[发明专利]防止恶意软件下载

说明书

响应于用于下载资源的一部分的字节服务请求，本技术的示例实施例确定：资源先前已被确定为包括恶意软件。此外，修改字节服务请求以请求下载所有资源。另外，使用经修改的字节服务请求来请求下载所有资源。

背景技术

恶意软件是指各种危险的或其他不期望的软件，包括病毒、勒索软件、间谍软件和其他恶意应用程序。恶意软件可以采取可以下载到计算机上并安装在计算机上的可执行文件、脚本或其他受感染软件的形式。在许多情况下，防火墙被用来检测恶意软件，并在恶意软件能够产生任何伤害先前防止其安装。具体来说，在恶意软件完成先前，防火墙停止下载恶意软件感染的文件。然而，在一些场景中，用户可以请求下载完成。如果用户做出这样的请求，防火墙可能在随后的下载中不检测恶意软件，由此感染请求设备。

附图说明

在下面的详细描述中并参考附图描述了某些示例实施例，其中：

图1是用于防止恶意软件下载的示例系统的框图；

图2是示出防止恶意软件下载的示例方法的过程流程图；

图3是示出防止恶意软件下载的示例方法的过程流程图；

图4是用于防止恶意软件下载的示例系统的框图；

图5是用于防止恶意软件下载的示例系统的框图；

图6是示出存储用于防止恶意软件下载的代码的示例非暂时性有形计算机可读介质的框图；以及

图7是示出存储用于防止恶意软件下载的代码的示例非暂时性有形计算机可读介质的框图。

具体实施方式

典型地，可以使用基于流的扫描、基于文件的扫描或高级启发式来检测恶意软件。基于流的扫描是如下过程：在被请求的资源被下载时，扫描该资源的每一个数据包。资源可以是文件或其他内容，例如可下载文件和网页。基于文件的扫描是如下过程：一旦下载文件，则扫描整个文件。高级启发式是指如下过程：使用各种决策规则，确定系统对特定威胁的敏感性。通过这种方法，可以检测到许多先前未检测到的病毒。一旦检测到恶意软件，就丢弃下载的数据包。此外，丢弃或隔离通过相同网络连接发送的后续数据包。

对于基于流的扫描和基于文件的扫描，可以使用签名匹配、计算关于完整文件的哈希值、或者这两者来检测恶意软件。这可以用硬件或软件来完成。在签名匹配中，预先定义已知恶意软件的签名列表，并扫描接收到的数据包或文件用于匹配预定义列表中的任何签名。在诸如MD5哈希计算等哈希计算中，维护MD5哈希条目列表用于已知被恶意软件感染的资源。然后计算接收到的数据包或文件的MD5哈希值，并对维护的列表执行哈希查找，以确定接收到的数据包或文件是否被恶意软件感染。

在基于流的扫描中，签名匹配和增量MD5哈希计算是以内联方式进行的。在基于文件的扫描中，签名匹配和MD5哈希计算是在完整文件中进行的。在下载的资源被发现是干净的之前，包含资源的完整文件未设置为请求下载的设备。此外，在这些方法检测到恶意软件时，接收到的数据包被丢弃，并且请求设备通常不知道在所请求的资源中存在恶意软件。网络连接随后被终止。结果是，可能的是请求设备使用超文本传输协议(HTTP)字节服务特征从其接收到的最后一个字节重新请求相同的资源。HTTP字节服务特征使设备能够从先前尝试下载中接收到的最后一个数据包开始完成下载。然后，使用在第一次尝试下载上下载的数据包以及在后续请求上下载的数据包来重新组装完整资源。由于在后续请求上下载剩余的数据包，在新的连接上，基于流的扫描方法或者基于代理的扫描方法都不能检测到恶意软件。因此，可以允许受感染资源通过请求设备。

然而，在所要求的主题的实施例中，为被确定为受恶意软件感染的所有资源维护哈希查找表。然后，拦截所有HTTP字节服务请求，以确定HTTP字节服务请求是否正试图访问先前已被确定包含恶意软件的资源。如果是这样，则修改HTTP字节服务请求，以便下载包含资源的整个文件，而不是仅下载剩余的数据包。以这种方式，在下载完整资源时，恶意软件可能再次被检测到。