本发明专利技术涉及场境感知的实时计算机保护系统和方法。一种计算机实现的方法,用于响应于感兴趣事件通过检查所述感兴趣事件的完整场境来确定是否执行实时文件扫描,可以包括:1)检测感兴趣事件,2)识别与所述感兴趣事件相关的至少一个文件,3)访问与所述感兴趣事件相关的场境元数据,4)访问至少一个规则,该规则包含用于基于所述感兴趣事件和所述场境元数据来确定是否对所述文件执行安全扫描的标准,以及随后5)通过应用所述规则来确定是否对所述文件执行安全扫描。还公开了相应的系统和计算机可读介质。
【技术实现步骤摘要】
技术介绍
性能是诸如实时文件扫描解决方案等实时安全产品供应商一直关心的问题。传统的实时文件扫描解决方案通常1)在文件已被打开或修改时进行检测并随后2)通过扫描所涉文件来确定该文件是否已被损害。虽然单个文件扫描可能不会过度地占用计算系统的资源,但目前的操作系统执行的文件操作的数目可能需要更多次的文件扫描,而这又可能导致明显较慢的计算系统性能和用户厌烦。 虽然某些安全供应商已尝试通过基于文件的扩展名或基于文件是被打开还是关闭而跳过文件扫描来限制实时文件扫描解决方案的性能影响,但此类常规方法在有效性和可靠性方面受限制。例如,此类方法可能无法识别具有似乎合法的文件扩展名的恶意文件,此类方法可能将计算资源专用于扫描经修改的文件,即使存在该经修改的文件未受到安全威胁的高度可能性。类似地,本公开认识到用于改善传统实时文件扫描安全解决方案的性能的可靠性两者的需要。
技术实现思路
如下文更详细地描述的那样,本公开总体上涉及用于响应于感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)通过检查所述感兴趣事件的完整场境(context)来确定是否执行实时文件扫描的系统和方法。所述感兴趣事件的完整场境可以包括所涉文件的历史、访问所涉文件的应用的历史、以及用于所涉文件的已知可接受使用模式。在此所公开的系统和方法可以通过评估此信息而不是始终执行扫描在不显著降低由传统实时扫描解决方案提供的安全水平的情况下使实时扫描系统的性能影响最小化。 例如,一种系统可以通过以下步骤来确定是否执行实时文件扫描1)检测感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时),2)识别与所述感兴趣事件相关的至少一个文件(诸如被打开或关闭的文件),3)访问描述或识别其中发生所述感兴趣事件的较大场境的信息(在此也称为"场境元数据"),4)访问至少一个规则,该规则包含用于基于所述感兴趣事件和所述场境元数据来确定是否对所述文件执行扫描的标准,以及随后5)通过应用所述规则来确定是否对所述文件执行扫描。 如果所述系统判定扫描文件,则该系统还可以基于所述场境元数据来确定在执行扫描时是提高还是降低将应用于文件的监查水平。所述系统还可以基于扫描的结果来确定是否阻止文件、隔离文件、删除文件、通知用户或安全供应商等。所述系统随后可以基于安全扫描的结果来更新所述场境元数据。 可以依照在此所述的一般原理将来自任何上述实施例的特征相互结合地使用。结合附图和权利要求来读取以下详细说明时将更全面地理解这些及其它实施例、特征、以及优点。附图说明 附图示出许多示例性实施例,并且作为本说明书的一部分。这些附图连同以下说明 一起说明并解释本公开的各种原理。 图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性系统的方框图。 图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性方法的流程图。 图3是能够实现在此所述和/或所示的一个或多个实施例的示例性计算系统的方框图。 图4是能够实现在此所述和/或所示的一个或多个实施例的示例性计算网络的方框图。 在所有附图中,相同的附图标记和说明指示类似但不一定必须相同的元件。虽然在此所述的示例性实施例可以有各种修改和替换形式,但在附图中已通过示例示出了特定的实施例并将在此进行详细地描述。然而,在此所述的示例性实施例并不意在局限于所公开的特定形式。相反,本公开涵盖落入所附权利要求的范围内的所有修改、等价物、以及替换物。具体实施例方式如下文更详细地描述的那样,本公开总体上涉及用于响应于感兴趣事件通过检查感兴趣事件的完整场境来确定是否执行实时文件扫描的系统和方法。描述或识别其中发生所述感兴趣事件的较大场境的信息(在下文中称为"场境元数据")可以包括但不限于关于所涉文件的信息(诸如文件名、文件创建日期、已被读取或修改的次数、已经读取或修改该文件的应用、用于该文件的典型使用行为、先前对该文件执行的安全扫描的结果等)或关于接触所涉文件的应用或与所涉文件相关的应用的信息(诸如该文件程序是否是门户、该应用是否产生网络活动、该应用是否包含已知的漏洞等)。 下面将参照图1来提供用于响应于感兴趣事件通过检查感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性系统的详细说明。还将结合图2来提供相应的示例性计算机实现方法的详细说明。另外,还将结合图3和4来提供能够实现在此所描述和/或所示的一个或多个实施例的示例性计算系统和网络架构的说明。 图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来执行实时文件扫描的示例性系统100的方框图。如此图所示,示例性系统ioo可以包括用于执行一个或多个任务的一个或多个模块102。例如,示例性系统100可以包括用于检测可能触发文件扫描的感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)的事件检测模块104。示例性系统100还可以包括用于访问并应用包含标准的规则的规则应用模块106,所述标准用于基于所检测的感兴趣事件和与该感兴趣事件相关的场境元数据来确定是否执行文件扫描。 另外,示例性系统100可以包括用于对文件执行安全扫描以确定该文件是否是恶意文件或是否引起安全风险的安全模块108。示例性系统IOO还可以包括用于基于文件的安全扫描结果来更新场境元数据的元数据更新模块110。虽然未在图1中示出,但示例性系统100还可以包括一个或多个附加模块。 在某些实施例中,图1中的一个或多个模块102可以表示在被计算设备执行时可以促使计算设备响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的一个或多个软件应用或程序。例如,如下文更详细地描述的那样, 一个或多个模块102可以表示被配置为在一个或多个计算设备上运行的软件模块,所述计算设备诸如图3中的计算系统310和/或图4中的示例性网络架构400的部分。图1中的一个或多个模块102还可以表示被配置为执行一个或多个任务的一个或多个专用计算机中的全部或部分。 如图l所示,示例性系统100还可以包括一个或多个数据库120。数据库120可以表示单个数据库或计算设备或多个数据库或计算设备的部分。在一个实施例中,示例性系统100可以包括用于存储场境元数据的场境元数据数据库122,场境诸如关于作为用于扫描的候选的文件的信息和关于接触所述候选文件或与之相关的应用的信息。示例性系统100还可以包括用于存储包含标准的规则或规则集的规则数据库124,所述标准用于基于程序的特性来确定该程序是否包含垃圾邮件程序。 图1中的一个或多个数据库120可以表示一个或多个计算设备的一部分。例如,一个或多个数据库120可以表示图3中的计算系统310的一部分和/或图4中的示例性网络架构400的部分。可选地,图1中的一个或多个数据库120可以表示一个或多个物理上分离的能够由计算设备访问的设备,诸如图3中的计算系统310和/或图4中的示例性网络架构的部分。 图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性计算机实现方法200的流程图。如此图所示,在步骤202,所述系统可以检测感兴趣事件。例如,图1中的事件检测模块104可以检测图3中的计算系统31本文档来自技高网...
【技术保护点】
一种用于响应于感兴趣事件通过检查所述感兴趣事件的完整场境来确定是否执行实时文件扫描的计算机实现的方法,所述方法包括:检测感兴趣事件;识别与所述感兴趣事件相关的至少一个文件;访问与所述感兴趣事件相关的场境元数据;访问包括标准的至少一个规则,所述标准用于基于所述感兴趣事件和所述场境元数据来确定是否对所述文件执行安全扫描;通过应用所述规则来确定是否对所述文件执行安全扫描。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:斯潘塞史密斯,海克麦斯若皮亚恩,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。