專利名稱:場境感知的實時計算機(jī)保護(hù)系統(tǒng)和方法
場境感知的實時計算機(jī)保護(hù)系統(tǒng)和方法
背景技術(shù):
性能是諸如實時文件掃描解決方案等實時安全產(chǎn)品供應(yīng)商一直關(guān)心的問題。傳統(tǒng)的實時文件掃描解決方案通常1)在文件已被打開或修改時進(jìn)行檢測并隨后2)通過掃描所涉文件來確定該文件是否已被損害���。雖然單個文件掃描可能不會過度地占用計算系統(tǒng)的資源����,但目前的操作系統(tǒng)執(zhí)行的文件操作的數(shù)目可能需要更多次的文件掃描���,而這又可能導(dǎo)致明顯較慢的計算系統(tǒng)性能和用戶厭煩�����。 雖然某些安全供應(yīng)商已嘗試通過基于文件的擴(kuò)展名或基于文件是被打開還是關(guān)閉而跳過文件掃描來限制實時文件掃描解決方案的性能影響�����,但此類常規(guī)方法在有效性和可靠性方面受限制�。例如���,此類方法可能無法識別具有似乎合法的文件擴(kuò)展名的惡意文件�,此類方法可能將計算資源專用于掃描經(jīng)修改的文件����,即使存在該經(jīng)修改的文件未受到安全威脅的高度可能性�。類似地���,本公開認(rèn)識到用于改善傳統(tǒng)實時文件掃描安全解決方案的性能的可靠性兩者的需要���。
發(fā)明內(nèi)容
如下文更詳細(xì)地描述的那樣,本公開總體上涉及用于響應(yīng)于感興趣事件(諸如當(dāng)文件被打開或關(guān)閉時或當(dāng)供應(yīng)商提供的病毒定義集被更新時)通過檢查所述感興趣事件的完整場境(context)來確定是否執(zhí)行實時文件掃描的系統(tǒng)和方法�����。所述感興趣事件的完整場境可以包括所涉文件的歷史��、訪問所涉文件的應(yīng)用的歷史�����、以及用于所涉文件的已知可接受使用模式�����。在此所公開的系統(tǒng)和方法可以通過評估此信息而不是始終執(zhí)行掃描在不顯著降低由傳統(tǒng)實時掃描解決方案提供的安全水平的情況下使實時掃描系統(tǒng)的性能影響最小化���。
例如���,一種系統(tǒng)可以通過以下步驟來確定是否執(zhí)行實時文件掃描1)檢測感興趣事件(諸如當(dāng)文件被打開或關(guān)閉時或當(dāng)供應(yīng)商提供的病毒定義集被更新時),2)識別與所述感興趣事件相關(guān)的至少一個文件(諸如被打開或關(guān)閉的文件)����,3)訪問描述或識別其中發(fā)生所述感興趣事件的較大場境的信息(在此也稱為"場境元數(shù)據(jù)"),4)訪問至少一個規(guī)則��,該規(guī)則包含用于基于所述感興趣事件和所述場境元數(shù)據(jù)來確定是否對所述文件執(zhí)行掃描的標(biāo)準(zhǔn)����,以及隨后5)通過應(yīng)用所述規(guī)則來確定是否對所述文件執(zhí)行掃描。
如果所述系統(tǒng)判定掃描文件�����,則該系統(tǒng)還可以基于所述場境元數(shù)據(jù)來確定在執(zhí)行掃描時是提高還是降低將應(yīng)用于文件的監(jiān)查水平�����。所述系統(tǒng)還可以基于掃描的結(jié)果來確定是否阻止文件���、隔離文件�、刪除文件���、通知用戶或安全供應(yīng)商等��。所述系統(tǒng)隨后可以基于安全掃描的結(jié)果來更新所述場境元數(shù)據(jù)����。 可以依照在此所述的一般原理將來自任何上述實施例的特征相互結(jié)合地使用。結(jié)合附圖和權(quán)利要求來讀取以下詳細(xì)說明時將更全面地理解這些及其它實施例�、特征、以及優(yōu)點���。
附圖示出許多示例性實施例����,并且作為本說明書的一部分��。這些附圖連同以下說明 一起說明并解釋本公開的各種原理���。 圖1是用于響應(yīng)于感興趣事件通過檢查該感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的示例性系統(tǒng)的方框圖�����。 圖2是用于響應(yīng)于感興趣事件通過檢查該感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的示例性方法的流程圖����。 圖3是能夠?qū)崿F(xiàn)在此所述和/或所示的一個或多個實施例的示例性計算系統(tǒng)的方框圖。 圖4是能夠?qū)崿F(xiàn)在此所述和/或所示的一個或多個實施例的示例性計算網(wǎng)絡(luò)的方框圖���。 在所有附圖中��,相同的附圖標(biāo)記和說明指示類似但不一定必須相同的元件。雖然在此所述的示例性實施例可以有各種修改和替換形式�����,但在附圖中已通過示例示出了特定的實施例并將在此進(jìn)行詳細(xì)地描述��。然而��,在此所述的示例性實施例并不意在局限于所公開的特定形式�。相反,本公開涵蓋落入所附權(quán)利要求的范圍內(nèi)的所有修改����、等價物、以及替換物�。
具體實施例方式
如下文更詳細(xì)地描述的那樣,本公開總體上涉及用于響應(yīng)于感興趣事件通過檢查感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的系統(tǒng)和方法�。描述或識別其中發(fā)生所述感興趣事件的較大場境的信息(在下文中稱為"場境元數(shù)據(jù)")可以包括但不限于關(guān)于所涉文件的信息(諸如文件名、文件創(chuàng)建日期��、已被讀取或修改的次數(shù)、已經(jīng)讀取或修改該文件的應(yīng)用���、用于該文件的典型使用行為��、先前對該文件執(zhí)行的安全掃描的結(jié)果等)或關(guān)于接觸所涉文件的應(yīng)用或與所涉文件相關(guān)的應(yīng)用的信息(諸如該文件程序是否是門戶����、該應(yīng)用是否產(chǎn)生網(wǎng)絡(luò)活動�����、該應(yīng)用是否包含已知的漏洞等)�����。 下面將參照圖1來提供用于響應(yīng)于感興趣事件通過檢查感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的示例性系統(tǒng)的詳細(xì)說明�����。還將結(jié)合圖2來提供相應(yīng)的示例性計算機(jī)實現(xiàn)方法的詳細(xì)說明���。另外���,還將結(jié)合圖3和4來提供能夠?qū)崿F(xiàn)在此所描述和/或所示的一個或多個實施例的示例性計算系統(tǒng)和網(wǎng)絡(luò)架構(gòu)的說明����。 圖1是用于響應(yīng)于感興趣事件通過檢查該感興趣事件的完整場境來執(zhí)行實時文件掃描的示例性系統(tǒng)100的方框圖�。如此圖所示,示例性系統(tǒng)ioo可以包括用于執(zhí)行一個或多個任務(wù)的一個或多個模塊102�����。例如�����,示例性系統(tǒng)100可以包括用于檢測可能觸發(fā)文件掃描的感興趣事件(諸如當(dāng)文件被打開或關(guān)閉時或當(dāng)供應(yīng)商提供的病毒定義集被更新時)的事件檢測模塊104�。示例性系統(tǒng)100還可以包括用于訪問并應(yīng)用包含標(biāo)準(zhǔn)的規(guī)則的規(guī)則應(yīng)用模塊106��,所述標(biāo)準(zhǔn)用于基于所檢測的感興趣事件和與該感興趣事件相關(guān)的場境元數(shù)據(jù)來確定是否執(zhí)行文件掃描���。 另外�����,示例性系統(tǒng)100可以包括用于對文件執(zhí)行安全掃描以確定該文件是否是惡意文件或是否引起安全風(fēng)險的安全模塊108����。示例性系統(tǒng)IOO還可以包括用于基于文件的安全掃描結(jié)果來更新場境元數(shù)據(jù)的元數(shù)據(jù)更新模塊110。雖然未在圖1中示出�,但示例性系統(tǒng)100還可以包括一個或多個附加模塊。 在某些實施例中����,圖1中的一個或多個模塊102可以表示在被計算設(shè)備執(zhí)行時可以促使計算設(shè)備響應(yīng)于感興趣事件通過檢查該感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的一個或多個軟件應(yīng)用或程序。例如�,如下文更詳細(xì)地描述的那樣, 一個或多個模塊102可以表示被配置為在一個或多個計算設(shè)備上運行的軟件模塊����,所述計算設(shè)備諸如圖3中的計算系統(tǒng)310和/或圖4中的示例性網(wǎng)絡(luò)架構(gòu)400的部分。圖1中的一個或多個模塊102還可以表示被配置為執(zhí)行一個或多個任務(wù)的一個或多個專用計算機(jī)中的全部或部分����。 如圖l所示,示例性系統(tǒng)100還可以包括一個或多個數(shù)據(jù)庫120�。數(shù)據(jù)庫120可
以表示單個數(shù)據(jù)庫或計算設(shè)備或多個數(shù)據(jù)庫或計算設(shè)備的部分。在一個實施例中����,示例性系統(tǒng)100可以包括用于存儲場境元數(shù)據(jù)的場境元數(shù)據(jù)數(shù)據(jù)庫122,場境諸如關(guān)于作為用于
掃描的候選的文件的信息和關(guān)于接觸所述候選文件或與之相關(guān)的應(yīng)用的信息���。示例性系統(tǒng)100還可以包括用于存儲包含標(biāo)準(zhǔn)的規(guī)則或規(guī)則集的規(guī)則數(shù)據(jù)庫124���,所述標(biāo)準(zhǔn)用于基于程序的特性來確定該程序是否包含垃圾郵件程序��。 圖1中的一個或多個數(shù)據(jù)庫120可以表示一個或多個計算設(shè)備的一部分�����。例如�����,一個或多個數(shù)據(jù)庫120可以表示圖3中的計算系統(tǒng)310的一部分和/或圖4中的示例性網(wǎng)絡(luò)架構(gòu)400的部分����?���?蛇x地�����,圖1中的一個或多個數(shù)據(jù)庫120可以表示一個或多個物理上分離的能夠由計算設(shè)備訪問的設(shè)備�,諸如圖3中的計算系統(tǒng)310和/或圖4中的示例性網(wǎng)絡(luò)架構(gòu)的部分。 圖2是用于響應(yīng)于感興趣事件通過檢查該感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的示例性計算機(jī)實現(xiàn)方法200的流程圖。如此圖所示�,在步驟202,所述系統(tǒng)可以檢測感興趣事件��。例如����,圖1中的事件檢測模塊104可以檢測圖3中的計算系統(tǒng)310上的感興趣事件。 在此所使用的短語"感興趣事件"通常指在計算系統(tǒng)上的可以觸發(fā)文件掃描的任何事件��。感興趣事件的示例包括但不限于進(jìn)程或應(yīng)用打開文件的失敗或成功嘗試�、進(jìn)程或應(yīng)用關(guān)閉文件的失敗或成功嘗試、對安全供應(yīng)商提供的病毒定義集的更新�����、或可能引起對計算系統(tǒng)上的文件的可信賴性的懷疑的任何其它事件�����。 所述系統(tǒng)可以以多種方式來執(zhí)行步驟202�����。在一個示例中����,圖1中的事件檢測模塊104可以通過掛到(hook)計算系統(tǒng)(諸如圖3中的計算系統(tǒng))的操作系統(tǒng)中并響應(yīng)特定事件來檢測感興趣事件�����。 在步驟204�,所述系統(tǒng)可以識別與在步驟202中檢測到的與感興趣事件相關(guān)的至少一個文件��。所述系統(tǒng)可以以多種方式來識別與感興趣事件相關(guān)的文件�。例如,如果在步驟202中事件檢測模塊104識別到進(jìn)程打開文件的成功嘗試����,則在步驟204,事件檢測模塊104可以識別被打開的文件�����??蛇x地���,如果在步驟202中事件檢測模塊104檢測到對供應(yīng)商提供的病毒定義集的更新����,則在步驟204,事件檢測模塊104可以識別受到此更新的影響或沖擊的一個或多個文件�����。 在步驟206�,所述系統(tǒng)可以訪問與感興趣事件相關(guān)的場境元數(shù)據(jù)。例如���,圖1中的規(guī)則應(yīng)用模塊106可以從圖1中的場境元數(shù)據(jù)數(shù)據(jù)庫112檢索關(guān)于在步驟204中識別的文件的信息���。 如上所述,短語"場境元數(shù)據(jù)"可以指的是關(guān)于其中發(fā)生感興趣事件的大量的場境或與之相關(guān)的一個或多個應(yīng)用的信息����。可以包括在場境元數(shù)據(jù)中的關(guān)于文件的信息類型的示例包括但不限于文件名���、文件路徑名����、文件類型(諸如該文件是否是預(yù)讀取文件����、該文件是否是日志文件等)����、文件創(chuàng)建日期�、文件最后修改日期、文件的散列(hash)或數(shù)字簽名����、文件已被讀取或修改的次數(shù)、讀取或修改文件的應(yīng)用���、文件的使用行為(諸如該文件在啟動序列期間是否通常被打開)��、先前對文件執(zhí)行的安全掃描的結(jié)果��、或可用于確定是否對文件執(zhí)行安全掃描的任何其它信息��。 類似地����,關(guān)于接觸候選文件或與之相關(guān)的應(yīng)用的示例性信息可以包括但不限于應(yīng)用名����、與該應(yīng)用相關(guān)的進(jìn)程����、用于該應(yīng)用的使用行為�����、該應(yīng)用是否是門戶�、該應(yīng)用是否產(chǎn)生網(wǎng)絡(luò)活動����、該應(yīng)用是否包含已知的漏洞、或可用于確定是否對所涉文件執(zhí)行安全掃描的任何其它信息�����。 在步驟208����,所述系統(tǒng)可以訪問包括標(biāo)準(zhǔn)的至少一個規(guī)則,所述標(biāo)準(zhǔn)用于基于感興趣事件和場境元數(shù)據(jù)來確定是否對文件執(zhí)行安全掃描�����。例如�����,圖1中的規(guī)則應(yīng)用模塊106可以從規(guī)則數(shù)據(jù)庫124中檢索包括標(biāo)準(zhǔn)的至少一個規(guī)則,所述標(biāo)準(zhǔn)用于確定是否對在步驟204中識別的文件執(zhí)行安全掃描��。 如上所述��,在步驟208中訪問的規(guī)則可以包括用于確定感興趣事件(諸如應(yīng)用打開和修改文件的成功嘗試)是否需要實時文件掃描���??梢杂梢?guī)則用來確定是否對文件執(zhí)行實時掃描的標(biāo)準(zhǔn)的示例包括但不限于所涉文件的名稱��、修改����、讀取或訪問所涉文件的進(jìn)程或應(yīng)用的名稱、所涉文件的路徑名或位置���、所涉文件的文件類型��、所涉文件的創(chuàng)建日期或最后修改日期���、所涉文件已被訪問的次數(shù)、已訪問所涉文件的應(yīng)用或進(jìn)程���、用于所涉文件的可接受使用行為���、用于嘗試訪問所涉文件的應(yīng)用的可接受使用行為、先前對所涉文件執(zhí)行的安全掃描的結(jié)果�����、嘗試訪問所涉文件的應(yīng)用是否是門戶��、嘗試訪問所涉文件的應(yīng)用是否產(chǎn)生網(wǎng)絡(luò)活動�、嘗試訪問所涉文件的應(yīng)用是否包含已知的漏洞、或可以用來確定感興趣事件是否需要文件的實時掃描的任何其它標(biāo)準(zhǔn)�。 例如,規(guī)則可以規(guī)定只要由某些預(yù)先許可的應(yīng)用或進(jìn)程(例如通過進(jìn)程名來識別)訪問特定的文件(例如通過文件名或路徑名來識別)�����、就不需要掃描該文件����。類似地,規(guī)則可以規(guī)定每當(dāng)某些敏感性或關(guān)鍵系統(tǒng)文件(例如通過其文件類型或路徑名來識別)被具有已知漏洞的應(yīng)用修改時���,就必須掃描這些文件�。 規(guī)則本質(zhì)上可以是一般的或?qū)S玫摹@?��,可以寫下一般?guī)則以消除在無威脅的使用情況下的掃描�。例如�����,規(guī)則可以規(guī)定在寫操作之后文件已被關(guān)閉之后不需要掃描只被寫入且從未被讀取的文件(諸如日志文件)�。類似地,一般規(guī)則可以規(guī)定如果在X天的過程中文件只被單個應(yīng)用寫入或讀取���,只要是由單個識別的應(yīng)用訪問該文件��,則不需要掃描該文件�。 可以對特定的文件類型書寫規(guī)則����。例如,規(guī)則可以規(guī)定如果進(jìn)程或應(yīng)用訪問WINDOWS預(yù)讀取文件�����,則只有該文件名與進(jìn)程的名稱不匹配時才應(yīng)掃描該預(yù)讀取文件�。在本示例中,所述規(guī)則可以規(guī)定在以下情況下不應(yīng)掃描預(yù)讀取文件1)文件名是"IEXPLORE.EXE-XXXXXX. PF",2)文件正在被進(jìn)程"IEXPLORE. EXE"讀取���,以及3)主進(jìn)程剛剛啟動����。
規(guī)則在本質(zhì)上可以是專用的�。例如�����,可以為特定的應(yīng)用創(chuàng)建這樣的規(guī)則�,即其規(guī)定不需要掃描在某些眾所周知的位置上的由該應(yīng)用創(chuàng)建的臨時文件,因為這些臨時文件在應(yīng)用終止時將被刪除����。在上述示例中的每一個中,可以通過將與在那種情形下跳過或減少相關(guān)的安全風(fēng)險與可以實現(xiàn)的性能改善相比較來制定規(guī)則���。 在某些示例中�����,規(guī)則還可以包括用于基于與感興趣事件相關(guān)的場境元數(shù)據(jù)來確定在執(zhí)行安全掃描時應(yīng)用于文件的安全水平的標(biāo)準(zhǔn)�����。例如����,規(guī)則可以規(guī)定當(dāng)文件被經(jīng)預(yù)先許可的應(yīng)用打開時,系統(tǒng)只需要對文件執(zhí)行有限的安全掃描(例如通過確定文件的一部分是否與由安全供應(yīng)商提供的病毒定義集內(nèi)的至少一個簽名匹配)���?����?蛇x地�,如果系統(tǒng)確定文件被新的或未經(jīng)許可的應(yīng)用訪問����,則系統(tǒng)可以對該文件執(zhí)行完全掃描(例如通過在虛擬或仿真的計算環(huán)境內(nèi)執(zhí)行文件來確定該文件是否包含惡意有效負(fù)荷)。 在步驟210�����,系統(tǒng)可以通過應(yīng)用來自步驟208的規(guī)則來確定是否對文件執(zhí)行安全掃描�����。例如,圖1中的規(guī)則應(yīng)用模塊106可以將在步驟208中從規(guī)則數(shù)據(jù)庫124檢索的規(guī)則應(yīng)用于在步驟204中識別的文件����。當(dāng)圖2中的步驟210完成時,圖2中的示例性方法200可以終止��。 如果圖1中的規(guī)則應(yīng)用模塊106在步驟210中確定系統(tǒng)應(yīng)對文件執(zhí)行安全掃描���,則安全模塊108可以對文件執(zhí)行安全掃描�。本文所使用的短語"安全掃描"通常指由計算系統(tǒng)對文件執(zhí)行以便確定文件是否是惡意的或表示安全風(fēng)險的任何分析����。
圖1中的安全模塊108可以以多種方式來嘗試確定文件是否是惡意的��。例如��,安全模塊108可以1)確定文件的至少一部分是否與由安全供應(yīng)商提供的病毒定義集內(nèi)的至少一個簽名匹配(例如通過將文件的散列與已知惡意文件的散列相比較)�,2)確定該文件是否觸發(fā)由安全供應(yīng)商提供的惡意件檢測探試(例如,通過模式匹配)�,3)在虛擬或模擬計算環(huán)境執(zhí)行文件以確定文件是否包含惡意有效載荷,或4)通過任何其它適當(dāng)?shù)姆绞絹眚炞C文件的合法性���。 根據(jù)安全掃描的結(jié)果�,安全模塊108還可以對文件執(zhí)行安全操作。在此所使用的短語"安全操作"通常指可以對已知惡意文件執(zhí)行的任何安全操作����。安全操作的示例包括但不限于刪除文件、阻止訪問文件�、隔離文件、向用戶或安全供應(yīng)商發(fā)送將該文件識別為安全風(fēng)險的通知���、或可以對惡意文件或被認(rèn)為將引起安全風(fēng)險的文件執(zhí)行的任何其它安全操作����。 在某些實施例中��,當(dāng)完成安全掃描時����,系統(tǒng)可以基于掃描的結(jié)果來更新在步驟206中訪問的場境元數(shù)據(jù)。例如�,圖1中的元數(shù)據(jù)更新模塊110可以用對文件執(zhí)行的安全掃描的結(jié)果來更新存儲在場境元數(shù)據(jù)數(shù)據(jù)庫122中的場境元數(shù)據(jù)。 如上所述��,通過制定并應(yīng)用將感興趣事件的較大范圍的場境考慮在內(nèi)的規(guī)則�,在此所述的系統(tǒng)和方法可以在不顯著犧牲提供的安全水平的情況下改善實時掃描系統(tǒng)的性能。類似地�����,在此所公開的系統(tǒng)和方法可以向?qū)崟r計算機(jī)安全解決方案的用戶提供各種可靠性和性能優(yōu)點。 圖3是能夠?qū)崿F(xiàn)在此所描述的和/或所示的一個或多個實施例的示例性計算系統(tǒng)310的方框圖�。計算系統(tǒng)310廣泛地表示能夠執(zhí)行計算機(jī)可讀指令的任何單個或多處理器計算設(shè)備或系統(tǒng)。計算系統(tǒng)310的示例包括但不限于工作站�、膝上型計算機(jī)、客戶端側(cè)終端����、服務(wù)器、分布式計算系統(tǒng)����、手持式設(shè)備、或任何其它計算系統(tǒng)或設(shè)備��。在其最基本的配置中��,計算系統(tǒng)310可以包括至少一個處理器314和系統(tǒng)存儲器316�。 處理器314 —般表示能夠處理數(shù)據(jù)或解釋并執(zhí)行指令的任何類型或形式的處理單元����。在某些實施例中,處理器314可以從軟件應(yīng)用或模塊接收指令����。這些指令可以促使處理器314執(zhí)行在此所描述的和/或所示的一個或多個示例性實施例的功能���。例如,處理 器314可以執(zhí)行在此所描述的檢領(lǐng)U���、識另U��、訪問�、應(yīng)用���、打開���、關(guān)閉、檢索�����、執(zhí)行����、阻止、隔離��、 發(fā)送、更新��、以及執(zhí)行步驟中的一個或多個和/或作為用于單獨或與其它元件結(jié)合地執(zhí)行 在此所描述的檢領(lǐng)U����、識另U、訪問���、應(yīng)用�����、打開����、關(guān)閉�、檢索、執(zhí)行��、阻止��、隔離����、發(fā)送、更新��、以及 執(zhí)行步驟中的一個或多個的裝置�。處理器314還可以執(zhí)行在此所描述的和/或所示的任何 其它步驟、方法�、或過程和/或作為用于執(zhí)行在此所描述的和/或所示的任何其它步驟、方 法�����、或過程的裝置���。 系統(tǒng)存儲器316 —般表示能夠存儲數(shù)據(jù)和/或其它計算機(jī)可讀指令的任何類型或 形式的易失性或非易失性存儲設(shè)備或介質(zhì)�����。系統(tǒng)存儲器316的示例包括但不限于隨機(jī)存取 存儲器(RAM)�����、只讀存儲器(ROM)��、閃速存儲器��、或任何其它適當(dāng)?shù)拇鎯υO(shè)備�。雖然不需要, 但在某些實施例中�,計算系統(tǒng)310可以包括易失性存儲單元(諸如,例如系統(tǒng)存儲器316) 和非易失性存儲設(shè)備(諸如����,例如如下文更詳細(xì)地描述的主存儲設(shè)備332) 二者。
在某些實施例中��,除處理器314和系統(tǒng)存儲器316之外�,示例性計算系統(tǒng)310還可 以包括一個或多個組件或元件。例如����,如圖3所示,計算系統(tǒng)310可以包括存儲控制器318���、 輸入/輸出(I/O)控制器320以及通信接口 322����,其中的每一個可以經(jīng)由通信基礎(chǔ)設(shè)施312 互連�。通信基礎(chǔ)設(shè)施312 —般表示能夠便于計算設(shè)備的一個或多個組件之間的通信的任何 類型或形式的基礎(chǔ)設(shè)施。通信基礎(chǔ)設(shè)施312的示例包括但不限于通信總線(諸如ISA�����、PCI��、 PCIe���、或類似總線)和網(wǎng)絡(luò)���。 存儲控制器318 —般表示能夠處理存儲器或數(shù)據(jù)或控制計算系統(tǒng)310的一個或多 個組件之間的通信的任何類型或形式的設(shè)備。例如���,在某些實施例中�����,存儲控制器318可以 經(jīng)由通信基礎(chǔ)設(shè)施312來控制處理器314�、系統(tǒng)存儲器316和I/O控制器320之間的通信�����。 在某些實施例中�,存儲控制器318可以執(zhí)行在此所描述的和/或所示的一個或多個步驟或 特征和/或作為用于單獨地或與其它組件相結(jié)合地執(zhí)行在此所描述的和/或所示的一個或 多個步驟或特征的裝置,所述步驟或特征諸如檢測�����、識別、訪問�、應(yīng)用、打開��、關(guān)閉���、檢索����、執(zhí) 行����、阻止、隔離����、發(fā)送、更新�����、以及執(zhí)行����。 I/O控制器320 —般表示能夠協(xié)調(diào)和/或控制計算設(shè)備的輸入和輸出功能的任何 類型或形式的模塊��。例如��,在某些實施例中,1/0控制器320可以控制或便于計算系統(tǒng)310 之間的一個或多個元件之間的數(shù)據(jù)傳送����,所述元件諸如處理器314、系統(tǒng)存儲器316���、通信 接口 322�����、顯示適配器326��、輸入接口 330���、以及存儲在此所描述的檢測、識別�����、訪問、應(yīng)用���、打 開�����、關(guān)閉�、檢索�����、執(zhí)行���、阻止�、隔離��、發(fā)送��、更新�、以及執(zhí)行步驟。1/0控制器320還可以用來執(zhí) 行本公開所闡述的其它步驟和特征和/或作為用于執(zhí)行本公開所闡述的其它步驟和特征 的裝置����。 通信接口 322廣泛地表示能夠便于示例性計算系統(tǒng)310與一個或多個附加設(shè)備之 間的通信的任何類型或形式的通信設(shè)備或適配器�。例如����,在某些實施例中,通信接口 322可 以便于計算系統(tǒng)310與包括附加計算系統(tǒng)的私有或公共網(wǎng)絡(luò)之間的通信�����。通信接口 322的 示例包括但不限于有線網(wǎng)絡(luò)接口 (諸如網(wǎng)絡(luò)接口卡)����、無線網(wǎng)絡(luò)接口 (諸如無線網(wǎng)絡(luò)接口 卡)�、調(diào)制解調(diào)器、或任何其它適當(dāng)接口 �。在至少一個實施例中,通信接口 322可以經(jīng)由到諸 如因特網(wǎng)的網(wǎng)絡(luò)的直接鏈路來提供到遠(yuǎn)程服務(wù)器的直接連接���。通信接口 322還可以通過例 如局域網(wǎng)(諸如以太網(wǎng)或無線IEEE 802. 11網(wǎng)絡(luò))���、個域網(wǎng)(諸如BLUETOOTH網(wǎng)絡(luò)或IEEE
10802. 15網(wǎng)絡(luò))、電話或電纜網(wǎng)����、蜂窩式電話連接����、衛(wèi)星數(shù)據(jù)連接��、或任何其它適當(dāng)連接來間 接地提供此類連接�����。 在某些實施例中���,通信接口 322還可以表示被配置為經(jīng)由外部總線或通信信道以 便于計算系統(tǒng)310與一個或多個附加網(wǎng)絡(luò)或存儲設(shè)備之間的通信的主機(jī)適配器����。主機(jī)適配 器的示例包括但不限于SCSI主機(jī)適配器�、USB主機(jī)適配器、IEEE 1394主機(jī)適配器����、SATA和 eSATA主機(jī)適配器、ATA和PATA主機(jī)適配器����、光纖信道接口適配器、以太網(wǎng)適配器等��。通信 接口 322還可以允許計算系統(tǒng)310參與分布式或遠(yuǎn)程計算。例如�����,通信接口 322可以從遠(yuǎn) 程設(shè)備接收指令或向遠(yuǎn)程設(shè)備發(fā)送用于執(zhí)行的指令�����。在某些實施例中�,通信接口 322可以 執(zhí)行在此所公開的檢領(lǐng)U、識另U�����、訪問���、應(yīng)用、打開��、關(guān)閉����、檢索、實行�、阻止����、隔離��、發(fā)送���、更新���、 以及執(zhí)行步驟中的一個或多個和/或作為用于單獨地或與其它元件相結(jié)合地執(zhí)行在此所 公開的檢測、識別��、訪問�����、應(yīng)用���、打開�、關(guān)閉�����、檢索、實行����、阻止、隔離��、發(fā)送�、更新、以及執(zhí)行步 驟中的一個或多個的裝置��。通信接口 322還可以用來執(zhí)行本公開所闡述的其它步驟和特征 和/或作為用于執(zhí)行本公開所闡述的其它步驟和特征的裝置�。 如圖3所示,計算系統(tǒng)310還可以包括經(jīng)由顯示適配器326耦合到通信基礎(chǔ)設(shè)施 312的至少一個顯示設(shè)備324����。顯示設(shè)備324 —般表示能夠在視覺上顯示由顯示適配器326 轉(zhuǎn)發(fā)的信息的任何類型或形式的設(shè)備。類似地��,顯示適配器326 —般表示被配置為轉(zhuǎn)發(fā)來 自通信基礎(chǔ)設(shè)施312(或來自如本領(lǐng)域中所已知的幀緩沖器)的用于在顯示設(shè)備324上顯 示的圖形�、文本��、及其它數(shù)據(jù)的任何類型或形式的設(shè)備���。 如圖3所示�,示例性計算系統(tǒng)310還可以包括經(jīng)由輸入接口 330耦合到通信基礎(chǔ) 設(shè)施312的至少一個輸入設(shè)備328。輸入設(shè)備328 —般表示能夠向示例性計算系統(tǒng)310提 供計算機(jī)或人類生成的輸入的任何類型或形式的輸入設(shè)備��。輸入設(shè)備328的示例包括但不 限于鍵盤���、指示設(shè)備�����、語音識別設(shè)備�、或任何其它設(shè)備�����。在至少一個實施例中���,輸入設(shè)備328 可以執(zhí)行在此所公開的檢領(lǐng)U��、識另U�、訪問�、應(yīng)用、打開���、關(guān)閉���、檢索���、實行、阻止����、隔離、發(fā)送��、更 新���、以及執(zhí)行步驟中的一個或多個和/或作為用于單獨地或與其它元件相結(jié)合地執(zhí)行在此 所公開的檢測��、識別����、訪問�、應(yīng)用、打開���、關(guān)閉、檢索�����、實行、阻止���、隔離�����、發(fā)送�����、更新�、以及執(zhí)行 步驟中的一個或多個的裝置��。輸入設(shè)備328還可以用來執(zhí)行本公開所闡述的其它步驟和特 征和/或作為用于執(zhí)行本公開所闡述的其它步驟和特征的裝置��。 如圖3所示�����,示例性計算系統(tǒng)310還可以包括經(jīng)由存儲接口 334耦合到通信基礎(chǔ) 設(shè)施312的主存儲設(shè)備332和備份存儲設(shè)備333�。存儲設(shè)備332和333 —般表示能夠存儲 數(shù)據(jù)和/或其它計算機(jī)可讀指令的任何類型或形式的存儲設(shè)備或介質(zhì)。例如����,存儲設(shè)備332 和333可以是磁盤驅(qū)動器(例如�,所謂的硬盤驅(qū)動器)��、軟盤驅(qū)動器�����、磁帶驅(qū)動器���、光盤驅(qū)動 器��、閃存驅(qū)動器等���。存儲接口 334 —般表示用于在存儲設(shè)備332和333與計算系統(tǒng)310的 其它組件之間傳送數(shù)據(jù)的任何類型或形式的接口或設(shè)備。 在某些實施例中�����,存儲設(shè)備332和333可以被配置為從可移動存儲單元讀取和/ 或?qū)懭肟梢苿哟鎯卧?����,所述可移動存儲單元被配置為存儲計算機(jī)軟件����、數(shù)據(jù)、或其它計算 機(jī)可讀信息�����。適合的可移動存儲單元的示例包括但不限于軟盤�、磁盤、光盤����、閃速存儲設(shè)備 等。存儲設(shè)備332和333還可以包括用于允許將計算機(jī)軟件����、數(shù)據(jù)、或其它計算機(jī)可讀指令 加載到計算系統(tǒng)310中的其它類似結(jié)構(gòu)或設(shè)備�。例如,存儲設(shè)備332和333可以被配置為 讀取和寫入軟件�、數(shù)據(jù)、或其它計算機(jī)可讀信息����。存儲設(shè)備332和333可以是計算系統(tǒng)310的一部分或者可以是通過其它接口系統(tǒng)來訪問的單獨設(shè)備。 在某些實施例中�,可以將在此所公開的示例性文件系統(tǒng)存儲在主存儲設(shè)備332 上�����,同時可以將在此所公開的示例性文件系統(tǒng)備份存儲在備份存儲設(shè)備333上��。存儲設(shè)備 332和333還可以用于執(zhí)行在此所公開的檢測��、識別����、訪問��、應(yīng)用�����、打開���、關(guān)閉��、檢索��、實行�、 阻止、隔離��、發(fā)送�、更新、以及執(zhí)行步驟中的一個或多個和/或作為用來例如單獨地或與其 它元件相結(jié)合地執(zhí)行在此所公開的檢領(lǐng)U�、識另U、訪問�����、應(yīng)用��、打開����、關(guān)閉����、檢索、實行���、阻止����、隔 離����、發(fā)送����、更新�、以及執(zhí)行步驟中的一個或多個的裝置。存儲設(shè)備332和333還可以用來執(zhí) 行本公開所闡述的其它步驟和特征和/或作為用于執(zhí)行本公開所闡述的其它步驟和特征 的裝置���。 可以將許多其它設(shè)備或子系統(tǒng)連接到計算系統(tǒng)310��。相反����,并不是圖4所示的所 有組件和設(shè)備都需要出現(xiàn)以實施本文所述和/或所示的實施例���。以上參考的設(shè)備和子系統(tǒng) 還可以以不同于圖3所示的方式互連��。計算系統(tǒng)310還可以采用任何數(shù)目的軟件����、固件��、和 /或硬件配置。例如����,可以將在此所公開的一個或多個示例性實施例編碼為計算機(jī)可讀介 質(zhì)上的計算機(jī)程序(也稱為計算機(jī)軟件、軟件應(yīng)用�、計算機(jī)可讀指令、或計算機(jī)控制邏輯)�。 短語"計算機(jī)可讀介質(zhì)"通常指能夠存儲或承載計算機(jī)可讀指令的任何形式的設(shè)備、載體���、 或介質(zhì)。計算機(jī)可讀介質(zhì)的示例包括但不限于諸如載波的傳輸型介質(zhì)��、以及諸如磁存儲介 質(zhì)(例如硬盤驅(qū)動器和軟盤)����、光學(xué)存儲介質(zhì)(例如CD或DVD-ROM)、電子存儲介質(zhì)(例如 固態(tài)驅(qū)動器和閃速介質(zhì))的物理介質(zhì)�、及其它分布系統(tǒng)。 可以將包含計算機(jī)程序的計算機(jī)可讀介質(zhì)加載到計算系統(tǒng)310中�����。然后可以將存 儲在計算機(jī)可讀介質(zhì)上的所有或一部分計算機(jī)程序存儲在系統(tǒng)存儲器316和/或存儲設(shè)備 332和333的各部分中�。當(dāng)被處理器314執(zhí)行時,被加載到計算系統(tǒng)310中的計算機(jī)程序可 以使得處理器314執(zhí)行在此所描述的和/或所示的一個或多個示例性實施例的功能和/或 作為用于執(zhí)行在此所描述的和/或所示的一個或多個示例性實施例的功能的裝置。另外地 或可替換地��,可以以固件和/或硬件來實現(xiàn)在此所描述的和/或所示的一個或多個示例性 實施例���。例如���,計算系統(tǒng)310可以被配置為適合于實現(xiàn)在此所公開的一個或多個示例性實 施例的專用集成電路(ASIC)。 圖4是其中客戶端系統(tǒng)410��、420���、和430及服務(wù)器440和445可以被耦合到網(wǎng)絡(luò) 450的示例性網(wǎng)絡(luò)架構(gòu)400的方框圖�?���?蛻舳讼到y(tǒng)410、420�、和430 —般表示任何類型或形 式的計算設(shè)備或系統(tǒng),諸如圖3所示的示例性計算系統(tǒng)310�。類似地,服務(wù)器440和445 — 般表示諸如應(yīng)用服務(wù)器或數(shù)據(jù)庫服務(wù)器等的被配置為提供各種數(shù)據(jù)庫服務(wù)和/或運行某 些軟件應(yīng)用的計算設(shè)備或系統(tǒng)�����。網(wǎng)絡(luò)450 —般表示任何電信或計算機(jī)網(wǎng)絡(luò);包括例如企業(yè) 內(nèi)部網(wǎng)�����、廣域網(wǎng)(WAN)�、局域網(wǎng)(LAN)、個域網(wǎng)(PAN)�、或因特網(wǎng)。 如圖4所示�����,可以將一個或多個存儲設(shè)備460 (1) - (N)直接附連到服務(wù)器440 ��。類似 地�����,可以將一個或多個存儲設(shè)備470(1)-(N)直接附連到服務(wù)器445�����。存儲設(shè)備460(1)-(N) 和存儲設(shè)備470(1)-(N) —般表示能夠存儲數(shù)據(jù)和/或其它計算機(jī)可讀指令的任何類型或 形式的存儲設(shè)備或介質(zhì)���。在某些實施例中����,存儲設(shè)備460(1)-(N)和存儲設(shè)備470(1)-(N) 可以表示被配置為使用諸如NFS����、SMB、或CIFS等各種協(xié)議來與服務(wù)器440和445通信的網(wǎng) 絡(luò)連接存儲(NAS)設(shè)備��。 還可以將服務(wù)器440和445連接到存儲區(qū)域網(wǎng)絡(luò)(SAN)構(gòu)架(fabric) 480����。 SAN
12構(gòu)架480 —般表示能夠便于多個存儲設(shè)備之間的通信的任何類型或形式的計算機(jī)網(wǎng)絡(luò)或 架構(gòu)。SAN構(gòu)架480可以便于服務(wù)器440和445與多個存儲設(shè)備490(1)-(N)和/或智能 存儲陣列495之間的通信����。SAN構(gòu)架480還可以經(jīng)由網(wǎng)絡(luò)450及服務(wù)器440和445以設(shè)備 490(1)-(N)和陣列495表現(xiàn)為局部地附連到客戶端系統(tǒng)410、420��、和430的設(shè)備的方式來 便于客戶端系統(tǒng)410���、420和430與存儲設(shè)備490(1)-(N)和/或智能存儲陣列495之間的 通信����。如同存儲設(shè)備460(1)-(N)和存儲設(shè)備470(1)-(N) —樣���,存儲設(shè)備490 (1) - (N)和智 能存儲陣列495 —般表示能夠存儲數(shù)據(jù)和/或其它計算機(jī)可讀指令的任何類型或形式的存 儲設(shè)備或介質(zhì)�。 在某些實施例中及參照圖3的示例性計算系統(tǒng)310,可以使用諸如圖3中的通信接 口 322的通信接口來提供每個客戶端系統(tǒng)410�、420、和430與網(wǎng)絡(luò)450之間的連接���?�?蛻舳?系統(tǒng)410��、420�����、和430能夠使用例如網(wǎng)頁瀏覽器或其它客戶端軟件來訪問服務(wù)器440或445 上的信息�。此類軟件可以允許客戶端系統(tǒng)410�、420、和430訪問由服務(wù)器440�、服務(wù)器445�、 存儲設(shè)備460 (1) - (N)、存儲設(shè)備470 (1) - (N)���、存儲設(shè)備490 (1) - (N)�����、或智能存儲陣列495操 管(host)的數(shù)據(jù)�。雖然圖4描繪了使用網(wǎng)絡(luò)(諸如因特網(wǎng))來交換數(shù)據(jù),但在此所描述和 /或所示的實施例不限于因特網(wǎng)或任何特定的基于網(wǎng)絡(luò)的環(huán)境�����。 在至少一個實施例中�����,可以將在此所公開的一個或多個示例性實施例中的全部或 部分編碼為計算機(jī)程序并加載到服務(wù)器440�、服務(wù)器445、存儲設(shè)備460 (l)-(N)��、存儲設(shè)備 470(1)-(N)��、存儲設(shè)備490(l)-(N)��、智能存儲陣列495���、或其任何組合上并由其執(zhí)行�����。還可 以將在此所公開的一個或多個示例性實施例中的全部或部分編碼為計算機(jī)程序��、存儲在服 務(wù)器440中�、由服務(wù)器445來運行、并通過網(wǎng)絡(luò)450分發(fā)到客戶端系統(tǒng)410�����、420�、和430。因 此�,網(wǎng)絡(luò)架構(gòu)400可以執(zhí)行在此所公開的檢領(lǐng)U、識另U�����、訪問��、應(yīng)用����、打開、關(guān)閉���、檢索�、實行�、阻 止、隔離����、發(fā)送、更新����、以及執(zhí)行步驟中的一個或多個和/或作為用于單獨地或與其它元件 相結(jié)合地執(zhí)行在此所公開的檢測、識別�����、訪問����、應(yīng)用、打開��、關(guān)閉�、檢索、實行����、阻止��、隔離�、發(fā) 送��、更新�、以及執(zhí)行步驟中的一個或多個的裝置。網(wǎng)絡(luò)架構(gòu)400還可以用來執(zhí)行本公開所闡 述的其它步驟和特征和/或作為用于執(zhí)行本公開所闡述的其它步驟和特征的裝置�。
如上所述,在此所述的一個或多個系統(tǒng)可以執(zhí)行在此所描述的和/或所示的一個 或多個示例性實施例和/或作為用于單獨地或與其它元件相結(jié)合地執(zhí)行在此所描述的和/ 或所示的一個或多個示例性實施例的裝置����。例如,在此所描述的系統(tǒng)可以執(zhí)行用于基于與 感興趣事件相關(guān)的場境元數(shù)據(jù)來確定是否執(zhí)行實時文件掃描的方法����,包括1)檢測感興趣 事件,2)識別與所述感興趣事件相關(guān)的至少一個文件�����,3)訪問與所述感興趣事件相關(guān)的場 境元數(shù)據(jù)���,4)訪問包括標(biāo)準(zhǔn)的至少一個規(guī)則�����,所述標(biāo)準(zhǔn)用于基于所述感興趣事件和所述場 境元數(shù)據(jù)來確定是否對文件執(zhí)行安全掃描�,以及隨后5)通過應(yīng)用所述規(guī)則來確定是否對 文件執(zhí)行安全掃描�。 所述感興趣事件可以表示打開文件的嘗試、關(guān)閉文件的嘗試����、或?qū)τ砂踩?yīng)商 提供的病毒定義集的更新。另外���,所述場境元數(shù)據(jù)可以包括關(guān)于文件的信息和/或關(guān)于與 文件相關(guān)的至少一個應(yīng)用的信息����。 關(guān)于文件的信息可以包括識別文件名����、文件路徑名、文件類型�����、文件創(chuàng)建日期���、文 件最后修改日期����、文件的散列、文件已被讀取或修改的次數(shù)����、已經(jīng)讀取或修改文件的應(yīng)用、 文件的使用行為�����、先前對文件執(zhí)行的安全掃描的結(jié)果�����、或任何其它潛在的有用信息的信息��。類似地����,關(guān)于與文件相關(guān)的應(yīng)用的信息可以包括應(yīng)用名稱、與應(yīng)用相關(guān)的進(jìn)程���、應(yīng)用的使用 行為�、應(yīng)用是否是門戶、應(yīng)用是否產(chǎn)生網(wǎng)絡(luò)活動��、應(yīng)用是否包含已知的漏洞�����、或任何其它可 能有用的信息��。 所述規(guī)則可以表示一般文件規(guī)則�、一般應(yīng)用規(guī)則���、識別文件的可接受使用行為的 文件類型專用規(guī)則��、或識別與文件相關(guān)的應(yīng)用的可接受使用行為的應(yīng)用專用規(guī)則��。所述規(guī) 則還可以包括用于基于場境元數(shù)據(jù)來確定在執(zhí)行安全掃描時要應(yīng)用于文件的監(jiān)查水平�����。
在某些實施例中�,訪問場境元數(shù)據(jù)可以包括從場境元數(shù)據(jù)數(shù)據(jù)庫中檢索場境元數(shù) 據(jù)��。類似地�����,訪問規(guī)則可以包括從規(guī)則數(shù)據(jù)庫檢索規(guī)則。另外�����,所述方法可以進(jìn)一步包括對 文件執(zhí)行安全掃描并隨后基于安全掃描的結(jié)果來確定是否對文件執(zhí)行安全操作����。所述安全 操作可以表示要阻止文件、隔離文件�、刪除文件、或者向用戶或安全供應(yīng)商發(fā)送將文件識別 為安全風(fēng)險的通知的操作���。 在某些實施例中�,所述方法可以進(jìn)一步包括基于安全掃描的結(jié)果來更新場境元數(shù) 據(jù)���。在某些實施例中�,對文件執(zhí)行安全掃描可以包括確定文件的一部分是否與由安全供應(yīng) 商提供的病毒定義集內(nèi)的至少一個簽名匹配�����、確定文件是否觸發(fā)由安全供應(yīng)商提供的惡意 件檢測探試(heuristic)�����、和/或在虛擬環(huán)境內(nèi)執(zhí)行文件。 雖然前述公開使用特定的方框圖��、流程圖��、以及示例闡述了各種實施例���,但可以使 用大范圍的硬件��、軟件����、或固件(或其任何組合)配置來單獨地和/或共同地實現(xiàn)在此所描 述的和/或所示的每個方框圖組件��、流程圖步驟�、操作��、和/或組件��。另外���,應(yīng)將包含在其它 組件內(nèi)的組件的任何公開視為本質(zhì)上是示例性的����,因為可以實現(xiàn)許多其它架構(gòu)以達(dá)到相同 的功能。 在此所描述的和/或所示的進(jìn)程參數(shù)和步驟序列僅僅以示例的方式給出且可以 根據(jù)需要而改變�。例如,雖然按照特定的順序示出或討論了在此所示和/或所描述的步驟���, 但這些步驟不一定需要按照所示或所討論的順序來執(zhí)行��。在此所描述的和/或所示的各種 示例性方法還可以省略在此所描述的或所示的一個或多個步驟或包括除那些公開的步驟 之外的附加步驟���。 此外,雖然在此已經(jīng)在全功能計算系統(tǒng)的場境中描述和/或示出了各種實施例����, 但可以以各種形式將這些示例性實施例中的一個或多個作為程序產(chǎn)品來分發(fā),而不管用來 實際執(zhí)行分發(fā)的計算機(jī)可讀介質(zhì)的特定類型如何���。還可以使用執(zhí)行某些任務(wù)的軟件模塊來 實現(xiàn)在此所公開的實施例��。這些軟件模塊可以包括可以存儲在計算機(jī)可讀存儲介質(zhì)上或計 算系統(tǒng)中的腳本�、程序組(batch)�、或其它可執(zhí)行文件。在某些實施例中�,這些軟件模塊可以 將計算系統(tǒng)配置為執(zhí)行在此所公開的一個或多個示例性實施例��。 已經(jīng)提供了前述說明以使得本領(lǐng)域的其他技術(shù)人員能夠最好地利用在此所公開 的示例性實施例的各種方面��。本示例性說明并不意在是排他性的或局限于所公開的任何精 確形式�。在不脫離本公開的精神和范圍的情況下可以進(jìn)行許多修改和變化����。應(yīng)從說明性而 非限制性的方面來考慮在此所公開的實施例。確定本公開的范圍時應(yīng)對隨附權(quán)利要求及其 等價物進(jìn)行參考����。 除非另有說明,在本說明書和權(quán)利要求中不帶數(shù)量詞的項應(yīng)被理解為意指"至少 一個"項���。另外�,為了便于使用����,本說明書和權(quán)利要求中使用的術(shù)語"包括"和"具有"可與 詞語"包含"互換使用并具有與之相同的意義�。
1權(quán)利要求
一種用于響應(yīng)于感興趣事件通過檢查所述感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的計算機(jī)實現(xiàn)的方法,所述方法包括檢測感興趣事件����;識別與所述感興趣事件相關(guān)的至少一個文件�����;訪問與所述感興趣事件相關(guān)的場境元數(shù)據(jù)����;訪問包括標(biāo)準(zhǔn)的至少一個規(guī)則��,所述標(biāo)準(zhǔn)用于基于所述感興趣事件和所述場境元數(shù)據(jù)來確定是否對所述文件執(zhí)行安全掃描�����;通過應(yīng)用所述規(guī)則來確定是否對所述文件執(zhí)行安全掃描����。
2. 根據(jù)權(quán)利要求1所述的方法,其中�����,所述場境元數(shù)據(jù)包括關(guān)于所述文件的信息�����;關(guān)于與所述文件相關(guān)的至少一個應(yīng)用的信息。
3. 根據(jù)權(quán)利要求2所述的方法�����,其中�,關(guān)于所述文件的信息包括識別以下各項中的至少一個的信息所述文件的名稱;所述文件的路徑名�����;所述文件的類型���;所述文件的創(chuàng)建日期�;所述文件的最后修改日期����;所述文件的散列;所述文件已被讀取的次數(shù)����;所述文件已被修改的次數(shù)�;已經(jīng)讀取所述文件的應(yīng)用;已經(jīng)修改所述文件的應(yīng)用�;所述文件的使用行為;先前對所述文件執(zhí)行的安全掃描的結(jié)果。
4. 根據(jù)權(quán)利要求2所述的方法����,其中,關(guān)于與所述文件相關(guān)的應(yīng)用的信息包括識別以下各項的信息所述應(yīng)用的名稱�;與所述應(yīng)用相關(guān)的進(jìn)程;所述應(yīng)用的使用行為�����;所述應(yīng)用是否是門戶�����;所述應(yīng)用是否產(chǎn)生網(wǎng)絡(luò)活動�����;所述應(yīng)用是否包含已知的漏洞�。
5. 根據(jù)權(quán)利要求1所述的方法,其中�����,所述規(guī)則包括一般文件規(guī)則��;一般應(yīng)用規(guī)則;文件類型專用規(guī)則�,識別所述文件的可接受使用行為;應(yīng)用專用規(guī)則����,識別與所述文件相關(guān)的應(yīng)用的可接受使用行為。
6. 根據(jù)權(quán)利要求1所述的方法���,其中����,所述規(guī)則進(jìn)一步包括用于基于所述場境元數(shù)據(jù)來確定在執(zhí)行安全掃描時要應(yīng)用于所述文件的監(jiān)查水平���。
7. 根據(jù)權(quán)利要求1所述的方法�����,其中�����,所述感興趣事件包括以下各項中的至少一個打開所述文件的嘗試���;關(guān)閉所述文件的嘗試����;對由安全供應(yīng)商提供的病毒定義集的更新����。
8. 根據(jù)權(quán)利要求1所述的方法�����,其中訪問所述場境元數(shù)據(jù)包括從場境元數(shù)據(jù)數(shù)據(jù)庫檢索所述場境元數(shù)據(jù)���;訪問所述規(guī)則包括從所述規(guī)則數(shù)據(jù)庫檢索所述規(guī)則�。
9. 根據(jù)權(quán)利要求1所述的方法�����,進(jìn)一步包括對所述文件執(zhí)行所述安全掃描��;基于所述安全掃描的結(jié)果來確定是否對所述文件執(zhí)行安全操作�����。
10. 根據(jù)權(quán)利要求9所述的方法����,其中���,所述安全操作包括以下各項中的至少一個阻止所述文件;隔離所述文件��;發(fā)送將所述文件識別為安全風(fēng)險的通知�。
11. 根據(jù)權(quán)利要求9所述的方法,進(jìn)一步包括基于所述安全掃描的結(jié)果來更新所述場境元數(shù)據(jù)�����。
12. 根據(jù)權(quán)利要求9所述的方法�����,其中��,對所述文件執(zhí)行所述安全掃描包括以下各項中的至少一個確定所述文件的一部分是否與由安全供應(yīng)商提供的病毒定義集內(nèi)的至少一個簽名匹配��;確定所述文件是否觸發(fā)由安全供應(yīng)商提供的惡意件檢測探試����;在虛擬環(huán)境內(nèi)執(zhí)行所述文件。
13. —種用于響應(yīng)于感興趣事件通過檢查所述感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描的系統(tǒng)����,所述系統(tǒng)包括事件檢測模塊�,所述事件檢測模塊被編程為檢測感興趣事件��;識別與所述感興趣事件相關(guān)的至少一個文件���;場境元數(shù)據(jù)數(shù)據(jù)庫,包含與所述感興趣事件相關(guān)的場境元數(shù)據(jù)���;規(guī)則應(yīng)用模塊��,所述規(guī)則應(yīng)用模塊被編程為訪問包括標(biāo)準(zhǔn)的至少一個規(guī)則�,所述標(biāo)準(zhǔn)用于基于所述感興趣事件和所述場境元數(shù)據(jù)來確定是否對所述文件執(zhí)行安全掃描�����;通過應(yīng)用所述規(guī)則來確定是否對所述文件執(zhí)行安全掃描���。
14. 根據(jù)權(quán)利要求13所述的系統(tǒng)���,其中,所述場境元數(shù)據(jù)包括關(guān)于所述文件的信息�����;關(guān)于與所述文件相關(guān)的應(yīng)用的信息。
15. 根據(jù)權(quán)利要求13所述的系統(tǒng)����,其中,所述規(guī)則進(jìn)一步包括用于基于所述場境元數(shù)據(jù)來確定在執(zhí)行安全掃描時要應(yīng)用于所述文件的監(jiān)查水平�����。
16. 根據(jù)權(quán)利要求13所述的系統(tǒng)����,進(jìn)一步包括安全模塊,該安全模塊被編程為執(zhí)行安全掃描�;基于所述安全掃描的結(jié)果來確定是否對所述文件執(zhí)行安全操作。
17. 根據(jù)權(quán)利要求16所述的系統(tǒng)��,進(jìn)一步包括元數(shù)據(jù)更新模塊���,該元數(shù)據(jù)更新模塊被編程為基于所述安全掃描的結(jié)果來更新所述場境元數(shù)據(jù)����。
18. —種包括計算機(jī)可執(zhí)行指令的計算機(jī)可讀介質(zhì),所述計算機(jī)可執(zhí)行指令在被計算設(shè)備執(zhí)行時使得所述計算設(shè)備檢測感興趣事件��;識別與所述感興趣事件相關(guān)的至少一個文件����;訪問與所述感興趣事件相關(guān)的場境元數(shù)據(jù);訪問包括標(biāo)準(zhǔn)的至少一個規(guī)則�,所述標(biāo)準(zhǔn)用于基于所述感興趣事件和所述場境元數(shù)據(jù)來確定是否對所述文件執(zhí)行安全掃描;通過應(yīng)用所述規(guī)則來確定是否對所述文件執(zhí)行安全掃描�。
19. 根據(jù)權(quán)利要求18所述的計算機(jī)可讀介質(zhì)�,其中,所述計算機(jī)可執(zhí)行指令在被計算設(shè)備執(zhí)行時進(jìn)一步使得所述計算設(shè)備對所述文件執(zhí)行安全掃描���;基于所述安全掃描的結(jié)果來確定是否對所述文件執(zhí)行安全操作�。
20. 根據(jù)權(quán)利要求18所述的計算機(jī)可讀介質(zhì)�,其中,所述計算機(jī)可執(zhí)行指令在被計算設(shè)備執(zhí)行時進(jìn)一步使得計算設(shè)備基于所述安全掃描的結(jié)果來更新所述場境元數(shù)據(jù)����。
全文摘要
本發(fā)明涉及場境感知的實時計算機(jī)保護(hù)系統(tǒng)和方法。一種計算機(jī)實現(xiàn)的方法�����,用于響應(yīng)于感興趣事件通過檢查所述感興趣事件的完整場境來確定是否執(zhí)行實時文件掃描����,可以包括1)檢測感興趣事件���,2)識別與所述感興趣事件相關(guān)的至少一個文件,3)訪問與所述感興趣事件相關(guān)的場境元數(shù)據(jù)�����,4)訪問至少一個規(guī)則���,該規(guī)則包含用于基于所述感興趣事件和所述場境元數(shù)據(jù)來確定是否對所述文件執(zhí)行安全掃描的標(biāo)準(zhǔn)����,以及隨后5)通過應(yīng)用所述規(guī)則來確定是否對所述文件執(zhí)行安全掃描��。還公開了相應(yīng)的系統(tǒng)和計算機(jī)可讀介質(zhì)����。
文檔編號G06F17/30GK101777062SQ20091025376
公開日2010年7月14日 申請日期2009年12月17日 優(yōu)先權(quán)日2008年12月17日
發(fā)明者斯潘塞·史密斯, 海克·麥斯若皮亞恩 申請人:賽門鐵克公司