DE202011111092U1 - System zur dynamischen Erzeugung von Antivirus-Datenbanken - Google Patents
System zur dynamischen Erzeugung von Antivirus-Datenbanken Download PDFInfo
- Publication number
- DE202011111092U1 DE202011111092U1 DE202011111092.7U DE202011111092U DE202011111092U1 DE 202011111092 U1 DE202011111092 U1 DE 202011111092U1 DE 202011111092 U DE202011111092 U DE 202011111092U DE 202011111092 U1 DE202011111092 U1 DE 202011111092U1
- Authority
- DE
- Germany
- Prior art keywords
- user
- database
- server
- data
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Computerimplementiertes System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken, wobei das System einen Server (110) innerhalb einer Server-Client-Umgebung umfasst, wobei der Server (110) umfasst:
eine serverseitige AV-Datenbank (315), die auf bekannte Malware-Objekte bezogene Daten enthält;
ein Anfrageverarbeitungsmodul (311), das zum Empfangen und Verarbeiten von Benutzeranfragen von einem Benutzercomputer (120-128, 210) konfiguriert ist;
eine Benutzerprofildatenbank (312), ein Datenverarbeitungsmodul (313), und ein Serveraktualisierungsmodul (316),
gekennzeichnet durch
das Anfrageverarbeitungsmodul (311), das dazu konfiguriert ist, nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128, 210) Benutzerdaten in die Benutzerprofildatenbank (312) einzufügen und das Datenverarbeitungsmodul (313) über die empfangenen Benutzerdaten zu informieren, um eine benutzerseitige AV-Datenbank (216) für den Benutzercomputer (120-128, 210) unter Verwendung der serverseitigen AV-Datenbank (315) und der Benutzerdaten zu erzeugen, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen;
das Serveraktualisierungsmodul (316), das dazu konfiguriert ist, die erzeugte benutzerseitige AV-Datenbank (216) an den Benutzercomputer (120-128, 210) zu senden;
die Benutzerprofildatenbank (312), die mit dem Anfrageverarbeitungsmodul (311) verbunden ist, wobei die Benutzerprofildatenbank (312) die Benutzerparameter und nachfolgende Parameteränderungen enthält, die durch das Anfrageverarbeitungsmodul (311) in die Benutzerprofildatenbank (312) eingefügt werden;
ein Zwangsaktualisierungsmodul (317), das dazu konfiguriert ist, nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315) eine Mitteilung zu senden;
das Datenverarbeitungsmodul (313), das mit dem Anfrageverarbeitungsmodul (311), der Benutzerprofildatenbank (312) und dem Zwangsaktualisierungsmodul (317) verbunden ist, wobei das Datenverarbeitungsmodul (313) dazu konfiguriert ist, Anforderungen zu erzeugen, um basierend auf den von der Benutzerprofildatenbank (312) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216) dynamisch zu aktualisieren; und durch
ein Datenauswahlmodul (314), das dazu konfiguriert ist, die Anforderungen, die benutzerseitige AV-Datenbank (216) zu aktualisieren, von dem Datenverarbeitungsmodul (313) zu empfangen und durch Auswählen eines Untersatzes der auf bekannte Malware-Objekte bezogenen Daten von der serverseitigen AV-Datenbank (315) erforderliche Daten vorzubereiten;
wobei das Serveraktualisierungsmodul (316) mit dem Datenauswahlmodul (314) verbunden ist und ferner zum Senden des Untersatzes an den Benutzercomputer (120-128, 210) zum Aktualisieren der benutzerseitigen AV-Datenbank (216) konfiguriert ist; und
wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.
eine serverseitige AV-Datenbank (315), die auf bekannte Malware-Objekte bezogene Daten enthält;
ein Anfrageverarbeitungsmodul (311), das zum Empfangen und Verarbeiten von Benutzeranfragen von einem Benutzercomputer (120-128, 210) konfiguriert ist;
eine Benutzerprofildatenbank (312), ein Datenverarbeitungsmodul (313), und ein Serveraktualisierungsmodul (316),
gekennzeichnet durch
das Anfrageverarbeitungsmodul (311), das dazu konfiguriert ist, nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128, 210) Benutzerdaten in die Benutzerprofildatenbank (312) einzufügen und das Datenverarbeitungsmodul (313) über die empfangenen Benutzerdaten zu informieren, um eine benutzerseitige AV-Datenbank (216) für den Benutzercomputer (120-128, 210) unter Verwendung der serverseitigen AV-Datenbank (315) und der Benutzerdaten zu erzeugen, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen;
das Serveraktualisierungsmodul (316), das dazu konfiguriert ist, die erzeugte benutzerseitige AV-Datenbank (216) an den Benutzercomputer (120-128, 210) zu senden;
die Benutzerprofildatenbank (312), die mit dem Anfrageverarbeitungsmodul (311) verbunden ist, wobei die Benutzerprofildatenbank (312) die Benutzerparameter und nachfolgende Parameteränderungen enthält, die durch das Anfrageverarbeitungsmodul (311) in die Benutzerprofildatenbank (312) eingefügt werden;
ein Zwangsaktualisierungsmodul (317), das dazu konfiguriert ist, nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315) eine Mitteilung zu senden;
das Datenverarbeitungsmodul (313), das mit dem Anfrageverarbeitungsmodul (311), der Benutzerprofildatenbank (312) und dem Zwangsaktualisierungsmodul (317) verbunden ist, wobei das Datenverarbeitungsmodul (313) dazu konfiguriert ist, Anforderungen zu erzeugen, um basierend auf den von der Benutzerprofildatenbank (312) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216) dynamisch zu aktualisieren; und durch
ein Datenauswahlmodul (314), das dazu konfiguriert ist, die Anforderungen, die benutzerseitige AV-Datenbank (216) zu aktualisieren, von dem Datenverarbeitungsmodul (313) zu empfangen und durch Auswählen eines Untersatzes der auf bekannte Malware-Objekte bezogenen Daten von der serverseitigen AV-Datenbank (315) erforderliche Daten vorzubereiten;
wobei das Serveraktualisierungsmodul (316) mit dem Datenauswahlmodul (314) verbunden ist und ferner zum Senden des Untersatzes an den Benutzercomputer (120-128, 210) zum Aktualisieren der benutzerseitigen AV-Datenbank (216) konfiguriert ist; und
wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.
Description
- Hintergrund der Erfindung
- Gebiet der Erfindung
- Die vorliegende Erfindung betrifft Systeme zum Antivirus (AV)-Schutz und insbesondere ein System zur dynamischen Erzeugung von AV-Datenbanken und ein System zum Aktualisieren von Benutzer-AV-Datenbanken basierend auf Parametern eines Benutzercomputers gemäß den Ansprüchen 1 bzw. 7.
- Beschreibung der verwandten Technik
- Die Sicherheit von Daten, die sich auf Benutzer-PCs, Mobilgeräten oder innerhalb von Unternehmenssystemen befinden, ist ein Problem, das jeden Tag nur komplexer wird. Praktisch jeden Tag erscheint eine große Anzahl neuer Malware-Anwendungen. Jede dieser Malware-Anwendungen kann Computerausfälle verursachen oder zum Verlust oder Diebstahl kritischer persönlicher Benutzerdaten führen. Viele der bekannten Malware-Anwendungen sind modifiziert, so dass es schwerer wird, sie zu detektieren.
- Um ein notwendiges Datensicherheitslevel aufrechtzuerhalten, müssen Verkäufer von AV-Systemen ihre AV-Datenbanken, die zur Virus- oder Malware-Detektion verwendet werden, konstant aktualisieren. Moderne AV-Datenbanken enthalten verschiedene Typen von Daten: Malware-Signaturen (einschließlich heuristischer Signaturen), Blacklists von Schadobjekt-Prüfsummen, Blacklists von Websites, ausführbare Codes von Daten-Entpack-Algorithmen und Codes einer heuristischen Datenanalyse, Daten zum Behandeln detektierter Bedrohungen usw.
- Zusätzlich zu diesen Datentypen können die AV-Datenbanken einen Code enthalten, der zum Aktualisieren von Komponenten des AV-System benötigt wird. Somit werden die AV-Datenbanken nicht nur zum Aufbewahren der gegenwärtigen Signaturen, sondern auch zum Aktualisieren des tatsächlichen AV-Systems verwendet. In den AV-Datenbanken enthaltene Daten können basierend auf dem AV-System, das sie verwendet, unterschiedlich dargestellt sein. Das Format und die Darstellung der Daten werden basierend auf Kriterien, wie etwa beispielsweise Einfachheit einer Aktualisierung, Verwendungskomfort, Größe usw., ausgewählt.
- Die Daten können als eine Vielzahl von Dateien unterschiedlicher Formate, beispielsweise als eine Dynamic Link Library (DLL), als XML-Dateien, oder als von einem speziellen AV-System verwendete proprietäre Formate dargestellt sein. Gegenwärtig enthalten typische AV-Datenbanken große Volumina verschiedener Daten, deren Volumen konstant zunimmt. Dies wird dadurch verursacht, dass jeden Tag neue Malware erscheint und entsprechende Daten in die AV-Datenbank eingefügt werden. Die ständig zunehmende Größe von AV-Datenbanken macht sie weniger geeignet für häufige Aktualisierungen. Erwünscht ist ein System zum Reduzieren einer Größe der AV-Datenbank.
- Eine Tendenz zu einer rapiden Zunahme der AV-Datenbanken ist ein Problem, das für Hersteller der AV-Systeme bereits kritisch ist. Es ist erwünscht, die AV-Datenbanken komfortabler und mobiler zu machen. Eine Aktualisierung von AV-Anwendungen basierend auf verschiedenen Parametern ist in den Veröffentlichungen
WO 2011/046356 A2 WO 2010/024606 A2 KR 2009 111152 A - Die
WO 2011/046356 A2 - Die
WO 2010/024606 A2 KR 2009 111152 A - Ferner ist aus der
EP 1 330 097 A2 eine Technik zum Detektieren von Computerviren in einem mobilen Kommunikationssystem bekannt. Die Technik umfasst eine Servervorrichtung, die zur Detektion von Computerviren verwendete Musterdaten an ein Mobilkommunikationsendgerät überträgt. Die Servervorrichtung extrahiert spezifizierte Musterdaten aus einer Vielzahl von Musterdatensätzen auf der Basis einer Endgerätinformation bezüglich des mobilen Kommunikationsendgeräts und überträgt die spezifizierten Musterdaten auf das mobile Kommunikationsendgerät. - Ferner ist aus der
US 2011/0047620 A1 - Diese Systeme haben einige Nachteile. Beispielsweise werden die AV-Datenbanken basierend auf einer begrenzten Liste von Parametern manuell erzeugt. Die AV-Datenbank wird erstellt, ohne Gesamtsicherheitsbedürfnisse eines Benutzers zu berücksichtigen, abgesehen von einem Überprüfen der Benutzerdateien. Das
US-Patent Nr. 7 743 419 B1 offenbart ein Verfahren zum Verhindern von Computervirusepidemien. Das Verfahren basiert auf einem Sammeln von Benutzer-PC-Informationen und einem Analysieren von diesen auf Zeichen für eine Epidemie. Die Epidemien können vorhergesagt und verhindert werden. - Demgemäß gibt es in der Technik ein Bedürfnis für ein System zur dynamischen Erzeugung der AV-Datenbanken basierend auf Parametern eines Benutzercomputers, ohne die Effektivität eines Malware-Detektions-Systems, das die AV-Datenbank verwendet, zu beeinflussen.
- Kurzer Abriss der Erfindung
- Offenbart ist ein System zur dynamischen Erzeugung von Antivirus-Datenbanken wie im unabhängigen Anspruch 1 dargelegt. Ebenfalls offenbart ist ein System zum Aktualisieren von Benutzer-Antivirus-Datenbanken wie im unabhängigen Anspruch 7 dargelegt. Die vorliegende Erfindung betrifft Systeme zum Antivirus (AV)-Schutz. Die vorliegende Erfindung stellt ein System zur dynamischen Erzeugung von AV-Datenbanken basierend auf Parametern eines Benutzercomputers bereit, das einen oder mehrere der Nachteile der verwandten Technik im Wesentlichen vermeidet.
- In einem Aspekt der Erfindung wird ein System zum Reduzieren der Größe der AV-Datenbank durch dynamisches Erzeugen einer AV-Datenbank gemäß Benutzerparametern bereitgestellt. Gemäß einer beispielhaften Ausführungsform werden kritische Benutzerparameter bestimmt, die den Inhalt der für diesen Benutzer erforderlichen AV-Datenbank beeinflussen. Die AV-Datenbank für den einzelnen Benutzer wird basierend auf den Benutzerparametern erzeugt. Wenn sich die Parameter des Benutzercomputers ändern oder wenn neue Malware-Bedrohungen detektiert werden, wird die Benutzer-AV-Datenbank gemäß den neuen Parametern und den neuen Malware-Bedrohungen dynamisch aktualisiert.
- Der Aktualisierungsvorgang wird effizienter, da die Notwendigkeit zum Aktualisieren großer Datenvolumina beseitigt wird. Das AV-System, das mit einer kleinen AV-Datenbank arbeitet, findet Malware-Objekte effizienter und verwendet weniger Computersystemressourcen.
- Zusätzliche Merkmale und Vorteile der Erfindung werden in der Beschreibung dargelegt, die folgt, und werden teilweise aus der Beschreibung offensichtlich, oder können durch Praktizieren der Erfindung gelernt werden. Die Vorteile der Erfindung werden durch die Struktur verwirklicht und erlangt, auf die insbesondere in der schriftlichen Beschreibung und den Ansprüchen hiervon sowie den beigefügten Zeichnungen hingewiesen wird.
- Es versteht sich, dass sowohl die vorstehende allgemeine Beschreibung als auch die folgende detaillierte Beschreibung beispielhaft und erläuternd sind und eine weitere Erläuterung der Erfindung wie beansprucht bereitstellen sollen.
- Figurenliste
- Die begleitenden Zeichnungen, die enthalten sind, um für ein weiteres Verständnis der Erfindung zu sorgen, und in diese Beschreibung miteinbezogen sind und einen Teil von ihr darstellen, veranschaulichen Ausführungsbeispiele der Erfindung und dienen, zusammen mit der Beschreibung, dazu, die Prinzipien der Erfindung zu erläutern.
- In den Zeichnungen:
- veranschaulicht
1 eine allgemeine Anordnung einer Vielzahl von Benutzercomputern, eines Servers und einer AV-Datenbank in Übereinstimmung mit der beispielhaften Ausführungsform; - veranschaulicht
2 eine Client-Seite eines Systems zur dynamischen Aktualisierung einer AV-Datenbank in Übereinstimmung mit der beispielhaften Ausführungsform; - veranschaulicht
3 eine Serverseite eines Systems zur dynamischen Aktualisierung von Client-AV-Datenbanken in Übereinstimmung mit der beispielhaften Ausführungsform; - veranschaulicht
4 eine Struktur einer Benutzerprofildatenbank in Übereinstimmung mit der beispielhaften Ausführungsform; - veranschaulicht
5 ein Flussdiagramm eines Verfahrens zur dynamischen Erzeugung der AV-Datenbanken, bei dem das System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken angewandt werden kann; - veranschaulicht
6 ein Schaubild eines beispielhaften Computersystems, das zur Implementierung der Erfindung verwendet werden kann. - Detaillierte Beschreibung der bevorzugten Ausführungsformen
- Es wird nun detailliert auf die bevorzugten Ausführungsformen der vorliegenden Erfindung Bezug genommen, von denen Beispiele in den beigefügten Zeichnungen veranschaulicht sind.
- Gemäß einer beispielhaften Ausführungsform wird ein System zum Reduzieren der Größe der AV-Datenbank durch dynamisches Erzeugen einer AV-Datenbank gemäß Benutzerparametern bereitgestellt. Die kritischen Benutzerparameter, die den Inhalt der für diesen Benutzer erforderlichen AV-Datenbank beeinflussen, werden bestimmt. Die AV-Datenbank für den individuellen Benutzer wird basierend auf den Benutzerparametern erzeugt. Wenn sich die Parameter des Benutzercomputers ändern oder wenn neue Malware-Bedrohungen detektiert werden, wird die Benutzer-AV-Datenbank gemäß den neuen Parametern und den neuen Malware-Bedrohungen dynamisch aktualisiert.
- Alle der bekannten Malware-Objekte (wie etwa beispielsweise Computerviren, Trojaner, Würmer, Rootkits usw.) können neben einigen neuen Objekten durch die AV-Systeme detektiert werden. Jedoch braucht ein Benutzer, auf dessen Computer eine AV-Anwendung läuft, keine vollständige AV-Datenbank, die eine große Anzahl von Objekten umfasst, auf die der Benutzer wahrscheinlich niemals stoßen wird. Beispielsweise muss eine benutzerseitige AV-Datenbank nicht mit einer Blacklist der Websites von einem Domain-Bereich aktualisiert werden, während der Benutzer nur eine andere (unterschiedliche) Domain besucht und die Sites von der ersten Domain nie besucht.
- Außerdem laufen auf Benutzer-PCs unterschiedliche Versionen von OSs. Für unterschiedliche OS-Versionen gibt es unterschiedliche Typen von Malware-Bedrohungen. Somit ist ein Verwenden der AV-Datenbank, die für ein spezifisches OS erzeugt wurde, effizienter im Gegensatz zu einer universellen AV-Datenbank, die mit allen OSs arbeitet und große Volumina an unnötigen und redundanten Informationen enthält. Die bevorzugte Ausführungsform geht diese Probleme an, indem sie eine AV-Datenbank spezifisch für einen speziellen Benutzercomputer basierend auf den Parametern dieses Computers erzeugt.
-
1 veranschaulicht eine allgemeine Anordnung einer Vielzahl von Benutzercomputern, eines Servers und einer AV-Datenbank in Übereinstimmung mit der beispielhaften Ausführungsform. Jeder von Benutzer-PCs120 -128 weist einen Satz von Parametern auf, die für jeden Benutzer erzeugte AV-Datenbanken beeinflussen. Diese Parameter werden nachstehend detaillierter erörtert. Jeder der Benutzer-PCs120-128 weist seine eigene AV-Datenbank auf. Falls einige der Benutzercomputer die gleichen Parameter aufweisen, enthalten die AV-Datenbanken für diese Computer die gleichen Daten. Die AV-Datenbanken für die Computer, die unterschiedliche Parameter aufweisen, enthalten unterschiedliche Daten. Jedoch können diese Datenbanken auch einige der gleichen Daten aufweisen. - Die AV-Datenbanken
120-128 sind basierend auf Informationen gebildet, die normalerweise in der zentralen Datenbank111 gespeichert sind. Falls die Benutzercomputer ähnliche oder die gleichen Eigenschaften aufweisen, wären dann ihre AV-Datenbanken die gleichen oder ähnlich. Falls einige der Benutzercomputerparameter ähnlich sind, wären dann die auf jenen Parametern basierenden Teile der Datenbanken gleich. - Bei der beispielhaften Ausführungsform wird ein Server-zu-Client-Zugriff durch Verbindungen über Internet
130 implementiert. Der Update-Server110 erzeugt AV-Datenbanken für jeden Benutzer unter Verwendung einer zentralen AV-Datenbank111 . Die Parameter von jedem PC bestimmen den Inhalt der für diesen PC erzeugten AV-Datenbank. Der Update-Server110 kann jede AV-Datenbank aktualisieren, wenn sich die Parameter des entsprechenden PCs ändern. Die zentrale AV-Datenbank111 enthält Daten, die für eine Funktionalität der AV-Systeme erforderlich sind, die auf jedem der Benutzer-PCs laufen, die einen beliebigen Parametersatz aufweisen. Es wird angemerkt, dass die zentrale AV-Datenbank111 eine Größe aufweist, die signifikant größer als die Größe einer gegebenen benutzerseitigen AV-Datenbank ist, weil sie alle gegenwärtig bekannten Malware-bezogenen Daten enthält. -
2 veranschaulicht eine Benutzerseite eines Systems in Übereinstimmung mit der beispielhaften Ausführungsform. Gemäß der beispielhaften Ausführungsform umfasst ein Benutzer-PC210 ein AV-Modul211 , das eine Festplatte212 nach Malware-Objekten scannt. Das AV-Modul211 wird durch eine benutzerseitige AV-Datenbank216 unterstützt. Die Festplatte212 speichert beispielsweise ein System-OS, einen Web-Browser, einen Mail-Client und andere Benutzerdateien. Der Benutzer-PC210 umfasst auch ein Benutzerprofilerzeugungsmodul213 . Das Modul213 sammelt Parameter, die zum Erzeugen des Benutzerprofils notwendig sind. Die Parameter enthalten wenigstens die folgenden: - - eine Benutzer-ID (eine einzigartige Nummer);
- - einen Benutzer-Standort (d.h. einen geografischen Standort - ein Land oder eine Region umfassend mehrere Länder);
- - eine Benutzercomputerinformation (OS-Version; Lokalitätsparameter - Benutzersprache, Land, Zeitzone usw.; Web-Browser-Typ; Mail-Client-Typ usw.);
- - eine AV-Anwendungsversion;
- - eine AV-Datenbankversion;
- - eine Statistik besuchter Sites;
- - eine Statistik detektierter Malware-Objekte.
- Zusätzlich kann eine Liste von Benutzeranwendungen (die durch Malware benutzt werden können) als ein Parameter verwendet werden. Diese Information wird berücksichtigt, um die AV-Datenbank
216 zu erzeugen, die optimal zu den Bedürfnissen des Benutzers210 passt, der einen speziellen Satz der Anwendungen laufen lässt. Die Benutzerparameterdaten werden durch den Update-Server110 als Kriterien zum Erzeugen der AV-Datenbank216 verwendet. - Beispielsweise kann ein Benutzer-Standort verwendet werden, um die Signaturendatenbank zu bilden, da die Signaturendatenbank landabhängig, oder sprachenabhängig usw. sein kann.
- Eine Benutzercomputerinformation, die Daten über das installierte OS, Anwendungen, und so weiter umfasst, da Malware oft auf spezifische Schwachstellen in dem OS oder in der Anwendungs-Software abzielt.
- Eine Statistik besuchter Sites, die ein Bestimmen der Bedrohungstypen erlaubt, die nach einem Besuchen spezieller Sites oder Site-Kategorien auftreten können, und die beim Bilden der AV-Datenbank berücksichtigt werden können.
- Falls beispielsweise mehrere Benutzercomputer den gleichen Standort, die gleiche OS-Version, den gleichen Web-Browser, die gleichen Mail-Clients usw. aufweisen, sind die für diese Computer erzeugten AV-Datenbanken identisch. Jedoch hängt der vollständige Inhalt einer speziellen AV
216 von jedem speziellen Parameter des Benutzer-PCs210 ab. Deshalb kann eine oben bereitgestellte Liste der Parameter durch zusätzliche Parameter ergänzt werden, die Benutzer und ihre PCs reflektieren. Es ist wichtig, auf einen Satz der Parameter zu kommen, der ein Erzeugen der optimalsten AV-Datenbanken für individuelle Benutzer ermöglicht. Solche AV-Datenbanken stellen einen maximalen Benutzer-PC-Schutz bereit, während sie eine kleinstmögliche Größe aufweisen. - Deshalb wird die Größe der AV-Datenbank
216 durch eine dynamische Erzeugung der AV-Datenbank basierend auf ausgewählten Parametern des Benutzer-PCs210 in vorteilhafter Weise reduziert. In Übereinstimmung mit der beispielhaften Ausführungsform stellt das System zusätzliche Konfigurationen bereit. Falls beispielsweise ein Benutzer-PC210 als ein Mail-Server verwendet wird, kann das Benutzerprofilerzeugungsmodul213 so konfiguriert sein, dass der Benutzer-PC210 nur einen Teil der AV-Datenbank empfängt, der zur Detektion von Viren und Spam in den Mail-Nachrichten erforderlich ist. In diesem Fall wird die AV-Datenbank216 den Teil, der zur Detektion von Viren in heruntergeladenen Websites erforderlich ist, nicht aufweisen. Die Größe der AV-Datenbank216 ist dementsprechend reduziert. - Bei einer Ausführungsform kann das System wegen Ressourcenbegrenzungen (d.h. beispielsweise Bandbreitengrenzen) das Benutzerprofilerzeugungsmodul
213 so konfigurieren, dass die AV-Datenbank nur die Signaturen empfängt, die den üblichsten Malware-Objekten entsprechen. In diesem Fall ist die Sicherheit des Systems minimal reduziert, während die Größe der AV-Datenbank216 signifikant reduziert ist. - Das Benutzerprofilerzeugungsmodul
213 bereitet alle Daten vor, die zu dem Update-Server110 zu senden sind. Bei einer anfänglichen Registrierung des Benutzercomputers210 bei dem Update-Server110 sammelt das Benutzerprofilerzeugungsmodul213 zur Registrierung erforderliche Daten. Um dies zu tun, werden die Benutzeranwendungsdaten und die OS-Daten von der Festplatte212 abgerufen. Die Version der AV-Anwendung wird auch von dem AV-Modul211 abgerufen. Die Version der AV-Datenbank216 wird bestimmt. Alle diese Daten werden durch das Benutzerprofilerzeugungsmodul213 einem Anfrageerzeugungsmodul214 bereitgestellt, das eine Anfrage, die alle Benutzerinformationen enthält, an den Update-Server110 sendet. - Nach anfänglicher Registrierung durch den Benutzer empfängt der Benutzer die AV-Datenbank, die jenen Computerparametern (OS, installierte Anwendungen usw.) entspricht, die der Benutzer bereitstellen kann. Andere Informationen können seinen Standort, Versionen des OS oder der Anwendungen usw. umfassen. Basierend auf diesen Parametern wird die AV-Datenbank für jenen Benutzer erzeugt. Dann wird der Computer des Benutzers Daten hinsichtlich besuchter Sites und jeglicher identifizierter Malware, sowie jeglicher Änderungen in der Konfiguration des Computers, Versionen von OS und Anwendungen usw. dem Server bereitstellen - in anderen Worten wird das Profil des Benutzers auf dem Server aktualisiert, und die AV-Datenbank wird dementsprechend aktualisiert. Somit wird jeder Benutzer eine AV-Datenbank aufweisen, die für ihn optimiert ist. In diesem Fall ist eine Wahrscheinlichkeit, dass diese AV-Datenbank einigermaßen optimal für den Benutzer ist, ziemlich hoch. Dann wird, wenn die Daten von diesem Benutzer durch den Update-Server gesammelt werden, die Benutzer-AV-Datenbank kontinuierlich modifiziert, so dass letztendlich der Benutzer mit der optimalsten AV-Datenbank versehen wird.
- Falls der Benutzercomputer einige Änderungen durchläuft (beispielsweise das OS aktualisiert wird, eine neue Benutzeranwendung installiert wird usw.), werden die Änderungen durch das Benutzerprofilerzeugungsmodul
213 detektiert und zu dem Update-Server110 übertragen. Dann aktualisiert der Update-Server110 die Benutzer-AV-Datenbank216 durch Hinzufügen neuer Daten, die für einen gegenwärtigen Parametersatz erforderlich sind. - Das Benutzerprofilerzeugungsmodul
213 empfängt auch Informationen über detektierte Malware-Objekte von dem AV-Modul211 und überträgt diese Informationen zu dem Update-Server110 über das Anfrageerzeugungsmodul214 . Der Update-Server110 sammelt Statistiken, die zum Erzeugen von Benutzer-AV-Datenbanken berücksichtigt werden. Der Benutzer-PC210 umfasst ein Benutzeraktualisierungsmodul215 , das eine neue Version der AV-Datenbank von dem Update-Server110 empfängt und die Benutzer-AV-Datenbank216 aktualisiert. -
3 veranschaulicht eine Serverseite eines Systems in Übereinstimmung mit der beispielhaften Ausführungsform. Der Update-Server110 kommuniziert mit Benutzercomputern über ein Anfrageverarbeitungsmodul311 , das Benutzeranfragen von Benutzercomputern empfängt und die Anfragen verarbeitet. Das Anfrageverarbeitungsmodul311 fügt in der Benutzeranfrage enthaltene neue Daten in eine Benutzerprofildatenbank312 ein. Das Anfrageverarbeitungsmodul311 informiert auch ein Datenverarbeitungsmodul313 über neue empfangene Benutzerdaten. - Falls ein System alternativ die Benutzerprofildatenbank
312 nicht aufweist, überträgt das Anfrageverarbeitungsmodul311 die empfangenen Benutzerdaten direkt zu dem Datenverarbeitungsmodul313 . Die Benutzerprofildatenbank312 enthält benutzerbezogene Daten, die zum Beschleunigen des Benutzerdatenanalyseprozesses erforderlich sind. Die benutzerbezogenen Daten beeinflussen einen Prozess zur Erzeugung der AV-Datenbank nicht. Deshalb kann bei alternativen Ausführungsformen die Benutzerprofildatenbank312 in dem Update-Server110 fehlen. - Das Datenverarbeitungsmodul
313 analysiert Benutzer-PC-bezogene Daten. Diese Analyse umfasst Daten, die auf die detektierten Malware-Objekte bezogen sind. Die Analyse wird in Fällen geplanter Aktualisierungen der Benutzer-AV-Datenbank durchgeführt. Die Analyse kann auch nach einem Empfangen der Benutzeranfrage für eine Aktualisierung der Benutzer-AV-Datenbank durchgeführt werden. Die Analyse kann auch ein Überprüfen der Parameter für jeden Benutzer umfassen, wobei die benutzerspezifische Datenbank basierend auf den Parametern gebildet wird. - Falls die Benutzer-AV-Datenbank aktualisiert werden muss, wird eine entsprechende Anfrage von dem Benutzer-PC in das Anfrageverarbeitungsmodul
311 empfangen. Das Datenverarbeitungsmodul313 analysiert Daten von der Datenbank312 . Dann erzeugt das Datenverarbeitungsmodul313 , basierend auf Ergebnissen der Analyse der in der Benutzerprofildatenbank312 enthaltenen Benutzerprofile, Anforderungen für die Benutzer-AV-Datenbank und stellt die Anforderungen einem Datenauswahlmodul314 bereit. - Falls sich wenigstens einer der Parameter des Benutzer-PCs geändert hat, wird eine Anfrage, die die Parameteränderungen reflektierenden Daten enthält, in das Anfrageverarbeitungsmodul
311 empfangen und der geänderte Parameter wird in die Datenbank312 eingefügt. Das Datenverarbeitungsmodul313 erzeugt neue Anforderungen basierend auf den Parameteränderungen. Das Datenauswahlmodul314 empfängt die Anforderungen von dem Datenverarbeitungsmodul313 und bereitet erforderliche Daten durch Auswählen der relevanten Teile (d.h. eines Untersatzes der zentralen AV) von der zentralen AV-Datenbank315 vor. - Die ausgewählten Teile der Datenbank
315 werden zu dem Benutzer-PC210 durch ein Serveraktualisierungsmodul316 übertragen. Dann empfängt das Benutzeraktualisierungsmodul215 die ausgewählten Teile und aktualisiert die Benutzer-AV-Datenbank216 . Malware-Objekte werden periodisch modifiziert und neue Malware-Objekte werden erstellt. Deshalb muss die zentrale AV-Datenbank315 auch aktualisiert werden. Auch müssen einige veraltete und redundante Datensätze von der zentralen AV-Datenbank315 gelöscht werden. Somit müssen alle Änderungen in der zentralen AV-Datenbank315 in den Benutzer-AV-Datenbanken reflektiert sein. - Gemäß der beispielhaften Ausführungsform werden die Benutzer-AV-Datenbanken
216 durch ein Zwangsaktualisierungsmodul317 synchron mit der zentralen AV-Datenbank315 gehalten. Das Zwangsaktualisierungsmodul317 sendet nach der Aktualisierung der zentralen AV-Datenbank315 eine Mitteilung zu dem Datenverarbeitungsmodul313 . Dann führt das Datenverarbeitungsmodul eine Datenanalyse (außer der Reihe) durch und erzeugt neue Anforderungen für die Benutzer-AV-Datenbank216 . Dann wird die Aktualisierung der Benutzer-AV-Datenbank216 wie oben beschrieben durchgeführt. - In
4 sind in der Benutzerprofildatenbank312 enthaltene Daten abgebildet. Jeder Benutzer weist eine einzigartige ID auf (eine Nummer oder eine alphanumerische Zeichenfolge). Die Benutzerprofildatenbank312 enthält alle Daten, die innerhalb von Benutzeranfragen empfangen wurden, beispielsweise: einen Benutzer-Standort; Benutzercomputer-bezogene Daten; eine Benutzer-AV-Anwendungsversion; eine Benutzer-AV-Datenbankversion; einen Datensammlungszeitraum; eine auf besuchte Sites bezogene Statistik; eine Statistik detektierter Malware-Objekte usw. -
5 veranschaulicht ein Flussdiagramm eines Verfahrens zur dynamischen Erzeugung der AV-Datenbanken, bei dem das System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken angewandt werden kann. Bei Schritt510 wird basierend auf Daten, die auf einen Benutzercomputer bezogen sind, ein Benutzerprofil gebildet. Eine Benutzeranfrage, die die Benutzerprofilinformation enthält, wird bei Schritt511 zu einem Update-Server gesendet. Die Benutzeranfragedaten werden bei Schritt512 verarbeitet und bei Schritt513 in die Benutzerprofildatenbank geschrieben. Die Benutzerprofildaten werden bei Schritt514 analysiert und neue Anforderungen werden erzeugt. Basierend auf den neuen Anforderungen werden bei Schritt515 relevante Daten von der zentralen AV-Datenbank ausgewählt. Die Benutzer-AV-Datenbank wird bei Schritt516 durch die ausgewählten Daten aktualisiert. - Unter Bezugnahme auf
6 umfasst ein beispielhaftes System zum Implementieren der Erfindung eine Allgemeinzweckcomputervorrichtung in der Form eines Computers120 oder dergleichen, umfassend eine Verarbeitungseinheit21 , einen Systemspeicher22 , und einen Systembus23 der verschiedene Systemkomponenten umfassend den Systemspeicher mit der Verarbeitungseinheit21 koppelt. - Der Systembus
23 kann irgendeiner von mehreren Typen von Busstrukturen sein, die einen Speicherbus oder Speicher-Controller, einen peripheren Bus, und einen lokalen Bus unter Verwendung irgendeiner einer Vielfalt von Busarchitekturen umfassen. Der Systemspeicher umfasst einen Nur-Lese-Speicher (Read-Only Memory; ROM)24 und einen Speicher mit wahlfreiem Zugriff (Random-Access Memory; RAM)25 . Ein grundlegendes Eingabe-/Ausgabe-System26 (BIOS), das die grundlegenden Routinen enthält, die helfen, Informationen zwischen Elementen innerhalb des Computers120 zu übertragen, wie etwa beim Hochfahren, ist in dem ROM24 gespeichert. - Der Computer
120 kann ferner ein Festplattenlaufwerk27 zum Lesen von und Schreiben auf eine nicht gezeigte Festplatte, ein Magnetplattenlaufwerk28 zum Lesen von oder Schreiben auf eine entfernbare Magnetplatte29 , und ein optisches Plattenlaufwerk30 zum Lesen von oder Schreiben auf eine entfernbare optische Platte31 , wie etwa eine CD-ROM, DVD-ROM oder andere optische Medien, umfassen. Das Festplattenlaufwerk27 , Magnetplattenlaufwerk28 , und Optikplattenlaufwerk30 sind mit dem Systembus23 durch eine Festplattenlaufwerkschnittstelle32 , eine Magnetplattenlaufwerkschnittstelle33 , bzw. eine Optiklaufwerkschnittstelle34 verbunden. Die Laufwerke und ihre zugehörigen computerlesbaren Medien stellen eine nichtflüchtige Speicherung von computerlesbaren Instruktionen, Datenstrukturen, Programmmodulen und anderen Daten für den Computer120 bereit. - Obwohl die hierin beschriebene beispielhafte Umgebung eine Festplatte, eine entfernbare Magnetplatte
29 und eine entfernbare optische Platte31 einsetzt, sollten Fachleute erkennen, dass andere Typen von computerlesbaren Medien, die Daten speichern können, auf die ein Computer zugreifen kann, wie etwa Magnetkassetten, Flashspeicherkarten, Digitalvideodisks, Bernoullikassetten, Speicher mit wahlfreiem Zugriff (Random-Access Memories; RAMs), Nur-Lese-Speicher (Read-Only Memories; ROMs), und dergleichen auch in der beispielhaften Betriebsumgebung verwendet werden können. - Eine Anzahl von Programmmodulen, umfassend ein Betriebssystem
35 , kann auf der Festplatte, Magnetplatte29 , optischen Platte31 , ROM24 oder RAM25 , gespeichert sein. Der Computer120 umfasst ein Dateisystem36 , das dem Betriebssystem35 zugeordnet oder innerhalb diesem umfasst ist, eines oder mehrere Anwendungsprogramme37 , andere Programmmodule38 und Programmdaten39 . Ein Benutzer kann Befehle und Informationen durch Eingabevorrichtungen, wie etwa eine Tastatur40 und eine Zeigevorrichtung42 , in den Computer120 eingeben. Andere (nicht gezeigte) Eingabevorrichtungen können ein Mikrofon, einen Joystick, ein Game-Pad, eine Satellitenschüssel, einen Scanner oder dergleichen umfassen. - Diese und andere Eingabevorrichtungen sind mit der Verarbeitungseinheit
21 oft durch eine serielle Portschnittstelle46 verbunden, die mit dem Systembus gekoppelt ist, können aber durch andere Schnittstellen, wie etwa einen parallelen Port, einen Game-Port oder einen universellen seriellen Bus (Universal Serial Bus; USB) verbunden sein. Ein Monitor47 oder ein anderer Typ Anzeigevorrichtung ist über eine Schnittstelle, wie etwa einen Video-Adapter48 , auch mit dem Systembus23 verbunden. Zusätzlich zum Monitor47 umfassen Personal-Computer typischerweise andere (nicht gezeigte) periphere Ausgabevorrichtungen, wie etwa Lautsprecher und Drucker. - Der Computer
120 kann in einer Netzwerkumgebung unter Verwendung logischer Verbindungen mit einem oder mehreren entfernten Computern49 arbeiten. Der (oder die) entfernte(n) Computer49 kann (können) ein anderer Computer, ein Server, ein Router, ein Netzwerk-PC, ein Peer-Gerät oder ein anderer gemeinsamer Netzwerkknoten sein, und umfasst typischerweise viele oder alle der oben bezüglich des Computers120 beschriebenen Elemente, obwohl nur eine Memoryspeichervorrichtung50 veranschaulicht worden ist. Die logischen Verbindungen umfassen ein lokales Netzwerk (Local Area Network; LAN)51 und ein Weitverkehrsnetz (Wide Area Network; WAN)52 . Derartige Netzwerkumgebungen sind in Büros, unternehmensweiten Computernetzwerken, Intranets und dem Internet üblich. - Bei Verwendung in einer LAN-Netzwerkumgebung ist der Computer
120 mit dem lokalen Netzwerk51 durch eine Netzwerkschnittstelle oder einen Adapter53 verbunden. Bei Verwendung in einer WAN-Netzwerkumgebung umfasst der Computer120 typischerweise ein Modem54 oder andere Mittel zum Aufbauen einer Kommunikation über das Weitverkehrsnetz52 , wie etwa das Internet. - Das Modem
54 , das intern oder extern sein kann, ist mit dem Systembus23 über die serielle Portschnittstelle46 verbunden. In einer Netzwerkumgebung können relativ zum Computer120 abgebildete Programmmodule, oder Teile davon, in der entfernten Memoryspeichervorrichtung gespeichert sein. Es versteht sich, dass die gezeigten Netzwerkverbindungen beispielhaft sind und andere Mittel zum Aufbauen einer Kommunikationsverknüpfung zwischen den Computern verwendet werden können. - Nachdem somit eine bevorzugte Ausführungsform beschrieben worden ist, sollten Fachleute erkennen, dass gewisse Vorteile der beschriebenen Vorrichtung erreicht worden sind. Insbesondere würden Fachleute erkennen, dass das vorgeschlagene System eine Reduzierung der AV-Datenbanken durch ein dynamisches Erzeugen der AV-Datenbank für die individuellen Benutzer basierend auf Benutzerparametern bereitstellt.
- Das System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken kann bei den folgenden Verfahren angewandt werden:
- a) Computerimplementiertes Verfahren zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken, wobei das Verfahren auf einem Server (
110 ) durchgeführt wird, der eine Benutzerprofildatenbank (312 ), eine serverseitige AV-Datenbank (315 ), die auf bekannte Malware-Objekte bezogene Daten enthält, ein Anfrageverarbeitungsmodul (311 ), ein Datenverarbeitungsmodul (313 ), ein Datenauswahlmodul (314 ), ein Zwangsaktualisierungsmodul (317 ), und ein Serveraktualisierungsmodul (316 ) umfasst, wobei das Verfahren umfasst:- Empfangen und Verarbeiten einer Benutzeranfrage durch das Anfrageverarbeitungsmodul (
311 ), wobei die Benutzeranfrage von einem Benutzercomputer (120 -128, 210) empfangen wird; - Einfügen, durch das Anfrageverarbeitungsmodul (
311 ), von Benutzerdaten nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128 ,210 ) in die Benutzerprofildatenbank (312 ) und Informieren des Datenverarbeitungsmoduls (313 ) über die empfangenen Benutzerdaten; - Erzeugen, durch das Datenverarbeitungsmodul (
313 ), einer benutzerseitigen AV-Datenbank (216 ) für den Benutzercomputer (120- 128,210 ) unter Verwendung der serverseitigen AV-Datenbank (315 ) und der Benutzerdaten, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen; - Senden, durch das Serveraktualisierungsmodul (
316 ), der erzeugten benutzerseitigen AV-Datenbank (216 ) an den Benutzercomputer (120-128 ,210 ); - Einfügen nachfolgender Parameteränderungen in die Benutzerprofildatenbank (
312 ); - Speichern der nachfolgenden Parameteränderungen in der Benutzerprofildatenbank (
312 ); - Senden einer Mitteilung, durch ein Zwangsaktualisierungsmodul (
317 ), nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315 ); - Erzeugen, durch das Datenverarbeitungsmodul (
313 ), von Anforderungen, um basierend auf den von der Benutzerprofildatenbank (312 ) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317 ) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216 ) dynamisch zu aktualisieren; - Empfangen, durch das Datenauswahlmodul (
314 ), der Anforderungen, die benutzerseitige AV-Datenank (216 ) zu aktualisieren, von dem Datenverarbeitungsmodul (313 ) und Vorbereiten erforderlicher Daten durch Auswählen eines Untersatzes von der serverseitigen AV-Datenbank (315 ); - Bereitstellen, durch ein Aktualisierungsmodul (
316 ), des Untersatzes für den Benutzercomputer (120-128 ,210 ) zum Aktualisieren der benutzerseitigen AV-Datenbank (216 ), und - wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.
- Empfangen und Verarbeiten einer Benutzeranfrage durch das Anfrageverarbeitungsmodul (
- b) Verfahren nach Absatz a), wobei der Benutzercomputer (
120-128 ,210 ) ein Modul (213 ) zum Sammeln von Parametern zum Erzeugen eines Benutzerprofils umfasst, wobei die Parameter irgendeinen umfassen von:- einer Benutzersprache;
- einem Benutzerland; und
- einer Benutzerzeitzone.
- c) Verfahren nach Absatz a), ferner umfassend ein Detektieren von Aktualisierungen der serverseitigen AV-Datenbank.
- d) Verfahren nach Absatz a), ferner umfassend ein Erzeugen neuer Anforderungen basierend auf den Parameteränderungen von der Benutzerprofildatenbank (
312 ), Erzeugen einer neuen Untersatz-AV-Datenbank basierend auf den neuen Anforderungen und Bereitstellen der neuen Untersatz-AV-Datenbank für den Benutzer zum Aktualisieren einer benutzerseitigen AV-Datenbank (216 ). - ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- WO 2011/046356 A2 [0006, 0007]
- WO 2010/024606 A2 [0006, 0008]
- KR 2009111152 A [0006, 0008]
- EP 1330097 A2 [0009]
- US 2011/0047620 A1 [0010]
- US 7743419 B1 [0011]
Claims (8)
- Computerimplementiertes System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken, wobei das System einen Server (110) innerhalb einer Server-Client-Umgebung umfasst, wobei der Server (110) umfasst: eine serverseitige AV-Datenbank (315), die auf bekannte Malware-Objekte bezogene Daten enthält; ein Anfrageverarbeitungsmodul (311), das zum Empfangen und Verarbeiten von Benutzeranfragen von einem Benutzercomputer (120-128, 210) konfiguriert ist; eine Benutzerprofildatenbank (312), ein Datenverarbeitungsmodul (313), und ein Serveraktualisierungsmodul (316), gekennzeichnet durch das Anfrageverarbeitungsmodul (311), das dazu konfiguriert ist, nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128, 210) Benutzerdaten in die Benutzerprofildatenbank (312) einzufügen und das Datenverarbeitungsmodul (313) über die empfangenen Benutzerdaten zu informieren, um eine benutzerseitige AV-Datenbank (216) für den Benutzercomputer (120-128, 210) unter Verwendung der serverseitigen AV-Datenbank (315) und der Benutzerdaten zu erzeugen, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen; das Serveraktualisierungsmodul (316), das dazu konfiguriert ist, die erzeugte benutzerseitige AV-Datenbank (216) an den Benutzercomputer (120-128, 210) zu senden; die Benutzerprofildatenbank (312), die mit dem Anfrageverarbeitungsmodul (311) verbunden ist, wobei die Benutzerprofildatenbank (312) die Benutzerparameter und nachfolgende Parameteränderungen enthält, die durch das Anfrageverarbeitungsmodul (311) in die Benutzerprofildatenbank (312) eingefügt werden; ein Zwangsaktualisierungsmodul (317), das dazu konfiguriert ist, nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315) eine Mitteilung zu senden; das Datenverarbeitungsmodul (313), das mit dem Anfrageverarbeitungsmodul (311), der Benutzerprofildatenbank (312) und dem Zwangsaktualisierungsmodul (317) verbunden ist, wobei das Datenverarbeitungsmodul (313) dazu konfiguriert ist, Anforderungen zu erzeugen, um basierend auf den von der Benutzerprofildatenbank (312) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216) dynamisch zu aktualisieren; und durch ein Datenauswahlmodul (314), das dazu konfiguriert ist, die Anforderungen, die benutzerseitige AV-Datenbank (216) zu aktualisieren, von dem Datenverarbeitungsmodul (313) zu empfangen und durch Auswählen eines Untersatzes der auf bekannte Malware-Objekte bezogenen Daten von der serverseitigen AV-Datenbank (315) erforderliche Daten vorzubereiten; wobei das Serveraktualisierungsmodul (316) mit dem Datenauswahlmodul (314) verbunden ist und ferner zum Senden des Untersatzes an den Benutzercomputer (120-128, 210) zum Aktualisieren der benutzerseitigen AV-Datenbank (216) konfiguriert ist; und wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.
- System nach
Anspruch 1 , wobei der Benutzercomputer (120-128, 210) ein Modul (213) zum Sammeln von Parametern zum Erzeugen eines Benutzerprofils umfasst, wobei die Parameter irgendeinen umfassen von: einer Benutzersprache; einem Benutzerland; und einer Benutzerzeitzone. - System nach
Anspruch 1 , wobei das Anfrageverarbeitungsmodul (311) mit einem Anfrageerzeugungsmodul (214) des Benutzercomputers verbunden ist. - System nach
Anspruch 1 , wobei das Serveraktualisierungsmodul (316) mit einem sich auf dem Benutzercomputer befindlichen Benutzeraktualisierungsmodul (215) verbunden ist und das Serveraktualisierungsmodul (316) dazu konfiguriert ist, den Untersatz der AV-Datenbank zu dem Benutzeraktualisierungsmodul (215) zu senden. - System nach
Anspruch 1 , wobei die Benutzeranfragen von einer Vielzahl von Benutzercomputern empfangen werden und wobei die ausgewählten Untersätze zum Aktualisieren entsprechender benutzerseitiger AV-Datenbanken (216) zu der Vielzahl von Benutzercomputern gesendet werden. - System nach
Anspruch 1 , wobei das Serveraktualisierungsmodul (316) den Untersatz der serverseitigen AV-Datenbank (315) für den Benutzercomputer (120-128, 210) nach Registrierung bereitstellt. - Computerimplementiertes System zum Aktualisieren von Benutzer-Antivirus (AV)-Datenbanken (216), wobei das System einen Benutzercomputer (110) innerhalb einer Server-Client-Umgebung umfasst, wobei der Benutzercomputer (110) umfasst: ein benutzerseitiges AV-Modul (211), das zum Scannen eines Benutzerfestplattenlaufwerks konfiguriert ist; eine benutzerseitige AV-Datenbank (216), auf die das AV-Modul (211) zugreifen kann und die auf bekannte Malware-Objekte bezogene benutzerspezifische Daten enthält; ein Anfrageerzeugungsmodul (214); und ein Benutzeraktualisierungsmodul (215), das zum Empfangen einer Aktualisierung von einem Server (110), wenn Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, auf einer serverseitigen AV-Datenbank (315) des Servers aktualisiert sind, und zum Schreiben der Aktualisierung in die benutzerseitige AV-Datenbank (216) konfiguriert ist, gekennzeichnet durch ein Benutzerprofilerzeugungsmodul (213), das daran angepasst ist, für eine Registrierung gesammelte Benutzerparameter zu sammeln, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen, und Änderungen in dem Benutzercomputer zu detektieren; wobei das Anfrageerzeugungsmodul (214) mit dem Benutzerprofilerzeugungmodul (213) verbunden und dazu konfiguriert ist, eine Registrierungsanfrage an ein serverseitiges Anfrageverarbeitungsmodul (311) zu senden, um die auf den gesammelten Benutzerparametern basierende benutzerseitige AV-Datenbank (216) zu empfangen; wobei das Anfrageerzeugungsmodul (214) dazu konfiguriert ist, basierend auf den detektierten Änderungen an den Benutzerparametern eine Aktualisierungsanfrage zu erzeugen und die Aktualisierungsanfrage zu dem serverseitigen Anfrageverarbeitungsmodul (311) zu senden, wobei die Benutzeraktualisierung als ein Untersatz einer serverseitigen AV-Datenbank (315) basierend auf dem Benutzerprofil dynamisch erzeugt wird, und wobei die detektierten Änderungen Änderungen des geografischen Benutzer-Standorts umfassen.
- System nach
Anspruch 7 , wobei das Benutzerprofilerzeugungsmodul (213) Parameter zum Erzeugen eines Benutzerprofils sammelt, wobei die Parameter irgendeinen umfassen von: einer Benutzersprache; einem Benutzerland; und einer Benutzerzeitzone.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011011600 | 2011-03-28 | ||
RU20110111600 | 2011-03-28 |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202011111092U1 true DE202011111092U1 (de) | 2019-07-22 |
Family
ID=67550766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202011111092.7U Expired - Lifetime DE202011111092U1 (de) | 2011-03-28 | 2011-06-28 | System zur dynamischen Erzeugung von Antivirus-Datenbanken |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE202011111092U1 (de) |
-
2011
- 2011-06-28 DE DE202011111092.7U patent/DE202011111092U1/de not_active Expired - Lifetime
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60102555T2 (de) | Verhinderung der map-aktivierten modulmaskeradeangriffe | |
DE60303753T2 (de) | Selektives Erkennen von böswilligem Rechnercode | |
DE112019001121B4 (de) | Auf einem computer implementiertes verfahren zum identifizieren von malware und system hierfür | |
DE202012013609U1 (de) | System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben | |
CN104125209B (zh) | 恶意网址提示方法和路由器 | |
DE202010018642U1 (de) | System zur Erfassung zuvor unbekannter Schadsoftware | |
DE112010004135B4 (de) | Sicherung Asynchroner Client-Server-Transaktionen | |
DE10126752A1 (de) | Virusprüfung und -meldung für Suchergebnisse von Computerdatenbanken | |
CN112564988B (zh) | 告警处理方法、装置及电子设备 | |
DE202012013734U1 (de) | System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation | |
US20140156711A1 (en) | Asset model import connector | |
DE112014002789T5 (de) | Netzwerksicherheitssystem | |
DE112012000526T5 (de) | Malware - Erkennung | |
DE202013102441U1 (de) | System zur Überprüfung digitaler Zertifikate | |
DE112011103164T5 (de) | Datenverteilungsvorrichtung, Datenverteilungssystem, Client-Vorrichtung, Datenverteilungsverfahren, Datenempfangsverfahren, Programm und Datenträger, | |
DE102004048959B4 (de) | Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät | |
US20120272318A1 (en) | System and method for dynamic generation of anti-virus databases | |
DE102011056502A1 (de) | Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen | |
DE202011111121U1 (de) | System zum Erfassen komplexer Schadsoftware | |
DE112012004114T5 (de) | Bewerten des sozialen Risikos aufgrund des von verbundenen Kontakten ausgehenden Gefahrenpotenzials | |
DE202017105834U1 (de) | Verwaltung von Anwendungsaktualisierungen | |
DE112012002624T5 (de) | Regex-Kompilierer | |
DE102012220716A1 (de) | Verfahren, Datenverarbeitungsvorrichtung und Programm zum Identifizieren vertraulicher Daten | |
US10958684B2 (en) | Method and computer device for identifying malicious web resources | |
DE102016204698A1 (de) | Verbessern des Erkennens von Steganographie am Perimeter |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R082 | Change of representative |
Representative=s name: V. FUENER EBBINGHAUS FINCK HANO, DE |
|
R207 | Utility model specification | ||
R152 | Utility model maintained after payment of third maintenance fee after eight years | ||
R071 | Expiry of right |