專利名稱:抵制有害代碼和數(shù)據(jù)的擴散的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于抵制有害代碼和數(shù)據(jù)的擴散的系統(tǒng)和操作 該系統(tǒng)的方法��。
背景技術(shù):
在過去的十年中�,計算機系統(tǒng)越來越多地受到有害(unwanted) 代碼的攻擊。(到目前為止)最極端的有害代碼的示例是計算機病毒��。 如同其生物學(xué)上的同名物,計算機病毒能夠使一臺機器感染�,然后從 這臺機器開始,通過征用電子郵件系統(tǒng)的資源�,利用其所登陸(land) 的每臺計算機的地址簿,將包含病毒的電子郵件從一臺計算機發(fā)送到 許多其它臺計算機��,從而感染其它機器�。
所產(chǎn)生的浪費的帶寬令用戶十分煩惱。此外����,許多病毒在所登陸 的每臺計算機上執(zhí)行一些有害的動作,例如可能包括擦除文件���。
典型地��,病毒作為單獨的附件中的可執(zhí)行代碼而到達�,但是它們 也可以隱藏于電子郵件的一部分中���,從而可以在不需要用戶明確地分 離并執(zhí)行代碼的情況下變得活躍�����。諸如字處理器�、電子表格和數(shù)據(jù)庫 之類的許多應(yīng)用包括強大的宏腳本語言,它允許看似文檔的文件包括 能夠執(zhí)行特定操作的腳本�����。病毒編寫者利用這種腳本語言來編寫宏病 毒�����,從而包括看似文檔的文件的電子郵件附件可能包含隱藏的病毒�����。
病毒不是有害代碼的唯一形式��。常見的是����,待分發(fā)的"免費"軟 件具有隱藏的"Spyware"�,其被隱蔽地安裝在用戶的計算機上,并隨 后把所訪問的網(wǎng)站或其他事務(wù)報告給遠(yuǎn)端計算機�。 一些Spyware將導(dǎo) 致有害廣告的顯示。 一些Spyware將試圖使調(diào)制解調(diào)器重復(fù)撥出高價 號碼����,Spyware的編寫者借此從電信運營商處獲得收益��。其它類型的 有害代碼包括Malware�、蠕蟲和陷門(Trapdoor)�����。
盡管病毒是從一臺計算機至另一臺計算機自我傳播的��,但是其它 形式的有害代碼通過垃圾電子郵件�、在盤上的隱藏分布、或者日益增 多地�����,從不經(jīng)意訪問的網(wǎng)站下載而得以分發(fā)��。所有這些類型的有害代 碼具有共同點其存在或其真實目的對它們鎖定為目標(biāo)的計算機的所 有者和用戶都是隱藏的���。盡管一些類型的有害代碼相對無害����,但是其 它的有害代碼能夠擦去有價值的商業(yè)數(shù)據(jù)�,因而用于提供反病毒軟件 的行業(yè)得以發(fā)展。
目前己知的反病毒軟件包括在待保護的計算機上執(zhí)行的程序����。典 型地����,這種程序在監(jiān)控模式下操作����,其中每次訪問文件時都對要訪問 的文件檢査病毒;以及在掃描模式下操作����,其中對特定位置(如盤驅(qū) 動器)中的所有文件進行掃描。反病毒程序提供商監(jiān)控病毒的爆發(fā)��, 并且當(dāng)檢測到新病毒時��,反病毒程序公司分析該病毒并提取可以用于 檢測該病毒的數(shù)據(jù)����。然后�����,這個數(shù)據(jù)可用于運行所涉及的特定反病毒 程序的計算機��;典型地,通過在反病毒程序公司的網(wǎng)站上提供該數(shù)據(jù)
以便下載�。
以各種不同方式檢測病毒?�?梢源鎯π纬稍摬《疽徊糠值奶卣鞔?碼串�,并針對輸入的文件掃描該串的存在,因而該串用作病毒的"簽
名"或"指紋"����。可選地�����,可以通過病毒的預(yù)期行為來檢測病毒�;可以 解析源代碼或腳本文件,以檢測作為病毒特征的預(yù)定操作����。
不幸地,類似于它們的生物學(xué)同名物���,病毒很容易"變異"��;代 碼中的微小改變(等同于大小寫字母的替換)會改變病毒的簽名���。因 此�����,無論通過什么方法來檢測病毒的數(shù)據(jù)文件變得極大���,相應(yīng)地,反 病毒程序所花費的時間也隨著待檢査的簽名或規(guī)則的個數(shù)的增加而增 加��。盡管這在病毒掃描模式下是可接受的�����,但是在監(jiān)控模式下���,它給 訪問文件所花費的時間增加了不斷增長的等待時間��。此外�����,隨著下載 量變大并且需要更加頻繁地下載,用戶將無法下載必要的更新���、以及 因而將無法針對最新(因而是最危險)的病毒而獲得保護的風(fēng)險非常 高�。
發(fā)明內(nèi)容
因此,本發(fā)明采用了防止有害代碼的完全不同的保護方法����。根據(jù) 本發(fā)明的一方面,提供了一種接收包含預(yù)定數(shù)據(jù)格式的內(nèi)容數(shù)據(jù)的電 子文件的方法�,所述方法包括以下步驟接收電子文件;確定數(shù)據(jù)格 式�����;解析內(nèi)容數(shù)據(jù)����,以確定其是否符合預(yù)定數(shù)據(jù)格式,以及如果所述
內(nèi)容數(shù)據(jù)符合所述預(yù)定數(shù)據(jù)格式����,則重新生成解析后的數(shù)據(jù),以創(chuàng)建 具有所述數(shù)據(jù)格式的重新生成的電子文件�����。
還提供了相應(yīng)的計算機系統(tǒng)、程序和承載該程序的介質(zhì)��。 本發(fā)明的實施例操作地用于分析每個所接收的文件�,然后從中重 新構(gòu)造替代文件。因為并不在要保護的計算機上直接存儲或訪問原始 文件本身��,所以原始文件本身不能危害該計算機�。例如,可以將原始 文件以比特反轉(zhuǎn)形式或不能被執(zhí)行的其它形式來存儲�。另一方面,將 使用僅會生成"干凈"代碼和數(shù)據(jù)的生成器例程來生成該替代文件����。 因而不能夠生成與所接收文件中的任何代碼相匹配的有害代碼。
本發(fā)明的一部分可以基于與計算機文件有關(guān)的某些長久已知的 事實的新應(yīng)用����。目前,輸入計算機的大多數(shù)文件具有標(biāo)準(zhǔn)化的文件格 式�����。專有程序創(chuàng)建其自有的文件格式(以及要由那些程序所使用的數(shù) 據(jù)必須符合那些格式)��,但是存在在不同的專有程序之間交換數(shù)據(jù)的充 分需求���,即首先�,通常向一個專有程序提供輸入過濾器以讀取由另一 專有程序所寫的數(shù)據(jù),以及其次�,存在不與任何專有程序相關(guān)聯(lián)的若
干格式��。這些通用格式的示例是ASCII文本���、豐富文本格式(RTF)�、 超文本標(biāo)記語言(HTML)和可擴展標(biāo)記語言(XML)���。
因此��,如果要通過任意應(yīng)用程序來讀取文件中的數(shù)據(jù)�,則該數(shù)據(jù) 必須精確地符合嚴(yán)格的標(biāo)準(zhǔn)�,而且不同的文件所使用的格式是公知的。 本發(fā)明的發(fā)明人實現(xiàn)了盡管允許文件所使用的格式有很寬的變化���, 但是大多數(shù)文件包含滿足某些相對窄的實用(pragmatic)限制的數(shù)據(jù)����。 例如��,大多數(shù)操作系統(tǒng)和應(yīng)用將會接受很長的文件標(biāo)題,但是大多數(shù) 用戶在大多數(shù)時間使用簡短并且易于識別的文件名��。
因此��,本發(fā)明實施例所執(zhí)行的分析可以包括檢測在其他方面符 合所聲稱的文件類型的規(guī)范的數(shù)據(jù)是否違反了實用限制��。這些"現(xiàn)實 世界"的約束使本發(fā)明能夠檢測'正常'的可接受文件�����。不與該類型的實用限制相對應(yīng)的任何文件內(nèi)容不被傳遞至生成器程序�,因而不會 以可執(zhí)行的形式到達用戶的計算機。
因此將會看出���,本發(fā)明的實施例以和已知的反病毒程序本質(zhì)上不 同的方式而操作�。己知的反病毒程序旨在檢測病毒����,并使沒有被檢測 為病毒的所有事物通過。因此����,這些反病毒程序總是不能保護用戶免
受最大的危險;即�,未知病毒的危險��。所運行的每個新病毒在引起反
病毒公司的注意之前�����,必然已經(jīng)感染了多臺計算機�。
此外����,甚至在安裝了反病毒軟件�、并且擁有更新的被檢測數(shù)據(jù)集 的情況下,在可以由反病毒軟件檢測到之前����,病毒也通常會存儲在受 保護的計算機的硬驅(qū)動器或其它介質(zhì)上。如果處于某種原因反病毒軟 件不能運行�����,則病毒處于適當(dāng)?shù)奈恢貌⒖杀患せ睢?br>
美國公開申請US 2003/0145213公開了一種系統(tǒng)�����,其中在文件中檢 測宏或惡意代碼�。然后在模板中對該文件進行重構(gòu)��,并從該模板中刪 除惡意代碼�����,從而提供干凈版本的文件���。
通過完全的對比,本發(fā)明并不旨在檢測病毒�,或甚至典型地拒絕 類似于病毒的行為。相反����,本發(fā)明可以拒絕所有輸入的文件,并在其 可能的位置處以不包含有害代碼和數(shù)據(jù)的所生成的文件進行替代�。因 此,可以防止有害代碼和數(shù)據(jù)以可執(zhí)行的形式不斷地到達要保護的計 算機的硬驅(qū)動器�,并且不會從一臺計算機傳播到另一臺計算機。
就此���,可以提及的是����,美國公開申請2003/229810公開了一種用于 保護免受病毒侵害的"光防火墻"的建議���。出于那些將很快變得顯而 易見的原因���,并不認(rèn)為該系統(tǒng)已經(jīng)實現(xiàn)(或者可能實現(xiàn))���。它描述了一 種系統(tǒng),其中防火墻計算機接收到諸如圖像文件之類的文件��,并在防 火墻計算機的顯示器上顯示該圖像�。光傳感器陣列掃描該圖像,然后 將掃描后的圖像提供給意向接收者�����。隱藏于圖像中的任何病毒沒有被 顯示����,因而沒有在掃描后的圖像中傳遞��。在變體中���,可以使用屏幕的 位圖來取代實際的屏幕顯示器�。
出于多種原因��,在上述美國專利申請中提供的"光耦合器"防火 墻不能提供有效和可靠的反病毒保護。
例如��,使用光學(xué)字符識別(OCR)軟件進行再現(xiàn)可以提供不準(zhǔn)確
的信息���。此外����,使用視頻技術(shù)再現(xiàn)圖像可以提供比預(yù)期較低質(zhì)量的圖 像�。此外,如果輸入的文件包含病毒����,則接收輸入的文件的計算機將 受到感染。
另一方面���,通過分析然后重新生成文件而不是執(zhí)行文件���、顯示文 件、并對文件進行光學(xué)掃描���,本發(fā)明的實施例能夠提供在大多數(shù)情況 下緊密地模仿原始文件(如果它沒有有害代碼)的替代文件��,從而使 該替代是透明的���。
文件格式的復(fù)雜度有所不同��。在一種極端情況下����,文本文件具有 簡單格式�。可以包含腳本或宏(如文字處理或電子表格文件)的文件 具有中等復(fù)雜度�,而包含代碼的文件僅能通過代碼解析器進行完全的 分析。盡管根據(jù)本發(fā)明���,這種代碼分析從長遠(yuǎn)來看是可能的����,但是本 發(fā)明的實施例可以方便地操作以從文檔文件中刪除所有宏和腳本���,并 且不使單獨包括程序、代碼����、宏或腳本的任何文件通過。
立即可以看出,存在用戶希望接收這種文件的頻繁的時機
(occasion)��。因此�����,在優(yōu)選實施例中�,本發(fā)明可以和過濾器并排 (alongside)操作,所述過濾器被設(shè)置用于根據(jù)源對文件進行過濾�, 從而總是使來自特定源的文件(或特定類型的文件)通過,而拒絕來 自其它源的文件��。
因此��,盡管本發(fā)明的實施例可以阻止用戶接收來自所有源的文件 中的代碼���,但是并行濾波器僅允許來自已知源的這種文件���。因此,用 戶可以接收來自系統(tǒng)管理員或經(jīng)證明的網(wǎng)站的文件����,這將是本發(fā)明所 拒絕的。通過僅識別用戶希望從其接收代碼的那些源����,本發(fā)明可以阻 斷有害代碼���。
因為本發(fā)明可以通過檢測與文件標(biāo)準(zhǔn)的符合度以及典型的用戶行 為、而不是通過檢測病毒而操作�����,所以不需要頻繁的更新��;這種更新 僅在大的變動獲得普遍接受���、或者用戶行為發(fā)生實質(zhì)改變的情況下才 需要���,與分發(fā)反病毒更新所需的瘋狂速度相比,這兩種情況均是緩慢 的過程���。同樣地�,由于要執(zhí)行的測試個數(shù)在一段時間內(nèi)或多或少保持 穩(wěn)定�����,所以在啟動程序的等待時間上花費的時間不會增加���。
將在以下的說明書和權(quán)利要求中對本發(fā)明的這些和其他方面����、實 施例和優(yōu)點進行討論�。參照附圖,將僅通過示例對本發(fā)明的實施例進 行描述���,其中
圖1A示出了根據(jù)本發(fā)明實施例的電子文件系統(tǒng)的框圖1B示出了適用于本發(fā)明實施例的計算機系統(tǒng)��;
圖1C示出了根據(jù)本發(fā)明實施例的過程的流程圖2示出了根據(jù)本發(fā)明第二實施例的電子郵件系統(tǒng)的框圖3示出了根據(jù)本發(fā)明第二實施例的過程的流程圖4示出了形成電子郵件的不同部分的示例性布局�;
圖5示出了根據(jù)本發(fā)明第三實施例的過程的流程圖����。
具體實施方式
第一實施例
圖1A中示出了本發(fā)明第一實施例的基本系統(tǒng)布局。在源處創(chuàng)建 電子文件101�����,并通過傳輸介質(zhì)103傳輸該電子文件101���。傳輸介質(zhì) 103可以是用于傳輸電子文件的任何適合的介質(zhì)�,包括硬連線 (hardwired)系統(tǒng)和無線系統(tǒng)���。電子文件101以正常方式通過傳輸介 質(zhì)103����,直至到達其目的地。在該實施例中�����,將AV (反病毒)應(yīng)用 105安裝在目的地系統(tǒng)中����。AV應(yīng)用105進行操作,使得不允許輸入電 子文件中的數(shù)據(jù)進入目的地操作系統(tǒng)107�,直到參照預(yù)定義的可允許 格式進行了分析為止,以及如果確定該數(shù)據(jù)是可允許的���,則重新生成 數(shù)據(jù)�。因此�����,AV應(yīng)用105確定是否允許電子文件101通過并到達操 作系統(tǒng)107�����。
圖1B示出了適于實現(xiàn)本發(fā)明實施例的計算機系統(tǒng)����。計算機109 在輸入接口 111處接收輸入電子文件101。輸入接口 111與微處理器 113連接�����,微處理器113被設(shè)置用于對所接收的文件執(zhí)行各種處理�����。 微處理器113包括解析器115�����。微處理器113還與存儲設(shè)備117����、盤驅(qū) 動器119和能夠與諸如顯示器125和鍵盤127之類的輸出設(shè)備相連的 多個接口 (121, 123)連接���。
從而�,當(dāng)輸入的可執(zhí)行文件進入AV應(yīng)用時�����,不允許這些文件自 動運行,該系統(tǒng)對組成輸入電子文件的數(shù)據(jù)進行布置���,使其以任何適 當(dāng)?shù)募訑_(scrambled)格式存儲在存儲器中�。
在本實施例中�,加擾方法對字節(jié)中的比特的順序進行反轉(zhuǎn)。艮P���, 按順序接收到比特0至7�����,但是將它們以比特反轉(zhuǎn)方式進行存儲�,從 而比特0與比特7交換����、比特1與比特6交換、比特2與比特5交換����、 以及比特3與比特4交換。因此�,作為示例�����,包括IOI IOOOO的字 節(jié)將以如下順序存儲0 0 0 0 1 1 0 1。以這種方式�,任何可執(zhí)行代碼 都不能自動運行,所以任何受到感染的電子文件都不能夠感染AV應(yīng) 用或目的地操作系統(tǒng)����。
作為位于文件的意向目的地的AV應(yīng)用的備選,AV應(yīng)用還可以位 于源����、傳輸介質(zhì)中的某處、或者只要能夠在沿電子文件的傳輸路徑的 某點處分析該電子文件的其他地方��。
圖1C示出了第一實施例中的AV應(yīng)用105所執(zhí)行的基本步驟的 流程圖���,以確定是否允許電子文件101通過并到達目的地操作系統(tǒng) 107����。在步驟S109處��,使用任何適當(dāng)?shù)氖侄螌㈦娮游募?01輸入AV 應(yīng)用105���。該輸入手段可以取決于所接收的電子文件的類型和通過其 進行傳輸?shù)慕橘|(zhì)���。在該實施例中����,將電子文件101接受至AV應(yīng)用��。
在步驟Slll中�,通過符合度分析設(shè)備來執(zhí)行分析,以確定電子 文件101是否符合預(yù)定格式���。AV應(yīng)用僅被設(shè)計用于允許符合多個所 存儲的己知的�、可允許的���、預(yù)定格式之一的電子文件通過�。通常����,文 件包括根據(jù)包括特定規(guī)則組的文件類型規(guī)范而編碼和設(shè)置的內(nèi)容數(shù) 據(jù),每種類型的文件(文本�����、HTML、 XML��、電子表格等)具有相關(guān) 聯(lián)的規(guī)則組���。有時�,通過文件名的后綴(例如.pdf����、 .text�、 .doc)來指 示公共文件類型,以及此外或可選地����,通過文件中數(shù)據(jù)的前幾個字節(jié) 來指示公共文件類型。許多文件類型包括指示與文件的結(jié)構(gòu)有關(guān)的信 息的報頭����,之后是內(nèi)容數(shù)據(jù)(例如,文本�����、數(shù)字、音頻或圖像數(shù)據(jù))�。
內(nèi)容數(shù)據(jù)可以包括參數(shù)(例如,指示內(nèi)容數(shù)據(jù)將以粗體呈現(xiàn)的標(biāo) 簽)����。構(gòu)成文件類型規(guī)范的規(guī)則可以規(guī)定這些參數(shù)能夠采取的值或范 圍。例如��,這些規(guī)則還可以規(guī)定可允許的值或內(nèi)容數(shù)據(jù)能夠采取的值的范圍����。
能夠打開特定類型文件的應(yīng)用程序包括解析器,用于將構(gòu)成文件 類型規(guī)范的規(guī)則應(yīng)用于文件����,以提取內(nèi)容數(shù)據(jù)進行呈現(xiàn)或處理。例如����,
文字處理應(yīng)用能夠打開其專有的文件格式(例如,Microsoft Word )��、 其他文字處理應(yīng)用的專有文件格式����、以及諸如豐富文本格式(RTF)����、 ASCII和HTML之類的通用文件格式的文件�����。能夠?qū)?nèi)容數(shù)據(jù)存儲為 特定類型文件的應(yīng)用程序包括生成器��,用于將構(gòu)成文件類型規(guī)范的規(guī) 則應(yīng)用于內(nèi)容數(shù)據(jù)����,以生成所需格式的文件。
在本實施例中��,對于每種文件類型而存儲預(yù)定格式��。通常�,預(yù)定 格式包括構(gòu)成文件規(guī)范的規(guī)則�����。然而��,預(yù)定格式僅包括與格式中頻繁 使用的部分有關(guān)的規(guī)則���。此外�����,預(yù)定格式包括約束內(nèi)容和參數(shù)可以采 取的值和/或范圍的附加規(guī)則����,從而僅包括通常和頻繁使用的值和范 圍。因此���,根據(jù)該實施例相應(yīng)存儲的預(yù)定格式��,僅能夠?qū)o定類型文 件中獨占地包括頻繁或通常出現(xiàn)的數(shù)據(jù)和參數(shù)的那些部分進行分析�����。
不允許通過系統(tǒng)的數(shù)據(jù)類型的組分(因為其不常使用�,所以預(yù)定 格式并不包括與之有關(guān)的規(guī)則)的示例是文字處理后的文件中的復(fù)雜 宏和HTML頁面中的I幀�����。不允許通過系統(tǒng)的不常使用的數(shù)據(jù)值(因 為預(yù)定格式被限制為排除了這些不常使用的值的值)的示例是ASCII 文件中除了通常使用的TAB����、 CR/LF和LF字符的控制字符����。
符合度分析設(shè)備確定電子文件是否是它所說的格式����,以及所有參 數(shù)是否符合與該特定電子文件類型相關(guān)聯(lián)的預(yù)定格式。如果電子文件 并不符合任何預(yù)定格式�����,則不重新生成該電子文件����,從而有效地阻斷 該電子文件,優(yōu)選地在步驟S113中擦除該電子文件�。然而,如果電 子文件符合預(yù)定格式�����,則從中提取內(nèi)容數(shù)據(jù)(并臨時存儲于數(shù)據(jù)結(jié)構(gòu) 中)����,并由符合度分析設(shè)備以和該電子文件類型相關(guān)聯(lián)的預(yù)定格式重新 生成(根據(jù)臨時數(shù)據(jù)結(jié)構(gòu))����,以構(gòu)成替代文件����,如步驟S115中所示�����。
例如�����,在步驟S117將重新生成的文件轉(zhuǎn)發(fā)至操作系統(tǒng)�����,以便以 正常方式對該文件進行處理���。對能夠使用構(gòu)成預(yù)定格式的規(guī)則從該文 件中提取出的所有內(nèi)容數(shù)據(jù)進行提取和重新生成�,而不能重新生成不 能被提取的任何部分���。
以這種方式��,由于對文件的符合度檢查和重新生成�,病毒不能進
入并感染操作系統(tǒng);事實上���,提取并因而重新生成的是通常出現(xiàn)的格
式的內(nèi)容數(shù)據(jù)��。
在可以將電子消息分為子部分的情況下�,電子消息的一些子部分 可能符合預(yù)定格式���,而其他子部分可能不符合預(yù)定格式��。在像這樣的
情況下���,AV應(yīng)用確定符合預(yù)定格式的子部分的總數(shù)是否滿足實質(zhì)性 測試(例如,是否大部分或最重要的部分符合)��,以及如果是��,則重新 生成電子消息中符合預(yù)定格式的子部分�。
不會重新生成消息中不符合的子部分。而是��,AV應(yīng)用將相關(guān)的 警告文本插入電子消息����,向接收者告知消息中的一部分不允許通過。 作為選項��,該警告文本可以指示不允許子部分通過的原因��。
此外���,如果電子文件的子部分內(nèi)的一部分不符合針對該部分的可 允許的預(yù)定格式����,則還可以阻斷該部分(即不重新生成)并優(yōu)選地擦 除�����。就是說��,例如如果ASCJI電子文件中的字符串包括控制字符(例 如����,'BEL,字符)���,則該字符串可以被替換為由AV應(yīng)用插入的文本 警告�����,以告知意向接收者這個串已經(jīng)從重新生成的電子文件的該部分 中省去����,因為該部分不符合預(yù)定格式。符合度分析設(shè)備并不特別尋找 不允許的控制字符(例如����,'BEL,字符)�,而是僅使那些被允許的控 制字符(由預(yù)定的可允許格式所定義)通過。
可選地��,不符合的控制字符可以被空格替換���、或完全地被刪除��。 例如�,所選擇的不同選項取決于AV應(yīng)用所運行的環(huán)境�、以及它對于 至少最少的符合信息被允許通過AV應(yīng)用到達目的地的重要性。
現(xiàn)在將描述第一實施例的另一備選��。在通過AV應(yīng)用確定電子文 件或其子部分不符合因而不允許通過以到達目的地操作系統(tǒng)時�����,使原 始電子文件通過威脅過濾應(yīng)用���,威脅過濾應(yīng)用確定是否存在與該電子 文件或其子部分相關(guān)聯(lián)的任何威脅��。
基于系統(tǒng)期望從特定源接收到什么來做出確定�。系統(tǒng)通過參照存 儲在存儲器中的預(yù)定的源列表來查看數(shù)據(jù)類型列表����,從而做出該確定, 以査看是否接受來自該源的數(shù)據(jù)類型����;換言之,通過源來過濾電子郵 件��。因此�����,如果從相同的源接收到包含不符合的數(shù)據(jù)的文件(其中已
知不符合的數(shù)據(jù)不是威脅)����,則允許原始的不符合的數(shù)據(jù)通過并到達操 作系統(tǒng)。以這種方式,包括AV應(yīng)用和威脅過濾應(yīng)用的系統(tǒng)動態(tài)地允 許多數(shù)安全的電子文件通過并到達其意向目的地�����。
第二實施例
在以下描述的第二實施例中�,電子文件是通過因特網(wǎng)從發(fā)起者傳 輸至因特網(wǎng)服務(wù)提供商(ISP)的電子郵件。ISP將電子郵件轉(zhuǎn)發(fā)至電 子郵件客戶端服務(wù)器��,在接收到時����,電子郵件客戶端服務(wù)器將電子郵 件轉(zhuǎn)發(fā)至意向接收者的收件箱。
圖2示出了根據(jù)這個實施例的電子郵件系統(tǒng)的布局���,其中包括本 發(fā)明的AV應(yīng)用�。發(fā)送者從源位置201轉(zhuǎn)發(fā)電子郵件�。經(jīng)由因特網(wǎng)203
將電子郵件轉(zhuǎn)發(fā)至由電子郵件內(nèi)包含的域名所確定的因特網(wǎng)服務(wù)提供 商(ISP) 205。接收者的電子郵件客戶端服務(wù)器207通過直接開放連 接與ISP 205連接���。第一連接是簡單郵件傳輸協(xié)議(SMTP)輸出連接�����, 用于將輸出的電子郵件從電子郵件客戶端服務(wù)器207轉(zhuǎn)發(fā)至ISP 205��。 第二連接是POP (郵局協(xié)議)輸入連接211,其從ISP205獲取電子郵 件�����。
AV應(yīng)用105位于ISP 205處����。AV應(yīng)用105駐留在與接收者電子 郵件客戶端服務(wù)器207相連的輸入/輸出端口上�����,以便分析由電子郵件 客戶端服務(wù)器207所發(fā)送和接收的所有輸出和輸入的電子郵件��。
在該實施例中��,AV應(yīng)用105是使用已知的計算機編程技術(shù)而實 現(xiàn)的計算機代碼塊����。在發(fā)送至電子郵件客戶端服務(wù)器207的所有電子 郵件能夠進入電子郵件客戶端服務(wù)器207之前,這些電子郵件必須通 過AV應(yīng)用105����。同樣,由電子郵件客戶端服務(wù)器轉(zhuǎn)發(fā)至ISP205的所 有電子郵件在進入ISP205之前�,必須通過AV應(yīng)用105�。
AV應(yīng)用105通過在電子郵件消息數(shù)據(jù)進入該應(yīng)用時對該數(shù)據(jù)進 行解析而分析輸入的電子郵件消息��。如在第一實施例中�����,數(shù)據(jù)以加擾 模式而存儲���,以便停止任何可執(zhí)行文件的運行����。AV應(yīng)用105確定輸 入的電子郵件的獨立部分是否符合預(yù)定的可允許格式���,以及如果該部 分符合����,則重新生成電子郵件消息的每一部分�����。因此�����,既不允許任何
電子郵件內(nèi)的任何病毒通過以感染接收者的系統(tǒng),也不允許這些病毒
從接收者的系統(tǒng)傳遞至isp��。
在該實施例中�����,符合度分析設(shè)備用于分析特定數(shù)據(jù)類型�����,以查看 其是否符合針對該數(shù)據(jù)類型的預(yù)定格式(如在第一實施例中所討論 的)�����,并提取符合的內(nèi)容數(shù)據(jù)��。然后�����,符合度分析設(shè)備使用針對該數(shù)據(jù) 類型的預(yù)定可允許格式來重新生成數(shù)據(jù)����。通過其自有的特定的符合度 分析設(shè)備��,每種類型的數(shù)據(jù)都得以分析和重新生成。
每個符合度分析設(shè)備依據(jù)所接收數(shù)據(jù)的類型而對數(shù)據(jù)運行特定 的規(guī)則組�。這些規(guī)則由針對文件類型的官方預(yù)定義的規(guī)范以及現(xiàn)實世 界通常出現(xiàn)(因而是安全的)的己知數(shù)據(jù)類型的示例來定義。通常�����, 該規(guī)則僅允許符合文件類型規(guī)范的文件的子集���,但是會放松普遍被違 背的官方規(guī)范的特定規(guī)則�。例如���,電子郵件地址應(yīng)當(dāng)不包含空格����,但 是一些流行的電子郵件應(yīng)用違背了該規(guī)則��,從而就這點上違反了規(guī)范 的電子郵件是普遍的����,因而根據(jù)該實施例的用于分析電子郵件的預(yù)定 格式接受包含空格的電子郵件地址,因而實施例對這種電子郵件地址 進行分析和提取�����。
此外,符合度分析設(shè)備可以檢査數(shù)據(jù)文件內(nèi)的特定參數(shù)���。例如����,
如果報頭聲明該文件是RTF (豐富文本格式)文件����,則讀取數(shù)據(jù)的頭 幾個字節(jié)以確定其是否正確。
圖3示出了系統(tǒng)如何工作的流程圖����,其包括根據(jù)這個實施例的AV 應(yīng)用��。如圖3所示����,在步驟S301,通過SMTP輸入連接���,在ISP處接 收電子郵件�。
在步驟S303�,協(xié)議符合度分析設(shè)備執(zhí)行讀取輸入的電子郵件的基 本格式的過程�,并重新生成電子郵件���,使得其符合基本電子郵件協(xié)議����。 不符合的電子郵件讀取器讀取該電子郵件�。然后,將所讀取的數(shù)據(jù)傳 遞至符合基本電子郵件協(xié)議的電子郵件書寫器����。以這種方式,將普通 的不符合轉(zhuǎn)換為符合的電子郵件����。例如,如果較差地形成了接收者的 電子郵件地址���,則電子郵件書寫器重寫該地址��,以使其符合�。
另一示例是當(dāng)接收到電子郵件消息時沒有'From:'報頭�����。在這種情 況下,將電子郵件消息封裝于包括'From:'報頭的全新的電子郵件消息
中���。
也使電子郵件中的其它參數(shù)相符合���。例如,行長�、所使用的正確
的ASCII字符代碼�、在適合的情況下所使用的正確的Base 64編碼、 完整的報頭信息(To:', 'Subject:'等)���、電子郵件的報頭與主體之間的 間隔等��。
如果較差地形成了電子郵件�,使得其中的一部分不能被重寫�����,則 在不符合的部分丟失的情況下���,確定是否仍存在合理的電子郵件。如 果確定該過程仍將導(dǎo)致合理的電子郵件,則在不符合的部分丟失的情 況下重寫電子郵件�����??梢詫⒕嫖谋静迦肫湮恢谩?br>
此外���,協(xié)議符合度分析設(shè)備可以拒絕整個電子郵件����。例如�,如果 協(xié)議符合度分析設(shè)備檢測到針對電子郵件內(nèi)的大數(shù)據(jù)塊正在使用不符 合的Base 64編碼,則在步驟S305完全拒絕該電子郵件�。
如果協(xié)議符合度分析設(shè)備確定電子郵件符合電子郵件協(xié)議,則通 過協(xié)議符合度分析設(shè)備重新生成該電子郵件��,并將其傳遞至過程中的 下一步驟�����。
所有電子郵件應(yīng)當(dāng)符合當(dāng)前針對電子郵件的RFC標(biāo)準(zhǔn)(即���,RFC 822及其后繼)���。該標(biāo)準(zhǔn)定義了如何形成電子郵件�����。在電子郵件通過協(xié) 議符合度分析設(shè)備之后�,RFC 822符合度分析設(shè)備檢査電子郵件是否 符合RFC 822標(biāo)準(zhǔn)���。RFC 822符合度分析設(shè)備通過如下步驟來執(zhí)行這 個符合度檢查首先通過發(fā)現(xiàn)電子郵件內(nèi)的邊界(如以下所述)而將 電子郵件分為獨立的組成部分���,然后解析電子郵件的每個組成部分以 查看其是否符合RFC 822。
將會理解���,當(dāng)RFC標(biāo)準(zhǔn)被更新時將會需要更新��,以確保RFC822 符合度分析設(shè)備能夠檢查所有已知數(shù)據(jù)類型的符合度���。
如公知地,電子郵件由多個獨立的部分構(gòu)成�����,例如圖4中所示�。 電子郵件以RFC 822報頭401開始,該RFC 822報頭401定義了多個 字段����,如'From:'、 'To:'和'Subject:'等�。接下來是MIME報頭403,其定
義了用于擴展協(xié)議中的多個字段�����,如定義了用于指示電子郵件中不同 部分之間的邊界的'Content-Type:'����。
在報頭(401 & 403)之后,指示第一邊界405���。電子郵件的下一
部分以另一 MIME報頭407開始���,其定義了用于該部分的格式。在這 個示例中�����,該部分包括要以文本格式顯示的文本內(nèi)容�����。因此,接下來 是文本塊409�����。在文本塊409的結(jié)尾是另一邊界411��。
另一 MIME報頭413指示電子郵件的下一部分將會是何種格式����。 在本示例中,電子郵件的下一部分是混合的文本和HTML格式的塊 415��。另一邊界417指示電子郵件該部分的結(jié)尾�����。
針對電子郵件的最后一部分���,最后的MIME報頭419指示電子郵 件附件的數(shù)據(jù)類型���,在本例中是zip文件。ZIP文件421是Base 64編 碼的�,并被添加至電子郵件�。然后�����,最后的邊界423指示電子郵件的 結(jié)尾����。
在圖3中的步驟S307���, RFC 822符合度分析設(shè)備使用解析器對形 成電子郵件的ASCII字符進行解析�����。這樣���,RFC 822符合度分析設(shè)備 能夠檢測電子郵件中的邊界,并檢查特定參數(shù)是否符合已知的可接受 的預(yù)定格式��。例如���,RFC 822符合度分析設(shè)備檢査行長以查看其是否 符合RFC 822標(biāo)準(zhǔn)��,所以僅重新生成2000或更短的行長���。
可以進行其它檢查以查看所解析的電子郵件中的數(shù)據(jù)是否符合 RFC 822標(biāo)準(zhǔn)��。例如�����,檢査電子郵件中的字符是否是如標(biāo)準(zhǔn)中所定義 的已知的可接受的ASCII字符�、報頭中的信息是否如標(biāo)準(zhǔn)中所定義����、 以及報頭長度是否符合標(biāo)準(zhǔn)定義。所列出的這些檢查僅是RFC 822符 合度分析設(shè)備所執(zhí)行的一大組不同檢查中的示例(其它將是對本領(lǐng)域 技術(shù)人員所顯而易見的)�����,同樣�����,本發(fā)明并不限于以上所列�。
不光分析解析后的數(shù)據(jù)以查看該數(shù)據(jù)是否符合基本RFC 822標(biāo) 準(zhǔn),RFC 822符合度分析設(shè)備還檢查特定參數(shù)是否符合現(xiàn)實世界中的 RFC 822標(biāo)準(zhǔn)電子郵件的示例��。即���,特定參數(shù)的規(guī)范可以對用戶幵放��, 從而在現(xiàn)實世界中定義僅會使用合理的值�。例如,電子郵件通常僅包 括最小數(shù)量的部分����。所以��,如果接收到包括IOOO個邊界的電子郵件����, 則這不會是現(xiàn)實世界中的RFC 822標(biāo)準(zhǔn)電子郵件的示例,所以其將被 RFC 822符合度分析設(shè)備阻斷�,即不會重新生成并優(yōu)選地擦除。
在該實施例中����,對于包括需要進一步的符合度檢查的數(shù)據(jù)的電子 郵件的每個組成部分,在步驟S309���,取決于該部分所對應(yīng)的數(shù)據(jù)類型��,
把該組成部分并行地轉(zhuǎn)發(fā)到單獨的符合度分析設(shè)備���。即�,如果所分析
的電子郵件部分被定義為文本�,則把構(gòu)成該文本的ASCII字符轉(zhuǎn)發(fā)至 文本符合度分析設(shè)備。如果被分析的電子郵件部分被定義為TIFF文 件�����,則把構(gòu)成TIFF文件的字符轉(zhuǎn)發(fā)至TIFF符合度分析設(shè)備�����。
在步驟S309���,每個符合度分析設(shè)備對轉(zhuǎn)發(fā)給它的數(shù)據(jù)進行分析�, 以查看該數(shù)據(jù)是否符合其聲稱(purported)格式����。如果該數(shù)據(jù)符合, 則通過符合度分析設(shè)備來重新生成該數(shù)據(jù)��。如果數(shù)據(jù)中存在任何的不 符合�,則該數(shù)據(jù)要么被省去,或者如果可能,要么通過符合度分析設(shè) 備重新生成以使其符合���。重新生成該數(shù)據(jù)以使其符合的一個示例是 在RFT文件中丟失嵌套括號的地方添加嵌套括號���。
如果電子郵件包括不同類型數(shù)據(jù)的嵌套,則遞歸地調(diào)用符合度分 析設(shè)備�,從而按順序地運行若干個特定設(shè)備,并且每當(dāng)發(fā)現(xiàn)其他數(shù)據(jù) 類型時�,每個設(shè)備均被推遲(putonhold)。以這種方式���,具有包括文 字處理文檔(包括JPEG圖像文件)的zip文件的電子郵件可以通過不 同的符合度分析設(shè)備(zip、文字處理�、JPEG)的序列,以便脫去文件 嵌套并順序地分析每個文件�����。在分析結(jié)束時�����,使用所符合的重新生成 的部分來重組文件��。
在步驟S311中確定重新生成了電子郵件的足夠部分以形成合適 地相干的、可理解的以及值得的電子郵件時���,如步驟S313所示�,使 用RFC 822符合度分析設(shè)備并利用重新生成的部分來重組數(shù)據(jù)�。這確 保了以正確的格式轉(zhuǎn)發(fā)重新生成的電子郵件。
然后�����,如步驟S315所指示�,AV應(yīng)用使用SMTP協(xié)議,將重新生 成的電子郵件轉(zhuǎn)發(fā)至意向接收者�。
然而,如果AV應(yīng)用在步驟S311確定沒有重新生成電子郵件的足 夠部分以形成有用的電子郵件��,則在步驟S317拒絕該電子郵件�����。在 步驟S317期間�����,將警告文本轉(zhuǎn)發(fā)至電子郵件的意向接收者�����,向其告 知系統(tǒng)拒絕了意欲發(fā)給他們的電子郵件。警告文本可以包括為何刪除 消息的細(xì)節(jié)�����,以及意欲幫助接收者識別發(fā)送者����、或者電子郵件被拒絕 的原因的進一步信息。
以下詳細(xì)描述的是用于本實施例中的一些示例性的符合度分析
設(shè)備�����,其可以在步驟S309期間使用�����。如在步驟S309處所示�����,將電子 郵件中聲稱是文本(取決于RFC 822報頭��、MIME報頭或文件擴展中 的信息)的組成部分傳遞至文本符合度分析設(shè)備�����。文本符合度分析設(shè) 備對文本數(shù)據(jù)進行解析���,以確定它是否符合其預(yù)定的可允許格式�����,如 下文所述���。
由于存在多種不同類型的文本文件,如逗號分隔變量(CSV)和 豐富文本格式(RTF),所以文本符合度分析設(shè)備必須首先區(qū)分所解析 的數(shù)據(jù)所聲稱的文本文件的類型�����。附到電子郵件的所有文件將具有與 指示文件類型相關(guān)聯(lián)的文件擴展���。文本符合度分析設(shè)備對MIME報頭 內(nèi)所解析的文件擴展進行分析���,從而確定該文本文件是否是純ASCII 文件。如果是����,則僅需要使用ASCII符合度分析設(shè)備�����,如下所述��。
然而����,如果文本符合度分析設(shè)備在分析時確定該文本文件是不同 于純ASCII的文件類型����,例如CSV文件,則也將調(diào)用CSV符合度分 析設(shè)備以進行分析�����,并重新生成CSV數(shù)據(jù)����。然而,首先ASCII符合 度分析設(shè)備對構(gòu)成電子郵件內(nèi)的文本文件的ASCII字符進行分析���,以 査看文本串是否符合ASCII預(yù)定格式,以及如果存在符合度�����,則重新 生成ASCII文件。
ASCII符合度分析設(shè)備對數(shù)據(jù)進行解析以確保該文件符合最小 ASCII預(yù)定義格式����。例如,ASCII符合度分析設(shè)備僅允許ASCII字符 32至127和四個控制字符'換行'(LF=10)����、'回車'(CR=13)、'制表符' (TAB:9)和'垂直TAB' (VT-ll)重新生成并通過系統(tǒng)���。
如報警字符(BEL=7)之類的其它控制字符并不具有如AV應(yīng)用 所定義的ASCII文件的預(yù)定可允許格式����。所以ASCII符合度分析設(shè)備 不會重新生成所解析的ASCII代碼塊中的'BEL'字符����,而是會拒絕該 ASCII字符。
ASCII符合度分析設(shè)備所執(zhí)行的分析的其它示例是 自然行長小于1024個字符����? *字長小于25個字符?
空格對字符的百分比在預(yù)定義的界限以下��? 如果在任何時候ASCII符合度分析設(shè)備不能夠重新生成針對該部分ASCII代碼的數(shù)據(jù)(因為其不符合基本預(yù)定格式),則ASCII符合 度分析設(shè)備檢查該數(shù)據(jù)���,以查看其是否符合某個其它類型的ASCII代 碼�。例如�����,源代碼����、BinHex、 Base 64����。如果該數(shù)據(jù)符合另一類型的 ASCII代碼,則將該數(shù)據(jù)轉(zhuǎn)發(fā)至與該ASCII類型有關(guān)的符合度分析設(shè) 備����,對于以上所示示例,其可以是源代碼符合度分析設(shè)備����、BinHex符 合度分析設(shè)備或Base 64符合度分析設(shè)備。將會理解,Base 64 ASCII 代碼文件在編碼后的數(shù)據(jù)中還可以包括其它類型的文件���。然后,這些 其它類型的文件還將被轉(zhuǎn)發(fā)至有關(guān)文件類型的符合度分析設(shè)備���,等等����。 用于其它類型的ASCII代碼的符合度分析設(shè)備針對該部分電子郵
件內(nèi)的數(shù)據(jù)具有其它的符合度限制����。例如,檢查文件以査看其是否為 適當(dāng)構(gòu)造的代碼����、是否具有正確的行長等。 一旦每個符合度分析設(shè)備 已經(jīng)確定內(nèi)容和參數(shù)數(shù)據(jù)相符合�����,并因而進行提取���,則使用該符合度 分析設(shè)備以可允許的預(yù)定義格式重新生成所提取的內(nèi)容數(shù)據(jù)�。
一旦ASCII符合度分析設(shè)備完成了它的任務(wù)����,則重新生成的 ASCII數(shù)據(jù)被轉(zhuǎn)發(fā)至與該數(shù)據(jù)所聲稱有關(guān)的文本符合度分析設(shè)備��。在 這個實施例中�����,文本文件是CSV文件�,所以將數(shù)據(jù)轉(zhuǎn)發(fā)至CSV符合 度分析設(shè)備��。
以下是CSV符合度分析設(shè)備所執(zhí)行的檢查的示例��。CSV符合度 分析設(shè)備對ASCII數(shù)據(jù)進行解析�,以確保不存在長文本段落,因為段 落并不是CSV文件的預(yù)定義格式的一部分�。CSV符合度分析設(shè)備拒 絕由于不符合而不能被解析的任何數(shù)據(jù)。例如�,CSV符合度分析設(shè)備 還檢査限定符(de-limiter)的個數(shù)是否符合CSV文件中的限定符的常 規(guī)預(yù)定個數(shù)。當(dāng)CSV符合度分析設(shè)備確定該數(shù)據(jù)符合時�����,將該數(shù)據(jù)重 新生成為相同的格式��。
以這種方式,僅允許文本文件中符合預(yù)定格式的部分傳遞至AV 應(yīng)用的下一級�。在被重組并轉(zhuǎn)發(fā)至目的地之前,利用其它重新生成的 數(shù)據(jù)類型部分僅重新生成文本文件中的符合部分��。因此�����,包含病毒的 電子郵件的任何部分將不會符合�����,所以將被阻斷�����,即不會重新生成并 優(yōu)選地被擦除���。任何不符合的部分都不允許通過AV應(yīng)用并感染操作 系統(tǒng)。
另一示例符合度分析設(shè)備是用于分析和重新生成TIFF文件的 TIFF (標(biāo)簽圖像文件格式)符合度分析設(shè)備��。
TIFF文件具有以預(yù)定義的格式而布置的一組目錄和標(biāo)簽的結(jié)構(gòu) 化格式����。不能確定圖像數(shù)據(jù)本身是否表示有意義的圖像。然而,TIFF 符合度分析設(shè)備解析并分析圖像數(shù)據(jù)��,以確保該數(shù)據(jù)落入預(yù)定義的界 限�。
對TIFF文件中的報頭信息進行解析并分析,以查看正確的信息 是否完整和完好�。例如,TIFF符合度分析設(shè)備檢査報頭信息是否包括 位于TIFF圖像的合理界限內(nèi)的分辨率��、大小和深度字段�。此外,TIFF 符合度分析設(shè)備確定報頭中指示的條帶(strip)數(shù)是否與圖像數(shù)據(jù)相 匹配�。
典型地,通常使用LZW (Lempel-Ziv-Welch)壓縮技術(shù)對TIFF 文件進行壓縮��。每個TIFF條帶通過符合度分析設(shè)備而解壓縮�,以查 看條帶長度是否處于合理的預(yù)定義界限之內(nèi)。例如�,如果條帶長度不 等于或小于最大圖像大小限制(例如,大于標(biāo)準(zhǔn)AO紙張大小)���,則拒 絕該條帶����。一旦TIFF符合度分析設(shè)備拒絕一個條帶�����,則拒絕整個TIFF 文件。
TIFF符合度分析設(shè)備還對TIFF文件內(nèi)的標(biāo)簽(即��,參數(shù)數(shù)據(jù)) 進行分析�����。參照預(yù)定義的可允許格式來檢查標(biāo)簽�����,以查看例如該標(biāo)簽 是否具有特定順序(根據(jù)報頭中的標(biāo)簽信息的目錄)以及該標(biāo)簽是否 以正確的方式相互有關(guān)�����。
當(dāng)TIFF符合度分析設(shè)備確定該數(shù)據(jù)符合預(yù)定義的可允許格式時��, 重新生成該數(shù)據(jù)以創(chuàng)建具有原始文件名的重新生成的TIFF文件(其 中文件名符合預(yù)定格式)��。重新生成的TIFF文件被轉(zhuǎn)發(fā)至電子郵件服 務(wù)器以重組到電子郵件中�。
TIFF文件本身內(nèi)還可以具有其它圖像類型�����。例如,可以將JPEG 圖像封裝于TIFF文件中�。如果TIFF符合度分析設(shè)備檢測到不同的圖 像類型,則其將與該圖像相關(guān)聯(lián)的數(shù)據(jù)轉(zhuǎn)發(fā)至另一符合度分析設(shè)備���, 在本例中是JPEG符合度分析設(shè)備����。然后�����,JPEG符合度分析設(shè)備解析 并分析該數(shù)據(jù)��,以查看它是否符合期望的JPEG格式����,而且如果符合,
則重新生成JPEG格式的數(shù)據(jù)�����。然后����,重新生成的數(shù)據(jù)被重組為重新
生成的TIFF文件��,然后將重新生成的TIFF文件用于重組重新生成的 電子郵件��。接下來將該電子郵件傳遞至電子郵件服務(wù)器���。
該實施例中的另一選項是關(guān)于AV應(yīng)用插入警告文本以取代電子 郵件中的不符合部分。即�����,如果符合度分析設(shè)備解析不符合部分的數(shù) 據(jù)�����,并確定該部分中的一份(portion)不符合預(yù)定的可允許格式���,則 在重新生成電子郵件時,符合度分析設(shè)備插入警告文本以取代不符合 部分����,向電子郵件的意向接收者告知該電子郵件的一份被AV應(yīng)用拒 絕。備選地����,如果符合度分析設(shè)備由于不符合的原因而拒絕了電子郵 件的完整部分�����,則AV應(yīng)用將警告文本插入電子郵件��,向意向接收者 告知電子郵件的一部分被AV應(yīng)用阻斷�,即不重新生成并優(yōu)選地被擦 除�。
第三實施例
參照圖5,現(xiàn)在將描述本發(fā)明的第三實施例�����。
該第三實施例結(jié)合了第二實施例的所有特征�����,包括關(guān)于第二實施 例所討論的任意選項��。
圖5示出了根據(jù)這個第三實施例的過程的流程圖�����。
該實施例涉及AV應(yīng)用阻斷了電子郵件的一份�����、部分或全部的情 況(在該實施例中被稱為'不符合部分')。在步驟S501����, AV應(yīng)用做 出該部分是否不符合并因而被阻斷的確定。如果AV應(yīng)用做出阻斷����, 則把不符合部分轉(zhuǎn)發(fā)至威脅-過濾應(yīng)用,以確定不符合部分是否為威 脅��,如步驟S503所示��。
威脅-過濾應(yīng)用基于系統(tǒng)的用戶偏好來確定是否認(rèn)為不符合部分 是真正的威脅��。系統(tǒng)在其存儲器內(nèi)存儲有文件類型和與這些文件類型 相關(guān)聯(lián)的��、不被認(rèn)為是威脅的源的列表��。因此����,系統(tǒng)可以基于文件的 發(fā)送者和文件類型來確定是否允許該文件通過���。
如果在步驟S503確定該文件類型不是根據(jù)相關(guān)聯(lián)的源所允許的 那些所列出的文件類型之一�����,則在步驟S505阻斷該文件類型���。
如果認(rèn)為該文件類型是可允許的����,則在步驟S507�����,不符合部分繞
過(bypass) AV應(yīng)用����。在步驟S509, AV應(yīng)用重新生成所接收文件的 剩余部分�,并在步驟S511,對文件中所重新生成的符合部分和所繞過 的不符合部分迸行重組���。
例如�,如果銀行系統(tǒng)從已知的發(fā)送者處接收包括具有復(fù)雜的宏的 電子表格的大量電子郵件�����,這些宏可能處于針對電子表格附件內(nèi)的宏 的預(yù)定可允許格式之外,所以宏符合度分析設(shè)備將阻斷電子郵件的這 部分�����。
然而����,因為銀行系統(tǒng)能夠確定誰發(fā)送了電子郵件,并將發(fā)送者作 為銀行系統(tǒng)的可靠伙伴輸入針對這些文件類型的數(shù)據(jù)庫�,所以不會認(rèn) 為電子郵件內(nèi)的電子表格是威脅。因此��,系統(tǒng)用戶可以建立威脅-過濾 應(yīng)用以允許這些不符合的宏部分繞過AV應(yīng)用����,并與電子郵件中重新 生成的部分一同被重組為電子郵件。
備選地�,威脅-過濾應(yīng)用可以在這樣的模式下操作,即通過該模式 確定從AV應(yīng)用接收到的重新生成的文件是否應(yīng)當(dāng)被允許繼續(xù)通過并 到達目的地系統(tǒng)�。如果AV應(yīng)用接收到包括不符合部分(其自身的不 符合度不足以使AV應(yīng)用完全拒絕整個文件,而是導(dǎo)致與原始文件實 質(zhì)上不同的重新生成的符合文件)的文件�,則把重新生成的文件轉(zhuǎn)發(fā) 至威脅-過濾應(yīng)用�。例如,由于AV應(yīng)用沒有對宏內(nèi)大量的重寫單字 (single word)進行重新生成而導(dǎo)致原始文件大小可能明顯大于重新 生成的符合文件的大小����。
威脅-過濾應(yīng)用確定文件類型是否從針對該文件類型的被認(rèn)可的 源而發(fā)送����,而且如果是的話��,將會允許該文件類型通過系統(tǒng)���。
其他實施例
可以理解����,這里本發(fā)明的實施例僅作為示例來描述��,并且可以在 不偏離本發(fā)明范圍的情況下做出各種改變和修改�����。
將會理解�,本發(fā)明可以在把電子文件從源移至目的地的任何系統(tǒng) 中實現(xiàn)。用于本發(fā)明目的的發(fā)送電子文件的方法并不限于任何特定方 法�����。即,例如���,電子文件可以從計算機系統(tǒng)的硬件中的一個組件傳遞 至另一組件��。備選地���,例如,可以通過空中接口��,從基站向移動電話
設(shè)備傳遞電子文件�����。此外�,例如,電子郵件可以通過局域網(wǎng)(LAN)����、 廣域網(wǎng)(WAN)或通過因特網(wǎng)進行傳輸。
此外�����,將會理解���,作為先前所描述的任何實施例的其他選擇�����,當(dāng) 接收到電子文件時�,可以向用戶提供忽略(overriding)工具�����,以手動 地忽略AV應(yīng)用或威脅-過濾應(yīng)用做出的任何確定��。即�,當(dāng)AV應(yīng)用內(nèi) 的符合度分析設(shè)備由于其不符合而阻斷了電子郵件中的一份、 一部分 或全部時��,向用戶給出仍允許該不符合在電子郵件中重新生成和重組 的選擇����。
執(zhí)行該選擇的一個示例是向意向接收者提供文本警告,詢問其是 否應(yīng)當(dāng)允許不符合的分析后的電子郵件通過系統(tǒng)���,好似它符合預(yù)定義 的可允許格式�。對該警告的響應(yīng)為符合度分析設(shè)備提供了如下指令 重新生成(如果可能)并重組電子郵件����?����;蛘邆溥x地�����,允許原始電子 郵件繞過AV應(yīng)用和威脅-過濾應(yīng)用以通過系統(tǒng)而不重新生成�����。
此外����,將會理解�����,第二實施例中所描述的AV應(yīng)用可以位于除了 ISP電子郵件服務(wù)器的某處�。例如,AV應(yīng)用可以位于并安裝在接收者 的電子郵件客戶端服務(wù)器上���。以這種方式���,由電子郵件客戶端服務(wù)器 轉(zhuǎn)發(fā)至硬盤驅(qū)動器上的接收者的收件箱的任何電子郵件都是如前所述 的重新生成的電子郵件�����。
此外,將會理解��,AV應(yīng)用可以是半導(dǎo)體設(shè)備中硬連線的�,例如 但不限于硅、砷化鎵(GaAs)�����、銦磷化物(InP)��。艮卩���,AV應(yīng)用具有可 計量的任務(wù)�����,該任務(wù)不需要更新至定義了預(yù)定義的符合格式的過程����。 執(zhí)行AV應(yīng)用的任務(wù)(包括解析、分析����、重新生成和重組)所需的指 令可以在任何適合的半導(dǎo)體設(shè)備中實現(xiàn)。此外�����,實現(xiàn)AV應(yīng)用所需的 指令可以存儲于半持久性或持久性存儲設(shè)備中����。這樣,該存儲設(shè)備將 可操作地與所連接的處理器來運行AV應(yīng)用��。在這些情況下�����,可以獨 立于要保護的計算機來提供本發(fā)明���,如包括獨立于要保護的計算機中 的處理器和存儲硬件的處理器和存儲硬件的獨立設(shè)備(例如����,在諸如 調(diào)制解調(diào)器卡���、網(wǎng)絡(luò)適配器卡之類的卡或盤驅(qū)動控制器中)��。這具有以 下優(yōu)點將輸入的電子文件與要保護的計算機的文件系統(tǒng)和其他資源 完全隔離�,并將該文件存儲在通常不能被寫入或更新的位置,從而避
免AV應(yīng)用本身上的"陷門"攻擊��;換言之���,物理安全等級��。半導(dǎo)體 設(shè)備可以包括處理器和存儲設(shè)備,其中處理器運行來自存儲設(shè)備的AV
應(yīng)用�,并將輸入的文件存儲在存儲設(shè)備中以將其隔離。
此外�����,將會理解�����,可以使用傳統(tǒng)方法���,將以上所描述的半導(dǎo)體設(shè) 備提供作為任何適合的網(wǎng)卡上的一部分�。以這種方式,可以在通信網(wǎng) 絡(luò)中�����,通過使用所描述的方法重新生成所接收的電子文件����,利用該網(wǎng) 卡作為確保網(wǎng)絡(luò)不受有害代碼和數(shù)據(jù)的侵害的裝置。
此外�����,將會理解���,可以通過計算設(shè)備接收第一實施例中所描述的 電子文件����,其中���,將電子文件存儲在可移動的存儲設(shè)備上�。例如�����,可 以將電子文件存儲在USB盤設(shè)備、智能卡��、安全數(shù)字(SD)存儲設(shè) 備��、多媒體(SM)卡�����、XD卡���、軟盤��、ZIP驅(qū)動器����、便攜式硬驅(qū)動器 或可以直接或通過無線介質(zhì)與計算設(shè)備連接的任何其他適合的存儲設(shè) 備上���。
此外,將會理解���,本申請中所描述的操作系統(tǒng)可以是使用文件的 任何系統(tǒng)��。例如�����,嵌入式系統(tǒng)�、路由器、網(wǎng)卡等��。
此外����,將會理解,其他加擾方法可以用來確保不能自動執(zhí)行任何 所接收的可執(zhí)行文件�����。例如���,加擾方法使用字節(jié)交換方法來存儲每對 輸入字節(jié)���。在這個例子中,如果AV應(yīng)用接收到6個字節(jié)���,ABCDE F��,且首先接收到字節(jié)A���,最后接收到字節(jié)F�����,則將它們按照以下順序 存儲在存儲器中BADCFE�。第一字節(jié)(A)存儲在第二存儲位置�����, 第二字節(jié)(B)存儲在第一存儲位置��。這個反轉(zhuǎn)針對所接收的每對字 節(jié)在后續(xù)存儲位置中出現(xiàn)�����。以這種方式�,任何可執(zhí)行代碼不能自動運 行�����,因而任何受到感染的文件不能感染AV應(yīng)用或目的地操作系統(tǒng)�����。
為了避免疑問,單獨地或結(jié)合地針對以上所描述的新穎的實施例 中的任何和全部來尋求保護��。
已經(jīng)描述了本發(fā)明的各種方面和實施例及其修改����,本領(lǐng)域技術(shù)人 員將會理解,本發(fā)明可以在不偏離其原理的情況下在設(shè)置和細(xì)節(jié)上進 行修改����。要求保護進入所附權(quán)利要求的精神和范圍內(nèi)的所有實施例、 變體和修改�����。
權(quán)利要求
1��、一種用于接收輸入的電子文件的方法�����,所述輸入的電子文件包含與規(guī)則組相對應(yīng)的預(yù)定文件類型的內(nèi)容數(shù)據(jù)��,所述方法包括接收所述輸入的電子文件��,確定所聲稱的預(yù)定文件類型,根據(jù)包括與所確定的所聲稱的預(yù)定文件類型相對應(yīng)的規(guī)則組的預(yù)定數(shù)據(jù)格式�,對所述內(nèi)容數(shù)據(jù)進行解析,以及如果所述內(nèi)容數(shù)據(jù)符合所述預(yù)定數(shù)據(jù)格式�����,則重新生成相符合的解析后的內(nèi)容數(shù)據(jù)����,以創(chuàng)建具有所聲稱的文件類型的替代的重新生成的電子文件,所述替代的重新生成的電子文件包含重新生成的內(nèi)容數(shù)據(jù)�。
2、 如權(quán)利要求1所述的方法�����,其中�,所述數(shù)據(jù)格式與針對每個 文件類型的預(yù)定規(guī)則組的子集相對應(yīng)。
3�����、 如權(quán)利要求1所述的方法�����,包括確定所述內(nèi)容數(shù)據(jù)是否符 合現(xiàn)有已知的可接受數(shù)據(jù)的示例�。
4、 如權(quán)利要求3所述的方法�,其中,所述數(shù)據(jù)格式僅包括可允 許的控制字符��。
5�、 如權(quán)利要求3所述的方法,其中��,所述數(shù)據(jù)格式包含多個數(shù) 據(jù)項�,每個數(shù)據(jù)項具有相關(guān)聯(lián)的預(yù)定大小限制。
6����、 如權(quán)利要求5所述的方法,其中����,所述預(yù)定大小限制是圖像 文件中的行大小。
7���、 如權(quán)利要求1所述的方法���,還包括將所述輸入的電子文件 以加擾格式存儲在存儲器中����。
8�、 如權(quán)利要求7所述的方法,其中�,數(shù)據(jù)的每個字節(jié)以比特反 轉(zhuǎn)順序而存儲。
9�����、 如權(quán)利要求7所述的方法�����,其中��,存儲所述數(shù)據(jù)����,使得所接 收的每對數(shù)據(jù)字節(jié)以反轉(zhuǎn)的存儲順序而放置。
10����、 如權(quán)利要求l所述的方法,還包括僅在來自電子文件內(nèi)的 所有內(nèi)容數(shù)據(jù)都符合預(yù)定數(shù)據(jù)格式的情況下���,才轉(zhuǎn)發(fā)替代的重新生成 的電子文件�。
11����、 如權(quán)利要求10所述的方法,還包括在內(nèi)容數(shù)據(jù)的一份�、 一部分或全部不符合的情況下,僅當(dāng)電子文件的意向接收者在與電子 文件的發(fā)送者相關(guān)聯(lián)時已經(jīng)預(yù)先認(rèn)可預(yù)定文件類型時���,才會轉(zhuǎn)發(fā)輸入 的電子文件���。
12、 如權(quán)利要求10所述的方法����,還包括在內(nèi)容數(shù)據(jù)的一份、 一部分或全部不相符��,而且電子文件的意向接收者沒有預(yù)先認(rèn)可預(yù)定 數(shù)據(jù)格式以及電子文件的發(fā)送者的情況下���,僅當(dāng)意向接收者在接收時 認(rèn)可該電子文件時��,才會轉(zhuǎn)發(fā)輸入的電子文件�����。
13����、 如權(quán)利要求1所述的方法,還包括使用警告文本來替換不 符合預(yù)定格式的任何內(nèi)容數(shù)據(jù)���。
14�����、 如權(quán)利要求l所述的方法���,其中,所述輸入的電子文件是電 子郵件�����,而且所述方法還包括如果內(nèi)容數(shù)據(jù)符合預(yù)定數(shù)據(jù)格式�����,則 把重新生成的電子郵件轉(zhuǎn)發(fā)至意向接收者。
15����、 如權(quán)利要求14所述的方法,其中���,將替代的重新生成的電 子郵件從電子郵件客戶端轉(zhuǎn)發(fā)至硬盤驅(qū)動器���。
16�����、 如權(quán)利要求14所述的方法�����,其中�,將替代的重新生成的電子郵件從因特網(wǎng)服務(wù)器提供商服務(wù)器轉(zhuǎn)發(fā)至電子郵件客戶端服務(wù)器。
17���、 如權(quán)利要求l所述的方法����,還包括從可移動的存儲設(shè)備接 收輸入的電子文件,并把替代的重新生成的電子文件轉(zhuǎn)發(fā)至計算設(shè)備�。
18、 一種計算機可讀介質(zhì)�����,包括適于執(zhí)行如權(quán)利要求1至17之一所述的方法的計算機程序���。
19����、 一種半導(dǎo)體設(shè)備��,包括具有用于執(zhí)行如權(quán)利要求1至17之 一所述的方法的指令的存儲裝置����。
20、 如權(quán)利要求19所述的半導(dǎo)體設(shè)備�,其中,所述半導(dǎo)體設(shè)備 是半持久性或持久性存儲設(shè)備���。
21�����、 一種網(wǎng)卡���,包括如權(quán)利要求19所述的半導(dǎo)體設(shè)備���。
22、 一種適于拒絕不相符文件的計算機系統(tǒng)����,所述系統(tǒng)包括 接收裝置,適于接收輸入的電子文件����,所述文件包含預(yù)定數(shù)據(jù)文 件類型的內(nèi)容數(shù)據(jù)���;確定裝置����,適于確定所聲稱的預(yù)定數(shù)據(jù)文件類型����;解析裝置,適于根據(jù)與所述文件類型相關(guān)聯(lián)的預(yù)定數(shù)據(jù)格式對所述內(nèi)容數(shù)據(jù)進行解析����;確定裝置����,適于確定所述內(nèi)容數(shù)據(jù)是否符合所聲稱的預(yù)定數(shù)據(jù)格式��;重新生成裝置����,適于根據(jù)來自所述確定裝置的肯定性確定,重新 生成相符合的解析后的內(nèi)容數(shù)據(jù)���,以創(chuàng)建具有所聲稱的預(yù)定數(shù)據(jù)文件 類型的替代的重新生成的電子文件���,所述替代的重新生成的電子文件 包含重新生成的內(nèi)容數(shù)據(jù)。
23���、 一種適于拒絕不相符文件的計算機系統(tǒng)�����,所述系統(tǒng)包括 計算機�,適于接收輸入的電子文件�,所述文件包含預(yù)定文件類型的內(nèi)容數(shù)據(jù)�����;處理器��,適于確定所聲稱的預(yù)定數(shù)據(jù)文件類型����;所述處理器包括解析器����,所述解析器適于根據(jù)與所述文件類型相 關(guān)聯(lián)的預(yù)定數(shù)據(jù)格式對所述內(nèi)容數(shù)據(jù)進行解析;所述處理器還適于確定所述內(nèi)容數(shù)據(jù)是否符合所聲稱的預(yù)定數(shù) 據(jù)格式�����;以及����,根據(jù)肯定性確定���,所述處理器還適于根據(jù)來自所述確定裝置的肯定性確定�����,重新生 成相符合的解析后的內(nèi)容數(shù)據(jù)��,以創(chuàng)建具有所聲稱的預(yù)定文件類型的 替代的重新生成的電子文件�,所述替代的重新生成的電子文件包含重 新生成的內(nèi)容數(shù)據(jù)。
24��、 一種用于接收包含預(yù)定數(shù)據(jù)格式的內(nèi)容數(shù)據(jù)的電子文件的方 法���,所述方法包括以下步驟-接收所述電子文件�����, 確定所述數(shù)據(jù)格式���,對所述內(nèi)容數(shù)據(jù)進行解析,以確定所述內(nèi)容數(shù)據(jù)是否符合預(yù)定數(shù) 據(jù)格式���,以及如果所述內(nèi)容數(shù)據(jù)符合所述預(yù)定數(shù)據(jù)格式�����,則重新生成 解析后的數(shù)據(jù)�����,以創(chuàng)建具有所述數(shù)據(jù)格式的重新生成的電子文件��。
25�����、 如權(quán)利要求24所述的方法����,包括如果任何內(nèi)容數(shù)據(jù)均不 符合所述預(yù)定數(shù)據(jù)格式,則阻斷不符合所述預(yù)定數(shù)據(jù)格式的內(nèi)容數(shù)據(jù)�, 使其不包含在重新生成的電子文件中。
全文摘要
一種用于接收包含預(yù)定數(shù)據(jù)格式的內(nèi)容數(shù)據(jù)的電子文件的方法或系統(tǒng)��,所述方法包括以下步驟接收電子文件���;確定數(shù)據(jù)格式���;對內(nèi)容數(shù)據(jù)進行解析,以確定所述內(nèi)容數(shù)據(jù)是否符合預(yù)定數(shù)據(jù)格式����;以及如果所述內(nèi)容數(shù)據(jù)符合所述預(yù)定數(shù)據(jù)格式����,則重新生成解析后的數(shù)據(jù)�,以創(chuàng)建具有所述數(shù)據(jù)格式的重新生成的電子文件�����。
文檔編號G06F21/56GK101194264SQ200680020707
公開日2008年6月4日 申請日期2006年6月9日 優(yōu)先權(quán)日2005年6月9日
發(fā)明者尼古拉斯·約翰·斯卡萊斯 申請人:格拉斯沃(Ip)有限公司