对不需要的软件或恶意软件进行分类的系统和方法

摘要

一种在计算机基础设施内实现的用于识别恶意软件或未授权软件通信的方法，所述方法包括检测加密通信和确定所述加密通信的标识数据。此外，所述方法包括将所检测的加密通信与针对使用所述标识数据的加密通信获得授权的应用的列表和使用所述标识数据的加密通信的授权目的地的列表中的至少一个相比较。另外，所述方法包括响应于确定以下项中的至少一个，将所检测的加密通信识别为未授权加密通信：根据所述比较，所检测的加密通信来自不在针对加密通信获得授权的应用的列表中的未授权应用；以及所检测的加密通信去往不在授权目的地的列表中的未授权目的地。

说明书

技术领域

本发明一般地涉及识别恶意活动，更具体地说，涉及一种通过识别加密数据通信对不需要的软件或恶意软件进行分类的系统和方法。

背景技术

恶意软件-由恶意和软件这两个单词混合而成单词-是被设计为在未经主人知情同意的情况下渗透或损害计算机系统的软件。此表述是计算机专业人士用于表示各种形式的恶意的、侵入的或烦人的软件或程序代码的统称。许多计算机用户对于该术语不了解，经常使用“计算机病毒”指代包括真正病毒在内的所有类型的恶意软件。

软件是根据创建者的主观意图而非任何特殊的特征被视为恶意软件的。恶意软件包括计算机病毒、蠕虫、特洛伊木马、多数内核级后门(rootkit)、间谍软件、欺诈广告软件、犯罪软件和其他恶意和不需要的软件。恶意软件与具有合法用途但包含有害漏洞的缺陷软件不同。

包括第一个因特网蠕虫和一些MS-DOS病毒在内的许多早期传染性程序的编写只是为了进行试验或恶作剧，一般不以侵害为目的，或者仅为了给人造成麻烦，而不是为了给计算机造成严重损害。但是，由于广泛的宽带互联网访问的增加，有人开始设计以盈利为目的恶意软件，其中或多或少带些违法(强制广告)犯罪的动机。例如，自2003年起，设计出了大量广泛传播的病毒和蠕虫来控制用户计算机以实现恶意侵占。受感染的“僵尸计算机”被用于发送垃圾电子邮件、成为非法数据的宿主，或作为一种敲诈形式参与分布式拒绝服务攻击。

另一种完全趋利的恶意软件以间谍软件的形式出现，例如，被设计为监视用户的Web浏览、显示未经请求发送的广告，或将联盟营销收益转移到间谍软件创建者的程序。间谍软件程序不像病毒那样传播，它们一般利用安全漏洞进行安装，或者与用户安装的软件打包在一起，例如点对点应用。间谍软件和广告程序经常会安装很多进程，以至于受感染的机器变得不稳定，从而改变了攻击的初衷。

最知名类型的恶意软件、病毒和蠕虫是以其传播方式而非任何其他特殊的行为被人所知。术语“计算机病毒”用于表示已经感染某些可执行软件并导致所述软件在运行时将病毒传播给其他可执行软件的程序。病毒还可以包含执行其他操作(通常是恶意的)的有效负载。另一方面，蠕虫是通过网络主动传播自己以感染其他计算机的程序。蠕虫也可携带有效负载。

在上世纪八十年代和九十年代，经常理所当然地认为恶意程序以破坏或恶作剧的形式创建(尽管有些病毒的传播只是使用户不再进行非法软件交换)。最近，更多恶意软件程序的编写带有经济动机或利益动机在内。可以认为恶意软件的作者选择通过控制受感染的系统赚钱：将这种控制转化为收益来源。

自大约2003年起，就恢复所花费的时间和金钱而言，最昂贵的恶意软件形式是被称为间谍软件的宽泛型软件。间谍软件程序是一款商业产品，其目的是为了间谍软件创建者的经济利益收集有关计算机用户的信息、向用户显示弹出广告，或者改变Web浏览器行为。例如，有些间谍软件程序将搜索引擎结果重定向到付费广告。通常被媒体称为“窃取软件”的其他间谍软件通过覆盖联盟营销代码，使得收入流向间谍软件的创建者，而非预定接收者。

为了协调许多受感染计算机的活动，攻击者使用被称为僵尸网络的协调系统。在僵尸网络的情况下，恶意软件或malbot登录到互联网中继聊天通道或其他聊天系统。攻击者然后可以同时向所有受感染的系统发出指令。僵尸网络还可以用于将升级后的恶意软件推入受感染系统，使这些软件不受反病毒软件或其他安全措施的制约。

当恶意软件攻击变得更频繁时，注意力已经从病毒和间谍软件防护转移到恶意软件防护，并且开发出专门抗击这些恶意软件的程序。目前的反恶意软件程序可以通过两种方式抗击恶意软件。首先，反恶意软件程序可以提供实时保护来防止在用户的计算机上安装恶意软件。此类间谍软件防护与反病毒防护的工作方式相同，因为反恶意软件的软件扫描所有入站网络数据来查看是否具有恶意软件并阻止其碰到的任何威胁。其次，反恶意软件的软件程序可以专门用于检测和删除已经安装在用户计算机上的恶意软件。此类恶意软件防护通常更易于使用并且更流行。此类反恶意软件的软件扫描Windows注册表的内容、操作系统文件和计算机上已安装的程序，并且会提供所找到的任何威胁的列表，从而允许用户选择需要删除的内容和需要保留的内容，或者将该列表与已知恶意软件组件列表进行比较，删除匹配的文件。

但是，企业内的现代恶意软件和其他未授权软件通常依赖加密通信发送它们的命令和控制或识别点对点网络应用(例如，文件共享等)的分布节点。(Skype是Skype Limited或其他联营公司在美国和/或其他国家/地区的注册商标)。在密码学中，加密是使用算法(称为密码)变换信息(被称为明文)，使得除了拥有特殊知识(一般称为密钥)的人士以外的任何人无法读取该信息的过程。所述过程的结果为加密后的信息(在密码学中，被称为密文)。在许多上下文中，单词“加密”也隐含地指逆过程，解密(例如，“加密软件”一般也可执行解密)，以使加密后的信息再次可读(即，使该信息成为非加密的)。

因为这些恶意软件通信和其他未授权软件通信被加密，所以一般不可能调查被发送的实际数据。因此，当恶意软件使用加密通信时，从防护角度来看，当前将重点放在这些协议内的数据签名匹配的恶意软件检测技术仍有不足。

因此，恶意软件对于例如计算机用户和/或服务提供者而言仍是一个现实的问题。相应地，在本领域中仍需要克服上述缺陷和限制。

发明内容

在本发明的第一方面，在计算机基础设施内实现一种用于识别恶意软件通信或未授权软件通信的方法。所述方法包括检测加密通信和确定所述加密通信的标识数据。此外，所述方法包括将所检测的加密通信与针对使用所述标识数据的加密通信获得授权的应用的列表和使用所述标识数据的加密通信的授权目的地的列表中的至少一个相比较。另外，所述方法包括响应于确定以下项中的至少一个，将所检测的加密通信识别为未授权加密通信：根据所述比较，所检测的加密通信来自不在针对加密通信获得授权的应用的列表中的未授权应用；以及所检测的加密通信去往不在授权目的地的列表中的未授权目的地。

在本发明的另一方面，计算机系统包括存储设备、存储器和中央处理单元。此外，所述计算机系统包括：第一程序指令，用于检测加密通信；以及第二程序指令，用于确定所述加密通信的标识数据。另外，所述计算机系统包括第三程序指令，用于将所述加密通信与针对加密通信获得授权的应用的列表和使用所述标识数据的加密通信的授权目的地的列表中的至少一个相比较。此外，所述计算机系统包括第四程序指令，用于响应于确定以下项中的至少一个，将所述加密通信识别为未授权加密通信：根据将所述加密通信与所述针对加密通信获得授权的应用的列表的比较，所述加密通信来自不在所述针对加密通信获得授权的应用的列表中的未授权应用；以及根据将所述加密通信与所述加密通信的授权目的地的列表的比较，所述加密通信去往不在所述加密通信的授权目的地的列表中的未授权目的地。此外，所述第一、第二、第三和第四程序指令存储在所述存储设备中，以便由所述中央处理单元通过所述存储器来执行。

在本发明的又一方面，提供了包括其中包含可读程序代码的计算机可用存储介质的计算机程序产品。所述计算机程序产品包括至少一个可操作以接收针对加密通信获得授权的应用的列表和加密通信的授权目的地的列表中的至少一个的组件。此外，所述计算机基础设施可操作以确定所述加密通信的标识数据。另外，所述计算机基础设施可操作以将所检测的加密通信与针对使用所述标识数据的加密通信获得授权的应用的列表和使用所述标识数据的加密通信的授权目的地的列表中的至少一个相比较。此外，所述计算机基础设施可操作以响应于确定以下项中的至少一个，将所述加密通信识别为未授权加密通信并阻止所检测的加密通信：根据所述比较，所检测的加密通信来自不在针对加密通信获得授权的应用的列表中的未授权应用；以及所检测的加密通信去往不在加密通信的授权目的地的列表中的未授权目的地。此外，所述计算机基础设施可操作以响应于在符合下列条件时，将所检测的加密通信识别为授权加密通信并允许所检测的加密通信：根据所述比较，确定所检测的加密通信来自在针对加密通信获得授权的应用的列表中的授权应用；以及根据所述比较，确定所检测的加密通信去往在加密通信的授权目的地的列表中的授权目的地。

附图说明

通过本发明的示意性实施例的非限制性实例，参考所示的多个附图在以下详细说明中对本发明进行了描述，这些附图是：

图1示出了用于实现根据本发明的步骤的示例性环境；

图2示出了根据本发明的各方面的通过识别加密数据通信对不需要的软件或恶意软件进行分类的示意性流程；以及

图3示出了根据本发明的各方面的通过识别加密数据通信对不需要的软件或恶意软件进行分类的示意性流程。

具体实施方式

本发明一般地涉及识别恶意活动，更具体地说，涉及一种通过识别加密数据通信对不需要的软件或恶意软件进行分类的系统和方法。企业内的恶意软件和其他未授权软件(例如，桌面级和/或服务器级)通常依赖加密通信发送它们的命令和控制或识别点对点网络应用的分布节点。也就是说，为了不被检测到，恶意软件使用加密来隐藏其通信内容。这些加密通信可以在任何时间，在任何端口上出现任何长度的时间。

但是，组织一般了解企业内部署的以加密方式通信的授权应用。也就是说，组织知道针对加密通信获得授权的应用以及加密通信的标识数据，例如，那些授权应用使用的加密通信类型(例如，散列和/或RSA加密)、发送和接收通信的源端口号和目的地端口号和/或发出或发起通信的网际协议(IP)地址。

根据本发明的各方面，可以通过动态地识别任何加密通信并将这些加密通信与已知或授权的应用相关联来阻止与恶意软件和未授权软件部署关联的不需要的加密通信。如果任何加密通信未与已知或授权应用关联，则本发明可操作以将所述加密通信识别为与恶意软件和/或未授权软件关联。此外，本发明可操作以阻止与恶意软件和/或未授权软件关联的加密通信。

通过实现本发明，可以通过动态地识别任何加密通信并将这些加密通信与已知或授权应用进行关联来阻止与恶意软件部署和未授权软件部署关联的不需要的加密通信。此外，通过实现本发明，可以减少恶意软件和/或未授权软件对系统造成的损害。实现本发明还可以减少在解决恶意软件部署和/或未授权软件部署时的资源消耗。

如本领域的技术人员将理解的，本发明可以体现为系统、方法或计算机程序产品。因此，本发明可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或组合了在此全部统称为“电路”、“模块”或“系统”的硬件和软件方面的实施例的形式。此外，本发明可以采取体现在任何有形表达式介质(其中包含计算机可用程序代码)中的计算机程序产品的形式。

可以使用一个或多个计算机可用或计算机可读介质的任意组合。所述计算机可用或计算机可读介质可以例如是但不限于电、磁、光、电磁、红外线或半导体系统、装置、设备或传播介质。计算机可读介质的更具体的实例(非穷举列表)将包括以下项：

具有一条或多条线的电连接，

便携式计算机盘，

硬盘，

随机存取存储器(RAM)，

只读存储器(ROM)，

可擦写可编程只读存储器(EPROM或闪存)，

光纤，

便携式光盘只读存储器(CDROM)，

光存储设备，

诸如支持因特网或企业内部网的介质之类的传输介质，和/或

磁存储设备。

在本文的上下文中，计算机可用或计算机可读存储介质可以是任何能够包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合的程序的介质。所述计算机可用介质可以包括其中包含计算机可用程序代码(例如，位于基带中或作为载波的一部分)的传播数据信号。所述计算机可用程序代码可以使用任何适当的介质进行传输，其中包括但不限于无线、有线、光缆、射频等。

用于执行本发明的操作的计算机程序代码可以使用包含一种或多种编程语言的任意组合来编写，所述编程语言包括诸如Java、Smalltalk、C++或类似的语言之类的面向对象的编程语言以及诸如“C”编程语言或类似的编程语言之类的常规过程编程语言。所述程序代码可以完全地在用户计算机上、部分地在用户计算机上、作为单独的软件包、部分地在用户计算机上并部分地在远程计算机上或完全地在远程计算机或服务器上执行。在后者的情况中，所述远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))与所述用户计算机相连，或者可以进行与外部计算机的连接(例如，利用因特网服务提供商并通过因特网)。

图1示出了用于管理根据本发明的过程的示例性环境10。在此方面，环境10包括可以执行此处所述的过程的服务器或其他计算系统12。具体地说，服务器12包括计算设备14。计算设备14可以驻留在网络基础设施上，也可以是第三方服务提供者的计算设备(图1中总体上示出了它们中的任意一种)。

计算设备14包括加密通信检测(ECD)工具30。ECD工具30可操作以接收针对加密通信获得授权的应用的列表、检测加密通信、将所检测的加密通信与针对加密通信获得授权的应用的列表进行比较、判定所检测的加密通信是否在针对加密通信获得授权的应用的列表上、当所检测的加密通信在针对加密通信获得授权的应用的列表上时允许所检测的加密通信，以及当所检测的加密通信不在针对加密通信获得授权的应用的列表上时阻止所检测的加密通信，例如，此处所述的过程。ECD工具30可以作为存储器22A中存储的程序控件44中的一个或多个程序代码被实现为单独模块或组合模块。

计算设备14还包括处理器20、存储器22A、I/O接口24和总线26。存储器22A可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置以及提供至少某些程序代码的临时存储以减少必须在执行期间从大容量存储装置检索代码的次数的高速缓冲存储器。此外，所述计算设备包括随机存取存储器(RAM)、只读存储器(ROM)和CPU。

计算设备14与外部I/O设备/资源28以及存储系统22B进行通信。例如，I/O设备28可以包括任何允许用户与计算设备14交互的设备或任何允许计算设备14使用任意类型通信链路与一个或多个其他计算设备进行通信的设备。外部I/O设备/资源28可以例如是手持设备、PDA、手机、键盘等。

一般而言，处理器20执行可以存储在存储器22A和/或存储系统22B中的计算机程序代码(例如，程序控件44)。此外，根据本发明的各方面，包含程序代码的程序控件44控制ECD工具30。在执行计算机程序代码时，处理器20可以将数据写入存储器22A、存储系统22B和/或I/O接口24和/或从存储器22A、存储系统22B和/或I/O接口24读取数据。程序代码执行本发明的过程。总线26提供计算设备14中的每个组件之间的通信链路。

计算设备14可以包括任何能够执行在其上安装的计算机程序代码的通用计算制品(例如，个人计算机、服务器等)。但是，应该理解，计算设备14仅是可以执行此处所述的过程的各种可能等效计算设备的代表。在此方面，在各实施例中，计算设备14所提供的功能可以由包括通用和/或专用硬件和/或计算机程序代码的任意组合的计算制品实现。在每个实施例中，可以分别使用标准编程和工程技术创建所述程序代码和硬件。

类似地，计算基础设施12仅是用于实现本发明的各种计算机基础设施类型的示例。例如，在各实施例中，服务器12包括两个或更多个计算设备(例如，服务器群集)，所述计算设备通过诸如网络、共享存储器之类的任意类型的通信链路进行通信以执行此处所述的过程。此外，在执行此处所述的过程时，服务器12上的一个或多个计算设备可以使用任意类型的通信链路与服务器12外部的一个或多个其他计算设备进行通信。所述通信链路可以包括有线和/或无线链路的任意组合；一个或多个网络类型(例如，因特网、广域网、局域网、虚拟专用网等)的任意组合；和/或使用传输技术和协议的任意组合。

在各实施例中，诸如、Solution Integrator之类的服务提供商可以提供执行此处所述的过程的服务。在这种情况下，服务提供商可以为一个或多个客户创建、维护、部署、支持执行本发明的过程步骤的计算机基础设施。这些客户可以例如是任何使用技术的企业。作为回报，服务提供商可以根据订阅和/或付费协议从客户(多个)处收取费用，以及/或者服务提供商可以通过将广告内容销售给一个或多个第三方来收取费用。

在给定组织内，可以仅允许指定的应用加密(入站和出站)通信，这可以例如由网络管理员或系统管理员定义。根据本发明的各方面，加密通信检测(ECD)工具30检测加密连接和加密通信并将所检测的加密通信与被允许加密(入站和出站)通信的指定应用的列表进行比较。如果ECD工具30检测到不在指定应用的列表中的应用的加密通信(即，未授权加密通信)，则ECD工具30可操作以识别未授权加密通信，并在各实施例中拒绝或阻止所述未授权加密通信。

根据本发明的进一步方面，当在网络上观察到分组时，ECD工具30可以使用多种数学和分析方法中的一种或多种识别网络通信是否被加密，如本领域中的技术人员将理解的。通过记录诸如源、目的地、发生这些加密通信的源端口和目的地端口的详细信息之类的标识数据(还包含其他标识数据)，ECD工具30可操作以将授权加密应用通信和受信网络与未知的和可能的未授权恶意软件应用通信区分开。

例如，ECD工具30可操作以识别标识数据，例如，所检测的通信的加密类型(例如，散列和/或RSA，另外还包含其他加密类型)、发生所检测的通信的端口号(例如，源端口号和目的地端口号)，以及/或者目的地主机的标识，另外还包含其他标识数据。此外，在各实施例中，应用可以通过特定的端口号打开例如安全HTTPS连接，这可能妨碍检测加密类型。因此，在各实施例中，本发明构想了ECD工具30可以使用发生所检测的通信的端口号(例如，源端口号和目的地端口号)和/或目的地主机的标识来识别未授权加密通信。

在各实施例中，ECD工具30可以将标识数据，例如已记录的所检测加密通信的加密类型、发生这些加密通信的源端口和目的地端口和/或目的地主机的详细信息存储在数据库(例如，图1中的存储系统22B)中。在各实施例中，该数据库包括已记录的授权加密通信(例如，最初由ECD工具30从例如网络管理员或系统管理员处接收)的详细信息。此外，所述数据库可以包括已被识别为授权加密通信的每个所检测加密通信的标识数据，例如由ECD工具30所检测的已记录信息。

根据本发明的各方面，ECD工具30可操作以将所检测的加密通信与数据库(例如，图1中的存储系统22B)中包含的使用所述标识数据的授权加密通信的列表进行比较。在各实施例中，当执行所检测的加密通信与授权加密通信的列表的比较时，ECD工具30可以使用所检测的加密类型、所检测的加密通信的源和/或目的地、所检测的加密通信的源和/或目的地端口号和/或所检测的目的地主机作为标识数据。

当观察到要发送未授权加密应用时，ECD工具30将识别未授权通信并在各实施例中，将拒绝或阻止未授权加密通信。此外，在各实施例中，当检测到未授权加密通信时，ECD工具30可触发对用户(例如，对网络或服务器管理员和/或桌面用户)的警报，而不是自动拒绝未授权加密通信。用户然后可以确定针对所检测的未授权加密通信的正确操作过程，例如，拒绝所检测的未授权加密通信或将发送所检测的加密通信的应用识别为被授权(例如，将发送所检测的加密通信的应用添加到针对加密通信获得授权的应用的列表)。

此外，在各实施例中，当判定是否拒绝不知是否有权发出加密连接的应用所发出的加密连接时，ECD工具30还可考虑应用(不在针对加密通信获得授权的指定应用的列表中)是否位于受信网络上，例如是否位于同一子网。也就是说，如果不知是否有权发出加密连接的应用位于受信网络上(例如，位于同一子网)，则不知是否有权发出加密连接的应用实际可以是合法(例如，非恶意软件)应用。因此，在各实施例中，ECD工具30可以向用户(例如，服务提供商或网络管理员)提供应用可能是恶意软件的指示，并允许用户采取适当的操作(例如，拒绝所述应用)，或指示应用应在被允许加密(入站和出站)通信的指定应用的列表中。另外，在进一步的实施例中，如果不知是否有权发出加密连接的应用位于受信网络上，则ECD工具30可自动将所述应用添加到针对加密通信获得授权的应用的列表。

根据本发明的进一步的方面，在各实施例中，ECD工具30可操作以使用有关加密业务目的地的信息作为评估准则。例如，如果ECD工具30识别到业务被加密(或可能被加密)并且ECD工具30识别到该业务的目的地是已知为组织一般无法处理的点对点网络(例如，在国外)的一部分的主机，则ECD工具30可操作以将所述业务识别为未授权恶意软件应用通信。

此外，在各实施例中，ECD工具30可操作以将业务的目的地与潜在不期望的和/或未授权的目的地(例如，已知属于土耳其互联网服务提供商(ISP)的网际协议(IP)地址的网络地址段具有50％的僵尸网络感染率)的列表进行比较，所述列表可以存储在数据库(例如，图1中的存储系统22B)中。如果ECD工具30判定识别的业务目的地位于潜在不期望的目的地的列表中，则ECD工具30可操作以将所述业务识别为未授权恶意软件应用通信。

根据本发明的进一步的实施例，除了数据库中存储的针对加密通信获得授权的应用的列表和潜在不期望的目的地的列表以外，在各实施例中，ECD工具30可操作以存储针对加密通信未获授权的应用的列表和潜在期望的目的地的列表。也就是说，在各实施例中，所述数据库可以包含针对加密通信获得授权的应用的列表，并且还可以包括针对加密通信未获授权的应用的单独列表。此外，在各实施例中，所述数据库可以包含潜在不期望的目的地的列表，并且还可以包括潜在期望的目的地的列表。因此，在此示意性实施例中，一旦检测到未授权加密通信(或未授权目的地)，ECD工具30就可操作以将所述未授权加密通信的标识数据添加到数据库，以便例如帮助检测未授权加密通信。

图2和3示出了用于执行本发明的各方面的示意性流程。例如，图2和3中的步骤可以在图1的环境中实现。流程图可以等同地表示本发明的高级方块图。图2和3中的流程图和/或方块图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实施方式的架构、功能和操作。在此方面，所述流程图或方块图中的每个方块都可以表示模块、段或代码部分，它们包括用于实现指定的逻辑功能(多个)的一个或多个可执行指令。还应指出，在某些备选实施方式中，在方块中说明的功能可以不按图中说明的顺序发生。例如，示为连续的两个方块可以实际上被基本同时地执行，或者某些时候，取决于所涉及的功能，可以以相反的顺序执行所述方块。每个流程图的每个方块以及流程图的组合可以由执行指定功能或操作的基于专用硬件的系统或专用硬件和计算机指令和/或软件的组合来实现，如上所述。此外，所述流程图的步骤可以从客户机服务器关系中的服务器实现和执行，或者可以在将操作信息传递给用户工作站的情况下在用户工作站上运行。在一个实施例中，软件元素包括固件、驻留软件、微代码等。

此外，本发明可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式，所述计算机可用或计算机可读介质提供由计算机或任何指令执行系统使用或与所述计算机或任何指令执行系统结合的程序代码。所述软件和/或计算机程序产品可以在图1的环境中实现。为了此说明的目的，计算机可用或计算机可读介质可以是任何能够包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合的程序的装置。所述介质可以是电、磁、光、电磁、红外线或半导体系统(或装置或设备)或传播介质。计算机可读存储介质的实例包括半导体或固态存储器、磁带、可移动计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前实例包括光盘-只读存储器(CD-ROM)、光盘-读/写存储器(CD-R/W)和DVD。

图2示出了用于执行本发明的各方面的示意性流程200。如图2所示，在步骤205，ECD工具从例如网络管理员或用户处接收针对加密通信获得授权的应用的列表。在各实施例中，ECD工具可以将针对加密通信获得授权的应用的列表存储在数据库(例如，图1中的存储系统22B)中。

在步骤210，ECD工具检测加密通信。如上所述，如本领域中的技术人员将理解的，当在网络上观察到分组时，ECD工具可以使用多种常见数学和分析方法中的一种或多种检测加密通信，以便识别网络通信是否被加密。

在步骤215，ECD工具将所检测的加密通信与针对加密通信获得授权的应用的列表进行比较。在步骤220，ECD工具判定所检测的加密通信是否在针对加密通信获得授权的应用的列表中。如果在步骤220，ECD工具判定所检测的加密通信在针对加密通信获得授权的应用的列表中，则在步骤225，ECD工具允许所检测的加密通信继续。在可选步骤245，ECD工具将所检测的加密通信的标识数据存储到数据库(例如，图1中的存储系统)中。

如果在步骤220，ECD工具判定所检测的加密通信不在针对加密通信获得授权的应用的列表中，则过程继续到可选步骤230。

在可选步骤230，ECD工具判定所检测的加密通信是否在受信网络上。如果在步骤230，ECD工具判定所检测的加密通信在受信网络上，则在可选步骤235，ECD工具将与所检测的加密通信关联的应用添加到针对加密通信获得授权的应用的列表。在可选步骤235之后，所述过程继续到步骤225，其中ECD工具允许所检测的加密通信。如果在步骤230，ECD工具判定所检测的加密通信不在受信网络上，则在步骤240，ECD工具阻止所检测的加密通信。在可选步骤250，ECD工具将所检测的加密通信的标识数据存储到数据库(例如，图1中的存储系统)中。

将理解的是，步骤230、235、245和250的虚线指示，在各实施例中，步骤230、235、245和250是可选步骤。另外应理解，如果ECD工具不执行可选步骤230和235，并且在步骤220，ECD工具判定所检测的加密通信不在针对加密通信获得授权的应用的列表中，则所述过程直接继续到步骤240。

另外，尽管图2中未示出，但是下面在图3中示出了，在进一步的实施例中，一旦ECD工具在步骤230判定所检测的加密通信在受信网络上，ECD工具就可向用户(例如，网络管理员或本地操作员)提供执行步骤235的选项。也就是说，在各实施例中，ECD工具可向用户提供执行步骤235的选项，而不是ECD工具自动执行步骤235。如果ECD工具收到不执行步骤235的指示，则对于此示意性实施例，所述过程将继续到步骤240，其中ECD工具阻止所检测的加密通信。

图3示出了用于执行本发明的各方面的示意性流程300。如图3所示，在步骤305，用户(例如，本地操作员、系统管理员或网络管理员)将针对加密通信获得授权的应用的列表发送给ECD工具。在步骤310，用户发送加密通信。在步骤315，如上所述，ECD工具判定所检测的加密通信是否在针对加密通信获得授权的应用的列表中。如果在步骤315允许所检测的加密通信，则在步骤330，用户接收加密通信。

如果在步骤315，不允许所检测的加密通信，则在步骤320，ECD工具判定所检测的加密通信是否在受信网络上。如果在步骤320，ECD工具判定所检测的加密通信不在受信网络上，则在步骤340，用户不接收所检测的加密通信。如果在步骤320，ECD工具判定所检测的加密通信在受信网络上，则在可选步骤325，用户判定是否将所检测的加密通信添加到针对加密通信获得授权的应用的列表。

如果在可选步骤325，用户判定将所检测的加密通信添加到针对加密通信获得授权的应用的列表，则在步骤328，所检测的加密通信被添加到针对加密通信获得授权的应用的列表，并且在步骤330，用户接收所检测的加密通信。如果在可选步骤325，用户判定不将所检测的加密通信添加到针对加密通信获得授权的应用的列表，则在步骤340，用户不接收所检测的加密通信。

将理解的是，步骤325的虚线指示，在各实施例中，步骤325是可选步骤。此外应理解，如果用户不执行可选步骤325，并且在步骤320，ECD工具判定所检测的加密通信在受信网络上，则所述过程直接继续到步骤328。

在此使用的术语仅出于描述特定实施例的目的，并非对本发明进行限制。如在此使用的，单数形式“一”、“一个”和“所述”旨在同样包括复数形式，除非上下文另外明确指出。还将理解，当在本说明书中使用时，术语“包括”和/或“包含”指定存在所声明的特性、整数、步骤、操作、元素和/或组件，但并不排除存在或增加一个或多个其他特性、整数、步骤、操作、元素、组件和/或它们的组合。

权利要求书中的对应结构、材料、操作以及所有功能性限定的装置或步骤的等同物(如果适用)旨在包括任何用于与在权利要求书中具体指出的其它元素相组合地执行该功能的结构、材料或操作。所给出的对本发明的描述其目的在于示意和描述，并非是穷尽性的，也并非是要把本发明限定到所表述的形式。对于所属技术领域的普通技术人员来说，在不偏离本发明范围和精神的情况下，显然可以作出许多修改和变型。对实施例的选择和说明，是为了最好地解释本发明的原理和实际应用，使所属技术领域的普通技术人员能够明了，本发明可以有适合所要的特定用途的具有各种改变的各种实施例。因此，尽管通过实施例对本发明进行了描述，但是本领域的技术人员将认识到，本发明在实施中可以做出修改并且其在所附权利要求书的精神和范围中。