專利名稱:預(yù)測(cè)減輕惡意軟件威脅的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及針對(duì)惡意軟件的保護(hù)。
技術(shù)背景
經(jīng)由因特網(wǎng),具有惡意企圖的個(gè)人和組織開發(fā)了損壞計(jì)算機(jī)系統(tǒng)和/或用于竊取用戶個(gè)人信息(包括個(gè)人用戶或諸如公司之類的實(shí)體)的軟件。這樣的惡意的軟件經(jīng)常利用代碼漏洞和/或通過欺騙用戶采取某種動(dòng)作來使代碼漏洞被安裝在用戶的計(jì)算機(jī)系統(tǒng)上。
防范惡意軟件的一種方式是經(jīng)由反惡意軟件的軟件。當(dāng)代反惡意軟件的軟件使用多種機(jī)制來捕捉和隔離惡意軟件。在大多數(shù)情況下,使用簽名、行為監(jiān)視和過濾驅(qū)動(dòng)器保護(hù)用戶來免于受到否則將損壞計(jì)算機(jī)的軟件的損害。
當(dāng)前的反惡意軟件技術(shù)導(dǎo)致了其中惡意軟件作者試圖比反惡意軟件開發(fā)者更聰明并且反之亦然的循環(huán)。有時(shí)惡意軟件作者至少一段時(shí)間內(nèi)獲勝,因?yàn)獒槍?duì)惡意利用 (exploit)的保護(hù)還沒有被發(fā)現(xiàn)。也有用戶僅僅是沒有更新他或她的機(jī)器來檢測(cè)最新的惡意軟件的情況,有時(shí)是因?yàn)橛脩羰韬龌虿⒉涣私庥?jì)算機(jī)。
其他時(shí)候,用戶偏好不運(yùn)行反惡意軟件產(chǎn)品來給他們的機(jī)器施加負(fù)擔(dān),至少不達(dá)到其全部能力。更具體地,許多最終用戶抱怨任何反惡意軟件應(yīng)用程序都是侵入性的,造成了性能瓶頸,占用了應(yīng)用程序CPU周期,并且有時(shí)鎖定了某些文件而不能使用。結(jié)果,眾所周知的事實(shí)是最終用戶以將某些進(jìn)程、文件夾和/或文件類型從實(shí)時(shí)反惡意軟件掃描中排除而告終。
所需要的是保護(hù)用戶以免于受到惡意軟件損害的另一種方式。這包括從安全觀點(diǎn)來看有意地不完全順應(yīng)的用戶,以及天真地點(diǎn)擊或以其他方式采取動(dòng)作來安裝受感染的可執(zhí)行文件而沒有意識(shí)到其動(dòng)作的后果的用戶。發(fā)明內(nèi)容
提供本發(fā)明內(nèi)容以便以簡(jiǎn)化形式介紹將在以下的詳細(xì)描述中進(jìn)一步描述的一些代表性概念。本發(fā)明內(nèi)容不旨在標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在以限制所要求保護(hù)的主題的范圍的任何方式來使用。
簡(jiǎn)言之,此處所描述主題的各方面針對(duì)于一種技術(shù),通過該技術(shù)來計(jì)算表示惡意軟件在計(jì)算設(shè)備上被激活的風(fēng)險(xiǎn)/可能性的分?jǐn)?shù)(例如,概率值)?;谠摲?jǐn)?shù),可以采取保護(hù)動(dòng)作以減輕否則如果惡意軟件被激活可能造成的損壞。例如,用戶可被分類至對(duì)應(yīng)于該分?jǐn)?shù)的風(fēng)險(xiǎn)類別,高風(fēng)險(xiǎn)用戶受到更多的保護(hù),例如,通過使可激活惡意軟件的程序(例如,瀏覽器)作為虛擬化程序來運(yùn)行,或者作為虛擬化操作系統(tǒng)來運(yùn)行操作系統(tǒng)。其他時(shí)候,為減輕損壞所采取的動(dòng)作可以是在沙箱中運(yùn)行進(jìn)程。保護(hù)級(jí)別是動(dòng)態(tài)可變的,諸如基于當(dāng)前威脅狀況和/或用戶正試圖所做的事情。
在一個(gè)方面,至少部分基于過往用戶行為數(shù)據(jù)、機(jī)器狀態(tài)數(shù)據(jù)和/或遭遇惡意軟CN 102542198 A件的可能性來計(jì)算分?jǐn)?shù)。例如,惡意軟件相關(guān)的輸入可以基于與用戶相關(guān)聯(lián)的文件類型數(shù)據(jù)(例如,因特網(wǎng)高速緩存中的文件)、與用戶相關(guān)聯(lián)的URL數(shù)據(jù)(例如,諸如具有差聲譽(yù)的訪問的站點(diǎn))、先前對(duì)用戶檢測(cè)的惡意軟件和/或與用戶相關(guān)聯(lián)的行為數(shù)據(jù)(例如,點(diǎn)擊電子郵件鏈接和運(yùn)行因特網(wǎng)程序)。惡意軟件相關(guān)的輸入可以基于機(jī)器狀態(tài),諸如機(jī)器更新數(shù)據(jù)、補(bǔ)丁數(shù)據(jù)、機(jī)器上的用戶特權(quán)數(shù)據(jù)(例如,是否管理員)和/或反惡意軟件掃描數(shù)據(jù) (例如,上次是何時(shí)掃描的、有多徹底等)。惡意軟件相關(guān)的輸入還可以指示遭遇惡意軟件的可能性,諸如基于從行業(yè)源收集的數(shù)據(jù)、更新數(shù)據(jù)、由用戶提交的診斷數(shù)據(jù)和/或由用戶提交的惡意軟件數(shù)據(jù)。
在一個(gè)方面,保護(hù)級(jí)別是基于當(dāng)前威脅狀況動(dòng)態(tài)可變的??梢栽谑芄芾淼沫h(huán)境內(nèi)在網(wǎng)絡(luò)層減輕風(fēng)險(xiǎn),諸如通過增加目的主機(jī)上的保護(hù)、增加審核,和/或?qū)τ脩艉?或機(jī)器減少網(wǎng)絡(luò)訪問。
結(jié)合附圖閱讀以下詳細(xì)描述,本發(fā)明的其他優(yōu)點(diǎn)會(huì)變得顯而易見。
作為示例而非限制,在附圖中示出了本發(fā)明,附圖中相同的附圖標(biāo)記指示相同或相似的元素,附圖中
圖1是表示基于各種輸入數(shù)據(jù)對(duì)用戶進(jìn)行分類并基于分類為用戶確定和應(yīng)用保護(hù)級(jí)別的組件的框圖/數(shù)據(jù)流圖。
圖2是表示提供關(guān)于用戶/機(jī)器遭遇惡意軟件的概率的信息的從各種源收集的數(shù)據(jù)的圖。
圖3是表示提供關(guān)于機(jī)器受惡意軟件影響的概率的信息的機(jī)器狀態(tài)數(shù)據(jù)的圖。
圖4是表示提供關(guān)于用戶激活惡意軟件的概率的信息的用戶行為和其他用戶相關(guān)數(shù)據(jù)的圖。
圖5是表示其中可實(shí)現(xiàn)在本文中所述的各實(shí)施例的示例性、非限制性聯(lián)網(wǎng)環(huán)境的框圖。
圖6是表示其中可實(shí)現(xiàn)在本文中所述的各實(shí)施例的一個(gè)或多個(gè)方面的示例性、非限制性計(jì)算系統(tǒng)或操作環(huán)境的框圖。
具體實(shí)施方式
本文所描述技術(shù)的各方面一般針對(duì)基于用戶簡(jiǎn)檔和/或歷史行為提供對(duì)于惡意軟件的變化的保護(hù)級(jí)別。如將理解的,這樣的變化的保護(hù)級(jí)別允許基于用戶傾向?qū)τ卺槍?duì)惡意軟件進(jìn)行保護(hù)的反惡意軟件產(chǎn)品進(jìn)行動(dòng)態(tài)強(qiáng)度調(diào)整,其改進(jìn)了針對(duì)威脅的整體保護(hù), 即使從安全觀點(diǎn)來看并非完全順應(yīng)。
還如將理解的,本文所描述的技術(shù)基于各種數(shù)據(jù)剖析用戶習(xí)慣和機(jī)器漏洞,該數(shù)據(jù)可包括遙測(cè)、商業(yè)智能、從系統(tǒng)反常收集的數(shù)據(jù)以及從人工導(dǎo)致的異常收集的數(shù)據(jù)。然后可基于數(shù)學(xué)模型和模式根據(jù)簡(jiǎn)檔對(duì)每一用戶分類,可以從其計(jì)算出(在運(yùn)行時(shí))漏洞分?jǐn)?shù)和保護(hù)機(jī)制。還描述了對(duì)反惡意軟件掃描器所使用的試探性簽名規(guī)定閾值級(jí)別的能力,以及基于用戶分類和/或機(jī)器分類在網(wǎng)絡(luò)層減輕威脅的能力。
應(yīng)當(dāng)理解,此處的任何示例都是非限制性的。對(duì)于一個(gè),描述了各種概率模型作為示例,然而可以另選地開發(fā)和使用其他這樣的模型。如此,本發(fā)明不限于此處所描述的任何特定實(shí)施例、方面、概念、結(jié)構(gòu)、功能或示例。相反,此處所描述的實(shí)施例、方面、概念、結(jié)構(gòu)、 功能或示例中的任一個(gè)都是非限制性的,并且本發(fā)明一般能夠以在針對(duì)惡意軟件的保護(hù)方面提供好處和優(yōu)點(diǎn)的各種方式來使用。
圖1示出了預(yù)測(cè)減輕惡意軟件威脅系統(tǒng)的示例組件,其可以運(yùn)行在用戶的計(jì)算機(jī)上、云服務(wù)器中、分布式計(jì)算環(huán)境中等,或其某種組合中。一般而言,在剖析和分類引擎104 處接收惡意軟件相關(guān)的輸入數(shù)據(jù)102,剖析和分類引擎104基于該數(shù)據(jù)102為用戶計(jì)算類并且還提供屬性106,如下所述。各種類型的數(shù)據(jù)對(duì)于輸入都是可行的,包括關(guān)于當(dāng)前正導(dǎo)致問題的是什么惡意軟件的數(shù)據(jù)、關(guān)于用戶的機(jī)器的狀態(tài)的數(shù)據(jù)以及關(guān)于用戶的數(shù)據(jù)。以下參考附圖2-4描述了輸入數(shù)據(jù)的更具體的示例,并且一般而言這些數(shù)據(jù)提供可用于確定用戶遭遇惡意軟件的概率(圖2、、用戶的機(jī)器被惡意軟件影響的概率(圖幻以及用戶激活惡意軟件的概率(圖4)的信息。
在一個(gè)實(shí)現(xiàn)中,基于數(shù)據(jù)102,分類引擎104計(jì)算風(fēng)險(xiǎn)級(jí)別或預(yù)測(cè)分?jǐn)?shù),其指示了用戶的計(jì)算機(jī)相對(duì)于其他計(jì)算機(jī)/用戶有多容易受惡意軟件感染。如可容易理解的,在計(jì)算中可以使用遙測(cè)、商業(yè)智能和計(jì)算隨機(jī)事件概率的數(shù)學(xué)模型。
分類可以定期更新,諸如每當(dāng)用戶執(zhí)行會(huì)改變用戶分?jǐn)?shù)的某個(gè)動(dòng)作時(shí)。此外,即使分?jǐn)?shù)沒改變,類屬性以及由此關(guān)于該分類的保護(hù)動(dòng)作也可以改變。例如,如果一特別糟糕的病毒正在擴(kuò)散,通常使用戶成為低風(fēng)險(xiǎn)用戶的分?jǐn)?shù)可以將用戶映射至不同的類別,由此可以采取不同的減輕動(dòng)作(描述如下)直至威脅降低。注意,本文所描述的任何這樣的信息和/或組件更新都可推送和/或拉出自諸如云服務(wù)的網(wǎng)絡(luò)連接,使得最新的保護(hù)是可用的; 諸如引擎104和108的任何組件都可類似地本地或遠(yuǎn)程駐留,或者部分本地和遠(yuǎn)程駐留。
基于此分?jǐn)?shù)和其他可用信息,決策引擎108操作以保護(hù)用戶的計(jì)算機(jī)。更具體地, 在一個(gè)實(shí)現(xiàn)中,決策引擎108利用風(fēng)險(xiǎn)、類和屬性信息并基于用戶想要執(zhí)行的動(dòng)作決定適當(dāng)?shù)姆绞絹頂U(kuò)展用戶的保護(hù)。這可以通過定義為行= j^P的條件概率來確定,其中事件X的概率隨已知事件Y而改變。
圖2示出了用于計(jì)算用戶經(jīng)由網(wǎng)站、電子郵件或嵌入在文件中而遭遇惡意軟件的概率Pe的模型中的信息的示例流。Pe的值是從所收集的各種源的數(shù)據(jù)確定的,并可以提供信息/統(tǒng)計(jì)數(shù)據(jù),諸如已知的活動(dòng)惡意軟件網(wǎng)站數(shù)量、電子郵件病毒和欺詐,以及易受到嵌入的惡意內(nèi)容攻擊的文件和文件格式。這樣的數(shù)據(jù)的示例源221-2 包括行業(yè)惡意軟件數(shù)據(jù)、Windows 更新數(shù)據(jù)、許多用戶的診斷(例如,Dr. Watson)數(shù)據(jù)、用戶提交的反病毒數(shù)據(jù)和SpyNet數(shù)據(jù);框2 表示可被使用的這樣的信息的其他源。注意,各種組織都可以收集這樣的數(shù)據(jù),他們可以共享該數(shù)據(jù)。
使用該信息,包括相關(guān)聯(lián)的威脅增長(zhǎng)率,系統(tǒng)可計(jì)算指示可能暴露于威脅(一般威脅或特定威脅)的分?jǐn)?shù)。在一個(gè)實(shí)現(xiàn)中,計(jì)算機(jī)制228(諸如基于已知數(shù)據(jù)訓(xùn)練以確定每一源的相對(duì)權(quán)重)可以將分?jǐn)?shù)輸出為惡意軟件遭遇概率Pe值230。例如,可以以正在進(jìn)行的方式收集進(jìn)一步的訓(xùn)練數(shù)據(jù)并定期用于重新調(diào)整權(quán)重。
圖3提供了用于確定用戶的機(jī)器漏洞的示例數(shù)據(jù)流。該模型考慮了屬性和關(guān)于用戶機(jī)器的使其更容易或更不容易受惡意利用或感染影響的其他狀態(tài)數(shù)據(jù)。機(jī)器評(píng)估機(jī)制330讀取各種機(jī)器相關(guān)的狀態(tài)數(shù)據(jù)以獲得信息,諸如最近Windows更新(在Windows 機(jī)器上)331、機(jī)器的補(bǔ)丁級(jí)別332、用戶是否是管理員333(其可以是表示指示用戶可對(duì)機(jī)器進(jìn)行多少傷害的特權(quán)級(jí)別的值)以及關(guān)于最近所執(zhí)行的惡意軟件掃描的數(shù)據(jù)333。該數(shù)據(jù)的新鮮度也可以是一種因素???35表示可以使用的其他內(nèi)部機(jī)器源,例如,執(zhí)行系統(tǒng)還原的最后時(shí)間、機(jī)器是共享的還是個(gè)人機(jī)器等。除了該數(shù)據(jù),還可以使用其他外部和/或內(nèi)部信息336,諸如關(guān)于與其他類似機(jī)器相比用戶的特定機(jī)器的配置(其可以從諸如Dr. Watson之類的數(shù)據(jù)庫中的遙測(cè)數(shù)據(jù)獲得)。
計(jì)算機(jī)制338(例如,基于已知數(shù)據(jù)訓(xùn)練以確定每一源331-336的相對(duì)權(quán)重)計(jì)算關(guān)于機(jī)器漏洞的分?jǐn)?shù)。在一個(gè)實(shí)現(xiàn)中,分?jǐn)?shù)包括指示用戶的機(jī)器被認(rèn)為有多容易受攻擊的機(jī)器漏洞概率Pv值340。注意從此過程,除了漏洞分?jǐn)?shù),還可以獲得關(guān)于機(jī)器的某些屬性, 其可由如上所述的決策引擎108(圖1)轉(zhuǎn)發(fā)和使用。
圖4中例示出了促進(jìn)整個(gè)預(yù)測(cè)惡意軟件保護(hù)模型的另一輸入集合,即針對(duì)用戶行為建模的輸入。提供對(duì)用戶的計(jì)算/行為模式的洞察的源的示例包括所執(zhí)行文件的類型 (例如,維護(hù)在因特網(wǎng)高速緩存中)441、所訪問網(wǎng)站的類型(例如,所維護(hù)的URL的聲譽(yù)/類別)442、諸如電子郵件交互(例如,是否點(diǎn)擊消息正文中的鏈接、是否運(yùn)行下載的可執(zhí)行文件)之類的用戶典型動(dòng)作等。該數(shù)據(jù)的新鮮度也可以是一種因素???44和445表示了其他內(nèi)部和外部的信息源。示例包括用戶先前是如何被分類的,以使用戶不會(huì)從先前是高風(fēng)險(xiǎn)用戶突然變?yōu)榈惋L(fēng)險(xiǎn)用戶(例如,由于用戶做了像清空因特網(wǎng)高速緩存和歷史的某些事情)等。其他示例可包括在過去先前為該用戶補(bǔ)救(清除、移除、隔離)過什么惡意軟件、 該用戶與有惡意軟件問題的其他用戶相比如何等。
該用戶漏洞模型(例如,對(duì)應(yīng)于經(jīng)訓(xùn)練的計(jì)算機(jī)制448)提供反映用戶有多大可能將激活惡意軟件的分?jǐn)?shù)。在一個(gè)實(shí)現(xiàn)中,該分?jǐn)?shù)包括概率值Pa (框450)。
轉(zhuǎn)向圖1,這些計(jì)算的數(shù)據(jù)點(diǎn)230、340和450(以及可能的其他數(shù)據(jù)點(diǎn))關(guān)于用戶使他或她的機(jī)器受惡意軟件感染的可能性,提供用于整體風(fēng)險(xiǎn)計(jì)算的基礎(chǔ),例如,R = Ρν*Ρε*Ρα*…Pn。注意,這些值可以諸如由機(jī)器學(xué)習(xí)來單獨(dú)加權(quán),從而每一因素不需要向風(fēng)險(xiǎn)計(jì)算給出相等的權(quán)重。
應(yīng)該注意,圖1至圖4僅描述了風(fēng)險(xiǎn)確定的一個(gè)示例,其將可用數(shù)據(jù)分成惡意軟件相關(guān)數(shù)據(jù)、機(jī)器相關(guān)數(shù)據(jù)和用戶相關(guān)數(shù)據(jù)以用于計(jì)算相應(yīng)概率。具有其他數(shù)據(jù)劃分或完全不劃分也是可行的,例如,全部可用數(shù)據(jù)可作為特征數(shù)據(jù)輸入至經(jīng)訓(xùn)練的模型,諸如具有學(xué)習(xí)的特征權(quán)重,其提供單個(gè)模型(而非將由多個(gè)模型計(jì)算的概率組合)。
不管如何計(jì)算和/或分類,計(jì)算機(jī)系統(tǒng)可以以各種方式使用風(fēng)險(xiǎn)確定。例如,決策引擎108可以檢查用戶希望采取的動(dòng)作,并應(yīng)用對(duì)應(yīng)于計(jì)算的風(fēng)險(xiǎn)的保護(hù)量;對(duì)于高風(fēng)險(xiǎn)用戶,更加注意以防該用戶對(duì)計(jì)算機(jī)造成損害和/或以防機(jī)密信息受損。用于基于決策引擎108的輸出減輕潛在威脅的一些實(shí)時(shí)策略的示例包括防止損害的已知方式,諸如將程序作為虛擬化程序運(yùn)行(框110)、運(yùn)行如果被損害則可回復(fù)的虛擬化操作系統(tǒng)(框111)、在沙箱中運(yùn)行進(jìn)程(框11 或其他受限制的方式等。另一減輕類型可以是改變程序的(例如,瀏覽器的)安全設(shè)置。取決于分類,一些用戶可受到關(guān)于待決動(dòng)作的警告,而其他用戶被阻止采取該動(dòng)作,例如,沒有覆蓋(override)能力。風(fēng)險(xiǎn)級(jí)別可與試探性簽名的閾值級(jí)別比較,從而在許多實(shí)例中可避免在機(jī)器上掃描每個(gè)傳入和傳出文件的負(fù)擔(dān)。此外,可基于計(jì)算的結(jié)果調(diào)整反病毒/反惡意軟件掃描引擎中的定義規(guī)則中的閾值,例如對(duì)于較高風(fēng)險(xiǎn)用戶可以增大試探性閾值,和/或可使用更多規(guī)則來改變閾值從而在非安全環(huán)境中更多文件被認(rèn)為是可疑的并被更徹底地掃描。
作為示例,考慮有時(shí)偶然導(dǎo)航至可能是惡意的隨機(jī)URL的第一用戶先前點(diǎn)擊了隨機(jī)彈出框,已感染了惡意軟件,并使用沒有最新安全補(bǔ)丁的機(jī)器。剖析和分類引擎104將該用戶評(píng)為“高風(fēng)險(xiǎn)”并使用該評(píng)級(jí)來決定如何提供適當(dāng)?shù)谋Wo(hù)以避免進(jìn)一步的麻煩?;诟唢L(fēng)險(xiǎn)確定,當(dāng)瀏覽Web時(shí),決策引擎虛擬化web瀏覽器程序(例如,操作系統(tǒng)組件),由此瀏覽器助手對(duì)象或某個(gè)其他利用被包含至程序的虛擬化實(shí)例。任何下載的軟件都增加可疑級(jí)別以使它們更可能被標(biāo)記為惡意的,需要掃描和/或被發(fā)送至web服務(wù)以供進(jìn)一步檢查。
考慮有經(jīng)驗(yàn)的第二計(jì)算機(jī)用戶,該用戶通常使用最新的安全補(bǔ)丁和簽名來使她的機(jī)器保持更新??纱_定該用戶低于高風(fēng)險(xiǎn),盡管不一定是低風(fēng)險(xiǎn),諸如由于有時(shí)從不可信站點(diǎn)下載電影或音頻。從這樣的站點(diǎn)下載的電影可在已被沙箱的媒體播放器實(shí)例中啟動(dòng),以防止任何潛在的惡意內(nèi)容引起問題。
考慮有經(jīng)驗(yàn)的(第三)計(jì)算機(jī)用戶,該用戶的個(gè)人計(jì)算機(jī)是完全更新的并以這樣的方式被保護(hù)剖析和分類引擎104提供允許自由瀏覽、下載和執(zhí)行文件的“低風(fēng)險(xiǎn)”評(píng)級(jí)。 如果該用戶從已遭黑客攻擊的朋友處接收電子郵件,例如,該電子郵件具有附件,該附件是包含新的JPG利用變型的JPG文件,從而該文件可被下載而沒有檢測(cè)簽名。然而,盡管這將感染該機(jī)器,但遙測(cè)被發(fā)送至數(shù)據(jù)倉庫使得相同反惡意軟件的軟件的其他用戶可以被保護(hù),直至產(chǎn)生完全分析和簽名。
作為第四示例,考慮在其受IT管理的臺(tái)式機(jī)上從供應(yīng)商接收電子郵件的用戶。該用戶被評(píng)為“低風(fēng)險(xiǎn)”,因?yàn)槌ぷ魍馑皇褂盟挠?jì)算機(jī)做任何事情,而且該計(jì)算機(jī)是受管的臺(tái)式機(jī)。如果他從他認(rèn)為可信但實(shí)際上其電子郵件已被欺詐的發(fā)送者接收包含病毒的文檔,則存在潛在問題,因?yàn)樗脑u(píng)級(jí)允許該文檔被打開。然而,因?yàn)樵撐募碜云墼p電子郵件地址,可疑級(jí)別被提升,由此該文檔被掃描,并且通過其簽名識(shí)別出病毒。不僅該威脅被檢測(cè)到,而且從此事件學(xué)習(xí)的數(shù)據(jù)可用于下次在更高層捕捉該威脅。
本文所描述的打分方法也可以用于在受管環(huán)境內(nèi)在網(wǎng)絡(luò)層減輕風(fēng)險(xiǎn),其中網(wǎng)絡(luò)管理系統(tǒng)可跨企業(yè)系統(tǒng)監(jiān)視用戶和/或機(jī)器的活動(dòng)。如果機(jī)器試圖感染其他機(jī)器、試圖攻擊企業(yè)網(wǎng)絡(luò)和/或展示某些不規(guī)則行為,則可懷疑該機(jī)器為受損害的。,如果用戶試圖發(fā)送感染的電子郵件、試圖訪問受限資源或試圖向網(wǎng)絡(luò)外發(fā)送敏感數(shù)據(jù),則可懷疑該用戶是受損害的。在這樣的情形下,將有更高的概率發(fā)現(xiàn)導(dǎo)致更高風(fēng)險(xiǎn)分?jǐn)?shù)的惡意軟件。結(jié)果,網(wǎng)絡(luò)管理系統(tǒng)可使用該輸入來進(jìn)一步減輕威脅,例如,通過增加目的主機(jī)上的保護(hù)、增加審核,或?qū)τ脩艉?或機(jī)器減少網(wǎng)絡(luò)訪問。
利用本文描述的技術(shù)的反惡意軟件產(chǎn)品由此為用戶添加了深度防御策略,并減少了惡意軟件的擴(kuò)散。這可以幫助減少創(chuàng)作惡意軟件的嘗試,由于經(jīng)由遙測(cè)反饋,對(duì)惡意軟件的標(biāo)識(shí)和減輕可快速實(shí)現(xiàn),使其較不成功。
如可看到的,提供了使用各種信息來提供能夠通過采用各種機(jī)制動(dòng)態(tài)和預(yù)測(cè)性地減輕風(fēng)險(xiǎn)來保護(hù)用戶的軟件的技術(shù)。該技術(shù)使用關(guān)于已知威脅的行業(yè)數(shù)據(jù)以及關(guān)于用戶機(jī)器的數(shù)據(jù)、類似機(jī)器的知識(shí)和關(guān)于用戶的信息來理解存在于因特網(wǎng)上的風(fēng)險(xiǎn)。該模型基于此信息對(duì)用戶進(jìn)行分類并為用戶分配屬性,這進(jìn)而允許作出保護(hù)用戶的預(yù)測(cè)動(dòng)作的決定。這可以針對(duì)沒有傳統(tǒng)惡意軟件保護(hù)或者以某種方式受限的用戶,以及針對(duì)具有完全的傳統(tǒng)惡意軟件保護(hù)的用戶,使用附加的安全層次由此改進(jìn)整體的用戶保護(hù)。
示例性聯(lián)網(wǎng)和分布式環(huán)境
本領(lǐng)域普通技術(shù)人員可以理解,此處所描述的各實(shí)施例和方法可以結(jié)合任何計(jì)算機(jī)或其它客戶機(jī)或服務(wù)器設(shè)備來實(shí)現(xiàn),該任何計(jì)算機(jī)或其它客戶機(jī)或服務(wù)器設(shè)備可作為計(jì)算機(jī)網(wǎng)絡(luò)的一部分或者是在分布式計(jì)算環(huán)境中,并且可以連接到任何種類的數(shù)據(jù)存儲(chǔ)。在這點(diǎn)上,此處所述的各實(shí)施例可在具有任意數(shù)量的存儲(chǔ)器或存儲(chǔ)單元以及出現(xiàn)在任意數(shù)量的存儲(chǔ)單元上的任意數(shù)量的應(yīng)用程序和進(jìn)程的任何計(jì)算機(jī)系統(tǒng)和環(huán)境中實(shí)現(xiàn)。這包括但不限于具有部署在具有遠(yuǎn)程或本地存儲(chǔ)的網(wǎng)絡(luò)環(huán)境或分布式計(jì)算環(huán)境中的服務(wù)器計(jì)算機(jī)和客戶計(jì)算機(jī)的環(huán)境。
分布式計(jì)算通過計(jì)算設(shè)備和系統(tǒng)之間的通信交換來提供計(jì)算機(jī)資源和服務(wù)的共享。這些資源和服務(wù)包括信息的交換、對(duì)于諸如文件之類的對(duì)象的高速緩存存儲(chǔ)和盤存儲(chǔ)。 這些資源和服務(wù)還包括多個(gè)處理單元之間的處理能力共享以便進(jìn)行負(fù)載平衡、資源擴(kuò)展、 處理專門化等等。分布式計(jì)算利用網(wǎng)絡(luò)連接,從而允許客戶機(jī)利用其集體力量來使整個(gè)企業(yè)受益。就此,各種設(shè)備可具有可如參考本發(fā)明的各實(shí)施例描述地參與資源管理機(jī)制的應(yīng)用程序、對(duì)象或資源。
圖5提供了示例性的聯(lián)網(wǎng)或分布式計(jì)算環(huán)境的示意圖。該分布式計(jì)算環(huán)境包括計(jì)算對(duì)象510、512等以及計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等,這些計(jì)算對(duì)象或設(shè)備可包括如由示例應(yīng)用程序530、532、534、536、538表示的程序、方法、數(shù)據(jù)存儲(chǔ)、可編程邏輯等??梢岳斫猓?jì)算對(duì)象510、512等以及計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等可包括不同的設(shè)備,諸如個(gè)人數(shù)字助理(PDA)、音頻/視頻設(shè)備、移動(dòng)電話、MP3播放器、個(gè)人計(jì)算機(jī)、 膝上型計(jì)算機(jī)等。
每個(gè)計(jì)算對(duì)象510、512等以及計(jì)算對(duì)象或設(shè)備520、522、524、526、5沘等可經(jīng)由通信網(wǎng)絡(luò)540直接或間接地與一個(gè)或多個(gè)其他計(jì)算對(duì)象510、512等以及計(jì)算對(duì)象或設(shè)備520、 522、524、526、5 等通信。盡管在圖5中被示為單個(gè)元件,但通信網(wǎng)絡(luò)540可包括向圖5的系統(tǒng)提供服務(wù)的其他計(jì)算對(duì)象或計(jì)算設(shè)備和/或可表示未示出的多個(gè)互連網(wǎng)絡(luò)。每個(gè)計(jì)算對(duì)象510、512等或計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等還可以包含應(yīng)用程序,諸如可以利用API或其他對(duì)象、軟件、固件和/或硬件的、適于根據(jù)本發(fā)明的各實(shí)施例所提供的應(yīng)用程序?qū)崿F(xiàn)與其進(jìn)行通信的應(yīng)用程序530、532、534、536、538。
存在支持分布式計(jì)算環(huán)境的各種系統(tǒng)、組件和網(wǎng)絡(luò)配置。例如,計(jì)算系統(tǒng)可由有線或無線系統(tǒng)、本地網(wǎng)絡(luò)或廣泛分布的網(wǎng)絡(luò)連接在一起。當(dāng)前,許多網(wǎng)絡(luò)被耦合至因特網(wǎng),后者為廣泛分布的計(jì)算提供了基礎(chǔ)結(jié)構(gòu)并包含許多不同的網(wǎng)絡(luò),但任何網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)都可用于便于與如各實(shí)施例中所描述的系統(tǒng)的示例性通信。
由此,可使用諸如客戶機(jī)/服務(wù)器、對(duì)等、或混合體系結(jié)構(gòu)之類的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主機(jī)?!翱蛻魴C(jī)”是使用與其無關(guān)的另一類或組的服務(wù)的一類或組中的成員??蛻魴C(jī)可以是進(jìn)程,例如,大致上是請(qǐng)求另一程序或進(jìn)程所提供的服務(wù)的一組指令或任務(wù)??蛻魴C(jī)進(jìn)程使用所請(qǐng)求的服務(wù),而無需“知道”關(guān)于其他程序或服務(wù)本身的任何工作細(xì)節(jié)。
在客戶機(jī)/服務(wù)器體系結(jié)構(gòu)中,尤其在聯(lián)網(wǎng)系統(tǒng)中,客戶機(jī)通常是訪問另一計(jì)算機(jī)(例如,服務(wù)器)所提供的共享網(wǎng)絡(luò)資源的計(jì)算機(jī)。在圖5的圖示中,作為非限制性示例,計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等可被認(rèn)為是客戶機(jī)而計(jì)算對(duì)象510、512等可被認(rèn)為是服務(wù)器,其中計(jì)算對(duì)象510、512等作為提供數(shù)據(jù)服務(wù)的服務(wù)器,諸如從客戶機(jī)計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等接收數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)、處理數(shù)據(jù)、向客戶機(jī)計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等發(fā)送數(shù)據(jù),但任何計(jì)算機(jī)都可取決于環(huán)境而被認(rèn)為是客戶機(jī)、服務(wù)器、或兩者。
服務(wù)器通常是可通過諸如因特網(wǎng)或無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之類的遠(yuǎn)程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)訪問的遠(yuǎn)程計(jì)算機(jī)系統(tǒng)??蛻魴C(jī)進(jìn)程可在第一計(jì)算機(jī)系統(tǒng)中活動(dòng),而服務(wù)器進(jìn)程可在第二計(jì)算機(jī)系統(tǒng)中活動(dòng),它們通過通信介質(zhì)相互通信,由此提供分布式功能并允許多個(gè)客戶機(jī)利用服務(wù)器的信息收集能力。
在通信網(wǎng)絡(luò)540或總線是因特網(wǎng)的網(wǎng)絡(luò)環(huán)境中,例如,計(jì)算對(duì)象510、512等可以是其他計(jì)算對(duì)象或設(shè)備520、522、524、526、5觀等經(jīng)由諸如超文本傳輸協(xié)議(HTTP)之類的多種已知協(xié)議中的任一種與其通信的Web服務(wù)器。計(jì)算對(duì)象510、512等作為服務(wù)器還可用作例如計(jì)算對(duì)象或設(shè)備520、522、524、526、528的客戶機(jī),這可以是如分布式計(jì)算環(huán)境的特性。
示例性計(jì)算設(shè)備
如上所述,有利地,本文所描述的技術(shù)可應(yīng)用于任何設(shè)備。因此,應(yīng)當(dāng)理解,構(gòu)想了結(jié)合各實(shí)施例使用的所有種類的手持式、便攜式和其它計(jì)算設(shè)備和計(jì)算對(duì)象。因此,以下在圖6中所述的通用遠(yuǎn)程計(jì)算機(jī)只是計(jì)算設(shè)備的一個(gè)示例。
盡管并非所需,但各實(shí)施例可部分地經(jīng)由操作系統(tǒng)來實(shí)現(xiàn),以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用和/或被包括在用于執(zhí)行此處所述的各實(shí)施例的一個(gè)或多個(gè)功能方面的應(yīng)用軟件內(nèi)。軟件可以在由諸如客戶機(jī)工作站、服務(wù)器或其它設(shè)備等一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行的諸如程序模塊等計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述。本領(lǐng)域的技術(shù)人員可以理解, 計(jì)算機(jī)系統(tǒng)具有可用于傳遞數(shù)據(jù)的各種配置和協(xié)議,并且由此沒有特定配置或協(xié)議應(yīng)當(dāng)被認(rèn)為是限制性的。
圖6由此示出了其中可實(shí)現(xiàn)本文所述的各實(shí)施例的一個(gè)或多個(gè)方面的合適的計(jì)算系統(tǒng)環(huán)境600的一個(gè)示例,盡管如上所述,計(jì)算系統(tǒng)環(huán)境600僅為合適的計(jì)算環(huán)境的一個(gè)示例,并非對(duì)使用范圍或功能提出任何限制。此外,也不應(yīng)當(dāng)將計(jì)算系統(tǒng)環(huán)境600解釋為對(duì)在示例性計(jì)算系統(tǒng)環(huán)境600中所示的組件中的任何一個(gè)或其組合有任何依賴。
參考圖6,用于實(shí)現(xiàn)一個(gè)或多個(gè)實(shí)施例的示例性遠(yuǎn)程設(shè)備包括計(jì)算機(jī)610形式的通用計(jì)算設(shè)備。計(jì)算機(jī)610的組件可以包括,但不僅限于,處理單元620、系統(tǒng)存儲(chǔ)器630, 以及將包括系統(tǒng)存儲(chǔ)器的各種系統(tǒng)組件耦合到處理單元620的系統(tǒng)總線622。
計(jì)算機(jī)610通常包括各種計(jì)算機(jī)可讀介質(zhì),并且可以是可由計(jì)算機(jī)610訪問的任何可用介質(zhì)。系統(tǒng)存儲(chǔ)器630可包括諸如只讀存儲(chǔ)器(ROM)和/或隨機(jī)存取存儲(chǔ)器(RAM) 之類的易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)。作為示例而非限制,系統(tǒng)存儲(chǔ)器630還可包括操作系統(tǒng)、應(yīng)用程序、其他程序模塊、以及程序數(shù)據(jù)。
用戶可通過輸入設(shè)備640向計(jì)算機(jī)610輸入命令和信息。監(jiān)視器或其他類型的顯示設(shè)備也經(jīng)由諸如輸出接口 650之類的接口連接到系統(tǒng)總線622。除監(jiān)視器以外,計(jì)算機(jī)還可包括諸如揚(yáng)聲器和打印機(jī)之類的其他外圍輸出設(shè)備,它們可通過輸出接口 650連接。
計(jì)算機(jī)610可使用到一個(gè)或多個(gè)其他遠(yuǎn)程計(jì)算機(jī)(諸如遠(yuǎn)程計(jì)算機(jī)670)的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作。遠(yuǎn)程計(jì)算機(jī)670可以是個(gè)人計(jì)算機(jī)、服務(wù)器、路由器、網(wǎng)絡(luò)PC、對(duì)等設(shè)備或其他常見網(wǎng)絡(luò)節(jié)點(diǎn)、或者任何其他遠(yuǎn)程媒體消費(fèi)或傳輸設(shè)備,并且可包括以上關(guān)于計(jì)算機(jī)610所述的任何或全部元件。圖6所示的邏輯連接包括諸如局域網(wǎng)(LAN) 或廣域網(wǎng)(WAN)之類的網(wǎng)絡(luò)672,但也可包括其他網(wǎng)絡(luò)/總線。這些聯(lián)網(wǎng)環(huán)境在家庭、辦公室、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。
如上所述,盡管結(jié)合各種計(jì)算設(shè)備和網(wǎng)絡(luò)體系結(jié)構(gòu)描述了各示例性實(shí)施例,但基本概念可被應(yīng)用于其中期望改進(jìn)資源使用的效率的任何網(wǎng)絡(luò)系統(tǒng)和任何計(jì)算設(shè)備或系統(tǒng)。
而且,存在實(shí)現(xiàn)相同或相似功能的多種方法,例如適當(dāng)?shù)腁PI、工具箱、驅(qū)動(dòng)程序代碼、操作系統(tǒng)、控件、獨(dú)立或可下載軟件對(duì)象等,它們使得應(yīng)用和服務(wù)能夠使用此處提供的技術(shù)。由此,此處的各實(shí)施例從API (或其他軟件對(duì)象)的觀點(diǎn)以及從實(shí)現(xiàn)如此處描述的一個(gè)或多個(gè)實(shí)施例的軟件或硬件對(duì)象構(gòu)想。由此,此處所述的各實(shí)施例可具有完全采用硬件、 部分采用硬件并且部分采用軟件、以及采用軟件的方面。
本文中所使用的詞語“示例性”意味著用作示例、實(shí)例、或說明。為避免疑惑,本文所公開的主題不限于這些示例。另外,本文中作為“示例性”所述的任何方面或設(shè)計(jì)不一定被解釋為比其他方面或設(shè)計(jì)更優(yōu)選或有利,它也不意味著排除本領(lǐng)域普通技術(shù)人員已知的等效示例性結(jié)構(gòu)和技術(shù)。此外,在使用術(shù)語“包括”、“具有”、“包含”和其他類似詞語的程度上,為避免疑惑,這些術(shù)語旨在以類似于術(shù)語“包括”作為開放的過渡詞的方式是包含性的而在用于權(quán)利要求時(shí)不排除任何附加或其他元素。
如所述的,此處所述的各種技術(shù)可結(jié)合硬件或軟件,或在適當(dāng)時(shí)以兩者的組合來實(shí)現(xiàn)。如此處所使用的,術(shù)語“組件”、“模塊”、“系統(tǒng)”等同樣旨在指計(jì)算機(jī)相關(guān)實(shí)體,或者是硬件、硬件和軟件的組合、軟件或者是執(zhí)行中的軟件。例如,組件可以是,但不限于,在處理器上運(yùn)行的進(jìn)程、處理器、對(duì)象、可執(zhí)行碼、執(zhí)行的線程、程序和/或計(jì)算機(jī)。作為說明,在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序和計(jì)算機(jī)都可以是組件。一個(gè)或多個(gè)組件可駐留在進(jìn)程和/或執(zhí)行的線程內(nèi),并且組件可位于一個(gè)計(jì)算機(jī)上和/或分布在兩個(gè)或更多的計(jì)算機(jī)之間。
如前所述的系統(tǒng)已經(jīng)參考若干組件之間的交互來描述??梢岳斫?,這些系統(tǒng)和組件可包括組件或指定的子組件、某些指定的組件或子組件和/或附加的組件,并且根據(jù)上述內(nèi)容的各種置換和組合。子組件還可作為通信地耦合到其他組件的組件來實(shí)現(xiàn),而不是被包括在父組件內(nèi)(層次性)。另外,應(yīng)注意到一個(gè)或多個(gè)組件可被組合成提供聚集功能的單個(gè)組件,或被分成若干單獨(dú)的子組件,且諸如管理層等任何一個(gè)或多個(gè)中間層可被設(shè)置成通信耦合到這樣的子組件以便提供集成功能。此處所述的任何組件也可與一個(gè)或多個(gè)此處未專門描述的但本領(lǐng)域技術(shù)人員一般已知的其他組件進(jìn)行交互。
鑒于本文所述的示例性系統(tǒng),可根據(jù)參考各附圖的流程圖還可理解根據(jù)所述的主題來實(shí)現(xiàn)方法。盡管為了說明簡(jiǎn)潔起見,作為一系列框示出和描述的方法,但是應(yīng)當(dāng)理解, 各實(shí)施例不僅僅限于框的次序,因?yàn)橐恍┛蚩梢耘c此處所描繪和描述的框不同的次序發(fā)生和/或與其他框并發(fā)地發(fā)生。盡管經(jīng)由流程圖示出了非順序或分支的流程,但可以理解,可實(shí)現(xiàn)達(dá)到相同或類似結(jié)果的各種其他分支、流程路徑和框的次序。此外,某些示出的框在實(shí)現(xiàn)下文所述的方法中是可選的。
結(jié)論
盡管本發(fā)明易于作出各種修改和替換構(gòu)造,但其某些說明性實(shí)施例在附圖中示出并在上面被詳細(xì)地描述。然而應(yīng)當(dāng)了解,這不旨在將本發(fā)明限于所公開的具體形式,而是相反地,旨在覆蓋落入本發(fā)明的精神和范圍之內(nèi)的所有修改、替換構(gòu)造和等效方案。
除此處所述的各實(shí)施例以外,應(yīng)當(dāng)理解,可使用其他類似實(shí)施例,或者可對(duì)所述實(shí)施例作出修改和添加以便執(zhí)行對(duì)應(yīng)實(shí)施例的相同或等效功能而不背離這些實(shí)施例。此外, 多個(gè)處理芯片或多個(gè)設(shè)備可共享此處所述的一個(gè)或多個(gè)功能的性能,并且類似地,存儲(chǔ)可跨多個(gè)設(shè)備實(shí)現(xiàn)。因此,本發(fā)明不應(yīng)限于任何單個(gè)實(shí)施例,而是應(yīng)當(dāng)根據(jù)所附權(quán)利要求書的廣度、精神和范圍來解釋。
權(quán)利要求
1.一種在計(jì)算環(huán)境中、至少部分地在至少一個(gè)處理器上執(zhí)行的方法,包括計(jì)算指示惡意軟件在計(jì)算設(shè)備上被激活的可能性的分?jǐn)?shù)O30);以及基于所述分?jǐn)?shù),采取保護(hù)動(dòng)作(110-112)以減輕否則如果所述惡意軟件被激活能夠造成的損害。
2.如權(quán)利要求1所述的方法,其特征在于,計(jì)算所述分?jǐn)?shù)包括至少部分基于過往用戶行為數(shù)據(jù)確定一概率值,至少部分基于機(jī)器狀態(tài)數(shù)據(jù)確定一概率值,或者至少部分基于遭遇惡意軟件的可能性確定一概率值,或者至少部分基于過往用戶行為數(shù)據(jù)確定一概率值、 至少部分基于機(jī)器狀態(tài)數(shù)據(jù)確定一概率值或至少部分基于遭遇惡意軟件的可能性確定一概率值的任何組合。
3.如權(quán)利要求1所述的方法,其特征在于,計(jì)算所述分?jǐn)?shù)包括確定分類并將所述分類映射至對(duì)應(yīng)于可能的保護(hù)動(dòng)作的保護(hù)級(jí)別,其中所述保護(hù)級(jí)別是基于當(dāng)前威脅狀況動(dòng)態(tài)可變的。
4.如權(quán)利要求1所述的方法,其特征在于,采取動(dòng)作以減輕損害包括調(diào)整一個(gè)或多個(gè)試探性閾值,調(diào)整對(duì)于所述一個(gè)或多個(gè)試探性閾值評(píng)估的風(fēng)險(xiǎn)級(jí)別,將程序作為虛擬化程序運(yùn)行,將操作系統(tǒng)作為虛擬化操作系統(tǒng)運(yùn)行或在沙箱中運(yùn)行進(jìn)程,或者調(diào)整對(duì)于所述一個(gè)或多個(gè)試探性閾值評(píng)估的風(fēng)險(xiǎn)級(jí)別、將程序作為虛擬化程序運(yùn)行、將操作系統(tǒng)作為虛擬化操作系統(tǒng)運(yùn)行或在沙箱中運(yùn)行進(jìn)程的任何組合。
5.如權(quán)利要求1所述的方法,其特征在于,采取動(dòng)作減輕損害包括在受管環(huán)境內(nèi)在網(wǎng)絡(luò)層減輕風(fēng)險(xiǎn),包括增加目的主機(jī)上的保護(hù),增加審核或減少所述用戶或機(jī)器或用戶和機(jī)器兩者對(duì)網(wǎng)絡(luò)訪問,或者增加目的主機(jī)上的保護(hù)、增加審核或減少所述用戶或機(jī)器或用戶和機(jī)器兩者對(duì)網(wǎng)絡(luò)訪問的任何組合。
6.一種在計(jì)算環(huán)境中的系統(tǒng),包括分類引擎(104),被配置為接收對(duì)應(yīng)于多個(gè)數(shù)據(jù)源021-2 )的惡意軟件相關(guān)輸入 (102),并確定對(duì)應(yīng)于用戶在計(jì)算設(shè)備上激活惡意軟件的風(fēng)險(xiǎn)的分類(106);以及決策引擎(108),被配置為參考可用的保護(hù)動(dòng)作評(píng)估所述分類,確定所述用戶是否需要保護(hù)動(dòng)作,并且如果需要?jiǎng)t對(duì)于激活惡意軟件采取動(dòng)作保護(hù)所述用戶。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述惡意軟件相關(guān)的輸入基于與用戶相關(guān)聯(lián)的文件類型數(shù)據(jù);與用戶相關(guān)聯(lián)的URL數(shù)據(jù);先前為用戶檢測(cè)的惡意軟件;與用戶相關(guān)聯(lián)的行為數(shù)據(jù);與機(jī)器相關(guān)聯(lián)的更新數(shù)據(jù);與機(jī)器相關(guān)聯(lián)的補(bǔ)丁數(shù)據(jù);與機(jī)器相關(guān)聯(lián)的用戶特權(quán)數(shù)據(jù);與機(jī)器相關(guān)聯(lián)的反惡意軟件掃描數(shù)據(jù);基于從行業(yè)源、更新數(shù)據(jù)、診斷數(shù)據(jù)或用戶提交的惡意軟件數(shù)據(jù)收集的數(shù)據(jù)的遭遇惡意軟件的可能性;或者基于與用戶相關(guān)聯(lián)的文件類型數(shù)據(jù),與用戶相關(guān)聯(lián)的URL數(shù)據(jù),先前為用戶檢測(cè)的惡意軟件,與用戶相關(guān)聯(lián)的行為數(shù)據(jù),與機(jī)器相關(guān)聯(lián)的更新數(shù)據(jù),與機(jī)器相關(guān)聯(lián)的補(bǔ)丁數(shù)據(jù),與機(jī)器相關(guān)聯(lián)的用戶特權(quán)數(shù)據(jù),與機(jī)器相關(guān)聯(lián)的反惡意軟件掃描數(shù)據(jù),基于從行業(yè)源、更新數(shù)據(jù)、診斷數(shù)據(jù)或用戶提交的惡意軟件數(shù)據(jù)收集的數(shù)據(jù)的遭遇惡意軟件的可能性的任何組合。
8.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述決策引擎被配置為采取動(dòng)作以保護(hù)所述用戶,包括通過將程序作為虛擬化程序運(yùn)行,將操作系統(tǒng)作為虛擬化操作系統(tǒng)運(yùn)行,在沙箱中運(yùn)行進(jìn)程或基于所述分類確定是否對(duì)簽名掃描,或者將程序作為虛擬化程序運(yùn)行、將操作系統(tǒng)作為虛擬化操作系統(tǒng)運(yùn)行、在沙箱中運(yùn)行進(jìn)行或基于所述分類確定是否對(duì)簽名掃描的任何組合。
9.一個(gè)或多個(gè)具有計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì),所述計(jì)算機(jī)可執(zhí)行指令在被執(zhí)行時(shí)執(zhí)行以下步驟,包括提供對(duì)應(yīng)于遭遇惡意軟件的概率030)、用戶激活惡意軟件的概率050)以及如果惡意軟件被激活則機(jī)器被其感染的概率(340)的數(shù)據(jù);以及對(duì)于激活惡意軟件,使用所述數(shù)據(jù)為用戶或機(jī)器或用戶和機(jī)器兩者確定保護(hù)級(jí)別 (110-112)。
10.如權(quán)利要求9所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì),其特征在于,使用所述數(shù)據(jù)確定保護(hù)級(jí)別包括將所述用戶分類至一類中并基于所述類和當(dāng)前威脅數(shù)據(jù)將所述用戶映射至動(dòng)態(tài)保護(hù)級(jí)別。
全文摘要
本發(fā)明涉及預(yù)測(cè)減輕惡意軟件威脅。本發(fā)明涉及通過對(duì)于對(duì)應(yīng)于惡意軟件被激活的可能性的用戶風(fēng)險(xiǎn)級(jí)別分類,來針對(duì)惡意軟件進(jìn)行保護(hù)。為了進(jìn)行分類,收集表示遭遇惡意軟件的概率、用戶激活該惡意軟件的概率以及惡意軟件激活對(duì)機(jī)器的影響的數(shù)據(jù)。分類映射到保護(hù)級(jí)別,其可以是動(dòng)態(tài)可調(diào)整的,例如基于當(dāng)前風(fēng)險(xiǎn)狀況。保護(hù)級(jí)別確定了減輕可能的損害的方式,諸如通過將程序作為虛擬化程序運(yùn)行、運(yùn)行虛擬化操作系統(tǒng)或使進(jìn)程沙箱化。
文檔編號(hào)G06F21/00GK102542198SQ20111041649
公開日2012年7月4日 申請(qǐng)日期2011年12月5日 優(yōu)先權(quán)日2010年12月3日
發(fā)明者B·C·格里芬, C·J·郭, I·菲林, V·N·拉帕塔克 申請(qǐng)人:微軟公司