[发明专利]分析加密网络业务的内容的系统和方法

权利要求书

1.一种用于分析进程之间的加密业务的内容的方法，所述方法包括：

将第一进程和第二进程之间的业务重路由到服务器，以确定在所述第一进程和所述第二进程之间存在建立的受保护的连接，其中，所述第一进程在第一计算设备上执行；

确定关于与所述第一进程相关联的应用的信息，其中，所述信息至少基于所述应用的版本并且包括获取用于所述受保护的连接的会话密钥的函数的地址；

通过调用所述函数来获取用于所述受保护的连接的所述会话密钥；

验证所述应用的所述版本与分析重路由的所述业务的内容的方法的兼容性；

使用所述会话密钥解密重路由的所述业务，并使用兼容方法分析重路由在所述服务器上的所述业务，以确定所述业务是否包含恶意对象；以及

响应于确定所述业务包含恶意对象，通过阻断或重路由所述业务来阻止所述恶意对象。

2.如权利要求1所述的方法，还包括：

将程序模块注入到所述第一进程的地址空间中；以及

通过指示所述程序模块拦截在建立所述受保护的连接时所调用的函数来获取所述会话密钥。

3.如权利要求2所述的方法，其中，通过查询数据库来确定与所述应用有关的所述信息，所述数据库包含多个函数的地址的列表，所述多个函数返回用于多个应用的所述会话密钥。

4.如权利要求3所述的方法，还包括：

使用从所述数据库检索到的所述地址在所述应用的导入表中查找要调用的函数；以及

将指针指向复制所述会话密钥的、代替在建立所述受保护的连接时调用的所述函数的拦截函数。

5.如权利要求1所述的方法，其中，使用程序调试文件确定所述信息。

6.如权利要求1所述的方法，其中，所述服务器为代理服务器且同步执行所述分析，其中，延迟重路由通过所述代理服务器的所述业务，直到完成分析并从所述业务移除所述恶意对象。

7.如权利要求1所述的方法，其中，所述服务器为代理服务器且异步执行所述分析，其中，连续地执行所述分析而不延迟重路由通过所述代理服务器的业务。

8.如权利要求1所述的方法，其中，所述应用为网络浏览器。

9.一种用于分析进程之间的加密业务的内容的系统，所述系统包括：

硬件处理器，所述硬件处理器配置成：

将第一进程和第二进程之间的业务重路由到服务器，以确定在所述第一进程和所述第二进程之间存在建立的受保护的连接，其中，所述第一进程在第一计算设备上执行；

确定关于与所述第一进程相关联的应用的信息，其中，所述信息至少基于所述应用的版本并且包括获取用于所述受保护的连接的会话密钥的函数的地址；

通过调用所述函数来获取用于所述受保护的连接的所述会话密钥；

验证所述应用的所述版本与分析重路由的所述业务的内容的方法的兼容性；

使用所述会话密钥解密重路由的所述业务，并使用兼容方法分析重路由在所述服务器上的所述业务，以确定所述业务是否包含恶意对象；以及

响应于确定所述业务包含恶意对象，由所述服务器通过阻断或重路由所述业务来阻止所述恶意对象。

10.如权利要求9所述的系统，其中，通过查询数据库来确定所述信息，所述数据库包含多个函数的地址的列表，所述多个函数返回用于多个应用的所述会话密钥。

11.如权利要求10所述的系统，其中，所述硬件处理器还配置成：

拦截在建立所述受保护的连接时所调用的函数。

12.如权利要求11所述的系统，其中，所述硬件处理器还配置成：

使用从所述数据库检索到的所述地址在所述应用的导入表中查找要调用的函数；以及

将指针指向复制所述会话密钥的、代替在建立所述受保护的连接时调用的所述函数的拦截函数。