[发明专利]防御网络资源上的恶意软件

说明书

技术领域

本发明涉及用于防御网络资源上的恶意软件的保护方法，更具体地，涉及网络资源的恶意软件扫描以及网络资源上的恶意软件组件的识别。

背景技术

病毒和恶意软件的检测已经成为贯穿个人计算机时代需要考虑的事情。随着例如互联网等通信网络的增长和数据交换的日益增加，包括用于通信的电子邮件的使用的迅速增长，计算机通过通信或文件交换的传染成为一个日益重要的考虑因素。传染采取各种形式，但是一般都与计算机病毒、木马程序或其他形式的恶意代码（即，恶意软件）相关。

近来，以电子邮件为媒介导致的病毒攻击事件，无论在传播的速度还是破坏的程度上其影响都相当大，并且互联网服务提供商（ISP）和企业遭受着服务的问题以及电子邮件和网络能力的损失。在许多情况下，试图充分地防止文件交换或以电子邮件为媒介导致的传染给计算机用户带来严重的不便。

网络服务的普及增大了恶意软件对网络客户端的相关威胁。随着诸如AJAX、JAVA、PHP、FLASH等网络技术的发展，利用各种媒体内容提供更多操作性以增强其在用户当中的吸引力以及受欢迎度的网站变得更易于访问。随着已知为Web 2.0的用于设计网络系统的方法的引入，用户已经不仅能够从互联网接收信息，而且还能够将其自己的数据填入网站。

许多互联网用户在社交网络内拥有其自己的博客（blog）、网页，在其中他们可以与其他用户分享消息或数据。除文本消息发送（messaging）之外，现代技术也支持诸如照片、视频文件、交互式文档、动画和应用软件这类媒体文件的传输。

用户对网站创建和修改的积极参与致使网站内容快速发展和变化。这样的网站的一般示例是新闻速报器（news ticker），其中，带有与新闻报道、照片或视频的链接的新条目以每分钟为间隔并且有时甚至更频繁地出现。另一示例是网络论坛，其中，用户的数量可以超过数千，并且每一秒都会有新消息出现。

网络资源的受欢迎度持续增长令该环境对于在互联网上传播恶意程序的黑客和病毒作者更具有吸引力。诸如iframe、exploit等恶意脚本会被添加到上传到网站上的文件中。这样，文件交换、论坛、博客、邮件服务器的网络接口以及任何其他资源都会受到传染。

传染会通过任何诸如通常的将要由用户填写的网站表格这样的界面而造成危害（在此情况下，传染大多数是由内部人员或者窃得密码的入侵者人工进行的）。破坏者会利用内容管理系统或文件中的缺陷而经由FTP访问网站。资源列表不限于http传输协议而是还包括ftp资源和其他服务器。

一般而言，ftp服务器被用作对网站进行远程管理的工具，包括编辑和上传脚本。然而，与ftp服务器的连接提供了测试网站所有情况而不只是用户计算机上正在执行的情况的能力。经由FTP访问网站文件允许安全系统分析源脚本和原始网页，而经由http访问允许仅检验脚本的结果和/或网络服务器处理网站文件的结果。

对用户账户的未授权访问以及代表此用户上传恶意程序会由于此人在其他用户当中的信用度而导致恶意软件快速传播。当面对平常网站时，用户的注意力会由于常规环境而随着时间的推移消退。因此，利用社交网络和“钓鱼网站”（phishing）的事件正不断增加。

除公共互联网服务之外，还存在一些不能从网络外部访问的本地网站（企业、局域网、用户组网站等）。这使得通过反病毒服务或实验室对给定资源的恶意软件扫描存在重大问题。

图1中示出了用户计算机系统与网络资源之间交互的一般方案。网络服务器是执行服务器（即，计算机系统）的功能并且在其上加以实现的应用软件。除网络服务器110或ftp服务器120之外，还可以安装其他服务器应用软件。例如，邮件服务器、代理服务器、IRC服务器等。为了与这些服务器接口，客户（即，用户）计算机140必须安装特殊的应用软件，例如，浏览器130、文件管理器150等。

客户端140使用所期望的网页或者其他资源的URL地址来访问网络服务器100。每个服务器应用软件与客户机通过不同协议交互。用于客户端140与服务器100之间的数据传输的主要协议为HTTP（HTTPS）、（S）FTP、POP3、SMTP、IMAP4等。

大多数服务器以下列方式支持验证：将授权数据从客户端140传输至服务器100，在其中进行授权。然后，基于授予客户端140的权限而将该数据从服务器100发送到客户端140。