專利名稱:聚合計(jì)算機(jī)系統(tǒng)的知識庫以主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)�,尤其涉及動(dòng)態(tài)保護(hù)計(jì)算機(jī)免受惡意軟件侵害。
背景技術(shù):
隨著越來越多的計(jì)算機(jī)和其它計(jì)算裝置通過諸如因特網(wǎng)的各種網(wǎng)絡(luò)互連����,計(jì)算機(jī)安全已變得越發(fā)重要,特別是免受網(wǎng)絡(luò)上或信息流上傳遞的入侵或攻擊��。如本領(lǐng)域的熟練技術(shù)人員和其它人員將認(rèn)識到的����,這些攻擊采取不同形式,包括但絕不限于計(jì)算機(jī)病毒�����、計(jì)算機(jī)蠕蟲�、系統(tǒng)組件替換��、拒絕服務(wù)攻擊、信息盜竊�����、甚至合法計(jì)算機(jī)系統(tǒng)特征的誤用/濫用一所有這些都利用一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性用于非法用途�����。雖然本領(lǐng)域的熟練技術(shù)人員將理解各種計(jì)算機(jī)攻擊在技術(shù)上彼此截然不同��,但對本發(fā)明來說且為了簡化描述�����,所有這些攻擊以下將通稱為計(jì)算機(jī)惡意軟件���,或者更簡單地稱作惡意軟件�。
當(dāng)計(jì)算機(jī)系統(tǒng)受到計(jì)算機(jī)惡意軟件的攻擊或“感染”時(shí)�����,負(fù)面結(jié)果是各式各樣的�����,包括禁用計(jì)算機(jī)裝置;擦除或破壞固件��、應(yīng)用程序或數(shù)據(jù)文件�����;將潛在的敏感數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)上的另一位置����;關(guān)閉計(jì)算機(jī)系統(tǒng);或者使得計(jì)算機(jī)系統(tǒng)崩潰��。許多雖非全部計(jì)算機(jī)惡意軟件的另一有害方面在于被感染的計(jì)算機(jī)系統(tǒng)被用于感染其它計(jì)算機(jī)系統(tǒng)���。
圖1是展示其上分布計(jì)算機(jī)惡意軟件的示例連網(wǎng)環(huán)境100的示圖��。如圖1所示��,典型的示例性連網(wǎng)環(huán)境100包括多個(gè)計(jì)算機(jī)102-108��,它們?nèi)拷?jīng)由諸如內(nèi)聯(lián)網(wǎng)的通信網(wǎng)絡(luò)110或者經(jīng)由包括諸如常稱作因特網(wǎng)的全球TCP/IP網(wǎng)絡(luò)的較大通信網(wǎng)絡(luò)互連��。出于某種原因�,與網(wǎng)絡(luò)110相連的計(jì)算機(jī)�����,諸如計(jì)算機(jī)102上的惡意方�����,開發(fā)一計(jì)算機(jī)惡意軟件112并將其發(fā)布到網(wǎng)絡(luò)110上���。被發(fā)布的計(jì)算機(jī)惡意軟件112由諸如計(jì)算機(jī)104的一個(gè)或多個(gè)計(jì)算機(jī)接收并將它們感染��,如箭頭114所示�。許多計(jì)算機(jī)惡意軟件的典型情況是�����,計(jì)算機(jī)104一旦被感染就被用于感染其它計(jì)算機(jī)�����,諸如計(jì)算機(jī)106�,如箭頭116所示,后者接著感染另一計(jì)算機(jī)���,諸如計(jì)算機(jī)108�,如箭頭118所示。
在反病毒軟件在識別數(shù)千種計(jì)算機(jī)惡意軟件方面變得更加復(fù)雜和有效的同時(shí)���,計(jì)算機(jī)惡意軟件也變得更加復(fù)雜����。例如���,許多新近的計(jì)算機(jī)惡意軟件現(xiàn)在是多形態(tài)的����,或者換句話說�,它們沒有可以在傳送中由反病毒軟件進(jìn)行識別的可識別模式或者“簽名”����。這些多形態(tài)惡意軟件常常是反病毒軟件不可識別的����,因?yàn)樗鼈冊趥鞑サ搅硪挥?jì)算機(jī)系統(tǒng)之前自身進(jìn)行了修改。
由于脆弱性在操作系統(tǒng)或諸如設(shè)備驅(qū)動(dòng)程序和軟件應(yīng)用程序的其它計(jì)算機(jī)系統(tǒng)組件中被識別并解決���,操作系統(tǒng)提供商通常將發(fā)布軟件更新以修正該脆弱性�。常稱作補(bǔ)丁的這些更新應(yīng)在計(jì)算機(jī)系統(tǒng)上安裝以保護(hù)計(jì)算機(jī)系統(tǒng)免于所識別的脆弱性。但�,這些更新本質(zhì)上是對操作系統(tǒng)、設(shè)備驅(qū)動(dòng)程序或軟件應(yīng)用程序的組件的代碼改變�。這樣,它們不可能與來自反病毒軟件提供商的反病毒更新一樣快速和自由地發(fā)布�。因?yàn)檫@些更新的代碼改變�,所以軟件更新需要在向公眾發(fā)布之前的實(shí)質(zhì)性內(nèi)部測試。
在現(xiàn)在的識別惡意軟件并解決脆弱性的系統(tǒng)下�,在某些情況下計(jì)算機(jī)易受惡意軟件的攻擊。例如��,計(jì)算機(jī)用戶可能不安裝補(bǔ)丁和/或?qū)Ψ床《拒浖母?���。在這種實(shí)例中,惡意軟件會(huì)在未針對該惡意軟件進(jìn)行足夠保護(hù)的計(jì)算機(jī)之間的網(wǎng)絡(luò)上傳播����。然而,即使在用戶定期更新計(jì)算機(jī)時(shí)�����,也存在以下被稱作脆弱性窗口的一段時(shí)間����,該時(shí)間段存在于在網(wǎng)絡(luò)上發(fā)布新的計(jì)算機(jī)惡意軟件的時(shí)候和操作系統(tǒng)組件上的反病毒軟件被更新以保護(hù)計(jì)算機(jī)系統(tǒng)免受該惡意軟件的時(shí)候之間�。顧名思義����,在該脆弱性窗口期間計(jì)算機(jī)系統(tǒng)對于新的計(jì)算機(jī)惡意軟件來說是脆弱的或暴露的。
圖2是示出脆弱性窗口的示例性時(shí)間線的框圖�。關(guān)于以上討論,重要的時(shí)間或事件將被識別并稱作關(guān)于時(shí)間線的事件����。雖然現(xiàn)今發(fā)布的多數(shù)惡意軟件都基于已知的脆弱性,但偶爾地在網(wǎng)絡(luò)110上會(huì)有利用先前未知的脆弱性的計(jì)算機(jī)惡意軟件發(fā)布��。圖2示出了這種情形下關(guān)于時(shí)間線200的脆弱性窗口204�����。因此��,如時(shí)間線200上所示����,在事件202處,惡意軟件作者發(fā)布一新計(jì)算機(jī)惡意軟件�����。由于這是新的計(jì)算機(jī)惡意軟件,沒有可用的操作系統(tǒng)補(bǔ)丁和反病毒更新以保護(hù)脆弱的計(jì)算機(jī)系統(tǒng)免受該惡意軟件的侵害��。相應(yīng)地���,脆弱性窗口204是打開的���。
在新的計(jì)算機(jī)惡意軟件在網(wǎng)絡(luò)110上傳播后的某一點(diǎn)處����,操作系統(tǒng)提供商和/或反病毒軟件提供商檢測到該新的計(jì)算機(jī)惡意軟件,如事件206所指示的��。通常�����,本領(lǐng)域的熟練技術(shù)人員將理解操作系統(tǒng)提供商和反病毒軟件提供商兩者在約幾小時(shí)內(nèi)檢測到新計(jì)算機(jī)惡意軟件的存在��。
一旦檢測到該計(jì)算機(jī)惡意軟件����,則反病毒軟件提供商會(huì)開始其處理以識別一模式或“簽名”,通過該模式或“簽名”使得反病毒軟件能識別該計(jì)算機(jī)惡意軟件。類似地�,操作系統(tǒng)提供商開始其處理以分析該計(jì)算機(jī)惡意軟件,確定操作系統(tǒng)必須被打補(bǔ)丁以保護(hù)它免受該計(jì)算機(jī)惡意軟件侵害���。作為這些平行努力的結(jié)果����,在事件208處�����,操作系統(tǒng)提供商和/或反病毒軟件提供商發(fā)布一應(yīng)對該計(jì)算機(jī)惡意軟件的更新�,即操作系統(tǒng)或反病毒軟件的軟件補(bǔ)丁。隨后�,在事件210處,將該更新安裝于用戶的計(jì)算機(jī)系統(tǒng)上���,從而保護(hù)該計(jì)算機(jī)系統(tǒng)并使脆弱性窗口204關(guān)閉�。
如從上述示例中可了解的一其僅作為其中計(jì)算機(jī)惡意軟件造成對計(jì)算機(jī)系統(tǒng)的安全威脅的所有可能情形的代表一脆弱性窗口204存在于在網(wǎng)絡(luò)110上發(fā)布計(jì)算機(jī)惡意軟件112的事件和將相應(yīng)更新安裝于用戶的計(jì)算機(jī)系統(tǒng)上的時(shí)候之間���。不幸地�,不論脆弱性窗口104是大還是小���,受感染的計(jì)算機(jī)都會(huì)花費(fèi)計(jì)算機(jī)所有人大量的金錢用于“清除”和維修�����。在應(yīng)對具有附著到網(wǎng)絡(luò)110上的幾千或幾百個(gè)裝置的大公司或?qū)嶓w時(shí)��,該成本是巨大的���。由于惡意軟件可能篡改或破壞用戶數(shù)據(jù)�����,這種成本被進(jìn)一步擴(kuò)大�,所有這些都會(huì)是極難或不可能跟蹤和修復(fù)的�。
為了反擊惡意軟件所呈現(xiàn)的威脅�����,更多數(shù)量的反惡意軟件服務(wù)和其它事件檢測系統(tǒng)已被開發(fā)用于監(jiān)控用于不同類型惡意軟件的入口點(diǎn)和/或數(shù)據(jù)流��。例如���,在反惡意軟件服務(wù)的上下文中�����,除了常規(guī)反病毒軟件之外���,許多計(jì)算機(jī)現(xiàn)在還采用防火墻�、行為阻斷器和反間諜軟件系統(tǒng)以保護(hù)計(jì)算機(jī)�。本領(lǐng)域的熟練技術(shù)人員和其它人員將理解反惡意軟件服務(wù)通常能識別(1)已知是惡意軟件特征的代碼和/或活動(dòng),以及(2)是“可疑的”或具有潛在的惡意軟件特征的代碼和/或活動(dòng)��。當(dāng)已知是惡意軟件特征的代碼和/或活動(dòng)被識別��,惡意軟件處理例程將被用于“清除”或從計(jì)算機(jī)中去除該惡意軟件�。但是,在識別可疑的代碼和/或活動(dòng)時(shí)的實(shí)例中��,該反惡意軟件服務(wù)可能沒有足夠的信息來充分準(zhǔn)確地聲明該代碼和/或活動(dòng)實(shí)際上是惡意軟件的特征�。此外,對于許多不同用途�,已開發(fā)了其它事件檢測系統(tǒng)來監(jiān)控入口點(diǎn)、數(shù)據(jù)流����、計(jì)算機(jī)屬性和/或活動(dòng)。例如�,一些操作系統(tǒng)跟蹤中央處理單元(CPU)的處理量以及在主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害時(shí)有用的與計(jì)算機(jī)有關(guān)的某些重要“事件”��。
發(fā)明內(nèi)容
通過本發(fā)明的原理克服現(xiàn)有技術(shù)情況下的前述問題���,本發(fā)明涉及一種用于聚合多個(gè)反惡意軟件服務(wù)和其它事件檢測系統(tǒng)的知識庫以主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害的系統(tǒng)、方法和計(jì)算機(jī)可讀媒體���。
本發(fā)明的一個(gè)方面在于一種用于保護(hù)維護(hù)多個(gè)反惡意軟件服務(wù)和/或事件檢測系統(tǒng)的孤立計(jì)算機(jī)免受惡意軟件侵害的方法�。更具體地�����,該方法包括(1)使用所述反惡意軟件服務(wù)和其它事件檢測系統(tǒng)來觀察潛在地指示惡意軟件的可疑事件����;(2)確定所述可疑事件是否滿足預(yù)定閾值;以及(3)如果所述可疑事件滿足所述預(yù)定閾值���,則將限制性安全策略應(yīng)用于所述計(jì)算機(jī)。在一些實(shí)例中���,可以調(diào)用采取一般安全措施的安全策略�����,諸如阻斷如果多數(shù)(不是全部)輸入和輸出網(wǎng)絡(luò)通信量��。在其它實(shí)例中�,限制性安全策略可限制一實(shí)體可用的資源,以使計(jì)算機(jī)免受惡意軟件侵害再次感染����。
本發(fā)明的另一方面在于一種軟件系統(tǒng),它聚合多個(gè)反惡意軟件服務(wù)和/或事件檢測系統(tǒng)的知識庫以保護(hù)計(jì)算機(jī)免受惡意軟件侵害���。在本發(fā)明的一個(gè)實(shí)施例中�,該軟件系統(tǒng)包括數(shù)據(jù)收集器組件����、數(shù)據(jù)分析器模塊和策略實(shí)現(xiàn)器。數(shù)據(jù)收集器組件用于從計(jì)算機(jī)上安裝的不同反惡意軟件系統(tǒng)和/或事件檢測系統(tǒng)收集數(shù)據(jù)�。在該實(shí)施例中,所收集的數(shù)據(jù)描述潛在地指示惡意軟件的可疑事件����。在各種時(shí)候,數(shù)據(jù)分析器模塊可就由數(shù)據(jù)收集器組件所收集的數(shù)據(jù)作為一整體是否指示惡意軟件進(jìn)行判斷��。如果數(shù)據(jù)分析器模塊以足夠的確定性判定惡意軟件存在��,則策略實(shí)現(xiàn)器可實(shí)行限制對計(jì)算機(jī)資源的訪問的限制性安全策略。
在再一個(gè)實(shí)施例中����,計(jì)算機(jī)可讀媒體具備內(nèi)容,即程序����,它使得計(jì)算機(jī)根據(jù)這里所述的方法進(jìn)行操作。
在通過參考以下詳細(xì)描述并結(jié)合附圖更好地理解本發(fā)明時(shí)���,本發(fā)明的前述方面和許多附隨優(yōu)點(diǎn)將變成更易于理解���,其中圖1是示出其上通常分布惡意軟件的常規(guī)連網(wǎng)環(huán)境的示圖。
圖2是示出說明現(xiàn)有技術(shù)中如何會(huì)出現(xiàn)脆弱性窗口的示例性時(shí)間線的框圖����。
圖3是示出根據(jù)本發(fā)明的能聚合不同反惡意軟件服務(wù)和/或計(jì)算機(jī)上安裝的其它事件收集系統(tǒng)的知識庫以主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害的計(jì)算機(jī)的組件的框圖。
圖4是示出根據(jù)本發(fā)明的保護(hù)計(jì)算機(jī)免受惡意軟件侵害的計(jì)算機(jī)中實(shí)現(xiàn)的一種方法的一個(gè)實(shí)施例的流程圖�。
具體實(shí)施例方式
根據(jù)本發(fā)明,提供了一種用于聚合多個(gè)安全服務(wù)和/或其它事件檢測系統(tǒng)的知識庫以保護(hù)計(jì)算機(jī)免受惡意軟件侵害的系統(tǒng)���、方法和計(jì)算機(jī)可讀媒體。盡管本發(fā)明主要將在使用不同的反惡意軟件服務(wù)來保護(hù)計(jì)算機(jī)免受惡意軟件侵害的上下文中進(jìn)行描述����,但相關(guān)領(lǐng)域的熟練技術(shù)人員以及其它人士將理解本發(fā)明也可應(yīng)用于不同于所述那些的其它軟件系統(tǒng)��。例如����,本發(fā)明的各方面可被配置成使用當(dāng)前可用或仍在開發(fā)中的任何一種事件檢測系統(tǒng)���。以下描述首先提供了其中可實(shí)現(xiàn)本發(fā)明的軟件系統(tǒng)的各方面的概況���。隨后,描述實(shí)現(xiàn)本發(fā)明的方法��。這里提供的說明性示例并非旨在窮盡或?qū)⒈景l(fā)明限制于所揭示的精確形式����。類似地,這里描述的任何步驟都可與其它步驟或步驟的組合互換��,以實(shí)現(xiàn)相同的結(jié)果�����。
現(xiàn)在參考圖3,將描述能實(shí)現(xiàn)本發(fā)明各方面的計(jì)算機(jī)300的組件��。計(jì)算機(jī)300可以是各種裝置中的任一種�����,包括但不限于個(gè)人計(jì)算裝置�����、基于服務(wù)器的計(jì)算裝置���、個(gè)人數(shù)字助理�����、蜂窩電話���、具有某種類型的存儲(chǔ)器的其它電子裝置等等。為便于說明且因?yàn)樗鼘τ诒景l(fā)明的理解不重要���,圖3沒有示出許多計(jì)算機(jī)的典型組件�,諸如CPU�����、鍵盤���、鼠標(biāo)��、打印機(jī)或其它I/O裝置��、顯示器等����。但是�,圖3中描述的計(jì)算機(jī)300包括反病毒軟件302、防火墻應(yīng)用程序304�、行為阻斷器306、反間諜軟件308和度量系統(tǒng)309��。此外�����,計(jì)算機(jī)300在聚合例程310中實(shí)現(xiàn)本發(fā)明的各方面��,該例程包括數(shù)據(jù)收集器組件312�、數(shù)據(jù)分析器模塊314以及策略實(shí)現(xiàn)器316。
本領(lǐng)域的熟練技術(shù)人員和其它人士將認(rèn)識到正使得更多數(shù)量的反惡意軟件安全服務(wù)可用,以便在計(jì)算機(jī)上的各種入口點(diǎn)或數(shù)據(jù)流處得到保護(hù)以免受所有不同類型的惡意軟件的侵害��。例如��,現(xiàn)今用于保護(hù)計(jì)算機(jī)免受惡意軟件侵害的一個(gè)防衛(wèi)措施是反病毒軟件302�。一般來說,傳統(tǒng)反病毒軟件302在從諸如盤的輸入/輸出(I/O)裝置訪問的數(shù)據(jù)中查找作為惡意軟件特征的“簽名”��。此外����,越來越多的反病毒軟件202進(jìn)行啟發(fā)式惡意軟件檢測技術(shù),這些技術(shù)被設(shè)計(jì)用于測量作為惡意軟件特征的活動(dòng)���。
現(xiàn)今在針對計(jì)算機(jī)惡意軟件的保護(hù)中普通的另一項(xiàng)防衛(wèi)措施是防火墻應(yīng)用程序304����。本領(lǐng)域的熟練技術(shù)人員將認(rèn)識到防火墻應(yīng)用程序304是一反惡意軟件系統(tǒng)���,它通過控制內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的信息流來保護(hù)內(nèi)部網(wǎng)絡(luò)免受源自外部網(wǎng)絡(luò)的未授權(quán)訪問��。源自內(nèi)部網(wǎng)絡(luò)之外的所有通信都經(jīng)過防火墻應(yīng)用程序304傳送����,它檢查通信并確定它是否安全或者是否可允許接受通信。
當(dāng)前可用的另一反惡意軟件服務(wù)是行為阻斷器306����,它實(shí)現(xiàn)被設(shè)計(jì)成在調(diào)度了與策略相反的活動(dòng)時(shí)允許在調(diào)解的同時(shí)出現(xiàn)良性活動(dòng)的策略。通常�����,行為阻斷器306實(shí)現(xiàn)一“沙箱“��,在該沙箱中由惡意軟件潛在感染的代碼被分析以確定該代碼是否執(zhí)行不可接受的行為����。例如���,不可接受的行為可采取生成分發(fā)給用戶的地址簿中找到的實(shí)體的大量電子郵件的形式�。類似地�,不可接受的行為可定義成對如系統(tǒng)注冊表的重要數(shù)據(jù)庫中的多個(gè)條目進(jìn)行改變。無論如何��,行為阻斷器306分析程序并執(zhí)行被設(shè)計(jì)成防止不可接受行為的策略�。
越來越多的其它類型的反惡意軟件服務(wù)正被開發(fā)以從計(jì)算機(jī)中識別和“清除”不同類型的惡意軟件。例如�����,反間諜軟件308被設(shè)計(jì)用于識別跟蹤用戶執(zhí)行的動(dòng)作的程序。雖然間諜軟件不會(huì)像其它類型的惡意軟件那樣對計(jì)算機(jī)300造成破壞�,但一些用戶發(fā)現(xiàn)使他們的動(dòng)作被跟蹤并被報(bào)告給未知實(shí)體是侵犯性的。在這種實(shí)例中�,用戶可以安裝從計(jì)算機(jī)中識別和清除這種類型的惡意軟件的反間諜軟件308。
本領(lǐng)域的熟練技術(shù)人員以及其它人士將認(rèn)識到某些事件檢測系統(tǒng)可監(jiān)控計(jì)算機(jī)入口點(diǎn)���、數(shù)據(jù)流和/或計(jì)算機(jī)事件和活動(dòng)���。通常,事件檢測系統(tǒng)不僅提供用于識別計(jì)算機(jī)上出現(xiàn)的事件的邏輯����,還維護(hù)數(shù)據(jù)庫、事件日志和用于獲得關(guān)于觀察到的事件的數(shù)據(jù)的其它類型的資源�����。例如��,如圖3所示���,計(jì)算機(jī)300維護(hù)被設(shè)計(jì)用于觀察和記錄計(jì)算機(jī)300的各種性能度量的度量系統(tǒng)309��。在這點(diǎn)上��,度量系統(tǒng)309可監(jiān)控CPU使用����、頁面錯(cuò)誤的出現(xiàn)、進(jìn)程終止和計(jì)算機(jī)300的其它性能特征����。如以下更詳細(xì)地描述的��,計(jì)算機(jī)300的性能特征中的模式以及計(jì)算機(jī)上出現(xiàn)的其它事件可指示惡意軟件����。雖然在描述中說明了特定的事件檢測系統(tǒng)(例如,度量系統(tǒng)309)���,但本領(lǐng)域的熟練技術(shù)人員以及其它人士將認(rèn)識到其它類型的事件檢測系統(tǒng)也可包含于計(jì)算機(jī)300內(nèi)而不背離本發(fā)明的范圍�。
本領(lǐng)域的熟練技術(shù)人員以及其它人士將認(rèn)識到以上參考圖3描述的反惡意軟件系統(tǒng)302�、304、306�、308和事件檢測系統(tǒng)309應(yīng)解釋為說明性而非本發(fā)明的限制。例如�,本發(fā)明可以通過所謂的入侵檢測系統(tǒng)來實(shí)現(xiàn)而不背離本發(fā)明的范圍����,其中該系統(tǒng)嘗試通過檢查可從網(wǎng)絡(luò)獲得的日志或其它信息來檢測對計(jì)算機(jī)300的未授權(quán)訪問�����。此外��,可以使用與所示和所述的那些不同的反惡意軟件系統(tǒng)和其它事件檢測系統(tǒng)來實(shí)現(xiàn)本發(fā)明的各方面����。此外,本發(fā)明的各方面可協(xié)同任何數(shù)量的反惡意軟件服務(wù)和事件檢測系統(tǒng)而實(shí)現(xiàn)��。例如����,反間諜軟件308用虛線表示以表明在計(jì)算機(jī)300僅包括反病毒軟件302、防火墻應(yīng)用程序304��、行為阻斷器306和度量系統(tǒng)309而不包括反間諜軟件308的情況下也可使用本發(fā)明����。因此,在本發(fā)明的其它實(shí)施例中��,可以在計(jì)算機(jī)300中添加或去除附加或更少的反惡意軟件服務(wù)和事件檢測系統(tǒng)。
雖然改善了反惡意軟件在檢測日益復(fù)雜的惡意軟件時(shí)的精度���,現(xiàn)有的反惡意軟件服務(wù)仍被限制于檢測特定領(lǐng)域中的惡意軟件���。結(jié)果,這些孤立的反病毒服務(wù)具有固有的限制�。例如,防火墻應(yīng)用程序304通過監(jiān)控輸入和輸出的網(wǎng)絡(luò)活動(dòng)來檢測惡意軟件便受網(wǎng)絡(luò)上的數(shù)據(jù)傳輸方式限制�。本領(lǐng)域的熟練技術(shù)人員以及其它人士將認(rèn)識到在從基于服務(wù)器的計(jì)算機(jī)獲得數(shù)據(jù)時(shí)基于客戶機(jī)的計(jì)算機(jī)通常請求一個(gè)或多個(gè)文件。在該實(shí)例中��,現(xiàn)代網(wǎng)絡(luò)組件將文件分成較小的單元(分組)��,以便在有限帶寬網(wǎng)絡(luò)連接上傳送這些分組�����。分組在網(wǎng)絡(luò)上傳送并在它們到達(dá)基于客戶機(jī)的計(jì)算機(jī)時(shí)由防火墻應(yīng)用程序304單獨(dú)掃描以查找惡意軟件���。因此,在分組中掃描惡意軟件時(shí)防火墻應(yīng)用程序304可能沒有完整的文件�,結(jié)果不能肯定地在一切情況下檢測惡意軟件。
盡管防火墻應(yīng)用程序304不能肯定地在一切情況下檢測惡意軟件���,但防火墻應(yīng)用程序304可收集����,或被容易地配置為收集,作為惡意軟件感染的較強(qiáng)啟發(fā)式指示的數(shù)據(jù)�����。例如���,防火墻應(yīng)用程序通常監(jiān)控網(wǎng)絡(luò)活動(dòng)���,這可包括可能是惡意軟件特征的可疑數(shù)據(jù)的分組內(nèi)容的“深度”監(jiān)控。此外�,許多防火墻應(yīng)用程序維護(hù)關(guān)于計(jì)算機(jī)上出現(xiàn)的網(wǎng)絡(luò)活動(dòng)量的統(tǒng)計(jì)。當(dāng)檢測到網(wǎng)絡(luò)活動(dòng)明顯增加時(shí)�����,存在可從防火墻應(yīng)用程序304所維護(hù)的統(tǒng)計(jì)中導(dǎo)出的惡意軟件嘗試感染計(jì)算機(jī)的較強(qiáng)啟發(fā)式指示����。網(wǎng)絡(luò)活動(dòng)增加自身并不一定指示惡意軟件。相反,存在計(jì)算機(jī)為何發(fā)送或接收增加的數(shù)據(jù)量的正當(dāng)原因(例如��,用戶開始在網(wǎng)絡(luò)上下載較大的多媒體文件)����。如果這種類型的事件由防火墻應(yīng)用程序304用于肯定地識別惡意軟件感染,則將出現(xiàn)錯(cuò)誤識別惡意軟件時(shí)的較高數(shù)量的“錯(cuò)誤肯定”或?qū)嵗?br>
其它反惡意軟件服務(wù)和事件檢測系統(tǒng)也觀察計(jì)算機(jī)由惡意軟件感染或者惡意軟件嘗試感染計(jì)算機(jī)的啟發(fā)式指示��。例如�,被稱作間諜軟件的特定類型的惡意軟件需要在計(jì)算機(jī)上總是活動(dòng)的,以跟蹤用戶的動(dòng)作����。為了在計(jì)算機(jī)啟動(dòng)時(shí)被激活,間諜軟件將用諸如服務(wù)控制管理器(SCM)或注冊表項(xiàng)的一個(gè)或多個(gè)操作系統(tǒng)的“可擴(kuò)展點(diǎn)”進(jìn)行注冊�。類似于以上提供的示例,在操作系統(tǒng)的可擴(kuò)展點(diǎn)處注冊一程序本身不是該程序是惡意軟件的肯定指示�����。但是�,用可擴(kuò)展點(diǎn)進(jìn)行注冊是指示惡意軟件的“可疑”事件�����。本發(fā)明針對收集和充分利用這些類型的可疑事件提供的知識以提供免受惡意軟件侵害的主動(dòng)保護(hù)。
如上所述���,計(jì)算機(jī)300維護(hù)一聚合例程310�����,它包括數(shù)據(jù)收集器組件312�����、數(shù)據(jù)分析器模塊314和策略實(shí)現(xiàn)器316���。在描述本發(fā)明一個(gè)實(shí)施例的一般方面,數(shù)據(jù)收集器組件312從計(jì)算機(jī)300上安裝的反惡意軟件服務(wù)和事件檢測系統(tǒng)(例如���,反病毒軟件302�、防火墻應(yīng)用程序304�、行為阻斷器306、反間諜軟件308以及度量系統(tǒng)309)中獲得關(guān)于“可疑”事件的數(shù)據(jù)���。如以下參考圖4更詳細(xì)地描述的���,所收集的數(shù)據(jù)可僅僅是來自于反惡意軟件服務(wù)或事件檢測系統(tǒng)的出現(xiàn)可疑事件的指示����。此外���,數(shù)據(jù)收集器組件312可從反惡意軟件服務(wù)或事件檢測系統(tǒng)獲得描述可疑事件屬性的元數(shù)據(jù)�����。在任一情況中���,數(shù)據(jù)收集器組件312用作與計(jì)算機(jī)300上安裝的反惡意軟件服務(wù)和事件檢測系統(tǒng)的接口,用于報(bào)告和/或獲得關(guān)于可疑事件的數(shù)據(jù)����。
如圖3所示,聚合例程310還包括數(shù)據(jù)分析器模塊314����,它確定被報(bào)告給數(shù)據(jù)收集器組件312或者由它收集的可疑事件是否滿足預(yù)定閾值。如以下參考圖4更詳細(xì)地描述的����,當(dāng)滿足該閾值時(shí),一實(shí)體(例如����,計(jì)算機(jī)、文件��、進(jìn)程等)將由數(shù)據(jù)分析器模塊314“標(biāo)記”為惡意軟件���。在一些實(shí)例中���,在確定是否滿足閾值時(shí),數(shù)據(jù)分析器模塊314確定給定時(shí)間范圍的可疑事件數(shù)量是否明顯大于正?�;蚋哂谔囟?��。此外�,如以下參考圖4更詳細(xì)地描述的����,數(shù)據(jù)分析器模塊314可以分析由反惡意軟件服務(wù)302、304���、306����、308和度量系統(tǒng)309所生成的元數(shù)據(jù)以確定是否滿足閾值。在該實(shí)例中�����,數(shù)據(jù)分析器組件314通常將具有改良的上下文用于更精確地確定反惡意軟件服務(wù)所觀察到的可疑事件是否是惡意軟件的特征��。
聚合例程310還包括策略實(shí)現(xiàn)器316����,它實(shí)現(xiàn)被設(shè)計(jì)成在與計(jì)算機(jī)300相關(guān)聯(lián)的實(shí)體被“標(biāo)記”為惡意軟件時(shí)保護(hù)計(jì)算機(jī)300的策略。如前所述����,數(shù)據(jù)分析器模塊314確定被報(bào)告給數(shù)據(jù)收集器組件312的可疑事件是否滿足閾值。在一些實(shí)例中���,在滿足閾值時(shí)�,可以實(shí)現(xiàn)保護(hù)計(jì)算機(jī)300免受惡意軟件侵害的限制性策略����。一般來說,策略實(shí)現(xiàn)器316提升計(jì)算機(jī)300的安全等級來主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害�。在提供缺省策略時(shí),用戶或系統(tǒng)管理員可選擇要實(shí)現(xiàn)的策略�。例如�����,用戶可使用高限制性策略,該策略除了從計(jì)算機(jī)300中去除惡意軟件所需的網(wǎng)絡(luò)傳輸之外不允許計(jì)算機(jī)300發(fā)送或接收任何網(wǎng)絡(luò)傳輸�����。但是���,其它保護(hù)安全措施可以在策略中定義并在策略實(shí)現(xiàn)器316中實(shí)現(xiàn)����,包括但不限于阻斷特定通信端口和地址上的網(wǎng)絡(luò)通信量�;阻斷與諸如電子郵件或Web瀏覽器應(yīng)用程序的某些網(wǎng)絡(luò)相關(guān)應(yīng)用程序的通信;終止某些應(yīng)用程序����,以及阻斷對計(jì)算機(jī)300上的特殊硬件和軟件組件的訪問。
根據(jù)本發(fā)明的一個(gè)實(shí)施例��,策略實(shí)現(xiàn)器316被配置成與計(jì)算機(jī)300上安裝的一個(gè)或多個(gè)反惡意軟件服務(wù)302��、304�、306和308進(jìn)行通信�,以限制被“標(biāo)記”為惡意軟件的實(shí)體可用的資源�。例如,行為阻斷軟件306可被配置為阻止被“標(biāo)記”為惡意軟件的進(jìn)程訪問操作系統(tǒng)可擴(kuò)展點(diǎn)����。策略實(shí)現(xiàn)器316可被配置為與行為阻斷軟件306通信并使得反間諜軟件308阻斷該進(jìn)程執(zhí)行這類活動(dòng)。
本發(fā)明可用在許多不同上下文中實(shí)現(xiàn)�,其中以下上下文只是一些示例。現(xiàn)有的反惡意軟件服務(wù)能識別作為惡意軟件的肯定指示的事件以及可能是惡意軟件特征的可疑事件����。如果與可疑事件相關(guān)聯(lián)的實(shí)體被“標(biāo)記”為惡意軟件,則會(huì)出現(xiàn)過量的錯(cuò)誤肯定或者實(shí)體被錯(cuò)誤識別為惡意軟件時(shí)的實(shí)例�����。然而�����,當(dāng)主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害時(shí)�,使實(shí)體與被反惡意軟件服務(wù)或事件檢測系統(tǒng)識別為可疑的事件相關(guān)聯(lián)的知識是有幫助的。本發(fā)明可以在這種類型的現(xiàn)有基礎(chǔ)結(jié)構(gòu)中實(shí)現(xiàn)以聚合不同反惡意軟件服務(wù)和事件檢測系統(tǒng)的知識��。更具體地,不同類型的反惡意軟件服務(wù)(例如�����,反病毒軟件302�����、防火墻應(yīng)用程序304���、行為阻斷器306和反間諜軟件308)和事件檢測系統(tǒng)(例如,度量系統(tǒng)309)可被配置為向?qū)崿F(xiàn)本發(fā)明各方面的軟件模塊(例如�,聚合例程310)報(bào)告可疑事件。如果反惡意軟件服務(wù)或事件檢測系統(tǒng)觀察到的可疑事件的數(shù)量或類型滿足閾值�,則聚合例程310將把與這些事件相關(guān)聯(lián)的實(shí)體“標(biāo)記”為惡意軟件。
本領(lǐng)域的熟練技術(shù)人員和其它人士將認(rèn)識到圖3是能執(zhí)行本發(fā)明實(shí)現(xiàn)的功能的一個(gè)計(jì)算機(jī)300的簡化示例�。計(jì)算機(jī)300的實(shí)際實(shí)施例將具有圖3或以下文本中未描述的附加組件。此外�����,圖3示出了用于主動(dòng)保護(hù)計(jì)算機(jī)300免受惡意軟件侵害的示例性組件架構(gòu)�����,但其它組件架構(gòu)也是可能的����。
現(xiàn)在參考圖4���,將描述圖3所示的聚合例程310的示例性實(shí)施例,它確定反惡意軟件服務(wù)或其它事件檢測系統(tǒng)所識別的可疑事件是否是惡意軟件的特征�。
如圖4所示,聚合例程310在框400處開始��,其中例程310保持空閑直到反惡意軟件服務(wù)或其它事件檢測系統(tǒng)觀察到可疑事件�����。根據(jù)包括反惡意軟件服務(wù)的本發(fā)明的一個(gè)實(shí)施例���,服務(wù)中的邏輯定義惡意軟件感染的肯定指示和可能是惡意軟件特征的可疑事件����。如果識別出惡意軟件感染的肯定指示����,則不執(zhí)行聚合例程310所實(shí)現(xiàn)的軟件例程。但�,在一些實(shí)例中,當(dāng)識別出可疑事件時(shí),報(bào)告該事件并進(jìn)行分析以確定與該可疑事件相關(guān)聯(lián)的實(shí)體是否應(yīng)被“標(biāo)記”為惡意軟件���。例如��,本領(lǐng)域的熟練技術(shù)人員以及其它人士將認(rèn)識到多數(shù)惡意軟件被加密以避免在傳送中被檢測出并將在執(zhí)行前被解密���。類似于以上參考圖3提供的示例,例如��,當(dāng)反惡意軟件服務(wù)遇到加密文件時(shí)���,其本身不是該文件包含惡意軟件的肯定指示。但是��,遇到加密文件是被報(bào)告給本發(fā)明各方面的“可疑”事件�����。
在框402處�,框400處識別的可疑事件被報(bào)告給聚合例程310。應(yīng)理解����,本發(fā)明可以在許多不同實(shí)施例中實(shí)現(xiàn),其中以下的僅僅是一些示例。在一個(gè)實(shí)施例中����,聚合例程310在由單個(gè)軟件提供商創(chuàng)建的集成軟件系統(tǒng)中實(shí)現(xiàn)。例如�����,圖3所示的反病毒軟件302��、防火墻應(yīng)用程序304�、行為阻斷器306、反間諜軟件308和度量系統(tǒng)309可以與聚合例程310集成在一起�。在該實(shí)例中,反惡意軟件服務(wù)302�、304、306��、308和事件檢測系統(tǒng)309可被配置成在框402處使用本領(lǐng)域公知的方法直接傳遞描述可疑事件屬性的數(shù)據(jù)���。在本發(fā)明的可選實(shí)施例中�����,聚合例程310維護(hù)允許第三方提供商報(bào)告可疑事件的應(yīng)用程序接口(API)�����。在該實(shí)例中�,第三方創(chuàng)建的反惡意軟件服務(wù)或其它事件檢測系統(tǒng)可“插入”聚合例程310并通過發(fā)出一個(gè)或多個(gè)API調(diào)用來報(bào)告可疑事件。根據(jù)再一個(gè)可選實(shí)施例��,聚合例程310主動(dòng)地從計(jì)算機(jī)上的一個(gè)或多個(gè)資源獲得描述可疑事件的數(shù)據(jù)����。例如,如之前參考圖3所述的�,事件檢測系統(tǒng)(例如,度量系統(tǒng)309)可觀察并記錄計(jì)算機(jī)上出現(xiàn)的不同事件����。通常,事件檢測系統(tǒng)將不僅提供用于識別計(jì)算機(jī)上出現(xiàn)的事件的邏輯�����,還維護(hù)數(shù)據(jù)庫��、事件日志和其它軟件模塊上可用的其它類型的資源����。在該實(shí)例中,聚合例程310可用從事件檢測系統(tǒng)所維護(hù)的資源中獲得描述可疑事件的數(shù)據(jù)�。
如圖4中進(jìn)一步描述的,在框404處����,聚合例程310對從反惡意軟件服務(wù)接收或從諸如事件檢測系統(tǒng)的其它源收集的描述可疑事件的數(shù)據(jù)進(jìn)行分析。所進(jìn)行的分析被設(shè)計(jì)成確定向聚合例程310報(bào)告或由它獲得的可疑事件是否滿足一預(yù)定閾值���,該閾值指示惡意軟件嘗試感染計(jì)算機(jī)或已感染了該計(jì)算機(jī)�����。例如��,惡意軟件作者發(fā)布利用先前未知脆弱性的一新的惡意軟件���。該惡意軟件(1)使用偶爾用于訪問計(jì)算機(jī)的網(wǎng)絡(luò)端口,(2)當(dāng)存儲(chǔ)于諸如盤的存儲(chǔ)媒體上時(shí)包含在加密文件中�;(3)嘗試訪問操作系統(tǒng)可擴(kuò)展點(diǎn),以及(4)使得大量數(shù)據(jù)被發(fā)送到其它網(wǎng)絡(luò)可訪問計(jì)算機(jī)�,同時(shí)造成CPU使用的相應(yīng)增加。如前所述���,在本發(fā)明的一個(gè)實(shí)施例中��,從反惡意軟件服務(wù)或其它事件檢測系統(tǒng)收集的數(shù)據(jù)可能僅僅是識別可疑事件的指示����。在該實(shí)施例中,諸如防火墻應(yīng)用程序304的反惡意軟件服務(wù)可被配置成報(bào)告在偶爾使用的網(wǎng)絡(luò)端口被訪問時(shí)出現(xiàn)可疑事件�。此外,由于惡意軟件使得大量數(shù)據(jù)被發(fā)送到其它網(wǎng)絡(luò)可訪問計(jì)算機(jī)���,防火墻應(yīng)用程序304可確定網(wǎng)絡(luò)活動(dòng)的增加也是一可疑事件���。隨后,諸如反間諜軟件308的另一反惡意軟件服務(wù)可以在操作系統(tǒng)的可擴(kuò)展點(diǎn)被訪問時(shí)報(bào)告可疑事件的出現(xiàn)��。僅僅接收到三個(gè)可疑事件報(bào)告不會(huì)滿足預(yù)定的閾值����。但是,度量系統(tǒng)309隨后會(huì)在事件日志中記錄CPU使用急劇增加�。在這種情況中,數(shù)據(jù)收集器組件312可被配置成監(jiān)控該事件日志并作為CPU使用增加的結(jié)果確定可疑事件出現(xiàn)���。在該實(shí)例中,當(dāng)在特定時(shí)間范圍中出現(xiàn)四個(gè)可疑事件時(shí)����,滿足了聚合例程310所應(yīng)用的預(yù)定閾值�����。但是�,本領(lǐng)域的熟練技術(shù)人員以及其它人士將認(rèn)識到四個(gè)可疑事件足以滿足預(yù)定閾值的以上提供的實(shí)例僅僅是用于說明目的的一個(gè)示例而不被解釋為對于本發(fā)明的限制�。
在本發(fā)明的另一實(shí)施例中,聚合例程310所收集的數(shù)據(jù)包括元數(shù)據(jù)�,它幫助確定與計(jì)算機(jī)相關(guān)聯(lián)的實(shí)體是否是惡意軟件。本領(lǐng)域的熟練技術(shù)人員和其它人士將認(rèn)識到一些可疑事件將比其它可疑事件更可能與惡意軟件相關(guān)聯(lián)���。在本發(fā)明的一個(gè)實(shí)施例中�,計(jì)算機(jī)上的反惡意軟件服務(wù)被配置成計(jì)算一值��,該值表示一個(gè)或多個(gè)可疑事件與惡意軟件相關(guān)聯(lián)的概率�����。在以上提供的示例中�,網(wǎng)絡(luò)活動(dòng)量的增加可由防火墻應(yīng)用程序304分配一較高的值,這表示存在惡意軟件正嘗試感染計(jì)算機(jī)����、感染其它計(jì)算機(jī)�、攻擊其它計(jì)算機(jī)或泄漏信息的較高概率���。相反�,在存儲(chǔ)媒體上保存加密文件較不可能與惡意軟件相關(guān)����,因此將被分配到較低的值。根據(jù)本發(fā)明的一個(gè)實(shí)施例��,向聚合例程310報(bào)告元數(shù)據(jù)��,該元數(shù)據(jù)表示可疑事件是惡意軟件特征的概率�����。在該實(shí)例中�����,例如當(dāng)用指示出現(xiàn)惡意軟件攻擊的較高概率的元數(shù)據(jù)報(bào)告一個(gè)或多個(gè)可疑事件時(shí)�,會(huì)滿足預(yù)定閾值。
應(yīng)理解��,反惡意軟件服務(wù)所報(bào)告的可疑事件可與不同的實(shí)體相關(guān)聯(lián)。例如���,用戶可能從網(wǎng)絡(luò)下載加密文件。如前所述���,由于加密了文件��,反惡意軟件服務(wù)將向聚合例程310報(bào)告文件的下載�����,作為一可疑事件�����。此外�,反惡意軟件服務(wù)可使元數(shù)據(jù)與文件相關(guān)聯(lián)����,該元數(shù)據(jù)表示用惡意軟件感染文件的概率。在本發(fā)明的一個(gè)實(shí)施例中���,在框404處���,聚合例程310使用預(yù)定閾值來確定是否將文件分類為被惡意軟件感染����。但在其它實(shí)施例中�����,聚合例程340使用預(yù)定閾值來確定其它類型的實(shí)體是否被惡意軟件感染��。例如�����,聚合例程310可以將整個(gè)計(jì)算機(jī)�����、進(jìn)程�、活動(dòng)“標(biāo)記”為與惡意軟件相關(guān)聯(lián)。
在本發(fā)明的再一個(gè)實(shí)施例中�����,由反惡意軟件服務(wù)報(bào)告給聚合例程310的元數(shù)據(jù)可由其它反惡意軟件服務(wù)用于表征一實(shí)體����。例如��,在以上提供的示例中�,防火墻應(yīng)用程序304向聚合例程310報(bào)告從網(wǎng)絡(luò)下載一個(gè)加密文件����。在該實(shí)例中����,元數(shù)據(jù)可與該文件相關(guān)聯(lián),指示防火墻應(yīng)用程序304將該文件“標(biāo)記”為可疑的理由(例如��,該文件被加密)����。例如,如果該文件稍后與訪問操作系統(tǒng)的可擴(kuò)展點(diǎn)的嘗試相關(guān)聯(lián),行為阻斷器306可以發(fā)出一查詢并獲得與該文件相關(guān)聯(lián)的元數(shù)據(jù)���。在該實(shí)例中����,行為阻斷器306可使用元數(shù)據(jù)來更準(zhǔn)確地表征該文件��。例如,分析惡意軟件的經(jīng)驗(yàn)可指示被加密和訪問操作系統(tǒng)可擴(kuò)展點(diǎn)兩者的組合可結(jié)合地作為高度可疑的事件�。結(jié)果���,行為阻斷器306隨后可以將該文件識別為受惡意軟件感染。
在判斷框406處,聚合例程310確定框404處分析的可疑事件是否滿足預(yù)定閾值��。如果滿足預(yù)定閾值,則實(shí)體(例如�,計(jì)算機(jī)�����、文件����、進(jìn)程等)被“標(biāo)記”為與惡意軟件相關(guān)聯(lián)�。在該實(shí)例中,聚合例程310進(jìn)行到以下描述的框408���。相反�����,如果不滿足預(yù)定閾值����,則聚合例程310回到框400且重復(fù)框400到406直到滿足該閾值�����。
如圖4所示�����,在判斷框408處����,聚合例程310確定是否任何注冊的反惡意軟件服務(wù)都能從計(jì)算機(jī)中去除該惡意軟件。如前所述��,聚合例程310允許反惡意軟件服務(wù)注冊并創(chuàng)建一概要��,該概要識別所述服務(wù)能從計(jì)算機(jī)中去除的惡意軟件的類型����。如果達(dá)到框410�����,則惡意軟件可能已感染了計(jì)算機(jī)且注冊的反惡意軟件服務(wù)能從該計(jì)算機(jī)中去除該惡意軟件�����。在該實(shí)例中��,聚合例程310所收集的元數(shù)據(jù)可用于識別惡意軟件以及能從計(jì)算機(jī)中去除該惡意軟件的反惡意軟件服務(wù)���。如果識別出合適的反惡意軟件服務(wù),則在框410處聚合例程310使得該反惡意軟件服務(wù)利用本領(lǐng)域已知的方法去除該惡意軟件�。隨后,聚合例程310進(jìn)行到框412�。相反,如果該惡意軟件僅嘗試感染計(jì)算機(jī)或者反惡意軟件服務(wù)不能從計(jì)算機(jī)中去除該惡意軟件����,則聚合例程310跳過框410且直接進(jìn)行到框412。
在框412處��,聚合例程310實(shí)施被設(shè)計(jì)成防止惡意軟件的傳播或其感染的限制性安全策略。如果達(dá)到框414�,則識別出惡意軟件且計(jì)算機(jī)可能仍受該惡意軟件感染或未受其感染。在計(jì)算機(jī)被感染的一些實(shí)例中��,通常實(shí)行被設(shè)計(jì)用于防止惡意軟件傳播的一般限制性安全策略�����。例如,實(shí)現(xiàn)一般安全策略通常包括在資源上應(yīng)用多個(gè)限制����,諸如但不限于限制來自該計(jì)算機(jī)的網(wǎng)絡(luò)傳輸;阻斷特定通信端口和地址上的網(wǎng)絡(luò)通信量��;阻斷與諸如電子郵件或Web瀏覽器應(yīng)用程序的某些網(wǎng)絡(luò)相關(guān)應(yīng)用程序的通信;終止某些應(yīng)用程序��,和阻斷對計(jì)算機(jī)上的特殊硬件和軟件組件的訪問�����。在其它實(shí)例中����,聚合例程310可能已從計(jì)算機(jī)去除了惡意軟件��,使得它不再被感染。通常�,在該實(shí)例中��,將實(shí)行限制性低一些的安全策略且這被設(shè)計(jì)成防止計(jì)算機(jī)被該惡意軟件再次感染。隨后��,聚合例程310進(jìn)行到框414�,在這里終止。
應(yīng)理解�,如果做出了實(shí)體不是惡意軟件的判斷,可以容易地解除框414處實(shí)行的限制性安全策略��。例如����,系統(tǒng)管理員或用戶可以確定被標(biāo)識為包含惡意軟件的文件實(shí)際上是友善的�����。在該實(shí)例中,可以通過從用戶、系統(tǒng)管理員處生成的或者作為將來學(xué)習(xí)的結(jié)果而生成的命令解除該限制性安全策略�。
雖然已說明和描述了本發(fā)明的較佳實(shí)施例����,但應(yīng)理解其中可以進(jìn)行各種變化而不背離本發(fā)明的精神和范圍��。
權(quán)利要求
1.一種計(jì)算機(jī)實(shí)現(xiàn)的方法����,該方法收集本地機(jī)器事件并聚合反惡意軟件服務(wù)和其它事件檢測系統(tǒng)的知識庫以主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害,該方法包括(a)使用所述反惡意軟件服務(wù)和其它事件檢測系統(tǒng)來觀察潛在地指示惡意軟件的可疑事件����;(b)確定所述可疑事件是否滿足預(yù)定閾值;以及(c)如果所述可疑事件滿足所述預(yù)定閾值���,則將限制性安全策略應(yīng)用于所述計(jì)算機(jī)����。
2.如權(quán)利要求1所述的方法���,其特征在于��,使用所述反惡意軟件服務(wù)和其它事件檢測系統(tǒng)來觀察潛在地指示惡意軟件的可疑事件包括接收描述可疑事件的元數(shù)據(jù)���。
3.如權(quán)利要求2所述的方法�����,其特征在于����,所述描述可疑事件的元數(shù)據(jù)可由反惡意軟件服務(wù)訪問以用于表征實(shí)體�����。
4.如權(quán)利要求2所述的方法���,其特征在于���,所述被接收并描述可疑事件的元數(shù)據(jù)包括(a)由反惡意軟件服務(wù)生成的加權(quán)值,該加權(quán)值量化所述可疑事件指示惡意軟件的概率���;以及(b)所述事件被識別為可疑的理由�����。
5.如權(quán)利要求1所述的方法����,其特征在于,確定所述可疑事件是否滿足閾值包括確定給定時(shí)間范圍內(nèi)的事件數(shù)是否高于給定值�。
6.如權(quán)利要求1所述的方法,其特征在于�,確定所述事件是否滿足指示惡意軟件的閾值�,包括(a)為每個(gè)可疑事件生成一加權(quán)值,該加權(quán)值量化所述可疑事件指示惡意軟件的概率���;以及(b)確定對于所述可疑事件的加權(quán)值的總和是否高于給定值���。
7.如權(quán)利要求1所述的方法,其特征在于���,所述限制性安全策略防止與所觀察到的可疑事件相關(guān)聯(lián)的實(shí)體按與所述策略相反的方式執(zhí)行動(dòng)作和訪問計(jì)算機(jī)上的資源��。
8.如權(quán)利要求1所述的方法��,其特征在于���,將限制性安全策略應(yīng)用于所述計(jì)算機(jī)���,包括(a)確定所述實(shí)體是否能從所述計(jì)算機(jī)上被去除;(b)如果所述實(shí)體能從所述計(jì)算機(jī)上被去除��,則使得反惡意軟件服務(wù)從計(jì)算機(jī)上去除所述實(shí)體��;(c)相反��,如果所述實(shí)體不能被去除���,則應(yīng)用被設(shè)計(jì)成防止惡意軟件傳播的一般限制性安全策略�����。
9.如權(quán)利要求8所述的方法��,其特征在于���,使得反惡意軟件服務(wù)從計(jì)算機(jī)中去除實(shí)體包括應(yīng)用被設(shè)計(jì)成防止所述惡意軟件隨后感染所述計(jì)算機(jī)的限制性安全策略。
10.如權(quán)利要求8所述的方法��,其特征在于,使得反惡意軟件服務(wù)去除實(shí)體包括允許所述反惡意軟件服務(wù)注冊并識別所述反惡意軟件服務(wù)被配置成從計(jì)算機(jī)中去除的惡意軟件的類型�����。
11.如權(quán)利要求8所述的方法����,其特征在于,實(shí)行限制性安全策略包括限制計(jì)算機(jī)訪問網(wǎng)絡(luò)上的數(shù)據(jù)的能力����。
12.如權(quán)利要求11所述的方法,其特征在于�,限制計(jì)算機(jī)訪問網(wǎng)絡(luò)上的數(shù)據(jù)的能力,包括(a)阻斷特定通信端口上的網(wǎng)絡(luò)通信量�;(b)阻斷來自某些基于網(wǎng)絡(luò)的應(yīng)用程序的通信��;(c)阻斷對所述計(jì)算機(jī)上的硬件和軟件組件的訪問��;以及(d)阻斷特定通信端口和地址上的網(wǎng)絡(luò)通信量�。
13.一種主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害的軟件系統(tǒng),該軟件系統(tǒng)包括(a)用于確定與所述計(jì)算機(jī)相關(guān)聯(lián)的實(shí)體是否是惡意軟件的聚合例程���,其中該聚合例程包括(i)數(shù)據(jù)收集器組件��,它用于收集識別潛在指示惡意軟件的可疑事件的數(shù)據(jù)����;(ii)數(shù)據(jù)分析器模塊,它分析由所述數(shù)據(jù)收集器組件收集的數(shù)據(jù)以確定是否滿足閾值�����;以及(iii)策略實(shí)現(xiàn)器���,它用于在所述數(shù)據(jù)分析器組件模塊確定滿足閾值時(shí)實(shí)行限制性安全策略��;以及
14.如權(quán)利要求13所述的軟件系統(tǒng)�,其特征在于�,還包括反惡意軟件服務(wù),用于識別和報(bào)告潛在地指示惡意軟件的可疑事件給所述數(shù)據(jù)收集器組件����。
15.如權(quán)利要求14所述的軟件系統(tǒng),其特征在于�����,所述反惡意軟件服務(wù)還被配置成識別與所述可疑事件相關(guān)聯(lián)的實(shí)體�����。
16.如權(quán)利要求13所述的軟件系統(tǒng),其特征在于�����,還包括用于識別計(jì)算機(jī)上出現(xiàn)的事件并將所述事件記錄于可由所述聚合例程訪問的數(shù)據(jù)存儲(chǔ)中的事件收集系統(tǒng)���。
17.如權(quán)利要求13所述的軟件系統(tǒng)��,其特征在于����,所述聚合例程還被配置成(a)允許所述反惡意軟件服務(wù)進(jìn)行注冊以識別所述服務(wù)能從計(jì)算機(jī)中去除的惡意軟件����;以及(b)當(dāng)所述數(shù)據(jù)分析器模塊確定已滿足所述閾值時(shí),從所述注冊數(shù)據(jù)中確定所述反惡意軟件服務(wù)是否能從計(jì)算機(jī)中去除所述惡意軟件�。
18.如權(quán)利要求13所述的軟件系統(tǒng),其特征在于����,所述數(shù)據(jù)收集器組件被配置成接收并存儲(chǔ)元數(shù)據(jù)�����,它(a)描述了可疑事件是惡意軟件特征的概率;以及(b)識別所述反惡意軟件服務(wù)將事件標(biāo)記為可疑的理由����。
19.一種承載計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒體,這些指令在包括反惡意軟件服務(wù)的計(jì)算機(jī)上執(zhí)行時(shí)使得該計(jì)算機(jī)(a)使用所述反惡意軟件服務(wù)來觀察潛在地指示惡意軟件的可疑事件�����;(b)從所述反惡意軟件服務(wù)接收描述所述可疑事件的數(shù)據(jù)���;(c)確定所觀察到的可疑事件是否指示惡意軟件��;以及(c)如果所述可疑事件指示惡意軟件����,則實(shí)行限制性安全策略�����,該策略限制與可疑事件相關(guān)聯(lián)的實(shí)體不能在計(jì)算機(jī)上執(zhí)行動(dòng)作���。
20.如權(quán)利要求19所述的計(jì)算機(jī)可讀媒體�,其特征在于,所述計(jì)算機(jī)還被配置成(a)確定是否存在惡意軟件感染��;以及(b)如果存在惡意軟件感染��,則阻止所述計(jì)算機(jī)將數(shù)據(jù)傳送到與所述計(jì)算機(jī)通信連接的計(jì)算機(jī)�����。
全文摘要
根據(jù)本發(fā)明�����,提供了一種系統(tǒng)�、方法和計(jì)算機(jī)可讀媒體,用于聚合多個(gè)安全服務(wù)或其它事件收集系統(tǒng)的知識庫以保護(hù)計(jì)算機(jī)免受惡意軟件侵害�����。本發(fā)明的一個(gè)方面是主動(dòng)保護(hù)計(jì)算機(jī)免受惡意軟件侵害的方法�。更具體地,該方法包括使用反惡意軟件服務(wù)或其它事件收集系統(tǒng)來觀察潛在地指示惡意軟件的可疑事件��;確定這些可疑事件是否滿足預(yù)定閾值����;且如果所述可疑事件滿足預(yù)定閾值,則實(shí)行被設(shè)計(jì)用于防止惡意軟件傳播的限制性安全策略����。
文檔編號G06F1/00GK1841397SQ20061005155
公開日2006年10月4日 申請日期2006年2月28日 優(yōu)先權(quán)日2005年3月31日
發(fā)明者A·F·托馬斯, E·胡迪斯, M·克萊默, M·科斯蒂, P·巴爾, R·K·達(dá)德西亞, Y·艾德瑞 申請人:微軟公司