專利名稱:用于檢測計(jì)算機(jī)資源劫持的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于檢測計(jì)算機(jī)資源劫持的方法。
背景技術(shù):
越來越多的用戶擁有連接到例如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)的計(jì)算機(jī)資源�,例如個(gè)人計(jì)算機(jī)或移動(dòng)電話。這些連接會(huì)被惡意的第三方(也稱為“剽竊者”或“黑客”)使用以通過使用稱為病毒的軟件來傳染這些資源并且針對濫用的或甚至是非法的操作來劫持它們的活動(dòng)性���。通常��,被劫持資源的用戶缺乏計(jì)算機(jī)訓(xùn)練以使得他們能夠令人滿意地保護(hù)他們的 計(jì)算機(jī)和/或檢測這些資源的感染���。因此,對計(jì)算機(jī)資源的劫持通常是以不中斷這些資源的功能的方式來實(shí)現(xiàn)的�,這特別地使之能夠不激起這些資源的用戶懷疑受到感染。這是在傳播時(shí)最小化對受感染計(jì)算機(jī)的可見影響的計(jì)算機(jī)病毒的情況��,該計(jì)算機(jī)病毒稱為“Bots”或“botNets”,其是網(wǎng)絡(luò)機(jī)器人的縮寫���。應(yīng)當(dāng)指出��,這種病毒能夠執(zhí)行剽竊操作����,其特別地破壞用戶的被感染和被劫持的資源��。作為例子���,稱為“discrete”的病毒能夠偷竊機(jī)密數(shù)據(jù)�,例如代碼編號和銀行賬戶號碼����,以將它們傳送到會(huì)以欺詐方式使用這些機(jī)密數(shù)據(jù)的第三方。同樣���,存在能夠命令發(fā)送“分布式拒絕服務(wù)”(DDOS)垃圾郵件(SPAM)或甚至命令托管非法內(nèi)容(例如孌童癖內(nèi)容)的discrete病毒��,所述垃圾郵件(從幾百或甚至幾千的受感染機(jī)器中)向互聯(lián)網(wǎng)網(wǎng)站生成大量偽造網(wǎng)絡(luò)消息以中斷或停止服務(wù)�����。在該情況下�,病毒會(huì)影響受劫持資源的用戶的聲譽(yù)或甚至是民事責(zé)任。實(shí)際上�,如果用戶無法證明他們已經(jīng)實(shí)施了適當(dāng)?shù)陌踩胧瑒t用戶的風(fēng)險(xiǎn)在于要為被他們的受感染計(jì)算機(jī)資源所造成的破壞而負(fù)責(zé)�,而實(shí)施安全措施對于并非計(jì)算機(jī)エ程專業(yè)人員的用戶而言并不容易。最后�����,“ discrete”病毒的最后ー個(gè)問題是它們的感染能力非常強(qiáng)�����,因?yàn)槿绻脩魶]有注意計(jì)算機(jī)資源的故障則大量的時(shí)間流逝����,而在此期間感染將在用戶移除病毒之前進(jìn)行傳播�����。為了檢測計(jì)算機(jī)資源的劫持���,防病毒軟件的實(shí)施是常見的����,但是受限于利用統(tǒng)計(jì)的方法事先定義的病毒,根據(jù)該統(tǒng)計(jì)的方法�����,防病毒數(shù)據(jù)庫中的病毒的簽名或指紋是靜態(tài)的��,盡管新的病毒頻繁地產(chǎn)生并且其中一些能夠動(dòng)態(tài)地修改它們的數(shù)字指紋�。另外,少數(shù)用戶定期更新他們的防病毒軟件�。同樣,計(jì)算機(jī)資源的用戶面臨數(shù)據(jù)機(jī)密性的問題���,特別是當(dāng)用戶時(shí)擁有許多員エ的公司吋��。實(shí)際上�,在該情況下��,許多國家的法律��,例如法國����,禁止公司或服務(wù)提供商監(jiān)控雇員或用戶的連至互聯(lián)網(wǎng)服務(wù)的私人連接��,這因而使之無法檢測至可能危險(xiǎn)的網(wǎng)站的連接�。
發(fā)明內(nèi)容
本發(fā)明是以下觀察的結(jié)果在從受安全和機(jī)密性約束的計(jì)算機(jī)資源中構(gòu)成的內(nèi)聯(lián)網(wǎng)的外部�����,可以通過分析其行為來標(biāo)識(shí)對內(nèi)聯(lián)網(wǎng)上的計(jì)算機(jī)資源的劫持���,也就是說它們與不具有這些安全和機(jī)密性約束的外聯(lián)網(wǎng)所執(zhí)行的連接和/或通信�����,所述外聯(lián)網(wǎng)通常是例如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)。本發(fā)明還包括觀測到�,在許多情況下,例如當(dāng)用戶是小型的或中型的公司或者是個(gè)體時(shí)����,用戶不具有分析這些資源的行為并通過行為分析檢測劫持的手段。這就是為什么本發(fā)明涉及一種用于檢測對位于內(nèi)聯(lián)網(wǎng)上的計(jì)算機(jī)資源的劫持的方法���,所述內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)的安全和機(jī)密性標(biāo)準(zhǔn)�����,所述計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接而連接到不具有這種安全和機(jī)密性標(biāo)準(zhǔn)的外聯(lián)網(wǎng)�,其特征在于,該方法包括下列步驟-存儲(chǔ)由所述計(jì)算機(jī)資源實(shí)施的連接參數(shù)以與所述外聯(lián)網(wǎng)通信�����,-基于不可逆函數(shù)來處理所存儲(chǔ)的參數(shù)����,以生成對應(yīng)于所存儲(chǔ)的參數(shù)但不能標(biāo)識(shí)所存儲(chǔ)參數(shù)的唯一代碼,和-將所生成的代碼發(fā)送到位于外聯(lián)網(wǎng)上的服務(wù)器以使得該服務(wù)器能夠根據(jù)所述唯一代碼來分析所述計(jì)算機(jī)資源的活動(dòng)性并且檢測對該計(jì)算機(jī)資源的任何劫持���。利用本發(fā)明�,位于內(nèi)聯(lián)網(wǎng)外部的操作員能夠分析所述資源的行為同時(shí)遵守所述內(nèi)聯(lián)網(wǎng)的機(jī)密性和安全標(biāo)準(zhǔn)�。因此,具有受限的計(jì)算機(jī)分析手段的用戶能夠調(diào)用對于檢測資源劫持而言必需的具有該手段的外部操作員和專門技術(shù)�����,同時(shí)保持連接的機(jī)密性和安全�����。通常,所述連接參數(shù)可以是域名(google, fr)��,和/或發(fā)送電子郵件服務(wù)器(smtp.neuf. fr)�,其中SMPT是“簡單郵件傳輸協(xié)議”發(fā)送郵件協(xié)議。在將該方法應(yīng)用于幾個(gè)域名和/或發(fā)送郵件服務(wù)器時(shí)��,后者能夠檢測活動(dòng)性���,其強(qiáng)度和/或多祥性使之能夠懷疑所分析資源的劫持�����。在一個(gè)實(shí)施例中����,所述方法包括這樣的步驟將以下元素中的至少ー個(gè)看作連接參數(shù)從內(nèi)聯(lián)網(wǎng)傳送到外聯(lián)網(wǎng)的分組的報(bào)頭和/或報(bào)體的內(nèi)容�����、包含于從內(nèi)聯(lián)網(wǎng)發(fā)給外聯(lián)網(wǎng)的DNS請求中的標(biāo)識(shí)符�、或從內(nèi)聯(lián)網(wǎng)發(fā)送到外聯(lián)網(wǎng)的電子郵件接收方的標(biāo)識(shí)符����。根據(jù)ー個(gè)實(shí)施例��,該方法包括這樣的步驟利用散列函數(shù)來基于所述連接參數(shù)生成唯一代碼���,所述連接參數(shù)特別是例如域名或郵件服務(wù)器地址。在一個(gè)實(shí)施例中��,該方法包括這樣的步驟在處理連接參數(shù)之前����,在內(nèi)聯(lián)網(wǎng)內(nèi)執(zhí)行對連接參數(shù)的內(nèi)部分析以檢測資源劫持或生成新連接參數(shù)。根據(jù)ー個(gè)實(shí)施例����,該方法包括一個(gè)附加的步驟,即發(fā)送關(guān)于所述內(nèi)部分析的報(bào)告給遠(yuǎn)程服務(wù)器��。在一個(gè)實(shí)施例中��,該方法包括這樣的步驟發(fā)送具有所生成的唯一代碼的非編碼參數(shù)����,所述唯一代碼被發(fā)送到遠(yuǎn)程服務(wù)器。根據(jù)ー個(gè)實(shí)施例�,該方法包括這樣的步驟當(dāng)連接到外聯(lián)網(wǎng)以檢測計(jì)算機(jī)資源劫持吋,考慮關(guān)于用戶使用條件的信息����。在一個(gè)實(shí)施例中�,該方法包括這樣的步驟考慮關(guān)于用戶訪問外聯(lián)網(wǎng)的條件的信息�,該信息由服務(wù)提供商發(fā)送,以檢測資源劫持���。
本發(fā)明還涉及ー種位于內(nèi)聯(lián)網(wǎng)中的計(jì)算機(jī)資源��,該內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)的安全和機(jī)密性標(biāo)準(zhǔn)��,該計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接而連接到不具有這種安全和機(jī)密性數(shù)據(jù)的外聯(lián)網(wǎng)����,其特征在于�,該計(jì)算機(jī)資源包括-用于存儲(chǔ)為了與所述外聯(lián)網(wǎng)通信而實(shí)現(xiàn)的連接參數(shù)的裝置,-用于基于不可逆函數(shù)來處理所存儲(chǔ)的參數(shù)以生成對應(yīng)于所存儲(chǔ)的參數(shù)但不能從相應(yīng)的所生成代碼中標(biāo)識(shí)所存儲(chǔ)參數(shù)的唯一代碼的裝置����,和-用于將所生成的代碼發(fā)送到位于外聯(lián)網(wǎng)上的服務(wù)器以使得該服務(wù)器能夠根據(jù)所述唯一代碼來分析所述計(jì)算機(jī)資源的活動(dòng)性并且利用根據(jù)前述實(shí)施例之一的方法來檢測對該計(jì)算機(jī)資源的任何劫持的裝置。 本發(fā)明還涉及ー種用于檢測對位于內(nèi)聯(lián)網(wǎng)上的計(jì)算機(jī)資源的劫持的服務(wù)器�,所述內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)的安全和機(jī)密性標(biāo)準(zhǔn)�����,所述計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接而連接到不具有這種安全和機(jī)密性標(biāo)準(zhǔn)的外聯(lián)網(wǎng),其特征在于�����,由于位于所述外聯(lián)網(wǎng)上�����,所述服務(wù)器包括用于利用根據(jù)前述實(shí)施例之一的方法來根據(jù)由所述計(jì)算機(jī)資源生成的唯一代碼分析該計(jì)算機(jī)資源的裝置����。
參考附圖,通過閱讀以下說明性而非限制性的描述�����,本發(fā)明的其他特征和優(yōu)點(diǎn)將變得明顯�����,其中 -圖I示意性地示出了本發(fā)明的一個(gè)實(shí)現(xiàn)�����;和-圖2是由根據(jù)本發(fā)明的服務(wù)器實(shí)現(xiàn)的分析表��。
具體實(shí)施例方式參考圖1,一種根據(jù)本發(fā)明的用于檢測對計(jì)算機(jī)資源的劫持的方法針對內(nèi)聯(lián)網(wǎng)100而實(shí)現(xiàn)����,該內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)的安全和機(jī)密標(biāo)準(zhǔn)。在該例子中����,內(nèi)聯(lián)網(wǎng)100是包括幾個(gè)互連終端的公司內(nèi)網(wǎng),機(jī)密性標(biāo)準(zhǔn)包括禁止標(biāo)識(shí)由給定終端請求的域名���,安全標(biāo)準(zhǔn)包括要求使用ADSL (非対稱數(shù)字用戶線)高速連接104以與在該例子中由互聯(lián)網(wǎng)構(gòu)成的外聯(lián)網(wǎng)102通信�����。因此�,即使互聯(lián)網(wǎng)102缺乏之前提到的安全和機(jī)密性標(biāo)準(zhǔn)�,管理連接104的服務(wù)提供商也能夠通過使用本發(fā)明而從該外聯(lián)網(wǎng)102實(shí)現(xiàn)用于檢測網(wǎng)絡(luò)100內(nèi)的計(jì)算機(jī)資源劫持的方法。為此�,內(nèi)聯(lián)網(wǎng)100執(zhí)行步驟106以過濾并存儲(chǔ)由計(jì)算機(jī)資源101實(shí)現(xiàn)的連接參數(shù)108以與外聯(lián)網(wǎng)102通信。在該實(shí)施例中�����,考慮以下元素中的至少ー個(gè)作為要被過濾和存儲(chǔ)的連接參數(shù)-從內(nèi)聯(lián)網(wǎng)100發(fā)送到外聯(lián)網(wǎng)102的數(shù)據(jù)分組的報(bào)頭和/或報(bào)體的內(nèi)容。因此����,一些分組的報(bào)體和/或報(bào)頭的內(nèi)容可能表明了資源劫持或任何可以的活動(dòng)�����,例如所發(fā)送的較為大量的電子郵件(毎秒幾個(gè)消息)以及經(jīng)由幾個(gè)發(fā)送郵件提供商(SMPT服務(wù)器)���,即多余2個(gè)�����。-包含于發(fā)送給外聯(lián)網(wǎng)上的DNS服務(wù)器的請求中的標(biāo)識(shí)符108�。為此�,應(yīng)當(dāng)指出,DNS服務(wù)器的任務(wù)是針對域名而解析請求���,例如www.alcatel-lucent, com�。更具體地,DNS服務(wù)器具有將域名關(guān)聯(lián)于至少ー個(gè)IP (互聯(lián)網(wǎng))地址的數(shù)據(jù)庫���,該IP地址采取例如93. 178. 174. 3的形式�����。然后����,對DNS服務(wù)器的查詢使之能夠就資源與其通信的服務(wù)器的多祥性而學(xué)習(xí)內(nèi)部資源101的活動(dòng)性,應(yīng)當(dāng)理解所述多樣性在內(nèi)部資源101被劫持時(shí)通常是異常地高�����。-用于郵件服務(wù)器的標(biāo)識(shí)符����,例如處理發(fā)送到外聯(lián)網(wǎng)的電子郵件的SMTP服務(wù)器,其在該情況下例如使用SMTP (簡單郵件傳輸協(xié)議)����。因此,再一次地����,當(dāng)例如被劫持的資源生成不期望的郵件或“垃圾郵件”時(shí)它們顯示出非常高的和變化的活動(dòng)性?;谶@些參數(shù),本發(fā)明實(shí)現(xiàn)了步驟112以基于從每個(gè)存儲(chǔ)的參數(shù)中生成唯一代碼的不可逆函數(shù)來處理所存儲(chǔ)的參數(shù)108���,從而根據(jù)相應(yīng)的代碼來阻止對被處理參數(shù)的任何之后的標(biāo)識(shí)�����。本發(fā)明的這個(gè)實(shí)施例使用散列函數(shù)來將所存儲(chǔ)的參數(shù)編碼成唯一代碼�����,例如MD5或SHA-I函數(shù)���。因此,連接參數(shù)的機(jī)密性被保持��,但是分析資源111的行為是可能的��,特別是就所建立連接的多祥性和量而言��。應(yīng)當(dāng)指出�����,在內(nèi)聯(lián)網(wǎng)100中�,對參數(shù)的分析110能夠在處理它們之前來執(zhí)行,從而從內(nèi)部檢測對資源的劫持和/或生成新的參數(shù)�����,例如之后在確保由資源101進(jìn)行的通信的機(jī)密性的報(bào)告中所發(fā)送的統(tǒng)計(jì)參數(shù)。參考圖2�,這種預(yù)先的或內(nèi)部的分析能夠利用參數(shù)概要,例如通過所請求的域名(例如“4thfirework. com”或“fireholiday. com”)來概括所建立的連接,所述參數(shù)概要使之能夠懷疑或表征對所謂的“高速流動(dòng)”網(wǎng)絡(luò)中的資源的劫持���,對DNS協(xié)議的劫持使用例如-“消息出現(xiàn)”�,其被設(shè)計(jì)成根據(jù)來自不同互聯(lián)網(wǎng)服務(wù)器的單個(gè)域名來分析針對各種請求而反而的地址���。因此����,關(guān)聯(lián)于鏈接到BotNets的域名的地址是世界范圍內(nèi)的私有機(jī)器的地址����,其不具有任何地理、技術(shù)或管理性的鏈接�����,這應(yīng)當(dāng)是針對規(guī)則的和/或合法的域名的情況��。-針對返回的DNS數(shù)據(jù)的僅有幾秒的存活時(shí)間(TTL)����。步驟114能夠例如在實(shí)現(xiàn)了各種連接104時(shí)基于幾個(gè)報(bào)告而被實(shí)現(xiàn)�����。在該實(shí)施例中�,非編碼的數(shù)據(jù)也是可行的����,即未處理的連接參數(shù)與編碼數(shù)據(jù)一起在步驟114中被直接發(fā)送�,然后當(dāng)機(jī)密性約束許可時(shí)發(fā)送到外部服務(wù)器118。因此���,這個(gè)信息集合在步驟116中被發(fā)送到位于外聯(lián)網(wǎng)102上的服務(wù)器118�。服務(wù)器118然后能夠在外部分析在步驟112中生成的唯一代碼��,以及在步驟110中發(fā)送的任何潛在的連接參數(shù)����,從而研究計(jì)算機(jī)資源111的活動(dòng)性并且在步驟120檢測對計(jì)算機(jī)資源的劫持。為此�����,資源111的行為能夠在連接方面與對應(yīng)于各種類型的感染的預(yù)定行為相比較。例如���,“高速流動(dòng)”行為能夠如上文所述那樣通過標(biāo)識(shí)指定的DNS行為來檢測���,或者當(dāng)專用于病毒的域名能夠被發(fā)送時(shí)通過識(shí)別這些域名來檢測。類似地�����,被劫持發(fā)送垃圾郵件的資源能夠通過分析資源111的SMTP行為來檢測����,即與由資源111發(fā)送的郵件的目的地有關(guān),或者在標(biāo)識(shí)了對其執(zhí)行垃圾郵件或botnet型病毒的網(wǎng)站的所發(fā)送電子郵件的內(nèi)容中����。
根據(jù)資源111的用戶的預(yù)訂,可以實(shí)現(xiàn)其他檢測過程��。例如�����,私人個(gè)體通常不在家里托管HTTP服務(wù)器以使得資源111對HTTP請求的接收可以被看作是劫持的線索并且能夠利用安全HTTP頁面觸發(fā)消息向該用戶地址的發(fā)送���,例如“親愛的Laurent Clevy,您收到這個(gè)消息是因?yàn)槟严蚰姆?wù)提供商預(yù)訂了“網(wǎng)絡(luò)入侵監(jiān)控”服務(wù)����。請使用下面的安全鏈接來重新定義您的Web配置文件,因?yàn)槲覀兛赡芤呀?jīng)從您的計(jì)算機(jī)中檢測到一些異常的行為���。https://local/webprofile/LC”通過點(diǎn)擊鏈接https: //local/webprof ile/LC,用戶���,即該例子中的LaurentClevy,將收到如下消息“您托管HTTP站點(diǎn)以便第三方能夠訪問存儲(chǔ)在您計(jì)算機(jī)上的信息嗎��?是/否”��。 然后�,該用戶能夠用其資源來幫助檢測異常行為����,例如在其他例子中是通過指示服務(wù)器他打算向誰發(fā)送電子郵件。同樣�,該用戶可能被要求允許在步驟122存儲(chǔ)所有建立的連接從而在一段時(shí)期內(nèi)執(zhí)行分析,數(shù)據(jù)是從一個(gè)預(yù)定時(shí)間段結(jié)束后被存儲(chǔ)的��?���?梢詫Ρ景l(fā)明實(shí)現(xiàn)許多變型����,特別是當(dāng)它是通過在打開高速互聯(lián)網(wǎng)接入線路時(shí)進(jìn)行預(yù)訂而被實(shí)現(xiàn)吋��。在該情況下���,該用戶可以預(yù)訂資源劫持檢測服務(wù)��,該服務(wù)監(jiān)控DNS和/或SMTP請求以檢測受感染資源的活動(dòng)性特征����。這種預(yù)訂應(yīng)當(dāng)通過電話進(jìn)行�,然后當(dāng)用戶安裝確保連接104所必需的裝置時(shí)由用戶自己來配置,所述連接104當(dāng)計(jì)算機(jī)資源101是計(jì)算機(jī)時(shí)通常是ADSL “非對稱數(shù)字用戶
線”盒�����。在其他情況下�,例如當(dāng)資源101是移動(dòng)終端,例如電話����、智能手機(jī)����、PDA (個(gè)人數(shù)字助理)和/或便攜式計(jì)算機(jī)���,對實(shí)現(xiàn)上述步驟108���、110、112和114所需要的裝置的配置可以在制造時(shí)在終端內(nèi)配置��,這些資源受到該實(shí)現(xiàn)所需要的有限裝置的約束��。然后��,預(yù)訂可能包括三個(gè)服務(wù)級別�����,就速度�����、告警����、預(yù)防性數(shù)據(jù)存儲(chǔ)和負(fù)責(zé)幫助資源101的用戶的技術(shù)人員的可用性而言,這三個(gè)服務(wù)級別的援助是不斷増加的���。另外���,在預(yù)訂的情況下,服務(wù)提供商可能在各個(gè)不同的步驟提供信息-在過濾和存儲(chǔ)連接參數(shù)的步驟106期間�����,關(guān)于一個(gè)或多個(gè)用戶電子郵件地址的信息可能在步驟124被發(fā)送以使之能夠標(biāo)識(shí)用于傳輸和/或存儲(chǔ)這些電子郵件的服務(wù)器以使得從所述資源到這些服務(wù)器的連接能夠被看成是可預(yù)測的����。-在進(jìn)行散列處理的步驟112期間,關(guān)于對存儲(chǔ)所發(fā)送的分組的任何潛在授權(quán)的信息使之能夠分析被懷疑受感染的分組��。當(dāng)服務(wù)提供商被給予這種授權(quán)時(shí)���,這些分組可以例如在滑動(dòng)的時(shí)間窗口內(nèi)被分析以使得已經(jīng)存儲(chǔ)了ー個(gè)預(yù)定時(shí)期的分組被刪除�。-在防止資源劫持的處理步驟128期間���,其包括例如完全存儲(chǔ)由資源111發(fā)送的分組��、對利用當(dāng)前防病毒軟件掃描的個(gè)人數(shù)據(jù)進(jìn)行備份以及建議下載安全軟件����,特別是瀏覽互聯(lián)網(wǎng)和發(fā)送電子郵件。在該情況下����,服務(wù)提供商可以在步驟130提供關(guān)于資源111的用戶對預(yù)防性處理服務(wù)的預(yù)訂的信息,例如包含或不包含于該預(yù)訂中的相關(guān)選項(xiàng)��。-在基本的處理步驟132期間�,其在該實(shí)施例中包括向用戶通知對其資源111的被劫持活動(dòng)的檢測、警告?zhèn)€人數(shù)據(jù)私密性存在風(fēng)險(xiǎn)����、受限的診斷以及遠(yuǎn)程援助的聯(lián)系地址。在該情況下�,服務(wù)提供商可以在步驟134提供關(guān)于預(yù)訂以下服務(wù)的信息預(yù)防性處理服務(wù),或用于消除受感染資源111的病毒病提供對之后的處理操作的估計(jì)的遠(yuǎn)程處理服務(wù)136�����,或用于在ー個(gè)請求的時(shí)間幀內(nèi)向資源111所在的現(xiàn)場提供技術(shù)人員以標(biāo)識(shí)受感染的資源111�、備份關(guān)鍵數(shù)據(jù)和可能提供替代解決方案的現(xiàn)場處理服務(wù)138。如圖I所示����,步驟132、136和138能夠根據(jù)資源111的用戶向執(zhí)行行為分析的操作員的預(yù)定來被相繼實(shí)施��??梢詫Ρ景l(fā)明實(shí)現(xiàn)許多變型。因此���,主要就域名和/或發(fā)送郵件服務(wù)器名稱進(jìn)行了描述���,因?yàn)閷?shí)際上互聯(lián)網(wǎng)內(nèi)的其他連接網(wǎng)絡(luò)參數(shù)通常是匿名的或由互聯(lián)網(wǎng)運(yùn)營商提供(IP地址),然而應(yīng)當(dāng)清楚����,本發(fā)明可以根據(jù)與互聯(lián)網(wǎng)協(xié)議不同的通信協(xié)議以等效的參數(shù)來實(shí)現(xiàn)。
另外�����,應(yīng)當(dāng)清楚����,本發(fā)明可以通過實(shí)施對幾個(gè)連接參數(shù)的分析以及通過組合用于檢測計(jì)算機(jī)病毒感染的各種方法來被配置。
權(quán)利要求
1.一種用于檢測對位于內(nèi)聯(lián)網(wǎng)(100)上的計(jì)算機(jī)資源(111)的劫持的方法�,所述內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)(100)的安全和機(jī)密性標(biāo)準(zhǔn)�,所述計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接(104)而連接到不具有所述安全和機(jī)密性標(biāo)準(zhǔn)的外聯(lián)網(wǎng)(102)�����,其特征在于��,包括 -存儲(chǔ)連接參數(shù)(108 )的步驟(106 )��,所述連接參數(shù)由所述計(jì)算機(jī)資源(111)實(shí)施以與所述外聯(lián)網(wǎng)(102)通信�, -基于不可逆函數(shù)處理所存儲(chǔ)的參數(shù)(108)以生成唯一代碼的步驟(112),所述唯一代碼對應(yīng)于所存儲(chǔ)的參數(shù)但不允許根據(jù)所生成的相應(yīng)代碼來標(biāo)識(shí)所述參數(shù)����,和 -將所生成的代碼發(fā)送到位于所述外聯(lián)網(wǎng)上的服務(wù)器(118)以使得該服務(wù)器(118)能夠根據(jù)所述唯一代碼分析所述計(jì)算機(jī)資源(111)的活動(dòng)性并且檢測對該計(jì)算機(jī)資源的任何劫持的步驟(114)。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于����,包括這樣的步驟將下列元素中的至少一個(gè)看作是連接參數(shù)(108):從所述內(nèi)聯(lián)網(wǎng)發(fā)送到所述外聯(lián)網(wǎng)的分組的報(bào)頭和/或報(bào)體的內(nèi)容����,包含于從所述內(nèi)聯(lián)網(wǎng)發(fā)給所述外聯(lián)網(wǎng)的DNS請求中的標(biāo)識(shí)符,或從所述內(nèi)聯(lián)網(wǎng)到所述外聯(lián)網(wǎng)的發(fā)送電子郵件服務(wù)器的標(biāo)識(shí)符�����。
3.根據(jù)權(quán)利要求I或2所述的方法,其特征在于��,包括使用散列函數(shù)來基于所存儲(chǔ)的參數(shù)(18 )生成唯一代碼的步驟(112 )�����。
4.根據(jù)前述權(quán)利要求之一所述的方法���,其特征在于,包括在處理所述連接參數(shù)(108)之前在所述內(nèi)聯(lián)網(wǎng)(100)中執(zhí)行對該連接參數(shù)的內(nèi)部分析以檢測對資源(111)的劫持或生成新連接參數(shù)(108)的步驟(I 10)�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�,包括將內(nèi)部分析報(bào)告發(fā)送到遠(yuǎn)程服務(wù)器(118)的步驟(114)。
6.根據(jù)前述權(quán)利要求之一所述的方法���,其特征在于���,包括與發(fā)送到所述遠(yuǎn)程服務(wù)器(118)的所生成的唯一代碼一起發(fā)送所述連接參數(shù)(108)的步驟。
7.根據(jù)前述權(quán)利要求之一所述的方法�,其特征在于,包括考慮與所述資源(111)的用戶的使用條件有關(guān)的信息以連接到外聯(lián)網(wǎng)(102)從而檢測計(jì)算機(jī)資源劫持的步驟(124)�。
8.根據(jù)前述權(quán)利要求之一所述的方法���,其特征在于,包括考慮與所述資源(111)的用戶接入所述外聯(lián)網(wǎng)(102)的條件有關(guān)的信息的步驟(130�、134),所述信息由服務(wù)提供商來發(fā)送��,從而檢測資源劫持��。
9.一種位于內(nèi)聯(lián)網(wǎng)(100)上的計(jì)算機(jī)資源(111)�����,所述內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)(100)的安全和機(jī)密性標(biāo)準(zhǔn)��,所述計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接(104)而連接到不具有所述安全和機(jī)密性標(biāo)準(zhǔn)的外聯(lián)網(wǎng)(102)�����,其特征在于����,包括 -用于存儲(chǔ)連接參數(shù)(108 )的裝置,所述連接參數(shù)被實(shí)施以與所述外聯(lián)網(wǎng)(102 )通信����, -用于基于不可逆函數(shù)(112)處理所存儲(chǔ)的參數(shù)(108)以生成唯一代碼的裝置�,所述唯一代碼對應(yīng)于所存儲(chǔ)的參數(shù)(108)但不允許根據(jù)所生成的相應(yīng)代碼來標(biāo)識(shí)所存儲(chǔ)的參數(shù)(108)����,和 -用于將所生成的代碼發(fā)送(114)到位于所述外聯(lián)網(wǎng)(102)上的服務(wù)器(118)以使得該服務(wù)器能夠利用根據(jù)前述權(quán)利要求之一的方法來根據(jù)所述唯一代碼分析所述計(jì)算機(jī)資源(111)的活動(dòng)性并且檢測對該計(jì)算機(jī)資源的任何劫持的裝置。
10.一種用于檢測對位于內(nèi)聯(lián)網(wǎng)(100)上的計(jì)算機(jī)資源(111)的劫持的服務(wù)器(118)�,所述內(nèi)聯(lián)網(wǎng)實(shí)施專用于該內(nèi)聯(lián)網(wǎng)的安全和機(jī)密性標(biāo)準(zhǔn),所述計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接(104)而連接到不具有所述安全和機(jī)密性標(biāo)準(zhǔn)的外聯(lián)網(wǎng)(102)�,其特征在于���,由于位于所述外聯(lián)網(wǎng)(102)上���,所述服務(wù)器(118)包括用于利用根據(jù)權(quán)利要求I至8之一的方法根據(jù)由所述計(jì)算機(jī)資源生成的唯一代碼來分析所述計(jì)算機(jī)資源的裝置。
全文摘要
本發(fā)明涉及一種檢測對位于內(nèi)聯(lián)網(wǎng)(100)上的計(jì)算機(jī)資源(111)的劫持的方法����,該內(nèi)聯(lián)網(wǎng)實(shí)施專用于它的安全和機(jī)密性標(biāo)準(zhǔn),該計(jì)算機(jī)資源通過由服務(wù)提供商管理的連接(104)而連至沒有安全和機(jī)密性標(biāo)準(zhǔn)的外聯(lián)網(wǎng)(102)�����,其特征在于�����,該方法包括存儲(chǔ)連接參數(shù)(108)的步驟(106),該連接參數(shù)由該計(jì)算機(jī)資源(111)實(shí)施以與該外聯(lián)網(wǎng)(102)通信��;基于不可逆函數(shù)處理所存儲(chǔ)參數(shù)(108)以生成唯一代碼的步驟(112)�����,該唯一代碼對應(yīng)于所存儲(chǔ)參數(shù)但不允許根據(jù)所生成的相應(yīng)代碼來標(biāo)識(shí)該參數(shù)��;和將所生成的代碼發(fā)送到位于該外聯(lián)網(wǎng)上的服務(wù)器(118)以便該服務(wù)器(118)能夠根據(jù)該唯一代碼分析該計(jì)算機(jī)資源(111)的活動(dòng)性并檢測對該計(jì)算機(jī)資源的任何劫持的步驟(114)����。
文檔編號H04L29/06GK102792306SQ201080057935
公開日2012年11月21日 申請日期2010年12月8日 優(yōu)先權(quán)日2009年12月21日
發(fā)明者A·馬丁, L·可勒維 申請人:阿爾卡特朗訊公司