專利名稱::用于驗證、數(shù)據(jù)傳送和防御網(wǎng)絡(luò)釣魚的系統(tǒng)和方法用于驗證、數(shù)據(jù)傳送和防御網(wǎng)絡(luò)釣魚的系統(tǒng)和方法相關(guān)申請的交叉引用該申請要求2007年8月6日遞交、標題為“SystemandMethodsforOnlineAuthenticationandDataTransferProtection(用于線上IiiE禾口數(shù)據(jù)傳送保護的系統(tǒng)和方法),,的美國臨時專利申請No.60/954,259以及2007年9月19”SystemandMethodsforProtectionofOnlineDataTransferandAnti-phishingAuthentication(用于保護線上數(shù)據(jù)傳送和反網(wǎng)絡(luò)釣魚驗證的系統(tǒng)和方法)”的美國臨時專利申請No.60/973,590的優(yōu)先權(quán),上述美國臨時專利申請的公開內(nèi)容通過引用并入本文。
背景技術(shù):
:線上身份(onlineidentity)竊取、金融信息竊取、網(wǎng)絡(luò)釣魚、病毒、間諜軟件和其他數(shù)據(jù)通信相關(guān)的惡意活動每年耗費商業(yè)機構(gòu)、個人、學術(shù)機構(gòu)和政府數(shù)十億美元。此外,這樣的活動還是顯著損失的產(chǎn)率、損害的原因,并且可能阻礙線上通信的使用。這樣的活動不但讓商業(yè)服務(wù)器的用戶深受其害,而且還是包括政府計算機系統(tǒng)、銀行計算機系統(tǒng)和線上銀行平臺、學術(shù)機構(gòu)計算機系統(tǒng)和線上零售平臺的其他網(wǎng)絡(luò)及系統(tǒng)用戶的主要憂慮。已經(jīng)提出了各種方法和系統(tǒng)用于網(wǎng)絡(luò)數(shù)據(jù)通信環(huán)境中用戶識別、驗證以及防止攻擊和網(wǎng)絡(luò)釣魚策略。這些已知的技術(shù)通常是基于少數(shù)簡單機制,已經(jīng)證明這些機制不足以抵抗精深的惡意和/或犯罪活動。另外,這些已知的技術(shù)在適應(yīng)惡意實體的技術(shù)技巧演進方面能力不足,而惡意實體已經(jīng)顯示出其快速調(diào)整技術(shù)和方法的能力。因此,存在著對用于檢測很多形式的數(shù)據(jù)通信、網(wǎng)絡(luò)釣魚和安全性相關(guān)威脅以及用于通過瓦解檢測到的威脅和/或糾正其效果來對這種檢測作出反應(yīng)的魯棒和適應(yīng)性系統(tǒng)和方法的需求。
發(fā)明內(nèi)容本申請的一個方面可以提供一種用于使用計算機設(shè)備進行數(shù)據(jù)通信的方法,所述方法包括確定是否升級數(shù)據(jù)通信組件的第一版本,所述數(shù)據(jù)通信組件的所述第一版本包含第一通信協(xié)議的定義;當確定升級所述數(shù)據(jù)通信組件的所述第一版本時,連接到安全服務(wù)器;進行驗證檢測;當所述驗證檢測成功時,從所述安全服務(wù)器接收分組,所述分組包含所述數(shù)據(jù)通信組件的至少第二版本,所述第二版本包含第二通信協(xié)議的定義;確定嵌入在所述分組中的數(shù)字簽名是否合法;當所述數(shù)字簽名合法時,安裝所述數(shù)據(jù)通信組件的所述第二版本;執(zhí)行所述數(shù)據(jù)通信組件的所述第二版本;以及使用所述數(shù)據(jù)通信組件的所述第二版本和所述第二通信協(xié)議進行數(shù)據(jù)通信。在該方法中,確定是否升級數(shù)據(jù)通信組件的第一版本的操作可以包括確定從所述數(shù)據(jù)通信組件的所述第一版本的在前執(zhí)行時刻到當前時刻經(jīng)過的時間;將所述經(jīng)過的時間與預定的觸發(fā)時間值進行比較;以及當所述經(jīng)過的時間等于或者大于所述觸發(fā)時間值時,連接到所述安全服務(wù)器。比較所述經(jīng)過的時間的操作可以包括使用網(wǎng)絡(luò)時間協(xié)議確定所述當前時刻。該方法可以包括當所述驗證檢查未成功或者所述數(shù)字簽名非法時,生成警告;以及將所述警告?zhèn)鬏數(shù)揭韵轮辽僦凰鲇嬎銠C設(shè)備的用戶、所述安全服務(wù)器的用戶或者調(diào)查服務(wù)器。所述安全服務(wù)器的地址可以位于直接IP地址池中,且所述直接IP地址池儲存在所述安全通信組件的所述第一版本中。所述驗證檢查可以包括使用以下至少之一零知識協(xié)議、SSL證書或者非對稱密碼技術(shù)。所述分組還包括所述數(shù)據(jù)通信組件的所述第二版本的至少一個依賴體。所述數(shù)據(jù)通信組件的所述第二版本可以包括對所述數(shù)據(jù)通信組件的所述第一版本源碼的修改,并且所述修改是由源碼級多形體引擎產(chǎn)生的。所述源碼級多形體引擎進行以下操作至少之一使用無功能指令插入噪聲,嵌入變量,嵌入數(shù)學函數(shù),嵌入值,插入跳轉(zhuǎn),插入時移延遲,對源碼進行隨機重新排序,插入對API和調(diào)用包裝的引用,插入跟蹤器檢測代碼,插入子線程生成器,插入虛假代碼,或者插入自動保護系統(tǒng)。本申請的另一個方面可以提供一種用于使用計算機設(shè)備生成數(shù)據(jù)通信組件的第二版本的方法,所述方法包括生成隨機數(shù)池;生成密鑰池;使用所述隨機數(shù)池修改數(shù)據(jù)通信組件的第一版本的源碼;鏈接等效函數(shù)庫;編譯所述已修改源碼;屏蔽所述已編譯源碼;簽署所述已屏蔽的已編譯源碼;以及嵌入依賴體。所述數(shù)據(jù)通信組件的所述第二版本可以包括對所述數(shù)據(jù)通信組件的所述第一版本的源碼的修改,并且所述修改可以是由源碼級多形體引擎產(chǎn)生的。所述源碼級多形體引擎可以進行以下操作至少之一使用無功能指令插入噪聲,嵌入變量,嵌入數(shù)學函數(shù),嵌入值,插入跳轉(zhuǎn),插入時移延遲,對源碼進行隨機重新排序,插入對API和調(diào)用包裝的引用,插入跟蹤器檢測代碼,插入子線程生成器,插入虛假代碼,或者插入自動保護系統(tǒng)。所述屏蔽操作可以由二進制級代碼保護器進行,并且所述二進制級代碼保護器可以包括二進制級多形體引擎。所述二進制級多形體引擎可以進行以下操作至少之一注入代碼包含函數(shù),注入反跟蹤器,注入反調(diào)試陷阱,壓縮二進制碼,加密二進制碼,重寫頭文件,重寫資源,或者重寫載入器。簽署所述已編譯源碼的操作可以包括以編輯器私鑰進行簽署。所述依賴體可以包括以下至少之一反惡意軟件數(shù)據(jù)庫,對其他進程的糾正或更新的部件(element)。本申請的另一個方面可以提供一種用于使用計算機設(shè)備進行數(shù)據(jù)通信的方法,所述方法包括當嵌入在電子通信中的鏈接被用戶選擇時,攔截數(shù)據(jù)通信,所述鏈接包含至少一個目標位置標識符;確定用于顯示所述電子通信的應(yīng)用類型;以及當所述應(yīng)用類型是網(wǎng)絡(luò)郵件域中的電子通信閱讀器應(yīng)用或網(wǎng)絡(luò)瀏覽器軟件應(yīng)用之一時,提取所述電子通信的主題,提取所述電子通信的內(nèi)容,分析所述電子通信,分析所述提取的主題和內(nèi)容,分析所述選擇的鏈接,分析所述電子通信的人為因素,基于對所述電子通信的所述分析、對所述提取的主題和內(nèi)容的所述分析、對所述選擇的鏈接的所述分析,以及對所述人為因素的所述分析確定風險因子,以及基于所述確定的風險因子的值,將所述用戶引導到所述鏈接標識的目標位置或者合法位置之一。對所述電子通信的所述主題或所述內(nèi)容至少之一的所述提取可以包括分析文檔對象模型。分析所述通信的操作可以包括以下至少之一確定所述選擇的鏈接是否被嵌入在電子郵件文檔中,檢測所述電子通信中至少一個圖像的位置和大小,檢測所述電子通信的可視和非可視部件,計算所述電子通信的文本、區(qū)域和區(qū)之一的前景色和背景色之間的距離,或者使用嵌入式圖像識別算法分析包含于所述電子通信中的圖像。分析所述主題和內(nèi)容的操作可以包括以下至少之一分析包含于所述電子通信中的詞語,確定在網(wǎng)絡(luò)釣魚通信中普遍使用的詞語量,分析包含于所述電子通信中的文本引用鏈接,或者分析所述電子通信的格式。分析所述選擇的鏈接的操作可以包括以下至少之一檢測編碼的鏈接,檢測域的重定向,檢測頂層域,檢測欺瞞的鏈接,檢測子重定向鏈接,分類格式不恰當?shù)逆溄?,檢測用戶名欺瞞,檢測直接IP鏈接,檢測受保護目標,檢測拼錯鏈接,檢測文本性鏈接中的語音含義,檢測伴體的鏈接,檢測已知的域,檢測免費主機服務(wù),檢測危險的地理區(qū)域,或者檢查本地主機文檔隱藏的重定向。所述方法可以包括分析所述鏈接中標識的所述目標位置。將所述用戶引導到所述合法位置的操作可以包括從保護范圍字典獲得默認的合法位置鏈接。本申請的另一個方面可以提供一種用于使用計算機設(shè)備創(chuàng)建證書的方法,所述方法包括在服務(wù)器接收對證明的請求;進行外部檢驗;生成所述證書,所述生成使用至少一個被請求的選項;以及使用私鑰簽署所述證書,其中所述服務(wù)器通過所述服務(wù)器的全資格域名和所述服務(wù)器的TCP/IP地址標識。本申請的另一個方面可以提供一種利用計算機設(shè)備來使用證書的方法,所述方法包括查詢作為至少一個網(wǎng)站的主機的服務(wù)器;啟動對內(nèi)部函數(shù)的調(diào)用,以確定對所述服務(wù)器的保護;下載所述證書;使用公鑰來驗證所述證書的真實性;當檢驗出所述證書是真實的時,提取至少一個證書字段;計算從所述服務(wù)器接收的數(shù)據(jù)的數(shù)字簽名或哈希碼中的至少一種;將所述至少一個證書字段與所述接收的數(shù)據(jù)的數(shù)字簽名或哈希碼中的至少一種進行比較;以及基于所述比較的結(jié)果,確定所述網(wǎng)站是否合法。在附圖中通過實施例的方式圖示出本發(fā)明的實施方案,在附圖中類似的標號指示類似的部件,并且其中圖1根據(jù)示例性實施方案示出安全通信組件的接口和組件;圖2是根據(jù)示例性實施方案示出安全通信組件引導載入器(bootloader)的過程(process)的流程圖;圖3根據(jù)示例性實施方案示出安全通信組件的版本創(chuàng)建時間軸;圖4是根據(jù)示例性實施方案示出創(chuàng)建安全通信組件版本的方法的流程圖;圖5根據(jù)示例性實施方案示出安全通信組件的登入界面;圖6是根據(jù)示例性實施方案示出反網(wǎng)絡(luò)釣魚組件的一般工作流的流程圖;圖7是根據(jù)示例性實施方案示出反網(wǎng)絡(luò)釣魚組件的過程的流程圖;圖8根據(jù)示例性實施方案示出反網(wǎng)絡(luò)釣魚組件的組件體系結(jié)構(gòu)的可替換圖示;圖9根據(jù)示例性實施方案示出反惡意軟件組件的過程;圖10根據(jù)示例性實施方案示出反惡意軟件組件的部件;圖11示出DNS攻擊策略的部件;圖12根據(jù)示例性實施方案示出網(wǎng)站授權(quán)組件的服務(wù)器端過程;圖13根據(jù)示例性實施方案示出網(wǎng)站授權(quán)組件的用戶端過程;圖14根據(jù)示例性實施方案示出網(wǎng)站授權(quán)組件的瀏覽器整合的部件;圖15根據(jù)示例性實施方案示出網(wǎng)站授權(quán)組件對網(wǎng)站進行保護的判決過程;圖16根據(jù)示例性實施方案示出網(wǎng)站授權(quán)組件檢查對服務(wù)器的保護的過程;圖17根據(jù)示例性實施方案示出網(wǎng)站授權(quán)組件檢查證書的過程。具體實施例方式線上身份竊取、欺騙、病毒、間諜軟件和其他計算機相關(guān)的犯罪每年耗費商業(yè)機構(gòu)和個人數(shù)十億美元的金融和資源損失。本申請的方法和系統(tǒng)可以涉及檢測和防止威脅、黑客、網(wǎng)絡(luò)釣魚嘗試、對計算機設(shè)備的未授權(quán)訪問,以及獲得用戶標識、金融與其他敏感信息的嘗試。可以使用允許動態(tài)阻擋零日攻擊(0-daysattack)并消除網(wǎng)域嫁接的主動的方法來檢測網(wǎng)絡(luò)釣魚嘗試。其他可以被檢測并防止的攻擊包括諸如重新路由、欺瞞等的本地威脅,以及諸如蠕蟲、病毒、木馬、擊鍵記錄器、屏幕搜刮器、隱匿技術(shù)(rootkit)和其他客戶端威脅的惡意軟件相關(guān)威脅。另外,通過使用服務(wù)器驗證和通用保護策略,可以檢測并防止包括域名系統(tǒng)(“DNS”)攻擊、注入(injection)、篡改和侵占的服務(wù)器攻擊。使用在本申請中,“網(wǎng)絡(luò)釣魚”可以指嘗試通過在電子通信中冒充為可信賴實體來獲取諸如用戶名、密碼、標識信息、信用卡信息、金融賬戶信息等的敏感信息的過程。聲稱來自于已知實體(例如銀行或零售商)的通信可以被用來引誘無戒心的用戶提供這樣的信息,故此其可以被惡意實體用于諸如竊取、欺騙等的不法目的。網(wǎng)絡(luò)釣魚活動普遍可以通過電子郵件、即時消息和/或類似的軟件應(yīng)用來進行,并且可以引導用戶在網(wǎng)站和/或其他位置鍵入敏感信息,所述網(wǎng)站或其他位置被設(shè)計來仿冒受信實體的網(wǎng)站或其他位置,由此鍵入的信息可以被傳輸?shù)綈阂鈱嶓w而被用于不法活動。貫穿本申請,術(shù)語“服務(wù)器”將被用來指能夠經(jīng)由數(shù)據(jù)通信網(wǎng)絡(luò)與其他計算機設(shè)備通信并且可操作來向用戶發(fā)送信息(通常基于請求)的任何計算機設(shè)備。“服務(wù)器”意圖既包括單個計算機設(shè)備,又包括聯(lián)網(wǎng)或以其他方式能夠彼此通信且協(xié)力作用來向用戶提供信息的各個計算機設(shè)備的群體。另外,“服務(wù)器”意圖既包括計算機設(shè)備的硬件,又包括計算機運行或儲存的任何軟件,例如包括網(wǎng)絡(luò)服務(wù)器應(yīng)用、數(shù)據(jù)庫應(yīng)用、零售應(yīng)用、金融應(yīng)用,以及在服務(wù)器上運行或者服務(wù)器獲得的任何其他適當軟件應(yīng)用。因此,使用在本申請中,術(shù)語“服務(wù)器”意圖既應(yīng)用于計算機設(shè)備,又應(yīng)用于在計算機設(shè)備上運行的網(wǎng)站,并且包括計算機設(shè)備上運行的網(wǎng)絡(luò)服務(wù)器應(yīng)用所提供的數(shù)據(jù)。這樣的網(wǎng)站可以采取任何適當?shù)男问?,例如線上商店、銀行或其他金融門戶、學術(shù)信息門戶、社會聯(lián)網(wǎng)論壇、信息發(fā)布門戶等等。此夕卜,服務(wù)器可以包括個人計算機設(shè)備、便攜式計算機設(shè)備、大型計算機設(shè)備、手持式計算機設(shè)備、個人數(shù)字助理設(shè)備、智能電話設(shè)備,以及能夠運行軟件應(yīng)用并且經(jīng)由數(shù)據(jù)通信線路與其他計算機設(shè)備通信的任何其他適當計算機設(shè)備。本系統(tǒng)和方法可以包括儲存在例如計算機設(shè)備中并且由計算機設(shè)備執(zhí)行的軟件程序和/或例程,并且所述軟件程序和/或例程可以包括用于協(xié)同計算機通信硬件和軟件進行與其他計算機系統(tǒng)的通信的軟件程序和/或例程。計算機系統(tǒng)之間的通信可以經(jīng)由公共通信網(wǎng)絡(luò)(例如因特網(wǎng))進行,或者經(jīng)由分離且獨立于公共通信網(wǎng)絡(luò)的私用通信網(wǎng)絡(luò)進行??梢酝ㄟ^使用包括TCP/IP、FTP、SSH、WIFI等的通信方法和協(xié)議來進行通信。使用在這里,術(shù)語“計算機系統(tǒng)”和“網(wǎng)絡(luò)”可以包括固定和/或便攜式計算機硬件、軟件、外設(shè)和儲存設(shè)備的各種組合。計算機系統(tǒng)可以分別包括聯(lián)網(wǎng)或者以其他方式鏈接來協(xié)作運轉(zhuǎn)的多個單獨的組件,或者可以包括獨立的組件。計算機系統(tǒng)還可以分別包括至少一個處理系統(tǒng)、至少一個內(nèi)部儲存設(shè)備、至少一個外部儲存設(shè)備、至少一個打印設(shè)備、讀取設(shè)備和輸入/輸出設(shè)備。儲存設(shè)備可以包括用于以電子方式儲存數(shù)據(jù)的設(shè)備,例如硬盤驅(qū)動設(shè)備、儲存服務(wù)器、儲存區(qū)網(wǎng)絡(luò)、RAID配置、光介質(zhì)驅(qū)動器、全息介質(zhì)驅(qū)動器、磁帶介質(zhì)驅(qū)動器、閃存設(shè)備等等。計算機系統(tǒng)還可以包括包含一個或更多個隨機訪問存儲器模塊的計算機系統(tǒng)組件,以及包括一個或更多個用于使信息能夠輸入計算機系統(tǒng)和能夠從計算機系統(tǒng)輸出的外設(shè)(例如鍵盤、鼠標以及監(jiān)視器)的輸入/輸出設(shè)備。軟件例程和/或程序可以被嵌入和/或儲存在內(nèi)部儲存設(shè)備或外部儲存設(shè)備中,并且可以由分別的處理系統(tǒng)運行。處理系統(tǒng)可以運行包括操作系統(tǒng)(例如UNIX、Linux、BSD、OS/2、VMS)和Microsoft應(yīng)用以及數(shù)據(jù)庫應(yīng)用、網(wǎng)絡(luò)服務(wù)器應(yīng)用、文件服務(wù)器應(yīng)用、郵件服務(wù)器應(yīng)用等的軟件應(yīng)用。此外,計算機系統(tǒng)可以分別具有網(wǎng)絡(luò)通信的能力,并且網(wǎng)絡(luò)可以包括有線或無線通信線路以及用于傳輸、接收和路由數(shù)據(jù)的相關(guān)聯(lián)硬件設(shè)備(例如路由器、交換機、網(wǎng)絡(luò)中心(hub)、網(wǎng)絡(luò)接口等)。計算機系統(tǒng)的硬件和軟件組件可以包括固定和便攜設(shè)備,或者可以被包括在固定和便攜設(shè)備內(nèi),所述固定和便攜設(shè)備包括桌面型計算機、膝上型計算機、服務(wù)器、個人數(shù)字助理、輸入板、智能電話、電視、廣播,以及音頻和視頻記錄設(shè)備。本申請的系統(tǒng)和方法的各種功能可以借由一個或更多個組件實現(xiàn),并且所述一個或更多個組件可以彼此協(xié)同使用或者獨立使用,如下面詳細描述的那樣。如本領(lǐng)域技術(shù)人員將理解的,各種組件可以共同組裝、安裝和/或定位,或者可以分布在多個獨立的位置和/或設(shè)備間。本申請的系統(tǒng)和方法的各種組件可以包括,但不限于,安全通信層組件、反網(wǎng)絡(luò)釣魚組件、使用一個或更多個證書的服務(wù)器驗證組件,以及反惡意軟件組件。每個組件可以獨立工作,或者與一個或更多個其他組件協(xié)同工作。如下面詳細描述的,每個組件可以儲存、安裝在計算機設(shè)備中或者由計算機設(shè)備運行。安全通信組件可以定義終端用戶計算機設(shè)備和/或應(yīng)用與計算機設(shè)備(諸如服務(wù)器)之間的安全通信信道。服務(wù)器可以作為例如網(wǎng)站和相關(guān)軟件應(yīng)用的宿主和/或運行網(wǎng)站和相關(guān)軟件應(yīng)用,并且網(wǎng)站可以提供商業(yè)、金融、學術(shù)、政務(wù)和其他類似服務(wù)。組件可以嵌入用于計算機設(shè)備和用戶標識與驗證的驗證系統(tǒng),并且驗證系統(tǒng)可以基于個人證書、硬件驗證和內(nèi)部虛擬口令系統(tǒng)、對硬件令牌(token)的開放API、智能卡以及其他強驗證系統(tǒng),寸寸。安全通信組件可以使用以下中的一種或更多種設(shè)定用戶計算機設(shè)備和安全服務(wù)器之間的通信協(xié)議加密網(wǎng)絡(luò)協(xié)議、密鑰共識協(xié)議、隨機密鑰和/或種子(seed),以及可以在數(shù)代之間隨機選擇的協(xié)議句法和語法編碼器。另外,安全通信組件可以使用多重保護機制,并且可以被重新配置和/或修改為各個版本和各代,以妨礙逆向工程和分析。安全通信組件可以包括引導程序(bootstrap)載入器組件。引導程序載入器組件可以可操作來在一個或更多個安全的服務(wù)器和用戶之間同步安全通信組件,例如通過在需要時和/或以各種時間間隔自動更新安全通信模塊及其依賴體(cbpendency)。各種服務(wù)器計算機設(shè)備可以實現(xiàn)在本申請的系統(tǒng)和方法中。安全服務(wù)器(securesever)可以包括這樣的計算機設(shè)備,其可以公開暴露需要更新和同步的組件和信息,并且安全服務(wù)器可以由IP地址池指定來旁路DNS解析。調(diào)查服務(wù)器(surveyserver)可以包括與專用服務(wù)器池相關(guān)聯(lián)的計算機設(shè)備,其可以從所述一個或更多個組件接收攻擊警告和信息,以跟蹤、分析和監(jiān)控實時攻擊和新的一般攻擊,例如網(wǎng)絡(luò)釣魚、DNS攻擊、惡意軟件等等。另外,調(diào)查服務(wù)器可以由IP地址池指定,以旁路DNS解析。明智的(sensible)服務(wù)器可以包括包含保護系統(tǒng)的計算機設(shè)備,向用戶提供安全性和保護。例如一旦激活(例如電子郵件消息)通信中所嵌入或包括的鏈路或其他對象,可以使用反網(wǎng)絡(luò)釣魚組件。隨后,反網(wǎng)絡(luò)釣魚組件可以分析通信的內(nèi)容和上下文(context),分析通信、鏈路或嵌入對象所指明的目標,確定通信、鏈路或嵌入對象是否合法,并且一旦確定該通信、鏈路或嵌入對象非法則將用戶重新路由到合法位置。服務(wù)器驗證組件可以例如從客戶端檢測欺瞞(spoof)計算機設(shè)備(例如網(wǎng)絡(luò)服務(wù)器)或變更所提供內(nèi)容的嘗試。另外,服務(wù)器驗證組件可以通過制作在服務(wù)器端公開可獲得的通用形式證書并且借助于強加密的使用來允許對所有可察覺特性的檢驗來檢測偽造、域欺騙、注入或篡改攻擊以及DNS攻擊。服務(wù)器驗證系統(tǒng)可以依賴于將服務(wù)器的合法IP地址和域名鏈接在一起的強加密模型證書。所述證書可以進一步嵌入其他功能性,所述功能性可操作來允許對服務(wù)器內(nèi)容、其引用等的靜態(tài)或動態(tài)檢查。所述證書可以被制作為以文件、cookie、MIME定義、數(shù)據(jù)流、結(jié)構(gòu)化儲存定義的形式和/或其他適當形式可獲得。例如在每次需要連接到明智服務(wù)器時,服務(wù)器驗證組件可以被一個或更多個其他組件使用。一旦完成這樣的連接,在將控制返回給調(diào)用方之前進行對服務(wù)器驗證、內(nèi)容和/或周界(perimeter)的完全檢驗。無需對DNS體系結(jié)構(gòu)的修改,并且保護可以是被動的并且可以在客戶端。服務(wù)器驗證組件可以例如呈可執(zhí)行代碼的形式,如提供命令行接口、允許向各種接口、應(yīng)用以及計算機語言導出其服務(wù)的ActiveX服務(wù)器,COM對象,通用函數(shù),或標準應(yīng)用。反惡意軟件組件可以包括反病毒掃描器,所述反病毒掃描器包含選定已知威脅的數(shù)據(jù)庫。反惡意軟件組件可以通過掃描諸如注冊表、啟動項、路徑、文件夾、開放端口、互斥體、文件和行為的項目來檢測威脅。反惡意軟件組件可以可操作來檢測和鑒別已知和一般的威脅,并檢測攻擊,而且基于知識基礎(chǔ)創(chuàng)建自動防護系統(tǒng)。每次嘗試與明智服務(wù)器連接時,重定向檢測組件可以分析諸如本地主機文件和本地DNS設(shè)定的項目,由此檢測重定向該連接的嘗試。安全通信組件安全通信組件可以包括通信協(xié)議引擎,并且可以嵌入一組或更多組安全部件(element),所述安全部件包括協(xié)議、加密層、密鑰、設(shè)置、語言、句法、語法等等??梢詣?chuàng)建安全通信組件的新版本或者新的“代”,并且可以以各種時間間隔或者基于手動激活在連續(xù)的版本間修改和/或更改安全通信組件,以嵌入不同或者不可預測的安全部件組。貫穿本申請,安全通信組件還可以被稱為“ESB組件”。安全通信組件可以包括安全通信組件載入器。參照圖1,安全通信組件載入器可以以一種或更多種方式實現(xiàn)。例如,在示例性實施方案中,在服務(wù)器驅(qū)動的連接中,安全通信組件載入器可以包括諸如ActiveX服務(wù)器對象的服務(wù)器對象。安全通信組件載入器可以通過包括對對象的引用而例如從任何標準HTML網(wǎng)頁調(diào)用。在示例性實施方案中,所述對象可以包括例如“tag<OBJECT>”??商鎿Q地,安全通信組件載入器可以由用戶和/或用戶計算機設(shè)備的管理員手動從任何“COM”兼容計算機語言調(diào)用作為來自操作系統(tǒng)的調(diào)度器應(yīng)用所調(diào)度命令行的標準應(yīng)用,由計算機語言調(diào)用作為MIME關(guān)聯(lián)體(association),等等。可替換地,在用戶驅(qū)動的連接中,安全通信組件載入器可以包括瀏覽器幫助對象,和/或通用COM服務(wù)器作為標準應(yīng)用。如本領(lǐng)域技術(shù)人員將理解的,可以使用其他實現(xiàn)方式,并且可以以任何適當形式或機制實現(xiàn)安全通信組件載入器。安全通信組件可以通過用于將組件設(shè)置到用戶的計算機設(shè)備上的下載和安裝過程來實現(xiàn)。安裝可以包括例如經(jīng)由設(shè)置在HTML網(wǎng)頁中的鏈接下載可下載對象。在示例性實施方案中,例如,從HTML頁面進行的下載可以經(jīng)由標準HTML標簽進行,例如為“<objectsrc=cab>”形式的標簽,或者經(jīng)由用于經(jīng)由網(wǎng)頁和/或位置向用戶呈遞軟件組件的任何其他適當機制進行。安全通信組件可以可替換地經(jīng)由物理介質(zhì)上的遞送,或者通過在用戶的計算機設(shè)備上運行的另一軟件應(yīng)用(例如反病毒應(yīng)用)的自動下載和儲存功能、下載器、標準獨立應(yīng)用、驅(qū)動,或者應(yīng)用(例如網(wǎng)絡(luò)瀏覽器應(yīng)用)的擴展或插件被提供給用戶??商鎿Q地,安全通信組件可以被下載、安裝和實現(xiàn)為可與一個或更多個網(wǎng)絡(luò)瀏覽器軟件應(yīng)用工作的瀏覽器擴展應(yīng)用。位于用戶計算機設(shè)備上的活動組件(activecomponent)可以檢測位于用戶計算機設(shè)備(“客戶端”)以及用戶計算機設(shè)備可以與其通信的服務(wù)器(“服務(wù)器端”)兩者上的威脅。安全通信組件可以通過使用啟發(fā)式檢測器來實時檢測用戶連接到欺騙性網(wǎng)站(例如網(wǎng)絡(luò)收割(farming)和/或網(wǎng)絡(luò)釣魚網(wǎng)站)的嘗試,所述啟發(fā)式檢測器檢測并自動將欺騙性鏈接修改為正當(legitimate)鏈接,防止對潛在有害的網(wǎng)站或位置的不經(jīng)意訪問。安全通信組件可以嵌入多個模塊,并且每個這樣的模塊可以獨立地起作用或者與彼此協(xié)作。另外,安全通信組件可以調(diào)用一個或更多個其他組件,并且被一個或更多個其他組件調(diào)用,如下面詳細描述的。安全通信組件可以定義用戶計算機設(shè)備和/或在用戶計算機設(shè)備上運行的應(yīng)用與服務(wù)器之間的安全通信信道。安全通信組件可以包括用于計算機設(shè)備和用戶識別與驗證的驗證系統(tǒng)。嵌入式驗證系統(tǒng)可以基于個人證書、硬件驗證、內(nèi)部虛擬口令系統(tǒng)、對硬件令牌的開放API、智能卡和/或其他強驗證機制。安全通信組件還可以使用加密網(wǎng)絡(luò)協(xié)議設(shè)定用戶計算機設(shè)備與安全服務(wù)器之間的通信協(xié)議??梢詮牟煌M合池中選擇網(wǎng)絡(luò)協(xié)議。安全通信組件還可以設(shè)定密鑰共識協(xié)議,并且可以從不同的池選擇所述密鑰共識協(xié)議。安全通信組件可以設(shè)定隨機密鑰和種子。另夕卜,可以針對不同版本的安全通信組件隨機選擇協(xié)議句法和語法編碼器??梢允褂脧婒炞C從標準選項(例如SSL/TLS)選擇通信層??商鎿Q地,可以從一個或更多個非標準的選項選擇所述層。在服務(wù)器端,從用戶計算機設(shè)備使用安全通信組件的前一和/或過時版本進行的新連接嘗試可以被拒絕,并且可以發(fā)起一將用戶計算機設(shè)備更新為新版本的安全通信組件更新進程??梢跃S護上一版本的窗口(window),以允許用比最近版本老舊的版本繼續(xù)當前連接,直至例如安全性管理員所定義和/或調(diào)整的全局規(guī)則所設(shè)定的一最長時間。在示例性實施方案中,可以維護至少兩個最近版本。安全通信組件弓I導程序載入器當需要時,安全通信組件引導程序載入器或引導載入器可以被用來下載和安裝安全通信組件的當前和/或新版本。參照圖2,在從步驟202開始之后,安全通信組件載入器在步驟202啟動,在步驟204可以檢查從上次執(zhí)行安全通信組件之后經(jīng)過的時間。該經(jīng)過時間檢查可以使用本地計算機設(shè)備時鐘、網(wǎng)絡(luò)時間協(xié)議(“NTP”)協(xié)議來提供全局準確性以及獨立于本地計算機設(shè)備和/或安全服務(wù)器所定義的信令協(xié)議的獨立性。經(jīng)過時間值可以與可以在安全通信組件代碼中定義的觸發(fā)時間值(“DeltaT”)進行比較??梢栽谌魏芜m當?shù)臅r間例如從安全服務(wù)器遠程地更新所述觸發(fā)時間值。當經(jīng)過時間值大于觸發(fā)值時,和/或依賴于對安全服務(wù)器的版本檢查請求,在步驟206建立到直接IP地址池定義的安全服務(wù)器的連接。一旦連接到該安全服務(wù)器,在步驟208進行驗證檢查來避免對服務(wù)器和數(shù)據(jù)的任何欺瞞或鉤連(hook)。驗證過程可以依賴于任何零知識協(xié)議、SSL證書、非對稱密碼和任何適當?shù)膮f(xié)議。當驗證和/或連接不能被合法化時,在步驟218,可以向用戶、用戶計算機設(shè)備或網(wǎng)絡(luò)的管理員、調(diào)查服務(wù)器或者另一實體傳輸警告。之后,該過程可以在步驟230停止。當驗證和/或連接可以在步驟208被確定為合法時,該過程可以繼續(xù)到步驟210,在此,可以從安全服務(wù)器下載這樣的分組,所述分組定義安全通信組件的當前版本和/或新版本以及任何需要的直接依賴體。在該步驟使用的通信協(xié)議可以定義從服務(wù)器傳輸?shù)浇K端用戶計算機、引導載入器和/或一個或更多個組件以實現(xiàn)或更新諸如DeltaT延遲、另外或替換安全服務(wù)器和/或調(diào)查服務(wù)器的標識和/或地址、連接參數(shù)、反惡意軟件數(shù)據(jù)庫等設(shè)置的專用命令、指令或變量及值。一旦下載了新的分組,則在步驟212,可以通過檢驗數(shù)字簽名來檢查所下載分組的真實性和完整性,所述數(shù)字簽名可以被嵌入在該分組中。當不能檢查所述簽名和/或確定所述簽名為非法時,該過程可以前進到步驟218,在此,可以向用戶、用戶計算機設(shè)備或網(wǎng)絡(luò)的管理員、調(diào)查服務(wù)器或者另一實體傳輸警告,并且該過程在步驟230結(jié)束。當在步驟212確定所下載分組是真實的,則可以在步驟214安裝安全通信組件的新版本,并且之后在步驟216執(zhí)行該新版本。所述安裝可以包括在本地更新安全通信組件的一些或所有文件,并且所述被更新的文件可以位于所下載的分組中。另外,所述更新可以包括進行測試過程,在所述測試過程中,可以在進行與任何外部計算機設(shè)備的通信之前測試新更新的安全通信組件。當測試過程指示下載和安裝的安全通信組件為非法和/或未起作用時,可以再次進行在步驟202開始的組件更新過程。此外,可以使用不同的安全服務(wù)器,和/或可以生成并向用戶、用戶計算機設(shè)備的管理員、安全服務(wù)器或另一實體傳輸安全性警告。參照圖3,并且根據(jù)上面描述的安全通信組件更新過程,執(zhí)行安全通信組件之間經(jīng)過的時間可以被這樣定義,即使得安全通信組件特定版本的使用時間可以短于對安全通信組件進行反向工程、分解、解構(gòu)或以其他方式進行攻擊所需的時間。安全通信組件新版本的創(chuàng)建參照圖4,可以使用完全或部分不同的源碼重建安全通信組件的每個版本。例如,在示例性實施方案中,所述組件特定版本的源碼可以包括對組件前一版本源碼的修改和/或重新配置,或者可以使用公共源碼基礎(chǔ)以及添加到公共源碼基礎(chǔ)的額外源碼內(nèi)容。可替換地,新生成版本的源碼可以完全不同于前一版本的源碼。另外,添加的內(nèi)容可以基于用來選擇作為行為(behavior)的功能性的外部隨機種子。因此,安全通信組件的每個版本可以與安全通信組件的其他版本足夠相異,從而對該組件的特定版本進行的分解、結(jié)構(gòu)、反向工程或其他活動可能不可操作來攻擊當前版本。這些多形功能性和行為可以嵌入加密模型,并且所述加密模型可以從庫池以及諸如調(diào)查服務(wù)器向量的外部定義等進行選擇。在步驟402,可以在預定時間發(fā)起安全通信組件新版本的創(chuàng)建,例如在經(jīng)過預定延遲時段時,在預定時刻和/或日期發(fā)生時,等等??商鎿Q地,可以在任何適當?shù)臅r間手動開始版本創(chuàng)建過程。創(chuàng)建時間可以是可變的,并且例如可以在安全服務(wù)器上被定義。在步驟404可以生成隨機數(shù)池,并且可以通過使用任何適當?shù)臋C制(例如隨機或偽隨機數(shù)生成器應(yīng)用、算法或設(shè)備)來生成所述隨機數(shù)池。在示例性實施方案中,可以使用密碼偽隨機生成器來創(chuàng)建該隨機數(shù)池。如下面描述的,可以使用該隨機數(shù)池來例如作為子進程和密鑰的種子。該偽隨機生成器可以依賴于“馬特賽特旋轉(zhuǎn)演算法(Mersenne-Twister)”、"BlumBlumShub”、“Fortuna”、“Yarrow”或者任何其他適當?shù)募用軓妭坞S機數(shù)生成器,并且可以與流密碼組合來延展其周期。此外,在步驟430,可以生成密鑰池。如下面描述的,密鑰池可以被用于通信協(xié)議、內(nèi)部資源隱藏、從函數(shù)庫選擇函數(shù)等等。可以使用流密碼、哈希函數(shù)和任何適當類似機制生成所述密鑰池。在步驟406,可以修改源碼。在示例性實施方案中,可以通過源碼級多形體引擎(polymorphengine)來修改源碼。源碼級變異可以使用所生成的隨機數(shù)池,并且可以進行加密資源、種子和數(shù)據(jù)向源碼中的插入。在步驟408,可以鏈接等效函數(shù)庫。在示例性實施方案中,例如,多形體處理器可以鏈接等效函數(shù)庫,以向源碼中注入噪聲和/或隨機代碼和函數(shù)、重新排序的進程,注入虛假代碼和操作,加密資源和數(shù)據(jù),實現(xiàn)API仿真包裝器(emulatorwrapper),并入時移延遲,并入自動保護函數(shù)等等。源碼級多形體引擎可以使用等效函數(shù)來進行包括以下的修改使用無功能指令向源碼中插入噪聲;嵌入并使用變量、數(shù)學函數(shù)和值;改變和/或使用可以為動態(tài)的動態(tài)字符串庫,或者使用已檢查緩沖器拷貝來克服緩沖器溢出;插入跳轉(zhuǎn)來打斷邏輯路徑,例如跳轉(zhuǎn)到代碼的隨機行和/或段和/或存儲器中的地址;插入時移延遲來抵御被動和干擾攻擊;對源碼隨機重新排序;插入和/或引用API和調(diào)用包裝,以禁止全局分析和調(diào)查,隱藏版本間的斷點攻擊;插入跟蹤器檢測代碼和陷阱;插入子線程生成器、跟蹤器和調(diào)試器避免程序;插入虛假代碼、操作和調(diào)用;以及插入自動保護系統(tǒng)和檢驗、跟蹤器/監(jiān)控器/調(diào)試器檢測和抵御措施、虛擬機檢測函數(shù)等等。上述修改可以產(chǎn)生源碼的兼容版本,該版本可以以與源碼早期版本在功能上等效,但是包括顯著的變化和隨機部件。隨后,在步驟410,可以編譯經(jīng)修改的源碼,以創(chuàng)建安全通信組件的二進制可執(zhí)行版本。此外,在編譯期間可以使用編譯器參數(shù)的隨機化值來向生成的目標代碼插入額外的噪聲和變化??梢跃S護已編譯組件的拷貝,以供在服務(wù)器端上用作服務(wù)處理程序,例如服務(wù)器的組件可以具有解密和加密從客戶端發(fā)送的數(shù)據(jù)的能力。在服務(wù)器端,可以通過引導程序載入器自動地開始自動更新過程。在步驟412,已編譯源碼可以被第二二進制級代碼保護器屏蔽(shield)。該二進制可執(zhí)行代碼可以被作為多形體編碼器和/或受保護壓縮器的二進制保護系統(tǒng)屏蔽。安全通信組件的每個版本可以被不同的保護系統(tǒng)屏蔽,并且可以隨機選擇保護系統(tǒng),或者所述保護系統(tǒng)可以使用保護應(yīng)用的不同內(nèi)測版(build)??梢允褂没诩用艿碾S機生成器隨機地驅(qū)動所述選擇,從而兩個連續(xù)生成的組件版本不包含類似的特性。在示例性實施方案中,該第二二進制級代碼保護器可以包括多形體引擎,以注入代碼保護函數(shù)、反跟蹤器以及反調(diào)試陷阱;壓縮和/或加密二進制代碼;重寫代碼頭文件(header)、資源和載入器??商鎿Q地,可以利用對每一代使用修改的參數(shù)和種子的商業(yè)保護系統(tǒng),例如,諸如“ExeProtector",Armadilo,SvKp,Obsidium,Asprotect,TheMida,BeaCryptor,Ntkrnl的軟件應(yīng)用或任何其他適當應(yīng)用。隨后,在步驟414,可以簽署用于驗證的所述可執(zhí)行且被屏蔽的代碼。在步驟416,所述簽署可以使用編輯器的私鑰。此外,可以例如通過在質(zhì)量控制機器人(robot)之下在虛擬機上執(zhí)行新的組件來檢驗該新生成的組件,以檢測所述屏蔽和保護過程所造成的退步和問題。在步驟418,可以嵌入依賴體,例如其他進程的更新的部件(updatedelement)、修訂的反惡意軟件數(shù)據(jù)庫、代碼其他部分的糾正和演進,并且可以對可執(zhí)行代碼進行定案。此夕卜,在示例性實施方案中,可以使用完整性檢查系統(tǒng)整合和/或簽名來簽署和/或保護該可執(zhí)行代碼。隨后可以使新生成的安全通信組件可獲得。例如,在示例性實施方案中,新生成的組件可以被拷貝到自動更新服務(wù)器的公共區(qū)域,允許遠程引導程序載入器下載并將其用作當前安全通信組件??梢允褂猛竭^程來確保所有可視的安全服務(wù)器嵌入正確的組件版本,或者當未嵌入正確版本時,例如使用載入平衡和檢驗過程(例如可獲得性控制、管控控制、狀態(tài)控制、內(nèi)容控制等等)來使得對于可用安全服務(wù)器列表而言是被隱藏的??梢栽诟鞣N時刻重置和/或修改通信規(guī)則和/或協(xié)議。每次創(chuàng)建新的安全通信組件版本時,客戶端的引導程序載入器可以下載新的組件版本,并且在使用它來在完全安全的信道上進行通信之前使其合法化。由此,安全通信組件的任何之前版本可以變得過時,并且可以在本地被刪除。因此,可以通過以下操作克服對安全通信組件進行分析、跟蹤、調(diào)試、反向工程和/或分解的嘗試,即通過迎接較新的組件版本,在每個安全通信組件版本的創(chuàng)建時迫使這樣的活動重新啟動。版本創(chuàng)建的頻率可以被設(shè)置為如此,即版本的創(chuàng)建發(fā)生得比攻擊每個這樣的版本所需時間快。在示例性實施方案中,版本之間經(jīng)過的時間可以被設(shè)置為這樣的值,所述值大致為成功攻擊所述組件所需時長的一半。安全通信組件的使用在示例性實施方案中,當用戶使用計算機設(shè)備連接到諸如線上銀行站點、商業(yè)站點和/或類似位置的站點時,可以引導用戶通過提供身份憑證(例如用戶名和/或密碼信息)來登入??赡芤笥脩羰褂米罱姹镜陌踩ㄐ沤M件來與該位置通信。例如,在示例性實施方案中,用于發(fā)送登入信息的網(wǎng)絡(luò)協(xié)議僅由當前版本的安全通信組件定義。因此,所定義的網(wǎng)絡(luò)協(xié)議可能是服務(wù)器端相應(yīng)組件對于與用戶的數(shù)據(jù)通信將接受的唯一協(xié)議。在服務(wù)器端,可以根據(jù)當前協(xié)議句法和/或語法定義,使用靜態(tài)和盲塊處理程序(例如緩沖器溢出避免程序)來再分配所接收的數(shù)據(jù)。任何錯誤(例如非正確協(xié)議的使用)可能導致連接嘗試被拒絕和/或連接被服務(wù)器丟棄。用戶可以在每次最初連接到明智服務(wù)器時——例如當訪問明智服務(wù)器的登入頁面時——自動下載組件。當?shù)侨腠撁姹惠d入并且可以從服務(wù)器下載新的組件時,可以應(yīng)用其他適當?shù)陌踩圆呗?,例如生成隨機數(shù)作為用于特定用戶會話的混淆值(saltvalue)0因為在新的組件版本被設(shè)定之前可以打開標準會話,所以可以維護該正當?shù)拇蜷_會話達一時間段,在該時間段期間正在生成并使用新的版本。在任何受保護服務(wù)器上使用的加密協(xié)議可以理解和/或能夠與協(xié)議的當前版本通信,以及與組件早前(remoteprevious)版本在打開的連接上使用中的在前(prior)版本通信。因此,在任何特定時刻,服務(wù)器可以具有使用協(xié)議的緊鄰在前版本以及使用與安全通信組件當前版本對應(yīng)的當前協(xié)議進行回答和/或與遠程計算機設(shè)備進行通信的能力。因此,可以使用至少兩種技術(shù)來允許多個通信協(xié)議同時存在于受保護服務(wù)器上。在第一種技術(shù)中,在同一組件中可以嵌入?yún)f(xié)議的至少兩個不同版本。協(xié)議的第一版本可以與之前的協(xié)議版本相關(guān),并且可以被用來與之前版本的組件進行通信。協(xié)議的第二版本可以與當前協(xié)議版本相關(guān),并且可以被用來與當前版本的組件進行通信。因此,服務(wù)器端組件源碼的“全功能(state-full)”代可以嵌入至少兩組安全模型,包括加密層、密鑰、協(xié)議處理程序、令牌賦予器(tokenizer)等等。在第二種技術(shù)中,通信組件的至少兩種連續(xù)的不同版本可以工作在受保護服務(wù)器上,每個版本針對遠程客戶的相應(yīng)版本進行偵聽??梢匀址庋b所述協(xié)議,這可以在任何加密流之上明文(inclear)暴露版本標簽、在選擇池中的數(shù)代之間動態(tài)切換的不同網(wǎng)絡(luò)端口、在選擇池中的數(shù)代之間動態(tài)切換的動態(tài)TCP/IP地址和/或虛擬服務(wù)器命名傾向(namingdeclination)0安全通信組件可以嵌入API和函數(shù),所述API和函數(shù)允許訂立到明智服務(wù)器的安全連接。此外,如下面描述的,可以例如使用反惡意軟件組件的掃描和分析來針對DNS和重定向黑客檢查用戶計算機設(shè)備。在API之上,安全通信組件可以基于硬件占用面積(footprint)使用本地計算機標識來生成與計算機設(shè)備相關(guān)的“計算機UID”,以及與用戶相關(guān)的“用戶UID”??梢韵蛎髦欠?wù)器導出該標識。計算機UID信息可以包括大的整數(shù)值,其對于鑒別計算機設(shè)備是有用的,并且可以沒有可操作來鑒別用戶的人工標識數(shù)據(jù)或任何個人信息。例如,在示例性實施方案中,計算機UID可以包括用戶計算機設(shè)備主板序列號的哈希碼,其與處理器序列號鏈接,并且與其他類似的非易失性信息組合。用戶UID可以包括與操作系統(tǒng)上的用戶相關(guān)聯(lián)的GUID的哈希碼,其例如鏈接到用于開始會話的會話名稱。安全通信組件的操作參照圖5,安全通信組件可以向用戶顯示登入界面。該登入界面例如可以包括圖形對話框502、用戶名文本輸入字段504、密碼文本輸入字段506、“確定(OK)”按鈕508和“取消”按鈕510。當執(zhí)行和/或?qū)嵗踩ㄐ沤M件時,可以在網(wǎng)絡(luò)瀏覽器軟件應(yīng)用的html頁面中顯示該登入界面,例如基本上呈常規(guī)登入和密碼字段與按鈕的形式。內(nèi)部來說,安全通信組件的版本可以通過在后臺啟動反惡意軟件組件掃描、檢查用戶計算機設(shè)備上的威脅和/或檢查鍵盤驅(qū)動棧以檢測擊鍵記錄器應(yīng)用等來開始。在檢測到任何威脅時,安全通信組件可以向服務(wù)器發(fā)送關(guān)于檢測和/或標識出威脅的信息,連同諸如計算機UID和/或用戶UID的其他信息,并且可以停止該過程。另外,可以以類似的方式檢測安全通信組件是否正運行于任何種類的虛擬機(例如“VirtualPC”、“VMS”、“VMWare”、“VirtUalB0X”等)之下,或者在存儲器中是否具有調(diào)試器和分解工具。用戶可以鍵入登入名、密碼和/或其他登入標識信息。如下面描述的,安全通信組件例如可以通過使用反惡意軟件組件引擎來實現(xiàn)對木馬和擊鍵記錄器的檢測和/或攔截。可以通過使用虛擬鍵盤、用戶選定圖片、諸如“SiteKey(站點鑰匙)”的應(yīng)用等等來保護密碼輸入。此外,可以通過開始子進程來進行低級檢測,以在正載入登入界面的同時使用低的系統(tǒng)進程范圍(systemprocess-wide)DLL注入來鑒別低級消息和/或鍵盤攔截。當?shù)侨虢缑骘@示在屏幕上時,可以通過在用戶操作系統(tǒng)上默默安裝驅(qū)動來進行非常低級的攔截。該驅(qū)動可以被管理為服務(wù),并且可以在可能的最低級(例如RingO)攔截所有鍵盤輸入。該驅(qū)動可以在使用進程間通信(“IPC”)或者任何直接通信方式將結(jié)果直接發(fā)送到安全通信組件之前加密鍵盤輸入,旁路其他驅(qū)動、應(yīng)用和擊鍵記錄器??梢圆捎靡环N或更多種可替換的用戶標識機制來確保沒有敏感標識或其他信息作為明文數(shù)據(jù)在安全通信組件之外被傳輸或者變得可獲得。例如,在示例性實施方案中,用戶的用戶名和/或密碼信息,或者其他登入標識信息可以包括基于一個或更多個Vernam/Mauborgne網(wǎng)格(grid)的一次性碼本密碼??梢允褂秒S機種子來生成一網(wǎng)格的數(shù)字、符號、標記等等,以及至少一個△值。使用例如來自安全服務(wù)器上的密碼隨機數(shù)生成器的大的隨機值流,每個與用戶相關(guān)聯(lián)的種子可以定義隨機流中的起始位置,由此定義用戶網(wǎng)格的第一標記,例如作為初始化向量(“IV”)。該至少一個Δ值可以定義要跳過以得到下一網(wǎng)格值的多個位置??梢曰谶@兩個值生成新的網(wǎng)格,而無需重新生成完全的隨機數(shù)據(jù)流。很多用戶可以同時共享同一隨機值流??梢允褂糜脩魯?shù)、在全局重置流之前要生成的組合數(shù)、對于隨機流的壽命來說要生成的起碼網(wǎng)格數(shù)來計算該流的大小。該網(wǎng)格可以被發(fā)送到終端用戶,并且每次需要登入時,一連串隨機值可以生成獨特的網(wǎng)格坐標列表。用戶隨后可以鍵入在用戶的網(wǎng)格上可視的相應(yīng)標記、數(shù)字和或符號作為密碼,在服務(wù)器端,可以使用用于構(gòu)建該網(wǎng)格的種子來檢測該密碼。網(wǎng)格可以以任何適當?shù)男问絻Υ婊虬l(fā)布,例如通過以紙件形式打印并遞送,通過電子郵件,等等。可以通過在服務(wù)器端生成新的用戶相關(guān)聯(lián)種子和Δ值并將新的網(wǎng)格發(fā)送給用戶來撤回(revoke)該網(wǎng)格。在可替換的示例性實施方案中,可以實現(xiàn)生物統(tǒng)計和/或生物統(tǒng)計衍生密碼。不僅可以通過在鍵盤或輸入設(shè)備上鍵入的字符和/或符號生成和識別密碼,并且還可以通過捕獲和讀取每次鍵入多個字母數(shù)字字符和/或符號(例如通過在鍵盤上進行鍵入)之間的相對延遲、經(jīng)過時間和節(jié)奏來生成和識別密碼。不同用戶以不同方式使用鍵盤,并且在鍵入速度和節(jié)奏上是不同的,并且這些不同可以被識別、儲存和分析,以鑒別特定用戶。在可替換的示例性實施方案中,可以使用虛擬鍵盤輸入來在屏幕上仿真鍵盤,其中鍵可以被打亂,并且用戶可以使用諸如鼠標的輸入設(shè)備來選擇和點擊每個鍵,以鍵入諸如用戶名和/或密碼的標識信息。此外,虛擬鍵盤可以使用存儲器中反惡意軟件組件對已知屏幕搜刮器進行的一次或更多次掃描結(jié)果。另外,通過使起始坐標、大小、顏色策略隨機化,并且通過每次點擊一鍵時將輸入設(shè)備移入和移出受保護區(qū)域,可以通過使用低級的DirectDrawAPI來禁用屏幕抓取。另外,可以生成虛假點擊和鍵入來產(chǎn)生“噪聲”,以混淆和/或謬誤屏幕抓取器和/或記錄器所收集的信息。用于輸入用戶標識信息的另外的可替換機制包括使用碼本(CodeBook)模型、哈希鏈、Kerckhoffs碼等等。另外,可以限制對已知密碼的重新使用。此外,可以使用驗證API來允許與向安全通信組件提供驗證的硬件和軟件應(yīng)用接口,例如通過使用編輯器向注冊的軟件編程人員所提供密鑰鎖定的編程接口。驗證API可以向安全服務(wù)器導出現(xiàn)有軟件/硬件生成的一組值,允許其匹配用戶定義。之后可以基于其他工作組(例如“開放式驗證組織”等)的規(guī)范來調(diào)適(orient)驗證API。反網(wǎng)絡(luò)釣魚組件可以在用戶點擊諸如電子郵件的電子通信中嵌入的超鏈接和/或其他部件時激活反網(wǎng)絡(luò)釣魚組件。在本申請中,反網(wǎng)絡(luò)釣魚組件可以被稱為“TRAPS組件”。在示例性實施方案中,反網(wǎng)絡(luò)釣魚組件可以用來減輕和/或防止用戶與欺騙性或非法通信(例如,電子郵件消息)進行交互的不利影響。這樣的無效通信可能包含可以將用戶引導到冒充正當設(shè)備或網(wǎng)站的欺騙性計算機設(shè)備或網(wǎng)站的鏈接,例如HTTP超鏈接或其他嵌入的對象。這些欺騙性網(wǎng)站可能要求或邀請用戶輸入敏感的秘密信息,例如用戶名、密碼、金融信息、信用卡細節(jié)、地址、社保號等,并且所輸入的信息在之后可能被惡意實體用于不法目的。反網(wǎng)絡(luò)釣魚組件可以分析電子通信的上下文、嵌入的鏈接和/或其他對象,以及所嵌入的鏈接和/或?qū)ο笾甘镜囊粋€或更多個目標位置。反網(wǎng)絡(luò)釣魚組件可以進一步分析被這些鏈接和/或部件指示為目標的網(wǎng)站或其他位置的內(nèi)容,并且確定所述通信、鏈接和/或?qū)ο笫欠袷瞧垓_性的。在示例性實施方案中,可以在不額外連接到或參考黑名單或IP/URL數(shù)據(jù)庫的情況下進行該確定。當鏈接和/或部件被確定為不是欺騙性的時,用戶可以被引導到在該鏈接和/或部件中被指示為目標的網(wǎng)站和/或位置。當鏈接和/或部件被確定為是欺騙性的,則用戶可以被重新路由到正當和經(jīng)驗證的網(wǎng)站或位置。另外,可以指示對被指示為目標的網(wǎng)站和/或位置的進一步分析。在示例性實施方案中,如下面所描述的,確定鏈接和/或嵌入的部件是否為欺騙性的操作可以基于實現(xiàn)目前已知的各種形式的欺瞞技術(shù)的一組知識規(guī)則,和/或基于對用戶受保護周界定義的負面測試數(shù)據(jù)庫的參考。如下面詳細描述的,可以利用保護范圍字典(“PFD”),PFD可以包括包含關(guān)于要保護的一個或更多個實體的定義和知識的文檔。另外,如下面詳細描述的,可以為每個用戶創(chuàng)建保護范圍周界(“PFP”),PFP可以描述每個具體用戶的相關(guān)PFD的列表。反網(wǎng)絡(luò)釣魚組件的安裝反網(wǎng)絡(luò)釣魚組件可以被指定為計算機設(shè)備操作系統(tǒng)的默認HTTP和HTTPS協(xié)議處理程序,并由此可操作來在這些協(xié)議激活時鉤住所有事件。反網(wǎng)絡(luò)釣魚組件還可以利用瀏覽器幫助對象來攔截來自網(wǎng)絡(luò)瀏覽器軟件應(yīng)用的URL點擊。由此,反網(wǎng)絡(luò)釣魚組件可以被動地對操作系統(tǒng)級HTTPURL點擊的激活進行監(jiān)管和分析,而無需用戶交互、擾亂用戶操作,和/或使用重要的系統(tǒng)資源。反網(wǎng)絡(luò)釣魚組件的激活會話期間,反網(wǎng)絡(luò)釣魚組件可以保持在待命和/或睡眠狀態(tài),等待事件來被激活。此類事件可以包括例如用戶點擊或以其他方式選擇電子郵件消息中設(shè)置的HTTPURL鏈接和/或其他嵌入的對象。在示例性實施方案中,例如,當用戶點擊電子郵件通信的主體中的一個或更多個超鏈接時,反網(wǎng)絡(luò)釣魚組件可以檢查電子郵件的上下文、電子郵件消息中嵌入的所有URL的目的地,以及一個或更多個嵌入的URL的目標網(wǎng)站的內(nèi)容。然后,如下面描述的,反網(wǎng)絡(luò)釣魚組件可以遵循算法來確保這些目標網(wǎng)站的可靠性。如下面描述的,反網(wǎng)絡(luò)釣魚組件可以圍繞一個或更多個網(wǎng)站來進行全面的上下文特征識別,并且為每個這樣的網(wǎng)站構(gòu)建適當?shù)膯为毎踩刂浦芙?,以便于檢測侵占或侵犯該周界的任何嘗試。通信的分析圖6根據(jù)示例性實施方案圖示反網(wǎng)絡(luò)釣魚組件的一般工作流。參照圖7,在步驟702,一旦點擊和/或以其他方式選擇電子通信中嵌入的鏈接或其他對象,反網(wǎng)絡(luò)釣魚組件可以攔截該事件。在如下描述的進一步分析之前,這樣的攔截可以例如通過網(wǎng)絡(luò)瀏覽器或電子郵件閱讀器軟件應(yīng)用來防止計算機設(shè)備與所述鏈接或?qū)ο笾该鞯哪繕宋恢眠M行通信。在示例性實施方案中,可以通過用戶激活諸如鼠標的定點設(shè)備以在計算機設(shè)備的顯示器上移動光標,來進行鏈接或其他對象的點擊和/或其他選擇??商鎿Q地,用戶可以通過使用鍵盤的鍵、定點設(shè)備、語音識別系統(tǒng)或用于選擇電子通信中的對象的任何其他合適的機制,來選擇鏈接或其他對象。之后,反網(wǎng)絡(luò)釣魚組件可以例如使用上述安全通信所利用的鑒別數(shù)據(jù)來鑒別計算機設(shè)備和用戶。在步驟704,反網(wǎng)絡(luò)釣魚組件然后可以確定向用戶顯示電子通信的應(yīng)用是否為諸如電子郵件閱讀器的電子通信閱讀器軟件應(yīng)用。如果顯示電子通信的應(yīng)用不是電子通信閱讀器應(yīng)用,則在步驟706,反網(wǎng)絡(luò)釣魚組件可以確定顯示電子通信的應(yīng)用是否為網(wǎng)絡(luò)瀏覽器軟件應(yīng)用,例如能夠向用戶顯示基于網(wǎng)絡(luò)的電子通信的應(yīng)用。如果應(yīng)用不是網(wǎng)絡(luò)瀏覽器軟件應(yīng)用,則在步驟740,可以允許用戶遵循鏈接中指明的目標,并且可以例如在網(wǎng)絡(luò)瀏覽器軟件應(yīng)用中重新引導用戶來查看鏈接和/或嵌入的對象的目標。當確定應(yīng)用為網(wǎng)絡(luò)瀏覽器軟件應(yīng)用時,在步驟708,確定域是否為網(wǎng)絡(luò)郵件域。當步驟704和/或708的確定結(jié)果是肯定時,處理前進到步驟710,在步驟710中,可以提取電子通信中包含鏈接和/或嵌入的對象的主題,之后前進到步驟712,在步驟712中,可以提取電子通信的內(nèi)容。例如,可以通過使用、分析和/或讀取網(wǎng)絡(luò)瀏覽器軟件應(yīng)用所揭示的文檔對象模型(“D0M”)來獲得該通信文檔包括文本和HTML數(shù)據(jù)的樹,來進行電子通信的主題和內(nèi)容的提取。在提取電子通信的主題和內(nèi)容之后,可以在步驟714分析該電子通信。步驟714的分析可以包括例如·確定所選擇的鏈接和/或?qū)ο笫欠癖磺度朐陔娮余]件或其他類型的電子通信中;·檢測通信中包含的任何圖像的位置和大??;檢測電子通信的可見和不可見的部分、計算文檔的每塊文本、區(qū)域和區(qū)的前景色與背景色之間的距離,以檢測特定部分是否有意對用戶隱藏和/或能夠欺瞞過濾器;和/或·使用嵌入的圖像識別算法來分析電子通信中包含的圖像,所述圖像識別算法能夠從具有受保護的周界以及被重采樣、大小被調(diào)整、變形和被修改的圖標或圖片的實體中檢測、識別和鑒別圖標。然后,在步驟716,反網(wǎng)絡(luò)釣魚組件可以分析電子通信的上下文。對上下文的分析可以包括例如·例如通過使用一個或更多個詞語字典來分析電子通信中包含的詞語,這些詞語通常用來欺瞞用戶,例如關(guān)于安全問題、賬戶、結(jié)算、涉及金融實體的詞語,由諸如受保護的網(wǎng)站或?qū)嶓w的PFD定義的詞語,以及網(wǎng)絡(luò)釣魚嘗試中不常用的詞語;·確定網(wǎng)絡(luò)釣魚和/或欺瞞通信中常用詞語相對于通信的總大小和內(nèi)容的量和/或百分比;·分析電子通信中包含的鏈接,并分析用來為用戶參考或解釋鏈接的文本,包括將鏈接的目標與提供給用戶的鏈接的描述進行比較;和/或·當使用例如受保護的實體的電子通信中常用的那些標準規(guī)則的標準規(guī)則來與電子通信的內(nèi)容進行比較時,分析電子通信的格式、布局和/或樣式,所述標準規(guī)則被定義為受保護的周界規(guī)則,以及數(shù)量、大小、表格的寬深比和允許對電子通信進行歸類的其他樣式。上面描述的分析項僅僅是示例性的,并且所鑒別和分析的項和準則可以隨時被更新和/或修改以調(diào)整來適應(yīng)變化的技術(shù)。所選的鏈接的分析在步驟716分析了電子通信的上下文之后,可以在步驟718分析用戶選擇的鏈接和/或?qū)ο蟆2襟E718的分析可以包括例如·檢測編碼的鏈接,例如URL、統(tǒng)一碼等。URL編碼和重寫的形式可以被檢測和解碼;檢測TLD和域的重定向??梢詤⒖家阎闹囟ㄏ蛴颉討B(tài)DNS解析器,以及免費主機服務(wù)的列表;檢測危險的TLD??梢詤⒖际鼙Wo的實體的IT周界,以確定未作為受保護的實體的任何服務(wù)器的宿主的地理位置和國家,表明指向這些位置的URL可能是網(wǎng)絡(luò)釣魚嘗試;·通過使用描述惡意實體使用的技術(shù)的通用規(guī)則來檢測欺瞞的鏈接;檢測子重定向鏈接;對常規(guī)和/或未正確格式化的鏈接進行分類??梢詤⒖际鼙Wo的實體的IT周界來確定哪些實體使用URL重寫,和可以使用哪種重寫技術(shù),并且可以進行鏈接格式與重寫技術(shù)之間的比較;·基于HTTP協(xié)議的句法“Username:Password”來檢測用戶名欺瞞,以鑒別攻擊;·檢測直接IP鏈接,以確定嵌入的鏈接和/或?qū)ο笫欠裰赶蛑苯覫P;·通過分析URL的樹并將該樹與PFD中指明的受保護的實體的合法域名和根名進行比較,來檢測受保護的目標;通過鑒別未被其他鏈接分塊資源(linkblockingresource)識別為網(wǎng)絡(luò)釣魚鏈接的URL,來檢測內(nèi)容分發(fā)網(wǎng)絡(luò)(“⑶N”)的攻擊;·通過使用各種距離匹配算法來鑒別誤鍵入和/或錯拼的名稱和URL,依靠“LeVenshtein”、“Damerau-LeVenshtein”和其他合適的算法,來檢測誤鍵入和/或錯拼的鏈接;使用模糊模式匹配算法譯解“warez”型拼寫和鏈接形式,來檢測鏈接和/或?qū)ο蟮摹皐arez”型誤鍵入;·使用修改的metaphone、double-metaphone禾口/或Shannontree香農(nóng)樹)算法來檢測文本鏈接中的語音意義;·通過根據(jù)以上算法搜索給定URL中的已知根名和派生物以匹配任何伴體(companion)鏈接,來檢測伴體鏈接;·通過分析鏈接所描述的層級并匹配PFD的根名以檢測欺瞞的域的欺騙性形式,來檢測已知和未知的域;·通過參考PFD中指明的免費主機服務(wù)的一個或更多個列表,來檢測免費主機服務(wù);·通過使用來自反網(wǎng)絡(luò)釣魚工作組及其他資源的當前數(shù)據(jù)來檢測危險的國家;·通過分析URL形式來檢測通用網(wǎng)絡(luò)釣魚套件;和/或·通過本地主機文件來檢查隱藏的重定向。在步驟720,還可以進行人為因素的主題和話題的分析。該分析可以包括確定傳輸電子通信的主旨,并將該主旨和/或主題與鏈接和/或嵌入的對象的內(nèi)容或目標進行比較。該分析還可以包括確定傳輸電子通信的發(fā)送方,并且可以將該發(fā)送方的身份與鏈接和/或?qū)ο蟮膬?nèi)容以及與所確定的電子通信的主旨和/或主題進行比較。計算風險因子一旦完成上面描述的一項或更多項分析,在步驟722,反網(wǎng)絡(luò)釣魚組件可以使用啟發(fā)式算法來計算和/或更新風險因子,并為用戶確定相對應(yīng)的風險因子。在示例性實施方案中,為用戶確定風險可以通過風險管理模塊來進行。該計算可以包括確定與鏈接和/或嵌入的對象相對應(yīng)的危險級別,并且可以將該危險級別表示為百分比。所述危險可以包括重定向到惡意位置,嘗試從用戶獲得敏感信息等。在示例性實施方案中,根據(jù)表示為百分比的風險因子,可以確定風險因子為相對高、相對低、中等或者可忽略不計的。例如,大于50%的風險因子可以被確定為高風險因子,其向用戶指示高危險級別,而低于的風險因子可以認為是可忽略不計的風險因子。這些值僅僅是示例性的,并且可以根據(jù)環(huán)境變化和/或安全技術(shù)的進步而隨時進行調(diào)整。當在步驟724基于為用戶確定危險級別而確定鏈接具有可忽略不計的風險因子時,在步驟740,可以將用戶引導到鏈接和/或嵌入的對象所指明的目標位置,并且在步驟740,可以將鏈接和/或嵌入的對象發(fā)送到例如網(wǎng)絡(luò)瀏覽器軟件應(yīng)用以供用戶進行導航。當在步驟726基于為用戶確定危險級別而確定鏈接具有中等風險因子時,在步驟740,可以將用戶引導到鏈接所指明的目標,并且可以將鏈接和/或嵌入的對象發(fā)送到例如網(wǎng)絡(luò)瀏覽器軟件應(yīng)用以供用戶進行導航。在示例性實施方案中,在步驟728,可以啟動提交瀏覽分析器模塊作為第二通過過程來進一步分析鏈接和/或嵌入的對象。該提交瀏覽分析器可以被啟動為載入目標網(wǎng)站的網(wǎng)絡(luò)瀏覽器軟件應(yīng)用。之后,提交瀏覽分析器可以等待網(wǎng)絡(luò)瀏覽器應(yīng)用載入目標網(wǎng)站,并隨后分析所載入的網(wǎng)站的內(nèi)容以確定該網(wǎng)站為合法網(wǎng)站還是為可能用于網(wǎng)絡(luò)釣魚目的的虛假網(wǎng)站。提交瀏覽分析器的使用允許從原始網(wǎng)站檢測有意設(shè)計的(framed)隱藏重定向、欺瞞和/或抓取的資源,以及網(wǎng)站的靜態(tài)和/或動態(tài)重定向或充當宿主。合法保護的網(wǎng)站的文本、表單、圖標和圖片可以被鑒別并被檢測為通用資源,它們常被用來通過輸入字段、密碼字段的使用、對登入信息或訂單的引用等來盜取信息。當站點被確定為虛假站點時,可以提高風險因子。提交瀏覽分析器的分析可以在載入整個頁面和/或位置之前進行,并且可以使用內(nèi)部定時器來檢查“超時”攻擊??梢远ㄆ谄ヅ漭d入的緩沖器以檢查已經(jīng)載入的數(shù)據(jù)的性質(zhì)。在允許用戶在可疑網(wǎng)站和/或位置進行任何進一步導航之前,當提交瀏覽分析器的分析結(jié)果指示需要提高風險因子到更高級別時,網(wǎng)絡(luò)瀏覽器軟件應(yīng)用可以立即被重定向到PFD所提供的合法保護的鏈接。如果檢測這些字段和數(shù)據(jù)的同時區(qū)塊定期得到不同的熵,則可以檢測超時攻擊。該特征可以允許組件在第一步驟中“失敗”,使得啟發(fā)式引擎的準確性因子產(chǎn)生偏差,并且之后在良好進行且未檢測到網(wǎng)絡(luò)釣魚嘗試的情況下糾正其自身。當在步驟730基于為用戶確定危險級別而確定所選的鏈接和/或嵌入的對象具有高風險因子時,則該鏈接和/或嵌入的對象可以被歸類為網(wǎng)絡(luò)釣魚嘗試,并且用戶可以被重定向到合法、已知的受保護鏈接,例如通過在步驟740處使用網(wǎng)絡(luò)瀏覽器軟件應(yīng)用來進行。例如,可以通過將所選的高風險因子鏈接與用戶的PFP中標識的已知、合法目標進行比較,來確定合法、已知的受保護鏈接。可以例如基于PFD中的信息和電子郵件主體的分析來確定合法站點。諸如實體或公司名稱、標語、廣告信息和/或商業(yè)的行業(yè)或領(lǐng)域這樣的詞語可以被匹配。另外,諸如識別圖標、商標、信頭和其他圖形標記這樣的部件可以被識別和匹配,以鑒別電子通信中所涉及的合法實體。此外,激活的鏈接或其可視描述之間的相似性可以與實體的域名使用進行比較,例如實體的伴體、品牌名稱、域名部分、誤鍵入、warez形式、重寫等的使用。這些識別和匹配的結(jié)果可以用來指示至少一個被欺瞞或作為通信目標的實體的身份。在鑒別之后,實體的PFD中定義的默認鏈接可以用來重寫存儲器中激活的鏈接。每個PFD可以包括在有網(wǎng)絡(luò)釣魚嘗試的情況下使用的去往正當網(wǎng)站的默認鏈接,并且該鏈接可以指向?qū)嶓w設(shè)計的正當網(wǎng)站的用于處理網(wǎng)絡(luò)釣魚嘗試的專用頁面,或者指向任何其他合適的位置。因此,在示例性實施方案中,反網(wǎng)絡(luò)釣魚組件可以通過點擊鏈接從睡眠狀態(tài)激活,并且可以在非常低層攔截該事件和該事件的所有參數(shù),包括所指示的URL。所指示的URL可以在被傳遞回默認網(wǎng)絡(luò)瀏覽器軟件應(yīng)用之前被重寫,以將用戶引導到正當且經(jīng)認證的位置。此外,一旦將鏈接和/或?qū)ο箬b別為具有高風險因子,安全更新模塊可以將該鏈接上載到調(diào)查服務(wù)器以進行進一步參考。鑒別高風險鏈接和/或?qū)ο笠约爸囟ㄏ虻沫h(huán)境的消息可以被傳輸給用戶和/或用戶的計算機設(shè)備的管理員。另外,可以向與合法網(wǎng)站或位置相關(guān)聯(lián)的實體通知網(wǎng)絡(luò)釣魚嘗試,和/或向其提供上述鏈接分析和重定向的細節(jié)。當用戶被引導到合法位置時,可以例如通過使用URL參數(shù)、之前請求、專用鏈接等來嵌入跟蹤程序,所述跟蹤程序允許向目標實體通知用戶已經(jīng)被重定向。此外,可以將反網(wǎng)絡(luò)釣魚組件用來為用戶重定向的鏈接添加到PFD。保護范圍字典和保護范圍周界保護范圍字典(“PFD”)可以包括包含關(guān)于一個或更多個要保護的實體的定義和知識的文檔。一個PFD可以專用于特定實體,或者可以使用包含一組實體或?qū)嶓w集的特性的通用PFD。所述一個或更多個實體可以包括例如金融機構(gòu)、商業(yè)實體、政府實體、學術(shù)實體等。受保護的實體通??梢允谴笮蛯嶓w,它們例如通過公共數(shù)據(jù)通信網(wǎng)絡(luò)上的網(wǎng)站或其他可訪問位置來接收和傳輸相對大量的電子通信;然而,任何大小和結(jié)構(gòu)的實體也可以是受保護的實體。PFD中的信息可以包括已知的在先專門攻擊;通用攻擊特性;公司電子郵件和網(wǎng)站中使用的通用關(guān)鍵字、表單和/或模型;受保護的網(wǎng)站的特性;自動更新及其設(shè)置之間的廢棄延遲;例如用于圖像識別算法中的公司圖標的模糊矢量;受保護的實體的正當域名、受保護的實體的工作國家和/或服務(wù)器位置等的列表;和/或描述受保護的實體的公共IT區(qū)域的關(guān)鍵細節(jié)。該信息可以維護在安全服務(wù)器上,并且可以包含在一文件中,所述文件例如可以通過諸如因特網(wǎng)這樣的網(wǎng)絡(luò)與一個或更多個組件共享??梢詫FD進行壓縮、加密、編碼和數(shù)字簽署。刪除、移動、修補、偽造、改篡或復原PFD的嘗試可以被檢測、抵消和糾正,并且被報告給安全服務(wù)器,以允許響應(yīng)于改變的技術(shù)條件和計算機設(shè)備安全策略的演進而方便、動態(tài)并且迅速地更新和修改信息??梢詾槊總€用戶創(chuàng)建保護范圍周界(“PFP”),并且PFP可以描述每個特定用戶的相關(guān)PFD的列表。可替換地,可以為一組和/或一類用戶創(chuàng)建通用PFP。PFP可以被自動維護,并且由此可以組成用戶感興趣的實體的PFD列表,以使得保護用戶與其進行通信和/或交互的所有實體,例如公司、銀行、零售商等。每個實體可以使用關(guān)聯(lián)PFD的特定維護和更新模式,這取決于例如實體的大小、實體的業(yè)務(wù)量、實體的商業(yè)模型、實體的行業(yè)、實體的位置等??梢砸匀魏魏线m的頻率來進行PFD的修改和更新,例如,每天、每月、每年等??商鎿Q地,可以不要求調(diào)整PFD。當相應(yīng)的PFD被更新時,可以從安全服務(wù)器自動更新特定用戶的PFP中的所有PFD??梢栽诶绨惭b反網(wǎng)絡(luò)釣魚組件時,在用戶的計算機設(shè)備上定義MIME類型(例如,“application/traps-PFD”)。因此,可以從受保護的實體的網(wǎng)頁或其他位置自動下載和/或更新PFD。在示例性實施方案中,例如,正在瀏覽受保護的商家網(wǎng)站的支付確認頁面的用戶可以下載商家的PFD,并且所下載的商家PFD可以被自動添加到用戶的PFP。可替換地,用戶可以例如通過選擇商家的網(wǎng)頁上呈現(xiàn)的鏈接來從商家下載商家的PFD。因此,在示例性實施方案中,PFD可以與多個實體的每一個相關(guān)聯(lián)。PFP模板可以為用戶定義周界,并且可以包含一個或更多個PFD,由此鑒別用戶感興趣的正當實體。因此,反網(wǎng)絡(luò)釣魚組件可以確定所選鏈接中指明的目標位置是否與PFP—致并由此與用戶的興趣一致,并且可以使用該確定的結(jié)果來升高和/或降低該鏈接的風險因子。反惡意軟件組件反惡意軟件組件可以包括一個或更多個反病毒掃描器,所述反病毒掃描器包含一個或更多個包括已知威脅的數(shù)據(jù)庫。使用關(guān)于存儲器和對象掃描的進程,該一個或更多個反病毒掃描器能夠例如通過掃描注冊表、啟動入口、路徑、文件夾、開放端口、互斥體以及行為來通過隱藏威脅的蹤跡檢測這些隱藏威脅。貫穿本申請,反惡意軟件組件可以被稱為“ΑΜΕ”組件。參照圖9,在步驟902,可以在用戶的計算機設(shè)備上啟動反惡意軟件組件。在步驟904,可以載入一個或更多個惡意軟件/威脅。每個惡意軟件/威脅數(shù)據(jù)庫可以包括壓縮且數(shù)字簽署的文件,該文件包含與已知惡意軟件和威脅相關(guān)的鑒別信息。在步驟906,可以針對改篡、復原或修改,來查驗、驗證和檢查惡意軟件/威脅數(shù)據(jù)庫。在步驟930,當惡意軟件/威脅數(shù)據(jù)庫未被驗證和/或未被確定為合法時,一個或更多個警告可以被創(chuàng)建并被傳輸給用戶、用戶的計算機設(shè)備的管理員、服務(wù)器或者另一實體,并且在步驟922,該過程可以隨后結(jié)束。所述警告可以包括圖形對象、文本消息、日志文件的條目、電子通信等中的一個或更多個??梢韵蛴脩籼崾竞吞峁┲噶?,所述指令關(guān)于如何獲得經(jīng)驗證和/或合法的惡意軟件/威脅數(shù)據(jù)庫。當惡意軟件/威脅數(shù)據(jù)庫被驗證并被確定為合法時,在步驟908,可以創(chuàng)建存儲器中所有進程的列表,并且可以提取這些進程中的每一個的依賴體來作為相應(yīng)文件的列表??梢酝ㄟ^每個進程的路徑和/或文件名來對列表進行分類。每個對象可以被提供到對象掃描器,所述對象掃描器可以使用惡意軟件/威脅數(shù)據(jù)庫來掃描已知威脅。對象掃描器可以包括由知識庫驅(qū)動的檢測器引擎,并且可操作來掃描存儲器、注冊表、互斥體、啟動對象、BHO和擴展名、句柄、鉤子、文件、TCP/IP棧等。可以基于掃描來確定和/或更新干擾評分,并且可以使用該干擾評分來產(chǎn)生一個或更多個結(jié)果摘要??梢允褂梅床《炯夹g(shù)來鑒別威脅,所述反病毒技術(shù)例如文件的md5鑒別、可執(zhí)行段的鑒別、使用一個或更多個二分模式匹配樹進行模糊搜索、互斥體檢測、注冊表掃描、路徑和文件檢測、打開的TCP/IP端口檢測等。在步驟908處列出進程之后,在步驟910,可以創(chuàng)建啟動對象的列表,包括在啟動操作系統(tǒng)或其直接依賴體時載入的所有文件的列表,以及瀏覽器幫助對象,包括網(wǎng)絡(luò)瀏覽器軟件應(yīng)用和操作系統(tǒng)桌面組件的擴展名。在步驟912,可以列出打開的、偵聽的和連接的網(wǎng)絡(luò)端口、驅(qū)動和TCP/IP棧驅(qū)動,以及隱藏和非隱藏進程打開的文件。在步驟914,可以搜索和列出已知蹤跡,例如已知威脅、擊鍵記錄器記錄文件、病毒制造者等創(chuàng)建的路徑和文件夾,和惡意軟件創(chuàng)建的已知互斥體。在步驟916,可以搜索和列出本地主機重定向和IP棧的危害。在步驟918,可以掃描和/或分析如上所述列出的所有對象??梢苑治霰镜刂鳈C文件來檢測任何可疑重定向,并且可以分析IP棧來檢測任何危害。在步驟920,可以確定是否檢測到威脅。當檢測到威脅時,在步驟930,一個或更多個警告可以被創(chuàng)建并傳輸給用戶、用戶的計算機設(shè)備的管理員、服務(wù)器或另一實體,并且在步驟922,可以結(jié)束該過程。在示例性實施方案中,當檢測到威脅時,反惡意軟件組件可以將用戶重新路由到咨詢頁面或消息,來向用戶通知所檢測到的威脅,并提供解決方案或者引導到進行進一步研究的資源。另外,調(diào)查服務(wù)器可以被告知和提供所鑒別的威脅。網(wǎng)站驗證組件在諸如因特網(wǎng)的常規(guī)公共數(shù)據(jù)通信網(wǎng)絡(luò)中,可以通過名稱或數(shù)字的TCP/IP地址來確定網(wǎng)絡(luò)上計算機設(shè)備的身份。數(shù)字的TCP/IP地址可以被映射到人可讀文本中表示的名稱。低層驅(qū)動通常依賴于TCP/IP地址,而高層應(yīng)用通常使用域名來用于驗證目的,這是因為相對于域名列表來說,人們更難創(chuàng)建、理解和維護地址列表。因此,可以通過改變低層TCP/IP地址和其高層域名之間的映射,來實現(xiàn)計算機設(shè)備和/或?qū)嶓w的身份欺瞞。在這種欺瞞之后,在不借助于難以掌管和維護的顯著的CPU加強和昂貴的密碼層和證書的情況下,驗證可能無法在合法實體和欺瞞和/或非法實體之間進行區(qū)分。貫穿本申請,網(wǎng)站驗證組件可以被稱為“WebKeys組件”,而WebKeys使用的證書可以被稱為“Webkeys證書”。參照圖10和下表1,示出了DNS上的各種攻擊向量,可以以各種方式來對DNS攻擊向量進行分類<table>tableseeoriginaldocumentpage24</column></row><table><table>tableseeoriginaldocumentpage24</column></row><table>表1可以在從本地用戶的計算機設(shè)備到任何DNS服務(wù)器和每個使用的網(wǎng)關(guān)的鏈接的任何步驟處進行DNS攻擊。因此,全局安全可能要求在用戶端嵌入檢驗。網(wǎng)站驗證組件可以以被動方式且在不修改DNS服務(wù)器和/或DNS協(xié)議的情況下,檢測、減輕和防止例如對遠程網(wǎng)站的DNS攻擊、篡改攻擊、域欺騙嘗試、注入攻擊、感染攻擊和/或劫持。參照圖12和13,安全的DNS系統(tǒng)的進程可以包括創(chuàng)建證書和使用所創(chuàng)建的證書。參照圖12,創(chuàng)建證書可以在步驟1202處,通過在鑒別的公共服務(wù)器處進行鑒別的證明請求開始。鑒別的公共服務(wù)器可以通過其全資格域名(“FQDN”)和其公共TCP/IP地址來被識別。在步驟1204,在證書授權(quán)機構(gòu)處,可以進行外部檢驗,以針對注冊者和查詢發(fā)起者檢驗值是否正確、可檢驗和一致??梢允褂妹艽a信息或任何其他合適的驗證策略來檢查查詢是否來自授權(quán)的網(wǎng)管。在步驟1206,可以例如基于網(wǎng)管或其他能夠維護和/或管理服務(wù)器和/或網(wǎng)站的人員請求的選項來生成新的證書,所述選項例如包括站點的期滿日期或內(nèi)容保護選項,然后在步驟1208,使用證書授權(quán)機構(gòu)的私鑰來進行簽署。在示例性實施方案中,未實現(xiàn)根授權(quán)機構(gòu)的全部層級。在步驟1210,可以將所生成的證書例如發(fā)送給網(wǎng)管。該傳輸可以不要求受保護的信道,因為該證書不能被起始公共服務(wù)器之外的其他設(shè)備使用。參照圖13,使用所生成的證書的過程可以從步驟1302開始,在步驟1302,用戶連接到公共服務(wù)器并查詢該公共服務(wù)器,以檢驗該服務(wù)器是否受這種證書的保護。在步驟1304,可以啟動對網(wǎng)站驗證組件的內(nèi)部功能的調(diào)用,以檢驗是否必須檢查該網(wǎng)站。取決于受保護的網(wǎng)站的數(shù)量,服務(wù)器的列表可以在本地被實現(xiàn)為二叉樹數(shù)據(jù)庫,或者被安全通信組件自動更新模型自動更新。對于更大的列表,可以使用三種不同的緩存方法來允許服務(wù)器端的更好的載入平衡和管理。在大型列表的情況下,可以使用基于家族和命中分級查詢最優(yōu)化過程而實現(xiàn)了動態(tài)樹桶緩存的設(shè)計。對于更大的列表,第一層可以依賴于URL的形式(例如,引導或本地/受限的IP地址,或已知域),所請求的域的頂層域(“TLD”)過濾出哪些國家可以受保護或者不受保護。例如被稱為“FastCache”的第二層可以處理在預定時間段內(nèi)接收到的已知回答。第三層可以包括描述了通過接收到的查詢的類型和/或特性和數(shù)量來分類的域名及其各自保護狀態(tài)的桶結(jié)構(gòu),以基于用戶興趣自然地優(yōu)化和安排回答。對安全服務(wù)器的每次查詢可以遞增命中該域名或類型的數(shù)目,并且可以對它們進行歸類。同一類型、類別或主題/興趣的請求的和一個或更多個其他域名可以通過用戶查詢的數(shù)量來進行分類。由此,當用戶瀏覽因特網(wǎng)時,在查詢安全服務(wù)器之前,可以在之前接收到的緩存中找到許多相繼的回答。當網(wǎng)站不受保護時,在步驟1330,該過程可以停止。當網(wǎng)站受保護時,在步驟1306,在用戶載入主網(wǎng)站時,后臺查詢可以下載證書??梢砸愿鞣N方式使得證書例如在網(wǎng)站上可用·作為獨立文件,使用靜態(tài)名稱(例如使用諸如“web.key”這樣的名稱),并被直接設(shè)置在虛擬服務(wù)器的根下(依賴于類似于文件“favicon.ico”這樣的策略),或者被設(shè)置在服務(wù)器的每條路徑中;·嵌入在cookie中,并直接用服務(wù)頁面來發(fā)送;·作為對象嵌入在HTML頁面中;·嵌入為新的專用HTML標簽。在示例性實施方案中,可以實現(xiàn)特定標簽,例如,在檢查值之前可以從文檔中提取的形式為“Authenticatetype=rsaexpires=07/21/2008signature=2f3a7c____8d9f3a>,,,的標簽,·嵌入為注冊的MIME類型,鏈接到作為這種數(shù)據(jù)的處理程序的網(wǎng)站驗證組件;·嵌入為HTTP頭文件,允許低層植入;和/或·嵌入為網(wǎng)絡(luò)協(xié)議可使用的任何其他形式的結(jié)構(gòu)化數(shù)據(jù)。一旦網(wǎng)站驗證組件獲得證書,在步驟1308,網(wǎng)站驗證組件可以使用認證授權(quán)機構(gòu)的公鑰來驗證證書的真實性。該檢驗也可以依賴于密鑰哈希消息驗證碼(“HMAC”或“KHMAC”)策略,而無需用任何公鑰來檢驗證書的真實性。當步驟1308的檢驗為肯定時,一個或更多個證書字段可以被提取并與客戶端接收到的數(shù)據(jù)進行匹配,以檢測所接收到的數(shù)據(jù)和經(jīng)驗證的證書的簽名之間的差異。在示例性實施方案中,可以計算客戶端接收到的數(shù)據(jù)的數(shù)字簽名或哈希碼中的至少一個,并且所計算的數(shù)字簽名或哈希碼可以與證書中嵌入的相應(yīng)的值進行比較;所計算的值和所嵌入的值之間的任何差異都可以被檢測到。檢驗的值可以包括可以從TCP/IP棧提取的用于連接到服務(wù)器的IP地址,和也可以從TCP/IP棧提取的連接的服務(wù)器的FQDN??蛻舳私邮盏降娜魏纹渌线m的值可以被分析,以檢驗所接收到的數(shù)據(jù)與證書的對應(yīng)值相匹配。當所有這些值被檢驗為真、命令字段匹配對應(yīng)值并且任何可選字段被檢驗為真時,在步驟1310,可以確定站點被檢驗且驗證為真。當未確定證書為真時,和/或當任何提取的字段未與證書中定義的對應(yīng)值匹配時,在步驟1312,產(chǎn)生問題或攻擊警告,并且可以確定網(wǎng)站為非法、被修改,和/或被黑客??梢赃M行另外的分析來定義哪個因子和/或哪些因子有錯誤,并且可以將這些另外分析的結(jié)果傳輸?shù)秸{(diào)查服務(wù)器。另外,警告可以被生成和/或傳輸給用戶、用戶的計算機設(shè)備的管理員,或者其他合適的實體。此外,當分析指示IP地址失配時,可以重定向到證書定義的IP地址,由此瓦解直接DNS攻擊。網(wǎng)站驗證組件的瀏覽器整合的部件例如在圖14和圖15中被示出,其中示出了通過網(wǎng)站驗證組件來確定網(wǎng)站的保護的示例性過程。參照下表2描述了證書的示例性結(jié)構(gòu),其中示出了證書的字段類。<table>tableseeoriginaldocumentpage26</column></row><table>表2在示例性實施方案中,證書可以定義至少三個值受保護的網(wǎng)站的公共IP地址,其可以與用戶的計算機設(shè)備上的TCP/IP棧使用的值相匹配;受保護的網(wǎng)站的FQDN,其可以與應(yīng)用、網(wǎng)絡(luò)瀏覽器軟件應(yīng)用和/或用來連接到服務(wù)器的TCP/IP棧所使用的值相匹配;以及證書的數(shù)字簽名,其可以使用嵌入在代碼中和/或從安全服務(wù)器更新、但未儲存在證書中的公鑰??梢允褂脴藴氏Ⅱ炞C碼(“MAC”)策略,例如HMAC或其他合適的密碼策略。另外,證書可以定義可選值,包括但不限于期滿日期期滿日期可以使得處理密鑰期滿、撤回和蠻力攻擊。期滿日期可以定義任何證書的合法性限制。靜態(tài)內(nèi)容例如當受保護的網(wǎng)頁是靜態(tài)網(wǎng)頁時可以使用靜態(tài)內(nèi)容。例如,證書可以儲存網(wǎng)頁內(nèi)容的哈希碼。由此,客戶端的進程可以檢查所下載的網(wǎng)頁是否與由原始網(wǎng)頁的網(wǎng)管簽署的原始合法網(wǎng)頁相匹配。當檢查指示有差異時,可以指示篡改攻擊以及注入、偽造、域欺騙或基于其他內(nèi)容的攻擊。當檢查在客戶端進行時,可以檢測基于進程、IP幀和存儲器注入的攻擊??梢酝ㄟ^以下操作來計算哈希值獲得服務(wù)器的文檔內(nèi)容(例如HTML內(nèi)容)、最終歸一化所獲得的內(nèi)容,以及使用標準哈希函數(shù)(例如md5、shaUsha512、ripemd或任何其他合適的函數(shù))來計算所歸一化的內(nèi)容的哈希值。·動態(tài)域例如當動態(tài)生成內(nèi)容時,可以使用動態(tài)域信息。在示例性實施方案中,可以針對要保護的主文檔和/或整個網(wǎng)站列出所用資源涉及的所有域。定義了依賴體模式的所有HTML標簽可以被列出,所列出的域名可以被提取,該列表可以被歸類,并且可以消除重復項以獲得文檔或整個網(wǎng)站所涉及的所有唯一子域的列表。在下表3中示出了定義依賴體模式的示例性HTML標簽??梢陨稍摿斜淼墓V?,以鎖定子域的列表,在沒有進行檢測的情況下不允許插入任何新的外部引用。代碼內(nèi)容代碼內(nèi)容例如可以涉及網(wǎng)頁中嵌入的腳本或其他代碼。可以從HTML標簽中提取所有腳本模塊。使用歸一化處理,可以過濾出有利變化,可以對內(nèi)容進行哈希,并且可以生成腳本檢驗哈希碼。由此,客戶端代碼可以檢查服務(wù)器上儲存的活動碼是否已經(jīng)被修改、注入或者以其他方式被操縱?!べY源內(nèi)容資源內(nèi)容可以涉及例如文檔和/或整個網(wǎng)站使用的外部資源。例如,圖像、對象、Java、動畫、聲音和其他多媒體文件可以被用于嵌入惡意軟件矢量或欺騙性部件。這些依賴體中的每一個都可以被列出和/或通過家族或類型被鏈接,以使得生成它們的原始表單和/或內(nèi)容的指紋;由此可以檢驗它們的來自終端用戶的正當因子。定義的列表可以通過資源名稱的性質(zhì)或家族來將每個定義和/或選擇的定義與證書的主體中的指紋進行鏈接??梢酝ㄟ^相對于證書值計算所下載的資源的指紋來在客戶端使用該列表,并且其中的差異可以指示所研究資源的注入、欺瞞、改篡或黑客。下表3示出了可以用來檢測和保護引用與依賴體的各種HTML標簽。HTML屬性容器HTML標簽檢測字段src=<img,<embed,<script,域、代碼、資源<frame,<bgsound,<frame,<iframe,<input,<metahref=<a,<area,<base,<map,<link域、資源<table>tableseeoriginaldocumentpage28</column></row><table>表3另外,使用類似于RFC4871的策略(“DKIM”)的策略,任何網(wǎng)站的公鑰可以在其自己的DNS服務(wù)器上的“TXT”字段中被發(fā)布,并且可以被廣泛使用和撤回。整個證書可以被實現(xiàn)到專用的HTML標簽、cookie或頁面中。圖16示出了通過網(wǎng)站驗證組件檢查服務(wù)器的保護的示例性過程。圖17示出了通過網(wǎng)站驗證組件檢查證書的示例性過程。參照圖17,在步驟1702,可以進行載入證書的請求,而在步驟1704,確定是否可以獲得和/或下載證書。當不能獲得證書時,在步驟1720,警告可以被生成并傳輸給用戶、用戶的網(wǎng)絡(luò)的管理員,或者另一實體,在步驟1722,可以更新緩存,并且在步驟1724,該過程可以返回結(jié)果并結(jié)束。當證書為可獲得時,在步驟1706,可以從所獲得的證書中提取字段,并且證書的數(shù)字簽名可以在步驟1708被檢查,并在步驟1710被確定是合法還是非法。當簽名是非法時,該過程可以前進到步驟1720。當簽名被確定為合法時,在步驟1712,可以確定證書的FQDN與請求的FQDN是否相匹配。當FQDM不匹配時,該過程可以前進到步驟1720。當FQDN匹配時在步驟1714,可以確定連接的IP地址與證書的IP地址是否相匹配。當IP地址不匹配時,該過程可以前進到步驟1720。當IP地址匹配時,在步驟1716,可以確定是否已經(jīng)到達期滿日期。當已經(jīng)到達期滿日期時,該過程可以前進到步驟1720。當未到達期滿日期時,在步驟1718,確定通過以下操作來欺瞞當前日期和/或時間的嘗試將本地計算機設(shè)備的時鐘設(shè)置為相對于目前的日期和/或時間為將來發(fā)生的日期和/或時間。當一個或更多個系統(tǒng)和/或被鎖定的本地文件(例如注冊表文件、系統(tǒng)啟動文件、日志文件、緩存文件等)的日期和/或時間被設(shè)置為將來的時間時,可以指示系統(tǒng)時鐘的修改。當系統(tǒng)日期為將來的日期時,該過程可以前進到步驟1720。當系統(tǒng)日期不晚于目前日期時,在步驟1722,可以更新緩存,并且在步驟1724,該過程可以返回結(jié)果并結(jié)束。通用證明接口組件通用證明接口(“genericcertificationinterface,GCI,,)模型可以被用來實現(xiàn)電子郵件證明接口。GCI組件可以使用現(xiàn)有的電子郵件證明標準,例如“DKIM”或“DomainKeys”所描述的標準。GCIAPI可以為電子郵件讀取軟件應(yīng)用或任何擴展提供對電子郵件和/或其他電子通信的DKIM狀態(tài)的檢測。此外,這樣的證明模型的實現(xiàn)可以提供其他功能。例如,當用戶使用的網(wǎng)絡(luò)不通過DNS服務(wù)器提供公鑰(如DKIM機制中)時,GCI模型可以提供專用服務(wù)器結(jié)構(gòu)作為公鑰“開放”倉庫。GCI組件可以被實現(xiàn)為標準的P0P/SMTP/IMAP代理,以攔截標準的電子郵件客戶軟件通信。用于允許網(wǎng)絡(luò)創(chuàng)建其自己的DKIM密鑰集的方法可以使用GCI組件的硬件UID和用戶UID,以限制濫用,并且提供對密鑰撤回的跟蹤。因此,實體可以從證明過程受益,并且在密鑰可以被鏈接到其分別的DNS服務(wù)器之前使用對等體系結(jié)構(gòu)。在GCI組件最初啟動時,可以檢查公鑰-私鑰對的存在,并且當確定未定義密鑰對時可以生成密鑰對。一旦被生成和/或定義,私鑰可以在本地計算機設(shè)備上被保持安全,而公鑰可以被發(fā)送到公鑰服務(wù)器。公鑰可以被鏈接到計算機UID和用戶UID,以及鏈接到與網(wǎng)絡(luò)相關(guān)聯(lián)的信息。公鑰服務(wù)器可以登記該公鑰,以允許進一步的查詢,從而檢驗公鑰的存在與值。從本地計算機使用GCI組件發(fā)送的電子郵件和/或其他電子通信可以使用作為DKIM選擇器的計算機UID和/或用戶UID來簽署。電子郵件的“DomainKey-Signature(域名密鑰-簽名)”字段可以描述版本和可替換的密鑰服務(wù)器基礎(chǔ)設(shè)施(infrastructure)。對版本和可替換密鑰服務(wù)器的描述可以例如被用來避免DNS公鑰模型和用于處理該公鑰的GCI私用服務(wù)器模型之間的失配。一旦接收到電子郵件或者其他電子通信,GCI組件可以分析電子郵件的該"DomainKey-Signature”字段。當“DomainKey-Signature”字段不存在時,該電子郵件可能是經(jīng)認證的。當“DomainKey-Signature”字段存在并且定義標準DKIM版本時,可以使用這樣的標準模型,所述標準模型使用DNS服務(wù)器來查詢公鑰。當“DomainKey-Signature”字段定義GCI版本時,可以使用針對該公鑰倉庫的可替換密鑰服務(wù)器基礎(chǔ)設(shè)施。在示例性實施方案中,GCI組件可以被實現(xiàn)為本地計算機設(shè)備上的代理。當GCI組件被實現(xiàn)為本地計算機設(shè)備上的代理時,GCI組件可以默默檢查流入的電子郵件和/或其他電子通信,同時認證所有流出的電子郵件和/或其他通信。一旦被安裝,GCI組件可以透明且自動地提供通用DKIM功能性,并且如果DNS服務(wù)器實現(xiàn)標準接口來實現(xiàn)公鑰管理,則其可以演化為標準DKIM??商鎿Q地,GCI組件可以保持被定義為可替換的密鑰服務(wù)器基礎(chǔ)設(shè)施。GCI組件可以提供通用歸一化模型,允許簽署在使用免費電子郵件服務(wù)、開放網(wǎng)關(guān),以及反病毒和其他修改電子郵件內(nèi)容或向電子郵件添加數(shù)據(jù)的系統(tǒng)進行發(fā)送時被修改的電子郵件內(nèi)容。例如,電子郵件網(wǎng)關(guān)、廣告插入和/或添加到電子郵件的反病毒通知可能向電子郵件添加另外的數(shù)據(jù),修改電子郵件行距,等等。GCI組件可以使用可替換的計算算法來計算電子郵件內(nèi)容主體的簽名,例如以防止丟棄簽名,或者避免由于應(yīng)用(例如反病毒軟件)、免費電子郵件服務(wù)器和/或網(wǎng)關(guān)所進行的內(nèi)容修改。電子郵件的文本數(shù)據(jù)可以被提取,并且HTML代碼可以被過濾,并且間隔、特殊字符和控制字符(例如回車、換行、制表符、特殊字符)等等可以被空格字符替代??崭褡址娜哂喟l(fā)生可以被單個空格字符替代。緩沖區(qū)的長度可以例如以字節(jié)計算,并且其他字符可以使用預定機制被歸一化,例如使用描述URL編碼的“RFC3986”句法。歸一化可以避免由于網(wǎng)關(guān)對行長進行重新格式化造成的任何格式修改,同時儲存已處理緩沖區(qū)的長度的操作允許在任何添加之前總是檢查文本緩沖區(qū)的同一部分。可以使用霍夫曼樹函數(shù)或者任何其他使得函數(shù)來壓縮所得的數(shù)據(jù),生成用于哈希趟(pass)的更高熵緩沖區(qū)(entropybuffer)0壓縮可以被用來替換歸一化,避免任何字符重編碼??梢允褂脴藴使:瘮?shù)來計算緩沖區(qū)的哈希碼,例如,“Shal”作為數(shù)據(jù)的內(nèi)容哈希碼。緩沖區(qū)長度值可以例如被儲存在簽名描述的可選字段中。GCI組件可以允許使用相同的公鑰倉庫體系結(jié)構(gòu)簽署并添加證明到文件、辦公(office)文檔、源和配置文件等等。通用API可以提供數(shù)種功能。例如,在示例性實施方案中,所述功能可以包括簽署文檔并檢驗文檔。在文檔簽署功能中,可以獲得數(shù)據(jù)緩沖區(qū)。例如,可以通過借助于拷貝、指向數(shù)據(jù)緩沖區(qū)、包含文件內(nèi)容等等來提取活動窗口的內(nèi)容。可以使用私鑰來簽署包含數(shù)據(jù)集的特定緩沖區(qū)。該數(shù)據(jù)集可以定義這樣的結(jié)構(gòu),例如,所述結(jié)構(gòu)描述簽署計算機的“計算機UID”、簽署用戶的“用戶UID”、日期和時間、數(shù)據(jù)緩沖區(qū)內(nèi)容的哈希碼(例如歸一化和/或壓縮的),以及文檔的唯一標識符,包括生成來在版本之間或者作為連續(xù)版本識別等同的文檔的特殊值(“文檔UID”)。文檔簽署功能隨后可以將該結(jié)構(gòu)串行化為數(shù)字基(numericalbase)的一串數(shù)字值,以在將其重編碼為字符的字符串之前進行壓縮。隨后所述字符串被插入在文檔結(jié)束處,可以以一組特殊標志為界,并且替代任何那些在前匹配的發(fā)生。在示例性實施方案中,特殊字符可以包括諸如“{”和/或“}”的字符。文檔檢驗功能可以根據(jù)與上述類似的過程獲得數(shù)據(jù)緩沖區(qū),并且可以檢索所述特殊標志的發(fā)生。當找到一個或更多個所述特殊字符時,被包圍在所述標志之間的字符串可以被提取、解碼和解串行化,以獲得數(shù)據(jù)的結(jié)構(gòu)。可以分析該結(jié)構(gòu),以允許識別和/或跟蹤創(chuàng)建了該文檔的實體和/或個人,在何計算機設(shè)備上創(chuàng)建,創(chuàng)建日期,創(chuàng)建時間,以及對該文檔進行的修改(如果存在任何修改的話)。將簽名嵌入文檔本體可以允許在簽署過程時刻顯式定義文檔的“結(jié)尾”,以及用于檢查所述檢驗過程的文檔限制,以避免網(wǎng)關(guān)、其他軟件和簽名/廣告進行的任何進一步的數(shù)據(jù)添加。該策略可以被用作“DKIM”簽署策略的主要簽名格式系統(tǒng),避免需要儲存文檔長度來進行檢查。公共服務(wù)器可以登記文檔簽署功能所生成的新創(chuàng)建簽名,通過避免偽造嘗試來允許雙證明。在檢查文檔時,提取的文檔簽名可以允許查詢該服務(wù)器,并且例如通過使用獨立于第一計算機設(shè)備所使用的時間基準來檢驗簽名是否曾被登記。此外,可以通過在多個且連續(xù)的簽名之間維護文檔的文檔UID獨特標識符來跟蹤文檔在多個版本間的演化。該API可以被配置和/或設(shè)計為ActiveX服務(wù)器,并且可以被嵌入主要的辦公和其他軟件應(yīng)用以及特定應(yīng)用中,例如諸如“MicrosoftOffice”、“MicrosoftWindows”和‘‘InternetExplorer,,的軟件應(yīng)用。GCI組件可以通過允許用戶實現(xiàn)該保護來擴展DomainKey系統(tǒng)。默認的標準將DNS服務(wù)器定義為主公鑰倉庫,其可能并不是用戶可直接使用的。另外,安全地創(chuàng)建并管理私鑰和公鑰集對于常規(guī)用戶來說是一項困難的任務(wù)。常規(guī)操作系統(tǒng),例如,諸如MicrosoftWindows的操作系統(tǒng),實現(xiàn)機器和用戶密鑰集,其可以通過諸如“CAPIC0M”對象或“.Net”加密層的專用接口來保護和可用。GCI組件可以依賴于這些加密接口,以使用用戶的現(xiàn)有密鑰集,或者定義新的密鑰,同時允許操作系統(tǒng)對這些受保護接口和組件的儲存和管理任務(wù)。GCI組件可以操作為隔離用戶或小型網(wǎng)絡(luò)與現(xiàn)有DKIM基礎(chǔ)設(shè)施之間的獨立接口。此外,可以簽署文件、辦公文檔、電子郵件和任何種類的數(shù)字數(shù)據(jù)。根據(jù)示例性實施方案的數(shù)據(jù)簽署例如可以包括嵌入數(shù)字簽名作為確定已簽署數(shù)據(jù)結(jié)尾的已簽署文本部件。已簽署數(shù)據(jù)可以被歸一化,以避免由于修改的格式以及數(shù)據(jù)的添加而造成的破損(broken)簽名??梢枣溄訕藴屎灻呗?,包括DKIM、Domain-Key以及具有公鑰倉庫來定義通用文檔驗證系統(tǒng)而沒有用戶端基礎(chǔ)設(shè)施的任何其他適當策略。數(shù)字簽名可以與簽署計算機設(shè)備以及用戶匿名標識符鏈接,和/或數(shù)字簽名可以與允許跟蹤文檔多個版本的文檔獨特標識符鏈接。數(shù)字簽名可以與文檔的簽名日期鏈接,以允許跟蹤文檔的修訂。公共文檔簽名倉庫可以允許對任何簽名的反復檢查而不管本地日期和/或時間考量,以及對文檔的全局匿名跟蹤系統(tǒng)。上面描述的實施方案是本申請的圖示說明性實施例,并且不應(yīng)該被解讀為本申請限于這些特定實施方案。本領(lǐng)域技術(shù)人員可以實施各種改動和修改,而不會偏離如所附權(quán)利要求書中所限定的本申請的精神和范圍。例如,在本公開和所附權(quán)利要求書的范圍內(nèi),不同說明性實施方案的部件和/或特征可以彼此組合和/或彼此替換。另外,在閱讀本公開、附圖和所附權(quán)利要求書之后本領(lǐng)域普通技術(shù)人員將清楚的改進和修改被視為落入本申請的精神和范圍內(nèi)。權(quán)利要求一種用于使用計算機設(shè)備進行數(shù)據(jù)通信的方法,包括確定是否升級數(shù)據(jù)通信組件的第一版本,所述數(shù)據(jù)通信組件的所述第一版本包含第一通信協(xié)議的定義;當確定升級所述數(shù)據(jù)通信組件的所述第一版本時,連接到安全服務(wù)器;進行驗證檢測;當所述驗證檢測成功時,從所述安全服務(wù)器接收分組,所述分組包含所述數(shù)據(jù)通信組件的至少第二版本,所述第二版本包含第二通信協(xié)議的定義;確定嵌入在所述分組中的數(shù)字簽名是否合法;當所述數(shù)字簽名合法時,安裝所述數(shù)據(jù)通信組件的所述第二版本;執(zhí)行所述數(shù)據(jù)通信組件的所述第二版本;以及使用所述數(shù)據(jù)通信組件的所述第二版本和所述第二通信協(xié)議進行數(shù)據(jù)通信。2.如權(quán)利要求1所述的方法,其中確定是否升級數(shù)據(jù)通信組件的第一版本的操作包括確定從所述數(shù)據(jù)通信組件的所述第一版本的在前執(zhí)行時刻到當前時刻經(jīng)過的時間;將所述經(jīng)過的時間與預定的觸發(fā)時間值進行比較;以及當所述經(jīng)過的時間等于或者大于所述觸發(fā)時間值時,連接到所述安全服務(wù)器。3.權(quán)利要求2所述的方法,其中比較所述經(jīng)過的時間的操作包括使用網(wǎng)絡(luò)時間協(xié)議確定所述當前時刻。4.如權(quán)利要求1所述的方法,還包括當所述驗證檢查未成功或者所述數(shù)字簽名非法時,生成警告;以及將所述警告?zhèn)鬏數(shù)揭韵轮辽僦凰鲇嬎銠C設(shè)備的用戶、所述安全服務(wù)器的用戶或者調(diào)查服務(wù)器。5.如權(quán)利要求1所述的方法,其中所述安全服務(wù)器的地址位于直接IP地址池中;并且所述直接IP地址池儲存在所述安全通信組件的所述第一版本中。6.如權(quán)利要求1所述的方法,其中所述驗證檢查包括使用以下至少之一零知識協(xié)議、SSL證書或者非對稱密碼技術(shù)。7.如權(quán)利要求1所述的方法,其中所述分組還包括所述數(shù)據(jù)通信組件的所述第二版本的至少一個依賴體。8.如權(quán)利要求1所述的方法,其中所述數(shù)據(jù)通信組件的所述第二版本包括對所述數(shù)據(jù)通信組件的所述第一版本源碼的修改;并且所述修改是由源碼級多形體引擎產(chǎn)生的。9.如權(quán)利要求8所述的方法,其中所述源碼級多形體引擎進行以下操作至少之一使用無功能指令插入噪聲,嵌入變量,嵌入數(shù)學函數(shù),嵌入值,插入跳轉(zhuǎn),插入時移延遲,對所述源碼進行隨機重新排序,插入對API和調(diào)用包裝的引用,插入跟蹤器檢測代碼,插入子線程生成器,插入虛假代碼,或者插入自動保護系統(tǒng)。10.一種用于使用計算機設(shè)備生成數(shù)據(jù)通信組件的第二版本的方法,包括生成隨機數(shù)池;生成密鑰池;使用所述隨機數(shù)池修改數(shù)據(jù)通信組件的第一版本的源碼;鏈接等效函數(shù)庫;編譯所述已修改源碼;屏蔽所述已編譯源碼;簽署所述已屏蔽的已編譯源碼;以及嵌入依賴體。11.如權(quán)利要求10所述的方法,其中所述數(shù)據(jù)通信組件的所述第二版本包括對所述數(shù)據(jù)通信組件的所述第一版本的源碼的修改;并且所述修改是由源碼級多形體引擎產(chǎn)生的。12.如權(quán)利要求11所述的方法,其中所述源碼級多形體引擎進行以下操作至少之一使用無功能指令插入噪聲,嵌入變量,嵌入數(shù)學函數(shù),嵌入值,插入跳轉(zhuǎn),插入時移延遲,對所述源碼進行隨機重新排序,插入對API和調(diào)用包裝的引用,插入跟蹤器檢測代碼,插入子線程生成器,插入虛假代碼,或者插入自動保護系統(tǒng)。13.如權(quán)利要求10所述的方法,其中所述屏蔽操作是由二進制級代碼保護器進行的;并且所述二進制級代碼保護器包括二進制級多形體引擎。14.如權(quán)利要求13所述的方法,其中所述二進制級多形體引擎進行以下操作至少之一注入代碼保護函數(shù),注入反跟蹤器,注入反調(diào)試陷阱,壓縮二進制碼,加密二進制碼,重寫頭文件,重寫資源,或者重寫載入器。15.如權(quán)利要求10所述的方法,其中簽署所述已編譯源碼的操作包括以編輯器私鑰進行簽署。16.如權(quán)利要求10所述的方法,其中所述依賴體包括以下至少之一反惡意軟件數(shù)據(jù)庫,對其他進程的糾正或更新的部件。17.一種用于使用計算機設(shè)備進行數(shù)據(jù)通信的方法,包括當嵌入在電子通信中的鏈接被用戶選擇時,攔截數(shù)據(jù)通信,所述鏈接包含至少一個目標位置標識符;確定用于顯示所述電子通信的應(yīng)用類型;以及當所述應(yīng)用類型是網(wǎng)絡(luò)郵件域中的電子通信閱讀器應(yīng)用或網(wǎng)絡(luò)瀏覽器軟件應(yīng)用之一時提取所述電子通信的主題;提取所述電子通信的內(nèi)容;分析所述電子通信;分析所述提取的主題和內(nèi)容;分析所述選擇的鏈接;分析所述電子通信的人為因素;基于對所述電子通信的所述分析、對所述提取的主題和內(nèi)容的所述分析、對所述選擇的鏈接的所述分析,以及對所述人為因素的所述分析,確定風險因子;以及基于所述確定的風險因子的值,將所述用戶引導到所述鏈接標識的目標位置或者合法位置之一。18.如權(quán)利要求17所述的方法,其中對所述電子通信的所述主題或所述內(nèi)容至少之一的所述提取包括分析文檔對象模型。19.如權(quán)利要求17所述的方法,其中分析所述通信的操作包括以下至少之一確定所述選擇的鏈接是否被嵌入在電子郵件文檔中,檢測所述電子通信中至少一個圖像的位置和大小,檢測所述電子通信的可視和非可視部件,計算所述電子通信的文本、區(qū)域和區(qū)之一的前景色和背景色之間的距離,或者使用嵌入式圖像識別算法分析包含于所述電子通信中的圖像。20.如權(quán)利要求17所述的方法,其中分析所述主題和內(nèi)容的操作包括以下至少之一分析包含于所述電子通信中的詞語,確定在網(wǎng)絡(luò)釣魚通信中普遍使用的詞語量,分析包含于所述電子通信中的文本引用鏈接,或者分析所述電子通信的格式。21.如權(quán)利要求17所述的方法,其中分析所述選擇的鏈接的操作包括以下至少之一檢測編碼的鏈接,檢測域的重定向,檢測頂層域,檢測欺瞞的鏈接,檢測子重定向鏈接,分類格式不恰當?shù)逆溄樱瑱z測用戶名欺瞞,檢測直接IP鏈接,檢測受保護目標,檢測拼錯鏈接,檢測文本性鏈接中的語音含義,檢測伴體的鏈接,檢測已知的域,檢測免費主機服務(wù),檢測危險的地理區(qū)域,或者檢查本地主機文檔隱藏的重定向。22.如權(quán)利要求17所述的方法,還包括分析所述鏈接中標識的所述目標位置。23.如權(quán)利要求17所述的方法,其中將所述用戶引導到所述合法位置的操作包括從保護范圍字典獲得默認的合法位置鏈接。24.一種用于使用計算機設(shè)備創(chuàng)建證書的方法,包括在服務(wù)器接收對證明的請求;進行外部檢驗;生成所述證書,所述生成使用至少一個被請求的選項;以及使用私鑰簽署所述證書,其中所述服務(wù)器通過所述服務(wù)器的全資格域名和所述服務(wù)器的TCP/IP地址標識。25.一種利用計算機設(shè)備來使用證書的方法,包括查詢作為至少一個網(wǎng)站的主機的服務(wù)器;啟動對內(nèi)部函數(shù)的調(diào)用,以確定對所述服務(wù)器的保護;下載所述證書;使用公鑰來驗證所述證書的真實性;當檢驗出所述證書是真實的時,提取至少一個證書字段;計算從所述服務(wù)器接收的數(shù)據(jù)的數(shù)字簽名或哈希碼中的至少一種;將所述至少一個證書字段與所述接收的數(shù)據(jù)的數(shù)字簽名或哈希碼中的至少一種進行比較;以及基于所述比較的結(jié)果,確定所述網(wǎng)站是否合法。全文摘要用于在公共通信網(wǎng)絡(luò)上進行安全電子數(shù)據(jù)通信的方法和系統(tǒng)??梢允褂冒踩珨?shù)據(jù)通信組件來實現(xiàn)通信協(xié)議??梢陨蓴?shù)據(jù)通信組件的新版本,其中每個版本包含不同的通信協(xié)議??梢允褂枚嘈误w引擎修改數(shù)據(jù)通信組件的源碼,以創(chuàng)建具有不同代碼結(jié)構(gòu)的功能等效組件。反網(wǎng)絡(luò)釣魚組件可以攔截用戶激活的電子通信中的鏈接,分析該鏈接和該電子通信,確定所述鏈接給所述用戶帶來的網(wǎng)絡(luò)釣魚風險,并且將用戶引導到所述鏈接所指示的位置或者將用戶重定向到合法位置。服務(wù)器驗證組件可以檢測并防止DNS攻擊、注入和篡改活動。文檔編號H04L9/00GK101816148SQ200880110153公開日2010年8月25日申請日期2008年8月6日優(yōu)先權(quán)日2007年8月6日發(fā)明者伯納德·德莫森納特,斯蒂芬·莫羅申請人:伯納德·德莫森納特;斯蒂芬·莫羅