[发明专利]向计算机系统和网络提供安全性的方法和装置

说明书

计算机系统、网络和数据中心被暴露在持续并且不同的各种攻击中，这些攻击暴露出这些系统的脆弱性，从而损害它们的安全性和/或操作。例如，各种形式的恶意软件程序攻击包括计算机系统可以通过诸如因特网之类的网络获得的病毒、蠕虫、特洛伊木马等等。通常，这些计算机系统的用户甚至没有察觉计算机系统内已经获得这些恶意程序。一旦执行的恶意程序驻留在计算机中，它可能中断计算机的操作到一个不能操作的点和/或可能借助计算机的操作系统或驻留其中的应用程序的脆弱性将其自身扩散到网络或数据中心内的其他计算机。其他恶意程序可能在计算机中操作，以秘密提取计算机中的信息并将其发送到远程计算机系统以用于各种可疑目的。例如，间谍软件(spyware)是这样一种形式的软件，它可以在计算机系统的后台(例如对计算机系统的用户而言是未知的)执行，并且可以执行不希望看到的处理操作，例如跟踪、记录该间谍软件所在计算机系统的用户输入并将其发送到远程计算机系统。间谍软件可以允许远程计算机默默地获取保密信息，例如访问受保护的数据、列表、文件内容或甚至远程web站点用户账户信息所需的用户名和密码。

计算机系统开发者、软件开发者和安全性专家已经创建出很多种传统的预防性措施，这些预防性措施在传统的计算机系统中操作，以尝试防止恶意程序的操作盗取信息或损害计算机系统的正常操作。例如，传统的病毒检测软件用于周期性地从远程服务器下载一组病毒定义。一旦病毒检测软件获得这些定义，安全性软件就可以监视计算机系统接收的传入数据(例如包含附件的email消息)，以识别在计算机访问的数据中可能出现的被定义在所述病毒定义中的病毒。这种数据可能通过网络获得，或者可能不知不觉地驻留在用户插入到计算机中的计算机可读介质(例如盘或CD-ROM)中。在检测到包含病毒或其他恶意程序的进入数据之后，病毒检测软件可以隔离该进入数据，以使得该计算机系统的用户将不会执行代码或访问可能导致损害计算机的操作的包含了检测到的病毒的数据。

传统的可以导致计算机系统或甚至整个计算机网络中出现问题的恶意攻击、入侵或不希望看到的处理的其他示例包括病毒攻击、蠕虫攻击、特洛伊木马攻击、拒绝服务攻击、缓冲区溢出操作、畸形应用数据的执行和恶意移动代码的执行。病毒攻击、蠕虫攻击和特洛伊木马攻击是彼此的变体，它们一般涉及用户通常不知晓其存在的程序的执行，该程序执行某些不希望看到的处理操作以损害计算机的正常操作。拒绝服务攻击操作提供从很多不同的计算机系统发出的故意的分组同时阻塞(例如很多连接尝试)到一个或多个目标计算机系统(例如web站点)，以故意导致目标计算机的处理能力过载，从而导致目标计算机提供的服务或业务功能中断。拒绝服务攻击还可能企图摧毁目标机器(而不仅仅是消耗资源)。缓冲区溢出攻击发生在程序不对存储在软件的内部数据结构中的数据提供适当的检查，从而导致覆写存储器周围区域时。基于缓冲区溢出的攻击可能允许攻击者在目标系统上执行任意代码，以调用特权访问、毁坏数据或执行其他不希望看到的功能。畸形应用数据攻击可能导致应用包含这样的代码段，如果该代码段被执行，则会提供对在其他情况下对应用而言保持私密的资源的访问。这些攻击由于应用的不正确执行(例如通过无法提供适当的数据有效性检查或者允许数据流解析差错等等)而可以暴露出脆弱性。

很多传统的用于攻击计算机系统的恶意程序和机制(例如病毒和蠕虫)包括将它们自身重新分发到计算机网络中的其他计算机系统或设备以使得多个计算机受到感染并经历上述恶意处理行为的能力。某些防止恶意程序重新分发的传统尝试包括在联网的计算机系统的不同部分之间的防火墙或网关中实现诸如病毒检测软件之类的恶意程序检测机制，以便停止恶意程序向子网的传播。

发明内容

当前用于向计算机和计算机网络提供安全性的机制存在多个缺陷。本发明的实施例提供了多个这些传统系统所不具备的优点来避免这些缺陷。具体而言，用于防止计算机系统遭受恶意攻击的传统系统(例如病毒检测软件)严格依赖于周期性地远程接收允许传统的安全性软件识别和隔离恶意程序的信息(例如病毒定义)的能力。很多最常见的传统形式的安全性软件(例如病毒定义程序)依赖于从由安全性软件供应商维护的通过因特网访问的中央服务器获得周期性的病毒定义更新。结果，最近的病毒定义更新只反映出最近已经检测出的并且已经被维护和分发病毒定义文件的供应商打上了指纹并被插入到病毒定义文件中的那些病毒。