专利名称:用于限制到计算机网络中有害主机的路径的系统及方法
技术领域:
本发明总体上涉及信息处理和安全,特别涉及安排可访问性限制以提供保护来防止恶意软件经由计算机网络的传播。
背景技术:
现今的计算机反病毒产业面临着来自于计算机病毒和其他此类恶意软件的开发者的不断演变的对抗。新的恶意软件发展为绕过用于检测恶意程序或黑客活动的保护方法、技术和系统。而且,也会攻击保护机制本身以妨碍或阻止它们的保护功能。为了扩散恶意软件而损害大众媒体内容网站的黑客事件已有过报道。例如,攻击者获取媒体内容网站管理员的访问认证信息(例如,登录,口令),或者甚至仅仅获取具有该网站编辑权限的使用者的这些信息,就能获得重复改变该网站内容的能力。这些改变可以在访问者经常光顾的网站上置入恶意内容,或者可以使访问者不知不觉间被重定向到另一网站,而恶意软件将会从该另一网站经由文件传输或者活动内容,诸如习惯上被称为网址嫁接(Pharming)的浏览器可执行代码,向这些访问者扩散。在一小段时间之后,比如两小时,攻击者可以将受损害网站的内容恢复为其原始状态,进而隐藏其踪迹。事后,对于安全分析来说重现攻击矢量变为不可能。计算机用户经常在自己的本地机器上具有反病毒或者因特网安全软件,其可能将在其他方面合法的网站自动分类为网络钓鱼(phishing)或者其他恶意或受损害主机,并将该站点的因特网地址加入到禁止站点列表,这一事实使情况进一步的复杂化。尽管此类安全软件会迅速将明显恶意的或者受损害的主机添加到禁止站点列表,但是,一旦合法站点的常用功能已被恢复,一般没有方法移除该站点。即使将该站点从禁止站点列表中手动排除,但是该站点可能会由于攻击者再次使其内容发生改变而自动地置入到列表上。因此,可以看出,对受劫持网站的防范产生了处理移动目标的问题。针对阻止恶意站点的常规保护机制,其能力倾向于既过于狭窄(under-1nclusive)又过于宽泛(over-1nclusive),以有效保护用户。常规保护过于狭窄是因为,它倾向于将包含恶意软件的站点作为目标加以阻止,这些站点的地址和URL能迅速被改变,进而在暴露于恶意软件与开始阻止恶意站点之间导致延迟时间窗口。同时,常规保护过于宽泛是因为,会保持对一般来说有用的和已经恢复到其正常的无恶意软件(malware-free )状态的站点的阻止,从而使可能的访问者无法访问那些站点。至少由于以上原因,需要提供对网络上的钓鱼或者相关恶意软件扩散技术的实际防范的解决方案,以克服当前采用的常规方法所造成的一些缺点。
发明内容
本发明的一方面针对一种用于对计算机网络上有害内容的可访问性加以限制的自动化的计算机实现方法,所述计算机网络包括主机以及主机之间的连接器。所述方法通过在程序控制下运行的至少一台计算机的一个或多个系统来执行。根据所述方法,从接入到所述计算机网络的多个不同入口点,探测网络路径以详细检查多个受调查主机。检查在所述受调查主机上有害内容的存在。对于为恶意主机的任一所述受调查主机,基于所述网络路径的探测,识别具有到那些恶意主机的连接器的居间主机。将访问限制与所述居间主机的每一个相关联,这可以用于阻止或限制对所述居间主机的访问,而所述居间主机本身可以包含或可以不包含有害内容。在某些实施例中,对于所述居间主机的每一个,确定其到所述恶意主机中的至少一个的相应连接器的普遍性程度,并且基于所述相应连接器的所述普遍性程度来实施与所述居间主机的每一个相关联的限制。在相关的实施例中,响应于与第一居间节点相对应的所述相应连接器的所述普遍性程度低于预定值,减少与所述第一述居间节点相关联的所述限制。在本发明的另一方面,一种用于对计算机网络上有害内容的可访问性加以限制的系统包括数据搜集系统、分析模块和安全配置模块。所述数据搜集系统包括:浏览器模块和感染检测器模块,所述浏览器模块经配置以从接入到所述计算机网络的多个不同入口点,探测到多个受调查主机的网络路径,所述感染检测器模块经配置以对所述受调查主机的每一个检查有害内容的存在。所述分析模块经配置以识别具有到为由所述感染检测器模块确定为包含有害内容的恶意主机的受调查主机的连接器的居间主机,,且所述分析模块进一步经配置以将访问限制与所述居间主机的每一个相关联。所述安全配置模块经配置以为保护机制提供主机限制集,所述主机限制集基于所述居间主机与其相应访问限制的关联,使得所述保护机制被配置为实现所述访问限制以限制至少对所述居间主机的访问。在各实施例中,所述系统可被安排为集中式部分和分布式部分,其中所述分布式部分包括所述数据搜集系统,所述集中式部分包括所述分析模块。所述系统还可包括作为客户端侧计算机系统或本地网络设备的一部分的保护机制本身。在本发明的又一方面,一种可配置为对计算机网络上有害内容的可访问性加以限制的计算机系统包括保护机制,该保护机制可配置为实施所述访问限制,以基于主机限制集通过所述计算机系统限制对所述计算机网络上某些主机的访问。所述保护机制适于从安全配置提供商接收主机限制集更新,所述安全配置提供商根据过程生成每一主机限制集,所述过程包括:从接入到所述计算机网络的多个不同入口点,探测到多个受调查主机的网络路径;对所述受调查主机上有害内容的存在进行检查;对于为作为所述检查的结果被确定包含有害内容的恶意主机的任何所述受调查主机,基于对所述网络路径的探测来识别具有到那些恶意主机的连接器的居间主机;将访问限制与所述居间主机的每一个相关联;以及基于至少一个访问限制与多个居间主机的关联来生成所述主机限制集。本发明的多个方面对于上面所概括的问题有利地提供实际解决方案,并且克服了处理在因特网和其他计算机网络上的网址嫁接攻击和其他被用来散布恶意内容其他技术的一些其他缺点。
结合附图考虑本发明各个实施例的如下详细描述,可以更加完整的理解本发明。图1为示出了示例性通用计算机系统的框图,根据本发明实施例的一个或多个功能模块可在该通用计算机系统上实现;
图2为示出了根据一实施例的,用于分析网络和防范客户访问该网络上恶意内容的系统的功能模块的框图;图3和图4示出了根据本发明实施例的,对从一网络入口点到特定主机的路由的示范性确定;图5示出了包含对应于特定IP地址的注册信息的WHOIS搜索结果的示例;图6为示出了在图2中被更一般性所描述的分析模块的一示例性实施例的框图;图7为根据网络图(network map)形式的一实施例的图(graph)的示例性可视化示例;图8为显示根据一实施例的,主机间的链接和自动重定向的图的可视化描述的示意图;图9为示出了根据一实施例的,递归地阻止居间主机的示例性过程的流程图;图10为示出了根据本发明一实施例的,所采用的分布式模型的示范性安排的框图,在所述分布式模型中,专门代理运行在参与的计算机系统或网络设备上,以预先筛选网络主机。尽管本发明可进行各种修改和替代变形,其细节已经通过图中的示例的方式示出并将详细加以描述。但是,应理解,其目的并不是为了将本发明限定于所描述的实施例。相反,其目的是覆盖落入如随附权利要求所提定义的本发明精神和范围之内的所有的修改、等同和替代。
具体实施例方式本发明的多个方面针对识别计算机网络中的居间(intermediary)主机,诸如,例如恶意软件通过其进行传播的万维网上的网站。如本文所使用的,“主机”一词指在网络上的可寻址设备,诸如端点主机(例如,服务器、客户端PC等)或诸如路由器或其他计算设备的居间设备,所述居间设备可以通过所指派的地址加以识别并位于到该网络的入口点和恶意主机之间的通讯路径上。尽管路由设备有时指简单节点,为了简单性和一致性起见,在本文中这两种类型的网络设备都用术语主机来指代。另外,尽管以下的实施例将因特网和万维网作为示例性网络,应理解,除非在权利要求中明确限定,否则本发明的原理更为普遍地适用于联网领域。根据本发明实施例所采取的可以揭示攻击者的基础设施的一种方法,是通过对网络中主机之间的关系或连接器的研究以及对主机之间连接器的普遍性(prevalence)的自动化分析来达到的。在一实施例中,收集表现网络主机和主机之间连接的基线数据。进行基线数据的收集使得网络中路径的研究多样化。由能从不同入口点(例如,经由在世界不同国家或者不同地区的不同因特网服务提供商的万维网访问,或者从Web的不同子网,或者它们的任意组合)访问网络的数据搜集系统通过使用到网络的不同入口点来达到这种方法中的多样化。多样化方法有助于对到在调查中的同一网络主机的多个不同的可能路径进行探测。由于网络中的路由信息是动态的,所以一种方法将会具有从每一个连接到因特网的主要子网的角度进行操作的数据搜集系统的一部分。在一些实施例中,用于为网络分析而收集基线信息的数据搜集系统可以通过虚拟机(类似于虚拟诱馆(virtual lure)系统,例如在7,774,459号美国专利中所公开的,该专利通过引用的方式并入本文)、在用户计算机上的特别代理(其按照用户请求实施网络主机的初步检验)或防火墙(用于防止不需要的流量、不适当行为等的网络安全设备)来实施。这些机制能检测恶意软件并完全控制流量,这就允许搜集有关散布不需要的软件或恶意的软件的源的附加信息,例如,记录到恶意或受损害主机的流量路径,或发现有关该主机注册域名的信息。收集这些数据用于在中央服务器上以表的形式加以分析,所述表至少包含:该主机的域名;对应于该主机域名的IP地址;与域名相关联的该主机IP地址以及该主机的流量路由信息。所收集的有关网络主机的数据用于建立主机之间关系的一个或多个模型,在本文称为图(graph)。在一种实施例中,图可以包括表现网络已探测部分的拓扑的信息,以及确定在网络中哪些主机具有恶意内容和哪些路径与恶意主机具有最普遍关联的信息。在一种方法中,使用启发式算法来分析图,例如,识别网络主机间常用的通讯路径。识别位于(在网络意义上)沿导向恶意或受损害主机的路径上的居间主机。基于所构建的图,与具有恶意内容的主机相关联的某些居间主机被自动地限制或者彻底阻止。这些受限或受阻的居间主机可以实际上有或没有任何恶意内容。因此,在受限或受阻的居间主机没有恶意内容的情况下,这种方法会造成对非恶意主机的阻止或限制访问。在一种实现方案中,在确定是否阻止或限制居间主机时,对给定居间主机和被确定具有恶意内容的目标主机之间关联的程度或者普遍性加以考虑。在相关的实施例中,如果随着时间的推移,到恶意或受损害主机的连接器的普遍性下降(例如,与阈值相比),则系统会自动恢复对现在与恶意活动弱关联的主机的访问。在实际的实现中,本发明的系统和方法分别使用计算机机器来实现和执行。计算机实现的系统可以在一台物理机器上实现,或者可以分布在多个物理机器中,诸如通过任务或功能,或者通过云计算分布式模型下的进程线程。在各实施例中,本发明的多个方面可以经配置以在虚拟机中运行,所述虚拟机依次在一个或多个物理机上执行。本领域的技术人员应理解,可通过各种不同的适宜机器实现方案来实现本发明的特征。图1为示出了示例性通用计算机系统的框图,一个或多个系统的功能模块可以在该通用计算机系统上实现。个人计算机或服务器20包含CPU 21、系统存储器22和系统总线23,其包含各种系统组件,所述系统组件包括与CPU 21相关联的存储器。系统总线23实现为任何已知的总线结构,包括总线存储器、总线存储器控制器、外设总线和局部总线,所述系统总线可与任何其它总线架构交互。系统存储器包括只读存储器(R0M)24和随机存取存储器(RAM) 25。基本输入输出系统(BIOS)包含确保个人计算机20各个元件之间信息传输的主过程,例如,启动时使用ROM 24。个人计算机20包括用于读写的硬盘驱动器27、用于读写可移动磁盘29的磁盘驱动器28和用于读写诸如⑶-ROM、DVD-ROM或者其他光介质的可移动光盘31的光盘驱动器30。硬盘驱动器27、磁盘驱动器28、光盘驱动器30分别经由硬盘接口 32、磁盘驱动器接口33和光盘驱动器接口 34全部连接到系统总线23。驱动器和相应的计算机存储介质是个人计算机20的计算机指令、数据结构、程序模块和其他数据的非易失性存储工具。这种描述揭示了系统的实现方案,其使用硬盘、可移动磁盘29和可移动光盘31,但是应理解,使用可以以计算机可读的方式(固态磁盘、磁带、闪存驱动器或其他非易失性存储器、数字磁盘、伯努利墨盒(Bernoulli cartridges)、随机存取存储器(RAM)、只读存储器(ROM)等)来存储数据的其他类型的计算机存储介质是可能的。其中可能有操作系统35的一些软件模块,存储在硬盘、磁盘29、光盘31、R0M 24或者RAM 25上。计算机20具有文件系统36,其存储操作系统35和附加软件应用程序37、其他程序模块38和程序数据39。用户有能力通过输入设备(键盘40、鼠标42)来输入命令和信息到个人计算机20中。其他输入设备可以为(未示出):麦克风、控制杆、游戏控制台、卫星天线、扫描仪等。这样的输入设备通常是通过串行端口 46连接到CPU 21而串行端口 46转而连接到系统总线,但也可以通过其他手段连接,诸如并行端口、游戏端口或通用串行总线(USB)。监视器47或其他类型显示设备也经由诸如视频适配器48的接口连接到系统总线23。除了监视器47,个人计算机可以配备其它外设输出设备(未显示),诸如扬声器和打印机等。个人计算机20 —般操作在网络环境中,使用逻辑连接至一个或多个远程计算机49。远程计算机(或多个远程计算机)49与个人计算机、服务器、路由器、网站、对等设备或其他网络主机相同,并且通常具有图1所示的前述个人计算机实体描述中的大部分或全部元件,但仅作为具有应用程序37的存储设备50。逻辑连接包括局域网(LAN) 51和广域网(WAN) 52,这样的网络是常见的办公设备并且也用在企业计算机网络、公司内部网和因特网中。在使用LAN网络时,个人计算机20经由网络适配器或接口 53连接到LAN 51。当使用WAN组网时,个人计算机20具有调制解调器54或与诸如因特网的全球计算机网络52连接的其他通信工具。调制解调器54可以是内置的或外置的,经由串行端口 46连接到系统总线23。在联网的环境中,暴露出来的(exposed)个人计算机20的软件模块,或者部分这样的程序,存储在远程存储设备中。应指出,网络连接仅是示例性的,并不要求显示出确切的网络配置、网络,即,实际上存在其他建立逻辑连接方式、其他的一台计算机到另一台计算机的通信技术手段。应注意,本发明的多个方面可以使用为上述通用计算机系统的子集的计算机系统来实现。例如,计算机系统可以是具有一组相对有限的输入/输出设施的刀片(blade)服务器。计算机系统也可以实现为内嵌式系统,其在微控制器数字信号处理器、专用程序集成电路、现场可编程门阵列等上操作,只要该系统包括足够的输入/输出设施来使它与正被管理的从属计算机系统或与其他计算设备进行接口。图2为示出了根据一实施例的用于分析网络200和防范客户访问网络上恶意内容的系统的功能模块的框图。在该实施例中,数据搜集系统实现为用于搜集关于网络拓扑和恶意分布源的信息的多个虚拟机202。每个虚拟机202实现或模拟操作系统(或者至少部分操作系统),并且设立专门化模块用于实施将在如下所描述的某些功能。本文使用的术语“模块”指现实世界的设备、组件,或者使用硬件或作为硬件和软件的结合所实现的组件排列,所述硬件诸如通过专用集成电路(ASIC)或现场可编程门阵列(FPGA),所述硬件和软件的结合诸如通过微处理器系统和一组调整模块实现特定功能的程序指令,这些指令(在执行时)将该微处理器系统转化为特殊目的装置。模块也可以实现为两者的结合,由硬件单独帮助实现某些功能,以及由硬件和软件的结合来帮助实现其他功能。在某些实现方案中,可以在执行操作系统、系统程序和应用程序的一个或多个计算机的处理器上执行模块的至少一部分以及在一些情况下执行模块的全部,同时也在适当情况下使用多任务、多线程、分布式(例如云)处理或其他此类技术来实现模块。因此,每个模块均可以在各种适合的配置中实现,并且,一般不应限定于任何本文例示的特定实现方案,除非这种限定被明确要求。因此,经配置以在通用计算机或者服务器上执行并针对特定功能加以配置的每个虚拟机均构成了一些模块。也可以考虑,在各实施例中,在可以按或可以不按地理位置分布的多个不同的物理计算机系统上实现虚拟机202。在其他实施例中可以考虑,其中将虚拟机202实现在单个的计算机系统或者服务器上。而在有些实施例中可以考虑,其中利用独立的个人的计算机系统代替虚拟机。但是,为了简便起见,下面的实施例将在虚拟机实施例的背景下加以描述。每个虚拟机202均配置为自动运行,即,在程序控制下。每个虚拟机202均被配置,使得在操作中每个虚拟机202均接收待调查的初始主机列表206,诸如一组IP地址或URL,以进行浏览。初始主机列表206包括可能被怀疑为具有恶意软件的主机或者可能被怀疑为导向包含恶意软件的站点的主机。被虚拟机202所调查的主机包括初始主机、沿到初始主机的路径上的主机以及沿从初始主机分支出的路径的主机。用于调查的初始主机列表206可以例如根据关于网页搜索的统计数据基于因特网上被最频繁访问的页面而获得。可针对大量用户、针对所定义的用户组(例如,公司或其部门的雇员)、或针对保护系统为其利益而操作的特定单个用户来对这些统计数据进行汇编。使用浏览器模块204,每个虚拟机202均按顺序探测(例如,加载或浏览)在其相应列表206中列出的所有主机。在相关的实施例中,每个浏览器204均探测在所加载的web页面上列出的到指定嵌套深度的所有链接,例如,达到5层链接。对于每个虚拟机,通过将在网络上探测主机过程中所采取的行为记录在探测跟踪日志212中,使调查被跟踪。在相关类型的实施例中,虚拟机202经配置以采用诸如VPN、PPTP、IPSec、L2TP等技术改变它们到网络的入口点,并探测从另一提供商、从另一国家或从世界的另一地区到被研究的主机的访问的路由。该方法有助于自动检测针对特定用户组的威胁。每个虚拟机202均经配置以在初始主机和其他被探测主机的探测过程中进行恶意软件的检测,所述其他被探测主机为在始于初始主机的探测过程中到达的主机。在每个虚拟机202中,感染检测模块208维护虚拟系统磁盘、虚拟系统注册表和虚拟系统存储器。在使浏览器204运行一段时间之后,例如5-10分钟,感染检测器模块208对虚拟系统磁盘、虚拟系统注册表和虚拟系统存储器进行快照。然后,虚拟系统磁盘、虚拟系统注册表和虚拟系统存储器恢复到其初始状态,并且采用下一个URL地址重复相同的过程进行探测。由感染检测器模块208对虚拟系统磁盘、虚拟系统注册表和虚拟系统存储器的快照与它们的初始状态进行比较。如果任意正在被审查的URL包含恶意软件,那么不具有关键安全预防措施的虚拟机202将获得例如新的可执行程序、程序模块或者注册表分支的变化。如果感染检测器208在探测给定主机之后,没有检测到非预期的和不需要的新文件或注册表变化,那么主机就可以被认为是安全的。在一方法中,虚拟机202的操作系统和软件不包含阻止恶意软件感染的安全预防措施,并因此容易受到这种感染。在另一方法中,虚拟机202经配置具备某些安全预防措施,使得这些虚拟机的感染要求围绕所呈现的安全预防措施起作用的感染向量。后一方法将对网络主机的阻止集中于仅仅那些扩散更致命形式恶意软件的路径。在相关的实施例中,使用若干配置有递进增强的安全等级的虚拟机,从而系统可以获得特定恶意软件的恶性(virulence)程度。在该方法中,对呈现在由于访问某个主机而受感染的虚拟机202上的感染进行防范的保护强度或保护质量,与日志212中的该主机相关联。随着探测的进行,将URL探测结果的记录汇编在日志212中,其包含了沿到已探测主机的路径上的居间主机的URL或者IP地址、来自已探测主机的链接和其他涉及对象的URL或者IP地址、以及已探测主机本身的URL地址。主机研究模块210获得关于可疑主机的附加信息。下面的表I示出了这种记录的示例。在这个示范性实施例中,每个表项均包含了至少如下字段:网络中主机的域名、恶意软件内容的标示(即,检测到存在不需要的文件或虚拟机注册表中的不需要的改变);根据域注册表中的记录,通过搜索名称服务器、域所有者的电子邮件地址所获取的与特定域名对应的IP地址,以及沿到URL主机的网络数据路由的居间主机的IP地址。在各实施例中,或者直接由主机研究模块210来收集上述信息,或者由单独的个体研究模块(并非必然集成于虚拟机202)使用公共可访问服务来收集上述信息。在示范性实施例中,主机研究模块210使用例如nslookup实用程序(在基于名称服务器的实用程序上的英文名称服务器查找搜索,该基于名称服务器的实用程序提供访问DNS系统的用户命令行接口)来访问名称服务器上的信息。在相关的实施例中,域所有者的电子邮件地址由主机研究模块210使用WHOIS服务进行查找,WHOIS服务为基于TCP (端口43)的网络应用层协议,被用于域名所有者的注册信息、IP地址和自主(autonomous)系统。居间主机的IP地址,或者沿跨网络到URL主机的数据路由的主机的IP地址,通过使用路由跟踪(tracert或traceroute)实用程序来发现。Table 1:URL探测结果示例
权利要求
1.一种用于对计算机网络上有害内容的可访问性加以限制的自动化的计算机实现方法,所述计算机网络包括主机和所述主机之间的连接器,所述方法包括: 通过在程序控制下运行的至少一台计算机的系统,从接入到所述计算机网络的多个不同入口点,探测到多个受调查主机的网络路径; 通过所述系统检查在所述受调查主机上有害内容的存在; 对于为作为所述检查的结果被确定包含有害内容的恶意主机的任何所述受调查主机,基于所述网络路径的所述探测,通过所述系统识别具有到那些恶意主机的连接器的居间主机;以及 通过所述系统,将访问限制与所述居间主机的每一个相关联。
2.如权利要求1所述的方法,进一步包括: 对于所述居间主机的每一个,确定其到所述恶意主机中的至少一个的相应连接器的普遍性程度;以及 其中,基于所述相应连接 器的所述普遍性程度,将所述限制与所述居间主机的每一个进行关联。
3.如权利要求2所述的方法,进一步包括: 响应于与第一居间节点相对应的所述相应连接器的所述普遍性程度低于预定值,减少与所述第一居间节点相关联的所述限制。
4.如权利要求2所述的方法,其中,确定与所述恶意主机的每一个相对应的所述连接器的所述普遍性程度包括:存储经由相应居间主机访问所述恶意主机的每一个的历史记录,以及,基于所述历史记录,确定使用每一连接器到该恶意主机以访问该恶意主机的经常性程度。
5.如权利要求1所述的方法,进一步包括: 基于所述网络路径的所述探测的结果形成图,所述图表现所述网络已探测部分的拓扑,包括:在所述受调查主机和位于沿包括所述受调查主机的已探测路径上的居间主机之间的连接器;所述受调查主机中哪些是恶意主机的标示;以及在与所述恶意主机相对应的路径中的连接器的普遍性的标示。
6.如权利要求1所述的方法,进一步包括: 对于所述恶意主机的每一个,确定所述主机的所述有害内容的恶性程度;以及 其中,基于所述恶意主机中的至少一个的所述有害内容的所述恶性程度,将所述限制与具有到所述恶意主机中的所述至少一个的连接器的所述居间主机的每一个相关联。
7.如权利要求1所述的方法,其中,将所述限制与具有到所述恶意主机中的至少一个的连接器的所述居间主机的每一个相关联包括:将所述限制与至少一个不包含有害内容的居间主机相关联。
8.如权利要求1所述的方法,其中从多个不同网络入口点对网络路径的所述探测包括:探测到共同受调查主机的多个不同路径。
9.如权利要求1所述的方法,进一步包括: 向保护机制提供更新,所述保护机制包括与具有到所述恶意主机中的至少一个的连接器的所述居间主机的每一个相关联的所述访问限制集,其中所述更新允许所述保护机制制定限制,所述限制限定对具有到所述恶意主机中的所述至少一个的连接器的所述居间主机的每一个的访问。
10.一种对计算机网络上有害内容的可访问性加以限制的系统,所述计算机网络包括主机和所述主机之间连接器,所述系统包括: 数据搜集系统,包括: 浏览器模块,经配置以从接入到所述计算机网络的多个不同入口点,探测到多个受调查主机的网络路径;以及 感染检测器模块,经配置以对所述受调查主机的每一个检查有害内容的存在; 分析模块,经配置以识别具有到为由所述感染检测器模块确定为包含有害内容的恶意主机的受调查主机的连接器的居间主机,并进一步经配置以将访问限制与所述居间主机的每一个相关联;以及 安全配置模块,经配置以向保护机制提供主机限制集,所述主机限制集基于所述居间主机与其相应访问限制的关联,使得所述保护机制被配置为实现所述访问限制以限制至少对所述居间主机的访问。
11.如权利要求10所述的系统,其中所述数据搜集系统包括多个虚拟机,所述虚拟机的每一个均经配置以改变其到所述网络的入口点。
12.如权利要求10所述的系统,其中所述连接器表现主机之间从包括通信通道、链接和重定向的组中选取的两个或更多个关系。
13.如权利要求10所述的系统,其中所述分析模块包括连接器评估器模块,经配置以至少部分地基于使用每一连接器访问恶意主机的频率,来确定所述连接器的普遍性。
14.如权利要求10 所述的系统,其中所述分析模块包括图生成器模块,经配置以基于通过所述浏览器模块探测所述网络路径的结果来形成图,所述图表现: 所述网络的已探测部分的拓扑,包括在所述受调查主机和位于沿包括所述受调查主机的已探测路径上的居间主机之间的连接器; 所述受调查主机中哪些是恶意主机的标示;以及 在与所述恶意主机相对应的路径中的连接器的普遍性的标示。
15.一种计算机系统,可配置为对计算机网络上有害内容的可访问性加以限制,所述计算机网络包括主机和所述主机之间的连接器,所述计算机系统包括: 保护机制,可配置为实现访问限制,以基于主机限制集通过所述计算机系统限制对所述计算机网络上某些主机的访问,其中所述保护机制适于从安全配置提供商接收主机限制集更新,所述安全配置提供商根据过程生成每一主机限制集,所述过程包括: 从接入到所述计算机网络的多个不同入口点,探测到多个受调查主机的网络路径; 对所述受调查主机上有害内容的存在进行检查; 对于为作为所述检查的结果被确定包含有害内容的恶意主机的任何所述受调查主机,基于对所述网络路径的探测来识别具有到那些恶意主机的连接器的居间主机; 将访问限制与所述居间主机的每一个相关联;以及 基于至少一个访问限制与多个居间主机的关联来生成所述主机限制集。
全文摘要
用于对计算机网络上有害内容的可访问性加以限制的系统及方法。从接入到计算机网络的多个不同入口点,探测网络路径以详细检查多个受调查主机。检查在受调查主机上有害内容的存在。对于为恶意主机的任何受调查主机,基于网络路径的探测,识别具有到那些恶意主机的连接器的居间主机。将访问限制与居间主机的每一个相关联,其可用于阻止或限制对居间主机的访问,而居间主机自身可包含或可不包含有害内容。
文档编号H04L29/06GK103078835SQ20121036575
公开日2013年5月1日 申请日期2012年9月27日 优先权日2011年10月3日
发明者谢尔盖·Y·戈洛瓦诺夫 申请人:卡巴斯基实验室封闭式股份公司