[发明专利]场境感知的实时计算机保护系统和方法

说明书

背景技术

性能是诸如实时文件扫描解决方案等实时安全产品供应商一直关 心的问题。传统的实时文件扫描解决方案通常：1)在文件已被打开或 修改时进行检测并随后2)通过扫描所涉文件来确定该文件是否已被损 害。虽然单个文件扫描可能不会过度地占用计算系统的资源，但目前 的操作系统执行的文件操作的数目可能需要更多次的文件扫描，而这 又可能导致明显较慢的计算系统性能和用户厌烦。

虽然某些安全供应商已尝试通过基于文件的扩展名或基于文件是 被打开还是关闭而跳过文件扫描来限制实时文件扫描解决方案的性能 影响，但此类常规方法在有效性和可靠性方面受限制。例如，此类方 法可能无法识别具有似乎合法的文件扩展名的恶意文件，此类方法可 能将计算资源专用于扫描经修改的文件，即使存在该经修改的文件未 受到安全威胁的高度可能性。类似地，本公开认识到用于改善传统实 时文件扫描安全解决方案的性能的可靠性两者的需要。

发明内容

如下文更详细地描述的那样，本公开总体上涉及用于响应于感兴 趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被 更新时)通过检查所述感兴趣事件的完整场境(context)来确定是否 执行实时文件扫描的系统和方法。所述感兴趣事件的完整场境可以包 括所涉文件的历史、访问所涉文件的应用的历史、以及用于所涉文件 的已知可接受使用模式。在此所公开的系统和方法可以通过评估此信 息而不是始终执行扫描在不显著降低由传统实时扫描解决方案提供的 安全水平的情况下使实时扫描系统的性能影响最小化。

例如，一种系统可以通过以下步骤来确定是否执行实时文件扫描： 1)检测感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病 毒定义集被更新时)，2)识别与所述感兴趣事件相关的至少一个文件 (诸如被打开或关闭的文件)，3)访问描述或识别其中发生所述感兴 趣事件的较大场境的信息(在此也称为“场境元数据”)，4)访问至少 一个规则，该规则包含用于基于所述感兴趣事件和所述场境元数据来 确定是否对所述文件执行扫描的标准，以及随后5)通过应用所述规则 来确定是否对所述文件执行扫描。

如果所述系统判定扫描文件，则该系统还可以基于所述场境元数 据来确定在执行扫描时是提高还是降低将应用于文件的监查水平。所 述系统还可以基于扫描的结果来确定是否阻止文件、隔离文件、删除 文件、通知用户或安全供应商等。所述系统随后可以基于安全扫描的 结果来更新所述场境元数据。

可以依照在此所述的一般原理将来自任何上述实施例的特征相互 结合地使用。结合附图和权利要求来读取以下详细说明时将更全面地 理解这些及其它实施例、特征、以及优点。

附图说明

附图示出许多示例性实施例，并且作为本说明书的一部分。这些 附图连同以下说明一起说明并解释本公开的各种原理。

图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境 来确定是否执行实时文件扫描的示例性系统的方框图。

图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境 来确定是否执行实时文件扫描的示例性方法的流程图。

图3是能够实现在此所述和/或所示的一个或多个实施例的示例性 计算系统的方框图。

图4是能够实现在此所述和/或所示的一个或多个实施例的示例性 计算网络的方框图。

在所有附图中，相同的附图标记和说明指示类似但不一定必须相 同的元件。虽然在此所述的示例性实施例可以有各种修改和替换形式， 但在附图中已通过示例示出了特定的实施例并将在此进行详细地描 述。然而，在此所述的示例性实施例并不意在局限于所公开的特定形 式。相反，本公开涵盖落入所附权利要求的范围内的所有修改、等价 物、以及替换物。

具体实施方式