通信架构中的中间网络节点及其执行的方法

文档序号:7652922阅读:253来源:国知局
专利名称:通信架构中的中间网络节点及其执行的方法
技术领域
本发明涉及通信架构领域,更具体地说,涉及分组交换通信网络中交换节点的操作。
背景技术
今天的互联网可以在终端设备之间传送音频、视频以及数据包,这些数据包可能来自加密的文件,或者是加密的数据包。互联网架构通常包括网络节点如路由器、交换机、分组交换机、接入点、互联网服务提供商网络(ISPN)、互联网通信路径和终端设备。终端设备可包括个人或便携式计算机、服务器、机顶盒、手持数据/通信设备和例如其他客户端设备。互联网中通过节点进行的互联网通信中充斥着不受限制的数据包通信流,其中可能包含破坏性的、未经授权的、不想要的和不适当的内容。破坏性的内容包括包含有病毒代码的数据包,破坏终端设备的功能。
然而,终端设备通常无法清除这些数据包或者数据包流。为达到清除的目的,终端设备用户通常会安装病毒检测、隔离和/或删除软件包(下文简称为“病毒处理包”)。由于当前的病毒处理包往往无法处理不断增多的病毒,用户往往需要购买多个病毒处理包。尽管偶尔是免费的,但多数病毒处理包都很贵,尤其是想到需要使用多个这种病毒处理包的时候。
为消除日益严重的病毒威胁,病毒处理过程变得越来越复杂。在执行病毒处理服务时,这些软件包往往会减缓或中断其他用户和终端设备操作。在这种减缓和中断过程中,还伴随有对正在使用的病毒处理包进行更新和续展的过程。
尽管用户做出了努力,但终端设备有时还是会感染病毒。这常常是由于出现了新病毒或者出现了当前正在使用的病毒处理包无法处理的病毒。此外,用户常常忘记更新或者续展已经安装的病毒处理包,这也会导致感染新病毒。病毒的传播经常会很成功,尽管多数用户坚持使用并不断更新病毒处理包。病毒处理包往往在被感染一段时间后执行操作。因此,忘记升级或续展,或者单纯的定期检测都可能使病毒获得对终端设备的控制权。一旦获得了控制权,这些病毒会立即尝试感染局域网内的其他终端设备,继而传播到互联网上。
病毒可通过多种方式进入终端设备。它们经常隐藏在移动媒介中,随着移动媒介在终端设备之间交换,一个接着一个的感染终端设备。其他方式还包括通过通信链路进入。例如,许多病毒通过互联网找到入口。终端设备在使用网页浏览器或电子邮件应用程序时,交换获得并执行病毒代码。一些电子邮件服务提供商会将包含这些病毒的电子邮件附件过滤掉,以此尝试阻止病毒的传播。某些网页浏览器也内置有一些服务,可暂停当前的操作,并警告正在进行的下载或可执行代码是感染病毒的传播手段,并允许用户终止这些操作。
比较本发明后续将要结合附图介绍的系统,现有技术的其它局限性和弊端对于本领域的普通技术人员来说是显而易见的。

发明内容
本发明介绍了一种装置和操作方法,下面的


具体实施方式
和权利要求将对其进行详细的描述。
根据本发明,提供了一种数字通信架构,用于从第一终端设备向第二终端设备传送多个数据包,其中每个数据包包含载荷内容,所述数字通信架构包括通信路径、多个服务功能块、多个预先定义的病毒模板以及处理电路。该通信路径将这些数据包从第一终端设备发往第二终端设备。在沿至少部分该通信路径传送上述多个数据包时,所述处理电路将这些数据包中的每个数据包与上述预先定义的病毒模板进行无重复地比较,并且至少部分基于比较结果,选择上述多个服务功能块中的一个。
根据本发明,提供了一种互联网架构中的分组交换机(PSE),其位于通信路径上,支持将数据包从源终端设备发往目的端终端设备。该PSE包括多台交换机、包含第一线路卡的多个线路卡以及通信连接到上述多台交换机的主处理电路。该第一线路卡通信连接到上述多台交换机,包括第一网络接口和第一辅助处理电路。该第一线路卡判断是否需要对该数据包进行载荷分析。此外,若需要进行载荷分析,则该第一线路卡将该数据包的载荷内容与多个预先定义的病毒模板进行比较,根据该数据包载荷内容的比较结果,第一线路卡将该数据包和补充信息发往上述主处理电路。该主处理电路将该数据包与预先定义的补充病毒模板进行比较,并根据比较结果,将该数据包发往多个服务模块中的第一服务模块进行处理。
本发明还提出一种互联网架构中的网络节点,其接收从源终端设备发往目的端终端设备的第一组多个数据包,所述网络节点包括用于接收所述多个数据包的接口电路、连接到该接口电路的存储器和处理电路。该处理电路检查是否需要进行载荷分析,若是,则将所述第一组多个数据包与至少一个病毒模板进行比较。随后,根据比较结果,该处理电路对该数据包交执行服务模块的处理。
根据本发明的一个方面,提供了一种通信架构,用于提供分组交换通信路径以便交换数据包,所述通信架构包括源终端设备;具有目的地址的目的终端设备;骨干网,包括用于组建至少一条从所述源设备到所述目的设备的通信路径的多台交换设备;所述源设备将包含有所述目的地址和病毒特征的数据包发往所述多台交换设备中的第一交换设备;所述多台交换设备中的所述第一交换设备在收到所述数据包后,检测所述病毒特征,并触发病毒服务功能;所述多台交换设备中的所述第一交换设备中止将所述数据包发往由所述目的地址所指的所述目的设备。
在本发明所述的通信架构中,所述多台交换设备中的所述第一交换设备通过将所述数据包与多个病毒模板进行比较来检测所述病毒特征。
在本发明所述的通信架构中,所述病毒服务功能是从多个病毒服务模块中选出的,其中每个病毒服务模块对应多个病毒模板中的至少一个。
在本发明所述的通信架构中,所述多个病毒模板中的第一病毒模板与数据包载荷进行比较。
在本发明所述的通信架构中,所述多个病毒模板中的第一病毒模板与补充数据包信息进行比较。
在本发明所述的通信架构中,所述病毒服务功能包括发送与所述检测有关的消息。
在本发明所述的通信架构中,所述消息包括对用户的挑战机制。
在本发明所述的通信架构中,所述多台交换设备中的所述第一交换设备在进行所述比较之前先执行解密操作。
在本发明所述的通信架构中,还包括通信连接到所述多台交换设备中的所述第一交换设备的服务器,所述病毒服务功能至少部分在所述服务器上执行。
在本发明所述的通信架构中,所述多台交换设备尽量降低对病毒的重复检测。
在本发明所述的通信架构中,所述病毒服务功能包括通过修改所述数据包的内容来使所述病毒失效。
在本发明所述的通信架构中,所述病毒特征的检测证实所述数据包的至少一部分中存在病毒。
在本发明所述的通信架构中,所述病毒特征的检测显示所述数据包的至少一部分中可能存在病毒。
根据本发明的一个方面,提供了一种应用在通信架构中的中间网络节点电路,用于提供分组交换通信路径,以便在第一终端设备和第二终端设备之间交换数据包,其中所述第二终端设备具有网络地址,所述中间网络节点电路包括第一接口电路,用于接收所述第一终端设备发起的第一数据包,所述第一数据包包括有所述第二终端设备的网络地址和病毒特征;第二接口电路,与所述第二终端设备的网络地址相关联;交换电路,在所述第一接电路和所述第二接口电路之间选择性的提供通信路径;
处理电路,比较至少一个模板与所述数据包以检测所述病毒特征;所述处理电路在检测到所述病毒特征后触发病毒服务功能。
在本发明所述的中间网络节点电路中,所述病毒服务功能包括发送与所述检测有关的消息。
在本发明所述的中间网络节点电路中,所述消息包括对用户的挑战方式(challenge mechanism)。
在本发明所述的中间网络节点电路中,所述处理电路在进行所述比较之前先执行解密操作。
在本发明所述的中间网络节点电路中,所述处理电路通过执行本地存储的程序代码来触发所述病毒服务功能。
在本发明所述的中间网络节点电路中,所述处理电路通过外部系统来触发至少一部分所述病毒服务功能。
在本发明所述的中间网络节点电路中,所述病毒服务功能包括修改所述数据包的内容。
在本发明所述的中间网络节点电路中,检测到所述病毒特征说明所述数据包的至少一部分中存在病毒。
在本发明所述的中间网络节点电路中,检测到所述病毒特征显示所述数据包的至少一部分中可能存在病毒。
在本发明所述的中间网络节点电路中,所述中间网络节点电路位于接入点设备中。
在本发明所述的中间网络节点电路中,所述中间网络节点电路位于互联网骨干节点中。
根据本发明的一个方面,提供了一种由分组交换通信路径上支持源终端设备的中间网络节点执行的方法,包括接收由所述源终端设备发起的第一数据包;将所述第一数据包与多个病毒模板进行比较,其中每个病毒模板与多个病毒服务功能中的至少一个相关联;
当所述第一数据包与任一病毒模板匹配失败后发送所述第一数据包;接收由所述源终端设备发起的具有病毒特征的第二数据包;将所述第二数据包与所述多个病毒模板进行比较;当所述第二数据包与至少一个病毒模板匹配成功时,触发所述多个病毒服务功能中所选择的一个。
在本发明所述的方法中,还包括定期更新所述多个病毒模板。
在本发明所述的方法中,还包括发送与匹配成功有关的消息。
在本发明所述的方法中,所述消息包括人为的挑战。
在本发明所述的方法中,所述多种病毒服务功能中所选病毒功能的至少一部分位于远端。
以下将参考附图对本发明的实施例进行详细说明,通过这些说明,本发明的特征和优势将变得更加明显。

图1a是本发明病毒处理架构一实施例的结构示意图,其中由交换节点来检测并触发对包含病毒代码的数据包的处理;图1b是图1a中病毒处理架构实施例的结构示意图,其中详细描述了中间分组路径节点107;图1c是图1a中病毒处理架构另一实施例的结构示意图,其中由使用代理功能的中间互联网骨干节点来对包含有加密或编码后的病毒信息的数据包进行检测和处理;图2是依据本发明一实施例的通信架构205的结构示意图,其中网络范围内病毒模板和服务模块的更新可手动或自动进行,一个或多个中间网络节点与外部提供商服务器群一同检测带有病毒内容的数据包并无重复地处理该数据,并向终端设备发送消息;图3是图2中通信架构的部分结构示意图,其中根据本发明详细的描述了其中一个中间网络节点的功能模块;图4是根据本发明图1a-c和图2的实施例构建的网络节点(交换机/路由器/ISPN/AP)的结构示意图;图5是根据本发明图1a-c和图2的实施例构建的分组交换机的结构示意图;图6是根据本发明图1a-c和图2的实施例构建的终端设备(服务器和/或客户端)的结构示意图;图7是根据本发明图1a-c和图2的实施例构建的接入点的结构示意图;图8是描述图3、4、5和7中网络设备功能的一般流程的流程图;图9是继续描述图8中图3、4、5和7所示的网络设备功能的流程图;图10是描述图3、4、5和7所示网络节点中如图9所示的服务模块管理器的详细流程的流程图;图11是描述图3、4、5和7中网络节点功能的一般流程的流程图,其中该网络节点临时缓存包含病毒内容的数据包,确定发出该病毒的终端设备然后做出适当的响应。
具体实施例方式
图1a是本发明病毒处理架构一实施例的结构示意图,其中由交换节点来检测并触发对包含病毒代码的数据包的处理。在该病毒处理架构中,多个终端设备如服务器101、电话机103和计算机105由分组路由架构中的设备提供保护,防止受到病毒感染。
当终端设备尝试交换数据包时,互联网109中的多个中间分组路径节点107接收来自源端的数据包并转发给目的端。在收到数据包后,中间分组路径节点109拦截这些数据包检查其中是否包含病毒。拦截检查过程包括将数据包中的字段和/或数据包中的载荷与多个提供商的病毒模板和相关逻辑111进行比较。由病毒服务模块管理器113来执行这种比较。若检测到病毒或疑似病毒(下文中若数据包中包含“病毒特征”,则认为是病毒或疑似病毒),病毒服务模块管理器113分别将该数据包发往至少一个内部和外部的病毒服务模块115和117。例如,病毒特征可能包括一个或多个载荷字节序列,若数据包中存在这种序列,则说明数据包载荷中存在某种病毒的至少一部分。病毒特征还可能包括与不断尝试扩散病毒的已知终端设备的地址相匹配的源地址。同样,病毒特征还可能包括至少表明可能存在病毒的文件名文本序列或其他载荷或补充数据包字段。
病毒服务模块115和117进行进一步的处理,以确认存在病毒。无论是否执行这种进一步的操作,病毒服务模块115和117都会针对相关联的病毒施加特定的操作。例如,病毒服务模块115或117可向交换通信中的一方或者双方终端设备发送警告信息,但仍然传送该数据包。或者,也可丢弃该数据包,并发出也可不发出警告。除了丢弃数据包,病毒服务模块115和117还可修改数据包以使该病毒失效,并且不影响或影响通信交换的整个过程。服务模块的特定操作由病毒软件开发商提供,其目的是发出警告、限制或阻止病毒的传播。
尽管可能只用到仅仅一个提供商本地存储的服务模块和相关联的模板和逻辑,但病毒处理架构支持使用多个提供商针对特定病毒或病毒家族设定的多个服务模块。这些服务模块可存储在中间分组路径节点107或外部服务器和服务器群119上,也就是病毒服务模块115和117。内部病毒服务模块115以及模板和相关联的逻辑111可从存储在外部服务器和群集119上刚刚发布的病毒库进行自动或手动的更新。例如,由一个提供商最新发布的病毒库可存储在病毒模板和逻辑121中,并且可以复制到多个提供商模板和逻辑111中。病毒服务模块115也可进行类似地更新或添加操作。
为避免其他中间分组路径节点121重复进行病毒处理,每个中间分组路径节点121会在已经检查过的数据包中添加一个标记。或者,多个中间分组路径节点121还可共同选出路径中的一个节点121来执行分析操作。
当路径中加载防病毒保护后,各个终端设备可以无需运行防病毒保护软件,除非为防止可移动媒介带来病毒而安装。由于终端设备及其用户不负责更新,图中所示的防病毒架构需要保持为最新的,但这很容易实现。
图1b是图1a中病毒处理架构实施例的结构示意图,其中详细描述了中间分组路径节点107(图1a)。具体来说,两台终端设备,源设备121和目的设备123通过互联网架构交换一系列数据包。源设备121使用数据段、目的设备123的互联网地址以及其他信息构建数据包。源设备121随后将该数据包发往互联网架构中,并指向目的设备123。互联网架构提供路由路径,以供该数据包从源设备121发往目的设备123。在该路由路径中,将对该数据包应用如图1a中描述的病毒处理。若在对该数据包的分析过程中显示存在病毒或疑似病毒,则将中止传送该数据包,发出终端设备警告,并可以修改数据包的内容,和/或调用服务功能针对特定潜在病毒定义的其他功能。
终端设备之间的路由路径包括个人接入点125和127、服务提供商接入点129和132、其他的服务提供商设备133和135,以及多个骨干节点如骨干交换—路由器137和139。节点125到139包括前文提到的“中间路径节点”。该中间路径节点还可包括将数据包从源设备121发往目的设备123途中涉及的任何设备。通常,如图所示,这些设备包括互联网109骨干网中的路由器和交换机,还可包括例如但不限于个人接入点设备、服务提供商设备(包括接入点设备、路由器、交换机、网关、计算设备等)和骨干网设备(路由器、网桥和交换机)。
如图所示,每个中间分组节点125、129、133、137、139、135、131和121具有对应的病毒数据包处理功能块141a-h。每个病毒数据包处理功能块141a-h包括拦截数据包内容以检查是否存在病毒,并支持对检测到病毒的本地或源端处理。尽管从源设备121到目的设备123的路径中每个中间节点都可以对进行病毒数据包处理,但可采用多种配置来避免重复检查。
例如,在其中一种配置中,执行病毒数据包处理的第一中间节点在该数据包中补充一个字段,用于标示已经进行过拦截检查。该字段中的实际内容为所使用的病毒模板的版本。路径中使用相同或较旧版本病毒模板的其他节点不会调用病毒处理过程。然而,检查出字段中病毒版本为较旧版本的后续中间节点使用比该旧版本更新的和修订后(更新后)的病毒模板来进行拦截检查。在应用了更新后的模板后,后续的中间节点使用刚刚应用的最新模板的版本替代字段中的内容,然后继续转发该数据包。除此之外,还可使用多个字段或更为复杂的字段来避免重复检查。
在另外一种配置中,路径中的中间节点彼此之间或通过承担病毒数据包处理任务的控制中心通过指定端口交换其它额外的数据包。例如,尽管骨干网交换—路由器137也可以承担这个任务,但可指配骨干网交换—路由器139来拦截检查来自骨干网交换—路由器137的所有通信流。而由骨干网交换—路由器139转发给骨干网交换—路由器137的所有流量的拦截检查任务则由交换—路由器137来承担。除此之外,还可在整个网络架构中协商、强制执行其他类似的配置。
与图中所示不同,病毒数据包处理功能块也可不必安装在路径中的每个中间节点上,只要保证在至少一个上安装、启动并执行对应的操作即可。例如,可以只在位于网络边缘或者网络核心上的中间分组路径节点安装或启用该功能块。也可在网络中其他部分安装此功能块。
图1c是图1a中病毒处理架构另一实施例的结构示意图,其中由使用代理功能的中间互联网骨干节点来对包含有加密或编码后的病毒信息的数据包进行检测和处理。具体来说,在病毒处理架构151中,中间互联网骨干节点将发自源终端设备如服务器159的数据包路由至目的终端设备如个人计算机(PC)161。如图所示,图中虚线部分展示了一条包含中间互联网骨干节点、用于路由数据包的可能通信路径,即经由互联网骨干网163中的交换或路由节点153、155和157。尽管在本实施例中并不直接支持病毒处理,但接入点(AP)165和167以及互联网服务提供商网络(ISPN)169和171中的其他设备提供到互联网骨干网163的连接。除了提供路由功能,中间节点153-157还与外部提供商服务器群173合作,将数据包载荷与病毒模板进行比较,检测包含病毒代码的数据包并处理检测到的数据包。这种合作可包括a)在中间节点内将病毒模板与数据包进行比较,在匹配成功后将该数据包发往内部或外部进行处理;或b)将数据包的副本发往外部服务器或服务器群173与病毒模板进行比较,在匹配成功后由外部服务器或服务器群173将该数据包发往中间节点进行处理。
互联网骨干网163还包含更多其他的交换节点,如节点179至187,这些节点也对收到的数据包执行上述功能。如果中间骨干节点153-157或179-187遇到加密或编码后的数据包或包含在加密或编码后的文件中的数据包,则将对这些数据包和/或文件的对应部分进行对应的解密和解码,然后对其应用病毒检测和处理功能。在一个实施例中,为进行这种解密和解码操作,代理流控制191、192和193可针对处理中的中间节点进行阶梯式加密和编码操作。源终端设备使用中间骨干节点的公共密钥而不是目的终端设备的公共密钥。在收到数据包后,中间骨干节点使用其私有密钥来解密该数据包。在解密后,将进行病毒拦截检查和处理。若未检测到病毒,则中间节点使用目的设备的公共密钥来加密该数据包(即加密该数据包载荷),再将加密后的数据包转发到目的设备。解码过程也将以类似的阶梯方式进行。
通过支持临时存储、文件重建,代理流控制191-193还支持文件加密和编码操作以及随后的病毒处理。不同于将构成文件的多个数据包发往目的终端设备,源终端设备将这些数据包发往中间骨干节点,中间骨干节点对这些数据包进行重新组合,然后应用上述病毒拦截检查操作。若收到的文件中未包含病毒,则中间骨干节点将这些数据包发往目的设备。
图2是依据本发明一实施例的通信架构205的结构示意图,其中网络范围内病毒模板和服务模块的更新可手动或自动进行;一个或多个中间网络节点与外部提供商服务器群一同检测带有病毒内容的数据包且处理过程不会重复进行,并且还会向终端设备发送消息。网络215中的中间网络节点如节点221、222和223可以式接入点、路由器、交换机、ISPN或可将数据包从服务器(通常为源终端设备)207路由到PC(通常为目的终端设备)209的任意其他节点。
可以使用多个外部提供商的服务器群如服务器群251、261和271,它们通信连接到中间网络节点,其内具有外部病毒模板253、263和273以及外部服务模块(SM)255、265和275。此外,中间节点221、222和223内也可为外部提供商病毒模板和SM如模板和SM 231、232和233提供存储空间。这些模板和SM 231、232和233可降低处理数据包所需要的时间,并可由各自的提供商进行不断更新。这样一来,中间节点221、222和223可频繁自动或手动更新其病毒检测性能,其过程可由外部提供商服务器群251、261和271协助进行,也可无需这些服务器群的参与。
上述病毒检测和处理功能包括将进站数据包载荷与节点中可用的病毒模板进行比较,并应用模板逻辑中对应的服务模块(服务模块处理)。通过编程,服务模块处理包括在检测到病毒时向双方终端设备207和209或者其中的一方发送消息,通知检测到病毒或检测到疑似病毒但尚未确认。该消息还可要求使用人为挑战机制,以防止病毒删除该消息,使用户无法收到通知。方框211和213中展示了这种人为挑战消息,其中还可加入其他一些信息,如发送方和接收方的IP地址、发送方的电子邮件地址或其他联系信息、病毒类型、详细信息、清除病毒的方法、清除病毒的可执行代码或清除病毒的网站或下载的链接(例如超文本)。
如图所示,该消息可以是显示在个人计算机209和/或服务器207上的弹出消息。为了删除该弹出消息,人为挑战机制要求输入图片中病毒软件很难识别的数字或标识。除此之外,还可使用指纹或其他生物挑战或密码输入方式。在存在病毒的情况下,若病毒可被抑制,则在通过人为挑战后,用户可继续下载该数据包。同理,若尚未确认病毒,但拦截检查显示存在疑似病毒,则在确认后可继续传送该数据包。这种方式允许传送那些包含类似文件名或文件内容但实际上并非病毒的数据包。但是,若中间网络节点221、222和223可以肯定数据包中包含病毒代码,则会拦截这些数据包,并向服务器和个人计算机发送对应的消息。包含病毒的数据包将被丢弃,中间节点221、222和223还会将发送方IP地址存储一段时间,并在检测到其试图再次发送病毒时,采取必要的措施,例如隔离。
对真正的病毒、疑似病毒和可能的病毒(总称为病毒特征)的检测过程包括匹配(全部或部分的)过程,例如1)熟知的恶意源IP地址;2)病毒代码(包括可执行代码或代表文本或数据的代码如文件名);3)特殊文件或下载类型。为抑制病毒,将对整个数据包或数据包中的有害部分进行替换。在目的端用户仍然需要使用正在传送的这些数据或信息时,抑制方式非常有利。
图3是图2中通信架构的部分结构示意图305,其中根据本发明详细的描述了其中一个中间网络节点的功能模块。源终端设备即服务器341通过中间网络节点343、307和345向目的终端设备即个人计算机347发送数据包,该数据包可能经过加密且含有病毒。在其他实施例中,源终端设备341或目的终端设备347可以是服务器、个人计算机、笔记本计算机、手持计算机、电话机或通过网络发送或者接收数据包或文件的其他用户设备。网络节点343、307和345可以是分组交换机(PSE)、路由器/交换机、接入点(AP)或互联网服务提供商设备。
图中所示的中间网络节点307包括处理电路309、与其通信连接的加密管(encryption pipe)311和解密管(decryption pipe)313。加密管311和解密管313可以是硬件,用于加快对收到的数据包的加密和解密。此外,中间网络节点307包括有本地存储器315和多个网络接口333。本地存储器315进一步包括有检验管理器317,用于确保仅由数字通信架构305中参与到数据包路由过程中的一个中间网络节点如节点307进行载荷内容分析和服务模块应用,以实现病毒检测和处理。本地存储器315中还包含用于对数据包进行包头和载荷分析以及应用服务功能的其他必要功能模块,如加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器319、服务模块管理器323、触发器逻辑325、病毒模板327和本地服务模块329。网络节点307通过代理流电路和缓存(proxy flow circuitry and cache)321来临时存储病毒数据包,并分析数据包载荷中是否包含病毒特征。此外,代理流电路和缓存321中还可存储病毒文件发送方的IP地址。路由规则331帮助将数据包路由到目的终端设备。
中间网络节点307可为外部提供商病毒模板和SM提供存储空间,将它们与病毒模板327和本地服务模块329一起存储。这些模板和SM可降低处理数据包所需要的时间。中间网络节点307允许外部提供商经常更新这些模板和SM。这样一来,中间节点307便可经常更新其病毒检测性能,其过程可由外部提供商协助进行,也可无需它们的参与。但是,源终端设备和目的终端设备之间通信路径上不同节点的性能不必相同,由检验管理器317来确保病毒检测和处理过程不会重复进行。
在本发明的一个实施例中,若网络节点307受到攻击或出现病毒,触发器逻辑325会将该数据包发往一个或多个本地服务模块329。本地服务模块329中可同时包含外部提供商服务模块和本地安装的服务模块。若服务模块无法在本地运行,则将使用远端或外部服务模块,如图2中提到的外部提供商服务器群上的服务模块。
服务模块可指示不要将数据包路由到目的终端设备,并进一步指示代理流电路321存储该数据包以及发送方IP地址,以便进行进一步操作。若从同一IP地址(例如源终端设备341)收到更多其他数据包,则代理流电路321会将存储的数据包重新组合,然后将生成的文件发往服务模块管理器323进行分析。此后,若分析确认生成的文件包含病毒,则将应用预先确定的动作。若再次尝试发送病毒文件,源终端设备341将被隔离。
病毒检测功能自身可识别病毒文件名或病毒比特序列。或者,病毒检测包括代码段分析,也就是分析想要执行某种操作的代码。例如,一些病毒可能会影响个人计算机347的注册表。但是,仅仅分析一个或几个数据包,网络节点通常可能无法确定是否正在传送病毒文件。在这种情况下,服务模块处理过程可以包括向源终端设备和目的终端设备341和347发送带有人为挑战的消息。该消息将以弹出消息的形式显示在显示器上,并要求自然人用户做出响应(人为挑战)。
该消息包括有标题如“病毒警告”,以及一些简要描述,包括病毒类型、发送方和接收方IP地址、风险指数和一些其他详细信息。此外,该消息还可以给出有关节点307所处状态的简要描述,如在缓存数据包过程中提示“我们正在处理该文件,请稍等”;或者在检测病毒数据包过程中提示“对不起,无法发送病毒文件”或者“正在发送的文件包含病毒序列”。此外,该消息还可包括有与风险指数和病毒动作有关的信息,如“这个病毒<病毒名和代码号>风险很高,会影响您的PC的注册表,并破坏<一个或多个应用程序的相关功能>”。或者,该消息还可表示“该病毒<病毒名和代码号>风险很低,会在您的PC中不断复制,然后发送给其他PC”。该消息可分为几个层次,其中包含有关该病毒如何破坏计算机的其他信息。
人为挑战可包括方向不同于计算机通常显示的字母数字的几个数字或字母,由自然人用户键入这些字母数字,以确认可以发送数据包。该过程允许传送那些并非病毒、但具有类似文件名或者内容的数据包。但是,若中间网络节点307非常肯定数据包中包含病毒,则会阻止发送过程,并如上文所述向服务器和个人计算机发送对应的消息。
检验管理器317用于检验比较表版本代码,以确保病毒检测不会重复进行。对比表版本代码中包含与前一节点用于与数据包进行比较的病毒模板以及对该数据包应用的服务功能相关的信息。包含在比较表版本代码中的信息可包括病毒模板版本、触发器逻辑版本、本地服务模块版本和本地或远端应用的服务模块。若通信路径上的任一节点包含有例如更新后的或最新版本的病毒模板,则该节点确定只需使用更新后的病毒模板进行比较。对于触发器逻辑和本地服务模块而言也同样如此。每个节点在处理完数据包之后都会插入这样的代码,用于通知参与到该数据包路由过程中的其他节点不要重复进行已经完成的处理。相反,若比较表版本代码不存在,则检验管理器317可确定尚未对该数据包进行过任何分析操作。
若到达网络节点307的数据包已经过加密,且检验管理器317确定需要对其进行进一步的分析,则加密/解密管理器319将对这些数据包进行解密。加密/解密管理器319向个人计算机347请求对应的私有密钥。该私有密钥将通过另一公共密钥加密会话以安全方式接收,或者以其他安全方式接收。
服务模块管理器(SMM)323分析该数据包,然后应用一种或多种服务模块(SM)处理。SMM 323包含多种病毒模板327例如包头触发模板和载荷触发模板,此外还包含触发器逻辑325。通常来说,病毒模板327随数据包的格式而变化。在分析该数据包过程中,服务模块管理器323将该数据包内容与病毒模板进行比较,若出现完全匹配或者部分匹配,则执行与此次匹配相关联的触发器逻辑。病毒模板327可包含典型的病毒文件名或病毒比特序列。随后,SMM 323应用触发器逻辑中指示的一种或多种服务模块处理。由触发器逻辑来为特定的数据包选择特定的服务模块处理,模板中指示的处理过程可包括上述处理过程之中的一种。
病毒模板323还可包括有空间相关触发器模板。空间相关载荷模板是分割为两个或者多个触发器模板的载荷触发器模板。一组空间相关载荷模板可包括多个比特序列,从一个相关模板到下一模板的比特序列是连续的。例如,一组空间相关载荷模板可包括由目标病毒代码分割而成的两个或多个连续比特序列。也就是说,一组空间相关载荷模板中的第一模板可包括从目标数据中取出的128个比特,第二模板可包括由从目标数据中取出的相邻的128个比特组成的另一序列。通过将较大的载荷触发模板分割为较小的空间相关模板,服务模块管理器323尝试将识别过程变得更为准确。这是因为由于事先并不知道数据包的载荷部分的大小,所以在将较大的载荷触发模板与数据包中较小的载荷部分进行比较时,触发器将不会工作。因此,通过将数据包的载荷部分与较小的空间相关载荷模板中的第一模板进行比较,触发器便可以工作。当第一模板触发触发器时,服务模块管理器323将序列的载荷部分与空间相关载荷模板中的第二模板进行比较,依此类推。在其他实施例中,对病毒的处理还可使用许多其他操作序列。
尽管上述实施例中的描述和展示过程是以假设个人计算机正在下载文件的方式进行的,通常来说,这些文件可代表任意数据包的传输,如网页、软件或带有或不带附件的电子邮件。该文件还可代表任意数据包的安全传输,例如银行交易过程中的加密数据包。同理,尽管图1a-图1c、图2和图3中展示的源终端设备和目的终端设备分别为一台服务器和一台个人计算机,但这些终端设备并非仅限于服务器和个人计算机,也可以是任意其他类型的设备,例如但不限于两台服务器或两台客户端设备。同理,终端设备之间数据流的方向也可以按相反方向传送或者在两个方向上同时传送。因此,还存在其他一些可能的方案。
图4是根据本发明图1a-c和图2所示实施例构建的网络节点407(交换机/路由器/ISPN/AP)的结构示意图405。网络节点电路407可以是路由数据包的任意互联网节点电路,并可部分的或者全部安装在网络设备如交换机、路由器和ISPN内,或接入点内。网络节点电路407通常包括处理电路409、本地存储器415、管理器接口449和网络接口441。这些组件通过系统总线、专用通信路径或其他直接或间接通信路径中的一个或多个在彼此之间通信互连。在不同实施例中,处理电路409可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列或其他处理电路。处理电路409通信连接到加密管411和解密管413。加密管411和解密管413可以通过硬件实现,以加快加密和解密处理速度。
本地存储器415可以是随机访问存储器、只读存储器、闪存、磁盘驱动器、光盘驱动器或可存储计算机指令和数据的其他类型存储器。本地存储器415中包含检验管理器417,该管理器会判断是否已经进行过分析和服务模板处理,并通过检验比较表版本代码来跳过已执行过的步骤,以此来确保不会对数据包进行重复处理。此外,本地存储器415还包括加密/解密和/或编码/解码(ENC/DEC/ENCR/DECR)管理器419,用于对通过接口441收到的加密数据包进行解密或者再次加密。本地存储器415还包含代理流电路和缓存421,用于临时存储并处理包含病毒的多种数据包及其对应的IP地址,同时还可存储收到的加密文件的数据包。
本地存储器415还包含服务模块管理器(SMM)423,用于将进站数据包的包头内容和载荷内容与适当的病毒模板427进行比较,以此来对进站数据包进行分析。此后,若在比较过程中出现匹配结果,触发器逻辑425会将这些数据包发往适当的本地服务模块429或远端服务模块,以应用对应的服务功能。本地存储器415还包含路由规则421,用于管理数据包流的传送。
此外,网络接口441包括有线和无线分组交换接口445、有线和无线电路交换接口447,除此之外,网络接口441还可包含内置的或独立的接口处理电路443。网络接口441允许网络设备与其他网络设备通信,允许处理电路409收发可能包含病毒代码序列和/或经过加密的数据包,以及获取用于对这些数据包进行解密以便进行分析的密钥。此外,当本地存储器中的服务模块不可用时,网络接口441还允许使用外部服务模块(SM)进行分析和处理。管理器接口449可包含显示器和键盘接口。这些管理器接口449允许网络交换机用户对本发明技术方案如检验管理器417、加密/解密管理器419和服务模块管理器423的特性进行控制。
与图中所示相比,在其他实施例中,本发明的网络节点407包括有更多或更少的组件,以及更多或更少的功能。换句话说,图中展示的网络设备仅仅给出本发明技术方案可能的功能和架构的一个实施例。在下文中将分别结合图5和图7,参照PSE和AP来描述网络节点的其他实施例。
网络节点407通过网络485通信连接到外部网络设备如相邻节点(未示出)或外部提供商服务器群491。外部提供商服务器群491还可包含本发明的组件如病毒模板493和外部服务模块495。此外,外部提供商服务器群491还可包含本发明的硬件和软件组件如加密管、解密管、加密/解密管理器、检验服务器和服务模块管理器(未示出)。
检验管理器417用于确保为查找病毒内容而对包头和载荷内容进行的分析和服务模块的应用仅由数字通信架构中参与数据包路由过程的一个中间网络节点如节点407来执行,而不会重复的执行。这是通过对处理过的数据包进行标记来实现的,该标记将向节点传达先前已经执行的处理过程。标记过程是通过插入比较表版本代码来实现的,其中包含有关前一节点应用到该数据包上的触发模板和服务功能的信息。检验管理器417在收到的每个数据包包头中搜索比较表版本代码。若数据包中不存在比较表版本代码,则说明尚未对该数据包进行病毒内容处理。相反,若存在比较表版本代码,则检验管理器417对该代码进行解码,以确定在该数据包上已经进行过的包头、载荷分析,以及已应用过的服务功能。借助这些信息,检验管理器417能够确定是否还需要进行进一步的病毒检测和处理。一方面,若还需要进行病毒检测和处理,则将该数据包发往加密/解密管理器419,若该数据包未进行加密,则直接发往服务模块管理器423进行进一步的分析。
图5是根据本发明图1a-c和图2的实施例构建的分组交换机507的结构示意图505。例如,分组交换机(PSE)电路507可以是图1c互联网骨干网163中或者图2网络215中的任意网络节点。PSE电路507通常包括路由器575,其包括通用主处理卡555、交换机509和多个线路卡515和581。此外,分组交换机507还包括外部设备571,例如存储单元或用户接口(未示出)。线路卡515和581在不同方案中可以不相同。
第一线路卡515包括网络接口525,用于连接有线和无线网络如10Mbit、1000Mbit以太网、5Gbit DWDM(密集波分复用)光纤网络。第一线路卡515还包括有交换机接口545,用于将其自身连接到互联交换机509。此外,第一线路卡515还包括辅助处理电路535,用于在互联交换机509路由数据包之前对这些数据包进行预处理。辅助处理电路535包括转发引擎537和转发缓存。除了对数据包进行预处理以外,辅助处理电路还包含检验管理器539,用于检验对进站分组已经做过的病毒内容检测和处理。该检验过程是通过解码比较表版本代码并解读与已完成处理有关的信息来实现的。若分组交换机507中所有可用的分析和服务模块功能早已由前面的一个或多个节点执行过,则检验管理器539将会不做任何延迟而允许路由该数据包。
通用主处理卡555还包括核心主处理电路557,其通信连接到加密管559和解密管561。加密管559和解密管561可以通过硬件实现,以加快加密和解密处理的速度。通用主处理卡555还包含加密/解密管理器563、服务模块管理器(SMM)565、病毒模板567和本地服务模块569。若检验管理器539指示需要进行分析并应用服务模块,则服务模块管理器565与病毒模板567、本地服务模块569,以及远端服务模块(未示出)合作进行数据包载荷分析和服务功能的应用。若分组交换机507执行数据包载荷分析并应用服务功能,则服务模块管理器565将在数据包包头中插入比较表版本代码。
服务模块管理器通过比较进站数据包载荷和病毒模板567,以及应用模板逻辑中指示的对应服务模块(服务模块处理)569来执行病毒检测和处理功能。服务模块的处理包括在检测到病毒时,向对应的终端设备发送带有人为挑战的消息。该消息可以是显示在终端设备如图2中展示的个人计算机209和/或服务器207显示器上的弹出消息。该消息的标题可以是例如“病毒警告”,并包含一段简要描述,其中包括病毒类型、发送方和接收方IP地址、风险指数和其他一些详细信息。此外,病毒模板567和本地服务模块569还可为外部提供商病毒模板和服务模块提供存储空间。
图6是根据本发明图1a-c和图2的实施例构建的终端设备(服务器和/或客户端)607的结构示意图605。该服务器/客户端电路607可以是发起和/或接收数据包的任意设备电路,这些数据包可以是加密过的也可以是未加密过的,且其中可能含有部分病毒代码,该电路可以部分或全部安装在图1a-c和图2中描述的任意终端设备上。服务器/客户端电路607通常包括处理电路609、本地存储器615、用户接口631和网络接口655。这些组件通过系统总线、专用通信路径或其他直接或间接通信路径中的一个或多个在彼此之间通信互连。在不同实施例中,处理电路609可以是微处理器、数字信号处理器、状态机、专用集成电路、现场可编程门阵列或其他处理电路。通过硬件实现的加密管611和解密管613通信连接到处理电路609,尽管在服务器端和客户端如个人计算机的实施例中,这些组件可以通过软件来实现。
网络接口655可包含有线和无线分组交换接口669、有线和无线电路交换接口671,以及内置或独立的接口处理电路667。网络接口655使得终端设备可与其他终端设备通信。用户接口631可包含显示器和键盘接口。
本地存储器615可以是随机访问存储器、只读存储器、闪存、磁盘驱动器、光盘驱动器或可存储计算机指令和数据的其他类型存储器。本地存储器615中包含简化形式的检验管理器617,用于协助验证目的端中的比较表版本代码。此外,本地存储器615还包括简化形式的加密/解密管理器619。简化的服务模块管理器623、触发器逻辑625、病毒模板627和本地服务模块629用于协助在源终端设备上对数据包进行预处理(即病毒检测和预处理功能)。
与图中所示相比,在其他实施例中,本发明的网络设备607可包括更多或更少的组件,以及更多或更少的功能,用于进行数据包交换,而不是语音包交换。换句话说,图中展示的终端设备仅仅给出本发明技术方案可能的功能和架构的一个实施例。
终端设备607通过网络685通信连接到外部网络设备如设备691。外部网络设备691可包括有本发明的组件如处理电路693和本地存储器695,该存储器中存储有服务模块管理器和病毒模板697、检验管理器(未示出)以及本发明的其他功能模块。在加载了安全性措施时,服务器或客户端设备通常通过发送和接收加密数据包来与对方通信。这些数据包在终端设备处使用密钥进行解密。当网络节点如远端设备691请求公共或私有密钥以便进行数据包分析时,加密/解密管理器619通过确认设备691发送的数字签名来验证远端设备691的身份。一旦得到确认,加密/解密管理器619便使用安全会话来发送所请求的密钥。但是,若源终端设备未对数据包进行加密,则无需进行此过程。终端设备常常被用作病毒服务器,其对病毒进行复制,然后将这些病毒发往其他设备,通过使用图中描述的组件,这些病毒中的一部分可由对应的终端设备检测出来并进行处理。
图7是根据本发明图1a-c和图2的实施例构建的接入点775的结构示意图705。该接入点电路775可以是图1b-c中或图2中网络215中任意接入点中的电路。接入点电路775通常包括多个通信路径电路715-781、核心主处理电路755和交换机709。在不同方案中,通信路径电路715-781均可以不同。第一通信路径电路715包括用于连接有线和无线网络的有线和/或无线网络接口725,用于连接互联交换机709的交换机接口745,以及辅助处理电路735。辅助处理电路735用于在互联交换机709路由数据包前,对该数据包进行预处理。
核心主处理电路755通信连接到加密管757和解密管759,这两个组件可使用硬件实现,以便更快的加密和解密数据包。此外,接入点电路775包括有加密/解密管理器761和密钥注册表。接入点电路775还包括有服务模块管理器765和本地服务模块767。接入点电路775的作用在某种程度上类似于图5中展示的分组交换机507,只不过接入点电路775内包含的是更为简化的组件。
图8是描述图3、4、5和7中网络设备功能一般流程的流程图805。该流程图开始于步骤811,网络节点通过其本地或远端服务分析收到数据包。收到的数据包可能已由前面的节点进行过处理,也可能经过加密或包含有加密文件的分割部分,或者包含有病毒文件名或代码序列。
在下一步骤813,网络节点根据独立的请求、病毒模板匹配结果或触发逻辑的指示来选择服务模块(SM)。若无匹配记录,则将不会对数据包做进一步处理,也就是说不会应用服务模块,将继续转发该数据包。
随后,在下一步骤815,网络节点应用选中的服务模块处理服务。这种使用服务模块进行的病毒处理过程包括向各自终端设备发送消息,以从终端设备获得是传送这些数据包还是简单的将其丢弃的确认。随后,在下一步骤817,若确定传送该数据包,则网络节点继续路由该数据包。
图9是图3、4、5和7中网络节点功能的详细流程图905。该网络节点的功能开始于开始步骤907。检测并处理数据包中的病毒代码序列的功能从整体上包括检验先前是否进行过分析,解密,检测病毒代码,应用服务模块,加密,插入比较表版本代码,以及继续路由数据包。在下一步骤911,网络节点通过网络接口收到数据包,然后将其发往检验管理器。
随后,在下一判断步骤913,网络节点中的检验管理器判断是否需要进一步分析。若不需要,也就是说网络节点中的所有病毒检测和处理性能与前一节点相同,则在步骤929将数据包向个人计算机转发。网络节点的功能结束于下一步骤931。
或者,若检验管理器在判断步骤913判断需要进行进一步的分析,则在下一步骤915,将数据包发送到网络节点加密/解密管理器。随后,在下一判断步骤917,加密/解密管理器判断进站数据包是否经过了加密。若是,则在下一步骤919,加密/解密管理器从个人计算机处接收私有密钥,并使用收到的私有密钥解密该数据包。在另一方面,若数据包载荷中包含加密文件段,则代理流管理器将该数据包与其他数据包一同缓存,以便进行图11流程图中将要描述的进一步处理。若数据包未曾加密,则将跳过步骤919。
随后,在下一步骤921,该数据包将发送到服务模块管理器。网络节点此后的功能即下一步骤A之后的部分将在图10所示的流程图中进行详细的描述。随后,在下一步骤923,网络节点判断在将数据包载荷与病毒模板进行比较过程中是否找到匹配结果。若否,则在步骤929将该数据包向个人计算机路由。网络节点的功能结束于下一步骤931。
另一方面,若找到匹配结果,则将在下一步骤925应用本地服务模块。本地服务模块也可包含有外部提供商的服务模块。若本地服务模块不可用,则将数据包发往外部提供商的服务器。随后,在下一步骤927,网络节点向服务器和个人计算机发送消息,并接收来自一方或者双方终端设备(也就是服务器和个人计算机)的响应。随后对该数据包采取适当的动作。在下一步骤929,若得到指示,则将该数据包路由到PC,网络节点功能结束于下一步骤931。
图10是接续图9中的流程图描述图3、4、5和7中网络节点功能的流程图1005。检测并处理数据包中的病毒代码序列的功能已经结合图9描述了步骤A之前的部分,即检验之前是否对数据包进行过分析、解密、发送该数据包到服务模块管理器。随后,在判断步骤1007,网络节点判断在与病毒模板进行比较的过程中是否找到精确的匹配结果。若否,则在下一判断步骤1009,网络节点判断是否找到部分匹配结果。若否,则在下一步骤1025,网络节点执行路由过程,网络节点功能结束于下一结束步骤1027。
若在步骤1007或者1009找到精确匹配结果或者部分匹配结果,则在下一步骤1011,网络节点的服务模块管理器运行一个或多个服务模块,以此对数据包执行一个或多个动作。对数据包执行的这些动作之一是在不采取任何动作的情况下在步骤1025中执行数据包路由。这种情况出现在例如应用服务模块确定部分匹配的该数据包内容中未包含任何病毒代码或文件名时。可能采取的另一动作是在步骤1015将数据包发往外部提供商服务器群。外部提供商服务器会对数据包进行病毒检测和处理,然后将其发送回网络节点。
可能采取的另一动作是在下一步骤1013向个人计算机和服务器发送消息,该消息中带有人为挑战并请求双方终端设备响应。在下一判断步骤1017,网络节点检查是否从双方终端设备收到响应信息。若未能收到双方或者其中一方终端设备的响应,则在下一步骤1019,网络节点丢弃该数据包。随后,网络节点在下一判断步骤1021检查从双方终端设备收到的是否都是响应“是”。若双方响应均为“是”,则网络节点在下一步骤1023执行路由过程,随后网络节点的功能结束于步骤1027。若有终端设备发送响应“否”,则在下一步骤1019,网络节点丢弃该数据包。或者,也可由外部提供商服务器执行步骤1013、1017、1019、1021,以及将数据包发送回网络节点以便进行路由。
图11是描述图3、4、5和7中网络节点功能一般流程的流程图1105,其中该网络节点临时缓存包含病毒内容的数据包,确定发出该病毒的恶意终端设备然后采取适当的措施。在本发明的该实施例中,网络节点使用代理流电路和缓存来存储并跟踪含有病毒内容的数据包以及发送方终端设备的IP地址。网络节点的功能开始于开始步骤1107。在下一步骤1109,网络节点从源终端设备或相邻的网络设备收到数据包,该数据包可能已经过加密。
在下一步骤1111,网络节点存储加密文件中所有到达的数据包,直到收到足够多的内容可以执行分析过程。在下一步骤1113,网络节点对加密数据包进行解密。随后,在下一步骤1115,网络节点对数据包载荷进行分析,并应用本地服务模块,或将数据包发往另一设备以应用外部服务模块。
随后,在下一步骤1117,若发现病毒代码,则网络节点向个人计算机和服务器发送带有人为挑战的消息,并接收响应信息。在下一步骤1119,若得到个人计算机和服务器的确认,则网络节点将数据包发往个人计算机。否则,若发现有再次尝试发送感染的病毒,则网络节点将隔离该服务器。除上述实施例介绍的方法外,在分析过程完成后,代理流电路还可存储包含病毒代码的数据包,然后应用服务模块,或继续进行上述步骤中的一些步骤。网络节点的功能结束于下一结束步骤1121。
本领域普通技术人员可知,本申请中所使用的短语“通信连接”包括有线的和无线的、直接的连接和通过其它组件、元件或模块的间接连接。本领域普通技术人员还可知,推定连接(即推定一个部件与另一个部件连接)包括两个部件之间与“通信连接”方式相同的无线的和有线的、直接的和间接的连接。
本发明通过借助方法步骤展示了本发明的特定功能及其关系。所述方法步骤的范围和顺序是为了便于描述任意定义的。只要能够执行特定的功能和顺序,也可应用其它界限和顺序。任何所述或选的界限或顺序因此落入本发明的范围和精神实质。
本发明还借助功能模块对某些重要的功能进行了描述。所述功能模块的界限和各种功能模块的关系是为了便于描述任意定义的。只要能够执行特定的功能,也可应用其它的界限或关系。所述其它的界限或关系也因此落入本发明的范围和精神实质。
本领域普通技术人员还可知,本申请中的功能模块和其它展示性模块和组件可实现为离散组件、专用集成电路、执行恰当软件的处理器和前述的任意组合。
此外,尽管以上是通过一些实施例对本发明进行的描述,本领域技术人员知悉,本发明不局限于这些实施例,在不脱离本发明的精神和范围的情况下,可以对这些特征和实施例进行各种改变或等效替换。本发明的保护范围仅由本申请的权利要求书来限定。
权利要求
1.一种通信架构,用于提供分组交换通信路径以便交换数据包,其特征在于,所述通信架构包括源终端设备;具有目的地址的目的终端设备;骨干网,包括用于组建至少一条从所述源设备到所述目的设备的通信路径的多台交换设备;所述源设备将包含有所述目的地址和病毒特征的数据包发往所述多台交换设备中的第一交换设备;所述多台交换设备中的所述第一交换设备在收到所述数据包后,检测所述病毒特征,并触发病毒服务功能;所述多台交换设备中的所述第一交换设备中止将所述数据包发往由所述目的地址所指的所述目的设备。
2.根据权利要求1所述的通信架构,其特征在于,所述多台交换设备中的所述第一交换设备通过将所述数据包与多个病毒模板进行比较来检测所述病毒特征。
3.根据权利要求2所述的通信架构,其特征在于,所述病毒服务功能是从多个病毒服务模块中选出的,其中每个病毒服务模块对应多个病毒模板中的至少一个。
4.根据权利要求2所述的通信架构,其特征在于,所述多个病毒模板中的第一病毒模板与数据包载荷进行比较。
5.根据权利要求3所述的通信架构,其特征在于,所述多个病毒模板中的第一病毒模板与补充数据包信息进行比较。
6.一种应用在通信架构中的中间网络节点电路,用于提供分组交换通信路径,以便在第一终端设备和第二终端设备之间交换数据包,其中所述第二终端设备具有网络地址,其特征在于,所述中间网络节点电路包括第一接口电路,用于接收所述第一终端设备发起的第一数据包,所述第一数据包包括有所述第二终端设备的网络地址和病毒特征;第二接口电路,与所述第二终端设备的网络地址相关联;交换电路,在所述第一接电路和所述第二接口电路之间选择性的提供通信路径;处理电路,比较至少一个模板与所述数据包以检测所述病毒特征;所述处理电路在检测到所述病毒特征后触发病毒服务功能。
7.根据权利要求6所述的中间网络节点电路,其特征在于,所述病毒服务功能包括发送与所述检测有关的消息。
8.根据权利要求7所述的中间网络节点电路,其特征在于,所述消息包括对用户的挑战方式。
9.一种由分组交换通信路径上支持源终端设备的中间网络节点执行的方法,其特征在于,所述方法包括接收由所述源终端设备发起的第一数据包;将所述第一数据包与多个病毒模板进行比较,其中每个病毒模板与多个病毒服务功能中的至少一个相关联;当所述第一数据包与任一病毒模板匹配失败后发送所述第一数据包;接收由所述源终端设备发起的具有病毒特征的第二数据包;将所述第二数据包与所述多个病毒模板进行比较;当所述第二数据包与至少一个病毒模板匹配成功时,触发所述多个病毒服务功能中所选择的一个。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括定期更新所述多个病毒模板。
全文摘要
本发明涉及通信架构中的中间网络节点及其执行的方法。在数字通信架构中,中间网络节点将来自终端设备的数据包与多个病毒模板进行比较。在检测到匹配结果时,调用病毒服务功能,并中断数据包流。网络范围内的模板和服务功能更新将为多个病毒服务软件提供商提供服务。检测过程不会重复进行,以此将网络负担降至最低。病毒服务功能可在本地和/或远端执行。这种服务包括将包含病毒代码的数据包丢弃或处理并路由这些数据包。通过发送带有人为挑战机制的弹出消息,可提示出现与模板匹配的数据包。外部提供商服务器和服务器群可协助网络节点检测数据包中是否包含病毒代码,并处理数据包。
文档编号H04L12/24GK101068204SQ20071010267
公开日2007年11月7日 申请日期2007年4月26日 优先权日2006年5月5日
发明者詹姆士·D·贝内特 申请人:美国博通公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1