CN103843002B - 使用云技术对恶意软件的动态清理 - Google Patents
使用云技术对恶意软件的动态清理 Download PDFInfo
- Publication number
- CN103843002B CN103843002B CN201280048137.3A CN201280048137A CN103843002B CN 103843002 B CN103843002 B CN 103843002B CN 201280048137 A CN201280048137 A CN 201280048137A CN 103843002 B CN103843002 B CN 103843002B
- Authority
- CN
- China
- Prior art keywords
- malware
- cleaning
- instruction
- response
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种用于提供恶意软件清理的方法包括检测在连接到网络的第一装置上的潜在恶意软件。包括信息以允许连接到网络的第二装置确定适当的清理响应的请求通过网络从第一装置发送到第二装置。在接收请求时,第二装置尝试识别的适当清理响应,并且如果响应已识别,则通过网络将清理响应发送到第一装置。清理响应可由第一装置用于解决检测到的潜在恶意软件。
Description
相关申请交叉引用
本申请要求具有2011年9月7日提出的美国专利申请13/227407的优先权,该申请通过引用整体结合于本文中。
背景技术
本公开内容一般涉及计算机安全性领域。更具体但非限制性地说,它涉及提供清理代码以在接近在装置上检测到恶意软件的时间从装置移除恶意软件以及消除其影响。
恶意软件(malware)是用于描述感染计算机系统并且能够具有变化程度的影响的恶意软件的广义术语。例如,恶意软件的影响能够从恼人和不需要的恶意广告软件和间谍软件到使计算机系统实际上变得无用的计算机病毒、蠕虫和特洛伊木马。通过连接到诸如因特网等网络的大量装置和到这些网络的高速连接的扩充,恶意软件威胁能够极快地从一个系统散布到另一个系统。因此,一般实践是在这些装置上采用某一类型的防病毒应用(术语防病毒涉及广泛的多种恶意软件)以检测在装置上的恶意软件,并且如果必要,则执行所需清理功能以移除恶意软件并且修复其影响。
由于恶意软件创建者不断引入新和独特形式的恶意软件,因此,防病毒应用必须定期更新以包括能够检测并且修复最近引入的恶意软件威胁的技术。相应地,防病毒软件提供商通常将定义文件作为更新分布到其防病毒应用。这些定义文件一般由表示已知恶意软件的特征文件(signature file)和如果检测到已知恶意软件则将其移除并且修复其影响的清理代码组成,系统文件能够与特征文件进行比较以检测恶意软件。然而,即使有这些更新,在新定义文件作为更新的一部分变得可用之前,恶意软件威胁也可能感染大量的计算机系统。
防病毒软件提供商因此采用了云技术以检测恶意软件。云技术允许经网络连接将服务和数据从远程位置提供到本地装置。例如,就使用防病毒软件的恶意软件检测而言,可利用云技术将有关基于装置上安装的定义文件不能识别为恶意软件的可疑系统文件的信息封装并且经因特网连接传送到与防病毒软件提供商相关联的网络装置以做进一步检查。网络装置能够评估提供的信息并且通过文件是或不是恶意软件的指示做出响应。因此,甚至在包含恶意软件的特征的更新的定义文件尚未作为软件更新的一部分提供的情况下,也可能使用云技术检测恶意软件。然而,响应使用云技术的恶意软件的检测,仅解决恶意软件的最常规的补救措施可用。例如,解决无用于其的特定清理代码的检测到的恶意软件的默认补救措施可以是简单地删除可疑文件。此类措施经常未能完全解决威胁,并且因此防病毒软件的用户要等待包含适当清理代码的下一软件更新以解决检测到的恶意软件。
甚至在使用本地装置上安装的防病毒应用检测到恶意软件的情况下,防病毒应用可不具有适当的清理代码。例如,防病毒应用可包括启发式检测技术,根据启发式检测技术,软件可不通过比较系统文件和已知恶意软件的特征,而是通过评估系统文件以检测与恶意软件相似的属性来检测恶意软件。使用此类型的检测,防病毒软件能够检测恶意软件而不使用表示特定恶意软件的特征。由于此技术不通过将文件识别为特定已知恶意软件,而是通过将文件识别为与恶意软件的一般属性相一致来检测恶意软件,因此,可能无特定清理代码将作为定义文件的一部分可用于解决检测到的恶意软件。此处同样地,用户可能要等待包含适当清理代码的下一软件更新以解决检测到的恶意软件。
因此,需要解决与现有技术相关联的这些和其它问题。
发明内容
在第一实施例中,一种用于提供恶意软件清理的方法包括检测在连接到网络的第一装置上的潜在恶意软件,通过网络将请求从第一装置发送到第二装置,请求包括允许第二装置确定适当清理响应的信息,以及通过网络在第一装置接收来自第二装置的清理响应,清理响应可由第一装置用于移除检测到的潜在恶意软件。
在第二实施例中,计算机程序产品包括执行第一实施例的方法的计算机指令。
在第三实施例中,系统包括客户端和服务器。客户端包括存储装置和操作性耦合到存储装置的处理器,处理器适用于执行在存储装置中存储的程序代码以检测潜在的恶意软件,并且通过网络发送包含与检测到的潜在恶意软件有关的信息的请求。服务器包括存储装置和操作性耦合到存储装置的处理器,处理器适用于执行在存储装置中存储的程序代码以通过网络接收来自客户端的请求,确定清理响应,并且通过网络将清理响应发送到客户端,清理响应可由客户端用于移除检测到的潜在恶意软件。
在第四实施例中,一种用于提供恶意软件清理的方法包括在第二装置通过网络接收来自第一装置的恶意软件清理请求,识别恶意软件清理请求的恶意软件定义部分,搜索第二装置的数据仓库是否有匹配识别的恶意软件定义部分的记录,以及通过网络将清理响应从第二装置发送到第一装置,清理响应从记录确定。
附图说明
图1是根据一个实施例,示出网络体系结构的框图。
图2是根据一个实施例,示出代表性硬件环境的框图。
图3是根据一个实施例,示出用于使用云技术提供动态恶意软件清理的过程的流程图。
图4是根据一个实施例,示出用于使用云技术提供动态恶意软件清理的网络体系结构的框图。
图5是根据一个实施例,示出用于使用云技术接收和处理对动态恶意软件清理的请求的过程的流程图。
具体实施方式
在下面的描述中,为便于解释,陈述了许多细节以便提供本发明的详尽理解。然而,本领域的技术人员将明白,本发明可在这些特定细节中的一些细节不存在的情况下实行。在其它情况下,结构和装置以方框图形式示出以避免混淆本发明。对无下标或后缀的号码的引用要理解为引用对应于引用号码的下标和后缀的所有实例。另外,在本公开内容中使用的语言主要选择用于实现可读性和指导目的,并且可未选择以描述或限定发明性主题,需确定此类发明性主题时参照权利要求。说明书对“一个实施例”或“一实施例”的引用指结合该实施例描述的特定特性、结构或特性包括在本发明的至少一个实施例中,并且对“一个实施例”或“一实施例”的多次引用不应理解为必要全部引用相同实施例。
图1根据一个实施例示出网络体系结构100。如图所示,提供了多个网络102。在当前网络体系结构100的上下文中,网络102可每个采用任何形式,包括但不限于局域网(LAN)、无线网络、诸如因特网等宽域网(WAN)、对等网络等。
与网络102耦合的是能够通过网络102进行通信的服务器104和客户端106。此类服务器104和/或客户端106可每个包括台式计算机、膝上型计算机、手持式计算机、移动电话、个人数字助理(PDA)、外设(例如,打印机等)、计算机的任何组件和/或能够通过网络102进行通信的任何其它类型的装置。至少一个网关108选择性地耦合在网络102之间,使得连接到特定网络102的每个服务器104和客户端106可以能够与连接到不同网络102的服务器104和客户端106进行通信。
图2根据一个实施例示出可与图1的服务器104和/或客户端106相关联的代表性硬件环境。此类图形根据一个实施例示出工作站的典型硬件配置,工作站具有诸如微处理器等中央处理单元210和经系统总线212互连的多个其它单元。
图2所示工作站包括随机存取存储器(RAM) 214、只读存储器(ROM) 216、用于连接诸如盘存储单元220的外设装置到总线212的I/O适配器218、用于连接键盘224、鼠标226、扬声器228、麦克风232和/或诸如触摸屏(未示出)等其它用户接口装置到总线212的用户接口适配器222、用于连接工作站到诸如图1的任何网络102等通信网络的通信适配器234及用于连接总线212到显示装置238的显示适配器236。
工作站上可驻留有任何所需操作系统。一实施例也可在提及的那些平台和操作系统外的平台和操作系统上实现。一个实施例可使用JAVA、C和/或C++语言或其它编程语言及面向对象的编程方法编写。面向对象的编程(OOP)已变得越来越多地用于开发复杂的应用。
本文中陈述的各种实施例可利用硬件、软件或其任何所需组合实现。能够实现本文中陈述的各种功能性的任何类型的逻辑均可利用。
参照图3,在一示例实施例中,示出用于使用云技术提供动态恶意软件清理的过程。为清晰起见,恶意软件清理的动作指包括但不限于寻求移除任何类型的恶意软件的影响,使其失效,将其隔离(即,在系统的单个区域中分隔以阻止有害影响散布到系统的其它区域)和/或修复任何类型的恶意软件的影响的任何动作。在所示实施例中,提供动态恶意软件清理从检测在装置上的恶意软件的过程开始。装置可能是能够受恶意软件影响的任何装置,如上面在图1中描述的任何装置。通过使用能够检测到恶意软件的任何所需技术,可检测在装置上的恶意软件。检测在装置上的恶意软件的过程可包括比较装置的文件和在装置上存储的已知恶意软件特征(signature)。备选,检测恶意软件的过程可包括将有关装置上的可疑文件的信息封装和传送到网络装置,以做出有关文件是否为恶意软件的确定。也可使用基于启发式或行为的检测技术,检测在装置上的恶意软件。如果在步骤302未检测到恶意软件,则尝试检测在装置上的恶意软件的过程继续。例如,如下面将描述的一样,搜索恶意软件可持续执行或者响应在装置上的某些事件而执行。
然而,如果在步骤302检测到恶意软件,则在步骤304确定用于检测到的恶意软件的适当清理过程在装置上是否可用。在一个实施例中,负责检测恶意软件的防病毒应用可确定清理代码是否可用作用于检测到的特定恶意软件的防病毒应用的一部分。在一个实施例中,如果用于检测到的特定恶意软件的清理过程不可用,过时,或者不可能提供令人满意结果,则适当的清理过程在装置不可用。如果适当的清理过程在装置可用,则在306,利用本地可用的清理过程移除检测到的恶意软件并且修复恶意软件的影响。在一个实施例中,使用本地可用清理过程移除检测到的恶意软件并且修复其影响306可包括执行作为在装置上安装的防病毒应用的一部分的程序代码。使用本地可用清理过程修复恶意软件并且移除其影响可以任何所需方式执行。
如果适当清理过程在装置不可用,则在308可使用装置的网络连接,通过通信网络将有关检测到的恶意软件的信息发送到服务器。在一个实施例中,借助于因特网连接,装置可访问服务器。然而,借助于诸如上面图1所述的那些连接等任何所需网络连接,装置可访问服务器。在一个实施例中,服务器可以是附属于在装置上安装的防病毒应用的提供商的服务器。虽然接收装置被描述为服务器,但将理解的是,接收装置可以是能够接收从装置发送的信息和相应地处理信息的任何网络装置。在一个实施例中,可以有能够接收来自装置的有关恶意软件的检测的信息的多个服务器。根据检测到的恶意软件的类型、装置的位置等等,可确定适当的服务器。服务器因此可以是能够接收信息并且提供适当的响应到装置的任何网络装置。
在一个实施例中,发送到服务器的信息可包括被识别为检测到的恶意软件的文件的哈希。在一个实施例中,可加密发送到服务器的信息。可使用私有密钥密码(即,对称密码)或公共密钥密码(即,非对称密码)将信息加密。然而,发送到服务器的信息可包括能够允许服务器识别与检测到的恶意软件相关联的适当清理响应的任何信息。例如,在一个实施例中,信息可由服务器用于执行数据库查找,交叉引用特定类型的恶意软件到对应清理响应。
响应有关检测到的恶意软件的信息的接收,服务器可在310通过适当的清理响应做出响应。如下面将更详细描述的一样,在各种实施例中,服务器提供的响应可包括引用装置上已经存在的清理代码(例如作为在装置上安装的防病毒应用的一部分)的指令、由装置执行的清理例程、引用装置上现有清理代码的指令和要由装置执行的清理例程的组合或从不同网络装置获得清理响应的指令。然而,响应可包括能够允许装置移除检测到的恶意软件并且修复其影响的任何内容。在步骤312,装置可利用响应移除检测到的恶意软件并且修复其影响。
参照图4,在一示例实施例中,用于提供动态恶意软件清理的网络体系结构包括上面已安装有防病毒应用408的工作站402。工作站402借助于网络连接403连接到网络426。工作站402示为个人计算机,但能够是能受恶意软件影响的任何装置,如上面图1中讨论的任何装置。在一个实施例中,工作站402可实际上是虚拟机(即,机器的软件实现),上面在执行防病毒应用408。
在一个实施例中,防病毒应用408可能由工作站402用于保护工作站402免于恶意软件威胁。防病毒应用408可配置成解决创建以中断工作站402的正常和预期操作的任何类型的恶意软件。此类恶意软件威胁可包括但不限于计算机病毒、蠕虫、特洛伊木马、间谍软件、恶意广告软件、垃圾邮件软件等。防病毒应用408例如可能检测到在工作站402上存在的恶意软件,并且采取必要的动作以移除检测到的恶意软件,使其失效,将其隔离等。
在一个实施例中,防病毒应用408可包含扫描触发器410和定义文件412。本领域普通技术人员将理解的是,防病毒应用408的内容的描绘此处用于引用某些对象以描述公开内容的实施例,而不是提供防病毒应用408的内容的详尽清单。
扫描触发器410可包括用于促使防病毒应用408启动工作站402的特定文件、文件目录等的评估的计算机代码。扫描触发器410可基于工作站402上各种事件的发生而被激活。例如,在一个实施例中,扫描触发器410可响应用户尝试访问文件而启动文件的评估。在另一实施例中,扫描触发器410可根据防病毒应用408的常规调度,启动文件或文件目录的评估。例如,扫描触发器410可基于常规调度间隔,触发特定文件或文件目录的评估。
定义文件412可包含恶意软件特征414、清理过程415和清理代码416。恶意软件特征414可包括已知恶意软件的代码的代表性模式或能够用于识别恶意软件的其它数据。在扫描触发器410启动时,可使用恶意软件特征414扫描特定文件,以确定文件中的任何代码是否匹配已知恶意软件的恶意软件特征414的任一个。定义文件412可另外包含有利于检测到的恶意软件的移除和恶意软件的任何影响的修复的清理代码416。在一个实施例中,清理代码416可包含用于移除恶意软件和/或减轻其影响的例程库。防病毒应用408可利用清理过程415启动清理代码416的适当例程。清理过程415可包含将特定恶意软件与要执行以解决恶意软件的清理代码416的适当清理例程相关的记录。例如,在识别特定恶意软件威胁时,防病毒应用408可咨询清理过程415以启动明确已知为抗击检测到的特定恶意软件威胁的清理代码416的某些例程的执行。如果检测到不同恶意软件威胁,则清理过程415可调用清理代码416的不同例程的执行。在一个实施例中,软件更新可例行由防病毒应用408的提供商提供,以便更新定义文件412以包括用于最近识别的恶意软件威胁的恶意软件特征414、清理过程415和清理代码416。
防病毒应用408可确定用于特定检测到的恶意软件威胁的清理过程415不可用,过时或不可能提供令人满意结果。例如,在一个实施例中,恶意软件检测可能是使用云技术的检测的结果。通过使用云技术,可利用在诸如服务器等远程网络位置存储而不是作为定义文件412的恶意软件特征414的一部分的特征,检测恶意软件。在一个实施例中,服务器可以是服务器404。通过使用此检测方法,本地装置402可通过网络连接提供有关可疑文件的信息到远程位置以便进行评估。然而,在使用云技术检测到恶意软件时,由于在定义文件412中没有用于检测到特定恶意软件的恶意软件特征414,因此,用于特定检测到的恶意软件的记录可在清理过程415不可用于指示抗击检测到的恶意软件的清理代码416。
在另一实施例中,恶意软件检测可基于特定文件的启发式分析。由于启发式分析检测恶意软件的一般模式,而不是特定类型的恶意软件,因此,用于利用启发式分析检测到的特定恶意软件的条目可在清理过程415中不可用于指示抗击检测到的恶意软件的适当清理代码416。
在仍有的另一实施例中,可将检测到的恶意软件识别为展示特定恶意软件的充分特性,从而利用定义文件412的恶意软件特征414能够识别它。然而,可确定检测到的恶意软件虽然具有恶意软件特征所基于的已知恶意软件的特性,但具有未在已知恶意软件中观察到的独特属性。相应地,可确定与恶意软件特征414所基于的已知恶意软件相关联的清理过程415可在应用检测到的恶意软件时不提供令人满意结果。因此,通过使用本文中公开的云技术,可降低提供用于检测到的恶意软件的不当清理的可能性。
在还有的另一实施例中,定义文件412可指示清理过程415已过时。例如,包含定义文件412的软件更新可认识到包括有用于其的恶意软件特征414的特定恶意软件威胁演进太快,使得应仅在使用云技术确定更适合的清理是否可用后才使用对应清理过程415。因此,在利用对应于快速演进的恶意软件威胁的清理近程415之前,防病毒应用408可使用云技术确定清理过程415是否仍适当。本领域普通技术人员将认识到可存在确定清理过程415不可用,过时或不可能提供令人满意结果的另外的原因。
根据图4所示实施例,在防病毒应用408确定清理过程415不可用,过时或不可能提供令人满意结果时,防病毒应用408可使用云技术请求恶意软件清理。如图所示,工作站402借助于到网络426的网络连接,连接到附属于防病毒应用408的提供商的服务器404。服务器404借助于网络连接405连接到网络426。服务器404可以是能够响应来自多个工作站402的网络请求并且执行下述功能的任何装置。在一个实施例中,网络426可以是因特网。然而,网络426可以是上面在图1中所述的任何网络。如图所示,防病毒应用408可提示工作站402使用网络426发出对来自服务器404的恶意软件清理的请求418。在一个实施例中,工作站402可发出请求,如用于恶意软件清理的域名系统(DNS)查询或超文本传送协议(HTTP)请求。在另一实施例中,工作站402可利用文件传送协议(FTP)将数据上载到服务器404。也可根据需要使用其它类型的请求。在一个实施例中,请求418可包含已检测为恶意软件的文件的哈希。在一个实施例中,请求418可包含加密的信息。在一个实施例中,请求418可包括密钥或其它数据,使得服务器404可将请求418鉴权为源于已知防病毒应用408的合法请求。在另一实施例中,请求418的接收可提示服务器发出请求,请求工作站402的用户输入密码以便对请求418进行鉴权。对恶意软件清理的请求418能够采取能提供必要信息到服务器404从而能够提供适当的恶意软件清理响应的任何形式。
响应接收对恶意软件清理的请求418,服务器404可评估请求的内容以识别检测到的恶意软件并且确定适当的响应。在一个实施例中,服务器404可咨询将特定恶意软件威胁与适当响应相关联的数据仓库428(例如,库、数据库或数据存储的其它部件)。在一个实施例中,服务器404可将工作站402提供的加密信息解密,并且使用解密的信息识别检测到的恶意软件,以及基于数据仓库428中的关系信息,确定适当的响应。在一个实施例中,服务器404可比较作为请求418的一部分发送的可疑文件的哈希和数据仓库428中文件哈希的数据库以确定适当响应。服务器404可识别检测到的恶意软件并且以任何所需方式确定适当的响应。
在服务器404已识别检测到的恶意软件并且确定适当响应后,服务器404可向工作站402发出响应420。在一个实施例中,响应可以是来自工作站402的DNS查询或HTTP请求的响应。在另一实施例中,响应420可利用文件传送协议(例如,FTP、TFTP、FTPS等)将数据传送到工作站402。在一个实施例中,响应420可被加密,并且必须由防病毒应用408解密。本领域普通技术人员将理解,响应420能够以任何所需方式做出以使用网络426将适当信息从服务器404传递到工作站402。
如下面将描述的一样,清理响应420可采用各种形式。在某些实施例中,清理响应420可包含清理指令和/或清理例程。为清晰起见,清理指令引用现有清理代码416的特定例程。另一方面,清理例程是清理代码416中未包括而作为响应420的一部分提供的可执行例程。
在一个实施例中,响应420可包含清理指令。此类清理信息例如可引用定义文件412的清理代码416的例程。虽然可能确定与检测到的恶意软件相关联的清理过程415不可用,过时或不可能提供令人满意结果,例如,由于不存在用于检测到的恶意软件的清理过程415记录,但可确定清理代码416中确实存在解决检测到的恶意软件需要的清理例程。响应请求418,服务器404可识别检测到的恶意软件,并且确定必要的清理代码416在定义文件412中已经可用。例如,对检测到的恶意软件的适当响应可以是现有例程的新组合。在一个实施例中,工作站404可将定义文件412的当前版本指示为请求418的一部分以便允许服务器404做出适当响应。备选,服务器404可在接收请求418后并且在发出响应420之前,向工作站404请求定义文件412的当前版本。相应地,响应420可提示防病毒应用408执行在指令中指示的清理代码416的某些例程,以移除检测到的恶意软件并且修复其影响。
在另一实施例中,响应420可包含要由防病毒应用408执行的清理例程。根据此实施例,响应请求418,服务器404可识别检测到的恶意软件,并且确定必要的清理例程在清理代码416中不可用。响应420因此可将必要的清理例程例如提供为要由防病毒应用408启动的可执行文件,而不引用清理代码416。在一个实施例中,如果用于检测到的恶意软件的清理例程在清理代码416的最近版本中可用,但请求418指示用于工作站402的定义文件412不是最新的,并且因此未包含适当的清理例程,则响应420可包含要由防病毒应用408启动的适当清理例程。备选,响应420可提供引用在最近定义文件412中清理例程的清理指令,并且提示工作站402获取最近的定义文件412,从而能够执行指令引用的清理例程。
在另一实施例中,响应420可包含清理例程及引用定义文件412的清理代码416中清理例程的指令。根据此实施例,响应请求418,服务器404可识别检测到的恶意软件并且确定一些必要的清理例程在清理代码416中可用,但完全解决检测到的特定恶意软件要求另外的清理例程。相应地,除引用清理代码416的清理例程的指令外,响应420可将清理例程例如提供为可执行文件。
在还有的另一实施例中,响应420可将上述任何响应委托给服务器406。就此而言,响应420可委托任何所需响应到服务器406。服务器406借助于网络连接407连接到网络426。响应420可提示工作站402向服务器406发出对恶意软件清理的请求422。在一个实施例中,请求422可以是DNS请求。可根据需要使用其它类型的请求。在一个实施例中,响应420可提供要作为请求422的一部分向服务器406显示的信息,以识别所需的特定恶意软件清理响应。这样,服务器404可在委托恶意软件清理的提供到服务器406的同时,提供诊断功能(例如,识别检测到的恶意软件并且确定适当的恶意软件清理)。相应地,诊断和提供任务能够在不同网络装置之间分开以便使用云技术最有效地提供恶意软件清理。由于请求422可包括识别所需特定恶意软件清理响应的信息,因此,服务器406可能只是通过请求的恶意软件清理响应424做出回复。在一个实施例中,响应420可提供将要为请求422的一部分向服务器406显示的密钥。这样,服务器406可将请求422鉴权为合法请求。也可利用其它鉴定技术。虽然图4只示出一个服务器404和一个服务器406,但应注意的是,多个服务器404和406可连接到网络426。在一个实施例中,响应420可指引工作站402到特定服务器406,服务器406预期具有经网络426到工作站402的最合乎需要的连接。在另一实施例中,可利用每个服务器406以提供用于一个或更多个特定威胁的恶意软件清理,使得对于一种类型的恶意软件的检测,响应420可能指引工作站402到特定服务器406,并且对于不同类型的恶意软件的检测,响应420可能指引工作站402到不同服务器406。
本领域普通技术人员将理解,图4所示每个网络通信(即,418、420、422和424)及已描述但未明确示出的那些通信可利用多个传输协议,包括但不限于传送控制协议(TCP)、用户数据报协议(UDP)和流控制传送协议(SCTP)。也将理解的是,可采取各种措施确保安全和可靠的通信,如数据加密、消息鉴权等。
参照图5,在一个实施例中,用于使用云技术接收和处理对动态恶意软件清理的请求的过程从在502在服务器404通过网络426从装置402接收恶意软件清理请求418开始。虽然接收装置被描述为服务器,但将理解的是,接收装置可以是能够如下所述接收恶意软件清理请求和处理请求的任何网络装置。在一个实施例中,网络426可以因特网,然而,网络426可以是能够有利于在装置402与服务器404之间通信的任何通信网络,如上面在图1中讨论的任何网络。在一个实施例中,请求418可由附属于在装置上安装的防病毒应用的提供商的服务器404接收。在一个实施例中,请求418可以是DNS请求。请求418可识别装置上检测到的特定类型的恶意软件。然而,请求418可包含能够允许接收装置404识别与检测到的恶意软件相关联的适当清理响应的任何信息。
在步骤504,服务器404识别请求418的恶意软件定义部分。请求418的恶意软件定义部分可识别在装置402上检测到的特定类型的恶意软件,以便允许服务器404识别与检测到的恶意软件相关联的适当清理响应420。在一个实施例中,识别请求418的恶意软件定义部分可包括将来自装置402的请求418解密。在另一实施例中,识别请求418的恶意软件定义部分可包括解析请求。例如,请求418可包括可与请求418的恶意软件定义部分分开的与在装置402上安装的防病毒应用相关联的版本和许可信息、装置402的地理和/或网络位置等。
定位请求418的恶意软件定义部分后,服务器404能够在506搜索匹配识别的软件定义的记录。在一个实施例中,服务器404可在将已知恶意软件威胁与对应清理响应相关联的数据仓库428中执行数据库查找,以检索匹配在请求418中识别的特定恶意软件定义的记录。在另一实施例中,如果请求418的恶意软件定义部分包含检测为恶意软件的文件的哈希,则该哈希可用于搜索表示已知恶意软件和对应恶意软件清理响应420的文件哈希的数据仓库428。
如果在508未定位用于特定恶意软件定义的匹配记录,则在510可创建对应于特定恶意软件定义的新恶意软件记录。在一个实施例中,恶意软件定义可添加到上述数据仓库428。新恶意软件记录可包含与包括恶意软件定义的请求418有关的另外信息。例如,恶意软件记录可提供有关启动了服务器404收到的请求418的装置的信息,如装置402的系统信息、装置402的位置等。在一个实施例中,新恶意软件记录的创建可提供已观察到新恶意软件威胁的告警。例如,可将告警提供到与防病毒应用的提供商相关联的一个或更多个人。此类告警可启动用于为新观察到的恶意软件确定适当清理响应420的过程。
如果在508定位匹配请求的恶意软件定义部分的记录,则在512确定可用清理响应420是否与定位的记录相关联。在一个实施例中,如果与其中存在定位的记录的数据仓库428相关联的清理字段不为空,则可确定存在清理响应420。如果在512确定清理响应420不可用,例如,如果匹配请求418的恶意软件定义的恶意软件定义先前已记录,但适当的清理响应420尚未确定,或者如果在510已创建的恶意软件记录,则在514可将请求排队。可保留请求,直至确定抗击恶意软件的适当清理响应420。在一个实施例中,服务器可将清理响应420可用时将提供清理响应的指示发送到装置。响应排队的请求,服务器可继续监视匹配恶意软件定义的记录以确定清理响应420是否可用。在一个实施例中,清理响应420可用于与请求418相关联的恶意软件时,可更新匹配恶意软件定义的数据仓库428的记录以在记录的清理字段中包括适当的清理响应420。
在512或516,清理响应420可用时,在518将请求418的清理响应420发送到装置。如上所述,响应420可利用能够输送清理响应420到装置的任何所需网络协议。清理响应可采用任何上述响应的形式。就此而言,响应420可采用能够通过网络提供恶意软件清理的任何形式。
虽然前面的公开内容已涉及包括在本地装置上安装的防病毒应用执行的各种功能的某些实施例,但要注意的是,防病毒应用的核心功能性实际上可完全利用云技术实现。通过利用公开的技术,防病毒应用可实现用于恶意软件威胁的检测和清理的提供两者的云技术。例如,在装置上安装的防病毒应用可只执行提示装置使用云技术请求恶意软件检测和清理的有限功能性。可能希望此类系统降低寻求禁用装置上防病毒应用的功能的攻击的效力,通过降低防病毒应用的处理使用来改进装置性能,并且降低或消除与防病毒应用相关联的频繁软件更新的提供相关联的成本。
要理解的是,上述描述旨在说明而不是限制。例如,上述实施例可相互组合使用。在查看上述说明后,本领域的技术人员将明白许多其它实施例。因此,本发明的范围应参照所附权利要求以及此类权利要求被授权的等同的完全范围来确定。
如上所解释的一样,公开的实施例包括用于提供恶意软件清理的示例方法,包括:利用处理器,检测在连接到网络的第一装置上的潜在恶意软件;利用处理器,通过网络将请求(例如,域名系统查询或鉴权信息)从第一装置发送到第二装置,请求包括允许第二装置确定清理响应的信息,以及利用处理器,通过网络在第一装置接收来自第二装置的清理响应,清理响应可由第一装置用于移除检测到的潜在恶意软件。示例方法还能够包括在将请求从第一装置发送到第二装置前,利用处理器确定在第一装置上不存在对应于检测到的潜在恶意软件的适当清理过程的动作。在另一示例中,确定在第一装置上不存在对应于检测到的潜在恶意软件的适当清理过程的动作能够包括确定现有清理过程不可接受。备选,清理响应能够包括执行在第一装置上存储的清理例程的指令,或者清理响应能够包括要由第一装置执行的清理例程。在一个示例中,清理响应包括要由第一装置执行的清理例程的第一集和执行在第一装置上存储的清理例程的第二集的指令。此外,检测在第一装置上潜在恶意软件的动作包括执行第一装置的文件的基于启发式的分析。在一个示例中,清理响应包括用于第一装置请求连接到网络的第三装置提供又一清理响应的指令。可选的是,在第一装置通过网络接收来自第三装置的又一清理响应,又一清理响应可由第一装置用于移除检测到的恶意软件。
Claims (16)
1.一种连接到网络的可编程装置,包括:
处理器;以及
存储器,耦合到所述处理器,其上存储有指令,所述指令包括当执行时促使所述处理器执行以下操作的指令:
检测在所述可编程装置上的潜在恶意软件;
通过所述网络从所述可编程装置发送对于与所述潜在恶意软件对应的清理响应的请求;以及
通过所述网络接收响应所述请求的所述清理响应,
其中,所接收的清理响应包括以下一项或多项:
执行在所述可编程装置上先前存储的清理例程的指令;
要由所述可编程装置执行的清理例程;以及
从另一装置获得所述清理响应的指令,以及
其中,所述清理例程包括当由所述可编程装置执行时促使所述可编程装置移除所检测的潜在恶意软件的指令。
2.如权利要求1所述的可编程装置,其中,所述指令还包括当执行时促使所述处理器,在发送所述请求之前,确定与所检测的潜在恶意软件对应的清理过程在所述可编程装置不可确定的指令。
3.如权利要求2所述的可编程装置,其中,当执行时促使所述处理器确定与所检测的潜在恶意软件对应的清理过程在所述可编程装置不可确定的指令包括:
确定现有清理过程不可接受。
4.如权利要求1所述的可编程装置,其中,当执行时促使所述处理器检测在所述可编程装置上的潜在恶意软件的指令包括当执行时促使所述处理器执行所述可编程装置的文件的基于启发式的分析的指令。
5.如权利要求1所述的可编程装置,其中,所述请求是域名系统查询。
6.如权利要求1所述的可编程装置,其中,所述请求被加密。
7.如权利要求1所述的可编程装置,其中,所述请求包括表示所述潜在恶意软件的文件的哈希。
8.如权利要求1所述的可编程装置,其中,所述请求包括鉴权信息。
9.如权利要求1所述的可编程装置,其中,所述指令还包括当执行时促使所述处理器通过所述网络从另一装置接收所述清理响应的指令。
10.一种用于计算机安全性的系统,包括:
存储装置,以及
处理器,操作地耦合到所述存储装置,所述处理器适于执行所述存储装置中存储的指令,所述指令包括当执行时促使所述处理器执行以下操作的指令:
通过网络接收来自客户端的请求,来自客户端的所述请求包含与所述客户端上所检测的潜在恶意软件有关的信息;
确定清理响应;以及
响应所述请求通过所述网络向所述客户端发送所述清理响应,
其中,向所述客户端发送的清理响应包括以下一项或多项:
执行在所述客户端上先前存储的清理例程的指令;
要由所述客户端执行的清理例程;以及
从另一装置获得清理响应的指令,以及
其中,所述清理例程包括当由所述客户端执行时促使所述客户端移除所检测的潜在恶意软件的指令。
11.如权利要求10所述的系统,其中,所述请求是域名系统查询。
12.如权利要求10所述的系统,其中,确定所述清理响应的动作包括搜索服务器的数据仓库是否有对应于所检测的潜在恶意软件的信息。
13.如权利要求10所述的系统,其中,所述清理响应被加密。
14.一种用于计算机安全性的系统,包括:
存储装置,以及
处理器,操作地耦合到所述存储装置,所述处理器适于执行在所述存储装置中存储的指令,所述指令包括当执行时促使所述处理器执行以下操作的指令:
通过网络接收恶意软件清理请求;
识别所述恶意软件清理请求的恶意软件定义部分;
搜索数据仓库是否有对应于所述识别的恶意软件定义部分的信息;
通过所述网络发送响应所述恶意软件清理请求的清理响应,所述清理响应从所述信息确定,
其中,所述清理响应包括以下一项或多项:
执行先前存储的清理例程的指令;
要执行的清理例程;以及
从另一装置获得清理响应的指令,以及
其中,所述清理例程包括当执行时促使移除所检测的潜在恶意软件的指令。
15.如权利要求14所述的系统,其中,当执行时促使所述处理器识别所述恶意软件清理请求的恶意软件定义部分的指令包括当执行时促使所述处理器解析所述恶意软件清理请求的指令。
16.一种用于计算机安全性的方法,包括:
检测连接到网络的可编程装置上的潜在恶意软件;
通过所述网络发送对于清理响应的请求;以及
通过所述网络接收所述清理响应,
其中,所接收的清理响应包括以下一项或多项:
执行在所述可编程装置上先前存储的清理例程的指令;
要由所述可编程装置执行的清理例程;以及
从另一装置获得清理响应的指令,以及
执行所述清理例程以移除所检测的潜在恶意软件。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/227407 | 2011-09-07 | ||
US13/227,407 US8677493B2 (en) | 2011-09-07 | 2011-09-07 | Dynamic cleaning for malware using cloud technology |
PCT/US2012/053995 WO2013036664A1 (en) | 2011-09-07 | 2012-09-06 | Dynamic cleaning for malware using cloud technology |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103843002A CN103843002A (zh) | 2014-06-04 |
CN103843002B true CN103843002B (zh) | 2017-02-15 |
Family
ID=47754206
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280048137.3A Active CN103843002B (zh) | 2011-09-07 | 2012-09-06 | 使用云技术对恶意软件的动态清理 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8677493B2 (zh) |
EP (1) | EP2754081B1 (zh) |
JP (1) | JP5897132B2 (zh) |
KR (2) | KR20160039306A (zh) |
CN (1) | CN103843002B (zh) |
WO (1) | WO2013036664A1 (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9384349B2 (en) * | 2012-05-21 | 2016-07-05 | Mcafee, Inc. | Negative light-weight rules |
US8782793B2 (en) * | 2012-05-22 | 2014-07-15 | Kaspersky Lab Zao | System and method for detection and treatment of malware on data storage devices |
WO2014143012A1 (en) | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Remote malware remediation |
US9614865B2 (en) | 2013-03-15 | 2017-04-04 | Mcafee, Inc. | Server-assisted anti-malware client |
WO2014143000A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware |
US9736179B2 (en) * | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
RU2571721C2 (ru) * | 2014-03-20 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения мошеннических онлайн-транзакций |
US9009836B1 (en) | 2014-07-17 | 2015-04-14 | Kaspersky Lab Zao | Security architecture for virtual machines |
JP6282217B2 (ja) * | 2014-11-25 | 2018-02-21 | 株式会社日立システムズ | 不正プログラム対策システムおよび不正プログラム対策方法 |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
US9332029B1 (en) | 2014-12-24 | 2016-05-03 | AO Kaspersky Lab | System and method for malware detection in a distributed network of computer nodes |
CN105095754A (zh) * | 2015-05-11 | 2015-11-25 | 北京奇虎科技有限公司 | 一种处理病毒应用的方法、和装置和移动终端 |
US10305928B2 (en) | 2015-05-26 | 2019-05-28 | Cisco Technology, Inc. | Detection of malware and malicious applications |
CN108064384A (zh) * | 2015-06-27 | 2018-05-22 | 迈克菲有限责任公司 | 恶意软件的减轻 |
US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
US9606854B2 (en) | 2015-08-13 | 2017-03-28 | At&T Intellectual Property I, L.P. | Insider attack resistant system and method for cloud services integrity checking |
US9917811B2 (en) | 2015-10-09 | 2018-03-13 | International Business Machines Corporation | Security threat identification, isolation, and repairing in a network |
JP6908874B2 (ja) * | 2016-10-27 | 2021-07-28 | コニカミノルタ株式会社 | 情報処理システム、情報処理装置およびプログラム |
US11232205B2 (en) * | 2019-04-23 | 2022-01-25 | Microsoft Technology Licensing, Llc | File storage service initiation of antivirus software locally installed on a user device |
US11232206B2 (en) * | 2019-04-23 | 2022-01-25 | Microsoft Technology Licensing, Llc | Automated malware remediation and file restoration management |
US20220141234A1 (en) * | 2020-11-05 | 2022-05-05 | ThreatQuotient, Inc. | Ontology Mapping System |
US12010517B1 (en) * | 2021-05-10 | 2024-06-11 | Zimperium, Inc. | Dynamic detection for mobile device security |
CN114491543A (zh) * | 2022-04-19 | 2022-05-13 | 南京伟跃网络科技有限公司 | 一种针对新出现恶意代码的分析方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1841397A (zh) * | 2005-03-31 | 2006-10-04 | 微软公司 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
US6622150B1 (en) | 2000-12-18 | 2003-09-16 | Networks Associates Technology, Inc. | System and method for efficiently managing computer virus definitions using a structured virus database |
US20020116639A1 (en) | 2001-02-21 | 2002-08-22 | International Business Machines Corporation | Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses |
JP2004178033A (ja) * | 2002-11-25 | 2004-06-24 | Hitachi Ltd | 分散システムにおけるセキュリティ管理支援方法およびプログラム |
JP2004252642A (ja) * | 2003-02-19 | 2004-09-09 | Matsushita Electric Ind Co Ltd | ウイルス検出方法、ウイルス検出装置、ウイルス検出サーバ及びウイルス検出クライアント |
JP4412156B2 (ja) * | 2004-11-30 | 2010-02-10 | 沖電気工業株式会社 | 処理装置 |
US7673341B2 (en) * | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
US7836500B2 (en) | 2005-12-16 | 2010-11-16 | Eacceleration Corporation | Computer virus and malware cleaner |
US7523502B1 (en) * | 2006-09-21 | 2009-04-21 | Symantec Corporation | Distributed anti-malware |
US8291496B2 (en) * | 2008-05-12 | 2012-10-16 | Enpulz, L.L.C. | Server based malware screening |
JP5440973B2 (ja) * | 2009-02-23 | 2014-03-12 | 独立行政法人情報通信研究機構 | コンピュータ検査システム、コンピュータ検査方法 |
US9665712B2 (en) | 2010-02-22 | 2017-05-30 | F-Secure Oyj | Malware removal |
-
2011
- 2011-09-07 US US13/227,407 patent/US8677493B2/en active Active
-
2012
- 2012-09-06 CN CN201280048137.3A patent/CN103843002B/zh active Active
- 2012-09-06 KR KR1020167007923A patent/KR20160039306A/ko not_active Application Discontinuation
- 2012-09-06 WO PCT/US2012/053995 patent/WO2013036664A1/en active Application Filing
- 2012-09-06 KR KR1020147007173A patent/KR101607951B1/ko active IP Right Grant
- 2012-09-06 EP EP12830186.8A patent/EP2754081B1/en active Active
- 2012-09-06 JP JP2014529864A patent/JP5897132B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1841397A (zh) * | 2005-03-31 | 2006-10-04 | 微软公司 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
Also Published As
Publication number | Publication date |
---|---|
EP2754081A1 (en) | 2014-07-16 |
US8677493B2 (en) | 2014-03-18 |
US20130061325A1 (en) | 2013-03-07 |
JP5897132B2 (ja) | 2016-03-30 |
KR101607951B1 (ko) | 2016-03-31 |
KR20140061459A (ko) | 2014-05-21 |
EP2754081B1 (en) | 2019-05-01 |
CN103843002A (zh) | 2014-06-04 |
WO2013036664A1 (en) | 2013-03-14 |
KR20160039306A (ko) | 2016-04-08 |
JP2014525639A (ja) | 2014-09-29 |
EP2754081A4 (en) | 2015-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103843002B (zh) | 使用云技术对恶意软件的动态清理 | |
US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
CN101304418B (zh) | 一种客户端侧经由提交者核查来防止偷渡式域欺骗的方法及系统 | |
US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
CN102246490A (zh) | 对不需要的软件或恶意软件进行分类的系统和方法 | |
US9203856B2 (en) | Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
CN102106114A (zh) | 分布式安全服务开通 | |
CN104169937A (zh) | 机会系统扫描 | |
Venkatesan et al. | Advanced mobile agent security models for code integrity and malicious availability check | |
JP2015225500A (ja) | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム | |
US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
BalaGanesh et al. | Smart devices threats, vulnerabilities and malware detection approaches: a survey | |
KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
JP6267089B2 (ja) | ウイルス検知システム及び方法 | |
WO2019156718A1 (en) | System and method for program security protection | |
US11388176B2 (en) | Visualization tool for real-time network risk assessment | |
KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
CN108282786A (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 | |
US20080004805A1 (en) | Method and systems for locating source of computer-originated attack based on GPS equipped computing device | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
Wang et al. | Port Forwarding Services Are Forwarding Security Risks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |
|
CP01 | Change in the name or title of a patent holder |