用于对从网络下载的数据进行反病毒扫描的系统及方法

专利名称：用于对从网络下载的数据进行反病毒扫描的系统及方法
技术领域：
本发明总体上涉及信息系统及其相关方法，且更具体地，涉及用于在安全服务器上对从网络下载的数据进行反病毒扫描的计算机安全配置和技术。
背景技术：
借助于包括互联网的网络技术的迅速发展，PC用户可以访问持续增长的大量信息以及有用的或娱乐性节目和其他数字内容并将其下载到他们的计算机。遗憾的是，随着互联网继续增长，经由互联网分布的恶意软件的数量和质量也会随之增长。利用恶意软件的黑客或攻击者可以追求达到不同目的，例如，从恶作剧和老一套流氓行为到诸如从银行账户盗取资金这样的严重的网络犯罪。特别关注的一个方面是恶意软件在企业网络中的扩散传播问题。企业网络中计算机受到感染不仅会由于不能正常工作而对用户的士气造成不利影响，而且还会由于与设置或修复受感染PC相关导致的材料成本而对公司的盈亏一览结算线(bottom line)造成不利影响。最为关注的又一方面是属于公司或属于公司客户的机密数据受到恶意软件威胁的风险问题。据此，在针对恶意软件进行保护方面已经且将继续投入更多努力。现今，对于文件的反病毒扫描和剔除，包括在远程计算机或者诸如代理服务器或网关这样的服务器上执行这些动作，已知有许多不同的方法。然而，与这些方法相关的一个难题是需要平衡反病毒扫描的彻底性和通过恶意软件筛查代理服务器而将所请求的内容传送给用户的相关时延。例如，公开号为 2008/0301796的美国专利申请披露了基于诸如内容类型、内容的安全区域、客户机程序或内容的感染历史以及威胁级别这样的各种指标(indicium)来调整代理服务器上的反病毒扫描的范围。当根据此方法可以缩小反病毒扫描范围时，可以减小的延迟将用户所请求的内容传送给用户。尽管此方法或者类似的方法在适当的情况下可能提供范围缩小的反病毒筛查(因此，更快的内容传送)，但是对于应当如何分析各种指标来提供对反病毒筛查方法有效且适当的选择，仍留有亟待解决的问题。除此以外，缩小恶意软件筛查范围以便加速内容传送的方法还会造成在范围缩小的扫描中不能检测出恶意软件的风险。鉴于这些和其他难题，需要一种用于精简代理服务器上的反病毒筛查的改进方法。

发明内容
本发明的一个方面目的在于通过代理服务器对从网络下载到PC工作站上的反病毒扫描。通过基于所确定的下载数据包含恶意代码的总体可能性来为每个扫描选择算法， 可以为该扫描优化所述反病毒扫描。因此，在一类实施例中，一种由计算机实现的、用于促进目的地计算机系统和数据源之间通过网络的数据传送的装置包括中间计算机系统(包括与数据存储电路和被通信连接至计算机网络的网络接口电路可操作地连接的处理器电路)，所述中间计算机系统经配置用以实现数据接收模块、数据传送模块、反病毒模块和数据分析模块。所述接收模块适于，经由所述网络接口电路获得数据项，所述数据项是将要响应于所述目的地计算机系统的请求而从所述数据源接收的。所述数据传送模块适于经由所述网络接口电路而将所述数据项有条件地传送至所述目的地计算机系统，其中，所述数据项的传送以安全评估的结果为条件。所述反病毒模块适于，根据多个恶意检测技术中可选择的检测技术来对所述数据项执行所述安全评估，其中，所述多个恶意软件检测技术包括至少一个计算上相对较容易的技术和至少一个计算上相对较难的技术。所述数据分析模块适于收集表示与所述数据项有关的恶意软件风险的各种指标的多个参数、以及收集与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息。此外，所述数据分析模块适于基于所述多个参数和所述统计信息，来计算所述数据项受到恶意软件感染的总体风险概率。所述总体风险概率的计算大体在计算上比所述至少一个在计算上相对较容易的恶意软件检测技术更容易。所述反病毒模块进一步适于，基于所述总体风险概率，从所述多个恶意软件检测技术当中选择性应用至少一个恶意软件检测技术，使得所述选择性应用的至少一个恶意软件检测技术具有大体与所述总体风险概率相对应的计算难度。所述数据分析模块进一步适于，对与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的所述统计信息加以分析，如果所述统计信息满足预定可信度标准，则调用至少一个优先规则，所述规则不理会所述总体风险概率而强迫执行特定的恶意软件检测技术。在本发明的另一方面中，一种由计算机实现的、用于促进目的地计算机系统和数据源之间通过网络的数据传送的装置包括中间计算机系统，所述中间计算机系统经配置用以实现数据接收模块、数据传送模块、反病毒模块和数据分析模块。所述接收模块适于，经由所述网络接口电路获得数据项，所述数据项是将要响应于所述目的地计算机系统的请求而从所述数据源接收的。所述数据传送模块适于经由所述网络接口电路而将所述数据项有条件地传送至所述目的地计算机系统，其中，所述数据项的传送以安全评估的结果为条件。所述反病毒模块适于执行所述数据项的所述安全评估；并且数据分析模块适于追踪所述数据项的特定于目的地的历史以及该数据项的安全评估结果，并且对所述特定于目的地的历史和与同一数据项有关的随后的安全评估结果进行比较，响应于表明所述安全评估过去失效的比较结果，而提供将要传送给所述目的地计算机系统的校正措施指令，用于解决所述过去失效。在本发明的又一方面中，一种由计算机实现的、用于促进目的地计算机系统和数据源之间通过网络的数据传送的装置中间计算机系统，所述中间计算机系统经配置用以实现数据接收模块，适于经由所述网络接口电路获得数据项，所述数据项是将要响应于所述目的地计算机系统的请求而从所述数据源接收的；数据传送模块，适于经由所述网络接口电路而将所述数据项有条件地传送至所述目的地计算机系统，其中，所述数据项的传送以安全评估的结果为条件；反病毒模块，适于根据多个恶意检测技术中可选的技术来对所述数据项执行所述安全评估，其中，所述多个恶意软件检测技术包括至少一个计算上相对较容易的技术和至少一个计算上相对较难的技术；和数据分析模块，适于收集表示与所述数据项有关的恶意软件风险的各种指标的多个参数、收集与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息、以及基于所述多个参数和所述统计信息，来计算所述数据项受到恶意软件感染的总体风险概率，其中，所述总体风险概率的计算大体在计算上比所述至少一个在计算上相对较容易的恶意软件检测技术容易。所述反病毒模块进一步适于，基于所述总体风险概率，从所述多个恶意软件检测技术当中选择性应用至少一个恶意软件检测技术，使得所述选择性应用的至少一个恶意软件检测技术具有大体对应于所述总体风险概率的计算难度。当所述总体风险概率很低时， 所述反病毒模块适于根据可调整的采样间隔而基于采样选择性应用恶意软件技术。在本发明的再一方面中，提供一种方法，用于对被请求从数据源下载到目的计算机的数据项进行自动筛查。所述方法包括
根据多个恶意软件检测技术中可选择的检测技术，来对所述数据项进行安全评估，其中，所述多个恶意软件检测技术包括至少一个在计算上相对较容易的技术以及至少一个在计算上相对较难的技术；
收集表示与所述数据项有关的恶意软件风险的各种指标的多个参数； 收集与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息；
以及
基于所述多个参数和所述统计信息，来计算所述数据项受到恶意软件感染的总体风险概率，其中，所述总体风险概率的计算大体在计算上比所述至少一个在计算上相对较容易的恶意软件检测技术更容易；
基于所述总体风险概率，从所述多个恶意软件检测技术当中选择性应用至少一个恶意软件检测技术，其中，所述至少一个恶意软件检测技术具有大体与所述总体风险概率相对应的计算难度；以及
对与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的所述统计信息加以分析，如果所述统计信息满足预定可信度标准，则调用至少一个优先规则，所述规则不理会所述总体风险概率而强迫执行特定的恶意软件检测技术。本发明的各个方面允许更为有效的数据项恶意软件筛查以及更快的下载，而无须在安全性上做出实质性让步。因而可以改善用户体验。大量其他优点将通过下面对优选实施例的详细描述而变得清楚。


通过考虑下面结合附图对本发明各种实施例的详细描述，本发明可以得到更加全面彻底的理解，附图中
图1是总体上示出根据本发明一个实施例的用于在代理服务器上对从网络下载的数据进行反病毒扫描的示例性系统的方块图2示出根据一类实施例的图1的代理服务器的主要组件；
图3是示出根据一个实施例的图1和图2的数据服务器与代理服务器之间的交互的图
示；
图4是示出根据一个实施例的用以基于模糊逻辑来确定下载数据包含恶意代码的总体可能性的算法的流程图；图5示出根据一个实施例的图1-2的数据服务器、代理服务器的数据分析模块和数据库之间的交互的示例；
图6是示出与总体风险概率相关的、将要应用于下载对象的分类标准的示例的图表； 图7是示出根据一个实施例的用于选择性深度反病毒扫描的算法的流程图； 图8是示出基于一类实施例的用于判定是否且何时应用一组优先规则的过程的图示； 图9是示出根据各种实施例的、本发明的各个方面可以在其上加以实现的计算机系统的图示。尽管本发明可以修改为各种修改例和替代形式，但其细节已在图中通过示例的方式示出，并且将对其加以详细描述。然而，应予以理解的是，本发明并非要将本发明限于所描述的具体实施例。相反，本发明意图涵盖落入由随附的权利要求书所限定的本发明的精神和范围内的所有修改、等同和替代。
具体实施例方式图1是总体上示出根据一个实施例的用于在服务器上对从网络下载的数据进行反病毒扫描的示例性系统的方块图。如将围绕例示性实施例所描述的，本发明的一个方面旨在，例如当用户使用网页浏览器来选择待下载文件时，在服务器一方检验可使用常规手段下载的数据。根据一个实施例的示例性系统包括PC工作站101、代理服务器102、网络 103 (例如网络)和数据服务器104。为了从数据服务器104例如经由HTTP、FTP、SMTP、P0P3或其他这类服务而下载所需数据，PC工作站101产生一请求并将其传送给数据服务器104，请求在网络103上经由代理服务器102下载数据。响应于该请求，数据服务器104经由互联网而将所需数据传送给代理服务器102。在从数据服务器104接收到的数据中转(relay)至PC工作站101之前， 在代理服务器102上，针对恶意代码对该数据进行检查。图2示出根据一类实施例的图1的代理服务器的主要组件。代理服务器102包括数据接收模块201a、数据传送模块201b、反病毒模块202、数据库203、数据分析模块204、反馈模块205和高速缓冲存储器206。数据接收模块201a、数据传送模块201b、反病毒模块 202、数据库203、数据分析模块204和反馈模块205全部都作为模块来加以实现。本申请中所使用的术语“模块”意指真实世界的器件、组件或利用硬件来实现的组件配置，其可以包括专用集成电路(ASIC)或现场可编程门阵列(FPGA)，或者例如，在指令或一组指令控制下能够实现模块的功能的微处理器系统，这些指令(在执行时)可以将微处理器系统转变成用于实施模块的功能的专用器件。模块还可以作为独立硬件和由软件控制的硬件的组合来加以实现，其中，某些功能可以由独立硬件辅助实现，而其他功能可以由硬件和软件的组合辅助实现。在某些实施方式中，模块的至少一部分，而且在一些情况下，模块的全部，都可以在通用计算机(例如，在其上实现代理服务器102的计算机)的处理器上执行，通用计算机执行操作系统、系统程序和应用程序，同时还利用多任务、多线程、分布式处理(如，云处理)或者其他这类技术来实现该模块。据此，每个模块均可以以各种适当的配置来实现，而不应局限于本申请中所例示的具体实施方式
。由数据服务器104响应于一请求而通过网络103传送给PC工作站101的数据，最初到达代理服务器102，且更具体地，到达数据接收模块201a。然后，所接收的数据被传送给数据分析模块204。此时，对下载数据包含恶意代码的总体概率做出确定。数据分析模块 204检验下载数据的参数，例如，下载文件的文件扩展名、下载文件的源和下载文件的大小， 文件名以及文件的检查和(如，CRC、哈希等)。根据本发明的各种实施例而可以由数据分析模块204检验的下载数据的参数并不局限于这些示例。数据分析模块204访问代理服务器的可更新数据库203，所述可更新数据库203包含用于确定下载数据包含恶意代码的总体可能性的规则。在一类实施例中，这些规则基于三个关键特性，譬如，下载文件的扩展名、下载文件的源的安全性以及当前的威胁级别。在此实施例类型的变形例中，这些规则可以基于模糊逻辑或者经典(布尔)逻辑。代理服务器的数据库203还包含用于确定反病毒扫描的深度或全面性的规则，其依据下载数据包含恶意代码的总体可能性。图3中更加详细地示出了根据一个实施例的用于确定下载数据包含恶意代码的总体可能性的示例性过程，其用图表示出数据服务器104、代理服务器的数据分析模块204 和数据库203之间的交互。在该示例中，PC工作站101的用户试图以具体网址从数据服务器104下载数据。用户想要下载的数据为扩展名为.EXE的可执行文件，例如，Hello, exe。 此文件按一般方式下载，即，PC工作站101点击网页浏览器中的“下载文件”链接。关于下载文件的相关信息及其源由数据分析模块204识别，稍后，数据分析模块 204会将此信息源与来自代理服务器的数据库203的数据比较。为了帮助确定下载数据包含恶意代码的总体可能性，代理服务器的数据库203具有三个主要属性“数据类型”、“源” 和“威胁级别”。代理服务器的数据库203依据其具体实施方式
而可以包含其他属性，例如， “下载数据的大小”、“保护级别”等。依据代理服务器的数据库203中的下载数据的具体类型、其源以及威胁级别，从规则1、规则2、规则3、规则4、……规则N当中选择一个或多个规则。此选择可以利用模糊逻辑技术来实现。当被应用时，每个规则确定其自身的概率等级。然后，将以此方式定义的属性从模糊表示转变为精确值，并且每个值都对确定下载数据包含恶意代码的总体可能性有贡献。然后，可以将总体概率重新转换成模糊表示。图4是示出根据一个实施例的用以基于模糊逻辑来确定下载数据包含恶意代码的总体可能性的算法的流程图。在PC用户在网页浏览器中点击“下载文件”链接之后，图中示出的过程开始，来自数据服务器104的数据被传送给代理服务器，数据分析模块204在其中接收数据。在块401，模块204检验下载数据文件的属性。例如，将要确定的一个属性是文件扩展名(如，.EXE、. DLL、. BAT等)。与下载数据有关的另一属性为发出文件的地址。 与针对是否存在恶意软件而对下载数据进行强力(brute-force)扫描相比，本实施例中下载数据的属性的确定在计算上更高效(即，更容易)。在402，数据分析模块204将所确定的属性数据与来自代理服务器的数据库203 的数据比较，以确定是否存在任何将要被应用于下载数据的分析当中的具体预定规则。在将下载数据与数据库记录比较时，为每个属性，选择并应用规则。在一个具体实施例中，利用模糊逻辑来选择和应用规则。通过将每个规则应用于每个属性来产生“风险概率”变量， 三个定义将与其对应，譬如“低”、“中”和“高”。用于“数据类型”属性，即用于文件扩展名 (如，.ΕΧΕ)的类似规则可以为下列逻辑规则“i/^允许下载文件名.EXE，身ff载数据包含恶意代码的概率为高。”关于“源”属性可以了解到的是，源归于下列三类其中之一公知且安全、公知但危险或者未知因而不可确定。鉴于此，语言变量“概率”也将会与三个定义一致，譬如“低”、“中” 和“高”。与未知源有关的规则的一个示例如下“i·下载文件的源未知，载数据包含恶意代码的概率为中等。”
即使在源未知时，下载文件包含恶意软件的概率的总体分类也可以通过将其他因素纳入考虑来加权。例如，威胁程度(level of threats)可以用于将威胁级别动态地指派给未知源。由于代理服务器的数据库203被周期性更新(其中，更新包括处于当前的威胁程度的数据)，所以可以用参数“威胁程度”来代替未知源的未知威胁级别。在一个实施例中，参数“威胁程度”按1至10的比例测量。在此情况下，语言变量 “概率”也将对应于三个定义，譬如“低”、“中”和“高”。变量“威胁程度”的示例性规则如下屈威胁级别至少为8，身ff载数据包含恶意代码的概率为高。此输出按照模糊集合的隶属关系来表达。为了利用使用常规逻辑的算法中的结果，应用解模糊化处理，以将模糊结果转换成数值。在本领域中已知有各式各样的解模糊化处理，并且可以设想到，任何合适的技术，已知的或者将来会出现的，都可以应用。在块404，确定来自代理服务器的数据库203 的值的范围，其对应于术语最后得到的语言变量的定义。例如，经确定，语言变量“概率”的 “低”值将对应于1% 30%范围内的值，语言变量“概率”的“中”值将对应于31%飞0%范围内的值，且语言变量“概率”的“高”值将对应于51%、9%范围内的值。应予以注意的是，这只是简单示例，并且在各种其他实施例中，语言变量“概率”的值的数目将更大。对于每个变量，譬如“数据类型”、“源”、“威胁级别”，语言变量“概率”的这些值的值范围可以不同。接下来，在块405，选择将被传送给数据分析模块204的值。数据分析模块204以其最简单的形式计算这些概率值的平均值，并且该值将作为下载数据包含恶意代码的总体概率。代理服务器的数据库203还包含语言变量“总体概率”，例如，五个定义将与其对应， 譬如“低”、“低中”、“中高”和“高”。并且，设定了对应于语言变量“总体概率”的具体值的值范围。这些值范围也包含在代理服务器的数据库203中。例如，在我们的情况下，定义 “低”将与1% 15%的总体概率范围一致，定义“低中”等同于16% 30%范围内的总体概率， 定义“中”将与319Γ40%的总体概率一致，定义“中高”将与419Γ50%的总体概率一致，定义 “高”将与519Γ99%的总体概率一致。在我们的示例中，在计算平均值之后，令总体概率等于 65%。相应地，在块405，我们从变量“总体概率”的清楚值65%移至模糊值“高”。此块被称为模糊化。接下来，在块406，依据总体概率，选择对从网络下载的数据进行反病毒扫描的算法的进一步推演。在用于对从网络下载的数据进行反病毒扫描的系统的另一具体实施方式
中，下载数据包含恶意代码的总体可能性的确定可以基于常规逻辑来进行。图5示出根据一个实施例的数据服务器104、代理服务器的数据分析模块204和数据库203之间的交互的示例。与下载文件及其源有关的数据(元数据、信息)由数据分析模块204确定，然后，数据分析模块204将其与代理服务器的数据库203中的数据比较。代理服务器的数据库203具有三个主要变量“数据类型”、“源”和“威胁级别”，这三个主要变量将被用于确定下载数据包含恶意代码的总体可能性。依据数据库中的下载数据的具体类型，其源和威胁程度，代理服务器选择基于常规逻辑的一组规则，例如，规则1、规则2和规则3。每个规则对应于一定概率Pi (i=l…η，其中η为最后一个规则的编号)，当在代理服务器的数据库203更新之后改变规则本身时，可以只改变此概率。应用于规则的系数Ici影响由该规则确定的概率的值的权重。系数1^也可以在代理服务器的数据库203中找到，并且可以由安全服务提供方更新，以调整系统做出判定的准确度。每次数据下载都会立刻触发若干规则。每个规则都对形成关于下载数据包含恶意代码的总体概率的最终结论具有贡献。每个规则的贡献包括两个分量基本概率ρ和系数k。稍后，对每个规则所做的贡献求和；形成下载数据包含恶意代码的总体可能性。如果总体概率超过一定阈值，则下载过程被发现是危险的，并且对应的可下载对象被认为包含恶意代码。所述阈值可以在数据分析模块204预先设定，或者数据分析模块204可以向代理服务器的数据库203请求与阈值有关的数据，这些数据可以被存储在那里并且规律性更新。图6示出与总体风险概率相关的、将要应用于下载对象的分类标准的示例。例如， 数据分析模块204可以被预先设定有总体风险概率的四个阈值，譬如，高概率607、中高概率606、中等概率605和低中概率604。依据总体风险概率，如通过应用用于下载数据的规则而确定的，可以定义三个主要类别。如果总体概率低于低中概率604的阈值，则具有高可信度的下载数据被归为安全数据601，即，不包含恶意数据。如果总体概率高于低中概率604 的阈值，但低于中高概率606的阈值，则下载数据被认为是可能包含恶意代码，并且被归为可疑数据602。如果总体概率高于中高概率606的阈值，则具有高可信度的下载数据被认为包含恶意代码，并且被归为恶意数据603，即，包含恶意代码。在一个实施例中，如果总体风险概率超过高概率607的阈值，则系统将指示反病毒模块202对从网络下载的数据应用更深入的反病毒扫描算法。另一方面，如果总体风险概率未超过高概率607的阈值，则系统将指示反病毒模块202应用较快的反病毒扫描算法。图7是示出在代理服务器102上对经由网络103而从数据服务器104下载的数据进行反病毒扫描的示例性算法的流程图。在块701，代理服务器102的数据分析模块204计算下载数据包含恶意代码的总体概率。该过程可以响应于PC工作站101的用户对下载文件的直接请求而被启动，例如，通过在网络浏览器内点击链接“下载文件”。在块702，如果数据分析模块204确定下载数据包含恶意代码的总体概率为高，则算法前进至块703，在块703，数据分析模块204将表示下载数据包含恶意代码的总体可能性为高的信息传送给反病毒模块202。作为响应，反病毒模块202和数据分析模块204开始高风险模式下的操作。在此模式下，根据一个示例性实施例，数据分析模块204将数据从数据服务器104全面下载到其高速缓冲存储器206中。与此同时，反病毒模块202启动反馈模块205，反馈模块205将与反病毒扫描有关的反馈信息传送至PC工作站101，例如，告知PC工作站101的用户反病毒扫描在进行中的信息。反馈信息可以进一步包括示出整组数据传送至高速缓冲存储器206的下载进度的进度指示器。此反馈信息的形式可以是HTML页面、带有Java脚本的HTML页面、带有AJAX的 HTML页面等。该HTML页面在PC工作站101上的网页浏览器中自动打开并且显示将所请求的数据下载到代理服务器102即高速缓冲存储器206的进度，以及在下载之后由反病毒模块202对其进行的进一步反病毒扫描，从而提供对将文件传送至用户时的任何明显延迟加以考虑的信息，或者仅通知用户系统数据操作安全。数据一经下载到反病毒模块202，反病毒模块202就执行反病毒扫描。接着，在块
11704，结束扫描，并且如果未检测到恶意代码，则在块705，反病毒模块202启动数据传送模块201b，数据传送模块201b将数据从高速缓冲存储器206传送给PC工作站101。然后，清空高速缓冲存储器206。如果检测到恶意代码，则在块706，反病毒模块202尝试下载数据的感染。如果在块707处理成功，则在块705，数据传送模块201b将数据从高速缓冲存储器206传送至PC工作站101。如果在块707处理受感染数据失败，则在块708，反病毒模块 202启动反馈模块205，以将告知用户下载数据包含恶意代码的消息传给PC工作站101。使下载数据不可由用户访问，终止连接，并清空高速缓冲存储器206。如果在块702，数据分析模块204确定下载数据包含恶意代码的总体概率为低，则算法将前进至块709。在块709，数据分析模块204将关于下载数据包含恶意代码的可能性为低的信息传送给反病毒模块202。之后，反病毒模块202和数据分析模块204开始低风险模式下的操作。数据分析模块204开始将从数据服务器104接收的数据经由反病毒模块 202而传送到数据传送模块201b，数据传送模块201b随之又将数据传送到PC工作站101。 即使在全面扫描结束前，反病毒模块202也会将数据传送给数据传送模块201b用于少量传输。依据下载数据包含恶意代码的总体可能性，调整扫描的深度，且扫描的深度反过来又会影响将数据传送给PC工作站101的快慢。这样的调整分别发生在块703和709。数据分析模块204将总体风险概率的指示提供给反病毒模块202，且反病毒模块202随之基于用于这些概率的规则来确定反病毒扫描的深度。由于具有较高的总体风险概率，所以将扫描调整成具有更广的范围。反病毒扫描深度的调整可以通过加入或除去不同类型的数据分析来完成，例如，签名分析、启发式分析以及用于识别恶意代码的其他已知机制，或者可以通过调整给定类型的分析的全面性。依据下载数据包含恶意代码的总体可能性的反病毒扫描深度的确定，可以由基于经典逻辑和模糊逻辑两者的规则来确定，这些规则可以在代理服务器的数据库203中找到。例如，在所描述的用于对从服务器下载的数据进行反病毒扫描的系统的实施方式中，可以提供有一来自代理服务器的数据库203的规则，该规则表明，如果下载数据包含恶意代码的总体概率(如由数据分析模块204所确定的)为高，则反病毒扫描的深度应当被设定为最大级别。如果下载数据包含恶意代码的总体概率为低，则系统的行为会显著不同。在此情况下，数据可以在传送给PC工作站101的同时由反病毒模块202扫描。反病毒扫描的范围也是可调整的。如上所述，对于给定情况，语言变量“总体概率”对应于“低”、“低中”、“中”、 “中高”和“高”值。前面四个值与推演算法有关，涉及在扫描过程中将数据传送给PC。对于每个这样的确定，在代理服务器的数据库203中都有一规则。例如，如果总体概率源“低” 值一致，则反病毒模块202将基于来自代理服务器的数据库203的相关规则，完成快速恶意软件签名扫描。替代地，如果总概率对应于“中高”值，则反病毒模块202将基于来自代理服务器的数据库203的相关规则，执行更彻底的检查。依据反病毒扫描的深度，扫描过程期间的数据传送数据改变。如果扫描具有最广的范围，则数据在扫描过程期间传送给PC工作站101的速度将被设定成相对较慢。如果扫描并非如此深入，例如，仅限于签名分析，则在扫描过程期间，PC工作站101上的数据传送速率实质上会较高。而且，在具体实施例中，反病毒扫描的深度可以由用户设定。在一个实施例中，在将数据从数据分析模块204经由反病毒模块202和数据传送模块201b而传送给PC工作站101的过程中，持续不断地对反病毒模块202进行数据验证。 这样，下载数据在数据分析模块204中被分解成块，并且这些块被传送到反病毒模块202， 在反病毒模块202中，数据块被顺次检查，并且如果下载数据不包含恶意代码，则经由数据传送模块201b而传送给PC工作站101。将对从数据服务器104接收的数据所分解成的全部块都执行相同的过程。此外，如果在块710，在反病毒模块202执行反病毒检查过程中，在传送给PC工作站101的数据中未检测到恶意代码，则在块711，扫描一经结束，则数据传送模块201b由于存在扫描而将会以加大的速度、把剩下的数据传送给PC工作站101，而这反过来又会使传送速率减小。如果在块711，反病毒模块202发现数据包含恶意代码，则在块712，系统减轻由于恶意代码而引起的风险。其中一个方法是，终止连接，并且反病毒模块202经由数据传送模块201b向PC工作站101传送信息，指示下载数据包含恶意代码。此方法适用于其中对受感染数据的处理不可行或者不是所期望的情形。其中另一方法是，在块702，并不立即终止连接。代之以由反病毒模块202处理整组数据，并且由数据传送模块201b将处理后的文件、连同将要向PC工作站101的用户显示的通知、和/或指示PC工作站101用处理后的数据替换原来流入(streamed)的数据的指令一起传送给PC工作站101。在传送处理后的数据之前，或者在处理受感染的数据之前，可以向PC工作站101传送通知，以通知其用户，将会由于数据的重新传送或者由于数据的处理及重新传送而存在延迟。为了利于提供通知，可以在PC工作站101的浏览器中启动弹出窗口或其他合适的消息。为了利于更加先进的安全功能，可以对PC工作站101编程，以接收和响应来自反病毒模块202的指令。在一个这样的示例中，PC工作站101运行网页浏览器插件，该插件启用指令的接收和执行，以接收处理后的数据并用其替换原来流入的数据。在另一实施例中，当在正上传到PC工作站101的数据中检测到恶意代码时，反病毒模块202经由数据传送模块201b将指示数据被感染的指令传送给PC工作站101。在PC 工作站101上运行的客户方软件(如，经由Java脚本或网页浏览器插件)致使计算机通过在完成下载之后立即隔离要被处理的下载数据来响应该指令。在相关实施例中，与指示数据被感染的指令一起，反病毒模块202还传送用于执行处理的指令。这一具体方法可以具体用于这样的情况下，即，其中，正传送的数据较大，以至于重新传送该数据的经过处理的版本的时间大于如果是在PC工作站101上本地处理该数据所需要的时间。如果虽然下载数据包含恶意代码的总体风险概率为低，但反病毒模块202在该数据中检测不到恶意代码，则系统认为该总体风险概率未正确确定，并且该总体概率所基于的规则被认为是过时的。因此，在块713，对代理服务器的数据库203进行校正。在一个实施例中，将用以确定总体概率所选的基于模糊逻辑的规则传送给安全服务提供方，用于分析和调整。如果这些规则所基于的是经典逻辑并且规则的总分级对于确定总体概率而言是重要的，则只将系数h传送给服务提供方用于编辑。这样，在一个实施例中，如果确定总体风险概率的规则以及最终作为整体的反病毒扫描并不是有效的，那么，除了为检测的可靠性而规律性更新代理服务器的数据库203 之外，还要将反馈传送给安全服务提供方，用于调整规则。服务提供方可以基于人类分析员的检阅和分析而手动调整这些规则。在其他实施例中，自动化系统可以帮助人类分析员确定要对规则所做的校正，或者自动对规则进行调整而无需投入人力。在一个具体类型的实施例中，代理服务器的数据库203可以收集关于下载数据的统计信息。一般而言，数据经由代理服务器102而下载到大量PC工作站101上。相同的数据可以被下载到许多PC工作站101上，例如，来自同一数据服务器104的相同精确的文件。 在此情况下收集的统计信息可以允许系统预先确定给定用户是否正在下载包含恶意代码的文件。在一个具体实施例中，代理服务器的数据库203可以被分成两个互不相干的分区 (section)。第一分区包含用于确定下载数据包含恶意代码的总体可能性的可更新规则，以及用于依据下载数据包含恶意代码的总体可能性来确定反病毒扫描的深度的规则。第二分区包含与所有之前下载的对象有关的历史和统计数据，包括包含恶意代码的。这类信息可以包括下载文件的名字、下载数据的检查和、数据服务器104的IP地址、每个数据服务器 104的包含恶意代码的文件数目以及未包含恶意代码的文件数等。代理服务器的数据库203的第一分区，即，包含用于确定下载数据包含恶意代码的总体可能性的可更新规则以及用于确定反病毒扫描的深度(依据下载数据包含恶意代码的总体可能性)的规则的分区，保持用于第二分区的统计数据的优先规则。这类规则可以基于模糊逻辑和常规逻辑其中之一或全部。在一个实施例中，向PC工作站101的用户提供一界面，有利于设置其自己的规则或者为预定义规则定义参数值。例如，一个这样的规则可以是“i/7屈下载文件的源是已知且安全的，并且该文件的下载次数超过50，身fr载数据包含恶意代码的总体可能性为低”。图8是示出根据一个实施例的用于判定是否且何时应用一组优先规则的判定过程的图示。根据所绘制的判定过程，基于与下载(如，网站)的具体源相关联的累积历史802 或者具体文件(其已从大量不同的源获得)来采取动作。可以基于目前正在下载的文件的大小802来采取动作。在系统操作的初始阶段，收集统计信息，并且将其放置在代理服务器的数据库203的第二分区中，如区域806所绘出的。与此同时，数据分析模块204如上所述以其主要操作模式操作，如区域808所表示的，其中，其确定可用于该组规则的数据的参数， 并且应用代理服务器的数据库203的第一分区中的规则，来确定下载数据包含恶意代码的总体风险概率。在此期间，将要被调用的优先规则的历史的不充分累积、或者正在下载的文件的大小，都不会明显妨碍利用区域808的操作进行快速处理。因为统计数据得到累积并且达到统计数据的“临界量(critical mass)”，所以基于统计信息的优先规则会在图8中区域810处被触发。在相关实施例中，优先规则的调用也可以基于下载数据的参数与数据库的第一分区中的规则的比较。应用上面提出的示例性优先规则，例如，如果下载文件的名字及其检查和匹配来自代理服务器的数据库203的第二分区的、包含统计信息且已下载超过50次的文件的名字和检查和，并且不包含恶意代码，则将调用优先规则。这样的规则会不理会通常的总体风险概率确定，而是将总体风险概率分配到最低级别，如此来迫使反病毒模块202执行最小深度的反病毒扫描。在相关实施例中，优先规则会完全绕开反病毒检查，以便提高数据传送到PC工作站101的速度。优先规则也可以应用于使用于在代理服务器上检查下载数据的详细程度。例如， 在一个实施例中，如果数据服务器104是文件下载超过了 50次的源，并且其中超过10%的文件下载都包含恶意软件，则调用一优先规则，其取代通常的总体风险概率确定并将所述总体风险概率设定为高，从而将会需要执行更加全面的筛查。在相关实施例中，优先规则需要由反馈模块205的反病毒模块202开始传送给PC工作站101下载包含恶意代码的通知。 在此情况下，代理服务器102会立即与数据源断开，并且放弃由反病毒模块202执行的反病
毒扫描。在各种相关实施例中，使用优先规则的层级，其中，反病毒扫描(或其他安全检查) 的深度或彻底性是基于统计可信度、误差余量或总体风险概率的统计预测的其他准确度测量来设定的。因而，例如，如果特定文件已记录有被下载超过250次(具有相同检查和或哈希值)，并且这些下载都来自同一与数据中存在恶意软件的高发生率(如，< 0.5%的时间)相关联的源104，则对于来自此特定源的此特定文件不包含恶意软件的可信度测定相当高。因此，在此实例中，可以跳过反病毒扫描。在另一相关实施例中，代替在其中总体风险概率被估测为非常低的情况下总是完全跳过反病毒扫描，代理服务器102被配置成基于采样来执行一定扫描。因而，如果一定可信度测定表明源或文件被认为是安全的，则反病毒扫描可以按照例如10%时间的采样间隔执行。采样间隔可以基于被认为是相对较安全的文件或源相对应的统计数据的强度或范围来调整。在一个实施例中，代理服务器102包括特定于客户机的历史数据库，其中，保持有表示被传送给每个PC工作站101的每个文件的记录。特定于客户机的历史数据库中的每个条目包括，表示反病毒扫描或者其他安全检查的类型和范围、以及对该下载是否执行(及何种类型)处理的指示。如果一个或多个PC工作站101具有缩小的、陈旧的或者整个跳过的反病毒检查并且传送给其的文件稍后被确定为受到恶意软件(譬如，如果文件被采样)， 则特定于客户机的历史数据库使代理服务器102能够经由反馈模块205而给每个客户机传送通知。这些通知可以包括指示实施校正动作的指令，例如，文件的隔离，并且可能的话，可以包括对将要进行的处理以移除恶意软的指令、或者指示开始代理服务器的新下载以获得经过处理的替换文件的指令。本发明的各个方面，例如，代理服务器102的各种实施例以及PC工作站101，可以作为由一个或多个独立的计算机组成的计算机系统的一部分来加以实现。计算机可以是一个物理机，或者可以例如通过角色或功能或者在云计算分布式模型的情况下通过处理线程而分布在多个物理机当中。在各种实施例中，本发明的各个方面可以被配置成在虚拟机上运行，而所述虚拟机又在一个或多个物理机上执行。本领域技术人员应予以理解的是，本发明的特征可以通过各种不同的合适的机器实施方式来加以实现。图9是示出根据各种实施例的、本发明的各个方面可以在其上加以实现的计算机系统900的图示。计算机系统900可以包括诸如个人计算机902的计算装置。个人计算机 902包括一个或多个处理单元904、系统存储器906、视频接口 908、输出外围接口 910、网络接口 912、用户输入接口 914、可移除存储器接口 916和非可移除存储器接口 918以及连接各种组件的系统总线或高速通信通道920。在各种实施例中，处理单元904可以具有多个逻辑磁芯，这些逻辑磁芯能够处理存储在计算机可读介质中的信息，所述计算机可读介质例如有计算机存储器906或者附接至可移除存储器接口 916和不可移除存储器接口 918的存储器。计算机902的系统存储器906可以包括诸如只读存储器(ROM) 922的非易失性存储器或者诸如随机存取存储器(RAM)9M的易失性存储器。ROM 922可以包括有基本输入/输出系统(BI0S)926，以帮助与计算机902的其他部分通信。RAM拟4可以存储各种软件应用的各个部分，譬如，操作系统928、应用程序930和其他程序模块932。此外，RAM拟4可以存储其他信息，例如，程序或应用数据934。在各种实施例中，RAM 9 存储要求低等待时间和高效存取的信息，例如，正在处理或操作的程序和数据。在各种实施例中，RAM拟4包括双数据速率(DDR)存储器、误差校正存储器(ECC)或者具有变化的等待时间和配置的其他存储器技术，例如，RAMBUS或DDR 2和DDR 3。以此方式，在各种实施例中，系统存储器 906可以存储输入数据存储、访问证书数据存储、操作存储器数据存储、指令设定数据存储、 分析结果数据存储以及操作存储器数据存储。此外，在各种实施例中，处理单元904可以被配置用以执行下列指令，所述指令指示通过在授权访问信息之前要求访问证书来限制对上述数据存储的访问。可移除存储器接口 916和不可移除存储器接口 918可以将计算机902连接至磁盘驱动器936，例如，SSD或合理的磁盘驱动器。这些磁盘驱动器936可以进一步提供用于各种软件应用的存储，例如，操作系统938、应用程序940和其他程序模块942。此外，磁盘驱动器936可以存储其他信息，例如程序或应用数据944。在各种实施例中，磁盘驱动器936 存储无需与其他存储介质中相同的低等待时间的信息。此外，在上述各种实施例中，操作系统938、应用程序940数据、程序模块942以及程序或应用数据944可以是与存储在RAM 924 中的信息相同的信息，或者其可以是由RAM 924中所存储的数据衍生出的不同数据。此外，可移除非易失性存储器接口 916可以将计算机902连接至磁性便携式磁盘驱动器946或者光盘驱动器950，磁盘驱动器946利用诸如软盘948、Iomega Zip或Jazz 的磁性介质，光盘驱动器950利用光学介质952来存储诸如Blu-Ray 、DVD-R/RW、CD-R/RW 和其他类似格式的计算机可读介质。其他实施例利用SSD或内置于便携式封装％4中的合理磁盘，以增加可移除存储器的容量。其他一些实施例利用可移除闪速非易失性存储器设备，这些设备利用读卡设备作为接口。计算机902可以利用网络接口 912在局域网(LAN)958或广域网(WAN)960上与一个或多个远程计算机956通信。网络接口 912可以利用网络接口卡(NIC)或者诸如调制解调器962这类其他接口来启用通信。调制解调器962可以启用电话线、同轴电缆、光纤、电力线上或无线形式的通信。远程计算机956可以包含类似的硬件和软件配置或者可以具有存储器964，所述存储器964包含可以将额外的计算机可读指令提供给计算机902的远程应用程序966。在各种实施例中，远程计算机存储器964可以被用于存储信息，例如，稍后可以下载到本地系统存储器906的所识别的文件信息。此外，在各种实施例中，远程计算机956 可以是应用服务器、管理服务器、客户计算机或者网络设备。用户可以利用连接至用户输入接口 914的输入设备而输入信息到计算机902，所述输入设备例如为鼠标968和键盘970。另外，输入设备还可以为触摸板、指纹扫描仪、操纵杆、条形码扫描仪、医学扫描仪等。视频接口 908可以提供视频信息给显示器，例如，监视器 972。视频接口 908可以为嵌入式接口或者其可以是分立接口。此外，计算机可以利用多个视频接口 908、网络接口 912以及可移除存储器接口 916和不可移除存储器接口 918，以便增加计算机902操作的灵活性。此外，各种实施例利用若干监视器972和若干视频接口 908 来改变计算机902的性能和能力。计算机902中还可以包含其他计算机接口，例如，输出外围接口 910。此接口可以连接至打印机974或扬声器976或者其他外设，以为计算机902提供额外的功能。计算机902的各种替代配置和实施方法均落入在本发明的主旨内。这些变形可以包括但不限于连接至系统总线920的额外接口，例如，通用串行总线(USB)、打印机端口、游戏端口、PCI总线、PCI Express或者将上述各种组件集成到芯片组组件上的集成，例如，北桥或南桥。例如，在各种实施例中，处理单元904可以包括嵌入式存储器控制其(未示出)， 以启用比系统总线920可以提供的更为有效的系统存储器906的数据传送。以上实施例旨在为示例性的而非限制性的。另外的实施例也处于权利要求的范围内。此外，虽然已经参照具体实施例对本发明的各个方面进行了描述，但本领域技术人员应当认识到，在不脱离由随附的权利要求书所定义的本发明的精神和范围的情况下，可以在形式和细节上做出各种改变。相关技术领域的普通技术人员应认识到，本发明可以包括比上述任一单独实施例中所示出的特征要少的特征。本申请中所描述的实施例并非意图作为其中可以对本发明的各种特征加以组合的各种可能方式的穷尽表示。因此，这些实施例并不是互相排斥的特征组合；相反，如本领域普通技术人员所理解的，本发明可以包括选自不同单独实施例的不同单独特征的组合。以上文献通过引用的并入受到限制，使得那些违背明确的公开内容的主题不会被并入本申请中。以上文献通过引用的并入进一步受到限制，使得这些文献中所包含的权利要求书不会通过引用而并入本申请中。以上文献通过引用的并入又进一步受到限制，使得这些文献中所提供的任何定义不会通过引用而并入本申请中，除非已经清楚地包含在本申请中。为了解释本发明的权利要求，明确表示，将不会援引35 U. S. C第二节112第6段的规定，除非在权利要求中记载有特定术语“用于……的装置”或“用于……的步骤”。
1权利要求
1.一种由计算机实现的用于促进目的地计算机系统和数据源之间通过网络的数据传送的装置，所述装置包括中间计算机系统，包括与数据存储电路和网络接口电路可操作地连接的处理器电路， 所述网络接口电路适于被通信连接至计算机网络，所述计算机系统经配置用以实现数据接收模块，适于经由所述网络接口电路获得数据项，所述数据项是将要响应于所述目的地计算机系统的请求而从所述数据源接收的；数据传送模块，适于经由所述网络接口电路而将所述数据项有条件地传送至所述目的地计算机系统，其中，所述数据项的传送以安全评估的结果为条件；反病毒模块，适于根据多个恶意检测技术中可选择的检测技术来对所述数据项执行所述安全评估，其中，所述多个恶意软件检测技术包括至少一个计算上相对较容易的技术和至少一个计算上相对较难的技术；和数据分析模块，适于收集表示与所述数据项有关的恶意软件风险的各种指标的多个参数；收集与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息；以及基于所述多个参数和所述统计信息，来计算所述数据项是否受到恶意软件感染的总体风险概率，其中，所述总体风险概率的计算大体在计算上比所述至少一个在计算上相对较容易的恶意软件检测技术更容易；其中，所述反病毒模块进一步适于，基于所述总体风险概率，从所述多个恶意软件检测技术当中选择性应用至少一个恶意软件检测技术，使得所述选择性应用的至少一个恶意软件检测技术具有大体与所述总体风险概率相对应的计算难度；并且其中，所述数据分析模块进一步适于，对与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的所述统计信息加以分析，如果所述统计信息满足预定可信度标准， 则调用至少一个优先规则，所述规则不理会所述总体风险概率而强迫执行特定恶意软件检测技术。
2.如权利要求1所述的装置，其中，所述中间计算机系统被配置为代理服务器，所述目的地计算机系统通过所述代理服务器访问所述数据源外还访问多个其他数据源。
3.如权利要求1所述的装置，其中，所述数据项为文件，所述数据源为网站，并且其中，所述计算机网络为互联网。
4.如权利要求1所述的装置，其中，所述多个检测技术至少包括病毒签名分析和启发式分析。
5.如权利要求1所述的装置，其中，所述多个检测技术包括不同深度的检测技术。
6.如权利要求1所述的装置，其中，所述多个检测技术包括反病毒检测过程的省略。
7.如权利要求1所述的装置，其中，所述总体风险概率按照模糊逻辑来表达。
8.如权利要求1所述的装置，其中，与所述数据项有关的恶意软件风险的各种指标包括下列各项中的至少一项安全威胁级别、所述数据项的特性和/或所述数据源的特性。
9.如权利要求1所述的装置，其中，所述总体风险概率基于所述多个参数的统计汇总
10.如权利要求1所述的装置，其中，响应于相对较高的总体风险概率，所述反病毒模块适于选择性应用恶意软件检测技术，所述恶意软件检测技术需要将所述数据项完全下载到所述中间计算机系统的高速缓冲存储器中，并且需要在授权将所述数据项传送至所述目的地计算机系统之前对所述数据项进行全面恶意软件扫描。
11.如权利要求10所述的装置，其中，所述反病毒模块进一步适于响应于所述相对较高的总体风险概率而发出通知，所述通知将要显示在所述目的地计算机系统上，并且所述通知提供与将所述数据项完全下载到所述目的地计算机系统的所述高速缓冲存储器中的进度以及进一步的恶意软件扫描的进度有关的信息。
12.如权利要求1所述的装置，其中，所述反病毒模块适于响应于相对较低的总体风险概率，选择性应用恶意软件检测技术，所述恶意软件检测技术准许所述数据项的一部分在所述数据项的其他部分接受恶意软件扫描期间传送至所述目的地计算机系统。
13.如权利要求1所述的装置，其中，作为对所述反病毒模块检测到恶意软件的响应， 所述数据传送模块向所述目的地计算机系统传送指令，用于对所述恶意软件做出响应。
14.如权利要求1所述的装置，其中，所述至少一个优先规则强制应用与所述总体风险概率相对应的恶意软件检测技术相对而言密集度减小的恶意软件检测技术、或者密集度增大的恶意软件检测技术。
15.一种由计算机实现的用于促进目的地计算机系统和数据源之间通过网络的数据传送的装置，所述装置包括中间计算机系统，包括与数据存储电路和网络接口电路可操作地连接的处理器电路， 所述网络接口电路适于被通信连接至计算机网络，所述计算机系统经配置用以实现数据接收模块，适于经由所述网络接口电路获得数据项，所述数据项是将要响应于所述目的地计算机系统的请求而从所述数据源接收的；数据传送模块，适于经由所述网络接口电路而将所述数据项有条件地传送至所述目的地计算机系统，其中，所述数据项的传送以安全评估的结果为条件；反病毒模块，适于执行所述数据项的所述安全评估；和数据分析模块，适于追踪所述数据项的特定于目的地的历史以及该数据项的安全评估结果，并且对所述特定于目的地的历史和与同一数据项有关的随后的安全评估结果进行比较，响应于表明所述安全评估过去失效的比较结果，而提供将要传送给所述目的地计算机系统的校正措施指令，用于解决所述过去失效。
16.如权利要求15所述的装置，其中，所述特定于目的的历史被保持在专用数据库中。
17.如权利要求15所述的装置，其中，所述校正措施指令包括下列至少一个指令隔离所述数据项、处理所述数据项、从所述数据项移除任何恶意软件和开始重新下载经过处理的替换数据项。
18.一种由计算机实现的用于促进目的地计算机系统和数据源之间通过网络的数据传送的装置，所述装置包括中间计算机系统，包括与数据存储电路和网络接口电路可操作地连接的处理器电路， 所述网络接口电路适于被通信连接至计算机网络，所述计算机系统经配置用以实现数据接收模块，适于经由所述网络接口电路获得数据项，所述数据项是将要响应于所述目的地计算机系统的请求而从所述数据源接收的；数据传送模块，适于经由所述网络接口电路而将所述数据项有条件地传送至所述目的地计算机系统，其中，所述数据项的传送以安全评估的结果为条件；反病毒模块，适于根据多个恶意检测技术中可选的技术来对所述数据项执行所述安全评估，其中，所述多个恶意软件检测技术包括至少一个计算上相对较容易的技术和至少一个计算上相对较难的技术；和数据分析模块，适于收集表示与所述数据项有关的恶意软件风险的各种指标的多个参数；收集与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息；以及基于所述多个参数和所述统计信息，来计算所述数据项是否受到恶意软件感染的总体风险概率，其中，所述总体风险概率的计算大体在计算上比所述至少一个在计算上相对较容易的恶意软件检测技术更容易；其中，所述反病毒模块进一步适于基于所述总体风险概率，从所述多个恶意软件检测技术当中选择性应用至少一个恶意软件检测技术，使得所述选择性应用的至少一个恶意软件检测技术具有大体对应于所述总体风险概率的计算难度；并且其中，当所述总体风险概率很低时，所述反病毒模块适于根据可调整的采样间隔而基于采样选择性应用恶意软件技术。
19.如权利要求15所述的装置，其中，所述可调整采样间隔基于与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息的强度或范围来调整。
20.一种在由计算机系统实现的代理服务器中用于对被请求从数据源下载到目的地计算机的数据项进行自动筛查的方法，所述计算机系统具有经配置用以在软件控制下操作的硬件，所述方法包括根据多个恶意软件检测技术中可选择的检测技术，来对所述数据项进行安全评估，其中，所述多个恶意软件检测技术包括至少一个在计算上相对较容易的技术以及至少一个在计算上相对较难的技术；收集表示与所述数据项有关的恶意软件风险的各种指标的多个参数；收集与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的统计信息；以及基于所述多个参数和所述统计信息，来计算所述数据项受到恶意软件感染的总体风险概率，其中，所述总体风险概率的计算大体在计算上比所述至少一个在计算上相对较容易的恶意软件检测技术更容易；基于所述总体风险概率，从所述多个恶意软件检测技术当中选择性应用至少一个恶意软件检测技术，其中，所述至少一个恶意软件检测技术具有大体与所述总体风险概率相对应的计算难度；以及对与所述数据项和/或所述数据源的先前的恶意软件检测结果有关的所述统计信息加以分析，如果所述统计信息满足预定可信度标准，则调用至少一个优先规则，所述规则不理会所述总体风险概率而强迫执行特定的恶意软件检测技术。
全文摘要
本发明的一个方面目的在于通过代理服务器对从网络下载到PC工作站上的反病毒扫描。通过基于所确定的下载数据包含恶意代码的总体可能性来为每个扫描选择算法，可以为该扫描优化所述反病毒扫描。所述总体可能性的确定可以通过与恶意软件筛查有关的统计数据的强度或可信度来加强，所述恶意软件筛查是对具有与本次下载相似的参数的先前下载的结果进行的。
文档编号H04L29/08GK102195992SQ201110183649
公开日2011年9月21日 申请日期2011年7月1日 优先权日2010年11月1日
发明者亚历山大·斯特伊科夫, 谢尔盖·瓦西里耶夫, 谢尔盖·祖布里林 申请人:卡巴斯基实验室封闭式股份公司