專利名稱:用于動態(tài)生成反病毒數(shù)據(jù)庫的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于反病毒(anti-Virus�,AV)保護(hù)的方法,且尤其涉及用于基于用戶計算機(jī)的參數(shù)來動態(tài)生成反病毒數(shù)據(jù)庫的方法和系統(tǒng)��。
背景技術(shù):
位于用戶個人計算機(jī)�、移動設(shè)備上或者企業(yè)系統(tǒng)內(nèi)部的數(shù)據(jù)的安全性是一個每天只會變得更加復(fù)雜的問題。大量新的惡意軟件應(yīng)用程序幾乎每天都會出現(xiàn)��。這些惡意軟件應(yīng)用程序中每一個都會引起計算機(jī)故障�,或者引起關(guān)鍵個人用戶數(shù)據(jù)的丟失或被盜。很多已知的惡意軟件應(yīng)用程序經(jīng)過修改后變得更加難以檢測到為了保持必要程度的數(shù)據(jù)安全�,反病毒系統(tǒng)供應(yīng)商必須不斷地更新他們用于檢測病毒或惡意軟件的反病毒數(shù)據(jù)庫。現(xiàn)代反病毒數(shù)據(jù)庫包含有各種類型的數(shù)據(jù)惡意軟件簽名(包括啟發(fā)式(heuristic)簽名)�����、惡意對象校驗和(checksums)的黑名單����、網(wǎng)站的黑名單����、 數(shù)據(jù)解壓算法的可執(zhí)行代碼���、啟發(fā)式數(shù)據(jù)分析的代碼和用于處理已檢測到的威脅的數(shù)據(jù)等寸���。除了這些類型的數(shù)據(jù),反病毒數(shù)據(jù)庫可以包含用于更新反病毒系統(tǒng)組件所需的代碼����。這樣,反病毒數(shù)據(jù)庫不僅用于保持當(dāng)前的簽名��,也用于更新實際的反病毒系統(tǒng)�����。反病毒數(shù)據(jù)庫中包含的數(shù)據(jù)可以基于使用它們的反病毒系統(tǒng)而具有不同的表現(xiàn)形式�。數(shù)據(jù)的格式和表現(xiàn)形式基于例如更新的簡易性、使用的方便性和大小等標(biāo)準(zhǔn)來選擇��。數(shù)據(jù)可以以多個不同格式的文件來表示���,例如��,以動態(tài)鏈接庫(DLL)�����、可擴(kuò)展標(biāo)記語言(XML)文件或者由特定反病毒系統(tǒng)所使用的專有格式�。當(dāng)前�,典型的反病毒數(shù)據(jù)庫包含大量的數(shù)量持續(xù)增長的各種數(shù)據(jù)。這是由每天出現(xiàn)的新的惡意軟件和插入反病毒數(shù)據(jù)庫的相應(yīng)數(shù)據(jù)所引起的���。反病毒數(shù)據(jù)庫持續(xù)增長的規(guī)模使它們不適于經(jīng)常更新���。需要一種方法來縮減反病毒數(shù)據(jù)庫的大小。反病毒數(shù)據(jù)庫規(guī)模的快速增加的趨勢對于反病毒系統(tǒng)的生產(chǎn)者來說已經(jīng)是一個嚴(yán)重的問題了��。需要使反病毒數(shù)據(jù)庫更加方便和可移動��。在W02010024606A2和 KR2009111152A的公開文本披露了基于各種參數(shù)的反病毒應(yīng)用程序的更新����。W02010024606A2公開了一種用于基于操作系統(tǒng)和所使用的反病毒應(yīng)用程序的版本來為計算機(jī)選擇數(shù)據(jù)的系統(tǒng)和方法。KR2009111152A描述了一種用于更新反病毒系統(tǒng)的系統(tǒng)���。該系統(tǒng)基于對需要被檢查的文件的分類并生成所需更新的列表����。這些系統(tǒng)有一些缺點。例如�����,反病毒數(shù)據(jù)庫基于有限的參數(shù)列表而手動地生成��。創(chuàng)建反病毒數(shù)據(jù)庫除了檢查用戶文件外���,不考慮用戶的整體的安全需求����。美國7�,743,419號專利公開了一種用于防止計算機(jī)病毒傳染的方法���。該方法基于收集用戶個人計算機(jī)信息并分析其是否有傳染跡象���。 這些傳染是可以預(yù)測和預(yù)防的。因此,現(xiàn)有技術(shù)需要一種用于基于用戶計算機(jī)參數(shù)來動態(tài)生成反病毒數(shù)據(jù)庫且不影響使用反病毒數(shù)據(jù)庫的惡意軟件檢測系統(tǒng)的有效性的系統(tǒng)����。
發(fā)明內(nèi)容
本發(fā)明涉及用于反病毒保護(hù)的方法。本發(fā)明提供了一種用于基于用戶計算機(jī)的參數(shù)來動態(tài)地生成反病毒數(shù)據(jù)庫的方法�、系統(tǒng)和計算機(jī)程序產(chǎn)品,其能基本消除一個或多個相關(guān)技術(shù)的缺陷�。在本發(fā)明的一個方面,提供了一種用于通過根據(jù)用戶參數(shù)動態(tài)生成反病毒數(shù)據(jù)庫來縮減反病毒數(shù)據(jù)庫的大小的方法����。根據(jù)一個示范性實施例��,確定影響這一用戶所需的反病毒數(shù)據(jù)庫內(nèi)容的關(guān)鍵用戶參數(shù)����。基于該用戶參數(shù)生成針對該單個用戶的反病毒數(shù)據(jù)庫�。 當(dāng)該用戶計算機(jī)的參數(shù)改變或者當(dāng)檢測到新的惡意軟件威脅的時候,根據(jù)新的參數(shù)和新的惡意軟件威脅而動態(tài)地更新該用戶反病毒數(shù)據(jù)庫��。
更新過程變得更加有效率�,因為更新大量數(shù)據(jù)的需求被消除了。與一個小型的反病毒數(shù)據(jù)庫共同工作的反病毒系統(tǒng)會更有效率地發(fā)現(xiàn)惡意軟件對象并使用更少的計算機(jī)系統(tǒng)資源�。本發(fā)明的其它功能和優(yōu)點將在下面的說明書中闡述,還有部分通過說明書是顯而易見的,或者由本發(fā)明的實踐可以得知�。通過書面的說明、權(quán)利要求書和附圖中特別指出的結(jié)構(gòu)���,將實現(xiàn)并獲得本發(fā)明的優(yōu)點����。應(yīng)該理解的是���,無論是上述的總體描述還是如下的詳細(xì)說明都是示例性的和解釋性的����,并且旨在提供對于本發(fā)明進(jìn)一步的解釋����。
附圖提供對于本發(fā)明進(jìn)一步的理解,并且并入說明書中并構(gòu)成其中的一部分����,這些附圖示出了本發(fā)明的實施例并與說明書一起用于解釋本發(fā)明的原理。附圖中
圖1示出了根據(jù)示范性實施例��,多個用戶計算機(jī)����、服務(wù)器和反病毒數(shù)據(jù)庫的總體布置圖���。圖2示出了根據(jù)示范性實施例,反病毒數(shù)據(jù)庫的系統(tǒng)動態(tài)更新的客戶端�����。圖3示出了根據(jù)示范性實施例��,用于動態(tài)更新客戶端反病毒數(shù)據(jù)庫的系統(tǒng)的服務(wù)器端�。圖4示出了根據(jù)示范性實施例,用戶配置文件數(shù)據(jù)庫的結(jié)構(gòu)��。圖5示出了根據(jù)示范性實施例�,動態(tài)生成反病毒數(shù)據(jù)庫的方法的流程圖����。圖6示出了可用于實現(xiàn)本發(fā)明的示范性計算機(jī)系統(tǒng)的示意圖。
具體實施例方式現(xiàn)在將根據(jù)本發(fā)明優(yōu)選的實施例進(jìn)行詳細(xì)描述����,其示例在附圖中示出。根據(jù)一個示范性實施例�����,提供一種用于通過根據(jù)用戶參數(shù)動態(tài)生成反病毒數(shù)據(jù)庫來減小反病毒數(shù)據(jù)庫的大小的方法和系統(tǒng)。確定影響這一用戶所需的反病毒數(shù)據(jù)庫內(nèi)容的關(guān)鍵用戶參數(shù)�。基于這些用戶參數(shù)生成針對該單個用戶的反病毒數(shù)據(jù)庫�。當(dāng)該用戶計算機(jī)的參數(shù)改變或者檢測到新的惡意軟件威脅時,根據(jù)新的參數(shù)和新的惡意軟件威脅而動態(tài)地更新該用戶反病毒數(shù)據(jù)庫�����。所有已知惡意軟件對象(舉例來說�,諸如計算機(jī)病毒、木馬��、蠕蟲���、rootkit等等)與一些新的對象可以被反病毒系統(tǒng)檢測到�����。然而���,其電腦上運行有反病毒應(yīng)用程序的用戶并不需要一個包括大量該用戶可能絕不會遇到的對象的完整反病毒數(shù)據(jù)庫。例如�,不需要用來自一個域的網(wǎng)站的黑名單來更新用戶端反病毒數(shù)據(jù)庫��,當(dāng)這個用戶只訪問另一個(不同的)域�����,并且從不訪問來自第一個域的網(wǎng)站時�。而且��,用戶個人計算機(jī)上運行有不同版本的操作系統(tǒng)�����。不同的操作系統(tǒng)版本有不同類型的惡意軟件威脅��。這樣�,使用為特定操作系統(tǒng)而生成的反病毒數(shù)據(jù)庫相對于可用于所有操作系統(tǒng)并包括大量非必需和冗余信息的通用反病毒數(shù)據(jù)庫來說更有效率。優(yōu)選的實施例通過基于該計算機(jī)參數(shù)生成專門用于特定用戶計算機(jī)的反病毒數(shù)據(jù)庫來解決這些問題�����。圖1 示出了根據(jù)示范性實施例�����,多個用戶計算機(jī)��、服務(wù)器和反病毒數(shù)據(jù)庫的總體布置圖��。每一臺用戶個人計算機(jī)120-128都有一組影響為每個用戶所生成的反病毒數(shù)據(jù)庫的參數(shù)�����。這些參數(shù)在下面將詳細(xì)討論����。每一臺用戶個人計算機(jī)120-128都有其自己的反病毒數(shù)據(jù)庫。如果一些用戶計算機(jī)具有相同的參數(shù)�,則用于這些計算機(jī)的反病毒數(shù)據(jù)庫含有相同的數(shù)據(jù)。用于具有不同參數(shù)的計算機(jī)的反病毒數(shù)據(jù)庫包含不同的數(shù)據(jù)����。然而,這些數(shù)據(jù)庫也可以有一些相同的數(shù)據(jù)��。反病毒數(shù)據(jù)庫120-128基于通常存儲在中央數(shù)據(jù)庫111的信息而形成�。如果用戶計算機(jī)有相似或者相同的特點,那么他們的反病毒數(shù)據(jù)庫將可以是相同或相似的����。如果用戶計算機(jī)的一些參數(shù)相似,那么基于那些參數(shù)的部分?jǐn)?shù)據(jù)庫可以是相同的�����。在示范性實施例中,服務(wù)器-到-客戶端(server-to-client)的訪問通過互聯(lián)網(wǎng) 130連接來實現(xiàn)��。更新服務(wù)器110為每一個使用服務(wù)器反病毒數(shù)據(jù)庫111的用戶生成反病毒數(shù)據(jù)庫����。每一臺個人計算機(jī)的參數(shù)決定為這臺個人計算機(jī)所生成的反病毒數(shù)據(jù)庫的內(nèi)容。當(dāng)相應(yīng)個人計算機(jī)的參數(shù)改變時�����,更新服務(wù)器110可以更新每一個反病毒數(shù)據(jù)庫�����。該服務(wù)器反病毒數(shù)據(jù)庫111包含在每一個有任意參數(shù)組的用戶個人計算機(jī)上運行反病毒系統(tǒng)的功能所需要的數(shù)據(jù)��。請注意服務(wù)器反病毒數(shù)據(jù)庫111的大小明顯比給定的用戶端反病毒數(shù)據(jù)庫要大����,因為它包含所有當(dāng)前已知的惡意軟件相關(guān)數(shù)據(jù)。圖2示出了根據(jù)示范性實施例的一個系統(tǒng)的用戶端�。根據(jù)示范性實施例���,用戶個人計算機(jī)210包括用于掃描硬盤212是否有惡意軟件對象的反病毒模塊211�。該反病毒模塊211由用戶端反病毒數(shù)據(jù)庫216支持。硬盤212存儲例如系統(tǒng)操作系統(tǒng)�����、網(wǎng)頁瀏覽器����、郵件客戶端和其它用戶文件。用戶個人計算機(jī)210還包括用戶配置文件生成模塊213��。該模塊213收集用于生成用戶配置文件所必須的參數(shù)���。這些參數(shù)包含至少如下內(nèi)容
用戶ID (—個唯一的編號)
用戶位置(即�����,地理位置一一一個國家或包括幾個國家的地區(qū)) 用戶計算機(jī)信息(操作系統(tǒng)版本���;位置參數(shù)——用戶語言、國家��、時區(qū)等等�����;網(wǎng)頁瀏覽器類型;郵件客戶端類型等等) 反病毒應(yīng)用程序版本反病毒數(shù)據(jù)庫版本已訪問網(wǎng)站統(tǒng)計數(shù)據(jù)已檢測到的惡意軟件對象統(tǒng)計數(shù)據(jù)
此外�,用戶應(yīng)用程序列表(其可以被惡意軟件所使用)可以用作參數(shù)?�?紤]這個信息是為了生成能最優(yōu)地適合用戶210需求的反病毒數(shù)據(jù)庫216�,所述用戶運行特定的一組應(yīng)用程序。更新服務(wù)器110使用該用戶參數(shù)數(shù)據(jù)作為用于生成反病毒數(shù)據(jù)庫216的標(biāo)準(zhǔn)�。例如,用戶位置可能被用于形成簽名(signature)數(shù)據(jù)庫�,因為該簽名數(shù)據(jù)庫可能是依賴于國家的或者依賴于語言的等等。由于惡意軟件通常以操作 系統(tǒng)中的或者應(yīng)用程序軟件中的特定漏洞為目標(biāo)��,因此用戶計算機(jī)信息包括與已安裝的操作系統(tǒng)����、應(yīng)用程序等有關(guān)的數(shù)據(jù)。已訪問網(wǎng)站的統(tǒng)計數(shù)據(jù)�,其允許在訪問特定網(wǎng)站或者特定類別的網(wǎng)站之后確定可能出現(xiàn)的威脅的種類,并在形成反病毒數(shù)據(jù)庫時可以對其加以考慮�。例如,如果幾個用戶計算機(jī)有相同的位置�、相同的操作系統(tǒng)版本、相同的網(wǎng)頁瀏覽器、相同的郵件客戶端等等��,則為這些計算機(jī)所生成的反病毒數(shù)據(jù)庫是相同的�。然而��,一個特定反病毒數(shù)據(jù)庫216的完整內(nèi)容取決于用戶個人計算機(jī)210的每一個特定參數(shù)�����。因此�����, 以上提供的參數(shù)的列表可以由反應(yīng)用戶及其個人計算機(jī)的附加參數(shù)所擴(kuò)充���。重要的是要能提出一組可以為單個用戶生成最優(yōu)反病毒數(shù)據(jù)庫的參數(shù)����。這樣的反病毒數(shù)據(jù)庫在盡可能縮減大小的同時提供最大限度的用戶個人計算機(jī)保護(hù)�。因此,通過基于用戶個人計算機(jī)210的選定參數(shù)動態(tài)地生成反病毒數(shù)據(jù)庫可以有利地縮減反病毒數(shù)據(jù)庫216的大小��。根據(jù)示范性實施例�����,系統(tǒng)提供附加配置。例如����,如果用戶個人計算機(jī)210被用作郵件服務(wù)器,可以配置用戶配置文件生成模塊213使用戶個人計算機(jī)210接受僅僅一部分在郵件消息中檢測病毒和垃圾郵件所需的反病毒數(shù)據(jù)庫�。這種情況下,反病毒數(shù)據(jù)庫216不會有在下載的網(wǎng)頁中檢測病毒所需要的部分���。反病毒數(shù)據(jù)庫216 的大小相應(yīng)地縮減��。在一個實施例中�����,由于資源所限(S卩�,例如���,帶寬限制)�,系統(tǒng)可以配置用戶配置文件生成模塊213�,使反病毒數(shù)據(jù)庫只接收與最常見惡意軟件對象相應(yīng)的簽名。這樣�����,在最小幅度地降低系統(tǒng)安全性的同時,反病毒數(shù)據(jù)庫216的大小被大幅縮減�����。用戶配置文件生成模塊213準(zhǔn)備好所有將要被發(fā)送給更新服務(wù)器110的數(shù)據(jù)����。當(dāng)用戶計算機(jī)210在更新服務(wù)器110上初始注冊時�����,用戶配置文件生成模塊213收集注冊所需數(shù)據(jù)���。為了做到這一點��,從硬盤212中檢索到用戶應(yīng)用程序數(shù)據(jù)和操作系統(tǒng)數(shù)據(jù)����。還從反病毒模塊211中檢索到反病毒應(yīng)用程序的版本���。確定反病毒數(shù)據(jù)庫216的版本��。所有這些數(shù)據(jù)由用戶配置文件生成模塊213提供給請求生成模塊214�����,所述請求生成模塊214發(fā)送包含所有用戶信息的請求給更新服務(wù)器110�����。用戶初次注冊時����,該用戶接收到相應(yīng)于那些用戶可提供的計算機(jī)參數(shù)(操作系統(tǒng)、 已安裝的應(yīng)用程序等)的反病毒數(shù)據(jù)庫�����。其它信息可以包括他的位置���、操作系統(tǒng)版本或者應(yīng)用程序等�?���;谶@些參數(shù),將為該用戶生成反病毒數(shù)據(jù)庫�����。然后,該用戶的計算機(jī)將向服務(wù)器提供關(guān)于已訪問網(wǎng)站和任何已識別出的惡意軟件及計算機(jī)配置��、操作系統(tǒng)版本和應(yīng)用程序等方面的任何改變的數(shù)據(jù)���。換句話說��,將更新在服務(wù)器上的用戶配置文件�,并且將相應(yīng)地更新反病毒數(shù)據(jù)庫��。這樣�����,每一個用戶會有一個為他優(yōu)化過的反病毒數(shù)據(jù)庫��。這種情況下���, 這個反病毒數(shù)據(jù)庫對于這個用戶來說在某種程度上是最優(yōu)的概率相當(dāng)高。那么��,隨著更新服務(wù)器收集到來自這個用戶的數(shù)據(jù)��,用戶反病毒數(shù)據(jù)庫被不斷地修改,所以最終提供給用戶最優(yōu)的反病毒數(shù)據(jù)庫���。如果用戶計算機(jī)經(jīng)歷了一些改變(例如�,更新操作系統(tǒng)�����、安裝新的用戶應(yīng)用程序等)����,用戶配置文件生成模塊213檢測到這些改變并將其發(fā)送給更新服務(wù)器110。然后��,更新服務(wù)器110通過添加當(dāng)前參數(shù)組所需的新數(shù)據(jù)來更新用戶反病毒數(shù)據(jù)庫216�����。用戶配置文件生成模塊213還從反病毒模塊211接收與檢測到的惡意軟件對象有關(guān)的信息并把這個信息通過請求生成模塊214傳輸給更新服務(wù)器110�����。更新服務(wù)器110收集為生成用戶反病毒數(shù)據(jù)庫而納入考慮的統(tǒng)計數(shù)據(jù)���。用戶個人計算機(jī)210包括從更新服務(wù)器110接收反病毒數(shù)據(jù)庫的新版本的用戶更新模塊215�����,并更新用戶反病毒數(shù)據(jù)庫216�����。
圖3示出了根據(jù)示范性實施例的系統(tǒng)的服務(wù)器端���。更新服務(wù)器110通過從用戶計算機(jī)接收用戶請求并處理這些請求的請求處理模塊311與用戶計算機(jī)通信��。請求處理模塊 311向用戶配置文件數(shù)據(jù)庫312中插入用戶請求中所包含的新數(shù)據(jù)���。請求處理模塊311還將接收到的新的用戶數(shù)據(jù)通知給數(shù)據(jù)處理模塊313?�;蛘?,如果系統(tǒng)沒有用戶配置文件數(shù)據(jù)庫312����,請求處理模塊311將接收到的用戶數(shù)據(jù)直接傳輸給數(shù)據(jù)處理模塊313。用戶配置文件數(shù)據(jù)庫312含有加快用戶數(shù)據(jù)分析進(jìn)程所需的用戶相關(guān)數(shù)據(jù)����。用戶相關(guān)數(shù)據(jù)不影響反病毒數(shù)據(jù)庫的生成進(jìn)程�。因此�,在可替代實施例中,用戶配置文件數(shù)據(jù)庫312可以不在更新服務(wù)器110中�����。數(shù)據(jù)處理模塊313分析用戶個人計算機(jī)相關(guān)數(shù)據(jù)����。這一分析包括與已檢測到的惡意軟件對象相關(guān)的數(shù)據(jù)。當(dāng)按計劃更新用戶反病毒數(shù)據(jù)庫時進(jìn)行分析�����。也可以當(dāng)接收到更新用戶反病毒數(shù)據(jù)庫的用戶請求時進(jìn)行分析�����。分析還可以包括為每一個用戶檢查參數(shù)����,其中用戶特定數(shù)據(jù)庫基于這些參數(shù)而形成。如果需要更新用戶反病毒數(shù)據(jù)庫�,請求處理模塊311會接收到來自用戶個人計算機(jī)的相應(yīng)請求。數(shù)據(jù)處理模塊313分析來自數(shù)據(jù)庫312的數(shù)據(jù)。然后��,基于對包含在用戶配置文件數(shù)據(jù)庫312中的用戶配置文件的分析的結(jié)果���,數(shù)據(jù)處理模塊313生成對用戶反病毒數(shù)據(jù)庫的需求并將這些需求提供給數(shù)據(jù)選擇模塊314����。如果用戶個人計算機(jī)的至少一個參數(shù)改變����,請求處理模塊311會接收到包含有反映參數(shù)改變的數(shù)據(jù)的請求,并且改變后的參數(shù)會被插入到數(shù)據(jù)庫312中�。數(shù)據(jù)處理模塊313 基于參數(shù)改變生成新的需求。數(shù)據(jù)選擇模塊314接收來自數(shù)據(jù)處理模塊313的需求�����,并通過從服務(wù)器反病毒數(shù)據(jù)庫315選擇相關(guān)部分(即����,服務(wù)器反病毒數(shù)據(jù)庫的子集)來準(zhǔn)備所需的數(shù)據(jù)��。將數(shù)據(jù)庫315的已選擇的部分通過服務(wù)器更新模塊316傳輸?shù)接脩魝€人計算機(jī) 210���。然后�,用戶更新模塊215接收已選擇的部分并更新用戶反病毒數(shù)據(jù)庫216。周期性地修改惡意軟件對象并創(chuàng)建新的惡意軟件對象���。因此����,服務(wù)器反病毒數(shù)據(jù)庫315也需要被更新�。一些過期的和冗余的記錄同樣需要從服務(wù)器反病毒數(shù)據(jù)庫315中刪除。這樣��,服務(wù)器反病毒數(shù)據(jù)庫315中的所有改變必然會反映到用戶反病毒數(shù)據(jù)庫中���。根據(jù)示范性實施例�,用戶反病毒數(shù)據(jù)庫216與服務(wù)器反病毒數(shù)據(jù)庫315通過強制更新模塊317保持同步���。當(dāng)服務(wù)器反病毒數(shù)據(jù)庫315更新時��,強制更新模塊317發(fā)送通知給數(shù)據(jù)處理模塊313�。然后��,數(shù)據(jù)處理模塊執(zhí)行數(shù)據(jù)分析(不按順序)并為用戶反病毒數(shù)據(jù)庫216生成新的需求����。然后��,執(zhí)行如上文所述的用戶反病毒數(shù)據(jù)庫216的更新��。圖4中描述了包含在用戶配置文件數(shù)據(jù)庫312中的數(shù)據(jù)��。每一個用戶有一個唯一的ID (數(shù)字或字母串)���。用戶配置文件數(shù)據(jù)庫312包含在用戶請求中接收到的所有數(shù)據(jù),例如用戶位置��;用戶計算機(jī)相關(guān)數(shù)據(jù)�;用戶反病毒應(yīng)用程序版本;用戶反病毒數(shù)據(jù)庫版本��;數(shù)據(jù)積累周期�����;已訪問網(wǎng)站相關(guān)的統(tǒng)計數(shù)據(jù)�����;已檢測到的惡意軟件對象統(tǒng)計數(shù)據(jù)等��。圖5示出了根據(jù)一個示范性實施例����,用于動態(tài)生成反病毒數(shù)據(jù)庫的方法的流程圖。在步驟510��,基于與用戶計算機(jī)相關(guān)的數(shù)據(jù)來形成用戶配置文件��。在步驟511將包含有用戶配置文件信息的用戶請求發(fā)送到更新服務(wù)器���。在步驟512中處理用戶請求數(shù)據(jù)�,并在步驟513中寫入用戶配置文件數(shù)據(jù)庫中����。在步驟514中分析用戶配置文件數(shù)據(jù)并生成新的需求。在步驟515中基于新的需求而從服務(wù)器反病毒數(shù)據(jù)庫選擇相 關(guān)數(shù)據(jù)����。在步驟516中通過已選擇的數(shù)據(jù)更新用戶反病毒數(shù)據(jù)庫。參考圖6����,用于實現(xiàn)本發(fā)明的示范性系統(tǒng)包括以計算機(jī)120或類似物為形式的通用計算設(shè)備,其包括處理單元21����,系統(tǒng)存儲器22和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦連到處理單元21的系統(tǒng)總線23����。系統(tǒng)總線23可以是包括存儲器總線或者存儲器控制器����、外圍總線和使用各種總線架構(gòu)的任意一種的局部總線在內(nèi)的幾類總線結(jié)構(gòu)的任意一種。系統(tǒng)存儲器包括只讀存儲器(R0M)24和隨機(jī)訪問存儲器(RAM)25��。R0M24中存儲有基本的輸入/輸出系統(tǒng)26(BI0S)���, 該基本的輸入/輸出系統(tǒng)26包括例如在開機(jī)過程中幫助在計算機(jī)120內(nèi)部的元件間傳輸信息的基本例程����。計算機(jī)120可以進(jìn)一步包括用于讀寫沒有示出的硬盤的硬盤驅(qū)動器27�����、用于讀寫可移動磁盤29的磁盤驅(qū)動器28和用于讀寫諸如⑶-ROM���,DVD-ROM或其它光學(xué)介質(zhì)的可移動光盤31的光盤驅(qū)動器30��。硬盤驅(qū)動器27��、磁盤驅(qū)動器28和光盤驅(qū)動器30分別通過硬盤驅(qū)動器接口 32�����、磁盤驅(qū)動器接口 33和光盤驅(qū)動器接口 34連接到系統(tǒng)總線23�����。驅(qū)動器和與它們相關(guān)聯(lián)的計算機(jī)可讀介質(zhì)為計算機(jī)120提供計算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊和其它數(shù)據(jù)的非易失性存儲����。盡管在此描述的示例環(huán)境使用了硬盤、可移動的磁盤29和可移動的光盤31���,本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)知道可對計算機(jī)可訪問數(shù)據(jù)加以存儲的其它種類的計算機(jī)可讀介質(zhì)也可用于該示范性操作系統(tǒng)環(huán)境中�����,例如����,磁帶、閃存卡�、數(shù)字視頻盤、貝努里(Bernoulli)盒式磁帶��、隨機(jī)訪問存儲器(RAM)�、只讀存儲器(ROM)等等?��?梢詫ú僮飨到y(tǒng)35在內(nèi)的多個程序模塊存儲在硬盤��、磁盤29�、光盤31����、ROM 24或者RAM 25上。計算機(jī)120包括與操作系統(tǒng)35相關(guān)聯(lián)的或者包含在操作系統(tǒng)35內(nèi)的文件系統(tǒng)36�、一個或多個應(yīng)用程序37、其它程序模塊38和程序數(shù)據(jù)39�。用戶可以通過諸如鍵盤40和指示設(shè)備(pointing device)42的輸入設(shè)備輸入命令和信息到計算機(jī)120中。 其它輸入設(shè)備(沒有示出)可以包括麥克風(fēng)�����、操縱桿、游戲墊�、衛(wèi)星天線、掃描儀等等����。這些和其它的輸入設(shè)備通常通過耦連到系統(tǒng)總線的串行接口 46連接到處理單元 21,但是也可能通過其它接口連接��,諸如并行接口�����、游戲端口或通用串行總線(USB)���。監(jiān)視器 47或者其它類型的顯示設(shè)備也通過諸如視頻適配器48的接口連接到系統(tǒng)總線23。除了監(jiān)視器47����,個人計算機(jī)通常包括其它外圍輸出設(shè)備(沒有示出),諸如揚聲器和打印機(jī)�����。計算機(jī)120可以使用到一個或多個遠(yuǎn)程計算機(jī)49的邏輯連接而在網(wǎng)絡(luò)環(huán)境中運行���。盡管只示出了存儲設(shè)備50�����,遠(yuǎn)程計算機(jī)(或計算機(jī)組)49可以是另一臺計算機(jī)�、服務(wù)器、 路由器����、網(wǎng)絡(luò)個人計算機(jī)、對等設(shè)備或其它常見的網(wǎng)絡(luò)節(jié)點��,通常包括上文描述的多個或者全部和計算機(jī)120相關(guān)的元件��。邏輯連接包括局域網(wǎng)(LAN)51和廣域網(wǎng)(WAN)52�。這樣的網(wǎng)絡(luò)連接環(huán)境在辦公室、企業(yè)范圍內(nèi)的計算機(jī)網(wǎng)絡(luò)����、內(nèi)部網(wǎng)和互聯(lián)網(wǎng)中很常見。
當(dāng)在局域網(wǎng)環(huán)境中使用時��,計算機(jī)120通過網(wǎng)絡(luò)接口或者適配器53連接到局域網(wǎng) 51����。當(dāng)在廣域網(wǎng)環(huán)境中使用時�,計算機(jī)120通常包括調(diào)制解調(diào)器54或者用于在例如互聯(lián)網(wǎng)的廣域網(wǎng)52中建立通信的其它方式���。調(diào)制解調(diào)器54可以是內(nèi)置的或者外置的�����,通過串行接口 46連接到系統(tǒng)總線23�����。 在網(wǎng)絡(luò)環(huán)境中�,所描述的與計算機(jī)120相關(guān)的程序模塊或者其部分可以存儲在遠(yuǎn)程存儲設(shè)備中�����?���?梢岳斫獾氖鞘境龅木W(wǎng)絡(luò)連接是示例性的��,可以使用在計算機(jī)之間建立通信連接的其它方式�����。通過這樣描述一個優(yōu)選的實施例,對本領(lǐng)域技術(shù)人員顯而易見的是���,所描述的方法和裝置具有一定的優(yōu)點���。具體而言,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是��,所提出的系統(tǒng)和方法用于通過基于用戶參數(shù)為單個用戶動態(tài)生成反病毒數(shù)據(jù)庫的方式來縮減反病毒數(shù)據(jù)庫�����。還應(yīng)當(dāng)理解的是����,可以在本發(fā)明的精神和范圍內(nèi)做出各種修改、適應(yīng)及其替代實施 例���。本發(fā)明被權(quán)利要求進(jìn)一步限定���。
權(quán)利要求
1.一種用于動態(tài)生成反病毒數(shù)據(jù)庫的計算機(jī)實現(xiàn)的系統(tǒng),所述系統(tǒng)包括 服務(wù)器端反病毒數(shù)據(jù)庫���,包含與已知惡意軟件對象相關(guān)的數(shù)據(jù)�����;請求處理模塊����,用于從用戶計算機(jī)接收用戶請求并處理包含在所述請求中的用戶參數(shù)數(shù)據(jù);數(shù)據(jù)處理模塊���,用于處理從所述請求處理模塊接收的所述用戶參數(shù)數(shù)據(jù)并基于所述用戶參數(shù)數(shù)據(jù)生成用戶需求�;數(shù)據(jù)選擇模塊�����,用于基于所述用戶需求從所述服務(wù)器端反病毒數(shù)據(jù)庫選擇數(shù)據(jù)并生成子集反病毒數(shù)據(jù)庫����;以及服務(wù)器更新模塊�,連接到所述數(shù)據(jù)選擇模塊,用于將所述子集反病毒數(shù)據(jù)庫發(fā)送給用戶計算機(jī)以更新用戶端反病毒數(shù)據(jù)庫����。
2.如權(quán)利要求1所述的系統(tǒng),進(jìn)一步包括連接到所述請求處理模塊的用戶配置文件數(shù)據(jù)庫,所述用戶配置文件數(shù)據(jù)庫包含來自所述用戶請求的所述用戶參數(shù)數(shù)據(jù)�。
3.如權(quán)利要求2所述的系統(tǒng),進(jìn)一步包括耦連到所述數(shù)據(jù)處理模塊的強制更新模塊����, 其中當(dāng)所述服務(wù)器端反病毒數(shù)據(jù)庫被更新時,所述強制更新模塊發(fā)送通知給所述數(shù)據(jù)處理模塊�。
4.如權(quán)利要求3所述的系統(tǒng),其中所述數(shù)據(jù)處理模塊基于來自所述用戶配置文件數(shù)據(jù)庫的所述用戶參數(shù)數(shù)據(jù)生成需求�����。
5.如權(quán)利要求1所述的系統(tǒng)���,其中所述用戶參數(shù)數(shù)據(jù)包括任意以下各項 用戶ID;用戶位置�����; 用戶操作系統(tǒng)版本��; 用戶應(yīng)用程序�; 用戶反病毒應(yīng)用程序版本��; 用戶端反病毒數(shù)據(jù)庫版本��; 數(shù)據(jù)積累周期;用戶已訪問網(wǎng)站相關(guān)統(tǒng)計數(shù)據(jù)�;以及已檢測到的惡意軟件對象統(tǒng)計數(shù)據(jù)。
6.如權(quán)利要求1所述的系統(tǒng)��,其中所述請求處理模塊連接到用戶計算機(jī)的請求生成模塊��。
7.如權(quán)利要求1所述的系統(tǒng)�,其中所述服務(wù)器更新模塊連接到位于用戶計算機(jī)上的用戶更新模塊,且所述服務(wù)器更新模塊將所述子集反病毒數(shù)據(jù)庫發(fā)送給所述用戶更新模塊��。
8.如權(quán)利要求1所述的系統(tǒng)�,其中所述用戶請求接收自多個用戶計算機(jī)并且其中所述子集反病毒數(shù)據(jù)庫被發(fā)送給多個用戶計算機(jī)以更新用戶端反病毒數(shù)據(jù)庫。
9.如權(quán)利要求1所述的系統(tǒng)�,其中所述服務(wù)器更新模塊在注冊時提供所述子集反病毒數(shù)據(jù)庫給用戶計算機(jī)。
10.一種用于動態(tài)生成反病毒數(shù)據(jù)庫的計算機(jī)實現(xiàn)的方法����,所述方法包括 接收用戶參數(shù)數(shù)據(jù);處理所述用戶參數(shù)數(shù)據(jù)并基于所述用戶參數(shù)數(shù)據(jù)生成用戶需求���; 基于所述用戶需求從服務(wù)器端反病毒數(shù)據(jù)庫選擇數(shù)據(jù)����;基于所述已選擇數(shù)據(jù)生成子集反病毒數(shù)據(jù)庫�;提供所述子集反病毒數(shù)據(jù)庫給所述用戶以更新用戶端反病毒數(shù)據(jù)庫。
11.如權(quán)利要求10所述的方法�����,其中所述用戶參數(shù)數(shù)據(jù)包括任意以下各項 用戶ID;用戶位置����; 用戶操作系統(tǒng)版本; 用戶應(yīng)用程序���; 用戶反病毒應(yīng)用程序版本��; 用戶端反病毒數(shù)據(jù)庫版本�����; 數(shù)據(jù)積累周期����;用戶已訪問網(wǎng)站相關(guān)統(tǒng)計數(shù)據(jù)����;以及已檢測到的惡意軟件對象統(tǒng)計數(shù)據(jù)。
12.如權(quán)利要求10所述的方法�,進(jìn)一步包括將 所述用戶參數(shù)數(shù)據(jù)存儲在用戶配置文件數(shù)據(jù)庫中�。
13.如權(quán)利要求10所述的方法�,進(jìn)一步包括檢測所述服務(wù)器端反病毒數(shù)據(jù)庫的更新。
14.如權(quán)利要求13所述的方法�,進(jìn)一步包括基于來自所述用戶配置文件數(shù)據(jù)庫的所述用戶參數(shù)數(shù)據(jù)來生成新的需求,基于所述新的需求生成新的子集反病毒數(shù)據(jù)庫并提供所述新的子集反病毒數(shù)據(jù)庫給所述用戶以更新用戶端防病毒數(shù)據(jù)庫�。
15.一種用于更新用戶反病毒數(shù)據(jù)庫的計算機(jī)實現(xiàn)的系統(tǒng),所述系統(tǒng)包括 用戶端反病毒模塊��,用于掃描用戶硬盤驅(qū)動器�����;所述反病毒模塊可訪問的用戶端反病毒數(shù)據(jù)庫���,包含與已知惡意軟件對象相關(guān)的用戶特定的數(shù)據(jù)����;用戶配置文件生成模塊�,用于從所述硬盤驅(qū)動器讀取用戶參數(shù)數(shù)據(jù)并生成用戶配置文件;請求生成模塊���,連接到所述用戶配置文件生成模塊���,用于基于所述用戶配置文件生成請求�����,其中所述請求生成模塊發(fā)送所述請求給服務(wù)器請求處理模塊;用戶更新模塊��,用于從服務(wù)器接收更新并將其寫到所述用戶端反病毒數(shù)據(jù)庫����, 其中所述用戶更新基于所述用戶配置文件,作為服務(wù)器端反病毒數(shù)據(jù)庫的子集而生成��。
16.如權(quán)利要求15所述的系統(tǒng)��,其中當(dāng)所述服務(wù)器端反病毒數(shù)據(jù)庫被更新時����,所述用戶更新模塊接收所述服務(wù)器端防病毒數(shù)據(jù)庫的新的子集。
17.如權(quán)利要求15所述的系統(tǒng)����,其中所述用戶參數(shù)數(shù)據(jù)包括任意以下各項 用戶ID;用戶位置; 用戶操作系統(tǒng)版本��; 用戶應(yīng)用程序�; 用戶反病毒應(yīng)用程序版本�; 用戶端反病毒數(shù)據(jù)庫版本�����; 數(shù)據(jù)積累周期�����;用戶已訪問網(wǎng)站相關(guān)統(tǒng)計數(shù)據(jù)�����;以及已檢測到的惡意軟件對象統(tǒng)計數(shù)據(jù)�。
18.如權(quán)利要求15所述的系統(tǒng),其中所述用戶更新模塊在注冊時接收所述子集反病毒數(shù)據(jù)庫���。
全文摘要
本發(fā)明提供一種用于通過根據(jù)用戶參數(shù)動態(tài)生成反病毒數(shù)據(jù)庫來縮減在用戶計算機(jī)上反病毒數(shù)據(jù)庫大小的方法�。確定影響此用戶所需的反病毒數(shù)據(jù)庫的內(nèi)容的關(guān)鍵用戶參數(shù)���?�;谟脩魠?shù)生成針對該單一用戶的反病毒數(shù)據(jù)庫����。當(dāng)所述用戶計算機(jī)的參數(shù)改變或者當(dāng)檢測到新的惡意軟件威脅時,根據(jù)新的參數(shù)和新的惡意軟件威脅動態(tài)更新用戶反病毒數(shù)據(jù)庫�����。由于不需要更新大量數(shù)據(jù)��,所以更新過程變得更加有效率�。所述反病毒系統(tǒng)與小型反病毒數(shù)據(jù)庫共同工作�,更有效地發(fā)現(xiàn)惡意軟件對象并使用更少的計算機(jī)系統(tǒng)資源。
文檔編號G06F21/56GK102368289SQ20111029503
公開日2012年3月7日 申請日期2011年9月28日 優(yōu)先權(quán)日2011年3月28日
發(fā)明者安德烈·P·杜赫瓦洛夫 申請人:卡巴斯基實驗室封閉式股份公司