CN102037471A - 具有使用网络询问的最优定义分发的集中式扫描器数据库 - Google Patents
具有使用网络询问的最优定义分发的集中式扫描器数据库 Download PDFInfo
- Publication number
- CN102037471A CN102037471A CN200980118697XA CN200980118697A CN102037471A CN 102037471 A CN102037471 A CN 102037471A CN 200980118697X A CN200980118697X A CN 200980118697XA CN 200980118697 A CN200980118697 A CN 200980118697A CN 102037471 A CN102037471 A CN 102037471A
- Authority
- CN
- China
- Prior art keywords
- definition
- malware
- filter
- malware definition
- input file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种系统和方法基于来自一个中央服务器的部分分发的恶意软件定义来检测客户端上的恶意软件。一个服务器存储对于已知恶意软件的恶意软件定义。该服务器基于这些恶意软件定义生成一个或多个过滤程序并且将这个或这些过滤程序分发给客户端装置。该服务器还针对最常被检出的恶意软件的一个子集将完整定义分发给这些客户端。客户端装置通过首先对一个文件应用该过滤程序来针对恶意软件对多个文件进行扫描。若该过滤程序输出一个肯定检测,则该客户端使用该完整定义对该文件进行扫描以确定是否该文件包括恶意软件。若该完整定义未被客户端本地存储,则由客户端向服务器询问该定义并且然后继续该扫描过程。
Description
技术领域
本披露总体上涉及计算机安全,并且更具体地涉及检测恶意软件。
背景技术
恶意软件如计算机病毒、蠕虫、特洛伊木马、以及间谍软件对现代计算机系统构成持续的威胁。为了与恶意文件做斗争,计算机系统典型地运行试图检测、识别、并且将恶意文件去除的防病毒软件。常规的防病毒软件存储了一个定义数据库,其中每个定义对应于已知恶意软件。防病毒软件周期性地对客户端机器上的文件进行扫描以检测与已存储的定义相匹配的恶意软件。然后,可以使被检出恶意软件失效或将其清除。
虽然防病毒程序能够检测并去除恶意软件,但正在持续不断地产生的新的恶意软件被设计为围绕现有程序来工作。因此,重要的是经常对这些防病毒定义进行更新这样使得新发布的恶意软件可以被检出。这些更新典型地是由防病毒程序销售商提供的。
近年来,新的已知恶意软件的数量已经急剧增长,使得分发更新日益成为一个挑战性的问题。经常的更新可以对客户端机器造成数据过载的问题,这些机器必须持续接收并存储新的定义而同时继续存储并维护全部较旧的定义。这对于具有有限的物理内存的客户端机器,如自动取款机(ATM),或具有有限的网络带宽的机器而言是特别棘手的。另外,将大量的定义分发给客户端机器导致定义分发者们的很大成本。
一种解决这个问题的方法是通过清除不再认为构成持续威胁的较旧定义来减少由防病毒软件使用的有效定义的数目。然而,如果这些较旧的威胁再次出现,这种方法使得客户端易于受到攻击。另一种常规的方法是提供一个中央防病毒服务器用于存储所有的定义而不是将这些定义分发给本地机器。然而,虽然这种方法降低了对本地存储的需求,但它显著地增加了客户端与服务器之间的网络流量并且在总体性能和成本上并没有提供显著的改进。因此,所需要的是一种用于将恶意软件定义分发给客户端装置的改进的系统。
发明内容
一种系统、方法、以及计算机程序产品检测恶意软件。在客户端装置中,扫描引擎对输入文件应用一个过滤程序以检测是否该输入文件具有与一个已知恶意软件定义集合中的一个恶意软件定义的特征相匹配的特征。基于该过滤程序、响应于确定该输入文件具有匹配的特征,使用针对已知恶意软件的定义对该文件进行扫描。扫描引擎基于该扫描来确定是否该输入文件包括恶意软件。
一个中央服务器基于该已知恶意软件定义的集合而生成该过滤程序并且将该过滤程序分发给客户端。中央服务器还针对一个已知恶意软件定义的子集确定要分发给这些客户端的定义。在一个实施方案中,当对该文件进行扫描时,扫描引擎确定是否该定义是被本地存储的。如果该定义未被本地存储,则客户端将从服务器请求该定义并且该服务器将该定义发送至该客户端。
在本说明书中说明的这些特征及优点并非包揽无遗的,并且特别是很多额外的特征和优点通过参看附图、说明书、以及权利要求书将对本领域的普通技术人员变得清楚。另外,应当指出,在本说明书中使用的语言原则上是被选择用于可读性以及指导性目的,而并非被选择用于划分或限定本发明的主题。
附图说明
所披露的实施方案具有其他的优点和特征,这些优点和特征将从以下详细说明、所附权利要求书、以及附图中变得更清楚,在附图中:
图1是根据一个实施方案的一种计算环境的高级框图。
图2是根据一个实施方案的一种中央服务器的框图。
图3是根据一个实施方案的一种典型的计算机系统的高级框图。
图4是根据一个实施方案的一个客户端装置的内存和存储部件的框图。
图5是根据一个实施方案的一种扫描引擎的框图。
图6是一个流程图,展示了根据一个实施方案的用于检测恶意软件的过程。
具体实施方式
现在将具体参见多个实施方案,在附图中展示了这些实施方案的多个实例。应注意到在任何可行的情况下在图示中可能使用类似的或相同的参考号并且可表明类似的或相同的功能性。这些图示仅为展示的目的描绘了多个实施方案。本领域的普通技术人员将容易地从以下说明中认识到,可以使用在此所展示的这些结构以及方法的替代实施方案而不背离在此说明的原理。
图1是根据一个实施方案的一种计算环境100的高级框图。计算环境100包括由网络102连接的一个中央服务器130以及多个客户端104。为了简化本说明,在图1中仅示出了三个客户端104。计算环境100的实施方案可以具有连接到网络102的很多额外的客户端104。
在一个实施方案中,客户端104是由一个或多个使用者使用的进行多种活动一台计算机,这些活动包括下载、安装、执行文件、和/或浏览通过网络102可访问的网站。在其他的实施方案中,客户端104是一个可上网的装置而不是一台计算机,如个人数字助理(PDA)、移动电话、传呼机、电视机顶盒,等等。客户端104易于受到恶意软件(如病毒、蠕虫、特洛伊木马程序、间谍软件,等等)的攻击并且典型地运行防病毒软件以检测、去除、和/或阻截这种恶意软件。以下参见图3更加详细地说明了用作客户端104的一种计算机系统的实施方案。
网络102代表客户端104和中央服务器130之间的通信路径。在一个实施方案中,网络102是互联网。网络102还可以使用专用的或私有的通信链路,它们不必是互联网的一部分。在一个实施方案中,网络102使用多种标准的通信技术和/或协议。因此,网络102可以包括使用如以太网、802.11、综合业务数字网(ISDN)、数字用户线(DSL)、异步传输模式(ATM)等等技术的链路。类似地,用在网络102上的网络协议可以包括传输控制协议/互联网协议(TCP/IP)、超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、文件传输协议(FTP),等等。可以使用包括超文本标记语言(HTML)、可扩展标记语言(XML)等等的技术和/或格式来表示在网络102上交换的数据。此外,所有的或部分的链路可以用常规的加密技术(如安全套接层(SSL)、安全HTTP和/或虚拟专用网络(VPN))加密。在另一个实施方案中,这些实体可以使用定制的和/或专门的数据通信技术,而不是以上说明的那些或除以上说明的那些之外。
中央服务器130可以包括一个或多个标准计算机系统,如以下说明的图3中的计算机系统。中央服务器130通过网络102与多个客户端104通信以便将防病毒更新分发给这些客户端104。在一个实施方案中,中央服务器130是可以通过互联网访问的、并且由一个第三方供应商来维护。可替代地,中央服务器130可以由一个局部企业网络的管理员来维护。例如,在商业企业中,企业可以维护它自己的中央服务器130以便将更新分发给它的所有客户端104而不依赖于外部服务。
中央服务器130可以周期性地将更新的恶意软件定义分发给客户端104。可替代地,当怀疑有潜在的威胁并且该定义在本地不可用时,这些客户端104可以针对一个或多个特定的定义询问中央服务器130。在一个实施方案中,中央服务器130只向每个客户端104分发一个或多个过滤程序而不是分发完整的恶意软件定义。这个或这些过滤程序是从这些恶意软件定义中生成的并且被用于确定是否正在被扫描的输入文件具有与已知恶意软件定义中的那些特征相匹配的特征。在扫描过程中,客户端104对正在被扫描的文件应用一个过滤程序并且该过滤程序输出一个肯定的或否定的检测。在一个实施方案中,该过滤程序被设计使得可能偶尔发生误肯定检测,但是从不发生误否定检测。例如,在一些实例中,当实际上被过滤的文件中不存在恶意软件时,该过滤程序可能不正确地输出对恶意软件的一个肯定的检测。然而,当恶意软件存在,只要该恶意软件定义被包括在用于生成该过滤程序的已知的集合中,则该过滤程序将从不会不正确地输出一个否定检测。有利地是,该过滤程序包括比完整定义显著地少的数据并且因此减少了对客户端104所要求的存储空间和带宽。
除了生成并分发该一个或多个过滤程序之外,中央服务器130存储对于所有的已知恶意软件的一个完整定义的集合。在扫描过程中,如果所应用的过滤程序检出了潜在的恶意软件,客户端104可以询问中央服务器130以检索完整定义。然后,客户端104使用完整定义对该文件进行扫描以确定是否该过滤程序结果是真肯定(即,所过滤的文件实际上包括恶意软件)或误肯定(即,所过滤的文件实际上不包括恶意软件)。在一个实施方案中,中央服务器130还针对一个已知恶意软件定义的子集将完整定义分发给客户端104。例如,中央服务器能够分发为被认为构成最严重威胁的恶意软件的定义(例如,对于最常用的30%的恶意软件的定义)。这样,对于最有可能被检出的恶意软件的完整定义可以被本地检索,从而减少了网络流量。
图2展示了中央服务器130的一种示例性实施方案。中央服务器130包括一个风险评估模块202、一个分发服务器204、一个定义生成模块206、一个过滤程序生成模块208、一个定义数据库210、以及一个过滤程序数据库212。无论何时发现了新的恶意软件,定义生成模块206生成对于已知恶意软件的完整定义。在一个实施方案中,该完整定义包括一个或多个签名,这些签名包括已知在恶意软件中存在的特征字节模式。可替代地,该定义可以包括基于通常行为检测恶意软件的一种探试法。典型地定义是基于来自安全分析员的输入而生成的,这些分析员检查并分析该恶意软件的多个实例。一旦生成,这些完整定义被存储在定义数据库210中。
风险评估模块202评估每个已知恶意软件威胁的相对危险性并且确定要分发给客户端104的一个定义的子集。剩余的定义仅被存储在中央服务器130中。评估模块202可以周期性地执行以便重新评估风险并且相应地分发已更新的定义集合。在一个实施方案中,风险评估模块202收集来自客户端装置104的数据并且使用这个信息来确定恶意软件的相对危险性。例如,风险评估模块202可以监测由中央服务器130接收的针对一个具体定义的询问次数。如果中央服务器130对于一个具体的定义收到高频率的询问,那么风险评估模块202可以确定该定义应当被分发给这些客户端104。通过分发最常用的定义,可以减少中央服务器130和客户端104之间的网络流量。
过滤程序生成模块208基于这些恶意软件定义生成一个或多个过滤程序并且将这个或这些过滤程序存储在过滤程序数据库212中。在一个实施方案中,过滤程序生成模块208从该恶意软件定义的集合中生成一个或多个Bloom过滤程序。Bloom过滤程序是一种过滤程序,它用于确定一个要素是否是一个集合中(例如,该已知恶意软件文件的集合)的一员。为了生成Bloom过滤程序,过滤程序生成模块208以多个位值的一个空阵列开始。在每个已知恶意软件的定义上计算出多个散列,其中每个散列函数的输出提供指向该位阵列中的一个位置的指针。然后,由这些散列函数输出的这些位置中的每一个被设置为1,而其余的位置被设置为0。可使用的散列函数的许多实例对于本领域的普通技术人员是已知的。
为了应用该过滤程序,对输入文件应用同一个集合的散列函数并且返回指向该阵列中的多个位置的多个指针。如果这些位置中的每一个具有一个为1的位值,则该过滤程序会输出了一个肯定检测,该肯定检测表明该输入文件具有与该已知恶意软件定义的集合中的一个定义相匹配的特征。另外,该过滤程序可以基于由这些散列函数输出的多个阵列位置的组合来确定匹配的恶意软件的身份。如果这些位置中的任何一个是0,那么该输入文件不在该集合中(即,否定检测)。Bloom过滤程序的一个特征是对于小百分比的情况的误肯定是可能的,但是该过滤程序从不会返回误否定。
可以通过仅将很少量的数据(这些位阵列的值)分发给客户端104而不是分发这些完整定义来有利地实施这种类型的过滤程序。在一些实施方案中,过滤程序生成模块208可以生成对于不同的定义子组的多个过滤程序。通过增加过滤程序的数目,在向这些客户端104分发更多的过滤程序数据的代价下,可以降低误肯定的百分比。
分发服务器204与网络102进行通信以便将存储在过滤程序数据库212中的一个或多个过滤程序分发给客户端104。分发服务器204还可以将存储在定义数据库210中的这些定义的一个子集分发给客户端104。例如,分发服务器204可以按一个百分比来分发最有可能被检出的定义。此外,当服务器130收到针对未被客户端104本地存储的一个具体定义的询问时,分发服务器204可以向客户端104提供所请求的定义。
图3是一个高级框图,展示了用作一个客户端104或中央机构130的一台典型的计算机300。所展示的是连接到总线304上的一个处理器302。同样连接到总线304上的是内存306、存储装置308、键盘310、图形适配器312、指向装置314、以及网络适配器316。显示器318被连接到图形适配器312上。
处理器302可以是任何通用的处理器,如INTELx86可兼容的CPU。在一个实施方案中,存储装置308是硬盘驱动器但也可以是能够存储数据的任何其他装置,如可写的光盘(CD)或DVD、或固态内存装置。内存306可以是例如固件、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、和/或RAM,并且保存由处理器302使用的指令和数据。指向装置314可以是鼠标、轨迹球、或其他类型的指向装置,并且与键盘310一起使用以便将数据输入计算机300中。图形适配器312在显示器218上显示图像和其他信息。网络适配器316将计算机300连接到网络302上。
如本领中所知的,计算机300被适配为执行多个计算机程序模块。如在此所使用的,术语“模块”指用于提供特定的功能性的计算机程序逻辑和/或数据。可以在硬件、固件、和/或软件中实施一个模块。在一个实施方案中,这些模块被存储在存储装置308上,被加载入内存306中,并且被处理器302执行。
由图1的这些实体使用的计算机系统300的类型可以根据被该实体使用的实施方案以及处理能力而改变。例如,一部移动电话的客户端104典型地具有有限的处理能力、一个小型显示器318,并且可能没有指向装置314。用作中央服务器130的计算机系统300可能具有更大的处理能力但没有显示器318或键盘310。
图4展示了客户端装置104的内存306和存储器308的一个示例性实施方案。内存306包括用于对存储在存储器308中的本地文件408进行扫描的一个扫描引擎402。尽管已说明扫描引擎402位于内存306中,但是该扫描引擎也可以被存储在存储器308中并且当执行时被下载到内存306中。存储器308还存储被扫描引擎402用来对本地文件408进行扫描的一个或多个过滤程序404以及一个完整定义的集合406。在一个实施方案中,这个或这些过滤程序404是基于所有已知恶意软件的,而仅针对一个已知恶意软件的子集(例如,最常用的30%)来存储多个完整定义406。
图5展示了扫描引擎402的一个示例性实施方案。扫描引擎402包括一个过滤模块504、一个全检测模块506、以及一个服务器询问模块508。过滤模块504在扫描处理过程中对本地文件408应用一个或多个已存储的过滤程序404。应用过滤程序404包括计算该文件408的一个散列,该计算将产生一个肯定的检测结果或者一个否定的检测结果。若结果是肯定检测,则全部检测模块506使用完整定义406对这个肯定性检出的文件408进行扫描。完整定义406可能是在存储器308中本地可供使用的或者可能从中央服务器130检索到。当本地没有发现完整定义时,服务器询问模块508通过网络102与中央服务器130通信以便从服务器130请求一个完整定义。然后,完整定义模块406应用定义406来确定是否恶意软件确实已经被检出或者是否过滤程序404已经产生了一个误肯定。
图6展示了由扫描引擎402执行的用于检测恶意软件的过程的一种实施方案。扫描引擎402的过滤模块504首先在步骤602对将有待扫描的文件408应用过滤程序404并且在步骤604确定是否造成一个肯定检测。若不存在肯定检测,则扫描引擎402在步骤618确定该文件不是恶意软件。应注意到可以肯定地做出这个确定,因为过滤程序404被设计为排除了误否定的可能性。若过滤模块504产生了一个肯定检测,则扫描引擎402在步骤608在本地存储器308中针对该恶意软件的完整定义来搜索这些定义306以便确定是否该定义是本地存储的。若没有在本地发现该定义,则服务器询问模块508在步骤610针对该完整定义询问中央服务器130。若该定义已经是本地存储的,则跳过询问步骤610。然后,全检测模块506在步骤612将该文件与这个完整定义进行比较以便在614确定是否存在匹配。若没有检出匹配,则没有发现恶意软件(即,该过滤程序结果是一个误肯定)。若发现了这个完整定义,则扫描引擎402在步骤616确定检出了恶意软件。一旦检出了恶意软件,扫描引擎402可以向该客户端装置的使用者提供一份危险报告,该危险报告表明所检出的恶意软件。另外,扫描引擎402可以使用任何数目的常规技术来使该恶意软件失效或去除该恶意软件。
在一个实施方案中,当检出了误肯定,这个或这些过滤程序可以进行修改以便降低该过滤程序在将来应用中再次发生误肯定的可能性。例如,扫描引擎402可以向中央服务器130发送一份报告来标识生成该误肯定的文件。可以分析该误肯定并且基于该分析可以生成一个新的过滤程序。可替代地,服务器130可以向客户端104提供元数据,该元数据指示该客户端在该过滤程序的未来应用中忽略类似的检测。
以上说明的一些部分就在信息上运作的算法以及符号表示而言说明了本发明的这些实施方案。这些算法说明和表示是数据处理领域中的普通技术人员通常使用的,以便将他们工作的本质内容有效率地传达给本领域的其他技术人员。尽管被功能性地、计算性地、或逻辑性地予以说明,这些操作应当被理解为有待由计算机程序或等效的电路、微代码、或诸如此类来实施。此外,已经不时地证明方便的是将这些操作安排称为模块而不失通用性。所说明的操作以及它们相关联的模块可以被实施在软件、固件、硬件、或它们的任何组合之中。
如在此所使用的,对“一个实施方案”或“一种实施方案”的任何引用意味着结合本实施方案说明的一种具体的要素、特征、结构、或特点被包括在至少一个实施方案中。在本说明书的不同地方出现的短语“在一个实施方案中”并非必需全部都指同一个实施方案。
如在此所使用的,术语“包括”、“包含”、“包括了”、“包含了”、“具有”或它们的任何其他的变体是旨在覆盖一种非排他性的包容。例如,包括一个要素列表的一种过程、方法、物件、或装置并非必需限于仅仅是那些要素而是可以包括没有明确地在这种过程、方法、物件、或装置中列出的或固有的其他要素。此外,除非明确地相反地陈述,“或者”指一种可兼容的或者而不是一种排他性的或者。例如,条件A或者B被以下任何一项满足:A是真(或存在)并且B是假(或不存在),A是假(或不存在)并且B是真(或存在),以及A和B二者均是真(或存在)。
另外,“一种”或“一个”的使用被用于在此说明这些实施方案的多个要素和部件。这样做仅是为了方便起见并且给出本发明的一种通用含义。这种描述应被解读为包括一个或至少一个并且单数还包括复数,除非它显而易见另有它意。
在阅读本披露时,本领域的那些技术人员还应认识到通过这些在此披露的原理用于垃圾邮件检测和分析的系统及过程的额外的可替代的结构的以及功能的设计。因此,虽然已经展示并说明了多个具体的实施方案和应用程序,应当理解,本发明并不限于在此披露的精确的构造和部件并且可以于在此披露的本发明的方法以及装置的安排、操作和细节中做出对本领域的那些技术人员而言将是明显的不同的修改、改变和变更,而不背离由所附权利要求书限定的这些实施方案的范围。
Claims (20)
1.一种用于检测恶意软件的计算机实施的方法,该方法包括:
对一个输入文件应用一个过滤程序以检测是否该输入文件具有与一个恶意软件定义的那些特征相匹配的特征,该恶意软件定义是在多种已知恶意软件定义的一个集合之中;
基于应用该过滤程序、响应于该输入文件具有与该恶意软件定义中的那些特征相匹配的特征,使用该恶意软件定义对该输入文件进行扫描;并且
基于该扫描来确定是否该输入文件包括恶意软件。
2.如权利要求1所述的方法,进一步包括:
基于应用该过滤程序、响应于该输入文件具有与该恶意软件定义中的那些特征相匹配的特征,确定是否该恶意软件定义是本地存储的;并且
响应于该恶意软件定义未被本地存储,询问一个中央服务器以获取该恶意软件定义。
3.如权利要求1所述的方法,进一步包括:
由一个客户端装置接收来自该已知恶意软件定义的集合的一个已知恶意软件定义的子集;
接收该过滤程序,其中该过滤程序是基于来自该已知恶意软件定义的集合的多个恶意软件定义;并且
将该过滤程序以及该已知恶意软件定义的子集本地存储在该客户端装置中。
4.如权利要求3所述的方法,其中所接收的用于本地存储的该已知恶意软件定义的子集包括对于最有可能被该客户端装置检出的恶意软件的多个恶意软件定义。
5.如权利要求1所述的方法,进一步包括:
从一个中央服务器接收一次更新,该更新包括基于一个已知恶意软件的更新的集合所生成的一个更新的过滤程序。
6.如权利要求1所述的方法,其中该过滤程序包括被适配为在该输入文件上计算多个散列函数的一个Bloom过滤程序,其中这些散列函数的输出表明是否该输入文件具有与该已知恶意软件定义的集合中的任何一个相匹配的特征。
7.如权利要求6所述的方法,其中对该输入文件应用Bloom过滤程序能够产生一个恶意软件的误肯定检测但是不能够产生一个误否定检测。
8.如权利要求1所述的方法,其中该过滤程序是根据以下步骤生成的,这些步骤包括:
在每个恶意软件定义上计算多个散列函数;并且
基于这些散列函数的输出对该过滤程序进行定义。
9.一种用于检测恶意软件的计算机程序产品,该计算机程序产品包括一种计算机可读存储媒质,该媒质包含计算机程序代码用于:
对一个输入文件应用一个过滤程序以检测是否该输入文件具有与一个已知恶意软件定义的集合中的一个恶意软件定义的那些特征相匹配的特征;
基于应用该过滤程序、响应于具有与该恶意软件定义中的那些特征相匹配的特征,使用该恶意软件定义对该输入文件进行扫描;并且
基于该扫描来确定是否该输入文件包括恶意软件。
10.如权利要求9所述的计算机程序产品,其中该计算机可读存储媒质包含计算机程序代码用于:
基于应用该过滤程序、响应于该输入文件具有与该恶意软件定义中的那些特征相匹配的特征,确定是否该恶意软件定义是本地存储的;并且
响应于该恶意软件定义未被本地存储,询问一个中央服务器以获取该恶意软件定义。
11.如权利要求9所述的计算机程序产品,其中该计算机可读存储媒质包含计算机程序代码用于:
由一个客户端装置从该已知恶意软件定义的集合接收一个已知恶意软件定义的子集;
接收该过滤程序,其中该过滤程序是基于该已知恶意软件定义的集合中的多个恶意软件定义;并且
将该过滤程序以及该已知恶意软件定义的子集本地存储在该客户端装置中。
12.如权利要求11所述的计算机程序产品,其中所接收的用于本地存储的该已知恶意软件定义的子集包括对于最有可能被该客户端装置检出的恶意软件的多个恶意软件定义。
13.如权利要求9所述的计算机程序产品,其中该计算机可读存储媒质包含计算机程序代码用于:
从一个中央服务器接收一次更新,该更新包括基于一个已知恶意软件的更新的集合所生成的一个更新的过滤程序。
14.如权利要求所述9的计算机程序产品,其中该过滤程序包括被适配为在该输入文件上计算多个散列函数的一个Bloom过滤程序,其中这些散列函数的输出表明是否该输入文件具有与该已知恶意软件定义的集合中的任何一个相匹配的特征。
15.如权利要求14所述的计算机程序产品,其中对该输入文件应用Bloom过滤程序能够产生一个恶意软件的误肯定检测但是不能够产生一个误否定检测。
16.如权利要求所述9的计算机程序产品,其中该过滤程序是根据以下步骤生成的,这些步骤包括:
在每个恶意软件定义上计算多个散列函数;并且
基于这些散列函数的输出对该过滤程序进行定义。
17.一种用于将多个恶意软件定义分发给客户端装置的方法,该方法包括:
生成来自一个已知恶意软件定义的集合的一个过滤程序,其中该过滤程序检测是否一个输入文件具有与该已知恶意软件定义的集合的那些特征相匹配的特征;
将该过滤程序分发给该客户端装置;并且
将来自该已知恶意软件定义的集合的一个恶意软件定义的子集与该过滤程序一起分发给该客户端装置,该已知恶意软件定义的集合被用来生成该过滤程序。
18.如权利要求17所述的方法,进一步包括:
接收来自该客户端装置的一个询问,该询问是对于未在已分发给该客户端的已知恶意软件定义的子集中的一个定义;并且
响应于该询问,将所询问的定义发送至该客户端装置。
19.如权利要求17所述的方法,进一步包括:
评估该已知恶意软件定义的集合以确定要分发给该客户端装置的已知恶意软件定义的子集,其中该子集包括最有可能被该客户端装置检出的多个恶意软件定义。
20.如权利要求17所述的方法,进一步包括:
基于来自该客户端装置的对于多个恶意软件定义的询问频率,对要分发给该客户端装置的该已知恶意软件定义的子集进行更新。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/124458 | 2008-05-21 | ||
US12/124,458 US8214977B2 (en) | 2008-05-21 | 2008-05-21 | Centralized scanner database with optimal definition distribution using network queries |
PCT/US2009/044713 WO2009143272A1 (en) | 2008-05-21 | 2009-05-20 | Centralized scanner database with optimal definition distribution using network queries |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102037471A true CN102037471A (zh) | 2011-04-27 |
CN102037471B CN102037471B (zh) | 2014-03-12 |
Family
ID=41009783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200980118697.XA Active CN102037471B (zh) | 2008-05-21 | 2009-05-20 | 具有使用网络询问的最优定义分发的集中式扫描器数据库 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8214977B2 (zh) |
EP (1) | EP2286364A1 (zh) |
JP (1) | JP5483033B2 (zh) |
CN (1) | CN102037471B (zh) |
WO (1) | WO2009143272A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694820A (zh) * | 2012-06-13 | 2012-09-26 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
CN103093148A (zh) * | 2012-12-28 | 2013-05-08 | 广东欧珀移动通信有限公司 | 一种恶意广告的检测方法、系统及设备 |
CN112513848A (zh) * | 2018-06-15 | 2021-03-16 | 诺基亚技术有限公司 | 隐私保护内容分类 |
CN113051567A (zh) * | 2021-03-29 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
Families Citing this family (73)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7698744B2 (en) | 2004-12-03 | 2010-04-13 | Whitecell Software Inc. | Secure system for allowing the execution of authorized computer program code |
US8312537B1 (en) * | 2008-03-28 | 2012-11-13 | Symantec Corporation | Reputation based identification of false positive malware detections |
US20100077482A1 (en) * | 2008-09-23 | 2010-03-25 | Robert Edward Adams | Method and system for scanning electronic data for predetermined data patterns |
US8533844B2 (en) | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
US9043919B2 (en) | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
US9235704B2 (en) | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US9367680B2 (en) | 2008-10-21 | 2016-06-14 | Lookout, Inc. | System and method for mobile communication device application advisement |
US8087067B2 (en) | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
US8060936B2 (en) | 2008-10-21 | 2011-11-15 | Lookout, Inc. | Security status and information display system |
US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
US8051480B2 (en) | 2008-10-21 | 2011-11-01 | Lookout, Inc. | System and method for monitoring and analyzing multiple interfaces and multiple protocols |
US8108933B2 (en) * | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
US8347386B2 (en) | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US7861004B2 (en) * | 2008-12-04 | 2010-12-28 | At&T Intellectual Property I, Lp | System and method for analyzing data traffic |
US8813222B1 (en) * | 2009-01-21 | 2014-08-19 | Bitdefender IPR Management Ltd. | Collaborative malware scanning |
US8467768B2 (en) | 2009-02-17 | 2013-06-18 | Lookout, Inc. | System and method for remotely securing or recovering a mobile device |
US8538815B2 (en) | 2009-02-17 | 2013-09-17 | Lookout, Inc. | System and method for mobile device replacement |
US8855601B2 (en) | 2009-02-17 | 2014-10-07 | Lookout, Inc. | System and method for remotely-initiated audio communication |
US9955352B2 (en) | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
US9042876B2 (en) | 2009-02-17 | 2015-05-26 | Lookout, Inc. | System and method for uploading location information based on device movement |
US9208315B2 (en) * | 2009-03-17 | 2015-12-08 | Microsoft Corporation | Identification of telemetry data |
US8285617B1 (en) * | 2009-06-15 | 2012-10-09 | Richard A Ross | Pub/Sub engine for automated processing of FIX messages |
US8306988B1 (en) * | 2009-10-26 | 2012-11-06 | Mcafee, Inc. | System, method, and computer program product for segmenting a database based, at least in part, on a prevalence associated with known objects included in the database |
US8397301B2 (en) | 2009-11-18 | 2013-03-12 | Lookout, Inc. | System and method for identifying and assessing vulnerabilities on a mobile communication device |
JP5630501B2 (ja) | 2010-05-14 | 2014-11-26 | トヨタ自動車株式会社 | イソプロパノールの製造方法及びイソプロパノール生産能を有する組換え酵母 |
US9392005B2 (en) | 2010-05-27 | 2016-07-12 | Samsung Sds Co., Ltd. | System and method for matching pattern |
KR101274348B1 (ko) * | 2010-06-21 | 2013-07-30 | 삼성에스디에스 주식회사 | 안티멀웨어 디바이스, 서버 및 멀웨어 패턴 매칭 방법 |
JP6019484B2 (ja) * | 2010-08-25 | 2016-11-02 | ルックアウト、アイエヌシー. | サーバで結合されたマルウェア防止のためのシステムと方法 |
RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
US9027139B2 (en) * | 2011-02-04 | 2015-05-05 | Telefonaktiebolaget L M Ericsson (Publ) | Method for malicious attacks monitoring |
US8738765B2 (en) | 2011-06-14 | 2014-05-27 | Lookout, Inc. | Mobile device DNS optimization |
WO2012174230A1 (en) * | 2011-06-14 | 2012-12-20 | Sickweather, Llc | Social networking aggregator to track illnesses |
US8788881B2 (en) | 2011-08-17 | 2014-07-22 | Lookout, Inc. | System and method for mobile device push communications |
KR101908944B1 (ko) * | 2011-12-13 | 2018-10-18 | 삼성전자주식회사 | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 |
US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
US9003529B2 (en) * | 2012-08-29 | 2015-04-07 | The Johns Hopkins University | Apparatus and method for identifying related code variants in binaries |
US9111095B2 (en) | 2012-08-29 | 2015-08-18 | The Johns Hopkins University | Apparatus and method for identifying similarity via dynamic decimation of token sequence n-grams |
US9767280B2 (en) * | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
US8655307B1 (en) | 2012-10-26 | 2014-02-18 | Lookout, Inc. | System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security |
US8826431B2 (en) | 2012-11-20 | 2014-09-02 | Symantec Corporation | Using telemetry to reduce malware definition package size |
US9560069B1 (en) | 2012-12-02 | 2017-01-31 | Symantec Corporation | Method and system for protection of messages in an electronic messaging system |
US9208215B2 (en) | 2012-12-27 | 2015-12-08 | Lookout, Inc. | User classification based on data gathered from a computing device |
US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US8855599B2 (en) | 2012-12-31 | 2014-10-07 | Lookout, Inc. | Method and apparatus for auxiliary communications with mobile communications device |
US9424409B2 (en) | 2013-01-10 | 2016-08-23 | Lookout, Inc. | Method and system for protecting privacy and enhancing security on an electronic device |
BR112015018870A2 (pt) * | 2013-03-14 | 2017-07-18 | Intel Corp | troca baseada em contexto para um ambiente de sistema operacional seguro |
US10649970B1 (en) | 2013-03-14 | 2020-05-12 | Invincea, Inc. | Methods and apparatus for detection of functionality |
US9251261B2 (en) * | 2013-09-30 | 2016-02-02 | Symantec Corporation | Method and system for metadata driven testing of malware signatures |
US8863284B1 (en) | 2013-10-10 | 2014-10-14 | Kaspersky Lab Zao | System and method for determining a security status of potentially malicious files |
US8739287B1 (en) * | 2013-10-10 | 2014-05-27 | Kaspersky Lab Zao | Determining a security status of potentially malicious files |
US9642008B2 (en) | 2013-10-25 | 2017-05-02 | Lookout, Inc. | System and method for creating and assigning a policy for a mobile communications device based on personal data |
US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
US9117081B2 (en) | 2013-12-20 | 2015-08-25 | Bitdefender IPR Management Ltd. | Strongly isolated malware scanning using secure virtual containers |
US9940459B1 (en) | 2014-05-19 | 2018-04-10 | Invincea, Inc. | Methods and devices for detection of malware |
CN104217164B (zh) * | 2014-09-11 | 2018-02-02 | 工业和信息化部电子第五研究所 | 智能移动终端恶意软件的检测方法与装置 |
US9584541B1 (en) * | 2015-02-12 | 2017-02-28 | Lookingglass Cyber Solutions, Inc. | Cyber threat identification and analytics apparatuses, methods and systems |
AU2016258533B2 (en) | 2015-05-01 | 2017-11-30 | Lookout, Inc. | Determining source of side-loaded software |
US9690938B1 (en) | 2015-08-05 | 2017-06-27 | Invincea, Inc. | Methods and apparatus for machine learning based malware detection |
CN105302851B (zh) * | 2015-09-10 | 2018-12-21 | 国家计算机网络与信息安全管理中心 | 一种基于文件序列化的自动机远程分发和初始化方法 |
US10200391B2 (en) * | 2015-09-23 | 2019-02-05 | AVAST Software s.r.o. | Detection of malware in derived pattern space |
US9424012B1 (en) | 2016-01-04 | 2016-08-23 | International Business Machines Corporation | Programmable code fingerprint |
US9552278B1 (en) * | 2016-01-04 | 2017-01-24 | International Business Machines Corporation | Configurable code fingerprint |
US10419455B2 (en) | 2016-05-10 | 2019-09-17 | Allstate Insurance Company | Cyber-security presence monitoring and assessment |
US9906541B2 (en) * | 2016-05-10 | 2018-02-27 | Allstate Insurance Company | Digital safety and account discovery |
US10320821B2 (en) * | 2016-05-10 | 2019-06-11 | Allstate Insurance Company | Digital safety and account discovery |
WO2017223294A1 (en) | 2016-06-22 | 2017-12-28 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
US10972495B2 (en) | 2016-08-02 | 2021-04-06 | Invincea, Inc. | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
US10291633B1 (en) | 2016-10-18 | 2019-05-14 | The United States Of America As Represented By The Secretary Of The Army | Bandwidth conserving signature deployment with signature set and network security |
US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
CN113051568A (zh) * | 2021-03-29 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6347375B1 (en) * | 1998-07-08 | 2002-02-12 | Ontrack Data International, Inc | Apparatus and method for remote virus diagnosis and repair |
US20050086520A1 (en) * | 2003-08-14 | 2005-04-21 | Sarang Dharmapurikar | Method and apparatus for detecting predefined signatures in packet payload using bloom filters |
US20070240218A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Detection System and Method for Mobile Platforms |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
US6976271B1 (en) | 2000-01-06 | 2005-12-13 | International Business Machines Corporation | Method and system for retrieving an anti-virus signature from one or a plurality of virus-free certificate authorities |
US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
US7401359B2 (en) * | 2001-12-21 | 2008-07-15 | Mcafee, Inc. | Generating malware definition data for mobile computing devices |
JP3991074B2 (ja) * | 2002-09-24 | 2007-10-17 | 国立大学法人岩手大学 | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム |
JP2004139177A (ja) * | 2002-10-15 | 2004-05-13 | Sony Corp | 情報検査方法及び装置、並びにプログラム |
US7849063B2 (en) * | 2003-10-17 | 2010-12-07 | Yahoo! Inc. | Systems and methods for indexing content for fast and scalable retrieval |
US20060174343A1 (en) | 2004-11-30 | 2006-08-03 | Sensory Networks, Inc. | Apparatus and method for acceleration of security applications through pre-filtering |
WO2007062673A1 (en) * | 2005-11-30 | 2007-06-07 | Telecom Italia S.P.A. | Method and system for updating applications in mobile communications terminals |
US7523502B1 (en) * | 2006-09-21 | 2009-04-21 | Symantec Corporation | Distributed anti-malware |
US7831606B2 (en) * | 2006-12-08 | 2010-11-09 | Pandya Ashish A | Signature search architecture for programmable intelligent search memory |
US20080155264A1 (en) | 2006-12-20 | 2008-06-26 | Ross Brown | Anti-virus signature footprint |
US8689330B2 (en) * | 2007-09-05 | 2014-04-01 | Yahoo! Inc. | Instant messaging malware protection |
US8171554B2 (en) * | 2008-02-04 | 2012-05-01 | Yuval Elovici | System that provides early detection, alert, and response to electronic threats |
-
2008
- 2008-05-21 US US12/124,458 patent/US8214977B2/en not_active Expired - Fee Related
-
2009
- 2009-05-20 WO PCT/US2009/044713 patent/WO2009143272A1/en active Application Filing
- 2009-05-20 CN CN200980118697.XA patent/CN102037471B/zh active Active
- 2009-05-20 EP EP09751500A patent/EP2286364A1/en not_active Ceased
- 2009-05-20 JP JP2011510688A patent/JP5483033B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6347375B1 (en) * | 1998-07-08 | 2002-02-12 | Ontrack Data International, Inc | Apparatus and method for remote virus diagnosis and repair |
US20050086520A1 (en) * | 2003-08-14 | 2005-04-21 | Sarang Dharmapurikar | Method and apparatus for detecting predefined signatures in packet payload using bloom filters |
US20070240218A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Detection System and Method for Mobile Platforms |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694820A (zh) * | 2012-06-13 | 2012-09-26 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
WO2013185483A1 (zh) * | 2012-06-13 | 2013-12-19 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
CN102694820B (zh) * | 2012-06-13 | 2015-01-21 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
US9479528B2 (en) | 2012-06-13 | 2016-10-25 | Huawei Technologies Co., Ltd. | Signature rule processing method, server, and intrusion prevention system |
US9948667B2 (en) | 2012-06-13 | 2018-04-17 | Huawei Technologies Co., Ltd. | Signature rule processing method, server, and intrusion prevention system |
CN103093148A (zh) * | 2012-12-28 | 2013-05-08 | 广东欧珀移动通信有限公司 | 一种恶意广告的检测方法、系统及设备 |
CN112513848A (zh) * | 2018-06-15 | 2021-03-16 | 诺基亚技术有限公司 | 隐私保护内容分类 |
CN113051567A (zh) * | 2021-03-29 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US8214977B2 (en) | 2012-07-10 |
WO2009143272A1 (en) | 2009-11-26 |
JP5483033B2 (ja) | 2014-05-07 |
CN102037471B (zh) | 2014-03-12 |
JP2011523482A (ja) | 2011-08-11 |
US20090293125A1 (en) | 2009-11-26 |
EP2286364A1 (en) | 2011-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102037471B (zh) | 具有使用网络询问的最优定义分发的集中式扫描器数据库 | |
US11068588B2 (en) | Detecting irregularities on a device | |
US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
EP3588898B1 (en) | Defense against apt attack | |
CN1841397B (zh) | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 | |
US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
EP3251043B1 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
US9246931B1 (en) | Communication-based reputation system | |
US8239944B1 (en) | Reducing malware signature set size through server-side processing | |
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
US8095964B1 (en) | Peer computer based threat detection | |
EP2310974B1 (en) | Intelligent hashes for centralized malware detection | |
US8572740B2 (en) | Method and system for detection of previously unknown malware | |
US8312537B1 (en) | Reputation based identification of false positive malware detections | |
CN105580022A (zh) | 使用声誉指示符来促进恶意软件扫描的系统和方法 | |
CN102160048A (zh) | 收集和分析恶意软件数据 | |
US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
CN115348052A (zh) | 一种多维度黑名单防护方法、装置、设备及可读存储介质 | |
US12079335B2 (en) | System context database management | |
CN115314244B (zh) | 一种白名单安全防护方法、装置、设备及可读存储介质 | |
Steffens | 7.1 Attacker Perspective: Awareness of Telemetry | |
CN117294517A (zh) | 解决异常流量的网络安全保护方法及系统 | |
GB2594157A (en) | Method and apparatus for detecting irregularities on device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200103 Address after: California, USA Patentee after: CA,INC. Address before: California, USA Patentee before: Symantec Corporation |