專利名稱:使用網(wǎng)絡(luò)動(dòng)作控制列表來保護(hù)網(wǎng)絡(luò)服務(wù)的制作方法
使用網(wǎng)絡(luò)動(dòng)作控制列表來保護(hù)網(wǎng)絡(luò)服務(wù)背景
如幾乎任何計(jì)算機(jī)用戶都明白的����,惡意軟件是對(duì)連接至因特網(wǎng)的任何計(jì)算機(jī)
的恒久的威脅。惡意軟件(malware)(用于串接"malicious (惡意)"和"software
(軟件)"的術(shù)語)指的是有害的程序或文件�����。因此,惡意軟件包括計(jì)算機(jī)蠕蟲����、病毒、特洛伊木馬和間諜軟件���,以及誤用或?yàn)E用合法計(jì)算機(jī)和/或網(wǎng)絡(luò)系統(tǒng)特征和服務(wù)的計(jì)算機(jī)系統(tǒng)攻擊�。
大多數(shù)惡意軟件過去通常針對(duì)于破壞或損害計(jì)算機(jī)系統(tǒng)�����。受感染計(jì)算機(jī)系統(tǒng)的典型結(jié)果是硬盤驅(qū)動(dòng)器被擦除或被破壞����。不幸的是,惡意軟件近來版本背后的目的包括比簡單地破壞或毀壞計(jì)算機(jī)系統(tǒng)邪惡得多的惡意企圖�。更具體地,惡意軟件現(xiàn)在被用于竊取個(gè)人信息以便于進(jìn)行欺詐和身份竊取以訪問銀行帳戶等?��,F(xiàn)在檢測(cè)惡意軟件的感染效果更困難了�����,因?yàn)榕c以往的惡意軟件結(jié)果不同�����,目的不是使受感染的計(jì)算機(jī)關(guān)機(jī)�,而是令其繼續(xù)運(yùn)行使得可違法地獲取更多的信息。
為了抗擊惡意軟件�����,網(wǎng)絡(luò)連接的計(jì)算機(jī)幾乎基本上都使用反病毒軟件(現(xiàn)在更傾向于稱之為反惡意軟件軟件)來針對(duì)感染進(jìn)行保護(hù)��。此外�,眾多計(jì)算機(jī)用戶也依賴于結(jié)合反病毒軟件的硬件和/或軟件防火墻,以保護(hù)計(jì)算機(jī)���。不幸的是��,即使處于反病毒軟件和防火墻的保護(hù)之下���,某些惡意軟件威脅,尤其是新形惡意軟件能成功地感染計(jì)算機(jī)系統(tǒng)�。而且���,如本領(lǐng)域的技術(shù)人員所理解的����, 一旦惡意軟件感染了計(jì)算機(jī)系統(tǒng)之后,惡意軟件通常使用受感染的計(jì)算機(jī)系統(tǒng)來感染其他計(jì)算機(jī)系統(tǒng)��。
計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)服務(wù)�,即形成與外部網(wǎng)絡(luò)的來往通信信道的進(jìn)程是惡意軟件的主要目標(biāo)且尤其易受攻擊。在某些情況中�����,惡意軟件可強(qiáng)迫網(wǎng)絡(luò)服務(wù)來執(zhí)行允許其他進(jìn)程進(jìn)一步損害計(jì)算機(jī)系統(tǒng)的動(dòng)作����。例如,可引導(dǎo)未受保護(hù)的網(wǎng)絡(luò)服務(wù)來打開通信端口����,允許第三方訪問計(jì)算機(jī)系統(tǒng)并從而獲取對(duì)計(jì)算機(jī)系統(tǒng)的控制。在受感染的電子郵件中傳遞的流氓應(yīng)用程序可成功地引導(dǎo)網(wǎng)絡(luò)服務(wù)來打開未受保護(hù)的端口����。不幸的是, 一旦網(wǎng)絡(luò)服務(wù)被損害�,該計(jì)算機(jī)即向惡意軟件的惡意企圖開放。
如上所述����,不總是可能防止惡意軟件感染��。然而��,即使當(dāng)計(jì)算機(jī)系統(tǒng)受到感染時(shí)����,通過阻止網(wǎng)絡(luò)服務(wù)執(zhí)行會(huì)損害或進(jìn)一步損害計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)動(dòng)作來容忍感染將是有益的��。實(shí)際上���,如果網(wǎng)絡(luò)服務(wù)能被限于"好的"網(wǎng)絡(luò)動(dòng)作將是非常有用的����。
概述
提供了具有受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)�。計(jì)算機(jī)系統(tǒng)包括處理器、存儲(chǔ)器和網(wǎng)絡(luò)動(dòng)作處理模塊����。網(wǎng)絡(luò)動(dòng)作處理模塊處理來自在計(jì)算機(jī)系統(tǒng)上運(yùn)行的一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)動(dòng)作。計(jì)算機(jī)系統(tǒng)還被配置成結(jié)合網(wǎng)絡(luò)動(dòng)作處理模塊來運(yùn)行執(zhí)行網(wǎng)絡(luò)動(dòng)作的至少一個(gè)網(wǎng)絡(luò)服務(wù)�����。在從網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作之后�����,網(wǎng)絡(luò)動(dòng)作處理模塊根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表來確定該網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作�。如果該網(wǎng)絡(luò)動(dòng)作被確定為不是有效網(wǎng)絡(luò)動(dòng)作,則該網(wǎng)絡(luò)動(dòng)作被阻塞�。或者�,如果該網(wǎng)絡(luò)動(dòng)作被確定為有效網(wǎng)絡(luò)動(dòng)作,則許可該網(wǎng)絡(luò)動(dòng)作完成��。
也提供了承載計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�����。當(dāng)在聯(lián)網(wǎng)計(jì)算機(jī)上運(yùn)行時(shí)�����,計(jì)算機(jī)可執(zhí)行指令實(shí)現(xiàn)用于保護(hù)計(jì)算機(jī)上的網(wǎng)絡(luò)服務(wù)的方法�����。該方法包括從網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作。作出該網(wǎng)絡(luò)動(dòng)作是否應(yīng)被進(jìn)一步確認(rèn)為有效網(wǎng)絡(luò)動(dòng)作的判斷�。如果該網(wǎng)絡(luò)動(dòng)作應(yīng)被進(jìn)一步確認(rèn),則根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表來作出該網(wǎng)絡(luò)動(dòng)作是否是用于該網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng)作的判斷���。如果根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表����,該網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作����,則該網(wǎng)絡(luò)動(dòng)作被阻塞。如果根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表��,該網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng)作����,則該網(wǎng)絡(luò)動(dòng)作被許可。
還提供了用于保護(hù)連接至網(wǎng)絡(luò)的計(jì)算設(shè)備上的網(wǎng)絡(luò)服務(wù)的方法����。該方法包括從在該計(jì)算設(shè)備上操作的網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作。作出該網(wǎng)絡(luò)動(dòng)作是否屬于應(yīng)被驗(yàn)
證為有效網(wǎng)絡(luò)動(dòng)作的類型�����。如果該網(wǎng)絡(luò)動(dòng)作屬于應(yīng)被驗(yàn)證為有效網(wǎng)絡(luò)動(dòng)作的類型,則獲取網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符�����。該網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符唯一地標(biāo)識(shí)了網(wǎng)絡(luò)服務(wù)���。根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表中對(duì)應(yīng)于由網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符標(biāo)識(shí)的網(wǎng)絡(luò)服務(wù)的一個(gè)或多個(gè)條目,作出該網(wǎng)絡(luò)動(dòng)作是否是用于該網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng)作的判斷����。如果根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表確定該網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作,則該網(wǎng)絡(luò)動(dòng)作被阻塞���。
附圖描述
當(dāng)結(jié)合附圖參考以下詳細(xì)描述時(shí)�����,前述方面和本發(fā)明的眾多附加優(yōu)點(diǎn)將更容易領(lǐng)會(huì)且更好理解�,附圖中 '
圖1是示出適于實(shí)現(xiàn)受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)的示例性硬件組件的框
圖��;圖2是示出帶有受保護(hù)網(wǎng)絡(luò)服務(wù)使得僅允許計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)之間的有效網(wǎng)絡(luò)活動(dòng)的計(jì)算機(jī)系統(tǒng)的框圖3是示出生成網(wǎng)絡(luò)動(dòng)作控制列表以及將網(wǎng)絡(luò)活動(dòng)控制列表推廣給網(wǎng)絡(luò)活動(dòng)確認(rèn)模塊的過程的框圖4是示出用于在含有受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)中處理網(wǎng)絡(luò)動(dòng)作的示例性例程的流程圖��;以及
圖5A和5B是示出用于根據(jù)網(wǎng)絡(luò)活動(dòng)控制列表來確定網(wǎng)絡(luò)活動(dòng)是否是有效網(wǎng)絡(luò)活動(dòng)的示例性子例程的流程圖���。
詳細(xì)描述
如上所述��,圖1是示出適于實(shí)現(xiàn)受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)100的示例性硬件組件的框圖�����。盡管計(jì)算機(jī)系統(tǒng)可包括眾多組件�����,但示例性計(jì)算機(jī)系統(tǒng)100包括處理器102��、存儲(chǔ)器104以及用于將計(jì)算機(jī)系統(tǒng)100通過接口連接至網(wǎng)絡(luò)108的網(wǎng)絡(luò)接口 106�����。如本領(lǐng)域的技術(shù)人員所理解的�,存儲(chǔ)器104包括隨機(jī)存取存儲(chǔ)器110和只讀存儲(chǔ)器112兩者。
也示出了非易失性存儲(chǔ)114����。如本領(lǐng)域的技術(shù)人員所理解的,盡管某些計(jì)算設(shè)備�,包括某些手持式計(jì)算設(shè)備在內(nèi),排他地使用非易失性存儲(chǔ)器作為其非易失性存儲(chǔ)介質(zhì)�����,但典型的非易失性存儲(chǔ)介質(zhì)是磁硬盤驅(qū)動(dòng)器。不論實(shí)際介質(zhì)為何�,存儲(chǔ)114一般存儲(chǔ)操作系統(tǒng)116 (包括操作系統(tǒng)提供的網(wǎng)絡(luò)服務(wù))以及一個(gè)或多個(gè)應(yīng)用程序,諸如應(yīng)用程序118����。
示例性計(jì)算機(jī)系統(tǒng)IOO也被示為包括網(wǎng)絡(luò)接口 106。網(wǎng)絡(luò)接口 106是計(jì)算機(jī)系統(tǒng)中與網(wǎng)絡(luò)108通過接口連接的硬件���。盡管網(wǎng)絡(luò)接口一般被體現(xiàn)為專門為網(wǎng)絡(luò)通信設(shè)計(jì)的硬件,但網(wǎng)絡(luò)接口 106可以是串行連接�����、通用串行總線(USB)連接�、紅外線連接、IEEE 1394連接等����。
考慮以上,提供受保護(hù)的網(wǎng)絡(luò)服務(wù)的合適的計(jì)算機(jī)系統(tǒng)包括但不限于個(gè)人計(jì)算機(jī)�����、膝上型和筆記本計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)���、混合PDA/移動(dòng)電話設(shè)備��、帶有網(wǎng)絡(luò)連接能力的移動(dòng)電話����、小型機(jī)和大型機(jī)等���。
圖2是示出帶有受保護(hù)的網(wǎng)絡(luò)服務(wù)使得在計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)108之間僅允許有效網(wǎng)絡(luò)活動(dòng)226的示例性計(jì)算機(jī)系統(tǒng)200的框圖���。在示例性計(jì)算機(jī)系統(tǒng)200中示出了三個(gè)網(wǎng)絡(luò)服務(wù)202-206。當(dāng)然�,三個(gè)網(wǎng)絡(luò)服務(wù)的圖示僅用于顯示和簡明的目的,而不應(yīng)被解釋為對(duì)本發(fā)明的限制�。網(wǎng)絡(luò)服務(wù)通過執(zhí)行如網(wǎng)絡(luò)動(dòng)作208-212所示的各種網(wǎng)絡(luò)動(dòng)作來提供與網(wǎng)絡(luò)108 的來回通信,這些網(wǎng)絡(luò)動(dòng)作諸如打開通信端口��、對(duì)與通信端口相關(guān)聯(lián)的存儲(chǔ)器位置 讀寫信息�、在網(wǎng)絡(luò)上監(jiān)聽定向到計(jì)算機(jī)系統(tǒng)200的數(shù)據(jù)包等。每一網(wǎng)絡(luò)活動(dòng)包括完 成動(dòng)作所必需的信息�����,諸如但不限于,源地址(發(fā)起計(jì)算機(jī)系統(tǒng)的IP地址)�、指 示通信信道的源端端口的源端口、協(xié)議����、標(biāo)識(shí)要被采取的動(dòng)作以及與該動(dòng)作有關(guān)的 數(shù)據(jù)的信息、目的地端口�、目的地地址等。此外�����,根據(jù)本發(fā)明的各方面��,網(wǎng)絡(luò)動(dòng)作 包括唯一標(biāo)識(shí)發(fā)起網(wǎng)絡(luò)服務(wù)的信息�����,諸如網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符�����。當(dāng)然���,本領(lǐng)域的技術(shù)人 員可以理解����,對(duì)于所包括的標(biāo)識(shí)發(fā)起網(wǎng)絡(luò)服務(wù)的信息而言����,這樣的信息不必被包括 在網(wǎng)絡(luò)動(dòng)作中,而可與網(wǎng)絡(luò)動(dòng)作捆綁和/或從提交網(wǎng)絡(luò)動(dòng)作的方式中確定����。在任何 情況中,為了將網(wǎng)絡(luò)動(dòng)作約束于有效網(wǎng)絡(luò)動(dòng)作���,網(wǎng)絡(luò)動(dòng)作的發(fā)起網(wǎng)絡(luò)服務(wù)必須可被 標(biāo)識(shí)����。因而�����,在網(wǎng)絡(luò)動(dòng)作中包括標(biāo)識(shí)信息應(yīng)被視為本發(fā)明的說明��,而不被解釋為對(duì) 本發(fā)明的限制�。如以下進(jìn)一步所述的,發(fā)起服務(wù)網(wǎng)絡(luò)的身份是可用于確定網(wǎng)絡(luò)動(dòng)作 是否是有效網(wǎng)絡(luò)動(dòng)作的一個(gè)因素����。
為了確保在計(jì)算機(jī)系統(tǒng)200與網(wǎng)絡(luò)108之間僅傳遞有效的網(wǎng)絡(luò)動(dòng)作226���,網(wǎng)絡(luò) 動(dòng)作必須經(jīng)過網(wǎng)絡(luò)動(dòng)作處理模塊214。當(dāng)諸如網(wǎng)絡(luò)動(dòng)作208-212的網(wǎng)絡(luò)動(dòng)作被接收 時(shí)����,網(wǎng)絡(luò)動(dòng)作處理模塊214簡要地檢查每一動(dòng)作,并確定該動(dòng)作是否應(yīng)由網(wǎng)絡(luò)動(dòng)作 確認(rèn)模塊216評(píng)估來確定該動(dòng)作是否是有效的網(wǎng)絡(luò)動(dòng)作�����。
網(wǎng)絡(luò)動(dòng)作處理模塊214確定不應(yīng)由網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216確認(rèn)的那些網(wǎng)絡(luò)動(dòng) 作被允許完成����。或者�����,如果網(wǎng)絡(luò)動(dòng)作要被進(jìn)一步檢查���,則網(wǎng)絡(luò)動(dòng)作處理模塊214 向網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216發(fā)送有效性査詢222。 一般�����,有效性查詢222可包括所述 網(wǎng)絡(luò)動(dòng)作,但也可替換地僅包括網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216確定網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng) 絡(luò)動(dòng)作226所必需的信息����。
響應(yīng)于有效性查詢222,網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216返回有效性響應(yīng)224����,指示該 網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作。如果有效性響應(yīng)224指示該網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng) 作����,則網(wǎng)絡(luò)動(dòng)作處理模塊214允許該網(wǎng)絡(luò)動(dòng)作完成?;蛘撸绻行皂憫?yīng)224 指示該網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作���,則網(wǎng)絡(luò)動(dòng)作處理模塊214終止該網(wǎng)絡(luò)動(dòng)作�����,即 不允許該網(wǎng)絡(luò)動(dòng)作完成�����。
當(dāng)確定網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作時(shí)�����,網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216將網(wǎng)絡(luò)動(dòng)作 的各個(gè)方面與網(wǎng)絡(luò)動(dòng)作控制列表218進(jìn)行比較�。網(wǎng)絡(luò)動(dòng)作控制列表218包括一組規(guī) 則或條件,如果滿足規(guī)則或條件���,即將網(wǎng)絡(luò)動(dòng)作標(biāo)識(shí)為有效或無效網(wǎng)絡(luò)動(dòng)作��。這些 規(guī)則/條件可包括一般或特別將某些網(wǎng)絡(luò)動(dòng)作標(biāo)識(shí)為無效網(wǎng)絡(luò)的動(dòng)作的"黑列表"規(guī)則�����,以及一般或特別將某些網(wǎng)絡(luò)動(dòng)作標(biāo)識(shí)為有效網(wǎng)絡(luò)動(dòng)作的"白列表"規(guī)則����。給 定網(wǎng)絡(luò)動(dòng)作的有效性/無效性可基于來自網(wǎng)絡(luò)動(dòng)作的眾多因素之一或其組合�����,包括 但不限于源或目的地IP地址���、生成網(wǎng)絡(luò)動(dòng)作的網(wǎng)絡(luò)服務(wù)(每個(gè)均有其網(wǎng)絡(luò)服務(wù) 標(biāo)識(shí)符)�����、動(dòng)作的類型����、所使用的協(xié)議�、用作為源端點(diǎn)或目的地端點(diǎn)的端口等。這 些因素當(dāng)被一起處理時(shí)�,可被視為網(wǎng)絡(luò)動(dòng)作在其上操作的"網(wǎng)絡(luò)對(duì)象"。該"網(wǎng)絡(luò) 對(duì)象"可被用作網(wǎng)絡(luò)訪問控制列表的一部分���。
除確認(rèn)/作廢網(wǎng)絡(luò)動(dòng)作以外�,網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216也可在審計(jì)日志220中跟
蹤網(wǎng)絡(luò)動(dòng)作��,以及它們是否是有效網(wǎng)絡(luò)動(dòng)作�����。審計(jì)日志220然后可由系統(tǒng)管理員使 用來標(biāo)識(shí)故障區(qū)�,包括標(biāo)識(shí)計(jì)算機(jī)系統(tǒng)受到惡意軟件感染的可能性。
如上所述����,網(wǎng)絡(luò)動(dòng)作處理模塊214簡要地檢査每一動(dòng)作并確定該動(dòng)作是否應(yīng) 由網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216來評(píng)估以確定該動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作�����。根據(jù)一個(gè)實(shí)施 例���,這種判斷是基于網(wǎng)絡(luò)動(dòng)作的類型來進(jìn)行的。具體地��,在某一實(shí)施例中����,僅構(gòu)成 "端點(diǎn)"創(chuàng)建的網(wǎng)絡(luò)動(dòng)作被發(fā)送給網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216來確認(rèn)。如本領(lǐng)域的技術(shù) 人員所理解的����,"端點(diǎn)"創(chuàng)建包括創(chuàng)建和/或打開計(jì)算機(jī)系統(tǒng)200與網(wǎng)絡(luò)108之間 的通信信道的網(wǎng)絡(luò)動(dòng)作。"端點(diǎn)"創(chuàng)建網(wǎng)絡(luò)動(dòng)作可包括�����,但不限于打開通信端口�、 創(chuàng)建至遠(yuǎn)程實(shí)體的連接、監(jiān)聽用于連接的端口等���?;蛘?���,網(wǎng)絡(luò)動(dòng)作處理模塊214 可被配置成通過評(píng)估經(jīng)過網(wǎng)絡(luò)動(dòng)作處理模塊214的所有網(wǎng)絡(luò)動(dòng)作來執(zhí)行所謂的 "深"評(píng)估。也可實(shí)現(xiàn)其他層次的檢査����。
對(duì)于網(wǎng)絡(luò)動(dòng)作處理模塊214,盡管該模塊可以是與其他操作系統(tǒng)組件(尤其是 網(wǎng)絡(luò)相關(guān)的操作系統(tǒng)組件)分開的組件��,但上述功能可適當(dāng)?shù)乇患傻揭粋€(gè)或多個(gè) 現(xiàn)有組件內(nèi)�。例如,微軟公司的Windows⑧操作系統(tǒng)軟件(以及來自其他供應(yīng)商的 操作系統(tǒng))包括TCP/IP堆棧處理組件(通常一般被稱為TCP/IP堆棧)�,通過該組 件處理所有基于TCP、 UDP和IP的動(dòng)作/通信�����。因?yàn)樗械腡CP�、 UDP和IP動(dòng)作 均流經(jīng)TCP/IP堆棧,因此通過將上述功能集成到TCP/IP堆棧內(nèi)��,網(wǎng)絡(luò)服務(wù)202-206 不必被修改來保護(hù)它們免于執(zhí)行無效網(wǎng)絡(luò)動(dòng)作�����。類似地,其他通信協(xié)議一般包括可 集成上述功能的中央處理模塊�。然而,盡管將上述網(wǎng)絡(luò)動(dòng)作處理模塊214的功能集 成到一個(gè)或多個(gè)現(xiàn)有組件內(nèi)是有益的���,但本發(fā)明不應(yīng)如此限制地解釋���。
盡管存在可導(dǎo)出網(wǎng)絡(luò)動(dòng)作控制列表218的各種方式,但根據(jù)一個(gè)實(shí)施例��,從 由各個(gè)網(wǎng)絡(luò)服務(wù)的開發(fā)員和/或供應(yīng)商提供的信息中生成網(wǎng)絡(luò)動(dòng)作控制列表�。圖3 是示出生成網(wǎng)絡(luò)動(dòng)作控制列表218并將其推廣給網(wǎng)絡(luò)活動(dòng)確認(rèn)模塊216的過程的框 圖。具體地�,隨著開發(fā)和/或部署網(wǎng)絡(luò)服務(wù),諸如網(wǎng)絡(luò)服務(wù)202-206����,網(wǎng)絡(luò)服務(wù)的開發(fā)員或供應(yīng)商也可提供相應(yīng)的動(dòng)作清單,諸如動(dòng)作清單302-306�����。動(dòng)作清單描述了
相應(yīng)的網(wǎng)絡(luò)服務(wù)的許可和/或預(yù)期的網(wǎng)絡(luò)動(dòng)作(以及諸如上述網(wǎng)絡(luò)對(duì)象的相關(guān)聯(lián)信
息)���。例如�,如果網(wǎng)絡(luò)服務(wù)202的開發(fā)員和/或供應(yīng)商預(yù)期網(wǎng)絡(luò)服務(wù)僅打開了端口 88和144并通過它們來通信,則該信息被包括在其相應(yīng)的動(dòng)作清單302中����。此外�, 每一動(dòng)作清單應(yīng)包括標(biāo)識(shí)相應(yīng)的網(wǎng)絡(luò)服務(wù)的信息,諸如上述網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符���。
動(dòng)作清單302-306由管理和配置模塊308處理�,其中管理員可接受由動(dòng)作清單 所提供的"建議"或根據(jù)安全需求對(duì)其修改��。此外����,使用管理和配置模塊308,管 理員可根據(jù)與管理員或流行的網(wǎng)絡(luò)條件相關(guān)的安全策略就一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)添 加附加的規(guī)則和/或條件���。
從這些動(dòng)作清單�、附加條件和規(guī)則以及管理員配置和修改中��,管理和配置模 塊308生成動(dòng)作控制列表�,并將該列表存儲(chǔ)在網(wǎng)絡(luò)動(dòng)作控制列表存儲(chǔ)310中����。根據(jù) 一個(gè)實(shí)施例���,網(wǎng)絡(luò)動(dòng)作控制列表存儲(chǔ)310是計(jì)算機(jī)系統(tǒng)的注冊(cè)表�。使用計(jì)算機(jī)系統(tǒng) 的注冊(cè)表的一個(gè)優(yōu)點(diǎn)在于����,注冊(cè)表的某些區(qū)域受到保護(hù)而免于受到除管理員以外進(jìn) 行的修改。這一安全措施保護(hù)網(wǎng)絡(luò)動(dòng)作控制列表免于被惡意軟件感染破壞�����,這種破 壞會(huì)導(dǎo)致進(jìn)一步破壞以及無效網(wǎng)絡(luò)動(dòng)作的允許和完成����。
如本領(lǐng)域的技術(shù)人員所理解的,管理和配置模塊308就操作系統(tǒng)而言在用戶 模式中操作�。然而, 一般��,網(wǎng)絡(luò)動(dòng)作處理模塊214 (以及網(wǎng)絡(luò)服務(wù)202-206)將在 內(nèi)核模式即管理存儲(chǔ)器�、文件和外設(shè)并運(yùn)行應(yīng)用程序、分配系統(tǒng)資源等的操作系統(tǒng) 核心中操作���。因此���,為了從網(wǎng)絡(luò)動(dòng)作控制列表存儲(chǔ)310向網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216(它 與網(wǎng)絡(luò)動(dòng)作處理模塊214—起在內(nèi)核模式中操作)傳送網(wǎng)絡(luò)動(dòng)作控制列表�,包括用 戶模式/內(nèi)核模式通信信道的推廣模塊312將網(wǎng)絡(luò)動(dòng)作控制列表218傳送給網(wǎng)絡(luò)動(dòng) 作確認(rèn)模塊���。
圖4是示出用于在含有受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)中處理網(wǎng)絡(luò)動(dòng)作的示 例性例程400的流程圖��。開始于框402�,網(wǎng)絡(luò)動(dòng)作處理模塊214接收網(wǎng)絡(luò)動(dòng)作�����。在 判定框404��,作出網(wǎng)絡(luò)動(dòng)作是否屬于要確認(rèn)的類型的判斷����。如上所述�,根據(jù)一個(gè)實(shí) 施例,僅作為端點(diǎn)創(chuàng)建的網(wǎng)絡(luò)動(dòng)作屬于要確認(rèn)的類型����。
如果網(wǎng)絡(luò)動(dòng)作不是要進(jìn)一步確認(rèn)的類型����,例程400前進(jìn)至框414����,在那里網(wǎng)絡(luò) 動(dòng)作即假定的有效網(wǎng)絡(luò)動(dòng)作被處理,即允許其完成�����?�;蛘?,如果網(wǎng)絡(luò)動(dòng)作是要進(jìn)一 步確認(rèn)的類型,則在框406��,向網(wǎng)絡(luò)活動(dòng)確認(rèn)模塊216轉(zhuǎn)發(fā)有效性査詢222(圖2)��。
在框408�,網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊216根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表218來確定有效性查 詢222的網(wǎng)絡(luò)動(dòng)作是否是請(qǐng)求網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng)作。根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表218來確定網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作將在以下關(guān)于圖5A和5B來描述�����。
圖5A和5B是示出用于根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表218來確定網(wǎng)絡(luò)動(dòng)作是否是有 效網(wǎng)絡(luò)動(dòng)作的示例性子例程500的流程圖。
開始于框502��,網(wǎng)絡(luò)活動(dòng)確認(rèn)模塊216標(biāo)識(shí)對(duì)應(yīng)于作為有效性査詢222的主題 的網(wǎng)絡(luò)動(dòng)作的網(wǎng)絡(luò)服務(wù)��。盡管這可由多種方式來完成���,但根據(jù)一個(gè)實(shí)施例����,為網(wǎng)絡(luò) 動(dòng)作獲取網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符�����。在一個(gè)實(shí)施例中����,從容納網(wǎng)絡(luò)服務(wù)的進(jìn)程的 進(jìn)程令牌中獲取網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符��。例如��,在微軟公司的Windows⑧操作系統(tǒng)的某些 版本中��,進(jìn)程令牌是操作系統(tǒng)使其與一進(jìn)程相關(guān)聯(lián)的上下文����,用于存儲(chǔ)關(guān)于該進(jìn)程 中運(yùn)行的程序的標(biāo)識(shí)和特權(quán)信息�����。
在判定框504,作出關(guān)于網(wǎng)絡(luò)訪問控制列表218中是否存在對(duì)應(yīng)于所標(biāo)識(shí)的網(wǎng) 絡(luò)服務(wù)的特定條目的判斷�。如果沒有找到對(duì)應(yīng)于該網(wǎng)絡(luò)服務(wù)的條目�,則在框512(圖 5B),向網(wǎng)絡(luò)動(dòng)作處理模塊214返回指示網(wǎng)絡(luò)活動(dòng)是有效網(wǎng)絡(luò)活動(dòng)的有效性響應(yīng) 224��,且子例程500終止���。通過在缺乏對(duì)應(yīng)于所標(biāo)識(shí)的網(wǎng)絡(luò)服務(wù)的任何條目的情況 下默認(rèn)有效性的假定�����,假定未為該網(wǎng)絡(luò)服務(wù)生成行為清單�����,或行為清單未被包括在 網(wǎng)絡(luò)動(dòng)作控制列表218中�����。在任一情況中��,許可網(wǎng)絡(luò)動(dòng)作����,而非關(guān)閉對(duì)該網(wǎng)絡(luò)資源 的所有活動(dòng),這是作出其網(wǎng)絡(luò)動(dòng)作無效的假定的效果���。顯然���,在替換實(shí)施例中,默 認(rèn)可以是無效性的假定��。類似地�,網(wǎng)絡(luò)動(dòng)作控制列表218中完全缺乏對(duì)應(yīng)于所標(biāo)識(shí) 的網(wǎng)絡(luò)服務(wù)的條目會(huì)在審計(jì)日志220中生成特殊條目,對(duì)該網(wǎng)絡(luò)服務(wù)進(jìn)行標(biāo)記以提 請(qǐng)管理員的特別注意�。
如果在判定框504中,在網(wǎng)絡(luò)動(dòng)作控制列表218中找到了對(duì)應(yīng)于該網(wǎng)絡(luò)服務(wù) 的一個(gè)條目��,則子例程500前進(jìn)至框506��。在框506處��,標(biāo)識(shí)網(wǎng)絡(luò)動(dòng)作控制列表218 中對(duì)應(yīng)于所標(biāo)識(shí)的網(wǎng)絡(luò)服務(wù)的所有條目�����。在框508處�,標(biāo)識(shí)所標(biāo)識(shí)的條目中最緊密 對(duì)應(yīng)于該網(wǎng)絡(luò)動(dòng)作(即有效性查詢222的主題)的條目。在判定框510處����,根據(jù)網(wǎng) 絡(luò)動(dòng)作控制列表218中最緊密對(duì)應(yīng)的條目來作出該網(wǎng)絡(luò)動(dòng)作是否被許可的判斷。如 果根據(jù)之前的判斷該網(wǎng)絡(luò)動(dòng)作被許可��,則在框512處�����,向網(wǎng)絡(luò)活動(dòng)處理模塊214 返回有效性響應(yīng)224��,指示該網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng)作���,且子例程500終止�����?�;蛘?�, 如果根據(jù)之前的判斷���,該網(wǎng)絡(luò)動(dòng)作不被許可���,則在框514 (圖5B)處,向網(wǎng)絡(luò)動(dòng) 作處理模塊214返回?zé)o效性響應(yīng)224����,指示該網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作。
再次對(duì)于圖4����,在從網(wǎng)絡(luò)動(dòng)作有效性模塊216獲取了有效性響應(yīng)224之后,在 判定框410處��,作出該網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作的判斷���。如果該網(wǎng)絡(luò)動(dòng)作不是 有效網(wǎng)絡(luò)動(dòng)作���,則在框412處,該網(wǎng)絡(luò)動(dòng)作被阻塞�����?����;蛘?�,如果該網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng)作����,則在框414處,處理該網(wǎng)絡(luò)動(dòng)作(即�����,允許其完成)�。之后,例程400 返回至框402以獲取并處理其他網(wǎng)絡(luò)動(dòng)作����。
盡管示出和描述了各個(gè)說明性實(shí)施例,但可以理解��,可對(duì)其進(jìn)行各種改變 而不背離本發(fā)明的精神和范圍���。
1權(quán)利要求
1. 一種含有受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)�,所述計(jì)算機(jī)系統(tǒng)包括處理器��;存儲(chǔ)器;和網(wǎng)絡(luò)動(dòng)作處理模塊���,處理來自在所述計(jì)算機(jī)系統(tǒng)上運(yùn)行的一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)動(dòng)作���;其中所述計(jì)算機(jī)系統(tǒng)被配置成結(jié)合所述網(wǎng)絡(luò)動(dòng)作處理模塊來運(yùn)行執(zhí)行網(wǎng)絡(luò)動(dòng)作的至少一個(gè)網(wǎng)絡(luò)服務(wù);且其中所述網(wǎng)絡(luò)動(dòng)作處理模塊在從網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作之后根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表來確定所述網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作����;如果所述之前的判斷得出所述網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作,則阻塞所述網(wǎng)絡(luò)動(dòng)作�����;以及如果所述之前的判斷得出所述網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng)作�,則許可所述網(wǎng)絡(luò)動(dòng)作完成。
2. 如權(quán)利要求l所述的計(jì)算機(jī)系統(tǒng)�,其特征在于,還包括網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊���, 其中所述網(wǎng)絡(luò)動(dòng)作處理模塊根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表來確定所述網(wǎng)絡(luò)動(dòng)作是否是有 效網(wǎng)絡(luò)動(dòng)作包括根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表向所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊查詢所述網(wǎng)絡(luò)動(dòng)作是否是有 效網(wǎng)絡(luò)動(dòng)作��,所述網(wǎng)絡(luò)確認(rèn)模塊能夠訪問所述網(wǎng)絡(luò)動(dòng)作控制列表�;以及從所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊接收指示所述網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作的響應(yīng)。
3. 如權(quán)利要求2所述的計(jì)算機(jī)系統(tǒng)���,其特征在于����,在從網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng) 作之后�,所述網(wǎng)絡(luò)動(dòng)作處理模塊確定所述網(wǎng)絡(luò)動(dòng)作是否屬于要由所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊確認(rèn)的類型�;以及 僅在所述網(wǎng)絡(luò)動(dòng)作屬于要由網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊確認(rèn)的類型時(shí)向所述網(wǎng)絡(luò)動(dòng)作 確認(rèn)模塊查詢所述網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作。
4. 如權(quán)利要求3所述的計(jì)算機(jī)系統(tǒng)�,其特征在于,確定所述網(wǎng)絡(luò)動(dòng)作是否屬 于要由所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊確認(rèn)的類型包括確定所述網(wǎng)絡(luò)動(dòng)作是否是端點(diǎn)創(chuàng)建 網(wǎng)絡(luò)動(dòng)作���。
5. 如權(quán)利要求3所述的計(jì)算機(jī)系統(tǒng)�,其特征在于�����,所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊通 過將所述網(wǎng)絡(luò)動(dòng)作與所述網(wǎng)絡(luò)動(dòng)作控制列表中對(duì)應(yīng)于發(fā)出所述網(wǎng)絡(luò)動(dòng)作的所述網(wǎng) 絡(luò)服務(wù)的條目進(jìn)行比較來確定所述網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作�����。
6. 如權(quán)利要求5所述的計(jì)算機(jī)系統(tǒng)����,其特征在于�,每一網(wǎng)絡(luò)動(dòng)作與唯一標(biāo)識(shí) 發(fā)出所述網(wǎng)絡(luò)動(dòng)作的網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符相關(guān)聯(lián)����;且其中所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊通過將所述網(wǎng)絡(luò)動(dòng)作與所述網(wǎng)絡(luò)動(dòng)作控制列表中 對(duì)應(yīng)于根據(jù)所述網(wǎng)絡(luò)動(dòng)作中的所述網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符的網(wǎng)絡(luò)服務(wù)的條目進(jìn)行比較來 確定所述網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作。
7. 如權(quán)利要求6所述的計(jì)算機(jī)系統(tǒng)�,其特征在于,所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊在 所述網(wǎng)絡(luò)動(dòng)作控制列表中不存在拒絕對(duì)所述網(wǎng)絡(luò)服務(wù)的許可的條目的情況下確定 所述網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng)作�。
8. 如權(quán)利要求5所述的計(jì)算機(jī)系統(tǒng),其特征在于�����,所述網(wǎng)絡(luò)動(dòng)作確認(rèn)模塊還 在審計(jì)日志中記錄關(guān)于所述網(wǎng)絡(luò)動(dòng)作的信息以及它們是否是有效網(wǎng)絡(luò)動(dòng)作����。
9. 如權(quán)利要求2所述的計(jì)算機(jī)系統(tǒng),其特征在于�,所述網(wǎng)絡(luò)動(dòng)作控制列表是 從對(duì)應(yīng)于網(wǎng)絡(luò)服務(wù)的至少一個(gè)動(dòng)作清單中生成的,所述動(dòng)作清單標(biāo)識(shí)用于所述對(duì)應(yīng) 的網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng)作���。
10. 如權(quán)利要求2所述的計(jì)算機(jī)系統(tǒng)����,其特征在于,所述網(wǎng)絡(luò)動(dòng)作處理模塊 為計(jì)算機(jī)系統(tǒng)上的TCP/IP堆棧處理模塊���。
11. 一種承載計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�,所述指令當(dāng)在聯(lián)網(wǎng)計(jì)算 機(jī)上執(zhí)行時(shí)�����,實(shí)現(xiàn)保護(hù)所述計(jì)算機(jī)上的網(wǎng)絡(luò)服務(wù)的方法��,所述方法包括從網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作���;確定所述網(wǎng)絡(luò)動(dòng)作是否應(yīng)被進(jìn)一步確認(rèn)為有效網(wǎng)絡(luò)動(dòng)作,如果是�����,貝IJ:根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表來確定所述網(wǎng)絡(luò)動(dòng)作是否是用于所述網(wǎng)絡(luò)服務(wù)的 有效網(wǎng)絡(luò)動(dòng)作����;如果根據(jù)所述網(wǎng)絡(luò)動(dòng)作控制列表,所述網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作����,則 阻塞所述網(wǎng)絡(luò)動(dòng)作;以及如果根據(jù)所述網(wǎng)絡(luò)動(dòng)作控制列表,所述網(wǎng)絡(luò)動(dòng)作是有效網(wǎng)絡(luò)動(dòng)作��,則許 可所述網(wǎng)絡(luò)動(dòng)作完成�����。
12. 如權(quán)利要求ll所述的計(jì)算機(jī)可讀介質(zhì)��,其特征在于�,確定所述網(wǎng)絡(luò)動(dòng)作 是否應(yīng)被進(jìn)一步確認(rèn)為有效網(wǎng)絡(luò)動(dòng)作包括確定所述網(wǎng)絡(luò)動(dòng)作是否是端點(diǎn)創(chuàng)建網(wǎng)絡(luò) 動(dòng)作,使得如果所述網(wǎng)絡(luò)動(dòng)作是端點(diǎn)創(chuàng)建網(wǎng)絡(luò)動(dòng)作則所述網(wǎng)絡(luò)動(dòng)作應(yīng)被進(jìn)一步確認(rèn)����。
13. 如權(quán)利要求ll所述的計(jì)算機(jī)可讀介質(zhì),其特征在于��,所述根據(jù)網(wǎng)絡(luò)動(dòng)作 控制列表來確定所述網(wǎng)絡(luò)動(dòng)作是否是用于所述網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng)作包括將所 述網(wǎng)絡(luò)動(dòng)作與所述網(wǎng)絡(luò)動(dòng)作控制列表中對(duì)應(yīng)于所述網(wǎng)絡(luò)服務(wù)的條目進(jìn)行比較����。
14. 如權(quán)利要求13所述的計(jì)算機(jī)可讀介質(zhì),其特征在于��,所述網(wǎng)絡(luò)動(dòng)作包括 唯一標(biāo)識(shí)所述網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符���,且其中所述方法將所述網(wǎng)絡(luò)動(dòng)作與所述 網(wǎng)絡(luò)動(dòng)作控制列表中對(duì)應(yīng)于由所述網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符所標(biāo)識(shí)的所述網(wǎng)絡(luò)服務(wù)的條目 進(jìn)行比較����。
15. 如權(quán)利要求14所述的計(jì)算機(jī)可讀介質(zhì),其特征在于���,如果在所述網(wǎng)絡(luò)動(dòng)作控制列表中不存在對(duì)應(yīng)于由所述網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符所標(biāo)識(shí)的所述網(wǎng)絡(luò)服務(wù)的條目����, 則所述網(wǎng)絡(luò)動(dòng)作被確定為有效網(wǎng)絡(luò)動(dòng)作���。
16. 如權(quán)利要求11所述的計(jì)算機(jī)可讀介質(zhì)��,其特征在于,所述方法還包括將判斷所述網(wǎng)絡(luò)動(dòng)作是否是用于所述網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng)作的結(jié)果寫入審計(jì)日志����。
17. 如權(quán)利要求ll所述的計(jì)算機(jī)可讀介質(zhì),其特征在于��,所述網(wǎng)絡(luò)動(dòng)作控制列表包括從對(duì)應(yīng)于至少一個(gè)網(wǎng)絡(luò)服務(wù)的至少一個(gè)動(dòng)作清單中生成的條目��。
18. —種保護(hù)連接至網(wǎng)絡(luò)的計(jì)算設(shè)備上的網(wǎng)絡(luò)服務(wù)的方法���,所述方法包括 從在所述計(jì)算設(shè)備上操作的網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作����;確定所述網(wǎng)絡(luò)動(dòng)作是否屬于應(yīng)被驗(yàn)證為有效網(wǎng)絡(luò)動(dòng)作的類型,且如果是����,貝IJ: 獲取唯一地標(biāo)識(shí)所述網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符;根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表中對(duì)應(yīng)于由所述網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符標(biāo)識(shí)的所述網(wǎng)絡(luò)服 務(wù)的一個(gè)或多個(gè)條目��,確定所述網(wǎng)絡(luò)動(dòng)作是否是用于所述網(wǎng)絡(luò)服務(wù)的有效網(wǎng)絡(luò)動(dòng) 作���;以及如果根據(jù)所述網(wǎng)絡(luò)動(dòng)作控制列表��,所述網(wǎng)絡(luò)動(dòng)作不是有效網(wǎng)絡(luò)動(dòng)作���,則阻 塞所述網(wǎng)絡(luò)動(dòng)作。
19. 如權(quán)利要求18所述的方法����,其特征在于,確定所述網(wǎng)絡(luò)動(dòng)作是否屬于應(yīng) 被驗(yàn)證為有效網(wǎng)絡(luò)動(dòng)作的類型包括確定所述網(wǎng)絡(luò)動(dòng)作是否是端點(diǎn)創(chuàng)建網(wǎng)絡(luò)動(dòng)作�����,且 如果所述網(wǎng)絡(luò)動(dòng)作是端點(diǎn)創(chuàng)建網(wǎng)絡(luò)動(dòng)作���,則所述網(wǎng)絡(luò)動(dòng)作應(yīng)被進(jìn)一步確認(rèn)�。
20. 如權(quán)利要求18所述的方法,其特征在于�����,如果在所述網(wǎng)絡(luò)動(dòng)作控制列表 中不存在對(duì)應(yīng)于如由所述網(wǎng)絡(luò)服務(wù)標(biāo)識(shí)符所標(biāo)識(shí)的網(wǎng)絡(luò)服務(wù)所對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)的 條目��,則所述網(wǎng)絡(luò)動(dòng)作被確定為有效網(wǎng)絡(luò)動(dòng)作�����。
全文摘要
提供了具有受保護(hù)的網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)系統(tǒng)���。計(jì)算機(jī)系統(tǒng)包括處理器�、存儲(chǔ)器和網(wǎng)絡(luò)動(dòng)作處理模塊��。網(wǎng)絡(luò)動(dòng)作處理模塊處理來自在計(jì)算機(jī)系統(tǒng)上運(yùn)行的一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)動(dòng)作�����。計(jì)算機(jī)系統(tǒng)還被配置成結(jié)合網(wǎng)絡(luò)動(dòng)作處理模塊來運(yùn)行執(zhí)行網(wǎng)絡(luò)動(dòng)作的至少一個(gè)網(wǎng)絡(luò)服務(wù)��。在從網(wǎng)絡(luò)服務(wù)接收網(wǎng)絡(luò)動(dòng)作之后�,網(wǎng)絡(luò)動(dòng)作處理模塊根據(jù)網(wǎng)絡(luò)動(dòng)作控制列表來確定該網(wǎng)絡(luò)動(dòng)作是否是有效網(wǎng)絡(luò)動(dòng)作。如果該網(wǎng)絡(luò)動(dòng)作被確定為不是有效網(wǎng)絡(luò)動(dòng)作�����,則該網(wǎng)絡(luò)動(dòng)作被阻塞��?�;蛘?�,如果該網(wǎng)絡(luò)動(dòng)作被確定為有效網(wǎng)絡(luò)動(dòng)作�����,則許可該網(wǎng)絡(luò)動(dòng)作完成�。
文檔編號(hào)G06F15/173GK101501677SQ200680025292
公開日2009年8月5日 申請(qǐng)日期2006年7月12日 優(yōu)先權(quán)日2005年7月13日
發(fā)明者N·R·S·S·納加帕利, P·巴爾, R·欽塔, S·A·費(fèi)爾德 申請(qǐng)人:微軟公司