DE202011111092U1 - System zur dynamischen Erzeugung von Antivirus-Datenbanken - Google Patents

System zur dynamischen Erzeugung von Antivirus-Datenbanken Download PDF

Info

Publication number
DE202011111092U1
DE202011111092U1 DE202011111092.7U DE202011111092U DE202011111092U1 DE 202011111092 U1 DE202011111092 U1 DE 202011111092U1 DE 202011111092 U DE202011111092 U DE 202011111092U DE 202011111092 U1 DE202011111092 U1 DE 202011111092U1
Authority
DE
Germany
Prior art keywords
user
database
server
data
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202011111092.7U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of DE202011111092U1 publication Critical patent/DE202011111092U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Computerimplementiertes System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken, wobei das System einen Server (110) innerhalb einer Server-Client-Umgebung umfasst, wobei der Server (110) umfasst:
eine serverseitige AV-Datenbank (315), die auf bekannte Malware-Objekte bezogene Daten enthält;
ein Anfrageverarbeitungsmodul (311), das zum Empfangen und Verarbeiten von Benutzeranfragen von einem Benutzercomputer (120-128, 210) konfiguriert ist;
eine Benutzerprofildatenbank (312), ein Datenverarbeitungsmodul (313), und ein Serveraktualisierungsmodul (316),
gekennzeichnet durch
das Anfrageverarbeitungsmodul (311), das dazu konfiguriert ist, nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128, 210) Benutzerdaten in die Benutzerprofildatenbank (312) einzufügen und das Datenverarbeitungsmodul (313) über die empfangenen Benutzerdaten zu informieren, um eine benutzerseitige AV-Datenbank (216) für den Benutzercomputer (120-128, 210) unter Verwendung der serverseitigen AV-Datenbank (315) und der Benutzerdaten zu erzeugen, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen;
das Serveraktualisierungsmodul (316), das dazu konfiguriert ist, die erzeugte benutzerseitige AV-Datenbank (216) an den Benutzercomputer (120-128, 210) zu senden;
die Benutzerprofildatenbank (312), die mit dem Anfrageverarbeitungsmodul (311) verbunden ist, wobei die Benutzerprofildatenbank (312) die Benutzerparameter und nachfolgende Parameteränderungen enthält, die durch das Anfrageverarbeitungsmodul (311) in die Benutzerprofildatenbank (312) eingefügt werden;
ein Zwangsaktualisierungsmodul (317), das dazu konfiguriert ist, nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315) eine Mitteilung zu senden;
das Datenverarbeitungsmodul (313), das mit dem Anfrageverarbeitungsmodul (311), der Benutzerprofildatenbank (312) und dem Zwangsaktualisierungsmodul (317) verbunden ist, wobei das Datenverarbeitungsmodul (313) dazu konfiguriert ist, Anforderungen zu erzeugen, um basierend auf den von der Benutzerprofildatenbank (312) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216) dynamisch zu aktualisieren; und durch
ein Datenauswahlmodul (314), das dazu konfiguriert ist, die Anforderungen, die benutzerseitige AV-Datenbank (216) zu aktualisieren, von dem Datenverarbeitungsmodul (313) zu empfangen und durch Auswählen eines Untersatzes der auf bekannte Malware-Objekte bezogenen Daten von der serverseitigen AV-Datenbank (315) erforderliche Daten vorzubereiten;
wobei das Serveraktualisierungsmodul (316) mit dem Datenauswahlmodul (314) verbunden ist und ferner zum Senden des Untersatzes an den Benutzercomputer (120-128, 210) zum Aktualisieren der benutzerseitigen AV-Datenbank (216) konfiguriert ist; und
wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.

Description

  • Hintergrund der Erfindung
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft Systeme zum Antivirus (AV)-Schutz und insbesondere ein System zur dynamischen Erzeugung von AV-Datenbanken und ein System zum Aktualisieren von Benutzer-AV-Datenbanken basierend auf Parametern eines Benutzercomputers gemäß den Ansprüchen 1 bzw. 7.
  • Beschreibung der verwandten Technik
  • Die Sicherheit von Daten, die sich auf Benutzer-PCs, Mobilgeräten oder innerhalb von Unternehmenssystemen befinden, ist ein Problem, das jeden Tag nur komplexer wird. Praktisch jeden Tag erscheint eine große Anzahl neuer Malware-Anwendungen. Jede dieser Malware-Anwendungen kann Computerausfälle verursachen oder zum Verlust oder Diebstahl kritischer persönlicher Benutzerdaten führen. Viele der bekannten Malware-Anwendungen sind modifiziert, so dass es schwerer wird, sie zu detektieren.
  • Um ein notwendiges Datensicherheitslevel aufrechtzuerhalten, müssen Verkäufer von AV-Systemen ihre AV-Datenbanken, die zur Virus- oder Malware-Detektion verwendet werden, konstant aktualisieren. Moderne AV-Datenbanken enthalten verschiedene Typen von Daten: Malware-Signaturen (einschließlich heuristischer Signaturen), Blacklists von Schadobjekt-Prüfsummen, Blacklists von Websites, ausführbare Codes von Daten-Entpack-Algorithmen und Codes einer heuristischen Datenanalyse, Daten zum Behandeln detektierter Bedrohungen usw.
  • Zusätzlich zu diesen Datentypen können die AV-Datenbanken einen Code enthalten, der zum Aktualisieren von Komponenten des AV-System benötigt wird. Somit werden die AV-Datenbanken nicht nur zum Aufbewahren der gegenwärtigen Signaturen, sondern auch zum Aktualisieren des tatsächlichen AV-Systems verwendet. In den AV-Datenbanken enthaltene Daten können basierend auf dem AV-System, das sie verwendet, unterschiedlich dargestellt sein. Das Format und die Darstellung der Daten werden basierend auf Kriterien, wie etwa beispielsweise Einfachheit einer Aktualisierung, Verwendungskomfort, Größe usw., ausgewählt.
  • Die Daten können als eine Vielzahl von Dateien unterschiedlicher Formate, beispielsweise als eine Dynamic Link Library (DLL), als XML-Dateien, oder als von einem speziellen AV-System verwendete proprietäre Formate dargestellt sein. Gegenwärtig enthalten typische AV-Datenbanken große Volumina verschiedener Daten, deren Volumen konstant zunimmt. Dies wird dadurch verursacht, dass jeden Tag neue Malware erscheint und entsprechende Daten in die AV-Datenbank eingefügt werden. Die ständig zunehmende Größe von AV-Datenbanken macht sie weniger geeignet für häufige Aktualisierungen. Erwünscht ist ein System zum Reduzieren einer Größe der AV-Datenbank.
  • Eine Tendenz zu einer rapiden Zunahme der AV-Datenbanken ist ein Problem, das für Hersteller der AV-Systeme bereits kritisch ist. Es ist erwünscht, die AV-Datenbanken komfortabler und mobiler zu machen. Eine Aktualisierung von AV-Anwendungen basierend auf verschiedenen Parametern ist in den Veröffentlichungen WO 2011/046356 A2 , WO 2010/024606 A2 und KR 2009 111152 A offenbart.
  • Die WO 2011/046356 A2 offenbart ein Verfahren zum Bereitstellen eines Anti-Malware-Dienstes, wobei ein Aktualisierungsprozess für ein mobiles Client-Gerät bei einem Schritt beginnt, bei dem Client-Informationen auf dem Gerät gesammelt und dann zu einem Server übertragen werden, wobei als Reaktion auf diese anfängliche Anfrage der Server bestimmt, ob sich der Standort des mobilen Geräts geändert hat und ob es notwendig ist, die Virus-Datenbank zu aktualisieren.
  • Die WO 2010/024606 A2 offenbart ein System und ein Verfahren für eine Auswahl von Daten für Computer basierend auf einem Betriebssystem und einer Version einer verwendeten AV-Anwendung. Die KR 2009 111152 A beschreibt ein System zum Aktualisieren von AV-Systemen. Das System basiert auf einer Klassifizierung der Dateien, die überprüft werden müssen, und einem Erzeugen einer Liste von erforderlichen Aktualisierungen.
  • Ferner ist aus der EP 1 330 097 A2 eine Technik zum Detektieren von Computerviren in einem mobilen Kommunikationssystem bekannt. Die Technik umfasst eine Servervorrichtung, die zur Detektion von Computerviren verwendete Musterdaten an ein Mobilkommunikationsendgerät überträgt. Die Servervorrichtung extrahiert spezifizierte Musterdaten aus einer Vielzahl von Musterdatensätzen auf der Basis einer Endgerätinformation bezüglich des mobilen Kommunikationsendgeräts und überträgt die spezifizierten Musterdaten auf das mobile Kommunikationsendgerät.
  • Ferner ist aus der US 2011/0047620 A1 ein Verfahren zum Bewerten eines Datenobjekts durch einen Servercomputer bekannt. Das Verfahren umfasst ein Empfangen von Daten an dem Servercomputer, wobei die Daten wenigstens einen Teil des Datenobjekts, auf den durch ein mobiles Kommunikationsgerät zugegriffen werden kann, identifizieren; Bestimmen, ob eine Definitionsinformation für ein Datenobjekt den Daten entspricht, wobei die Definitionsinformation in einem Datenspeicher gespeichert ist, auf den der Server zugreifen kann, wobei der Datenspeicher eine entsprechende Bewertung für die Definitionsinformation speichert; falls eine Definitionsinformation den Daten entspricht, stellt der Server dann die der Definitionsinformation entsprechende Bewertungsinformation bereit.
  • Diese Systeme haben einige Nachteile. Beispielsweise werden die AV-Datenbanken basierend auf einer begrenzten Liste von Parametern manuell erzeugt. Die AV-Datenbank wird erstellt, ohne Gesamtsicherheitsbedürfnisse eines Benutzers zu berücksichtigen, abgesehen von einem Überprüfen der Benutzerdateien. Das US-Patent Nr. 7 743 419 B1 offenbart ein Verfahren zum Verhindern von Computervirusepidemien. Das Verfahren basiert auf einem Sammeln von Benutzer-PC-Informationen und einem Analysieren von diesen auf Zeichen für eine Epidemie. Die Epidemien können vorhergesagt und verhindert werden.
  • Demgemäß gibt es in der Technik ein Bedürfnis für ein System zur dynamischen Erzeugung der AV-Datenbanken basierend auf Parametern eines Benutzercomputers, ohne die Effektivität eines Malware-Detektions-Systems, das die AV-Datenbank verwendet, zu beeinflussen.
  • Kurzer Abriss der Erfindung
  • Offenbart ist ein System zur dynamischen Erzeugung von Antivirus-Datenbanken wie im unabhängigen Anspruch 1 dargelegt. Ebenfalls offenbart ist ein System zum Aktualisieren von Benutzer-Antivirus-Datenbanken wie im unabhängigen Anspruch 7 dargelegt. Die vorliegende Erfindung betrifft Systeme zum Antivirus (AV)-Schutz. Die vorliegende Erfindung stellt ein System zur dynamischen Erzeugung von AV-Datenbanken basierend auf Parametern eines Benutzercomputers bereit, das einen oder mehrere der Nachteile der verwandten Technik im Wesentlichen vermeidet.
  • In einem Aspekt der Erfindung wird ein System zum Reduzieren der Größe der AV-Datenbank durch dynamisches Erzeugen einer AV-Datenbank gemäß Benutzerparametern bereitgestellt. Gemäß einer beispielhaften Ausführungsform werden kritische Benutzerparameter bestimmt, die den Inhalt der für diesen Benutzer erforderlichen AV-Datenbank beeinflussen. Die AV-Datenbank für den einzelnen Benutzer wird basierend auf den Benutzerparametern erzeugt. Wenn sich die Parameter des Benutzercomputers ändern oder wenn neue Malware-Bedrohungen detektiert werden, wird die Benutzer-AV-Datenbank gemäß den neuen Parametern und den neuen Malware-Bedrohungen dynamisch aktualisiert.
  • Der Aktualisierungsvorgang wird effizienter, da die Notwendigkeit zum Aktualisieren großer Datenvolumina beseitigt wird. Das AV-System, das mit einer kleinen AV-Datenbank arbeitet, findet Malware-Objekte effizienter und verwendet weniger Computersystemressourcen.
  • Zusätzliche Merkmale und Vorteile der Erfindung werden in der Beschreibung dargelegt, die folgt, und werden teilweise aus der Beschreibung offensichtlich, oder können durch Praktizieren der Erfindung gelernt werden. Die Vorteile der Erfindung werden durch die Struktur verwirklicht und erlangt, auf die insbesondere in der schriftlichen Beschreibung und den Ansprüchen hiervon sowie den beigefügten Zeichnungen hingewiesen wird.
  • Es versteht sich, dass sowohl die vorstehende allgemeine Beschreibung als auch die folgende detaillierte Beschreibung beispielhaft und erläuternd sind und eine weitere Erläuterung der Erfindung wie beansprucht bereitstellen sollen.
  • Figurenliste
  • Die begleitenden Zeichnungen, die enthalten sind, um für ein weiteres Verständnis der Erfindung zu sorgen, und in diese Beschreibung miteinbezogen sind und einen Teil von ihr darstellen, veranschaulichen Ausführungsbeispiele der Erfindung und dienen, zusammen mit der Beschreibung, dazu, die Prinzipien der Erfindung zu erläutern.
  • In den Zeichnungen:
    • veranschaulicht 1 eine allgemeine Anordnung einer Vielzahl von Benutzercomputern, eines Servers und einer AV-Datenbank in Übereinstimmung mit der beispielhaften Ausführungsform;
    • veranschaulicht 2 eine Client-Seite eines Systems zur dynamischen Aktualisierung einer AV-Datenbank in Übereinstimmung mit der beispielhaften Ausführungsform;
    • veranschaulicht 3 eine Serverseite eines Systems zur dynamischen Aktualisierung von Client-AV-Datenbanken in Übereinstimmung mit der beispielhaften Ausführungsform;
    • veranschaulicht 4 eine Struktur einer Benutzerprofildatenbank in Übereinstimmung mit der beispielhaften Ausführungsform;
    • veranschaulicht 5 ein Flussdiagramm eines Verfahrens zur dynamischen Erzeugung der AV-Datenbanken, bei dem das System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken angewandt werden kann;
    • veranschaulicht 6 ein Schaubild eines beispielhaften Computersystems, das zur Implementierung der Erfindung verwendet werden kann.
  • Detaillierte Beschreibung der bevorzugten Ausführungsformen
  • Es wird nun detailliert auf die bevorzugten Ausführungsformen der vorliegenden Erfindung Bezug genommen, von denen Beispiele in den beigefügten Zeichnungen veranschaulicht sind.
  • Gemäß einer beispielhaften Ausführungsform wird ein System zum Reduzieren der Größe der AV-Datenbank durch dynamisches Erzeugen einer AV-Datenbank gemäß Benutzerparametern bereitgestellt. Die kritischen Benutzerparameter, die den Inhalt der für diesen Benutzer erforderlichen AV-Datenbank beeinflussen, werden bestimmt. Die AV-Datenbank für den individuellen Benutzer wird basierend auf den Benutzerparametern erzeugt. Wenn sich die Parameter des Benutzercomputers ändern oder wenn neue Malware-Bedrohungen detektiert werden, wird die Benutzer-AV-Datenbank gemäß den neuen Parametern und den neuen Malware-Bedrohungen dynamisch aktualisiert.
  • Alle der bekannten Malware-Objekte (wie etwa beispielsweise Computerviren, Trojaner, Würmer, Rootkits usw.) können neben einigen neuen Objekten durch die AV-Systeme detektiert werden. Jedoch braucht ein Benutzer, auf dessen Computer eine AV-Anwendung läuft, keine vollständige AV-Datenbank, die eine große Anzahl von Objekten umfasst, auf die der Benutzer wahrscheinlich niemals stoßen wird. Beispielsweise muss eine benutzerseitige AV-Datenbank nicht mit einer Blacklist der Websites von einem Domain-Bereich aktualisiert werden, während der Benutzer nur eine andere (unterschiedliche) Domain besucht und die Sites von der ersten Domain nie besucht.
  • Außerdem laufen auf Benutzer-PCs unterschiedliche Versionen von OSs. Für unterschiedliche OS-Versionen gibt es unterschiedliche Typen von Malware-Bedrohungen. Somit ist ein Verwenden der AV-Datenbank, die für ein spezifisches OS erzeugt wurde, effizienter im Gegensatz zu einer universellen AV-Datenbank, die mit allen OSs arbeitet und große Volumina an unnötigen und redundanten Informationen enthält. Die bevorzugte Ausführungsform geht diese Probleme an, indem sie eine AV-Datenbank spezifisch für einen speziellen Benutzercomputer basierend auf den Parametern dieses Computers erzeugt.
  • 1 veranschaulicht eine allgemeine Anordnung einer Vielzahl von Benutzercomputern, eines Servers und einer AV-Datenbank in Übereinstimmung mit der beispielhaften Ausführungsform. Jeder von Benutzer-PCs 120 -128 weist einen Satz von Parametern auf, die für jeden Benutzer erzeugte AV-Datenbanken beeinflussen. Diese Parameter werden nachstehend detaillierter erörtert. Jeder der Benutzer-PCs 120-128 weist seine eigene AV-Datenbank auf. Falls einige der Benutzercomputer die gleichen Parameter aufweisen, enthalten die AV-Datenbanken für diese Computer die gleichen Daten. Die AV-Datenbanken für die Computer, die unterschiedliche Parameter aufweisen, enthalten unterschiedliche Daten. Jedoch können diese Datenbanken auch einige der gleichen Daten aufweisen.
  • Die AV-Datenbanken 120-128 sind basierend auf Informationen gebildet, die normalerweise in der zentralen Datenbank 111 gespeichert sind. Falls die Benutzercomputer ähnliche oder die gleichen Eigenschaften aufweisen, wären dann ihre AV-Datenbanken die gleichen oder ähnlich. Falls einige der Benutzercomputerparameter ähnlich sind, wären dann die auf jenen Parametern basierenden Teile der Datenbanken gleich.
  • Bei der beispielhaften Ausführungsform wird ein Server-zu-Client-Zugriff durch Verbindungen über Internet 130 implementiert. Der Update-Server 110 erzeugt AV-Datenbanken für jeden Benutzer unter Verwendung einer zentralen AV-Datenbank 111. Die Parameter von jedem PC bestimmen den Inhalt der für diesen PC erzeugten AV-Datenbank. Der Update-Server 110 kann jede AV-Datenbank aktualisieren, wenn sich die Parameter des entsprechenden PCs ändern. Die zentrale AV-Datenbank 111 enthält Daten, die für eine Funktionalität der AV-Systeme erforderlich sind, die auf jedem der Benutzer-PCs laufen, die einen beliebigen Parametersatz aufweisen. Es wird angemerkt, dass die zentrale AV-Datenbank 111 eine Größe aufweist, die signifikant größer als die Größe einer gegebenen benutzerseitigen AV-Datenbank ist, weil sie alle gegenwärtig bekannten Malware-bezogenen Daten enthält.
  • 2 veranschaulicht eine Benutzerseite eines Systems in Übereinstimmung mit der beispielhaften Ausführungsform. Gemäß der beispielhaften Ausführungsform umfasst ein Benutzer-PC 210 ein AV-Modul 211, das eine Festplatte 212 nach Malware-Objekten scannt. Das AV-Modul 211 wird durch eine benutzerseitige AV-Datenbank 216 unterstützt. Die Festplatte 212 speichert beispielsweise ein System-OS, einen Web-Browser, einen Mail-Client und andere Benutzerdateien. Der Benutzer-PC 210 umfasst auch ein Benutzerprofilerzeugungsmodul 213. Das Modul 213 sammelt Parameter, die zum Erzeugen des Benutzerprofils notwendig sind. Die Parameter enthalten wenigstens die folgenden:
    • - eine Benutzer-ID (eine einzigartige Nummer);
    • - einen Benutzer-Standort (d.h. einen geografischen Standort - ein Land oder eine Region umfassend mehrere Länder);
    • - eine Benutzercomputerinformation (OS-Version; Lokalitätsparameter - Benutzersprache, Land, Zeitzone usw.; Web-Browser-Typ; Mail-Client-Typ usw.);
    • - eine AV-Anwendungsversion;
    • - eine AV-Datenbankversion;
    • - eine Statistik besuchter Sites;
    • - eine Statistik detektierter Malware-Objekte.
  • Zusätzlich kann eine Liste von Benutzeranwendungen (die durch Malware benutzt werden können) als ein Parameter verwendet werden. Diese Information wird berücksichtigt, um die AV-Datenbank 216 zu erzeugen, die optimal zu den Bedürfnissen des Benutzers 210 passt, der einen speziellen Satz der Anwendungen laufen lässt. Die Benutzerparameterdaten werden durch den Update-Server 110 als Kriterien zum Erzeugen der AV-Datenbank 216 verwendet.
  • Beispielsweise kann ein Benutzer-Standort verwendet werden, um die Signaturendatenbank zu bilden, da die Signaturendatenbank landabhängig, oder sprachenabhängig usw. sein kann.
  • Eine Benutzercomputerinformation, die Daten über das installierte OS, Anwendungen, und so weiter umfasst, da Malware oft auf spezifische Schwachstellen in dem OS oder in der Anwendungs-Software abzielt.
  • Eine Statistik besuchter Sites, die ein Bestimmen der Bedrohungstypen erlaubt, die nach einem Besuchen spezieller Sites oder Site-Kategorien auftreten können, und die beim Bilden der AV-Datenbank berücksichtigt werden können.
  • Falls beispielsweise mehrere Benutzercomputer den gleichen Standort, die gleiche OS-Version, den gleichen Web-Browser, die gleichen Mail-Clients usw. aufweisen, sind die für diese Computer erzeugten AV-Datenbanken identisch. Jedoch hängt der vollständige Inhalt einer speziellen AV 216 von jedem speziellen Parameter des Benutzer-PCs 210 ab. Deshalb kann eine oben bereitgestellte Liste der Parameter durch zusätzliche Parameter ergänzt werden, die Benutzer und ihre PCs reflektieren. Es ist wichtig, auf einen Satz der Parameter zu kommen, der ein Erzeugen der optimalsten AV-Datenbanken für individuelle Benutzer ermöglicht. Solche AV-Datenbanken stellen einen maximalen Benutzer-PC-Schutz bereit, während sie eine kleinstmögliche Größe aufweisen.
  • Deshalb wird die Größe der AV-Datenbank 216 durch eine dynamische Erzeugung der AV-Datenbank basierend auf ausgewählten Parametern des Benutzer-PCs 210 in vorteilhafter Weise reduziert. In Übereinstimmung mit der beispielhaften Ausführungsform stellt das System zusätzliche Konfigurationen bereit. Falls beispielsweise ein Benutzer-PC 210 als ein Mail-Server verwendet wird, kann das Benutzerprofilerzeugungsmodul 213 so konfiguriert sein, dass der Benutzer-PC 210 nur einen Teil der AV-Datenbank empfängt, der zur Detektion von Viren und Spam in den Mail-Nachrichten erforderlich ist. In diesem Fall wird die AV-Datenbank 216 den Teil, der zur Detektion von Viren in heruntergeladenen Websites erforderlich ist, nicht aufweisen. Die Größe der AV-Datenbank 216 ist dementsprechend reduziert.
  • Bei einer Ausführungsform kann das System wegen Ressourcenbegrenzungen (d.h. beispielsweise Bandbreitengrenzen) das Benutzerprofilerzeugungsmodul 213 so konfigurieren, dass die AV-Datenbank nur die Signaturen empfängt, die den üblichsten Malware-Objekten entsprechen. In diesem Fall ist die Sicherheit des Systems minimal reduziert, während die Größe der AV-Datenbank 216 signifikant reduziert ist.
  • Das Benutzerprofilerzeugungsmodul 213 bereitet alle Daten vor, die zu dem Update-Server 110 zu senden sind. Bei einer anfänglichen Registrierung des Benutzercomputers 210 bei dem Update-Server 110 sammelt das Benutzerprofilerzeugungsmodul 213 zur Registrierung erforderliche Daten. Um dies zu tun, werden die Benutzeranwendungsdaten und die OS-Daten von der Festplatte 212 abgerufen. Die Version der AV-Anwendung wird auch von dem AV-Modul 211 abgerufen. Die Version der AV-Datenbank 216 wird bestimmt. Alle diese Daten werden durch das Benutzerprofilerzeugungsmodul 213 einem Anfrageerzeugungsmodul 214 bereitgestellt, das eine Anfrage, die alle Benutzerinformationen enthält, an den Update-Server 110 sendet.
  • Nach anfänglicher Registrierung durch den Benutzer empfängt der Benutzer die AV-Datenbank, die jenen Computerparametern (OS, installierte Anwendungen usw.) entspricht, die der Benutzer bereitstellen kann. Andere Informationen können seinen Standort, Versionen des OS oder der Anwendungen usw. umfassen. Basierend auf diesen Parametern wird die AV-Datenbank für jenen Benutzer erzeugt. Dann wird der Computer des Benutzers Daten hinsichtlich besuchter Sites und jeglicher identifizierter Malware, sowie jeglicher Änderungen in der Konfiguration des Computers, Versionen von OS und Anwendungen usw. dem Server bereitstellen - in anderen Worten wird das Profil des Benutzers auf dem Server aktualisiert, und die AV-Datenbank wird dementsprechend aktualisiert. Somit wird jeder Benutzer eine AV-Datenbank aufweisen, die für ihn optimiert ist. In diesem Fall ist eine Wahrscheinlichkeit, dass diese AV-Datenbank einigermaßen optimal für den Benutzer ist, ziemlich hoch. Dann wird, wenn die Daten von diesem Benutzer durch den Update-Server gesammelt werden, die Benutzer-AV-Datenbank kontinuierlich modifiziert, so dass letztendlich der Benutzer mit der optimalsten AV-Datenbank versehen wird.
  • Falls der Benutzercomputer einige Änderungen durchläuft (beispielsweise das OS aktualisiert wird, eine neue Benutzeranwendung installiert wird usw.), werden die Änderungen durch das Benutzerprofilerzeugungsmodul 213 detektiert und zu dem Update-Server 110 übertragen. Dann aktualisiert der Update-Server 110 die Benutzer-AV-Datenbank 216 durch Hinzufügen neuer Daten, die für einen gegenwärtigen Parametersatz erforderlich sind.
  • Das Benutzerprofilerzeugungsmodul 213 empfängt auch Informationen über detektierte Malware-Objekte von dem AV-Modul 211 und überträgt diese Informationen zu dem Update-Server 110 über das Anfrageerzeugungsmodul 214. Der Update-Server 110 sammelt Statistiken, die zum Erzeugen von Benutzer-AV-Datenbanken berücksichtigt werden. Der Benutzer-PC 210 umfasst ein Benutzeraktualisierungsmodul 215, das eine neue Version der AV-Datenbank von dem Update-Server 110 empfängt und die Benutzer-AV-Datenbank 216 aktualisiert.
  • 3 veranschaulicht eine Serverseite eines Systems in Übereinstimmung mit der beispielhaften Ausführungsform. Der Update-Server 110 kommuniziert mit Benutzercomputern über ein Anfrageverarbeitungsmodul 311, das Benutzeranfragen von Benutzercomputern empfängt und die Anfragen verarbeitet. Das Anfrageverarbeitungsmodul 311 fügt in der Benutzeranfrage enthaltene neue Daten in eine Benutzerprofildatenbank 312 ein. Das Anfrageverarbeitungsmodul 311 informiert auch ein Datenverarbeitungsmodul 313 über neue empfangene Benutzerdaten.
  • Falls ein System alternativ die Benutzerprofildatenbank 312 nicht aufweist, überträgt das Anfrageverarbeitungsmodul 311 die empfangenen Benutzerdaten direkt zu dem Datenverarbeitungsmodul 313. Die Benutzerprofildatenbank 312 enthält benutzerbezogene Daten, die zum Beschleunigen des Benutzerdatenanalyseprozesses erforderlich sind. Die benutzerbezogenen Daten beeinflussen einen Prozess zur Erzeugung der AV-Datenbank nicht. Deshalb kann bei alternativen Ausführungsformen die Benutzerprofildatenbank 312 in dem Update-Server 110 fehlen.
  • Das Datenverarbeitungsmodul 313 analysiert Benutzer-PC-bezogene Daten. Diese Analyse umfasst Daten, die auf die detektierten Malware-Objekte bezogen sind. Die Analyse wird in Fällen geplanter Aktualisierungen der Benutzer-AV-Datenbank durchgeführt. Die Analyse kann auch nach einem Empfangen der Benutzeranfrage für eine Aktualisierung der Benutzer-AV-Datenbank durchgeführt werden. Die Analyse kann auch ein Überprüfen der Parameter für jeden Benutzer umfassen, wobei die benutzerspezifische Datenbank basierend auf den Parametern gebildet wird.
  • Falls die Benutzer-AV-Datenbank aktualisiert werden muss, wird eine entsprechende Anfrage von dem Benutzer-PC in das Anfrageverarbeitungsmodul 311 empfangen. Das Datenverarbeitungsmodul 313 analysiert Daten von der Datenbank 312. Dann erzeugt das Datenverarbeitungsmodul 313, basierend auf Ergebnissen der Analyse der in der Benutzerprofildatenbank 312 enthaltenen Benutzerprofile, Anforderungen für die Benutzer-AV-Datenbank und stellt die Anforderungen einem Datenauswahlmodul 314 bereit.
  • Falls sich wenigstens einer der Parameter des Benutzer-PCs geändert hat, wird eine Anfrage, die die Parameteränderungen reflektierenden Daten enthält, in das Anfrageverarbeitungsmodul 311 empfangen und der geänderte Parameter wird in die Datenbank 312 eingefügt. Das Datenverarbeitungsmodul 313 erzeugt neue Anforderungen basierend auf den Parameteränderungen. Das Datenauswahlmodul 314 empfängt die Anforderungen von dem Datenverarbeitungsmodul 313 und bereitet erforderliche Daten durch Auswählen der relevanten Teile (d.h. eines Untersatzes der zentralen AV) von der zentralen AV-Datenbank 315 vor.
  • Die ausgewählten Teile der Datenbank 315 werden zu dem Benutzer-PC 210 durch ein Serveraktualisierungsmodul 316 übertragen. Dann empfängt das Benutzeraktualisierungsmodul 215 die ausgewählten Teile und aktualisiert die Benutzer-AV-Datenbank 216. Malware-Objekte werden periodisch modifiziert und neue Malware-Objekte werden erstellt. Deshalb muss die zentrale AV-Datenbank 315 auch aktualisiert werden. Auch müssen einige veraltete und redundante Datensätze von der zentralen AV-Datenbank 315 gelöscht werden. Somit müssen alle Änderungen in der zentralen AV-Datenbank 315 in den Benutzer-AV-Datenbanken reflektiert sein.
  • Gemäß der beispielhaften Ausführungsform werden die Benutzer-AV-Datenbanken 216 durch ein Zwangsaktualisierungsmodul 317 synchron mit der zentralen AV-Datenbank 315 gehalten. Das Zwangsaktualisierungsmodul 317 sendet nach der Aktualisierung der zentralen AV-Datenbank 315 eine Mitteilung zu dem Datenverarbeitungsmodul 313. Dann führt das Datenverarbeitungsmodul eine Datenanalyse (außer der Reihe) durch und erzeugt neue Anforderungen für die Benutzer-AV-Datenbank 216. Dann wird die Aktualisierung der Benutzer-AV-Datenbank 216 wie oben beschrieben durchgeführt.
  • In 4 sind in der Benutzerprofildatenbank 312 enthaltene Daten abgebildet. Jeder Benutzer weist eine einzigartige ID auf (eine Nummer oder eine alphanumerische Zeichenfolge). Die Benutzerprofildatenbank 312 enthält alle Daten, die innerhalb von Benutzeranfragen empfangen wurden, beispielsweise: einen Benutzer-Standort; Benutzercomputer-bezogene Daten; eine Benutzer-AV-Anwendungsversion; eine Benutzer-AV-Datenbankversion; einen Datensammlungszeitraum; eine auf besuchte Sites bezogene Statistik; eine Statistik detektierter Malware-Objekte usw.
  • 5 veranschaulicht ein Flussdiagramm eines Verfahrens zur dynamischen Erzeugung der AV-Datenbanken, bei dem das System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken angewandt werden kann. Bei Schritt 510 wird basierend auf Daten, die auf einen Benutzercomputer bezogen sind, ein Benutzerprofil gebildet. Eine Benutzeranfrage, die die Benutzerprofilinformation enthält, wird bei Schritt 511 zu einem Update-Server gesendet. Die Benutzeranfragedaten werden bei Schritt 512 verarbeitet und bei Schritt 513 in die Benutzerprofildatenbank geschrieben. Die Benutzerprofildaten werden bei Schritt 514 analysiert und neue Anforderungen werden erzeugt. Basierend auf den neuen Anforderungen werden bei Schritt 515 relevante Daten von der zentralen AV-Datenbank ausgewählt. Die Benutzer-AV-Datenbank wird bei Schritt 516 durch die ausgewählten Daten aktualisiert.
  • Unter Bezugnahme auf 6 umfasst ein beispielhaftes System zum Implementieren der Erfindung eine Allgemeinzweckcomputervorrichtung in der Form eines Computers 120 oder dergleichen, umfassend eine Verarbeitungseinheit 21, einen Systemspeicher 22, und einen Systembus 23 der verschiedene Systemkomponenten umfassend den Systemspeicher mit der Verarbeitungseinheit 21 koppelt.
  • Der Systembus 23 kann irgendeiner von mehreren Typen von Busstrukturen sein, die einen Speicherbus oder Speicher-Controller, einen peripheren Bus, und einen lokalen Bus unter Verwendung irgendeiner einer Vielfalt von Busarchitekturen umfassen. Der Systemspeicher umfasst einen Nur-Lese-Speicher (Read-Only Memory; ROM) 24 und einen Speicher mit wahlfreiem Zugriff (Random-Access Memory; RAM) 25. Ein grundlegendes Eingabe-/Ausgabe-System 26 (BIOS), das die grundlegenden Routinen enthält, die helfen, Informationen zwischen Elementen innerhalb des Computers 120 zu übertragen, wie etwa beim Hochfahren, ist in dem ROM 24 gespeichert.
  • Der Computer 120 kann ferner ein Festplattenlaufwerk 27 zum Lesen von und Schreiben auf eine nicht gezeigte Festplatte, ein Magnetplattenlaufwerk 28 zum Lesen von oder Schreiben auf eine entfernbare Magnetplatte 29, und ein optisches Plattenlaufwerk 30 zum Lesen von oder Schreiben auf eine entfernbare optische Platte 31, wie etwa eine CD-ROM, DVD-ROM oder andere optische Medien, umfassen. Das Festplattenlaufwerk 27, Magnetplattenlaufwerk 28, und Optikplattenlaufwerk 30 sind mit dem Systembus 23 durch eine Festplattenlaufwerkschnittstelle 32, eine Magnetplattenlaufwerkschnittstelle 33, bzw. eine Optiklaufwerkschnittstelle 34 verbunden. Die Laufwerke und ihre zugehörigen computerlesbaren Medien stellen eine nichtflüchtige Speicherung von computerlesbaren Instruktionen, Datenstrukturen, Programmmodulen und anderen Daten für den Computer 120 bereit.
  • Obwohl die hierin beschriebene beispielhafte Umgebung eine Festplatte, eine entfernbare Magnetplatte 29 und eine entfernbare optische Platte 31 einsetzt, sollten Fachleute erkennen, dass andere Typen von computerlesbaren Medien, die Daten speichern können, auf die ein Computer zugreifen kann, wie etwa Magnetkassetten, Flashspeicherkarten, Digitalvideodisks, Bernoullikassetten, Speicher mit wahlfreiem Zugriff (Random-Access Memories; RAMs), Nur-Lese-Speicher (Read-Only Memories; ROMs), und dergleichen auch in der beispielhaften Betriebsumgebung verwendet werden können.
  • Eine Anzahl von Programmmodulen, umfassend ein Betriebssystem 35, kann auf der Festplatte, Magnetplatte 29, optischen Platte 31, ROM 24 oder RAM 25, gespeichert sein. Der Computer 120 umfasst ein Dateisystem 36, das dem Betriebssystem 35 zugeordnet oder innerhalb diesem umfasst ist, eines oder mehrere Anwendungsprogramme 37, andere Programmmodule 38 und Programmdaten 39. Ein Benutzer kann Befehle und Informationen durch Eingabevorrichtungen, wie etwa eine Tastatur 40 und eine Zeigevorrichtung 42, in den Computer 120 eingeben. Andere (nicht gezeigte) Eingabevorrichtungen können ein Mikrofon, einen Joystick, ein Game-Pad, eine Satellitenschüssel, einen Scanner oder dergleichen umfassen.
  • Diese und andere Eingabevorrichtungen sind mit der Verarbeitungseinheit 21 oft durch eine serielle Portschnittstelle 46 verbunden, die mit dem Systembus gekoppelt ist, können aber durch andere Schnittstellen, wie etwa einen parallelen Port, einen Game-Port oder einen universellen seriellen Bus (Universal Serial Bus; USB) verbunden sein. Ein Monitor 47 oder ein anderer Typ Anzeigevorrichtung ist über eine Schnittstelle, wie etwa einen Video-Adapter 48, auch mit dem Systembus 23 verbunden. Zusätzlich zum Monitor 47 umfassen Personal-Computer typischerweise andere (nicht gezeigte) periphere Ausgabevorrichtungen, wie etwa Lautsprecher und Drucker.
  • Der Computer 120 kann in einer Netzwerkumgebung unter Verwendung logischer Verbindungen mit einem oder mehreren entfernten Computern 49 arbeiten. Der (oder die) entfernte(n) Computer 49 kann (können) ein anderer Computer, ein Server, ein Router, ein Netzwerk-PC, ein Peer-Gerät oder ein anderer gemeinsamer Netzwerkknoten sein, und umfasst typischerweise viele oder alle der oben bezüglich des Computers 120 beschriebenen Elemente, obwohl nur eine Memoryspeichervorrichtung 50 veranschaulicht worden ist. Die logischen Verbindungen umfassen ein lokales Netzwerk (Local Area Network; LAN) 51 und ein Weitverkehrsnetz (Wide Area Network; WAN) 52. Derartige Netzwerkumgebungen sind in Büros, unternehmensweiten Computernetzwerken, Intranets und dem Internet üblich.
  • Bei Verwendung in einer LAN-Netzwerkumgebung ist der Computer 120 mit dem lokalen Netzwerk 51 durch eine Netzwerkschnittstelle oder einen Adapter 53 verbunden. Bei Verwendung in einer WAN-Netzwerkumgebung umfasst der Computer 120 typischerweise ein Modem 54 oder andere Mittel zum Aufbauen einer Kommunikation über das Weitverkehrsnetz 52, wie etwa das Internet.
  • Das Modem 54, das intern oder extern sein kann, ist mit dem Systembus 23 über die serielle Portschnittstelle 46 verbunden. In einer Netzwerkumgebung können relativ zum Computer 120 abgebildete Programmmodule, oder Teile davon, in der entfernten Memoryspeichervorrichtung gespeichert sein. Es versteht sich, dass die gezeigten Netzwerkverbindungen beispielhaft sind und andere Mittel zum Aufbauen einer Kommunikationsverknüpfung zwischen den Computern verwendet werden können.
  • Nachdem somit eine bevorzugte Ausführungsform beschrieben worden ist, sollten Fachleute erkennen, dass gewisse Vorteile der beschriebenen Vorrichtung erreicht worden sind. Insbesondere würden Fachleute erkennen, dass das vorgeschlagene System eine Reduzierung der AV-Datenbanken durch ein dynamisches Erzeugen der AV-Datenbank für die individuellen Benutzer basierend auf Benutzerparametern bereitstellt.
  • Das System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken kann bei den folgenden Verfahren angewandt werden:
    • a) Computerimplementiertes Verfahren zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken, wobei das Verfahren auf einem Server (110) durchgeführt wird, der eine Benutzerprofildatenbank (312), eine serverseitige AV-Datenbank (315), die auf bekannte Malware-Objekte bezogene Daten enthält, ein Anfrageverarbeitungsmodul (311), ein Datenverarbeitungsmodul (313), ein Datenauswahlmodul (314), ein Zwangsaktualisierungsmodul (317), und ein Serveraktualisierungsmodul (316) umfasst, wobei das Verfahren umfasst:
      • Empfangen und Verarbeiten einer Benutzeranfrage durch das Anfrageverarbeitungsmodul (311), wobei die Benutzeranfrage von einem Benutzercomputer (120-128, 210) empfangen wird;
      • Einfügen, durch das Anfrageverarbeitungsmodul (311), von Benutzerdaten nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128, 210) in die Benutzerprofildatenbank (312) und Informieren des Datenverarbeitungsmoduls (313) über die empfangenen Benutzerdaten;
      • Erzeugen, durch das Datenverarbeitungsmodul (313), einer benutzerseitigen AV-Datenbank (216) für den Benutzercomputer (120- 128, 210) unter Verwendung der serverseitigen AV-Datenbank (315) und der Benutzerdaten, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen;
      • Senden, durch das Serveraktualisierungsmodul (316), der erzeugten benutzerseitigen AV-Datenbank (216) an den Benutzercomputer (120-128, 210);
      • Einfügen nachfolgender Parameteränderungen in die Benutzerprofildatenbank (312);
      • Speichern der nachfolgenden Parameteränderungen in der Benutzerprofildatenbank (312);
      • Senden einer Mitteilung, durch ein Zwangsaktualisierungsmodul (317), nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315);
      • Erzeugen, durch das Datenverarbeitungsmodul (313), von Anforderungen, um basierend auf den von der Benutzerprofildatenbank (312) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216) dynamisch zu aktualisieren;
      • Empfangen, durch das Datenauswahlmodul (314), der Anforderungen, die benutzerseitige AV-Datenank (216) zu aktualisieren, von dem Datenverarbeitungsmodul (313) und Vorbereiten erforderlicher Daten durch Auswählen eines Untersatzes von der serverseitigen AV-Datenbank (315);
      • Bereitstellen, durch ein Aktualisierungsmodul (316), des Untersatzes für den Benutzercomputer (120-128, 210) zum Aktualisieren der benutzerseitigen AV-Datenbank (216), und
      • wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.
    • b) Verfahren nach Absatz a), wobei der Benutzercomputer (120-128, 210) ein Modul (213) zum Sammeln von Parametern zum Erzeugen eines Benutzerprofils umfasst, wobei die Parameter irgendeinen umfassen von:
      • einer Benutzersprache;
      • einem Benutzerland; und
      • einer Benutzerzeitzone.
    • c) Verfahren nach Absatz a), ferner umfassend ein Detektieren von Aktualisierungen der serverseitigen AV-Datenbank.
    • d) Verfahren nach Absatz a), ferner umfassend ein Erzeugen neuer Anforderungen basierend auf den Parameteränderungen von der Benutzerprofildatenbank (312), Erzeugen einer neuen Untersatz-AV-Datenbank basierend auf den neuen Anforderungen und Bereitstellen der neuen Untersatz-AV-Datenbank für den Benutzer zum Aktualisieren einer benutzerseitigen AV-Datenbank (216).
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2011/046356 A2 [0006, 0007]
    • WO 2010/024606 A2 [0006, 0008]
    • KR 2009111152 A [0006, 0008]
    • EP 1330097 A2 [0009]
    • US 2011/0047620 A1 [0010]
    • US 7743419 B1 [0011]

Claims (8)

  1. Computerimplementiertes System zur dynamischen Erzeugung von Antivirus (AV)-Datenbanken, wobei das System einen Server (110) innerhalb einer Server-Client-Umgebung umfasst, wobei der Server (110) umfasst: eine serverseitige AV-Datenbank (315), die auf bekannte Malware-Objekte bezogene Daten enthält; ein Anfrageverarbeitungsmodul (311), das zum Empfangen und Verarbeiten von Benutzeranfragen von einem Benutzercomputer (120-128, 210) konfiguriert ist; eine Benutzerprofildatenbank (312), ein Datenverarbeitungsmodul (313), und ein Serveraktualisierungsmodul (316), gekennzeichnet durch das Anfrageverarbeitungsmodul (311), das dazu konfiguriert ist, nach einer anfänglichen Benutzerregistrierung des Benutzercomputers (120-128, 210) Benutzerdaten in die Benutzerprofildatenbank (312) einzufügen und das Datenverarbeitungsmodul (313) über die empfangenen Benutzerdaten zu informieren, um eine benutzerseitige AV-Datenbank (216) für den Benutzercomputer (120-128, 210) unter Verwendung der serverseitigen AV-Datenbank (315) und der Benutzerdaten zu erzeugen, wobei die Benutzerdaten für eine Registrierung gesammelte Benutzerparameter umfassen, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen; das Serveraktualisierungsmodul (316), das dazu konfiguriert ist, die erzeugte benutzerseitige AV-Datenbank (216) an den Benutzercomputer (120-128, 210) zu senden; die Benutzerprofildatenbank (312), die mit dem Anfrageverarbeitungsmodul (311) verbunden ist, wobei die Benutzerprofildatenbank (312) die Benutzerparameter und nachfolgende Parameteränderungen enthält, die durch das Anfrageverarbeitungsmodul (311) in die Benutzerprofildatenbank (312) eingefügt werden; ein Zwangsaktualisierungsmodul (317), das dazu konfiguriert ist, nach einer Aktualisierung der Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, in der serverseitigen AV-Datenbank (315) eine Mitteilung zu senden; das Datenverarbeitungsmodul (313), das mit dem Anfrageverarbeitungsmodul (311), der Benutzerprofildatenbank (312) und dem Zwangsaktualisierungsmodul (317) verbunden ist, wobei das Datenverarbeitungsmodul (313) dazu konfiguriert ist, Anforderungen zu erzeugen, um basierend auf den von der Benutzerprofildatenbank (312) empfangenen Parameteränderungen und der von dem Zwangsaktualisierungsmodul (317) empfangenen Mitteilung die benutzerseitige AV-Datenbank (216) dynamisch zu aktualisieren; und durch ein Datenauswahlmodul (314), das dazu konfiguriert ist, die Anforderungen, die benutzerseitige AV-Datenbank (216) zu aktualisieren, von dem Datenverarbeitungsmodul (313) zu empfangen und durch Auswählen eines Untersatzes der auf bekannte Malware-Objekte bezogenen Daten von der serverseitigen AV-Datenbank (315) erforderliche Daten vorzubereiten; wobei das Serveraktualisierungsmodul (316) mit dem Datenauswahlmodul (314) verbunden ist und ferner zum Senden des Untersatzes an den Benutzercomputer (120-128, 210) zum Aktualisieren der benutzerseitigen AV-Datenbank (216) konfiguriert ist; und wobei die Parameteränderungen Änderungen des geografischen Benutzer-Standorts umfassen.
  2. System nach Anspruch 1, wobei der Benutzercomputer (120-128, 210) ein Modul (213) zum Sammeln von Parametern zum Erzeugen eines Benutzerprofils umfasst, wobei die Parameter irgendeinen umfassen von: einer Benutzersprache; einem Benutzerland; und einer Benutzerzeitzone.
  3. System nach Anspruch 1, wobei das Anfrageverarbeitungsmodul (311) mit einem Anfrageerzeugungsmodul (214) des Benutzercomputers verbunden ist.
  4. System nach Anspruch 1, wobei das Serveraktualisierungsmodul (316) mit einem sich auf dem Benutzercomputer befindlichen Benutzeraktualisierungsmodul (215) verbunden ist und das Serveraktualisierungsmodul (316) dazu konfiguriert ist, den Untersatz der AV-Datenbank zu dem Benutzeraktualisierungsmodul (215) zu senden.
  5. System nach Anspruch 1, wobei die Benutzeranfragen von einer Vielzahl von Benutzercomputern empfangen werden und wobei die ausgewählten Untersätze zum Aktualisieren entsprechender benutzerseitiger AV-Datenbanken (216) zu der Vielzahl von Benutzercomputern gesendet werden.
  6. System nach Anspruch 1, wobei das Serveraktualisierungsmodul (316) den Untersatz der serverseitigen AV-Datenbank (315) für den Benutzercomputer (120-128, 210) nach Registrierung bereitstellt.
  7. Computerimplementiertes System zum Aktualisieren von Benutzer-Antivirus (AV)-Datenbanken (216), wobei das System einen Benutzercomputer (110) innerhalb einer Server-Client-Umgebung umfasst, wobei der Benutzercomputer (110) umfasst: ein benutzerseitiges AV-Modul (211), das zum Scannen eines Benutzerfestplattenlaufwerks konfiguriert ist; eine benutzerseitige AV-Datenbank (216), auf die das AV-Modul (211) zugreifen kann und die auf bekannte Malware-Objekte bezogene benutzerspezifische Daten enthält; ein Anfrageerzeugungsmodul (214); und ein Benutzeraktualisierungsmodul (215), das zum Empfangen einer Aktualisierung von einem Server (110), wenn Informationen, die auf bekannte Malware-Objekte bezogene Daten enthalten, auf einer serverseitigen AV-Datenbank (315) des Servers aktualisiert sind, und zum Schreiben der Aktualisierung in die benutzerseitige AV-Datenbank (216) konfiguriert ist, gekennzeichnet durch ein Benutzerprofilerzeugungsmodul (213), das daran angepasst ist, für eine Registrierung gesammelte Benutzerparameter zu sammeln, die eine Benutzer-ID, einen geografischen Benutzer-Standort, eine AV-Anwendungsversion, eine AV-Datenbankversion, eine Statistik besuchter Sites und eine Statistik detektierter Malware-Objekte umfassen, und Änderungen in dem Benutzercomputer zu detektieren; wobei das Anfrageerzeugungsmodul (214) mit dem Benutzerprofilerzeugungmodul (213) verbunden und dazu konfiguriert ist, eine Registrierungsanfrage an ein serverseitiges Anfrageverarbeitungsmodul (311) zu senden, um die auf den gesammelten Benutzerparametern basierende benutzerseitige AV-Datenbank (216) zu empfangen; wobei das Anfrageerzeugungsmodul (214) dazu konfiguriert ist, basierend auf den detektierten Änderungen an den Benutzerparametern eine Aktualisierungsanfrage zu erzeugen und die Aktualisierungsanfrage zu dem serverseitigen Anfrageverarbeitungsmodul (311) zu senden, wobei die Benutzeraktualisierung als ein Untersatz einer serverseitigen AV-Datenbank (315) basierend auf dem Benutzerprofil dynamisch erzeugt wird, und wobei die detektierten Änderungen Änderungen des geografischen Benutzer-Standorts umfassen.
  8. System nach Anspruch 7, wobei das Benutzerprofilerzeugungsmodul (213) Parameter zum Erzeugen eines Benutzerprofils sammelt, wobei die Parameter irgendeinen umfassen von: einer Benutzersprache; einem Benutzerland; und einer Benutzerzeitzone.
DE202011111092.7U 2011-03-28 2011-06-28 System zur dynamischen Erzeugung von Antivirus-Datenbanken Expired - Lifetime DE202011111092U1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2011011600 2011-03-28
RU20110111600 2011-03-28

Publications (1)

Publication Number Publication Date
DE202011111092U1 true DE202011111092U1 (de) 2019-07-22

Family

ID=67550766

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202011111092.7U Expired - Lifetime DE202011111092U1 (de) 2011-03-28 2011-06-28 System zur dynamischen Erzeugung von Antivirus-Datenbanken

Country Status (1)

Country Link
DE (1) DE202011111092U1 (de)

Similar Documents

Publication Publication Date Title
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE60303753T2 (de) Selektives Erkennen von böswilligem Rechnercode
DE112019001121B4 (de) Auf einem computer implementiertes verfahren zum identifizieren von malware und system hierfür
DE202012013609U1 (de) System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben
CN104125209B (zh) 恶意网址提示方法和路由器
DE202010018642U1 (de) System zur Erfassung zuvor unbekannter Schadsoftware
DE112010004135B4 (de) Sicherung Asynchroner Client-Server-Transaktionen
DE10126752A1 (de) Virusprüfung und -meldung für Suchergebnisse von Computerdatenbanken
CN112564988B (zh) 告警处理方法、装置及电子设备
DE202012013734U1 (de) System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation
US20140156711A1 (en) Asset model import connector
DE112014002789T5 (de) Netzwerksicherheitssystem
DE112012000526T5 (de) Malware - Erkennung
DE202013102441U1 (de) System zur Überprüfung digitaler Zertifikate
DE112011103164T5 (de) Datenverteilungsvorrichtung, Datenverteilungssystem, Client-Vorrichtung, Datenverteilungsverfahren, Datenempfangsverfahren, Programm und Datenträger,
DE102004048959B4 (de) Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät
US20120272318A1 (en) System and method for dynamic generation of anti-virus databases
DE102011056502A1 (de) Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
DE112012004114T5 (de) Bewerten des sozialen Risikos aufgrund des von verbundenen Kontakten ausgehenden Gefahrenpotenzials
DE202017105834U1 (de) Verwaltung von Anwendungsaktualisierungen
DE112012002624T5 (de) Regex-Kompilierer
DE102012220716A1 (de) Verfahren, Datenverarbeitungsvorrichtung und Programm zum Identifizieren vertraulicher Daten
US10958684B2 (en) Method and computer device for identifying malicious web resources
DE102016204698A1 (de) Verbessern des Erkennens von Steganographie am Perimeter

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: V. FUENER EBBINGHAUS FINCK HANO, DE

R207 Utility model specification
R152 Utility model maintained after payment of third maintenance fee after eight years
R071 Expiry of right