蠕蟲遏制制造技術

一種遏制系統可以包括生成和／或發送一警報，作為安全共享關于已檢測到的蠕蟲的知識的基礎。警報可以含有證明給定程序含有易受攻擊性的信息。該警報可以是自證明的，這樣其真實性可以由一計算系統獨立地驗證。

【技術實現步驟摘要】

本專利技術一般涉及計算機安全，尤其涉及檢測、警告和/或減少網絡化計算機系統中蠕蟲的傳播。
技術實現思路
下文為向讀者提供基本的理解提出了本專利技術的簡化概述。該概述并非本專利技術的廣泛綜述，且沒有標識本專利技術關鍵或決定性元素，也沒有描述本專利技術的范圍。它唯一的目的是以簡化的形式提供此處所揭示的某些概念，作為后文提供的更詳細描述的序言。自繁殖程序，也被稱為蠕蟲，威脅連接至因特網的計算機。蠕蟲惡意利用了諸如流行的軟件包等程序中的易受攻擊性來獲取對被感染的機器的控制。這樣，該問題的一個長期的解決方法是構建沒有易受攻擊性的軟件。然而，直到那時以前，軟件會一直含有易受攻擊性，并且可以采用蠕蟲遏制系統來降低蠕蟲的影響。因為蠕蟲能夠迅速地傳播，遏制系統可以被自動化以快速和/或有效地檢測和響應，并且可以向網絡中的另一個計算機系統節點分發警報。遏制系統的一方面可以包括監測系統，該監測系統能夠通過包括動態流分析的多種技術檢測一大類攻擊。遏制系統的另一方面可以包括生成和/或發送警報，作為安全共享關于已檢測到的蠕蟲的知識的基礎。警報可以包含證明一個給定的程序含有易受攻擊性的信息。警報可以是自證明的，這樣它的真實性可以由計算機系統獨立地驗證。遏制系統可以包括能復原的和/或自組織的協議，以用及時的方式向沒有被感染的節點傳播警報，甚至在蠕蟲爆發過程中受到劇烈的攻擊時。遏制系統可以包括一系統體系結構，它使得大量互不信任的計算機能夠在遏制蠕蟲的任務中相互合作，即使在蠕蟲正在迅速傳播并惡意利用軟件包中未知的易受攻擊性時。遏制系統可以包括一保護系統，它可以保護計算設備免遭將來的攻擊。當結合附圖考慮參考下述詳細描述時，眾多附加特征能夠被更容易的理解和更好地理解。附圖說明按照附圖閱讀下述詳細描述，可以更好地理解本專利技術，附圖中圖1是實現網絡系統中一節點的示例性計算系統的示意圖；圖2是一示例性計算網絡的示意圖；圖3是一示例性遏制系統的數據流圖；圖4是與一示例性存儲器位置污染數據存儲相關聯的示例性頁污染數據存儲的表；圖5是另一示例性頁污染數據存儲的表；圖6是一檢測蠕蟲攻擊和/或程序易受攻擊性的示例性方法的流程圖；圖7是一示例性警報的示意圖；圖8是一證明自證明警報的示例性方法的流程圖；圖9是一示例性抽象機器的代碼清單；圖10是一示例性安全條件的條件清單；圖11是易受攻擊指令的指令清單；圖12是一示例性對等網絡的示意圖；圖13是示出在一示例性對等網絡中在給定一小部分檢測模塊時一小部分存活節點的示例性圖表。圖14是一示例性寄存器污染數據存儲的表；圖15是易受攻擊指令的指令清單；圖16是一生成自證明警報的示例性方法的流程圖；圖17是對任意跳轉至一可執行緩沖區的易受攻擊性的示例性源代碼清單；以及圖18是一示例性污染數據存儲的表。附圖中，相同的參考標號用來指相同的部分。具體實施例方式示例性操作環境圖1和下列討論意在對其中可實現蠕蟲遏制系統的所有或一部分部的合適的計算機環境提供一簡短的、概括的描述。圖1中的操作環境僅僅是合適的操作環境的一個示例，并不意欲對該操作環境的使用范圍或功能提出任何限制。其它可適于用作此處所述的蠕蟲遏制系統的公知的計算機系統、環境和/或配置包括，但不限于，個人計算機、手持或膝上型設備、多處理器系統、基于微處理器的系統、可編程消費者電子產品、網絡個人計算機、服務器計算機、小型機、大型機、包含上述系統或設備中的任一個的分布式計算機環境等。盡管并非必需，蠕蟲遏制系統將在諸如由一臺或多臺計算機或其他設備執行的程序模塊等計算機可執行指令的通用語境下描述。一般地，程序模塊包括例程、程序、對象、組件、數據結構等，它們執行特定的任務或實現特定的抽象數據類型。通常，程序模塊的功能可以按在多種環境下所要求的結合或分布。在分布式環境中，程序模塊可以位于包括存儲器存儲設備在內的本地和遠程計算機存儲介質中。參考圖1，用于實現蠕蟲遏制系統的示例性系統包括一計算設備，諸如計算設備100。在其最基本配置中，計算設備100通常包括至少一個處理器單元102和存儲器104。取決于計算設備的確切配置和類型，存儲器104可以是易失性的(諸如RAM)、非易失性的(諸如ROM、閃存等)或兩者的結合。該最基本配置在圖1中由虛線106示出。此外，設備100還可以包括另外的特征和/或功能。例如，設備100還可包括另外的存儲(例如，可移動的和/或不可移動的)，包括，但不限于，磁盤、光盤或磁帶。這些另外的存儲在圖1中由可移動存儲108和不可移動存儲110示出。計算機存儲介質包括以任何方法或技術實現的用于諸如計算機可讀指令、數據結構、程序模塊或其它數據的信息的存儲的易失性的和非易失性的、可移動的和不可移動的介質。存儲器104、可移動存儲108、和不可移動存儲110都是計算機存儲介質的示例。計算機存儲介質包括，但并不限于，RAM、ROM、EEPROM、閃存或其它存儲器技術、CD-ROM、數字多功能盤(DVD)或其它光學存儲、磁帶盒、磁帶、磁盤存儲或其它磁性存儲設備、或能用于存儲所需信息且可以由設備100訪問的任何其它介質。任何這樣的計算機存儲介質可以是設備100的一部分。設備100還可以包含通信連接112，它允許設備100與諸如計算系統網絡211中的其它節點等其它計算設備通信。通信連接112是通信介質的一個示例。通信介質通常具體化為諸如載波或其它傳輸機制等已調制數據信號中的計算機可讀指令、數據結構、程序模塊或其它數據，且包含任何信息傳遞介質。術語“已調制數據信號”指的是一種信號，其一個或多個特征以在信號中編碼信息的方式被設定或更改。作為示例，而非限制，通信介質包括有線介質，諸如有線網絡或直接線連接，和無線介質，諸如聲學、射頻、紅外線和其它無線介質。在這里使用的術語計算機可讀介質包括存儲介質和通信介質兩者。設備100還可以含有輸入設備114，諸如鍵盤、鼠標、筆、語音輸入設備、觸摸式輸入設備、激光距離探測器、紅外攝像機、視頻輸入設備和/或其它輸入設備。還可以包括諸如顯示器、揚聲器、打印機和/或其它輸出設備的輸出設備116。在下文的描述中，本專利技術參考由一臺或多臺計算設備實現的動作和操作的符號表示來描述，除非另有說明。由此，可以理解，這樣的動作和操作，有時被稱為由計算機執行的，包括由計算設備的處理單元對以結構化格式表示數據的電信號的處理。該處理變換了數據或在計算設備的存儲器系統中的位置上維護它們，從而以一種本領域技術人員都理解的方式重新配置或改變了該設備的操作。雖然下列描述已在前文中描述，但它并不意味著限制，如本領域的技術人員可以理解的，在下文中描述的各種動作和操作也可用硬件實現。例如，通過使用本領域技術人員所知的常規技術，軟件指令中的全部或一部分可以由諸如DSP、可編程邏輯陣列等專用電路來實現。維護數據的數據結構是存儲器的物理位置，它具有由數據格式所定義的特定屬性。本領域的技術人員可以認識到，用來存儲程序指令的存儲設備能夠分布在網絡上。例如，遠程計算機可以存儲被描述為軟件的進程的一示例。本地或終端計算機可以訪問該遠程計算機并下載一部分或全部軟件來運行程序。作為選擇，本地計算機可以下載所需的部分軟件，或通過在本地終端上執行一些軟件指令且在遠程計算機上(或計算機網絡中)執行一些軟件指令來分布式地處理。其中可本文檔來自技高網...

【技術保護點】
一種方法，包括：　　　　ａ）在一接收計算設備上接收一含有程序標識符和事件列表的自證明警報，所述程序標識符標識了含有所檢測到的易受攻擊性的程序，且所述事件列表包含示出所檢測到的易受攻擊性的一個或多個非確定性事件；　　　　ｂ）確定所述接收計算設備是否包括含有所檢測到的易受攻擊性的程序；以及　　　　ｃ）驗證所述事件列表示出了所檢測到的易受攻擊性。

【技術特征摘要】
...

【專利技術屬性】
技術研發人員：M科斯塔，M卡斯特羅，A羅斯特隆，J克勞克羅福特，
申請(專利權)人：微軟公司，
類型：發明
國別省市：US[美國]