当前位置: 首页 > 专利查询>EMC公司专利>正文

信息保护方法和系统技术方案

技术编号:2826591 阅读:181 留言:0更新日期:2012-04-11 18:40
公开了一种用于保护计算机系统中的对象的方法。分析对象以判断其是否被恶意软件感染,如果判定被感染,在对象的备份中定位对象的备份拷贝。用备份拷贝替换被感染对象。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术总体上涉及抵抗病毒对信息进行保护,更具体而言涉及到检 测攻击、保护信息并从攻击中恢复的系统和方法。
技术介绍
本专利技术涉及抵抗计算机病毒(包括恶意软件)保护计算机文件和/ 或对象的系统和方法。在计算机和机器的语境中,病毒是一种通过将自 身拷贝插入其他可执行代码或文档中而散播的自我复制/自我再现的自 动程序。虽然可以将术语病毒定义为一种恶意软件(恶意的软件), 但通常使用病毒来指任何种类的恶意软件,包括蠕虫、特洛伊木马、 间谍软件、广告软件等。计算机防病毒程序通用于从被感染的对象(诸如数据文件)检测、清除和删除计算^fe^病毒。通常使用的一种检测形式是扫描驻留在宿主计 算机系统的存储装置上的对象。扫描对象是为了找到嵌入的病毒是否存 在,扫描可以是基于识别标志(signature-based)的或是启发式(heuristic) 的(例如查找可疑行为)。不过,基于识别标志的病毒扫描依赖从事先已 识別出的病毒获得的识别标志,不会检测尚未被识别和分析过的病毒 (日零或零日攻击)。这些是没有已知方案和/或检测标志的攻 击。现存的启发式方法不是绝对安全的,可能检测不到病毒攻击。于是, 防病毒程序可能不知道对象已经;故感染。这些形式的攻击给系统运行和数据完整性带来了严重威胁。可以用 IPS/IDS (入侵保护系统/入侵检测系统)通过检测异常行为并实施定义 系统响应的策略来抵御零日攻击。响应可以包括向管理员通告问题、限制端口的使用、限制带宽以及最终将受影响计算机从网络隔离开。然后 依靠管理员来解决问题。通常自己无法解决问题。相反,将问题转达给 防病毒软件提供者或试图将系统恢复到攻击前某时间点。在对象中检测到病毒之后,响应通常涉及到清除或修复被感染对象 (含有病毒的对象)、删除被感染对象或隔离被感染对象以阻止对其进 一步的访问。删除或隔离被感染对象的缺点在于使其无法再用了 。因此,可以试图清除或修复对象。不过有时,如果不是不可能,也是难以利用 现存方法修复对象,且所获得的对象可能受损,剩余的仅有选择就是删 除或隔离。即使在成功清除对象病毒的情况下,处理也可能留下缺陷,导致对象与未感染对象不匹配。缺陷可能是无害的且对象是可用的,但在有些情况下,例如金融体系中可能会将其视为不能接受的。因为感染 时间是未知的,清除病毒后的对象可能没有正确的日期和时间标记。恢复到攻击前的时间点可能是成问题的,因为管理l不知道感染实 际是何时发生的。管理员所知道的只是攻击何时暴发的。很多攻击会潜伏起来,有时会潜伏数月或数年,因此不容易了解感染是何时发生的。因此,需要一种在计算机系统上抵御病毒保护信息的改进方法、制品和{殳备。附图说明结合附图,通过以下详细说明将容易理解本专利技术,在附图中类似的附图标记表示类似的结构元件,其中图1为根据本专利技术的系统实施例的示意图;图2为示出了更换被感染对象的过程实施例的流程图;以及图3为示出了分析模式以识别被感染对象的过程实施例的流程图。具体实施方式以下结合示出了本专利技术原理的附图给出本专利技术一个或更多实施例 的详细说明。尽管是结合这种实施例描述本专利技术的,但应当理解本专利技术 不限于任一实施例。相反,本专利技术的范围仅受权利要求的限制且本专利技术 包含4艮多替代、变型和等价方式。为了举例的目的,在下述说明中给出 了很多特定细节,以便提供对本专利技术的彻底了解。提供这些细节是为了 举例,而可以根据权利要求、无需这些具体细节的一些或全部来实施本专利技术。为了清楚起见,未详细描述在本专利技术相关
中公知的技术 材料,以免不必要地使本专利技术难以理解。应当认识到,可以用很多方式实施本专利技术,包括过程、设备、系统、 装置、方法或计算机可读介质,例如计算机可读存储介质或计算机网络, 其中通过光或电子通信链路发送程序指令。在该说明书中,可以将这些 实施方式或本专利技术可以采用的任何其他形式称为手法。通常,可以在本 专利技术的范围内改变所披露过程的步骤顺序。将参考在其上执行信息保护程序的计算机系统描述本专利技术的实施例,不过应理解,本专利技术的原理不限于该特定配置。相反,可以将它们 应用于无论是本地还是远程装置上其中存储了文件或对象的任何系统, 且该装置可以包括一个或多个存储装置。虽然这里的信息方法是针对将 它们用于抵御病毒攻击保护信息来描述的,本领域技术人员应认识到, 它们同样适用于希望检测对对象的异常改变或允许用户将对象恢复到 异常改变之前的点的其他情形。这里公开的是检测病毒攻击并将被感染 对象恢复到感染前状态的方法和系统。为用户提供了检测和根除零日恶 意软件的能力以及对策方案,该方案能够发现和定位受威胁的对象、恢 复受损对象并对需要怀疑已被恶意软件感染的对象的企业进行清洗。可以将入侵保护系统/入侵检测系统(IPS/IDS)与这里所述的归档和 威胁分析结合起来。图1示出了一些可能的配置,其中可以用计算机系统10上执行的 程序来抵抗病毒,保护它们在专用本地存储装置12、与另一计算机系统 16共享的存储装置14或与另一计算机系统20相关的存储装置18上所 含的信息。计算机系统10可以经由网络或其他通信装置与计算机系统 20或任何其他装置通信。计算机系统10与因特网通信,可以被配置为 /人防病毒软件供应者22接收病毒定义/更新,不过应当理解可以通过诸 如物理介质的其他装置接收病毒定义/更新。可以使用基于网络的IPS/IDS 24,该IPS/IDS 24与计算机系统10 上执行的程序通信以提供(例如)与可疑网络动作和发起该动作的主机 身份相关的信息。在一个实施例中可以在连接到网络的另 一计算机系统 中提供IPS/IDS 24的功能,或者可以将代理置于任何或所有计算机系统 上以监测活动。可以提供备份系统26用于备份来自计算机系统的数据。 备份系统26可以包括硬盘驱动器、光盘驱动器、磁带库及其他存储装置(未示出),可以执行备份程序以备份来自计算机系统的数据,计算 机系统可以具有与备份程序通信的备份客户端。其他配置是可能的,例如在另 一计算机系统上执行备份程序,将数据备份到SAN或NAS装置 (未示出)或连接到被备份计算机系统的存储装置上。在一些配置中, 备份可以包括几种类型的存储器组,例如采用在线或近线存储器(例如 硬盘驱动器)的备份池以及采用离线存储器(例如磁带)的档案存储器。 这里公开的原理适用于任何配置的备份。计算机系统IO可以包括与用 户交互的显示器和输入装置,或者用户可以从远程位置与计算机系统10 交互。在实施例中,在对象中检测到病毒之后,响应可以包括清除或修复 被感染对象、删除被感染对象、隔离被感染对象或用干净的对象更换被 感染对象。这可以自动执行或根据来自用户的指令执行。在确定对象被 感染之后,可以标识对象的备份拷贝用于更换被感染对象。在从用户确 认或自动确认之后,可以用备份拷贝更换被感染对象。在实施例中,可以有多个备份拷贝。应当理解,可以用备份拷贝,, 表示完全备份拷贝以及周期性进行且能够与备份拷贝组合以容许恢复 到时间点的更新。亦即,可以将备份做成俘获当前备份点和上次备份(其 可以是全部备份或自上次备份的变化的另一备份)之间的变化。可以将 备份拷贝视为对象的恢复点。于是可能对一个对象有多个恢复点可 用。如果正在使用连续数据保护,该系统可以具有将本文档来自技高网
...

【技术保护点】
一种用于保护计算机系统中的对象的方法,包括:    判断对象是否被恶意软件感染,如果所述对象被感染:    在所述对象的备份中定位所述对象的第一备份拷贝;以及    用所述第一备份拷贝替代所述对象。

【技术特征摘要】
【国外来华专利技术】US 2005-8-16 60/708,9691.一种用于保护计算机系统中的对象的方法,包括判断对象是否被恶意软件感染,如果所述对象被感染在所述对象的备份中定位所述对象的第一备份拷贝;以及用所述第一备份拷贝替代所述对象。2. 根据权利要求1所述的方法,还包括判断所述第一备份拷贝是 否被恶意软件感染。3. 根据权利要求2所述的方法,还包括如果所述第一备份拷贝被 感染,定位第二备份拷贝。4. 根据权利要求3所述的方法,其中定位所述第二备份拷贝包括 查出比所述第一备份拷贝更老的备份拷贝。5. 根据权利要求4所述的方法,其中查出所述第二备份拷贝包括 将候选备份拷贝与所述第一备份拷贝比较,以判断所述第二备份拷贝是 否与所述第 一备份拷贝不同。6. 根据权利要求5所述的方法,其中将所述候选备份拷贝与所述 第一备份拷贝比较包括将所述候选备份拷贝的散列值与所迷第一备份 拷贝的散列值比较。7. 根据权利要求5所述的方法,还包括仅当所迷第二备份拷贝与 所述第 一备份拷贝不同时才判断所述第二备份拷贝是否被恶意软件感 染。8. 根据权利要求1所述的方法,其中所述备份包括在线备份存储 器和离线备份存储器,且定位所述笫一备份拷贝包括在所述在线备份存 储器中搜索。9. 根据权利要求8所述的方法,其中定位所述第一备份拷贝还包 括在搜索所述在线备份存储器之后搜索所述离线...

【专利技术属性】
技术研发人员:CH克劳达托斯JA拜姆DS科布
申请(专利权)人:EMC公司
类型:发明
国别省市:US[美国]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1