CN1299202C - 抗病毒网络系统和方法 - Google Patents
抗病毒网络系统和方法 Download PDFInfo
- Publication number
- CN1299202C CN1299202C CNB031563473A CN03156347A CN1299202C CN 1299202 C CN1299202 C CN 1299202C CN B031563473 A CNB031563473 A CN B031563473A CN 03156347 A CN03156347 A CN 03156347A CN 1299202 C CN1299202 C CN 1299202C
- Authority
- CN
- China
- Prior art keywords
- data
- meta file
- virus
- server
- criterion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种方法、装置和程序产品启动在客户计算机中产生一个元文件。该元文件在网络服务器处被评估以确定是否存在潜在病毒危险性。在服务器执行的程序代码可以把所评估的潜在危险性与存储在数据库中的危险性级别关联。该程序代码可以给该数据附加一个颜色指示或指示被评定的危险性级别的其他赋值。在客户计算机处的用户可以根据所附加的危险性级别对数据采取行动。
Description
发明领域
本发明一般地涉及计算机操作和应用,更具体地涉及保护网络资源免受计算机病毒。
背景技术
计算机病毒在政府和产业计算机网络上扩散导致严重的破坏。计算机病毒可以包括有意写成的在未经用户允许和有时是用户未知的情况下渗入计算机系统的寄生程序。如在本申请中描述的病毒还可以包括“蠕虫”、“特洛伊木马”和其他在计算机界已知的行话,它们所伴随的软件被配置成降低系统操作性能。术语“病毒”还可以包括不那么经常出现的、非故意性的程序畸变,它们能在正常的处理操作过程中发生。尽管病毒的操作和特性往往因设计而异,但存在一些共同性。例如,许多病毒把它们自己附加到文件中,其他病毒可能感染引导扇区,某些能复制它们自己,复合它们的有害影响。
以这种方式,病毒能对网络造成严重损坏,并负面影响系统性能。例如,一个蠕虫程序病毒可以自动传播到与给定硬驱动器接触的每个盘。另一病毒或这同一病毒能在程序存储器中复制它本身,直至它使处理器过载和使相关联的系统停机为止。病毒可以通过电子邮件以及从涉及软盘、用户目录、因特网以及其他网络接口的下载操作迅速地渗入和感染系统。
为此,计算机系统传统上依靠网络上每台用户计算机上附带的抗病毒软件。网络管理者或用户可以在每台计算机上单独下载或安装这种程序。根据网络配置和服务器可用性,用户可以通过把最新软件版本下载到他们的硬驱动器上来定期更新他们的抗病毒程序。
在操作上,传统的抗病毒程序监视来到用户计算机的数据以发现指示病毒的特征。这种特征可以包括已知的数据模式,如在复制功能中通常使用的可识别的代码序列,该软件还可以附加地或替代地扫描到来的数据如何附加在电子传输(如电子邮件)上以及在操作系统内发生的非寻常错误。另一些抗病毒程序除了检测其他指示外,还检测不可解释的存储器分配和不规则的文件名。对检测到可能被感染的数据文件做出响应,该抗病毒程序可能隔离该数据,警告该用户和/或对该数据加标志。
尽管由传统的抗病毒程序提供了预防措施,但病毒继续发生。这种蔓延部分地归因于病毒的演化特性。病毒的设计者们不断地修改和创造新的程序代码,这些代码被配置迷惑抗病毒程序和配置。其结果是,有效的抗病毒程序员必须不断地试图通过更新和把保护性代码重新聚焦到不同的数据串和代码指示来预防新的病毒。因为实现病毒模式的代码受到不断的改变,这样的任务往往是一个失败的命题。
在其他情况中,一个抗病毒程序可能错把一个病毒标记为合法的程序代码。这种误识别至少部分地是网络恐怖分子的产物,它试图通过赋予他们的病毒合法的代码及其他属性来隐藏病毒,使病毒具有遵守规则的、良性传输的外表。无论如何,针对这些“特洛伊木马”病毒的抗病毒程序/措施能实际造成处理延时和数据丢失,它们证明对系统操作是有害的,甚至在没有实际病毒威协的情况下也是如此。
困扰认识和限制病毒的努力和另一个障碍与抗病毒程序实现的局部化性质有关。传统的抗病毒应用通常只影响执行抗病毒应用的本地计算机或服务器所接收的那些文件。例如,基于服务器的抗病毒软件的范围局限于只是那些通过特定服务器的数据。这样,在这同一网络内的其他计算机仍易于同时或相继发生病毒。
再有,在网络的每个用户计算机上更新抗病毒软件会是费时间的,而且对个人而言甚至是复杂的。例如,一个新程序适当地从一个服务器下载到一个用户计算机可能要用几个小时。这种要求往往给用户带来不便并造成不愿意坚持抗病毒软件更新。由于这种升级可能是各单个用户的责任,在网络内的某些计算机可能仍易于受到病毒的攻击。因此,在病毒能被检疫和评估之前,这些病毒往往传播到整个网络。这样,在每个单个用户计算机进行的未协调的和分散的检测病毒实践能使对病毒的跟踪、阻止和研究的努力变为无效。
因此,部分地由于上文概括的理由,需要一种改进的方式监视计算机网络上的病毒以及其他破坏性事件的发生。
发明内容
根据本发明的一个方面,提供一种在网络系统评估数据以确定是否存在病毒的方法,所述网络系统包括一个或多个服务器以及一个或多个网络客户机,所述一个或多个服务器以及一个或多个网络客户机通过网络相连,该方法包含:
在一个或多个服务器中接收一个与网络客户机接收的数据相关联的元文件,所述元文件是从接收的数据中抽取一个或多个预先选定的参数产生的;
在所述一个或多个服务器中评估该元文件以确定是否存在潜在病毒危险性;
响应对该数据潜在病毒危险性的检测,启动对该数据的抗病毒操作。
根据本发明的另一个方面,提供一种检测计算机病毒的方法,包含:
在一计算机上接收数据;
通过从接收的数据中抽取一个或多个预先选定的参数,产生与接收的数据相关联的元文件;
根据病毒指示数据确定病毒的存在,其中病毒指示数据是隐含在元文件数据中的执行的操作的描述,该执行的操作代表与正常操作习惯的偏离;以及
响应该病毒指示,启动抗病毒操作。
根据本发明的另一个方面,提供一种网络系统评估数据以确定是否存在病毒的方法,所述网络系统包括一个或多个服务器以及一个或多个网络客户机,所述一个或多个服务器以及一个或多个网络客户机通过网络相连,该方法包含:
在服务器中接收一个与网络客户机接收的数据相关联的元文件;
在服务器中评估该元文件以确定是否存在潜在病毒危险性;
把从潜在病毒危险性中导出的危险性级别从服务器传送给该网络客户机。
根据本发明的另一个方面,提供一种在网络系统评估数据以确定是否存在病毒的装置,所述网络系统包括一个或多个服务器以及一个或多个网络客户机,所述一个或多个服务器以及一个或多个网络客户机通过网络相连,该装置包含:
接收一个与网络客户机接收的数据相关联的元文件的设备,所述元文件是从接收的数据中抽取一个或多个预先选定的参数产生的;
评估该元文件以确定是否存在潜在病毒危险性的设备;以及
响应对该数据潜在病毒危险性的检测,启动对该数据的抗病毒操作的设备。
根据本发明的另一个方面,提供一种检测计算机病毒的装置,包含:
在一个计算机上接收数据的设备;
通过从接收的数据中抽取一个或多个预先选定的参数,产生与接收的数据相关联的元文件的设备;
根据病毒指示数据确定病毒的存在的设备,其中该病毒指示数据是隐含在元文件数据中的执行的操作的描述,该执行的操作代表与正常操作习惯的偏离;以及
处理该数据,以响应所确定的病毒存在的设备。
根据本发明的另一个方面,提供一种病毒评估装置,包含:
接收一个与网络客户机接收的数据相关联的元文件的设备;
评估该元文件以确定是否存在潜在病毒危险性的设备;以及把从潜在危险性中导出的危险性级别赋予该数据的设备。
本发明提供一种改进的装置、方法和程序产品,用于检测计算机病毒的存在。在一方面,本发明的一些实施例利用联合的客户机-服务器关系去识别和包围计算机病毒。更具体地说,一个与本发明一致的联合服务器-客户机配置中的服务器部分可以接收一个与要评估的数据关联的元文件(metafile)。值得注意的是,该元文件可以在接收它的客户计算机处产生。在服务器中进行评价过程的时候,所接收的数据可以高速缓存在客户计算机。这样,在服务器的程序代码可以评估元文件以发现可能的病毒,而同时实际的数据仍远程保持在客户计算机上。在这样配置的情况下,服务器计算机可以通过评估含有元文件的较小量数据来确定所接收数据中潜在病毒的可能性,这一特性可以允许在服务器处比较容易和快速地完成评估,而同时仍把潜在的病毒封闭在局部的客户计算机中。
客户计算机可以在初始时从本机接收的数据中抽取一个或多个预先选定的参数,由此产生元文件。这些参数通常可以指明病毒是否存在。例如,除了与已知病毒相关的其他考虑外,在客户计算机上的程序代码可以从它所接收的数据中抽取与代码序列、处理要求、路由、文件大小以及附件有关的参数,从而产生元文件。这样,该元文件可以体现在客户计算机处接收的数据的关键病毒特征。再有,可以根据应用、安全性和其他的网络技术要求来修改从到达的数据中抽取的信息的量和类型。
因为元文件通常并不包括到达客户计算机的数据中的全部材料,较“轻”的元文件的传输和处理可以是快速和有效的。而在元文件中存在的病毒指示或其他内容仍然可以指出与客户计算机处接收的数据相关的潜在病毒危险性。在一个实施例中,程序代码可以使元文件的内容与含有评估判据的数据库字段匹配或相关。判据示例可以是针对病毒简表和用户简表的,例如代码序列、明显的误拼写以及适于病毒评估的历史的、网络的和上下文信息。这种相关的结果可以包括确定到含有病毒评价的其他数据库字段的链接。
如果在服务器进行的评估通过检索到的病毒评价确定有可能存在病毒,则例如在服务器上执行的程序代码可以起动对客户计算机上包含的数据的抗病毒操作。更具体地说,数据库字段可以使所存储的抗病毒操作与该元文件内容和/或由服务器计算机确定的评价判据相关。一个这样的操作可以包括一个算法,它被配置成防止该数据在整个网络上进一步传播。按照本发明一个实施例的另一个或这同一个算法可以产生警告信息,它被传输到该客户计算机处的用户。这样,在该客户计算机处的本地用户便可以考虑由服务器计算机传送的被赋的危险性水平或其他评估结果,针对该数据采取行动。按照本发明的另一些算法可以从数据的原始状态重新确定路由或修改数据。
以这种方式,可以禁止可疑的数据感染连到该网络的其他用户计算机。根据本发明原理的服务器计算机的集中化配置可以进一步表现为对病毒的早期封闭,这部分地是通过保证以最新的抗病毒程序评估所有数据来实现的。这种程序可以在位置集中和易于更新的服务器上执行,在那里可以评估所有各个元文件。
这样,根据前述,提供了一种改进的抗病毒机制,它克服了已知网络系统的上述缺点,使病毒感染造成的危害减至最小。通过附图及其描述,将使本发明的这些及其他目的和优点清楚可见。
附图说明
本说明所包括的并成为本说明一部分的附图说明了本发明的一个实施例,并与上文给出的对本发明的一般描述和下文中给出的对该实施例的详细描述一起,用于解释本发明的原理。
图1是包含根据本发明的抗病毒软件的客户机-服务器计算机系统的方框图。
图2是能实现图1所示根据本发明的客户机-服务器计算机系统的网络通信系统的方框图。
图3是应用于图1和图2系统内的电子邮件模板。
图4是应用于图1和图2系统内的数据库结构。
图5是流程图,概括了适于在图1和图2系统内的客户机级执行的方法步骤。
图6是流程图,概括了与图5的步骤互补并适于在图1和图2系统内的服务器级执行的方法步骤。
具体实施方式
现在转到附图,其中相似的标号代表若干图中的相似部分,图1显示一个基于客户机-服务器的计算机系统10,被配置成在网络36内检测病毒。在所示实施例中,系统10可以在服务器计算机14处评估从客户计算机12接收的数据中导出的元文件。根据对元文件的评估,服务器计算机14向客户计算机12报告所确定的病毒潜在危险性以便采取适当的行动。在操作上,系统10的客户计算机12可以接收或访问数据。驻留在客户计算机12上的程序代码41可以产生一个元文件,其中包含的信息指示在所收到的数据中病毒的存在和/或潜在可能性。一个示例性元文件可以从直接地或在上下文关系上与实际数据传输和/或文件有关的信息中导出,而且通常可以包含任何元数据。如果希望的话,该元文件可在其后在网络36内传送到配置成进行进一步评估的其他附加服务器。这种评估可以包括给数据赋予一个颜色或其他指示,它被配置成向用户传送一个与该数据关联的危险性水平。这样,这一危险性赋值可以起到提示客户计算机12上的用户的作用,即提示用户采取适当的行动,如删除、读或重新引导被评估的数据。
系统10包括至少一个装置,例如一个或多个客户计算机12以及一个或多个服务器计算机14。为了本发明的目的,每个计算机12、14可以实际代表任何类型的计算机、计算机系统或其他能在客户机服务器环境中起客户机和/或服务器作用的可编程电子设备。再有,每个计算机12、14可以由一个或多个联入网络的计算机实现,例如在一个群集或其他分布式计算系统中那样。再有,如在许多客户机-服务器系统中通常所做的那样,通常多个客户计算机12将与给定的服务器计算机14连接。
计算机12通常包括中央处理单元16,它包括至少一个微处理器与存储器18耦合,存储器18可以代表包含计算机12主存储器的随机存取存储器(RAM)设备以及任何辅助级存储器,如高速缓冲存储器、非易失或后备存储器(例如可编程存储器或闪速存储器)、只读存储器等。此外,可以认为存储器18包括在计算机12中的物理上位于别处的存储器,如在CPU16中的处理器中的任何高速缓冲存储器以及用作虚拟存储器的任何存储能力,如存储在海量存储设备20上或与计算机12耦合的另一计算机上。计算机12通常还接收若干输入和输出以与外部交流信息。作为与用户或操作员的接口,计算机12通常包括用户接口22,纳入一个或多个用户输入设备(例如键盘、鼠标器、跟踪球、游戏杆、触摸输入板和/或送话器等)以及显示器(例如CRT监视器、LCD显示面板和/或扬声器等)。或者,用户输入可以经由另一计算机或终端来接收。
作为附加的存储器,计算机12还可以包括一个或多个海量存储设备20,例如软盘或其他可卸盘驱动器、硬盘驱动器、直接存取存储设备(DASD)、光驱动器(例如CD驱动器、DVD驱动器等)和/或磁带驱动器等。再有,计算机12可以包括与一个或多个网络(例如LAN、WAN、无线网、和/或因特网等)的接口,以允许与其他计算机及电子设备的通信。应该理解,计算机12通常包括CPU16和每个部件18、20、22、24之间的模拟的和/或数字的接口,这是本技术领域公知的。
与计算机12类似,计算机14包括CPU26、存储器28、海量存储器29、用户接口32和网络接口34。然而,由于给定计算机12和14的性质是用作客户机和服务器,在许多情况下计算机14是使用多用户计算机实现的,如服务器计算机、中型计算机、大型主机等,而计算机12将使用桌面计算机或其他单用户计算机实现。结果,在计算机12和14之间,CPU、存储器、海量存储器、用户接口以及网络接口的技术指标通常是不同的。例如,根据本发明的一个系统10的存储器20、29可以分别包括数据库27、37,它们被配置成有利于评估病毒。然而,本领域技术人员将会理解,在本发明的范围内可以考虑其他硬件环境。
计算机12、14通常经由网络36彼此接口,该网络可以是公共的和/或专用的,有线的和/或无线的,局域的和/或广域的等等。再有,网络36可以代表多重的、互连的网络。在所示实施例中,例如网络36可以包括因特网。
每个计算机12、14在操作系统38、40的控制下操作,并执行或依靠各种计算机软件应用、部件、程序、对象、模块、数据结构等。再有,各种应用、部件、程序、对象、模块等也可以在经由网络与计算机12、14耦合的另一计算机中的一个或多个处理器上执行,例如在分布式的或客户机-服务器计算环境中,从而可以把实现一个计算机程序的功能所需处理分配到一个网络上的多个计算机上。
通常,为实现本发明的实施例而执行的例行程序,不论是作操作系统的一部分还是作为特定的应用、部件、程序、对象、模块或指令序列,或者甚至是它们的子集来实现,在这里都将称为“计算机程序代码”或简单地称作“程序代码”。程序代码通常包含一个或多个指令,它们在不同的时间驻留在计算机的各种存储器和存储设备中,并且当由计算机中的一个或多个处理器读和执行时,使计算机进行必要的步骤以执行体现本发明各个方面的步骤或单元。例如,图1的实施例包括病毒客户机程序代码41,它被配置成产生元文件,该元文件可以包含实现本实施例目的的任何元数据。在服务器14一方,病毒服务器程序代码43可以被配置成评估该元数据并产生一个危险性评价,下文中将更详细地讨论。
再有,尽管已经而且下文中还将在全功能计算机和计算机系统范围内描述本发明,但本领域技术人员将会理解,本发明的各种实施例能作为程序产品以各种形式分发,而且不论实际用于进行这种分发的信号承载介质的具体类型如何,本发明都同样适用。信号承载介质的实例包括但不限于可记录型介质,如易失性和非易失性存储器设备、软盘或其他可卸盘、硬盘驱动器、磁带、光盘(如CD-ROM、DVD等)等等,以及传输型介质,如数字的和模拟的通信链路。再有,应该理解,与本发明实施例关联的程序代码可以有应用作为一个程序包的集成部分,例如辅助电子邮件读出器的插入程序,瞬时发送消息和其他接收/运行程序。
此外,下文描述的各种程序代码可以根据本发明的特定实施例中在其中实现该程序代码的应用来标识。然而,应该理解,下文中用到的任何特定程序名称只是为了方便,因此,本发明不应局限于只用在由这类名称标识的和/或隐含的任何特定应用。再有,已知通常可以有无限多种方式把计算机程序组织成例行程序、过程、方法、模块、对象等,而且有各种方式把程序功能分配在典型计算机内驻留的各种软件层当中(例如操作系统、库、API、应用、小应用程序等),所以,应该理解,本发明不限于这里描述的对程序功能的特定组织和分配。
本领域技术人员将认识到,图1所示的示例环境不是要局限本发明。的确,本领域技术人员将认识到,可以使用其他硬件和/或软件环境而不离开本发明的范围。
图2显示符合本发明原理的另一个网络系统40。如图1所示系统10那样,图2的系统40在一个方面被配置成在第一计算机/控制器42-52处产生元文件;这些元文件适于在第二计算机56-66处用于病毒评估。典型的元文件可以从在客户计算机级接收或提取的数据中导出。在元文件中承载的信息可以指示病毒的存在或潜在可能性。值得注意的是,包含图2中客户级的示例控制器设备42-52包括但不限于计算机42-50以及电子组织器(organizer)51与电话设备52。然而,本领域技术人员将会理解,根据本发明的原理,能接收和读出电子数据的任何数量其他设备能用于替代所示控制器42-52的任何一个。再有,从所接收的数据中抽取的并记录在元文件内的数据的类型可以因平台和应用而变。例如,某些实施例可以由直接地或上下文上与实际数据传输和/或文件有关的信息构成示例元文件。这样,示例元文件可以包括构成该数据的全部或部分代码。
另一方面,示例元文件还可以包括关于数据传输环境、文件的附件、进入网络系统40的入口路径、始发者、接收者和对处理器的要求等的信息。这样,示例元文件可以涉以关于下列各项的任何组合的信息:传输参数、用户简表数据、下载机制、处理需求、时间判据、发送者属性、接收者属性、利用的硬件、路由、始发者数据、分发计数、用户历史、数据模式、“校验和”值、数据分析、附件、发送次数、文件大小、格式以及与传输有关的协议。元文件内容可以倾斜于指示或往往伴随病毒的一个或多个特定事项。值得注意的是,元文件通常是在客户计算机42处根据服务器56的协议格式化,以利于其后的处理。然而,在某些实施例中,元文件可以没有所要求的结构。相反,服务器56处的程序代码43可以被配置成处理元文件的具体格式化的字段。
在一个实施例中,可以是响应电子接收、下载或数据进入客户机42和/或网络系统40所伴随的其他过程,从而产生元文件。另一个或这同一个实施例可以是响应直接的用户输入、处理器的使用或基本上任何其他可登录的或预置的条件,从而发起产生元文件。这样,可以预置启动程序代码41的条件以与病毒操作简表匹配。客户机或网络管理员可以指定与数据传输有关的那些数据字段或其他信息,这些将由程序代码41用于产生元文件。填充元文件的病毒指示通常包括一般伴随病毒活动的那些特征,例如奇怪的拼写、已知的代码模式和扩散模式。在任何情况下,在本地客户计算机42上执行的程序代码41可以指挥该本地计算机42去抽取数据中被指定要包括在元文件中的那些字段/部分。值得注意的是,尽管一个实施例的程序代码41可以在所有各元文件中全部包括每个所接收消息的相同字段,但另一实施例的程序代码41可以是更有鉴别力的,在一个元文件中只包括具有某些被检测到的内容的那些字段。
图2所示系统40的一个应用可以包括程序代码41,配置成抽取一个电子邮件传输中的字段。这类字段102-110示于图3的普通电子邮件传输界面100中。在某些情况下,字段102-110的内容可以包含对病毒的存在或潜在危险的(带有某种统计概率测量值的)指示信息。例如,一个消息存在附件(如字段110所示)可以在统计上转换为增大了病毒伴随该传输的可能性。
这样,一个实施例的程序代码41可以被配置成从附件字段110抽取信息以包括在元文件中。类似地,示例界面100的其他字段102-108可以被抽样和包括在元文件内。值得注意的是,程序代码41、43可以包括市场上可得到的配置成检测误拼写的软件以及用于识别可疑代码序列或其他病毒指示的抗病毒软件。这样,一个实施例的元文件可以装有从字段102-110中提取的病毒指示,这些字段具有已在客户计算机42中识别出的信息。另一实施例可以在消息到达客户计算机42时单独记录与指定字段102有关的全部数据,把更有鉴别力的分析留给其他服务器62-66上执行的程序代码43。
在一实例中,客户计算机42可以识别出一个电子邮件在到达系统40内客户计算机42处之前已经历多于5个服务器。这一指示可能包括在一个元文件中,该元文件被传送到第一级服务器56。这第一级服务器56-60可以放置在服务于各组计算机42-50的位置,而且可以例如对应于一个合作组织内的部门资源。服务器56之一可以接收该元文件并执行程序代码43,它被配置成检验相关联的传输的路由历史。然后,这种分析的结果可以包含在这同一个或另一个元文件中,它被传送到下一级服务器62供进一步分析。这种分析可以包括关于该消息面临的危险性的一个最终的程序的或管理上的决定。该评估还可以包括给该消息赋予一个标记或其他指示,它指出危险性的级别。例如,在服务器56上的程序代码43给数据附上彩色指示,可视化地指示被评估的元文件所伴随的危险性级别。
值得注意的是,由程序代码41抽取并包括在元文件内的内容详细程度可以作为系统40安全性要求和可用处理能力二者的产物而不同。例如,电话处理器52可以执行程序代码41,它只记录一消息包括附件这样的事实。而客户站42的完全的计算资源可以按另一种方式执行程序代码41,本领域技术人员将会理解,更详细的病毒指示可以按希望填充元文件。例如,一个实施例可以取样一个电子邮件消息的全部文本内容。另一个实施例可以把附件的名称和大小记录在元文件中,供在图2的服务器56-66处评估。一个以“.exe”结尾的附件名可以有与以“.doc”结尾的附件名不同的重要性。类似地,在某些应用中,附件的大小可能反映病毒的潜在危险性。结果,在某些实施例的元文件中附件的大小和名称可以包含病毒指示。
其后,客户计算机42可以把元文件传送给网络服务器56供病毒评估之用。这样,元文件可以传送给驻留在服务器56的程序代码43,不管该服务器在网络40内的入口点如何。程序代码43可以在从数据库68中检索出的指示病毒的判据范围内评估该文件中携带的信息。值得注意的是,为本实施例的目的使用的术语“服务器”可以代表多个服务器56-66,它们被配置成处理各元文件内包含的信息。再有,为了本发明的一个实施例的目的,服务器可以包括桌面/膝上计算机、商用邮件集线器70和/或基本上是配置成为电子传输提供路由的任何处理器。
如果希望的话,一些实施例可以纳入多个服务器56-66,配置成顺序评估各病毒指示和/或对数据赋予一个危险性级别。这些服务器56-66可以是分层的,以适应不同的评估功能。例如,第一服务器56可以被配置成只评估一个元文件的某些字段,而把元文件中具有其他指定指示的部分传送给第二服务器62,它被配置成只评估那些指定的指示。
第二服务器62可以按层次结构安排,以利于在把该元文件回送给第一服务器56或另一服务器66供进一步评估之前评估该突出的指示。例如,第一服务器56可以评估一元文件,该元文件具有与所收到的电子邮件消息的标题行相关联的病毒指示字段。该元文件还可以包含一个字段,指出具有奇怪误拼写的附件。在一个实施例中,第一服务器56可以把该元文件引导到下一层的服务器62和/或66,从而能针对更复杂的或专用的数据库68来评估附件字段。另一实施例可以把该元文件传送给管理人员。
如下文中更详细讨论的那样,这种服务器安排可以有助于协调的、集中化的检测和追踪潜在的病毒。但得注意的是,除了到达客户计算机42的那些电子传输外,在系统40内到达服务器/邮件集线器70的电子传输可以在网络级直接被处理。然后再传送到用户计算机42-50以及其他服务器56-66。
在任何情况下,在服务器55-66进行评估处理的程序代码43可以把元文件中携带的被提取出的病毒指示与从一个或多个数据库68、69中检索出的判据加以比较,以确定相关的危险性水平。这样,元文件通常在客户计算机42一级被格式化,以适应程序代码43的处理技术要求。以这种方式,程序代码43可以容易地提取病毒指示并把它们与从适当的数据库68、69中调出的简表判据加以比较。程序代码43可以结合取样的元文件信息处理该判据,以确定能否在预定参数范围内确定匹配。
这样,由计算机系统10执行的程序代码43可以利用数据库69资源把适当的危险性级别赋予所收到的数据。在一个实施例中,在服务器56的评估过程可以包含程序代码43以把元文件条目与适当的数据库字段关联起来反过来,这些字段又可以与危险级别相链接。程序代码43可以最终对导出元文件的数据加上标记,以赋予危险性级别。赋予危险性级别的作用是向用户的和/或整个网络36发出警告,说明在相关数据中存在病毒的潜在可能性。其他实施例可以进一步附加关于该危险性级别的置信度,以传递对该赋予的肯定性的某种度量。
对数据库字段、头段数据或与数据关联的其他特性赋予危险级别可以反映已建立的危险性概率,说明由该数据对系统40或系统内的特定应用造成的危险性。该危险性级别可以包括一个易于识别的彩色图表和/或从数字比值导出的,百分比或其他值,指出病毒指示与数据库68、69内含有的评估判据之间的相关性。例如,程序代码43可以把电子邮件发送者的网络地址与图4所示示例数据库69中的适当字段128-132中存储的网络地址清单加以比较。如果在元文件和评估判据128-132之间建立了地址匹配,则可根据数据库字段146-150发起适当的行动,字段146-150链接于所定的地址字段130。例如,被链接的数据库字段146-150可以启动程序代码43,它被配置成对导出该元文件的数据加标记或赋予一危险性级别。如这里讨论的那样,示例程序代码可以赋予一个颜色,如“红”150、“黄”148或“绿”146。这种熟悉的彩色图表可以便于用户识别潜在的病毒威胁。
数据库链接可以反映对某些预置的特别针对给定系统40或应用的病毒指示的关注。就是说,危险级别和相关的算法可以根据系统策略被链接或分组。例如,基于“在系统10中接收的一消息到达时间在正常一作时间之外”的病毒指示可能只证明一个小级别的危险,而一个消息在到达这同一系统10之前已途径10个或更多个服务器则可能被赋予高危险级别。以这种方式,在系统40内执行的而且通常在服务器一级执行的程序代码43可以在网络管理员或系统安全管理员预置的系统定向、容差、偏好和/或主机要求的范围内评估各危险性级别。
这样,可以根据系统技术规程和预定的抗病毒行动,由数据库69的字段或其他逻辑矩阵把各危险性级别与适于处理数据的算法链接起来。如下文中将更详细描述的那样,示例算法可以适于对一传输重新安排路由,删除或暂存一个传输,以及询问和/或通告在用户计算机42或其他网络位置的接收者。例如,程序代码43可以根据其危险性级别和相应算法,自动地对电子数据加标记和把数据送到客户机、管理员、存储器等。另一个或这同一个实施例可以首先在接收到来数据的客户机的计算机监视器22上产生一个对话框或其他消息。
响应评估而产生的另一个通告可以通知和/或请求认可一个与所附危险性级别对应的路由选择行动。例如,被评估的消息的一个指示字段可以包含一个指示赋予的危险性级别的颜色。在另一个例子中,示例对话框可以通告用户“检测到可能的病毒;路由转向管理员供评估”。其他示例算法可以被配置成删除、评价、修改、存储、消毒、扫描、提示、赋予关于该危险性级别的置信度和/或去掉原始数据传输的一些大部分。值得注意的是,由于所产生的元文件比较小,评估所需处理时间通常是用户查觉不到的。然而,应该理解,根据每个应用的技术要求,可以按希望纳入额外的处理器。
在实践中,为给定系统40建立的示例危险性级别可以与若干病毒指示的组合有关。例如,一个危险性级别可以归因于一电子消息的附件的大小和它被接收的时刻二者。在一个实施例中,该消息可能得在本地业务工作时间之后被接收,从而值得或促使进行病毒评估。这种评估可以涉及程序代码43把数据被接收时的大小与列表的判据加以比较,这些判据定义了消息统计的不同层面以及相应的危险性级别。例如,附件的大小可以使危险性级别根据单一的存储字节数或字节数范围成比例地确定。在示例应用中,由于该消息是在业务工作时间之后收到的,所以至少可以给该消息加以一个低的危险性级别。值得注意的是,在另一网络36中,这同一情景可以造成较高的或较低的危险性级别,这取决于主机系统40的环境和正常的业务实践。
在另一实施例中,服务器56采取的姿态可以是基于第一病毒指示对数据赋予第一危险性级别,而其后第二服务器62可以基于从这同一个元文件扫描出来的另一病毒指示,附以第二危险性水平。这一情况可以最终造成的结果是第二服务器62的较高的危险性级别,它超过了第一服务器56给出的危险性水平。这样,较高的危险性级别可以附加在该数据上。一个实施例可以进一步赋予合成危险性级别,它是基于不同的指示和/或赋予的不同危险性级别之间的相互作用得到的。以这种方式,关于电子数据的几乎任何特征和环境都能用于与任何数量的可登录的判据进行比较,以达到适当的危险性级别和/或相应的算法。
值得注意的是,这种基于服务器的评估的集中配置可以进一步便于封闭病毒的协调和统一的步骤。如图2中所示,一个网络系统40可以把多个用户计算机42-46链接于单一服务器56或服务器56-66的集群。这样处在网络36内的服务器56可以被配置成评估全部联网计算机42-50的集体域内发生的潜在病毒事件。就是说,利用服务器56作为网络系统40内的集线器和聚焦点的普通角色,它提供了一个集中化的平台,由此影响单向的病毒覆盖。例如,所有数据可由安装在服务器56的或可由服务器56访问的同一程序代码43进行评估。
服务器56或多个服务器56可以进一步被用于使用最新的和适用的抗病毒资源实现评估和可应用的算法。这些资源可以包括本机的或远程的程序代码43,以及数据库和可由服务器56访问的其他存储器。值得注意的是,这些资源可以包括所有已知的抗病毒程序。这样,借助前文的说明,本发明的一个实施例可以容纳传统的抗病毒机制并实际增强这些机制的性能。这样,服务器56可以根据最新近的抗病毒软件以及其他网络技术规程,对整个网络系统40进行一次性更新。这些技术规程可包括面对具体环境改变安全性级别和要求,如报告即将来临的恐怖分子威胁,或者考虑独特有价值的网络项目。这一特性不同于现有技术系统的要求单个用户或管理员分别更新从属于该服务器的计算机。
值得注意的是,在服务器56进行评估之前和/或评估之后,数据可被高速缓存、存储或保持不动。以这种方式、系统40可以保持数据的完整性而相关的元文件承受评估。此外,一个实施例的高速缓存/查封特性还可以通过在识别过程中防止其传播来起到封闭一个潜在病毒的作用。
图5的流程图以例说明适于在上述图1和图2所示任何硬件环境中执行的序列步骤。更具体地说,流程图中的步骤跟踪在系统40的本地客户计算机一级可能发生的过程。那些过程包括产生和传输元文件。其他步骤包括发起一个适于一个危险性级别的行动,该危险性级别之后被赋予元文件/所接收的数据。再更具体地回到该流程图,在块200被传输的数据可以到达联网的计算机30。为了说明本实施例,联网计算机42可以包含客户计算机和服务器计算机二者中任意一个或二者。数据可经由它的盘接口23或与因特网,内连网或在用户网络40之内的或可由它访问的某个其他远程站点接口的浏览器进入计算机42。在一实施例中,在块200接收数据可以在块202启动抗病毒过程。另一个或这同一个实施例可以启动这同样的过程以响应与已在计算机43上的数据相关联的非正常处理时间。
在块204,驻留在计算机42的程序代码41可以从数据中抽取信息。这种信息可以与进入网络40的数据周围的环境条件有关,如它的路由路径、传输时刻、始发者和分发次数。其他信息可以与数据模式有关,如代码序列、检查和值、格式和协议以及数据的大小和其他参数。事实上,本领域技术人员应该理解,从数据中搜集的信息可以包含关于周围环境和/或数据本身的任何可登录的属性。
在一实施例中,一个指示可以对应于由网络管理员预置的或从简表中调出的判据。例如,用于建立用户简表判据的统计资料可以包括描述该用户历史或正常实践的钟形曲线(bell curve)或其他分析。例如,构成简表的判据可以反映在正常业务操作过程中相关用户在早7:00至晚5:30之间发送他或她的电子传输的95%。如果从元文件中识别出的病毒指示表明,被评估的数据的传输时刻落在一个钟形统计曲线的预置参数(例如第95个百分点)外部,则程序代码43可以启动一个算法,该算法被配置成警告或保护该用户。
在块206,程序代码41可以启动产生一个元文件,其中含有一个或多个这种病毒指示。请注意,对于每个网络和/或用户,被指定在文件中的信息类型是可以变化的。例如,一个给定的网络系统40本身可能关心分发次数。分发次数涉及一个电子传输所指定的客户计算机个数。这样,网络36的计算机12、14、20可以从数据中抽取分发次数信息,以包括在发送给服务器36供评估的文件中。
在示例件文中包括的其他数据可以涉及一个用户简表或由用户简表提示。这样的简表可以规定数据的哪些参数应被评估和包括在元文件内。用户简表判据可以存储在客户计算机30上或系统40内的其他某个地方,而且可以与该用户的数据处理的历史统计以及其他用户属性有关。例如,简表判据可以包括该用户每日正常访问该网络的时间。这类判据可以有助于识别操作失常以及其他非正常情况,它们有时伴随病毒活动。在简表中携带的其他评估判据可以涉及针对特定程序应用对用户而言被认为是异常的活动。如前所述,适当的简表数据可以包括应用判据组合和临时标准之间的关系。以这种方式,程序代码41可以根据对单个用户、小组或网络用户的其他组合定制的规程构成用于产生该文件的简表。在需要时,在块206产生该文件可以是自动的,而且对用户是透明的。再有,系统10可以向用户提供一个禁止功能,被配置成禁止针对特定应用的抗病毒评估。这种禁止功能可以用于越过或停止在块206产生文件。
在块208,元文件可以被自动地传送到服务器56。值得注意的是,如果文件是在包含服务器56的计算机30处产生的,这一行动可以是不必要的。为了本发明的目的,服务器56可以包括任何控制器或控制器组合,被配置成在多个用户之间传送数据,并包括防火墙过程。块208的文件传送可以是瞬时的,而且涉及专用的和/或间隔化的处理器,被配置成隔绝和评估多个文件。至于负责在块206产生文件的过程,涉及向服务器56传送该文件的那些过程通常是以对用户透明或用户察觉不到的方式完成的。
如这里讨论的那样,服务器56可以评估元文件以响应块208的传输。这种评估过程可以包括评定元文件/数据的危险性级别。其他评估过程可以包括由本地计算机30执行的指令,如高速缓存所接收的数据。在任何情况下,在块210计算机42可以接收评估结果。如果评估产生一个标志或其他标记,如色彩指示,则在块212计算机42可以把该色彩附加在数据上或使该色彩与数据相关联。就是说,该色彩可与向用户传送数据的模板100或其他编程结构集成在一起。其他或此实施例可以在数据的标题码中插入识别码。以这种方式,在其后数据通过网络系统40分发时,在服务器56的评估结果能被保留。
在块214,这一指示器最终能在其终端显示给用户。例如,一个收件箱,或用户可用的收到电子消息的显示列表可以包括以指定色彩突出显示的部分。该色彩可以表明由服务器56赋予该消息的危险性级别。这样在块210认为有高危险性的消息在显示给用户时可以有红色背景(块214)。在块216,用户可决定对该消息应做些什么。就是说,用户可以选择删除它,把它传送给管理员供进一步分析,或者甚至只打开该消息的一些部分,例如除附件以外的全部。这样,在一个实施例中,在块216,用户最终决定针对所接收的数据及相关联的危险性级别要采取什么行动。
在其他情况中,一个网络可以被配置成在块216自动采取行动。例如,一个实施例可以暂存或存储该数据,以响应高危险性级别。根据处理和存储方面的考虑,数据存储可以在本机完成或在服务器一级完成。如果检测到病毒的存在,则把数据高速缓存或存储在短期存储器中可以便于其后为可疑数据选择路由和进行分析。即使没检测到病毒,这种存储也可以用于保存数据的未被破坏的拷贝。这样,在进行抗病毒分析(如产生文件和评估)的过程中,缓存可以有效地使数据保持在不变状态。为达到这一目的,本领域技术人员应该理解,能在沿着图5流程图所示步骤的多个附加点或替代点完成高速缓存。
图6的流程图说明在图1和图2所示硬件环境内执行的序列步骤,特别是作为图5的客户机级处理步骤的补充。就是说,图6包括的过程适于分析在服务器级接收的元文件数据。更具体地说,在块250,服务器56可以接收一个元文件。在块252,在服务器56处的程序代码43可以评估该元文件以确定病毒潜在危险性。就是说,程序代码43可以抽取或识别该元文件伴随的病毒指示。该病毒指示可以用于确定危险性级别。在一个实施例,程序代码43可以把取样的病毒指示与从数据库69中取出的简表判据比较。如果在块254建立了匹配,则在块262,程序代码可以赋予一个危险性级别或启动另一个与数据库69的相关字段链接的行动。
如果在块254不能建立病毒指示与简表判据之间的匹配,则在块256,含有病毒指示的元文件可以被引导到另一服务器62。在那个服务器62的程序代码则可针对另一数据库68或其他资源来评估元文件的内容,以肯定是否能匹配,然后对病毒指标进行评定。本领域的技术人员将会理解。这些服务器层可以被配置成分层次地评估病毒指示的不同层面。一个这样的服务器66可以存储元文件及相关联的数据,直至在其后某个时候能由管理员做出个人评定为止。另一个或这同一个实施例可以赋予一个危险性级别以向用户指出无能力评估某个病毒指示。例如,一个电子邮件用户可以在他的收件箱界面列表中读到“消息在承受病毒评估”,同时相关的元文件在进一步仔细评估。
如果在块254实现了相关或可比较的识别过程,则在块262,程序代码43可以根据该元文件的一个或多个病毒指示对该数据赋予一个危险性级别。如前文讨论的那样,该危险性级别可以采取色彩、百分数、有标度的评分或其他适于向用户通告该数据隐匿病毒潜在可能性的形式。这样,在块264,这种赋予可以被传回客户计算机,在那里它可以有计划地与该数据关联并显示给用户。
尽管一个用户通常选择适于所赋予的危险性水平的行动,但本领域技术人员将会理解,其他实施例可以在服务器一级开始这样的行动。例如,在服务器处的程序代码43可以自动发起一个电子消息,例如在系统管理员的显示器上的对话框。由服务器56响应块252的评估而调用和执行的其他示例算法可以把到来消息的数据转发给一个分析中心以存储它的各个方面供进一步研究。适于该信息和/或所赋予的危险性级别的另一些算法可以修改或清除一个识别出的和已知的病毒。适当的算法可以查封使用有潜在病毒的帐号、服务器16或其他资源。一个合适的算法可以启动向客户计算机42传输一个电子邮件,提示为识别和/或挫败潜在病毒所需要的更多信息。再有,其他混合实施例可以包括在服务器和客户机两级的行动。
这样,符合本发明原理的一个实施例的好处可以包括一个集中化的抗病毒过程,它保证使最新的抗病毒算法应用于网络系统40内被处理的全部数据。由于单个管理员在单个服务器或较小的一组服务器上维持一套抗病毒软件,使个人可以减轻更新单个客户计算机的负担。本发明的一个实施例的好处之一是可以容易地封闭和处理病毒以供研究和识别,同时抑制了进一步的扩展。
本领域的技术人员应该理解,根据本发明的基本原理,在图6和图7的流程图中所示步骤按图中所示顺序排列是为了演示的目的,不应以任何方式构成对能被执行的相同或等效步骤的序列的限制。例如,一个实施例可以改变数据库判据的检索与产生元文件有关这样一个顺序。这样,元文件产生过程可以考虑或不考虑简表判据,该简表判据可以在其后的文件评估过程中独立地得到应用。另一个实施例可以通过聚焦于和可应用的简表判据有关的信息来利用简表判据操纵该文件的产生。
这样,尽管已经借助对各种实施例的描述说明了本发明,尽管已相当详细地描述了这些实施例,但申请者并不想把所附权利要求的范围限定或以任何方式局限于这些细节。对于本领域的技术人员而言,会容易地显现更多的好处和修改、这样,本发明在其更广泛的方面不限于所显示和描述的具体细节、代表性的装置和方法以及列举的实例。因此,可以偏离这些细节,但不偏离申请者总体发明构想的精神和范围。
Claims (41)
1.一种在网络系统评估数据以确定是否存在病毒的方法,所述网络系统包括一个或多个服务器以及一个或多个网络客户机,所述一个或多个服务器以及一个或多个网络客户机通过网络相连,该方法包含:
在一个或多个服务器中接收一个与网络客户机接收的数据相关联的元文件,所述元文件是从接收的数据中抽取一个或多个预先选定的参数产生的;
在所述一个或多个服务器中评估该元文件以确定是否存在潜在病毒危险性;
响应对该数据潜在病毒危险性的检测,启动对该数据的抗病毒操作。
2.根据权利要求1的方法,进一步包含在网络客户机处产生元文件。
3.根据权利要求2的方法,其中产生元文件进一步包含:把该数据的至少一部分包括在该元文件中。
4.根据权利要求1的方法,进一步包含对该元文件的至少一部分进行路由选择以发送到另一个服务器。
5.根据权利要求1的方法,其中在服务器中接收元文件进一步包含对该元文件进行路由选择以从网络客户机发送到服务器。
6.根据权利要求1的方法,其中评估元文件进一步包含确定从下列一组参数中选定的参数:传输参数、代码序列、用户简表数据、下载机制和时间、处理要求、时间判据、发送者属性、接收者属性、利用的硬件、路由、始发者数据、分发计数、用户历史、数据模式、检验和值、数据分析、附件、发送数、文件大小、格式、协议以及它们的某种组合。
7.根据权利要求1的方法,其中启动对数据的抗病毒操作进一步包含从下列一组算法中选定算法:删除、路由选择、加标记、通知、评价、修改、存储、消毒、扫描、提示、赋予置信水平、拆卸以及它们的某些组合。
8.根据权利要求1的方法,进一步包含对数据赋予危险性级别。
9.根据权利要求1的方法,其中评估元文件进一步包括:把元文件的内容与从网络系统存储器中调出的判据加以比较。
10.根据权利要求1的方法,其中评估元文件进一步包括:为用户产生一个具有评估性判据的简表。
11.根据权利要求10的方法,其中产生简表进一步包含从下列一组判据中选择判据:偏好、历史数据、系统策略、传输和下载约定、路由选择准则、平均处理要求、分发模式、可识别的检验和值、附件信息、文件大小、格式、协议以及它们的某种组合。
12.根据权利要求10的方法,其中评估元文件进一步包含存储该简表。
13.根据权利要求1的方法,进一步包含存储该元文件。
14.根据权利要求1的方法,进一步包含存储该数据。
15.一种检测计算机病毒的方法,包含:
在一计算机上接收数据;
通过从接收的数据中抽取一个或多个预先选定的参数,产生与接收的数据相关联的元文件;
根据病毒指示数据确定病毒的存在,其中病毒指示数据是隐含在元文件数据中的执行的操作的描述,该执行的操作代表与正常操作习惯的偏离;以及
响应该病毒指示,启动抗病毒操作。
16.权利要求15的方法,其中确定病毒的存在包括从下列一组中选定正常操作实践:传输参数、用户简表数据、下载机制和时间、处理要求、时间判据、发送者属性、接收者属性、利用的硬件、路由、始发者数据、分发计数、用户历史、数据模式、检验和值、数据分析、附件、发送数、文件大小、格式、协议以及它们的某种组合。
17.根据权利要求15的方法,其中启动对数据的抗病毒操作进一步包含从下列一组算法中选定算法:删除、路由选择、加标记、通知、评价、修改、存储、消毒、扫描、提示、赋予置信水平、拆卸以及它们的某种组合。
18.一种网络系统评估数据以确定是否存在病毒的方法,所述网络系统包括一个或多个服务器以及一个或多个网络客户机,所述一个或多个服务器以及一个或多个网络客户机通过网络相连,该方法包含:
在服务器中接收一个与网络客户机接收的数据相关联的元文件;
在服务器中评估该元文件以确定是否存在潜在病毒危险性;
把从潜在病毒危险性中导出的危险性级别从服务器传送给该网络客户机。
19.根据权利要求18的方法,进一步包含在网络客户机处产生元文件。
20.根据权利要求18的方法,其中评估元文件进一步包含确定从下列一组参数中选定的参数:传输参数、代码序列、用户简表数据、下载机制和时间、处理要求、时间判据、发送者属性、接收者属性、利用的硬件、路由、始发者数据、分发计数、用户历史、数据模式、检验和值、数据分析、附件、发送数、文件大小、格式、协议以及它们的某种组合。
21.根据权利要求18的方法,进一步包含把一个危险性级别赋予该数据。
22.一种在网络系统评估数据以确定是否存在病毒的装置,所述网络系统包括一个或多个服务器以及一个或多个网络客户机,所述一个或多个服务器以及一个或多个网络客户机通过网络相连,该装置包含:
接收一个与网络客户机接收的数据相关联的元文件的设备,所述元文件是从接收的数据中抽取一个或多个预先选定的参数产生的;
评估该元文件以确定是否存在潜在病毒危险性的设备;以及
响应对该数据潜在病毒危险性的检测,启动对该数据的抗病毒操作的设备。
23.根据权利要求22的装置,其中还包括启动在网络客户机处产生元文件的设备。
24.根据权利要求22的装置,其中的网络客户机是另一台服务器。
25.根据权利要求22的装置,其中还包括启动对元文件进行路由选择以传送给服务器的设备。
26.根据权利要求22的装置,其中的潜在病毒危险性是根据从下列一组指示中选定的病毒指示确定的:传输参数、用户简表数据、下载机制和时间、处理要求、时间判据、发送者属性、接收者属性、利用的硬件、路由、始发者数据、分发计数、用户历史、数据模式、检验和值、数据分析、代码序列、附件、发送数、文件大小、格式、协议以及它们的某种组合。
27.根据权利要求22的装置,其中的元文件包括该数据。
28.根据权利要求22的装置,其中的抗病毒操作被配置成有计划地启动从下列一组算法中选定算法:删除、路由选择、加标记、通知、评价、修改、存储、消毒、扫描、提示、赋予置信水平、拆卸以及它们的某种组合。
29.根据权利要求22的装置,其中还包括启动向数据赋予一个危险性级别的设备。
30.根据权利要求29的装置,其中还包括赋予一个与所赋予的危险性水平有关的置信度的设备。
31.根据权利要求29的装置,其中的危险性级别至少是部分地决定于从下列一组考虑中选定的考虑:主机策略、信息与预置判据之间的有计划的相关性另一个危险性级别以及它们的某种组合。
32.根据权利要求22的装置,其中还包括启动该元文件内容与从存储器调用的判据之间的比较的设备。
33.根据权利要求32的装置,其中的判据是从下列一组中选出的:偏好、历史数据、系统策略、传输和下载约定、路由选择准则、平均处理要求、分发模式、可识别的检验和值、附件信息、文件大小、格式、协议以及它们的某种组合。
34.根据权利要求22的装置,其中还包括启动存储该元文件的设备。
35.一种检测计算机病毒的装置,包含:
在一个计算机上接收数据的设备;
通过从接收的数据中抽取一个或多个预先选定的参数,产生与接收的数据相关联的元文件的设备;
根据病毒指示数据确定病毒的存在的设备,其中该病毒指示数据是隐含在元文件数据中的执行的操作的描述,该执行的操作代表与正常操作习惯的偏离;以及
处理该数据,以响应所确定的病毒存在的设备。
36.根据权利要求35的装置,其中的正常操作实践选自下列一组:传输参数、用户简表数据、下载机制、下载时间、处理要求、时间判据、发送者属性、接收者属性、利用的硬件、路由、始发者数据、分发计数、用户历史、检验和值、附件、文件大小、格式、协议以及它们的某种组合。
37.根据权利要求35的装置,其中处理该数据以响应所确定的病毒存在的设备被配置成有计划地启动从下列一组功能中选定的功能:删除、路由选择、加标记、通知、评价、修改、存储、消毒、扫描、提示、赋予置信水平、拆卸以及它们的某种组合。
38.根据权利要求36的装置,其中还包括启动该病毒指示与从用户简表数据中调的判据之间的比较的设备。
39.根据权利要求38的装置,其中还包括启动产生该简表的设备。
40.根据权利要求38的装置,其中该判据选自下列一组判据:偏好、历史数据、系统策略、传输和下载约定、路由选择准则、平均处理要求、分发模式、可识别的检验和值、附件信息、文件大小、格式、协议以及它们的某种组合。
41.一种病毒评估装置,包含:
接收一个与网络客户机接收的数据相关联的元文件的设备;评估该元文件以确定是否存在潜在病毒危险性的设备;以及把从潜在危险性中导出的危险性级别赋予该数据的设备。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/268,421 | 2002-10-10 | ||
| US10/268,421 US7437760B2 (en) | 2002-10-10 | 2002-10-10 | Antiviral network system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1489048A CN1489048A (zh) | 2004-04-14 |
| CN1299202C true CN1299202C (zh) | 2007-02-07 |
Family
ID=32068559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031563473A Expired - Fee Related CN1299202C (zh) | 2002-10-10 | 2003-09-04 | 抗病毒网络系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (3) | US7437760B2 (zh) |
| CN (1) | CN1299202C (zh) |
Families Citing this family (96)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7257630B2 (en) * | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| EP1593228B8 (en) | 2003-02-14 | 2017-09-20 | McAfee, LLC | Network audit policy assurance system |
| US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
| US7185015B2 (en) | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
| US7739494B1 (en) | 2003-04-25 | 2010-06-15 | Symantec Corporation | SSL validation and stripping using trustworthiness factors |
| WO2004107647A1 (en) * | 2003-05-17 | 2004-12-09 | Microsoft Corporation | Mechanism for evaluating security risks |
| ATE400016T1 (de) * | 2003-08-11 | 2008-07-15 | Telecom Italia Spa | Verfahren und system zur erkennung einer unbefugten benutzung eines kommunikationsnetzes |
| US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| US7526806B2 (en) * | 2003-11-05 | 2009-04-28 | Cisco Technology, Inc. | Method and system for addressing intrusion attacks on a computer system |
| US8201257B1 (en) | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US9154511B1 (en) | 2004-07-13 | 2015-10-06 | Dell Software Inc. | Time zero detection of infectious messages |
| US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
| US7490356B2 (en) * | 2004-07-20 | 2009-02-10 | Reflectent Software, Inc. | End user risk management |
| GB2416879B (en) | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
| GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
| GB2418108B (en) | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
| US7836506B2 (en) * | 2004-09-22 | 2010-11-16 | Cyberdefender Corporation | Threat protection network |
| US7673341B2 (en) * | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
| US7716743B2 (en) * | 2005-01-14 | 2010-05-11 | Microsoft Corporation | Privacy friendly malware quarantines |
| US8719924B1 (en) * | 2005-03-04 | 2014-05-06 | AVG Technologies N.V. | Method and apparatus for detecting harmful software |
| US8646080B2 (en) * | 2005-09-16 | 2014-02-04 | Avg Technologies Cy Limited | Method and apparatus for removing harmful software |
| GB0512744D0 (en) | 2005-06-22 | 2005-07-27 | Blackspider Technologies | Method and system for filtering electronic messages |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| US8126866B1 (en) * | 2005-09-30 | 2012-02-28 | Google Inc. | Identification of possible scumware sites by a search engine |
| US8453243B2 (en) | 2005-12-28 | 2013-05-28 | Websense, Inc. | Real time lockdown |
| US8291377B2 (en) * | 2006-01-25 | 2012-10-16 | Microsoft Corporation | External configuration of processing content for script |
| US7802089B2 (en) * | 2006-01-25 | 2010-09-21 | Microsoft Corporation | Analyzing interpretable code for harm potential |
| US8601160B1 (en) * | 2006-02-09 | 2013-12-03 | Mcafee, Inc. | System, method and computer program product for gathering information relating to electronic content utilizing a DNS server |
| US8479174B2 (en) * | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| US7730538B2 (en) * | 2006-06-02 | 2010-06-01 | Microsoft Corporation | Combining virus checking and replication filtration |
| US8561189B2 (en) * | 2006-06-23 | 2013-10-15 | Battelle Memorial Institute | Method and apparatus for distributed intrusion protection system for ultra high bandwidth networks |
| CN101098226B (zh) * | 2006-06-27 | 2011-02-09 | 飞塔公司 | 一种病毒在线实时处理系统及其方法 |
| US8332947B1 (en) * | 2006-06-27 | 2012-12-11 | Symantec Corporation | Security threat reporting in light of local security tools |
| US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
| US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
| US8424061B2 (en) * | 2006-09-12 | 2013-04-16 | International Business Machines Corporation | Method, system and program product for authenticating a user seeking to perform an electronic service request |
| US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
| GB2458094A (en) | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
| GB2445764A (en) | 2007-01-22 | 2008-07-23 | Surfcontrol Plc | Resource access filtering system and database structure for use therewith |
| US8938773B2 (en) | 2007-02-02 | 2015-01-20 | Websense, Inc. | System and method for adding context to prevent data leakage over a computer network |
| US7908660B2 (en) * | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
| US8015174B2 (en) | 2007-02-28 | 2011-09-06 | Websense, Inc. | System and method of controlling access to the internet |
| GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
| CN101414996B (zh) * | 2007-10-15 | 2012-12-05 | 北京瑞星信息技术有限公司 | 防火墙及其方法 |
| US8037536B2 (en) * | 2007-11-14 | 2011-10-11 | Bank Of America Corporation | Risk scoring system for the prevention of malware |
| US8180886B2 (en) * | 2007-11-15 | 2012-05-15 | Trustwave Holdings, Inc. | Method and apparatus for detection of information transmission abnormalities |
| US8590039B1 (en) | 2007-11-28 | 2013-11-19 | Mcafee, Inc. | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature |
| CN101470633B (zh) * | 2007-12-24 | 2011-09-21 | 联想(北京)有限公司 | 一种虚拟机监视器、虚拟机系统及其内存处理方法 |
| US8990947B2 (en) * | 2008-02-04 | 2015-03-24 | Microsoft Technology Licensing, Llc | Analytics engine |
| US8146151B2 (en) | 2008-02-27 | 2012-03-27 | Microsoft Corporation | Safe file transmission and reputation lookup |
| US9306796B1 (en) | 2008-03-18 | 2016-04-05 | Mcafee, Inc. | System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data |
| US8407784B2 (en) | 2008-03-19 | 2013-03-26 | Websense, Inc. | Method and system for protection against information stealing software |
| US8370948B2 (en) | 2008-03-19 | 2013-02-05 | Websense, Inc. | System and method for analysis of electronic information dissemination events |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| US9015842B2 (en) | 2008-03-19 | 2015-04-21 | Websense, Inc. | Method and system for protection against information stealing software |
| US8769702B2 (en) | 2008-04-16 | 2014-07-01 | Micosoft Corporation | Application reputation service |
| US8301904B1 (en) | 2008-06-24 | 2012-10-30 | Mcafee, Inc. | System, method, and computer program product for automatically identifying potentially unwanted data as unwanted |
| US8918872B2 (en) | 2008-06-27 | 2014-12-23 | Mcafee, Inc. | System, method, and computer program product for reacting in response to a detection of an attempt to store a configuration file and an executable file on a removable device |
| AU2009267107A1 (en) | 2008-06-30 | 2010-01-07 | Websense, Inc. | System and method for dynamic and real-time categorization of webpages |
| US8255997B2 (en) | 2008-09-29 | 2012-08-28 | At&T Intellectual Property I, L.P. | Contextual alert of an invasion of a computer system |
| US9070116B2 (en) | 2008-10-09 | 2015-06-30 | At&T Mobility Ii Llc | On-demand spam reporting |
| US8635694B2 (en) * | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
| WO2010088759A1 (en) * | 2009-02-08 | 2010-08-12 | Research In Motion Limited | Method and system for spam reporting with a message portion |
| US8627461B2 (en) | 2009-03-04 | 2014-01-07 | Mcafee, Inc. | System, method, and computer program product for verifying an identification of program information as unwanted |
| US8370942B1 (en) * | 2009-03-12 | 2013-02-05 | Symantec Corporation | Proactively analyzing binary files from suspicious sources |
| GB2469117B (en) * | 2009-04-03 | 2014-01-01 | F Secure Oyj | Identifying malware |
| US20100263048A1 (en) * | 2009-04-14 | 2010-10-14 | Chih-Jen Chang | Malware prevention method and system in a peer-to-peer environment |
| EP2425606B1 (en) | 2009-05-02 | 2017-11-15 | Citrix Systems, Inc. | Methods and systems for providing a consistent profile to overlapping user sessions |
| US9130972B2 (en) | 2009-05-26 | 2015-09-08 | Websense, Inc. | Systems and methods for efficient detection of fingerprinted data and information |
| WO2011002818A1 (en) * | 2009-06-29 | 2011-01-06 | Cyberdefender Corporation | Systems and methods for operating an anti-malware network on a cloud computing platform |
| EP2312485B1 (en) * | 2009-08-31 | 2018-08-08 | BlackBerry Limited | System and method for controlling applications to mitigate the effects of malicious software |
| US8719939B2 (en) | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
| JP2013523043A (ja) | 2010-03-22 | 2013-06-13 | エルアールディシー システムズ、エルエルシー | ソースデータセットの完全性を識別及び保護する方法 |
| RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
| US9218461B2 (en) * | 2010-12-01 | 2015-12-22 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions |
| US9088601B2 (en) | 2010-12-01 | 2015-07-21 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
| US8924482B2 (en) * | 2010-12-15 | 2014-12-30 | Charlton Brian Goldsmith | Method and system for policing events within an online community |
| US9413721B2 (en) | 2011-02-15 | 2016-08-09 | Webroot Inc. | Methods and apparatus for dealing with malware |
| US8839434B2 (en) * | 2011-04-15 | 2014-09-16 | Raytheon Company | Multi-nodal malware analysis |
| US8635079B2 (en) | 2011-06-27 | 2014-01-21 | Raytheon Company | System and method for sharing malware analysis results |
| US8677346B1 (en) | 2011-09-27 | 2014-03-18 | Symantec Corporation | Providing installer package information to a user |
| US9027125B2 (en) * | 2012-05-01 | 2015-05-05 | Taasera, Inc. | Systems and methods for network flow remediation based on risk correlation |
| US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
| US9715325B1 (en) | 2012-06-21 | 2017-07-25 | Open Text Corporation | Activity stream based interaction |
| US9117054B2 (en) | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
| CN104281806A (zh) * | 2013-07-01 | 2015-01-14 | 宁夏新航信息科技有限公司 | 一种自动化的计算机病毒检测系统 |
| US9154515B1 (en) * | 2013-12-19 | 2015-10-06 | Amazon Technologies, Inc. | Systems and methods identifying and reacting to potentially malicious activity |
| CN104008341A (zh) * | 2014-05-30 | 2014-08-27 | 北京金山安全软件有限公司 | 安全防护的提醒方法及装置 |
| US9118714B1 (en) * | 2014-07-23 | 2015-08-25 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a cyber threat visualization and editing user interface |
| US9836604B2 (en) | 2015-01-30 | 2017-12-05 | International Business Machines Corporation | File integrity preservation |
| US10320818B2 (en) * | 2017-02-14 | 2019-06-11 | Symantec Corporation | Systems and methods for detecting malicious computing events |
| US9864956B1 (en) | 2017-05-01 | 2018-01-09 | SparkCognition, Inc. | Generation and use of trained file classifiers for malware detection |
| US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
| US10305923B2 (en) | 2017-06-30 | 2019-05-28 | SparkCognition, Inc. | Server-supported malware detection and protection |
| US10616252B2 (en) | 2017-06-30 | 2020-04-07 | SparkCognition, Inc. | Automated detection of malware using trained neural network-based file classifiers and machine learning |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1068205A (zh) * | 1991-08-28 | 1993-01-20 | 邹谊 | 微机病毒防治的软件自保护方法 |
| US6088803A (en) * | 1997-12-30 | 2000-07-11 | Intel Corporation | System for virus-checking network data during download to a client device |
| EP1202148A1 (en) * | 2000-10-31 | 2002-05-02 | Hewlett-Packard Company, A Delaware Corporation | Virus check on altered data |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6275937B1 (en) | 1997-11-06 | 2001-08-14 | International Business Machines Corporation | Collaborative server processing of content and meta-information with application to virus checking in a server network |
| US6088804A (en) * | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
| US6260044B1 (en) * | 1998-02-04 | 2001-07-10 | Nugenesis Technologies Corporation | Information storage and retrieval system for storing and retrieving the visual form of information from an application in a database |
| US5987610A (en) * | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| CA2362879A1 (en) * | 1999-02-11 | 2000-08-17 | Loudeye Technologies, Inc. | System for automated comprehensive remote servicing for media information |
| US7610607B1 (en) * | 1999-02-19 | 2009-10-27 | Chaincast Networks, Inc. | Chaincast method and system for broadcasting information to multiple systems within the internet |
| US6986051B2 (en) * | 2000-04-13 | 2006-01-10 | International Business Machines Corporation | Method and system for controlling and filtering files using a virus-free certificate |
| US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
| US7496960B1 (en) * | 2000-10-30 | 2009-02-24 | Trend Micro, Inc. | Tracking and reporting of computer virus information |
| US7155487B2 (en) * | 2000-11-30 | 2006-12-26 | Intel Corporation | Method, system and article of manufacture for data distribution over a network |
| US7117527B1 (en) * | 2000-12-29 | 2006-10-03 | Cisco Technology, Inc. | Device, system, and method for capturing email borne viruses |
| US7287280B2 (en) * | 2002-02-12 | 2007-10-23 | Goldman Sachs & Co. | Automated security management |
| US7010696B1 (en) * | 2001-03-30 | 2006-03-07 | Mcafee, Inc. | Method and apparatus for predicting the incidence of a virus |
| US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
| US7310817B2 (en) * | 2001-07-26 | 2007-12-18 | Mcafee, Inc. | Centrally managed malware scanning |
| US7461403B1 (en) * | 2001-08-03 | 2008-12-02 | Mcafee, Inc. | System and method for providing passive screening of transient messages in a distributed computing environment |
| US7197762B2 (en) * | 2001-10-31 | 2007-03-27 | Hewlett-Packard Development Company, L.P. | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits |
| US20030105973A1 (en) * | 2001-12-04 | 2003-06-05 | Trend Micro Incorporated | Virus epidemic outbreak command system and method using early warning monitors in a network environment |
| US7269851B2 (en) * | 2002-01-07 | 2007-09-11 | Mcafee, Inc. | Managing malware protection upon a computer network |
| US7257630B2 (en) * | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7043485B2 (en) * | 2002-03-19 | 2006-05-09 | Network Appliance, Inc. | System and method for storage of snapshot metadata in a remote file |
| US6968349B2 (en) * | 2002-05-16 | 2005-11-22 | International Business Machines Corporation | Apparatus and method for validating a database record before applying journal data |
| US7373666B2 (en) * | 2002-07-01 | 2008-05-13 | Microsoft Corporation | Distributed threat management |
| US7509683B2 (en) * | 2002-08-26 | 2009-03-24 | Hewlett-Packard Development Company, L.P. | System and method for authenticating digital content |
| US6742128B1 (en) * | 2002-08-28 | 2004-05-25 | Networks Associates Technology | Threat assessment orchestrator system and method |
| US7114183B1 (en) * | 2002-08-28 | 2006-09-26 | Mcafee, Inc. | Network adaptive baseline monitoring system and method |
| US20040049698A1 (en) * | 2002-09-06 | 2004-03-11 | Ott Allen Eugene | Computer network security system utilizing dynamic mobile sensor agents |
| US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| US7526806B2 (en) * | 2003-11-05 | 2009-04-28 | Cisco Technology, Inc. | Method and system for addressing intrusion attacks on a computer system |
| US7475427B2 (en) * | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
| US7519726B2 (en) * | 2003-12-12 | 2009-04-14 | International Business Machines Corporation | Methods, apparatus and computer programs for enhanced access to resources within a network |
| US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
| US7490356B2 (en) * | 2004-07-20 | 2009-02-10 | Reflectent Software, Inc. | End user risk management |
| US7673341B2 (en) * | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
| US7716743B2 (en) * | 2005-01-14 | 2010-05-11 | Microsoft Corporation | Privacy friendly malware quarantines |
| US7650639B2 (en) * | 2005-03-31 | 2010-01-19 | Microsoft Corporation | System and method for protecting a limited resource computer from malware |
| US7730538B2 (en) * | 2006-06-02 | 2010-06-01 | Microsoft Corporation | Combining virus checking and replication filtration |
-
2002
- 2002-10-10 US US10/268,421 patent/US7437760B2/en active Active
-
2003
- 2003-09-04 CN CNB031563473A patent/CN1299202C/zh not_active Expired - Fee Related
-
2008
- 2008-07-09 US US12/170,079 patent/US7739739B2/en not_active Expired - Lifetime
- 2008-07-09 US US12/170,073 patent/US7945957B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1068205A (zh) * | 1991-08-28 | 1993-01-20 | 邹谊 | 微机病毒防治的软件自保护方法 |
| US6088803A (en) * | 1997-12-30 | 2000-07-11 | Intel Corporation | System for virus-checking network data during download to a client device |
| EP1202148A1 (en) * | 2000-10-31 | 2002-05-02 | Hewlett-Packard Company, A Delaware Corporation | Virus check on altered data |
Also Published As
| Publication number | Publication date |
|---|---|
| US7437760B2 (en) | 2008-10-14 |
| CN1489048A (zh) | 2004-04-14 |
| US20080271149A1 (en) | 2008-10-30 |
| US20080295177A1 (en) | 2008-11-27 |
| US20040073810A1 (en) | 2004-04-15 |
| US7945957B2 (en) | 2011-05-17 |
| US7739739B2 (en) | 2010-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1299202C (zh) | 抗病毒网络系统和方法 | |
| US11146575B2 (en) | Suspicious message report processing and threat response | |
| CN101517570B (zh) | 分析网络内容的系统和方法 | |
| CN1146178C (zh) | 用于数据处理的方法和装置 | |
| CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
| US8955133B2 (en) | Applying antimalware logic without revealing the antimalware logic to adversaries | |
| US8479296B2 (en) | System and method for detecting unknown malware | |
| CN101986323B (zh) | 用于检测先前未知的恶意软件的系统和方法 | |
| CN101512522B (zh) | 分析网络内容的系统和方法 | |
| EP2741227B1 (en) | Method, system, client and server for scanning file | |
| CA2856729C (en) | Detecting malware using stored patterns | |
| CN101901314B (zh) | 反恶意软件处理中误报的检测和最小化 | |
| US8199965B1 (en) | System, method, and computer program product for preventing image-related data loss | |
| CN101894225B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| US10546143B1 (en) | System and method for clustering files and assigning a maliciousness property based on clustering | |
| WO2018164701A1 (en) | Identifying malicious network devices | |
| CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| CN1510588A (zh) | 以使用者知识为基础的信息分类系统 | |
| CN1647483A (zh) | 检测和反击企业网络中的恶意代码 | |
| EP4272377B1 (en) | Network adaptive alert prioritization system | |
| CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
| EP4152729A1 (en) | Interactive email warning tags | |
| RU2747514C2 (ru) | Система и способ категоризации приложения на вычислительном устройстве | |
| EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| JP2011022886A (ja) | フィルタリングプログラム、フィルタリング装置およびフィルタリング方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070207 Termination date: 20091009 |