专利名称:用于使用隔离网络以保护蜂窝网络免受病毒和蠕虫的系统及方法
技术领域:
本发明一般地涉及蜂窝网络。更具体地,本发明涉及防止病 毒和蠕虫进入并通过蜂窝网络进行传播。
背景技术:
移动设备诸如移动电话和个人数字助理(PDA)可能通过多 种机制而被感染计算机病毒和蠕虫。计算机病毒是寄生程序,其 设计为不经用户允许和知晓就进入计算机或者其它电子设备。病 毒附着在文件或引导扇区并自我复制,从而持续地散布。计算机 蠕虫也通过网络自我复制,但是,与计算机病毒不同,计算机蠕 虫能够不需要宿主程序而进行散布。近年来,病毒和蠕虫侵袭已经在互联网上激增。使用恶意对 象诸如病毒和蠕虫的攻击不仅执行恶意的动作,诸如耗尽终端资 源、#*改终端的配置、阻止程序运4亍或关闭系统,而这些程序通 常可以以非常快的速度感染其他终端。在短时间内,这些病毒和蠕虫可以迅速散布,影响相当数量 的用户,并因为其产生的流量而影响网络资源。当变成通过蜂窝网络传播病毒和蠕虫时,可以理解预防是解 决这个问题的最好方法。保护网络基础设施可能不足以完全保护 网络,但是通常期望或需要执行至少 一些程序来删除被感染的终 端,以及修复和清除被感染的终端。许多实体一直试图解决有关在蜂窝网络内与病毒和蠕虫感 染和传播有关的问题。然而,传统的系统目前仅能防止和解决与蠕虫和病毒有关的部分问题。 发明内容为解决病毒和蠕虫通过蜂窝网络进行传播的问题,本发明提 供了 一种具有隔离网络的防病毒体系结构。如果怀疑网络内的终端被病毒或者蠕虫感染,则该终端被放置到隔离网络中。去往和 来自隔离网络中的终端的流量与正常流量相分离。在隔离过程 中,隔离网络组件对该流量进行分析。基于这种分析的结果,隔 离组件选择性地允许被感染的终端接入到该网络和网络业务。隔 离网络还可以通过现有的网络向这样的终端提供"特殊处理"。在本发明中,隔离网络具有隔离被感染的终端而无需完全使 其不能接入到网络的能力。本发明还可以导致提供用于修复被感 染的终端的更多的支持。通过结合附图的下述详细说明,本发明的这些和其它目的、 优点和特征,以及组织和运行的方式将变得清楚,其中在下述的 几个附图中类似的元件以类似的标号表示。
图1是本发明可以在其中实现的系统的纵览图; 图2是可以在实现本发明中使用的移动电话的透视图; 图3是图2中的移动电话的电话电路的示意图; 图4是本发明的一个实施例中使用的防病毒体系结构的图 示;以及图5是示出实现本发明的一个实施例的流程图。
具体实施方式
图1示出在其中可以利用本发明的系统IO,该系统包括多个 可以通过网络进行通信的通信设备。系统IO可以包括有线或无线网络的任意组合,该网络包括但不限于移动电话网、无线局域网(LAN)、蓝牙个域网、以太网LAN、令牌环LAN、广域网、 互联网等。系统IO可以包括有线和无线通信设备两者。例如,图1所示的系统10包4舌移动电话网11和互联网28。 到该互联网28的连接可以包括但不限于远程无线连接、近程无 线连接以及各种有线连接,该有线连接包括但不限于电话线、电 缆线、电力线等等。该系统10的示例性通信设备可以包括但不限于移动电话 12、 PDA和移动电话的组合14、 PDA 16、集成消息收发设备 (IMD) 18、台式计算才几20和笔记本计算机22。通信设备可以 是固定的或者当由正在移动中的个人携带时可以是移动的。通信 设备还可以位于运输方式中,该运输方式包括但不限于汽车、卡 车、出租车、公共汽车、船、飞机、自行车、摩托车等。通信设 备中的部分或全部可以发送和接收呼叫和消息以及通过到基站 24的无线连接25与业务供应商进行通信。基站24可以连接到 网络服务器26,其允许移动电话网11和互联网28之间的通信。 系统10可以包括另外的通信设备和不同类型的通信设备。通信设备可以使用不同的传输技术进行通信,该传输技术包 括但不限于,码分多址(CDMA)、全球移动通信系统(GSM)、 通用移动通信系统(UMTS)、时分多址(TDMA)、频分多址 (FDMA)、传输控制协议/互联网协议(TCP/IP)、短消息收发 服务(SMS)、多媒体信息收发服务(MMS)、电子邮件、即 时消息收发服务(IMS)、蓝牙、IEEE 802.il等。通信设备可以 使用各种介质进行通信,该介质包括但不限于,无线电、红外线、 激光、电缆连接等等。图2和3示出了在其中可以实现本发明的代表性移动电话 12。然而,应当理解,本发明不希望限定于一个特定类型的移动 电话12或其他电子设备。图2和3中的移动电话12包括壳体30、以液晶显示器形式的显示器32、小键盘34、麦克风36、听 筒38、电池40、红外端口42、天线44、根据本发明的一个实施 例的UICC形式的智能卡46、读卡器48、无线接口电路52、编 解码器电路54、控制器56和存储器58。各个电路和元件都是本 领域公知的类型,例如Nokia移动电话系列。本发明涉及为了处理由病毒和蠕虫发起的威胁而引入隔离 网络。本发明尤其涉及限制可能由这些类型的恶意程序导致的损 害。根据本发明的隔离网络将被感染的终端的流量与正常流量流 相隔离。在隔离周期期间,隔离网络组件将分析所有的流量。基 于该分析的结果,网络可以限制被感染的终端接入到各种服务。 本发明还允许网络降低用于被感染的终端的服务质量(QoS)。 如果i人为分组没有^皮恶意对象感染,则隔离网症各可以以正常方式 直接转发来自和去往互联网28的分组。而且,隔离网络可以通 过利用已经建立的会话通知被感染的终端的用户。该隔离网络还 可以额外支持被感染的终端。例如,如果需要的话,该隔离网络 可以7 c担各种修复。图4是根据本发明的一个实施例的防病毒体系结构的示图。 图4的体系结构示出了隔离网络100和独立的公共数据网(PDN) 110或其它网络之间的交互。隔离网络100可以包括它自己的具 有病毒签名存储区域的防病毒业务120,而具有防病毒分类的防 病毒扫描器130可以位于隔离网络100的外部。应当注意术语"防 病毒扫描器"和"防病毒业务"可以指处理除了例如蠕虫和其他 项目的病毒外的恶意对象的设备和业务。防病毒扫描器130的防 病毒分类基于签名和隔离/转发决定,如下所述。网关140或综合业务网络(ISN)提供或支持一系列不同的 电信业务。网关140具有基于策略的路由或重定向功能以引导流 量到适当的位置或范围。防病毒控制模块150发送必须从IP流 扫描的病毒子集的信号。防病毒控制模块150还从IPSC 160请求终端类型。IPSC 160从用户数据库170获取用户数据并将该用 户数据传送到网关140。用户数据库170存储用户的终端类型、 以及对防病毒业务120的终端的潜在订制。每一个终端可以运行 其自己的防病毒扫描器或软件或者订制到隔离网络100的防病 毒业务120。终端或用户设备在图4中用180来表示。修正服务 器190可以向为了符合特定的准入要求而需要修复或更新的终 端提供支持。图5示出了用于实现本发明的一个特定实施例的过程。在步 骤500,防病毒业务120向防病毒扫描器130传送适当的病毒签 名。该签名可用于防病毒扫描器130作为终端特定子集(如子集 id、签名列表等)。在本发明的一个实施例中,如在终端的重启 过程中,防病毒扫描器130还可以从防病毒业务120 "拖动,,签 名。此时,隔离网络100中的防病毒扫描器130已经用正确的病 毒签名进行了更新。在步骤505,终端或用户设备180接入网络。如果终端180 具有其自己的防病毒软件,则终端180应当指示该软件的版本和 终端的类型。这在步骤510示出。如果用户已经订制到防病毒业 务120,则在步骤515该终端180还向防病毒业务120提供关于 该终端的信息,以避免扫描世界上所有的病毒。诸如终端的操作 系统、软件包以及其它信息的信息可以有助于限制扫描的必要范 围,因为特定病毒可能对其构成威胁的设备将会因其操作系统等 而不同。在步骤520,网关140基于用户的服务集将信息收发分组(例 如,HTTP消息)转发到防病毒扫描器130。网关还向防病毒扫 描器130通知签名,应当基于终端类型、版本和其它关于终端 180的可用信息对该签名进行检查。当怀疑终端180是被感染的终端时,在步骤525防病毒扫描 器130通知防病毒控制模块150。然后在步骤530,网关140将来自该终端180的流量路由和/或隔离到隔离网络100。网关还可 以基于预先设置的策略降低被感染的终端的流量的服务质量。这 在步骤535示出。如果隔离网络100,特别是防病毒业务120确定来自终端180 的流量没有造成实质的病毒或蠕虫危险,或者低于该终端的服务 质量,则在步骤540将该流量转发到互联网或其它公共数据网络 110。防病毒业务120或其它隔离网络组件可以扭J亍多种动作。例 如,在步骤545,对于从终端180到另一设备的下行链i 各消息, 防病毒业务120可以通知预期的接收方该消息在何处可用。在这 种情况下,恶意的部分,如消息附件,就从消息中移除了,从而 避免了将恶意的部分向接收方设备和远方散布。这在步骤550示 出。在本发明的 一 个实施例中该消息的剩余部分可以从网页获 取。在有上行链路消息的情况下,防病毒业务120分析并继续转 发这样^皮认定为正常的分组。如果终端180被感染,在步骤555,修正服务器190通知终 端180该感染。然后该终端180的用户可以在步-骤555下载防病 毒软件,在步骤560获得来自修正服务器190的更多帮助,和/ 或根据特定系统特征执行多种其它任务。在方法步骤的通常环境中描述了本发明,其可以通过包括计 算机可执行指令的程序产品在一个实施例中实现,例如程序代 码,可由计算机在网络互连环境中执行。通常,程序模块包括执 行特定任务或实现特定抽象数据类型的例行程序、程序、对象、 组件、数据结构等。计算机可执行指令,相关联的数据结构和程这种可执行指令或相关联的数据结构的特定序列代表了用于执 行以这种步骤描述的功能的相应动作的例子。本发明的软件和web执行可以使用标准编程技术完成,该标准编程技术具有基于规则的逻辑和其它逻辑用于完成不同的数 据库搜索步骤、相关性步骤、比较步骤和决定步骤。还应当注意 此处和权利要求书中使用的词语"組件"和"模块"意欲包舍使 用一行或多行软件代码的执行,和/或硬件执行,和/或用于接收 手动输入的设备。为了示意和描述的目的已经对本发明的实施例进行了前述 描述。不旨在穷举或者将本发明限制在所公开的精确形式下,并 且修改和变化可以参照上述教导做出,或者从本发明的实践中获 得。选择和描述的实施例用于解释本发明的原理及其实际应用以 使本领域技术人员能够在各种实施方式中利用本发明并且可以 具有各种修改以适应于特定的预期应用。
权利要求
1.一种选择性地对来自网络中电子设备的流量进行隔离的方法,包括当电子设备进入所述网络时,确定所述电子设备是否被恶意对象感染;如果确定所述电子设备被恶意对象感染,则将所有由所述电子设备发起的数据对象路由到隔离网络;确定由所述电子设备传送到所述隔离网络的每个数据对象是否都导致包含恶意材料的威胁;将来自所述电子设备的不导致威胁的每个数据对象转发到公共数据网络;以及防止来自所述电子设备的导致威胁的每个数据对象的至少一部分被转发到所述公共数据网络。
2. 根据权利要求1所述的方法,进一步包括,如果确定所述电子设备被恶意对象感染,则向所述电子设备通知所述感染。
3. 根据权利要求2所述的方法,进一步包括向所述电子设备提 供帮助以便至少部分地处理由所述恶意对象造成的所述感染。
4. 根据权利要求1所述的方法,进一步包括,如果数据对象的 一部分导致威胁,则防止所述对象导致威胁的部分被转发到预期的 接收方,同时允许预期的接收方访问所述对象的未被感染部分。
5. 根据权利要求4所述的方法,其中所述预期的接收方可以通 过网页访问所述未被感染部分。
6. 根据权利要求1所述的方法,进一步包括,如果确定所述电 子设备被恶意对象感染,则降低所述电子设备的流量的服务质量。
7. 根据权利要求1所述的方法,其中对每个数据对象是否导致 包含恶意材料的威胁的确定包括获得来自所述电子设备的信息,该信息可以与能够感染所述电子 设备的恶意对象的类型相关;基于所获得信息对所述电子设备扫描预先确定的恶意对象。
8. 根据权利要求7所述的方法,其中所述获得信息涉及从包括 从以下组中选择信息,该组包括用于电子设备的操作系统信息、装 载在所述电子设备中的软件包、预先装载在所述电子设备中的关于 防病毒软件的信息以及它们的组合。
9. 一种用于选择性地隔离来自网络中电子设备的流量的计算机 程序产品,包括计算机代码,用于当电子设备进入所述网络时,确定所述电子设 备是否被恶意对象感染;计算机代码,用于如果确定所述电子设备被恶意对象感染,则将 所有从所述电子设备发起的数据对象路由到隔离网络;计算机代码,用于确定由所述电子设备发送到所述隔离网络的每 个数据对象是否导致包含恶意材料的威胁;计算机代码,用于将来自所述电子设备的不导致威胁的每个数据 对象转发到公共数据网络;以及计算机代码,用于防止来自所述电子设备的导致威胁的每个数据 对象的至少 一部分被转发到所述公共数据网络。
10. 根据权利要求9所述的计算机程序产品,进一步包括计算机 代码,用于如果确定所述电子设备被恶意对象感染,则通知所述电 子设备所述感染。
11. 根据权利要求10所述的计算机程序产品,进一步包括计算 机代码用于向所述电子设备提供帮助以便至少部分地处理所述恶意 对象的感染。
12. 根据权利要求10所述的计算机程序产品,进一步包括计算 机代码,用于如果数据对象的一部分导致威胁,则防止所述对象导 致威胁的部分被转发5 )j所述预期的接收方,同时允许所述预期的接 收方访问所述对象的未感染部分。
13. 根据权利要求9所述的计算机程序产品,其中用于确定每个 数据对象是否导致包含恶意材料的威胁的所述计算机代码包括计算机代码,用于获得来自所述电子设备的信息,该信息可以与能够感染所述电子设备的恶意对象的类型相关;计算机代码,用于基于所获得信息对所述电子设备扫描预先确定 的恶意对象。
14. 一种包含在网络运行中的电子设备,包括 处理器;以及存储单元,可操作地连接到处理器并包括计算机代码,用于当终端进入所述网络时,确定所述终端是 否被恶意对象感染;计算机代码,用于如果确定所述终端被恶意对象感染,将所 有从所述终端发起的数据对象路由到隔离网络;计算机代码用于确定从所述终端发送到所述隔离网络的每 个数据对象是否导致包含恶意材料的威胁;计算机代码用于将不导致威胁的来自所述终端的每个数据对象转发到公共数据网络;以及计算机代码用于防止来自所述电子设备的导致威胁的每个 数据对象的至少 一部分被转发到所述公共数据网络。
15. 根据权利要求14所述的电子设备,其中所述存储单元进一 步包括计算机代码,用于如果确定所述终端被恶意对象感染,则通 知所述终端所述感染。
16. 根据权利要求14所述的电子设备,其中所述存储单元进一 步包括计算机代码,用于向所述终端提供帮助以便至少部分地处理 由所述恶意对象造成的感染。
17. 根据权利要求14所述的电子设备,其中所述存储单元进一 步包括计算机代码,用于如果数据对象的一部分导致威胁,则防止 所述对象导致威胁的部分被转发到所述预期的接收方,同时允许所 述预期的接收方访问所述对象的未感染部分。
18. 根据权利要求14所述的电子设备,其中用于确定每个数据 对象是否导致包含恶意材料的威胁的所述计算机代码包括计算机代码用于获得来自所述终端的信息,该信息可以与能够感染所述终端的恶意对象的类型相关;计算机代码用于基于所获得信息对所述终端扫描预先确定的恶 意对象。
19. 一种用于选择性地对来自网络中的终端的流量进行隔离的 系统,包括隔离网络;以及至少选择性地与所述隔离网络进行通信的网关设备;以及 至少选择性地与所述网关设备进行通信的终端, 其中所述网关设备包括计算机代码,用于当所述终端进入所述网络时,确定所述终 端是否被恶意对象感染;计算机代码,用于如果确定所述终端被恶意对象感染,则将 所有从所述终端发起的数据对象路由到隔离网络;计算机代码用于确定从所述终端发送到所述隔离网络的每 个数据对象是否导致包括恶意材料的威胁;计算机代码用于将来自所述终端的不导致威胁的每个数据 对象转发到公共数据网络;以及对象的至少 一部分被转发到所述公共数据网络。
20. 根据权利要求19所述的系统,其中所述网关设备进一步包 括计算机代码,用于如果数据对象的一部分导致威胁,则防止所述 对象导致威胁的部分被转发到所述预期的接收方,同时允许所述预 期的接收方访问所述对象的未感染部分。
全文摘要
一种系统和方法用于提供隔离网络以便处理由病毒和蠕虫发起的威胁。隔离网络将被感染的终端的流量和正常流量流进行隔离。在隔离期间,隔离网络组件对所有流量进行分析。基于这种分析的结果,网络可以限制被感染的终端接入各种业务,以及通过阻止被感染的材料如来自到达它们各自的接收方的附件来防止其它设备被感染。
文档编号H04L29/06GK101228767SQ200680023903
公开日2008年7月23日 申请日期2006年6月29日 优先权日2005年6月30日
发明者Z·奥拉, 李长红 申请人:诺基亚公司