用于限制到计算机网络中有害主机的路径的系统及方法技术方案

用于对计算机网络上有害内容的可访问性加以限制的系统及方法。从接入到计算机网络的多个不同入口点，探测网络路径以详细检查多个受调查主机。检查在受调查主机上有害内容的存在。对于为恶意主机的任何受调查主机，基于网络路径的探测，识别具有到那些恶意主机的连接器的居间主机。将访问限制与居间主机的每一个相关联，其可用于阻止或限制对居间主机的访问，而居间主机自身可包含或可不包含有害内容。

【技术实现步骤摘要】

本专利技术总体上涉及信息处理和安全，特别涉及安排可访问性限制以提供保护来防止恶意软件经由计算机网络的传播。
技术介绍
现今的计算机反病毒产业面临着来自于计算机病毒和其他此类恶意软件的开发者的不断演变的对抗。新的恶意软件发展为绕过用于检测恶意程序或黑客活动的保护方法、技术和系统。而且，也会攻击保护机制本身以妨碍或阻止它们的保护功能。为了扩散恶意软件而损害大众媒体内容网站的黑客事件已有过报道。例如，攻击者获取媒体内容网站管理员的访问认证信息(例如，登录，口令)，或者甚至仅仅获取具有该网站编辑权限的使用者的这些信息，就能获得重复改变该网站内容的能力。这些改变可以在访问者经常光顾的网站上置入恶意内容，或者可以使访问者不知不觉间被重定向到另一网站，而恶意软件将会从该另一网站经由文件传输或者活动内容，诸如习惯上被称为网址嫁接(Pharming)的浏览器可执行代码，向这些访问者扩散。在一小段时间之后，比如两小时，攻击者可以将受损害网站的内容恢复为其原始状态，进而隐藏其踪迹。事后，对于安全分析来说重现攻击矢量变为不可能。计算机用户经常在自己的本地机器上具有反病毒或者因特网安全软件，其可能将在其他方面合法的网站自动分类为网络钓鱼(phishing)或者其他恶意或受损害主机，并将该站点的因特网地址加入到禁止站点列表，这一事实使情况进一步的复杂化。尽管此类安全软件会迅速将明显恶意的或者受损害的主机添加到禁止站点列表，但是，一旦合法站点的常用功能已被恢复，一般没有方法移除该站点。即使将该站点从禁止站点列表中手动排除，但是该站点可能会由于攻击者再次使其内容发生改变而自动地置入到列表上。因此，可以看出，对受劫持网站的防范产生了处理移动目标的问题。针对阻止恶意站点的常规保护机制，其能力倾向于既过于狭窄(under-1nclusive)又过于宽泛(over-1nclusive),以有效保护用户。常规保护过于狭窄是因为，它倾向于将包含恶意软件的站点作为目标加以阻止，这些站点的地址和URL能迅速被改变，进而在暴露于恶意软件与开始阻止恶意站点之间导致延迟时间窗口。同时，常规保护过于宽泛是因为，会保持对一般来说有用的和已经恢复到其正常的无恶意软件(malware-free )状态的站点的阻止，从而使可能的访问者无法访问那些站点。至少由于以上原因，需要提供对网络上的钓鱼或者相关恶意软件扩散技术的实际防范的解决方案，以克服当前采用的常规方法所造成的一些缺点。
技术实现思路
本专利技术的一方面针对一种用于对计算机网络上有害内容的可访问性加以限制的自动化的计算机实现方法，所述计算机网络包括主机以及主机之间的连接器。所述方法通过在程序控制下运行的至少一台计算机的一个或多个系统来执行。根据所述方法，从接入到所述计算机网络的多个不同入口点，探测网络路径以详细检查多个受调查主机。检查在所述受调查主机上有害内容的存在。对于为恶意主机的任一所述受调查主机，基于所述网络路径的探测，识别具有到那些恶意主机的连接器的居间主机。将访问限制与所述居间主机的每一个相关联，这可以用于阻止或限制对所述居间主机的访问，而所述居间主机本身可以包含或可以不包含有害内容。在某些实施例中，对于所述居间主机的每一个，确定其到所述恶意主机中的至少一个的相应连接器的普遍性程度，并且基于所述相应连接器的所述普遍性程度来实施与所述居间主机的每一个相关联的限制。在相关的实施例中，响应于与第一居间节点相对应的所述相应连接器的所述普遍性程度低于预定值，减少与所述第一述居间节点相关联的所述限制。在本专利技术的另一方面，一种用于对计算机网络上有害内容的可访问性加以限制的系统包括数据搜集系统、分析模块和安全配置模块。所述数据搜集系统包括:浏览器模块和感染检测器模块，所述浏览器模块经配置以从接入到所述计算机网络的多个不同入口点，探测到多个受调查主机的网络路径，所述感染检测器模块经配置以对所述受调查主机的每一个检查有害内容的存在。所述分析模块经配置以识别具有到为由所述感染检测器模块确定为包含有害内容的恶意主机的受调查主机的连接器的居间主机，，且所述分析模块进一步经配置以将访问限制与所述居间主机的每一个相关联。所述安全配置模块经配置以为保护机制提供主机限制集，所述主机限制集基于所述居间主机与其相应访问限制的关联，使得所述保护机制被配置为实现所述访问限制以限制至少对所述居间主机的访问。在各实施例中，所述系统可被安排为集中式部分和分布式部分，其中所述分布式部分包括所述数据搜集系统，所述集中式部分包括所述分析模块。所述系统还可包括作为客户端侧计算机系统或本地网络设备的一部分的保护机制本身。在本专利技术的又一方面，一种可配置为对计算机网络上有害内容的可访问性加以限制的计算机系统包括保护机制，该保护机制可配置为实施所述访问限制，以基于主机限制集通过所述计算机系统限制对所述计算机网络上某些主机的访问。所述保护机制适于从安全配置提供商接收主机限制集更新，所述安全配置提供商根据过程生成每一主机限制集，所述过程包括:从接入到所述计算机网络的多个不同入口点，探测到多个受调查主机的网络路径；对所述受调查主机上有害内容的存在进行检查；对于为作为所述检查的结果被确定包含有害内容的恶意主机的任何所述受调查主机，基于对所述网络路径的探测来识别具有到那些恶意主机的连接器的居间主机；将访问限制与所述居间主机的每一个相关联；以及基于至少一个访问限制与多个居间主机的关联来生成所述主机限制集。本专利技术的多个方面对于上面所概括的问题有利地提供实际解决方案，并且克服了处理在因特网和其他计算机网络上的网址嫁接攻击和其他被用来散布恶意内容其他技术的一些其他缺点。附图说明结合附图考虑本专利技术各个实施例的如下详细描述，可以更加完整的理解本专利技术。图1为示出了示例性通用计算机系统的框图，根据本专利技术实施例的一个或多个功能模块可在该通用计算机系统上实现；图2为示出了根据一实施例的，用于分析网络和防范客户访问该网络上恶意内容的系统的功能模块的框图；图3和图4示出了根据本专利技术实施例的，对从一网络入口点到特定主机的路由的示范性确定；图5示出了包含对应于特定IP地址的注册信息的WHOIS搜索结果的示例；图6为示出了在图2中被更一般性所描述的分析模块的一示例性实施例的框图；图7为根据网络图(network map)形式的一实施例的图(graph)的示例性可视化示例；图8为显示根据一实施例的，主机间的链接和自动重定向的图的可视化描述的示意图；图9为示出了根据一实施例的，递归地阻止居间主机的示例性过程的流程图；图10为示出了根据本专利技术一实施例的，所采用的分布式模型的示范性安排的框图，在所述分布式模型中，专门代理运行在参与的计算机系统或网络设备上，以预先筛选网络主机。尽管本专利技术可进行各种修改和替代变形，其细节已经通过图中的示例的方式示出并将详细加以描述。但是，应理解，其目的并不是为了将本专利技术限定于所描述的实施例。相反，其目的是覆盖落入如随附权利要求所提定义的本专利技术精神和范围之内的所有的修改、等同和替代。具体实施例方式本专利技术的多个方面针对识别计算机网络中的居间(intermediary)主机,诸如,例如恶意软件通过其进行传播的万维网上的网站。如本文所使用的，“主机”一词指在网络上的可寻址设备，诸如本文档来自技高网...

【技术保护点】
一种用于对计算机网络上有害内容的可访问性加以限制的自动化的计算机实现方法，所述计算机网络包括主机和所述主机之间的连接器，所述方法包括：通过在程序控制下运行的至少一台计算机的系统，从接入到所述计算机网络的多个不同入口点，探测到多个受调查主机的网络路径；通过所述系统检查在所述受调查主机上有害内容的存在；对于为作为所述检查的结果被确定包含有害内容的恶意主机的任何所述受调查主机，基于所述网络路径的所述探测，通过所述系统识别具有到那些恶意主机的连接器的居间主机；以及通过所述系统，将访问限制与所述居间主机的每一个相关联。

【技术特征摘要】
2011.10.03 US 13/251,2891.一种用于对计算机网络上有害内容的可访问性加以限制的自动化的计算机实现方法，所述计算机网络包括主机和所述主机之间的连接器，所述方法包括: 通过在程序控制下运行的至少一台计算机的系统，从接入到所述计算机网络的多个不同入口点，探测到多个受调查主机的网络路径； 通过所述系统检查在所述受调查主机上有害内容的存在； 对于为作为所述检查的结果被确定包含有害内容的恶意主机的任何所述受调查主机，基于所述网络路径的所述探测，通过所述系统识别具有到那些恶意主机的连接器的居间主机；以及 通过所述系统，将访问限制与所述居间主机的每一个相关联。2.如权利要求1所述的方法，进一步包括: 对于所述居间主机的每一个，确定其到所述恶意主机中的至少一个的相应连接器的普遍性程度；以及 其中，基于所述相应连接 器的所述普遍性程度，将所述限制与所述居间主机的每一个进行关联。3.如权利要求2所述的方法，进一步包括: 响应于与第一居间节点相对应的所述相应连接器的所述普遍性程度低于预定值，减少与所述第一居间节点相关联的所述限制。4.如权利要求2所述的方法，其中，确定与所述恶意主机的每一个相对应的所述连接器的所述普遍性程度包括:存储经由相应居间主机访问所述恶意主机的每一个的历史记录，以及，基于所述历史记录，确定使用每一连接器到该恶意主机以访问该恶意主机的经常性程度。5.如权利要求1所述的方法，进一步包括: 基于所述网络路径的所述探测的结果形成图，所述图表现所述网络已探测部分的拓扑，包括:在所述受调查主机和位于沿包括所述受调查主机的已探测路径上的居间主机之间的连接器；所述受调查主机中哪些是恶意主机的标示；以及在与所述恶意主机相对应的路径中的连接器的普遍性的标示。6.如权利要求1所述的方法，进一步包括: 对于所述恶意主机的每一个，确定所述主机的所述有害内容的恶性程度；以及 其中，基于所述恶意主机中的至少一个的所述有害内容的所述恶性程度，将所述限制与具有到所述恶意主机中的所述至少一个的连接器的所述居间主机的每一个相关联。7.如权利要求1所述的方法，其中，将所述限制与具有到所述恶意主机中的至少一个的连接器的所述居间主机的每一个相关联包括:将所述限制与至少一个不包含有害内容的居间主机相关联。8.如权利要求1所述的方法，其中从多个不同网络入口点对网络路径的所述探测包括:探测到共同受调查主机的多个不同路径。9.如权利要求1所述的方法，进一步包括: 向保护机制提供更新，所述保护机制包括与具有到所述恶意主机中的至少一个的连接器的所述居间主机的每一个相关联的所述访问限制集，其中所述更...

【专利技术属性】
技术研发人员：谢尔盖·Y·戈洛瓦诺夫，
申请(专利权)人：卡巴斯基实验室封闭式股份公司，
类型：发明
国别省市：