专利名称:通过确定链接的信誉来保护不受未知恶意行为危害的方法和系统的制作方法
技术领域:
本发明一般地涉及计算机安全和恶意软件保护,并且更具体地,涉及通过确定链接的信誉来保护不受未知恶意行为危害的方法和系统。
背景技术:
站点爬虫和网络评级安全应用可用于确定用于经由互联网可访问的网站的评级。站点爬虫可用于通过访问网站来收集信息(例如,网站的内容)。接着网络评级安全应用可以使用这些信息来例如确定所访问的每一个网站的信誉。接着可使用这个信誉来确定具体的站点是安全的站点或是与恶意行为相关联的。但是这些应用不能解决若干在线安全风险。例如,站点爬虫不能检测内容和链接(例如用户简档和在社交网络中的在线互动体验),其只能通过输入密码来进行访问。此外,站点爬虫习惯上经由爬取站点来找到内容,而不知道站点的用户点击了什么链接和不知道这些链接的内容。许多黑客已经知晓如何通过将与链接相关联的有效负载或目的地隐藏在多个重定向和缩短的统一资源定位符(URL)来避开网络评级安全应用。
发明内容
根据本公开,本质上将减少或消除与保护不受未知恶意行为危害相关的缺点和问题。在特定的实施例中,用于确定链接的信誉的方法包括:由信誉服务器查询包括与多个链接相关联的信誉信息的数据库来检索重定向链接的信誉。所述信誉信息可以指示所述链接是否与恶意行为相关联。将所述重定向链接的所述信誉与原始链接相关联来创建所述原始链接的信誉。根据本公开的一个实施例,用于确定链接的信誉的系统包括:具有与多个链接相关联的信誉信息的数据库、处理器、计算机可读存储器和在所述计算机可读存储器中编码的处理指令。所述信誉信息可以指示所述链接是否与恶意行为相关联。当所述处理器执行所述处理指令时,所述指令可操作来执行操作,包括:查询所述数据库来检索重定向链接的信誉,并且将所述重定向链接的信誉与原始链接相关联来创建所述原始链接的信誉。根据本公开的另一实施例,一种非瞬态计算机可读介质存储用于确定链接的信誉的指令。当处理器执行所述指令时,所述指令被配置为用于在客户端记录原始链接和与所述原始链接相关联的重定向链接,并且将所述原始链接和所述重定向链接发送到信誉服务器,所述信誉服务器可操作来通过查询包括用于多个链接的信誉信息的数据库基于所述重定向链接的信誉来确定所述原始链接的信誉。所述信誉信息可以指示所述原始链接是否与恶意行为相关联。所述指令还可以被配置为用于在所述客户端处从所述信誉服务器接收包括原始链接的信誉的通知,所述原始链接的所述信誉指示所述原始链接是否与恶意行为相关联。根据本公开的又一实施例,用于确定链接的信誉的方法包括:由信誉服务器查询包括与多个链接相关联的信誉信息的数据库来检索多个重定向链接中的每一个的信誉。所述信誉信息可以指示所述链接是否与恶意行为相关联。基于以下中的至少一个,确定原始链接的信誉:所述多个链接中具有最低信誉分数的重定向链接的信誉、所述多个重定向链接的所述信誉的平均信誉分数、以及表示用于所述原始链接的最终目的地的所述重定向链接的所述信誉。
为了更彻底地理解本发明和其特征及优点,现在联合附图参考了下列描述,其中:图1示出了根据本公开的教导的包括通过确定链接的信誉来保护不受未知的恶意行为危害的安全应用的网络的框图;图2示出了根据本公开的教导的包括通过确定链接的信誉来保护不受未知恶意行为危害的安全应用的系统的框图;图3示出了根据本公开的教导的包括用于多个链接的信誉信息的信誉数据库;图4示出了根据本公开的教导,当安全应用安装在客户端上时,用于保护不受未知恶意行为危害的方法的流程图;图5示出了根据本公开的教导,当安全应用没有安装在客户端上时,用于保护不受未知恶意行为危害的方法的流程图;以及图6示出了根据本公开的教导的用于确定链接的信誉的方法的流程图。
具体实施例方式通过参考图1至6可以实现对本公开的实施例和其优点的最佳理解,其中使用类似的数字来指示类似的和对应的部分。图1示出了根据本公开的教导的包括通过确定链接的信誉来保护不受未知的恶意行为危害的安全应用的网络的框图。恶意行为可以是在系统中产生不期望行为的数字内容的形式。恶意行为的类型可以包括但不限于,病毒、木马、蠕虫、间谍软件、非请求电子消息、网络钓鱼尝试,或其任意组合。系统100可以包括客户端102、伙伴服务器104和可通信地与网络108耦合的信誉服务器106。客户端102可以是被配置为中断和/或执行程序指令和/或处理数据的任意的电子设备,包括而不仅限于,计算机、个人数字助理或电话。伙伴服务器104可以是被配置为作为网站的主机的任意服务器,所述网站包括可以使用通用地址来访问的数据集合。例如,可以通过使用超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、文件传输协议(FTP),远程登录协议、安全外壳协议(SSH)、简单邮件传输协议(SMTP),或任意其他可用协议中的一种或多种来访问数据,以经由互联网访问数据。信誉服务器106可配置用来解译和/或执行程序指令和/或处理数据。在示出的实施例中,信誉数据库110和伙伴数据库112可通信地与信誉服务器106耦合。信誉数据库110和伙伴数据库112可配置用来存储被一个或多个用户访问的有组织的数据集合。虽然示出的实施例示出信誉数据库110和伙伴数据库112可以直接地与信誉服务器耦合,但是信誉数据库110和伙伴数据库112可以经由例如网络108远程地与信誉服务器106耦合。
虽然在图1中示出了特定的网络,但是术语“网络”可以解释为一般定义能够传输电信信号、数据和/或消息的任意网络。网络108表示支持数据传输和递送的通信设备的任意适当的集合和布置。例如,网络108可以是与以下相关联的部件之一或者集合:局域网(LAN)、广域网(WAN)、回程网络、全球计算机网络(例如互联网),或适用于提供无线和/或有线通信的任意其他通信设备。在具体的实施例中,网络108可以是互联网协议(IP)网络。在示出的实施例中,客户端102c和信誉服务器106可以包括安全应用114,所述安全应用114操作来通过使用与链接相关联的信誉保护不受未知的恶意行为的危害。此外,伙伴服务器104可以包括信誉服务器脚本116,所述信誉服务器脚本116用于将位于以伙伴服务器104为主机的网站上的任意出站链接(例如,导航离开伙伴网站的链接)指向信誉服务器106。在操作中,系统100可以基于用于链接的信誉和保护策略来确定链接是否与恶意行为相关联。可以将与一个或多个链接相关联的信誉信息存储在与信誉服务器106相关联的数据库HO中。信誉信息可以包括指示(链接是否已被评为安全的或非安全的或者链接是未知的)、用于链接的信誉分数和基于内容的链接分类。在其他的实施例中,在信誉信息中可以包括与链接相关联的任意其他适当类型的信息,例如链接的业务模式和网站行为。可以将保护策略存储在客户端102和/或信誉服务器106中。保护策略可以包括用于确定何时阻止客户端102导航到链接的规则。例如,规则可以基于用于链接的信誉信息。在一个实施例中,规则可以指示当链接的信誉分数低于最小阈值和当分类指示其内容是恶意行为时应阻止该链接。在其他的实施例中,规则可以基于在信誉数据库110中发现的信誉信息的任意组合。在客户端102的一个处的用户可以点击链接来经由网络108访问网站上的数据。可以通过任意应用来访问链接,所述应用例如为桌面应用(例如,浏览器应用、邮件应用、文字处理应用等)、服务器应用和网络服务,以便经由网络108访问内容。在一个实施例中,链接可以包括指定何处识别的资源可用和用于检索该资源的机制的统一资源定位器(URL)。在另一实施例中,链接可以包括识别和定位所请求信息的IP地址。在一些实施例中,链接可能不表示用于访问数据的最终目的地,并且链接可能重定向一次或多次。如果用户在客户端102c处点击链接,在客户端102c上的安全应用114可以记录任何重定向。可以经由网络108将用于链接和相关联的重定向的信息从客户端102c发送到信誉服务器106。如果用户在客户端102a和102b中的任一处点击链接,并且链接在以伙伴服务器104作为主机的伙伴网站上,则信誉服务器脚本116操作来将链接指向信誉服务器106,使得在信誉服务器106上的安全应用114记录任何与链接相关联的重定向。用于链接的记录信息可以包括而不限于识别信息,例如,URL或IP地址。信誉服务器106可以使用链接的URL或IP地址,和用于检索与链接相关联的信誉信息的任何相关联的重定向,以及来自信誉数据库110的任何相关联的重定向,以便确定链接的信誉。在一个实施例中,链接的信誉可以基于具有最低信誉分数的重定向。在另一实施例中,用于链接的信誉可以基于用于链接和任意相关联重定向的平均信誉分数。在又一实施例中,用于链接的信誉可以基于用于最终目的地(例如,最后的重定向)的信誉信息。信誉服务器106接着可以通过比较与链接相关联的信誉和保护策略来计算用于链接的策略交集。如果策略交集指示链接与恶意行为相关联,则客户端102将重定向到安全页面,所述安全页面将指示链接与恶意行为相关联的信息显示给在客户端102的用户。如果用于链接的信誉信息指示该链接没有与恶意行为相关联,则客户端102将导航到与链接相关联的网站以将请求的数据显示给用户。在一个实施例中,数据库110可以不包括用于链接和/或相关联的重定向的信誉信息。在这种情况下,用于链接和/或相关联的重定向的信誉信息可以由信誉服务器106来确定并存储在数据库110中。在另一实施例中,与链接相关联的信誉信息可能不匹配与一个或多个相关联的重定向相关联的信誉信息。在这种情况下,可以更新存储在数据库110中的链接的信誉信息来匹配与一个或多个重定向相关联的信誉信息。在一个实施例中,可以基于具有最低信誉分数的重定向来更新用于链接的信誉信息。在另一实施例中,可以基于用于链接和任何关联的重定向的平均信誉分数来更新用于链接的信誉。在又一实施例中,可以基于用于最终目的地(例如,最后的重定向)的信誉信息来更新用于链接的信誉。图2示出了根据本公开的教导的包括通过确定链接的信誉来用于保护不受未知恶意行为危害的安全应用的系统的框图。特别地,系统200可以包括客户端102c、信誉服务器106、信誉数据库110和伙伴数据库112。客户端102c可以包括功能性地与存储器204耦合的处理器202。在某些实施例中,处理器202可以例如是微处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC),或配置为解译和/或执行程序指令和/或处理数据的任意其他数字或模拟电路。在一些实施例中,处理器202可以解译和/或执行存储在存储器204中的程序指令和/或处理数据。存储器204可以包括被配置为存储一个或多个存储器模块的任意系统、设备,或装置。每一个存储器模块可以包括被配置为保持程序指令和/或数据达一段时间的任意系统、设备或装置(例如,计算机可读介质)。出于本公开的目的,计算机可读介质可以包括能保持数据/或指令达一段时间的任意工具或工具聚合。计算机可读介质可以包括而不限于:存储介质,例如直接存取存储设备(例如,硬盘驱动器或软盘)、顺序存取存储设备(例如,磁带磁盘驱动器)、光盘、CD-ROM、DVD、随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPR0M),和/或闪存;以及通信介质,例如电线、光纤,和其他电磁和/或光学载体;和/或以上的任意组合。客户端102c还可以包括安全应用114和应用208,其存储在存储器204中同时可被处理器202所执行。安全应用114可以是这样的应用:其被配置为当用户在客户端102c处点击链接时记录与可从应用208访问的链接相关联的信息,与信誉服务器106进行通信并防止客户端102c访问与恶意行为相关联的链接。应用208可以是被配置为被客户端102c所执行的进程、可执行文件、共享库、驱动器、设备驱动器、运行时引擎、操作系统、目标代码,或任意其它二进制指令。在特定的实施例中,应用208可以包括而不限于:浏览器应用、邮件应用、文字处理应用、电子数据表应用、演示应用、支持可移植文档格式(PDF)的应用,或任意其他适当的桌面应用。在示出的实施例中,保护策略数据库210可以是被配置为由处理器202在客户端102c上执行的模块。保护策略数据库210可以功能性地与存储器204和安全应用114耦合。在另一实施例中,保护策略数据库210可以是安全应用114的子模块。在进一步的实施例中,安全应用114或保护策略数据库210的一个或二者可以远离客户端102c,使得它们可以驻留在经由网络(例如,网络108)可访问的云计算服务器中的设备上。在又一实施例中,安全应用114或保护策略数据库210的一个或二者可以驻留在信誉服务器106上并被信誉服务器106执行。可以用任意适当的方式实现保护策略数据库210,以适当地向安全应用114提供关于用于确定应何时防止客户端102c导航到链接的规则的信息。在一个实施例中,保护策略数据库210可以是数据库。在另一实施例中,保护策略数据库210可以是具有数据存储的功能库。在又一实施例中,保护策略数据库210可以是查阅表。如在下文中更详细描述的,安全应用114可配置来监控应用操作,例如当用户点击在应用208中的链接以访问在网站上的数据时,将与链接相关联的信誉信息与包含于保护策略数据库210中的保护策略规则相比较,并且如果信誉和保护策略指示链接与恶意行为相关联时,阻止客户端102c导航到链接。信誉服务器106可以配置为解译和/或执行程序指令和/或处理数据。信誉服务器106可以包括处理器214、存储器216和链接保护服务器218。在某些实施例中,处理器214可以是,例如微处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC),或配置用来解译和/或执行程序指令和/或处理数据的任意其他数字或模拟电路。在一些实施例中,处理器214可以解译和/或执行存储在存储器216中的程序指令和/或处理数据。存储器216可以包括被配置为存储一个或多个存储器模块的任意系统、设备,或装置。每一个存储器可以包括被配置为保持程序指令和/或数据达一段时间的任意系统、设备或装置(例如,计算机可读介质)。信誉服务器106可以驻留在任意适当的网络位置,使得信誉服务器106可以通过网络(例如网络108)可通信地与客户端102c耦合。链接保护服务器218可以由处理器214执行并存储在存储器216中。链接保护服务器218可以可通信地与在客户端102中的安全应用114耦合。在一个实施例中,链接保护服务器218和安全应用114可以通过互联网协议套件进行通信。链接保护服务器218可以通过网络(例如网络108)可通信地与安全应用114耦合。链接保护服务器218可以被配置为查询信誉数据库110的与链接相关联的信誉信息,并且查询伙伴数据库112的伙伴策略信息,确定用于链接的信誉并且向在客户端102c上的安全应用114传输用于链接的信誉。在另一实施例中,安全应用114可以包含于信誉服务器106中,使得链接保护服务器218可以功能性地与安全应用114耦合。在这个实施例中,即使在客户端上没有安装安全应用114,也可以保护客户端(例如在图1中示出的客户端102a和102b)不受未知恶意行为的危害。例如,如果用户在客户端102a或102b中的一个处点击以伙伴服务器104作为主机的伙伴网站中的链接,则在伙伴服务器104上的信誉服务器116将链接指向信誉服务器106。因为安全应用114包含于信誉服务器106中,所以安全应用114可以记录链接和任何相关联的重定向,并且结合链接保护服务器218来确定链接是否与恶意行为相关联。信誉数据库110和/或伙伴数据库112可以驻留在信誉服务器106上,或可以位于另一设备上。可以用任意适于提供关于链接的信息的存储和访问的方式,实现信誉数据库110和/或伙伴数据库112。在一个实施例中,信誉数据库110和/或伙伴数据库112可以是数据库。在另一实施例中,信誉数据库110和/或伙伴数据库112可以是具有数据存储的功能库。在又一实施例中,信誉数据库110和/或伙伴数据库112可以是查阅表。信誉数据库110和/或伙伴数据库112可以彼此分离,或组合为更少数量的数据库。信誉数据库110和/或伙伴数据库112可以可通信地彼此耦合,或通过网络(例如网络108)与信誉服务器106耦合。信誉数据库110和/或伙伴数据库112可以通过使用来自信誉服务器106的数据库查询而被访问。在操作中,在客户端102c处的用户可以点击在应用208中的链接212a,以经由网络108访问来自网站的数据。安全应用114可以确定链接212a是否包括一个或多个重定向。例如,链接212a可以重定向到链接212b和链接212c (例如,中间目的地)并且最终到链接212η (例如,最终目的地)。在这种情况下,安全应用114可以记录与链接212a、212b、212c和212η中的每一个相关联的信息。为每一个链接212记录的信息可以包括相关联的域名或URL和/或IP地址。安全应用114可以另外地访问保护策略数据库210以检索保护策略,所述策略包括关于应何时阻止客户端102c导航到链接的规则。接着安全应用114可以将与链接212a、212b、212c和212η的每一个相关联的信息和保护策略发送到在信誉服务器106上的链接保护服务器218上。在另一实施例中,安全应用114可以仅将与链接212a、212b、212c和212η的每一个相关联的信息发送到链接保护服务器218。链接保护服务器218可以使用与链接212a、212b、212c和212η的每一个相关联的信息来查询信誉数据库110,并检索与链接212a、212b、212c和212η的每一个相关联的信誉,以便确定用于链接212a的信誉。如果与链接212a相关联的信誉和与链接212b、212c和212η相关联的信誉相匹配,则链接保护服务器218检索与链接212a相关联的信誉。如果与链接212a相关联的信誉和与链接212b、212c和212η相关联的信誉不匹配,则链接保护服务器218可以基于与链接212b、212c和212η相关联的信誉中的一个或多个来确定与链接212相关联的信誉。在一个实施例中,与链接212a相关联的信誉可以基于链接212b、212c和212η中具有最低信誉分数的那一个。在另一实施例中,与链接212a相关联的信誉可以基于与链接212b、212c和212η相关联的平均信誉分数。在又一实施例中,与链接212a相关联的信誉可以基于与链接212η相关联的信誉信息,链接212η对于链接212a是最终目的地。在任意这些实施例中, 链接保护服务器218可以用基于链接212b、212c和212η中的一个或多个的适当的信誉信息来更新与链接212a相关联的信誉信息。一旦链接保护服务器218确定了用于链接212a的信誉,链接保护服务器218可以基于信誉和保护策略来计算用于链接212a的策略交集。在一些实施例中,链接保护服务器218可以不从客户端102接收保护策略,而可以将用于链接212a的策略交集基于信誉。接着,信誉服务器106可以将用于链接212a的策略交集发送到客户端102c。如果客户端102c不向信誉服务器106发送保护策略,则客户端可以使用从信誉服务器106接收到的与链接212a相关联的信誉和来自保护策略数据库210的保护策略来计算与链接212a相关联的策略交集。如果策略交集指示链接212a与恶意行为相关联,则客户端102c可以导航到安全页面,所述安全页面向用户指示链接212a与恶意行为相关联。如果策略交集指示链接212a没有与恶意行为相关联,则客户端102导航到链接212η以将请求的数据显示给用户。图3示出了根据本公开的教导的包括用于多个链接的信誉信息的信誉数据库。信誉数据库110可以包括与链接相关联的信息和包含信誉的内容的类型。信誉数据库110可以包括用于表示各个链接的条目308-326的内容的分类或归类。例如,在信誉数据库110中的每一个条目可以包括域名字段302、评级字段303、信誉分数字段304,和/或一个或多个内容类型字段306。应注意,提供在信誉数据库110中使用的域名、URL、地址、归类和分类仅出于解释的目的。
域名字段302可以包括域名(例如“my_bank.com” 308)、具有或不具有匹配所有子域的通配符的IP地址(例如“ 255.255.103.* ” 320 )、具有特定URL地址的域(例如“my_store.com/checkout, html” 310)、具有特定子域的域(例如 “us.social_network.com” 316),或这些字段的组合(例如“231.210.93.20/aaa.html ” 322)。评级字段可以包括对在域名字段302中指示的域是安全的或非安全的指示。例如,“my_bank.com” 308包括“好”评级,其指示该域是可以安全访问的com" 318包括“坏”评级,其指示该域不可以安全访问并且可能与恶意行为相关联。此外,“neW_domain”312可以包括“未知”评级,其指示该域还没有充分地评级。信誉分数字段304可以包括用于在域名字段302中指示的域的信誉分数。信誉分数可以依据缺少希望的或恶意行为来指示域的健康的定量评级。可以通过任意可接受的方式来计算和维持信誉分数,以用于依据缺少希望的或恶意行为来确定域的健康。可以使用许多因素来确定信誉分数,包括:域是否是垃圾消息的源头;域是否是包含在垃圾消息中的链接的目的地;域是否是包含在依次包含恶意软件的电子消息中的链接的目的地;域是否链接到恶意软件作为主机的其他域或服务器;发向或来自域的电子消息或业务的频率和体积;发向或来自域的电子消息或业务的目的地或源头;与该域以同一服务器或网络作为主机的其他域的信誉;域的内容是否是不含恶意软件;域的网站主机是否偏离了已知的历史行为;或者域是否出现在黑名单(指示恶意网站)或白名单(指示安全网站)上。在信誉分数字段304中的条目可以改变为用于填充信誉数据库110的新信息。在一个实施例中,信誉分数字段304的值的范围可以从O到100,其中O指示最低程度的信任,而100指示域的最大程度的信任。在一个实施例中,在信誉数据库113中的新条目没有现存的信誉,例如条目“new_domain.com” 312可分配为O作为其信誉分数。归类字段306可以包括一个或多个包含用于识别域的内容的指示符的字段。归类字段306可以一般地或特定地指示域的内容。例如,在信誉数据库110中,可以将“malware_infested.com”314归类为“恶意软件-网站钓鱼攻击”以及“恶意软件-后门(rootkit)”,指示已知该网站包含网络钓鱼攻击内容以及后门内容。归类字段306还可以指示域的中立内容的种类。例如,可以将“my_bank.com” 308归类为“经济的”,并且可以将“us.social_network.com”316归类 为“社交网络”。归类字段306可以存在不同值来用于恶意软件的任意可应用的类别或类型。当客户端102处的用户点击链接(例如在图2中示出的链接212a)时,链接信誉服务器218可以使用例如链接212a的URL (“www.example 1.com”)来查询用于链接212a的信誉数据库110。如在图3中示出的,链接212a可以与信誉数据库110中的条目324相关联。如在图2中示出的,链接212a通过链接212b和212c重定向直到链接212a到达在链接212η处的最终目的地。链接保护服务器218可以另外地使用与链接212b、212c和212η中的每一个相关联的URL来查询用于链接212b、212c和212η的信誉数据库110。链接212η可以与图3中示出的在信誉数据库110中的条目326相关联,这指示链接212η与木马病毒相关联。链接保护服务器218可以将用于链接212η的信誉与用于链接212a的信誉相关联,以指示链接212a与恶意行为相关联,这是因为链接212a的最终目的地链接212η的内容是木马病毒。接着,链接信誉服务器218可以更新与条目324 (例如,链接212a)相关联的信誉,并且使用来自条目326 (例如,链接212η)的值来替换在评级字段303、信誉分数字段304和归类字段306中的值。图4示出了根据本公开的教导,当安全应用安装在客户端上时,用于保护不受未知恶意行为危害的方法的流程图。一般地,在图1中的客户端102c处的用户可以点击链接来经由网络108访问在网站上的数据。在客户端102c上的安全应用114可以确定是否存在任何与链接相关联的重定向。安全应用114可以记录与链接相关联的信息和任何关联的重定向,并且可以向信誉服务器106发送信息。信誉服务器106可以使用与链接相关联的信息和任何重定向来确定用于链接的策略交集,指示链接是否与恶意行为相关联。信誉服务器106可以接着将策略交集发送到客户端102c,使得客户端102c可以确定导航到链接是否安全或确定链接是否与恶意行为相关联并应阻止对网站的访问。方法400开始于步骤402,此时图1中的客户端102c处的用户点击链接以通过网络108访问在可用网站上的数据。在步骤404处,客户端102c确定链接是否位于伙伴网站上。在一个实施例中,伙伴网站可以是这样的任意网站:其包括脚本(例如,在图1中伙伴服务器104上的服务器信誉脚本116)或将在伙伴网站上的出站链接指向与信誉服务器106相关联的地址的其他指令。如果链接在伙伴网站上,则在步骤406处客户端102c向信誉服务器106发送识别,指示安全应用114安装在客户端102c上。在步骤408处,客户端102c接着存储保护策略、链接和伙伴名。客户端102c在步骤410处导航到信誉服务器106,并且在步骤412处信誉服务器106查询伙伴数据库112来检索用于伙伴网站的伙伴策略。在一个实施例中,伙伴策略可以包括可能在伙伴网站上不可以访问的链接和相关联的内容。接着在步骤414,信誉服务器106可以确定用于伙伴网站的伙伴策略是否指示链接是未授权的链接。如果在步骤416处伙伴策略指示链接是未授权的链接,则客户端102c导航到指示用户所点击的链接因为包括未授权的内容而不能从伙伴网站访问的页面。如果在步骤414处伙伴策略指示链接是授权的链接,则方法移动到步骤420。如果在步骤404处伙伴网站没有包含链接,则在步骤418处客户端102c处理链接。链接的处理可以包括收集信息(例如,域名、用于链接的URL或地址),将链接跟随最终目的地而不会将网站显示给客户端102c处的用户。在步骤420处,客户端102c确定是否重定向链接以到达最终目的地。在步骤422处,如果客户端102c检测到链接被重定向,则客户端102c记录在链接和最终目的地之间的每一个重定向。客户端102c可以记录与每一个重定向相关联的域名或URL和/或地址(例如IP地址)。如果客户端102没有检测到任何重定向,则方法移动到步骤424。在步骤424处,客户端102c向信誉服务器106发送与链接和任何重定向相关联的信息。在一个实施例中,与链接和任何重定向相关联的信息可以是识别信息,例如域名、URL或地址。在另一实施例中,信息可以包括用于与链接和任何重定向相关联的识别信息以及用于客户端102c的保护策略(例如,来自在图2中的保护策略数据库210的保护策略)。保护策略可以包括这样的规则:其指示何时应防止客户端102c导航到链接,因为链接可能与恶意行为相关联。在步骤426处,信誉服务器106可以基于从客户端102c接收到的与链接和关联的重定向相关联的信息来确定用于链接的策略交集。确定用于链接的策略交集的细节将参考图6在下文描述。在步骤428处,一旦信誉服务器106确定用于链接的策略交集,信誉服务器106就向客户端102c发送包括用于链接的策略交集的通知。在步骤430处,客户端102确定包括策略交集的通知是否指示链接与恶意行为相关联。如果链接没有与恶意行为相关联,则在步骤432处客户端102c导航到链接的最终网络目的地以便将在网站上的数据显示给用户。如果链接与恶意行为相关联,则在步骤434处客户端102c导航到指示链接与恶意行为相关联的安全页面。方法400可以使用图1-3的系统或任意可操作地实现方法400的其他系统来实现。这样,用于方法400的优选初始点和包括方法400的步骤顺序可以取决于所选的实现。在一些实施例中,一些步骤可以是可选地忽略、重复或组合的。在一些实施例中,方法400的一部分可以组合。在某些实施例中,方法400可以部分地或完全地用体现在计算机可读介质中的软件来实现。图5示出了根据本公开的教导,当安全应用没有安装在客户端上时,用于保护不受未知恶意行为危害的方法的流程图。一般地,例如在图1中的客户端102a处的用户点击在伙伴网站上的链接来经由网络108访问在另一网站上的数据。如在图1中指出的,安全应用114没有安装在客户端102a上。在伙伴服务器104上的信誉服务器脚本116可以导航到信誉服务器106,这是因为客户端102a没有向信誉服务器106发送安全应用114安装在客户端102a上的通知。在信誉服务器106上的安全应用可以记录与链接和任何重定向相关联的信息。信誉服务器106可以使用与链接和任何重定向相关联的信息来确定用于链接的策略交集,所述策略交集指示链接是否与恶意行为相关联。信誉服务器106基于策略交集可以确定导航到链接是否安全,或确定链接是否与恶意行为相关联并且应阻止对网站的访问。方法500开始于步骤502,此时在图1中的客户端102a处的用户点击伙伴网络的链接来通过网络108访问在另一可用网站上的数据。因为安全应用114没有安装在客户端102a上,所以在步骤504客户端102a导航到信誉服务器106。当伙伴网站包括脚本(例如,在图1中的伙伴服务器104上的服务器信誉脚本116)或其他指令使得在伙伴网站上的所有出站链接指向与信誉服务器106相关联的地址时,完成导航。导航到信誉服务器106对用户可以是透明的,但是信誉服务器106能够收集与链接相关联的适当信息以便确定链接是否与恶意行为相关联。在步骤506处,信誉服务器106可以查询伙伴数据库来检索与伙伴网站相关联的伙伴策略。在一个实施例中,可以通过域名和/或与伙伴网站相关联的地址来识别伙伴。接着在步骤508处,信誉服务器106可以确定用于伙伴网站的伙伴策略是否指示链接是未授权的链接。如果在步骤510伙伴策略指示链接是未授权的链接,则客户端102a重定向到指示因为用户所点击的链接包括未授权的内容而不能从伙伴网站访问该链接的页面。如果在步骤508伙伴策略指示链接是授权的链接,则在步骤512处信誉服务器106处理链接。链接的处理可以包括收集信息(例如域名,用于链接的URL或地址),将链接跟随到最终目的地而不将网站显示给客户端102a处的用户。在步骤514处,信誉服务器106确定是否重定向链接以到达最终目的地。如果信誉服务器106检测到链接被重定向,则在步骤516处信誉服务器106记录链接和最终目的地之间的每一个重定向。信誉服务器106可以记录与每一个重定向相关联的域名或URL和/或地址(例如IP地址)。如果信誉服务器106没有检测到任何重定向,则方法移动到步骤518。在步骤518处,信誉服务器106可以基于与链接和关联的重定向相关联的信息来确定用于链接的策略交集。在一个实施例中,与链接和任何重定向相关联的信息可以是识别信息,例如域名、URL或地址。在另一实施例中,所述信息可以包括用于链接和关联重定向的识别信息和保护策略。保护策略可以包括因为链接可能与恶意行为相关联而指示何时应防止客户端102a导航到链接的规则。确定用于链接的策略交集的细节将参考图6在下文描述。在步骤520处,信誉服务器106确定策略交集是否指示链接与恶意行为相关联。如果链接没有与恶意行为相关联,则在步骤522处信誉服务器106导航到链接的最终网络目的地,以便将在网站中的数据显示给在客户端102a处的用户。如果链接与恶意行为相关联,则在步骤524处信誉服务器106导航到指示链接与恶意行为相关联的安全页面。方法500可以使用图1-3的系统或任意可操作地实现方法500的其他系统来实现。这样,用于方法500的优选初始点和包括方法500的步骤顺序可以取决于所选的实现。在一些实施例中,一些步骤可以是可选地忽略、重复或组合的。在一些实施例中,方法500的一部分可以组合。在某些实施例中,方法500可以部分地或完全地用体现在计算机可读介质中的软件来实现。图6示出了根据本公开的教导的用于确定链接的信誉的方法的流程图。一般地,在图1中的信誉服务器106直接地从客户端(见图4的步骤424),或者间接地通过伙伴服务器104 (见图5的步骤516)接收关于链接的信息。信誉服务器106提取关于链接和任何关联的重定向的识别信息,并且从信誉数据库110检索用于链接和关联的重定向的信誉信息。信誉服务器106基于关联的重定向的一个或多个信誉来确定链接的信誉,并接着基于确定的信誉计算用于链接的策略交集。如果在用于链接的信誉信息和任何一个重定向的信誉信息之间存在不匹配,则信誉服务器106更新在信誉数据库110中的用于链接的信誉信肩、O方法600可用于确定方法400中的步骤426处和方法500中的步骤518处发现的策略交集。在步骤602处,信誉服务器106提取与链接和任何重定向相关联的信息。在一个实施例中,与链接和任何重定向相关联的信息可以是识别信息,例如域名、URL或地址。在另一实施例中,所述信息可以包括用于链接和关联的重定向的识别信息和用于伙伴网站的保护策略。在步骤604处,信誉服务器106确定链接和关联的重定向是否在指示网站内容不与恶意行为相关联的白名单中。如果链接和关联的重定向在白名单上,则信誉服务器106允许客户端102导航到链接而不会确定链接的信誉。当安全应用安装在客户端(例如在图1中的客户端102c)时,信誉服务器106可以向客户端102发送指示链接在白名单上的通知。当安全应用没有安装在客户端(例如图1中的客户端102a和102b)时,信誉服务器106可以导航到链接,使得来自网站的数据显示客户端102a和102b上。如果一个或多个链接和关联的重定向不在白名单上,则在步骤608处信誉服务器106可以查询信誉数据库110以检索用于链接和关联的重定向的信誉。接着在步骤610处,信誉服务器106可以基于关联的重定向的一个或多个信誉确定链接的信誉。在一个实施例中,链接的信誉可以基于具有最低信誉分数的重定向。在另一实施例中,用于链接的信誉可以基于用于链接和任何关联的重定向的平均信誉分数。在又一实施例中,用于链接的信誉可以基于用于最终目的地(例如,最后的重定向)的信誉信息。在步骤612处,信誉服务器106可以基于确定的信誉和保护策略来计算用于链接的策略交集。保护策略可以包括用于确定何时应阻止客户端102导航到链接的规则。当安全应用安装在客户端(例如图1中的客户端102c)上时,信誉服务器106可以从客户端102c接收保护策略。当保护应用没有安装在客户端(例如在图1中的客户端102a和102b)上时,信誉服务器106可以从与信誉服务器106集成的或独立于信誉服务器106的保护策略数据库中检索保护策略。一旦信誉服务器106计算用于链接的策略交集,信誉服务器106就可以确定安全应用(例如在图1中的安全应用114)是否安装在客户端102上。如果安全应用114安装在客户端(例如图1中的客户端102c)上,则在步骤616处信誉服务器106向客户端102c发送具有用于链接的策略交集的通知。步骤616可以类似于图4中的方法400的步骤428。如果安全应用114没有安装在客户端(例如客户端102a或102b)上,则在步骤618处信誉服务器106确定策略交集是否指示链接与恶意行为相关联。步骤618可以类似于图5中的方法500的步骤520。在步骤620处,信誉服务器106可以确定在于链接相关联的信誉信息和与重定向相关联的信息之间是否有不匹配。在一个实施例中,如果存储在信誉数据库110中的与链接相关联的信誉信息与存储在信誉数据库110中的与一个或多个重定向相关联的信誉信息不相同,则发生不匹配。在一个实施例中,如果链接和重定向的信誉分数不相同,则发生不匹配。在另一实施例中,如果链接和重定向的内容不相同,则发生不匹配。如果发生不匹配,则在步骤622处信誉服务器106可以更新在信誉数据库110中的与链接相关联的信誉信息。在一个实施例中,用于链接的信誉可以基于具有最低信誉分数的重定向。在另一实施例中,用于链接的信誉可以基于用于链接和任何关联的重定向的平均信誉分数。在又一实施例中,用于链接的信誉可以基于用于最终目的地(例如,最后的重定向)的信誉信息。如果链接和重定向的信誉匹配,则方法600可以结束。方法600可以使用图1-3的系统或任意可操作地实现方法600的其他系统来实现。这样,用于方法600的优选初始点和包括方法600的步骤顺序可以取决于所选的实现。在一些实施例中,一些步骤可以是可选地忽略、重复或组合的。在一些实施例中,方法600的一部分可以组合。在某些实施例中,方法600可以部分地或完全地用体现在计算机可读介质中的软件来实现。虽然已详细地描述了本公开,但是应理解在不偏离所附权利要求所定义的公开的精神和范围的情况下可以对此做出各种改变、替代,和变更。
权利要求
1.一种确定用于链接的信誉的方法,包括: 由信誉服务器查询包括与多个链接相关联的信誉信息的数据库来检索重定向链接的信誉,所述信誉信息指示所述链接是否与恶意行为相关联;以及 将所述重定向链接的所述信誉与原始链接相关联来创建所述原始链接的信誉。
2.根据权利要求1所述的方法,还包括在所述信誉服务器处从客户端接收所述原始链接和所述重定向链接。
3.根据权利要求2所述的方法,还包括: 从所述客户端接收保护策略,所述保护策略包括指示是否应阻止所述客户端导航到所述原始链接的规则;以及 基于所述原始链接的所述信誉和所述保护策略来计算策略交集,所述策略交集指示所述原始链接是否与所述恶意行为相关联;以及 向所述客户端发送包括用于所述原始链接的所述策略交集的通知,所述策略交集指示所述原始链接是否与所述恶意行为相关联。
4.根据权利要求1所述的方法,还包括: 在客户端处从所述信誉服务器接收包括所述原始链接的所述信誉的通知;以及基于所述原始链接的所述信誉和保护策略来计算策略交集,所述保护策略包括指示是否应防止所述客户端导航到所述原始链接的规则;以及 如果所述策略交集指示所述原始链接与所述恶意行为相关联,则阻止访问所述原始链接。
5.根据权利要求1所述的方法,还包括用所述原始链接的所述信誉来更新所述数据库。
6.根据权利要求1所述的方法,还包括: 查询所述数据库来检索所述原始链接的所述信誉; 确定所述原始链接的所述信誉是否与所述重定向链接的所述信誉相匹配;以及如果所述链接的所述信誉和重定向目的地不匹配,则更新所述原始链接的所述信誉以包括所述重定向链接的所述信誉。
7.根据权利要求1所述的方法,还包括:如果所述原始链接的所述信誉指示所述原始链接与所述恶意行为相关联,则在所述客户端处阻止访问所述原始链接。
8.根据权利要求1所述的方法,还包括:如果所述通知指示所述原始链接没有与所述恶意行为相关联,则在所述客户端处导航到与所述原始链接相关联的最终目的地。
9.根据权利要求1所述的方法,还包括:基于用于将所述原始链接重定向来指向所述信誉服务器的脚本,在所述信誉服务器处从以伙伴服务器作为主机的伙伴站点接收所述原始链接。
10.根据权利要求1所述的方法,其中,所述重定向链接是与所述原始链接相关联的最终目的地。
11.根据权利要求1所述的方法,其中,所述重定向链接是与所述原始链接相关联的中间目的地。
12.根据权利要求1所述的方法,其中,与所述链接相关联的所述信誉信息包括评级、信誉分数和内容类型三者中的至少一个。
13.一种用于确定链接的信誉的系统,包括: 包括与多个链接相关联的信誉信息的数据库,所述信誉信息指示所述链接是否与恶意行为相关联; 处理器; 计算机可读存储器;以及 在所述计算机可读存储器中编码的处理指令,当所述处理器执行所述处理指令时,所述指令用于执行以下操作,包括: 查询所述数据库来检索重定向链接的信誉;以及 将所述重定向链接的所述信誉与原始链接相关联来创建所述原始 链接的信誉。
14.根据权利要求13所述的系统,其中,所述处理指令还用于执行操作,所述操作包括:在所述信誉服务器处从客户端接收所述原始链接和所述重定向链接。
15.根据权利要求13所述的系统,其中,所述处理指令还用于执行操作,包括: 从所述客户端接收保护策略,所述保护策略包括指示是否应阻止所述客户端导航到所述原始链接的规则;以及 基于所述原始链接的所述信誉和所述保护策略来计算策略交集,所述策略交集指示所述原始链接是否与所述恶意行为相关联;以及 向所述客户端发送包括用于所述原始链接的所述策略交集的通知,所述策略交集指示所述原始链接是否与所述恶意行为相关联。
16.根据权利要求13所述的系统,其中,所述处理指令还用于执行操作,所述操作包括:用所述原始链接的所述信誉来更新所述数据库。
17.根据权利要求13所述的系统,其中,所述处理指令还用于执行操作,所述操作包括: 查询所述数据库来检索所述原始链接的所述信誉; 确定所述原始链接的所述信誉是否与所述重定向链接的所述信誉相匹配;以及如果所述链接的信誉和重定向目的地的信誉不匹配,则更新所述原始链接的所述信誉来包括所述重定向链接的所述信誉。
18.根据权利要求13所述的系统,其中,所述处理指令还用于执行操作,所述操作包括:基于用于将所述原始链接重定向来指向所述信誉服务器的脚本,在所述信誉服务器处从以伙伴服务器作为主机的伙伴站点接收所述原始链接。
19.根据权利要求13所述的系统,其中,所述重定向链接是与所述原始链接相关联的最终目的地。
20.根据权利要求13所述的系统,其中,所述重定向链接是与所述原始链接相关联的中间目的地。
21.根据权利要求13所述的系统,其中,与所述链接相关联的所述信誉信息包括评级、信誉分数和内容类型三者中的至少一个。
22.—种存储用于确定链接的信誉的指令的非瞬态计算机可读介质,当处理器执行所述指令时,所述指令被配置为用于: 在客户端处记录原始链接和与所述原始链接相关联的重定向链接;将所述原始链接和所述重定向链接发送到信誉服务器,所述信誉服务器用于通过查询包括用于多个链接的信誉信息的数据库,基于所述重定向链接的信誉来确定所述原始链接的信誉,所述信誉信息指示所述链接是否与恶意行为相关联;以及 在所述客户端处从所述信誉服务器接收包括所述原始链接的信誉的通知,所述原始链接的信誉指示所述原始链接是否与恶意行为相关联。
23.根据权利要求22所述的非瞬态计算机可读介质,其中,所述指令还被配置为用于: 从与所述客户端相关联的保护策略数据库检索保护策略;以及 将所述保护策略发送到所述信誉服务器,使得所述信誉服务器基于所述原始链接的信誉和策略交集来计算用于所述原始链接的策略交集,所述策略交集指示所述原始链接是否与所述恶意行为相关联。
24.根据权利要求23所述的非瞬态计算机可读介质,其中,所述通知包括所述策略交集。
25.根据权利要求24所述的非瞬态计算机可读介质,其中,所述指令还被配置为用于:如果所述策略交集指示所述原始链接与所述恶意行为相关联,则阻止访问所述原始链接。
26.根据权利要求22所述的非瞬态计算机可读介质,其中,所述重定向链接是与所述原始链接相关联的最终目的地。
27.根据权利要求22所述的非瞬态计算机可读介质,其中,所述重定向链接是与所述原始链接相关联的中间目 的地。
28.一种用于确定链接的信誉的方法,包括: 由信誉服务器查询包括与多个链接相关联的信誉信息的数据库来检索多个重定向链接中的每一个的信誉,所述信誉信息指示所述链接是否与恶意行为相关联;以及基于以下中的至少一个来确定原始链接的信誉: 所述多个链接中具有最低信誉分数的重定向链接的信誉; 所述多个重定向链接的所述信誉的平均信誉分数;以及 表示用于所述原始链接的最终目的地的所述重定向链接的信誉。
29.根据权利要求28所述的方法,还包括:在所述信誉服务器处从客户端接收所述原始链接和所述多个重定向链接。
30.根据权利要求29所述的方法,还包括: 从所述客户端接收保护策略,所述保护策略包括指示是否应阻止所述客户端导航到所述原始链接的规则;以及 基于所述原始链接的所述信誉和所述保护策略来计算策略交集,所述策略交集指示所述原始链接是否与所述恶意行为相关联;以及 向所述客户端发送包括用于所述原始链接的所述策略交集的通知,所述策略交集指示所述原始链接是否与所述恶意行为相关联。
31.根据权利要求28所述的方法,还包括:用所述原始链接的所述信誉来更新所述数据库。
32.根据权利要求28所述的方法,还包括:如果所述原始链接的所述信誉指示所述原始链接与所述恶意行为相关联,则在所述客户端处阻止访问所述原始链接。
33.根据权利要求28所述的方法,还包括:基于用于将所述原始链接重定向来指向所述信誉服务器的脚本,在所述信誉服务器处从以伙伴服务器作为主机的伙伴站点接收所述原始链 接。
全文摘要
公开了一种通过确定链接的信誉来用于保护不受未知恶意行为危害的方法和系统。信誉服务器查询包括与多个链接相关联的信誉信息的数据库来检索重定向链接的信誉。信誉信息可以指示链接是否与恶意行为相关联。重定向链接的信誉可以与原始链接相关联来创建原始链接的信誉。
文档编号H04L29/06GK103221959SQ201180050516
公开日2013年7月24日 申请日期2011年10月18日 优先权日2010年10月20日
发明者R·B·卡特三世, P·K·拉尔, G·奥伊特门特, D·马哈, J·哈桑 申请人:迈克菲公司