专利名称:用于检测对等网络软件的系统和方法
技术领域:
本发明提供了一种用于检测计算机系统是否参与、已经参与或可 以参与对等网络的系统。
背景技术:
如这里所用,作为本发明主题的对等网络包括多个节点,每个节 点典型情况下由文件服务器和客户端组成,所述文件服务器和客户 端可以向或从其所连接的节点发送和接收数据或"通信消息"。
在对等网络中,每个节点直接或通过某种类型的代理经由诸如互 联网之类的通信介质连接到其它节点。例如当发布搜索请求时,这 种发起节点向其所连接的所有节点发送搜索请求。(参见图l)这些 节点搜索它们可用的文件列表并且如果找到匹配,那么它们发回带
有位置的响应。然而,对等的代理网络典型情况下由被连接到节点B 的节点A组成并且节点B被连接到节点C。(参见图2)节点A并未连接 到节点C以致如果节点A发布搜索请求,那么该请求会被转送到节点B 并且节点B会搜索其可用的文件并且如果找到匹配,那么它会向节点 A发回响应。然后节点B把节点A的请求转送到节点C并且节点C会搜索 其可用的文件,并且如果找到匹配那么它会向节点B发回响应。然后 节点B把此响应转送到节点A。图3公开了其中每个节点被直接连接到
另一节点的无代理环形网络。
一些对等网络利用叶节点/主节点代理拓朴(参见图4),其中一
些节点被分类为主节点并且其余节点被分类为叶节点。叶节点只可 以连接到主节点。只有主节点可以连接到其它主节点。当叶节点发 布搜索请求时,它向其所连接到的主节点发送请求。然后主节点把 请求转送到被连接到它的任何其它叶节点以及它所连接到的任何主 节点。这些主节点把该请求转送到被连接到它们的任何叶节点。
通常这些网络用来在其用户之间共享音乐、电影和软件文件。为 了访问此网络,用户安装能够连接到并且利用对等网络的对等客户 端软件应用。当安装所述软件时,用户必须在他们的计算机系统上选择文件夹,其中用于存储任何下栽的文件。被置于此文件夹中的 任何文件对其它用户也是可用的。例如,如果用户#1把名称为
"foofile"的文件放在他们的共享文件夹中,那么用户#2将能够访 问并下载所述文件。
对于任何原因来说,用户有时选择包含敏感信息或者他们并不希 望共享的信息的文件夹作为共享文件夹,或者他们可能稍后开始错 误地把敏感信息或他们并不希望共享的信息放入到他们的共享文件 夹中。通常此动作由用户错误地并且未察觉地进行,但是有时这由 恶意者来进行。有时对等客户端软件具有软件错误,该软件错误允 许共享那些用户从来不想共享的文件和目录。有时它违反了安装对
等客户端软件的公司策略。
所共享的信息可能对用户、他们所工作的公司甚至国家安全来说 是有害的。因此这对网络管理员或其职责为把信息强制保留为能够 利用所安装的对等网络软件来定位计算机的其他人来说是有用的, 使得可以评定或删除所述软件。知道对等网络软件是否曾经被安装 和利用使得可以进行威胁评定也可能是有益的。
据此本发明的目的是提供一种用于扫描计算机以便查明其是否 参与、已经参与或可以参与对等网络的系统。
发明内容
本发明总体上提供一种用于查明计算机是否参与、已经参与或可 以参与对等网络的系统。优选的系统包括步骤
a. 在目标计算机上执行软件程序;并且
b. 向所述目标计算机扫描对等客户端软件的签名、对等网络通 信或从对等网络所获得的文件。
从而本发明提供了一种用于扫描计算机系统以便查明所述计算 机是否参与、已经参与或可以参与对等网络的系统。
通过熟读本发明目前优选实施例的以下具体实施方式
,本发明的 其它优点将变得显而易见。
图l是两个节点对等网络的简图;图2是对等的代理网络的简图; 图3是对等的无代理环形网络的简要示图。
具体实施例方式
本发明的优选系统有益地利用扫描软件程序来扫描目标计算机 以便寻找参与对等网络的签名、参与对等网络的能力或者它们两 个。扫描软件具有确定的优选属性并且为由强制用户所想要的具体 类型的对等扫描系统来配置这些属性。
在本发明的 一 个优选实施例中,在目标计算机上执行软件程序。 此软件程序向注册表条目搜寻与已知对等客户端软件匹配的一组具 体键或值。如果找到匹配,那么可以通知强制用户,软件程序可以 禁用对等客户端软件,或一并采取这两个操作。
在本发明的另一实施例中,在目标计算机上执行软件程序。此软 件程序向所述文件和目录搜寻与已知对等客户端软件匹配的一组具 体值。如果找到匹配,那么可以通知强制用户,软件程序可以禁用 对等客户端软件,或一并采取这两个操作。
在本发明的另一实施例中,在目标计算机上执行软件程序。此软 件程序会向目前运行的进程搜寻与已知对等客户端软件匹配的值。 如果找到匹配,那么可以通知强制用户,软件程序可以禁用对等客 户端软件,或一并采取这两个操作。
在本发明的另一实施例中,在目标计算机上执行软件程序。此软 件程序会向文件和目录搜寻为音乐、电影、电子书的文件或者通常 从对等网络所获取的其它文件。如果计算机包含具体数目个以上的 这些文件,那么可以通知强制用户。
在本发明的另一实施例中,在目标计算机上执行软件程序。此软 件程序会监视用于搜寻具体值的网络通信,所述具体值用于表明正 进行对等网络通信。如果正进行通信,那么可以通知强制用户,软 件程序可以禁用对等网络通信,或一并采取这两个操作。
在本发明的另一实施例中,执行软件程序,所述软件程序扫描目 标计算机的TCP/IP端口以搜寻已知的对等网络端口 。如果找到匹 配,那么可以通知强制用户。
在优选实施例中,在包含处理器部件、主存储器和互连总线的计算机系统中实现本发明。处理器部件可以包含单个微处理器,或可 以包含多个微处理器以便把计算机配置为多处理器系统。主存储器 部分地存储用于由处理器部件执行的指令和数据。如果所发明系统 的能力整个地或部分地用软件实现,那么主存储器存储当处于操作 中时的可执行代码。主存储器可以包括动态随机存取存储器以及高 速存储器存储体。
计算机系统可以进一步包括海量存储设备、外围设备、便携式存 储介质驱动器、输入控制设备、图形子系统和输出显示器。计算机 系统可以经由一个或多个数据传送装置连接。例如,处理器部件和 主存储器可以经由本地微处理器总线连接,并且海量存储设备、外 围设备、便携式存储介质驱动器、图形子系统可以经由一个或多个
输入/输出(I/O)总线连接。可以利用磁盘驱动器或光盘驱动器实
现的海量存储设备是用于存储供处理器部件使用的数据和指令的非 易失性存储设备。在软件实施例中,海量存储设备存储用于加载到 主存储器的软件。
输入控制设备向计算机系统的用户提供用户接口的一部分。输入 控制设备可以包括用于输入字母数字及其它按键信息的字母数字小 键盘、诸如鼠标、轨迹球、触针或光标方向键之类的光标控制设备。 为了显示文本和图形信息,计算机系统包含图形子系统和输出显示 器。输出显示器可以包括阴极射线管显示器或液晶显示器。图形子 系统接收文本和图形信息并且处理所述信息以便输出到所述输出显 示器。
在计算机系统中所包含的组件是那些通常在通用计算机系统中 所找到的那些,并且实际上这些组件旨在代表这种在本领域中公知 的计算机组件的广阔范畴。
所述系统可以用硬件或软件来实现。对于软件实施例来说,所述 软件包括用于在通用计算机系统上执行的多个计算机可执行指令。 在加载到通用计算机系统中之前,所述系统可以作为所编码的信息 位于计算机可读介质上,诸如软磁盘、磁带压缩光盘、只读存储器
(CD - ROM)。在一个硬件实施例中,所述系统可以包括专用处理 器,其包括用于执行这里所描述功能的处理器指令。还可以开发电 路以便执行这里所描述的功能。例子
以下例子图示了依照本发明系统的各个实施例。
例子l:此例子图示了用于通过检查(review)目标计算机系统 的注册表键(registry key)及其值来检测对等客户端软件的系统。
在此例子中用户已经把对等客户端软件安装到计算机系统#1 上。作为其安装和操作一部分的对等客户端软件已经利用 "P2PCLIENT—DOWNLOAD—DIR"值创建注册表键。然后在计算机系统 #1上执行扫描软件。扫描软件检查计算机系统#1的注册表键,以查 找与已知键"P2PCLIENT-D0WNL0AD-DIR,,的匹配。找到匹配并且通 知网络管理员。扫描软件然后删除注册表键以便禁用对等客户端软 件。
例子2:此例子图示了用于通过检查目标计算机系统的文件和目 录来检测对等客户端软件的系统。
在此例子中用户已经把对等客户端软件安装到计算机系统#1 上。作为其安装一部分的对等客户端软件已经利用"P2P-S0FTWARE,, 值创建了目录。然后在计算机系统#1上执行扫描软件。扫描软件检 查计算机系统#1的文件和目录,以查找与已知目录"P2P — S0FTWARE" 的匹配。找到匹配并且通知网络管理员。
例子3:此例子图示了用于通过检查目标计算机系统的文件和目 录来检测对等客户端软件的系统,其目录已经在专用网络上共享并 且可用于另一远程系统。
在此例子中用户已经把对等客户端软件安装到计算机系统#1 上。作为其安装一部分的对等客户端软件已经利用"P2P — S0FTWARE" 值创建了目录。然后在远程计算机系统#2上执行扫描软件。扫描软 件经由专用网络检查计算机系统#1的文件和目录,以查找与已知目 录"P2P — S0FTWARE"的匹配。找到匹配并且通知网络管理员。
例子4:此例子图示了用于通过检查目前正在目标计算机系统上 运行的进程来检测对等客户端软件的系统
在此例子中用户已经把对等客户端软件安装到计算机系统# 1 上。当处于操作中时,对等客户端软件已经利用进程名 "p2psoftware.exe"向计算机注册。然后在计算机系统#1上执行扫描软件。扫描软件检查计算机系统#1的进程,以查找与已知进程
"p2psoftware.exe"的匹配。找到匹配并且通知网络管理员。
例子5:此例子图示了用于通过检查存在于目标计算机系统上音 乐文件数目来检测对等客户端软件的系统。
在此例子中,用户已经把对等客户端软件安装到计算机系统#1 上并且已经下载了 15个音乐文件。然后在计算机系统#1上执行扫描 软件。扫描软件计数位于计算机上的音乐文件数目并且把该数目与 一组阈值10相比较。所定位的音乐文件数目超过所设置的阈值并且 通知网络管理员。
例子6:此例子图示了用于通过查看在目标计算机系统上正进行 的网络通信来检测对等客户端软件的系统。
在此例子中,用户已经把对等客户端软件安装到计算机系统#1 上并且被连接到对等网络。在计算机系统#1和对等网络之间的对等 协议消息始终以"123456"开始。然后在计算机系统#1上执行扫描 软件。对于已知模式"123456"来说,扫描软件监视所有网络通信。 找到匹配并且通知网络管理员。
例子7:此例子图示了用于通过查看在目标计算机系统上哪个 TCP/IP端口可用来检测对等客户端软件的系统。
在此例子中用户已经把对等客户端软件安装到计算机系统井1 上。对等客户端软件目前正在运行并且已经绑定到端口 6346以便接 受来自其它对等客户端的入站连接。然后在计算机系统#1或远程计 算机上执行扫描软件。扫描软件试图连接到目标计算机上的已知端 口 "6346"。连接成功并且通知网络管理员。
权利要求
1.一种用于检测对等网络软件的方法,所述方法包括步骤a.在目标计算机上执行扫描程序;b.所述扫描程序i.检查所述目标计算机的注册表键或值的至少一个;ii.把所述注册表键或值与已知值相比较;并且iii.根据所述比较结果来判定对等客户端软件被安装在所述目标计算机上。
2. —种用于检测对等网络软件的方法,所述方法包括步骤a. 在目标计算机上执行扫描程序;b. 所述扫描程序i. 检查所述目标计算机的文件或目录的至少一个;ii. 把所述文件或目录与已知值相比较;并且Ui.根据所述比较结果来判定对等客户端软件被安装在所 述目标计算机上。
3. 如权利要求2所述的方法,其中所述文件或目录在专用网络 上可用并且所述扫描程序在与所述目标计算机分离的计算机系统上 执行。
4. 一种用于检测对等网络软件的方法,所述方法包括步骤a. 在目标计算机上执行扫描程序;b. 所述扫描程序i. 把所述目标系统的运行进程与已知值相比较;并且ii. 根据所述比较结果来判定对等客户端软件被安装在所 述目标计算机上。
5. —种用于检测对等网络软件的方法,所述方法包括步骤a. 在目标计算机上执行扫描程序;b. 所述扫描程序i. 计数在所述目标计算机上所包含的文件类型的数目;ii. 把所述数目与所设置的阈值相比较;并且iii. 根据所述比较结果来判定对等客户端软件被安装在所 述目标计算机上。
6. 如权利要求5所述的方法,其中所述文件类型是基于音乐的。
7. 如权利要求5所述的方法,其中所述文件类型是基于电影的。
8. 如权利要求5所述的方法,其中所述文件类型是基于电子书的。
9. 一种用于检测对等网络软件的方法,所述方法包括步骤a. 在目标计算机上执行扫描程序;b. 所述扫描程序i. 检查所述目标计算机的网络通信;ii. 把所述通信与已知值相比较;并且iii. 根据所述比较结果来判定对等客户端软件被安装在所 述目标计算机上。
10. —种用于检测对等网络软件的方法,所述方法包括步骤a. 执行扫描程序;b. 所述扫描程序i. 连接到目标计算机的TCP/IP端口;ii. 与所述目标计算机建立成功连接;iii. 把所述TCP/IP端口号与已知值相比较;并且iv. 根据所述比较结果来判定对等客户端软件被安装在所 述目标计算机上。
11. 如权利要求l、 2、 4、 5、 9、或10中任何一个所述的方法, 进一步包括向所述扫描程序的强制用户通知所述结果的步骤。
12. 如权利要求l、 2、 4、 5、 9、或10中任何一个所述的方法, 进一步包括根据所述结果禁用所述对等网络软件的步骤。
13. —种用于检测对等网络软件的系统,所述系统包括a. 用于存储指令的存储介质;b. 用于接收用户输入的用户输入设备;和c. 处理器部件,可操作来处理所述用户输入并且使用所述指令 来执行扫描程序以便i. 检查所述目标计算机的特征,其中从由所述目标计算机的 注册表键、值、文件、目录和网络通信所组成的组中选择所述特 征;ii. 把所述目标计算机的所述特征与已知值相比较;并且 Hi.根据所述比较结果来判定对等客户端软件是否被安装在所述目标计算机上。
14. 一种用于检测对等网络软件的系统,所述系统包括a. 用于存储指令的存储介质;b. 用于接收用户输入的用户输入设备;和c. 处理器部件,可操作来处理所述用户输入并且使用所述指令 来执行扫描程序以便i. 把所述目标系统的运行进程与已知值相比较;并且ii. 根据所述比较结果来判定该对等客户端软件是否被安 装在所述目标计算机上。
15. —种用于检测对等网络软件的系统,所述系统包括a. 用于存储指令的存储介质;b. 用于接收用户输入的用户输入设备;和c. 处理器部件,可操作来处理所述用户输入并且使用所述指令 来执行扫描程序以便i. 计数在所述目标计算机上所包含的文件类型的数目;并且ii. 把所述数目与所设置的阈值相比较;并且iii. 根据所述比较结果来判定对等客户端软件是否被安装 在所述目标计算机上。
16. —种用于检测对等网络软件的系统,所述系统包括a. 用于存储指令的存储介质;b. 用于接收用户输入的用户输入设备;和c. 处理器部件,可操作来处理所述用户输入并且使用所述指令 来执行扫描程序以便i. 连接到目标计算机的TCP/IP端口;ii. 与所述目标计算机建立成功连接;iii. 把所述TCP/IP端口号与已知值相比较;并且iv. 根据所述比较结果来判定对等客户端软件是否被安装 在所述目标计算机上。
17. 如权利要求13所述的系统,其中所述文件或目录在专用网 络上可用并且所述扫描程序在与所述目标计算机分离的计算机系统 上执行。
18,如权利要求15所述的系统,其中所述文件类型是基于音乐的。
19. 如权利要求15所述的系统,其中所述文件类型是基于电影的。
20. 如权利要求15所述的系统,其中所述文件类型是基于电子 书的。
21. 如权利要求13-16中任何一个所述的系统,其中向所述扫 描程序的强制用户通知所述结果。
22. 如权利要求13-16中任何一个所述的系统,其中根据所述 结果来禁用所述对等网络软件。
全文摘要
本发明提供了一种用于检测计算机系统是否参与、已经参与或可以参与对等网络的方法。扫描软件在要扫描的目标系统或将扫描目标系统的远程系统上执行。如果检测到对等客户端软件,那么所述扫描软件可以通知强制用户,禁用所述对等客户端软件,或一并采取这两个操作。
文档编号H04L9/00GK101288261SQ200680020938
公开日2008年10月15日 申请日期2006年4月11日 优先权日2005年4月12日
发明者S·P·霍普金斯 申请人:蒂弗萨公司