[发明专利]保护连接至网络的计算机系统不受攻击的系统和方法

说明书

本申请是申请日为2005年2月16日申请号为第200510052102.9号发明名称为“保护连接至网络的计算机系统不受攻击的系统和方法”的中国专利申请的分案申请。

相关申请交叉参考

本申请要求2004年2月13日提交的美国临时申请号60/544,884的权益。

技术领域

本发明涉及用于保护连接至网络的计算设备不受攻击的计算机系统和计算机实施的方法。

背景技术

随着越来越多的计算机以及其它计算设备通过诸如因特网之类的各种网络而互相连接，计算机安全变得越来越重要，尤其是防止通过网络或信息流发出的入侵或攻击。如本领域的技术人员将认识到的那样，这些攻击以许多不同的方式出现，包括但不特定地限于：计算机病毒、计算机蠕虫、系统组件替换、决绝服务攻击、甚至是对合法的计算机系统特征的误用/滥用，全部这些都出于非法目的而利用了一个或多个计算机系统弱点。虽然本领域的技术人员将认识到各种计算机攻击在技术上是彼此不同的，但是出于本发明的目的和出于简化说明的目的，在下文中将把所有这些攻击统称为计算机漏洞利用(exploit)，或更为简单地称为漏洞利用。

当计算机系统受到计算机漏洞利用的攻击或“影响”时，不利的结果是各种各样的，包括禁用系统设备；擦除或破坏固件、应用程序或数据文件；将可能敏感的数据发送到网络上的另一位置；关闭计算机系统；或引起计算机系统崩溃。许多计算机漏洞利用中(尽管不是全部)还有另一个有害的方面是使用受感染的计算机系统来感染其它计算机。

图1是说明示例性联网环境100的直观图，通常通过该联网环境来散布计算机漏洞利用。如图1所示，典型的示例性联网环境100包括通过诸如内联网之类的通信网络110或通过包含通常称为因特网的全球TCP/工P网络的更大的通信网络而互相连接的多个计算机102-108。出于无论什么原因，诸如计算机104之类的连接至网络110的计算机上的怀有恶意的一方开发了计算机漏洞利用112，并将其释放到网络上。如箭头114所示，诸如计算机104之类的一个或多个计算机接收被释放的计算机漏洞利用112并被感染。如对于许多计算机漏洞利用来说是典型的那样，一旦被感染，如箭头116所示，计算机104就被用于感染诸如计算机106之类的其它计算机，而后者随后又如箭头118所示感染另外的计算机。显然，由于当代计算机网络的速度和作用范围，计算机漏洞利用112能够以指数级的速率“增长”，并迅速变得局部流行，并迅速增长为全球计算机大流行。

对计算机漏洞利用，尤其是对计算机病毒和蠕虫的传统防御措施是防病毒软件。一般而言，防病毒软件对通过网络而到达的进入数据进行扫描，查找与已知的计算机漏洞利用相关联的可识别的模式。一旦检测到与已知计算机漏洞利用相关联的模式，防病毒软件可通过将计算机病毒从受感染的数据中删除，对数据进行隔离，或删除“受感染的”进入数据，来做出响应。不幸的是，防病毒软件一般对“已知的”、可识别的计算机漏洞利用起作用。通常，这是通过将数据中的模式与被称为是漏洞利用的“特征印记”(signature)的特征进行匹配来完成的。这种漏洞利用检测模型中的核心缺陷之一是，未知的计算机漏洞利用可能在网络中以未受抑制的方式进行传播，直到计算机防病毒软件得到更新来识别并响应于该新的计算机漏洞利用为止。

随着防病毒软件在识别成千上万的已知计算机漏洞利用中变得越来越完善和有效，同样，计算机漏洞利用也变得越来越复杂。例如，许多当前的计算机漏洞利用是多形态的，或者换句话说不具有可识别的模式或“特征印记”，而通过所述可识别的模式或特征印记可由防病毒软件在它们的传输过程中将它们识别出。这些多形态的漏洞利用经常是防病毒软件不可识别的，因为它们在传播到另一个计算机系统之前已经对它们自身做出了修改。

当今在防止计算机漏洞利用方面较为通常的另一个防御措施是硬件或软件网络防火墙。如本领域的技术人员将认识到的那样，防火墙是一种安全系统，它通过对内部网络和外部网络之间的信息流进行控制来保护内部网络不受到源自外部网络的未经授权的访问。源自防火墙之外的所有通信都首先发送到代理(proxy)，代理对通信进行检查，并确定将通信转送到计划目标是否是安全或可允许的。不幸的是，对防火墙进行适当的配置以使得可允许的网络行为不受禁止而不允许的网络行为被拒绝，这是复杂而棘手的任务。除了在技术上复杂之外，防火墙配置还难于管理。当不适当地配置了防火墙时，可能不经意地关闭可允许的网络通信而允许不可允许的网络通信通过，而损害内部网络。出于这种原因，一般不经常对防火墙做出改变，而仅仅由那些技术网络设计方面精通的人来进行改变。