CN102368289A - 用于动态生成反病毒数据库的系统和方法 - Google Patents

用于动态生成反病毒数据库的系统和方法 Download PDF

Info

Publication number
CN102368289A
CN102368289A CN2011102950378A CN201110295037A CN102368289A CN 102368289 A CN102368289 A CN 102368289A CN 2011102950378 A CN2011102950378 A CN 2011102950378A CN 201110295037 A CN201110295037 A CN 201110295037A CN 102368289 A CN102368289 A CN 102368289A
Authority
CN
China
Prior art keywords
user
virus
virus database
database
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011102950378A
Other languages
English (en)
Other versions
CN102368289B (zh
Inventor
安德烈·P·杜赫瓦洛夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN102368289A publication Critical patent/CN102368289A/zh
Application granted granted Critical
Publication of CN102368289B publication Critical patent/CN102368289B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供一种用于通过根据用户参数动态生成反病毒数据库来缩减在用户计算机上反病毒数据库大小的方法。确定影响此用户所需的反病毒数据库的内容的关键用户参数。基于用户参数生成针对该单一用户的反病毒数据库。当所述用户计算机的参数改变或者当检测到新的恶意软件威胁时,根据新的参数和新的恶意软件威胁动态更新用户反病毒数据库。由于不需要更新大量数据,所以更新过程变得更加有效率。所述反病毒系统与小型反病毒数据库共同工作,更有效地发现恶意软件对象并使用更少的计算机系统资源。

Description

用于动态生成反病毒数据库的系统和方法
技术领域
本发明涉及用于反病毒(anti-virus,AV)保护的方法,且尤其涉及用于基于用户计算机的参数来动态生成反病毒数据库的方法和系统。
背景技术
位于用户个人计算机、移动设备上或者企业系统内部的数据的安全性是一个每天只会变得更加复杂的问题。大量新的恶意软件应用程序几乎每天都会出现。这些恶意软件应用程序中每一个都会引起计算机故障,或者引起关键个人用户数据的丢失或被盗。很多已知的恶意软件应用程序经过修改后变得更加难以检测到。
为了保持必要程度的数据安全,反病毒系统供应商必须不断地更新他们用于检测病毒或恶意软件的反病毒数据库。现代反病毒数据库包含有各种类型的数据:恶意软件签名(包括启发式(heuristic)签名)、恶意对象校验和(checksums)的黑名单、网站的黑名单、数据解压算法的可执行代码、启发式数据分析的代码和用于处理已检测到的威胁的数据等等。
除了这些类型的数据,反病毒数据库可以包含用于更新反病毒系统组件所需的代码。这样,反病毒数据库不仅用于保持当前的签名,也用于更新实际的反病毒系统。反病毒数据库中包含的数据可以基于使用它们的反病毒系统而具有不同的表现形式。数据的格式和表现形式基于例如更新的简易性、使用的方便性和大小等标准来选择。
数据可以以多个不同格式的文件来表示,例如,以动态链接库(DLL)、可扩展标记语言(XML)文件或者由特定反病毒系统所使用的专有格式。当前,典型的反病毒数据库包含大量的数量持续增长的各种数据。这是由每天出现的新的恶意软件和插入反病毒数据库的相应数据所引起的。反病毒数据库持续增长的规模使它们不适于经常更新。需要一种方法来缩减反病毒数据库的大小。
反病毒数据库规模的快速增加的趋势对于反病毒系统的生产者来说已经是一个严重的问题了。需要使反病毒数据库更加方便和可移动。在WO2010024606A2和KR2009111152A的公开文本披露了基于各种参数的反病毒应用程序的更新。
WO2010024606A2公开了一种用于基于操作系统和所使用的反病毒应用程序的版本来为计算机选择数据的系统和方法。 KR2009111152A描述了一种用于更新反病毒系统的系统。该系统基于对需要被检查的文件的分类并生成所需更新的列表。这些系统有一些缺点。例如,反病毒数据库基于有限的参数列表而手动地生成。创建反病毒数据库除了检查用户文件外,不考虑用户的整体的安全需求。美国7,743,419号专利公开了一种用于防止计算机病毒传染的方法。该方法基于收集用户个人计算机信息并分析其是否有传染迹象。这些传染是可以预测和预防的。
因此,现有技术需要一种用于基于用户计算机参数来动态生成反病毒数据库且不影响使用反病毒数据库的恶意软件检测系统的有效性的系统。
发明内容
本发明涉及用于反病毒保护的方法。本发明提供了一种用于基于用户计算机的参数来动态地生成反病毒数据库的方法、系统和计算机程序产品,其能基本消除一个或多个相关技术的缺陷。
在本发明的一个方面,提供了一种用于通过根据用户参数动态生成反病毒数据库来缩减反病毒数据库的大小的方法。根据一个示范性实施例,确定影响这一用户所需的反病毒数据库内容的关键用户参数。基于该用户参数生成针对该单个用户的反病毒数据库。当该用户计算机的参数改变或者当检测到新的恶意软件威胁的时候,根据新的参数和新的恶意软件威胁而动态地更新该用户反病毒数据库。
更新过程变得更加有效率,因为更新大量数据的需求被消除了。与一个小型的反病毒数据库共同工作的反病毒系统会更有效率地发现恶意软件对象并使用更少的计算机系统资源。
本发明的其它功能和优点将在下面的说明书中阐述,还有部分通过说明书是显而易见的,或者由本发明的实践可以得知。通过书面的说明、权利要求书和附图中特别指出的结构,将实现并获得本发明的优点。
应该理解的是,无论是上述的总体描述还是如下的详细说明都是示例性的和解释性的,并且旨在提供对于本发明进一步的解释。
附图说明
附图提供对于本发明进一步的理解,并且并入说明书中并构成其中的一部分,这些附图示出了本发明的实施例并与说明书一起用于解释本发明的原理。
附图中:
图1示出了根据示范性实施例,多个用户计算机、服务器和反病毒数据库的总体布置图。
图2示出了根据示范性实施例,反病毒数据库的系统动态更新的客户端。
图3示出了根据示范性实施例,用于动态更新客户端反病毒数据库的系统的服务器端。
图4示出了根据示范性实施例,用户配置文件数据库的结构。
图5示出了根据示范性实施例,动态生成反病毒数据库的方法的流程图。
图6示出了可用于实现本发明的示范性计算机系统的示意图。
具体实施方式
现在将根据本发明优选的实施例进行详细描述,其示例在附图中示出。
根据一个示范性实施例,提供一种用于通过根据用户参数动态生成反病毒数据库来减小反病毒数据库的大小的方法和系统。确定影响这一用户所需的反病毒数据库内容的关键用户参数。基于这些用户参数生成针对该单个用户的反病毒数据库。当该用户计算机的参数改变或者检测到新的恶意软件威胁时,根据新的参数和新的恶意软件威胁而动态地更新该用户反病毒数据库。
所有已知恶意软件对象(举例来说,诸如计算机病毒、木马、蠕虫、rootkit等等)与一些新的对象可以被反病毒系统检测到。然而,其电脑上运行有反病毒应用程序的用户并不需要一个包括大量该用户可能绝不会遇到的对象的完整反病毒数据库。例如,不需要用来自一个域的网站的黑名单来更新用户端反病毒数据库,当这个用户只访问另一个(不同的)域,并且从不访问来自第一个域的网站时。
而且,用户个人计算机上运行有不同版本的操作系统。不同的操作系统版本有不同类型的恶意软件威胁。这样,使用为特定操作系统而生成的反病毒数据库相对于可用于所有操作系统并包括大量非必需和冗余信息的通用反病毒数据库来说更有效率。优选的实施例通过基于该计算机参数生成专门用于特定用户计算机的反病毒数据库来解决这些问题。
图1示出了根据示范性实施例,多个用户计算机、服务器和反病毒数据库的总体布置图。每一台用户个人计算机120-128都有一组影响为每个用户所生成的反病毒数据库的参数。这些参数在下面将详细讨论。每一台用户个人计算机120-128都有其自己的反病毒数据库。如果一些用户计算机具有相同的参数,则用于这些计算机的反病毒数据库含有相同的数据。用于具有不同参数的计算机的反病毒数据库包含不同的数据。然而,这些数据库也可以有一些相同的数据。
反病毒数据库120-128基于通常存储在中央数据库111的信息而形成。如果用户计算机有相似或者相同的特点,那么他们的反病毒数据库将可以是相同或相似的。如果用户计算机的一些参数相似,那么基于那些参数的部分数据库可以是相同的。
在示范性实施例中,服务器-到-客户端(server-to-client)的访问通过互联网130连接来实现。更新服务器110为每一个使用服务器反病毒数据库111的用户生成反病毒数据库。每一台个人计算机的参数决定为这台个人计算机所生成的反病毒数据库的内容。当相应个人计算机的参数改变时,更新服务器110可以更新每一个反病毒数据库。该服务器反病毒数据库111包含在每一个有任意参数组的用户个人计算机上运行反病毒系统的功能所需要的数据。请注意服务器反病毒数据库111的大小明显比给定的用户端反病毒数据库要大,因为它包含所有当前已知的恶意软件相关数据。
图2示出了根据示范性实施例的一个系统的用户端。根据示范性实施例,用户个人计算机210包括用于扫描硬盘212是否有恶意软件对象的反病毒模块211。该反病毒模块211由用户端反病毒数据库216支持。硬盘212存储例如系统操作系统、网页浏览器、邮件客户端和其它用户文件。用户个人计算机210还包括用户配置文件生成模块213。该模块213收集用于生成用户配置文件所必须的参数。这些参数包含至少如下内容:
用户ID(一个唯一的编号)
用户位置(即,地理位置——一个国家或包括几个国家的地区)
用户计算机信息(操作系统版本;位置参数——用户语言、国家、时区等等;网页浏览器类型;邮件客户端类型等等)
反病毒应用程序版本
反病毒数据库版本
已访问网站统计数据
已检测到的恶意软件对象统计数据
此外,用户应用程序列表(其可以被恶意软件所使用)可以用作参数。考虑这个信息是为了生成能最优地适合用户210需求的反病毒数据库216,所述用户运行特定的一组应用程序。更新服务器110使用该用户参数数据作为用于生成反病毒数据库216的标准。
例如,用户位置可能被用于形成签名(signature)数据库,因为该签名数据库可能是依赖于国家的或者依赖于语言的等等。
由于恶意软件通常以操作系统中的或者应用程序软件中的特定漏洞为目标,因此用户计算机信息包括与已安装的操作系统、应用程序等有关的数据。
已访问网站的统计数据,其允许在访问特定网站或者特定类别的网站之后确定可能出现的威胁的种类,并在形成反病毒数据库时可以对其加以考虑。
例如,如果几个用户计算机有相同的位置、相同的操作系统版本、相同的网页浏览器、相同的邮件客户端等等,则为这些计算机所生成的反病毒数据库是相同的。然而,一个特定反病毒数据库216的完整内容取决于用户个人计算机210的每一个特定参数。因此,以上提供的参数的列表可以由反应用户及其个人计算机的附加参数所扩充。重要的是要能提出一组可以为单个用户生成最优反病毒数据库的参数。这样的反病毒数据库在尽可能缩减大小的同时提供最大限度的用户个人计算机保护。
因此,通过基于用户个人计算机210的选定参数动态地生成反病毒数据库可以有利地缩减反病毒数据库216的大小。根据示范性实施例,系统提供附加配置。例如,如果用户个人计算机210被用作邮件服务器,可以配置用户配置文件生成模块213使用户个人计算机210接受仅仅一部分在邮件消息中检测病毒和垃圾邮件所需的反病毒数据库。这种情况下,反病毒数据库216不会有在下载的网页中检测病毒所需要的部分。反病毒数据库216的大小相应地缩减。
在一个实施例中,由于资源所限(即,例如,带宽限制),系统可以配置用户配置文件生成模块213,使反病毒数据库只接收与最常见恶意软件对象相应的签名。这样,在最小幅度地降低系统安全性的同时,反病毒数据库216的大小被大幅缩减。
用户配置文件生成模块213准备好所有将要被发送给更新服务器110的数据。当用户计算机210在更新服务器110上初始注册时,用户配置文件生成模块213收集注册所需数据。为了做到这一点,从硬盘212中检索到用户应用程序数据和操作系统数据。还从反病毒模块211中检索到反病毒应用程序的版本。确定反病毒数据库216的版本。所有这些数据由用户配置文件生成模块213提供给请求生成模块214,所述请求生成模块214发送包含所有用户信息的请求给更新服务器110。
用户初次注册时,该用户接收到相应于那些用户可提供的计算机参数(操作系统、已安装的应用程序等)的反病毒数据库。其它信息可以包括他的位置、操作系统版本或者应用程序等。基于这些参数,将为该用户生成反病毒数据库。然后,该用户的计算机将向服务器提供关于已访问网站和任何已识别出的恶意软件及计算机配置、操作系统版本和应用程序等方面的任何改变的数据。换句话说,将更新在服务器上的用户配置文件,并且将相应地更新反病毒数据库。这样,每一个用户会有一个为他优化过的反病毒数据库。这种情况下,这个反病毒数据库对于这个用户来说在某种程度上是最优的概率相当高。那么,随着更新服务器收集到来自这个用户的数据,用户反病毒数据库被不断地修改,所以最终提供给用户最优的反病毒数据库。
如果用户计算机经历了一些改变(例如,更新操作系统、安装新的用户应用程序等),用户配置文件生成模块213检测到这些改变并将其发送给更新服务器110。然后,更新服务器110通过添加当前参数组所需的新数据来更新用户反病毒数据库216。
用户配置文件生成模块213还从反病毒模块211接收与检测到的恶意软件对象有关的信息并把这个信息通过请求生成模块214传输给更新服务器110。更新服务器110收集为生成用户反病毒数据库而纳入考虑的统计数据。用户个人计算机210包括从更新服务器110接收反病毒数据库的新版本的用户更新模块215,并更新用户反病毒数据库216。
图3示出了根据示范性实施例的系统的服务器端。更新服务器110通过从用户计算机接收用户请求并处理这些请求的请求处理模块311与用户计算机通信。请求处理模块311向用户配置文件数据库312中插入用户请求中所包含的新数据。请求处理模块311还将接收到的新的用户数据通知给数据处理模块313。
或者,如果系统没有用户配置文件数据库312,请求处理模块311将接收到的用户数据直接传输给数据处理模块313。用户配置文件数据库312含有加快用户数据分析进程所需的用户相关数据。用户相关数据不影响反病毒数据库的生成进程。因此,在可替代实施例中,用户配置文件数据库312可以不在更新服务器110中。
数据处理模块313分析用户个人计算机相关数据。这一分析包括与已检测到的恶意软件对象相关的数据。当按计划更新用户反病毒数据库时进行分析。也可以当接收到更新用户反病毒数据库的用户请求时进行分析。分析还可以包括为每一个用户检查参数,其中用户特定数据库基于这些参数而形成。
如果需要更新用户反病毒数据库,请求处理模块311会接收到来自用户个人计算机的相应请求。数据处理模块313分析来自数据库312的数据。然后,基于对包含在用户配置文件数据库312中的用户配置文件的分析的结果,数据处理模块313生成对用户反病毒数据库的需求并将这些需求提供给数据选择模块314。
如果用户个人计算机的至少一个参数改变,请求处理模块311会接收到包含有反映参数改变的数据的请求,并且改变后的参数会被插入到数据库312中。数据处理模块313基于参数改变生成新的需求。数据选择模块314接收来自数据处理模块313的需求,并通过从服务器反病毒数据库315选择相关部分(即,服务器反病毒数据库的子集)来准备所需的数据。
将数据库315的已选择的部分通过服务器更新模块316传输到用户个人计算机210。然后,用户更新模块215接收已选择的部分并更新用户反病毒数据库216。周期性地修改恶意软件对象并创建新的恶意软件对象。因此,服务器反病毒数据库315也需要被更新。一些过期的和冗余的记录同样需要从服务器反病毒数据库315中删除。这样,服务器反病毒数据库315中的所有改变必然会反映到用户反病毒数据库中。
根据示范性实施例,用户反病毒数据库216与服务器反病毒数据库315通过强制更新模块317保持同步。当服务器反病毒数据库315更新时,强制更新模块317发送通知给数据处理模块313。然后,数据处理模块执行数据分析(不按顺序)并为用户反病毒数据库216生成新的需求。然后,执行如上文所述的用户反病毒数据库216的更新。
图4中描述了包含在用户配置文件数据库312中的数据。每一个用户有一个唯一的ID(数字或字母串)。用户配置文件数据库312包含在用户请求中接收到的所有数据,例如:用户位置;用户计算机相关数据;用户反病毒应用程序版本;用户反病毒数据库版本;数据积累周期;已访问网站相关的统计数据;已检测到的恶意软件对象统计数据等。
图5示出了根据一个示范性实施例,用于动态生成反病毒数据库的方法的流程图。在步骤510,基于与用户计算机相关的数据来形成用户配置文件。在步骤511将包含有用户配置文件信息的用户请求发送到更新服务器。在步骤512中处理用户请求数据,并在步骤513中写入用户配置文件数据库中。在步骤514中分析用户配置文件数据并生成新的需求。在步骤515中基于新的需求而从服务器反病毒数据库选择相关数据。在步骤516中通过已选择的数据更新用户反病毒数据库。
参考图6,用于实现本发明的示范性系统包括以计算机120或类似物为形式的通用计算设备,其包括处理单元21,系统存储器22和将包括系统存储器在内的各种系统组件耦连到处理单元21的系统总线23。
系统总线23可以是包括存储器总线或者存储器控制器、外围总线和使用各种总线架构的任意一种的局部总线在内的几类总线结构的任意一种。系统存储器包括只读存储器(ROM)24和随机访问存储器(RAM)25。ROM24中存储有基本的输入/输出系统26(BIOS),该基本的输入/输出系统26包括例如在开机过程中帮助在计算机120内部的元件间传输信息的基本例程。
计算机120可以进一步包括:用于读写没有示出的硬盘的硬盘驱动器27、用于读写可移动磁盘29的磁盘驱动器28和用于读写诸如CD-ROM, DVD-ROM或其它光学介质的可移动光盘31的光盘驱动器30。硬盘驱动器27、磁盘驱动器28和光盘驱动器30分别通过硬盘驱动器接口32、磁盘驱动器接口33和光盘驱动器接口34连接到系统总线23。驱动器和与它们相关联的计算机可读介质为计算机120提供计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。
尽管在此描述的示例环境使用了硬盘、可移动的磁盘29和可移动的光盘31,本领域的技术人员应当知道可对计算机可访问数据加以存储的其它种类的计算机可读介质也可用于该示范性操作系统环境中,例如,磁带、闪存卡、数字视频盘、贝努里(Bernoulli)盒式磁带、随机访问存储器(RAM)、只读存储器(ROM)等等。
可以将包括操作系统35在内的多个程序模块存储在硬盘、磁盘29、光盘31、ROM 24或者RAM 25上。计算机120包括与操作系统35相关联的或者包含在操作系统35内的文件系统36、一个或多个应用程序37、其它程序模块38和程序数据39。用户可以通过诸如键盘40和指示设备(pointing device)42的输入设备输入命令和信息到计算机120中。其它输入设备(没有示出)可以包括麦克风、操纵杆、游戏垫、卫星天线、扫描仪等等。
这些和其它的输入设备通常通过耦连到系统总线的串行接口46连接到处理单元21,但是也可能通过其它接口连接,诸如并行接口、游戏端口或通用串行总线(USB)。监视器47或者其它类型的显示设备也通过诸如视频适配器48的接口连接到系统总线23。除了监视器47,个人计算机通常包括其它外围输出设备(没有示出),诸如扬声器和打印机。
计算机120可以使用到一个或多个远程计算机49的逻辑连接而在网络环境中运行。尽管只示出了存储设备50,远程计算机(或计算机组)49可以是另一台计算机、服务器、路由器、网络个人计算机、对等设备或其它常见的网络节点,通常包括上文描述的多个或者全部和计算机120相关的元件。逻辑连接包括局域网(LAN)51和广域网(WAN)52。这样的网络连接环境在办公室、企业范围内的计算机网络、内部网和互联网中很常见。
当在局域网环境中使用时,计算机120通过网络接口或者适配器53连接到局域网51。当在广域网环境中使用时,计算机120通常包括调制解调器54或者用于在例如互联网的广域网52中建立通信的其它方式。
调制解调器54可以是内置的或者外置的,通过串行接口46连接到系统总线23。在网络环境中,所描述的与计算机120相关的程序模块或者其部分可以存储在远程存储设备中。可以理解的是示出的网络连接是示例性的,可以使用在计算机之间建立通信连接的其它方式。
通过这样描述一个优选的实施例,对本领域技术人员显而易见的是,所描述的方法和装置具有一定的优点。具体而言,本领域技术人员应当理解的是,所提出的系统和方法用于通过基于用户参数为单个用户动态生成反病毒数据库的方式来缩减反病毒数据库。
还应当理解的是,可以在本发明的精神和范围内做出各种修改、适应及其替代实施例。本发明被权利要求进一步限定。

Claims (18)

1.一种用于动态生成反病毒数据库的计算机实现的系统,所述系统包括:
服务器端反病毒数据库,包含与已知恶意软件对象相关的数据;
请求处理模块,用于从用户计算机接收用户请求并处理包含在所述请求中的用户参数数据;
数据处理模块,用于处理从所述请求处理模块接收的所述用户参数数据并基于所述用户参数数据生成用户需求;
数据选择模块,用于基于所述用户需求从所述服务器端反病毒数据库选择数据并生成子集反病毒数据库;以及
服务器更新模块,连接到所述数据选择模块,用于将所述子集反病毒数据库发送给用户计算机以更新用户端反病毒数据库。
2.如权利要求1所述的系统,进一步包括连接到所述请求处理模块的用户配置文件数据库,所述用户配置文件数据库包含来自所述用户请求的所述用户参数数据。
3.如权利要求2所述的系统,进一步包括耦连到所述数据处理模块的强制更新模块,其中当所述服务器端反病毒数据库被更新时,所述强制更新模块发送通知给所述数据处理模块。
4.如权利要求3所述的系统,其中所述数据处理模块基于来自所述用户配置文件数据库的所述用户参数数据生成需求。
5.如权利要求1所述的系统,其中所述用户参数数据包括任意以下各项:
用户ID;
用户位置;
用户操作系统版本;
用户应用程序;
用户反病毒应用程序版本;
用户端反病毒数据库版本;
数据积累周期;
用户已访问网站相关统计数据;以及
已检测到的恶意软件对象统计数据。
6.如权利要求1所述的系统,其中所述请求处理模块连接到用户计算机的请求生成模块。
7.如权利要求1所述的系统,其中所述服务器更新模块连接到位于用户计算机上的用户更新模块,且所述服务器更新模块将所述子集反病毒数据库发送给所述用户更新模块。
8.如权利要求1所述的系统,其中所述用户请求接收自多个用户计算机并且其中所述子集反病毒数据库被发送给多个用户计算机以更新用户端反病毒数据库。
9.如权利要求1所述的系统,其中所述服务器更新模块在注册时提供所述子集反病毒数据库给用户计算机。
10.一种用于动态生成反病毒数据库的计算机实现的方法,所述方法包括:
接收用户参数数据;
处理所述用户参数数据并基于所述用户参数数据生成用户需求;
基于所述用户需求从服务器端反病毒数据库选择数据;
基于所述已选择数据生成子集反病毒数据库;
提供所述子集反病毒数据库给所述用户以更新用户端反病毒数据库。
11.如权利要求10所述的方法,其中所述用户参数数据包括任意以下各项:
用户ID;
用户位置;
用户操作系统版本;
用户应用程序;
用户反病毒应用程序版本;
用户端反病毒数据库版本;
数据积累周期;
用户已访问网站相关统计数据;以及
已检测到的恶意软件对象统计数据。
12.如权利要求10所述的方法,进一步包括将所述用户参数数据存储在用户配置文件数据库中。
13.如权利要求10所述的方法,进一步包括检测所述服务器端反病毒数据库的更新。
14.如权利要求13所述的方法,进一步包括基于来自所述用户配置文件数据库的所述用户参数数据来生成新的需求,基于所述新的需求生成新的子集反病毒数据库并提供所述新的子集反病毒数据库给所述用户以更新用户端防病毒数据库。
15.一种用于更新用户反病毒数据库的计算机实现的系统,所述系统包括:
用户端反病毒模块,用于扫描用户硬盘驱动器;
所述反病毒模块可访问的用户端反病毒数据库,包含与已知恶意软件对象相关的用户特定的数据;
用户配置文件生成模块,用于从所述硬盘驱动器读取用户参数数据并生成用户配置文件;
请求生成模块,连接到所述用户配置文件生成模块,用于基于所述用户配置文件生成请求,其中所述请求生成模块发送所述请求给服务器请求处理模块;
用户更新模块,用于从服务器接收更新并将其写到所述用户端反病毒数据库,
其中所述用户更新基于所述用户配置文件,作为服务器端反病毒数据库的子集而生成。
16.如权利要求15所述的系统,其中当所述服务器端反病毒数据库被更新时,所述用户更新模块接收所述服务器端防病毒数据库的新的子集。
17.如权利要求15所述的系统,其中所述用户参数数据包括任意以下各项:
用户ID;
用户位置;
用户操作系统版本;
用户应用程序;
用户反病毒应用程序版本;
用户端反病毒数据库版本;
数据积累周期;
用户已访问网站相关统计数据;以及
已检测到的恶意软件对象统计数据。
18.如权利要求15所述的系统,其中所述用户更新模块在注册时接收所述子集反病毒数据库。
CN201110295037.8A 2011-03-28 2011-09-28 用于动态生成反病毒数据库的系统和方法 Active CN102368289B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2011111600 2011-03-28
RU2011111600/08A RU2449360C1 (ru) 2011-03-28 2011-03-28 Система и способ формирования антивирусных баз в соответствии с параметрами персонального компьютера

Publications (2)

Publication Number Publication Date
CN102368289A true CN102368289A (zh) 2012-03-07
CN102368289B CN102368289B (zh) 2015-12-09

Family

ID=45478072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110295037.8A Active CN102368289B (zh) 2011-03-28 2011-09-28 用于动态生成反病毒数据库的系统和方法

Country Status (3)

Country Link
EP (2) EP2506179A3 (zh)
CN (1) CN102368289B (zh)
RU (1) RU2449360C1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104732148A (zh) * 2015-04-14 2015-06-24 北京汉柏科技有限公司 分布式查杀的方法及系统
CN104798080A (zh) * 2012-11-15 2015-07-22 微软公司 反恶意软件签名的动态选择和加载
CN111079146A (zh) * 2019-12-10 2020-04-28 苏州浪潮智能科技有限公司 一种恶意软件处理方法与装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8826431B2 (en) * 2012-11-20 2014-09-02 Symantec Corporation Using telemetry to reduce malware definition package size
RU2614929C1 (ru) 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов
CN110309063A (zh) * 2019-05-29 2019-10-08 宿州学院 一种基于云计算的软件测试环境动态生成系统及其实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1330097A2 (en) * 2002-01-17 2003-07-23 NTT DoCoMo, Inc. System and method for detecting computer viruses in a mobile communication system
CN101127638A (zh) * 2007-06-07 2008-02-20 飞塔信息科技(北京)有限公司 一种具有主动性的病毒自动防控系统和方法
US20110047620A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for server-coupled malware prevention

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6898591B1 (en) * 1997-11-05 2005-05-24 Billy Gayle Moon Method and apparatus for server responding to query to obtain information from second database wherein the server parses information to eliminate irrelevant information in updating databases
US7430760B2 (en) * 2003-12-05 2008-09-30 Microsoft Corporation Security-related programming interface
RU80037U1 (ru) * 2007-10-31 2009-01-20 ЗАО "Лаборатория Касперского" Система управления антивирусными мобильными приложениями
KR100994134B1 (ko) 2008-04-21 2010-11-12 주식회사 안철수연구소 악성 코드 진단 및 치료 장치의 업데이트 방법
KR100996855B1 (ko) * 2008-08-29 2010-11-26 주식회사 안철수연구소 정상 파일 데이터베이스 제공 시스템 및 방법
US7743419B1 (en) * 2009-10-01 2010-06-22 Kaspersky Lab, Zao Method and system for detection and prediction of computer virus-related epidemics
WO2011046356A2 (ko) * 2009-10-12 2011-04-21 삼성에스디에스 주식회사 안티 멀웨어 서비스 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1330097A2 (en) * 2002-01-17 2003-07-23 NTT DoCoMo, Inc. System and method for detecting computer viruses in a mobile communication system
CN101127638A (zh) * 2007-06-07 2008-02-20 飞塔信息科技(北京)有限公司 一种具有主动性的病毒自动防控系统和方法
US20110047620A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for server-coupled malware prevention

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104798080A (zh) * 2012-11-15 2015-07-22 微软公司 反恶意软件签名的动态选择和加载
CN104798080B (zh) * 2012-11-15 2018-05-18 微软技术许可有限责任公司 反恶意软件签名的动态选择和加载
CN104732148A (zh) * 2015-04-14 2015-06-24 北京汉柏科技有限公司 分布式查杀的方法及系统
CN111079146A (zh) * 2019-12-10 2020-04-28 苏州浪潮智能科技有限公司 一种恶意软件处理方法与装置

Also Published As

Publication number Publication date
EP2506179A3 (en) 2012-11-21
EP2506179A2 (en) 2012-10-03
RU2449360C1 (ru) 2012-04-27
EP2827273A1 (en) 2015-01-21
CN102368289B (zh) 2015-12-09

Similar Documents

Publication Publication Date Title
US8776234B2 (en) System and method for dynamic generation of anti-virus databases
US9621597B2 (en) Systems and methods for digital forensic triage
CN102592079B (zh) 用于检测未知恶意软件的系统和方法
EP2452287B1 (en) Anti-virus scanning
CN102368289A (zh) 用于动态生成反病毒数据库的系统和方法
US20180260888A1 (en) Validating Mortgage Documents
US10101990B2 (en) Software update system, firmware over the air updating system and method of updating a client device
US20160012226A1 (en) System and method for identifying installed software products
US9830452B2 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
US20060156129A1 (en) System for maintaining data
US11580220B2 (en) Methods and apparatus for unknown sample classification using agglomerative clustering
US9106688B2 (en) System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
MXPA05004356A (es) Localizacion de lenguaje utilizando tablas.
US9355250B2 (en) Method and system for rapidly scanning files
CN102918533A (zh) 基于声明的内容名誉服务
US10031706B2 (en) Managing print jobs
US20170244741A1 (en) Malware Identification Using Qualitative Data
WO2021084020A1 (en) Detection of security threats in a network environment
US20090037809A1 (en) Server based control of ad placement in client software
US9811439B1 (en) Functional testing of code modifications for read processing systems
US20240095289A1 (en) Data enrichment systems and methods for abbreviated domain name classification
US9584882B1 (en) Communication generation using sparse indicators and sensor data
CN102289456A (zh) Web爬行的差异检测
JP2008250864A (ja) データ保存方法、データ保存システム及び情報処理装置
US20210329015A1 (en) Methods and apparatus to identify suspicious electronic communication based on communication history

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant