[发明专利]场境感知的实时计算机保护系统和方法

权利要求书

1.一种用于响应于感兴趣事件通过检查所述感兴趣事件的完整 场境来确定是否执行实时文件扫描的计算机实现的方法，所述方法包 括：

检测感兴趣事件；

识别被所述感兴趣事件影响的至少一个文件；

访问与所述感兴趣事件相关的场境元数据，所述场境元数据包括 识别以下各项的信息：

所述文件的至少一个特征；

与所述文件相关的至少一个应用的至少一个特征；

访问包括标准的至少一个规则，所述标准识别文件和应用的可接 受使用行为；

通过将所述规则应用到所述感兴趣事件以及所述场境元数据来确 定所述感兴趣事件是否满足识别文件和应用的可接受使用行为的所述 标准；

基于所述感兴趣事件是否满足识别文件和应用的可接受使用行为 的所述标准，确定是否对所述文件执行安全扫描。

2.根据权利要求1所述的方法，其中，所述文件的所述特征包括 以下至少一个：

所述文件的名称；

所述文件的路径名；

所述文件的类型；

所述文件的创建日期；

所述文件的最后修改日期；

所述文件的散列；

所述文件已被读取的次数；

所述文件已被修改的次数；

所述文件的历史使用行为；

先前对所述文件执行的安全扫描的结果。

3.根据权利要求1所述的方法，其中，关于与所述文件相关的所 述应用的所述特征包括以下至少一个：

所述应用的名称；

与所述应用相关的进程；

所述应用的历史使用行为；

所述应用是否是门户；

所述应用是否产生网络活动；

所述应用是否包含已知的漏洞。

4.根据权利要求1所述的方法，其中，所述场境元数据进一步包 括：和接触所述文件的应用或与所述文件相关的应用有关的信息。

5.根据权利要求1所述的方法，其中，所述规则进一步包括用于 基于所述场境元数据来确定在执行安全扫描时要应用于所述文件的监 查水平。

6.根据权利要求1所述的方法，其中，所述感兴趣事件包括以下 各项中的至少一个：

打开所述文件的尝试；

关闭所述文件的尝试；

对由安全供应商提供的病毒定义集的更新。

7.根据权利要求1所述的方法，其中：

访问所述场境元数据包括从场境元数据数据库检索所述场境元数 据；

访问所述规则包括从规则数据库检索所述规则。

8.根据权利要求1所述的方法，进一步包括：

对所述文件执行所述安全扫描；

基于所述安全扫描的结果来确定是否对所述文件执行安全操作。

9.根据权利要求8所述的方法，其中，所述安全操作包括以下 各项中的至少一个：

阻止所述文件；

隔离所述文件；

发送将所述文件识别为安全风险的通知。

10.根据权利要求8所述的方法，进一步包括基于所述安全扫描 的结果来更新所述场境元数据。

11.根据权利要求8所述的方法，其中，对所述文件执行所述安 全扫描包括以下各项中的至少一个：

确定所述文件的一部分是否与由安全供应商提供的病毒定义集内 的至少一个签名匹配；

确定所述文件是否触发由安全供应商提供的恶意件检测探试；

在虚拟环境内执行所述文件。