使用网络动作控制列表来保护网络服务.pdf

提供了具有受保护的网络服务的计算机系统。计算机系统包括处理器、存储器和网络动作处理模块。网络动作处理模块处理来自在计算机系统上运行的一个或多个网络服务的网络动作。计算机系统还被配置成结合网络动作处理模块来运行执行网络动作的至少一个网络服务。在从网络服务接收网络动作之后，网络动作处理模块根据网络动作控制列表来确定该网络动作是否是有效网络动作。如果该网络动作被确定为不是有效网络动作，则该网络动作被阻塞。或者，如果该网络动作被确定为有效网络动作，则许可该网络动作完成。

1.  一种含有受保护的网络服务的计算机系统，所述计算机系统包括：
处理器；
存储器；和
网络动作处理模块，处理来自在所述计算机系统上运行的一个或多个网络服务的网络动作；
其中所述计算机系统被配置成结合所述网络动作处理模块来运行执行网络动作的至少一个网络服务；且
其中所述网络动作处理模块在从网络服务接收网络动作之后：
根据网络动作控制列表来确定所述网络动作是否是有效网络动作；
如果所述之前的判断得出所述网络动作不是有效网络动作，则阻塞所述
网络动作；以及
如果所述之前的判断得出所述网络动作是有效网络动作，则许可所述网
络动作完成。

2.  如权利要求1所述的计算机系统，其特征在于，还包括网络动作确认模块，其中所述网络动作处理模块根据网络动作控制列表来确定所述网络动作是否是有效网络动作包括：
根据网络动作控制列表向所述网络动作确认模块查询所述网络动作是否是有效网络动作，所述网络确认模块能够访问所述网络动作控制列表；以及
从所述网络动作确认模块接收指示所述网络动作是否是有效网络动作的响应。

3.  如权利要求2所述的计算机系统，其特征在于，在从网络服务接收网络动作之后，所述网络动作处理模块：
确定所述网络动作是否属于要由所述网络动作确认模块确认的类型；以及
仅在所述网络动作属于要由网络动作确认模块确认的类型时向所述网络动作确认模块查询所述网络动作是否是有效网络动作。

4.  如权利要求3所述的计算机系统，其特征在于，确定所述网络动作是否属于要由所述网络动作确认模块确认的类型包括：确定所述网络动作是否是端点创建网络动作。

5.  如权利要求3所述的计算机系统，其特征在于，所述网络动作确认模块通过将所述网络动作与所述网络动作控制列表中对应于发出所述网络动作的所述网络服务的条目进行比较来确定所述网络动作是否是有效网络动作。

6.  如权利要求5所述的计算机系统，其特征在于，每一网络动作与唯一标识发出所述网络动作的网络服务的网络服务标识符相关联；且
其中所述网络动作确认模块通过将所述网络动作与所述网络动作控制列表中对应于根据所述网络动作中的所述网络服务标识符的网络服务的条目进行比较来确定所述网络动作是否是有效网络动作。

7.  如权利要求6所述的计算机系统，其特征在于，所述网络动作确认模块在所述网络动作控制列表中不存在拒绝对所述网络服务的许可的条目的情况下确定所述网络动作是有效网络动作。

8.  如权利要求5所述的计算机系统，其特征在于，所述网络动作确认模块还在审计日志中记录关于所述网络动作的信息以及它们是否是有效网络动作。

9.  如权利要求2所述的计算机系统，其特征在于，所述网络动作控制列表是从对应于网络服务的至少一个动作清单中生成的，所述动作清单标识用于所述对应的网络服务的有效网络动作。

10.  如权利要求2所述的计算机系统，其特征在于，所述网络动作处理模块为计算机系统上的TCP/IP堆栈处理模块。

11.  一种承载计算机可执行指令的计算机可读介质，所述指令当在联网计算机上执行时，实现保护所述计算机上的网络服务的方法，所述方法包括：
从网络服务接收网络动作；
确定所述网络动作是否应被进一步确认为有效网络动作，如果是，则：
根据网络动作控制列表来确定所述网络动作是否是用于所述网络服务的
有效网络动作；
如果根据所述网络动作控制列表，所述网络动作不是有效网络动作，则
阻塞所述网络动作；以及
如果根据所述网络动作控制列表，所述网络动作是有效网络动作，则许
可所述网络动作完成。

12.  如权利要求11所述的计算机可读介质，其特征在于，确定所述网络动作是否应被进一步确认为有效网络动作包括确定所述网络动作是否是端点创建网络动作，使得如果所述网络动作是端点创建网络动作则所述网络动作应被进一步确认。

13.  如权利要求11所述的计算机可读介质，其特征在于，所述根据网络动作控制列表来确定所述网络动作是否是用于所述网络服务的有效网络动作包括：将所述网络动作与所述网络动作控制列表中对应于所述网络服务的条目进行比较。

14.  如权利要求13所述的计算机可读介质，其特征在于，所述网络动作包括唯一标识所述网络服务的网络服务标识符，且其中所述方法将所述网络动作与所述网络动作控制列表中对应于由所述网络服务标识符所标识的所述网络服务的条目进行比较。

15.  如权利要求14所述的计算机可读介质，其特征在于，如果在所述网络动作控制列表中不存在对应于由所述网络服务标识符所标识的所述网络服务的条目，则所述网络动作被确定为有效网络动作。

16.  如权利要求11所述的计算机可读介质，其特征在于，所述方法还包括将判断所述网络动作是否是用于所述网络服务的有效网络动作的结果写入审计日志。

17.  如权利要求11所述的计算机可读介质，其特征在于，所述网络动作控制列表包括从对应于至少一个网络服务的至少一个动作清单中生成的条目。

18.  一种保护连接至网络的计算设备上的网络服务的方法，所述方法包括：
从在所述计算设备上操作的网络服务接收网络动作；
确定所述网络动作是否属于应被验证为有效网络动作的类型，且如果是，则：
获取唯一地标识所述网络服务的网络服务标识符；
根据网络动作控制列表中对应于由所述网络服务标识符标识的所述网络服务的一个或多个条目，确定所述网络动作是否是用于所述网络服务的有效网络动作；以及
如果根据所述网络动作控制列表，所述网络动作不是有效网络动作，则阻塞所述网络动作。

19.  如权利要求18所述的方法，其特征在于，确定所述网络动作是否属于应被验证为有效网络动作的类型包括确定所述网络动作是否是端点创建网络动作，且如果所述网络动作是端点创建网络动作，则所述网络动作应被进一步确认。

20.  如权利要求18所述的方法，其特征在于，如果在所述网络动作控制列表中不存在对应于如由所述网络服务标识符所标识的网络服务所对应的网络服务的条目，则所述网络动作被确定为有效网络动作。

使用网络动作控制列表来保护网络服务
背景
如几乎任何计算机用户都明白的，恶意软件是对连接至因特网的任何计算机的恒久的威胁。恶意软件(malware)(用于串接“malicious(恶意)”和“software(软件)”的术语)指的是有害的程序或文件。因此，恶意软件包括计算机蠕虫、病毒、特洛伊木马和间谍软件，以及误用或滥用合法计算机和/或网络系统特征和服务的计算机系统攻击。
大多数恶意软件过去通常针对于破坏或损害计算机系统。受感染计算机系统的典型结果是硬盘驱动器被擦除或被破坏。不幸的是，恶意软件近来版本背后的目的包括比简单地破坏或毁坏计算机系统邪恶得多的恶意企图。更具体地，恶意软件现在被用于窃取个人信息以便于进行欺诈和身份窃取以访问银行帐户等。现在检测恶意软件的感染效果更困难了，因为与以往的恶意软件结果不同，目的不是使受感染的计算机关机，而是令其继续运行使得可违法地获取更多的信息。
为了抗击恶意软件，网络连接的计算机几乎基本上都使用反病毒软件(现在更倾向于称之为反恶意软件软件)来针对感染进行保护。此外，众多计算机用户也依赖于结合反病毒软件的硬件和/或软件防火墙，以保护计算机。不幸的是，即使处于反病毒软件和防火墙的保护之下，某些恶意软件威胁，尤其是新形恶意软件能成功地感染计算机系统。而且，如本领域的技术人员所理解的，一旦恶意软件感染了计算机系统之后，恶意软件通常使用受感染的计算机系统来感染其他计算机系统。
计算机系统的网络服务，即形成与外部网络的来往通信信道的进程是恶意软件的主要目标且尤其易受攻击。在某些情况中，恶意软件可强迫网络服务来执行允许其他进程进一步损害计算机系统的动作。例如，可引导未受保护的网络服务来打开通信端口，允许第三方访问计算机系统并从而获取对计算机系统的控制。在受感染的电子邮件中传递的流氓应用程序可成功地引导网络服务来打开未受保护的端口。不幸的是，一旦网络服务被损害，该计算机即向恶意软件的恶意企图开放。
如上所述，不总是可能防止恶意软件感染。然而，即使当计算机系统受到感染时，通过阻止网络服务执行会损害或进一步损害计算机系统的网络动作来容忍感染将是有益的。实际上，如果网络服务能被限于“好的”网络动作将是非常有用的。

概述
提供了具有受保护的网络服务的计算机系统。计算机系统包括处理器、存储器和网络动作处理模块。网络动作处理模块处理来自在计算机系统上运行的一个或多个网络服务的网络动作。计算机系统还被配置成结合网络动作处理模块来运行执行网络动作的至少一个网络服务。在从网络服务接收网络动作之后，网络动作处理模块根据网络动作控制列表来确定该网络动作是否是有效网络动作。如果该网络动作被确定为不是有效网络动作，则该网络动作被阻塞。或者，如果该网络动作被确定为有效网络动作，则许可该网络动作完成。
也提供了承载计算机可执行指令的计算机可读介质。当在联网计算机上运行时，计算机可执行指令实现用于保护计算机上的网络服务的方法。该方法包括从网络服务接收网络动作。作出该网络动作是否应被进一步确认为有效网络动作的判断。如果该网络动作应被进一步确认，则根据网络动作控制列表来作出该网络动作是否是用于该网络服务的有效网络动作的判断。如果根据网络动作控制列表，该网络动作不是有效网络动作，则该网络动作被阻塞。如果根据网络动作控制列表，该网络动作是有效网络动作，则该网络动作被许可。
还提供了用于保护连接至网络的计算设备上的网络服务的方法。该方法包括从在该计算设备上操作的网络服务接收网络动作。作出该网络动作是否属于应被验证为有效网络动作的类型。如果该网络动作属于应被验证为有效网络动作的类型，则获取网络服务标识符。该网络服务标识符唯一地标识了网络服务。根据网络动作控制列表中对应于由网络服务标识符标识的网络服务的一个或多个条目，作出该网络动作是否是用于该网络服务的有效网络动作的判断。如果根据网络动作控制列表确定该网络动作不是有效网络动作，则该网络动作被阻塞。

附图描述
当结合附图参考以下详细描述时，前述方面和本发明的众多附加优点将更容易领会且更好理解，附图中：
图1是示出适于实现受保护的网络服务的计算机系统的示例性硬件组件的框图；
图2是示出带有受保护网络服务使得仅允许计算机系统与网络之间的有效网络活动的计算机系统的框图；
图3是示出生成网络动作控制列表以及将网络活动控制列表推广给网络活动确认模块的过程的框图；
图4是示出用于在含有受保护的网络服务的计算机系统中处理网络动作的示例性例程的流程图；以及
图5A和5B是示出用于根据网络活动控制列表来确定网络活动是否是有效网络活动的示例性子例程的流程图。
详细描述
如上所述，图1是示出适于实现受保护的网络服务的计算机系统100的示例性硬件组件的框图。尽管计算机系统可包括众多组件，但示例性计算机系统100包括处理器102、存储器104以及用于将计算机系统100通过接口连接至网络108的网络接口106。如本领域的技术人员所理解的，存储器104包括随机存取存储器110和只读存储器112两者。
也示出了非易失性存储114。如本领域的技术人员所理解的，尽管某些计算设备，包括某些手持式计算设备在内，排他地使用非易失性存储器作为其非易失性存储介质，但典型的非易失性存储介质是磁硬盘驱动器。不论实际介质为何，存储114一般存储操作系统116(包括操作系统提供的网络服务)以及一个或多个应用程序，诸如应用程序118。
示例性计算机系统100也被示为包括网络接口106。网络接口106是计算机系统中与网络108通过接口连接的硬件。尽管网络接口一般被体现为专门为网络通信设计的硬件，但网络接口106可以是串行连接、通用串行总线(USB)连接、红外线连接、IEEE 1394连接等。
考虑以上，提供受保护的网络服务的合适的计算机系统包括但不限于：个人计算机、膝上型和笔记本计算机、个人数字助理(PDA)、混合PDA/移动电话设备、带有网络连接能力的移动电话、小型机和大型机等。
图2是示出带有受保护的网络服务使得在计算机系统与网络108之间仅允许有效网络活动226的示例性计算机系统200的框图。在示例性计算机系统200中示出了三个网络服务202-206。当然，三个网络服务的图示仅用于显示和简明的目的，而不应被解释为对本发明的限制。
网络服务通过执行如网络动作208-212所示的各种网络动作来提供与网络108的来回通信，这些网络动作诸如打开通信端口、对与通信端口相关联的存储器位置读写信息、在网络上监听定向到计算机系统200的数据包等。每一网络活动包括完成动作所必需的信息，诸如但不限于，源地址(发起计算机系统的IP地址)、指示通信信道的源端端口的源端口、协议、标识要被采取的动作以及与该动作有关的数据的信息、目的地端口、目的地地址等。此外，根据本发明的各方面，网络动作包括唯一标识发起网络服务的信息，诸如网络服务标识符。当然，本领域的技术人员可以理解，对于所包括的标识发起网络服务的信息而言，这样的信息不必被包括在网络动作中，而可与网络动作捆绑和/或从提交网络动作的方式中确定。在任何情况中，为了将网络动作约束于有效网络动作，网络动作的发起网络服务必须可被标识。因而，在网络动作中包括标识信息应被视为本发明的说明，而不被解释为对本发明的限制。如以下进一步所述的，发起服务网络的身份是可用于确定网络动作是否是有效网络动作的一个因素。
为了确保在计算机系统200与网络108之间仅传递有效的网络动作226，网络动作必须经过网络动作处理模块214。当诸如网络动作208-212的网络动作被接收时，网络动作处理模块214简要地检查每一动作，并确定该动作是否应由网络动作确认模块216评估来确定该动作是否是有效的网络动作。
网络动作处理模块214确定不应由网络动作确认模块216确认的那些网络动作被允许完成。或者，如果网络动作要被进一步检查，则网络动作处理模块214向网络动作确认模块216发送有效性查询222。一般，有效性查询222可包括所述网络动作，但也可替换地仅包括网络动作确认模块216确定网络动作是否是有效网络动作226所必需的信息。
响应于有效性查询222，网络动作确认模块216返回有效性响应224，指示该网络动作是否是有效网络动作。如果有效性响应224指示该网络动作是有效网络动作，则网络动作处理模块214允许该网络动作完成。或者，如果有效性响应224指示该网络动作不是有效网络动作，则网络动作处理模块214终止该网络动作，即不允许该网络动作完成。
当确定网络动作是否是有效网络动作时，网络动作确认模块216将网络动作的各个方面与网络动作控制列表218进行比较。网络动作控制列表218包括一组规则或条件，如果满足规则或条件，即将网络动作标识为有效或无效网络动作。这些规则/条件可包括一般或特别将某些网络动作标识为无效网络的动作的“黑列表”规则，以及一般或特别将某些网络动作标识为有效网络动作的“白列表”规则。给定网络动作的有效性/无效性可基于来自网络动作的众多因素之一或其组合，包括但不限于：源或目的地IP地址、生成网络动作的网络服务(每个均有其网络服务标识符)、动作的类型、所使用的协议、用作为源端点或目的地端点的端口等。这些因素当被一起处理时，可被视为网络动作在其上操作的“网络对象”。该“网络对象”可被用作网络访问控制列表的一部分。
除确认/作废网络动作以外，网络动作确认模块216也可在审计日志220中跟踪网络动作，以及它们是否是有效网络动作。审计日志220然后可由系统管理员使用来标识故障区，包括标识计算机系统受到恶意软件感染的可能性。
如上所述，网络动作处理模块214简要地检查每一动作并确定该动作是否应由网络动作确认模块216来评估以确定该动作是否是有效网络动作。根据一个实施例，这种判断是基于网络动作的类型来进行的。具体地，在某一实施例中，仅构成“端点”创建的网络动作被发送给网络动作确认模块216来确认。如本领域的技术人员所理解的，“端点”创建包括创建和/或打开计算机系统200与网络108之间的通信信道的网络动作。“端点”创建网络动作可包括，但不限于：打开通信端口、创建至远程实体的连接、监听用于连接的端口等。或者，网络动作处理模块214可被配置成通过评估经过网络动作处理模块214的所有网络动作来执行所谓的“深”评估。也可实现其他层次的检查。
对于网络动作处理模块214，尽管该模块可以是与其他操作系统组件(尤其是网络相关的操作系统组件)分开的组件，但上述功能可适当地被集成到一个或多个现有组件内。例如，微软公司的操作系统软件(以及来自其他供应商的操作系统)包括TCP/IP堆栈处理组件(通常一般被称为TCP/IP堆栈)，通过该组件处理所有基于TCP、UDP和IP的动作/通信。因为所有的TCP、UDP和IP动作均流经TCP/IP堆栈，因此通过将上述功能集成到TCP/IP堆栈内，网络服务202-206不必被修改来保护它们免于执行无效网络动作。类似地，其他通信协议一般包括可集成上述功能的中央处理模块。然而，尽管将上述网络动作处理模块214的功能集成到一个或多个现有组件内是有益的，但本发明不应如此限制地解释。
尽管存在可导出网络动作控制列表218的各种方式，但根据一个实施例，从由各个网络服务的开发员和/或供应商提供的信息中生成网络动作控制列表。图3是示出生成网络动作控制列表218并将其推广给网络活动确认模块216的过程的框图。具体地，随着开发和/或部署网络服务，诸如网络服务202-206，网络服务的开发员或供应商也可提供相应的动作清单，诸如动作清单302-306。动作清单描述了相应的网络服务的许可和/或预期的网络动作(以及诸如上述网络对象的相关联信息)。例如，如果网络服务202的开发员和/或供应商预期网络服务仅打开了端口88和144并通过它们来通信，则该信息被包括在其相应的动作清单302中。此外，每一动作清单应包括标识相应的网络服务的信息，诸如上述网络服务标识符。
动作清单302-306由管理和配置模块308处理，其中管理员可接受由动作清单所提供的“建议”或根据安全需求对其修改。此外，使用管理和配置模块308，管理员可根据与管理员或流行的网络条件相关的安全策略就一个或多个网络服务添加附加的规则和/或条件。
从这些动作清单、附加条件和规则以及管理员配置和修改中，管理和配置模块308生成动作控制列表，并将该列表存储在网络动作控制列表存储310中。根据一个实施例，网络动作控制列表存储310是计算机系统的注册表。使用计算机系统的注册表的一个优点在于，注册表的某些区域受到保护而免于受到除管理员以外进行的修改。这一安全措施保护网络动作控制列表免于被恶意软件感染破坏，这种破坏会导致进一步破坏以及无效网络动作的允许和完成。
如本领域的技术人员所理解的，管理和配置模块308就操作系统而言在用户模式中操作。然而，一般，网络动作处理模块214(以及网络服务202-206)将在内核模式即管理存储器、文件和外设并运行应用程序、分配系统资源等的操作系统核心中操作。因此，为了从网络动作控制列表存储310向网络动作确认模块216(它与网络动作处理模块214一起在内核模式中操作)传送网络动作控制列表，包括用户模式/内核模式通信信道的推广模块312将网络动作控制列表218传送给网络动作确认模块。
图4是示出用于在含有受保护的网络服务的计算机系统中处理网络动作的示例性例程400的流程图。开始于框402，网络动作处理模块214接收网络动作。在判定框404，作出网络动作是否属于要确认的类型的判断。如上所述，根据一个实施例，仅作为端点创建的网络动作属于要确认的类型。
如果网络动作不是要进一步确认的类型，例程400前进至框414，在那里网络动作即假定的有效网络动作被处理，即允许其完成。或者，如果网络动作是要进一步确认的类型，则在框406，向网络活动确认模块216转发有效性查询222(图2)。
在框408，网络动作确认模块216根据网络动作控制列表218来确定有效性查询222的网络动作是否是请求网络服务的有效网络动作。根据网络动作控制列表218来确定网络动作是否是有效网络动作将在以下关于图5A和5B来描述。
图5A和5B是示出用于根据网络动作控制列表218来确定网络动作是否是有效网络动作的示例性子例程500的流程图。
开始于框502，网络活动确认模块216标识对应于作为有效性查询222的主题的网络动作的网络服务。尽管这可由多种方式来完成，但根据一个实施例，为网络动作获取网络服务的网络服务标识符。在一个实施例中，从容纳网络服务的进程的进程令牌中获取网络服务标识符。例如，在微软公司的操作系统的某些版本中，进程令牌是操作系统使其与一进程相关联的上下文，用于存储关于该进程中运行的程序的标识和特权信息。
在判定框504，作出关于网络访问控制列表218中是否存在对应于所标识的网络服务的特定条目的判断。如果没有找到对应于该网络服务的条目，则在框512(图5B)，向网络动作处理模块214返回指示网络活动是有效网络活动的有效性响应224，且子例程500终止。通过在缺乏对应于所标识的网络服务的任何条目的情况下默认有效性的假定，假定未为该网络服务生成行为清单，或行为清单未被包括在网络动作控制列表218中。在任一情况中，许可网络动作，而非关闭对该网络资源的所有活动，这是作出其网络动作无效的假定的效果。显然，在替换实施例中，默认可以是无效性的假定。类似地，网络动作控制列表218中完全缺乏对应于所标识的网络服务的条目会在审计日志220中生成特殊条目，对该网络服务进行标记以提请管理员的特别注意。
如果在判定框504中，在网络动作控制列表218中找到了对应于该网络服务的一个条目，则子例程500前进至框506。在框506处，标识网络动作控制列表218中对应于所标识的网络服务的所有条目。在框508处，标识所标识的条目中最紧密对应于该网络动作(即有效性查询222的主题)的条目。在判定框510处，根据网络动作控制列表218中最紧密对应的条目来作出该网络动作是否被许可的判断。如果根据之前的判断该网络动作被许可，则在框512处，向网络活动处理模块214返回有效性响应224，指示该网络动作是有效网络动作，且子例程500终止。或者，如果根据之前的判断，该网络动作不被许可，则在框514(图5B)处，向网络动作处理模块214返回无效性响应224，指示该网络动作不是有效网络动作。
再次对于图4，在从网络动作有效性模块216获取了有效性响应224之后，在判定框410处，作出该网络动作是否是有效网络动作的判断。如果该网络动作不是有效网络动作，则在框412处，该网络动作被阻塞。或者，如果该网络动作是有效网络动作，则在框414处，处理该网络动作(即，允许其完成)。之后，例程400返回至框402以获取并处理其他网络动作。
尽管示出和描述了各个说明性实施例，但可以理解，可对其进行各种改变而不背离本发明的精神和范围。