘制并且相似结构或功能的装置均在整个图中使用相同的编号。同时,附图仅仅用于帮助具体实施方式
的说明。其并不意欲详尽本发明的所有实施方式,以及并不限制本发明的范围。另外,本发明所述的实施方式并不能给出本发明的各个方面或优势。本发明在特定实施方式中所描述的方面和优势并不仅限于本实施方式,并且在其他实施方式中未进行引用和说明,所描述的上述方面和优势也可实施在其他任何实施方式中。
图1是根据本发明的一些实施方式所描述的内容检测系统100。内容检测系统100包括接收工作站102,用于接收电子数据;处理工作站104,用于确定表示电子数据与所要检测的内容是否相关的结果。如上述说明中所使用的,“接收工作站”一词是指一个能够接收电子数据的装置或程序。例如,接收工作站102可以是计算机、服务器、模块、防火墙、计算机程序或其他任何各种能够接收或传输信息的装置(例如手持装置)。同样,如上述说明中所使用的,“电子数据”或“电子内容”指能够在两台计算机之间、计算机与装置(如磁盘)之间或两个装置(如防火墙)之间传送的数据。如图所示,处理工作站104是通过互联网(如LAN或无线装置)与接收工作站102进行通信连接。处理工作站104与接收工作站102是分别在TCP/IP网络中不同的主机,使用唯一性的IP地址。
在所述实施方式中,内容检测系统100还包括与接收工作站102相连接的多个用户工作站110。在此,接收工作站102用于接收电子数据并将所述电子数据传送到该电子数据需要传送的一个用户站110中。在其他实施方式中,内容检测系统100并不包括用户工作站110。在这样情况下,将接收工作站102作为用户工作站。
在所述实施方式中,内容检测系统100还包括多个更新工作站108,用于向处理工作站104提供有关所要被检测的内容的信息。更新工作站108与处理工作站104进行本地通信连接(如通过数据线)和/或通过互联网(如LAN)通信连接。在其他实施方式中,内容检测系统100能够包括至少一个处理工作站104,每个处理工作站都被设置用于在不同的地理区域服务于某一接收工作站102。这样,每个更新工作站108可通过分配有关被检测内容的信息以更新一个或更多处理工作站104。在其他一些实施方式中,内容检测系统100并不包括更新工作站108。在这种情况下,将处理工作站104也作为更新工作站。
在所述实施方式中,处理工作站104是计算机。或者,处理工作站104也可以是服务器、模块、装置或其他任何能够接收并传输信息的装置,如手持装置。在一些实施方式中,处理工作站104至少有一部分能够由硬件执行。例如在一些实施方式中,处理工作站104包括专用集成电路(ASIC),如半定制的ASIC处理器或一个可编程ASIC处理器。在其他实施方式中,处理工作站104是任何各种能够执行在此所述功能的的电路或装置。例如,处理工作站104可以包括一通用的处理器,如Pentium处理器。在其他实施方式中,处理工作站104也通过安装在计算机、服务器或其他诸如磁盘或CD-ROM的任何类型的内存中的软件来实现。在其他实施方式中,处理工作站104可通过web应用程序来实现。在更进一步的实施方式中,处理工作站104可以通过软硬件的结合来实现。在其他实施方式中,处理工作站104可以是一个网关的部件(例如一防火墙),或一与网关连接的部件。在其他实施方式中,处理工作站104本身也可以是一网关产品。
在所述实施方式中,处理工作站104设置为(例如设计和/或编程)根据内容检测数据(例如,病毒特征、垃圾邮件发送源标识符、URL或间谍软件程序标识符)来确定在接收工作站102所接收的电子数据是否与所要检测的内容有关。在一些实施方式中,根据处理工作站104的请求来从其中一个更新工作站108传输内容检测数据从而下载该内容检测数据。例如,处理工作站104可以设置为定期从一个或多个更新工作站108下载更新的内容检测数据(如PULL技术的应用)。在其他一些实施方式中,更新工作站108设置为没有根据处理工作站180的请求,便主动传送内容检测数据(如PUSH技术的应用)。在一些实施方式中,加载到处理工作站104的内容检测数据也可以通过使用操作该处理工作站的用户实现。在一些实施方式中,处理工作站104也可以接收从接收工作站102以及更新工作站108发出的用户数据,如接收工作站102的用户标识符,接收工作站102的用户所要保护的级别。
在一些实施方式中,如果系统100包括多个处理工作站104,则处理工作站104需要进行相互协调的设置以确保向所有的处理工作站都能够提供内容检测数据。例如,两个处理工作站104可以设置为相互通信以完成各种任务;如检查任一处理工作站104的下载需求、检查任一处理工作站104的容量、检查任一处理工作站104的可用性、和/或校验其中一处理器104是否已经接收到了内容检测信息数据。在一些实施方式中,根据处理工作站104的下载需求和/或容量,处理工作站104将在各个工作站点之间共享下载请求(例如将下载进行等分,或根据每个处理工作站104的需求和/或容量比率进行分配)以响应从不同接收工作站102发出的请求信息。在一些实施方式中,一或多个处理工作站104可设置为其他处理工作站104的备份。
更新工作站108设置为向处理工作站104提供内容检测数据。例如,更新工作站108的用户可以在更新工作站108中输入内容检测数据,并将内容检测数据发送到处理工作站104。在其他一些实施方式中,更新工作站108可以定期从其他更新工作站108下载内容检测数据(如应用PULL技术)。在更进一步的实施方式中,更新工作站108可在未请求内容检测数据的情况下便可以从其他更新工作站108接收内容检测数据(如应用PUSH技术)。在一些实施方式中,每个更新工作站所处的地理位置均不同。例如,更新工作站108可以放置在不同的办公大厦、不同的街区、不同的城市或者不同的国家。在所示的实施方式中,每个更新工作站108都是计算机,也可以是服务器、模块、装置、计算机程序或其他任何可以接收并传输信息的装置。虽然图中只列出5个更新工作站108,但在其他实施方式中,内容检测系统100可以包括多于或小于5个更新工作站108。在一些实施方式中,更新工作站(108)也接收用户数据,如接收工作站102的用户标识符以及接收工作站102的用户所要保护的级别,并将上述用户数据传送到处理工作站104进行处理。在其他实施方式中,处理工作站104与更新工作站108可以集成在一个设备并且由一个设备来实现(例如处理器)。
对内容检测系统100中的部件描述后,参考图2,对根据一些实施方式中使用内容检测系统100来检测所要检测的内容的方法200进行说明。首先,接收工作站102接收电子数据(步骤202)。在不限制本发明的前提下,该电子数据可以是网页、电子邮件、电子邮件附件、word文件、程序或其他任何包含所要检测内容的文件(如病毒、垃圾邮件、蠕虫、间谍软件或其他任何不需要的内容)。接收工作站102可以从任何数据源接收电子数据。例如,接收工作站102可以通过互联网从发送电子数据的发送者106处接收信息。或者,接收工作站102可以从向接收工作站102输入电子数据的用户那里接收电子数据,例如通过使用磁盘、CD-ROM、存储器或这样的装置将电子数据下载到接收工作站102。
接收工作站102接收到电子内容后,接收工作站102使用所接收电子数据来计算校验和值(步骤204)。在不限制本发明的前提下,接收工作站102可设置为使用循环冗余校验码32(CRC32)、安全散列算法1(SHA1)、信息-摘要算法5(MD5)或其他任何在本领域中已知的技术来计算校验和值。熟悉本领域的技术人员都对求校验和值的方法非常熟悉,在此不作详细叙述。
接下来,接收工作站102通过互联网(例如通过TCP/IP网络)将校验和值发送到处理工作站104(步骤202)。
处理工作站104接收校验和值,并对其进一步处理以确定接收工作站102所接收到的电子数据是否与所要检测的内容有关。例如,处理工作站104根据所处理的校验和值来确定接收工作站所接收的电子数据与所要检测的内容无关。这种情况下,处理工作站104将产生一个结果,该结果可以表明所述电子数据与所要检测的内容无关,然后将该结果传送到接收工作站102。或者,处理工作站104根据所处理的校验和值来确定接收工作站102所接收的电子数据与所要检测的内容有关;例如,处理工作站104识别到接收工作站102所接收到的电子数据是间谍软件程序或一部分是间谍软件程序。这种情况下,处理工作站104将会产生一个结果说明该电子数据与所要检测的内容有关并将结果发送到接收工作站102。实施方式中处理工作站104所执行的方法将在下文中详细叙述。
接收工作站102从处理工作站104接收结果(步骤208)。在所示实施方式中,该结果是表示所接收的电子数据是否与所要检测的内容相关。这种情况下,接收工作站102将根据从处理工作站104接收到的结果来执行一个或多个不同操作。在一些实施方式中,如果从处理工作站104接收到的结果表示该电子数据与所要检测的内容有关(例如,结果表示该所接收的电子数据与间谍软件有关),则接收工作站102将拒绝该电子数据,或阻止该电子数据继续并入信息流,或发送警告信息到下游信息流(例如,如果存在工作站110,则向该电子数据的目的地址工作站110发送警告信息)。
在一些实施方式中,处理工作站104将从接收工作站102接收的校验和值与参考校验和值相匹配。这种情况下,处理工作站104发送该结果到接收工作站102,并通知接收工作站102是否发现相匹配的校验值和(该匹配表示接收工作站102所接收到的电子数据是否与检测的内容有关)。接收工作站102则根据结果确定所接收的电子数据数否与所要检测的内容相关。例如,如果处理工作站104没有发现匹配,那么接收工作站102将确定所接收的电子数据与所要检测的内容无关。这种情况下,接收工作站102可以接收该电子数据或将该电子数据并入下流数据流并发送到其目的地工作站点110(如果工作站点110可用)。或者,如果处理工作站104发现了匹配,接收工作站102将确定该电子数据与所要检测的内容相关联。这种情况下,接收工作站102接收该电子数据或将该电子数据并入下游数据流并发送到目的地工作站点110(工作站点110是预订的传输目的地并且是可用的)。
在所示实施方式中,接收工作站102设置为计算所接收的指定的电子数据的校验和值,并将校验和值传送到处理工作站104。例如,在一些实施方式中,接收工作站102可以设置为计算每10KB数据的校验和值。这种情况下,接收工作站102将计算其接收到的第一个10KB数据的校验值和CS1(步骤204),并将校验和值CS1发送到处理工作站104(步骤206)。举例来说,第一个10KB的数据可能是程序的一部分。处理工作站104将在参考校验和值(也就是内容检测数据的示例)中查找是否有与校验和值CS1相匹配的值。这样,接收工作站102将从处理工作站104接收到匹配结果,该结果表示接收到的内容是否与所要检测的内容有关。另外一种情况是,处理工作站104没有发现与CS1相匹配的校验值。那么,处理工作站104将发送匹配结果到接收工作站102以表示没有发现相关匹配。接收工作站102接下来将计算第一个20KB数据的校验和值CS2(步骤204),并将校验和值CS2发送到处理工作站104。处理工作站104将识别校验和值CS2是否与参考校验和值相匹配。以上所述的步骤将一直持续进行直到接收工作站102没有接收到电子数据(例如,达到了传输会话的终点),或所接收的电子数据达到了规定的数量(例如,500KB),或直到处理工作站104发现了接收到的数据校验和值与参考的校验和值发生了匹配。
在一些实施方式中,处理工作站104发现所接收到的数据的校验和值与参考校验和值匹配后,接收工作站102将继续产生其他的校验和值(步骤204)并将该值发送到处理工作站104(步骤206)。该步骤将持续进行直到处理工作站104发现了第二个与参考校验和值相匹配的值。该技术适用于需要两个校验和值来确定所要检测的内容的情形。
图3所示是根据一些实施方式对所要检测的内容进行检测的方法300,该操作是由图1中的处理工作站104完成的。首先,处理工作站104接收到接收工作站102所接收到电子数据的相关信息(步骤302)。尤其是,执行步骤302是响应接收工作站102所执行的步骤206而进行的。在所示实施方式中,如前所述,电子数据的相关信息是接收工作站102所计算出的校验和值。在其他一些实施方式中,该信息可以是其他数据,例如数据包头、数据包长度、协议信息、端口号、协议命令或其他任何有助于处理工作站104识别所要检测内容的信息。在一些实施方式中,处理工作站104为多个接收工作站102提供服务并保持有这些接收工作站102的名单。这种情况下,当从接收工作站102接收到一个查询时,处理工作站104将检查其接收工作站的注册名单并识别该接收工作站102是否是合法注册。
接下来,处理工作站104处理从接收工作站102接收的信息(步骤304)。在所示实施方式中,处理工作站104将从接收工作站102接收的校验和值与参考校验和值列表相比较以确定是否发生匹配。每个参考校验和值代表一个所要检测的程序的特征,例如间谍软件。在其他实施方式中,每个参考校验和值均可以表示蠕虫、病毒、恶意程序、恶意攻击、己知的邮件骗局或恶意的网站。在一些实施方式中,校验和值可以由用户如管理员通过处理工作站104手动输入。在其他实施方式中,参考校验和值也可以从一或更多个更新工作站108传输到处理工作站104。
然后,处理工作站104将根据步骤304(步骤306)发送校验结果到处理工作站102。接收工作站102从处理工作站104接收到校验结果(如方法200中步骤208所示)。在一些实施方式中,如果校验和值与参考校验和值相匹配,处理工作站104将该结果发送到接收工作站102并表明该电子数据与所要检测的内容(如病毒,蠕虫或间谍软件等等)有关。在一些情况下,处理工作站104或接收工作站102也会中断网络的连接以阻止恶意网络攻击或危险的网络传播。另一方面,如果校验和值与参考校验和值没有发生匹配,处理工作站104将校验结果发送到接收工作站102并表明该电子数据与所要检测的内容无关。
在一些实施方式中,在处理工作站104确定校验和值与参考校验和值间的第一匹配后,其将继续从接收工作站102接收其他校验和值(步骤302)。直到处理工作站104发现校验和值与参考校验和值间的第二匹配后才停止进行上述处理。如前所述,该技术适用于需要两个校验和值来确定检测内容的唯一性的情况。
如以上实施方式所示,通过在处理工作站104存储内容检测数据(例如,参考校验和值),以及使用处理工作站104来分析接收工作站接收的电子数据的相关信息,接收工作站102在不保留内容检测数据的情况下可确定所接收到的电子数据是否与所要检测的内容相关。这样,接收工作站102可以保留更多的内存、存储空间或处理时间来执行其他任务。因为内容检测数据的下载需要占用大量的时间并可能中断接收工作站102的操作,而接收工作站102不需要定期下载内容检测数据,这使得内容检测系统100具有优势。而且,对于内容检测系统100,需要保持最新安全更新(例如内容检测数据)的任务从接收工作站102(或工作站点110)的用户转移到处理工作站104或更新工作站108。另外,与典型的更新方法不同,其需要接收工作站102有规律地“选择”更新工作站以检查其是否得到更新;在应用“PUSH”(推进更新)技术的实施方式中,最近的安全更新数据(内容检测数据)在被确认后的几分钟(甚至几秒钟)之内便可以发送到处理工作站104。这使得处理工作站104可得到实时更新,并且对于一些如对时限敏感病毒的内容检测数据具有优势,并且在一旦得到内容检测数据时就可提供给接收工作站102。该方法的优势还在于接收工作站102在发生病毒时较快的响应时间以及较小的资源消耗。
在上述实施方式中,接收工作站102是用于产生校验和值,处理工作站104是根据校验和值与参考校验和值间的匹配来产生结果。在其他实施方式中,处理工作站104在进行处理时可以处理任何其他类型的信息。例如,在其他的实施方式中,处理工作站104所使用的内容检测数据是病毒特征,在这种情况下,处理工作站104使用病毒特征来产生一个表明接收工作站102所接收的电子数据与所要检测的病毒是否相关的结果。在其他实施方式中,处理工作站104所使用的检测内容数据是垃圾邮件标识符,在这种情况下,处理工作站104使用垃圾邮件标识符来产生一个表明接收工作站102所接收的电子数据与检测的垃圾邮件是否相关的结果。
计算机结构如上所述,接收工作站102与处理工作站104以及更新工作站108都可以使用计算机来实现。例如,通过导入计算机一个或更多的指令以使得计算机可执行上述功能。
图4是基于实现接收工作站102、处理工作站104以及更新工作站108的实施方式的计算机系统400的实施方式框图。计算机系统400包括总线402或其他用于信息通信的通信装置,以及与总线402连接的用于处理信息的处理器。计算机系统400还包括一个与总线402连接的用于存储信息以及处理器404所执行的指令的主存储器406,如随机存储器(RAM)或其他动态存储装置。计算机系统400还进一步包括一个与总线402连接的用于存储静态信息和处理器404的指令的只读存储器(ROM)408或其他静态存储装置。还具有与总线402连接用于存储信息与指令的数据存储装置410,例如磁盘或光盘。
计算机系统400经总线402与显示器412相连,例如阴极射线管(CRT),用于对用户显示信息。与总线402相连用于与处理器404通信与命令选择的输入装置414,其包括文字/数字等其他按键。其他类型的用户输入装置为光标控制装置416,如鼠标、轨迹球(trackball)、光标键或其他类型装置,用于与处理器404沟通方向信息以及进行命令选择,并控制光标在显示器412的移动。该输入装置是个典型的具有两轴自由度,X轴和Y轴,从而可以在平面内进行定位。
本发明中所描述的实施方式涉及计算机系统400有关传输、接收和/或处理电子数据的应用。根据一些实施方式,该计算机系统提供的应用响应处理器404所执行的主存储器406中所存储的一个或多个指令的一个或多个序列。这些计算机指令可以是从其他计算机可读介质中读入主存储器406,例如存储装置410。执行主存储器406中存储的指令序列可以使处理器404实现上述的处理步骤。多处理结构中一个或多个处理器也可以用于执行主存储器406中所存储的指令序列。在其他实施方式中,硬件的电路系统可以代替或与软件指令结合执行上文所述的各种操作与功能。本发明所述的实施方式并不局限于任何硬件电路与软件的结合。
这里所述的“计算机可读介质”一词是指任何用于向处理器404提供所执行指令的介质。这样的介质具有许多格式,其包括但不局限于非易失性介质、易失性介质以及传输介质。非易失性介质包括诸如光盘与磁盘的存储装置410。易失性介质包括动态存储器例如主内存406。传输介质包括同轴电线,铜线缆以及光纤,其包括组成总线402的线缆。传输介质也可以采取声波或光波的形式,例如无线电与红外数据通讯产生的波。
例如,计算机可读介质通常包括软盘、软碟、硬盘、磁带、或者任意其他磁性介质、CD-ROM、任意其他光学介质、穿孔卡片、纸带、任意其他孔型的物理介质、RAM、PROM、以及EPROM、FLASH-EPROM、任意其他存储片或卡盘、如前所述的载波、或者任意其他计算机可读介质。
各种形式的计算机可读介质可以承载处理器404所执行的一个或多个指令序列。例如,最初是加载在一个远程计算机中的磁盘中的指令。远程计算机可以将这些指令存储动态内存中并使用调制解调器通过电话线发送指令。位于计算机系统400中的调制解调器能够从电话线接收数据并通过红外信号转换器将数据转为红外信号。与总线402连接的红外检测器可以接收加载红外信号的数据并将数据置于总线402上。总线402将数据传输到主存储器406,处理器404从主存储器406获取并执行指令。主存储器406接收的指令在处理器404执行之前或之后还可以存储在存储装置410中。
计算机系统400还包括与总线402连接的通信接口418。通信接口418与连接到本地网络422的网络链路420连接而提供双向数据流通信。例如,通信接口418可以是综合业务数字网(ISDN,Integrated services digitalnetwork)卡或调制解调器,以向相应类型的电话线提供数据通信连接。在其他示例中,通信接口418可以是局域网(LAN)卡,以向相兼容的LAN提供数据通信连接。无线链接也可以实现上述通信连接。在上述任意实施方式中,通信接口418可以发送与接收携带有表示各种信息类型数据流的电子、电磁或光信号。
网络链路420经一个或多个网络向其他装置提供数据通信。例如,网络链路420可以提供从本地网络422到主机424的连接。网络链路420也可以在设备426与通信接口418之间传输数据。通过网络链路420传输的数据流包括电子、电磁或光信号。经过各种网络和网络链路420以及经过通过接口418的信号,载着计算机系统400发出的或接收到数据,这是载波信息传输的示范性形式。计算机系统400可以通过网络、网络链路420以及通信接口418发送信息并接收数据,包括程序代码。虽然

中只显示了一个网络链路420,在可供选择的实施方式中,通信接口418可以与很多网络链路连接,每个网络链路均可以与一个或多个本地网络连接。在一些实施方式中,计算机系统400可以从一个网络获得数据,并将数据传输到另一个网络。计算机系统400可以将数据传输到另一个网络之前先对数据进行处理或修改。
虽然本文中提出并描述了一些特殊的实施例。但应该理解的是这些特殊的实施例仅作为示例提出,并不作为对本发明的限制。本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种对所要检测的内容进行检测的方法,包括在第一主机接收电子数据;使用所接收的电子数据来确定校验和值;将校验和值发送到处理工作站,所述处理工作站为不同于所述第一主机的第二主机;以及从所述处理工作站接收结果,所述结果用于表示所述电子数据是否与所要检测的内容相关。
2.根据权利要求1所述的方法,其特征在于,响应所述接收工作站发出的请求在所述接收工作站接收所述电子数据。
3.根据权利要求2所述的方法,其特征在于,所述的请求不是由处理工作站发起的。
4.根据权利要求2所述的方法,其特征在于,所述第一与第二主机分别具有不同的IP地址。
5.根据权利要求2所述的方法,其特征在于,所述第一与第二主机处于TCP或IP网络中。
6.根据权利要求1所述的方法,其特征在于,所述校验和值是通过执行CRC32、SHA1以及MD5中的算法来确定的。
7.根据权利要求1所述的方法,其特征在于,如果所述校验和值与参考校验和值匹配,则所述结果表示所述电子数据与所要检测的内容相关。
8.根据权利要求1所述的方法,其特征在于,所述结果表示所述电子数据与所要检测的内容无关。
9.根据权利要求1所述的方法,其特征在于,还包括从多个可用的处理工作站中选择处理工作站。
10.根据权利要求9所述的方法,其特征在于,所述选择至少根据多个可用处理工作站其中之一的地址位置进行的。
11.一种具有介质的计算机程序产品,所述介质中具有一套处理器可读指令,其中当所述处理器执行所述指令时会执行如下步骤,所述步骤包括在第一主机接收网络流量数据;使用所接收的网络流量数据来确定校验和值;将所述校验和值发送到处理工作站,所述处理工作站为不同于所述第一主机的第二主机;以及从所述处理工作站接收结果,所述结果表示电子数据是否与所要检测的内容相关。
12.一种对所要检测的内容进行检测的系统,包括一处理器,用于接收网络流量数据以及使用所接收的网络流量数据来确定校验和值,所述处理器与第一主机相连;以及一数据传输与接收装置,用于处理工作站发送所述校验和值以及从所述处理工作站接收结果,所述结果表示所述电子数据是否与所要检测的内容相关,其中所述处理工作站为不同于所述第一主机的第二主机。
13.根据权利要求12所述系统,其特征在于,还进一步包括处理工作站。
14.一种对所要检测的内容进行检测的方法,包括在接收工作站接收到电子数据;以及,确定所接收的电子数据是否与所要检测的内容相关;其中所述接收工作站不包括用于识别所要检测内容的内容检测数据。
15.根据权利要求14所述的方法,其特征在于,所述内容检测数据包括用于检测病毒、蠕虫、垃圾邮件、不需要的URL、电子邮件骗局、恶意网站或间谍软件的信息。
16.根据权利要求14所述的方法,其特征在于,响应所述接收工作站发出的请求在所述接收工作站接收所述电子数据。
17.根据权利要求15所述的方法,其特征在于,所述的请求不是由所述处理工作站发起的。
18.根据权利要求14所述的方法,其特征在于,所述确定的步骤包括计算校验和值,并向所述处理工作站发送所述校验和值,所述处理工作站与所述接收工作站分别是不同的主机。
19.根据权利要求18所述的方法,其特征在于,如果所述校验和值与参考校验和值相匹配,那么所述电子数据确定为与所要检测的内容相关。
20.根据权利要求14所述的方法,其特征在于,所述确定的步骤包括从所述处理工作站接收结果,所述结果表示所接收的电子数据是否与所要检测的内容相关。
21.根据权利要求20所述的方法,其特征在于,所述接收工作站与处理工作站是不同的主机。
22.一种具有介质的计算机程序产品,所述介质中存储有一套处理器可读的指令,其中当所述处理器执行所述指令时会执行如下步骤,所述步骤包括在接收工作站接收电子数据;以及,确定所接收的电子数据是否与所要检测的内容相关;其中,所述接收工作站不包括用于识别所要检测内容的内容检测数据。
23.一种对所要检测的内容进行检测的系统,包括用于接收网络流量数据的接收工作站;以及数据传输与接收装置,用于接收表示所接收的电子数据与所要检测的内容是否相关的结果;其中,所述的接收工作站不包括用于识别所要检测内容的内容检测数据。
24.根据权利要求23所述的系统,其特征在于,还进一步包括用于产生结果的处理工作站,所述处理工作站与所述接收工作站为不同的主机。
25.一种对所要检测的内容进行检测的方法,包括在第一主机接收检验和值;将所接收的校验和值与参考校验和值相比较;根据比较来确定表示电子数据与所要检测的内容是否相关的结果;以及将所述结果发送到接收工作站,所述接收工作站为不同于所述第一主机的第二主机。
26.据权利要求25所述的方法,其特征在于,所述的校验和值由处理工作站接收。
27.根据权利要求26所述的方法,还进一步包括将所述校验和值发送到其他处理工作站。
28.据权利要求26所述的方法,其特征在于,所述处理工作站是计算机、服务器、装置或是软件其中之一。
29.根据权利要求25所述的方法,其特征在于,还进一步包括获得参考校验和值的步骤。
30.根据权利要求25所述的方法,其特征在于,所述校验和值是使用所述接收工作站所接收的电子数据而产生的。
31.一个具有介质的计算机程序产品,该介质中存储有一套处理器可读的指令,其中当所述处理器执行所述指令时会执行如下步骤,所述步骤包括在第一主机上接收校验和值;将所述校验和值与参考校验和值相比较;根据比较来确定表示电子数据与所要检测的内容是否相关的结果;以及向接收工作站发送所述结果,所述接收工作站为不同于所述第一主机的第二主机。
32.一种对所要检测的内容进行检测的系统,包括处理工作站,所述处理工作站具有用于接收校验和值的数据传送与接收装置,所述校验和值是使用网络流量数据产生的;其中,所述处理工作站用于将所述校验和值与参考校验和值相比较,并且根据比较确定表示电子数据与所要检测的内容是否相关的结果;以及所述处理工作站还用于使得数据传送与接收装置向接收工作站发送所述结果;其中所述处理工作站与所述接收工作站为不同的主机。
33.根据权利要求32所述系统,其特征在于,还进一步包括接收工作站。
全文摘要
一种对所要检测的内容进行检测的方法,包括在第一主机接收电子数据,使用所接收的电子数据来确定校验和值;并将该校验和值发送到处理工作站,所述处理工作站为不同于所述第一主机的第二主机,以及从所述处理工作站接收结果,所述结果用于表示所述电子数据是否与所要检测的内容相关。一种对所要检测的内容进行检测的方法,包括在接收工作站接收电子数据,以及确定所接收的电子数据数否与所要检测的内容相关,其中所述接收工作站不包括用于识别所要检测内容的内容检测数据。
文档编号H04L29/06GK1972205SQ20061011148
公开日2007年5月30日 申请日期2006年8月22日 优先权日2005年8月24日
发明者方宇 申请人:飞塔信息科技(北京)有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1