專利名稱:識別網(wǎng)絡(luò)中的文件內(nèi)容的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及控制計算機文件,例如包含文本或圖形數(shù)據(jù)的計算機文件的內(nèi)容的方法和系統(tǒng)��,以及更新這樣的內(nèi)容識別系統(tǒng)的方法。更具體地說,描述一種檢查和管理網(wǎng)絡(luò)環(huán)境中的本地計算設(shè)備上的計算機文件的安全狀態(tài)和內(nèi)容,并更新這樣的檢查和管理系統(tǒng)的方法和系統(tǒng)。
背景技術(shù):
在目前的世界中,計算機廣泛普及�。經(jīng)常,尤其是在商業(yè)環(huán)境中��,它們相互連接成小型或較大的網(wǎng)絡(luò)��。由于軟件和數(shù)據(jù)通常是個人公司的投資設(shè)備的重要部分���,因此重要的是保護單個計算設(shè)備和整個網(wǎng)絡(luò)及它們的工作站以免受到病毒�、特洛伊木馬、蠕蟲和惡意軟件攻擊����。另一問題和大量的包含不良內(nèi)容���,例如明顯的成人內(nèi)容的文件有關(guān)�。這些文件經(jīng)常被沒有邀請的和不需要的本地計算設(shè)備所接收。
為了解決與病毒有關(guān)的安全問題���,開發(fā)了稱為病毒檢測程序的保護系統(tǒng)���。常規(guī)的病毒檢測程序的一些例子是Norton AntiVirus,McAfeeVirusScan���,PC-cillin,Kaspersky Anti-Virus。這些常規(guī)的病毒保護軟件包的大多數(shù)可被配置�,以致它們始終在計算設(shè)備的后臺中運行�����,并提供連續(xù)的保護。這些病毒保護系統(tǒng)比較新的或者修改的軟件的代碼和公知病毒的指紋(例如��,由病毒引入文件中的部分代碼)�����。其它病毒保護系統(tǒng)比較可在計算設(shè)備上獲得的所有數(shù)據(jù)的代碼��。這導(dǎo)致相當大量的中心處理器(CPU)時間的使用,這限制了計算設(shè)備執(zhí)行其它任務(wù)的能力��。此外���,這些病毒檢測程序的工作原理使這些軟件包被動地而不是主動地工作��,因為需要知道病毒的指紋�����,以便病毒掃描器識別該病毒��。這意味著指紋數(shù)據(jù)庫需要被定期更新�,以便不受較新的病毒的攻擊���。從而�����,計算機的安全狀態(tài)不僅取決于外部因素���,比如病毒保護軟件包的供應(yīng)商可獲得的新病毒的指紋的正確性,而且取決于用戶定期進行更新的責任意識�。如果自動地從服務(wù)器集中提供更新,那么網(wǎng)絡(luò)容量被降低�,因為這些病毒更新必須被發(fā)送給多個工作站�。
在網(wǎng)絡(luò)環(huán)境中,更新這樣的指紋數(shù)據(jù)庫的問題變得更重要,因為這意味著責任被賦予所有用戶�,所有用戶都不得不更新他們的病毒檢測程序數(shù)據(jù)庫����。另一方面,病毒掃描可由中心服務(wù)器執(zhí)行�����,從而將對新指紋的更新局限于中心服務(wù)器�����。但是��,這意味著需要定期通過網(wǎng)絡(luò)傳送大量的數(shù)據(jù),從而利用了大量昂貴的網(wǎng)絡(luò)帶寬,并且可能使網(wǎng)絡(luò)或服務(wù)器容量在其它活動方面超負荷(取決于服務(wù)器的客戶機的數(shù)目)。
為了限制使用的CPU時間的數(shù)量�����,提出了加速病毒掃描過程的其它技術(shù)。這些技術(shù)通常包括文件內(nèi)容的散列�。散列是“單向函數(shù)”的一個應(yīng)用例子。單向函數(shù)是當沿一個方向應(yīng)用時���,使反方向幾乎不可能執(zhí)行的一種算法。單向函數(shù)通過對文件的內(nèi)容進行計算,產(chǎn)生一個值�,例如散列值���,并且能夠唯一地取下該文件的指紋,如果單向函數(shù)復(fù)雜到足以避免來自不同文件的相同值的話。散列函數(shù)的唯一性取決于使用的散列函數(shù)的類型�,即形成的摘要的大小和函數(shù)的質(zhì)量����。良好的散列函數(shù)在表中具有最少的沖突����,即,向不同的文件提供相同散列值的機會最小����。如前所述�����,這也由計算的摘要�,即散列值的大小確定。例如��,如果使用128位的摘要�,那么能夠獲得的可能的不同值的數(shù)目為2128。
已知將散列法用于病毒檢查�,可能在網(wǎng)絡(luò)環(huán)境中。一般來說���,計算選擇的在本地計算機上運行的應(yīng)用的散列值�����,在本地計算機從安全計算機上的數(shù)據(jù)庫檢索存儲的散列值��,從而����,保密計算機可以是本地計算機或網(wǎng)絡(luò)服務(wù)器的安全部分�����,并比較這兩個值��。如果它們匹配����,那么執(zhí)行該應(yīng)用��,如果它們不匹配���,那么執(zhí)行安全操作�����。所述安全操作包括將病毒掃描器裝入本地計算機���。它還可包括向網(wǎng)絡(luò)管理人員報警。此外���,還已知將散列法用于區(qū)分從不同工作站對軟件的可訪問性��,并作為檢查軟件是否被許可的一種方式���。
另外已知將散列法用在識別計算機系統(tǒng)或設(shè)備上的流氓軟件的方法中���。該方法一般可用在網(wǎng)絡(luò)環(huán)境中��。計算待執(zhí)行的應(yīng)用軟件的散列值�����,該散列值被傳送給服務(wù)器��,并與先前存儲的值比較����。基本特征之一在于該方法使用服務(wù)器上的數(shù)據(jù)庫���,所述服務(wù)器是具有大量客戶機的服務(wù)器�。從而�,通過由不同的客戶機添加信息建立該數(shù)據(jù)庫,以致多數(shù)應(yīng)用軟件和它們的對應(yīng)指紋已被存儲在該數(shù)據(jù)庫中�����。通過以應(yīng)用軟件的所有者檢查應(yīng)用軟件的可靠性,建立該數(shù)據(jù)庫��。如果這是不可能的��,那么系統(tǒng)還能夠給出試探結(jié)果���,評估本地計算機上的該應(yīng)用自其它客戶機的發(fā)生��。
已知利用包括文件內(nèi)容和消息內(nèi)容標識符的電子郵件發(fā)送電子文件的方法����。根據(jù)消息內(nèi)容標識����,消息被傳送給客戶或者不被傳送給客戶。該方法可被用于組織電子郵件傳送���,但是它具有集中于電子郵件傳送的缺點�����,該方法不允許保護網(wǎng)絡(luò)中的所有文件的安全�����。
另外已知監(jiān)視電子郵件消息�,從而保護計算機系統(tǒng)免受病毒攻擊和未經(jīng)請求的商業(yè)電子郵件(UCE)的方法。這樣的系統(tǒng)最好安裝在郵件服務(wù)器或者安裝在因特網(wǎng)服務(wù)提供商��,所述系統(tǒng)通過計算摘要�����,比較所述摘要與先前接收的電子郵件的存儲摘要值�,檢查電子郵件的特定部分�����。這樣��,確定電子郵件是否具有批準的摘要���,或者電子郵件是否是UCE�����,或者包含電子郵件蠕蟲��。該系統(tǒng)的缺點在于它集中于電子郵件病毒和SPAM�,它不允許檢查可能被例如從外部存儲裝置,比如軟盤或CD-ROM復(fù)制的文件�����,或者被例如特洛伊木馬感染的所有數(shù)據(jù)文件或可執(zhí)行文件�。
已知按照網(wǎng)絡(luò)服務(wù)器的某些策略規(guī)則控制軟件在不同工作站上的執(zhí)行,從而通過對軟件分類獲得改進的計算機安全系統(tǒng)����。這種分類可以幾種形式的數(shù)據(jù)為基礎(chǔ),其中一種是例如軟件數(shù)據(jù)的散列值��。這一般是通過計算程序的散列值(如果選擇裝入和執(zhí)行所述程序的話)�����,并比較該散列值和可信值���,從而確定執(zhí)行的規(guī)則來實現(xiàn)的�。所述分類還可以內(nèi)容的散列值��,數(shù)字簽名����,文件系統(tǒng)或網(wǎng)絡(luò)路徑或者URL范圍為基礎(chǔ)�����。
上面提及的方法和系統(tǒng)描述了使用散列函數(shù)來檢查應(yīng)用軟件是否可信��,或者控制應(yīng)用軟件的執(zhí)行�����。然而沒有討論利用常規(guī)的病毒掃描器對網(wǎng)絡(luò)中的所有新文件進行病毒掃描���,從而更新每個本地計算機上的常規(guī)病毒掃描器的指紋的數(shù)據(jù)庫的必要性有限的問題�。病毒檢測系統(tǒng)和數(shù)據(jù)監(jiān)視系統(tǒng)的缺點之一在于它們通常只有在病毒或惡意軟件已被發(fā)現(xiàn),指紋已知��,并且網(wǎng)絡(luò)中或者網(wǎng)絡(luò)的本地計算設(shè)備上的本地數(shù)據(jù)庫已被更新時��,才能夠提供對病毒或惡意軟件的防范����。后者意味著在病毒或惡意軟件的首次擴散和病毒檢測系統(tǒng)或數(shù)據(jù)監(jiān)視系統(tǒng)能夠檢測并對抗病毒或惡意軟件之間,存在相當長的一段時間�����。一般來說,目前當執(zhí)行重要的病毒檢測系統(tǒng)更新或升級��,或者數(shù)據(jù)監(jiān)視系統(tǒng)更新或升級時���,整個系統(tǒng)��,例如網(wǎng)絡(luò)于是被重新檢測��,這既費時又消耗計算能力���,或者系統(tǒng)根本不被重新檢測,在系統(tǒng)中留下可能的病毒傳染或者惡意軟件�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種識別網(wǎng)絡(luò)中的本地計算設(shè)備上的新文件的內(nèi)容的系統(tǒng)和方法�。本發(fā)明的另一目的是提供一種更新或升級內(nèi)容識別裝置的方法。本發(fā)明的優(yōu)點包括下述一個或多個a)提供高度的可靠性�,同時限制更新每個本地計算設(shè)備上的內(nèi)容識別程序所需的信息的必要性。
b)具有高的效率���,并提供網(wǎng)絡(luò)系統(tǒng)中的高度安全性�����。
本發(fā)明的另一優(yōu)點是如果本發(fā)明被用作病毒檢查器��,那么安全級別被進一步提高��,因為常規(guī)病毒掃描器的指紋數(shù)據(jù)庫不必在每個本地計算設(shè)備上被更新���。
本發(fā)明的另一特殊優(yōu)點在于對整個網(wǎng)絡(luò)�����,對網(wǎng)絡(luò)來說新的文件的內(nèi)容只被識別一次��。
本發(fā)明的另一特殊優(yōu)點在于網(wǎng)絡(luò)中的總的處理器(CPU)處理時間和網(wǎng)絡(luò)通信量被減少�����。
本發(fā)明的另一特殊優(yōu)點在于當升級或更新病毒識別裝置,惡意軟件識別裝置或內(nèi)容識別裝置時�����,更新或升級的版本被有效地用于主動搜索“被污染的”內(nèi)容���。即使是對于在“污染物”���,即病毒���,惡意軟件或感染或不能允許的內(nèi)容的生成,并且識別裝置能夠檢測所述“污染物”之間產(chǎn)生的數(shù)據(jù)����,這也可以提供網(wǎng)絡(luò)安全性。因為當檢測到受污染的文件時����,基于元數(shù)據(jù)庫中的可用數(shù)據(jù),能夠容易地類似識別和處理相似的文件��,能夠高效地進行網(wǎng)絡(luò)的清理��,同時減少CPU和網(wǎng)絡(luò)時間����。
本發(fā)明的另一優(yōu)點在于在仍然使用中心病毒檢查裝置的時候,文件不必被發(fā)送給中心服務(wù)器以便被檢查��,相反可在本地被檢查,從而避免了在往來于中心服務(wù)器的傳送過程中�����,破壞該文件的危險����。
利用根據(jù)本發(fā)明的網(wǎng)絡(luò)中的內(nèi)容識別的方法和系統(tǒng),獲得至少一個上述目的和至少一個優(yōu)點�。
識別網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)文件的內(nèi)容的方法被用于具有與包括一個中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接的至少一個本地計算設(shè)備的網(wǎng)絡(luò)。所述方法和系統(tǒng)包括利用單向函數(shù)計算在所述至少一個本地計算設(shè)備之一上的新文件的參考值���,將所述計算的參考值傳送給所述中心基礎(chǔ)結(jié)構(gòu)�,比較所述計算的參考值和先前存儲在網(wǎng)絡(luò)環(huán)境的剩余部分內(nèi)的參考值�����。
該方法還包括在比較之后�����,如果發(fā)現(xiàn)所述計算的參考值和先前存儲的參考值匹配����,那么確定該新文件的內(nèi)容已被識別�,并檢索對應(yīng)的內(nèi)容屬性���;或者如果發(fā)現(xiàn)所述計算的參考值和任何先前存儲的參考值不匹配,那么確定該新文件的內(nèi)容還未被識別����,隨后對所述中心基礎(chǔ)結(jié)構(gòu)共享該本地計算設(shè)備上的所述新文件,所述中心基礎(chǔ)結(jié)構(gòu)通過經(jīng)由網(wǎng)絡(luò)環(huán)境遠程識別該內(nèi)容�����,識別所述新文件的內(nèi)容�����,確定和該新文件的內(nèi)容對應(yīng)的內(nèi)容屬性�,并存儲所述內(nèi)容屬性的副本,在所述確定之后��,根據(jù)所述內(nèi)容屬性在所述本地計算設(shè)備上觸發(fā)一個操作����。
在識別網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)文件的內(nèi)容的方法中,參考值可以是散列值�����。先前存儲的參考值可被存儲在中心基礎(chǔ)結(jié)構(gòu)中。在識別網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)文件的內(nèi)容的方法和系統(tǒng)中��,識別新文件的內(nèi)容可包含利用中心基礎(chǔ)結(jié)構(gòu)上的防病毒檢查器裝置掃描新文件尋找病毒�。
該方法還可包含在執(zhí)行所述新文件的內(nèi)容的所述識別之前,將新文件從本地計算設(shè)備傳送給中心基礎(chǔ)結(jié)構(gòu)����。此外,它可包含將新文件的副本存儲在中心基礎(chǔ)結(jié)構(gòu)上�����?��?赏ㄟ^將副本從本地計算設(shè)備傳送給中心基礎(chǔ)結(jié)構(gòu)�����,實現(xiàn)將新文件的副本存儲在中心基礎(chǔ)結(jié)構(gòu)上�����。存儲文件的地址可和散列值一起被存儲�����,以便能夠快速追蹤存儲在中心基礎(chǔ)結(jié)構(gòu)上的文件的副本��。
在本發(fā)明的方法中����,根據(jù)所述內(nèi)容屬性在本地計算設(shè)備上觸發(fā)操作可包含用所述新文件的在先版本的副本替換本地計算設(shè)備上的新文件�。此外,根據(jù)所述內(nèi)容屬性在本地計算設(shè)備上觸發(fā)操作還可包含用從網(wǎng)絡(luò)環(huán)境的剩余部分恢復(fù)的另一版本的所述新文件替換本地計算設(shè)備上的新文件��。
本發(fā)明的方法還可包含在執(zhí)行所述新文件的內(nèi)容的所述識別之前����,向中心基礎(chǔ)結(jié)構(gòu)共享本地計算設(shè)備上的新文件,從而通過經(jīng)由網(wǎng)絡(luò)環(huán)境遠程識別所述內(nèi)容�����,執(zhí)行所述新文件的內(nèi)容的所述識別����。該方法可包含檢查本地計算設(shè)備上的本地代理的運行。
此外�����,可在將對應(yīng)于新文件的內(nèi)容屬性傳送給本地計算設(shè)備之后,在本地計算設(shè)備上觸發(fā)操作��。
在識別網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)文件的內(nèi)容的方法中����,識別新文件的內(nèi)容可包含掃描成人內(nèi)容,掃描自我宣傳廣告消息或未經(jīng)請求的商業(yè)電子郵件(UCE)�,和掃描受版權(quán)保護的信息中的一個或多個?����?衫盟鲋行幕A(chǔ)結(jié)構(gòu)上的掃描裝置進行掃描�����。該方法還涉及一種提供內(nèi)容防火墻�,從而一個本地計算設(shè)備與外部網(wǎng)絡(luò)連接,所述外部網(wǎng)絡(luò)可以是例如因特網(wǎng)�,所述一個本地計算設(shè)備還與由剩余的本地計算設(shè)備形成的網(wǎng)絡(luò)環(huán)境連接的方法和系統(tǒng)。所述一個本地計算設(shè)備從而使所述網(wǎng)絡(luò)環(huán)境與外部網(wǎng)絡(luò)連接���,并且是直接與在所述網(wǎng)絡(luò)環(huán)境外部的來源連接的唯一計算設(shè)備���。該本地計算設(shè)備從而起保護網(wǎng)絡(luò)環(huán)境免受源于外部網(wǎng)絡(luò)中的地方的攻擊的內(nèi)容防火墻的作用�����。該本地計算設(shè)備可起按照混雜方式工作的內(nèi)容防火墻的作用,即�����,該本地計算設(shè)備起查看經(jīng)過的所有通信量�����,執(zhí)行散列和比較功能���,并聯(lián)系代理從而強制執(zhí)行策略的內(nèi)容防火墻的作用�。
該方法特別涉及一種檢查網(wǎng)絡(luò)和其組件的安全狀態(tài)的方法���。在本實施例中�����,確定網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)文件的安全狀態(tài)的方法用在具有與包括一個中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接的至少一個本地計算設(shè)備的網(wǎng)絡(luò)中��。該方法包括利用單向函數(shù)計算在所述至少一個本地計算設(shè)備之一上的新文件的參考值��,將所述計算的參考值傳送給所述中心基礎(chǔ)結(jié)構(gòu)��,比較所述計算的參考值和先前存儲在網(wǎng)絡(luò)環(huán)境的剩余部分內(nèi)的參考值�,在比較之后,如果發(fā)現(xiàn)計算的參考值和先前存儲的參考值相符��,那么確定該文件的安全狀態(tài)已被檢查��,并檢索對應(yīng)的安全狀態(tài)��;或者如果發(fā)現(xiàn)計算的參考值和任何先前存儲的參考值不相符����,那么確定該新文件的安全狀態(tài)還未被識別,隨后所述中心基礎(chǔ)結(jié)構(gòu)檢查該新文件的安全狀態(tài)�����,確定對應(yīng)于該新文件的安全狀態(tài)����,存儲安全狀態(tài)的副本,隨后在所述確定之后�,根據(jù)該新文件的安全狀態(tài)在所述本地計算設(shè)備上觸發(fā)一個操作�����。所述操作可以是例如使本地計算設(shè)備的用戶和網(wǎng)絡(luò)中的其它用戶不能訪問該文件���,或者恢復(fù)被感染的文件。
上面描述的方法可由在本地代理上執(zhí)行的操作觸發(fā)�����。由在本地代理上執(zhí)行的操作的觸發(fā)可以是例如運行一個應(yīng)用或者打開一個文件��。
本發(fā)明還涉及一種按照上述系統(tǒng)����,改變識別網(wǎng)絡(luò)環(huán)境中的文件的內(nèi)容的系統(tǒng)的方法��,所述網(wǎng)絡(luò)環(huán)境包括計算單向函數(shù)的裝置���,與包括中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接的至少一個本地計算設(shè)備�����,以及識別內(nèi)容的裝置�����,所述方法包括改變識別內(nèi)容的所述裝置或者計算單向函數(shù)的所述裝置�����,掃描網(wǎng)絡(luò)環(huán)境的剩余部分尋找利用單向函數(shù)計算的參考值��,對于每個參考值�����,向所述網(wǎng)絡(luò)環(huán)境請求對應(yīng)于所述參考值的文件�����,將文件發(fā)送給識別內(nèi)容的裝置��,識別所述文件的內(nèi)容�,確定和文件的內(nèi)容對應(yīng)的內(nèi)容屬性并存儲所述內(nèi)容屬性的副本,將內(nèi)容屬性發(fā)送給包含該文件的每個本地計算設(shè)備����,并在所述發(fā)送之后,根據(jù)所述內(nèi)容屬性在所述本地計算設(shè)備上觸發(fā)一個操作。
本發(fā)明還涉及一種按照上述系統(tǒng)����,改變識別網(wǎng)絡(luò)環(huán)境中的文件的內(nèi)容的系統(tǒng)的方法,所述網(wǎng)絡(luò)環(huán)境包括計算單向函數(shù)的裝置�,與包括中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接的至少一個本地計算設(shè)備,以及識別內(nèi)容的裝置�,所述剩余部分包括存儲的數(shù)據(jù)庫,所述方法包括改變識別內(nèi)容的所述裝置或者計算單向函數(shù)的所述裝置���,掃描網(wǎng)絡(luò)環(huán)境的剩余部分尋找利用單向函數(shù)計算的參考值����,對于每個參考值�����,向所述網(wǎng)絡(luò)環(huán)境請求對應(yīng)于所述參考值的文件���,識別所述文件的內(nèi)容,確定和文件的內(nèi)容對應(yīng)的內(nèi)容屬性并存儲所述內(nèi)容屬性的副本����,將內(nèi)容屬性發(fā)送給包含該文件的每個本地計算設(shè)備,并在所述發(fā)送之后,根據(jù)所述內(nèi)容屬性在所述本地計算設(shè)備上觸發(fā)一個操作���。所述掃描網(wǎng)絡(luò)環(huán)境的剩余部分尋找利用單向函數(shù)計算的參考值可包含掃描存儲的數(shù)據(jù)庫尋找利用單向函數(shù)計算的參考值�。向所述網(wǎng)絡(luò)環(huán)境請求對應(yīng)于所述參考值的文件后面可以是將所述文件發(fā)送給識別內(nèi)容的裝置���。另一方面����,文件也可被共享�����,可通過網(wǎng)絡(luò)進行所述內(nèi)容的識別����。可在安全的連接下進行共享�����,并且所述共享可局限于該本地計算設(shè)備和中心基礎(chǔ)結(jié)構(gòu)之間�����。識別網(wǎng)絡(luò)環(huán)境中的文件的內(nèi)容的系統(tǒng)的改變可由計算參考值的新的單向函數(shù)的引入來觸發(fā),也可由識別文件的內(nèi)容的裝置的更新來觸發(fā)��。在該方法中�����,掃描網(wǎng)絡(luò)環(huán)境的剩余部分尋找利用單向函數(shù)計算的參考值可包含關(guān)于利用單向函數(shù)計算的參考值掃描網(wǎng)絡(luò)環(huán)境的剩余部分�,在預(yù)定的日期之后產(chǎn)生所述參考值。所述預(yù)定的日期可和為其進行所述改變的病毒或惡意軟件的創(chuàng)建日期有關(guān)��。所述將內(nèi)容屬性發(fā)送給包含該文件的每個本地計算設(shè)備可包含利用存儲的數(shù)據(jù)庫識別包含該文件的每個本地計算設(shè)備�����,并將內(nèi)容屬性發(fā)送給所述識別的本地計算設(shè)備�����。該方法還可被用于只在網(wǎng)絡(luò)環(huán)境的剩余部分掃描部分散列密鑰��,例如���,在某一日期之后其內(nèi)容被識別的文件的散列密鑰,以使待執(zhí)行的操作最小化�。可從內(nèi)容屬性檢索以前的內(nèi)容識別的日期。對于未與所述網(wǎng)絡(luò)連接的每個所述識別的本地計算設(shè)備��,將內(nèi)容屬性發(fā)送給所述識別的本地計算設(shè)備可包含在等待列表中創(chuàng)建一個條目���,當該本地計算設(shè)備重新與網(wǎng)絡(luò)連接時�����,按照所述等待列表上的所述條目��,將內(nèi)容屬性發(fā)送給所述識別的本地計算設(shè)備��。如果具有對應(yīng)于所述參考值的所述文件的本地計算設(shè)備都沒有與網(wǎng)絡(luò)連接���,那么向所述網(wǎng)絡(luò)環(huán)境請求和所述參考值對應(yīng)的文件可包含在等待列表中創(chuàng)建一個條目,當該本地計算設(shè)備重新與網(wǎng)絡(luò)連接時�,按照所述條目向所述本地計算設(shè)備請求對應(yīng)于所述參考值的文件。所述方法還可包含識別內(nèi)容屬性是否對應(yīng)于不需要的內(nèi)容�����,如果是����,那么根據(jù)存儲在所述數(shù)據(jù)庫中的數(shù)據(jù)�����,識別最先將所述不需要的內(nèi)容引入網(wǎng)絡(luò)中的本地計算設(shè)備����。
參考值可以是散列值�����。識別內(nèi)容的裝置可以是防病毒檢查器裝置���,掃描成人內(nèi)容的裝置���,掃描自我宣傳廣告消息的裝置,或者掃描受版權(quán)保護信息的裝置����。根據(jù)所述內(nèi)容屬性在本地計算設(shè)備上觸發(fā)操作可包含用從網(wǎng)絡(luò)環(huán)境的剩余部分恢復(fù)的另一版本的文件替換本地計算設(shè)備上的文件,或者可包含用文件的在先版本的副本替換該文件����,或者可包含使該文件處于隔離狀態(tài)或者除去該文件�。
本發(fā)明還涉及一種當在網(wǎng)絡(luò)上執(zhí)行時�����,執(zhí)行任意上述方法的計算機程序產(chǎn)品����。本發(fā)明還涉及一種識別網(wǎng)絡(luò)環(huán)境中的文件的內(nèi)容的系統(tǒng)�����,所述網(wǎng)絡(luò)環(huán)境包含與包括一個中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接的至少一個本地計算設(shè)備�����,所述剩余部分包含一個存儲的數(shù)據(jù)庫�����,從而系統(tǒng)包含利用單向函數(shù)計算所述本地計算設(shè)備上的新文件的參考值的裝置��,將所述計算的參考值傳送給所述中心基礎(chǔ)結(jié)構(gòu)的裝置�,和比較所述計算的參考值與來自數(shù)據(jù)庫的先前存儲的參考值的裝置。系統(tǒng)還包含根據(jù)所述計算的參考值與先前存儲在所述剩余部分內(nèi)的參考值的比較�,確定新文件的內(nèi)容是否已被識別的裝置,位于中心基礎(chǔ)結(jié)構(gòu)上���,如果新文件還未被識別����,那么識別新文件的內(nèi)容,以便分配內(nèi)容屬性的裝置�����,將所述內(nèi)容屬性存儲在所述剩余部分內(nèi)的裝置����,根據(jù)所述新文件的內(nèi)容屬性,在所述本地計算設(shè)備上觸發(fā)操作的裝置��。
在根據(jù)本發(fā)明的系統(tǒng)中�,識別文件的內(nèi)容的裝置可包含在所述中心基礎(chǔ)結(jié)構(gòu)上的防病毒檢查器裝置。此外����,將新文件的副本存儲在所述剩余部分內(nèi)的裝置。識別文件的內(nèi)容的裝置可包括掃描成人內(nèi)容的裝置��,掃描自我宣傳廣告消息的裝置和掃描受版權(quán)保護信息的裝置中的一個或多個��。
本發(fā)明還涉及一種存儲計算機程序產(chǎn)品的機器可讀數(shù)據(jù)存儲設(shè)備,當在網(wǎng)絡(luò)上執(zhí)行時�,所述計算機程序產(chǎn)品執(zhí)行任意的上述方法。此外�����,本發(fā)明還涉及執(zhí)行任意上述方法的計算機程序產(chǎn)品的傳輸���。
在附隨的獨立權(quán)利要求和從屬權(quán)利要求中陳述了本發(fā)明的特殊的優(yōu)選方面。從屬權(quán)利要求的特征可和獨立權(quán)利要求的特征組合�����,并且可恰當?shù)嘏c其它從屬權(quán)利要求的特征組合����,并且僅僅如權(quán)利要求中明確陳述的那樣。
雖然一直存在數(shù)據(jù)文件的病毒掃描和內(nèi)容識別的方法的不斷改進��,變化和發(fā)展����,不過本發(fā)明的原理代表相當新穎的改進,包括違反現(xiàn)有實踐的改進����,從而提供了這種性質(zhì)的更高效����、穩(wěn)定和可靠的方法����。
結(jié)合附圖,根據(jù)下面的詳細說明�,本發(fā)明的這些和其它特性、特征和優(yōu)點將變得明顯��,附圖舉例圖解說明了本發(fā)明的原理�����。下面的說明只是出于舉例說明的目的�,而不是對本發(fā)明范圍的限制。下面引用的附圖標記參見附圖��。
圖1是計算機網(wǎng)絡(luò)的示意圖����。
圖2是中心基礎(chǔ)結(jié)構(gòu)及其基本軟件組件的示意圖。
圖3是本地代理驅(qū)動內(nèi)容識別處理的示意圖�。
圖4是元數(shù)據(jù)庫驅(qū)動的內(nèi)容識別處理的示意圖。
圖5是內(nèi)容防火墻系統(tǒng)和方法可應(yīng)用于的計算機網(wǎng)絡(luò)的示意圖。
在不同的附圖中�,相同的附圖標記表示相同或相似的部件。
具體實施例方式
下面將關(guān)于特定的實施例�����,并參考
本發(fā)明���,但是本發(fā)明并不局限于此,相反本發(fā)明只由權(quán)利要求限定��。描述的附圖只是示意性的�,而不是對本發(fā)明的限制。附圖中���,出于圖解說明的目的�����,一些部件的尺寸可能被放大�����,未按比例繪制�����。在說明書和權(quán)利要求中使用術(shù)語“包含”的地方�,并不排除其它部件或步驟。
此外�����,說明書和權(quán)利要求中的術(shù)語第一�����、第二����、第三等用于區(qū)分相似的部件,并不一定描述時序順序或先后順序����。顯然在恰當?shù)那闆r下,這樣使用的術(shù)語是可互換的����,并且這里描述的本發(fā)明的實施例能夠按照不同于這里描述或圖解說明的其它順序操作。
本說明中�,術(shù)語“文件”�、“程序”�����、“計算機文件”��、“計算機程序”��、“數(shù)據(jù)文件”和“數(shù)據(jù)”可互換使用�,按照使用的語境,任何一種使用可意味著其它術(shù)語�����。術(shù)語“散列”和“散列法”將被用作單向函數(shù)的應(yīng)用例子��,但是本發(fā)明并不局限于特定形式的單向函數(shù)����。
術(shù)語“計算設(shè)備”應(yīng)被廣泛理解成包括能夠進行計算和/或執(zhí)行算法的任何設(shè)備�����。計算設(shè)備可以是膝上型計算機�����、工作站、個人計算機�����、PDA����、智能電話機、路由器�、網(wǎng)絡(luò)打印機或者具有處理器并且能夠與網(wǎng)絡(luò)連接的任何其它設(shè)備,比如傳真設(shè)備或復(fù)印機��,或者任何專用電子設(shè)備��,比如所謂的“硬件防火墻”或調(diào)制解調(diào)器中的任意一個����。
通過識別網(wǎng)絡(luò)中的每個新文件的內(nèi)容,保護和控制網(wǎng)絡(luò)的方法和系統(tǒng)可用在任何類型的網(wǎng)絡(luò)上�。所述網(wǎng)絡(luò)可以是專用網(wǎng)絡(luò),所述專用網(wǎng)絡(luò)可以是虛擬專用網(wǎng)�����,局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。所述網(wǎng)絡(luò)也可以在公共廣域網(wǎng)��,例如因特網(wǎng)的一部分內(nèi)����。如果使用公共廣域網(wǎng)的一部分,那么這可通過由服務(wù)提供商使用ASP或XSP商業(yè)模型����,遠程提供用于識別每個文件的內(nèi)容的方法和系統(tǒng)來實現(xiàn),其中向操作本地計算設(shè)備的付費客戶提供中心基礎(chǔ)結(jié)構(gòu)����。圖1中表示了例證的網(wǎng)絡(luò)10,圖1表示了幾個本地計算設(shè)備50a�、50b�、...、50i和一個中心基礎(chǔ)結(jié)構(gòu)100����,也稱為服務(wù)器。對于根據(jù)本發(fā)明的保護和控制網(wǎng)絡(luò)10的方法來說�,與網(wǎng)絡(luò)10連接的本地計算設(shè)備50的數(shù)目沒有限制。在商業(yè)環(huán)境中�����,本地計算設(shè)備50的數(shù)目一般從幾個到幾百個。識別存在于網(wǎng)絡(luò)10中的每個新文件的內(nèi)容的方法和系統(tǒng)可和許多不同的操作系統(tǒng)�,比如Microsoft DOS,Apple Macintosh OS�����、OS/2�����、Unix���、DataCenter-Technologies′操作系統(tǒng)...一起使用��。
為了提供保護并確定文件的內(nèi)容標識的快速方法�����,根據(jù)本發(fā)明的方法和系統(tǒng)將確定存在于本地計算設(shè)備50上的新文件的散列值��,將它們和中心服務(wù)器上的先前存儲的散列值和文件信息進行比較���,并利用中心基礎(chǔ)結(jié)構(gòu)100上的內(nèi)容識別引擎確定對網(wǎng)絡(luò)10來說新的文件的內(nèi)容�����。描述新文件的內(nèi)容的內(nèi)容屬性隨后被發(fā)送給本地計算設(shè)備50��,在本地計算設(shè)備50進行恰當?shù)牟僮?。?nèi)容屬性也可不被發(fā)送給本地計算設(shè)備50���,而是從中心基礎(chǔ)結(jié)構(gòu)100觸發(fā)恰當?shù)牟僮?�。新文件一般是其中已在本地計算設(shè)備50上產(chǎn)生新內(nèi)容���,或者當收到外部文件時的文件。措詞“文件”可以指的是數(shù)據(jù)���,以及應(yīng)用軟件(也稱為軟件)�����。
通過將文件或數(shù)據(jù)發(fā)送給中心基礎(chǔ)結(jié)構(gòu)100,在中心基礎(chǔ)結(jié)構(gòu)100檢查文件或數(shù)據(jù)�,或者通過本地共享文件或數(shù)據(jù),以致中心基礎(chǔ)結(jié)構(gòu)100能夠遠程識別文件或數(shù)據(jù)的內(nèi)容�,可完成文件或數(shù)據(jù)的內(nèi)容的識別����。所述共享可在安全環(huán)境中實現(xiàn)�����。所述共享可局限于具有所述文件或數(shù)據(jù)的本地計算設(shè)備50和中心基礎(chǔ)結(jié)構(gòu)100之間���。
中心基礎(chǔ)結(jié)構(gòu)100包含數(shù)據(jù)庫�����,也稱為元數(shù)據(jù)庫110�����,元數(shù)據(jù)庫110包含為已存在于本地計算設(shè)備50之一上的文件計算的每個散列值的記錄���。除了散列值之外,該記錄還包含許多其它字段��。在這些字段中��,存儲文件源信息。對應(yīng)于特定散列值的文件源信息包括文件名���,對應(yīng)于該散列值的文件所駐留的本地計算設(shè)備50的列表�,包括在本地計算設(shè)備50的文件系統(tǒng)上到該文件的路徑���,以及最后的修改日期���。表1中給出了特定文件的文件源信息的一個例子。
表1在另一字段���,存儲識別由文件封閉的內(nèi)容的類型的內(nèi)容屬性的列表��。所述內(nèi)容屬性可以指的是例如(但不限于)包含病毒的文件���,受版權(quán)保護的MP3音頻文件,受版權(quán)保護的視頻文件���,為圖片的文件�����,為可能包含成人內(nèi)容的圖片的文件��,為自我宣傳廣告消息(SPAM)的文件�,為HOAX的文件���,包含直率抒情詩的文件�,或者包含多條可執(zhí)行代碼的文件��。
中心基礎(chǔ)結(jié)構(gòu)100還包含內(nèi)容識別引擎120��。內(nèi)容識別引擎120可以是使用文件的內(nèi)容來確定該文件包含何種內(nèi)容的應(yīng)用軟件130或者一組應(yīng)用軟件130a��、130b���、130c��、130d...��。這些應(yīng)用軟件可以是各種各樣的-病毒掃描器這是一種掃描存在的文件的內(nèi)容���,并將其與病毒的已知指紋的數(shù)據(jù)庫進行比較的軟件。它可以是常規(guī)的病毒掃描軟件��,例如Symantec Corporation的Norton anti-virus����,Network AssociatesTechnologies Inc.的McAfee�,Trend Micro的PC-cillin�����,Kaspersky Lab的Kapersky Anti-Virus����,F(xiàn)-Secure Corporation的F-secureAnti-Virus...。
-圖片中的成人內(nèi)容掃描器它是一種關(guān)于可能代表成人內(nèi)容的陰影��、色彩����、紋理的存在,掃描所存在文件的內(nèi)容的軟件����。關(guān)于成人內(nèi)容掃描圖片已為人們所知。成人內(nèi)容可由例如所顯示的裸體的數(shù)量確定���。膚色具有在特定范圍中的色調(diào)飽和值���。于是��,如果圖像被掃描����,那么能夠確定具有膚色特征的像素的數(shù)量�,并將其和像素的總數(shù)進行比較��。膚色像素與像素總數(shù)的比值允許確定圖像中可能的成人內(nèi)容的比例���。通常引入閾值�����,以致能夠按照圖像的可能成人內(nèi)容對圖像分類�����。按照類似的方式���,視頻圖像可被分類,從而視頻被分成其不同的幀���,其中按照上述方法對圖像分類���。
-因特網(wǎng)內(nèi)容分級的掃描器它是一種根據(jù)PICS����,即因特網(wǎng)內(nèi)容選擇平臺標記系統(tǒng)關(guān)于成人內(nèi)容掃描對象的軟件�����?;谧栽傅兀蛱鼐W(wǎng)內(nèi)容提供商可提供具有確定因特網(wǎng)對象中的成人內(nèi)容的PICS分級的因特網(wǎng)對象�����。PICS分級被存儲在對象的元數(shù)據(jù)中����。因特網(wǎng)對象的觀看者一般看不到該數(shù)據(jù)。分級系統(tǒng)眾所周知�,在Netscape網(wǎng)絡(luò)瀏覽器中提供了因特網(wǎng)內(nèi)容分級的掃描器的一個例子,用于掃描網(wǎng)頁的內(nèi)容��。
-關(guān)于可能指示成人內(nèi)容的直率抒情詩掃描對象的掃描器��。已知該掃描器可用于文本文件和音頻文件����。音頻文件首先被轉(zhuǎn)換成文本文件�����。隨后�����,掃描文本文件,并將其與包含直率抒情詩的數(shù)據(jù)庫進行比較���。
-SPAM引擎這是一種關(guān)于所謂的SPAM的存在掃描電子郵件消息的內(nèi)容的軟件����。識別SPAM范圍的算法已知�����。這些算法一般基于分解電子郵件消息中的文本����,利用統(tǒng)計分析程序?qū)⒔y(tǒng)計信息和文本聯(lián)系起來,并使神經(jīng)網(wǎng)絡(luò)引擎與統(tǒng)計分析程序耦接����,從而根據(jù)統(tǒng)計指示符識別不需要的消息���。
可在內(nèi)容識別引擎120中使用的應(yīng)用軟件的其它例子是,例如掃描受版權(quán)保護的內(nèi)容的引擎���,比較文件的內(nèi)容與受版權(quán)保護信息的數(shù)據(jù)庫的引擎等��。在一些采用中��,操作人員可扮演內(nèi)容識別引擎120的角色�����,他用內(nèi)容識別屬性手動標記文件���。當內(nèi)容識別引擎120被激活時,它將將來自本地代理的文件作為輸入�,并產(chǎn)生代表所檢測的內(nèi)容的一組屬性。
內(nèi)容識別引擎120還允許檢查本地計算設(shè)備50上的數(shù)據(jù)是否遵守網(wǎng)絡(luò)上或者這些本地計算設(shè)備50上的許可數(shù)據(jù)的規(guī)則���。對于不同的本地計算設(shè)備50來說�,這些規(guī)則可以不同����。
從而����,內(nèi)容識別引擎120將被構(gòu)造成集合一組第三方引擎的功能的一種軟件�。
在本發(fā)明的另一實施例中,描述了根據(jù)上述實施例的一種系統(tǒng)和方法�,從而和存儲在元數(shù)據(jù)庫110中的特定散列值對應(yīng)的記錄還包含一個字段,該字段存儲和所述散列值對應(yīng)的文件在中心基礎(chǔ)結(jié)構(gòu)100上的位置�。在該實施例中,存在于網(wǎng)絡(luò)10中的本地計算設(shè)備50上的所有不同文件的副本可被存儲在中心基礎(chǔ)結(jié)構(gòu)100上�。從而,該實施例的中心基礎(chǔ)結(jié)構(gòu)100還可包括大量的存儲空間�。這最好是中心基礎(chǔ)結(jié)構(gòu)100的安全部分�,并不直接與網(wǎng)絡(luò)10連接,以致在本地計算設(shè)備50上的文件被例如病毒破壞的情況下�,可以使用存在于本地計算設(shè)備50上的文件的同樣副本。
利用散列函數(shù)計算文件的散列值�����。散列函數(shù)一般是單向函數(shù)����,即����,在已知摘要的情況下�,至少在計算上禁止重構(gòu)初始數(shù)據(jù)?���?梢允褂貌煌愋偷纳⒘泻瘮?shù)均可從RSA Data Security Inc.獲得的MD5,SHA-1或ripemd���,在Wollongong大學設(shè)計的haval����,為Xerox安全散列函數(shù)的snefru等�。最經(jīng)常使用的散列函數(shù)是MD5和SHA-1。MD5算法將任意長度的消息用作輸入���,并產(chǎn)生輸入的128位“指紋”或“消息摘要”作為輸出��。推測在計算上不可能產(chǎn)生具有相同消息摘要的兩條消息�����,或者不可能產(chǎn)生具有已知的預(yù)先指定的目標消息摘要�����。MD5算法供數(shù)字簽名應(yīng)用之用�����,在數(shù)字簽名應(yīng)用中���,在按照公鑰密碼系統(tǒng)用私鑰加密之前����,大型文件必須按照保密方式‘壓縮’���。MD5算法被設(shè)計成在32位機器上相當快速�����。另外,MD5算法不需要任何大的替換表��;該算法可被相當緊湊地編碼��。備選的散列函數(shù)SHA-1,即安全散列算法-1是一種產(chǎn)生160位散列的散列算法��。這種算法的較新版本還提供256和512的位長度�。
在上面提及的描述保護和/或控制網(wǎng)絡(luò)10的方法和系統(tǒng)的實施例中,本地代理被安裝在本地計算設(shè)備50上�����。本地代理是一種在本地計算設(shè)備50上運行����,并且執(zhí)行某些算法和程序的軟件。本地計算設(shè)備50上的本地代理一般在本地計算設(shè)備50上產(chǎn)生新內(nèi)容的情況下被觸發(fā)���。為了避免不必要的散列值計算和數(shù)據(jù)傳送����,建立一種確定哪些操作將觸發(fā)本地代理��,哪些操作不觸發(fā)本地代理的策略����。例如,如果正在創(chuàng)建文本文檔�,那么每次存儲該文檔時,必須檢查該文件。關(guān)于這種文檔的策略最好應(yīng)是如果文件被存儲和關(guān)閉���,那么檢查文檔����?���?捎|發(fā)本地代理,從而啟動內(nèi)容識別處理的操作的一些例子是打開或接收電子郵件消息����,打開或接收電子郵件附件,運行可執(zhí)行文件�����,運行具有.dll或.pif擴展名的文件...���。從而應(yīng)用該策略允許避免文檔的連續(xù)檢查和掃描�,導(dǎo)致不必要的散列計算和內(nèi)容識別操作的數(shù)目的限制�,從而限制CPU時間的不必要使用和網(wǎng)絡(luò)通信量方面的負荷�����。內(nèi)容識別的方法和系統(tǒng)并不因產(chǎn)生文件的應(yīng)用的類型而受到限制。
內(nèi)容識別處理可由本地計算設(shè)備50上的本地代理觸發(fā)��,或者可由中心基礎(chǔ)結(jié)構(gòu)100觸發(fā)�����。一般在新的算法或工具被用于內(nèi)容識別的情況下發(fā)生后一種處理����。這樣的新算法或工具可以是優(yōu)化的算法和工具,或者是先前未安裝的工具�。這些工具的一些例子(并不局限于這些功能)可以是病毒檢查,檢查文件是否是受版權(quán)保護的MP3音頻文件�,檢查文件是否是受版權(quán)保護的視頻文件,檢查文件是否是可能包含成人內(nèi)容的圖片�,檢查文件是否被標記為SPAM或HOAX,檢查文件是否包含直率的抒情詩���,或者檢查文件是否包含受版權(quán)保護的多條可執(zhí)行代碼����。這些工具的更新可能影響文件的狀態(tài)��,從而原則上影響元數(shù)據(jù)庫110中的對應(yīng)記錄。于是��,根據(jù)內(nèi)容識別裝置120的更新的類型�����,更新對應(yīng)記錄是有意思的��。
在一個具體實施例中�,該方法涉及一種網(wǎng)絡(luò)環(huán)境的病毒檢查器?�?蓱?yīng)用這種方法的網(wǎng)絡(luò)10和關(guān)于先前的實施例描述的網(wǎng)絡(luò)10相同���。本地代理計算本地計算設(shè)備50上的新文件的散列值���。該新文件可包含在本地計算設(shè)備50上產(chǎn)生的新內(nèi)容,或者在本地計算設(shè)備50上接收的外部文件�����。新文件的散列值和對應(yīng)文件信息隨后被發(fā)送給中心基礎(chǔ)結(jié)構(gòu)100�,也稱為服務(wù)器,在中心基礎(chǔ)結(jié)構(gòu)100�����,將其與先前存儲的和已存在于網(wǎng)絡(luò)10的不同本地計算設(shè)備50上的文件對應(yīng)的散列值進行比較�。這種比較允許檢查在整個網(wǎng)絡(luò)10中,該文件是否是新的����。另一方面,可首先將該散列值和對應(yīng)于存在于特定本地計算設(shè)備50上的文件的散列值和文件信息的本地數(shù)據(jù)庫進行比較�,隨后,如果發(fā)現(xiàn)該文件還未存在于本地計算設(shè)備50上���,那么可與中心基礎(chǔ)結(jié)構(gòu)100交換所述散列值和對應(yīng)文件信息�,以致可檢查在整個網(wǎng)絡(luò)10中���,該文件是否是新的��。雖然對于常規(guī)的中心病毒檢查器來說�,傳送每個新文件的文件信息和散列值只對應(yīng)于網(wǎng)絡(luò)通信量的很小一部分�,但是這種備選方案可進一步減少用于病毒檢查的網(wǎng)絡(luò)通信量。如果散列值被識別為在網(wǎng)絡(luò)10上是新的����,那么元數(shù)據(jù)庫代理觸發(fā)本地代理����,將和新的散列值對應(yīng)的文件從本地計算設(shè)備50傳送給中心基礎(chǔ)結(jié)構(gòu)100���??砂凑瞻踩姆绞竭M行文件的傳輸��,即���,該文件被這樣傳送�,以致它不可能受存在于網(wǎng)絡(luò)連接上的病毒影響���,或者以致如果它包含一個病毒�,那么該病毒不能在整個網(wǎng)絡(luò)10內(nèi)擴散��。為此���,可以使用已知的安全傳輸路由���,隧道和/或已知的會話加密/解密技術(shù)。在一個備選實施例中��,文件或數(shù)據(jù)可相對于中心基礎(chǔ)結(jié)構(gòu)被共享,病毒檢查裝置可遠程檢查該文件或數(shù)據(jù)�����。在中心基礎(chǔ)結(jié)構(gòu)100上安裝和更新的常規(guī)病毒檢查器隨后關(guān)于病毒檢查該文件����。所述病毒檢查器可以是任何常規(guī)的病毒檢查器��,例如Symantec Corporation的Norton anti-virus���,Network AssociatesTechnologies Inc.的McAfee��,Trend Micro的PC-cillin�,Kaspersky Lab的Kapersky Anti-Virus�,F(xiàn)-Secure Corporation的F-secureAnti-Virus...。
本發(fā)明中的上述實施例的一個具體優(yōu)點在于不必在每個本地代理更新病毒掃描軟件���,相反這只限于中心基礎(chǔ)結(jié)構(gòu)100的病毒掃描軟件的更新����。這樣�,網(wǎng)絡(luò)10的安全級別被顯著提高�,因為安全性并不依賴于網(wǎng)絡(luò)10的不同用戶更新他們的病毒掃描軟件的準時性�����。如果被掃描的文件沒有任何病毒���,那么在元數(shù)據(jù)庫110中��,它將被標記成無病毒文件�����。如果在文件中發(fā)現(xiàn)一個病毒�,那么該文件將被標記成危險的�。將對元數(shù)據(jù)庫110進行查詢,以找出網(wǎng)絡(luò)10內(nèi)具有相同的被破壞的散列密鑰的所有文件�。其結(jié)果是文件和路徑,以及該文件所位于的assetname的列表�����。該信息可被用于進行從整個網(wǎng)絡(luò)10消除發(fā)現(xiàn)的病毒在所有本地計算設(shè)備50����,即所有工作站上的危害的操作��。這樣����,能夠根據(jù)對第一本地計算設(shè)備50的病毒檢測�,對其它本地計算設(shè)備50進行主動病毒掃描。根據(jù)關(guān)于病毒檢查定義的策略���,病毒引擎將通知安裝在受感染的系統(tǒng)上的代理除去該文件,如果可能的話����,用由位于中心基礎(chǔ)結(jié)構(gòu)100上的病毒引擎?zhèn)魉偷幕謴?fù)版本,或者還不具有病毒的在先版本文件替換�。通過關(guān)于該文件的在先版本搜索元數(shù)據(jù)庫易于實現(xiàn)后者,或者通過在另一本地計算設(shè)備50上搜索未感染的版本來實現(xiàn)��。如果不能從另一本地計算設(shè)備50或者駐留在中心基礎(chǔ)結(jié)構(gòu)100上的元數(shù)據(jù)庫檢索未感染的版本�,那么病毒掃描器應(yīng)具有允許它將文件的新的已消毒副本存儲在中心基礎(chǔ)結(jié)構(gòu)100上的特征。對于其它內(nèi)容識別程序包來說���,也存在這些優(yōu)點���。
在一個備選實施例中�����,如果具有新的散列值的文件在網(wǎng)絡(luò)10中已被識別�����,那么該文件可被自動本地共享�����,隨后遠程檢查器可傳送允許通過利用文件共享��,跨越網(wǎng)絡(luò)10檢查該文件的文件系統(tǒng)��,而不是將該文件傳送給中心基礎(chǔ)結(jié)構(gòu)��。內(nèi)容標記仍然由服務(wù)器進行�。為了提高安全性���,對共享文件的可訪問性局限于服務(wù)器���。此外�����,java小程序可被傳送給本地代理��,以允許檢查其它文件���。
前面的實施例是對通過網(wǎng)絡(luò)10掃描本地計算設(shè)備50的中心病毒檢查器的改進。只有當本地驅(qū)動器��,例如C\���,D\��,...被共享時,這才是可能的���。除了共享在安全性方面的危險之外�,本地用戶能夠容易地改變本地共享性質(zhì)��,從而防止遠程檢查器檢查文件�����。本發(fā)明至少部分避免了這種情況,因為改變網(wǎng)絡(luò)10共享性質(zhì)不會影響計算新文件的散列值���,并將其發(fā)送給中心基礎(chǔ)結(jié)構(gòu)100的操作��。
另一優(yōu)點在于本發(fā)明節(jié)省了本地計算設(shè)備50上的CPU時間�,因為CPU不必持續(xù)進行病毒檢查����,CPU只需要計算單向函數(shù)。本發(fā)明還節(jié)省了網(wǎng)絡(luò)時間管理服務(wù)器不必利用病毒更新�,更新本地計算設(shè)備50上的病毒檢查器,因為只使用和更新單一的中心病毒檢查器��。
圖3表示了根據(jù)上面提及的實施例�,由本地計算設(shè)備50上的本地代理觸發(fā)的內(nèi)容識別處理的方法200。下面討論在該處理中�,在本地計算設(shè)備50和在中心基礎(chǔ)結(jié)構(gòu)100上發(fā)生的不同步驟。
內(nèi)容識別處理建立在本地代理對本地計算設(shè)備50上的新數(shù)據(jù)或應(yīng)用的不斷掃描上����。對數(shù)據(jù)和應(yīng)用的掃描受確定何時應(yīng)觸發(fā)本地代理的策略規(guī)則限制,如上所述���。如果檢測到“新”文件���,那么啟動通過新文件的內(nèi)容識別��,保護和控制網(wǎng)絡(luò)10的方法���。這是步驟210。方法200隨后進入步驟212���。
在步驟212���,利用散列函數(shù),比如MD5或SHA-1計算“新”文件的散列值����。通過利用本地計算設(shè)備的一些CPU時間進行該計算。然而����,使用的CPU時間的數(shù)量顯著少于如果使用常規(guī)的病毒檢查器來檢查本地計算設(shè)備50上的文件所需的CPU時間����。方法200隨后進入步驟214。
在步驟214���,散列值和文件源信息從本地代理被傳送給網(wǎng)絡(luò)10的中心基礎(chǔ)結(jié)構(gòu)100����。如果需要的話,這種傳送可以是安全傳送�����,從而避免在該數(shù)據(jù)的傳送過程中���,位于網(wǎng)絡(luò)連接上的病毒改變文件源信息或散列密鑰��?���?赏ㄟ^已知的安全傳輸路由����,經(jīng)由隧道,或者利用已知會話加密/解密技術(shù)來實現(xiàn)這種安全傳輸���。
在步驟216��,比較散列值和已存在于元數(shù)據(jù)庫110中的數(shù)據(jù)���。因為在元數(shù)據(jù)庫110中�����,存儲了存在于網(wǎng)絡(luò)10中的所有舊文件-即如前所述����,已存在于網(wǎng)絡(luò)10上����,并且不是“新的”每個文件的散列值和文件源信息,因此能夠檢查該文件是否已存在于網(wǎng)絡(luò)10中��。于是���,如果該散列值被識別為新的����,那么這意味著對于整個網(wǎng)絡(luò)10來說�,該文件是“新的”。如果該文件是新的��,那么方法200進入步驟218���。如果該散列值不是新的����,那么這意味著該文件已存在于網(wǎng)絡(luò)10中的本地計算設(shè)備50上的某處��。這種情況下���,已存在描述該文件的內(nèi)容的內(nèi)容屬性��。方法200隨后進入步驟224���。
在步驟218中,元數(shù)據(jù)庫代理觸發(fā)本地代理��,將和新的散列值對應(yīng)的文件從本地計算設(shè)備50傳送給中心基礎(chǔ)結(jié)構(gòu)100��??砂凑瞻踩姆绞竭M行該文件的傳送,即����,文件可被這樣傳送,以致它不能被存在于網(wǎng)絡(luò)連接上的病毒影響����,或者以致如果該文件包含病毒�����,那么該病毒不能在整個網(wǎng)絡(luò)10內(nèi)擴散��。為此���,可使用已知的安全傳輸路由,隧道和/或已知的會話加密/解密技術(shù)�。方法200隨后進入步驟220。
在步驟220�����,該文件被裝入內(nèi)容識別引擎120中��,該文件被處理�����。對于該處理��,使用中心基礎(chǔ)結(jié)構(gòu)100的CPU時間。如前所述���,內(nèi)容識別引擎120可包含常規(guī)的病毒檢查器,檢查圖片信息的裝置����,檢查SPAM的裝置等。這可以是重復(fù)的操作�,在該重復(fù)的操作中,輪流調(diào)用多個內(nèi)容識別引擎��。方法200隨后進入步驟222�����。
在步驟222中����,對于該文件,確定識別文件內(nèi)容的內(nèi)容屬性�����。這些內(nèi)容屬性隨后被存儲在元數(shù)據(jù)庫110中�,從而允許識別該文件的狀態(tài),如果在未來的操作中,在另一本地計算設(shè)備50上認為該文件是“新的”的話�����。方法200隨后進入步驟224���。根據(jù)所使用的實施例�,下一步驟可包括將文件存儲在中心基礎(chǔ)結(jié)構(gòu)100上����,并將到該文件的路徑添加到元數(shù)據(jù)庫110。圖3中未示出該步驟�。
在步驟224中,內(nèi)容屬性被發(fā)送給本地代理��。根據(jù)該內(nèi)容屬性�,本地代理按照關(guān)于這些內(nèi)容屬性設(shè)定的策略規(guī)則,執(zhí)行恰當?shù)牟僮?���。這在步驟226中進行。所述恰當?shù)牟僮骺梢允抢缛绻募桓腥?�,那么刪除該文件����,用未被感染的在先版本替換該文件��,...�����。在一個具體實施例中,基于策略規(guī)則的恰當操作的執(zhí)行由元數(shù)據(jù)庫110的代理觸發(fā)��,以致可消除步驟224�。
內(nèi)容策略是根據(jù)內(nèi)容識別引擎120確定的內(nèi)容屬性,確定應(yīng)對文件進行什么操作的策略���。內(nèi)容策略可包含各種操作���,比如刪除文件,刪除文件并且用在先版本代替該文件���,將文件復(fù)制到另一計算設(shè)備上同時在始發(fā)計算設(shè)備上保留副本���,將文件轉(zhuǎn)移到另一計算設(shè)備上同時刪除始發(fā)計算設(shè)備上的原始文件,記錄文件的存在�,改變文件的屬性����,比如隱藏該文件或者使之只讀�,使文件不可讀,使文件不可執(zhí)行等�����。例如當從中心基礎(chǔ)結(jié)構(gòu)100收到內(nèi)容屬性時�����,內(nèi)容策略將由本地代理執(zhí)行��。用于該代理的內(nèi)容策略將由該代理從中心策略基礎(chǔ)結(jié)構(gòu)下載到本地計算設(shè)備50�。
圖4表示了根據(jù)上面提及的實施例,由內(nèi)容識別引擎120觸發(fā)的內(nèi)容識別處理的方法300����。下面討論在該處理的過程中,在本地計算設(shè)備50上和在中心基礎(chǔ)結(jié)構(gòu)100上發(fā)生的不同步驟�����。
一般在新算法或工具被用于內(nèi)容識別的情況下�,使用該處理�����。這樣的新算法或工具可以是優(yōu)化的算法和工具����,或者先前未安裝的工具����。如前所述,這可由下述策略管理內(nèi)容識別處理的觸發(fā)可由正被用于內(nèi)容識別的新算法和工具的類型確定���。
方法300由內(nèi)容識別引擎120的改變來啟動,例如通過向內(nèi)容識別引擎120提供新算法或工具��。一個典型的例子是在病毒或惡意數(shù)據(jù)已被產(chǎn)生��,病毒或惡意數(shù)據(jù)已被識別和將在病毒檢查器或內(nèi)容識別裝置中使用的指紋被產(chǎn)生之后��,立即更新在病毒檢查器或內(nèi)容識別裝置中使用的指紋數(shù)據(jù)庫�����。由于在病毒的生成和病毒檢查器或內(nèi)容識別裝置能夠檢測病毒或惡意數(shù)據(jù)的時間之間存在相當長的一段時間��,其間網(wǎng)絡(luò)不安全,因此具有允許按照有效方式的主動檢查��,即在該時間間隔中產(chǎn)生的文件的檢查的系統(tǒng)是有利的�����。在常規(guī)的系統(tǒng)中����,整個網(wǎng)絡(luò)一般需要被重新掃描,需要大量的CPU時間和網(wǎng)絡(luò)帶寬����,或者使系統(tǒng)處于不安全狀態(tài)。
當觸發(fā)時����,在方法300的第一步驟302中,掃描元數(shù)據(jù)庫110�����,尋找和散列密鑰對應(yīng)的散列值����。方法300隨后進入步驟304�。
在步驟304�,請求和散列密鑰對應(yīng)的文件??梢韵蛑行幕A(chǔ)結(jié)構(gòu)100上的中心存儲器請求該文件,或者可向本地計算設(shè)備50請求該文件�。本地計算設(shè)備50隨后允許中心基礎(chǔ)結(jié)構(gòu)100上傳對應(yīng)的文件。到和該散列值對應(yīng)的文件的路徑可從與每個散列值對應(yīng)的記錄獲得���。如果所述記錄存儲均對應(yīng)于所述對應(yīng)文件的副本的不同路徑�,那么中心基礎(chǔ)結(jié)構(gòu)100上的代理通過例如掃描在所述記錄中列舉的路徑�����,直到找到此時與網(wǎng)絡(luò)10連接���,并且允許文件的上傳的本地計算設(shè)備50為止,檢索該文件的一個副本�。方法300隨后進入步驟306。
一旦該文件被檢索���,那么該文件被發(fā)送給內(nèi)容識別引擎120�����。這在步驟306中進行����。升級的內(nèi)容識別引擎120隨后掃描文件的內(nèi)容,并產(chǎn)生和文件對應(yīng)的內(nèi)容屬性�。方法300隨后進入步驟308。
在步驟308中�����,內(nèi)容屬性被存儲在元數(shù)據(jù)庫110中���,以允許未來的安全步驟立即識別文件的內(nèi)容��。方法300隨后進入步驟310���。
在步驟310中,內(nèi)容屬性被發(fā)送給駐留在存儲對應(yīng)文件的本地計算設(shè)備50之上的每個本地代理��。路徑可在存儲于元數(shù)據(jù)庫110中的對應(yīng)散列密鑰的記錄中找到�。在該步驟中,內(nèi)容屬性被發(fā)送給在對應(yīng)散列密鑰的記錄中提及其路徑的每個文件���。如果在檢查時�����,本地計算設(shè)備50未與網(wǎng)絡(luò)連接����,即從網(wǎng)絡(luò)斷開,那么可創(chuàng)建等待列表���,以便一旦該計算機與網(wǎng)絡(luò)連接����,就檢查必要的文件���。等待列表可在向某些文件提供內(nèi)容屬性的步驟中��,以及在請求文件以識別其內(nèi)容的步驟中創(chuàng)建���。該列表可由中心基礎(chǔ)結(jié)構(gòu)或者在位于網(wǎng)絡(luò)下游的本地分配點創(chuàng)建�����。當本地計算設(shè)備50是便攜式計算設(shè)備��,比如膝上型計算機時,尤其頻繁發(fā)生本地計算設(shè)備50的斷開��。按照這種方式��,也保證了可為網(wǎng)絡(luò)一部分的斷開的本地計算設(shè)備50的安全性��。方法300進入步驟312��。
在步驟312中��,對應(yīng)的本地計算設(shè)備50上的本地代理執(zhí)行隨本地計算設(shè)備50而不同的與內(nèi)容屬性相應(yīng)的策略����。
本發(fā)明的實施例的一個主要優(yōu)點在于對整個網(wǎng)絡(luò)10來說新的文件只需要被掃描一次。如果在另一本地計算設(shè)備50上����,使用、安裝�����、打開或存儲并關(guān)閉該文件的相同副本���,那么該文件將被中心基礎(chǔ)結(jié)構(gòu)100識別成為網(wǎng)絡(luò)10所知�,這樣,避免了重新檢查文件的內(nèi)容的需要����。如果本發(fā)明被用于具有大量本地計算設(shè)備50的網(wǎng)絡(luò)10,那么這特別有利���。
實施例的方法也可在具有一個中心基礎(chǔ)結(jié)構(gòu)100�,許多分配點���,和每個所述分配點的許多本地計算設(shè)備50的網(wǎng)絡(luò)上實現(xiàn)�����,所述分配點由一個計算設(shè)備構(gòu)成��。這樣����,至少部分處理步驟��,比如創(chuàng)建等待列表或者主動搜索可由在分配點的計算設(shè)備上的代理執(zhí)行�。分配點可對應(yīng)于網(wǎng)絡(luò)中物理隔離的區(qū)域。
當操作時�����,識別新文件的內(nèi)容的方法和系統(tǒng)可隨意包括定期檢查本地代理的‘心跳’���,即��,可檢查本地代理是否仍然在本地計算設(shè)備50上運行�。這能夠避免用戶本地關(guān)閉該代理���,從而使本地計算設(shè)備50易受攻擊��。如果本地代理已被關(guān)閉�����,那么可向網(wǎng)絡(luò)管理員發(fā)生警告�。此外�,可向本地計算設(shè)備50發(fā)送報警消息,從而向本地計算設(shè)備50的用戶報警�。網(wǎng)絡(luò)管理員還可使本地計算設(shè)備50處于隔離狀態(tài),以致它不能損害網(wǎng)絡(luò)10中的其它本地計算設(shè)備50���。此外����,中心代理還可嘗試重新運行本地代理。
按照類似的方式����,識別新文件的內(nèi)容的方法和系統(tǒng)可隨意地定期檢查本地計算設(shè)備50是否仍然與網(wǎng)絡(luò)10連接。如果本地計算設(shè)備50不再與網(wǎng)絡(luò)10連接�����,那么本地代理還可工作���,將新文件的散列密鑰存儲在等待列表中�,以便在網(wǎng)絡(luò)連接被恢復(fù)時立即被檢查�����。同時����,可使對應(yīng)的文件處于隔離狀態(tài),或者取決于文件的類型�,可防止文件被執(zhí)行����。
上面說明的實施例可被用作與外部網(wǎng)絡(luò)連接的不同計算設(shè)備的內(nèi)容防火墻����。對于每個輸入/輸出文件�����,輸入/輸出消息或者輸入/輸出數(shù)據(jù)幀����,內(nèi)容防火墻計算散列值,檢查它是否是新的���,檢查它是否關(guān)于特定的內(nèi)容被標記����,并強制執(zhí)行與所述特定內(nèi)容相關(guān)的策略�。
在另一實施例中,說明將本發(fā)明用作內(nèi)容防火墻的另一種結(jié)構(gòu)��。圖5中表示了其中可使用該方法和系統(tǒng)的計算機網(wǎng)絡(luò)的示意圖����。只有一個可重新配置的防火墻電子設(shè)備50����,比如可以采取專用可重新配置防火墻電子設(shè)備的形式的本地計算設(shè)備直接與外部網(wǎng)絡(luò)400�,比如因特網(wǎng)連接,剩余的本地計算設(shè)備410并不與外部網(wǎng)絡(luò)400直接連接����,而是聚集在網(wǎng)絡(luò)環(huán)境中,并且只通過它們與可重新配置的防火墻電子設(shè)備的連接�����,與外部網(wǎng)絡(luò)400連接�。外部網(wǎng)絡(luò)可以是可用的任何可能網(wǎng)絡(luò)。由可重新配置的防火墻電子設(shè)備50表示的內(nèi)容防火墻的目的是保護包含剩余的本地計算設(shè)備410的網(wǎng)絡(luò)環(huán)境免受起源于外部網(wǎng)絡(luò)中的地方和/或設(shè)備的攻擊�����?����?芍匦屡渲玫姆阑饓﹄娮釉O(shè)備50或者包含元數(shù)據(jù)庫的本地副本�����,或者它可使用到中心基礎(chǔ)結(jié)構(gòu)100的高速安全網(wǎng)絡(luò),它是內(nèi)部網(wǎng)絡(luò)的一部分���。這允許元數(shù)據(jù)庫內(nèi)的快速查詢�����。在操作中,起內(nèi)容防火墻作用的可重新配置的防火墻電子設(shè)備50執(zhí)行下述操作計算輸入文件或輸入消息或輸入數(shù)據(jù)幀的散列值���。隨后���,比較計算的散列值和元數(shù)據(jù)庫,所述元數(shù)據(jù)庫或者被本地存儲或者通過使用高速安全網(wǎng)絡(luò)����,確定輸入文件、輸入消息或輸入數(shù)據(jù)幀是否是新的�。此外,檢查該文件�、該消息或該數(shù)據(jù)幀是否關(guān)于特定內(nèi)容被標記。根據(jù)所述特定內(nèi)容�,強制執(zhí)行和所述特定內(nèi)容相關(guān)的策略���。所述策略可以是使其通過從而到達其最終目的地,丟下它�����,對其進行記錄�,或者使其處于隔離狀態(tài)等。該系統(tǒng)需要足夠的CPU計算能力�����,以便不使網(wǎng)速明顯減慢����。
在與網(wǎng)絡(luò)連接的本地計算設(shè)備都沒有裝備可拆卸設(shè)備,即��,允許在該設(shè)備上打開或執(zhí)行未掃描的內(nèi)容的情況下�����,這是一種非常安全并且可管理的設(shè)置��。
在本發(fā)明的另一實施例中,提供一種按照混雜模式將本發(fā)明用作內(nèi)容防火墻的類似結(jié)構(gòu)��。內(nèi)容防火墻從而查看經(jīng)過的所有通信量�,執(zhí)行散列和比較功能,并聯(lián)系代理以便強制執(zhí)行策略�。這種方法的優(yōu)點在于不存在單一的故障點,并且不再存在瓶頸��,此外��,在本地計算設(shè)備上沒有任何資源被用于計算散列值�。另外,不使用任何帶寬來聯(lián)系中心元數(shù)據(jù)庫����。缺點是本地代理需要被安裝在內(nèi)部網(wǎng)絡(luò)的所有計算設(shè)備上�����。
在不同的實施例中描述的方法和系統(tǒng)還可包括執(zhí)行識別或報告關(guān)于病毒或惡意數(shù)據(jù)的存在的輔助信息的步驟��。根據(jù)在元數(shù)據(jù)庫110中提供的信息��,能夠獲得病毒或惡意數(shù)據(jù)從其進入網(wǎng)絡(luò)的本地計算設(shè)備50的識別�。這可基于例如關(guān)于路徑和修改日期或生成日期的信息。此外,根據(jù)在元數(shù)據(jù)庫110中提供的信息���,例如文件類型����,可以獲得有關(guān)病毒如何工作的更多信息��。元數(shù)據(jù)庫還允許識別病毒或惡意數(shù)據(jù)是如何在網(wǎng)絡(luò)中擴散的�。這樣獲得的信息可被存儲和/或使用,以便進一步提高網(wǎng)絡(luò)的安全性��。如果為發(fā)生的許多事件存儲該信息�,那么可進行整體分析,例如統(tǒng)計分析�,指出網(wǎng)絡(luò)的安全性方面的弱點,即����,指出易受病毒或惡意數(shù)據(jù)攻擊的本地計算設(shè)備50。這可自動進行����。隨后可采取調(diào)整后的安全措施,例如執(zhí)行該本地計算設(shè)備的常規(guī)完全檢查����,或者只向該本地計算設(shè)備50提供對外部源�,例如因特網(wǎng)的有限訪問���。
在元數(shù)據(jù)庫中獲得的信息可被用于恢復(fù)目的����,因此當本地計算設(shè)備50發(fā)生故障時����,可從元數(shù)據(jù)庫獲得所有必需的信息,例如路徑文件�。當本地計算設(shè)備50或部分不再能夠被連接時,根據(jù)元數(shù)據(jù)庫中的信息����,存儲在中心基礎(chǔ)結(jié)構(gòu)上的文件和/或存儲在網(wǎng)絡(luò)中的其它地方的文件,至少能夠恢復(fù)部分的丟失信息�����。
根據(jù)上面描述的實施例����,本發(fā)明包括一種計算機程序產(chǎn)品,當在計算設(shè)備上執(zhí)行時����,所述計算機程序產(chǎn)品提供按照本發(fā)明的任何方法的功能性。此外��,本發(fā)明包括存儲采取機器可讀形式����,并且當在計算設(shè)備上執(zhí)行時,執(zhí)行本發(fā)明的至少一種方法的計算機產(chǎn)品的數(shù)據(jù)載體����,例如CD-ROM或磁盤。目前����,這樣的軟件通常在因特網(wǎng)上提供,因此本發(fā)明包括通過局域網(wǎng)或廣域網(wǎng)傳送根據(jù)本發(fā)明的打印計算機產(chǎn)品���。
權(quán)利要求
1.一種用于識別網(wǎng)絡(luò)環(huán)境中的文件的內(nèi)容的方法����,所述網(wǎng)絡(luò)環(huán)境包括至少一個本地計算設(shè)備��,所述本地計算設(shè)備與包括中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接,所述方法包括-利用單向函數(shù)計算在所述至少一個本地計算設(shè)備之一上的新文件的參考值�����,-將所述計算的參考值傳送給所述中心基礎(chǔ)結(jié)構(gòu)���,-比較所述計算的參考值和先前存儲在所述網(wǎng)絡(luò)環(huán)境的剩余部分內(nèi)的參考值�,-在比較之后�����,-如果發(fā)現(xiàn)所述計算的參考值和先前存儲的參考值匹配�,那么確定所述新文件的內(nèi)容已被識別,并檢索對應(yīng)的內(nèi)容屬性�;或者-如果發(fā)現(xiàn)所述計算的參考值和任何先前存儲的參考值都不匹配,那么確定所述新文件的內(nèi)容還未被識別����,隨后向所述中心基礎(chǔ)結(jié)構(gòu)共享所述本地計算設(shè)備上的所述新文件,所述中心基礎(chǔ)結(jié)構(gòu)通過經(jīng)由所述網(wǎng)絡(luò)環(huán)境遠程識別所述內(nèi)容�����,從而識別所述新文件的內(nèi)容�,確定和所述新文件的內(nèi)容對應(yīng)的內(nèi)容屬性,并存儲所述內(nèi)容屬性的副本�,-在所述確定之后,根據(jù)所述內(nèi)容屬性���,在所述本地計算設(shè)備上觸發(fā)操作���。
2.按照權(quán)利要求1所述的方法,其中在將對應(yīng)于新文件的內(nèi)容屬性傳送給本地計算設(shè)備之后��,執(zhí)行根據(jù)所述內(nèi)容屬性在所述本地計算設(shè)備上觸發(fā)操作��。
3.按照前述任何一個權(quán)利要求所述的方法��,其中所述識別新文件的內(nèi)容包括利用安裝在所述中心基礎(chǔ)結(jié)構(gòu)上的掃描裝置�����,掃描病毒����,掃描成人內(nèi)容,掃描自我宣傳廣告消息��,以及掃描受版權(quán)保護的信息中的一個或多個。
4.按照前述任何一個權(quán)利要求所述的方法�����,還包括將新文件的副本存儲在中心基礎(chǔ)結(jié)構(gòu)上�����。
5.按照前述任何一個權(quán)利要求所述的方法�,其中根據(jù)所述內(nèi)容屬性在所述本地計算設(shè)備上觸發(fā)操作可以包括利用從所述網(wǎng)絡(luò)環(huán)境的剩余部分恢復(fù)的另一版本的所述新文件,替換所述本地計算設(shè)備上的新文件�。
6.一種當在網(wǎng)絡(luò)上執(zhí)行時,執(zhí)行按照權(quán)利要求1-5任意之一所述的方法的計算機程序產(chǎn)品�����。
7.一種用于識別網(wǎng)絡(luò)環(huán)境中的文件的內(nèi)容的系統(tǒng)���,所述網(wǎng)絡(luò)環(huán)境包括至少一個本地計算設(shè)備���,所述本地計算設(shè)備與包括中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接,所述剩余部分包括一個存儲的數(shù)據(jù)庫�,所述系統(tǒng)包括-利用單向函數(shù)計算所述本地計算設(shè)備上的新文件的參考值的裝置,-將所述計算的參考值傳送給所述中心基礎(chǔ)結(jié)構(gòu)的裝置�,-比較所述計算的參考值和來自數(shù)據(jù)庫的先前存儲的參考值的裝置,所述系統(tǒng)還包括-根據(jù)所述計算的參考值和先前存儲在所述剩余部分內(nèi)的參考值的比較,確定新文件的內(nèi)容是否已被識別的裝置�,-向所述中心基礎(chǔ)結(jié)構(gòu)共享所述本地計算設(shè)備上的新文件的裝置�����,-位于所述中心基礎(chǔ)結(jié)構(gòu)上的裝置���,用于在新文件還未被識別時�,通過所述網(wǎng)絡(luò)遠程識別新文件的內(nèi)容�,以便分配內(nèi)容屬性,以及將所述內(nèi)容屬性存儲在所述剩余部分的裝置��,以及-根據(jù)所述新文件的內(nèi)容屬性��,在所述本地計算設(shè)備上觸發(fā)操作的裝置����。
8.按照權(quán)利要求7所述的系統(tǒng),還包括將新文件的副本存儲在所述剩余部分內(nèi)的裝置��。
9.一種用于改變識別網(wǎng)絡(luò)環(huán)境中的文件內(nèi)容的系統(tǒng)的方法�,所述網(wǎng)絡(luò)環(huán)境包括計算單向函數(shù)的裝置、與包括中心基礎(chǔ)結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境的剩余部分鏈接的至少一個本地計算設(shè)備以及用于識別內(nèi)容的裝置�����,所述剩余部分包括一個存儲的數(shù)據(jù)庫,所述方法包括-改變所述用于識別內(nèi)容的裝置或者所述計算單向函數(shù)的裝置�����,-掃描所述網(wǎng)絡(luò)環(huán)境的剩余部分��,以尋找利用單向函數(shù)計算的參考值��,-對于每個所述參考值����,-向所述網(wǎng)絡(luò)環(huán)境請求對應(yīng)于所述參考值的文件,-識別所述文件的內(nèi)容�,確定和文件的內(nèi)容對應(yīng)的內(nèi)容屬性,并存儲所述內(nèi)容屬性的副本�����,-將所述內(nèi)容屬性發(fā)送給包含所述文件的每個本地計算設(shè)備����,-在發(fā)送之后,根據(jù)所述內(nèi)容屬性在所述本地計算設(shè)備上觸發(fā)操作���。
10.按照權(quán)利要求9所述的方法��,其中所述掃描網(wǎng)絡(luò)環(huán)境的剩余部分����,以尋找利用單向函數(shù)計算的參考值包括掃描所述網(wǎng)絡(luò)環(huán)境的剩余部分,以尋找利用單向函數(shù)計算的參考值�,其中所述參考值在預(yù)定的日期之后產(chǎn)生���。
11.按照權(quán)利要求9或10所述的方法����,其中所述方法還包括對于每個所述參考值�����,將文件發(fā)送給所述用于識別內(nèi)容的裝置�����。
12.按照權(quán)利要求9或10所述的方法���,其中所述方法還包括對于每個所述參考值�����,向所述用于識別內(nèi)容的裝置共享文件����,并通過所述網(wǎng)絡(luò)遠程識別文件的內(nèi)容。
13.按照權(quán)利要求9-12任意之一所述的方法���,其中所述將內(nèi)容屬性發(fā)送給包含文件的每個本地計算設(shè)備可以包括-利用存儲的數(shù)據(jù)庫����,識別包含所述文件的每個本地計算設(shè)備�����,-將內(nèi)容屬性發(fā)送給所述識別的本地計算設(shè)備���。
14.按照權(quán)利要求9-13任意之一所述的方法�����,其中將內(nèi)容屬性發(fā)送給所述識別的本地計算設(shè)備包括為未與所述網(wǎng)絡(luò)連接的每個所述識別的本地計算設(shè)備���,在等待列表中創(chuàng)建條目�����,當所述本地計算設(shè)備重新與所述網(wǎng)絡(luò)連接時��,按照所述等待列表上的條目�����,將內(nèi)容屬性發(fā)送給所述識別的本地計算設(shè)備�。
15.按照權(quán)利要求9-14任意之一所述的方法����,其中如果具有對應(yīng)于所述參考值的文件的本地計算設(shè)備都沒有與所述網(wǎng)絡(luò)連接����,則向所述網(wǎng)絡(luò)環(huán)境請求和所述參考值對應(yīng)的文件包括在等待列表中創(chuàng)建條目,當所述本地計算設(shè)備重新與所述網(wǎng)絡(luò)連接時���,按照所述條目向所述本地計算設(shè)備請求對應(yīng)于所述參考值的文件���。
16.按照權(quán)利要求9-15任意之一所述的方法,其中所述方法還包括識別內(nèi)容屬性是否對應(yīng)于不需要的內(nèi)容��,如果是,則根據(jù)存儲在所述數(shù)據(jù)庫中的數(shù)據(jù)����,識別最先將所述不需要的內(nèi)容引入所述網(wǎng)絡(luò)中的本地計算設(shè)備。
17.一種當在網(wǎng)絡(luò)上執(zhí)行時���,執(zhí)行按照權(quán)利要求9-16任意之一所述的方法的計算機程序產(chǎn)品���。
18.一種存儲按照權(quán)利要求6或17所述的計算機程序產(chǎn)品的機器可讀數(shù)據(jù)存儲設(shè)備。
19.按照權(quán)利要求6或17的計算機程序產(chǎn)品通過局域電信網(wǎng)或廣域電信網(wǎng)的傳輸�����。
全文摘要
一種利用具有一個中心基礎(chǔ)結(jié)構(gòu)和本地計算設(shè)備的網(wǎng)絡(luò)中的文件的內(nèi)容識別���,實現(xiàn)網(wǎng)絡(luò)的保護和控制的方法和系統(tǒng)�����。所述方法包括計算在本地計算設(shè)備上創(chuàng)建或接收的新文件的散列值�����,將散列值傳送給中心基礎(chǔ)結(jié)構(gòu)���,比較該散列值和存儲在中心基礎(chǔ)結(jié)構(gòu)上的數(shù)據(jù)庫中的先前確定的散列值�,以確定該文件對網(wǎng)絡(luò)來說是否是新的�����,如果該文件對網(wǎng)絡(luò)來說是新的����,那么利用在中心基礎(chǔ)結(jié)構(gòu)上安裝和更新的內(nèi)容識別引擎檢查文件內(nèi)容。對文件確定內(nèi)容屬性���,這允許按照策略規(guī)則對本地計算設(shè)備執(zhí)行適當?shù)牟僮鳌?br>
文檔編號G06F1/00GK1969524SQ200480041989
公開日2007年5月23日 申請日期2004年12月24日 優(yōu)先權(quán)日2003年12月24日
發(fā)明者克里斯托弗·德斯皮格爾 申請人:數(shù)據(jù)中心技術(shù)股份有限公司