CN101288261B

CN101288261B - 用于检测对等网络软件的系统和方法

Info

Publication number: CN101288261B
Application number: CN2006800209383A
Authority: CN
Inventors: S·P·霍普金斯
Original assignee: Tiversa Inc
Current assignee: Kroll Information Assurance Co.,Ltd.; Tiffusa IP Co.; Tifsa Holdings
Priority date: 2005-04-12
Filing date: 2006-04-11
Publication date: 2013-07-31
Anticipated expiration: 2026-04-11
Also published as: EP1872216B1; CA2604199C; US9178940B2; JP2008536244A; EP1872216A4; CN101288261A; BRPI0607541A2; BRPI0607541B1; CA2604199A1; WO2006110826A3; EP1872216A2; JP4657347B2; WO2006110826A2; US20060248525A1

Abstract

本发明提供了一种用于检测计算机系统是否参与、已经参与或可以参与对等网络的方法。扫描软件在要扫描的目标系统或将扫描目标系统的远程系统上执行。如果检测到对等客户端软件，那么所述扫描软件可以通知强制用户，禁用所述对等客户端软件，或一并采取这两个操作。

Description

用于检测对等网络软件的系统和方法

技术领域

本发明提供了一种用于检测计算机系统是否参与、已经参与或可以参与对等网络的系统。

背景技术

如这里所用，作为本发明主题的对等网络包括多个节点，每个节点典型情况下由文件服务器和客户端组成，所述文件服务器和客户端可以向或从其所连接的节点发送和接收数据或“通信消息”。

在对等网络中，每个节点直接或通过某种类型的代理经由诸如互联网之类的通信介质连接到其它节点。例如当发布搜索请求时，这种发起节点向其所连接的所有节点发送搜索请求。(参见图1)这些节点搜索它们可用的文件列表并且如果找到匹配，那么它们发回带有位置的响应。然而，对等的代理网络典型情况下由被连接到节点B的节点A组成并且节点B被连接到节点C。(参见图2)节点A并未连接到节点C以致如果节点A发布搜索请求，那么该请求会被转送到节点B并且节点B会搜索其可用的文件并且如果找到匹配，那么它会向节点A发回响应。然后节点B把节点A的请求转送到节点C并且节点C会搜索其可用的文件，并且如果找到匹配那么它会向节点B发回响应。然后节点B把此响应转送到节点A。图3公开了其中每个节点被直接连接到另一节点的无代理环形网络。

一些对等网络利用叶节点/主节点代理拓扑(参见图4)，其中一些节点被分类为主节点并且其余节点被分类为叶节点。叶节点只可以连接到主节点。只有主节点可以连接到其它主节点。当叶节点发布搜索请求时，它向其所连接到的主节点发送请求。然后主节点把请求转送到被连接到它的任何其它叶节点以及它所连接到的任何主节点。这些主节点把该请求转送到被连接到它们的任何叶节点。

通常这些网络用来在其用户之间共享音乐、电影和软件文件。为了访问此网络，用户安装能够连接到并且利用对等网络的对等客户端软件应用。当安装所述软件时，用户必须在他们的计算机系统上选择文件夹，其中用于存储任何下载的文件。被置于此文件夹中的任何文件对其它用户也是可用的。例如，如果用户#1把名称为“foofile”的文件放在他们的共享文件夹中，那么用户#2将能够访问并下载所述文件。

对于任何原因来说，用户有时选择包含敏感信息或者他们并不希望共享的信息的文件夹作为共享文件夹，或者他们可能稍后开始错误地把敏感信息或他们并不希望共享的信息放入到他们的共享文件夹中。通常此动作由用户错误地并且未察觉地进行，但是有时这由恶意者来进行。有时对等客户端软件具有软件错误，该软件错误允许共享那些用户从来不想共享的文件和目录。有时它违反了安装对等客户端软件的公司策略。

所共享的信息可能对用户、他们所工作的公司甚至国家安全来说是有害的。因此这对网络管理员或其职责为把信息强制保留为能够利用所安装的对等网络软件来定位计算机的其他人来说是有用的，使得可以评定或删除所述软件。知道对等网络软件是否曾经被安装和利用使得可以进行威胁评定也可能是有益的。

据此本发明的目的是提供一种用于扫描计算机以便查明其是否参与、已经参与或可以参与对等网络的系统。

发明内容

本发明总体上提供一种用于查明计算机是否参与、已经参与或可以参与对等网络的系统。优选的系统包括步骤：

a.在目标计算机上执行软件程序；并且

b.向所述目标计算机扫描对等客户端软件的签名、对等网络通信或从对等网络所获得的文件。

从而本发明提供了一种用于扫描计算机系统以便查明所述计算机是否参与、已经参与或可以参与对等网络的系统。

通过熟读本发明目前优选实施例的以下具体实施方式，本发明的其它优点将变得显而易见。

附图说明

图1是两个节点对等网络的简图；

图2是对等的代理网络的简图；

图3是对等的无代理环形网络的简要示图。

具体实施方式

本发明的优选系统有益地利用扫描软件程序来扫描目标计算机以便寻找参与对等网络的签名、参与对等网络的能力或者它们两个。扫描软件具有确定的优选属性并且为由强制用户所想要的具体类型的对等扫描系统来配置这些属性。

在本发明的一个优选实施例中，在目标计算机上执行软件程序。此软件程序向注册表条目搜寻与已知对等客户端软件匹配的一组具体键或值。如果找到匹配，那么可以通知强制用户，软件程序可以禁用对等客户端软件，或一并采取这两个操作。

在本发明的另一实施例中，在目标计算机上执行软件程序。此软件程序向所述文件和目录搜寻与已知对等客户端软件匹配的一组具体值。如果找到匹配，那么可以通知强制用户，软件程序可以禁用对等客户端软件，或一并采取这两个操作。

在本发明的另一实施例中，在目标计算机上执行软件程序。此软件程序会向目前运行的进程搜寻与已知对等客户端软件匹配的值。如果找到匹配，那么可以通知强制用户，软件程序可以禁用对等客户端软件，或一并采取这两个操作。

在本发明的另一实施例中，在目标计算机上执行软件程序。此软件程序会向文件和目录搜寻为音乐、电影、电子书的文件或者通常从对等网络所获取的其它文件。如果计算机包含具体数目个以上的这些文件，那么可以通知强制用户。

在本发明的另一实施例中，在目标计算机上执行软件程序。此软件程序会监视用于搜寻具体值的网络通信，所述具体值用于表明正进行对等网络通信。如果正进行通信，那么可以通知强制用户，软件程序可以禁用对等网络通信，或一并采取这两个操作。

在本发明的另一实施例中，执行软件程序，所述软件程序扫描目标计算机的TCP/IP端口以搜寻已知的对等网络端口。如果找到匹配，那么可以通知强制用户。

在优选实施例中，在包含处理器部件、主存储器和互连总线的计算机系统中实现本发明。处理器部件可以包含单个微处理器，或可以包含多个微处理器以便把计算机配置为多处理器系统。主存储器部分地存储用于由处理器部件执行的指令和数据。如果所发明系统的能力整个地或部分地用软件实现，那么主存储器存储当处于操作中时的可执行代码。主存储器可以包括动态随机存取存储器以及高速存储器存储体。

计算机系统可以进一步包括海量存储设备、外围设备、便携式存储介质驱动器、输入控制设备、图形子系统和输出显示器。计算机系统可以经由一个或多个数据传送装置连接。例如，处理器部件和主存储器可以经由本地微处理器总线连接，并且海量存储设备、外围设备、便携式存储介质驱动器、图形子系统可以经由一个或多个输入/输出(I/O)总线连接。可以利用磁盘驱动器或光盘驱动器实现的海量存储设备是用于存储供处理器部件使用的数据和指令的非易失性存储设备。在软件实施例中，海量存储设备存储用于加载到主存储器的软件。

输入控制设备向计算机系统的用户提供用户接口的一部分。输入控制设备可以包括用于输入字母数字及其它按键信息的字母数字小键盘、诸如鼠标、轨迹球、触针或光标方向键之类的光标控制设备。为了显示文本和图形信息，计算机系统包含图形子系统和输出显示器。输出显示器可以包括阴极射线管显示器或液晶显示器。图形子系统接收文本和图形信息并且处理所述信息以便输出到所述输出显示器。

在计算机系统中所包含的组件是那些通常在通用计算机系统中所找到的那些，并且实际上这些组件旨在代表这种在本领域中公知的计算机组件的广阔范畴。

所述系统可以用硬件或软件来实现。对于软件实施例来说，所述软件包括用于在通用计算机系统上执行的多个计算机可执行指令。在加载到通用计算机系统中之前，所述系统可以作为所编码的信息位于计算机可读介质上，诸如软磁盘、磁带压缩光盘、只读存储器(CD-ROM)。在一个硬件实施例中，所述系统可以包括专用处理器，其包括用于执行这里所描述功能的处理器指令。还可以开发电路以便执行这里所描述的功能。

例子

以下例子图示了依照本发明系统的各个实施例。

例子1：此例子图示了用于通过检查(review)目标计算机系统的注册表键(refistry key)及其值来检测对等客户端软件的系统。

在此例子中用户已经把对等客户端软件安装到计算机系统#1上。作为其安装和操作一部分的对等客户端软件已经利用“P2PCLIENT_DOWNLOAD_DIR”值创建注册表键。然后在计算机系统#1上执行扫描软件。扫描软件检查计算机系统#1的注册表键，以查找与已知键“P2PCLIENT_DOWNLOAD_DIR”的匹配。找到匹配并且通知网络管理员。扫描软件然后删除注册表键以便禁用对等客户端软件。

例子2：此例子图示了用于通过检查目标计算机系统的文件和目录来检测对等客户端软件的系统。

在此例子中用户已经把对等客户端软件安装到计算机系统#1上。作为其安装一部分的对等客户端软件已经利用“P2P_SOFTWARE”值创建了目录。然后在计算机系统#1上执行扫描软件。扫描软件检查计算机系统#1的文件和目录，以查找与已知目录“P2P_SOFTWARE”的匹配。找到匹配并且通知网络管理员。

例子3：此例子图示了用于通过检查目标计算机系统的文件和目录来检测对等客户端软件的系统，其目录已经在专用网络上共享并且可用于另一远程系统。

在此例子中用户已经把对等客户端软件安装到计算机系统#1上。作为其安装一部分的对等客户端软件已经利用“P2P_SOFTWARE”值创建了目录。然后在远程计算机系统#2上执行扫描软件。扫描软件经由专用网络检查计算机系统#1的文件和目录，以查找与已知目录“P2P_SOFTWARE”的匹配。找到匹配并且通知网络管理员。

例子4：此例子图示了用于通过检查目前正在目标计算机系统上运行的进程来检测对等客户端软件的系统。

在此例子中用户已经把对等客户端软件安装到计算机系统#1上。当处于操作中时，对等客户端软件已经利用进程名“p2psoftware.exe”向计算机注册。然后在计算机系统#1上执行扫描软件。扫描软件检查计算机系统#1的进程，以查找与已知进程“ p2psoftware.exe”的匹配。找到匹配并且通知网络管理员。

例子5：此例子图示了用于通过检查存在于目标计算机系统上音乐文件数目来检测对等客户端软件的系统。

在此例子中，用户已经把对等客户端软件安装到计算机系统#1上并且已经下载了15个音乐文件。然后在计算机系统#1上执行扫描软件。扫描软件计数位于计算机上的音乐文件数目并且把该数目与一组阈值10相比较。所定位的音乐文件数目超过所设置的阈值并且通知网络管理员。

例子6：此例子图示了用于通过查看在目标计算机系统上正进行的网络通信来检测对等客户端软件的系统。

在此例子中，用户已经把对等客户端软件安装到计算机系统#1上并且被连接到对等网络。在计算机系统#1和对等网络之间的对等协议消息始终以“123456”开始。然后在计算机系统#1上执行扫描软件。对于已知模式“123456”来说，扫描软件监视所有网络通信。找到匹配并且通知网络管理员。

例子7：此例子图示了用于通过查看在目标计算机系统上哪个TCP/IP端口可用来检测对等客户端软件的系统。

在此例子中用户已经把对等客户端软件安装到计算机系统#1上。对等客户端软件目前正在运行并且已经绑定到端口6346以便接受来自其它对等客户端的入站连接。然后在计算机系统#1或远程计算机上执行扫描软件。扫描软件试图连接到目标计算机上的已知端口“6346”。连接成功并且通知网络管理员。

Claims

1.一种用于检测对等网络软件的方法，所述方法包括：

i.检查目标计算机的表明所述目标计算机上安装对等客户端软件的第一特征，其中从由所述目标计算机的注册表键、注册值、所安装的可执行文件、目录和网络通信所组成的组中选择所述第一特征；

ii.把所述目标计算机的所述第一特征与表明所述目标计算机上安装对等客户端软件的第一已知信息相比较，其中所述第一已知信息选择自已知注册表键、已知目录、已知进程、网络通信模式；

iii.通过在所述目标计算机上的对等客户端软件来检查所述目标计算机的音乐、电影、电子书、或通常从对等网络所获取的其它文件；

iv.把经过检查的音乐、电影、电子书、或通常从对等网络所获取的其它文件的数目与预定义的阈值计数进行比较；

v.根据所述第一特征的比较和在步骤iv所进行的比较，确定对等客户端软件已被安装在所述目标计算机上并且文件正被对等网络通信内的目标计算机共享；

vi.按照所述第一特征的比较和在步骤iv所进行的比较，通知网络管理员确定对等客户端软件已被安装在所述计算机上；以及

vii.禁用所述对等网络软件。

2.如权利要求1所述的用于检测对等网络软件的方法，其中所述文件或目录在专用网络上可用。