[发明专利]分析加密网络业务的内容的系统和方法

说明书

本发明中公开了分析加密网络业务的内容的系统和方法。根据一个方面，示例性方法包括：将第一进程和第二进程之间的业务重路由到服务器，以确定在所述第一进程和所述第二进程之间存在建立的受保护的连接，其中，所述第一进程在第一计算设备上执行；确定与属于所述第一进程的应用有关的信息；通过调用函数来获取用于所述受保护的连接的会话密钥，其中，所述信息包括为了获取所述会话密钥所调用的所述函数的地址；使用所述会话密钥解密并分析重路由在所述服务器上的在所述第一进程和所述第二进程之间的所述业务，以确定所述业务是否包含恶意对象；以及响应于确定所述业务包含恶意对象，通过阻断或重路由所述业务来阻止所述恶意对象。

技术领域

本发明涉及用于分析受保护的网络连接的系统和方法，且更具体地涉及分析加密网络业务的内容以检测恶意对象的系统和方法。

背景技术

在用于计算机系统的防病毒保护的可靠方案中，应当提供多层保护。其中一层保护是在用户连接到因特网时通过分析网络业务而保护用户免受网络威胁。为了使计算机系统安全，防病毒保护通过借助代理服务器路由网络业务而执行分析。该代理服务器提取并分析网站页面(HTML)的数据、各种类型的文件(可执行文件、图像、文本文档等)、脚本等以确保用户和计算机安全。在网络浏览器连接到远程网络服务器的情况下，可以以开放形式和以加密形式传输数据。目前用于保护数据传输的互联网标准为传输层加密保护协议(传输层安全协议，TLS)，该传输层加密保护协议与标准数据传输协议一起使用，形成例如超文本传输协议安全(Hypertext Transfer Protocol Secure，HTTPS)协议。为了提供对安全系统的网络业务的加密数据的访问，代理服务器在建立受保护的连接时在“握手”程序的过程中替换网站的证书。在HTTPS连接的情况下，这导致网络浏览器找到用于网站的非原始证书并将此通知给用户。可替选地，在扩展验证(Extended Validation，EV)证书(这些证书为可靠度高的证书)的情况下，在网站上另外还失去如由在网络浏览器的地址字符串旁边的绿色条所指示的EV状态。该绿色条的存在告诉访问者该网站是真实的。因此，在网络浏览器和网站之间连接的情况下对受保护数据传输协议的干预导致用户对防病毒方案的负面印象和较低的用户体验(User Experience，UX)标准。为了保护用户在因特网上免受网络威胁而需要分析网络业务的应用(除了网络浏览器之外)的另一示例为通讯工具(即时通讯工具或IM)。

发明内容

所请求保护的本发明使得能够在建立受保护的连接时对加密网络业务(encrypted network traffic)的内容执行分析而不干预安全协议。

本发明的各个方面提出在建立受保护的连接时分析加密网络业务的内容而不干预安全协议的方法和系统。

本发明的各个方面涉及分析加密网络业务的内容以检测恶意对象的系统和方法。

本发明的技术效果是扩展工具库，该工具库是为了实现所提出的本发明的目的所设计的。

在一些方面中，示例性方法包括：将第一进程和第二进程之间的业务重路由到服务器，以确定在所述第一进程和所述第二进程之间存在建立的受保护的连接，其中，所述第一进程在第一计算设备上执行；确定与属于所述第一进程的应用有关的信息；通过调用函数来获取用于所述受保护的连接的会话密钥，其中，所述信息包括为了获取所述会话密钥所调用的所述函数的地址；使用所述会话密钥解密并分析重路由在所述服务器上的在所述第一进程和所述第二进程之间的所述业务，以确定所述业务是否包含恶意对象；以及响应于确定所述业务包含恶意对象，通过阻断或重路由所述业务来阻止所述恶意对象。

在一个方面中，所述方法还包括将程序模块注入到所述第一进程的地址空间中，以及通过指示所述程序模块拦截在建立所述受保护的连接时所调用的函数来获取所述会话密钥。

在一个方面中，通过查询数据库来确定与所述应用有关的所述信息，所述数据库包含多个函数的地址的列表，所述多个函数返回用于多个应用的所述会话密钥。