CN108604273B - 防止恶意软件下载 - Google Patents
防止恶意软件下载 Download PDFInfo
- Publication number
- CN108604273B CN108604273B CN201680080150.5A CN201680080150A CN108604273B CN 108604273 B CN108604273 B CN 108604273B CN 201680080150 A CN201680080150 A CN 201680080150A CN 108604273 B CN108604273 B CN 108604273B
- Authority
- CN
- China
- Prior art keywords
- resource
- malware
- determining
- service request
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
响应于用于下载资源的一部分的字节服务请求,本技术的示例实施例确定:资源先前已被确定为包括恶意软件。此外,修改字节服务请求以请求下载所有资源。另外,使用经修改的字节服务请求来请求下载所有资源。
Description
背景技术
恶意软件是指各种危险的或其他不期望的软件,包括病毒、勒索软件、间谍软件和其他恶意应用程序。恶意软件可以采取可以下载到计算机上并安装在计算机上的可执行文件、脚本或其他受感染软件的形式。在许多情况下,防火墙被用来检测恶意软件,并在恶意软件能够产生任何伤害先前防止其安装。具体来说,在恶意软件完成先前,防火墙停止下载恶意软件感染的文件。然而,在一些场景中,用户可以请求下载完成。如果用户做出这样的请求,防火墙可能在随后的下载中不检测恶意软件,由此感染请求设备。
附图说明
在下面的详细描述中并参考附图描述了某些示例实施例,其中:
图1是用于防止恶意软件下载的示例系统的框图;
图2是示出防止恶意软件下载的示例方法的过程流程图;
图3是示出防止恶意软件下载的示例方法的过程流程图;
图4是用于防止恶意软件下载的示例系统的框图;
图5是用于防止恶意软件下载的示例系统的框图;
图6是示出存储用于防止恶意软件下载的代码的示例非暂时性有形计算机可读介质的框图;以及
图7是示出存储用于防止恶意软件下载的代码的示例非暂时性有形计算机可读介质的框图。
具体实施方式
典型地,可以使用基于流的扫描、基于文件的扫描或高级启发式来检测恶意软件。基于流的扫描是如下过程:在被请求的资源被下载时,扫描该资源的每一个数据包。资源可以是文件或其他内容,例如可下载文件和网页。基于文件的扫描是如下过程:一旦下载文件,则扫描整个文件。高级启发式是指如下过程:使用各种决策规则,确定系统对特定威胁的敏感性。通过这种方法,可以检测到许多先前未检测到的病毒。一旦检测到恶意软件,就丢弃下载的数据包。此外,丢弃或隔离通过相同网络连接发送的后续数据包。
对于基于流的扫描和基于文件的扫描,可以使用签名匹配、计算关于完整文件的哈希值、或者这两者来检测恶意软件。这可以用硬件或软件来完成。在签名匹配中,预先定义已知恶意软件的签名列表,并扫描接收到的数据包或文件用于匹配预定义列表中的任何签名。在诸如MD5哈希计算等哈希计算中,维护MD5哈希条目列表用于已知被恶意软件感染的资源。然后计算接收到的数据包或文件的MD5哈希值,并对维护的列表执行哈希查找,以确定接收到的数据包或文件是否被恶意软件感染。
在基于流的扫描中,签名匹配和增量MD5哈希计算是以内联方式进行的。在基于文件的扫描中,签名匹配和MD5哈希计算是在完整文件中进行的。在下载的资源被发现是干净的之前,包含资源的完整文件未设置为请求下载的设备。此外,在这些方法检测到恶意软件时,接收到的数据包被丢弃,并且请求设备通常不知道在所请求的资源中存在恶意软件。网络连接随后被终止。结果是,可能的是请求设备使用超文本传输协议(HTTP)字节服务特征从其接收到的最后一个字节重新请求相同的资源。HTTP字节服务特征使设备能够从先前尝试下载中接收到的最后一个数据包开始完成下载。然后,使用在第一次尝试下载上下载的数据包以及在后续请求上下载的数据包来重新组装完整资源。由于在后续请求上下载剩余的数据包,在新的连接上,基于流的扫描方法或者基于代理的扫描方法都不能检测到恶意软件。因此,可以允许受感染资源通过请求设备。
然而,在所要求的主题的实施例中,为被确定为受恶意软件感染的所有资源维护哈希查找表。然后,拦截所有HTTP字节服务请求,以确定HTTP字节服务请求是否正试图访问先前已被确定包含恶意软件的资源。如果是这样,则修改HTTP字节服务请求,以便下载包含资源的整个文件,而不是仅下载剩余的数据包。以这种方式,在下载完整资源时,恶意软件可能再次被检测到。
图1是用于防止恶意软件下载的示例系统100的框图。示例系统通常由附图标记100标注,并且可以使用下面图4的示例计算设备402来实施。
图1的示例系统100包括通过网络106通信的客户端102和防火墙设备104。系统100还包括通过网络110与防火墙设备104通信的服务器108。客户端102可以是计算设备,例如台式计算机、膝上型计算机、平板电脑、智能手机等。防火墙设备104是监视和控制流入网络106和从网络106流出的网络流量的安全系统。防火墙设备104包括统一威胁管理器(UTM)112。UTM 112是可能能够执行网络防火墙、网络入侵防护、反病毒和反垃圾邮件功能等的安全软件。网络106可以是计算机通信网络,例如局域网。服务器108可以是托管由客户端102请求的资源的Web服务器或FTP服务器。网络110可以是计算机通信网络或网络的集合,例如因特网。
客户端102通过防火墙设备104向服务器108请求资源。防火墙设备104接收来自客户端102的请求,并将请求传递给服务器108。服务器108通过将请求的资源下载回防火墙设备104来响应请求。然后,UTM 112执行流扫描或代理扫描以检测恶意软件。
在流扫描中,扫描是以内联方式执行的,其中每个数据包都受到已知恶意软件的签名匹配和增量哈希计算。一旦检测到文件结尾,则所计算的哈希值用于对包含已知恶意软件列表的哈希表进行哈希查找。如果在文件的中间检测到签名匹配,或者哈希查找成功,则资源被恶意软件感染。如果由于签名匹配而检测到恶意软件,则丢弃来自服务器的其余数据包,从而防止恶意软件进入客户端102。如果通过哈希查找检测到恶意软件,则丢弃文件的最后一个数据包。结果,客户端102不接收完整文件,从而防止恶意软件感染客户端102。
在代理或基于文件的扫描中,将完整文件复制到防火墙设备102上的本地存储器,重新组装并扫描恶意软件。在发现文件是干净的之前,不向客户端发送任何数据包。一旦发现文件是干净的,防火墙设备102将完整文件内容发送给客户端102。然而,如果检测到恶意软件,则丢弃文件,并将重置消息(TCP RST)发送到客户端102。
此外,如果检测到恶意软件,则在本地存储受感染资源的条目。随后,在客户端102使用HTTP字节服务特征请求待被下载的资源时,UTM 112在本地存储中执行查找,以确定所请求的资源是否先前已被确定为感染了恶意软件。如果查找成功,则修改请求,以便下载整个资源,而不仅仅是剩余的数据包。然后将经修改的请求传递给服务器108,下载完整的资源,并使用流扫描或代理扫描来检测恶意软件。
图2是示出防止恶意软件下载的示例方法200的过程流程图。示例方法通常由附图标记200标注,并且可以使用下面图4的示例系统400的处理器408来实施。
方法200从框202开始,其中防火墙设备104从客户端102接收用于下载资源的请求。防火墙设备104将请求传递给请求中指定的服务器108,并将资源下载到防火墙设备104。请求可以包括HTTP头,如数据包1和2中所示:
GET/samples/Sample5.PDF HTTP/1.1\r\n
Host:www.hostname.com\r\n
数据包1
HTTP/1.1 200OK
Date:Day Month Year Hour:Minute:Second GMT
Server:ServerName
ETag:“ca33-47ac67b902480”
Accept-Range:bytes
Content-Length:51763
Content-Type:application/pdf
数据包2
ETag是由服务器108分配给所服务页面的每个资源的不透明标识符。如果资源文件改变,则服务器108为该资源分配新的ETag。该ETag是HTTP协议的一部分,它用于缓存验证,并指示浏览器进行条件请求。Accept-Range定义了下载的度量单位:字、字节或位。Content-Length定义了接受范围单位中资源的大小。Content-Type定义了资源是什么类型的文件。
在框204,使用签名匹配和哈希查找在下载资源时对资源进行恶意软件检测。在签名匹配中,通过与已知恶意软件签名列表匹配来扫描接收的数据包以查找恶意软件。这可以使用软件或硬件(例如硬件正则表达式(regex)引擎)来执行。由于恶意软件可能分布在多个数据包中,因此硬件regex引擎支持多数据包签名检测,以使用缓冲区来存储来自先前数据包的数据。如果存在签名匹配,则资源受到恶意软件的感染。在哈希查找中,在UTM 112检测到文件结尾时,哈希计算完成,并在已知恶意软件的哈希条目表中进行查找。如果查找成功,则资源可能受到恶意软件感染。
在框206,UTM 112确定是否已检测到恶意软件。如果没有,则控制流向框208,其中资源被发送到客户端102。如果已检测到恶意软件,则控制流向框210,其中连接被重置并且数据包被丢弃。对于通过签名匹配的恶意软件检测,UTM 112丢弃最后接收到的数据包以及任何后续的数据包。对于通过哈希查找的恶意软件检测,UTM 112丢弃最后接收到的数据包。以这种方式,防止恶意软件感染客户端。然而,如果客户端102要再次发起对相同资源的新请求,则可以生成HTTP GET请求(即字节服务请求)以检索部分内容。在不实施所要求的主题的情况下,可以下载剩余数据包,从而感染客户端102。
因此,在框212,UTM 112在用于受感染资源的哈希查找表中生成条目。该哈希查找表包含用于已检测到恶意软件的资源的条目,并且与用于恶意软件检测的哈希查找表分开。取代包含用于资源的整个文件的哈希值,检测到的恶意软件哈希查找表包含用于受感染资源的绝对统一资源定位符的哈希值。
如前所述,在检测到恶意软件时,由于恶意软件检测,客户端102可能不知道下载被停止,并且连接重置。因此,客户端102可以生成字节服务请求以检索资源的剩余数据包。如果原始请求(其头显示在数据包1和2中)导致下载前51,448字节,则用于检索剩余数据包的字节服务请求可能包括诸如数据包3和4中所示的头:
GET/samples/Sample5.PDF HTTP/1.1\r\n
Host:www.hostname.com\r\n
Range:bytes-51448-
If-Range“ca33-47ac67b902480”
数据包3
HTTP/1.1 206Partial Content
Date:Day Month Year Hour:Minute:Second GMT
Server:ServerName
ETag:“ca33-47ac67b902480”
Accept-Range:bytes
Content-Length:315
Content-Range:bytes 51448-51762/51763
Content-Type:application/pdf
数据包4
在字节服务请求中,Range定义了待下载的剩余数据包的起始字节数,如数据包4所示。If-Range字段填充有从服务器108接收的、用于先前连接中相同资源的ETag值。在接收到该请求时,服务器108通过比较“If-Range”的值与为资源计算的当前ETag的值来检查资源是否已经从先前发送到客户端的资源改变。如果值是相同的,则服务器108使字节服务特征向客户端发送资源内容的剩余部分。Content-Length指示剩余要下载的字节数。另外,Content-Range指定要下载的字节范围,以及资源的文件结尾的字节数。
在框214,UTM 112检测字节服务请求。UTM 112可以使用深度数据包检测(DPI)来检测字节服务请求。在数据包4中所示的Range字段的存在指示,这是一个旨在处理部分内容的字节服务请求。
在框216,UTM 112确定资源是否先前已被确定为包括恶意软件。一旦连接被检测作为处理部分内容,防火墙设备104就拦截HTTP GET请求。使用DPI,提取HOST和URL字段,并生成绝对URL。然后,UTM 112计算绝对URL的哈希值。因此,使用所计算的哈希值对检测到的恶意软件哈希查找表执行查找。如果查找不成功,即在检测到的恶意软件哈希查找表中没有用于绝对URL的条目,那么资源先前还未被确定包含恶意软件。因此,方法流向框220,其中请求被发送到服务器108。如果查找成功,则资源先前已被确定为包括恶意软件。在这种情况下,将字节服务请求传递给服务器108导致恶意软件被下载到客户端。因此,控制流向框218。
在框218,修改字节服务请求。如前所述,如果If-Range值与资源的当前Etag相同,则服务器108使字节服务特征向客户端发送资源内容的剩余部分。然而,在所要求主题的实施方式中,UTM 112通过改变If-Range字段的值来修改HTTP GET请求。当在HTTP GET中接收到新的值时,服务器108检测当前ETag与在If-Range字段中接收到的值之间的不匹配。这导致服务器108禁用字节服务功能,从而再次发送完整的资源。一旦UTM 112再次处理完整文件,则UTM 112再次检测恶意软件,从而防止客户端102的感染。
此过程流程图不旨在指示示例方法200的框以任何特定顺序执行,或者所有的框将被包括在每种情况中。此外,根据具体实施方式的细节,在示例方法200中可以包括未示出的任何数量的附加框。
图3是示出防止恶意软件下载的示例方法300的过程流程图。示例方法通常由附图标记300标注,并且可以使用下面图4的示例系统400的处理器408来实施。方法300由UTM112执行,并从框302开始,其中响应于用于下载资源的一部分的字节服务请求,UTM 112确定该资源先前已被确定为包括恶意软件。如前所述,UTM 112通过使用资源的绝对URL执行成功的哈希查找来确定该资源先前已被确定为包括恶意软件。
在框304,UTM 112修改字节服务请求以请求下载所有资源。如前所述,可以修改字节服务请求的If-Range字段,使得该If-Range字段不匹配资源的当前Etag。
在框306,UTM 112使用经修改的字节服务请求来请求下载所有资源。
图4是用于防止恶意软件下载的示例系统400的框图。该系统通常由附图标记400标注。
系统400可以包括通过网络406进行通信的防火墙设备402和一个或多个客户端计算机404。如本文所使用的,防火墙设备402可以包括服务器、个人计算机、平板计算机等。如图4中所示,防火墙设备402可以包括一个或多个处理器408,处理器408可以通过总线410连接到显示器412、键盘414、一个或多个输入设备416和输出设备(例如打印机418)。输入设备416可以包括诸如鼠标或触摸屏等设备。处理器408可以包括云计算架构中的单个内核、多个内核或内核集群。计算设备402还可以通过总线410连接到网络接口卡(NIC)420。NIC 420可以将防火墙设备402连接到网络406。
网络406可以是局域网(LAN)、广域网(WAN)或另一种网络配置。网络406可以包括路由器、交换机、调制解调器或用于互连的任何其他类型的接口设备。网络406可以连接到多个客户端计算机404。通过网络406,多个客户端计算机404可以连接到防火墙设备402。此外,防火墙设备402可以防止恶意软件进入网络406。客户端计算机404可以与防火墙设备402类似地构造。
防火墙设备402可以具有通过总线410可操作地耦接到处理器408的其它单元。这些单元可以包括非暂时性、有形、机器可读存储介质,例如储存器422。储存器422可以包括硬盘驱动器、只读存储器(ROM)、随机存取存储器(RAM)、RAM驱动器、闪存驱动器、光驱动器、高速缓冲存储器等的任何组合。储存器422可以包括执行这里所描述的技术的统一威胁管理器(UTM)424。
储存器422还可以包括哈希查找表426。哈希查找表426包括用于被确定为包括恶意软件的每个资源的条目。UTM 424使用哈希查找表426来确定客户端404所请求的资源是否先前已被确定为包括恶意软件。此外,每当确定所请求的资源包含恶意软件时,UTM 424可以向哈希查找表426添加条目。
图5是用于防止恶意软件下载的示例系统500的框图。系统通常由附图标记500标注。系统500是包括处理器502和存储器504的计算设备。存储器504包括用于接收用于下载资源的请求的代码506。存储器504还包括用于确定资源包括恶意软件的代码508。此外,存储器504包括用于在哈希表中为资源生成条目的代码510。此外,存储器504包括用于响应于用于下载资源的一部分的字节服务请求来确定该资源先前已被确定为包括恶意软件的代码512。此外,存储器504包括用于修改字节服务请求以请求下载所有资源的代码514。存储器504还包括用于使用经修改的字节服务请求来请求下载所有资源的代码516。
图6是示出存储用于防止恶意软件下载的代码的示例非暂时性有形计算机可读介质600的框图。非暂时性有形计算机可读介质通常由附图标记600标注。
非暂时性有形计算机可读介质600可以与存储计算机实现的指令(例如编程代码等)的任何典型存储设备相对应。例如,非暂时性有形计算机可读介质600可以包括非易失性存储器、易失性存储器和/或一个或多个存储设备中的一个或多个。
非易失性存储器的示例包括但不限于电可擦除可编程只读存储器(EEPROM)和只读存储器(ROM)。易失性存储器的示例包括但不限于静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM)。存储设备的示例包括但不限于硬盘、光盘驱动器、数字多功能磁盘驱动器和闪速存储器设备。
处理器602通常检索并执行用于防止恶意软件下载的存储在非暂时性有形计算机可读介质600中的计算机实现的指令。统一威胁管理器604可以防止对用于先前请求的资源的字节服务请求的恶意软件下载。在所要求的主题的示例中,统一威胁管理器604维护哈希查找表,该哈希查找表包含用于被发现包含恶意软件的所有请求资源的条目。随后,每当为资源提交字节服务请求时,UTM 604检查哈希查找表,以确定该资源是否先前被确定为包括恶意软件。如果是这样,则修改字节服务请求,使得该请求下载整个资源。
虽然显示为连续框,但是软件组件可以以任意顺序或配置存储。例如,如果计算机可读介质600是硬盘驱动器,则可以将软件组件存储在非连续的、甚至重叠的扇区中。
图7是示出存储用于防止恶意软件下载的代码的示例非暂时有形计算机可读介质700的框图。非暂时性有形计算机可读介质通常由附图标记700标注。介质700包括代码702,用于响应于用于下载资源的一部分的字节服务请求来确定该资源先前已被确定为包括恶意软件。介质700还包括代码704,用于通过修改数据包头的If-Range值使得If-Range值与资源的Etag值不同,来修改字节服务请求以请求下载所有资源。介质700还包括代码706,用于使用经修改的字节服务请求来请求下载所有资源。
本技术不限于本文列出的具体细节。事实上,受益于本公开的本领域的技术人员将理解,在本技术的范围内可以对上述描述和附图做出许多其他变化。因此,是包括对其进行的任何修改的所附权利要求限定了本技术的范围。
Claims (13)
1.一种用于防止恶意软件下载的方法,包括:
响应于来自托管资源的服务器的用于下载所述资源的一部分的字节服务请求,确定所述资源先前已被确定为包括恶意软件;
响应于确定所述资源先前已被确定为包括恶意软件,修改所述字节服务请求以请求下载所有的所述资源;以及
将经修改的字节服务请求传递给所述服务器。
2.根据权利要求1所述的方法,包括:
接收用于下载资源的请求;
确定所述资源包括恶意软件;以及
在哈希表中为所述资源生成条目。
3.根据权利要求2所述的方法,其中生成所述条目包括:
确定所述资源的绝对统一资源定位符URL;以及
确定所述绝对URL的哈希值,其中所述条目包括所述绝对URL的所述哈希值。
4.根据权利要求3所述的方法,其中确定所述资源先前已被确定为包括恶意软件包括:
确定与所述字节服务请求相关联的关联绝对URL;
确定所述关联绝对URL的哈希值;以及
基于所述哈希值,在所述哈希表中执行成功查找。
5.根据权利要求1所述的方法,其中修改所述字节服务请求以请求下载所有的所述资源包括:修改数据包头的If-Range值,使得所述If-Range值与所述资源的Etag值不同。
6.一种用于防止恶意软件下载的系统,包括:
处理器;以及
存储器,包括使所述处理器执行以下操作的代码:
接收用于下载资源的请求;
确定所述资源包括恶意软件;
在哈希表中为所述资源生成条目;
响应于来自托管资源的服务器的用于下载所述资源的一部分的字节服务请求,确定所述资源先前已被确定为包括恶意软件;
响应于确定所述资源先前已被确定为包括恶意软件,修改所述字节服务请求以请求下载所有的所述资源;以及
将经修改的字节服务请求传递给所述服务器。
7.根据权利要求6所述的系统,其中所述条目通过以下生成:
确定所述资源的绝对统一资源定位符URL;以及
确定所述绝对URL的哈希值,其中所述条目包括所述绝对URL的所述哈希值。
8.根据权利要求7所述的系统,其中所述资源通过以下操作先前被确定为包括恶意软件:
确定与所述字节服务请求相关联的关联绝对URL;
确定所述关联绝对URL的哈希值;以及
基于所述哈希值,在所述哈希表中执行成功查找。
9.根据权利要求6所述的系统,其中通过修改数据包头的If-Range值使得所述If-Range值与所述资源的Etag值不同,来修改所述字节服务请求以请求下载所有的所述资源。
10.一种非暂时性有形计算机可读介质,包括代码用于引导处理器来:
响应于来自托管资源的服务器的用于下载所述资源的一部分的字节服务请求,确定所述资源先前已被确定为包括恶意软件;
响应于确定所述资源先前已被确定为包括恶意软件,通过修改数据包头的If-Range值使得所述If-Range值与所述资源的Etag值不同,来修改所述字节服务请求以请求下载所有的所述资源;以及
将经修改的字节服务请求传递给所述服务器。
11.根据权利要求10所述的非暂时性有形计算机可读介质,包括代码使得处理器来:
接收用于下载资源的请求;
确定所述资源包括恶意软件;以及
在哈希表中为所述资源生成条目。
12.根据权利要求11所述的非暂时性有形计算机可读介质,其中所述条目通过以下生成:
确定所述资源的绝对统一资源定位符URL;以及
确定所述绝对URL的哈希值,其中所述条目包括所述绝对URL的所述哈希值。
13.根据权利要求11所述的非暂时性有形计算机可读介质,其中所述资源通过以下操作先前被确定为包括恶意软件:
确定与所述字节服务请求相关联的关联绝对URL;
确定所述关联绝对URL的哈希值;以及
基于所述哈希值,在所述哈希表中执行成功查找。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/015110 WO2017131662A1 (en) | 2016-01-27 | 2016-01-27 | Preventing malware downloads |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108604273A CN108604273A (zh) | 2018-09-28 |
| CN108604273B true CN108604273B (zh) | 2022-09-16 |
Family
ID=59398720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680080150.5A Active CN108604273B (zh) | 2016-01-27 | 2016-01-27 | 防止恶意软件下载 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11816216B2 (zh) |
| EP (1) | EP3408783B1 (zh) |
| CN (1) | CN108604273B (zh) |
| WO (1) | WO2017131662A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220182396A1 (en) * | 2020-12-07 | 2022-06-09 | Lionic Corporation | Method and system to handle files in antivirus actions |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6199107B1 (en) * | 1998-07-22 | 2001-03-06 | Microsoft Corporation | Partial file caching and read range resume system and method |
| US20030097591A1 (en) * | 2001-11-20 | 2003-05-22 | Khai Pham | System and method for protecting computer users from web sites hosting computer viruses |
| US7096200B2 (en) * | 2002-04-23 | 2006-08-22 | Microsoft Corporation | System and method for evaluating and enhancing source anonymity for encrypted web traffic |
| US7640586B1 (en) * | 2003-07-07 | 2009-12-29 | Mcafee, Inc. | Reducing HTTP malware scanner latency using HTTP range queries for random access |
| US7257842B2 (en) * | 2003-07-21 | 2007-08-14 | Mcafee, Inc. | Pre-approval of computer files during a malware detection |
| CN100411341C (zh) * | 2005-08-10 | 2008-08-13 | 华为技术有限公司 | 一种并行下载方法和终端 |
| US7613918B2 (en) | 2006-02-16 | 2009-11-03 | Finjan Software Ltd. | System and method for enforcing a security context on a downloadable |
| US9602613B2 (en) * | 2006-08-03 | 2017-03-21 | Flash Networks, Ltd | Method and system for accelerating browsing sessions |
| WO2008067335A2 (en) | 2006-11-27 | 2008-06-05 | Smobile Systems, Inc. | Wireless intrusion prevention system and method |
| US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
| WO2011046356A2 (ko) * | 2009-10-12 | 2011-04-21 | 삼성에스디에스 주식회사 | 안티 멀웨어 서비스 방법 |
| EP2333686B1 (en) * | 2009-11-20 | 2018-01-10 | Samsung SDS Co. Ltd. | Anti-virus protection system and method thereof |
| US8850584B2 (en) | 2010-02-08 | 2014-09-30 | Mcafee, Inc. | Systems and methods for malware detection |
| US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
| CN102457500B (zh) * | 2010-10-22 | 2015-01-07 | 北京神州绿盟信息安全科技股份有限公司 | 一种网站扫描设备和方法 |
| US8621634B2 (en) | 2011-01-13 | 2013-12-31 | F-Secure Oyj | Malware detection based on a predetermined criterion |
| US8752208B2 (en) | 2011-05-13 | 2014-06-10 | Imperva Inc. | Detecting web browser based attacks using browser digest compute tests launched from a remote source |
| US8510841B2 (en) | 2011-12-06 | 2013-08-13 | Raytheon Company | Detecting malware using patterns |
| CN103152371B (zh) * | 2011-12-07 | 2016-06-22 | 腾讯科技(深圳)有限公司 | P2sp下载监管方法及系统 |
| US9135439B2 (en) | 2012-10-05 | 2015-09-15 | Trustwave Holdings, Inc. | Methods and apparatus to detect risks using application layer protocol headers |
| WO2014172351A1 (en) | 2013-04-15 | 2014-10-23 | Seven Networks, Inc. | Adaptive downloading or streaming to conserve mobile device or network resources |
| US9912690B2 (en) * | 2014-04-08 | 2018-03-06 | Capital One Financial Corporation | System and method for malware detection using hashing techniques |
| CN104166586B (zh) * | 2014-09-04 | 2017-02-15 | 中南大学 | 一种基于虚拟化技术的透明计算方法及透明计算系统 |
| CN104200164B (zh) * | 2014-09-10 | 2017-07-25 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
| CN104217165B (zh) * | 2014-09-16 | 2016-07-06 | 百度在线网络技术(北京)有限公司 | 文件的处理方法及装置 |
| US10057279B1 (en) * | 2015-08-21 | 2018-08-21 | Trend Micro Incorporated | System and method for protecting computer against remote malware downloads |
| US10185670B2 (en) * | 2015-09-15 | 2019-01-22 | Gatekeeper Ltd. | System and method for securely connecting to a peripheral device |
| EP3384674A1 (en) * | 2015-12-04 | 2018-10-10 | Telefonaktiebolaget LM Ericsson (publ) | Technique for adaptive streaming of temporally scaling media segment levels |
| US10341415B2 (en) * | 2015-12-10 | 2019-07-02 | Slingshot Technologies, Inc. | Electronic information tree-based routing |
-
2016
- 2016-01-27 CN CN201680080150.5A patent/CN108604273B/zh active Active
- 2016-01-27 EP EP16888396.5A patent/EP3408783B1/en active Active
- 2016-01-27 US US16/061,856 patent/US11816216B2/en active Active
- 2016-01-27 WO PCT/US2016/015110 patent/WO2017131662A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP3408783A4 (en) | 2019-08-14 |
| EP3408783A1 (en) | 2018-12-05 |
| WO2017131662A1 (en) | 2017-08-03 |
| US11816216B2 (en) | 2023-11-14 |
| US20180373875A1 (en) | 2018-12-27 |
| EP3408783B1 (en) | 2020-07-29 |
| CN108604273A (zh) | 2018-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7460696B2 (ja) | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 | |
| US10164993B2 (en) | Distributed split browser content inspection and analysis | |
| US10965716B2 (en) | Hostname validation and policy evasion prevention | |
| US10237286B2 (en) | Content delivery network protection from malware and data leakage | |
| US7844700B2 (en) | Latency free scanning of malware at a network transit point | |
| US20160065595A1 (en) | Apparatus and method for performing real-time network antivirus function | |
| US20230208854A1 (en) | Detection and prevention of hostile network traffic flow appropriation and validation of firmware updates | |
| US11799876B2 (en) | Web crawler systems and methods to efficiently detect malicious sites | |
| JP2024512266A (ja) | 悪意のあるインジケータの自動抽出および分類 | |
| US9544360B2 (en) | Server-based system, method, and computer program product for scanning data on a client using only a subset of the data | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| US9705898B2 (en) | Applying group policies | |
| US10984103B2 (en) | Malware detection | |
| CN108604273B (zh) | 防止恶意软件下载 | |
| US9124472B1 (en) | Providing file information to a client responsive to a file download stability prediction | |
| US11425092B2 (en) | System and method for analytics based WAF service configuration | |
| US10805300B2 (en) | Computer network cross-boundary protection | |
| US10819683B2 (en) | Inspection context caching for deep packet inspection | |
| JP7444596B2 (ja) | 情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190301 Address after: Texas, USA Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT L.P. Address before: California, USA Applicant before: ARUBA NETWORKS, Inc. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |