病毒检测技术标杆的制作方法
本申请要求于2016年6月6日提交的序列号为62/346,040的美国临时专利申请的权益,其为所有目的通过引用并入本文。
本申请相关于2016年7月29日提交但目前未决的美国专利申请序列号15/223,257,其为2014年10月2日提交的美国专利申请序列号14/504,844、现为2016年12月6日发布的美国专利号9,516,045的延续案,其为2012年4月4日提交的美国专利申请序列号13/438,933、现为2014年10月21日发布的美国专利号8,869,283的延续案,其为2008年6月17日申请的美国专利申请序列号11/915,125、现为2012年5月22日发布的美国专利号8,185,954的延续案,其为2006年6月9日提交的pct申请pct/gb2006/002107的国家阶段进入,其要求2005年6月9日提交的gb专利申请号0511749.4的优先权,这些专利的全部内容为所有目的通过引用并入本文。
本申请相关于2015年8月13日提交但目前未决的美国专利申请序列号14/825,808,其为2015年5月18日提交的美国专利申请序列号14/715,300、现在已放弃的部分延续案,其是2013年5月21日提交的美国专利申请序列号13/899,043、现为2015年5月19日发布的美国专利号9,034,174的分案,其为2010年2月5日提交的美国专利申请序列号12/517,614、现为2013年9月10日发布的美国专利号8,533,824的延续案,其为2007年11月8日提出pct申请pct/gb2007/004258的国家阶段进入,其要求2006年12月4日提交的gb专利申请号0624224.2的优先权,这些专利的全部内容在此通过引用并入。
本申请相关于2014年10月2日提交但目前未决的美国专利申请序列号14/504,666,其要求2013年10月4日提交的gb专利申请号1317607.8的优先权,其两者的内容通过引用并入。
本申请相关于2016年3月26日提交但目前未决的美国专利申请序列号15/082,791,其为2015年1月20日提交的美国专利申请序列号14/600,431、现为2016年5月3日发布的美国专利号9,330,264的延续案,其要求2014年11月26日提交但已逾期的美国临时专利申请序列号62/084,832的权益,其全部内容在此通过引用并入。
领域
本发明大体上涉及检测电子威胁,且更具体地涉及提供比较各种威胁检测技术的信息。
背景
传统的防病毒技术使用签名进行操作。当威胁被识别时,会生成对于这些威胁的签名。这些签名被储存在由防病毒软件应用访问的数据库中,该防病毒软件应用接着可扫描文件以确定文件是否感染了任何威胁。
因为在新威胁每日被识别,所以签名数据库将继续成长。此事实意指防病毒软件应用必须定期下载对于签名数据库的更新以保持最新且有效。
但不同的防病毒软件应用以不同的速率更新其签名数据库。此事实意味着一些防病毒软件应用能够比传统的防病毒软件应用更快地检测到某些威胁。特别是对于新识别的威胁,将新威胁增加到防病毒软件应用的速度对于保护计算机系统至关重要。
仍然需要一种方法来比较各种防病毒软件应用的性能。
附图简述
图1显示传统防病毒解决方案的细节。
图2显示改进的防病毒解决方案的细节。
图3显示在电子文件中识别出威胁的图1和图2的防病毒解决方案。
图4显示根据本发明的实施例的机器,该机器被设计为使用病毒总服务(virustotalservice)以比较图2的防病毒解决方案与图1的传统防病毒解决方案的性能。
图5显示图4的机器的附加细节。
图6显示确定图1的传统防病毒解决方案是否能够检测在图3的电子文件中的威胁的图4的病毒总服务。
图7显示图4中报告生成器的操作。
图8显示图7的报告的细节,其可使用来自图4的数据库的信息来生成。
图9a-9e显示图7的报告的替代表示方式。
图10a-10d显示根据本发明的实施例的对于使用图4的病毒总服务来比较防病毒解决方案的性能的程序的流程图。
图11显示根据本发明的实施例的如何能够在传送至图4的病毒总服务之前准备电子文件的细节。
详细描述
现在将详细地参考本发明的实施例,其示例在附图中示出。以下详细描述中,阐述了很多具体细节以实现对本发明的彻底理解。但应理解,本领域的技术人员可在没有这些具体细节的情况下实行本发明。在其他实例中,未详细说明已知的方法、程序、部件、电路及网络,以免使实施例的各方面不必要地模糊。
将理解的是,虽然在本文中使用术语第一、第二等来描述各种元件,但这些元件不应被这些术语限定。这些术语仅用于区分一个元件与另一元件。例如,在不脱离本发明的范围的情况下,第一模块可被命名为第二模块,且同样地,第二模块可被命名为第一模块。
在本文中对本发明进行描述时所使用的术语仅仅是为了描述特定的实施例,而不旨在限制本发明。如在本发明的描述和所附权利要求中所使用的,除非上下文清楚表明,否则单数形式的“一(a)”、“一(an)”、“该(the)”旨在也包括复数形式。还将理解的是,本文所用的术语“和/或”指的是并且包括一个或更多个相关联的所列项目的任一个和所有可能的组合。还将进一步理解的是,当在本说明书中使用时,术语“包括(comprises)”和/或“包括(comprising)”指明所述特征、整体、步骤、操作、要素和/或部件的存在,但不排除一个或更多个其他特征、整体、步骤、操作、要素、部件和/或其组的存在或添加。附图的部件和特征未必按比例绘制。
传统防病毒程序通过在文件中检查恶意内容来操作。更具体而言,传统防病毒程序在文件中检查已知病毒的签名。但随着病毒数量的增加,必须在文件中搜索的签名数量仅会增长。此外,尽管启发法(heuristics)提供防病毒软件开发者对未知病毒的某种程度的保护,但这种保护无法称之为完善。永远存在一种可能是新病毒可被设计为不呈现任何可被启发法检测到的特征。
图1示出了这种传统防病毒解决方案的细节。在图1中,显示了传统防病毒解决方案105。传统防病毒解决方案105可包括签名数据库110、数据库更新115、扫描仪120和隔离125。签名数据库110可储存由传统防病毒解决方案105可识别的病毒的签名。数据库更新115可以用新病毒签名更新签名数据库110。扫描仪120可扫描文件,基于签名数据库110的病毒签名以查看是否已认出的病毒可在文件中被检测出。隔离125可储存具有已认出威胁的文件,并允许用户之后尝试从该文件中移除此威胁。
新病毒每日不断涌现。一旦病毒被认出且其签名被识别,签名数据库110需被更新以反映新的威胁。这些事实导致若干有问题的结论。
首先,如果签名数据库110更新不频繁,则传统防病毒解决方案105将会过时。如果传统防病毒解决方案105变得过时,则传统防病毒解决方案105无法保护用户抵御最新的威胁。因此,用户必须确保签名数据库110尽可能频繁地更新。
其次,由于较新的威胁更有可能通过用户的防护措施,因此该较新的威胁比较旧的威胁更值得忧虑。但若因较旧的威胁更广为人知并不意味着这些威胁可被忽略:较旧的威胁对用户系统造成的破坏不亚于较新的威胁。签名数据库110无法在不对用户系统产生被成功附接的风险下消除较旧威胁的签名。因此,签名数据库110的大小仅会扩大:其大小不会缩小(在不存在数据压缩的改进的前提下)。
第三,在传统防病毒解决方案105的操作中重要一点在于,传统防病毒解决方案105只能防范已知的病毒。直到病毒被认识并且其签名被添加至签名数据库110中之前,传统防病毒解决方案105无法为用户防范该病毒。被称为零日威胁(zero-daythreats)的这种攻击是对于传统防病毒解决方案105的真正问题:其无法防范它不知道的威胁。虽然启发法针对那些尚未被签名数据库110认识的新威胁提供保护措施,但启发法并不完美。
2016年7月29日提交但目前未决的美国专利申请序列号15/223,257描述了文件在被传送至接收方之前如何被检查,其是2014年10月2日提交的美国专利申请序列号14/504,844、现为2016年12月6日发布的美国专利号9,516,045的延续案,其是2012年4月4日提交的美国专利申请序列号13/438,933、现为2014年10月21日发布的美国专利号8,869,283的延续案,其是2008年6月17日提交的美国专利号11/915,125、现为2012年5月22日发布的美国专利号8,185,954的延续案,其是2006年6月9日提出pct申请pct/gb2006/002107的国家阶段进入,上述所有皆通过引入被并入。与传统防病毒解决方案105相反,此防病毒解决方案的方法并非寻找已知病毒的签名或潜在病毒的启发法。取而代之的是,此种方法通过开发反映特定类型的文件应为什么样子的规则集合来运作。换句话说,此种方法通过识别已知其为良好的电子文件来运作,而不是识别电子文件中的恶意(“坏”)的内容。
此方法通过确定文件应该为的类型(声称的文件类型)开始。这可用多种不同方式来完成。例如,文件的扩展名通常标识为声称的文件类型:如果文件扩展名为.pdf,则该文件最有可能是使用
一旦确定了声称的文件格式,则与该文件格式相关联的规则集合可被识别。这规则集合详细指明该文件应如何被格式化及其组织内容。如果文件不符合对于声称的文件类型的规则集合,则该文件有可能包含恶意内容。
该规则集合还可详细指明在文件中的某些内容元素可能为恶意的,即使是可符合对于该文件类型的规则的内容元素。例如,microsoftword文件格式的文件可以包含宏。但宏也可能为恶意的。因此,规则集合可指明宏,即使其符合对于该文件格式的规则,但仍可被视为是潜在恶意的。
一旦文件已被检查,该文件可以被清洁(sanitised)。清洁文件涉及删除文件的不符合规则的部分,仅留下文件的符合规则的部分。请注意,如果文件的一部分不符合规则集合,则该文件作为整体不必要地被拒绝。例如,宏可从文档中删除,但该文档的文本可被允许通过。
为了进一步减少恶意内容到达接收方的风险,清洁的文件可被重新生成。重新生成文件涉及重建文件:可包括由发送方所准备的内容,以及文件的不变部分可由系统创建。例如,可以由系统生成文件的基本形式,而文件的文本和其格式可从源文件中被复制到重新生成的文件。以这种方式,可包括在文件的不变部分中的任何恶意内容可被删除。
一旦该文件已被清洁和/或重新生成,该文件可以传递至接收方。
这个系统相对于传统防病毒解决方案(诸如图1的传统防病毒解决方案105)的优点在于,没有关于产生对于其签名尚未被知晓的新病毒的担忧。由于包括恶意内容的文件将不符合与该文件类型相关联的规则,那么无论签名是否可用于检测恶意内容,恶意内容都将被阻挡。
图2显示这种改进的防病毒解决方案的细节。在图2中,防病毒解决方案205可包括文件类型辨识器210、储存装置215、扫描仪220、清洁器225和隔离125。文件类型辨识器210可识别电子文件的声称的文件类型。如上所述,文件类型辨识器210可通过检查对于声称的文件类型的文件的内容或任何其它所希望的方式,基于电子文件的扩展名进行操作。此外,文件类型辨识器210可使用各方式的组合,像是不同文件类型可以使用不同的技术来识别。
储存装置215可以储存规则集合230。对于由防病毒解决方案205认出的每个声称的文件,不同的规则集合230可被包括于储存装置215。规则集合230可定义在哪些情况下电子文件被视为合规,在哪些情况下该电子文件被视为不受威胁。
扫描仪220可根据对于电子文件的如由文件类型辨识器210所确定的声称的文件类型的规则集合230扫描电子文件。扫描仪220具有如图1的扫描仪120的类似操作目标:在电子文件中识别恶意威胁。但是,鉴于图1的传统防病毒解决方案105的扫描仪120扫描电子文件以查找来自图1的签名数据库110中的签名,图2的防病毒解决方案205的扫描仪220确定电子文件中的哪些内容符合规则集合230,而哪些内容不符合规则集合230。因为防病毒解决方案205和图1的传统防病毒解决方案105使用非常不同的原理进行操作,所以图1的传统防病毒解决方案105中的扫描仪120无法替代为在图2的防病毒解决方案205中的扫描仪220。
如果在电子文件中的任何内容被确定为不合规,也就是说,如果该电子文件中的任何内容不满足规则集合230(不论是单一规则,或是规则集合230的子集合,这取决于规则集合230如何被定义),则不合规的内容可从电子文件中被清洁。例如,对于microsoftword文档,在规则集合230中的一条规则可以是“不允许宏”。当发现特定电子文件包括宏时,宏本身可被视为不合规的内容,而电子文件的其余部分可被认为是合规的内容。清洁器225可通过从电子文件中移除不合规的内容来清洁电子文件,同时保留符合规则的内容。作为清洁器225的替代或额外方案,防病毒解决方案205可包括再生器(regenerator)(图2中未示出),其可重新生成电子文件。重新生成电子文件可涉及构建与原始文件相同(合规的)内容的新文件,但“重头开始”建立而非通过修改原始电子文件。重新生成在一些情况下可能是有用的:例如,移除不合规的内容可能使原始电子文件位于潜在不稳定的状态中,或者当其难以确定合规的内容在哪里结束而不合规的内容在哪里开始时,或者当电子文件将于重建中受益时。例如,一些文件类型定义对于文件的被期望以特定顺序发现的节段或不包括不必要的节段。移除不符合的内容可能使文件节段顺序错误,也可能使不必要的文件节段留在原处。在另一方面中,重新生成电子文件会产生稳定性可被预期的电子文件。
隔离125(如图1的隔离125)可储存已识别威胁的文件,以允许用户之后尝试从文件中移除该威胁,且该文件不能由清洁器225清洁。
图3显示在电子文件中识别威胁的图2的防病毒解决方案205和图1的防病毒解决方案105。如上所述,图2的防病毒解决方案205以高水平执行类似于图1的防病毒解决方案105的功能,尽管两种解决方案使用不同的内部操作。给定电子文件305,防病毒解决方案205和105可扫描电子文件305,以确定威胁310是否存在。问题在于各个防病毒解决方案205和105可在何时识别出在电子文件305中的威胁310(或者它们是否能检测到电子文件305中的威胁310)。
返回到图2,与图1的传统防病毒解决方案105相比,防病毒解决方案205具有若干技术优点。首先,仅需的更新是规则集合230,且仅当这些规则发生变化时才需更新。由于规则集合230定义合规的内容,而非识别恶意的威胁,因此规则集合230仅当关于特定文件格式的规则有变化时才需更新。此变化可能会发生在当使用该文件类型的应用程序的新版本发行时,或是可能当应用历经至少一次更新时。但此些变化相对不频繁地发生,这意指防病毒解决方案205不需频繁地更新规则集合230,以避免防病毒解决方案205过时。
第二,因为更新规则集合230的发生相对不频繁(与对图1的签名数据库110的更新相比),储存规则集合230所需的空间不随时间大幅成长。此外,较旧的规则集合230可被删除并释放不必要的储存。例如,如果用户从应用的一个版本升级至另一版本且此应用的新版本使用不同文件格式时,控制较旧文件格式的规则集合可能并不需要(例如,此应用的新版本可能无法读取这些文件)。在此情况下,较旧的规则集合无需被保留。删除较旧的规则集合不会削弱系统的安全性。删除较旧的规则集合意味着之前被视为合规的某些文本将不再被认可,从而增强安全性(且使用较旧文件类型的新接收的文件将被视为不合规的,防止使用较旧文件类型的恶意内容的渗透)。
最后,与图1的传统防病毒解决方案105不同的是,防病毒解决方案205可阻挡零日威胁。零日威胁将显示为在图3的电子文件305中的不合规的内容。由于不合规的内容被检测且阻挡,因此零日威胁将被阻止影响用户的系统。先前未被识别出的威胁或其签名未确定的事实将变得无关紧要。
但是,尽管防病毒解决方案205可检测和阻止零日威胁,但与图1的传统防病毒解决方案105相比防病毒解决方案205优越并不明显。不管此声明的真实性如何,其对于零售商似乎像是利己的,声称防病毒解决方案205比图1的传统防病毒解决方案105更好,能检测和阻止零日威胁,却没有任何证据来支持这种说法。对顾客而言在没有证据支持断言的情况下断言防病毒解决方案205能够阻挡传统防病毒解决方案无法检测到的零日威胁并非易事。
图4显示根据本发明的实施例的机器,该机器被设计为使用病毒总服务以比较图2的防病毒解决方案205与图1的传统防病毒解决方案105的性能。在图4中,显示机器405。机器405可以是任何所期望的机器,包括但不限于桌面计算机或膝上型计算机、服务器(无论是独立的服务器或机架式服务器)、或可从本发明实施例中受益的任何其他装置。机器405还可包括专用便携式计算装置、平板计算机、智能型手机和其他计算装置。机器405可运行任何期望的应用:数据库应用是很好的示例,但本发明实施例可延伸至任何期望的应用。
机器405与其具体形式无关,其可包括处理器410、存储器415和储存装置420。处理器410可以是任何种类的处理器,例如:intelxeon、celeron、itanium、或atom处理器、amdopteron处理器、arm处理器等等。虽然图4显示单个处理器,但机器405可包括任意数量的处理器或多核处理器。存储器415可以是任何种类的存储器,诸如闪存,静态随机存取存储器(sram)、持久性随机存取存储器、铁电随机存取存储器(fram)、或非易失性随机存取存储器(nvram),诸如磁阻式随机存取存储器(mram)等,但通常是dram。存储器415也可以是不同的存储器类型的任何期望组合。存储器415可通过存储器控制器425控制,也为机器405的一部分。
储存装置420可以是任何种类的储存装置,诸如硬盘驱动器、固态驱动器(ssd)、或任何其他种类的储存装置。储存装置420可由适合储存装置类型的设备驱动器430来控制,并且其可以驻留于存储器415中。
为支持本发明的操作,本发明实施例可使机器405连接至病毒总服务435。病毒总服务435可以针对图1的各种传统防病毒解决方案105来测试图3的电子文件305,以确定传统防病毒解决方案中的哪些(如果有的话)能够检测图3的电子文件305中的威胁。病毒总服务435参考在下方的图6进一步进行描述。病毒总服务435可以是包括在机器405内的部件,或者可经由来自直接连接至机器405的第二机器的连接可存取,或经由网络(未在第4图中示出)可存取。
机器405还可包括防病毒解决方案205、接收器440、数据库445和报告生成器450。防病毒解决方案205可以如上所述,具有确定图3的电子文件305是否符合图2的规则集合230的能力。接收器440可接收来自来源的电子文件,该文件可被递送至防病毒解决方案205。另外或替代地,接收器440可从防病毒解决方案205接收图3的电子文件305,用于利用病毒总服务435进行测试(例如,当机器405并非为安装防病毒解决方案205的机器)。在其中病毒总服务435仅连接至机器405且不为机器405的一部分的情况下,机器405也可包括发送器(图4中未示出)以发送图3的电子文件305至病毒总服务435。数据库445可储存从病毒总服务435接收的信息,这些信息关于图1的各种传统防病毒解决方案105对抗图3的电子文件305的性能。报告生成器450可以从数据库445取得信息并生成报告提供给客户或营销人员,并比较防病毒解决方案205与图1的传统防病毒解决方案105的性能。
包括处理器410、存储器415、储存装置420、储存器控制器425、设备驱动器430、接收器440、数据库445及报告生成器450的机器405连同连接至病毒总服务435的连接构成威胁情报云。此外,这些部件的子集可满足本发明实施例,或者可根据适当的需求增加额外的部件。例如,如果无需储存来自病毒总服务435的信息,则数据库445可以被省略,或是如果病毒总服务435包含于机器405的一部分,则接收器440可以被省略。
图5显示图4的机器405的附加细节。参考图5,一般来说,机器405可包括一个或更多个处理器410,其可包括存储器控制器425和时钟505,该存储器控制器和时钟可用来协调机器405的部件的运作。例如,处理器410也可耦接于存储器415,该存储器415可包括随机存取存储器(ram)、只读存储器(rom)、或其它状态保存介质。处理器410还可耦接至储存装置420和网络连接器510,举例而言,其可以是以太网连接器或无线连接器。处理器410也可连接到总线515,用户接口520和输入/输出接口端口可附接到该总线,该用户接口和输入/输出接口端口除了其他部件之外可使用输入/输出引擎525进行管理。
图6显示了确定图1的传统防病毒解决方案105是否能检测图3的电子文件305中的威胁的图4的病毒总服务435。在图6中,病毒总服务435可接收电子文件305。病毒总服务435可安排电子文件305由每一传统防病毒解决方案105-1至105-n进行扫描。传统防病毒解决方案105-1至105-n中的每一个可以是不同的防病毒解决方案,从而实现图4的防病毒解决方案205与任意数量的传统防病毒解决方案105-1到105-n的比较。因此,传统防病毒解决方案105-1至105-n中的每一个可能够在不同时间处检测在电子文件305中的威胁(取决于对传统防病毒解决方案105-1至105-n的更新何时增加了对可疑威胁的签名)。例如,在图6中所示的时间点处,传统防病毒解决方案105-1及105-n能够检测到威胁310,但是传统防病毒解决方案105-2无法检测到威胁310。
因为传统防病毒解决方案105-1至105-n也许能在不同更新后检测到威胁310(如果有的话:这是可能的,然而可能性不大,例如,传统防病毒解决方案105-2可能永远不会接收到将使传统防病毒解决方案105-2能够检测到威胁310的更新),只是针对传统防病毒解决方案105-1至105-n测试电子文件305一次可能不足以确定图4的防病毒解决方案205多优越。换句话说,其能够帮助了解各种传统防病毒解决方案检测威胁310所需多长的时间。因此,在本发明的一些实施例中,病毒总服务435可以针对传统防病毒解决方案105-1至105-n多次测试电子文件305。病毒总服务435可如预期般多次或以任何预期的间隔(如每天一次)针对传统防病毒解决方案105-1至105-n测试电子文件305。
如果病毒总服务435反复不停针对传统防病毒解决方案105-1至105-n测试电子文件305,则病毒总服务435最终将结束于提供过量的信息。例如,一旦每个传统防病毒解决方案105-1至105-n可成功检测出在电子文件305中的威胁310,则没有必要重新测试电子文件305(虽然确实存在较新的更新可能停止一个或更多个传统防病毒解决方案105-1至105-n检测在电子文件305中的威胁310的可能性)。在某个时间点处,即使一个或更多个传统防病毒解决方案105-1至105-n仍然无法检测到在电子文件305中的威胁310,但这些信息也会变成旧消息。因此,在本发明的一些实施例中,病毒总服务435可在某个时间窗口期间针对传统防病毒解决方案105-1至105-n测试电子文件305,其后病毒总服务435可停止测试电子文件305。
如图6中的隔离中所示,病毒总服务435似乎仅测试电子文件305。但实际上,病毒总服务435可以针对传统防病毒解决方案105-1至105-n测试任意数量的电子文件。每个电子文件基于病毒总服务145首次接收到电子文件的日期可有不同的测试窗口。另外,本发明实施例可支持对于不同电子文件的不同窗口。
在针对传统防病毒解决方案105-1至105-n测试电子文件305之后,病毒总服务435可发送信息605至数据库445。以此种方式,图4的报告生成器450可生成关于电子文件305的适当的报告。
图7显示图4的报告生成器450的操作。在图7中,报告生成器450可从数据库445中访问图6的信息605。报告生成器450接着可将图6的信息605转成报告705,其可以以任何所预期的方式使用。例如,报告705可提供给顾客以显示图4的防病毒解决方案205与图6的传统防病毒解决方案105-1至105-n相比有多优越。或者,报告705可用以推销图4的防病毒解决方案205。
图8显示图7的报告705的细节,其可使用来自图4的数据库445的、图6的信息605生成。图8是示例报告:也可能为其他报告。
在图8中,报告705被显示为包括多个列。这些列包括文件名805、初始扫描日期810、多个后续日期815-1至815-5,以及威胁描述310。报告705还显示多个行820-1至820-5的信息。每个行820-1至820-5可描述由图4的防病毒解决方案205处理并随后提交给图6的病毒总服务435,以针对图4的传统防病毒解决方案105-1至105-n进行测试的特定文件。例如,行820-1表示名为“invoice1.doc”的文件初始扫描时间为2017年4月26日。此外,当在2017年4月26日(“t+0”,意思是初始扫描后的第零天)针对图4的传统防病毒解决方案105-1至105-n进行测试时,只有20%的传统防病毒解决方案105-1至105-n能够检测到威胁“w97m/downloader.axu”。该百分比分别在2017年4月26日的初始扫描后第1、3、7、和30天后提高至23.3%、30.5%、45.4%及50.8%。
请注意,行820-2至820-5不显示列815-5中的任何信息。例如,此事实可以指出在初始扫描后的第30天没有扫描。例如,如果当前日期是2017年5月26日,那么当前日期将不会是行820-2至820-5中显示的文件的初始扫描日期后的30天。
请注意,报告705包括列文件名805。文件名可被视为个人可识别信息(pii)。在本发明的一些实施例中,顾客可能想防止pii的释出。为此,电子文件可被“擦除”,以删除任何pii。例如,电子文件内的任何信息(包括内容、隐藏内容和元数据)可被“擦除”以删除pii,且该文件可被分配随机生成的不同名称。或者,原始的电子文件可能根本不提供给图4的病毒总服务435,而是该电子文件的哈希值(hash)可被提供至图4的病毒总服务435。假如哈希值仍允许传统防病毒解决方案105-1至105-n(或至少传统防病毒解决方案105-1至105-n的子集)成功对该哈希值扫描对于该威胁的签名,则根本无需将该原始电子文件提供给病毒总服务435。哈希值可使用任何预期的哈希算法来生成。
虽然图8显示了比较图4的防病毒解决方案205与图6的传统防病毒解决方案105-1至105-n的性能的表格的报告705,但报告705可采取其它形式。图9a-9e显示了图7的报告705的一些替代表示方式。
在图9a中,显示表格905。表格905显示多个发送人及包括在由那些发送人所发送电子文件中的病毒(或其他威胁)的数量。这些发送人可以是发送源自顾客网站的电子文件的人,或者其他适当的发送人。表格905可显示关于任何数量的发送人的信息:该表格905显示的关于三个发件人的信息仅仅是示例性的。
在图第9b中,显示折线图910。折线图910示出两条线915和920,指示从两个不同来源随时间接收多少威胁。折线图910可显示关于任何数量来源的信息:该折线图910示出关于两个来源的信息仅仅是示例性的。请注意,如果需要,图例可被包括在折线图910中,或者当来源身份被认为是pii时图例也可被省略。
请注意,折线图910和图9a的表格905是呈现类似信息的替代方式,并且是可互换的:关于从不同来源中接收多少威胁的信息可使用如图9a的表格905来呈现,而有关多少威胁被传送的信息可使用如折线图910的折线图来呈现。
在图9c中,显示折线图925。折线图925示出三条线930、935和940,指示随时间接收到多少任何特定类型的威胁。例如,线930可显示接收到多少在宏中的威胁,线935可显示接收到多少在嵌入文件中的威胁,而线940可显示接收到多少在javascript中的威胁。折线图925可显示关于任何数量威胁类型的信息:折线图925显示关于三种威胁类型的信息仅仅是示例性的。可包括在折线图925内的其他类型的威胁包含在adobeacrobat形式中的异常的图像和威胁。(acrobat是在美国和/或其他国家adobesystemsincorporated的商标或注册商标)。
在图9d中,显示直方图945。直方图945基于电子文件的类型显示有多少电子文件包括威胁。直方图945可显示关于任何数量文件类型的信息:直方图945显示关于六种文件类型的信息仅仅是示例性的。
在图9e中,显示饼形图950。饼形图950显示电子文件由图4的防病毒解决方案205处理的结果。例如,扇形部分955可指出10个电子文件已被清洁,扇形部分960可指出10个电子文件已被隔离,以及扇形部分965可指出100个电子文件遵从适合电子文件的文件类型的文件集合(因此其无需任何清洁或隔离)。饼形图950还可包括表格970,其显示扇形部分955、960和965中的每一个中所代表的文件数量。饼状图950可显示关于任何数量文件的信息,并且可包括任何数量的扇形部分:该饼状图950显示关于在3个扇形部分中约120个总文件的信息仅仅是示例性的。
图10a-10d显示根据本发明的实施例的用于使用图4的病毒总服务435来比较防病毒解决方案的性能的程序的流程图。在图10a中,在块1005处,图4的防病毒解决方案205可接收图3的电子文件305。在块1010处,图4的防病毒解决方案205可扫描图3的电子文件305。在块1015处,图2的文件类型辨识器210可确定对于图3的电子文件305的声称的文件类型。在块1020处,图4的防病毒解决方案205可识别图2的文件集合230。
在(图10b的)块1025处,图2的扫描仪220可确定图3的电子文件305是否符合图2的规则集合230。如果图3的电子文件305符合图2的规则集合230,则在块1030处,图4的防病毒205可确定图3的电子文件305是否免于威胁。否则,在块1035处,图2的扫描仪220可基于图3的电子文件305不符合图2的规则集合230的情况而识别出图3的威胁310。
无论图3的电子文件305是否免于威胁,在(图10c的)块1040处,图4的接收器440可接收图3的电子文件305。在块1045处,图4的病毒总服务435可以针对图4的传统防病毒解决方案105-1至105-n测试图3的电子文件305。块1045可超过一次且根据预期/必要尽可能多次的执行,如虚线1050所示。在块1055处,图4的病毒总服务435可确定传统防病毒解决方案105-1至105-n中的哪些能够检测图3的电子文件305中的图3的威胁310。在块1060处,图4的病毒总服务435可确定传统防病毒解决方案105-1至105-n中的每一个何时检测到图3的电子文件305中的图3的威胁310。
在(图10d的)块1065处,数据库445可储存图6的信息605。图6的信息605可包括传统防病毒解决方案105-1至105-n中哪些可检测到图3的电子文件305中图3的威胁310,且传统防病毒解决方案105-1至105-n何时检测到图3的电子文件305中图3的威胁310。在块1070处,图4的报告生成器450可从储存在图4的数据库445中的图6的信息605中生成图7的报告705。在块1075处,报告705可被传递至顾客,和/或在块1080处,报告705可用于营销图4的防病毒解决方案205。
图11显示根据本发明的实施例的如何能够在传送至图4的病毒总服务435前准备电子文件1205的细节。在图11中,在块1105处,pii可从图3的电子文件305中移除。在块1110处,哈希值可从图3的电子文件305中生成。块1105和1110可依需要省略,分别由虚线1115和1120所示。
在图10a-11中,显示本发明的一些实施例。但本领域的技术人员将会认识到,通过改变块的顺序、通过省略块,或通过包括未示于图中的连结,本发明的其它实施例也可能存在。流程图的所有这些变形不论是否被明确描述都可被认为是本发明的实施例。
以下讨论意图提供对合适机器或多个机器的简要通用描述,本发明的某些方面可以在所述合适机器中实现。该机器或多个机器可以至少部分地通过来自传统的输入设备(像是键盘、鼠标等)的输入进行控制,以及通过从另一机器接收的与虚拟现实(vr)环境、生物特征反馈、或其它输入信号的交互的指示进行控制。如本文中所使用的,术语“机器”意在广泛地包括单个机器、虚拟机,或将在通信上耦合的机器、虚拟机或在一起操作的装置的系统。示例性机器包括计算装置,像是个人计算机、工作站、服务器、便携计算机、手持装置、电话、平板计算机等,也包括运输设备,例如私人或公共运输工具,例如,汽车、火车、出租车等。
单个机器或多个机器可包括嵌入式控制器,例如可编程或不可编程逻辑设备或阵列,专用集成电路(asic)、嵌入式计算机、智能卡等。这些单个机器或多个机器可利用一个或更多个连接来连接到一个或更多个远程机器,诸如通过网络接口、调制解调器、或其它通信耦合。机器也可通过物理和/或逻辑网络的方式进行互连,像是内联网、因特网、局域网、广域网等。本领域的技术人员将认识到,网络通信可利用各种有线和/或无线的短程或远程载波和协议,包括射频(rf)、卫星、微波、电气和电子工程师协会(ieee)802.11、蓝牙、光学、红外线、电缆、激光等。
本发明的实施例可通过参考或结合包括功能、过程、数据结构、应用程序等的相关联数据进行描述,当上述数据由机器存取时会导致机器执行任务或限定抽象数据类型或低水平的硬件上下文。相关联数据可储存于如易失性和/或非易失性存储器,例如,ram、rom等,或其它储存装置及其相关联的储存介质,包括硬盘、软盘、光学储存装置、磁带、闪存、记忆棒、数字视频光盘、生物储存器等。相关联数据可通过传输环境(包括物理和/或逻辑网络)以分组、串行数据、并行数据、传播信号的形式来进行传送,并且可以以压缩或加密的格式来使用。相关联数据可以在分布式环境中使用及本地和/或远程储存以供机器存取。
本发明的实施例可包括有形、非暂时性机器可读介质,其包括一个或更多个处理器可执行的指令,这些指令包含执行如本文所述的本发明的元件的指令。
已参照所示实施例描述和说明本发明的原理,将认识到,所示实施例可在不脱离这些原理的布置和细节方面进行修改,并且可以所期望的方式组合。并且,尽管上述讨论已关注特定的实施例,但其它配置是可预期的。特别地,尽管像是“根据本发明的实施例”等的表述在本文中使用,但这些措辞通常意指参考实施例的可能性,并非旨在将本发明限制于特定实施例的配置。如本文所使用的,这些术语可引用组合到其它实施例中的相同或不同的实施例。
上述说明性的实施例不应被解释为限制本发明。虽然几个实施例已被描述,但本领域的技术人员将易认识到在实质上不脱离本公开的新颖教示和优点下实施例可能作许多修改。因此,所有这样的修改都应被包括在如权利要求所限定的本发明的范围内。
本发明的实施例可无限制的延伸到下面的声明:
声明1.本发明的实施例包括威胁情报云,包括:
机器;
在机器上的接收器,该接收器操作以接收包括由第一防病毒解决方案所检测到的威胁的电子文件;
病毒总服务,其用于响应于电子文件从多个传统防病毒解决方案中确定信息;
数据库,其用于储存来自病毒总服务的信息;以及
报告生成器,其用于响应于电子文件和来自病毒总服务的信息来生成报告。
声明2.本发明的实施例包括根据声明1的威胁情报云,其中,第一防病毒解决方案识别威胁为未知是否良好。
声明3.本发明的实施例包括根据声明2的威胁情报云,其中,第一防病毒解决方案包括:
文件类型辨识器,其用于确定对于电子文件的声称的文件类型;
储存装置,其用于声称的文件类型的规则集合;以及
扫描仪,其用于确定电子文件是否符合规则集合。
声明4.本发明的实施例包括根据声明1的威胁情报云,其中,威胁情报云操作以使用病毒总服务响应于电子文件多次从多个传统防病毒解决方案中确定信息。
声明5.本发明的实施例包括根据声明4的威胁情报云,其中,威胁情报云操作以使用病毒总服务在窗口内响应于电子文件多次从多个传统防病毒解决方案中确定信息。
声明6.本发明的实施例包括根据声明4的威胁情报云,其中,威胁情报云操作以使用病毒总服务一天一次响应于电子文件从多个传统防病毒解决方案中确定信息。
声明7.本发明的实施例包括根据声明1的威胁情报云,其中,信息包括多个传统防病毒解决方案中的哪一个检测到在电子文件中的威胁。
声明8.本发明的实施例包括根据声明7的威胁情报云,其中,信息还包括多个传统防病毒解决方案中的每一个检测到在电子文件中的威胁的多个日期。
声明9.本发明的实施例包括根据声明1的威胁情报云,其中,电子文件不包括任何个人可识别信息(pii)。
声明10.本发明的实施例包括根据声明1的威胁情报云,其中,电子文件包括电子文件的哈希值。
声明11.本发明的实施例包括根据声明1的威胁情报云,其中,报告被设计成用于营销第一防病毒解决方案。
声明12.本发明的实施例包括根据声明1的威胁情报云,其中,报告被设计以显示给顾客第一防病毒解决方案与传统防病毒解决方案的比较结果。
声明13.本发明的实施例包括一种方法,包括:
在威胁情报云处接收电子文件,所述电子文件包括由第一防病毒解决方案所检测到的威胁;
通过威胁情报云针对多个传统防病毒解决方案测试电子文件;
确定在多个传统防病毒解决方案之中,哪些识别到在电子文件中的威胁;以及
生成比较第一防病毒解决方案和多个传统防病毒解决方案何时识别出在电子文件内的威胁的报告。
声明14.本发明的实施例包括根据声明13的方法,其中,第一防病毒解决方案识别威胁为未知是否良好。
声明15.本发明的实施例包括根据声明14的方法,还包括:
通过第一防病毒解决方案扫描电子文件;
确定电子文件的声称的文件类型;
识别指明何时电子文件符合声称的文件类型的规则集合;以及
识别威胁为不满足指明何时电子文件符合声称的文件类型的规则集合。
声明16.本发明的实施例包括根据声明13的方法,其中,通过威胁情报云针对多个传统防病毒解决方案测试电子文件包括:通过威胁情报云多次针对多个传统防病毒解决方案测试电子文件。
声明17.本发明的实施例包括根据声明16的方法,其中,通过威胁情报云多次针对多个传统防病毒解决方案测试电子文件包括:通过威胁情报云在窗口内多次针对多个传统防病毒解决方案测试电子文件。
声明18.本发明的实施例包括根据声明16的方法,其中,通过威胁情报云多次针对多个传统防病毒解决方案测试电子文件包括:通过威胁情报云一天一次针对多个传统防病毒解决方案测试电子文件。
声明19.本发明的实施例包括根据声明16的方法,其中,确定多个传统防病毒解决方案之中,哪些识别到在电子文件中的威胁包括:识别多个传统防病毒解决方案中的每一个何时首先检测到在电子文件中的威胁。
声明20.本发明的实施例包括根据声明13的方法,其中,电子文件(305)不包括任何个人可识别信息(pii)。
声明21.本发明的实施例包括根据声明20的方法,其中,在电子文件被威胁情报云接收前,从电子文件中移除pii。
声明22.本发明的实施例包括根据声明13的方法,其中,在威胁情报云处接收电子文件包括在威胁情报云处接收电子文件的哈希值。
声明23.本发明的实施例包括根据声明13的方法,其中:
确定多个传统防病毒解决方案之中哪些识别到在电子文件中的威胁包括:在数据库中储存在多个传统防病毒解决方案之中哪些识别到电子文件中的威胁;以及
生成比较第一防病毒解决方案和多个传统防病毒解决方案何时识别到在电子文件内的威胁的报告包括基于数据库生成报告。
声明24.本发明的实施例包括根据声明13的方法,其中:
报告显示出在多个传统防病毒解决方案中的至少一个之前第一防病毒解决方案检测到电子文件中的威胁;以及
该方法还包括转发报告至顾客。
声明25.本发明的实施例包括根据声明13的方法,还包括使用报告来营销第一防病毒解决方案。
声明26.本发明的实施例包括物品,其包括非暂时性储存介质,该非暂时性储存介质具有储存于其上的指令,当该指令由机器执行时,导致:
在威胁情报云处接收电子文件,该电子文件包括由第一防病毒解决方案所检测到的威胁;
通过威胁情报云针对多个传统防病毒解决方案测试电子文件;
确定在多个传统防病毒解决方案之中哪些识别到在电子文件中的威胁;以及
生成比较第一防病毒解决方案和多个传统防病毒解决方案何时识别到在电子文件内的威胁的报告。
声明27.本发明的实施例包括根据声明26的物品,其中,第一防病毒解决方案识别威胁为未知是否良好。
声明28.本发明的实施例包括根据声明27的物品,非暂时性储存介质具有储存于其上的进一步指令,当由上述机器执行该进一步指令时,导致:
通过第一防病毒解决方案扫描电子文件;
确定电子文件的声称的文件类型;
识别指明电子文件何时符合声称的文件类型的规则集合;以及
识别威胁为不满足指明电子文件何时符合声称的文件类型的规则集合。
声明29.本发明的实施例包括根据声明26的物品,其中,通过威胁情报云针对多个传统防病毒解决方案测试电子文件包括:通过威胁情报云多次针对多个传统防病毒解决方案测试电子文件。
声明30.本发明的实施例包括根据声明29的物品,其中,通过威胁情报云多次针对多个传统防病毒解决方案测试电子文件包括通过威胁情报云在窗口内多次针对多个传统防病毒解决方案测试电子文件。
声明31.本发明的实施例包括根据声明29的物品,其中,通过威胁情报云多次针对多个传统防病毒解决方案测试电子文件包括通过威胁情报云一天一次针对多个传统防病毒解决方案测试电子文件。
声明32.本发明的实施例包括根据声明29的物品,其中,确定多个传统防病毒解决方案之中哪些识别到在电子文件中的威胁包括:识别多个传统防病毒解决方案中的每一个何时首先检测到在电子文件中的威胁。
声明33.本发明的实施例包括根据声明26的物品,其中,电子文件(305)不包括任何个人可识别信息(pii)。
声明34.本发明的实施例包括根据声明33的物品,其中,在电子文件被威胁情报云接收前,从电子文件中移除pii。
声明35.本发明的实施例包括根据声明26的物品,其中,在威胁情报云处接收电子文件包括在威胁情报云处接收电子文件的哈希值。
声明36.本发明的实施例包括根据声明26的物品,其中:
确定在多个传统防病毒解决方案之中哪些识别到在电子文件中的威胁包括:在数据库中储存在多个传统防病毒解决方案之中那些识别电子文件中的威胁;以及
生成比较第一防病毒解决方案和多个传统防病毒解决方案何时识别到在电子文件内的威胁的报告包括基于数据库生成报告。
声明37.本发明的实施例包括根据声明26的物品,其中:
报告显示出在多个传统防病毒解决方案的至少一个之前第一防病毒解决方案检测到电子文件中的威胁;以及
非暂时性储存介质具有储存于其上的进一步指令,当由机器执行时,导致转发报告至顾客。
声明38.本发明的实施例包括根据声明26的物品,该非暂时性储存介质具有储存于其上的指令,当指令由机器执行时,导致使用报告来营销第一防病毒解决方案。
因此,鉴于对本文描述的实施例存在着各式各样的排列,该详细描述和所附材料仅作为说明性的,并不应被认为是限制本发明的范围。因此,本发明所要求保护的内容是可落入权利要求及其等价形式的范围和精神内的所有这种修改。
- 还没有人留言评论。精彩留言会获得点赞!