專利名稱:利用搜索引擎來(lái)防止污染的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明各實(shí)施例涉及用于實(shí)現(xiàn)防止計(jì)算機(jī)病毒擴(kuò)散的搜索引擎的系統(tǒng)和方法�����。
背景技術(shù):
近年來(lái)���,計(jì)算機(jī)病毒通過(guò)使用惡意電子郵件附件并通過(guò)惡意網(wǎng)站的永久性鏈接����,越來(lái)越多地在計(jì)算機(jī)之間擴(kuò)散����。在線服務(wù)的用戶已被告知要避免打開(kāi)未經(jīng)請(qǐng)求的郵件、打開(kāi)來(lái)自不熟悉源的附件或者訪問(wèn)在未經(jīng)請(qǐng)求郵件中廣告的網(wǎng)站�����。所有這些措施都具有降低用戶感染計(jì)算機(jī)病毒的風(fēng)險(xiǎn)的效果����。
盡管用戶有了這方面的知識(shí),很多用戶仍然不知道通過(guò)使用受信任來(lái)源提供的鏈接可能是惡意的。雖然精通因特網(wǎng)的用戶不會(huì)隨意地訪問(wèn)網(wǎng)站�����,但即使是最謹(jǐn)慎的用戶也要繼續(xù)面對(duì)訪問(wèn)由因特網(wǎng)搜索引擎引用的惡意網(wǎng)站的風(fēng)險(xiǎn)��。訪問(wèn)用戶以前未見(jiàn)過(guò)的新網(wǎng)站的最常見(jiàn)原因在于該網(wǎng)站是通過(guò)搜索引擎產(chǎn)生的����。諸如MSN.com或Google.com的搜索引擎的良好認(rèn)同導(dǎo)致對(duì)作為搜索結(jié)果由這些搜索引擎呈現(xiàn)給用戶的任何網(wǎng)站的誤導(dǎo)性信任�����。
因此需要可通過(guò)搜索引擎實(shí)現(xiàn)的一種方案����,用于防止用戶計(jì)算機(jī)因訪問(wèn)惡意網(wǎng)站而受到損壞。該方案應(yīng)被執(zhí)行為�����,使用戶因避開(kāi)由受信任搜索引擎呈現(xiàn)為結(jié)果的惡意網(wǎng)站而安全�。
發(fā)明內(nèi)容
本發(fā)明各實(shí)施例包括一種用于實(shí)現(xiàn)搜索引擎的方法,該搜索引擎用于防止在搜索結(jié)果的接收者選擇一受染搜索結(jié)果鏈接時(shí)發(fā)生污染��。該搜索引擎包括用來(lái)遍歷可搜索內(nèi)容并且索引已遍歷內(nèi)容的爬尋器(Crawler)�。該方法包括在已遍歷的可搜索內(nèi)容中檢測(cè)任何惡意的可搜索內(nèi)容����。此外�����,該方法還包括��,在產(chǎn)生包括到所檢測(cè)到的惡意可搜索內(nèi)容的受染鏈接的搜索結(jié)果之后��,處理該受染鏈接的呈現(xiàn)以使得用戶免遭污染����。
在本發(fā)明另一方面中,一種用于防止惡意可搜索內(nèi)容擴(kuò)散的系統(tǒng)被結(jié)合到搜索引擎中�����。該系統(tǒng)包括一種檢測(cè)機(jī)制���,用于在由網(wǎng)絡(luò)爬尋器遍歷的可搜索內(nèi)容內(nèi)檢測(cè)惡意的可搜索內(nèi)容����。此外,該系統(tǒng)還包括一種呈現(xiàn)機(jī)制�,用于在確定由搜索引擎提供的搜索結(jié)果中包括惡意的可搜索內(nèi)容之后,處理檢測(cè)到的惡意可搜索內(nèi)容���,該呈現(xiàn)機(jī)制處理檢測(cè)到的惡意可搜索內(nèi)容�,以便防止將惡意搜索內(nèi)容擴(kuò)散給搜索結(jié)果的接收者�。
以下參照附圖對(duì)本發(fā)明進(jìn)行詳細(xì)描述,其中圖1是示出根據(jù)本發(fā)明一實(shí)施例的系統(tǒng)縱覽的框圖����;圖2是示出其中可實(shí)現(xiàn)本發(fā)明各實(shí)施例的計(jì)算機(jī)化環(huán)境的框圖;圖3是示出根據(jù)本發(fā)明一實(shí)施例的病毒處理組件的框圖���;圖4是示出根據(jù)本發(fā)明一些實(shí)施例的檢測(cè)機(jī)制的框圖;圖5是示出根據(jù)本發(fā)明其它實(shí)施例的檢測(cè)機(jī)制的框圖����;圖6是示出根據(jù)本發(fā)明各實(shí)施例的用于索引惡意網(wǎng)站的方法的流程圖;圖7是示出根據(jù)本發(fā)明各實(shí)施例的用于由搜索引擎呈現(xiàn)鏈接的方法的流程圖���。
具體實(shí)施例方式
I.系統(tǒng)縱覽圖1示出根據(jù)本發(fā)明一實(shí)施例的用于防止惡意活動(dòng)擴(kuò)散的系統(tǒng)���。用戶計(jì)算機(jī)10將諸如因特網(wǎng)的網(wǎng)絡(luò)20與搜索引擎200相連。該搜索引擎200可通過(guò)網(wǎng)絡(luò)20訪問(wèn)多個(gè)網(wǎng)站30、40和50���。有限數(shù)量的網(wǎng)站僅為示例性目的而示出�����。在實(shí)際應(yīng)用中��,該搜索引擎200可通過(guò)網(wǎng)絡(luò)20訪問(wèn)大量的網(wǎng)站�。
搜索引擎200可包括用來(lái)遍歷網(wǎng)站30�、40和50的web爬尋器210以及用來(lái)索引已遍歷網(wǎng)站的索引220。搜索引擎200還可包括用于響應(yīng)來(lái)自用戶計(jì)算機(jī)10的關(guān)鍵字查詢而搜索結(jié)果的索引220的關(guān)鍵字搜索組件230�。搜索引擎200還可包括病毒處理組件300,該病毒處理組件300在已遍歷網(wǎng)站30��、40和50中檢測(cè)惡意活動(dòng)并且以一種設(shè)計(jì)為防止惡意活動(dòng)擴(kuò)散的方式來(lái)處理顯示惡意活動(dòng)的網(wǎng)站���。
如上所述�,本發(fā)明各實(shí)施例涉及用于防止通過(guò)惡意網(wǎng)站維持的病毒擴(kuò)散的系統(tǒng)和方法�。本發(fā)明各實(shí)施例通過(guò)提供一種用于降低病毒在因特網(wǎng)上擴(kuò)散的風(fēng)險(xiǎn)的方法,克服了現(xiàn)有技術(shù)的問(wèn)題和缺點(diǎn)��。在操作中��,搜索引擎200維持因特網(wǎng)索引信息220。這樣���,當(dāng)搜索引擎200響應(yīng)于關(guān)鍵字查詢而使用關(guān)鍵字搜索組件230執(zhí)行搜索時(shí)�,搜索引擎200訪問(wèn)索引信息220���。搜索引擎200通過(guò)不斷爬尋網(wǎng)站已在索引信息220中的網(wǎng)站以及最近發(fā)現(xiàn)并首次訪問(wèn)的網(wǎng)站����,來(lái)使因特網(wǎng)索引信息220保持為最新�����。
在這些訪問(wèn)期間��,web爬尋器210從網(wǎng)站和個(gè)人網(wǎng)頁(yè)獲取諸如文本描述的索引兼容信息�。在訪問(wèn)網(wǎng)站時(shí)���,web爬尋器210將檢測(cè)惡意活動(dòng)的出現(xiàn)���。當(dāng)檢測(cè)到這些活動(dòng)時(shí),病毒處理組件300將適當(dāng)?shù)貥?biāo)記該行為��。或者�,在基于用戶輸入的請(qǐng)求執(zhí)行搜索時(shí),搜索引擎200可實(shí)時(shí)檢測(cè)惡意活動(dòng)����。當(dāng)由病毒處理組件300先前標(biāo)記的或者實(shí)時(shí)標(biāo)記的已知惡意網(wǎng)站或網(wǎng)頁(yè)通過(guò)由關(guān)鍵字搜索組件230執(zhí)行的搜索而產(chǎn)生時(shí),搜索引擎200將會(huì)實(shí)現(xiàn)病毒處理組件300����,來(lái)以減少對(duì)用戶計(jì)算機(jī)20有不利影響的感染或惡意活動(dòng)的風(fēng)險(xiǎn)的方式將結(jié)果呈現(xiàn)給用戶。
盡管本發(fā)明實(shí)各施例在此進(jìn)行了與網(wǎng)站��、網(wǎng)頁(yè)���、和網(wǎng)絡(luò)內(nèi)容相關(guān)的一般描述�����,但是任何可搜索內(nèi)容都在所揭示各實(shí)施例的范圍之內(nèi)�����。例如��,可搜索內(nèi)容可包括可經(jīng)因特網(wǎng)訪問(wèn)的視頻����。此外,可搜索內(nèi)容無(wú)需經(jīng)因特網(wǎng)訪問(wèn)����。可搜索內(nèi)容可位于硬盤驅(qū)動(dòng)器或網(wǎng)絡(luò)驅(qū)動(dòng)器中����,并可由合適的爬尋器訪問(wèn)。
II.示例性操作環(huán)境圖2示出合適的計(jì)算系統(tǒng)環(huán)境100的一個(gè)示例�,其中可實(shí)現(xiàn)用于防止惡意活動(dòng)擴(kuò)散的系統(tǒng)。計(jì)算系統(tǒng)環(huán)境100僅僅是合適的計(jì)算環(huán)境的一個(gè)示例���,且并非旨在對(duì)本發(fā)明的使用范圍或功能提出任何限制����。也不應(yīng)將計(jì)算環(huán)境100解釋為對(duì)示例性操作環(huán)境100中示出的各組件的任一個(gè)或組合有任何依賴性或要求����。
本發(fā)明在由計(jì)算機(jī)執(zhí)行的諸如程序模塊的計(jì)算機(jī)可執(zhí)行指令的通用環(huán)境中進(jìn)行描述���。一般而言��,程序模塊包括例程�����、程序���、對(duì)象���、組件、數(shù)據(jù)結(jié)構(gòu)等�,它們執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型。此外�,本領(lǐng)域的技術(shù)人員可以理解,本發(fā)明可以使用其它計(jì)算機(jī)系統(tǒng)配置來(lái)實(shí)踐��,包括手持式設(shè)備�����、多處理器系統(tǒng)���、基于微處理器或可編程的消費(fèi)電器��、小型計(jì)算機(jī)��、大型計(jì)算機(jī)等����。本發(fā)明也可以在分布式計(jì)算環(huán)境中實(shí)現(xiàn),其中任務(wù)由通過(guò)通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行�。在分布式計(jì)算環(huán)境中,程序模塊可位于包括存儲(chǔ)器存儲(chǔ)設(shè)備的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中�。
參考圖2,用于實(shí)現(xiàn)本發(fā)明的示例性系統(tǒng)100包括計(jì)算機(jī)110形式的通用計(jì)算設(shè)備�,該設(shè)備包括處理單元120、系統(tǒng)存儲(chǔ)器130和將包括系統(tǒng)存儲(chǔ)器的各種系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121��。
計(jì)算機(jī)110通常包括各種計(jì)算機(jī)可讀介質(zhì)����。作為示例,而非限制���,計(jì)算機(jī)可讀介質(zhì)可包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)��。系統(tǒng)存儲(chǔ)器130包括諸如只讀存儲(chǔ)器(ROM)131和隨機(jī)存取存儲(chǔ)器(RAM)132的易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)�����。包含有助于諸如啟動(dòng)期間在計(jì)算機(jī)110中元件之間傳遞信息的基本例程的基本輸入/輸出系統(tǒng)133(BIOS)通常存儲(chǔ)在ROM 131中����。RAM 132通常包含處理單元120可以立即訪問(wèn)和/或目前正在操作的數(shù)據(jù)和/或程序模塊�����。作為示例�,而非限制,圖2示出了操作系統(tǒng)134�、應(yīng)用程序135、其它程序模塊136和程序數(shù)據(jù)137��。
計(jì)算機(jī)110還可包括其它可移動(dòng)/不可移動(dòng)�����、易失性/非易失性的計(jì)算機(jī)存儲(chǔ)介質(zhì)����。僅作為示例,圖2示出了從不可移動(dòng)�����、非易失性磁性介質(zhì)中讀取或?qū)懭氲挠脖P驅(qū)動(dòng)器141,從可移動(dòng)�����、非易失性磁盤152中讀取或?qū)懭氲拇疟P驅(qū)動(dòng)器151�����,以及從諸如CD ROM或其它光學(xué)介質(zhì)等可移動(dòng)�����、非易失性光盤156中讀取或?qū)懭氲墓獗P驅(qū)動(dòng)器155�����?��?梢栽谑纠圆僮鳝h(huán)境中使用的其它可移動(dòng)/不可移動(dòng)��、易失性/非易失性的計(jì)算機(jī)存儲(chǔ)介質(zhì)包括��,但不限于�����,盒式磁帶���、閃存卡�、數(shù)字多功能盤����、數(shù)字錄像帶�、固態(tài)RAM、固態(tài)ROM等�����。硬盤驅(qū)動(dòng)器141通常由諸如接口140的不可移動(dòng)存儲(chǔ)器接口連接至系統(tǒng)總線121���,磁盤驅(qū)動(dòng)器151和光盤驅(qū)動(dòng)器155通常由諸如接口150的可移動(dòng)存儲(chǔ)器接口連接至系統(tǒng)總線121���。
以上描述的并在圖2中示出的驅(qū)動(dòng)器及其相關(guān)聯(lián)的計(jì)算機(jī)存儲(chǔ)介質(zhì),向計(jì)算機(jī)110提供了計(jì)算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的存儲(chǔ)���。例如�,在圖2中,硬盤驅(qū)動(dòng)器141被示為存儲(chǔ)了操作系統(tǒng)144����、應(yīng)用程序145、其它程序模塊146和程序數(shù)據(jù)147�。注意,這些組件可以與操作系統(tǒng)134�����、應(yīng)用程序135�、其它程序模塊136和程序數(shù)據(jù)137相同或不同。操作系統(tǒng)144��、應(yīng)用程序145�、其它程序模塊146和程序數(shù)據(jù)147在這里被標(biāo)注了不同的標(biāo)號(hào),以說(shuō)明至少它們是不同的副本�。用戶可以通過(guò)輸入設(shè)備,諸如鍵盤162和通常指鼠標(biāo)��、跟蹤球或觸摸墊的定點(diǎn)設(shè)備161����,向計(jì)算機(jī)110輸入命令和信息����。其它輸入設(shè)備(未示出)可以包括話筒���、操縱桿�����、游戲墊��、圓盤式衛(wèi)星天線、掃描儀等等����。這些和其它輸入設(shè)備通常通過(guò)耦合至系統(tǒng)總線的用戶輸入接口160連接到處理單元120,但也可以通過(guò)諸如并行端口���、游戲端口或通用串行總線(USB)的其它接口和總線結(jié)構(gòu)連接�����。監(jiān)視器191或其它類型的顯示設(shè)備也通過(guò)諸如視頻接口190的接口連接到系統(tǒng)總線121����。除監(jiān)視器以外,計(jì)算機(jī)還可以包括諸如揚(yáng)聲器197和打印機(jī)196的其它外圍輸出設(shè)備�,它們可以通過(guò)輸出外圍接口195連接。
本發(fā)明中的計(jì)算機(jī)110可在使用與一個(gè)或多個(gè)諸如遠(yuǎn)程計(jì)算機(jī)180的遠(yuǎn)程計(jì)算機(jī)的邏輯連接的網(wǎng)絡(luò)化環(huán)境中運(yùn)行�。遠(yuǎn)程計(jì)算機(jī)180可以是個(gè)人計(jì)算機(jī),并通常包括上述涉及計(jì)算機(jī)110的許多或所有元件�,盡管在圖2中只顯示了存儲(chǔ)器存儲(chǔ)設(shè)備181。圖2中描述的邏輯連接包括局域網(wǎng)(LAN)171和廣域網(wǎng)(WAN)173����,但也可包括其它網(wǎng)絡(luò)。
當(dāng)在LAN網(wǎng)絡(luò)環(huán)境中使用時(shí)�����,計(jì)算機(jī)110通過(guò)網(wǎng)絡(luò)接口或適配器170連接到局域網(wǎng)171����。當(dāng)在WAN網(wǎng)絡(luò)環(huán)境中使用時(shí),計(jì)算機(jī)110通常包括調(diào)制解調(diào)器172或用于通過(guò)諸如因特網(wǎng)的WAN 173來(lái)建立通信的其它裝置���?��?梢允莾?nèi)部的或外部的調(diào)制解調(diào)器172,可以通過(guò)用戶輸入接口160或其它合適的機(jī)制連接到系統(tǒng)總線121�����。在網(wǎng)絡(luò)化環(huán)境中,相關(guān)于計(jì)算機(jī)110的所述程序模塊或其各個(gè)部分可以存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中�。作為示例,而非限制�,圖2示出了駐留在存儲(chǔ)器設(shè)備181上的遠(yuǎn)程應(yīng)用程序185?����?梢岳斫?���,所示的網(wǎng)絡(luò)連接是示例性的����,并且可使用在計(jì)算機(jī)之間建立通信鏈接的其它裝置。
盡管未示出計(jì)算機(jī)110的多個(gè)其它內(nèi)部組件���,但是本領(lǐng)域的普通技術(shù)人員可以理解�����,這樣的組件和互連是眾所周知的�。相應(yīng)地,不必連同本發(fā)明一起揭示有關(guān)計(jì)算機(jī)110內(nèi)部構(gòu)造的其它細(xì)節(jié)�。
III.本發(fā)明的系統(tǒng)和方法如上所述,圖1示出了根據(jù)本發(fā)明一實(shí)施例的用于防止惡意活動(dòng)擴(kuò)散的系統(tǒng)���。用戶計(jì)算機(jī)10可通過(guò)網(wǎng)絡(luò)20連接到搜索引擎200�。搜索引擎200可通過(guò)網(wǎng)絡(luò)20訪問(wèn)諸如30�、40以及50的多個(gè)網(wǎng)站。搜索引擎200可實(shí)現(xiàn)用于遍歷網(wǎng)站30���、40和50的web爬尋器210以及用于索引已遍歷網(wǎng)站的索引220���。搜索引擎200可利用關(guān)鍵字搜索組件230,以響應(yīng)于來(lái)自用戶計(jì)算機(jī)10的關(guān)鍵字查詢來(lái)搜索結(jié)果���。搜索引擎200可實(shí)現(xiàn)病毒處理組件300���,以在已遍歷網(wǎng)站30、40和50中檢測(cè)惡意活動(dòng)�����,并且以一種設(shè)計(jì)為防止惡意活動(dòng)擴(kuò)散的方式來(lái)處理顯示惡意活動(dòng)的網(wǎng)站�。
圖3示出根據(jù)本發(fā)明一實(shí)施例的病毒處理組件300����。病毒處理組件300可檢測(cè)并處理病毒�����,或者可檢測(cè)并處理其它類型的惡意活動(dòng)�。病毒處理組件300可包括檢測(cè)機(jī)制310和呈現(xiàn)機(jī)制380。檢測(cè)機(jī)制310可結(jié)合web爬尋器210操作��,以檢測(cè)web爬尋器210所訪問(wèn)網(wǎng)站上的惡意活動(dòng)����。呈現(xiàn)機(jī)制380可結(jié)合關(guān)鍵字搜索組件230操作,以決定由關(guān)鍵字搜索組件230發(fā)現(xiàn)的結(jié)果是否是展現(xiàn)惡意行為的鏈接��。如果呈現(xiàn)機(jī)制380在結(jié)果中定位了展現(xiàn)惡意行為的鏈接�����,則呈現(xiàn)機(jī)制380執(zhí)行鏈接處理例程以確保用戶免遭惡意活動(dòng)�����。
呈現(xiàn)機(jī)制380可包括眾多用于保護(hù)用戶計(jì)算機(jī)10免遭惡意鏈接的不同機(jī)制���。搜索引擎200實(shí)現(xiàn)關(guān)鍵字搜索組件230����,以創(chuàng)建可點(diǎn)擊鏈接的列表���,這些鏈接常帶有一些數(shù)量的每個(gè)鏈接的相關(guān)聯(lián)文本���。當(dāng)在最近爬尋期間一個(gè)鏈接指向檢測(cè)機(jī)制310分類為惡意的網(wǎng)站時(shí),會(huì)發(fā)生眾多不同行動(dòng)���。
在一個(gè)較佳實(shí)施例中�,呈現(xiàn)機(jī)制380可修改受染鏈接以便提示網(wǎng)絡(luò)瀏覽器提供最大程度的保護(hù)��,即使該保護(hù)是以功能為代價(jià)而進(jìn)行的�。作為一個(gè)示例,呈現(xiàn)機(jī)制380可提示網(wǎng)絡(luò)瀏覽器通過(guò)對(duì)惡意鏈接預(yù)加驚嘆號(hào)來(lái)保護(hù)自己����。因而,www.malicious.com會(huì)變成��!http://www.malicious.com。作為響應(yīng)����,已修改的鏈接可執(zhí)行眾多行動(dòng),諸如禁用選定的宏����。
在另一實(shí)施例中,呈現(xiàn)機(jī)制380修改危險(xiǎn)的鏈接�����,以指向能夠使用戶計(jì)算機(jī)10免遭可能發(fā)生的惡意活動(dòng)的代理�。類似地,呈現(xiàn)機(jī)制380可修改該鏈接以指向該網(wǎng)頁(yè)的已殺毒的高速緩存副本�,該副本由搜索引擎200存儲(chǔ)或代表該搜索引擎。已修改的鏈接可引用在爬尋時(shí)保存的已殺毒高速緩存副本����。或者�����,呈現(xiàn)機(jī)制380可呈現(xiàn)指向動(dòng)態(tài)殺毒的非高速緩存副本的已修改鏈接�����,其中殺毒在用戶選擇已修改鏈接時(shí)進(jìn)行��。
在又一實(shí)施例中�,呈現(xiàn)機(jī)制380可創(chuàng)建要顯示給用戶的警告。該警告可指示鏈接上的內(nèi)容�����,如果訪問(wèn)的話�����,可能是有害的��。最后�����,在另一實(shí)施例中���,呈現(xiàn)機(jī)制可隱藏危險(xiǎn)鏈接���,或不向用戶顯示該鏈接�����。
圖4示出檢測(cè)機(jī)制310的一個(gè)較佳實(shí)施例�����。檢測(cè)機(jī)制310可包括靜態(tài)分析工具312和動(dòng)態(tài)分析工具316�����。靜態(tài)分析工具312可檢查已知編碼模式的每個(gè)已遍歷網(wǎng)頁(yè)或網(wǎng)站����,例如��,靜態(tài)分析工具312可檢測(cè)不必要的長(zhǎng)HTML字段���。動(dòng)態(tài)分析工具316操作以檢測(cè)已知的惡意行為和信息流通模式�����。例如����,動(dòng)態(tài)分析工具316可確定在到與常易受攻擊相關(guān)聯(lián)的端口上網(wǎng)站啟動(dòng)與客戶機(jī)的連接,或者被訪問(wèn)的網(wǎng)站正在嘗試黑入搜索引擎200���。該搜索引擎200應(yīng)該受到良好保護(hù),并且應(yīng)設(shè)置為對(duì)所訪問(wèn)網(wǎng)站顯現(xiàn)為常規(guī)用戶計(jì)算機(jī)��。惡意網(wǎng)站在與訪問(wèn)者開(kāi)始通信之前可區(qū)分諸如搜索引擎和用戶瀏覽器的訪問(wèn)者����。
圖5示出了檢測(cè)機(jī)制330的又一實(shí)施例。檢測(cè)機(jī)制330可包括可置換機(jī)�,諸如虛擬機(jī)340和可置換的或虛擬機(jī)檢查機(jī)制350。在圖5所示的實(shí)施例中���,虛擬機(jī)340的行為類似于允許視窗在視窗內(nèi)運(yùn)行的虛擬PC程序���。內(nèi)部視窗可以與外部視窗和主機(jī)獨(dú)立的方式來(lái)操作。因此�����,無(wú)論內(nèi)部視窗發(fā)生了什么都不會(huì)對(duì)主機(jī)產(chǎn)生有害影響�。因而虛擬機(jī)340包括訪問(wèn)每個(gè)網(wǎng)站的爬尋器。
在每個(gè)訪問(wèn)之后���,虛擬機(jī)檢查機(jī)制350檢查內(nèi)部虛擬機(jī)340中的內(nèi)部爬尋器����,以找出感染或者有害影響。虛擬機(jī)檢查機(jī)制350查尋每個(gè)訪問(wèn)的結(jié)果以決定虛擬機(jī)340的文件或行為是否已經(jīng)改變���,而不在被訪問(wèn)的網(wǎng)站上查尋行為���。因此,在與爬尋器210相連的虛擬機(jī)340訪問(wèn)了每個(gè)網(wǎng)頁(yè)或者由爬尋器210實(shí)現(xiàn)的其它搜索單元之后��,虛擬機(jī)檢查機(jī)制350檢查虛擬機(jī)340以找出感染的跡象���。如果虛擬機(jī)340受到感染或者損壞�,則可知道所訪問(wèn)的網(wǎng)頁(yè)或網(wǎng)站是惡意的����。在對(duì)惡意網(wǎng)站或網(wǎng)頁(yè)的訪問(wèn)之后,虛擬機(jī)檢查機(jī)制350在訪問(wèn)任何其它網(wǎng)站或網(wǎng)頁(yè)之前重新初始化虛擬機(jī)340����。
雖然上述的實(shí)施例描述了虛擬機(jī)作為可置換機(jī)的使用,但是其它實(shí)現(xiàn)也是可能的�。例如���,可置換機(jī)還可包括物理個(gè)人計(jì)算機(jī)。虛擬機(jī)作為可置換機(jī)的使用提供了從受染狀態(tài)中快速?gòu)?fù)原的優(yōu)點(diǎn)�。
圖4所示的檢測(cè)機(jī)制的實(shí)施例是一種主動(dòng)檢測(cè)機(jī)制,而圖5所示的檢測(cè)機(jī)制的實(shí)施例是一種呈現(xiàn)檢測(cè)機(jī)制�。圖4的實(shí)施例防止了行為的發(fā)生,而圖5的實(shí)施例允許行為在虛擬機(jī)中發(fā)生����,并隨后確定被訪問(wèn)的網(wǎng)站是否是惡意的�����。在另一實(shí)施例中���,可以組合圖4和圖5的方法�����,從而在爬尋過(guò)程之后可緩存和分析顯現(xiàn)為受到影響的某些網(wǎng)站�����。
web爬尋器210可作用為使檢測(cè)機(jī)制310能在逐頁(yè)或者逐個(gè)地址的基礎(chǔ)上檢測(cè)惡意行為���?���;蛘?���,檢測(cè)機(jī)制310或330可對(duì)單個(gè)網(wǎng)絡(luò)對(duì)象(例如,內(nèi)嵌圖片文件)�、域名、IP地址或其它爬尋單元的組合方法的范圍做出決定�。例如,多個(gè)共享網(wǎng)站可使用代字號(hào)(~)標(biāo)志屬于個(gè)人用戶的網(wǎng)站部分�。這樣,http://www.example.com/users/~barney/demos/hack.htm假定為屬于用戶Barney�,而http://www.example.com/users/~adam/index.htm假定為屬于用戶Adam。在該示例中�����,Barney網(wǎng)頁(yè)的惡意可對(duì)Barney控制下的整個(gè)web子樹(shù)發(fā)出���,而不針對(duì)由Adam操作的web子樹(shù)�����。
圖6示出根據(jù)本發(fā)明一實(shí)施例用于檢測(cè)惡意活動(dòng)的過(guò)程�。該方法從600開(kāi)始,并且在步驟602中web爬尋器訪問(wèn)一個(gè)網(wǎng)站�����。在步驟604����,搜索引擎200實(shí)現(xiàn)惡意活動(dòng)檢測(cè)機(jī)制310或者檢測(cè)機(jī)制330。如果在606檢測(cè)到了惡意活動(dòng)��,則在步驟610web爬尋器索引該網(wǎng)站為惡意����。如果沒(méi)有檢測(cè)到惡意活動(dòng)��,則在步驟608web爬尋器索引該網(wǎng)站為正常���。如果在步驟612web爬尋器選擇訪問(wèn)另一個(gè)網(wǎng)站����,則過(guò)程返回到步驟602��。
圖7示出根據(jù)本發(fā)明一實(shí)施例的用于將搜索結(jié)果提供給用戶的過(guò)程。該過(guò)程從步驟700開(kāi)始�,并且在步驟702搜索引擎執(zhí)行關(guān)鍵字搜索。在步驟704�����,搜索引擎在索引210中尋找結(jié)果�。如果在步驟706結(jié)果被索引為惡意,則在步驟708搜索引擎實(shí)現(xiàn)病毒處理呈現(xiàn)機(jī)制380�����。
如上所示�����,呈現(xiàn)機(jī)制380可以若干方式之一操作�����。呈現(xiàn)機(jī)制380可將鏈接隱藏或者警告用戶該鏈接可能是惡意的�����。或者����,呈現(xiàn)機(jī)制380可將用戶重新引導(dǎo)到該惡意內(nèi)容的已殺毒高速緩存版本或者動(dòng)態(tài)殺毒版本。在另一方法中��,呈現(xiàn)機(jī)制380可修改鏈接以指向代理���。最后�,呈現(xiàn)機(jī)制380可修改鏈接以警告用戶瀏覽器將防護(hù)最大化����。網(wǎng)站的危險(xiǎn)部分將被禁用。如果作為結(jié)果的網(wǎng)站沒(méi)有被索引為惡意�����,則在步驟710搜索引擎將呈現(xiàn)結(jié)果�。在712過(guò)程結(jié)束��。
雖然在爬尋和索引階段�,上述檢測(cè)機(jī)制310和330的實(shí)施例涉及惡意活動(dòng)的檢測(cè),但是也可實(shí)時(shí)檢測(cè)惡意活動(dòng)���。在本實(shí)現(xiàn)中�����,呈現(xiàn)機(jī)制380呈現(xiàn)將用戶重新引導(dǎo)到可動(dòng)態(tài)檢測(cè)并消毒惡意網(wǎng)絡(luò)內(nèi)容的代理的鏈接����。此外,可實(shí)現(xiàn)在爬尋期間的檢測(cè)和在訪問(wèn)期間的實(shí)時(shí)檢測(cè)的組合���。
總之�����,一種典型的搜索引擎通過(guò)不斷爬尋網(wǎng)站來(lái)使它的因特網(wǎng)索引信息保持最新���。在其訪問(wèn)期間,爬尋器從網(wǎng)站和個(gè)人網(wǎng)頁(yè)中獲取諸如文本描述的索引兼容信息�。在訪問(wèn)網(wǎng)站時(shí),本發(fā)明系統(tǒng)的各個(gè)實(shí)施例可檢測(cè)到惡意活動(dòng)的呈現(xiàn)。當(dāng)這些活動(dòng)的呈現(xiàn)被檢測(cè)到時(shí),它將合適地標(biāo)記�����,并且當(dāng)隨后已知的惡意網(wǎng)站產(chǎn)生為搜索結(jié)果時(shí)����,呈現(xiàn)機(jī)制以減少對(duì)用戶計(jì)算機(jī)的感染或惡意活動(dòng)的風(fēng)險(xiǎn)的方式來(lái)向用戶呈現(xiàn)結(jié)果���。如上所示�,在執(zhí)行用戶請(qǐng)求搜索之后��,惡意活動(dòng)的檢測(cè)可有選擇地實(shí)時(shí)地進(jìn)行����。
盡管在此處詳細(xì)說(shuō)明和描述了本發(fā)明的特定實(shí)施例,但應(yīng)該理解��,可以對(duì)本發(fā)明作各種改變和修改�,而不背離本發(fā)明的范圍和目的。此處所述的各個(gè)實(shí)施例旨在在所有方面都是說(shuō)明性的而非限制性的����。對(duì)本領(lǐng)域技術(shù)人員本發(fā)明相關(guān)的其它實(shí)施例不背離本發(fā)明的范圍是顯而易見(jiàn)的。
從前述內(nèi)容可以了解�����,本發(fā)明很適合獲得對(duì)本系統(tǒng)和方法明顯且固有的所有上述目的和目標(biāo)以及其它優(yōu)點(diǎn)�。可以理解�����,特定的特征和子組合是可以利用的��,且可以不需參照其它特征和子組合來(lái)使用�。這是可預(yù)期的,并在所附權(quán)利要求書(shū)的范圍之內(nèi)��。
權(quán)利要求
1.一種用于實(shí)現(xiàn)搜索引擎的方法���,所述搜索引擎用于在搜索結(jié)果的接收者選擇了受染搜索結(jié)果鏈接時(shí)防止污染的發(fā)生����,所述搜索引擎包括用于遍歷可搜索內(nèi)容的和索引已遍歷內(nèi)容的爬尋器�����,所述方法包括在已遍歷可搜索內(nèi)容中檢測(cè)任何惡意的可搜索內(nèi)容��;以及在產(chǎn)生包括到檢測(cè)到的惡意可搜索內(nèi)容的受染鏈接的搜索結(jié)果之后��,處理受染鏈接的呈現(xiàn)以便避免接收者受到污染����。
2.如權(quán)利要求1所述的方法�����,其特征在于����,檢測(cè)任何惡意可搜索內(nèi)容包括執(zhí)行用于檢測(cè)已知編碼模式的靜態(tài)分析��。
3.如權(quán)利要求2所述的方法��,其特征在于��,檢測(cè)任何惡意可搜索內(nèi)容包括執(zhí)行用于檢測(cè)通信流通模式的動(dòng)態(tài)分析�。
4.如權(quán)利要求1所述的方法,其特征在于����,檢測(cè)任何惡意可搜索內(nèi)容包括實(shí)現(xiàn)遍歷可搜索內(nèi)容而不影響主機(jī)的可置換機(jī)。
5.如權(quán)利要求4所述的方法��,其特征在于���,檢測(cè)任何惡意可搜索內(nèi)容包括實(shí)現(xiàn)用于在遍歷之后檢查所述可置換機(jī)的感染的可置換機(jī)檢查機(jī)制���。
6.如權(quán)利要求4所述的方法,還包括在對(duì)受染可搜索內(nèi)容的每次訪問(wèn)之后重新初始化所述可置換機(jī)�。
7.如權(quán)利要求1所述的方法,其特征在于����,處理受染鏈接的呈現(xiàn)包括修改所述受染鏈接以便提示用戶網(wǎng)絡(luò)瀏覽器提供最大程度的保護(hù)。
8.如權(quán)利要求1所述的方法�,其特征在于,處理受染鏈接的呈現(xiàn)包括修改所述受染鏈接以指向能夠使用戶免遭惡意活動(dòng)的代理�。
9.如權(quán)利要求1所述的方法,其特征在于����,處理受染鏈接的呈現(xiàn)包括修改所述受染鏈接以指向所述可搜索內(nèi)容的已殺毒高速緩存副本。
10.如權(quán)利要求1所述的方法�����,其特征在于�����,處理受染鏈接的呈現(xiàn)包括創(chuàng)建警告并將所述警告顯示給所述接收者����。
11.一種存儲(chǔ)用于執(zhí)行如權(quán)利要求1所述的方法的計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�。
12.一種結(jié)合在搜索引擎中的用于防止惡意可搜索內(nèi)容擴(kuò)散的系統(tǒng)����,所述系統(tǒng)包括檢測(cè)機(jī)制,用于在通過(guò)web爬尋器遍歷的可搜索內(nèi)容中檢測(cè)惡意的可搜索內(nèi)容���;以及呈現(xiàn)機(jī)制�,用于在確定所述惡意可搜索內(nèi)容包括在由搜索引擎提供的搜索結(jié)果中之后處理惡意可搜索內(nèi)容��,所述呈現(xiàn)機(jī)制處理所述檢測(cè)到的惡意可搜索內(nèi)容以便防止將所述惡意可搜索內(nèi)容擴(kuò)散給所述搜索結(jié)果的接收者�����。
13.如權(quán)利要求12所述的系統(tǒng)���,其特征在于��,用于檢測(cè)任何惡意可搜索內(nèi)容的檢測(cè)機(jī)制包括用于檢測(cè)已知編碼模式的靜態(tài)分析工具���。
14.如權(quán)利要求12所述的系統(tǒng),其特征在于,用于檢測(cè)任何惡意可搜索內(nèi)容的檢測(cè)機(jī)制包括用于檢測(cè)信息流通模式的動(dòng)態(tài)分析工具��。
15.如權(quán)利要求12所述的系統(tǒng)��,其特征在于�����,用于檢測(cè)任何惡意可搜索內(nèi)容的檢測(cè)機(jī)制包括用于遍歷可搜索內(nèi)容而不影響主機(jī)的可置換機(jī)�。
16.如權(quán)利要求15所述的系統(tǒng)����,其特征在于,用于檢測(cè)任何惡意可搜索內(nèi)容的檢測(cè)機(jī)制包括用于在遍歷之后檢查所述可置換機(jī)的感染的可置換機(jī)檢查機(jī)制�����。
17.如權(quán)利要求15所述的系統(tǒng)����,還包括在每次訪問(wèn)之后用于重新初始化所述可置換機(jī)的裝置。
18.如權(quán)利要求12所述的系統(tǒng)�����,其特征在于,所述呈現(xiàn)機(jī)制包括用于修改所述受染鏈接以便提示用戶網(wǎng)絡(luò)瀏覽器提供最大程度保護(hù)的裝置�����。
19.如權(quán)利要求12所述的系統(tǒng)���,其特征在于��,所述呈現(xiàn)機(jī)制通過(guò)修改受染鏈接以指向能夠使用戶免遭惡意活動(dòng)的代理來(lái)處理所述受染鏈接的呈現(xiàn)處理���。
20.如權(quán)利要求12所述的系統(tǒng),其特征在于���,所述呈現(xiàn)機(jī)制通過(guò)修改所述受染鏈接以指向所述可搜索內(nèi)容的已殺毒高速緩存副本來(lái)處理受染鏈接的呈現(xiàn)����。
全文摘要
一種系統(tǒng)和方法被結(jié)合到搜索引擎中�����,用于防止惡意搜索內(nèi)容擴(kuò)散����。該系統(tǒng)包括用于在通過(guò)web爬尋器遍歷的可搜索內(nèi)容中檢測(cè)惡意可搜索內(nèi)容的檢測(cè)機(jī)制。該系統(tǒng)還包括用來(lái)在確定惡意可搜索內(nèi)容包括在由搜索引擎提供的搜索結(jié)果中之后,處理檢測(cè)到的惡意可搜索內(nèi)容的呈現(xiàn)機(jī)制�。該呈現(xiàn)機(jī)制處理檢測(cè)到的惡意可搜索內(nèi)容以便防止將該惡意可搜索內(nèi)容擴(kuò)散給搜索結(jié)果的接收者。
文檔編號(hào)G06F21/00GK1790329SQ20051012713
公開(kāi)日2006年6月21日 申請(qǐng)日期2005年11月17日 優(yōu)先權(quán)日2004年12月17日
發(fā)明者A·舍萊斯特, E·D·謝德曼 申請(qǐng)人:微軟公司