用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)和方法相關(guān)申請的交叉引用本申請涉及發(fā)明人為:RishiBhargava等人,2010年7月28日提交,題為“SYSTEMANDMETHODFORLOCALPROTECTIONAGAINSTMALICIOUSSOFTWARE”的序號為12/844892的共同未決的美國專利申請(代理檔案號No.04796.1052)。該申請的公開被認(rèn)為是一部分并在此通過引用將其全文并入。技術(shù)領(lǐng)域本公開一般涉及網(wǎng)絡(luò)安全領(lǐng)域,并且更具體而言,涉及針對惡意軟件的網(wǎng)絡(luò)級保護。
背景技術(shù):在當(dāng)今社會中,網(wǎng)絡(luò)安全領(lǐng)域變得越來越重要。因特網(wǎng)使得全世界的不同計算機網(wǎng)絡(luò)能夠互聯(lián)。不過,有效保護和維護穩(wěn)定計算機和系統(tǒng)的能力給部件制造商、系統(tǒng)設(shè)計者和網(wǎng)絡(luò)運營商呈現(xiàn)了顯著的障礙。由于惡意操作員所利用的不斷演進的策略系列,使得這種障礙甚至更加復(fù)雜。最近尤其讓人關(guān)注的是僵尸網(wǎng)絡(luò)(botnet),僵尸網(wǎng)絡(luò)可用于多種多樣的惡意目的。一旦惡意軟件程序文件(例如僵尸程序(bot))已經(jīng)感染了主計算機,惡意操作員可以從“命令和控制服務(wù)器”發(fā)出命令以控制僵尸程序??梢灾甘窘┦绦蛞詧?zhí)行任意數(shù)量的惡意動作,例如從主計算機發(fā)出垃圾郵件或惡意郵件,從與主計算機關(guān)聯(lián)的企業(yè)或個人竊取敏感信息,向其他主計算機傳播僵尸網(wǎng)絡(luò),和/或輔助分布式拒絕服務(wù)攻擊。此外,惡意操作員能夠通過命令和控制服務(wù)器向其他惡意操作員銷售僵尸網(wǎng)絡(luò)或以其他方式賦予對僵尸網(wǎng)絡(luò)的訪問,由此逐步擴大主計算機的利用。因此,為了任意數(shù)量的惡意目的,僵尸網(wǎng)絡(luò)為惡意操作員提供了強大方式以訪問其他計算機并操控那些計算機。安全專業(yè)人員需要開發(fā)新型工具以應(yīng)對允許惡意操作員利用計算機的這種手段。附圖說明為了提供對本公開及其特征和優(yōu)點的更完整理解,對結(jié)合附圖進行的以下描述做出參考,在附圖中同樣的附圖標(biāo)記代表同樣的部分,其中:圖1是示范性網(wǎng)絡(luò)環(huán)境的圖示表示,其中可以根據(jù)本公開來實施用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)的實施例;圖2是范例服務(wù)器的方框圖,其中可以根據(jù)本公開的實施例來實施系統(tǒng)的部件;圖3是范例計算裝置的示意圖,其中可以根據(jù)本公開的實施例來實施系統(tǒng)的部件;圖4是網(wǎng)絡(luò)環(huán)境中范例網(wǎng)絡(luò)保護裝置的方框圖,其中可以根據(jù)本公開的實施例來實施該系統(tǒng);圖5是簡化流程圖,示出了與根據(jù)本公開的系統(tǒng)的實施例相關(guān)聯(lián)的一系列范例步驟;圖6是簡化流程圖,示出了與根據(jù)本公開的實施例的圖5相關(guān)聯(lián)的信任確定流程的一系列范例步驟;圖7是簡化流程圖,示出了與根據(jù)本公開的實施例的圖5相關(guān)聯(lián)的信任確定流程的另一實施例的一系列范例步驟;圖8是簡化流程圖,示出了與根據(jù)本公開的系統(tǒng)其他實施例相關(guān)聯(lián)的一系列范例步驟;圖9是簡化流程圖,示出了與根據(jù)本公開的實施例的圖8相關(guān)聯(lián)的信任確定流程的范例步驟;圖10是簡化流程圖,示出了與根據(jù)本公開的實施例的圖8相關(guān)聯(lián)的另一信任確定流程的一系列范例步驟;圖11是簡化流程圖,示出了與根據(jù)本公開的實施例的系統(tǒng)相關(guān)聯(lián)的另一系列范例步驟;以及圖12是簡化流程圖,示出了與根據(jù)本公開的實施例的系統(tǒng)相關(guān)聯(lián)的又一系列范例步驟。具體實施方式概述一種范例實施方式中的方法包括接收與第一計算裝置上的網(wǎng)絡(luò)訪問企圖相關(guān)的信息,其中該信息識別與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的軟件程序文件。該方法還包括評估第一標(biāo)準(zhǔn)以確定是否許可與軟件程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量,以及創(chuàng)建約束規(guī)則以便如果不許可網(wǎng)絡(luò)流量則阻止網(wǎng)絡(luò)流量。第一標(biāo)準(zhǔn)包括軟件程序文件的信任狀態(tài)。在具體實施例中,該方法包括向網(wǎng)絡(luò)保護裝置推送約束規(guī)則,該網(wǎng)絡(luò)保護裝置截獲與軟件程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量并向網(wǎng)絡(luò)流量應(yīng)用約束規(guī)則。在更多具體實施例中,該方法包括:搜索識別值得信任的軟件程序文件的白名單以確定軟件程序文件的信任狀態(tài),其中如果軟件程序文件未包括在白名單中,則將軟件程序文件的信任狀態(tài)定義為不信任,并且如果軟件程序文件的信任狀態(tài)被定義為不信任,則不許可網(wǎng)絡(luò)流量。在又一具體實施例中,如果將與網(wǎng)絡(luò)流量相關(guān)聯(lián)的軟件程序文件的信任狀態(tài)定義為不信任,則可以記錄與網(wǎng)絡(luò)流量相關(guān)的事件數(shù)據(jù),并且可以發(fā)生這樣的記錄而取代阻止網(wǎng)絡(luò)流量,或者可以除阻止網(wǎng)絡(luò)流量之外發(fā)生記錄。范例實施例圖1是示范性網(wǎng)絡(luò)環(huán)境100的圖示表示,其中可以實施用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)的實施例。網(wǎng)絡(luò)環(huán)境100可以包括本地網(wǎng)絡(luò)110,具有通往廣域網(wǎng)(WAN)(例如因特網(wǎng)150)的電子連接。因特網(wǎng)150提供了對很多其他網(wǎng)絡(luò)、計算裝置和網(wǎng)絡(luò)服務(wù)的訪問。例如,全局服務(wù)器160可以提供數(shù)據(jù)庫165,其包含全局白名單,指出已經(jīng)被評估并確定為沒有惡意代碼的軟件程序文件。此外,惡意用戶,例如僵尸網(wǎng)絡(luò)操作員175,也可以訪問因特網(wǎng)150,連帶訪問命令和控制服務(wù)器170,命令和控制服務(wù)器170可以由僵尸網(wǎng)絡(luò)操作員175操控以發(fā)出并接下來控制惡意軟件(例如僵尸程序),其試圖感染網(wǎng)絡(luò),例如本地網(wǎng)絡(luò)110。本地網(wǎng)絡(luò)110可以包括可操作地連接到中央服務(wù)器130的主機120a,120b和120c、副服務(wù)器180和網(wǎng)絡(luò)保護裝置140。主機120a可以包括可執(zhí)行軟件122和本地保護部件124。為了容易參考,僅示出了主機120a具有這樣的部件,不過,將顯然的是,也可以為本地網(wǎng)絡(luò)110之內(nèi)的任何其他主機配置與圖1的主機120a中所示的類似的部件。可以在中央服務(wù)器130中提供中央保護部件135,并且可以在網(wǎng)絡(luò)保護裝置140中提供網(wǎng)絡(luò)級強制部件145。中央服務(wù)器130也可以訪問記錄事件數(shù)據(jù)庫131、中央不信任軟件清單132、內(nèi)部白名單133和進程流量映射數(shù)據(jù)庫134。在范例實施例中,主機120a上的本地保護部件124、中央服務(wù)器130上的中央保護部件135和網(wǎng)絡(luò)保護裝置140上的網(wǎng)絡(luò)級強制部件145可以合作以提供一種用于針對與惡意軟件相關(guān)聯(lián)的網(wǎng)絡(luò)流量的網(wǎng)絡(luò)級保護的系統(tǒng)。如在本說明書中在此使用的那樣,網(wǎng)絡(luò)流量意在表示網(wǎng)絡(luò)中的數(shù)據(jù)的意思,例如,從主機向任何網(wǎng)絡(luò)或其他計算機發(fā)送的電子分組(即外出網(wǎng)絡(luò)流量),以及從任何網(wǎng)絡(luò)或其他計算機向主機發(fā)送的電子分組(即進入網(wǎng)絡(luò)流量)。如果網(wǎng)絡(luò)保護裝置140包括與不信任程序文件相關(guān)聯(lián)的可適用約束規(guī)則,則可以由網(wǎng)絡(luò)保護裝置140阻止或以其他方式約束網(wǎng)絡(luò)流量。根據(jù)本公開的實施例,網(wǎng)絡(luò)保護裝置140可以在發(fā)現(xiàn)不信任程序文件時接收為網(wǎng)絡(luò)流量而創(chuàng)建的約束規(guī)則??梢园磁磕J酱_定或可以在網(wǎng)絡(luò)訪問企圖期間實時確定程序文件的信任狀態(tài)(即信任或不信任)。如本說明書中在這里使用的網(wǎng)絡(luò)訪問企圖意在包括主機上的任何進入或外出網(wǎng)絡(luò)訪問企圖(例如接受連接請求,做出連接請求,從網(wǎng)絡(luò)接收電子數(shù)據(jù),向網(wǎng)絡(luò)發(fā)送電子數(shù)據(jù))。在批量模式和實時模式兩者中,使用一種或多種信任評估技術(shù)(例如白名單比較、程序文件改變比較、黑名單比較等)來評估程序文件以確定每個程序文件的信任狀態(tài)被定義為信任還是不信任。在創(chuàng)建約束規(guī)則時也可以使用策略。這樣的策略可以包括,例如,僅允許訪問網(wǎng)絡(luò)地址的指定子網(wǎng),阻止所有進入和外出網(wǎng)絡(luò)流量,僅阻止進入或外出網(wǎng)絡(luò)流量,阻止所有本地網(wǎng)絡(luò)流量并允許因特網(wǎng)流量,等等。也可以記錄并匯總與不信任程序文件相關(guān)聯(lián)的任何網(wǎng)絡(luò)流量以用于報告。為了例示用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)的技術(shù)的目的,重要的是理解給定網(wǎng)絡(luò)之內(nèi)發(fā)生的活動??梢詫⒁韵禄A(chǔ)信息視為依據(jù),可以從其適當(dāng)解釋本公開。認(rèn)真提供這樣的信息僅為了解釋的目的,并且因此,不應(yīng)以任何方式解釋為限制本公開及其潛在應(yīng)用的寬廣范圍。此外,要認(rèn)識到,本公開的寬廣范圍意在引用“程序文件”、“軟件程序文件”和“可執(zhí)行軟件”以涵蓋包括可以在計算機上理解并處理的指令的任何軟件文件,例如可執(zhí)行文件、庫模塊、目標(biāo)文件、其他可執(zhí)行模塊、腳本文件、解釋器文件等。組織中使用以及由個人使用的典型網(wǎng)絡(luò)環(huán)境包括使用例如因特網(wǎng)與其他網(wǎng)絡(luò)進行電子通信的能力,以訪問連接到因特網(wǎng)的服務(wù)器上托管的網(wǎng)頁,發(fā)送或接收電子郵件(即email)消息,或與連接到因特網(wǎng)的終端用戶或服務(wù)器交換文件。惡意用戶一直在使用因特網(wǎng)開發(fā)新的手段以散布惡意軟件并獲得對機密信息的訪問。代表對計算機安全性越來越大威脅的手段常常包括僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)使用了客戶端-服務(wù)器架構(gòu),其中一種類型的惡意軟件(即僵尸程序)被置于主計算機上并與命令和控制服務(wù)器通信,命令和控制服務(wù)器可以由惡意用戶(例如僵尸網(wǎng)絡(luò)操作員)控制。僵尸程序可以從命令和控制服務(wù)器接收命令以執(zhí)行特定的惡意活動,并且因此,可以執(zhí)行這樣的命令。僵尸程序也可以向命令和控制服務(wù)器發(fā)回任何結(jié)果或竊取的信息。除了接收命令以執(zhí)行惡意活動之外,僵尸程序典型地還包括一個或多個傳播矢量,其使僵尸程序能夠在組織網(wǎng)絡(luò)之內(nèi)擴散或跨過其他網(wǎng)絡(luò)向其他組織或個人擴散。常見的傳播矢量包括利用本地網(wǎng)絡(luò)之內(nèi)主機上的已知弱點并發(fā)送附帶惡意程序的惡意電子郵件或在電子郵件之內(nèi)提供惡意鏈接。僵尸程序也可以通過例如下載式驅(qū)動、病毒、蠕蟲病毒、特洛伊木馬等感染主計算機。僵尸網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)操作員提供了強大方式以通過采用各種攻擊來危害計算機系統(tǒng)。一旦僵尸程序已經(jīng)感染了主計算機,命令和控制服務(wù)器就能夠向僵尸程序發(fā)出命令以執(zhí)行各種類型的攻擊。通常,僵尸網(wǎng)絡(luò)已經(jīng)被用來發(fā)送大容量電子郵件并執(zhí)行分布式拒絕服務(wù)攻擊。不過,新近以來,僵尸網(wǎng)絡(luò)已經(jīng)被用來針對企業(yè)和個人執(zhí)行目標(biāo)性更強的攻擊,以獲得機密數(shù)據(jù)或其他敏感信息,例如知識產(chǎn)權(quán)和財務(wù)數(shù)據(jù)?,F(xiàn)有的防火墻和網(wǎng)絡(luò)入侵預(yù)防技術(shù)一般在識別和容忍僵尸網(wǎng)絡(luò)方面有所欠缺。僵尸程序常常被設(shè)計成發(fā)起與命令和控制服務(wù)器的通信并偽裝為正常的瀏覽器流量。可以利用命令和控制協(xié)議編制僵尸程序,這使得僵尸程序似乎是向網(wǎng)絡(luò)服務(wù)器做出正常的網(wǎng)絡(luò)連接。例如,僵尸程序可以使用通常被用于與網(wǎng)絡(luò)服務(wù)器通信的端口。因此,在不執(zhí)行對網(wǎng)絡(luò)流量更詳細的分組檢查的情況下,現(xiàn)有技術(shù)可能無法檢測到這樣的僵尸程序。此外,一旦發(fā)現(xiàn)了僵尸程序,僵尸網(wǎng)絡(luò)操作員就可以簡單地找到由僵尸程序偽裝網(wǎng)絡(luò)流量的另一種方式,以繼續(xù)像正常網(wǎng)絡(luò)流量那樣存在。新近以來,僵尸網(wǎng)絡(luò)操作員已經(jīng)編制僵尸程序以使用加密協(xié)議,例如安全套接字層(SSL),由此對惡意網(wǎng)絡(luò)流量加密。這樣加密的流量可以使用超文本傳輸協(xié)議安全(HTTPS)端口,使得僅有加密會話中涉及的終點能夠?qū)?shù)據(jù)解密。于是,現(xiàn)有的防火墻和其他網(wǎng)絡(luò)入侵預(yù)防技術(shù)不能對網(wǎng)絡(luò)流量進行任何有意義的檢查。因此,僵尸程序繼續(xù)感染網(wǎng)絡(luò)之內(nèi)的主計算機。關(guān)注于防止未被授權(quán)的程序文件在主計算機上執(zhí)行的其他軟件安全技術(shù)可能對于企業(yè)或其他組織實體的最終用戶或雇員具有不期望的副作用。網(wǎng)絡(luò)或信息技術(shù)(IT)管理員可以負(fù)責(zé)編制與企業(yè)實體的所有方面相關(guān)的廣泛策略,以使得雇員能夠從期望且信任的網(wǎng)絡(luò)資源獲得軟件和其他電子數(shù)據(jù)。在沒有適當(dāng)?shù)膹V泛的策略的情況下,可能防止雇員從未特定授權(quán)的網(wǎng)絡(luò)資源下載軟件和其他電子數(shù)據(jù),即使這樣的軟件和其他數(shù)據(jù)是合理的且為商務(wù)活動所必需的。此外,這樣的系統(tǒng)可能非常有限制性,因為如果在主計算機上發(fā)現(xiàn)未被授權(quán)的軟件,就可能在網(wǎng)絡(luò)管理員介入之前中止任何主計算機活動。對于商務(wù)而言,這種類型的系統(tǒng)可能會干擾合理且必要的商務(wù)活動,導(dǎo)致工人停工、失去收入、顯著的信息技術(shù)(IT)開銷等。如圖1中勾勒的那樣,一種用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)和方法能夠從被感染的網(wǎng)絡(luò)減少僵尸網(wǎng)絡(luò)的傳播和惡意活動,同時允許被感染網(wǎng)絡(luò)之內(nèi)繼續(xù)進行合理的活動,而需要的較少的IT開銷。根據(jù)一種范例實施例,提供了一種系統(tǒng)以確定與主機(例如主機120a)上的網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的哪些軟件程序文件有風(fēng)險(即,不信任)。如果每個關(guān)聯(lián)的程序文件都沒有風(fēng)險(即信任),那么可以允許與映射到那些程序文件的軟件進程相關(guān)聯(lián)的網(wǎng)絡(luò)流量。不過,如果一個或多個程序文件是不信任的,那么,可以創(chuàng)建約束規(guī)則,以使得網(wǎng)絡(luò)保護裝置140能夠阻止或以其他方式約束與映射到不信任程序文件的軟件進程相關(guān)聯(lián)的網(wǎng)絡(luò)流量,和/或根據(jù)任何適當(dāng)策略阻止或以其他方式約束其他網(wǎng)絡(luò)流量。這樣的阻止或其他約束可以防止可能的僵尸程序的傳播和惡意活動。在一個范例實施例中,在發(fā)現(xiàn)不信任程序文件時,可以基于策略考慮選擇性地許可主機120a的進入和外出網(wǎng)絡(luò)流量僅訪問指定的網(wǎng)絡(luò)子網(wǎng)(例如,已知安全且是必要商務(wù)活動所需的子網(wǎng)等)。于是,僵尸程序?qū)碜悦詈涂刂品?wù)器的命令做出響應(yīng)并傳播的能力可能被顯著削弱,而不中斷或妨礙必要的商務(wù)活動。結(jié)果,如圖1中實現(xiàn)的系統(tǒng)為具有被感染主機的網(wǎng)絡(luò)和被感染主機試圖訪問的其他網(wǎng)絡(luò)提供了更好的保護。轉(zhuǎn)到圖1的基礎(chǔ)設(shè)施,本地網(wǎng)絡(luò)110代表范例架構(gòu),其中可以實施用于網(wǎng)絡(luò)級保護的系統(tǒng)??梢酝ㄟ^多種形式配置本地網(wǎng)絡(luò)110,包括,但不限于一個或多個局域網(wǎng)(LAN)、任何其他適當(dāng)網(wǎng)絡(luò)或其任意組合。因特網(wǎng)150代表本地網(wǎng)絡(luò)110可以適當(dāng)連接到的廣域網(wǎng)(WAN)??梢酝ㄟ^網(wǎng)絡(luò)保護裝置140提供本地網(wǎng)絡(luò)110和因特網(wǎng)150之間的連接,網(wǎng)絡(luò)保護裝置140可以是常見網(wǎng)絡(luò)安全裝置(例如防火墻、路由器、網(wǎng)關(guān)、被管理的交換機等)。在范例實施例中,通過網(wǎng)絡(luò)保護裝置140路由去往或來自主機120的所有網(wǎng)絡(luò)流量。具有專用帶寬的因特網(wǎng)服務(wù)提供商(ISP)或因特網(wǎng)服務(wù)器可以使用任何適當(dāng)媒介,例如數(shù)字訂戶線路(DSL)、電話線路、T1線路、T3線路、無線、衛(wèi)星、光纖、電纜、以太網(wǎng)等或其任何組合,提供通往因特網(wǎng)150的連接??梢允褂妙~外的網(wǎng)關(guān)、交換機、路由器等促進主機120、中央服務(wù)器130、網(wǎng)絡(luò)保護裝置140和因特網(wǎng)150之間的電子通信??梢詫SP或因特網(wǎng)服務(wù)器配置成允許主機120使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)與因特網(wǎng)上的其他節(jié)點通信,并且郵件服務(wù)器(未示出)可以允許主機120使用簡單郵件傳輸協(xié)議(SMTP)發(fā)送和接收電子郵件消息。在范例實施例中,本地網(wǎng)絡(luò)110代表組織(例如,企業(yè)、學(xué)校、政府實體、家庭等)的網(wǎng)絡(luò)環(huán)境,其中主機120a、120b和120c代表由與該組織相關(guān)聯(lián)的雇員或其他個人操作的最終用戶計算機。最終用戶計算機可以包括計算裝置,例如桌面計算機、膝上計算機、移動或手持計算裝置(例如個人數(shù)字助理(PDA)或移動電話),或能夠執(zhí)行與對本地網(wǎng)絡(luò)110的網(wǎng)絡(luò)訪問相關(guān)聯(lián)的軟件進程的任何其他計算裝置。主機120a、120b和120c、中央服務(wù)器130、副服務(wù)器180、網(wǎng)絡(luò)保護裝置145和本地網(wǎng)絡(luò)110中任何額外部件之間的連接可以包括任何適當(dāng)?shù)慕橘|(zhì),例如電纜、以太網(wǎng)、無線(例如WiFi、3G、4G等)、ATM、光纖等。應(yīng)當(dāng)指出,這里示出和描述的網(wǎng)絡(luò)配置和互連僅出于例示目的。圖1意在作為范例,并且不應(yīng)被解釋為暗示本公開中的架構(gòu)性限制。在圖1中所示的范例實施例中,命令和控制服務(wù)器170和僵尸網(wǎng)絡(luò)操作員175可操作地耦合到因特網(wǎng)150。在一個范例中,命令和控制服務(wù)器170可以是受僵尸網(wǎng)絡(luò)操作員175控制或使用的網(wǎng)絡(luò)服務(wù)器,以向分布的僵尸程序發(fā)出命令。在另一個范例中,可以將命令和控制服務(wù)器170惡意安裝并隱藏在大型社團、教育或政府站點上。僵尸網(wǎng)絡(luò)操作員175可以通過例如因特網(wǎng)150遠程訪問命令和控制服務(wù)器170,以發(fā)出指令,用于控制被感染主機計算機,例如主機120a、120b或120c上的分布的僵尸程序。眾多僵尸網(wǎng)絡(luò)操作員和控制數(shù)百萬僵尸程序的命令和控制服務(wù)器可以可操作地連接到因特網(wǎng)150。在一個范例中,一旦僵尸程序已經(jīng)感染主機120a、120b或120c之一,僵尸網(wǎng)絡(luò)操作員175就可以開始通過命令和控制服務(wù)器170發(fā)出命令以在整個本地網(wǎng)絡(luò)110和/或其他網(wǎng)絡(luò)中傳播僵尸程序。此外,僵尸網(wǎng)絡(luò)操作員175也可以發(fā)出指令,讓僵尸程序從被感染主機120a、120b或120c采取惡意活動,例如垃圾郵件、竊取機密信息、分布式拒絕服務(wù)攻擊等。圖1還示出了連接到因特網(wǎng)150的全局服務(wù)器160。盡管有眾多服務(wù)器可以連接到因特網(wǎng)150,但全局服務(wù)器160代表提供一個或多個數(shù)據(jù)庫的服務(wù),一個或多個數(shù)據(jù)庫包含與被評估風(fēng)險的軟件程序文件相關(guān)的信息。例如,被評估和確定為不值得信任的軟件程序文件(例如包含惡意代碼,例如病毒、蠕蟲等)可以包括在所謂的“黑名單”中。被評估和確定為值得信任的軟件程序文件(例如,未被污染,無惡意代碼等)可以包括在所謂的“白名單”中。盡管可以單獨實施白名單和黑名單,但也可能在數(shù)據(jù)庫中將它們組合,其中每個軟件程序文件被識別為白名單或黑名單文件??梢允褂眯r灪蛠韺嵤┌酌麊魏秃诿麊危渲写鎯︶槍γ總€程序文件的唯一校驗和,可以將其容易地與要尋求評估的程序文件的計算的校驗和進行比較。校驗和可以是通過向軟件程序文件應(yīng)用算法而導(dǎo)出的數(shù)學(xué)值或散列和(例如,固定的數(shù)位串)。如果向與第一軟件程序文件相同的第二軟件程序文件應(yīng)用算法,那么校驗和應(yīng)該匹配。不過,如果第二軟件程序文件不同(例如,其已經(jīng)通過某種方式而改變,其是第一軟件程序文件的不同版本,其是完全不同類型的軟件等),那么校驗和非常不可能匹配??梢杂瑟毩⒌牡谌教峁﹫D1中的數(shù)據(jù)庫,例如全局白名單165,并可以對其定期更新,以提供對于消費者可用的值得信任軟件程序文件的全面列表。類似地,可以由獨立第三方提供黑名單(未示出),并可以定期更新,以提供不信任惡意軟件程序文件的全面列表。全局白名單和黑名單可以在本地網(wǎng)絡(luò)110外部,并且可以通過諸如因特網(wǎng)150的其他網(wǎng)絡(luò)或通過許可本地網(wǎng)絡(luò)110和全局白名單165之間的電子通信的任何其他適當(dāng)連接而是可訪問的。這種全局白名單和黑名單的范例包括由加利福尼亞SantaClara的McAfee有限公司提供的Artemis數(shù)據(jù)庫和由俄勒岡Portland的SignaCert有限公司提供的SignaCert?數(shù)據(jù)庫。圖1還包括本地網(wǎng)絡(luò)110中所示的內(nèi)部白名單133。內(nèi)部白名單133還可以包含與被評估風(fēng)險的軟件程序文件相關(guān)的信息,并且可以使用校驗和來識別這樣的軟件程序文件。內(nèi)部白名單133中識別的軟件程序文件可以包括來自一個或多個全局白名單的軟件程序文件和/或可以被定制以提供選擇的軟件程序文件。具體而言,可以在內(nèi)部白名單133中識別在組織內(nèi)部開發(fā)但對公眾未必可用的軟件程序文件。此外,也可以提供內(nèi)部黑名單以識別被評估并確定為不值得信任的特定軟件程序文件。在圖1中所示的本地網(wǎng)絡(luò)110中,可以為主機120a配置可執(zhí)行軟件122和本地保護部件124??蓤?zhí)行軟件122可以包括主機120a上的所有軟件程序文件(例如可執(zhí)行文件、庫模塊、目標(biāo)文件、其他可執(zhí)行模塊、腳本文件、解釋器文件等)。如果主機120a已經(jīng)被僵尸程序感染,那么僵尸程序可以在被感染主機120a的可執(zhí)行軟件122中作為程序文件被存儲。主機120a的本地保護部件124可以根據(jù)實施例提供不同的功能。在系統(tǒng)的一些實施例中,本地保護部件124可以定期提供可執(zhí)行軟件122的清單或主機120a上對可執(zhí)行軟件122的改變和增加的清單。在系統(tǒng)的實時實施例中,本地保護部件124可以截獲網(wǎng)絡(luò)訪問企圖并向中央服務(wù)器130提供與網(wǎng)絡(luò)訪問企圖相關(guān)的信息。本地保護部件124還可以將網(wǎng)絡(luò)訪問企圖保持預(yù)定量的時間或直到從中央服務(wù)器130接收到允許釋放網(wǎng)絡(luò)訪問企圖的信號為止。本地網(wǎng)絡(luò)110中的中央服務(wù)器130可以包括中央保護部件135,用于確定主機120a上的軟件程序文件的信任狀態(tài),用于創(chuàng)建針對與不信任軟件程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量的約束和記錄規(guī)則,用于向網(wǎng)絡(luò)保護裝置140推送約束和記錄規(guī)則,以及用于利用與不信任程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量相關(guān)的條目更新記錄事件數(shù)據(jù)庫131。在一些實施例中,中央保護部件也可以利用識別不信任軟件程序文件的條目更新中央不信任軟件清單132。中央服務(wù)器130還可以包括或可以訪問進程流量映射數(shù)據(jù)庫134,其可以將軟件進程映射到軟件程序文件,包括諸如程序文件路徑、地址(例如因特網(wǎng)協(xié)議(IP)地址)和/或端口號的信息??梢栽谥醒敕?wù)器130能夠訪問的任何網(wǎng)絡(luò)和裝置中提供記錄事件數(shù)據(jù)庫131、中央不信任軟件清單132、內(nèi)部白名單133和進程流量映射數(shù)據(jù)庫134。如將在這里進一步所述,在系統(tǒng)的一些實施例中可以省略中央不信任軟件清單132。網(wǎng)絡(luò)保護裝置140可以包括網(wǎng)絡(luò)級強制部件145,用于截獲網(wǎng)絡(luò)流量(例如進入到主機120a的電子分組或從主機120a外出的電子分組等),并對截獲的分組強制執(zhí)行任何可適用的約束和記錄規(guī)則。轉(zhuǎn)到圖2,圖2示出了中央服務(wù)器200和關(guān)聯(lián)存儲器部件231,232、233和234的示意圖,其是圖1中所示中央服務(wù)器130和關(guān)聯(lián)存儲器部件131,132、133和134的更詳細范例。在圖2中所示的范例實施例中,中央服務(wù)器200的中央保護部件可以包括行政保護模塊220、策略模塊230、策略數(shù)據(jù)庫235、軟件信任確定模塊240和規(guī)則制定模塊250。在一些實施例中,中央保護部件還可以包括中央信任高速緩存245,用于存儲來自軟件信任確定模塊240的信任程序文件高速緩存條目??梢栽谂幚砟J綄嵤├谢蛟趯崟r(或基本實時)處理實施例中配置規(guī)則制定模塊250。在規(guī)則制定模塊250的批處理和實時處理實施例兩者中,都可以在發(fā)現(xiàn)不信任程序文件時創(chuàng)建網(wǎng)絡(luò)約束規(guī)則和/或記錄規(guī)則。中央保護部件還可以包括進程流量映射模塊260,用于利用與軟件進程相關(guān)的信息,例如程序文件信息、源地址和端口號、目的地址和端口號等,更新進程流量映射數(shù)據(jù)庫234。中央服務(wù)器200還可以包括或可以訪問適當(dāng)硬件和存儲器元件,例如記錄事件數(shù)據(jù)庫231和內(nèi)部白名單233。在一些實施例中,中央服務(wù)器200還可以包括或可以訪問中央不信任軟件清單232,并且在其他實施例中,中央不信任軟件清單232可能不是系統(tǒng)的必需部件。包括處理器280和存儲起元件290的其他硬件元件也可以包括在中央服務(wù)器200中。最后,可以將管理控制臺210適當(dāng)連接到中央服務(wù)器200,讓被授權(quán)人員通過例如行政保護模塊220的行政部件,來部署、配置和維護系統(tǒng)。在使用中央信任高速緩存245的實施例中,可以將高速緩存作為存儲器塊而以硬件實現(xiàn),用于暫時存儲識別已經(jīng)先前確定為具有信任狀態(tài)的程序文件的條目(例如,校驗和),例如在搜索全局和/或內(nèi)部白名單期間發(fā)現(xiàn)的那些程序文件。中央信任高速緩存245能夠提供對指示先前評估了信任狀態(tài)的程序文件的數(shù)據(jù)的快速且透明的訪問。于是,如果在中央信任高速緩存245中發(fā)現(xiàn)了所請求的程序文件,那么可能不需要執(zhí)行全局和/或內(nèi)部白名單或任何其他信任評估的搜索。此外,使用中央信任高速緩存245的實施例可能不需要維護中央不信任軟件清單232。參考圖3,圖3示出了計算裝置或主機300的一個實施例的示意圖,以及中央服務(wù)器200的方框圖,其中可以實施用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)。主機300是圖1的主機120a的更詳細范例。主機300包括一組可執(zhí)行軟件340,包括,例如程序文件1到n。在一些實施例中,例如在實時處理實施例中,主機300中的本地保護部件可以包括具有通往中央服務(wù)器200的雙向流的事件饋送330,用于截獲主機300上的網(wǎng)絡(luò)訪問企圖并向中央服務(wù)器200發(fā)送主機事件信息(即,與網(wǎng)絡(luò)訪問企圖及其關(guān)聯(lián)程序文件相關(guān)的信息)。也可以將事件饋送330配置成將網(wǎng)絡(luò)訪問企圖保持預(yù)定時間或直到從中央服務(wù)器200接收到信號為止,以便允許在釋放網(wǎng)絡(luò)訪問企圖之前向網(wǎng)絡(luò)保護裝置400推送任何所得到的網(wǎng)絡(luò)約束和/或記錄規(guī)則。在系統(tǒng)的各種實施例中,例如批處理實施例或某些實時處理實施例中,本地保護部件可以包括具有通往中央服務(wù)器200的數(shù)據(jù)流的軟件程序清單饋送335,用于向中央服務(wù)器200推送可執(zhí)行軟件340的清單或可執(zhí)行軟件340中新和/或改變的程序文件的清單。事件饋送330和軟件程序清單饋送335可以駐留于主機300的用戶空間中。主機300的用戶空間中還示出了范例執(zhí)行軟件進程345,其對應(yīng)于可執(zhí)行軟件340的一個或多個程序文件。為了容易參考,在主機300上的用戶空間中示出了可執(zhí)行軟件340。不過,可執(zhí)行軟件340可以存儲于諸如主機300的磁盤空間的存儲器元件中。主機300還可以包括硬件部件,例如網(wǎng)絡(luò)接口卡(NIC)裝置370、處理器380和存儲器元件390。諸如傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)350及其他協(xié)議360的傳輸協(xié)議可以駐留于主機300的核心空間中。圖2和3中未示出的是可以適當(dāng)耦合到處理器280和380的額外硬件,其形式為存儲器管理單元(MMU)、額外的對稱多處理(SMP)元件、物理存儲器、以太網(wǎng)、外圍部件互連(PCI)總線和對應(yīng)網(wǎng)橋、小型計算機系統(tǒng)接口(SCSI)/集成驅(qū)動器電子電路(IDE)元件等。此外,也可以包括適當(dāng)?shù)恼{(diào)制調(diào)解器和/或額外網(wǎng)絡(luò)適配器以便允許進行網(wǎng)絡(luò)訪問。中央服務(wù)器200和主機300可以包括適當(dāng)執(zhí)行其預(yù)期功能所必要的任何額外硬件和軟件。此外,也將在中央服務(wù)器200和主機300中配置任何適當(dāng)?shù)牟僮飨到y(tǒng)以適當(dāng)管理其中硬件部件的操作。將認(rèn)識到,硬件配置可以變化,并且所描繪的范例并非意圖暗示架構(gòu)限制。轉(zhuǎn)到圖4,圖4示出了網(wǎng)絡(luò)保護裝置400的示意圖,其可以用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)中。網(wǎng)絡(luò)保護裝置400是圖1的網(wǎng)絡(luò)保護裝置140的范例。網(wǎng)絡(luò)保護裝置400的網(wǎng)絡(luò)級強制部件可以包括過濾器/防火墻410、網(wǎng)絡(luò)規(guī)則元件420和事件日志430。網(wǎng)絡(luò)保護裝置400還可以包括諸如處理器480和存儲器元件490的硬件部件。在范例實施例中,網(wǎng)絡(luò)保護裝置140可以是常見的網(wǎng)絡(luò)安全裝置(例如防火墻、路由器、網(wǎng)絡(luò)網(wǎng)關(guān)、郵件網(wǎng)關(guān)、被管理的交換機等),并且可以根據(jù)需要包括其他適當(dāng)?shù)挠布蛙浖考詧?zhí)行其預(yù)期功能。在網(wǎng)絡(luò)保護裝置400中,過濾器/防火墻410可以截獲網(wǎng)絡(luò)流量(例如,從本地網(wǎng)絡(luò)110外出的、進入到本地網(wǎng)絡(luò)110的或本地網(wǎng)絡(luò)110之內(nèi)的電子分組),并可以查詢網(wǎng)絡(luò)規(guī)則元件420以確定是否有任何約束和/或記錄規(guī)則適用于網(wǎng)絡(luò)流量的特定的截獲分組。如果發(fā)現(xiàn)了可適用的約束規(guī)則,那么將其應(yīng)用于分組,可以將分組阻止、重新路由、選擇性地允許等??梢栽诰W(wǎng)絡(luò)保護裝置400中提供事件日志430以用于記錄網(wǎng)絡(luò)流量事件數(shù)據(jù)。網(wǎng)絡(luò)流量事件數(shù)據(jù)可以包括與由網(wǎng)絡(luò)保護裝置400接收的特定分組相關(guān)的信息,例如,源地址和端口號、目的地址和端口號、日期與時間戳和/或規(guī)則ID(即指示應(yīng)用于所截獲分組的約束或記錄規(guī)則的標(biāo)識符)。如果網(wǎng)絡(luò)規(guī)則元件420具有與由網(wǎng)絡(luò)保護裝置400接收的特定分組相對應(yīng)的記錄規(guī)則或如果默認(rèn)執(zhí)行記錄,例如,在向?qū)?yīng)于網(wǎng)絡(luò)流量事件的分組應(yīng)用約束規(guī)則時記錄網(wǎng)絡(luò)流量事件,那么可以發(fā)生這樣的記錄。在各種范例實施例中,可以由中央服務(wù)器200的行政保護模塊220、策略模塊230、軟件信任確定模塊240、規(guī)則制定模塊250和進程流量映射模塊260并且由主機120a的軟件程序清單饋送335和/或事件饋送330提供信任確定、記錄和規(guī)則制定活動。與信任確定、記錄和規(guī)則制定活動相關(guān)的信息可以被適當(dāng)呈遞或發(fā)送給特定位置(例如中央服務(wù)器200、網(wǎng)絡(luò)規(guī)則元件420等)或僅被存儲或歸檔(例如記錄事件數(shù)據(jù)庫231、中央不信任軟件清單232、策略數(shù)據(jù)庫235、進程流量映射數(shù)據(jù)庫234、中央信任高速緩存245等),和/或以任何適當(dāng)格式被適當(dāng)顯示(例如通過管理控制臺210等)。涉及這種信任確定、記錄和規(guī)則制定活動的安全技術(shù)可以包括McAfee?軟件的元件(例如ePolicyOrchestrator,ApplicationControl和/或ChangeControl)或任何其他類似軟件。于是,可以在如本說明書中在此使用的術(shù)語“行政保護模塊”、“策略模塊”、“軟件信任確定模塊”、“規(guī)則制定模塊”、“進程流量映射模塊”、“軟件程序清單饋送”和“事件饋送”的寬廣范圍內(nèi)包括任何這樣的部件。記錄事件數(shù)據(jù)庫231、中央不信任軟件清單232、內(nèi)部白名單233、進程流量映射數(shù)據(jù)庫234、策略數(shù)據(jù)庫235、中央信任高速緩存245、網(wǎng)絡(luò)規(guī)則元件420和事件日志430可以包括與對電子數(shù)據(jù)的信任確定、記錄和規(guī)則制定相關(guān)的信息(例如,對程序文件的信任確定,網(wǎng)絡(luò)訪問企圖,軟件進程的目的地址和端口號、軟件進程的源地址和端口號、網(wǎng)絡(luò)約束規(guī)則、記錄規(guī)則等),并且這些元件能夠容易地與主機300、中央服務(wù)器200和網(wǎng)絡(luò)保護裝置400的模塊和部件合作、協(xié)調(diào)或以其他方式交互。圖5-12包括與用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)和方法的各種實施例相關(guān)聯(lián)的流程的范例實施例的流程圖。為了容易參考,在這里將參考圖1的網(wǎng)絡(luò)環(huán)境100中的某些部件并參考服務(wù)器200、主機300、網(wǎng)絡(luò)保護裝置400及其關(guān)聯(lián)部件、元件和模塊來描述圖5-12,盡管可以使用各種其他裝置、部件、元件、模塊等實施在這里所示和所述的系統(tǒng)和方法的網(wǎng)絡(luò)級實施例。轉(zhuǎn)到圖5,批處理流程500示出了用于網(wǎng)絡(luò)級保護的系統(tǒng)的批處理實施例的流程,可以至少部分地將其實現(xiàn)為中央服務(wù)器200的規(guī)則制定模塊250。在實施批處理流程500的系統(tǒng)的實施例中,中央服務(wù)器200的中央信任高速緩存245和中央不信任軟件清單232都不是必要的。批處理流程500可以以任何適當(dāng)?shù)念A(yù)定義時間間隔運行(例如,每小時、每半小時等)。流程可以開始于步驟520,其中從主機,例如主機300接收可執(zhí)行軟件的清單。中央服務(wù)器200可以向主機300輪詢(poll)清單,可以由軟件程序清單饋送335提供該清單。軟件程序清單饋送335可以被配置成為中央服務(wù)器200提供主機300上完整的更新軟件清單或主機300上軟件程序文件增加和/或改變的清單??梢岳矛F(xiàn)有的安全軟件,例如,PolicyAuditor軟件或ApplicationControl軟件實現(xiàn)軟件程序清單饋送335,兩種軟件都是由加利福尼亞SantaClara的McAfee有限公司制造的。在接收軟件清單之后,流程轉(zhuǎn)到步驟525,其中從軟件清單檢索第一程序文件。流程然后轉(zhuǎn)到步驟530,以確定程序文件的信任狀態(tài)(即信任或不信任)??梢杂芍醒敕?wù)器200的軟件信任確定模塊240使用一種或多種軟件信任確定技術(shù)(例如評估內(nèi)部白名單、評估外部白名單、評估程序文件的狀態(tài)改變、評估黑名單等)來確定信任狀態(tài),在這里將參考圖6和7對其進一步示出和描述。在步驟530中確定程序文件信任狀態(tài)之后,流程轉(zhuǎn)到步驟535,其中做出關(guān)于以下的查詢:程序文件是否是信任的。如果程序文件是信任的,則流程轉(zhuǎn)到步驟580以繞過創(chuàng)建網(wǎng)絡(luò)約束或記錄規(guī)則并繼續(xù)循環(huán)通過軟件清單以評估每個程序文件。不過,如果在步驟535中程序文件信任狀態(tài)是不信任,則流程轉(zhuǎn)到步驟540,其中從進程流量映射數(shù)據(jù)庫234針對不信任程序文件獲得進程流量映射信息。進程流量映射信息可以包括,例如,映射到程序文件的源地址和目的端口號,可以使用其來創(chuàng)建記錄和/或約束網(wǎng)絡(luò)流量的規(guī)則。在針對程序文件檢索進程流量映射信息之后,在步驟545中做出關(guān)于是否啟用記錄的查詢。如果步驟545中的查詢指出啟用記錄,那么流程轉(zhuǎn)到步驟550,其中可以創(chuàng)建記錄規(guī)則,并且然后推送到網(wǎng)絡(luò)保護裝置400以在網(wǎng)絡(luò)規(guī)則元件420中存儲。在一個范例中,可以使用來自在步驟540中檢索的進程流量映射信息的源地址和目的端口號來創(chuàng)建用于記錄特定的網(wǎng)絡(luò)事件數(shù)據(jù)的規(guī)則。在本范例中,記錄規(guī)則可能要求在截獲的分組具有匹配進程流量映射信息的源地址和目的端口時,在事件日志430中存儲與由網(wǎng)絡(luò)保護裝置400截獲的電子分組相關(guān)的網(wǎng)絡(luò)流量事件數(shù)據(jù)。在一些實施例中,可以在進程映射數(shù)據(jù)庫234中存儲識別記錄規(guī)則的規(guī)則ID并映射到不信任程序文件。在步驟550中已經(jīng)創(chuàng)建記錄規(guī)則并將其向網(wǎng)絡(luò)保護裝置400推送之后,或者如果在步驟545中不啟用記錄,那么流程轉(zhuǎn)到步驟555,其中做出關(guān)于是否啟用強制的查詢。如果不啟用強制,那么該流程轉(zhuǎn)到步驟580,以繞過針對不信任程序文件創(chuàng)建網(wǎng)絡(luò)約束規(guī)則,并繼續(xù)循環(huán)通過軟件清單以評估軟件清單中剩余的程序文件。不過,如果在步驟555中啟用了強制,則可以在步驟560中查詢策略數(shù)據(jù)庫235以確定是否有任何配置的策略超越(override)程序文件的不信任狀態(tài),以允許與程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量。在范例實施例中,中央服務(wù)器200的策略模塊230可以允許網(wǎng)絡(luò)管理員或其他授權(quán)用戶通過管理控制臺210編制策略配置,并在策略數(shù)據(jù)庫235中存儲這樣的策略。然后可以在步驟560中向策略數(shù)據(jù)庫235查詢與不信任程序文件相關(guān)的任何策略。如果在策略數(shù)據(jù)庫235中未找到超越程序文件的不信任狀態(tài)的策略,則流程轉(zhuǎn)到步驟580,以繞過針對不信任程序文件創(chuàng)建網(wǎng)絡(luò)約束規(guī)則,并繼續(xù)循環(huán)通過軟件清單以評估軟件清單中剩余的程序文件。不過,如果策略沒有超越程序文件的不信任狀態(tài)(即策略需要某種類型的約束規(guī)則或沒有策略可適用),那么流程轉(zhuǎn)到步驟570,其中可以適用進程流量映射信息和/或任何可適用的策略來創(chuàng)建一個或多個網(wǎng)絡(luò)約束規(guī)則。可以使用策略來創(chuàng)建各種類型的約束規(guī)則,并且可以由特定的網(wǎng)絡(luò)擁有者按期望實施這些策略配置。在一些范例實施例中,策略配置可以包括一個或多個基于寬度的約束,例如阻止所有進入和外出網(wǎng)絡(luò)流量,阻止所有進入網(wǎng)絡(luò)流量并允許外出網(wǎng)絡(luò)流量,或允許進入網(wǎng)絡(luò)流量并阻止外出網(wǎng)絡(luò)流量。也可以采用更具體的策略,例如阻止對本地網(wǎng)絡(luò)的外出網(wǎng)絡(luò)流量但允許對因特網(wǎng)的外出網(wǎng)絡(luò)流量,或允許來自源地址的指定子網(wǎng)的進入網(wǎng)絡(luò)流量和/或允許對目的地址的指定子網(wǎng)的外出網(wǎng)絡(luò)流量。最后,可以使用更加顆?;牟呗?,例如阻止端口上特定的進入服務(wù)和/或特定的外出服務(wù)(例如,域名服務(wù)(DNS)、簡單郵件傳輸協(xié)議(SMTP)、因特網(wǎng)中繼聊天(IRC)等)。這些范例策略配置用于例示的目的,并意在包括任何其他策略配置,以約束進入、外出和/或本地網(wǎng)絡(luò)流量或其任意組合。可以在用于網(wǎng)絡(luò)級保護的系統(tǒng)中通過經(jīng)由網(wǎng)絡(luò)保護裝置400對網(wǎng)絡(luò)流量進行路由來實施這樣的策略,網(wǎng)絡(luò)保護裝置400應(yīng)用使用配置的策略所創(chuàng)建的網(wǎng)絡(luò)約束規(guī)則??梢栽诟偁幚嬷g平衡特定的策略配置,例如在防止不信任軟件的傳播和潛在惡意活動的需求與進行必要商務(wù)活動的需求之間。例如,在具有主機子網(wǎng)和服務(wù)器子網(wǎng)的網(wǎng)絡(luò)中,策略可以被配置成允許與不信任程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量僅訪問服務(wù)器子網(wǎng)而不訪問主機子網(wǎng)。這可能是合乎需要的,因為它可以防止惡意軟件傳播到網(wǎng)絡(luò)之內(nèi)的其他主機,同時允許每個主機不中斷地訪問安全的服務(wù)器子網(wǎng)。另一種策略可以阻止與不信任程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量訪問除托管工作關(guān)鍵性服務(wù)的已知子網(wǎng)之外的因特網(wǎng)。于是,通過編制允許選擇性網(wǎng)絡(luò)訪問的策略可以采用很多不同的阻止選項。在用于網(wǎng)絡(luò)級保護的系統(tǒng)和方法的實施例中,也可以為不信任程序文件編制網(wǎng)絡(luò)級特定策略。例如,可以編制策略以將與不信任程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量重定向到另一服務(wù)器,例如副服務(wù)器180。在一個范例中,可以迫使與不信任程序文件相關(guān)聯(lián)的潛在惡意網(wǎng)絡(luò)流量通過副服務(wù)器180上的額外防火墻、過濾器、抗垃圾郵件/抗病毒網(wǎng)關(guān)、代理等。在另一個范例中,副服務(wù)器180可以被配置成在接收到網(wǎng)絡(luò)連接時利用一個或多個預(yù)定義的命令做出響應(yīng)。一些僵尸程序被設(shè)計成在接收到特定命令時自毀,以及副服務(wù)器180可以被配置成利用這樣的命令對網(wǎng)絡(luò)連接做出響應(yīng),由此使已經(jīng)被重定向到副服務(wù)器180的僵尸程序被破壞。另一個網(wǎng)絡(luò)級特定策略包括將虛擬局域網(wǎng)(VLAN)成員切換到另一個VLAN端口。在本范例中,可以針對與不信任程序文件相關(guān)聯(lián)的端口切換VLAN成員。盡管將VLAN成員切換到另一個端口有效地移動了該端口上所有的網(wǎng)絡(luò)流量而非個別流,可以將替代VLAN配置成迫使網(wǎng)絡(luò)流量通過額外的防火墻、過濾器、抗垃圾郵件和抗病毒網(wǎng)關(guān)、代理等。如果將網(wǎng)絡(luò)保護裝置400配置為第2層管理交換機,則這種類型的約束可能特別有用的。在另一個范例實施例中,網(wǎng)絡(luò)保護裝置400可以適于進行更深的分組檢查以確定是否正在單個端口上傳輸多個會話流,并識別與應(yīng)用可適用的網(wǎng)絡(luò)約束和記錄規(guī)則的不信任程序文件相關(guān)聯(lián)的流。于是,在這一實施例中,可以配置策略,以便編制網(wǎng)絡(luò)約束或記錄規(guī)則,以選擇性阻止和/或記錄與不信任程序文件相關(guān)聯(lián)的特定流,同時允許其他流繼續(xù)在同一端口上連接。轉(zhuǎn)回到圖5的步驟570,使用進程流量映射信息和/或任何可適用的策略來編制網(wǎng)絡(luò)約束規(guī)則,并然后將該網(wǎng)絡(luò)約束規(guī)則向網(wǎng)絡(luò)保護裝置400推送。例如,如果將策略配置成要求阻止與不信任程序文件相關(guān)聯(lián)的所有進入和外出網(wǎng)絡(luò)流量,那么可以使用來自在步驟540中所檢索的進程流量映射信息的源地址和目的端口來創(chuàng)建一個或多個約束規(guī)則,以阻止具有匹配源地址和目的端口的任何進入或外出分組。在步驟570中已經(jīng)創(chuàng)建網(wǎng)絡(luò)約束規(guī)則之后,將其推送到網(wǎng)絡(luò)保護裝置400并存儲于網(wǎng)絡(luò)規(guī)則元件420中。流程然后轉(zhuǎn)到步驟580,其中做出關(guān)于以下的確定:被評估的程序文件是否是軟件清單中最后的程序文件。如果它是最后的程序文件,那么流程500結(jié)束。不過,如果它不是最后的程序文件,那么在步驟590中檢索軟件清單中的下一個程序文件,并且流程環(huán)回到步驟530,以確定新檢索的程序文件的信任狀態(tài)并創(chuàng)建用于程序文件的任何適當(dāng)網(wǎng)絡(luò)約束或記錄規(guī)則。轉(zhuǎn)到圖6-7,范例流程示出了替代實施例,用于在用于網(wǎng)絡(luò)級保護的批處理實施例中確定程序文件的信任狀態(tài)。圖6或7的范例步驟可以至少部分實現(xiàn)為中央服務(wù)器200的軟件信任確定模塊240,并可以對應(yīng)于圖5的批處理實施例的步驟530。圖6示出了使用白名單評估的信任確定流程600,該流程600是針對從主機300推送到中央服務(wù)器200的軟件清單中的每個程序文件而執(zhí)行的。流程可以開始于步驟610,其中評估當(dāng)前程序文件以確定其是否在至少一個全局白名單上,例如圖1中所示的全局白名單165和/或本地網(wǎng)絡(luò)110外部的任何其他白名單上被識別。如本文前面所述,可以在白名單中使用校驗和來識別程序文件。如果在步驟610中在任何全局或其他外部白名單中發(fā)現(xiàn)了程序文件,那么將該程序文件的信任狀態(tài)定義為信任,該流程結(jié)束,并且將信任狀態(tài)返回到圖5的步驟530。不過,如果在步驟610中未在全局或其他外部白名單上發(fā)現(xiàn)程序文件,那么流程前進到步驟620,其中可以搜索一個或多個內(nèi)部白名單,例如內(nèi)部白名單133。組織可以采用多個白名單(例如,組織范圍的白名單、企業(yè)級的白名單等)。如果在任何內(nèi)部白名單上發(fā)現(xiàn)了程序文件,那么將該程序文件的信任狀態(tài)定義為信任,該流程結(jié)束,并且將信任狀態(tài)返回到圖5的步驟530。不過,如果在步驟610或620中未在任何內(nèi)部或外部白名單上發(fā)現(xiàn)程序文件,那么程序文件具有不信任狀態(tài)。流程然后可以前進到步驟630,其中可以評估程序文件以確定是否存在任何預(yù)定義條件,該條件允許將程序文件從不信任狀態(tài)提升到信任狀態(tài)。這樣的預(yù)定義條件可以包括啟發(fā)式考慮,例如管理員所擁有的軟件、文件訪問控制、文件屬性(例如,創(chuàng)建時間、修改時間等)等。在一個范例中,可以將管理員所擁有的不信任程序文件提升到信任狀態(tài),并且因此,該流程可以結(jié)束,并且可以將信任狀態(tài)返回到圖5的步驟530。不過,如果在步驟630中程序文件不滿足任何預(yù)定義條件,那么不信任狀態(tài)持續(xù),以便將程序文件定義為不信任,該流程結(jié)束,并且將信任狀態(tài)返回到圖5的步驟530。信任確定流程600也可以包括額外的邏輯(未示出)以評估除白名單之外的黑名單。黑名單識別已知是惡意的軟件程序文件??梢杂杀姸鄟碓刺峁┖诿麊?,包括由McAfee有限公司提供的Artemis和Anti-Virus數(shù)據(jù)庫,以及可以由本地網(wǎng)絡(luò)之內(nèi)本地維護的黑名單來提供黑名單。在這一實施例中,如果在任何內(nèi)部或外部黑名單上發(fā)現(xiàn)了程序文件,那么將該程序文件定義為不信任。轉(zhuǎn)到圖7,圖7示出了與圖5的步驟530對應(yīng)的信任確定流程700的替代實施例,其可以針對軟件清單中的每個程序文件而被執(zhí)行。流程可以開始于步驟720,其中評估當(dāng)前程序文件以確定其是否已經(jīng)改變。如果程序文件的當(dāng)前狀態(tài)尚未從先前狀態(tài)改變,那么將程序文件的信任狀態(tài)定義為信任,該流程結(jié)束,并且將信任狀態(tài)返回到圖5的步驟530。不過,如果程序文件的當(dāng)前狀態(tài)已經(jīng)從先前狀態(tài)改變,那么程序文件具有不信任狀態(tài)。可以使用現(xiàn)有的改變跟蹤產(chǎn)品(例如McAfee?ChangeControl軟件、McAfee?ApplicationControl軟件、McAfee?ePolicyOrchestrator軟件、McAfee?PolicyAuditor軟件、由俄勒岡Portland的Tripwire有限公司制造的Tripwire?軟件等)以檢查程序文件的改變數(shù)據(jù),以確定是否發(fā)生改變。在一個范例中,可以在中央服務(wù)器200處集中匯集改變記錄,并且McAfee?ePO軟件可以做出程序文件是否已經(jīng)改變的確定。再次參考圖7的步驟720,如果確定程序文件已經(jīng)改變且因此具有不信任狀態(tài),那么流程可以前進到步驟730,其中評估程序文件以確定是否存在任何預(yù)定義條件,以允許將程序文件從不信任狀態(tài)提升到信任狀態(tài),如本文前面參考圖6所述。如果存在一個或多個預(yù)定義條件,那么可以將程序文件提升到信任狀態(tài)。不過,如果沒有預(yù)定義條件適用于程序文件,那么不信任狀態(tài)持續(xù),并且可以將程序文件定義為不信任。在步驟730中做出信任狀態(tài)確定之后,然后流程結(jié)束,并且將程序文件的信任狀態(tài)返回圖5的步驟530。枚舉程序文件并確定信任狀態(tài)的替代實施方式將是容易顯而易見的。在這里前面所示和所述的實施例是指枚舉網(wǎng)絡(luò)中每個主機(例如主機300)上的可執(zhí)行軟件的清單,向中央服務(wù)器200推送軟件清單以及確定與清單中每個程序文件相關(guān)聯(lián)的信任狀態(tài)。不過,在替代實施例中,可以由每個主機在本地執(zhí)行軟件程序文件的信任確定,并且可以將所得信息推送到另一個位置(例如中央服務(wù)器200)和/或?qū)⑵湓诒镜夭恍湃诬浖鍐紊显诒镜鼐S護??梢杂砂酌麊卧u估、黑名單評估、狀態(tài)改變評估或任何其他適當(dāng)?shù)男湃卧u估技術(shù)在本地確定軟件程序文件的信任狀態(tài)。在這樣的實施例中,例如,可以通過McAfee?軟件(例如PolicyAuditor,ApplicationControl或ChangeControl)枚舉可執(zhí)行軟件的清單。在如圖6中所示而執(zhí)行白名單評估時,主機可以訪問本地網(wǎng)絡(luò)上的內(nèi)部白名單和/或通過另一網(wǎng)絡(luò)(例如因特網(wǎng))能夠訪問的外部白名單。如圖7中所示,也可以針對改變通過評估程序文件的當(dāng)前和先前狀態(tài)來在本地進行程序文件狀態(tài)改變評估。例如,McAfee?ChangeControl軟件允許在主機上本地維護改變記錄的序列,可以對其評估以確定特定主機上是否有任何程序文件已經(jīng)改變。此外,本公開的寬廣范圍允許使用任意數(shù)量的其他技術(shù)來確定軟件程序文件的信任狀態(tài),例如包括:對軟件程序文件既執(zhí)行白名單評估又執(zhí)行狀態(tài)改變評估和/或?qū)浖绦蛭募?zhí)行黑名單評估。可以實施參考圖5-7所示和所述的批處理實施例,以便可以以預(yù)定義時間間隔(例如每小時、每半小時等)評估軟件清單,并可以創(chuàng)建約束規(guī)則以阻止與不信任程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量。于是,默認(rèn)打開網(wǎng)絡(luò)保護裝置400的配置(即,除非規(guī)則對其禁止,否則允許網(wǎng)絡(luò)流量)。不過,這種默認(rèn)打開的方式可能創(chuàng)建時間窗口,在該時間窗口中,已經(jīng)最近感染了主機的僵尸程序尚未被定義為不信任,并且因此可能通過訪問本地或遠程網(wǎng)絡(luò)而傳播或執(zhí)行惡意活動,因為尚未創(chuàng)建約束規(guī)則來阻止與該僵尸程序相關(guān)聯(lián)的網(wǎng)絡(luò)流量。不過,對于一些企業(yè)而言,這種方式可能是合乎需要的,因為預(yù)定義的時間間隔可能是無關(guān)緊要的,或因為替代方式可能妨礙合理和必要的商務(wù)活動。其他企業(yè)可以優(yōu)選更緊密的控制,并且可以在替代實施例中實施默認(rèn)關(guān)閉的方式。在默認(rèn)關(guān)閉的方式中,可以配置網(wǎng)絡(luò)保護裝置400以阻止所有網(wǎng)絡(luò)流量,除非由規(guī)則特別許可??梢栽u估由網(wǎng)絡(luò)保護裝置400所截獲的所有電子分組以確定網(wǎng)絡(luò)規(guī)則元件420是否包含特別許可發(fā)送所截獲的分組(例如,具有允許的源地址和端口號的分組,具有允許的目的地址和端口號的分組等)的規(guī)則。在這樣的實施例中,可以在確定新程序文件具有信任狀態(tài)的任何時候,創(chuàng)建許可規(guī)則而非約束規(guī)則并將其向網(wǎng)絡(luò)保護裝置400推送。轉(zhuǎn)到圖8,實時處理流程800示出了針對用于網(wǎng)絡(luò)級保護的系統(tǒng)的實時實施例的流程,可以將其至少部分實現(xiàn)為圖2的規(guī)則制定模塊250。流程可以開始于步驟810,其中中央服務(wù)器200接收主機事件信息(例如,與主機300上的軟件進程345相關(guān)聯(lián)的網(wǎng)絡(luò)訪問企圖相關(guān)的信息)。在范例實施例中,在軟件進程,例如主機300上的軟件進程345企圖進行網(wǎng)絡(luò)訪問的任何時候,事件饋送330產(chǎn)生主機事件信息并將其推送到中央服務(wù)器200。可以使用任何適當(dāng)?shù)募夹g(shù)截獲網(wǎng)絡(luò)訪問企圖,包括參考在2010年7月28日提交的,題為“SystemandMethodforLocalProtectionAgainstMaliciousSoftware”,且前面通過引用并入本文的序號為12/844892的共同未決的美國專利申請中的各實施例所描述的那些技術(shù)。一旦已經(jīng)截獲了網(wǎng)絡(luò)訪問企圖,就可以查詢例如在主機300的操作系統(tǒng)核心中提供的進程流量映射元件以確定哪些程序文件(例如,可執(zhí)行文件、庫模塊、目標(biāo)文件、其他可執(zhí)行模塊、腳本文件、解釋器文件等)對應(yīng)于與軟件進程345相關(guān)聯(lián)的網(wǎng)絡(luò)訪問企圖。在本范例中,將網(wǎng)絡(luò)訪問企圖映射到執(zhí)行軟件進程345,可以將其映射到加載到執(zhí)行軟件進程345中的可執(zhí)行文件和一個或多個庫模塊。于是,被推送到中央服務(wù)器200的主機事件信息可以包括用于一個或多個識別的程序文件的程序文件路徑、關(guān)聯(lián)程序文件散列、網(wǎng)絡(luò)訪問企圖的源地址和端口和/或目的地址和端口。在步驟810中由中央服務(wù)器200接收到主機事件信息之后,流程轉(zhuǎn)到步驟820以得到與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的程序文件的信任狀態(tài)??梢允褂酶鞣N技術(shù)來完成確定程序文件的信任狀態(tài),這將在圖9中的第一實施例(即使用中央不信任軟件清單232來確定信任狀態(tài))中和圖10中的另一實施例(即使用中央信任高速緩存245實時確定信任狀態(tài))中被更詳細地示出和描述。在步驟820中獲得針對與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的每個程序文件的信任狀態(tài)之后,流程轉(zhuǎn)到步驟830,可以將其至少部分實現(xiàn)為中央服務(wù)器200的進程流量映射模塊260。在步驟830中,如果任何程序文件具有不信任狀態(tài),那么可以使用主機事件信息填充進程流量映射數(shù)據(jù)庫234。例如,可以向進程流量映射數(shù)據(jù)庫234添加與程序文件相關(guān)聯(lián)的詳細端口和地址信息以及程序文件路徑信息。流程然后轉(zhuǎn)到步驟835,并且做出關(guān)于以下的查詢:與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的所有程序文件是否具有信任狀態(tài),如果是這樣的話,流程結(jié)束,而不創(chuàng)建針對與程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量的記錄或約束規(guī)則。不過,如果任何程序文件具有不信任狀態(tài),那么流程轉(zhuǎn)到步驟845以確定是否啟用記錄。如果啟用記錄,那么流程轉(zhuǎn)到步驟850,其中可以創(chuàng)建記錄規(guī)則并將其推送到網(wǎng)絡(luò)保護裝置400以存儲于網(wǎng)絡(luò)規(guī)則元件420中。在一個范例中,可以使用來自主機事件信息的源地址和端口號以及目的地址和端口號來創(chuàng)建用于記錄特定的網(wǎng)絡(luò)事件數(shù)據(jù)的規(guī)則。在本范例中,記錄規(guī)則可能要求在截獲的分組具有匹配主機事件信息的源地址、源端口、目的地址、和目的端口時在事件日志430中存儲與由網(wǎng)絡(luò)保護裝置400所截獲的電子分組相關(guān)的網(wǎng)絡(luò)流量事件數(shù)據(jù)。在一些實施例中,可以在進程流量映射數(shù)據(jù)庫234中存儲識別記錄規(guī)則的規(guī)則ID并將其映射到與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的程序文件。在步驟850中已經(jīng)創(chuàng)建記錄規(guī)則并將其向網(wǎng)絡(luò)保護裝置400推送之后,或者如果在步驟845中不啟用記錄,那么流程轉(zhuǎn)到步驟855,以確定是否啟用強制。如果啟用強制,那么該流程結(jié)束,而不創(chuàng)建針對與一個或多個不信任程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量的約束規(guī)則。不過,如果在步驟855中啟用了強制,那么可以在步驟860中查詢策略數(shù)據(jù)庫235以確定是否有任何配置的策略超越程序文件的不信任狀態(tài),以允許與程序文件相關(guān)聯(lián)的網(wǎng)絡(luò)流量。如果找到了這樣的策略,那么流程結(jié)束,而不創(chuàng)建約束規(guī)則。不過,如果策略沒有超越程序文件的不信任狀態(tài)(即策略需要某種類型的約束規(guī)則或沒有策略可適用),然后流程轉(zhuǎn)到步驟870,其中可以使用主機事件信息和/或任何可適用策略來創(chuàng)建一個或多個網(wǎng)絡(luò)約束規(guī)則并隨后將其推送到網(wǎng)絡(luò)保護裝置400。在一個范例中,可以使用主機事件信息來創(chuàng)建約束規(guī)則,以阻止具有的源地址和端口以及目的地址和端口與來自主機事件信息的源地址和端口以及目的地址和端口匹配的任何進入、外出和/或本地分組。在這里前面已經(jīng)參考圖5的批處理流程描述了使用策略創(chuàng)建約束規(guī)則以及這種策略的范例,包括網(wǎng)絡(luò)級特定策略。在已經(jīng)使用主機事件信息和/或任何可適用策略創(chuàng)建約束規(guī)則之后,將約束規(guī)則推送到網(wǎng)絡(luò)保護裝置400并存儲在網(wǎng)絡(luò)規(guī)則元件420中,并且然后該流程結(jié)束。在這個實時實施例中,可以在已經(jīng)截獲網(wǎng)絡(luò)訪問企圖之后在主機300中配置時間延遲,以便允許實時處理流程800有足夠時間來創(chuàng)建任何必要的規(guī)則并將這樣的規(guī)則推送到網(wǎng)絡(luò)保護裝置400。在另一實施例中,可以在主機300上保持網(wǎng)絡(luò)訪問企圖,直到中央服務(wù)器200向主機300證實其已經(jīng)利用針對網(wǎng)絡(luò)訪問企圖的映射信息更新了進程流量映射數(shù)據(jù)庫234和/或其已經(jīng)向網(wǎng)絡(luò)保護裝置400推送了任何所得的記錄或約束規(guī)則。例如,可以經(jīng)由通往主機300上的事件饋送330的雙向數(shù)據(jù)流上的信號來完成這種證實。轉(zhuǎn)到圖9-10,范例流程示出了替代實施例,用于在用于網(wǎng)絡(luò)級保護的系統(tǒng)的實時處理實施例中確定程序文件的信任狀態(tài)。圖9或10的范例步驟可以至少部分實現(xiàn)為中央服務(wù)器200的軟件信任確定模塊240,并可以對應(yīng)于圖8的實時處理實施例的步驟820。圖9例示了利用中央不信任軟件清單232的信任確定流程900。在這一實施例中,可以創(chuàng)建和維護中央不信任軟件清單232,例如,如參考先前通過引用并入本文中的序號為12/844892的共同未決的美國專利申請的圖4-6所述。在步驟930中,向中央不信任軟件清單232搜索與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的每個程序文件。如果在中央不信任軟件清單232上識別了程序文件,那么所識別的程序文件的信任狀態(tài)為不信任。不過,如果在中央不信任軟件清單232上未識別程序文件,那么該程序文件的信任狀態(tài)為信任。在已經(jīng)評估了程序文件之后,將程序文件的信任狀態(tài)返回到圖8的步驟820,其中可以如本文前面所述創(chuàng)建記錄和約束規(guī)則。轉(zhuǎn)到圖10,圖10示出了與圖8的步驟820對應(yīng)的替代信任確定流程1000,用于在用于網(wǎng)絡(luò)級保護的系統(tǒng)的實時實施例中進行實時信任確定。可以從這個實施例省去中央不信任軟件清單232,并且替代地,可以使用中央信任高速緩存245來存儲信任程序文件的標(biāo)識(例如校驗和),用于在信任狀態(tài)確定期間更快地檢索和總體處理。在步驟1010中開始,做出關(guān)于以下的查詢:在中央信任高速緩存245中是否找到了與網(wǎng)絡(luò)訪問企圖相關(guān)聯(lián)的所有程序文件。如果在中央信任高速緩存245中找到了所有程序文件,那么所有程序文件都具有信任狀態(tài)。因此,流程結(jié)束,并且將信任狀態(tài)返回到圖8的步驟820。不過,如果在中央信任高速緩存245未找到任何程序文件,那么流程轉(zhuǎn)到步驟1020,其中向一個或多個全局或其他外部白名單,例如圖1中所示的全局白名單165,和/或一個或多個內(nèi)部白名單,例如圖1中所示的內(nèi)部白名單133,搜索中央信任高速緩存245中未找到的每個程序文件。如果在至少一個白名單上識別出程序文件,那么將所識別的程序文件的信任狀態(tài)定義為信任,但如果在任何白名單上都未識別程序文件,那么將程序文件的信任狀態(tài)定義為不信任。在已經(jīng)搜索白名單之后,流程轉(zhuǎn)到步驟1030,其中利用具有信任狀態(tài)的程序文件(即在白名單之一上識別的)的校驗和來更新中央信任高速緩存245。然后可以將程序文件的信任狀態(tài)返回到圖8的步驟820。實時信任確定流程1000還可以包括額外的邏輯,以評估任何白名單中都未找到并因此具有不信任狀態(tài)的程序文件,以確定是否存在允許將不信任程序文件提升到信任狀態(tài)的預(yù)定義條件。這樣的預(yù)定義條件可以包括本文前面已經(jīng)參考圖6所示和所述的啟發(fā)式考慮。如果存在一個或多個預(yù)定義條件,那么可以將程序文件提升到信任狀態(tài)。不過,如果沒有預(yù)定義條件適用于程序文件,那么不信任狀態(tài)持續(xù),并且可以將程序文件定義為不信任。實時信任確定流程1000還可以包括額外的邏輯(未示出),以評估除白名單之外的黑名單,其也在本文前面所述。轉(zhuǎn)到圖11,圖11示出了網(wǎng)絡(luò)保護裝置400的網(wǎng)絡(luò)強制流程1100,可以將其與用于網(wǎng)絡(luò)級保護的系統(tǒng)的批處理實施例(圖5-7)和實時實施例(圖8-10)兩者一起使用。流程可以開始于步驟1110,其中網(wǎng)絡(luò)保護裝置400的過濾器/防火墻410截獲與軟件進程(例如主機300上的執(zhí)行軟件進程345)相關(guān)聯(lián)的網(wǎng)絡(luò)流量。在范例實施例中,TCP/IP網(wǎng)絡(luò)流量可以是以多個電子分組的形式。流程然后轉(zhuǎn)到步驟1120,其中做出關(guān)于以下的查詢:記錄規(guī)則是否適用于截獲的分組,這可以通過搜索網(wǎng)絡(luò)規(guī)則元件420而確定。如果記錄規(guī)則適用,在步驟1130中利用與網(wǎng)絡(luò)流量相關(guān)的事件數(shù)據(jù)來更新事件日志430。一旦更新了事件日志430,或者如果在步驟1120中確定沒有記錄規(guī)則適用,那么流程轉(zhuǎn)到步驟1140,其中做出關(guān)于以下的查詢:網(wǎng)絡(luò)約束規(guī)則是否適用于截獲的分組。這個查詢可以通過搜索網(wǎng)絡(luò)規(guī)則元件420而做出。如果不存在針對所截獲分組的網(wǎng)絡(luò)約束規(guī)則,那么流程轉(zhuǎn)到步驟1190,并允許分組穿過過濾器/防火墻410通往其目的地址。不過,如果網(wǎng)絡(luò)約束規(guī)則適用于截獲的分組,那么流程轉(zhuǎn)到步驟1180。在步驟1180中,將網(wǎng)絡(luò)約束規(guī)則應(yīng)用于分組,并且相應(yīng)地約束分組(例如,阻止分組,將分組重定向到另一服務(wù)器,切換VLAN成員等)。圖12示出了用于記錄網(wǎng)絡(luò)訪問企圖的流程1200,可以在用于網(wǎng)絡(luò)級保護的系統(tǒng)的批處理實施例(圖5-7)和實時實施例(圖8-10)中實施該流程。流程可以開始于步驟1210,其中檢索來自網(wǎng)絡(luò)保護裝置400的事件日志430的日志記錄。在范例實施例中,僅檢索新的日志記錄(例如從上次預(yù)定日期和時間起增加到事件日志430的日志記錄、從上次對記錄事件數(shù)據(jù)庫231更新起增加到事件日志430的日志記錄等)。替代地,可以檢索并處理所有日志記錄或可以檢索所有日志記錄,并且流程1200可以包括額外處理以確定哪些日志記錄是新的。在從網(wǎng)絡(luò)保護裝置400檢索日志記錄之后,流程轉(zhuǎn)到步驟1220,其中可以從進程流量映射數(shù)據(jù)庫234檢索信息。進程流量映射數(shù)據(jù)庫234可以提供用戶可理解的信息,例如程序文件路徑和主機標(biāo)識,其與日志記錄中的網(wǎng)絡(luò)流量事件數(shù)據(jù)對應(yīng)。例如,可以將來自日志記錄的目的地址和端口以及源地址和端口映射到進程流量映射數(shù)據(jù)庫234中的不信任程序文件路徑。在另一個范例中,可以使用來自日志記錄的規(guī)則ID來找到向進程流量映射數(shù)據(jù)庫234中的或替代地一些其他單獨數(shù)據(jù)庫或記錄中的不信任程序文件路徑的映射。在從進程流量映射數(shù)據(jù)庫234檢索用戶可理解信息之后,流程轉(zhuǎn)到步驟1230,其中可以利用來自日志記錄的網(wǎng)絡(luò)流量事件數(shù)據(jù)和任何對應(yīng)的進程流量映射信息來更新記錄事件數(shù)據(jù)庫231。記錄事件數(shù)據(jù)庫231中存儲的可能網(wǎng)絡(luò)流量事件數(shù)據(jù)和對應(yīng)進程流量映射信息的范例包括與所截獲分組相關(guān)聯(lián)的數(shù)據(jù),例如程序文件路徑、主機的標(biāo)識、日期與時間戳、源地址和端口號、目的地址和端口號等等。對于批處理實施例和實時實施例兩者,流程1200可以被配置成以任何預(yù)定時間間隔(例如每星期、每天、每小時等)運行。在一些實施例中,可以將流程1200實現(xiàn)為行政保護模塊220的一部分。替代地,在批處理實施例中,可以將流程1200實現(xiàn)為圖5中所示流程500的一部分。行政保護模塊220可以通過例如管理控制臺210或任何其他報告機制來提供對記錄事件數(shù)據(jù)庫231中數(shù)據(jù)的訪問。記錄事件數(shù)據(jù)庫231中的數(shù)據(jù)能夠為用戶提供關(guān)于由網(wǎng)絡(luò)保護裝置400所截獲并與網(wǎng)絡(luò)之內(nèi)主機上的不信任程序文件相關(guān)聯(lián)的的網(wǎng)絡(luò)流量的信息。如本文前面所述,根據(jù)是否啟用了強制以及是否已經(jīng)創(chuàng)建并向網(wǎng)絡(luò)保護裝置400推送了對應(yīng)的約束規(guī)則,可以阻止或不阻止或以其他方式約束這樣的網(wǎng)絡(luò)流量。于是,不論是否阻止或以其他方式約束網(wǎng)絡(luò)流量,都可以發(fā)生在流程1200中記錄與這樣的網(wǎng)絡(luò)流量相關(guān)的事件數(shù)據(jù)以及接下來處理該事件數(shù)據(jù)??梢栽诓煌恢锰帲ɡ缙髽I(yè)IT總部、最終用戶計算機、云中的分布式服務(wù)器等)提供用于實現(xiàn)在這里簡述的操作的軟件。在其他實施例中,可以從網(wǎng)絡(luò)服務(wù)器接收或下載這種軟件(例如,在購買針對單獨網(wǎng)絡(luò)、裝置、服務(wù)器等的個體最終用戶許可的情境中),以便提供用于針對惡意軟件的網(wǎng)絡(luò)級保護的這種系統(tǒng)。在一種范例實施方式中,這種軟件駐留于尋求保護以免受安全攻擊的(或?qū)で蟊Wo以免受對數(shù)據(jù)的不希望或非授權(quán)操控的)一個或多個計算機中。在其他范例中,用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)的軟件可能涉及專有元件(例如,作為網(wǎng)絡(luò)安全解決方案的一部分,該解決方案具有McAfee?ApplicationControl軟件、McAfee?ChangeControl軟件、McAfee?ePolicyOrchestrator軟件、McAfee?PolicyAuditor軟件、McAfee?ArtemisTechnology軟件、McAfee?HostIntrusionPrevention軟件、McAfee?VirusScan軟件等),其可以被提供于(或臨近)這些指出的元件中,或者被提供于任何其他裝置、服務(wù)器、網(wǎng)絡(luò)設(shè)備、控制臺、防火墻、交換機、路由器、信息技術(shù)(IT)裝置、分布式服務(wù)器等中,或者被提供為補充解決方案(例如,結(jié)合防火墻),或者在網(wǎng)絡(luò)中某處提供。在如圖1中所示的范例本地網(wǎng)絡(luò)110中,主機120、中央服務(wù)器130、網(wǎng)絡(luò)保護裝置140和副服務(wù)器180是便于針對惡意軟件保護計算機網(wǎng)絡(luò)的計算機。如在本說明書中在此使用的那樣,術(shù)語“計算機”和“計算裝置”意在涵蓋任何個人計算機、網(wǎng)絡(luò)設(shè)備、路由器、交換機、網(wǎng)關(guān)、處理器、服務(wù)器、負(fù)載均衡器、防火墻或任何其他適當(dāng)?shù)难b置、部件、元件或可操作成影響或處理網(wǎng)絡(luò)環(huán)境中的電子信息的物體。此外,這種計算機和計算裝置可以包括任何適當(dāng)?shù)挠布④浖?、部件、模塊、接口或便于其操作的物體。這可以包括允許有效保護和數(shù)據(jù)通信的適當(dāng)算法和通信協(xié)議。在某些范例實施方式中,可以在軟件中實現(xiàn)在這里勾勒的針對惡意軟件的網(wǎng)絡(luò)級保護方面所涉及的活動。這可以包括中央服務(wù)器130(例如中央保護部件135)、主機120(例如本地保護部件124)、網(wǎng)絡(luò)保護裝置(例如,網(wǎng)絡(luò)級強制部件145)、和/或副服務(wù)器180中提供的軟件。如本文所述,這些部件、元件和/或模塊能夠彼此合作,以便進行活動,以提供針對諸如僵尸網(wǎng)絡(luò)的惡意軟件的網(wǎng)絡(luò)級保護。在其他實施例中,可以在這些元件外部提供這些特征,在其他裝置中包括這些特征,以實現(xiàn)這些預(yù)期的功能,或者通過任何適當(dāng)方式合并。例如,可以將保護活動進一步在主機120中定位,或者進一步集中于中央服務(wù)器130中,并且可以移除圖示的處理器中的一些,或以其他方式進行合并,以適應(yīng)特定的系統(tǒng)配置。在一般意義上,圖1中所描繪的布置在其表現(xiàn)上可以更有邏輯性,而物理架構(gòu)可以包括這些部件、元件和模塊的各種排列/組合/混合。所有這些元件(主機120、中央服務(wù)器130、網(wǎng)絡(luò)保護裝置140、和/或副服務(wù)器180)包括軟件(或往復(fù)式軟件),其能夠協(xié)調(diào)、管理或以其他方式合作,以便實現(xiàn)保護活動,包括信任確定、記錄、強制和截獲,如這里所簡述的那樣。另外,一個或所有這些元件可以包括任何適當(dāng)?shù)乃惴ā⒂布?、軟件、部件、模塊、接口或便于其操作的物體。在涉及軟件的實施方式中,這樣的配置可以包括在一種或多種有形介質(zhì)中編碼的邏輯(例如,專用集成電路(ASIC)中提供的嵌入式邏輯、數(shù)字信號處理器(DSP)指令、要由處理器或其他類似機器執(zhí)行的軟件(可能包括目標(biāo)代碼和源代碼)等),其中有形介質(zhì)包括非暫態(tài)介質(zhì)。在這些情形中的一些中,一個或多個存儲器元件(如包括圖1、2、3、4的各附圖中所示)能夠存儲用于在這里所述的操作的數(shù)據(jù)。這包括能夠存儲為執(zhí)行本說明書中所描述的活動而執(zhí)行的軟件、邏輯、代碼或處理器指令的存儲器元件。處理器能夠執(zhí)行與數(shù)據(jù)相關(guān)聯(lián)的任何類型的指令以實現(xiàn)本說明書中在這里詳述的操作。在一個范例中,處理器(如圖2、3和4所示)可以將元件或物品(例如數(shù)據(jù))從一種狀態(tài)或事物轉(zhuǎn)換成另一種狀態(tài)或事物。在另一個范例中,可以利用固定邏輯或可編程序邏輯(例如由處理器執(zhí)行的軟件/計算機指令)來實現(xiàn)在這里簡述的活動,并且這里指出的元件可以是某種類型的可編程處理器、可編程數(shù)字邏輯(例如現(xiàn)場可編程門陣列(FPGA)、可擦寫可編程只讀存儲器(EPROM)、電可擦可編程只讀存儲器(EEPROM))或ASIC,其包括數(shù)字邏輯、軟件、代碼、電子指令或其任意適當(dāng)組合。這些元件(例如計算機、服務(wù)器、網(wǎng)絡(luò)保護裝置、防火墻、分布式服務(wù)器等)的任一個都能夠包括存儲器元件,以用于存儲實現(xiàn)如在這里所簡述的保護活動方面所使用的信息。在適當(dāng)?shù)那闆r下且基于特定的需求,這些裝置還可以在任何適當(dāng)?shù)拇鎯ζ髟ɡ珉S機存取存儲器(RAM)、ROM、EPROM、EEPROM、ASIC等)、軟件、硬件或任何其他適當(dāng)部件、裝置、元件或物體中保持信息。這里所討論的存儲項的任一種(例如記錄事件數(shù)據(jù)庫、中央不信任軟件清單、本地不信任軟件清單、內(nèi)部白名單、策略數(shù)據(jù)庫、進程流量映射數(shù)據(jù)庫、中央信任高速緩存、網(wǎng)絡(luò)規(guī)則元件、時間日志等)應(yīng)當(dāng)被解釋為被包括在廣義術(shù)語“存儲器元件”之內(nèi)。類似地,本說明書中描述的潛在處理元件、模塊和機器的任一種都應(yīng)該被解釋為被包括在廣義術(shù)語“處理器”之內(nèi)。計算機、主機、網(wǎng)絡(luò)保護裝置、服務(wù)器、分布式服務(wù)器等的每種還可以包括適當(dāng)?shù)慕涌?,以用于在網(wǎng)絡(luò)環(huán)境中接收、發(fā)送和/或以其他方式傳送數(shù)據(jù)或信息。注意,對于在這里提供的范例,可以按照兩個、三個、四個或更多網(wǎng)絡(luò)部件來描述交互。不過,這樣做僅僅是為了清晰和舉例的目的。應(yīng)當(dāng)認(rèn)識到,可以通過任何適當(dāng)方式加強針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)。與類似的設(shè)計替代方式一起,可以在各種可能配置中組合圖中任何例示的計算機、模塊、部件和元件,所有配置顯然都在本說明書的寬廣范圍之內(nèi)。在某些情況下,可能更容易通過僅參考有限數(shù)量的部件或網(wǎng)絡(luò)元件描述給定流程組的一個或多個功能。因此,還應(yīng)當(dāng)認(rèn)識到,圖1的系統(tǒng)(及其教導(dǎo))是容易可縮放的。該系統(tǒng)能夠容納大量的部件,以及更復(fù)雜或精密的布置和配置。因此,提供的范例不應(yīng)限制用于網(wǎng)絡(luò)級保護的系統(tǒng)的范圍或約束其寬泛教導(dǎo),因為其潛在地適用于各種其他架構(gòu)。重要的是還要指出,參考前面附圖描述的操作僅例示了可以由用于針對惡意軟件的網(wǎng)絡(luò)級保護的系統(tǒng)所執(zhí)行或可以在其內(nèi)執(zhí)行的可能情形中的一些。在適當(dāng)?shù)那闆r下可以刪除或移除這些操作中的一些,或者可以相當(dāng)大程度地修改或改變這些操作,而不脫離所論述概念的范圍。此外,可以相當(dāng)大程度地改變這些操作的時機且仍然實現(xiàn)本公開中教導(dǎo)的結(jié)果。例如,通過搜索白名單進行的信任確定可以在搜索外部或全局白名單之前通過搜索內(nèi)部白名單而執(zhí)行。已經(jīng)提供前面的操作流程是為了舉例和論述的目的。該系統(tǒng)提供了顯著的靈活性,因為可以提供任何適當(dāng)?shù)牟贾谩r序、配置和時機機制而不脫離所論述概念的教導(dǎo)。