專(zhuān)利名稱(chēng):流式惡意軟件定義更新的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域���,并且更具體地涉及向反惡意軟件的客戶(hù)端軟件提供 流式惡意軟件簽名定義的更新。
背景技術(shù):
廣域網(wǎng)(如互聯(lián)網(wǎng))向持續(xù)增加的用戶(hù)群體提供了以類(lèi)似程度增加數(shù)目的可訪(fǎng)問(wèn) 的網(wǎng)站���,那些用戶(hù)可以從這些網(wǎng)站收集信息�、應(yīng)用程序���、以及娛樂(lè)項(xiàng)目��。這樣一個(gè)開(kāi)放的群 體同時(shí)為惡意用戶(hù)和惡意網(wǎng)站提供了散布惡意軟件(如病毒��、特洛伊木馬程序�����、蠕蟲(chóng)、以及 類(lèi)似的軟件)的機(jī)會(huì)���。為了保護(hù)用戶(hù)不受此類(lèi)惡意活動(dòng)的危害�,已經(jīng)設(shè)計(jì)了多種反惡意軟 件保護(hù)方案來(lái)提醒用戶(hù)在他們的計(jì)算機(jī)上存在的惡意軟件并且將惡意軟件從受感染的計(jì) 算機(jī)中清除��。典型的計(jì)算機(jī)保護(hù)方案在一臺(tái)受感染的計(jì)算機(jī)上對(duì)存在的惡意軟件做出反應(yīng)�。一 種檢測(cè)惡意軟件的常見(jiàn)方法依賴(lài)于從惡意軟件本體中提取的簽名����。從一個(gè)惡意軟件本體中 提取的不同類(lèi)型的數(shù)據(jù)可以被用于生成多個(gè)簽名�。此類(lèi)數(shù)據(jù)包括例如字符串(即,具有或 不具有通配符的模式)���、校驗(yàn)和(即��,CRC�����、MD5和SHA1)�、行為模式����、文件幾何結(jié)構(gòu)、執(zhí)行流程 幾何結(jié)構(gòu)��、以及編碼指令的統(tǒng)計(jì)分布���。上述列表的任何組合可以被用于生成一個(gè)惡意軟件 簽名����,并且該列表不是窮盡的。更復(fù)雜的多態(tài)惡意軟件(例如�����,包含變化的加密算法和密鑰 使得這種惡意軟件的復(fù)制不是完全相同的惡意軟件)要求更復(fù)雜的簽名生成技術(shù)�,包括密 碼分析、專(zhuān)用解密路徑�、仿真、以及類(lèi)似的技術(shù)�。為了使得在計(jì)算機(jī)上執(zhí)行的安全軟件能夠檢測(cè)出新發(fā)現(xiàn)的惡意軟件實(shí)例,必須為 這個(gè)計(jì)算機(jī)提供已經(jīng)被建立來(lái)對(duì)新的惡意軟件實(shí)例進(jìn)行識(shí)別的簽名的一個(gè)副本����。典型地每 天發(fā)現(xiàn)多達(dá)7,000到10�,000個(gè)新的惡意軟件實(shí)例。因?yàn)橐粋€(gè)惡意軟件實(shí)例通過(guò)廣域網(wǎng)傳 播����,所以在向該廣域網(wǎng)上的計(jì)算機(jī)提供與該惡意軟件相關(guān)聯(lián)的簽名的一個(gè)延遲將使得那些 計(jì)算機(jī)容易受攻擊�����。因此�,令人希望的是快速地將新生成的并且驗(yàn)定的簽名分發(fā)給一個(gè)計(jì) 算機(jī)群體��。典型的反惡意軟件的軟件以1到8小時(shí)的周期從一個(gè)更新服務(wù)器下載新的簽名定 義����。由一個(gè)典型的系統(tǒng)檢索的多個(gè)完整簽名定義文件包含針對(duì)所有當(dāng)前發(fā)現(xiàn)的簽名的簽名 定義���、或者在一個(gè)客戶(hù)端計(jì)算機(jī)上的當(dāng)前安裝的完整簽名定義文件和與該反惡意軟件的軟 件相關(guān)聯(lián)的一個(gè)服務(wù)器上的當(dāng)前發(fā)布的完整簽名定義文件之間的一個(gè)區(qū)別�。由大量的客戶(hù) 端計(jì)算機(jī)從一個(gè)或多個(gè)相關(guān)聯(lián)的分發(fā)服務(wù)器下載這些完整定義文件的行動(dòng)會(huì)消耗顯著的 網(wǎng)絡(luò)帶寬資源�����。為了改進(jìn)反惡意軟件覆蓋率�,增加完整定義文件的發(fā)布速率將會(huì)導(dǎo)致在網(wǎng) 絡(luò)帶寬耗費(fèi)中的潛在地巨大增加。因此���,令人希望的是實(shí)現(xiàn)一種系統(tǒng)����,該系統(tǒng)不僅按照分鐘 (而不是小時(shí))級(jí)別的速率對(duì)簽名定義提供更新而且還節(jié)約網(wǎng)絡(luò)帶寬資源�����。
發(fā)明內(nèi)容
本發(fā)明的多個(gè)實(shí)施方案提供了一種機(jī)制���,該機(jī)制用于以分鐘的級(jí)別對(duì)惡意軟件簽名定義提供更新�����、同時(shí)在較長(zhǎng)的時(shí)間段內(nèi)提供完整更新���、并且以一種節(jié)約網(wǎng)絡(luò)資源的方式提供此類(lèi)更新����。本發(fā)明的多個(gè)實(shí)施方案提供一種方法�����、裝置及系統(tǒng)��,它們被配置為組裝并發(fā) 布包括一個(gè)惡意軟件簽名的一個(gè)完整簽名定義文件并且組裝并發(fā)布包括該惡意軟件簽名 的一個(gè)流式定義文件�����。該完整簽名定義文件既包括該惡意軟件簽名也包括直到一個(gè)限定的 時(shí)間內(nèi)所接收的第一多個(gè)惡意軟件簽名����,并且該完整簽名定義文件的發(fā)布發(fā)生在該限定的 時(shí)間之后�。該流式簽名定義文件既包括該惡意軟件簽名也包括在一個(gè)第一時(shí)間段內(nèi)接收的 第二多個(gè)惡意軟件���,該第一時(shí)間段先于該限定的時(shí)間開(kāi)始和結(jié)束,并且該流式簽名定義文 件的發(fā)布發(fā)生在該第一時(shí)間段結(jié)束時(shí)�����。本發(fā)明的以上實(shí)施方案的多個(gè)方面響應(yīng)于來(lái)自第一節(jié)點(diǎn)的一個(gè)請(qǐng)求(當(dāng)該請(qǐng)求 是在該第一結(jié)束時(shí)間之后接收到時(shí))提供了對(duì)該流式簽名定義文件進(jìn)行的發(fā)布以便包括 傳輸該流式簽名定義文件�。本發(fā)明的以上實(shí)施方案的另一方面提供了組裝并發(fā)布包括第 三組惡意軟件簽名的一個(gè)第二流式簽名定義文件,其中該第二流式簽名定義文件的組裝發(fā) 生在一個(gè)第二時(shí)間段內(nèi)���,該第二時(shí)間段是在該第一時(shí)間段的結(jié)束之后并且先于該限定的時(shí) 間��。以上實(shí)施方案的另外一個(gè)方面提供了在該第二時(shí)間段結(jié)束時(shí)用該第二流式簽名定義文 件替代該第一流式簽名定義文件�����。本發(fā)明的以上實(shí)施方案的另一方面提供了通過(guò)將該惡意 軟件簽名附在一個(gè)列表之后來(lái)組裝該流式簽名定義文件�����,該列表包括該第二組惡意軟件簽 名的一個(gè)或多個(gè)惡意軟件簽名�。本發(fā)明的以上實(shí)施方案的一個(gè)額外的方面提供了通過(guò)將指 向該惡意軟件簽名的位置的一個(gè)指示符附在一個(gè)列表之后來(lái)組裝該流式簽名定義文件���,該 列表包括指向該第二多個(gè)惡意軟件簽名的對(duì)應(yīng)的多個(gè)惡意軟件簽名的一個(gè)或多個(gè)指示符�����。
通過(guò)參見(jiàn)附圖可以更好地理解本發(fā)明���,并且使其眾多的目的����、特征和優(yōu)點(diǎn)對(duì)本領(lǐng) 域的技術(shù)人員而言變得清楚��。圖1是一個(gè)簡(jiǎn)化框圖����,展示了用于將反惡意軟件簽名分發(fā)給多個(gè)反惡意軟件客戶(hù) 端的一種網(wǎng)絡(luò)配置。圖2是引至傳輸所發(fā)布的簽名定義的過(guò)程的一個(gè)簡(jiǎn)化流程圖��。圖3是根據(jù)本發(fā)明的多個(gè)實(shí)施方案的一種惡意軟件簽名發(fā)布過(guò)程的簡(jiǎn)化流程圖�����, 該過(guò)程是由簽名更新服務(wù)器110進(jìn)行的��。圖4是一個(gè)簡(jiǎn)化框圖��,展示了結(jié)合本發(fā)明的多個(gè)實(shí)施方案一種簽名更新服務(wù)器 110。圖5是一個(gè)簡(jiǎn)化流程圖��,展示了根據(jù)本發(fā)明的多個(gè)實(shí)施方案的由一個(gè)客戶(hù)端計(jì)算 機(jī)進(jìn)行的簽名定義更新過(guò)程�����。圖6描繪了適合用于實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一種計(jì)算機(jī)系統(tǒng)的框圖�����。圖7是描繪了適合用于實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一種網(wǎng)絡(luò)體系結(jié)構(gòu)的框圖�。
具體實(shí)施例方式本發(fā)明提供了一種機(jī)制�,該機(jī)制用于通過(guò)使用添加的或“流式的”定義數(shù)據(jù)包來(lái)提 供頻繁的簽名定義更新。本發(fā)明的多個(gè)實(shí)施方案通過(guò)不僅在一個(gè)長(zhǎng)的周期性上(例如�,在 小時(shí)的級(jí)別上)發(fā)布完整簽名定義更新而且在一個(gè)短的周期性上(例如,在分鐘的級(jí)別上)發(fā)布包含新驗(yàn) 定的簽名定義的流式定義更新來(lái)提供此類(lèi)功能性���。當(dāng)結(jié)合本發(fā)明的多個(gè)實(shí)施 方案的簽名更新服務(wù)器接收新驗(yàn)定的惡意軟件簽名定義時(shí)�,那些新驗(yàn)定的簽名定義不僅被 包含在完整簽名定義文件中而且也被包含在一種流式簽名定義更新中���,這種流式簽名定義 更新僅包含在一個(gè)流式更新周期內(nèi)所接收的新驗(yàn)定的簽名定義����。在該流式更新周期結(jié)束 時(shí),通過(guò)發(fā)布給多個(gè)反惡意軟件客戶(hù)端�����,簽名更新服務(wù)器使一個(gè)流式簽名定義文件變得可 供使用�。一個(gè)流式簽名定義文件僅包含那些在組裝周期內(nèi)所接收的用于該流式定義文件的 簽名定義。本發(fā)明的多個(gè)實(shí)施方案在發(fā)布新的流式簽名定義文件時(shí)用一個(gè)新的流式簽名定 義文件替代一個(gè)先前的流式簽名定義文件����。使用本發(fā)明的多個(gè)實(shí)施方案的反惡意軟件客戶(hù)端以一種添加式方式將在該流式 簽名定義文件中接收的簽名定義結(jié)合在先前接收的流式簽名定義中以及最直接在前的完 整定義文件中接收的那些中。當(dāng)接收新發(fā)布的完整簽名定義文件(它結(jié)合了先前在流式簽 名定義文件中接收的多個(gè)簽名)時(shí)�,使用本發(fā)明的多個(gè)實(shí)施方案的反惡意軟件客戶(hù)端停止 使用那些簽名的先前接收的流式定義而是僅使用在該完整簽名定義文件中的發(fā)現(xiàn)的那些 定義。以此方式�,結(jié)合本發(fā)明的多個(gè)實(shí)施方案的反惡意軟件客戶(hù)端能夠在新惡意軟件簽 名的驗(yàn)定之后以分鐘的級(jí)別接收簽名定義更新。此外�����,因?yàn)榱魇胶灻x文件僅包含那些 在流式定義組裝周期內(nèi)接收的簽名���,所以本發(fā)明的多個(gè)實(shí)施方案能夠節(jié)省網(wǎng)絡(luò)帶寬資源�。圖1是一個(gè)簡(jiǎn)化的框圖��,展示了用于將反惡意軟件簽名分發(fā)給多個(gè)反惡意軟件客 戶(hù)端的一種網(wǎng)絡(luò)配置�����。簽名更新服務(wù)器110是由一個(gè)反惡意軟件的軟件提供商來(lái)維護(hù)的。 簽名更新服務(wù)器110是與簽名數(shù)據(jù)庫(kù)115相關(guān)聯(lián)的��,該簽名數(shù)據(jù)庫(kù)存儲(chǔ)了已經(jīng)被驗(yàn)定的惡 意軟件簽名以便用于發(fā)布給該反惡意軟件的軟件提供商的多個(gè)客戶(hù)端��。簽名更新服務(wù)器通 過(guò)外部網(wǎng)絡(luò)130(例如�,廣域網(wǎng)如互聯(lián)網(wǎng))客連接戶(hù)端計(jì)算機(jī)120(1)-(M)上�。通過(guò)這種網(wǎng) 絡(luò)連接,簽名更新服務(wù)器110可以使用多種的數(shù)據(jù)傳輸協(xié)議將簽名定義文件更新提供給客 戶(hù)端計(jì)算機(jī)120(1)-(M)�。可替代地�,簽名更新服務(wù)器110能夠與一個(gè)或多個(gè)簽名分發(fā)服務(wù) 器(未示出)相連接,這些簽名分發(fā)服務(wù)器進(jìn)而負(fù)責(zé)將已經(jīng)由簽名更新服務(wù)器110發(fā)布的 簽名更新文件分發(fā)給該客戶(hù)端計(jì)算機(jī)群體��。以此方式���,分發(fā)的職責(zé)可以通過(guò)這些分發(fā)服務(wù) 器中的每一個(gè)按地域分發(fā)����。由簽名更新服務(wù)器110分發(fā)的惡意軟件簽名可以是由在一個(gè)或多個(gè)處理節(jié)點(diǎn)上 執(zhí)行的一個(gè)或多個(gè)分析引擎HO(I)-(N)生成的�。因?yàn)樾碌膼阂廛浖?shí)例是被反惡意軟件 的軟件提供商發(fā)現(xiàn)的,所以這些惡意軟件實(shí)例被提供給分析引擎HO(I)-(N)以便確定用 于識(shí)別該惡意軟件實(shí)例的一個(gè)合適的簽名�。此類(lèi)分析可以生成基于從惡意軟件本體中提取 的數(shù)據(jù)的多個(gè)簽名���,包括例如字符串模式、校驗(yàn)和�、行為模式、文件幾何結(jié)構(gòu)��、執(zhí)行流程幾何 結(jié)構(gòu)�、以及編碼命令的統(tǒng)計(jì)分布、或它們的一種組合�。對(duì)于更復(fù)雜的惡意軟件(例如,多態(tài) 或變形惡意軟件)���,可以使用更為處理密集型的簽名生成�,如仿真技術(shù)���,其中在一種受控的�����、 模擬的環(huán)境中執(zhí)行潛在的惡意軟件以便確定該惡意軟件的行為���。一旦分析引擎140(1)-(N)已經(jīng)確定對(duì)應(yīng)于該惡意軟件實(shí)例的一個(gè)合適的簽名, 驗(yàn)定服務(wù)器150 (I)-(P)可以確定使用所生成的簽名是否會(huì)生成一個(gè)誤肯定的結(jié)果�。例如�����, 一個(gè)驗(yàn)定服務(wù)器可以維護(hù)一個(gè)干凈的公知文件的文件集合����,這些公知文件可以在一臺(tái)典型 的客戶(hù)端計(jì)算機(jī)上發(fā)現(xiàn)(例如�����,操作系統(tǒng)文件��、典型的應(yīng)用程序�、以及類(lèi)似的文件)�����。在由一個(gè)散列或校驗(yàn)和(例如���,CRC)生成的一個(gè)簽名的情況中�����,對(duì)惡意軟件的校驗(yàn)和簽名可以類(lèi) 似地與用于干凈的文件集合中的每個(gè)文件所生成的校驗(yàn)和進(jìn)行對(duì)比而被校驗(yàn)����。一個(gè)數(shù)據(jù)庫(kù) 可以包含有關(guān)該干凈的文件集合(例如,以不同方式生成的散列或校驗(yàn)和中的一個(gè)或多個(gè) 的集合)中的每個(gè)文件的元信息并且可以對(duì)比這個(gè)數(shù)據(jù)庫(kù)進(jìn)行一次查詢(xún)�。如果所提出的惡 意軟件簽名與對(duì)該干凈的文件集合中的一個(gè)文件所生成的一個(gè)簽名相匹配,則廢棄該惡意 軟件簽名而采用由一個(gè)替代分析引擎生成的一個(gè)基于散列的簽名或者從該惡意軟件文件 的一個(gè)更大的采樣中生成的一個(gè)散列或校驗(yàn)和�����。一旦一個(gè)簽名通過(guò)驗(yàn)定階段��,那么通過(guò)內(nèi) 部網(wǎng)絡(luò)160使該簽名對(duì)于簽名更新服務(wù)器110可供使用����。不同類(lèi)型的惡意軟件分析可能花費(fèi)不同的時(shí)間。例如����,一個(gè)散列或校驗(yàn)和的生成 及誤肯定測(cè)試比一個(gè)多態(tài)惡意軟件實(shí)例的行為仿真需要顯著地更少的時(shí)間,因?yàn)榉抡婧灻?必須針對(duì)該干凈的文件集合中的每個(gè)文件的仿真進(jìn)行測(cè)試���。另外���,由不同類(lèi)型的分析生成 的簽名可能具有不同的長(zhǎng)度并且將由客戶(hù)端軟件以不同的方式來(lái)使用。本發(fā)明的多個(gè)實(shí)施 方案并不限于惡意軟件或其驗(yàn)定的特定分析方法���。圖2是引至傳輸所發(fā)布的簽名定義的一種過(guò)程的簡(jiǎn)化流程圖��。一旦已經(jīng)識(shí)別了潛 在的惡 意軟件(210)�����,那么該惡意軟件被提交用于分析(220)(例如�����,由分析引擎140進(jìn)行分 析)���。如以上所討論的�����,分析過(guò)程可能涉及多種多樣的分析機(jī)制,這些分析機(jī)制被設(shè)計(jì)為最 終生成一個(gè)惡意軟件簽名(230)����。然后,所生成的惡意軟件簽名被提交用于針對(duì)誤肯定的驗(yàn) 定(240)�����。如以上所討論的,誤肯定分析是通過(guò)將該惡意軟件的簽名與通過(guò)相同的方法對(duì)在 該一個(gè)干凈的文件集合中文件所生成的簽名進(jìn)行比較來(lái)進(jìn)行的���。進(jìn)行這樣一種驗(yàn)定比較是 為了避免使客戶(hù)端反惡意軟件的軟件移除實(shí)際上應(yīng)當(dāng)在一臺(tái)客戶(hù)端計(jì)算機(jī)上的文件����,如操 作系統(tǒng)文件和應(yīng)用程序文件�。如果檢測(cè)到一個(gè)誤肯定(245),那么該惡意軟件被提交用于進(jìn) 一步的分析以便生成一個(gè)替代惡意簽名�。一旦一個(gè)惡意軟件簽名已經(jīng)通過(guò)了該驗(yàn)定過(guò)程,那么該簽名將準(zhǔn)備好被提供給簽 名更新服務(wù)器110并且最終由該簽名更新服務(wù)器發(fā)布(250)���。本發(fā)明的多個(gè)實(shí)施方案通過(guò) 一個(gè)完整簽名定義更新和一個(gè)流式簽名定義更新兩者來(lái)進(jìn)行一個(gè)惡意軟件簽名的發(fā)布����。以 下將更全面地說(shuō)明該發(fā)布過(guò)程�����。當(dāng)發(fā)布多個(gè)惡意軟件簽名時(shí)����,這些惡意軟件簽名被傳送至 反惡意軟件的軟件提供商的多個(gè)客戶(hù)端(260)。圖3是根據(jù)本發(fā)明的實(shí)施方案的一種惡意軟件簽名發(fā)布過(guò)程的簡(jiǎn)化流程圖,該過(guò) 程是由簽名更新服務(wù)器110進(jìn)行的����。當(dāng)接收一個(gè)驗(yàn)定的惡意軟件簽名時(shí)(310),簽名更新服 務(wù)器遵循針對(duì)該驗(yàn)定的惡意軟件簽名的一個(gè)并行發(fā)布路徑����。在一個(gè)發(fā)布路徑中(320-340), 該驗(yàn)定的惡意軟件簽名被結(jié)合進(jìn)入一個(gè)完整簽名定義文件的下一個(gè)版本中����。如以上所討 論的,針對(duì)一個(gè)完整簽名定義文件的組裝和發(fā)布時(shí)間幀是在小時(shí)的級(jí)別上����。第二發(fā)布路徑 (350-370)將該驗(yàn)定的惡意軟件簽名整合進(jìn)入下一個(gè)流式簽名定義文件中����。同樣如以上所 討論的���,在多個(gè)時(shí)間段內(nèi)在分鐘的級(jí)別上發(fā)布多個(gè)流式簽名定義文件。在完整簽名定義發(fā)布路徑中����,所接收的驗(yàn)定的惡意軟件簽名被整合進(jìn)入下一個(gè)完 整簽名定義文件中(320)。這樣一個(gè)整合過(guò)程不僅包括將新到達(dá)的驗(yàn)定的惡意軟件簽名添 加到完整定義文件中而且包括在該簽名已經(jīng)被添加后核實(shí)該完整簽名定義文件的完整性�����。 一個(gè)完整簽名定義文件結(jié)合了一個(gè)優(yōu)化樹(shù)中的多個(gè)簽名����,該優(yōu)化樹(shù)包括與這些包含的簽名 相關(guān)聯(lián)的不同的數(shù)據(jù)結(jié)構(gòu)。在本發(fā)明的一個(gè)實(shí)施方案中�����,優(yōu)化樹(shù)的目標(biāo)是具有高性能的一個(gè)小的數(shù)據(jù)文件����。將新到達(dá)的驗(yàn)定的惡意軟件簽名包含到完整簽名定義文件中涉及將該新 簽名結(jié)合進(jìn)入該優(yōu)化樹(shù)中。由簽名更新服務(wù)器做出一個(gè)確定�����,該確定是關(guān)于該完整簽名定義文件是否已經(jīng)滿(mǎn) 足一個(gè)發(fā)布閾值時(shí)間(325)�����。如果尚未滿(mǎn)足該發(fā)布閾值時(shí)間��,那么簽名更新服務(wù)器等待接收 下一個(gè)驗(yàn)定的惡意軟件簽名用于整合到完整簽名定義文件中。如果該完整簽名定義文件已 經(jīng)滿(mǎn)足了該發(fā)布閾值時(shí)間����,那么簽名更新服務(wù)器發(fā)起一個(gè)進(jìn)程用于發(fā)布該完整簽名定義文 件?�?商娲?���,閾值可以被設(shè)定為將被包括在該完整簽名定義文件的下一個(gè)版本中的新驗(yàn) 定的惡意軟件簽名的一個(gè)數(shù)目,并 且一旦該簽名的數(shù)目已經(jīng)達(dá)到���,則可以發(fā)布一個(gè)新的完 整簽名定義文件��。為了發(fā)布該完整簽名定義文件�����,簽名更新服務(wù)器建立并存儲(chǔ)多個(gè)增量定義數(shù)據(jù)包 用于分發(fā)給多個(gè)可能的客戶(hù)端數(shù)據(jù)版本(330)��。為了節(jié)省網(wǎng)絡(luò)帶寬資源����,一個(gè)完整簽名定 義文件不需要在每次發(fā)布一個(gè)完整簽名定義文件時(shí)被傳送至每個(gè)客戶(hù)端計(jì)算機(jī)�。取而代 之�,一個(gè)客戶(hù)端僅需要下載自從該客戶(hù)端的一個(gè)完整簽名定義文件的上次下載起已經(jīng)被改 變或添加的那部分完整簽名定義樹(shù)�。由于一臺(tái)客戶(hù)端計(jì)算機(jī)可能在最近發(fā)布的一個(gè)完整簽 名定義文件時(shí)還沒(méi)有啟用����,該客戶(hù)端計(jì)算機(jī)可以請(qǐng)求自從上次在該客戶(hù)端計(jì)算機(jī)上下載并 存儲(chǔ)的該完整簽名定義文件的版本時(shí)起已經(jīng)改變或添加的那些定義。為了協(xié)助這個(gè)過(guò)程����, 簽名更新服務(wù)器110為由多個(gè)客戶(hù)端計(jì)算機(jī)維護(hù)的多種的預(yù)期的完整簽名定義文件版本 準(zhǔn)備僅包括對(duì)該完整簽名定義文件的那些改變的增量定義文件。在本發(fā)明的一個(gè)實(shí)施方案 中��,以上討論的優(yōu)化樹(shù)的另外一個(gè)目標(biāo)是以使這些增量定義文件的大小最小化的方式來(lái)構(gòu) 建這個(gè)樹(shù)�����。然后��,本發(fā)明的多個(gè)實(shí)施方案可以生成一個(gè)文件��,該文件包含指向每個(gè)增量定義 文件的多個(gè)指示符并且使那些指示符與安裝在一臺(tái)客戶(hù)端計(jì)算機(jī)上的完整簽名定義文件 的多個(gè)對(duì)應(yīng)的版本相關(guān)聯(lián)(335)�����。這個(gè)文件(被稱(chēng)為迷你驅(qū)動(dòng)文件)被提供給這些客戶(hù)端 計(jì)算機(jī)并且使得這些客戶(hù)端計(jì)算機(jī)能夠訪(fǎng)問(wèn)該完整簽名定義文件的合適的增量定義集合 以便對(duì)該客戶(hù)端計(jì)算機(jī)上的完整簽名定義文件進(jìn)行更新����。一旦建立了該完整簽名定義迷你驅(qū)動(dòng)文件�,簽名更新服務(wù)器1 10可以將該完整 簽名定義迷你驅(qū)動(dòng)文件傳送至多個(gè)客戶(hù)端計(jì)算機(jī)120(1)-(M)上�����。本發(fā)明的多個(gè)實(shí)施方案 能夠以多種多樣的方式提供這些完整簽名定義的迷你驅(qū)動(dòng)文件的傳輸�����。例如���,以一種“拉動(dòng) 傳輸模型”����,一臺(tái)客戶(hù)端計(jì)算機(jī)可以跟蹤由該客戶(hù)端計(jì)算機(jī)維護(hù)的對(duì)該完整簽名定義文件 的上次更新的時(shí)間并且如果自從該更新起的已經(jīng)經(jīng)過(guò)一個(gè)閾值時(shí)間段�����,那么該客戶(hù)端計(jì)算 機(jī)可以從簽名更新服務(wù)器110或一個(gè)指定的分發(fā)服務(wù)器請(qǐng)求完整簽名定義迷你驅(qū)動(dòng)文件 的最近版本��?����?商娲兀砸环N“推動(dòng)傳輸方式”�����,簽名更新服務(wù)器110(或一個(gè)指定的分發(fā) 服務(wù)器)可以在已經(jīng)滿(mǎn)足該發(fā)布閾值周期之后的任何時(shí)間傳送該完整簽名定義迷你驅(qū)動(dòng) 文件���。在這樣一種推動(dòng)模型中,等待聽(tīng)取該傳輸?shù)娜魏慰蛻?hù)端計(jì)算機(jī)將接收該完整簽名定 義迷你驅(qū)動(dòng)文件并且開(kāi)始對(duì)駐存在該客戶(hù)端上的完整簽名定義文件的更新過(guò)程�。在并行發(fā)布過(guò)程中這個(gè)驗(yàn)定的惡意軟件簽名在一個(gè)流式簽名定義文件中的發(fā)布 與在完整簽名定義文件中的發(fā)布具有某些不同之處。當(dāng)接收該驗(yàn)定的惡意軟件簽名時(shí)��,該 簽名被整合到下一個(gè)流式簽名定義文件中(350)��。流式簽名定義文件不要求完整簽名定義 文件的優(yōu)化樹(shù)結(jié)構(gòu)���。取而代之�����,該簽名本身或指向該簽名的一個(gè)指示符被包括在該流式簽名定義文件中���。可以做到這一點(diǎn)部分地是因?yàn)閮H有那些在正在建立流式簽名定義文件的周 期內(nèi)到達(dá)的簽名將存在于下一次發(fā)布的簽名定義文件中���。因此���,流式簽名定義文件中的數(shù) 據(jù)量將顯著地小于一個(gè)完整簽名定義文件中的數(shù)據(jù)量��。對(duì)于是否已經(jīng)經(jīng)過(guò)用于發(fā)布下一個(gè) 流式簽名定義文件的一個(gè)流式閾值時(shí)間做出了一個(gè)確定(355)����。如果沒(méi)有�,那么簽名更新服 務(wù)器等待接收下一個(gè)驗(yàn)定的惡意軟件簽名(310)。如以上所討論的�,用于發(fā)布一個(gè)流式簽名 定義文件的閾值周期顯著地小于用于發(fā)布一個(gè)完整簽名定義文件的閾值周期,并且在本發(fā) 明的一種實(shí)施方案中��,該閾值周期旨在處于分鐘的級(jí)別上(例如�,5分鐘)。
如果已經(jīng)經(jīng)過(guò)該流式簽名定義發(fā)布閾值時(shí)間�,那么簽名更新服務(wù)器110可以建立 這個(gè)流式簽名定義文件(360)。與完整簽名定義迷你驅(qū)動(dòng)文件不同�����,流式簽名定義文件旨 在包括正在該流式簽名定義中發(fā)布的這些簽名本身��。假如一個(gè)簽名對(duì)于直接發(fā)布在流式簽 名定義文件中而言太長(zhǎng),那么可以提供對(duì)于該簽名的一個(gè)指示符����。于是,本發(fā)明的多個(gè)實(shí) 施方案可以用剛剛建立的流式簽名定義文件的版本替代該流式簽名定義文件的先前版本 (365)���。因此��,正在發(fā)布給多個(gè)客戶(hù)端的一個(gè)流式簽名定義文件僅包含在一個(gè)周期以?xún)?nèi)已經(jīng) 被簽名更新服務(wù)器接收的那些驗(yàn)定的惡意軟件簽名(或指向它們的指示符)����,在該周期內(nèi)��, 建立了當(dāng)前的流式簽名定義文件(例如�,在當(dāng)前流式簽名定義文件的發(fā)布前的5分鐘的周 期)����。然后,本發(fā)明的多個(gè)實(shí)施方案可以將流式簽名定義文件的當(dāng)前版本傳送給多個(gè)客戶(hù)端 計(jì)算機(jī)(370)����。如以上所討論的,可以使用推動(dòng)傳輸模型或拉動(dòng)傳輸模型來(lái)進(jìn)行此類(lèi)傳輸并 且可以由簽名更新服務(wù)器直接地對(duì)客戶(hù)端進(jìn)行或間接地通過(guò)分發(fā)服務(wù)器來(lái)進(jìn)行����。以上說(shuō)明的用于分發(fā)驗(yàn)定的惡意軟件簽名的并行發(fā)布方法允許向反惡意軟件的 軟件提供商的多個(gè)客戶(hù)端快速的發(fā)布新到達(dá)的經(jīng)驗(yàn)定的惡意軟件簽名��。并行發(fā)布方法還認(rèn) 識(shí)到當(dāng)每個(gè)流式簽名定義文件變得可用時(shí)�,不是每個(gè)客戶(hù)端計(jì)算機(jī)都將能夠用于下載��。對(duì) 于由在發(fā)布一個(gè)流式簽名定義文件的時(shí)候不可用的一個(gè)客戶(hù)端錯(cuò)過(guò)的那些簽名定義�,該客 戶(hù)端可以在下次下載一個(gè)完整簽名定義文件時(shí)補(bǔ)上。因此�,這個(gè)客戶(hù)端計(jì)算機(jī)能夠一種快 速的方式得到保護(hù)而不受具有一個(gè)新驗(yàn)定的簽名的惡意軟件的危害,但是在任何情況下都 不會(huì)在長(zhǎng)于該客戶(hù)端下次更新至完整的簽名定義文件時(shí)仍然無(wú)保護(hù)�。圖4是一個(gè)簡(jiǎn)化框圖,展示了結(jié)合本發(fā)明的多個(gè)實(shí)施方案的一種簽名更新服務(wù)器 110��。如以上所討論的�����,簽名更新服務(wù)器110從多個(gè)驗(yàn)定服務(wù)器150(l)-(p)接收多個(gè)驗(yàn)定 的惡意軟件簽名�����。簽名更新服務(wù)器Iio的多個(gè)實(shí)施方案提供了一個(gè)處理器410用于處理這 些驗(yàn)定的惡意軟件簽名����、準(zhǔn)備這些完整簽名定義和流式簽名定義、并且向反惡意軟件的軟 件提供商的多個(gè)客戶(hù)端提供那些定義文件。圖4展示了正在由處理器410內(nèi)的一個(gè)簽名處 理模塊420接收的多個(gè)驗(yàn)定的惡意軟件簽名����。簽名處理模塊420被配置為將該驗(yàn)定的惡意 軟件簽名存儲(chǔ)在簽名數(shù)據(jù)庫(kù)115中?����?商娲?��,一個(gè)驗(yàn)定服務(wù)器可以直接地將該驗(yàn)定的惡 意軟件簽名存儲(chǔ)在簽名數(shù)據(jù)庫(kù)115中并且然后可以向簽名處理模塊420提供一個(gè)指示即一 個(gè)新驗(yàn)定的惡意軟件簽名已經(jīng)被存儲(chǔ)在簽名數(shù)據(jù)庫(kù)115中�����。簽名處理模塊420被進(jìn)一步配置為將所接收的驗(yàn)定的惡意軟件簽名提供給一個(gè) 完整簽名定義組裝模塊430以及一個(gè)流式簽名定義組裝模塊440。完整簽名定義組裝模塊 430被配置為將新到達(dá)的惡意軟件簽名整合到完整簽名定義樹(shù)435中�����,并且進(jìn)一步在合適 的發(fā)布時(shí)間提供該完整簽名定義文件的發(fā)布�。因此,完整簽名定義組裝模塊可以被進(jìn)一步 配置為當(dāng)用于發(fā)布完整的簽名定義文件的閾值時(shí)間已經(jīng)到達(dá)時(shí)建立先前討論的增量定義數(shù)據(jù)包以及完整簽名 定義迷你驅(qū)動(dòng)文件�����。類(lèi)似地,流式簽名定義組裝模塊440被配置為將 新到達(dá)的簽名整合到正在被結(jié)合進(jìn)入下一個(gè)流式簽名定義文件中的簽名列表中(445)����。流 式簽名定義組裝模塊440還可以被配置為在發(fā)布時(shí)間建立流式簽名定義文件并且替代先 前發(fā)布的流式簽名定義文件,如以上所討論的��。因此�,當(dāng)用于發(fā)布流式簽名定義文件的閾值 時(shí)間已經(jīng)達(dá)到時(shí),流式簽名定義組裝模塊440可以執(zhí)行與發(fā)布一個(gè)流式簽名定義文件有關(guān) 的任務(wù)��。如所展示的��,簽名更新服務(wù)器110包括一個(gè)通信模塊450�����,該通信模塊用于從多個(gè) 客戶(hù)端計(jì)算機(jī)接收信息以及將信息傳送至多個(gè)客戶(hù)端計(jì)算機(jī)��。通信模塊450可以使用多種 的協(xié)議來(lái)進(jìn)行這些任務(wù)���,這些協(xié)議包括例如用于與安裝在這些客戶(hù)端計(jì)算機(jī)上的反惡意軟 件的軟件進(jìn)行通信的一種應(yīng)用程序接口�。通信模塊450被配置為將從多個(gè)客戶(hù)端接收的請(qǐng) 求提供給處理器410內(nèi)的請(qǐng)求分析器460����。請(qǐng)求分析器460被配置為確定從一個(gè)客戶(hù)端接 收的請(qǐng)求的性質(zhì)并且將該請(qǐng)求提供給一個(gè)合適的請(qǐng)求處理模塊���。例如,在拉動(dòng)傳輸方式的 運(yùn)行中�����,如果一個(gè)客戶(hù)端請(qǐng)求下載一個(gè)完整簽名定義文件��,那么請(qǐng)求分析器460將該請(qǐng)求 提供給完整簽名定義請(qǐng)求模塊470�����。類(lèi)似地�,如果請(qǐng)求分析器460接收了針對(duì)流式簽名定義 文件的一個(gè)請(qǐng)求,那么請(qǐng)求分析器460將該請(qǐng)求提供給流式簽名定義請(qǐng)求模塊480��。響應(yīng)于針對(duì)一個(gè)完整簽名定義文件的請(qǐng)求��,完整簽名定義請(qǐng)求模塊470可以從完 整簽名定義存儲(chǔ)區(qū)域435中檢索最近的完整簽名定義迷你驅(qū)動(dòng)文件并且將該完整簽名定 義迷你驅(qū)動(dòng)文件提供給通信模塊450用于傳輸給發(fā)出請(qǐng)求的客戶(hù)端����。響應(yīng)于接收該完整簽 名定義迷你驅(qū)動(dòng)文件�,然后該發(fā)出請(qǐng)求的客戶(hù)端可以從簽名更新服務(wù)器110請(qǐng)求一個(gè)合適 的增量定義文件。然后����,請(qǐng)求分析器460可以將針對(duì)該增量定義文件的請(qǐng)求轉(zhuǎn)發(fā)給完整簽 名定義請(qǐng)求模塊470�,然后該完整簽名定義請(qǐng)求模塊可以在完整簽名定義存儲(chǔ)區(qū)域435中 檢索該增量定義文件并且將其提供給通信模塊450用于傳輸給請(qǐng)求客戶(hù)端�����?��?商娲?�,該 完整簽名定義迷你驅(qū)動(dòng)文件可以包括指向一個(gè)分離的分發(fā)服務(wù)器中的一個(gè)存儲(chǔ)區(qū)域的指 示符�����,該分離的服務(wù)器被確切地配置為將多個(gè)增量定義文件提供給多個(gè)請(qǐng)求客戶(hù)端�。如果請(qǐng)求分析器460接收了針對(duì)一個(gè)流式簽名定義文件的請(qǐng)求����,那么請(qǐng)求分析器 460將該請(qǐng)求提供給流式簽名定義請(qǐng)求模塊480。然后��,流式簽名定義請(qǐng)求模塊480可以從 流式簽名定義存儲(chǔ)區(qū)域445中檢索最近的流式簽名定義文件并且通過(guò)通信模塊450將該流 式簽名定義文件提供給該發(fā)出請(qǐng)求的客戶(hù)端���。如以上所討論的�����,流式簽名定義文件可以包 含在當(dāng)前發(fā)布周期內(nèi)從這些驗(yàn)定服務(wù)器接收的這些驗(yàn)定的惡意軟件簽名的全部版本或者 指向該簽名的位置的一個(gè)指示符���,該發(fā)出請(qǐng)求的客戶(hù)端可以從這個(gè)位置下載該簽名���。響應(yīng)于接收指向一個(gè)流式簽名定義迷你驅(qū)動(dòng)文件內(nèi)的一個(gè)惡意軟件簽名的指示 符,一個(gè)客戶(hù)端可以將針對(duì)該簽名的一個(gè)請(qǐng)求提交給簽名更新服務(wù)器110�。當(dāng)接收到該簽名 請(qǐng)求時(shí),請(qǐng)求分析器460可以將該簽名請(qǐng)求提供給一個(gè)簽名請(qǐng)求模塊490�����,該簽名請(qǐng)求模塊 可以從簽名數(shù)據(jù)庫(kù)115中檢索所請(qǐng)求的簽名并且將所請(qǐng)求的簽名通過(guò)通信模塊450提供給 發(fā)出請(qǐng)求的客戶(hù)端��?�?商娲?����,如上所述��,指向未被包含在流式簽名定義迷你驅(qū)動(dòng)文件中的 簽名的指示符可以被指向一個(gè)分離的分發(fā)服務(wù)器�,該分離的分發(fā)服務(wù)器被配置為將多個(gè)簽 名提供給發(fā)出請(qǐng)求的客戶(hù)端。應(yīng)當(dāng)指出��,盡管圖4展示了已經(jīng)被說(shuō)明為進(jìn)行特定任務(wù)的不同模塊����,本發(fā)明的多 個(gè)實(shí)施方案并不限于這樣一種配置。例如��,被說(shuō)明為正在由兩個(gè)或更多個(gè)分離的模塊執(zhí)行的任務(wù)可以由一個(gè)單一的模塊來(lái)執(zhí)行����。另外,已經(jīng)被說(shuō)明為由一個(gè)數(shù)據(jù)庫(kù)提供的存儲(chǔ)能夠 替代性地由其他可接受的數(shù)據(jù)的結(jié)構(gòu)提供��。 圖5是一個(gè)簡(jiǎn)化流程圖����,展示了根據(jù)本發(fā)明的多個(gè)實(shí)施方案由一個(gè)客戶(hù)端計(jì)算 機(jī)進(jìn)行的簽名定義更新過(guò)程。作為一個(gè)初始步驟�,客戶(hù)端計(jì)算機(jī)啟動(dòng)反惡意軟件的軟件 (505)。這個(gè)啟動(dòng)過(guò)程可以包括確定安裝在客戶(hù)端上的完整簽名定義文件以及任何流式簽 名定義文件的上次更新的時(shí)間���。關(guān)于用于完整流式簽名集合的上次更新時(shí)間是否在用于更 新完整流式定義文件的一個(gè)閾值以上(510)的確定是由客戶(hù)端做出的�。如以上所討論的����, 一個(gè)完整流式定義閾值時(shí)間典型地是在小時(shí)的級(jí)別上(例如����,8小時(shí))��。如果完整流式定義 集合的上次更新超過(guò)了預(yù)定的閾值時(shí)間�,那么客戶(hù)端可以請(qǐng)求并接收最近的完整簽名定義 迷你驅(qū)動(dòng)文件(515)。然后�����,客戶(hù)端可以將與該完整流式定義集合的當(dāng)前更新相關(guān)聯(lián)的一個(gè) 版本號(hào)與在該完整流式定義迷你驅(qū)動(dòng)文件中識(shí)別的多個(gè)版本進(jìn)行比較以便對(duì)與一個(gè)合適 的增量定義文件相關(guān)聯(lián)的信息進(jìn)行識(shí)別(520)�。一旦已經(jīng)識(shí)別了針對(duì)合適的增量定義文件 的信息,那么客戶(hù)端可以請(qǐng)求并接收該合適的增量定義文件(525)��。如以上所討論的�����,客戶(hù) 端可以向簽名更新服務(wù)器亦或一個(gè)識(shí)別的分發(fā)服務(wù)器請(qǐng)求一個(gè)增量定義文件�����。當(dāng)接收到所請(qǐng)求的增量定義文件時(shí),客戶(hù)端可以使用該增量定義文件中的信息對(duì) 安裝在客戶(hù)端上的完整簽名定義集合進(jìn)行更新(530)�。如以上所討論的,該增量定義文件包 含與自從客戶(hù)端計(jì)算機(jī)上的完整簽名定義集合的先前安裝的版本起已經(jīng)改變的那部分完 整簽名定義樹(shù)相關(guān)的信息��。安裝在客戶(hù)端計(jì)算機(jī)上的反惡意軟件的軟件可以被配置為將由 該增量定義文件所表示的這些該變結(jié)合到安裝在客戶(hù)端計(jì)算機(jī)上的完整簽名定義集合的 有效版本中���。一旦所更新的完整簽名定義集合在客戶(hù)端計(jì)算機(jī)上是有效的,那么客戶(hù)端計(jì)算 機(jī)可以將包含在該更新的完整簽名定義集合中的任何定義的流式簽名定義數(shù)據(jù)集合清除 (535)�����。本發(fā)明的多個(gè)實(shí)施方案可以通過(guò)包含具有每個(gè)流式簽名定義的一個(gè)完整簽名定義 集合版本識(shí)別來(lái)提供這種功能性�。因此,當(dāng)安裝在一臺(tái)客戶(hù)端計(jì)算機(jī)上的完整簽名定義集 合與一個(gè)相關(guān)聯(lián)的完整流式定義集合版本標(biāo)識(shí)符相匹配時(shí)(該標(biāo)識(shí)符與一個(gè)流式簽名定 義相關(guān)聯(lián))���,可以在由該客戶(hù)端計(jì)算機(jī)維護(hù)的流式簽名定義數(shù)據(jù)集合中移除該流式簽名定 義�。然后����,一臺(tái)客戶(hù)端計(jì)算機(jī)可以被配置為確定上次流式簽名定義更新時(shí)間是否超過(guò) 了針對(duì)流式簽名定義的一個(gè)設(shè)定的閾值(540)。注意����,還可以在確定完整簽名定義更新時(shí)間 未超過(guò)完整簽名定義更新閾值之后進(jìn)行這個(gè)步驟。如果流式簽名定義更新時(shí)間未超過(guò)流式 簽名定義閾值,那么反惡意軟件的軟件可以使用當(dāng)前安裝的完整簽名定義集合以及流式簽 名定義集合來(lái)執(zhí)行功能性直至已經(jīng)達(dá)到了該流式簽名定義更新閾值��。一旦已經(jīng)達(dá)到了流式簽名定義閾值時(shí)間�����,客戶(hù)端可以從簽名更新服務(wù)器110請(qǐng)求 并接收最近的流式簽名定義迷你驅(qū)動(dòng)文件(545)���。當(dāng)接收到流式簽名定義迷你驅(qū)動(dòng)文件時(shí)�, 客戶(hù)端可以將該迷你驅(qū)動(dòng)文件中存在的流式簽名定義添加到由客戶(hù)端計(jì)算機(jī)維護(hù)的一個(gè) 流式簽名數(shù)據(jù)集合中(550)����。這個(gè)步驟還可以包括請(qǐng)求并接收未被包含在流式簽名定義迷 你驅(qū)動(dòng)文件中但是具有指向該簽名的指示符的任何簽名。一旦被結(jié)合在流式簽名定義數(shù)據(jù) 集合中�����,客戶(hù)端計(jì)算機(jī)可以使用完整簽名定義數(shù)據(jù)集合和流式簽名定義數(shù)據(jù)集合二者中的 簽名信息來(lái)進(jìn)行惡意軟件檢測(cè)和修復(fù)(555)�����。
圖5展示了在拉動(dòng)傳輸方式中起作用的一臺(tái)客戶(hù)端計(jì)算機(jī)�����,其中該客戶(hù)端計(jì)算機(jī) 啟動(dòng)完整簽名定義和流式簽名定義信息二者的傳輸?���?商娲兀粋€(gè)客戶(hù)端可以在一種推 動(dòng)傳輸方式中起作用���,其中該客戶(hù)端計(jì)算機(jī)采取一種收聽(tīng)姿態(tài),等待接收完整簽名定義和 流式簽名定義文件的傳輸�。另一個(gè)替代方案可涉及在用于完整簽名定義信息的拉動(dòng)傳輸方 式和用于流式簽名定義的推動(dòng)傳輸方式中起作用的一個(gè)客戶(hù)端。
應(yīng)當(dāng)認(rèn)識(shí)到�,如果一臺(tái)客戶(hù)端計(jì)算機(jī)與網(wǎng)絡(luò)斷開(kāi)連接或者以其他方式在任何時(shí)間 段內(nèi)是不工作的,使用圖5中展示的過(guò)程運(yùn)行的該客戶(hù)端計(jì)算機(jī)可能錯(cuò)過(guò)下載一個(gè)或多個(gè) 流式簽名定義迷你驅(qū)動(dòng)文件的機(jī)會(huì)���。由于流式簽名定義文件對(duì)于在一個(gè)完整簽名定義文件 中發(fā)現(xiàn)的信息是補(bǔ)充的并且由于每個(gè)后續(xù)流式簽名定義文件僅包含新到達(dá)的驗(yàn)定的惡意 軟件簽名��,在客戶(hù)端計(jì)算機(jī)的流式簽名定義數(shù)據(jù)集合中發(fā)現(xiàn)的簽名中可能存在空缺���。然而, 應(yīng)當(dāng)進(jìn)一步認(rèn)識(shí)到��,客戶(hù)端計(jì)算機(jī)通過(guò)完整簽名定義數(shù)據(jù)集合的下次更新將跟上更新并且 在那一點(diǎn)處將會(huì)填補(bǔ)所有的空缺����。因此,實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一臺(tái)客戶(hù)端計(jì)算機(jī) 可能不比沒(méi)有實(shí)施本發(fā)明的多個(gè)實(shí)施方案的客戶(hù)端計(jì)算機(jī)(例如,僅接收完整簽名定義的 一個(gè)客戶(hù)端)更為不利��,但是實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一個(gè)客戶(hù)端計(jì)算機(jī)可以比沒(méi)有 實(shí)施本發(fā)明的多個(gè)實(shí)施方案的客戶(hù)端計(jì)算機(jī)遠(yuǎn)為更快地潛在地得到保護(hù)不受新的惡意軟 件實(shí)例的危害����。還應(yīng)當(dāng)認(rèn)識(shí)到,客戶(hù)端計(jì)算機(jī)上的針對(duì)完整簽名定義和流式簽名定義二者 的更新閾值周期應(yīng)當(dāng)被設(shè)置為與在簽名更新服務(wù)器上設(shè)置的發(fā)布時(shí)間段相同的時(shí)間段���。本發(fā)明的多個(gè)實(shí)施方案不僅在一個(gè)客戶(hù)端上提供了簽名數(shù)據(jù)集合的更頻繁的更 新(例如在分鐘的級(jí)別上)�����,而且與更頻繁地發(fā)布完整簽名定義數(shù)據(jù)集的情況相比還以對(duì) 網(wǎng)絡(luò)帶寬使用的影響最小的方式提供了這種功能性���。因?yàn)榱魇胶灻x文件僅包含在發(fā)布 周期內(nèi)的那些新的簽名,所以實(shí)現(xiàn)了這種降低的帶寬消耗����。由于此類(lèi)簽名平均占用50字節(jié) 并且預(yù)期的是每五分鐘將會(huì)產(chǎn)生50到150個(gè)之間的新簽名,流式簽名定義迷你驅(qū)動(dòng)文件將 預(yù)期是在2500到7500字節(jié)之間���。于是����,網(wǎng)絡(luò)帶寬影響可以分散在多個(gè)分發(fā)服務(wù)器之間、并 且將取決于請(qǐng)求流式簽名定義的客戶(hù)端計(jì)算機(jī)的數(shù)目或者一個(gè)推動(dòng)傳輸分發(fā)服務(wù)器通過(guò) 它來(lái)提供那些流式簽名定義的機(jī)制(例如����,廣播或多播)。一種示例性計(jì)算和網(wǎng)絡(luò)環(huán)境如以上所示出的����,可以使用多種的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)來(lái)實(shí)施本發(fā)明。以下參見(jiàn)圖 6和圖7說(shuō)明了此類(lèi)計(jì)算和網(wǎng)絡(luò)環(huán)境的一個(gè)實(shí)例���。圖6描繪了適合用于實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一種計(jì)算機(jī)系統(tǒng)610(例如,簽 名更新服務(wù)器110和客戶(hù)端計(jì)算機(jī)120(1)-(M))的框圖�。計(jì)算機(jī)系統(tǒng)610包括總線(xiàn)612,該 總線(xiàn)將計(jì)算機(jī)系統(tǒng)610的大多數(shù)子系統(tǒng)相互連接�,如中央處理器614、系統(tǒng)存儲(chǔ)器617(典型 地RAM��,但是還可以包括ROM�、閃存RAM、或類(lèi)似的存儲(chǔ)器)����、輸入/輸出控制器618、外部音 頻裝置(如經(jīng)由音頻輸出接口 622的擴(kuò)音器系統(tǒng)620)��、外部裝置(如經(jīng)由顯示適配器626 的顯示屏624)、多個(gè)串行端口 628和630�����、鍵盤(pán)632 (與鍵盤(pán)控制器633相連接)�����、存儲(chǔ)接口 634����、可操作用于接收軟盤(pán)638的軟盤(pán)驅(qū)動(dòng)器637、可操作用于與光纖通道網(wǎng)絡(luò)690相連接 的主機(jī)總線(xiàn)適配器(HBA)接口卡635A�����、可操作用于連接到SCSI總線(xiàn)639上的主機(jī)總線(xiàn)適 配器(HBA)接口卡635B����、以及可操作用于接收光盤(pán)642的光盤(pán)驅(qū)動(dòng)器640。還包括了鼠標(biāo) 646 (或其他指向和點(diǎn)擊裝置��,通過(guò)串行端口 628與總線(xiàn)612相連接)�、調(diào)制解調(diào)器647 (通 過(guò)串行端口 630與總線(xiàn)612相連接)、以及網(wǎng)絡(luò)接口 648 (直接與總線(xiàn)612相連接)���。
總線(xiàn)612允許中央處理器614與系統(tǒng)存儲(chǔ)器617之間的數(shù)據(jù)通信��,該系統(tǒng)存儲(chǔ)器 可以包括只讀存儲(chǔ)器(ROM)或閃存(均未示出)��、以及隨機(jī)存取存儲(chǔ)器(RAM)(未示出)��, 如以上指出的 ����。RAM總體上是加載操作系統(tǒng)和應(yīng)用程序的主存儲(chǔ)器。ROM或閃存可以包含 (除其他代碼之外)基本輸入輸出系統(tǒng)(BIOS)���,該系統(tǒng)控制基本硬件操作如與外圍部件的 交互�����。駐存在計(jì)算機(jī)系統(tǒng)610中的多種應(yīng)用程序總體上存儲(chǔ)在計(jì)算機(jī)可讀媒質(zhì)(如硬盤(pán)驅(qū) 動(dòng)器(例如,固定盤(pán)644)����、光盤(pán)驅(qū)動(dòng)器(例如,光盤(pán)驅(qū)動(dòng)器640)��、軟盤(pán)單元637或其他存儲(chǔ) 媒質(zhì))上并且通過(guò)它們進(jìn)行訪(fǎng)問(wèn)��。此外,當(dāng)通過(guò)網(wǎng)絡(luò)調(diào)制解調(diào)器647或接口 648來(lái)訪(fǎng)問(wèn)時(shí)���, 應(yīng)用程序可以是處于根據(jù)應(yīng)用程序和數(shù)據(jù)通信技術(shù)進(jìn)行調(diào)制的電子信號(hào)的形式���。存儲(chǔ)接口 634連同計(jì)算機(jī)系統(tǒng)610的其他存儲(chǔ)接口可以連接到用于信息的存儲(chǔ) 和/或檢索的一種標(biāo)準(zhǔn)計(jì)算機(jī)可讀媒質(zhì)上,如固定盤(pán)驅(qū)動(dòng)器644����。固定盤(pán)驅(qū)動(dòng)器644可以 是計(jì)算機(jī)系統(tǒng)610的一部分或者可以是分離的并且通過(guò)其他接口系統(tǒng)可訪(fǎng)問(wèn)的。調(diào)制解 調(diào)器647可以通過(guò)電話(huà)鏈路提供到遠(yuǎn)程服務(wù)器上的直接連接���、或者通過(guò)互聯(lián)網(wǎng)服務(wù)提供商 (ISP)提供到互聯(lián)網(wǎng)的直接連接��。網(wǎng)絡(luò)接口 648可以通過(guò)一個(gè)直接網(wǎng)絡(luò)鏈路提供到一個(gè)遠(yuǎn) 程服務(wù)器的直接連接����、或者通過(guò)一個(gè)POP(存在點(diǎn))提供到互聯(lián)網(wǎng)的直接連接�。網(wǎng)絡(luò)接口 648還可以使用無(wú)線(xiàn)技術(shù)提供此類(lèi)連接,該無(wú)線(xiàn)技術(shù)包括數(shù)字蜂窩電話(huà)連接��、蜂窩數(shù)字包數(shù) 據(jù)(CDPD)連接�、數(shù)字衛(wèi)星數(shù)據(jù)連接、或類(lèi)似的連接�。許多其他裝置或子系統(tǒng)(未示出)能夠以類(lèi)似的方式(例如��,文檔掃描儀����、數(shù)碼照 相機(jī)��、等等)進(jìn)行連接�����。相反����,實(shí)施本發(fā)明并不需要圖6中示出的所有裝置都存在。這些裝 置和子系統(tǒng)能夠以不同于圖6中示出的方式互相連接���。如圖6中示出的計(jì)算機(jī)系統(tǒng)的操作 在本領(lǐng)域中是公知的并且未在本申請(qǐng)中進(jìn)行詳細(xì)討論�。用于實(shí)施本發(fā)明的編碼可以被存 儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)中����,如系統(tǒng)存儲(chǔ)器617����、固定盤(pán)644����、光盤(pán)642�、或軟盤(pán)638的一個(gè) 或多個(gè)中。在計(jì)算機(jī)系統(tǒng)610上提供的操作系統(tǒng)可以是MS- DOS �、MS- WINDOWS 、 OS/ 2 ����、UNIX 、Linux �、或另一種已知的操作系統(tǒng)。另外�,有關(guān)在此說(shuō)明的這些信號(hào),本領(lǐng)域的普通技術(shù)人員將會(huì)認(rèn)識(shí)到一個(gè)信號(hào)可 以被直接從一個(gè)第一方框傳送至一個(gè)第二方框�、或者一個(gè)信號(hào)在這些方框之間可以被修改 (例如,放大�、衰減、延遲��、鎖存�、緩存、逆轉(zhuǎn)���、過(guò)濾���、或其他方式的修改)�。盡管以上說(shuō)明的實(shí) 施方案的這些信號(hào)的特征是從一個(gè)方框傳送到下一個(gè)上��,本發(fā)明的其他實(shí)施方案可以包括 多種修改的信號(hào)來(lái)代替此類(lèi)直接傳送的信號(hào)�,只要在多個(gè)方框之間傳送了該信號(hào)的信息的 和/或功能的方面。因?yàn)樗婕暗碾娐返奈锢硐拗?例如�,將不可避免地有某種衰減以及 延遲),在某種程度上���,在第二方框處的信號(hào)輸入可以理解為從來(lái)自第一方框的一個(gè)第一信 號(hào)輸出中得出的一個(gè)第二信號(hào)�����。因此�,如在此所使用的�����,從一個(gè)第一信號(hào)得出的一個(gè)第二信 號(hào)包括該第一信號(hào)或?qū)υ摰谝恍盘?hào)的任何修改�,無(wú)論是因?yàn)殡娐废拗苹蚴且驗(yàn)榻?jīng)過(guò)了其他 電路元件,這些電路元件未改變?cè)摰谝恍盘?hào)的信息的和/或最終功能性方面��。圖7是一個(gè)框圖�����,它描繪了一種網(wǎng)絡(luò)體系結(jié)構(gòu)700�����,其中客戶(hù)端系統(tǒng)710���、720和 730連同存儲(chǔ)服務(wù)器740A和740B(可以使用計(jì)算機(jī)系統(tǒng)610實(shí)施它們中的任何一個(gè)) 被連接到網(wǎng)絡(luò)750上�。存儲(chǔ)服務(wù)器740A被進(jìn)一步描繪為具有直接附接的多個(gè)存儲(chǔ)裝置 760A (I)-(N)���,并且存儲(chǔ)服務(wù)器740B被描繪為具有直接附接的多個(gè)存儲(chǔ)裝置760B (I)-(N)���。 多個(gè)存儲(chǔ)服務(wù)器740A和740B還被連接到SAN光纖通道770上,盡管本發(fā)明的操作不要求 連接到存儲(chǔ)區(qū)域網(wǎng)絡(luò)上�����。SAN光纖通道770支持由存儲(chǔ)服務(wù)器740A和740B����、以及因此通過(guò)網(wǎng)絡(luò)750由客戶(hù)端系統(tǒng)710、720和730對(duì)存儲(chǔ)裝置780(1)-(N)的訪(fǎng)問(wèn)。智能存儲(chǔ)陣列790還被示出為通過(guò)SAN光纖通道770可訪(fǎng)問(wèn)的一個(gè)具體的存儲(chǔ)裝置的實(shí)例�。借助于計(jì)算機(jī)系統(tǒng)610,調(diào)制解調(diào)器647���、網(wǎng)絡(luò)接口 648或一些其他方法可以被用 于提供從客戶(hù)端計(jì)算機(jī)系統(tǒng)710��、720和730中的每一個(gè)到網(wǎng)絡(luò)750的連接性����。例如����,客戶(hù) 端系統(tǒng)710、720����、和730能夠使用例如一個(gè)網(wǎng)絡(luò)瀏覽器或其他客戶(hù)端軟件(未示出)來(lái)訪(fǎng)問(wèn) 存儲(chǔ)服務(wù)器740A或740B上的信息。這樣一個(gè)客戶(hù)端允許客戶(hù)端系統(tǒng)710����、720、和730訪(fǎng)問(wèn) 由存儲(chǔ)服務(wù)器740A或740B或存儲(chǔ)裝置760A (1) - (N)���、760B (1) - (N)�����、780 (1) - (N)之一或智 能存儲(chǔ)陣列790托管的數(shù)據(jù)��。圖7描繪了使用一個(gè)網(wǎng)絡(luò)(如互聯(lián)網(wǎng))用于交換數(shù)據(jù)����,但是 本發(fā)明并不限于互聯(lián)網(wǎng)或任何具體的基于網(wǎng)絡(luò)的環(huán)境�����。其他實(shí)施方案本發(fā)明良好地適合于獲得所提及的優(yōu)點(diǎn)連同在此包含的其他優(yōu)點(diǎn)�。盡管已經(jīng)通過(guò) 參照本發(fā)明的具體實(shí)施方案來(lái)描繪、說(shuō)明�����、并限定了本發(fā)明���,這種參照并非暗示對(duì)本發(fā)明的 限制�,并且不得推斷出任何此類(lèi)限制����。本發(fā)明在形式和功能上能夠進(jìn)行顯著的修改�����、替代�����、 以及等效物��,如相關(guān)領(lǐng)域的普通技術(shù)人員將會(huì)想到的�����。所描繪和說(shuō)明的實(shí)施方案僅是實(shí)例���, 并且對(duì)本發(fā)明的范圍不是窮盡的。上文說(shuō)明了多個(gè)實(shí)施方案��,它們包括被包含在其他部件中的多個(gè)部件(例如��,不 同的元件被示出為計(jì)算機(jī)系統(tǒng)610的部件)����。此類(lèi)體系結(jié)構(gòu)僅是實(shí)例,并且事實(shí)上�����,可以實(shí) 施許多其他體系結(jié)構(gòu),它們實(shí)現(xiàn)了相同的功能性����。在一種抽象的但仍明確的意義上,為了實(shí) 現(xiàn)相同的功能性的任何部件安排都是有效地“相關(guān)聯(lián)的”從而實(shí)現(xiàn)了所希望的功能性�����。因 此�,在此為了實(shí)現(xiàn)一種具體的功能性而相結(jié)合的任何兩個(gè)部件都可以被看作彼此“相關(guān)聯(lián) 的”從而實(shí)現(xiàn)了所希望的功能性�����,而無(wú)論體系結(jié)構(gòu)或中間部件如何����。同樣,如此相關(guān)聯(lián)的任 何兩個(gè)部件還可以被看作彼此“可操作地相連接的”或“可操作地相聯(lián)接的”以便實(shí)現(xiàn)所希 望的功能性���。上述詳細(xì)說(shuō)明已經(jīng)通過(guò)使用框圖�、流程圖����、以及實(shí)例給出了本發(fā)明的不同實(shí)施方 案����。本領(lǐng)域的技術(shù)人員將會(huì)理解通過(guò)使用實(shí)例展示的每個(gè)框圖部件����、流程圖步驟、操作和/ 或部件都可以由一個(gè)大系列的硬件�、軟件、固件�����、或它們的任何組合來(lái)單獨(dú)地和/或共同地 實(shí)現(xiàn)���。本發(fā)明已經(jīng)在完全功能性的計(jì)算機(jī)系統(tǒng)背景中進(jìn)行了說(shuō)明��;然而��,本領(lǐng)域的普通 技術(shù)人員將會(huì)認(rèn)識(shí)到本發(fā)明能夠以多種的形式作為程序產(chǎn)品來(lái)分發(fā)�����,并且無(wú)論用于實(shí)際上 進(jìn)行該分發(fā)的具體類(lèi)型的信號(hào)承載媒質(zhì)如何本發(fā)明都是同等地適用的����。信號(hào)承載媒質(zhì)的實(shí) 例包括計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)、傳輸型媒質(zhì)如數(shù)字的和模擬的通信鏈路�、連同未來(lái)研發(fā)的媒 質(zhì)存儲(chǔ)和分發(fā)系統(tǒng)。以上討論的實(shí)施方案可以通過(guò)執(zhí)行某些任務(wù)的軟件模塊來(lái)實(shí)施��。在此討論這些軟 件模塊可以包括腳本����、批數(shù)據(jù)、或其他可執(zhí)行文件���。這些軟件模塊可以被存儲(chǔ)在機(jī)器可讀或 計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)上,如磁軟盤(pán)���、硬盤(pán)��、半導(dǎo)體存儲(chǔ)器(例如�����,RAM�����、ROM����、以及閃存類(lèi)型的 媒質(zhì))、光盤(pán)(例如�,CD-ROM、CD-R����、以及DVD)、或其他類(lèi)型的存儲(chǔ)器模塊��。用于存儲(chǔ)根據(jù)本 發(fā)明的一種實(shí)施方案的固件或硬件模塊的存儲(chǔ)裝置還可以包括基于半導(dǎo)體的存儲(chǔ)器����,它可 以是永久地、可移除地或遠(yuǎn)程地與微處理器/存儲(chǔ)器系統(tǒng)相聯(lián)接�����。因此���,這些模塊可以被存 儲(chǔ)在一個(gè)計(jì)算機(jī)系統(tǒng)存儲(chǔ)器中以便將該計(jì)算機(jī)系統(tǒng)配置為進(jìn)行該模塊的功能����。其他新的以及不同類(lèi)型的計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)可以被用于存儲(chǔ)在此討論的這些模塊。以上的說(shuō)明是旨在展示本發(fā)明并且不應(yīng)當(dāng)被認(rèn)為是限制性的��。本發(fā)明的范圍內(nèi)的 其他實(shí)施方案是可能的�。本領(lǐng)域的普通技術(shù)人員將容易地實(shí)施對(duì)提供在此披露的這些結(jié) 構(gòu)和方法而言必需的步驟,并且將會(huì)理解這些步驟的過(guò)程參數(shù)和序列是僅通過(guò)舉例而給出 的��、并且可以被改變來(lái)實(shí)現(xiàn)本發(fā)明的范圍內(nèi)的所期望的結(jié)構(gòu)以及修改�。基于在此給出的說(shuō) 明可以做出對(duì)于在此披露的這些實(shí)施方案的變更和修改�,而不背離本發(fā)明的范圍。因此����,本發(fā)明是旨在僅由所附權(quán)利要求的范圍來(lái)限定,并在所有方面給予對(duì)等效 物的全面認(rèn)同��。盡管已經(jīng)結(jié)合多個(gè)實(shí)施方案說(shuō)明了本發(fā)明�����,但是本發(fā)明并非旨在受限于在此給出 的這些特定形式����。相反,它是旨在覆蓋能夠被合理地包括在如由所附權(quán)利要求限定的本發(fā) 明的范圍內(nèi)的此類(lèi)替代方案����、修改、以及等效物�。工業(yè)應(yīng)用件本發(fā)明的多個(gè)實(shí)施方案可以被應(yīng)用在計(jì)算機(jī)安全領(lǐng)域之中。
權(quán)利要求
1.一種方法�����,包括組裝一個(gè)完整的簽名定義文件�����,該完整的簽名定義文件包括一個(gè)第一接收的惡意軟件 的簽名�,其中該完整的簽名定義文件進(jìn)一步包括直到一個(gè)限定的時(shí)間所接收的第一多個(gè)惡意軟件 的簽名;在該限定的時(shí)間之后發(fā)布該完整的簽名定義文件��;組裝一個(gè)流式簽名定義文件�����,該流式簽名定義文件包括該第一接收的惡意軟件的簽 名����,其中該流式簽名定義文件進(jìn)一步包括在一個(gè)第一時(shí)間段上接收到第二多個(gè)惡意軟件的簽名���,該第一時(shí)間段開(kāi)始于一個(gè)第一起始時(shí)間并且結(jié)束于一個(gè)第一結(jié)束時(shí)間;并且 該第一結(jié)束時(shí)間先于該限定的時(shí)間�;并且 在該第一時(shí)間段結(jié)束時(shí)發(fā)布該流式簽名定義文件。
2.如權(quán)利要求1所述的方法���,其中所述發(fā)布該流式簽名定義文件包括 響應(yīng)于來(lái)自一個(gè)第一遠(yuǎn)程節(jié)點(diǎn)的一個(gè)請(qǐng)求傳輸該流式簽名定義文件��;并且來(lái)自該第一遠(yuǎn)程節(jié)點(diǎn)的請(qǐng)求是先于一個(gè)第二結(jié)束時(shí)間����,其中該第二結(jié)束時(shí)間在該第一 結(jié)束時(shí)間之后�。
3.如權(quán)利要求2所述的方法,進(jìn)一步包括使用一個(gè)先前的完整的簽名定義文件以及該流式簽名定義文件來(lái)針對(duì)對(duì)應(yīng)于該第一 接收的簽名與該第一多個(gè)惡意軟件的簽名之一的多個(gè)惡意軟件的實(shí)例對(duì)該第一遠(yuǎn)程節(jié)點(diǎn) 進(jìn)行掃描�,其中所述對(duì)該第一遠(yuǎn)程節(jié)點(diǎn)進(jìn)行掃描是先于該限定的時(shí)間進(jìn)行的。
4.如權(quán)利要求1所述的方法���,進(jìn)一步包括組裝一個(gè)第二流式簽名定義文件����,該第二流式簽名定義文件包括在一個(gè)第二時(shí)間段上 接收的第三多個(gè)簽名����,其中該第二時(shí)間段開(kāi)始于一個(gè)第二起始時(shí)間并且結(jié)束于一個(gè)第二結(jié)束時(shí)間, 該第二起始時(shí)間是在該第一結(jié)束時(shí)間之后����,并且 該第二結(jié)束時(shí)間是先于該限定的時(shí)間;并且 在該第二時(shí)間段結(jié)束時(shí)發(fā)布該第二流式簽名定義文件���。
5.如權(quán)利要求4所述的方法��,其中所述發(fā)布該第二流式簽名定義文件包括 在該第二時(shí)間段結(jié)束時(shí)用該第二流式簽名定義文件替代該流式簽名定義文件��。
6.如權(quán)利要求1所述的方法�,其中該第一接收的惡意軟件的簽名���、該第一多個(gè)惡意軟 件的簽名以及該第二多個(gè)惡意軟件的簽名是從一個(gè)或多個(gè)惡意軟件的簽名證書(shū)引擎接收 的���。
7.如權(quán)利要求1所述的方法,其中所述組裝該流式簽名定義文件包括將該第一接收的惡意軟件的簽名附加在一個(gè)列表土��,該列表包括該第二多個(gè)惡意軟件 的簽名中的一個(gè)或多個(gè)惡意軟件的簽名���。
8.如權(quán)利要求1所述的方法�,其中所述組裝該流式簽名定義文件包括將對(duì)應(yīng)于該第一接收的惡意軟件的簽名的一個(gè)指示符附加一個(gè)列表上�,該列表包括指向該第二多個(gè)惡意軟件的簽名的對(duì)應(yīng)的多個(gè)惡意軟件的簽名的一個(gè)或多個(gè)指示符�,其中對(duì) 應(yīng)于該第一接收的惡意軟件的簽名的指示符包括有關(guān)該第一接收的惡意軟件的簽名的一 個(gè)位置的信息����。
9.一種裝置,包括 一個(gè)處理器��;一個(gè)網(wǎng)絡(luò)接口�����,該網(wǎng)絡(luò)接口被連接到該處理器上并且被配置為接收一個(gè)第一惡意軟件 的簽名�、第一多個(gè)惡意軟件的簽名、以及第二多個(gè)惡意軟件的簽名����;一個(gè)第一存儲(chǔ)卷,該第一存儲(chǔ)卷被連接到該處理器上并且被配置為存儲(chǔ)一個(gè)完整的簽 名定義文件�����,其中該完整的簽名定義文件包括該第一惡意軟件的簽名����;一個(gè)第二存儲(chǔ)卷,該第二存儲(chǔ)卷被連接到該處理器上并且被配置為存儲(chǔ)一個(gè)流式簽名 定義文件�����,其中該流式簽名定義文件包括該第一惡意軟件的簽名�����;以及一個(gè)存儲(chǔ)器�����,該存儲(chǔ)器被連接到該處理器上并且存儲(chǔ)由該處理器可執(zhí)行的多個(gè)指令�, 這些指令被配置為組裝該完整的簽名定義文件,其中該完整的簽名定義文件進(jìn)一步包括直到一個(gè)限定的 時(shí)間所接收的第一多個(gè)惡意軟件的簽名��,在該限定的時(shí)間之后發(fā)布該完整的簽名定義文件����, 組裝該流式簽名定義文件,其中該流式簽名定義文件進(jìn)一步包括在一個(gè)第一時(shí)間段上接收的第二多個(gè)惡意軟件的簽 名���,該第一時(shí)間段開(kāi)始于一個(gè)第一起始時(shí)間并且結(jié)束于一個(gè)第一結(jié)束時(shí)間并且該第一結(jié)束 時(shí)間先于該限定的時(shí)間��,并且在該第一時(shí)間段結(jié)束時(shí)發(fā)布該流式簽名定義文件�����。
10.如權(quán)利要求9所述的裝置���,進(jìn)一步包括一個(gè)第二網(wǎng)絡(luò)接口��,該第二網(wǎng)絡(luò)接口被連接到該處理器上并且被配置為傳輸該流式簽 名定義文件��;并且該存儲(chǔ)器進(jìn)一步存儲(chǔ)由該處理器可執(zhí)行的用于發(fā)布該流式簽名定義文件的多個(gè)指令���、 并且被配置為響應(yīng)于來(lái)自一個(gè)第一遠(yuǎn)程節(jié)點(diǎn)的一個(gè)請(qǐng)求使用該第二網(wǎng)絡(luò)接口來(lái)傳輸該流 式簽名定義文件,其中來(lái)自該第一遠(yuǎn)程節(jié)點(diǎn)的請(qǐng)求是先于一個(gè)第二結(jié)束時(shí)間����,并且 該第二起始時(shí)間在該第一結(jié)束時(shí)間之后。
11.如權(quán)利要求9所述的裝置�,進(jìn)一步包括該存儲(chǔ)器存儲(chǔ)可由該處理器執(zhí)行的另外的多個(gè)指令并且被配置為用于組裝一個(gè)第二 流式簽名定義文件,該第二流式簽名定義文件包括在一個(gè)第二時(shí)間段上接收的第三多個(gè)簽 名����,其中該第二時(shí)間段開(kāi)始于在該第一結(jié)束時(shí)間之后的一個(gè)第二起始時(shí)間并且結(jié)束于先于 該限定的時(shí)間的一個(gè)第二結(jié)束時(shí)間,并且在該第二時(shí)間段結(jié)束時(shí)發(fā)布該第二流式簽名定義文件���。
12.如權(quán)利要求11所述的裝置�����,進(jìn)一步包括該存儲(chǔ)器存儲(chǔ)了可由該處理器執(zhí)行的用于發(fā)布該第二流式簽名文件的另外的多個(gè)指 令�、并且被配置為在該第二時(shí)間段結(jié)束時(shí)用該第二流式簽名定義文件替代該流式簽名定義 文件。
13.如權(quán)利要求9所述的裝置���,進(jìn)一步包括該存儲(chǔ)器存儲(chǔ)了可由該處理器執(zhí)行的用于組裝該流式簽名定義文件的另外的多個(gè)指 令、并且被配置為將該第一惡意軟件的簽名附加到一個(gè)列表上�����,該列表包括該第二多個(gè)惡 意軟件的簽名中的一個(gè)或多個(gè)惡意軟件的簽名���。
14.如權(quán)利要求9所述的裝置�,進(jìn)一步包括該處理器存儲(chǔ)了可由該處理器執(zhí)行的用于組裝該流式簽名定義文件的另外的多個(gè)指 令���、并且被配置為將對(duì)應(yīng)于該第一惡意軟件的簽名的一個(gè)指示符附加到一個(gè)列表上���,該列 表包括指向該第二多個(gè)惡意軟件的簽名的多個(gè)對(duì)應(yīng)的惡意軟件的簽名的一個(gè)或多個(gè)指示 符,其中對(duì)應(yīng)于該第一惡意軟件的簽名的指示符包括有關(guān)該第一惡意軟件的簽名的一個(gè)位 置的信息�。
15.一種系統(tǒng),包括一個(gè)信號(hào)處理器模塊�,該信號(hào)處理器模塊被配置為 接收一個(gè)第一惡意軟件的簽名,并且將該第一惡意軟件的簽名提供給一個(gè)完整定義組裝模塊以及一個(gè)流式定義組裝模塊��;該完整定義組裝模塊被連接到該信號(hào)處理器模塊上、并且被配置為組裝包括該第一惡 意軟件的簽名的一個(gè)完整的簽名定義文件并且將該完整的簽名定義文件存儲(chǔ)在一個(gè)相關(guān) 聯(lián)的第一存儲(chǔ)器中����,其中該完整的簽名定義文件進(jìn)一步包括直到一個(gè)限定的時(shí)間由該完整定義組裝模塊接收 的第一多個(gè)惡意軟件的簽名;一個(gè)完整定義請(qǐng)求模塊���,該完整定義請(qǐng)求模塊被連接到該第一存儲(chǔ)器上��、并且被配置 為在該限定的時(shí)間之后傳輸全部或部分的該完整的簽名定義文件�;該流式定義組裝模塊被連接到該信號(hào)處理器模塊上��、并且被配置為組裝包括該第一惡 意軟件的簽名的一個(gè)流式簽名定義文件并且將該流式簽名定義文件存儲(chǔ)在一個(gè)相關(guān)聯(lián)的 第二存儲(chǔ)器中�����,其中該流式簽名定義文件進(jìn)一步包括在一個(gè)第一時(shí)間段上接收到第二多個(gè)惡意軟件的簽名��,該第一時(shí)間段開(kāi)始于一個(gè)第一起始時(shí)間并且結(jié)束于一個(gè)第一結(jié)束時(shí)間��,并且 該第一結(jié)束時(shí)間是先于該限定的時(shí)間���;并且一個(gè)流式定義請(qǐng)求模塊�,該流式定義請(qǐng)求模塊被連接到該第二存儲(chǔ)器上、并且被配置 為在該第一時(shí)間段結(jié)束時(shí)傳輸該流式簽名定義文件�。
16.如權(quán)利要求15所述的系統(tǒng),進(jìn)一步包括一個(gè)遠(yuǎn)程節(jié)點(diǎn)��,該遠(yuǎn)程節(jié)點(diǎn)通過(guò)一個(gè)網(wǎng)絡(luò)被連接到該流式定義請(qǐng)求模塊上����、并且被配 置為請(qǐng)求該流式簽名定義文件,其中該請(qǐng)求是先于一個(gè)第二結(jié)束時(shí)間并且該第二結(jié)束時(shí)間 是在該第一結(jié)束時(shí)間之后�����;并且該流式定義請(qǐng)求模塊進(jìn)一步被配置為響應(yīng)于來(lái)自該遠(yuǎn)程節(jié)點(diǎn)的請(qǐng)求執(zhí)行所述傳輸該 流式簽名定義文件���。
17.如權(quán)利要求15所述的系統(tǒng),進(jìn)一步包括該信號(hào)處理器模塊進(jìn)一步被配置為在一個(gè)第二時(shí)間段上接收第三多個(gè)簽名���,其中該第二時(shí)間段開(kāi)始于一個(gè)第二起始時(shí)間并且結(jié)束于一個(gè)第二結(jié)束時(shí)間��, 該第二起始時(shí)間是在該第一結(jié)束時(shí)間之后����,并且 該第二結(jié)束時(shí)間是先于該限定的時(shí)間����;該流式定義組裝模塊被進(jìn)一步配置為組裝包括該第三多個(gè)簽名的一個(gè)第二流式簽名 定義文件并且將該第二流式簽名定義文件存儲(chǔ)在該相關(guān)聯(lián)的第二存儲(chǔ)器中�����;并且該流式定義請(qǐng)求模塊被進(jìn)一步配置為在該第二時(shí)間段結(jié)束時(shí)傳輸該第二流式定義文件����。
18.如權(quán)利要求15所述的系統(tǒng)�����,進(jìn)一步包括一個(gè)或多個(gè)惡意軟件的簽名證書(shū)引擎�,該一個(gè)或多個(gè)惡意軟件的簽名證書(shū)引擎被連接 到該信號(hào)處理器模塊上、并且被配置為向該信號(hào)處理器模塊提供該第一接收的惡意軟件的 簽名���、該第一多個(gè)惡意軟件的簽名以及該第二多個(gè)惡意軟件的簽名��。
19.如權(quán)利要求15所述的系統(tǒng)�����,其中該流式簽名定義組裝模塊被進(jìn)一步配置為通過(guò)將該第一惡意軟件的簽名附加一個(gè)列表上來(lái)組裝該流式簽名定義文件����,該列表包 括該第二多個(gè)惡意軟件的簽名中的一個(gè)或多個(gè)惡意軟件的簽名。
20.如權(quán)利要求15所述的系統(tǒng)���,其中該流式簽名定義組裝模塊被進(jìn)一步配置為 通過(guò)將對(duì)應(yīng)于該第一接收的惡意軟件的簽名的一個(gè)指示符附加一個(gè)列表上來(lái)組裝該流式簽名定義文件���,該列表包括指向該第二多個(gè)惡意軟件的簽名的對(duì)應(yīng)的多個(gè)惡意軟件簽 名的一個(gè)或多個(gè)指示符,其中對(duì)應(yīng)于該第一接收的惡意軟件的簽名的指示符包括有關(guān)該第 一接收的惡意軟件的簽名的一個(gè)位置的信息�。
全文摘要
在此提供了一種通過(guò)使用添加的或“流式的”定義數(shù)據(jù)包用于組裝并發(fā)布經(jīng)常的惡意軟件的簽名定義更新的方法、系統(tǒng)和裝置����。本發(fā)明的多個(gè)實(shí)施方案通過(guò)不僅在一個(gè)長(zhǎng)周期上發(fā)布完整的惡意軟件的簽名定義的更新而且還在一個(gè)短周期上流式傳輸包含新驗(yàn)定的簽名定義的流式惡意軟件的簽名定義的更新來(lái)提供此類(lèi)功能性。因?yàn)榻邮樟诵买?yàn)定的惡意軟件的簽名定義�����,這些新的簽名定義不僅被包含在完整的簽名定義文件中而且還被包含在一個(gè)流式簽名定義更新中��,該流式簽名定義更新僅包含在一個(gè)流式更新周期內(nèi)接收的新驗(yàn)定的簽名定義��。在該流式更新周期終結(jié)時(shí)�,通過(guò)發(fā)布給多個(gè)反惡意軟件的客戶(hù)端使得一個(gè)流式簽名定義文件變得可供使用��。一個(gè)流式簽名定義文件僅包含在對(duì)于該流式定義文件的組裝周期的過(guò)程中收到的那些簽名定義�����。本發(fā)明的多個(gè)實(shí)施方案在發(fā)布新的流式簽名定義文件時(shí)用一個(gè)新的流式簽名定義文件替代了一個(gè)先前的流式簽名定義文件。
文檔編號(hào)G06F21/00GK102105884SQ200980129392
公開(kāi)日2011年6月22日 申請(qǐng)日期2009年6月19日 優(yōu)先權(quán)日2008年6月20日
發(fā)明者J·梅格斯, P·J·維爾喬恩 申請(qǐng)人:賽門(mén)鐵克公司