CN103984891A - 网络安全系统和方法 - Google Patents
网络安全系统和方法 Download PDFInfo
- Publication number
- CN103984891A CN103984891A CN201410112822.9A CN201410112822A CN103984891A CN 103984891 A CN103984891 A CN 103984891A CN 201410112822 A CN201410112822 A CN 201410112822A CN 103984891 A CN103984891 A CN 103984891A
- Authority
- CN
- China
- Prior art keywords
- file
- state
- server
- main frame
- pending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种网络安全系统和方法,防御已知和未知的病毒、蠕虫、间谍件、黑客和不需要的或者未知的软件。所述系统可以实现集中的策略,其允许管理员批准、阻止、隔离或者记录文件行为。所述系统在主机和在服务器中保存文件元信息。主机检测可以引起对于文件内容或者文件名的改变的文件操作,并且作为结果更新主机和/或服务器元信息。服务器元信息上的改变可以被主机获得。
Description
本申请是申请日为2006年7月27日,申请号为200680034493.4,发明名称为“网络安全系统和方法”的中国发明专利申请的分案申请。
背景技术
大企业具有大的信息技术(IT)安全预算和分层的IT安全系统,但是网络损害、来自病毒和蠕虫的损害和间谍件问题是常有的。当前的IT安全技术维护起来很昂贵,并且不提供针对新的或者未知的威胁的保护,而新的威胁正在以提高的速率被分布、检测和报告。
位于网络周界的安全解决方案(诸如防火墙)具有限于直接通过它们的网络流量的可见度。诸如电子邮件病毒、网页浏览器利用、无线访问、VPN、即时消息传送和文件共享的输入向量产生绕过这些技术的越来越能够渗透的周界。难于限定提供足够的控制和可见度的、在现代网络中的周界。许多攻击仅仅在它们已经损害了机器或者网络后产生网络流量。例如,在病毒开始从在网络内的机器发出电子邮件时之前,那个机器已经被损害。为了在攻击执行之前停止攻击,一般需要保护文件,而不仅仅是网络流量。
可以通过主机代理来提供可见度和保护,所述主机代理是软件,有时与硬件相结合地使用,所述主机代理工作在网络内的多个独立的计算机(“主机”)上。主机代理一般并行工作,使用所述主机的资源的一些来在后台执行安全功能。通过可能访问主机的所有重要的内部功能,主机代理可以在理论上在任何损害发生之前检测和停止在主机上的威胁。主机代理安全系统有时被称为端点安全系统,因为它们工作在网络的“端部”上。
当前的企业端点安全系统经常试图使用已知的位模式(诸如反病毒(AV)扫描和反间谍件(AS)扫描)来检测和阻止攻击。模式扫描使用被预先识别为坏的模式的黑名单。类似地,一些安全系统使用所检测的已知行为简档,其可以被描述为坏行为模式的黑名单。在这两种情况下,黑名单永久过期,不能响应于新的或者未知的攻击。黑名单也相对于诸如新病毒的攻击无效,所述新病毒可以比用于得出、测试和分布黑名单更新的能力更快地传播。在每个星期发现许多新的病毒的情况下,所有种类的黑名单变得越来越无效。行为模式开发和测试起来很复杂,结果,它们具有高误报警率;即,当事实上一个行为无危险时,它们错误地得出所述行为坏的结论。随着新的攻击演化,行为改变,导致丢失检测的错误。通过等待直到诸如病毒的攻击显示坏的行为,被影响的机器可能已经被损害。总之,黑名单试图跟踪已知为错误的内容,而错误的内容总是在改变。
另一种企业端点技术是异常检测。这可以被看作行为黑名单记录,通过随着时间观察行为来以统计方式确定所述行为黑名单。除了继承行为黑名单的缺点,当以统计方式估算好和坏行为时,异常检测还增加新的错误模式,因此肯定存在估算错误。这个过程经常导致不可接受的高误报警和丢失检测率。
另一类端点安全系统将执行仅仅限于在白名单上的程序。所述白名单是已知的好程序的模式的列表。如果在所述列表中不包括一个程序,则其将不运行。这样的系统对于典型的现代企业不够灵活,并且,难于维护所产生的白名单。例如,大多数大企业部署定制的程序,其在内部被开发,并且经常地改变。而且,这些程序可以包括不能向第三方曝光的敏感的知识产权和安全风险。白名单提供商不可能及时地访问以预先批准这个软件。其它示例是操作系统和其它更新。同样,没有任何中央数据库或者中央授权证书来验证特定程序或者更新对于所有的企业是良好的。白名单系统的故障模式是严重的,阻止了对于关键的、但是未被批准的应用和商业功能的访问。
结果,在中央将文件内容访问划分为仅仅一个或者两个状态(批准和禁止)的系统具有关于竞争(定时)条件的问题。大量的软件不明确地适合于任何类别,并且没有对于在一个企业内的所有软件普遍地被信任的任何中央授权。即使这不是一个因素,也可能需要时间来划分中间件。在新的病毒的情况下,需要6-48小时或者更多时间来将新的病毒分类为坏,但是在此之前,爆发会是传染性的。因此即使对于从主机向中央批准授权的强网络连接,也会需要比几分钟更长的时间来检测和分析新的软件。为了透明地将这个基于内容的授权加到后台的操作系统中,延迟通常必须小于一分钟,否则,所述文件系统将超时,并且发生伪访问阻止错误。
发明内容
在此所述的安全系统允许管理员检测、监控、定位、识别和控制在大计算机网络上安装的文件。所述系统可以防御已知和未知的病毒、蠕虫、间谍件、黑客、未批准的/不需要的软件(例如不符合商业使用策略的软件应用)和社会工程攻击。当新的可执行部分、脚本和嵌入脚本出现和传播到联网系统时,管理员可以访问关于所述新的可执行部分、脚本和嵌入脚本的详细信息和统计。所述系统可以实现集中的策略,其允许管理员批准、阻止、隔离或者记录文件行为。所述系统也可以收集对于诊断和定位问题文件或者攻击有益的详细信息。所述系统提供用于大计算机站的可见度、控制和保护。
所述系统架构最好包括代理软件,其运行在每个被保护的主机和服务器(被称为“服务器”)上,所述服务器提供集中策略管理、事件监控、代理协调和病毒扫描。所述服务器可以被实现为装置(appliance)(其一般暗示更有限功能的装置)。单个装置可以支持多个主机,例如10000个主机。另一个服务器或者装置(有时被称为“超级服务器”)可以监控多个装置。
在每个被保护的主计算机上运行的代理软件分析文件系统行为,并且根据在服务器上配置的策略来采取行动。在一种实现方式中,当主机试图打开或者写入文件时,所述代理软件计算所述文件的内容的散列值(hash)以唯一地向所述系统标识所述文件。所述代理软件使用这个散列值来查找所述文件的状态或者策略。根据这个信息,代理软件可能阻止操作,记录事件,隔离文件或者采取一些其它的指定行为。
所述系统也包括许多其它的特征,其可以组合地或者独立地有益,其中包括在此所述的从文档提取文件的能力、从文件提取宏的能力、集中内容跟踪和分析以及“查找文件”功能。
在此所述的系统可以使用至少两个附加状态:待决,其表示中间的未限定的威胁级;局部批准,其是批准一个主机,但是不必然批准中央授权(因此所有的其它主机)。后者允许主机略微地脱离基线。待决状态允许主机根据各种威胁级和企业使用策略来阻止或者允许对于新的内容的访问。虽然使用普通的二进制批准术语批准和禁止,但是将批准划分为3-4个状态导致每个独立状态的不同的改善能力。一般地,新的还没有被分类的软件是待决的。软件的传统二进制访问状态(禁止/批准)不足够灵活,这样的分类系统是不可升级的。
作为新/待决的软件的指定是有益的。大多数企业具有某种形式的“禁止新的可执行部分”策略,诸如“不允许雇员从因特网下载和运行未经批准的软件”。可是,企业当新的软件传播时不能检测所述新的软件,直到太晚,不知道何时它们的策略被违反,并且没有有效地实施它们的策略的手段。通过当待决的新程序正在被修改/写入文件系统时跟踪所述待决的新程序,主机代理可以当新的内容从几乎任何手段(无论是电子邮件、即时消息传送器、下载、USB密钥、移动笔记本计算机等)进入网络时实时地检测和报告所述新的内容。通过识别待决的程序,一些简单的、可升级的、有效的策略是可能的,诸如“允许但是当主机运行新的可执行部分时警告”或者“不能通过这组主机来安装或者运行新的未批准的程序”或者“当在24小时内在超过N个主机上出现同一新的未批准的程序时警告”。因此,可以安全地定位、跟踪或者在阻止的同时分析新的程序。其它被批准的商业软件继续运行。新的被批准的软件可以被安装和运行,诸如AV更新或者安全补丁。这种方法是主动的响应,在允许生产率的同时保护防止未知的可能恶意的软件,并且赢得分析时间而不需要任何时间紧要的黑名单或者白名单更新。
现有的文件白名单和黑名单系统趋于在本质上是全局的,因为在中央保留许多独立的名单(每个主机上一个)是困难的。如在此所述,主机可以保留它们自己的名单,其可以从中央名单分出。特别是,对于本地批准和待决状态可以是这种情况,并且对于基于名称的状态(诸如NameBan和NameApprove)而言经常如此。因为“name(名称)”是本地属性,因此这些状态可以从中央受控的状态分出。例如,如果文件“foo”具有特定的hash=x和中央服务器状态待决,则在主机上,所述文件可以是本地批准或者名称禁止的或者名称批准的,后两者依赖于在主机上的文件的本地名称。在此所述的系统允许被同时应用到在每个主机上的每个文件的几千个名称属性的有效地管理和策略实现。名称批准(NameApprove)基于其在主机上建立文件允许灵活的本地批准和中央批准能力。与主机组相结合,这允许精确地灵活有效地指定在哪里和在哪些主机上批准了新的内容。
即使对于这种新的灵活策略系统,企业通常需要对于不同的角色和情况实施不同的策略。例如,IT管理员和内部软件开发者可能需要仔细地运行新的软件,而其它的雇员仅仅需要小标准套件的相对静态的应用。当在攻击下时,这种情况可以迅速地改变。例如,如果在超过N个主机上检测到病毒,则扩展“禁止新的可执行部分”策略有意义。与不能适应于在企业内并且在不同的条件下的各种策略的刚性系统相比较,这种灵活性和递增响应是在此所述的“参数内容控制”的优点。“参数内容控制”允许灵活的锁定模式,其可以根据网络和主机条件被中央地管理,并且迅速地被改变。这允许递增文件内容和/或基于文件名称的限制和批准。
不像处理主机用户证书、处理标识符、数据源(URL)、目录结构和操作系统安全描述符的其它端点安全技术那样,在此所述的系统不必使用这些因素来作为主机策略的一部分。在主机上,这些因素会是不可靠的,并且会易于受到损害攻击,并且它们会妨碍可升级性。这些因素导致不可升级的策略,因为精细粒度的策略可以以复杂的方式在多个主机上交互。即使所述操作系统被损害并且一个攻击获得管理特权和所有相关联的安全描述符,在此所述的“禁止新的可执行部分”将提供实质的保护。
“内容跟踪”系统使用诸如待决的附加状态来当新的内容通过网络移动时监控和分析所述新的内容。当前的技术不允许实时地在大量主机上的每个新的可执行文件的全局中央可见度和跟踪。依赖于文件系统扫描的端点系统(诸如AV扫描器)和主机应用目录(诸如Tripwire)定期地和缓慢地爬过大文件系统以查找新的或者改变的软件。这通常对于主机是破坏性的,会需要较多时间,并且通常至多每天一次地被调度。通过聚焦在新的内容并且将那个信息存储在存储器中,内容跟踪系统更具有可升级性和响应性。因为很少有从未被在大组N中的任何主机见过的新的软件到达,并且更少有许多主机M使得新的软件在短时间内出现,因此通过这个区别而便利了报告、响应和分析。
一旦检测到新的软件,以及时的方式来定位和识别它会是有益的。如果某个新的软件原来是新的攻击并且正在传播,则期望很快地响应。此外,当前的技术可以在几分钟到几小时的时间量程上在网络上的单个主机上定位单个新文件。即使在单个主机上,通过名称或者内容查找很新的文件需要15-60分钟,这将在查询正在被处理的同时不利地影响主机的盘性能。在过去20年中,硬盘已经在字节存储空间上变得更大,但是还没有在速度上成比例地增大。“分布式元信息查询”特征加速了在大量(几千)的主机上在几秒内定位和识别关键文件属性,并且具有中央指定的查询,中央报告的结果,较少或者没有主机盘影响。不像跟踪所有文件的传统的跟踪技术(包括还没有改变的那些)那样,在此的本发明当文件正在改变时跟踪在存储器中的文件改变,这提供了对于主机查询来自存储器的文件元信息的有效手段。中央地处理这个信息第一次提供了在主机文件系统的集合上独立文件的移动的响应全局视图。最后,作为安全服务,主机连接到、发送到中央服务器和从中央服务器查询是重要的。这是本发明的重要部分,其允许主机通过一个或多个防火墙或者NAT装置从服务器分离,并且避免了保证在接受/监听模式中的附加主机网络插口的困难问题。
使用内容分析的当前的端点主机代理系统对于更新主机代理具有问题。例如,对于更有效的AV扫描器,它们应当在使得可以获得的更新的几个小时或者几分钟内被更新。带有滞后的AV的任何主机具有风险,并且许多AV系统被不正确地配置,导致更新滞后。因为它们不有效地跟踪文件改变,因此AV扫描器通常需要较长的时间来响应于被写入到文件系统的新的内容。而且,当前的主机内容分析技术不必重新分析文件,不考虑安全因素。例如,更重要的是,新的内容越新,就越经常地分析所述新的内容。如果文件在网络中完全未变达到2年,则有可能不必每10分钟扫描所述文件。但是,如果新的文件在10分钟之前开始通过网络传播,则经常是前两天扫描所述新的文件有意义。一般地,随着时间过去,存在越来越少的关于新的恶意可执行文件的新信息。“集中化的定时分析”特征能够处理这些问题。仅仅需要更新一个分析代理,即中央的那个,所有的主机立即受益。不太可能主机配置与内容分析更新干扰。通过仅仅跟踪新的文件,并且通过基于被暴露到网络的年代(时间)的调度分析,可以有效地和更快地定位和识别新的坏内容。最后,诸如AV的许多端点内容分析技术与操作系统紧密地集成。结果,会难于将来自不同提供商的几个内容查看代理布置在一个主机上。分析技术的多样性改善了检测和分类精度。此外,本发明通过使用中央服务器在必要时向不同的服务器发出分析来解决这个问题。
可执行内容(exe文件)和嵌入的宏(在微软Office文件中嵌入的宏)趋向于以簇或者组传播。字处理文件可能包含10个宏,并且在大小上超过30MB,但是所述宏仅仅占用那个空间的一部分。大的安装包会在大小上具有几百MB,但是其内部文档的可执行部分通常占用总的大小的一小部分。病毒经常作为文档附件(诸如zip文件)通过电子邮件传播,以避免检测。在这些文档内,病毒有效负荷可能小。对于所有这些情况,较大的“容器”文件会掩蔽可能不需要的新代码的传播。“内容提取器”特征通过保护(嵌套的)容器关系来处理多个当前限制,并且同时便利:内容的跟踪、类似容器的跟踪、跟踪处理关联性、最小化不必要的重新分析、最小化文件传送带宽和通过将内容重新打包为其它已知的文件类型而保护与其它分析技术的兼容性。新的内容的中央存储和跟踪、以及相对于内容的第一次出现时间的分析的中央调度在安全、全局可见度、企业管理系统集成和未来扩展上提供了强大的优点。
虽然已经将在此所述的系统与其它系统相区别,但是这样的区别不意味着否认权利要求对于这些系统的涵盖。在此所述的系统和特征可以组合地或者分离地被提供,并且在许多情况下,可以被集成到现有已知的系统中,其中包括如上所述的那些系统。
通过下面的附图、详细说明和权利要求,其它特征和优点将变得清楚。
附图说明
图1是示出在此所述的安全系统的概览的方框图。
图2是示出在图1中的系统的部件的更详细的方框图。
图3是图解用于执行分析的处理的流程图。
图4-图5是由所述系统执行的处理的示意图。
图6是示出定时分析的示例的图。
图7是在定时分析期间执行的步骤的流程图。
图8是内容提取处理的示意图。
具体实施方式
参见图1,也被称为数字抗体系统(DAS)10的系统允许管理员监控、理解和控制在大的计算机网络上安装的文件,并且可以防御已知和未知的病毒、蠕虫、间谍件、黑客和社会工程攻击以及未被批准的软件(例如不用于商务用途的文件共享软件)。所述系统包括一个或多个服务器,其中之一在此被示出为服务器14(装置)。这个服务器提供了集中的策略管理、事件监控、代理协调和内容分析(例如间谍件和病毒扫描)。单个服务器可以支持多个主机12,例如几百或者几千主机。服务器也维护与分析相关联的元数据的数据库,所述元数据为诸如相对于文件和程序的扫描历史和批准状态。这个元数据被称为每个文件和程序的“抗体”。
每个被保护的主机12具有主机代理16,其优选地被实现为软件。它分析文件系统行为,并且根据在服务器上配置的策略来采取行动。这些策略(在下面更详细地被描述)识别是否阻止、记录、允许或者隔离诸如文件访问或者可执行部分的执行的行为。每个主机代理16具有:本地“抗体”存储器16,其是与文件相关联的元信息的高速缓冲存储器;以及,参数策略引擎20,用于实现来自服务器14的策略。
服务器14具有多个功能和接口。所述接口包括:主机通信接口22,用于与主机通信;基于网页的图形用户接口(GUI),用于与网页浏览器管理控制台26通信;报告接口26,用于作为到企业管理系统28的接口;以及远程分析接口30,用于与内容分析服务32(例如病毒和间谍件扫描器)通信。服务器14也包括分析块34和主抗体存储器36,所述主抗体存储器36与抗体分析服务38通信并存储相关联的主机的抗体的主列表。服务38可以包括非现场(off-site)证书授权,其具有与抗体相关联的附加信息,诸如作为诸如微软Office的特定产品包的成员的抗体类别。
图2示出了所述系统及其部件的放大图,所述部件包括服务器14、具有用户和核心部分的主机12和其它网络和网页服务40。如在此所示,服务器包括:新的文件处理和文件池块42,其包括已经在网络上出现的近来的文件的拷贝;预定分析引擎44,用于识别要分析的文件和散列值;内容签名器46,用于使用诸如MD5和SHA-1之类的算法来建立内容的加密散列;主抗体存储器36;配置管理50;记录和报告52。服务器与网络和网页服务40交互,所述网络和网页服务40包括分析54、AV(或者其它内容)扫描器56和管理服务57。
主机12的用户部分60具有:抗体高速缓冲存储器64,用于按照名称和数据来保存来自数据库34的更新;文件和事件处理66;分析引擎68;内容提取器70,用于提取在包中的感兴趣的内容和独立内容的相关联的分组;内容签名器72,用于建立内容的加密散列;服务器元信息(MI)状态解析器74,用于查看抗体的抗体高速缓冲存储器64,并且对于服务器查看抗体;以及文件状态解析器76,用于查看向服务器的内容上载进程,并且对于服务器查看上载的证书。
主机12的核心部分80具有:高速缓冲存储器82,用于存储通过文件名称组织的抗体;近来文件操作和文件信息的高速缓冲存储器84。所述核心也具有截取/阻挡功能86,其接收和截取文件操作请求,并且向全状态过滤器88提供这些请求,所述全状态过滤器88首先查看近来文件操作的高速缓冲存储器84。如果没有匹配,则它查看保存安全策略的触发器和行为块90。这个块90耦接到:“defcon”块92,所述“defcon”块92具有用于指示系统的安全级的值;策略引擎94,其控制块82、90和92以控制各种文件操作,其中包括执行、文件读取、文件写入和其它行为。所述触发器和行为块90与抗体高速缓冲存储器82通信,所述抗体高速缓冲存储器82根据文件的名称来查找关于文件的元信息。策略引擎94也控制行为,诸如阻止、报告或者允许文件操作和向用户报告。
所述系统包括用于设置这个安全系统的多个方法和方面,其中许多被单独使用或者与其它组合使用。下面更详细地说明这些方法和方面。
一个方面是使用中央扫描来查看文件和可执行部分,并且保持用于指示是否已经预先查看了数据的散列值。所述散列值可以被存储在数据库中,并且也被缓存在本地主机中。
另一个方面在于使用中央设置的参数,有时被称为“D”或者“Defcon”,其控制主机的策略。这个中央策略和参数可以被应用到所有的主机,或者被应用到所选择的主机组。所述参数可以被操作员人工设置,或者可以不用人为干预而(通常响应于某个事件)被系统调整。所述策略可以包括阻止或者允许特定行为,或者可以使得一个行为待决,这使得其被允许进行进一步的监控,诸如记录。待决状态具有多个益处,包括考虑在系统中的等待时间,以及实现不适用于传统的二进制批准/禁止模型的策略。这些等待时间包括在识别有害代码之前的时间,在系统中的误操作期间或者当主机与网络断开的时间。
在另一个方面,中央服务器可以指定元信息的查询,并且将那个查询分布到所有或者所选择的主机组。这些主机执行来自元信息的本地存储器的查询,并且向服务器发回结果,可以使得所述服务器调整参数。
在另一个方面,所述系统包括一种用于防止可以在其它文件中嵌入的宏病毒传播的方法。这种功能可以用于Visual Basic宏,但是所述方法可以应用到除了Visual Basic之外的任何其它宏语言。
在另一个方面,新文件的所有拷贝被保存在服务器42中的特定目录中。可以根据定时器来执行进一步的分析,并且可以在文件被第一次看到后几天后执行所述进一步分析。在文件第一次出现后的某段时间(例如30天)后,所述文件可以被重新扫描以查看病毒、间谍件或者其它问题,并且所述系统可以根据结果而采取行动。例如,用于指示在文件中包含病毒的分析将使得这个文件的对应的抗体数据库36输入项(entry)包括禁止状态。这种改变以及其它的抗体数据库改变将被传播到主机。
中央设置的参数和参数内容策略
在系统中的安全基于在每个服务器中定义并且通过推和/或拉技术被传播到所有相关联的主机或者主机组的策略。这些策略涉及:可以对于可执行部分和文件所做的内容,诸如读取、执行和写入;当它们被主机建立和改变时要做的内容;扫描如何进行;如何进行记录;以及许多其它的功能,并且对于每个策略(例如对于新看到的可执行部分可以进行什么操作),可以有多个策略选项(诸如禁止、允许或者允许和记录)。所述策略可以基于在文件中的内容(数据)或者文件的名称或者组合。可以通过签名(诸如一个或多个加密散列值)来定义所述内容。采样策略的非专有列表包括:
1.新的可执行部分和独立脚本(例如*.exe或者*.bat)的阻止/记录执行
2.新的嵌入内容(例如在*.doc中的宏)的阻止/记录读取/执行
3.网页内容的阻止/记录安装/修改(在*.html或者*.cgi文件中的内容的改变)
4.允许诸如上述的(3)的策略的更新
5.自动批准通过两个病毒扫描的文件(例如将对应的文件状态设置为批准)
6.被管理员特别禁止的文件的阻止/记录安装/执行
7.通过数据来隔离/删除/记录被感染的文件
8.通过名称来隔离/记录被感染的文件
9.在管理地定义的“类”中的新文件的阻止/记录执行;例如管理员可能期望阻止屏幕保护程序*.scr,但是不是全部类别的可执行部分*.exe、*.dll、*.sys等…
10.当指定文件被复制到可装卸介质时记录
11.除了在特定目录中之外,新的可执行部分、脚本和嵌入内容的阻止/记录执行,即允许用户在特殊的目录中建立新的脚本或者可执行部分,但是保护文件系统的其余部分
12.当离线、远程连接或者本地连接时的不同的主机策略
13.通过数据或者通过名称而列出包含指定文件的主机/路径
14.列出具有被阻止的可执行部分、脚本和嵌入脚本的主机
15.列出具有被感染或者被禁止的文件的主机/路径
16.自动批准来自被定义的更新服务(例如来自可信来源)的文件
17.由管理员对于特定的主机组(即存在多个组)特别禁止的文件的阻止/记录执行
18.由于性能原因或者测试而完全地去活主机系统
19.在一段时间(用户可配置)后自动批准文件
20.允许新的文件被安装/执行多达x次(用户可配置)。阻止任何更多的安装和/或执行直到被批准
21.当新的文件被写入时本地批准所述新的文件
22.当新的文件被写入时中央地批准所述新的文件
服务器可以保存每个主机组的一个或多个策略,并且每个策略按照被中央地设置并且指示策略的选项的参数来可变地被实施。这些策略和选项可以被逻辑地组织为二维阵列,其中,有效的参数沿着一维移动以选择各种策略的策略选项。这个参数在此被称为D值。所有的主机可以具有D的一个值,或者主机的逻辑子组具有它们子集的D的值;例如,在销售部门中的主机可以被分配D=1,并且在市场部门中的主机可以同时被分配D=2。在一种实现方式中,主机查看(轮询)服务器以查看是否D值已经改变。当每个主机发现D已经改变时,它们每个开始“移动”到新的D值。这种移动可以逐步地进行。可以作为网络消息从主机向服务器提供这些轮询。D值控制策略行为。对于给定的策略(例如“禁止新的可执行部分”或者“禁止新的脚本”),D=2阻止策略侵害行为(在这种情况下,执行“新的可执行部分”),D=4警告(向服务器无声警告)但是允许,D=6允许而根本不警告。无论是否D=2、4或者6,主机最好当新的可执行部分被写入时继续注意和记录所述新的可执行部分。当在此的示例使用D的数值时,D可以具有以字母、字或者字母和数字的任何组合表达的“值”。
所述D值也控制策略激活。对于给定的策略(例如“禁止新的可执行部分”或者“禁止新的脚本”),D=1使能“写保护”策略,因此,根本不能写入新的可执行部分,而D=8完全禁止所有的策略,D=2、4和6情况可以像如上所述设置的那样。在这种情况下,D=8可以甚至禁止注意何时新的可执行部分被写入到文件系统的策略。
当可以在服务器中中央地设置D值时,其被本地地实现在主机上。可以由管理员利用连接到服务器的浏览器通过在管理控制台上的图形用户接口(GUI)、或者经由简单网络管理协议(SNMP)而将其设置。D值被当做“目标”值;主机试图移动到尽可能地接近这个值,这可能需要几秒或者几分钟。在一些情况下,主机可以从由服务器指定的目标值本地地分出。可以在主机上调用命令行程序,或者用户可以被提示D的特定值,并且可以改写D的目标值。例如在个人的机器需要禁止安全(D=8)并且没有与服务器的网络连接时,这个特征是有益的。特定的行为可以自动改变在主机上的D值,诸如检测来自授权程序的更新(例如反病毒更新)。
所述策略反映了在安全和可使用性之间的折衷。在上述的示例中,D=8最为有用,并且最不安全——没有策略被激活,主机代理被有效地禁止阻止和跟踪。当D向最大安全(D=1)移动时,越来越多的限制策略被激活,并且当策略被违反时执行的行为变得越来越严重。有序的状态是所期望的,因为它们更容易可视化和测试(一般,可以仅仅测试需要测试的端点,诸如D=1和D=8)。当所述值提高或者降低时,使用有序的状态,文件和用户的数量变得连续地更容易访问或者更受限制。这些有序的状态自然地反映安全和可使用性之间的折衷。
当D在活动的系统上改变时,会发生竞争条件。基本问题是:如果在安装程序时D的值要从8→1改变,则多个文件的安装会变得“半阻止”或者“半安装”。结果,特定的D转换可以触发文件抗体状态重新分析和文件抗体块状态变换。
本地D改变有时可以被本地策略触发器引起。通常,在服务器上中央地设置D。但是有时,触发本地主机策略,其然后使得本地主机D值改变。这有益于例如完成在被锁定的系统上的安装(D=2)。继续这个示例,在D=2安装打印机驱动器可能导致问题,因为一些打开的新的安装文件需要执行以完成所述安装。而且,不同的主机机器可能需要打开和执行不同的程序以完成所述安装(例如Windows2000和Windows XP)。在这种情况下,一个特定抗体文件类型——被批准的程序“printer_setup.exe”——的执行将主机的本地D从2→3,这是略弱的状态,其自动本地仅仅批准这些新的安装文件和它们的后代。
可以根据连接类型来改变D值,不论是否为本地(在有线LAN上)、远程(诸如通过电话调制解调器或者虚拟专用网络(VPN))或者完全断开。主机代理因此存储这些类型的连接的一组指定的D值,然后自动响应于改变(例如当用户将主机与LAN断开时)而从所述组中选择。而且,不同的D值可以导致在报告、记录和跟踪细节上的减少或者增加。
也可以从中央服务器(有时被称为“超级服务器”)设置策略,所述中央服务器可以控制许多服务器/服务器。假定每个服务器控制2000个主机,并且存在1000个超级服务器,则不可能用于设置D=1的超级服务器命令将对于所有的2000000个主机适当。相反,超级服务器可以命令所有的服务器和主机具有本地允许的尽可能强的D。因此,一些服务器和它们所连接的主机将到达它们的极限例如D=2。其它服务器可以进行到D=1,但是然后也许它们的主机组的一些限于D=4,因此那些主机将走强,但是不强于D=4。同一限制对于上述范围的另一端为真。如果超级服务器命令D=8,则一些服务器和主机仅仅可能取而代之走到D=6。因为D是有序状态,因此这些限制是简单的整数范围(最小值和最大值)。
D的值可以根据某个事件的检测而改变,诸如传播文件。如果新的文件的太多的拷贝正在服务器的多个主机上传播,则服务器可以选用地将D提高以停止所述传播(例如走到D=2)。这种事件可以被指定为特定名称的太多(例如按照名称列出的前10个)或者按照唯一内容的太多(例如按照数据的散列值列出的前10个)。
所述值也可以响应于由服务器感知的新的事件而根据服务器请求改变,所述事件诸如新来到的文件或者可能的病毒攻击。在大多数情况下,是管理员(一个人)按照所计划的用户操作或者根据特定文件事件的观察而启动D的改变。可以自动改变D,例如在操作的进行期间,在这种情况下,主机/服务器在操作终止后将D的值返回到其原始水平。外部触发器可以改变D的值,诸如SNMP。
另一个响应是服务器自动批准在少于特定阈值数量的主机上的内容,但是当超过所述主机数量时自动禁止对于那个内容的访问。这样的策略可以用于限制在网络中的任何内容或者文件的拷贝的数量。而且,这样的策略可以用于仅仅报告超过特定主机数量的内容。
服务器可以对于每个主机逻辑组(诸如销售主机、市场主机和工程主机)分别保存策略集。策略集可以具有与抗体版本号码类似的唯一识别号码。差别在于一旦被部署,则策略集变得“只读”以协调策略集的以后的问题,并且取消问题部署。也可以使用与Unix实用程序“diff”和“patch”类似的技术对于差别配置和其它更新如此进行。主机可以向服务器查询它们的组的当前策略集的ID号,并且如果存在不匹配,则它们可以向所述服务器发送“GetPolicySet”查询。
策略集可以包括多个策略,诸如“新的可执行部分”策略或者“新的脚本”策略。每个策略可以处于活动(接通)、不活动(断开)或者测试模式(其中,允许阻止,但是向服务器发送“将阻止”消息)中。每个策略可以具有多个规则,每个规则具有基本的“触发和行为”模型。触发器是被测试的模式。如果模式匹配,则执行所产生的行为。例如,可以将“在D=2的新的可执行部分的阻止执行”指定如下:
Trigger=(D=2&FileOp=Execute&State=Pending&FileExtensionClass=ExecutableClass),其中,ExecutableClass=(*.exe|*.sys|*.dll|…)
Action=(Block&Report&Notify(P)),其中,“Block”停止操作,“Report”向服务器发送通知,“Notify”使用参数集P来警告用户。
使用这种结构,除了在核心抗体高速缓冲存储器更新、D更新和策略集更新的情况下,所述核心可以不用与用户空间交互而实施所有的策略。策略集仅仅需要被存储在一个位置,并且在这种实现方式中它们仅仅需要在核心中被解释。策略集可以被认证和存储在一个安全的背景(所述核心)中,结果产生对于篡改的更强的安全性。
通过D来对策略和行为进行参数化,因为D允许不同的规则匹配不同的触发器。具有特定状态的文件可以阻止特定的操作。这些状态可以是名称和数据属性的组合。这些状态在用户空间中被确定,在核心空间中被镜像,并且最后,所述状态被服务器确定。一种有益的策略是阻止被禁止的文件,并且在一些D值的情况下,阻止待决(新)文件的执行。
所述策略可以作为策略的一组列表而被提供在具有访问性和安全性的折衷的范围上。所述服务器可以然后提供信息以使得主机选择所述列表之一。通过使得所述多个列表存在于所述主机上并且允许所述主机使用“拉”手段来更新策略,所述主机可以方便地在服务器的控制下更新安全策略。
下面的表格示出了所述D值如何可以影响在组策略集中的各种策略的一个示例,其中,行是在主集内的策略,列是行为,并且所述单元具有用于指示所述行为的D的数值范围。在所述表中指定的行为和其它细节被汇总如下:
(1)允许:允许操作,否则无声
(2)阻止:阻止操作,否则无声
(3)跟踪:跟踪操作和所产生的内容(如果所述内容是待决的或者被禁止的),否则无声。一般不跟踪被批准的内容。
(4)报告:向服务器发送通知。
(5)通知:向主机端点用户指示为什么操作被阻止/中断。
(6)自动本地批准:具有本地主机状态=待决的新的主机文件和/或新的内容被本地设置为:当建立/修改文件/内容时,主机状态=批准或状态=仅仅在本地主机上本地批准。
(7)自动全局批准:具有本地状态=待决的新的主机文件和/或新的内容被全局地设置为:当建立/修改文件/内容时,在服务器上的服务器状态=批准。
抗体引入,文件元信息
具体参见图2,对于被允许的行为,在系统中的服务器包括抗体数据库36,其主要用于跟踪文件扫描历史和每个文件的批准状态。抗体是关于文件的数据块(即元数据或者元信息),其可以包括一些或者全部的下面的字段:
●第一次看到的时间。当文件或者散列值被主机第一次看到并且被报告到服务器的时间。
●文件ID。文件的唯一标识符,包括诸如MD5、SHA-1和OMAC的内容的一个或多个散列值。
●文件类型。文件类别(例如可执行、脚本,办公文件、文档等)。其是当第一次看到文件(见下)时从文件名称得到的,并且也从文件内容的分析得到。
●状态。当前文件的状态,包括批准、待决或者禁止。
●方法,服务器得知文件的方式(自动,人工等)。
●文件名。被第一次看到和报告到服务器的文件的名称。其可以不是文件的当前名称,而仅仅是在网络上看到的第一实例的名称。
●文件路径。被第一次看到和报告到服务器的文件的路径。
●当第一次被看到/报告时的主机文件名称/路径/扩展。
●当最后被看到/报告时的主机文件名称/路径/扩展。
●第一次看到/报告的主机IP地址文件。
●第一次看到的主机,在其上第一次看到和报告文件或者散列值的主机的名称。
●分析结果。最新的扫描或者其它分析的结果。
●第一次分析。文件的第一次扫描/分析的时间。
●最后的分析。文件被最后扫描/分析的时间。
●最后更新。文件状态被最后修改的时间。
●父容器。到已经与文件相关联的其它文件的链接。
●父容器属性。文件名称、第一次看到的时间、第一次看到的主机、文件路径、产品类别和一个相关联的容器文件的状态。
●根容器。到已经与所述文件相关联的其它文件的链接。根容器是未在另一个容器内包含的容器。
●根容器属性。文件名称、第一次看到的时间、第一次看到的主机、文件路径、产品类别和一个相关联的根容器文件的状态。
●参考父文件容器,如果已知的话。这些用于保存包含关联,诸如“在散列值=x的文档文件中观察到这个散列值=y的文件”。
●文件内容类型(通过内容分析而确定),诸如可执行、脚本文件、嵌入的宏。
服务器具有系统的抗体的全集。当每个主机在用户高速缓冲存储器64中和在核心高速缓冲存储器82中包括抗体的本地子集时,服务器是用于设置和改变到特定状态的主管方(authority)。例如,服务器是中央地发起和(向主机)传播改变的主管方,所述改变包括从待决向批准或者禁止的状态过渡(这三种状态最好与内容散列值相关联),而主机是唯一可以将状态设置为本地批准的主管方。在数据库36中的每个输入项是永久的,并且最好容易使用文件数据散列值索引被访问。数据库可以选用地由其它关键字加索引,诸如文件名、第一次看到的日期、状态、分析结果、主机ID或者主机计数,以便管理员可以容易地浏览抗体数据库。
当具有抗体的数据库被描述为正处于服务器之内或者之上时,应当明白,这表示所述数据库与服务器相关联。其可以物理地驻留在同一机箱和服务器的处理功能内,或者其可以驻留在不同的机箱或者甚至在远程位置中。如果远程的话,则应当存在适当的有线或者无线的连接来获得数据。
抗体(AB)跟踪引入
当建立新的文件或者修改现有的文件时,可以触发跟踪策略,由此引起一系列文件和抗体分析事件。首先,主机执行一系列步骤来确定是否已经有对于内容的重大修改,所述内容对应于已经被分析的内容,并且对于所述内容而言,已经在主机高速缓冲存储器中存储了抗体。如果内容抗体未在主机高速缓冲存储器中,则向服务器查询以确定是否所述服务器已经分析了内容。如果服务器没有对应的抗体,则所述内容可以被上载到服务器以进行进一步的分析。直到所述服务器可以确实地确定状态,与所述内容相关联的状态被设置到待决或者还没有被确定。可以限制对于待决内容的随后的访问。服务器根据自从所述内容在服务器上被第一次看到的时间来对于内容进行分析。根据所述分析或者其它外部确定,服务器可以确实地确定在状态上的改变。这些改变可以被主机指示来用于以后的检索,因此主机可以使用所改变的状态来更新它们的抗体高速缓冲存储器。
主抗体跟踪
参见图3,主机截取文件操作(501),包括执行、读取、重新命名或者写入,并且向全状态文件操作过滤器(502)提供所述操作。如果所述文件名称不在核心高速缓冲存储器中,并且存在核心高速缓冲存储器未命中(miss)(510),并且如果已经有可能的文件或者内容修改(511),则所述状态无效。所述文件然后去往内容提取器,内容提取器提取感兴趣的有效内容(503)以产生减小的文件(如下更详细所述),并且向内容签名器提供所述减小的文件(504)。内容签名器向减小的文件应用诸如MD5之类的加密散列。这个散列与文件和文件名相关联。可以当散列和其它分析(高速缓冲存储器未命中解析)完成时延迟/停止文件操作。
主机也根据散列值内容来进行本地查找,以试图获得状态(505)。如果内容和状态未被找到,则所述状态被设置为待决。这可以表示文件操作被允许进行,虽然诸如记录之类的另外的监控也可以发生。如果所述内容被找到,则名称、内容、容器(包含有效内容的文件)和状态全部关联在一起(507)。否则,主机向服务器请求在其存储器中查找内容(506)。如果在那里找到了,则名称、内容、容器(包含有效内容的文件)和状态全部关联在一起(507)。如果内容和状态未被找到,则所述状态被设置为待决,并且所述内容被上载到服务器(508),服务器确认所述上载(509)。服务器也可以查看与多个服务器相关联的“超级服务器”。容器关系被存储,并且与文件和其它容器相关联。容器信息也被发送到服务器和主机以及被发送来用于分析。“根”容器是未被另一个容器包含的容器。通过它们相关联的文件以及通过加密散列值来识别容器。
一般地,向文件内容的“有效”部分或者整个文件内容的散列值或者签名分配抗体状态。因此,一般地,HASH(文件数据/内容)→状态。这映射数据→状态。状态(S)可以包含多个信息,诸如“批准”(白名单)或者“禁止”(黑名单)或者“待决”(诸如还没有被完全分析的新看到的文件的“灰名单”)。
这个系统的优点是将名称状态与内容状态组合。例如,服务器可以指定和存储多个名称禁止,诸如*msblast.exe。服务器将名称状态策略存储为正则表达式和相关联的元信息的列表。与所述正则表达式匹配的任何文件驱动器/路径/名称/扩展然后继承名称元信息。每当文件名被改变或者名称元信息指定改变时更新这个名称元信息。从服务器向主机传播名称状态和策略。例如,通过加上*msblast.exe→NameBan,服务器将感测到新的策略/状态,并且将向主机传播那个规格。主机然后对于它们的名称元信息高速缓冲存储器搜索与*msblast.exe的匹配,并且那些匹配的文件将继承NameBan状态。主机文件状态是名称和数据状态的叠加:例如,如果temp_msblast.exe具有内容状态=待决,则其组合状态是禁止,因为NameBan相对于待决具有优先权。以类似的方式来处理名称批准状态。
抗体被分层地存储在数据库中。存在如上所述的抗体的四种主要存储位置。在主机代理中,核心抗体高速缓冲存储器82映射文件NAME(名称)→抗体STATE(状态)。例如,NAME=c:\windows\bar.exe→STATE=approved。简写的话,这种映射是N→S。核心可以并且实际上根据所述状态来实施策略,而不需要访问文件内容。当文件可以在核心中被加密但是以未加密以上的形式可见时,这是有益的。所述核心直接访问名称,但是不访问散列值。由于可以有较长延迟(秒、分钟、小时、天),核心高速缓冲存储器可以较弱地与其它的高速缓冲存储器一致,并且最后与服务器一致。
主机代理具有用户抗体名称高速缓冲存储器(UN)和用户抗体数据高速缓冲存储器(UD)60。UN将文件名映射到文件内容(数据)的散列值,即UN映射N→数据。并且类似地,UH将数据映射到状态Data(数据)→S。一般地,N→数据的映射是多对一,UN镜像本地文件系统的结构。所述数据→S的映射一般是一对一的,因为对于优选使用的强散列值(诸如MD5),散列值冲突是很少见的。UN和UD高速缓冲存储器也与服务器弱一致,但是UN和UD与本地主机文件系统强一致,就像核心高速缓冲存储器那样。UN和UD可以被组合如下:N→数据→S=N→S。
服务器具有已经被其任何主机报告的一般每个唯一的散列值的抗体数据库34,并且超级服务器(如果存在一个)具有已经在任何其服务器上看到的一般每个唯一的散列值的抗体数据库。限于唯一散列值限制了存储和处理,虽然可以使用在存储和处理上的进一步的改善来存储更多。而且,限于唯一散列值导致更有效的分析和更低的网络流量。
一般地,新的文件响应于“新文件”或者“脏文件”事件而从主机向服务器向超级服务器传播,并且新计算的抗体状态相反地以抗体更新的形式从超级服务器向服务器向主机核心传播。以这种方式,中央地控制、管理和验证抗体。所述服务器“拥有”和证明所述抗体,并且所述服务器提供所述抗体还没有被改变或者伪造的认证。主机保存它们自己的抗体,其一般(但是不必要)对应于在服务器上的那些抗体。因此,损害的或者误操作的主机不能使得服务器或者超级服务器抗体集变差,损害的主机也不能使得其它主机的抗体变差。
在主机上,抗体状态最好被存储,以便其不与散列值/数据相关联,而是通过名称相关联。核心分析、解译和实施策略,并且按照名称来查找所述文件的状态。可以明白,优选的实现方式在核心中实施策略,但是其它的实现方式可以在用户空间中实施策略。当查找状态时,在用户空间或者核心中,其实际是确定结果产生的状态的混合体。例如,如果foo.exe的数据抗体待决,但是名称抗体根据其名称而被禁止,则GetABState(foo.exe)返回“按照名称禁止”的结果。存在用于阻止具有抗体状态=NameBan的文件的执行的独立策略。那个策略的行为被D的值如上参数化。一个差别是阻止“按照名称禁止”的策略在较低的D安全设置有效。例如在D=4,“待决”文件将执行(使用无声警告),但是被禁止的文件不执行。
名称禁止被表示为正则表达式的列表,并且可以在服务器上包括通配符(*),例如“*oo.exe”或者“*msblast.exe”。这些列表具有版本号码。当主机轮询时,它们查看它们的版本号码。当主机检测到不匹配时,其然后从服务器发送GetNameBans查询(即主机从服务器拉新的禁止数据)。然后,对于名称抗体重新评估这些正则表达式。名称禁止是状态的属性,并且仅仅当名称禁止列表改变时或者当文件名改变时被重新计算。不必在每个文件操作比较通配符列表。因此,数据抗体和名称抗体的双特性有益。而且,成百上千的名称正则表达式可以同时有效,而不对于每个文件操作要求在核心中进行几千个正则表达式匹配计算,这会是极为昂贵的。
文件内容跟踪
向回参见图2,截取/阻止功能86可以截取并且读取文件访问请求。其可以在获得策略信息的同时中止请求,根据在核心内的策略来阻止请求,并且对于被阻止的请求返回适当的错误代码。功能86从文件访问请求读取请求处理名称、所述请求的本地系统时间、所请求的数据(包括全路径)和所请求的行为(例如读取、写入或者执行)。在一个实施例中,功能86向“全状态过滤器”88提供所有的文件访问请求,每个操作被阻止,直到过滤器88返回标记,所述标记指示所述操作或者被阻止或者被允许。
过滤器88从功能86截取文件访问请求,并且对于大多数文件访问请求返回“阻止”或者“允许”的行为。不能与已经被批准的文件访问请求相关联的任何文件访问请求被转发到核心触发器和行为模块90,其返回“阻止”或者“允许”的行为。这个行为被过滤器88存储,并且最好对于任何随后的相关联的类似文件访问请求被发送到功能86。
过滤器88维护已经打开的文件的高速缓冲存储器84(通过核心范围的唯一标识符来索引;例如在Windows NT中的核心文件句柄)。每个高速缓冲存储器输入项包含文件标识符(核心文件句柄),并且阻止或者允许对于读取、写入或者执行的许可。
如果多个处理访问同一文件,则每个将具有其本身的高速缓冲存储器输入项。如果给定的处理尝试新的文件访问,则全状态过滤器将经历那个文件的高速缓冲存储器未命中,这将使得其向所述触发器和行为模块提交文件访问请求。如果模块90允许,则所请求的操作(读取、写入或者执行)的标记应当被设置为“允许”。否则,其应当被设置为“阻止”。如果仅仅获得一种许可(例如读取)的处理然后尝试另一种处理(例如写入),则模块90将再一次被接触。
其使用期限超过特定值(例如60秒)的高速缓冲存储器输入项可以被删除。这允许剪除由于某些原因未被去除的输入项。这也允许通过模块90定期重新查看文件。
在这个示例中,通过用于文件“foo.exe”的主机代理核心程序(HK)来在阻止垫片(shim)86中的核心中捕获文件写入操作。在D=4的值下,文件操作(在此为文件写入操作)被激活的“脏跟踪”策略捕获,并且这从主机核心程序向主机代理用户空间程序(HU)发出“脏”事件。这个事件指定文件名和脏操作。对于这个操作不参考核心高速缓冲存储器82,因为脏跟踪策略使得那个字段为空。
HU然后对于foo.exe执行在文件和事件处理66和分析引擎68中的多个本地分析操作。首先,查看foo.exe以看是否其存在,是否是可读,是否其确实是可执行部分。可以执行其它的操作,诸如在过滤器88中提取“感兴趣的数据”;例如,如果文件是foo.bat,则可以去除脚本说明。所提取的foo.exe的数据然后被以加密方式散列化,并且这个散列值用于尝试在HU抗体高速缓冲存储器60中的查找表。如果名称和数据已经存在,则不进行任何其它事情。如果名称是新的,但是所述数据是已知的,则在UN高速缓冲存储器中建立新的名称抗体。这个处理是被称为“阶段1分析队列”项目的所有部分。可以排队在主机上在阶段1队列中等待散列化的许多文件。阶段1队列仅仅具有名称抗体和元信息,因为所述数据还没有被知道或者分析。
如果主机已经看到这个文件数据和散列值,则那个散列值的对应的已知元信息与那个文件的主文件元信息相关联,所述元信息是从UD本地存储器或者本地盘存储器以那个顺序被检索出来的。如果主机还没有看到这个数据,则UD高速缓冲存储器“未命中”。所述散列值被置于阶段2分析队列。实际上,存在数据抗体,即,逻辑地跟踪数据的状态(诸如“批准”、“禁止”或者“待决”),并且也存在名称抗体,例如“按照名称禁止”。例如,如果服务器禁止“oo.exe”,则foo.exe的名称抗体将指示“NameBan”,并且名称禁止策略可以据其来阻止。因此即使高速缓冲存储器可能知道已经(通过名称)禁止了foo.exe,脏跟踪解析仍然继续。名称和数据抗体的这种区别在范围上对于独立的主机是本地的,但是其对于FindFile(查找文件)功能(下述)和对于策略实施变得重要。所述数据抗体因此被置于阶段2队列中。
阶段2分析尝试首先从存储器高速缓冲存储器、然后从基于本地盘的数据存储器、然后从服务器解析本地状态信息。如果服务器被连接,则阶段2队列将当解析元信息时为空。当从这个队列去除foo.exe时,如果未本地找到那个散列值,则向服务器查询是否它已经看到这个数据散列值。如果回答是否,则foo.exe及其散列值和其它元信息被置于阶段3队列中以上载到服务器。另外,如果服务器还没有看到所述散列值或者如果服务器分析还没有完全结束以确定其它状态,服务器将向主机发送默认的抗体状态,即“待决”。如果服务器已经计算了有效的抗体和状态,则其返回这个抗体元信息。如果服务器从未看到foo.exe的这个数据,则在所述服务器的经历中的所有机器从未看到这个文件的意义上来说其是新的。
当从阶段3队列去除foo.exe时,其使用加密的单向传送被上载到服务器。即,使用FTPS(安全文件传送协议)和只写服务器目录,文件可以被上载到服务器,但是不能被下载。当成功地完成上载时,主机向服务器通知传送了foo.exe。这种传送通过散列值被引用,以便最小化信息泄漏和用于附加的安全性。
当服务器知道上载了foo.exe时,像主机那样,其通过经由几个阶段分析文件而开始。在这种情况下建立新的抗体,所述服务器使用其被同步的被验证时钟来记录其首次出现的时间。而且,执行所述提取和散列化,并且那些结果取代所述主机的相应内容。
服务器分析按照在服务器上指定和存储的时间表。这个时间表与文件或者其散列在服务器上的第一次出现时间相关。例如,如果文件在中午到达并且时间表是“在+0散列查找并且在+0AV扫描并且在+2小时AV扫描”,则在中午,将使用外部散列查找服务来计算和查找文件散列。然后,执行AV扫描。两个小时后,在下午两点,执行那个文件的另一个AV扫描。用于描述所述时间表的另一个方式是其与“在服务器上的文件使用期限”相关联。
当抗体在服务器上改变状态时,递增的计数值被写入到所述抗体中。这个计数用于仅仅选择自从任何特定的主机或者超级服务器登录起已经改变的抗体的范围。例如,如果前一个抗体改变是从待决→批准过渡的glorp.bat并且全局抗体版本计数是277,则对应于glorp.bat的散列的服务器抗体将获得版本号277,并且计数将是278。因此,对应于抗体foo.exe的版本号是278,并且计数是279。
当主机定期轮询时,它们提供它们最后的抗体版本号,并且服务器将发送自从最后的轮询起已经改变的所有抗体。优选的是,所述服务器发送当前的编号,并且当主机意识到不匹配时,其向服务器查询抗体更新,并且返回数据抗体的列表。这些然后被合并为主机抗体,并且也向核心内下发改变。虽然主机可以获取并且存储从未看到的数据的一些抗体,一般仅仅对应于现有的主机文件的那些抗体被合并。通常丢弃其它的抗体。服务器捕获最后几分钟的更新,以最小化对于每个主机定制所有的更新的效果。此外,因为主机通常获得比它们需要的更多的抗体,并且因为新的抗体很少见,因此这个流量是有限的。抗体更新小,大多数其它消息都如此。
抗体可以以类似的方式保持与超级服务器同步。在此,超级服务器可以轮询服务器,并且获得抗体更新列表。超级服务器可以合并它们,并且发出每个服务器的定制的更新。这些更新全部在它们会滞后几分钟或者几天上弱一致,但是必须有互锁(interlock)和保护以避免在更新中的“空洞”。
存在与抗体的合并相关联的其它方面和特征。例如,一些服务器可能不从超级服务器接受特定的抗体更新。而且,主机将不允许特定的本地状态改变到特定的服务器指定状态。
一个问题是关于高速缓冲存储器的初始状态和初始策略。服务器高速缓冲存储器可以预先安装已知的良好和坏的散列抗体,或者其可以是空的,都是可以的。但是,主机必须偶尔“点滴式充电(tricklecharge)”。例如,当主机首次连接到特定服务器时,检测到这个事实,并且主机将执行点滴式充电,其中,在主机文件系统上的每个单个感兴趣的文件被插入到阶段1队列中。在此处理期间使用D的特定值以保证不确定的高速缓冲存储器将不引起问题。抗体一般全部以状态“待决”开始,并且它们缓慢地与服务器同步。而且,所有的主机抗体和队列信息和相关联的全局符定期地被保存,并且过度重新启动。
核心高速缓冲存储器一致性
在主机代理的启动或者其它初始化时,对于具有有效元信息的每个已知的现有主机文件,所述核心被安装从用户空间已知的每个有效抗体。一些抗体更新当它们被从服务器或者从在用户空间中的分析队列接收时被发送到核心中。但是,某些更新是核心高速缓冲存储器未命中的结果。如果确定一个策略有效,并且如果需要抗体状态而如果那个状态不可获得,则所述核心一般将所述操作延迟某个时间,并且向用户空间发送核心未命中事件。即使不立即需要抗体,一些事件也可以被延迟。这是当一个策略通过与用户接口(弹出消息框)交互(例如点击是(yes)来覆盖(override)被阻止的待决操作并且使得随后的受限操作接续,而不阻止某个时间)来允许主机用户覆盖受限状态(待决)的情况。
在一个示例中,安装程序打开被称为inst.exe的新的程序,然后将其重新命名和执行。通过在执行所述分析的同时延迟所述重新命名并且延迟所述执行,核心将避免暂时的不一致。结果产生的抗体从用户空间异步地被发送,然后一旦完成了所述异步更新,则待决操作解除阻止,并且使用所需要的状态信息来评估策略。
所述核心高速缓冲存储器在初始化时包含在文件系统中的几乎所有文件的抗体。可以在核心高速缓冲存储器中留下空洞或者其它不一致的操作(即使是短时间的)被延迟并且互锁,以便保持一致性。用户空间高速缓冲存储器被优化以便以很低的延迟来解析核心未命中。当核心和用户空间高速缓冲存储器对于服务器侧延迟很不敏感时,核心高速缓冲存储器对于互锁和正确的持久性敏感。
查找文件(FindFile)
因为UN和UD高速缓冲存储器最好被优化以用于低延迟的查找,因此这些高速缓冲存储器可以被用作来自服务器的分布式抗体查询的一部分(在此被称为“FindFile”功能),以产生什么文件在什么主机上的视图。通过经由在服务器或者超级服务器上的网页接口提交网页浏览器形式,管理员可以指定FindFile请求。例如,可以联合地指定下面的限定符:
(1)文件名的正则表达式模式指定,
(2)文件路径的正则表达式模式指定,
(3)文件的感兴趣的内容的散列值,
(4)与文件相关联的容器的散列值或者其它ID,
(5)当主机第一次看到文件或者文件的散列值时的时间范围,
(6)主机的名称,
(7)主机的IP地址
(8)文件的类型
(9)来自一组至少三个状态(批准、禁止、待决分析)的、与文件相关联的一个或多个主机文件状态。例如,一组AllBanned=(NameBan,BanByHash)。
(10)是否主机对于文件执行了特定的文件操作,以及
(11)主机组
参见图4,完成的FindFile请求与电子邮件的相似之处在于:服务器发布(post)对于由指定主机进行随后的检索的请求。当主机登录(check in)时,它们获知是否存在来自服务器的FindFile消息在等待它们。当一个主机获知其具有未完结的FindFile请求时,其使用获得查找文件请求(GetFindFileRequests)来检索所述请求,GetFindFileRequests如图4中的线(1)所示。换句话说,所述请求最好被实现为从服务器的“拉”。这允许更安全的实现,而不需要监听的主机插口。
所连接的主机的每个通过访问来自它们的抗体高速缓冲存储器的适用数据而处理它们的FindFile请求,并且将结果列表发布到结果数据库,被示出为发布查找文件结果(PostFindFileResults)(图4中的线(2)),其中包括下面的所返回的每个文件的信息的一些或者全部:
(1)文件名,
(2)文件路径,
(3)文件的感兴趣的内容的散列值,
(4)当主机第一次看到文件或者文件的散列值时的时间,
(5)主机的名称,
(6)主机的IP地址,
(7)文件的类型,
(8)文件的容器信息,
(9)来自一组至少三个状态(批准、禁止、待决分析)的、与文件相关联的一个或多个主机文件状态,
(10)是否已经由主机对于文件执行了特定的文件操作,以及
(11)主机组
在一种实现方式中,通过主机首先连接到服务器并且发送一个或多个网络消息,并且在断开之前接收对于主机消息的服务器答复,完成所有的主机服务器通信(不仅仅是FindFile)。同样,这具有更安全的优点:因为不需要监听主机插口。存在另一个优点:仅仅需要维护服务器寻址和路由,而不维护主机寻址、路由和减少发现这样的主机信息的必要。
服务器混合和建立来自主机的FindFile结果列表的主列表。这些列表的并集是完整的FindFile请求响应,并且其随着时间建立,通常以少于一分钟的时间完成。因为本地主机处理仅仅访问抗体高速缓冲存储器,而不访问主机文件系统,因此这些查询会很快。双重名称和数据抗体关联系统和高速缓冲存储器允许这一点。服务器然后例如通过网页接口向管理员输出结果。而且,特定的FindFile结果可以影响和触发SNMP、syslog、警告和其它通知系统。
超级服务器也可以以类似的方式发布要由服务器访问的请求,或者超级服务器可以直接向服务器递交FindFile请求。然后,服务器可以向超级服务器返回合并的结果,超级服务器然后可以将这些合并为较大的主结果。这类似于当处理FindFile请求时在服务器和主机之间的关系。
定时器触发的中央分析
参照图5,服务器可以根据事件来执行分析,例如每次主机上载内容时的分析,或者系统可以根据时间来执行这些分析。如上所述,新的内容可以被上载到服务器,并且使用外部和/或内部分析代理来执行分析以建立被存储在数据库中的元数据或者元信息。例如在当上载新的内容时相对于文件的第一次观察的特定时间间隔后,所述系统可以然后查看另外的所计划的分析。服务器和超级服务器可以执行许多类型的另外的基于时间的分析。
参见图6,当首次看到一个文件并且其抗体被加到服务器数据库时,效果是好像对于每个文件启动定时器。因此,例如,时间间隔可以是(在第一次看到或者向服务器的报告后,t=0=立即,t=12小时之后,t=2天之后,t=30天之后),并且可以基于服务器的时钟。除了一次的定时行为之外,可以指定周期的行为。如在此所示,可以在不同时间执行反病毒(AV)和反间谍件(AS)扫描,并且可以执行其它分析。对于以后的时段,这可以是与可能已经查看了所述文件的其它服务器的比较。通常,以后的分析将基于在某个时段内首次看到的所有文件。例如,在一个小时时间内首次看到的所有文件将在所述时段内的最后文件起的12小时获得12小时分析。
参见图7,系统选择要分析的文件,并且发送文件以执行指定的分析。可以对于每个时间间隔指定不同的操作。因为文件在服务器上被保存一段时间,这些时间启动的分析可以进行,而不论原始主机是否仍然连接。可以执行的中央定时服务器分析的示例包括:
(1)计算替代散列值(例如使用MD5或者SHAI算法),验证被报告的散列值,并且存储所有的散列值。
(2)使用服务器证书或者其它第三方证书来认证和签名内容。
(3)本地或者经由另一个服务器的查询而查找相对于已知的坏数据库(黑名单)的散列值。
(4)本地或者经由另一个服务器的查询而查找相对于已知的好数据库(白名单)的散列值。
(5)查找相对于已知产品分类数据库的散列值以识别对应于文件散列值的产品(和其它信息)。
(6)发送用于病毒扫描的文件(例如通过作为例如MIME附件的FTP或者SMTP),或者本地执行。
(7)像在(4)中那样发送用于间谍件扫描的文件,或者本地执行。
(8)像在(4)中那样发送用于与站点特别定制分析的文件,或者本地执行。
(9)向在网络文件服务器上的特殊受限网络访问子目录(例如被认证的samba或者FTPS)输出文件。
(10)发送新文件需要分析的SNMP陷阱,并且指定它们的位置。
(11)发送新的文件需要分析的Syslog或者电子邮件消息,并且指定它们的位置。
(12)查看特定的目录以看是否另一个系统已经批准或者未批准文件。
(13)对于服务器执行定制分析。
(14)自动执行以第一分析的结果为条件的第二分析。
(15)从外部分析系统接收包含分析结果的被认证的网络消息。
上述分析的结果在服务器上被汇总,服务器更新元信息存储库(124)中的状态,特别是要广播到主机的状态。服务器对于是否应当批准或者禁止文件作出建议。信息被汇总,以便管理员可以使用一个网页浏览器行为来批准或者禁止文件组。可选地,来自上述分析的结果可以用于自动使用特定的抗体来批准或者禁止文件。服务器可以提供报告、警告或者其它信息,并且可以改变所有或者一个或多个组的主机的参数D值。服务器标记状态改变以便以后通过更新(130)来分发,优选的是以主机从服务器拉(pull)更新的方式。
抗体分析/批准服务
因为系统聚焦在新的文件上,因此,可以使得外来的文件分析服务实用和有益。这些服务可以是自动化的(例如使用SOAP/网页服务调用)或者人工的(沿着到服务提供商的服务器的已认证的链路)。可以使用远程服务器本地或者在装置外部执行的这些服务可以包括:
(1)人工地输入散列值或者沿着预先计算的网页链路以获得已知的好和坏数据库查找项的查询结果。诸如公司的实体可能希望保存全局白名单或者全局黑名单。后者不对于散列值起作用,因为它们太多。前者不起作用,因为不同的公司具有用于限定“好”程序的不同策略。这些服务处理如下所述的白名单/黑名单/灰名单和表决。
(2)查找与特定抗体相关联的抗体(例如与同一应用或者类似的应用相关联的文件组)。
(3)识别与散列值相关联的提供商和应用。
(4)查明多少公司和计算机具有那个文件并且多长时间具有那个文件。这些公司将不通过名称而被识别,仅仅被计数。服务提供商将作为这个服务的一部分秘密地收集这个信息。服务提供商建立结果和服务的双盲(double-blind)数据库。
(5)查明多少公司已经禁止或者批准了文件,并且它们与所述文件一起批准了哪些文件。同样,从终端用户的视点来看,这些全部是盲的并且通过散列值来进行。服务提供商不必收集或者存储文件名或者文件数据,仅仅收集以抗体形式的元信息。事实上,文件名并且当然文件本身应当被考虑为专有信息。
(6)基于上述查询的结果以及也基于服务器侧的分析的自动化的服务器侧批准。
内容提取器(CE)
内容通常形成内容的组或者包。其示例包括可执行程序和在.zip文件中的病毒或者在微软Office文件(例如Word、Excel和Powerpoint文件)中的宏或者在安装包中的文件,诸如微软.msi文件。参见图8,接收文件,并且内容提取器查找嵌入的内容类型,诸如在Office文件中的宏。优选的是,仅仅提取这样的“有效”类型的内容。
在检测到可能的文件修改(600)或者未知状态后,提取器获取所提取的部分,并且将它们转换为有效的内容文件类型(诸如没有文本或者附图的Word(.doc)文件),以重新打包它们。这个处理被图解为步骤600-605。结果产生的重新打包的文件一般比原始文件(“容器”)小得多,并且被称为“缩小品”。所述缩小品的散列值被计算(603),并且将所述缩小散列值与容器散列值相关联(604)。容器可以被嵌套,并且具有关联的那些也被跟踪。以后,如果内容需要被上载,仅仅上载所述缩小品。作为选用,可以根据提取的分析的结果来上载容器文件及其元信息。可以根据提取的分析的结果来上载根容器和它们的元信息。例如,文件setup.exe包含文件main.cab,其继而包含文件install.exe。相对于install.exe,main.cab是install.exe的父容器,并且setup.exe是install.exe的根容器以及main.cab的父容器。所有这些关联被存储,优选地被存储为在独立文件的散列值之间的关系。
这个处理减少了分析阶段的网络流量和覆盖区(footprint),并且其允许仅仅跟踪嵌入内容,而不跟踪与其它文件(例如继承的文件模板)相关联的宏。这对于在宏装载时截取它们的方法不适用。提取器允许位置独立的嵌入宏检测和跟踪。
所述缩小品被重新打包为其它有效文件类型具有下述优点:所述缩小品与第三方分析系统兼容,例如被重新打包为小Word文件的宏可以作为电子邮件附件被发送到病毒扫描电子邮件网关。另一个示例是zip文件,temp.zip,其包含5个文件,仅仅其中之一是有效的,foo.exe。temp.zip的缩小品可以是zip文件foo.zip,其中仅仅有foo.exe;或者,缩小品可以是foo.exe本身。Foo.zip的签名或者foo.exe的签名最好被相关联为对应于temp.zip的签名。缩小品可以再次被以电子邮件发送到AS扫描电子邮件网关。一些容器缺少有效内容,因此可能不被跟踪。在跟踪缩小品上有效率高的优点,也有仅仅检测和分析新内容的优点。以这种方式,可以产生更多的精确的统计、警告和分析。诸如待决状态文件的未分类内容的自动和特定的早期检测允许强大的策略和内容管理。
服务器用户接口
服务器的用户接口提供了多个“面板”,其中每个允许配置和管理系统的不同方面。在这个部分中,术语“用户”用于指示有权使用服务器用户接口的管理员。可以经由SSL加密的连接通过标准的网页浏览器来访问所述用户接口。认证和访问控制被提供来保持服务器的完整性,并且确定特定用户的特权级。
当用户第一次访问系统时,用户被认证并基于这个认证被分配特权级。这个特权级确定是否用户被允许无限制的访问或者只读的访问;也可以提供访问的更细的粒度。按照用户名和时间来跟踪和记录用户行为。在服务器上安装的证书可以用于控制和加密对于用户接口的访问,并且也提供被返回到主机的信息的签名和可能的加密。这些证书可以在维护面板中被安装和更新。对于接口的所有输入应当被正确地验证以保证服务器正向在它们的配置中的主机提供正确的信息。
网络状态接口提供运行的系统的概览,其中包括近来的事件和相关联的信息,所述相关联的信息包括唯一文件标识符、事件时间戳、事件类型、事件优先权、文件类型和名称以及通过名称和唯一标识符识别的主机系统。所述接口也提供关于在特定时段(例如最后一个小时、最后一天)期间的系统的状态的汇总信息。在统计面板中可以获得更详细的信息。在此显示的信息包括所进行的新的可执行部分的编号、所检测的新的脚本、具有新的嵌入内容的文件、未批准的文件和被感染的文件。
统计面板显示由系统收集的更详细的统计。这个信息包括在各种时段(例如,最后一个小时、最后24个小时、最后一个星期)中的下述事件的数量。它可以包括例如在网络上看到的新的可执行部分的数量、具有新的嵌入内容的文件、新的网页文件(HTML,ASP等)、还没有人工或者通过扫描被批准的文件、通过扫描处理批准的文件、人工或者经由自动批准而批准的文件、扫描失败的文件、已知被感染并且已经被阻止的文件、被禁止并且阻止的可执行部分、自从事件被第一次安装起由服务器处理的全部事件以及自从最后一次重启起的事件。
伴随每种类别的统计,用户可以观看一个项目的“前10个列表”,高亮在由服务器管理的所有主机上的每个的最常看到的实例。前10个列表的示例包括按照多少主机至少具有文件的一个拷贝的计数而排序的前10个近来发现的文件,这个列表的变体包括按照唯一的散列值的计数、按照唯一的文件名的计数、按照散列值被禁止的计数、按照名称被禁止的计数、近来被禁止的计数、近来更新/修改的计数、按照唯一组/容器/根容器/产品的计数。经由SNMP来更新和报告前10列表。配置面板可以用于根据前10计数和其它更新变量来配置警告和自动响应。警告包括记录报告、SNMP陷阱、syslog消息、电子邮件通知和其它网络消息。响应包括禁止文件、批准文件、改变一个或多个主机组的参数D、改变一个或多个主机组的策略、改变一个或多个主机的主机组分配和分析文件。
统计面板也包括关于系统的整体信息,其中包括:被划分为有效和无效(无效主机是近来未接触服务器的主机)的、由这个服务器服务的主机的总数;在服务器数据库中的抗体的总数;以及正常运行时间,即系统自从最后一次重启已经正常运行了多长时间。
也可以经由向服务器的SNMP(简单网络管理协议)查询来获得在这个面板上显示的统计信息,允许与网络管理系统交互。
绘图面板允许用户绘制和打印近来的行为的图形和图表。这个面板可以与统计面板组合。也可以以XML格式来获得绘制信息以在外部应用中显示。可以被绘制的图形的示例包括在近来的时段(按照分钟计的一个小时、按照小时计的一周等)上的行为或者“前10个列表”图形显示。
由于对于由服务器保留的统计信息的限制,对于可以获得的多个绘图有一些限制。当管理员正在使用SNMP管理系统时,其也能够在组织内提供已经在使用的格式的统计绘图。
抗体数据库面板允许用户直接地与在服务器上存储的抗体数据库交互。数据库的内容被显示,并且用户可以选择通过不同的标准来分类所述显示,或者通过选择过滤模式而限制所述显示。用户也可以与抗体本身交互;这些操作被详细说明如下。
服务器可以使用辅助信息数据库,其包括在主抗体数据库中不要求的字段。在这个数据库中的字段的一个示例可以是第一个看到的文件名或者初始文件类。
对于每个文件,在这个面板上显示下面的信息:
●第一次看到的时间。文件或者散列值被主机第一次看到并且报告到服务器的时间。
●文件ID。文件的唯一标识符,包括内容的一个或多个散列值,诸如MD5、SHA-1和OMAC。
●文件类型。网络类别(例如可执行、脚本、office文件、档案文件等)。其是当其被第一次看到时从文件名得到(见下),并且也从文件内容的分析得到。
●状态。包括批准、待决、禁止的当前文件状态。
●方法。服务器得知文件(自动、人为等)的方式。
●文件名。文件当第一次被看到并且被报告到服务器时的名称。其可能不是文件的当前名称,而仅仅是在网络上看到的第一示例的名称。
●文件路径。文件当第一次被看到并且被报告到服务器时的路径。
●第一次看到的主机。文件或者散列值被首次看到和报告所在的主机的名称。
●分析结果。最新的扫描或者其它分析的结果。
●第一次分析。文件的第一次扫描/分析的时间。
●最后一次分析,最后扫描/分析文件的时间。
●最后更新。最后修改文件状态的时间。
●父容器。到已经与文件相关联的其它文件的链接。
●父容器属性。一个相关联的容器文件的文件名、第一次被看到的时间、第一次被看到的主机、文件路径、产品类别和状态。
●根容器。到已经与文件相关联的其它文件的链接。根容器是未在另一个容器中被包含的容器。
●根容器属性,一个相关联的根容器文件的文件名、第一次被看到的时间、第一次被看到的主机、文件路径、产品类别和状态。
可以对于从列表选择的文件执行下面的操作:
●文件细节。这从抗体数据库提供了关于文件的附加信息,包括批准或者禁止所述文件的接口用户(其中,所述文件被首次看到)、用户加上的任何评述。
●批准。明确地批准当前选择的文件。这个选择应向用户提供足够的警告,因为其将在所有主机上批准所述文件。
●不批准。明确地不批准已经被批准的文件,最好过渡到待决的状态。
●禁止。明确地禁止文件。这使得文件在所有的主机上被禁止。
●分析/病毒扫描。强制所选择的文件的分析/扫描的计划。
●删除。去除关于这个文件的信息。这将使得服务器下一次看到所述文件时将所述文件当作新的文件。
●在主机上查找文件。这个操作链接到文件查找器,用于将所选择的文件名提供为输入。
●查找容器。查找文件的可能容器和那些容器的信息。
●查找根容器。查找文件的可能根容器和那些容器的信息。
●查找网页服务信息。查询各种其它网络服务器以找到关于所述文件和/或其容器/产品的附加信息。
文件查找器面板允许用户启动在所有的被管理的主机上找到特定文件的位置的尽力处理。因为这个处理可能是耗时的,因此用户在启动新的搜索之前被通知。可能不在产品的所有版本中实现文件查找器。可以在查询的部分完成期间报告FindFile处理。
也以通过选择一个或多个特定文件来从抗体数据库面板启动所述处理(参见第0部分),这然后将用户带到文件查找器面板,并且自动填充适当的信息。
这个处理需要与服务器通信的所有的主机异步地返回状态,因此,所述面板将打开新的视图以动态地显示被接收的结果。如果用户启动另一个搜索,则将终止当前的搜索。可以在未来的版本中允许多个文件搜索。
主机组面板允许服务器已知的主机与特定的逻辑组相关联。在接口的初始版本中不可获得全组功能,在这种情况下,这个屏幕将显示关于由这个服务器支持的单个组的信息。
所述面板支持操纵组成员资格,包括:
●加上新的组。
●去除现有的组,当去除一个组时,不从服务器的数据库去除主机,而是将其重新分配到默认组。
●从一个组向另一个移动主机。
在这个面板上显示关于每个主机的下面的信息:
●主机。主机的DNS名称。
●唯一ID。主机的唯一标识符。
●IP地址。这个主机的最后一个已知的IP地址。
●状态。主机的在线状态。
●最后看到。主机向服务器登录的最后时间。
●操作系统。主机的操作系统版本。
●版本。在主机上的操作系统的版本。
文件类面板允许观看和编辑被映射到每个类的文件扩展。通过扩展来定义下面的一些类。通过内容的分析来确定其它类。通过扩展和分析来确定一些类。这些扩展是只读的。
一些预先定义的扩展类是:
●可执行部分。包括exe、com、dll、pif、scr、drv和ocx的扩展。
●脚本。包括vbs、bat和cmd的扩展。
●嵌入的宏内容。包括doc、dot、xls、xla、xlt、xlw、ppt、pps和pot的扩展。
●网页内容。包括htm、html、asp和cgi的扩展。
策略面板是服务器的配置的核心。用户可以显示和编辑通过主机组分组的、在所有的被管理的主机上实施的策略。这个面板也显示当前选择的组的当前全局D设置。
这个部分允许用户定义当前所选择的组的全局D级。当选择新的D级时,不立即应用所述改变,但是必须明确地选择所述改变。选择新的所提出的D级改变策略信息和行为的显示以示出这个新级的那些信息和行为。从面板导航离开将不应用所述改变。
策略列表显示在特定文件类(例如可执行部分、脚本等)上的特定D级的各种行为和效果。可以使能或者禁止策略,但是不可以编辑策略。在所述列表中包括下面的策略:
●新的可执行部分
●新的单独脚本
●新的嵌入脚本
●新的网页内容
●未批准的网页内容
●忽略更新代理(自动批准来自特定更新源/处理/位置的新的内容)
●病毒/间谍件感染的文件
每当禁止策略时,那个类的文件的跟踪仍然继续,但是被影响的主机系统不采取行动。
对于每个策略,显示行为网格。所述网格指示在当前所选择的D级上应用哪些策略设置。
●行为
●阻止执行。这个文件类的执行要被阻止吗?
●阻止写入。向这个文件类的文件的写入将被阻止吗?这个设置仅仅用于网页内容和未批准的文件。其仅仅用于严格地受控的系统,而不用于正常的操作。
●隔离。将隔离这类的文件吗?可以通过阻止读取,而不是移动到独立的目录来隔离文件。在病毒感染的文件的情况下,这些可以被写入,但是随后被删除,但是这个功能也可以不在初始被实现。
●记录。将记录对于这个类的文件的访问吗?
●批准
●隐含的批准。文件在这个D级上被隐含地批准了吗?在适当的扫描和等待时间后,隐含的批准改变文件的被批准状态。
●明确的批准。在这个D级上明确地批准文件吗?
类似于上述的那个的行为网格与预先制订的策略组合地向用户示出了特定D级的效果的表示。下面的表格示出了在各种D级(0-7)上的行为和预先进行的策略的组合的示例。
通知参数
当阻止内容访问时,主机用户被通知。对于在列表上的每个策略,并且对于每个主机组,可以获得下面的设置:
●所显示的消息。在用户交互对话上显示的文本。在列表框中列出多个消息。
●按钮文本。在用户交互对话上的单个按钮上显示的文本。
●超时。对话将向用户显示多长时间。零超时表示一直到用户接受,并且对话保持无限期地被显示。
●作为选用,对于D的特定值,用于覆盖内容限制一段时间的按钮。
●具有关于策略的更多信息的ULR链接。
所述通知参数也包括全局设置,用于与通知消息一起限定在主机上显示的图像。这些设置对于每个预先制定的策略单独可配置。在服务器管理接口中编辑通知参数。那些参数与继而被分配到主机组的策略相关联,并且当策略改变时被传播到主机。
扫描年代参数
这个部分允许用户配置在当第一次看到和批准文件时(自动批准扫描)、进行第二次(批准)扫描的时间和发生第三次(重复)扫描的时间之间的时间。可以如图7中那样指定更多的扫描和时间。
维护
维护部分允许用户配置服务器本身的全局设置。
●系统配置。与服务器与本地网络和主机系统的交互相关联的设置。
●IP地址和子网掩码。子网掩码允许将主机分类为远程和本地类型。远程主机具有更受限的通信,以保存带宽。主机组可以具有不同的策略集和D参数设置,其被对于每个连接类型远程、本地或者断开指定。远程主机将产生较小的网络流量,例如较少的服务器报告。并且远程主机最好向服务器报告新的内容的散列值,但是不上载所述内容。
●IP取路由信息。
●密码。设置或者重新设置用于访问服务器接口的密码。
●证书。从可装卸的介质(并且作为选用,从网络)安装证书。这些被主机使用来验证服务器的身份,并且也用于到服务器的SSL接口。
●SNMP。设置SNMP服务器的列表以接收陷阱,并且被允许查询服务器的配置。
●SNMP陷阱选择。选择哪种事件类型引起哪些陷阱,以及所述陷阱将被发送到哪种SNMP服务(并且与优先权相关的、高的、中间的、低的、信息的等…)
●Syslog。设置服务器的列表以对于各种事件类型和优先权经由syslog接收记录信息。
●NTP时间同步服务器。设置用于时间同步的服务器列表。在服务器上的时间在启动时从其内部时钟被获得,然后与这个外部NTP时间源同步。服务器将跟踪与服务器时间的主机偏离。
●系统状态(服务器)
●正常运行时间。显示自从最后一次系统重启起的时间。
●软件版本。显示服务器软件的版本信息。
●盘空间。显示服务器的本地盘和存储统计。
●病毒/间谍件签名更新
●最后签名更新。最后签名更新的时间。
●更新服务配置。配置被安装的反病毒软件的更新服务,包括下载位置和时间表。
●更新扫描器。更新病毒扫描器软件。
●更新签名。强制病毒签名的更新。
●服务器软件更新
●当前版本。显示当前服务器软件版本。
●重启。使用当前安装的镜像来重启服务器。
●安装新的镜像。从可装卸介质或者网络(例如经由FTP)向服务器安装新的软件镜像。
●返回到前一个版本,返回到先前使用的软件镜像。
●外部服务配置
●内容扫描系统的网络地址、服务类型和批准授权。
●元信息共享服务的网络地址、服务类型和批准授权。
●外部内容传送和用户定义的分析的外部文件服务器地址、协议、登录和目录。
●SNMP、syslog、电子邮件和新的内容的SOAP通知的外部内容通知服务配置。
●备份。向可装卸介质(并且也向网络)备份和恢复所述配置。
●存储配置和数据库。存储所述配置和抗体数据库(例如经由XML)
●安装配置和数据库。安装所述配置和抗体数据库(例如以XML)。
服务器包括处理能力,诸如可编程的微处理器、数字信号处理器(DSP)或者应用相关的处理和存储器。主机可以包括个人计算机或者类似的计算机或者其它处理装置,其中包括手持装置、PDA或者在网络上的其它装置。
已经在此描述了本发明的实施例,显然在不脱离所要求保护的本发明的范围的情况下,可以进行修改。
Claims (12)
1.一种在计算机系统中使用的方法,所述计算机系统具有用于与网络中的服务器通信的主计算机,所述方法包括:
使主机耦合到用于保持与文件相关联的状态信息的服务器,所述状态信息用于确定是否能够使用文件及如何使用文件,所述状态包括允许状态、禁止状态或待决状态,允许状态和禁止状态分别指示允许或禁止对文件的期望使用,待决状态指示状态尚未被确定为允许或禁止,
其中,存在包括以下的策略选项:许可执行和/或读取待决状态的文件,或禁止执行和/或读取待决状态的文件;
其中主机能够向服务器发送更新情况,并从服务器接收更新情况信息;
基于所实施的策略选项来许可执行和/或读取待决状态的文件。
2.根据权利要求1所述的方法,进一步包括确定是否将状态从待决状态改变为允许状态或禁止状态,并在确定允许状态或禁止状态之后,将待决状态改变为允许状态或禁止状态。
3.根据权利要求1所述的方法,进一步包括通过主机从服务器接收与文件操作有关的策略的主集,所述策略的主集包括与是否允许或禁止操作、以及如果允许操作则在什么条件下允许这样的文件操作有关的策略选项;
在接收所述主集之后,接收指示在主机上实施策略的主集的哪个子集和哪些策略选项的值;
主机实施由值所指示的文件操作策略。
4.根据权利要求3所述的方法,其中接收到的值包括指示一组策略选项的单个配置参数。
5.根据权利要求1所述的方法,其中所述许可进一步包括在存在针对具有相关联的待决状态的文件的操作请求的情况下,向服务器发送报告。
6.根据权利要求1所述的方法,其中所述策略选项包括使用进一步监控来许可读取和/或执行待决状态的文件。
7.根据权利要求1所述的方法,进一步包括接收具有对待决状态的文件实施的策略选项的新值,该策略选项包括禁止执行和/或读取待决状态的文件。
8.一种装置,包括:
主计算机,其接收文件并执行包括读、写和执行的文件操作;
主计算机用于保持与文件相关联的状态信息,所述状态信息用于确定是否能够使用文件及如何使用文件,所述状态包括允许状态、禁止状态或待决状态,允许状态和禁止状态分别指示允许使用或禁止使用,待决状态指示状态尚未被确定为允许或禁止;
主计算机具有与计算机系统中的服务器的接口,所述接口用于从服务器接收与状态信息有关的更新,以及向服务器提供与状态信息有关的更新;
其中,可供实施的策略选项包括许可执行和/或读取待决状态的文件,或禁止执行和/或读取待决状态的文件。
9.根据权利要求8所述的装置,其中所述主计算机被配置为基于确定应改变状态而将一个或多个文件的待决状态改变为允许或禁止。
10.根据权利要求9所述的装置,其中所述改变响应于来自服务器的通信。
11.根据权利要求8所述的装置,其中所述策略选项进一步包括在存在针对具有相关联的待决状态的文件的操作请求的情况下向服务器发送报告的选项。
12.根据权利要求8所述的装置,其中对状态信息的更新包括响应于新的分析将文件的状态从待决状态改变为允许状态或禁止状态。
Applications Claiming Priority (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/193,291 US20070028302A1 (en) | 2005-07-29 | 2005-07-29 | Distributed meta-information query in a network |
US11/194,075 | 2005-07-29 | ||
US11/193,295 US8272058B2 (en) | 2005-07-29 | 2005-07-29 | Centralized timed analysis in a network security system |
US11/193,291 | 2005-07-29 | ||
US11/193,292 | 2005-07-29 | ||
US11/193,292 US7895651B2 (en) | 2005-07-29 | 2005-07-29 | Content tracking in a network security system |
US11/194,078 | 2005-07-29 | ||
US11/194,078 US8984636B2 (en) | 2005-07-29 | 2005-07-29 | Content extractor and analysis system |
US11/194,075 US20070028291A1 (en) | 2005-07-29 | 2005-07-29 | Parametric content control in a network security system |
US11/193,295 | 2005-07-29 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200680034493.4A Division CN101569129B (zh) | 2005-07-29 | 2006-07-27 | 网络安全系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103984891A true CN103984891A (zh) | 2014-08-13 |
Family
ID=37709277
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410112822.9A Pending CN103984891A (zh) | 2005-07-29 | 2006-07-27 | 网络安全系统和方法 |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1920338B1 (zh) |
JP (2) | JP2009507271A (zh) |
CN (1) | CN103984891A (zh) |
BR (1) | BRPI0616018A2 (zh) |
CA (1) | CA2617204C (zh) |
WO (1) | WO2007016478A2 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104239797A (zh) * | 2014-10-13 | 2014-12-24 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
CN107277037A (zh) * | 2017-07-14 | 2017-10-20 | 北京安数云信息技术有限公司 | 基于插件的任意文件操作检测方法和装置 |
CN107408184A (zh) * | 2015-02-06 | 2017-11-28 | 霍尼韦尔国际公司 | 补丁监测和分析 |
CN108874416A (zh) * | 2018-05-04 | 2018-11-23 | 天津猎鹰网络技术有限公司 | 策略处理方法、装置、存储介质、处理器 |
CN109472139A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
CN109672526A (zh) * | 2018-12-17 | 2019-04-23 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
CN110096877A (zh) * | 2019-04-24 | 2019-08-06 | 厦门网宿有限公司 | 一种文件处理方法及装置 |
CN112639787A (zh) * | 2018-07-16 | 2021-04-09 | 北京航迹科技有限公司 | 基于违规计数的多重文件异常检测 |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006101549A2 (en) * | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
JP5126495B2 (ja) * | 2007-11-01 | 2013-01-23 | 日本電気株式会社 | 安全度評価と連動するセキュリティの方針設定装置、そのプログラムおよびその方法 |
US8549625B2 (en) * | 2008-12-12 | 2013-10-01 | International Business Machines Corporation | Classification of unwanted or malicious software through the identification of encrypted data communication |
US8161556B2 (en) * | 2008-12-17 | 2012-04-17 | Symantec Corporation | Context-aware real-time computer-protection systems and methods |
US20120198553A1 (en) * | 2009-09-14 | 2012-08-02 | Junko Suginaka | Secure auditing system and secure auditing method |
US8572740B2 (en) | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
US20120296878A1 (en) * | 2010-01-21 | 2012-11-22 | Nec Corporation | File set consistency verification system, file set consistency verification method, and file set consistency verification program |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
JP5610524B2 (ja) | 2010-09-22 | 2014-10-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 文書の優先度を決定する方法、プログラム及び装置 |
JP5779334B2 (ja) | 2010-11-09 | 2015-09-16 | デジタルア−ツ株式会社 | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
WO2013085717A1 (en) * | 2011-12-06 | 2013-06-13 | Avocent Huntsville Corp. | Data center infrastructure management system incorporating security for managed infrastructure devices |
WO2013141517A1 (ko) * | 2012-03-18 | 2013-09-26 | 엘지전자 주식회사 | 제어 장치 및 그의 동작 방법, 서버 및 그의 동작 방법 |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8973146B2 (en) * | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
CN105320883B (zh) * | 2015-11-11 | 2018-05-15 | 北京奇虎科技有限公司 | 文件安全加载实现方法及装置 |
TWI734183B (zh) * | 2019-08-30 | 2021-07-21 | 台中商業銀行股份有限公司 | 黑名單資料庫檢索系統及檢索方法 |
CN113973019B (zh) * | 2021-12-27 | 2022-04-01 | 北京安博通科技股份有限公司 | 一种网络病毒检测方法及网络设备 |
CN117708179B (zh) * | 2024-02-02 | 2024-05-03 | 成都深瑞同华科技有限公司 | 电力综合监控系统测点数据缓存方法、装置、设备及介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2316000A (en) * | 1999-02-04 | 2000-08-25 | Apion Telecoms Limited | A telecommunications gateway |
WO2002073358A2 (en) * | 2001-03-12 | 2002-09-19 | Smart Mediary Systems, Llc | Many-to-many mediated commercial electronic publishing |
US6920558B2 (en) * | 2001-03-20 | 2005-07-19 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system |
US7203966B2 (en) * | 2001-06-27 | 2007-04-10 | Microsoft Corporation | Enforcement architecture and method for digital rights management system for roaming a license to a plurality of user devices |
US8495227B2 (en) * | 2003-12-11 | 2013-07-23 | International Business Machines Corporation | Method and system to distribute policies |
-
2006
- 2006-07-27 CN CN201410112822.9A patent/CN103984891A/zh active Pending
- 2006-07-27 CA CA2617204A patent/CA2617204C/en active Active
- 2006-07-27 BR BRPI0616018-2A patent/BRPI0616018A2/pt not_active Application Discontinuation
- 2006-07-27 EP EP06788969.1A patent/EP1920338B1/en active Active
- 2006-07-27 WO PCT/US2006/029714 patent/WO2007016478A2/en active Application Filing
- 2006-07-27 JP JP2008524253A patent/JP2009507271A/ja not_active Ceased
-
2012
- 2012-03-02 JP JP2012046805A patent/JP5809084B2/ja active Active
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104239797A (zh) * | 2014-10-13 | 2014-12-24 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
CN104239797B (zh) * | 2014-10-13 | 2017-07-07 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
CN107408184B (zh) * | 2015-02-06 | 2021-07-13 | 霍尼韦尔国际公司 | 补丁监测和分析 |
CN107408184A (zh) * | 2015-02-06 | 2017-11-28 | 霍尼韦尔国际公司 | 补丁监测和分析 |
CN107277037A (zh) * | 2017-07-14 | 2017-10-20 | 北京安数云信息技术有限公司 | 基于插件的任意文件操作检测方法和装置 |
CN109472139A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
CN109472139B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
CN108874416A (zh) * | 2018-05-04 | 2018-11-23 | 天津猎鹰网络技术有限公司 | 策略处理方法、装置、存储介质、处理器 |
CN108874416B (zh) * | 2018-05-04 | 2022-10-28 | 天津猎鹰网络技术有限公司 | 策略处理方法、装置、存储介质、处理器 |
CN112639787A (zh) * | 2018-07-16 | 2021-04-09 | 北京航迹科技有限公司 | 基于违规计数的多重文件异常检测 |
CN112639787B (zh) * | 2018-07-16 | 2021-11-02 | 北京航迹科技有限公司 | 一种用于保护敏感数据的系统、方法和计算机可读介质 |
CN109672526A (zh) * | 2018-12-17 | 2019-04-23 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
CN109672526B (zh) * | 2018-12-17 | 2021-11-09 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
CN110096877A (zh) * | 2019-04-24 | 2019-08-06 | 厦门网宿有限公司 | 一种文件处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CA2617204C (en) | 2016-07-05 |
WO2007016478A2 (en) | 2007-02-08 |
WO2007016478A3 (en) | 2009-04-16 |
JP2009507271A (ja) | 2009-02-19 |
CA2617204A1 (en) | 2007-02-08 |
JP2012146317A (ja) | 2012-08-02 |
EP1920338A4 (en) | 2009-11-25 |
EP1920338A2 (en) | 2008-05-14 |
JP5809084B2 (ja) | 2015-11-10 |
EP1920338B1 (en) | 2013-05-15 |
BRPI0616018A2 (pt) | 2011-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101569129B (zh) | 网络安全系统和方法 | |
CN103984891A (zh) | 网络安全系统和方法 | |
US11785104B2 (en) | Learning from similar cloud deployments | |
US8984636B2 (en) | Content extractor and analysis system | |
US8782800B2 (en) | Parametric content control in a network security system | |
US8272058B2 (en) | Centralized timed analysis in a network security system | |
US10257220B2 (en) | Verifying success of compromising a network node during penetration testing of a networked system | |
US10038711B1 (en) | Penetration testing of a networked system | |
US20070028302A1 (en) | Distributed meta-information query in a network | |
US9602515B2 (en) | Enforcing alignment of approved changes and deployed changes in the software change life-cycle | |
US9811667B2 (en) | System and method for grouping computer vulnerabilities | |
CN112765245A (zh) | 一种电子政务大数据处理平台 | |
US11818156B1 (en) | Data lake-enabled security platform | |
Reddy | Practical cyber forensics | |
US11973784B1 (en) | Natural language interface for an anomaly detection framework | |
WO2018215957A1 (en) | Verifying success of compromising a network node during penetration testing of a networked system | |
Verbowski et al. | LiveOps: Systems Management as a Service. | |
Hossain | A New Tag-Based Approach for Real-Time Detection of Advanced Cyber Attacks | |
Ii | TECHNICAL EVALUATION AND LEGAL OPINION OF WARDEN: A NETWORK FORENSICS TOOL | |
WO2023038957A1 (en) | Monitoring a software development pipeline |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140813 |