CN101243400B - 信息保护方法和系统 - Google Patents
信息保护方法和系统 Download PDFInfo
- Publication number
- CN101243400B CN101243400B CN200680029860.1A CN200680029860A CN101243400B CN 101243400 B CN101243400 B CN 101243400B CN 200680029860 A CN200680029860 A CN 200680029860A CN 101243400 B CN101243400 B CN 101243400B
- Authority
- CN
- China
- Prior art keywords
- backup copy
- backup
- infected
- copy
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
公开了一种用于保护计算机系统中的对象的方法。分析对象以判断其是否被恶意软件感染,如果判定被感染,在对象的备份中定位对象的备份拷贝。用备份拷贝替换被感染对象。
Description
对其他申请的交叉引用
本申请要求享有2005年8月16日提交的题为“METHOD ANDSYSTEM FOR PROVIDING INFORMATION SECURITY”的共同未决美国临时专利申请No.60/708969(代理文档No.EMC-05-285PRO)的优先权,在此将其并入本文以作参考。
技术领域
本发明总体上涉及抵抗病毒对信息进行保护,更具体而言涉及到检测攻击、保护信息并从攻击中恢复的系统和方法。
背景技术
本发明涉及抵抗计算机病毒(包括恶意软件)保护计算机文件和/或对象的系统和方法。在计算机和机器的语境中,病毒是一种通过将自身拷贝插入其他可执行代码或文档中而散播的自我复制/自我再现的自动程序。虽然可以将术语“病毒”定义为一种恶意软件(恶意的软件),但通常使用“病毒”来指任何种类的恶意软件,包括蠕虫、特洛伊木马、间谍软件、广告软件等。
计算机防病毒程序通用于从被感染的对象(诸如数据文件)检测、清除和删除计算机病毒。通常使用的一种检测形式是扫描驻留在宿主计算机系统的存储装置上的对象。扫描对象是为了找到嵌入的病毒是否存在,扫描可以是基于识别标志(signature-based)的或是启发式(heuristic)的(例如查找可疑行为)。不过,基于识别标志的病毒扫描依赖从事先已识别出的病毒获得的识别标志,不会检测尚未被识别和分析过的病毒(“日零”或“零日”攻击)。这些是没有已知方案和/或检测标志的攻击。现存的启发式方法不是绝对安全的,可能检测不到病毒攻击。于是,防病毒程序可能不知道对象已经被感染。
这些形式的攻击给系统运行和数据完整性带来了严重威胁。可以用IPS/IDS(入侵保护系统/入侵检测系统)通过检测异常行为并实施定义系统响应的策略来抵御零日攻击。响应可以包括向管理员通告问题、限制端口的使用、限制带宽以及最终将受影响计算机从网络隔离开。然后依靠管理员来解决问题。通常自己无法解决问题。相反,将问题转达给防病毒软件提供者或试图将系统恢复到攻击前某时间点。
在对象中检测到病毒之后,响应通常涉及到清除或修复被感染对象(含有病毒的对象)、删除被感染对象或隔离被感染对象以阻止对其进一步的访问。删除或隔离被感染对象的缺点在于使其无法再用了。因此,可以试图清除或修复对象。不过有时,如果不是不可能,也是难以利用现存方法修复对象,且所获得的对象可能受损,剩余的仅有选择就是删除或隔离。即使在成功清除对象病毒的情况下,处理也可能留下缺陷,导致对象与未感染对象不匹配。缺陷可能是无害的且对象是可用的,但在有些情况下,例如金融体系中可能会将其视为不能接受的。因为感染时间是未知的,清除病毒后的对象可能没有正确的日期和时间标记。
恢复到攻击前的时间点可能是成问题的,因为管理员不知道感染实际是何时发生的。管理员所知道的只是攻击何时暴发的。很多攻击会潜伏起来,有时会潜伏数月或数年,因此不容易了解感染是何时发生的。
因此,需要一种在计算机系统上抵御病毒保护信息的改进方法、制品和设备。
附图说明
结合附图,通过以下详细说明将容易理解本发明,在附图中类似的附图标记表示类似的结构元件,其中:
图1为根据本发明的系统实施例的示意图;
图2为示出了更换被感染对象的过程实施例的流程图;以及
图3为示出了分析模式以识别被感染对象的过程实施例的流程图。
具体实施方式
以下结合示出了本发明原理的附图给出本发明一个或更多实施例的详细说明。尽管是结合这种实施例描述本发明的,但应当理解本发明不限于任一实施例。相反,本发明的范围仅受权利要求的限制且本发明包含很多替代、变型和等价方式。为了举例的目的,在下述说明中给出了很多特定细节,以便提供对本发明的彻底了解。提供这些细节是为了举例,而可以根据权利要求、无需这些具体细节的一些或全部来实施本发明。为了清楚起见,未详细描述在本发明相关技术领域中公知的技术材料,以免不必要地使本发明难以理解。
应当认识到,可以用很多方式实施本发明,包括过程、设备、系统、装置、方法或计算机可读介质,例如计算机可读存储介质或计算机网络,其中通过光或电子通信链路发送程序指令。在该说明书中,可以将这些实施方式或本发明可以采用的任何其他形式称为手法。通常,可以在本发明的范围内改变所披露过程的步骤顺序。
将参考在其上执行信息保护程序的计算机系统描述本发明的实施例,不过应理解,本发明的原理不限于该特定配置。相反,可以将它们应用于无论是本地还是远程装置上其中存储了文件或对象的任何系统,且该装置可以包括一个或多个存储装置。虽然这里的信息方法是针对将它们用于抵御病毒攻击保护信息来描述的,本领域技术人员应认识到,它们同样适用于希望检测对对象的异常改变或允许用户将对象恢复到异常改变之前的点的其他情形。这里公开的是检测病毒攻击并将被感染对象恢复到感染前状态的方法和系统。为用户提供了检测和根除零日恶意软件的能力以及对策方案,该方案能够发现和定位受威胁的对象、恢复受损对象并对需要怀疑已被恶意软件感染的对象的企业进行清洗。可以将入侵保护系统/入侵检测系统(“IPS/IDS”)与这里所述的归档和威胁分析结合起来。
图1示出了一些可能的配置,其中可以用计算机系统10上执行的程序来抵抗病毒,保护它们在专用本地存储装置12、与另一计算机系统16共享的存储装置14或与另一计算机系统20相关的存储装置18上所含的信息。计算机系统10可以经由网络或其他通信装置与计算机系统20或任何其他装置通信。计算机系统10与因特网通信,可以被配置为从防病毒软件供应者22接收病毒定义/更新,不过应当理解可以通过诸如物理介质的其他装置接收病毒定义/更新。
可以使用基于网络的IPS/IDS 24,该IPS/IDS 24与计算机系统10上执行的程序通信以提供(例如)与可疑网络动作和发起该动作的主机身份相关的信息。在一个实施例中可以在连接到网络的另一计算机系统中提供IPS/IDS 24的功能,或者可以将代理置于任何或所有计算机系统上以监测活动。可以提供备份系统26用于备份来自计算机系统的数据。备份系统26可以包括硬盘驱动器、光盘驱动器、磁带库及其他存储装置(未示出),可以执行备份程序以备份来自计算机系统的数据,计算机系统可以具有与备份程序通信的备份客户端。其他配置是可能的,例如在另一计算机系统上执行备份程序,将数据备份到SAN或NAS装置(未示出)或连接到被备份计算机系统的存储装置上。在一些配置中,备份可以包括几种类型的存储器组,例如采用在线或近线存储器(例如硬盘驱动器)的备份池以及采用离线存储器(例如磁带)的档案存储器。这里公开的原理适用于任何配置的备份。计算机系统10可以包括与用户交互的显示器和输入装置,或者用户可以从远程位置与计算机系统10交互。
在实施例中,在对象中检测到病毒之后,响应可以包括清除或修复被感染对象、删除被感染对象、隔离被感染对象或用干净的对象更换被感染对象。这可以自动执行或根据来自用户的指令执行。在确定对象被感染之后,可以标识对象的备份拷贝用于更换被感染对象。在从用户确认或自动确认之后,可以用备份拷贝更换被感染对象。
在实施例中,可以有多个备份拷贝。应当理解,可以用“备份拷贝”表示完全备份拷贝以及周期性进行且能够与备份拷贝组合以容许恢复到时间点的更新。亦即,可以将备份做成俘获当前备份点和上次备份(其可以是全部备份或自上次备份的变化的另一备份)之间的变化。可以将“备份拷贝”视为对象的恢复点。于是可能对一个对象有多个恢复点可用。如果正在使用连续数据保护,该系统可以具有将对象恢复到任一时间点的能力。可以在知道攻击性病毒以及可能被感染之前做出对象的备份拷贝。具有多个备份拷贝增加了具有对象的干净拷贝的概率。
因为可以在知道攻击病毒之前,但在病毒攻击之后(即“零日”攻击)做出备份拷贝,因此它们可能被感染。在实施例中,可以将系统配置成搜索备份以找到对象的干净拷贝。一旦找到了干净拷贝,可以将其提交给防病毒引擎以确认其是干净的,然后用于取代被感染对象。不要求用户与备份交互或搜索备份,用户可以从选择菜单中简单地选择“取代”来恢复对象,而不是必须要手工搜索取代对象或从IT支持那里寻求帮助。这具有为用户简化恢复过程、减少恢复时间和降低恢复成本的优点。立即替换对象减少了恢复时间和成本,增大了应用软件和/或用户使用对象时的可得性。
图2宽泛的示出了一个实施例中流程。在步骤100中,判断对象是否被恶意软件感染。如本文所述,可以通过分析对象、系统行为和备份拷贝,或通过防病毒或恶意软件扫描做出该判断。如果对象被感染了,就在备份中定位对象的备份拷贝,步骤102。该备份拷贝可以是未被标志为已感染的最近的备份拷贝。在步骤104中,检查备份拷贝看是否有恶意软件,如果其没被感染,用备份拷贝替换被感染对象,步骤108。可选地,可以在步骤106中询问用户是否要用备份拷贝取代被感染对象,如果用户接受,则执行步骤108。如果发现备份拷贝被感染,则过程返回到步骤102并定位另一备份拷贝。在实施例中,可以检查备份拷贝看它是否是唯一的。如果它与已经定位并检查过的备份拷贝是一样的,就可以跳过这一步。在一个实施例中检查备份拷贝以寻找恶意软件可以包括将其提交到防病毒引擎。
在一个实施例中,系统10可以判定发生感染的时间点(“感染点”)、定位在感染点之前做成的备份拷贝以及用备份拷贝取代被感染对象。可以选择备份拷贝使之为感染点之前的最近备份拷贝。如本文所述,可以通过分析对象及其备份拷贝来判断对象是否被感染以及感染点。在做出这些判断时,可以选择感染点之前的备份拷贝并用于取代被感染对象。
防病毒程序和/或备份程序可以是计算机系统10上执行的程序、另一程序或在另一计算机系统上执行的程序的一部分。可以在系统10、系统20或另一计算机系统上提供用户界面,用于和程序交互。
为了找到对象的干净版本,判断何时发生攻击是有帮助的。在实施例中,可以用该系统来发现哪些计算机系统受到威胁,哪些文件受到影响,并提供建议或自动解决方案。该系统寻找由计算机系统执行的异常行为,例如由监测计算机系统执行的网络行为。例如,可以通过IPS/IDS,诸如检测异常网络行为的基于网络的IPS/IDS,或具有运行在每个受监测计算机上的代理的基于代理的IPS/IDS,来执行这一操作。当检测到计算机系统执行的异常行为时,可以用系统的日志来查明发起异常行为或以某种方式与异常行为相关的对象,例如被执行恶意软件而改变的对象。可以在本地系统日志文件、基于代理的文件(其可以是更加鲁棒的)或可以提供有助于查明与异常行为相关的对象的信息的其他数据源(诸如过程)。在查明相关对象之后,系统可以搜索对象的拷贝,以找到未被假定的恶意软件感染的对象版本。
对于零日攻击而言,没有可用于查明恶意软件的已知识别标志。在实施例中,系统可以监测对象和对象的备份拷贝,以发现异常改变。用于检测和分析对象的异常改变的方法可以从监测对象大小改变到在对象的二进制模式上执行模式识别。可以在已经访问对象之前或之后进行该操作。基于该评估,系统可以查明最可能代表感染点的时间点。一旦查明该点,就把在该点之前制成的备份拷贝视为可能是干净的,并用于替换被感染对象。可以在将它们用于替换之前通过防病毒引擎扫描备份拷贝。可以从制作备份拷贝时就向病毒定义添加了病毒识别标记,且那些备份拷贝可能具有那时还不知道其识别标记的病毒。在实施例中,备份拷贝可以具有针对每个拷贝计算的散列识别标记以及用于迅速识别唯一版本的散列。仅对唯一的版本进行分析查找恶意软件,或将其提交到防病毒引擎,以避免处理复本。在通过完整备份进行备份期间可能会出现对象的复本拷贝,在这种情况下,仅需要处理首先碰到的拷贝。在一个实施例中,在执行对象访问之前可以对其进行研究以找到异常改变,如果认为它们可能是恶意软件造成的,则阻塞该访问。
图3为示出了用于查明异常的在一个实施例中的过程的流程图。在步骤200中,如本文所述,分析对象的备份拷贝以判断使用、大小等模式(包括趋势)。步骤202涉及到监测来自模式的偏差,且可以将偏差标志为可能代表被恶意软件感染的异常,步骤204。可以确定发生感染的时间点,步骤206。在步骤208中,可以根据用于异常的策略拟定响应。例如,策略可以指定隔离疑似被感染对象,通知管理员,用整洁的备份拷贝更换被感染对象,拒绝访问企图等。
在实施例中,可以进行访问日志分析以搜索异常动作。可以将读写与时间标志以及任选地与诸如源ID、应用ID等的其他元数据在一起记录。可以用这种元数据来搜索异常行为。例如,如果未预料到的用户或应用访问对象,那么可以将其看作异常的。Microsoft Word文档通常不会被Microsoft Word之外的任何应用程序写入,因此可能会把另一种应用程序向Word文档写入看成是可疑的。其他情况可能涉及到由制作或修改对象的应用程序或用户之外的应用程序或用户对对象进行大量读取,让人怀疑恶意软件正试图通过网络窃取数据并传输到远程位置。可以将此与监测网络的异常行为以及观察计算机试图将大量数据传输到异常位置结合起来。
还可以将访问日志用于将写入返回到感染点之前的时间点。访问日志可以与备份池相关联。可以单独使用该方法或者与其他方法结合,以返回到感染点之前的正确拷贝或对象版本。在实施例中,如果可以判断出哪些写入是恶意软件活动造成的,就可以有选择地忽略那些写入,并可用其他有效写入将对象变为感染后最新版本。例如,用于恶意软件写入的过滤器可以基于特定的元数据,例如被确定已经被恶意软件感染的发起应用程序,并/或仅施加由有效应用程序发出的写入。最终将备份池移动到档案中,可以整合与此前活动的备份池相关的访问日志并将其加入到对象的主索引中。
在一个实施例中可以将大小的走向用作异常变化的指标。如果预计对象的大小在其整个寿命期间都保持静态,那么对象大小的变化将是发生某种异常的明显标志。在一示例中,怀疑一对象被感染了,其当前大小为256KB。在整个备份池中搜索发现对象的大小与备份池内保持的所有版本是一致的。不过,当把搜索延伸到档案中时,发现直到120天之前,所有的版本都是168KB,并且从对象被最初归档开始一直是168KB。这样可以得出结论,对象的168KB版本为未感染的版本。如果168KB版本出现在六个月之前,在此之前对象为80KB,这就暗示80KB对象为干净版本,而非168KB对象。在备份中保持越多的版本,找到干净版本的机会就越大(如果曾经有一个的话)。
动态变化的对象可能会在正常使用期间具有变化的大小。通过分析对象大小随时间的变化,可以确定大小变化的趋势。利用该信息并采用统计分析,可以识别出具有异常变化的对象,并可以确定感染点。更多的历史信息可以提高分析精度。此外,在预计会发生大小变化时却没有对象大小变化也可能是异常行为的标志。
在实施例中,可以将暂时的趋势用作异常活动的指标。可以预计对象在其寿命期间改变大小,或其数据可以发生变化。可以用变化频率、日期和时间来查明异常。例如,对象可能每天都正常地改变大小。分析备份表明,对象总是一天改变一次,但在18个月之前,对象一天改变两次。可以将此视为异常,并标记为感染点。也可以考虑其他类型的访问。
在范例中,从星期一到星期五,从早8点到晚6点,每天都可以打开、使用和改变对象。分析备份发现在正常预计窗口之外的日期和时间对象被改变过几次。可以通过返回到预期窗口之外最远(最早)改变查找来发现可能的感染点。
可以用模式化或特定方式改变对象。通过对历史数据进行统计分析,可以找到异常变化并帮助标识疑似感染时间点。在预计时间或间隔对象没有发生变化也可以是指标。
在一实施例中,该分析可以包括判断对象之内发生变化的位置(或变化数量)。例如,可以预计对象要发生变化,而对象之内的变化点(与开头的偏移)是恒定的。分析备份可以查明在不同于预期位置的偏移处发生改变的对象。可以基于对象中变化位置的单次改变或位置的几次改变将对象归入疑似一类。预计发生变化的对象可能会一直在对象的末尾追加改变的数据。在整个备份中搜索可以查明已经改变的对象,但不是如预计那样在对象的末尾。可以将这些对象视为疑似的。
改变可能发生在对象内的多个位置(偏移),即使改变的位置是稳定的,也可能不在每个位置处稳定地改变(即,有时某些位置可能改变,而某些可能不改变)。可以将该信息用作搜索标准,并可以将具有超出这些标准范围之外的变化的对象视为疑似的。可以确定改变的正常模式,并可以将异常模式标识为疑似的。
在实施例中,系统可以在每次使用对象时,或在特定时段中,在预计发生变化改变的对象之内的特定位置查找改变的缺失。可以用预计的变化未发生来将一个或多个对象标记为疑似。
对象内容的全部或一部分可以改变,而对象保持相同的大小。感染可以通过用与原对象相同大小的恶意对象替代整个对象(通过重命名、覆盖或删除对象以及写入新的对象等)来改变已知干净和未受损的对象。这可以通过仅替换与恶意对象自身大小匹配的对象,或者用恶意对象替换更大的对象并简单地加长恶意对象以将其大小增大到与更大对象大小匹配来完成。这会避开基于大小的分析。
在一个实施例中,即使在对象大小未改变的情况下,也可以使用二进制轮廓趋向,通过分析对象自身的二进制模式来查明异常活动。对于固定大小的对象而言,可以分析对象的二进制模式随时间的变化并查出模式发生的异常改变。在一个实施例中,可以对对象的每个拷贝进行散列编码并比较散列值。散列值的失配表明对象的差异,会让人怀疑与不匹配散列相关的对象已经被改变了。在一个实施例中也可以进行对象比特(或字节或其他数据块)之间的简单比较。
可以在对象或对象的部分上进行模式识别和/或趋势分析,并将结果与备份比较以查明偏差。可以用参数设置偏差容限,以便通过含有可接受变化的对象并对含有可能不可接受变化的对象加以标记。可以将标识为含不可接受变化的对象视为疑似。
在实施例中,系统可以判断、测量和跟踪对象中的变化程度。例如,对象可能会在很多位置发生随机量的变化,但对象的有些部分永远不会改变。通过查明这些部分的改变,可以找到疑似对象。在另一范例中,对象在总大小上的改变可能是随机的,但是在对象之内存在会发生变化但变化在一定限度之内的区域。通过查明预计限度之外的变化,查明了疑似对象。还可能有些对象的部分在每次使用对象时(有些可能与不同类型的使用,如读或写相关)或每隔规则的间隔周期性地发生变化。这些预期变化的缺失可用于将对象标识为具有异常活动。
在一个实施例中可以利用变化代理跟踪来查明具有异常活动的对象。例如,如果对对象的改变和/或写入的源是未知的或未预料到的,可以将该活动视为异常的。通过跟踪对象改变/写入的来源,可以判断改变/写入的源是否是预计的或不能接受的。于是,如果对象的变化或写入来自既非认可的也不是通常的(基于历史)程序/过程的程序或过程,那么将该对象标志为疑似。
为了清楚起见,这里以特定的流程描述了该过程和方法,但应当理解的是,在不脱离本发明精神的条件下,其他次序也是可能的,且可以并行执行该过程和方法。此外,可以对步骤进行细分或组合。如这里所述,可以将根据本发明写出的软件存储在某种形式的计算机可读介质中,例如存储器或CD-ROM中,或者通过网络传输并由处理器执行。
本文援引的所有参考文献都将通过引用并入本文。虽然上文已经根据特定实施例描述了本发明,但可以预料,本发明的各种修改和变型对于本领域的技术人员来讲无疑是明显的,且可以在所附权利要求的范围及其等价要件之内实施。可以使用超过一台计算机,例如使用多台并行的计算机或在多台计算机上分配任务,从而作为整体它们执行这里所述组件的功能,即,由它们取代单一的计算机。可以由单个计算机上的或分布在若干计算机上的单一过程或过程组执行上述各种功能。过程可以调用其他过程来处理某些任务。可以使用单一的存储装置,或者可以用若干个来取代单一的存储装置。所公开的实施例是例示性的而非限制性的,本发明不限于这里给出的细节。有很多实施本发明的备选方式。因此意在将本公开和下面的权利要求解释为覆盖落在本发明真正精神和范围之内的所有这种修改和变型。
Claims (9)
1.一种用于保护计算机系统中的对象的方法,包括:
判断对象是否被恶意软件感染,如果所述对象被感染:
判断与对象相关联的模式,其中判断所述模式包括分析从包含以下项的组中选择的至少一项:访问对象的时间、访问对象的位置或对象变化的源;
检测与所述模式的偏离,以查明表示所述对象被恶意软件感染的异常,其中检测与所述模式的偏离包括判断所述对象的变化程度或监测所述对象的访问日志;
基于所述检测的偏离判断所述对象被感染的感染时间点;
利用所述感染时间点来选择对象的备份中的对象的第一备份拷贝;
判断所述第一备份拷贝是否被恶意软件感染;
如果所述第一备份拷贝没有被感染,则用所述第一备份拷贝替代所述被感染对象;及
如果所述第一备份拷贝被感染,则定位在对象的备份中的同一对象的第二备份拷贝,其中定位第二备份拷贝包括将候选备份拷贝与所述第一备份拷贝比较,以判断所述第二备份拷贝是否与所述第一备份拷贝不同;
如果所述第一备份拷贝被感染且如果所述第二备份拷贝与所述第一备份拷贝不同,则用所述第二备份拷贝替代所述对象;
基于所述访问日志判断有效写入;以及
将所述有效写入应用到所述替代的对象。
2.根据权利要求1所述的方法,其中定位所述第二备份拷贝包括查出比所述第一备份拷贝更老的备份拷贝。
3.根据权利要求2所述的方法,其中将所述候选备份拷贝与所述第一备份拷贝比较包括将所述候选备份拷贝的散列值与所述第一备份拷贝的散列值比较。
4.根据权利要求1所述的方法,还包括仅当所述第二备份拷贝与所述第一备份拷贝不同时才判断所述第二备份拷贝是否被恶意软件感染。
5.根据权利要求1所述的方法,其中所述备份包括在线备份存储器和离线备份存储器,且定位所述第一备份拷贝包括在所述在线备份存储器中搜索。
6.根据权利要求5所述的方法,其中定位所述第一备份拷贝还包括在搜索所述在线备份存储器之后搜索所述离线备份存储器。
7.根据权利要求1所述的方法,其中判断所述第一备份拷贝是否被感染包括将所述第一备份拷贝提交到防病毒引擎。
8.根据权利要求1所述的方法,还包括询问用户是否用备份拷贝替代所述被感染对象。
9.根据权利要求1所述的方法,其中,检测与所述模式的偏离包括监测所述对象的访问日志或分析所述备份拷贝以找到偏离所述模式的拷贝。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US70896905P | 2005-08-16 | 2005-08-16 | |
| US60/708,969 | 2005-08-16 | ||
| PCT/US2006/032221 WO2007022392A2 (en) | 2005-08-16 | 2006-08-16 | Information protection method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101243400A CN101243400A (zh) | 2008-08-13 |
| CN101243400B true CN101243400B (zh) | 2015-03-25 |
Family
ID=37758421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680029860.1A Active CN101243400B (zh) | 2005-08-16 | 2006-08-16 | 信息保护方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1915719B1 (zh) |
| JP (1) | JP2009505295A (zh) |
| CN (1) | CN101243400B (zh) |
| WO (1) | WO2007022392A2 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8353041B2 (en) * | 2008-05-16 | 2013-01-08 | Symantec Corporation | Secure application streaming |
| GB2469308B (en) * | 2009-04-08 | 2014-02-19 | F Secure Oyj | Disinfecting a file system |
| JP2012008997A (ja) * | 2010-05-26 | 2012-01-12 | Sanyo Electric Co Ltd | ファイルデータ保護機能を備えた電子装置及びファイル保護方法 |
| CN101950336B (zh) * | 2010-08-18 | 2015-08-26 | 北京奇虎科技有限公司 | 一种清除恶意程序的方法和装置 |
| CN102831353B (zh) * | 2012-09-18 | 2016-12-21 | 珠海市君天电子科技有限公司 | 一种针对带有计算机病毒的应用软件的处理方法及系统 |
| JP6013613B2 (ja) * | 2012-10-19 | 2016-10-25 | マカフィー, インコーポレイテッド | モバイル・アプリケーション管理 |
| CN102999354B (zh) * | 2012-11-15 | 2015-12-02 | 北京奇虎科技有限公司 | 文件加载方法和装置 |
| CN103093149B (zh) * | 2013-01-14 | 2015-09-16 | 北京奇虎科技有限公司 | 常用软件/文件感染后的修复方法及系统、修复服务器 |
| US20140379637A1 (en) | 2013-06-25 | 2014-12-25 | Microsoft Corporation | Reverse replication to rollback corrupted files |
| JP6337498B2 (ja) * | 2014-02-18 | 2018-06-06 | 日本電気株式会社 | 復元装置、復元システム、復元方法、および、プログラム |
| JP6341307B1 (ja) | 2017-03-03 | 2018-06-13 | 日本電気株式会社 | 情報処理装置 |
| US11960603B2 (en) * | 2017-04-25 | 2024-04-16 | Druva Inc. | Multi-step approach for ransomware detection |
| JP7026089B2 (ja) * | 2019-10-29 | 2022-02-25 | 株式会社日立製作所 | セキュリティシステムおよびコンピュータプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1371050A (zh) * | 2001-02-20 | 2002-09-25 | 英业达股份有限公司 | 一种生成具有自检测和自修复功能的应用程序的方法 |
| US6611850B1 (en) * | 1997-08-26 | 2003-08-26 | Reliatech Ltd. | Method and control apparatus for file backup and restoration |
| CN1595366A (zh) * | 2004-07-06 | 2005-03-16 | 天津百维软件科技有限公司 | 一种节省存储空间的多台计算机系统共享备份方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002287991A (ja) * | 2001-03-26 | 2002-10-04 | Fujitsu Ltd | コンピュータウィルス感染情報提供方法及びコンピュータウィルス感染情報提供システム |
| JP2004046435A (ja) * | 2002-07-10 | 2004-02-12 | Hitachi Ltd | バックアップ方法、その方法に用いた記憶制御装置 |
| US7526809B2 (en) * | 2002-08-08 | 2009-04-28 | Trend Micro Incorporated | System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same |
| US7519726B2 (en) * | 2003-12-12 | 2009-04-14 | International Business Machines Corporation | Methods, apparatus and computer programs for enhanced access to resources within a network |
-
2006
- 2006-08-16 JP JP2008527153A patent/JP2009505295A/ja not_active Withdrawn
- 2006-08-16 WO PCT/US2006/032221 patent/WO2007022392A2/en active Application Filing
- 2006-08-16 EP EP06801780.5A patent/EP1915719B1/en active Active
- 2006-08-16 CN CN200680029860.1A patent/CN101243400B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6611850B1 (en) * | 1997-08-26 | 2003-08-26 | Reliatech Ltd. | Method and control apparatus for file backup and restoration |
| CN1371050A (zh) * | 2001-02-20 | 2002-09-25 | 英业达股份有限公司 | 一种生成具有自检测和自修复功能的应用程序的方法 |
| CN1595366A (zh) * | 2004-07-06 | 2005-03-16 | 天津百维软件科技有限公司 | 一种节省存储空间的多台计算机系统共享备份方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1915719A2 (en) | 2008-04-30 |
| EP1915719A4 (en) | 2012-06-06 |
| EP1915719B1 (en) | 2017-03-15 |
| WO2007022392A3 (en) | 2007-10-04 |
| CN101243400A (zh) | 2008-08-13 |
| JP2009505295A (ja) | 2009-02-05 |
| WO2007022392A2 (en) | 2007-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101243400B (zh) | 信息保护方法和系统 | |
| US8255998B2 (en) | Information protection method and system | |
| US11681591B2 (en) | System and method of restoring a clean backup after a malware attack | |
| US8468604B2 (en) | Method and system for detecting malware | |
| EP1751649B1 (en) | Systems and method for computer security | |
| US8495037B1 (en) | Efficient isolation of backup versions of data objects affected by malicious software | |
| US8533818B1 (en) | Profiling backup activity | |
| US7756834B2 (en) | Malware and spyware attack recovery system and method | |
| US8955118B2 (en) | Detecting malicious software | |
| EP2245572B1 (en) | Detecting rootkits over a storage area network | |
| Shukla et al. | Poster: Locally virtualized environment for mitigating ransomware threat | |
| US20120124007A1 (en) | Disinfection of a file system | |
| US7565695B2 (en) | System and method for directly accessing data from a data storage medium | |
| US8863287B1 (en) | Commonality factoring pattern detection | |
| KR101937325B1 (ko) | 악성코드 감지 및 차단방법 및 그 장치 | |
| US9811659B1 (en) | Systems and methods for time-shifted detection of security threats | |
| US9860261B2 (en) | System for analyzing and maintaining data security in backup data and method thereof | |
| US7346611B2 (en) | System and method for accessing data from a data storage medium | |
| US8341428B2 (en) | System and method to protect computing systems | |
| US20230315855A1 (en) | Exact restoration of a computing system to the state prior to infection | |
| KR101872605B1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
| CN114297645B (zh) | 在云备份系统中识别勒索家族的方法、装置和系统 | |
| RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов | |
| RU2802539C1 (ru) | Способ выявления угроз информационной безопасности (варианты) | |
| WO2024149436A1 (en) | Method and apparatus for recovering file system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |