專利名稱:流式惡意軟件定義更新的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域����,并且更具體地涉及向反惡意軟件的客戶端軟件提供 流式惡意軟件簽名定義的更新����。
背景技術(shù):
廣域網(wǎng)(如互聯(lián)網(wǎng))向持續(xù)增加的用戶群體提供了以類似程度增加數(shù)目的可訪問 的網(wǎng)站,那些用戶可以從這些網(wǎng)站收集信息���、應(yīng)用程序���、以及娛樂項(xiàng)目。這樣一個(gè)開放的群 體同時(shí)為惡意用戶和惡意網(wǎng)站提供了散布惡意軟件(如病毒�、特洛伊木馬程序、蠕蟲����、以及 類似的軟件)的機(jī)會�����。為了保護(hù)用戶不受此類惡意活動的危害���,已經(jīng)設(shè)計(jì)了多種反惡意軟 件保護(hù)方案來提醒用戶在他們的計(jì)算機(jī)上存在的惡意軟件并且將惡意軟件從受感染的計(jì) 算機(jī)中清除。典型的計(jì)算機(jī)保護(hù)方案在一臺受感染的計(jì)算機(jī)上對存在的惡意軟件做出反應(yīng)����。一 種檢測惡意軟件的常見方法依賴于從惡意軟件本體中提取的簽名。從一個(gè)惡意軟件本體中 提取的不同類型的數(shù)據(jù)可以被用于生成多個(gè)簽名��。此類數(shù)據(jù)包括例如字符串(即���,具有或 不具有通配符的模式)���、校驗(yàn)和(即,CRC�����、MD5和SHA1)�、行為模式、文件幾何結(jié)構(gòu)、執(zhí)行流程 幾何結(jié)構(gòu)����、以及編碼指令的統(tǒng)計(jì)分布���。上述列表的任何組合可以被用于生成一個(gè)惡意軟件 簽名�����,并且該列表不是窮盡的����。更復(fù)雜的多態(tài)惡意軟件(例如�,包含變化的加密算法和密鑰 使得這種惡意軟件的復(fù)制不是完全相同的惡意軟件)要求更復(fù)雜的簽名生成技術(shù),包括密 碼分析�、專用解密路徑、仿真�、以及類似的技術(shù)。為了使得在計(jì)算機(jī)上執(zhí)行的安全軟件能夠檢測出新發(fā)現(xiàn)的惡意軟件實(shí)例����,必須為 這個(gè)計(jì)算機(jī)提供已經(jīng)被建立來對新的惡意軟件實(shí)例進(jìn)行識別的簽名的一個(gè)副本。典型地每 天發(fā)現(xiàn)多達(dá)7�,000到10,000個(gè)新的惡意軟件實(shí)例。因?yàn)橐粋€(gè)惡意軟件實(shí)例通過廣域網(wǎng)傳 播���,所以在向該廣域網(wǎng)上的計(jì)算機(jī)提供與該惡意軟件相關(guān)聯(lián)的簽名的一個(gè)延遲將使得那些 計(jì)算機(jī)容易受攻擊���。因此,令人希望的是快速地將新生成的并且驗(yàn)定的簽名分發(fā)給一個(gè)計(jì) 算機(jī)群體��。典型的反惡意軟件的軟件以1到8小時(shí)的周期從一個(gè)更新服務(wù)器下載新的簽名定 義����。由一個(gè)典型的系統(tǒng)檢索的多個(gè)完整簽名定義文件包含針對所有當(dāng)前發(fā)現(xiàn)的簽名的簽名 定義、或者在一個(gè)客戶端計(jì)算機(jī)上的當(dāng)前安裝的完整簽名定義文件和與該反惡意軟件的軟 件相關(guān)聯(lián)的一個(gè)服務(wù)器上的當(dāng)前發(fā)布的完整簽名定義文件之間的一個(gè)區(qū)別��。由大量的客戶 端計(jì)算機(jī)從一個(gè)或多個(gè)相關(guān)聯(lián)的分發(fā)服務(wù)器下載這些完整定義文件的行動會消耗顯著的 網(wǎng)絡(luò)帶寬資源���。為了改進(jìn)反惡意軟件覆蓋率�,增加完整定義文件的發(fā)布速率將會導(dǎo)致在網(wǎng) 絡(luò)帶寬耗費(fèi)中的潛在地巨大增加���。因此�����,令人希望的是實(shí)現(xiàn)一種系統(tǒng)�����,該系統(tǒng)不僅按照分鐘 (而不是小時(shí))級別的速率對簽名定義提供更新而且還節(jié)約網(wǎng)絡(luò)帶寬資源����。
發(fā)明內(nèi)容
本發(fā)明的多個(gè)實(shí)施方案提供了一種機(jī)制���,該機(jī)制用于以分鐘的級別對惡意軟件簽名定義提供更新、同時(shí)在較長的時(shí)間段內(nèi)提供完整更新�、并且以一種節(jié)約網(wǎng)絡(luò)資源的方式提供此類更新。本發(fā)明的多個(gè)實(shí)施方案提供一種方法�����、裝置及系統(tǒng)�����,它們被配置為組裝并發(fā) 布包括一個(gè)惡意軟件簽名的一個(gè)完整簽名定義文件并且組裝并發(fā)布包括該惡意軟件簽名 的一個(gè)流式定義文件�。該完整簽名定義文件既包括該惡意軟件簽名也包括直到一個(gè)限定的 時(shí)間內(nèi)所接收的第一多個(gè)惡意軟件簽名,并且該完整簽名定義文件的發(fā)布發(fā)生在該限定的 時(shí)間之后�。該流式簽名定義文件既包括該惡意軟件簽名也包括在一個(gè)第一時(shí)間段內(nèi)接收的 第二多個(gè)惡意軟件,該第一時(shí)間段先于該限定的時(shí)間開始和結(jié)束��,并且該流式簽名定義文 件的發(fā)布發(fā)生在該第一時(shí)間段結(jié)束時(shí)。本發(fā)明的以上實(shí)施方案的多個(gè)方面響應(yīng)于來自第一節(jié)點(diǎn)的一個(gè)請求(當(dāng)該請求 是在該第一結(jié)束時(shí)間之后接收到時(shí))提供了對該流式簽名定義文件進(jìn)行的發(fā)布以便包括 傳輸該流式簽名定義文件����。本發(fā)明的以上實(shí)施方案的另一方面提供了組裝并發(fā)布包括第 三組惡意軟件簽名的一個(gè)第二流式簽名定義文件����,其中該第二流式簽名定義文件的組裝發(fā) 生在一個(gè)第二時(shí)間段內(nèi),該第二時(shí)間段是在該第一時(shí)間段的結(jié)束之后并且先于該限定的時(shí) 間��。以上實(shí)施方案的另外一個(gè)方面提供了在該第二時(shí)間段結(jié)束時(shí)用該第二流式簽名定義文 件替代該第一流式簽名定義文件�。本發(fā)明的以上實(shí)施方案的另一方面提供了通過將該惡意 軟件簽名附在一個(gè)列表之后來組裝該流式簽名定義文件��,該列表包括該第二組惡意軟件簽 名的一個(gè)或多個(gè)惡意軟件簽名�。本發(fā)明的以上實(shí)施方案的一個(gè)額外的方面提供了通過將指 向該惡意軟件簽名的位置的一個(gè)指示符附在一個(gè)列表之后來組裝該流式簽名定義文件�,該 列表包括指向該第二多個(gè)惡意軟件簽名的對應(yīng)的多個(gè)惡意軟件簽名的一個(gè)或多個(gè)指示符。
通過參見附圖可以更好地理解本發(fā)明�����,并且使其眾多的目的�����、特征和優(yōu)點(diǎn)對本領(lǐng) 域的技術(shù)人員而言變得清楚��。圖1是一個(gè)簡化框圖��,展示了用于將反惡意軟件簽名分發(fā)給多個(gè)反惡意軟件客戶 端的一種網(wǎng)絡(luò)配置�。圖2是引至傳輸所發(fā)布的簽名定義的過程的一個(gè)簡化流程圖���。圖3是根據(jù)本發(fā)明的多個(gè)實(shí)施方案的一種惡意軟件簽名發(fā)布過程的簡化流程圖, 該過程是由簽名更新服務(wù)器110進(jìn)行的�。圖4是一個(gè)簡化框圖�,展示了結(jié)合本發(fā)明的多個(gè)實(shí)施方案一種簽名更新服務(wù)器 110。圖5是一個(gè)簡化流程圖��,展示了根據(jù)本發(fā)明的多個(gè)實(shí)施方案的由一個(gè)客戶端計(jì)算 機(jī)進(jìn)行的簽名定義更新過程����。圖6描繪了適合用于實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一種計(jì)算機(jī)系統(tǒng)的框圖。圖7是描繪了適合用于實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一種網(wǎng)絡(luò)體系結(jié)構(gòu)的框圖�����。
具體實(shí)施例方式本發(fā)明提供了一種機(jī)制�,該機(jī)制用于通過使用添加的或“流式的”定義數(shù)據(jù)包來提 供頻繁的簽名定義更新��。本發(fā)明的多個(gè)實(shí)施方案通過不僅在一個(gè)長的周期性上(例如���,在 小時(shí)的級別上)發(fā)布完整簽名定義更新而且在一個(gè)短的周期性上(例如,在分鐘的級別上)發(fā)布包含新驗(yàn) 定的簽名定義的流式定義更新來提供此類功能性��。當(dāng)結(jié)合本發(fā)明的多個(gè)實(shí)施 方案的簽名更新服務(wù)器接收新驗(yàn)定的惡意軟件簽名定義時(shí)�,那些新驗(yàn)定的簽名定義不僅被 包含在完整簽名定義文件中而且也被包含在一種流式簽名定義更新中�,這種流式簽名定義 更新僅包含在一個(gè)流式更新周期內(nèi)所接收的新驗(yàn)定的簽名定義。在該流式更新周期結(jié)束 時(shí)���,通過發(fā)布給多個(gè)反惡意軟件客戶端��,簽名更新服務(wù)器使一個(gè)流式簽名定義文件變得可 供使用�。一個(gè)流式簽名定義文件僅包含那些在組裝周期內(nèi)所接收的用于該流式定義文件的 簽名定義�。本發(fā)明的多個(gè)實(shí)施方案在發(fā)布新的流式簽名定義文件時(shí)用一個(gè)新的流式簽名定 義文件替代一個(gè)先前的流式簽名定義文件。使用本發(fā)明的多個(gè)實(shí)施方案的反惡意軟件客戶端以一種添加式方式將在該流式 簽名定義文件中接收的簽名定義結(jié)合在先前接收的流式簽名定義中以及最直接在前的完 整定義文件中接收的那些中�。當(dāng)接收新發(fā)布的完整簽名定義文件(它結(jié)合了先前在流式簽 名定義文件中接收的多個(gè)簽名)時(shí),使用本發(fā)明的多個(gè)實(shí)施方案的反惡意軟件客戶端停止 使用那些簽名的先前接收的流式定義而是僅使用在該完整簽名定義文件中的發(fā)現(xiàn)的那些 定義�����。以此方式��,結(jié)合本發(fā)明的多個(gè)實(shí)施方案的反惡意軟件客戶端能夠在新惡意軟件簽 名的驗(yàn)定之后以分鐘的級別接收簽名定義更新。此外�,因?yàn)榱魇胶灻x文件僅包含那些 在流式定義組裝周期內(nèi)接收的簽名,所以本發(fā)明的多個(gè)實(shí)施方案能夠節(jié)省網(wǎng)絡(luò)帶寬資源�����。圖1是一個(gè)簡化的框圖�,展示了用于將反惡意軟件簽名分發(fā)給多個(gè)反惡意軟件客 戶端的一種網(wǎng)絡(luò)配置。簽名更新服務(wù)器110是由一個(gè)反惡意軟件的軟件提供商來維護(hù)的��。 簽名更新服務(wù)器110是與簽名數(shù)據(jù)庫115相關(guān)聯(lián)的��,該簽名數(shù)據(jù)庫存儲了已經(jīng)被驗(yàn)定的惡 意軟件簽名以便用于發(fā)布給該反惡意軟件的軟件提供商的多個(gè)客戶端�。簽名更新服務(wù)器通 過外部網(wǎng)絡(luò)130(例如,廣域網(wǎng)如互聯(lián)網(wǎng))客連接戶端計(jì)算機(jī)120(1)-(M)上�����。通過這種網(wǎng) 絡(luò)連接�,簽名更新服務(wù)器110可以使用多種的數(shù)據(jù)傳輸協(xié)議將簽名定義文件更新提供給客 戶端計(jì)算機(jī)120(1)-(M)���??商娲?���,簽名更新服務(wù)器110能夠與一個(gè)或多個(gè)簽名分發(fā)服務(wù) 器(未示出)相連接�����,這些簽名分發(fā)服務(wù)器進(jìn)而負(fù)責(zé)將已經(jīng)由簽名更新服務(wù)器110發(fā)布的 簽名更新文件分發(fā)給該客戶端計(jì)算機(jī)群體���。以此方式,分發(fā)的職責(zé)可以通過這些分發(fā)服務(wù) 器中的每一個(gè)按地域分發(fā)����。由簽名更新服務(wù)器110分發(fā)的惡意軟件簽名可以是由在一個(gè)或多個(gè)處理節(jié)點(diǎn)上 執(zhí)行的一個(gè)或多個(gè)分析引擎HO(I)-(N)生成的。因?yàn)樾碌膼阂廛浖?shí)例是被反惡意軟件 的軟件提供商發(fā)現(xiàn)的�,所以這些惡意軟件實(shí)例被提供給分析引擎HO(I)-(N)以便確定用 于識別該惡意軟件實(shí)例的一個(gè)合適的簽名。此類分析可以生成基于從惡意軟件本體中提取 的數(shù)據(jù)的多個(gè)簽名����,包括例如字符串模式、校驗(yàn)和���、行為模式����、文件幾何結(jié)構(gòu)、執(zhí)行流程幾何 結(jié)構(gòu)�、以及編碼命令的統(tǒng)計(jì)分布、或它們的一種組合���。對于更復(fù)雜的惡意軟件(例如��,多態(tài) 或變形惡意軟件)�,可以使用更為處理密集型的簽名生成����,如仿真技術(shù),其中在一種受控的�����、 模擬的環(huán)境中執(zhí)行潛在的惡意軟件以便確定該惡意軟件的行為����。一旦分析引擎140(1)-(N)已經(jīng)確定對應(yīng)于該惡意軟件實(shí)例的一個(gè)合適的簽名, 驗(yàn)定服務(wù)器150 (I)-(P)可以確定使用所生成的簽名是否會生成一個(gè)誤肯定的結(jié)果���。例如, 一個(gè)驗(yàn)定服務(wù)器可以維護(hù)一個(gè)干凈的公知文件的文件集合�,這些公知文件可以在一臺典型 的客戶端計(jì)算機(jī)上發(fā)現(xiàn)(例如,操作系統(tǒng)文件、典型的應(yīng)用程序����、以及類似的文件)。在由一個(gè)散列或校驗(yàn)和(例如����,CRC)生成的一個(gè)簽名的情況中,對惡意軟件的校驗(yàn)和簽名可以類 似地與用于干凈的文件集合中的每個(gè)文件所生成的校驗(yàn)和進(jìn)行對比而被校驗(yàn)�。一個(gè)數(shù)據(jù)庫 可以包含有關(guān)該干凈的文件集合(例如,以不同方式生成的散列或校驗(yàn)和中的一個(gè)或多個(gè) 的集合)中的每個(gè)文件的元信息并且可以對比這個(gè)數(shù)據(jù)庫進(jìn)行一次查詢��。如果所提出的惡 意軟件簽名與對該干凈的文件集合中的一個(gè)文件所生成的一個(gè)簽名相匹配��,則廢棄該惡意 軟件簽名而采用由一個(gè)替代分析引擎生成的一個(gè)基于散列的簽名或者從該惡意軟件文件 的一個(gè)更大的采樣中生成的一個(gè)散列或校驗(yàn)和����。一旦一個(gè)簽名通過驗(yàn)定階段,那么通過內(nèi) 部網(wǎng)絡(luò)160使該簽名對于簽名更新服務(wù)器110可供使用���。不同類型的惡意軟件分析可能花費(fèi)不同的時(shí)間�����。例如����,一個(gè)散列或校驗(yàn)和的生成 及誤肯定測試比一個(gè)多態(tài)惡意軟件實(shí)例的行為仿真需要顯著地更少的時(shí)間,因?yàn)榉抡婧灻?必須針對該干凈的文件集合中的每個(gè)文件的仿真進(jìn)行測試����。另外,由不同類型的分析生成 的簽名可能具有不同的長度并且將由客戶端軟件以不同的方式來使用��。本發(fā)明的多個(gè)實(shí)施 方案并不限于惡意軟件或其驗(yàn)定的特定分析方法�����。圖2是引至傳輸所發(fā)布的簽名定義的一種過程的簡化流程圖�����。一旦已經(jīng)識別了潛 在的惡 意軟件(210)���,那么該惡意軟件被提交用于分析(220)(例如�,由分析引擎140進(jìn)行分 析)�����。如以上所討論的���,分析過程可能涉及多種多樣的分析機(jī)制���,這些分析機(jī)制被設(shè)計(jì)為最 終生成一個(gè)惡意軟件簽名(230)。然后�����,所生成的惡意軟件簽名被提交用于針對誤肯定的驗(yàn) 定(240)�����。如以上所討論的�,誤肯定分析是通過將該惡意軟件的簽名與通過相同的方法對在 該一個(gè)干凈的文件集合中文件所生成的簽名進(jìn)行比較來進(jìn)行的。進(jìn)行這樣一種驗(yàn)定比較是 為了避免使客戶端反惡意軟件的軟件移除實(shí)際上應(yīng)當(dāng)在一臺客戶端計(jì)算機(jī)上的文件���,如操 作系統(tǒng)文件和應(yīng)用程序文件���。如果檢測到一個(gè)誤肯定(245),那么該惡意軟件被提交用于進(jìn) 一步的分析以便生成一個(gè)替代惡意簽名��。一旦一個(gè)惡意軟件簽名已經(jīng)通過了該驗(yàn)定過程�,那么該簽名將準(zhǔn)備好被提供給簽 名更新服務(wù)器110并且最終由該簽名更新服務(wù)器發(fā)布(250)。本發(fā)明的多個(gè)實(shí)施方案通過 一個(gè)完整簽名定義更新和一個(gè)流式簽名定義更新兩者來進(jìn)行一個(gè)惡意軟件簽名的發(fā)布�����。以 下將更全面地說明該發(fā)布過程。當(dāng)發(fā)布多個(gè)惡意軟件簽名時(shí)����,這些惡意軟件簽名被傳送至 反惡意軟件的軟件提供商的多個(gè)客戶端(260)。圖3是根據(jù)本發(fā)明的實(shí)施方案的一種惡意軟件簽名發(fā)布過程的簡化流程圖��,該過 程是由簽名更新服務(wù)器110進(jìn)行的����。當(dāng)接收一個(gè)驗(yàn)定的惡意軟件簽名時(shí)(310),簽名更新服 務(wù)器遵循針對該驗(yàn)定的惡意軟件簽名的一個(gè)并行發(fā)布路徑�。在一個(gè)發(fā)布路徑中(320-340), 該驗(yàn)定的惡意軟件簽名被結(jié)合進(jìn)入一個(gè)完整簽名定義文件的下一個(gè)版本中�。如以上所討 論的,針對一個(gè)完整簽名定義文件的組裝和發(fā)布時(shí)間幀是在小時(shí)的級別上�。第二發(fā)布路徑 (350-370)將該驗(yàn)定的惡意軟件簽名整合進(jìn)入下一個(gè)流式簽名定義文件中。同樣如以上所 討論的��,在多個(gè)時(shí)間段內(nèi)在分鐘的級別上發(fā)布多個(gè)流式簽名定義文件���。在完整簽名定義發(fā)布路徑中��,所接收的驗(yàn)定的惡意軟件簽名被整合進(jìn)入下一個(gè)完 整簽名定義文件中(320)���。這樣一個(gè)整合過程不僅包括將新到達(dá)的驗(yàn)定的惡意軟件簽名添 加到完整定義文件中而且包括在該簽名已經(jīng)被添加后核實(shí)該完整簽名定義文件的完整性�。 一個(gè)完整簽名定義文件結(jié)合了一個(gè)優(yōu)化樹中的多個(gè)簽名����,該優(yōu)化樹包括與這些包含的簽名 相關(guān)聯(lián)的不同的數(shù)據(jù)結(jié)構(gòu)���。在本發(fā)明的一個(gè)實(shí)施方案中���,優(yōu)化樹的目標(biāo)是具有高性能的一個(gè)小的數(shù)據(jù)文件。將新到達(dá)的驗(yàn)定的惡意軟件簽名包含到完整簽名定義文件中涉及將該新 簽名結(jié)合進(jìn)入該優(yōu)化樹中�。由簽名更新服務(wù)器做出一個(gè)確定,該確定是關(guān)于該完整簽名定義文件是否已經(jīng)滿 足一個(gè)發(fā)布閾值時(shí)間(325)����。如果尚未滿足該發(fā)布閾值時(shí)間,那么簽名更新服務(wù)器等待接收 下一個(gè)驗(yàn)定的惡意軟件簽名用于整合到完整簽名定義文件中��。如果該完整簽名定義文件已 經(jīng)滿足了該發(fā)布閾值時(shí)間���,那么簽名更新服務(wù)器發(fā)起一個(gè)進(jìn)程用于發(fā)布該完整簽名定義文 件����。可替代地�,閾值可以被設(shè)定為將被包括在該完整簽名定義文件的下一個(gè)版本中的新驗(yàn) 定的惡意軟件簽名的一個(gè)數(shù)目,并 且一旦該簽名的數(shù)目已經(jīng)達(dá)到��,則可以發(fā)布一個(gè)新的完 整簽名定義文件����。為了發(fā)布該完整簽名定義文件,簽名更新服務(wù)器建立并存儲多個(gè)增量定義數(shù)據(jù)包 用于分發(fā)給多個(gè)可能的客戶端數(shù)據(jù)版本(330)�����。為了節(jié)省網(wǎng)絡(luò)帶寬資源�����,一個(gè)完整簽名定 義文件不需要在每次發(fā)布一個(gè)完整簽名定義文件時(shí)被傳送至每個(gè)客戶端計(jì)算機(jī)��。取而代 之�,一個(gè)客戶端僅需要下載自從該客戶端的一個(gè)完整簽名定義文件的上次下載起已經(jīng)被改 變或添加的那部分完整簽名定義樹。由于一臺客戶端計(jì)算機(jī)可能在最近發(fā)布的一個(gè)完整簽 名定義文件時(shí)還沒有啟用����,該客戶端計(jì)算機(jī)可以請求自從上次在該客戶端計(jì)算機(jī)上下載并 存儲的該完整簽名定義文件的版本時(shí)起已經(jīng)改變或添加的那些定義。為了協(xié)助這個(gè)過程, 簽名更新服務(wù)器110為由多個(gè)客戶端計(jì)算機(jī)維護(hù)的多種的預(yù)期的完整簽名定義文件版本 準(zhǔn)備僅包括對該完整簽名定義文件的那些改變的增量定義文件����。在本發(fā)明的一個(gè)實(shí)施方案 中,以上討論的優(yōu)化樹的另外一個(gè)目標(biāo)是以使這些增量定義文件的大小最小化的方式來構(gòu) 建這個(gè)樹��。然后��,本發(fā)明的多個(gè)實(shí)施方案可以生成一個(gè)文件����,該文件包含指向每個(gè)增量定義 文件的多個(gè)指示符并且使那些指示符與安裝在一臺客戶端計(jì)算機(jī)上的完整簽名定義文件 的多個(gè)對應(yīng)的版本相關(guān)聯(lián)(335)����。這個(gè)文件(被稱為迷你驅(qū)動文件)被提供給這些客戶端 計(jì)算機(jī)并且使得這些客戶端計(jì)算機(jī)能夠訪問該完整簽名定義文件的合適的增量定義集合 以便對該客戶端計(jì)算機(jī)上的完整簽名定義文件進(jìn)行更新。一旦建立了該完整簽名定義迷你驅(qū)動文件��,簽名更新服務(wù)器1 10可以將該完整 簽名定義迷你驅(qū)動文件傳送至多個(gè)客戶端計(jì)算機(jī)120(1)-(M)上����。本發(fā)明的多個(gè)實(shí)施方案 能夠以多種多樣的方式提供這些完整簽名定義的迷你驅(qū)動文件的傳輸。例如����,以一種“拉動 傳輸模型”,一臺客戶端計(jì)算機(jī)可以跟蹤由該客戶端計(jì)算機(jī)維護(hù)的對該完整簽名定義文件 的上次更新的時(shí)間并且如果自從該更新起的已經(jīng)經(jīng)過一個(gè)閾值時(shí)間段����,那么該客戶端計(jì)算 機(jī)可以從簽名更新服務(wù)器110或一個(gè)指定的分發(fā)服務(wù)器請求完整簽名定義迷你驅(qū)動文件 的最近版本��?����?商娲?,以一種“推動傳輸方式”��,簽名更新服務(wù)器110(或一個(gè)指定的分發(fā) 服務(wù)器)可以在已經(jīng)滿足該發(fā)布閾值周期之后的任何時(shí)間傳送該完整簽名定義迷你驅(qū)動 文件�����。在這樣一種推動模型中���,等待聽取該傳輸?shù)娜魏慰蛻舳擞?jì)算機(jī)將接收該完整簽名定 義迷你驅(qū)動文件并且開始對駐存在該客戶端上的完整簽名定義文件的更新過程����。在并行發(fā)布過程中這個(gè)驗(yàn)定的惡意軟件簽名在一個(gè)流式簽名定義文件中的發(fā)布 與在完整簽名定義文件中的發(fā)布具有某些不同之處�。當(dāng)接收該驗(yàn)定的惡意軟件簽名時(shí),該 簽名被整合到下一個(gè)流式簽名定義文件中(350)�。流式簽名定義文件不要求完整簽名定義 文件的優(yōu)化樹結(jié)構(gòu)。取而代之,該簽名本身或指向該簽名的一個(gè)指示符被包括在該流式簽名定義文件中�。可以做到這一點(diǎn)部分地是因?yàn)閮H有那些在正在建立流式簽名定義文件的周 期內(nèi)到達(dá)的簽名將存在于下一次發(fā)布的簽名定義文件中��。因此����,流式簽名定義文件中的數(shù) 據(jù)量將顯著地小于一個(gè)完整簽名定義文件中的數(shù)據(jù)量。對于是否已經(jīng)經(jīng)過用于發(fā)布下一個(gè) 流式簽名定義文件的一個(gè)流式閾值時(shí)間做出了一個(gè)確定(355)��。如果沒有���,那么簽名更新服 務(wù)器等待接收下一個(gè)驗(yàn)定的惡意軟件簽名(310)�����。如以上所討論的,用于發(fā)布一個(gè)流式簽名 定義文件的閾值周期顯著地小于用于發(fā)布一個(gè)完整簽名定義文件的閾值周期��,并且在本發(fā) 明的一種實(shí)施方案中�����,該閾值周期旨在處于分鐘的級別上(例如���,5分鐘)��。
如果已經(jīng)經(jīng)過該流式簽名定義發(fā)布閾值時(shí)間��,那么簽名更新服務(wù)器110可以建立 這個(gè)流式簽名定義文件(360)�����。與完整簽名定義迷你驅(qū)動文件不同����,流式簽名定義文件旨 在包括正在該流式簽名定義中發(fā)布的這些簽名本身。假如一個(gè)簽名對于直接發(fā)布在流式簽 名定義文件中而言太長��,那么可以提供對于該簽名的一個(gè)指示符�����。于是����,本發(fā)明的多個(gè)實(shí) 施方案可以用剛剛建立的流式簽名定義文件的版本替代該流式簽名定義文件的先前版本 (365)。因此���,正在發(fā)布給多個(gè)客戶端的一個(gè)流式簽名定義文件僅包含在一個(gè)周期以內(nèi)已經(jīng) 被簽名更新服務(wù)器接收的那些驗(yàn)定的惡意軟件簽名(或指向它們的指示符)�����,在該周期內(nèi)�����, 建立了當(dāng)前的流式簽名定義文件(例如�,在當(dāng)前流式簽名定義文件的發(fā)布前的5分鐘的周 期)。然后��,本發(fā)明的多個(gè)實(shí)施方案可以將流式簽名定義文件的當(dāng)前版本傳送給多個(gè)客戶端 計(jì)算機(jī)(370)��。如以上所討論的��,可以使用推動傳輸模型或拉動傳輸模型來進(jìn)行此類傳輸并 且可以由簽名更新服務(wù)器直接地對客戶端進(jìn)行或間接地通過分發(fā)服務(wù)器來進(jìn)行��。以上說明的用于分發(fā)驗(yàn)定的惡意軟件簽名的并行發(fā)布方法允許向反惡意軟件的 軟件提供商的多個(gè)客戶端快速的發(fā)布新到達(dá)的經(jīng)驗(yàn)定的惡意軟件簽名���。并行發(fā)布方法還認(rèn) 識到當(dāng)每個(gè)流式簽名定義文件變得可用時(shí),不是每個(gè)客戶端計(jì)算機(jī)都將能夠用于下載�。對 于由在發(fā)布一個(gè)流式簽名定義文件的時(shí)候不可用的一個(gè)客戶端錯(cuò)過的那些簽名定義,該客 戶端可以在下次下載一個(gè)完整簽名定義文件時(shí)補(bǔ)上�����。因此,這個(gè)客戶端計(jì)算機(jī)能夠一種快 速的方式得到保護(hù)而不受具有一個(gè)新驗(yàn)定的簽名的惡意軟件的危害��,但是在任何情況下都 不會在長于該客戶端下次更新至完整的簽名定義文件時(shí)仍然無保護(hù)����。圖4是一個(gè)簡化框圖,展示了結(jié)合本發(fā)明的多個(gè)實(shí)施方案的一種簽名更新服務(wù)器 110�����。如以上所討論的���,簽名更新服務(wù)器110從多個(gè)驗(yàn)定服務(wù)器150(l)-(p)接收多個(gè)驗(yàn)定 的惡意軟件簽名�����。簽名更新服務(wù)器Iio的多個(gè)實(shí)施方案提供了一個(gè)處理器410用于處理這 些驗(yàn)定的惡意軟件簽名��、準(zhǔn)備這些完整簽名定義和流式簽名定義���、并且向反惡意軟件的軟 件提供商的多個(gè)客戶端提供那些定義文件。圖4展示了正在由處理器410內(nèi)的一個(gè)簽名處 理模塊420接收的多個(gè)驗(yàn)定的惡意軟件簽名����。簽名處理模塊420被配置為將該驗(yàn)定的惡意 軟件簽名存儲在簽名數(shù)據(jù)庫115中�����?�?商娲?�,一個(gè)驗(yàn)定服務(wù)器可以直接地將該驗(yàn)定的惡 意軟件簽名存儲在簽名數(shù)據(jù)庫115中并且然后可以向簽名處理模塊420提供一個(gè)指示即一 個(gè)新驗(yàn)定的惡意軟件簽名已經(jīng)被存儲在簽名數(shù)據(jù)庫115中�。簽名處理模塊420被進(jìn)一步配置為將所接收的驗(yàn)定的惡意軟件簽名提供給一個(gè) 完整簽名定義組裝模塊430以及一個(gè)流式簽名定義組裝模塊440�����。完整簽名定義組裝模塊 430被配置為將新到達(dá)的惡意軟件簽名整合到完整簽名定義樹435中�,并且進(jìn)一步在合適 的發(fā)布時(shí)間提供該完整簽名定義文件的發(fā)布。因此��,完整簽名定義組裝模塊可以被進(jìn)一步 配置為當(dāng)用于發(fā)布完整的簽名定義文件的閾值時(shí)間已經(jīng)到達(dá)時(shí)建立先前討論的增量定義數(shù)據(jù)包以及完整簽名 定義迷你驅(qū)動文件�。類似地,流式簽名定義組裝模塊440被配置為將 新到達(dá)的簽名整合到正在被結(jié)合進(jìn)入下一個(gè)流式簽名定義文件中的簽名列表中(445)�。流 式簽名定義組裝模塊440還可以被配置為在發(fā)布時(shí)間建立流式簽名定義文件并且替代先 前發(fā)布的流式簽名定義文件,如以上所討論的��。因此��,當(dāng)用于發(fā)布流式簽名定義文件的閾值 時(shí)間已經(jīng)達(dá)到時(shí)��,流式簽名定義組裝模塊440可以執(zhí)行與發(fā)布一個(gè)流式簽名定義文件有關(guān) 的任務(wù)�。如所展示的,簽名更新服務(wù)器110包括一個(gè)通信模塊450�,該通信模塊用于從多個(gè) 客戶端計(jì)算機(jī)接收信息以及將信息傳送至多個(gè)客戶端計(jì)算機(jī)。通信模塊450可以使用多種 的協(xié)議來進(jìn)行這些任務(wù)����,這些協(xié)議包括例如用于與安裝在這些客戶端計(jì)算機(jī)上的反惡意軟 件的軟件進(jìn)行通信的一種應(yīng)用程序接口。通信模塊450被配置為將從多個(gè)客戶端接收的請 求提供給處理器410內(nèi)的請求分析器460�。請求分析器460被配置為確定從一個(gè)客戶端接 收的請求的性質(zhì)并且將該請求提供給一個(gè)合適的請求處理模塊。例如��,在拉動傳輸方式的 運(yùn)行中����,如果一個(gè)客戶端請求下載一個(gè)完整簽名定義文件,那么請求分析器460將該請求 提供給完整簽名定義請求模塊470���。類似地�����,如果請求分析器460接收了針對流式簽名定義 文件的一個(gè)請求�,那么請求分析器460將該請求提供給流式簽名定義請求模塊480���。響應(yīng)于針對一個(gè)完整簽名定義文件的請求��,完整簽名定義請求模塊470可以從完 整簽名定義存儲區(qū)域435中檢索最近的完整簽名定義迷你驅(qū)動文件并且將該完整簽名定 義迷你驅(qū)動文件提供給通信模塊450用于傳輸給發(fā)出請求的客戶端��。響應(yīng)于接收該完整簽 名定義迷你驅(qū)動文件�����,然后該發(fā)出請求的客戶端可以從簽名更新服務(wù)器110請求一個(gè)合適 的增量定義文件��。然后���,請求分析器460可以將針對該增量定義文件的請求轉(zhuǎn)發(fā)給完整簽 名定義請求模塊470�����,然后該完整簽名定義請求模塊可以在完整簽名定義存儲區(qū)域435中 檢索該增量定義文件并且將其提供給通信模塊450用于傳輸給請求客戶端����?���?商娲兀?完整簽名定義迷你驅(qū)動文件可以包括指向一個(gè)分離的分發(fā)服務(wù)器中的一個(gè)存儲區(qū)域的指 示符,該分離的服務(wù)器被確切地配置為將多個(gè)增量定義文件提供給多個(gè)請求客戶端�����。如果請求分析器460接收了針對一個(gè)流式簽名定義文件的請求���,那么請求分析器 460將該請求提供給流式簽名定義請求模塊480。然后��,流式簽名定義請求模塊480可以從 流式簽名定義存儲區(qū)域445中檢索最近的流式簽名定義文件并且通過通信模塊450將該流 式簽名定義文件提供給該發(fā)出請求的客戶端�。如以上所討論的,流式簽名定義文件可以包 含在當(dāng)前發(fā)布周期內(nèi)從這些驗(yàn)定服務(wù)器接收的這些驗(yàn)定的惡意軟件簽名的全部版本或者 指向該簽名的位置的一個(gè)指示符�����,該發(fā)出請求的客戶端可以從這個(gè)位置下載該簽名���。響應(yīng)于接收指向一個(gè)流式簽名定義迷你驅(qū)動文件內(nèi)的一個(gè)惡意軟件簽名的指示 符��,一個(gè)客戶端可以將針對該簽名的一個(gè)請求提交給簽名更新服務(wù)器110���。當(dāng)接收到該簽名 請求時(shí),請求分析器460可以將該簽名請求提供給一個(gè)簽名請求模塊490���,該簽名請求模塊 可以從簽名數(shù)據(jù)庫115中檢索所請求的簽名并且將所請求的簽名通過通信模塊450提供給 發(fā)出請求的客戶端���?����?商娲?,如上所述����,指向未被包含在流式簽名定義迷你驅(qū)動文件中的 簽名的指示符可以被指向一個(gè)分離的分發(fā)服務(wù)器,該分離的分發(fā)服務(wù)器被配置為將多個(gè)簽 名提供給發(fā)出請求的客戶端��。應(yīng)當(dāng)指出�,盡管圖4展示了已經(jīng)被說明為進(jìn)行特定任務(wù)的不同模塊,本發(fā)明的多 個(gè)實(shí)施方案并不限于這樣一種配置����。例如,被說明為正在由兩個(gè)或更多個(gè)分離的模塊執(zhí)行的任務(wù)可以由一個(gè)單一的模塊來執(zhí)行�����。另外��,已經(jīng)被說明為由一個(gè)數(shù)據(jù)庫提供的存儲能夠 替代性地由其他可接受的數(shù)據(jù)的結(jié)構(gòu)提供。 圖5是一個(gè)簡化流程圖�����,展示了根據(jù)本發(fā)明的多個(gè)實(shí)施方案由一個(gè)客戶端計(jì)算 機(jī)進(jìn)行的簽名定義更新過程���。作為一個(gè)初始步驟,客戶端計(jì)算機(jī)啟動反惡意軟件的軟件 (505)����。這個(gè)啟動過程可以包括確定安裝在客戶端上的完整簽名定義文件以及任何流式簽 名定義文件的上次更新的時(shí)間。關(guān)于用于完整流式簽名集合的上次更新時(shí)間是否在用于更 新完整流式定義文件的一個(gè)閾值以上(510)的確定是由客戶端做出的�。如以上所討論的, 一個(gè)完整流式定義閾值時(shí)間典型地是在小時(shí)的級別上(例如���,8小時(shí))�����。如果完整流式定義 集合的上次更新超過了預(yù)定的閾值時(shí)間����,那么客戶端可以請求并接收最近的完整簽名定義 迷你驅(qū)動文件(515)���。然后���,客戶端可以將與該完整流式定義集合的當(dāng)前更新相關(guān)聯(lián)的一個(gè) 版本號與在該完整流式定義迷你驅(qū)動文件中識別的多個(gè)版本進(jìn)行比較以便對與一個(gè)合適 的增量定義文件相關(guān)聯(lián)的信息進(jìn)行識別(520)����。一旦已經(jīng)識別了針對合適的增量定義文件 的信息����,那么客戶端可以請求并接收該合適的增量定義文件(525)。如以上所討論的����,客戶 端可以向簽名更新服務(wù)器亦或一個(gè)識別的分發(fā)服務(wù)器請求一個(gè)增量定義文件。當(dāng)接收到所請求的增量定義文件時(shí)���,客戶端可以使用該增量定義文件中的信息對 安裝在客戶端上的完整簽名定義集合進(jìn)行更新(530)����。如以上所討論的�����,該增量定義文件包 含與自從客戶端計(jì)算機(jī)上的完整簽名定義集合的先前安裝的版本起已經(jīng)改變的那部分完 整簽名定義樹相關(guān)的信息�。安裝在客戶端計(jì)算機(jī)上的反惡意軟件的軟件可以被配置為將由 該增量定義文件所表示的這些該變結(jié)合到安裝在客戶端計(jì)算機(jī)上的完整簽名定義集合的 有效版本中���。一旦所更新的完整簽名定義集合在客戶端計(jì)算機(jī)上是有效的,那么客戶端計(jì)算 機(jī)可以將包含在該更新的完整簽名定義集合中的任何定義的流式簽名定義數(shù)據(jù)集合清除 (535)����。本發(fā)明的多個(gè)實(shí)施方案可以通過包含具有每個(gè)流式簽名定義的一個(gè)完整簽名定義 集合版本識別來提供這種功能性。因此�����,當(dāng)安裝在一臺客戶端計(jì)算機(jī)上的完整簽名定義集 合與一個(gè)相關(guān)聯(lián)的完整流式定義集合版本標(biāo)識符相匹配時(shí)(該標(biāo)識符與一個(gè)流式簽名定 義相關(guān)聯(lián))��,可以在由該客戶端計(jì)算機(jī)維護(hù)的流式簽名定義數(shù)據(jù)集合中移除該流式簽名定 義��。然后���,一臺客戶端計(jì)算機(jī)可以被配置為確定上次流式簽名定義更新時(shí)間是否超過 了針對流式簽名定義的一個(gè)設(shè)定的閾值(540)。注意����,還可以在確定完整簽名定義更新時(shí)間 未超過完整簽名定義更新閾值之后進(jìn)行這個(gè)步驟。如果流式簽名定義更新時(shí)間未超過流式 簽名定義閾值��,那么反惡意軟件的軟件可以使用當(dāng)前安裝的完整簽名定義集合以及流式簽 名定義集合來執(zhí)行功能性直至已經(jīng)達(dá)到了該流式簽名定義更新閾值�。一旦已經(jīng)達(dá)到了流式簽名定義閾值時(shí)間���,客戶端可以從簽名更新服務(wù)器110請求 并接收最近的流式簽名定義迷你驅(qū)動文件(545)。當(dāng)接收到流式簽名定義迷你驅(qū)動文件時(shí)��, 客戶端可以將該迷你驅(qū)動文件中存在的流式簽名定義添加到由客戶端計(jì)算機(jī)維護(hù)的一個(gè) 流式簽名數(shù)據(jù)集合中(550)��。這個(gè)步驟還可以包括請求并接收未被包含在流式簽名定義迷 你驅(qū)動文件中但是具有指向該簽名的指示符的任何簽名����。一旦被結(jié)合在流式簽名定義數(shù)據(jù) 集合中,客戶端計(jì)算機(jī)可以使用完整簽名定義數(shù)據(jù)集合和流式簽名定義數(shù)據(jù)集合二者中的 簽名信息來進(jìn)行惡意軟件檢測和修復(fù)(555)�����。
圖5展示了在拉動傳輸方式中起作用的一臺客戶端計(jì)算機(jī)����,其中該客戶端計(jì)算機(jī) 啟動完整簽名定義和流式簽名定義信息二者的傳輸?���?商娲兀粋€(gè)客戶端可以在一種推 動傳輸方式中起作用�����,其中該客戶端計(jì)算機(jī)采取一種收聽姿態(tài),等待接收完整簽名定義和 流式簽名定義文件的傳輸��。另一個(gè)替代方案可涉及在用于完整簽名定義信息的拉動傳輸方 式和用于流式簽名定義的推動傳輸方式中起作用的一個(gè)客戶端�����。
應(yīng)當(dāng)認(rèn)識到�,如果一臺客戶端計(jì)算機(jī)與網(wǎng)絡(luò)斷開連接或者以其他方式在任何時(shí)間 段內(nèi)是不工作的,使用圖5中展示的過程運(yùn)行的該客戶端計(jì)算機(jī)可能錯(cuò)過下載一個(gè)或多個(gè) 流式簽名定義迷你驅(qū)動文件的機(jī)會����。由于流式簽名定義文件對于在一個(gè)完整簽名定義文件 中發(fā)現(xiàn)的信息是補(bǔ)充的并且由于每個(gè)后續(xù)流式簽名定義文件僅包含新到達(dá)的驗(yàn)定的惡意 軟件簽名,在客戶端計(jì)算機(jī)的流式簽名定義數(shù)據(jù)集合中發(fā)現(xiàn)的簽名中可能存在空缺�����。然而��, 應(yīng)當(dāng)進(jìn)一步認(rèn)識到�,客戶端計(jì)算機(jī)通過完整簽名定義數(shù)據(jù)集合的下次更新將跟上更新并且 在那一點(diǎn)處將會填補(bǔ)所有的空缺�。因此,實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一臺客戶端計(jì)算機(jī) 可能不比沒有實(shí)施本發(fā)明的多個(gè)實(shí)施方案的客戶端計(jì)算機(jī)(例如��,僅接收完整簽名定義的 一個(gè)客戶端)更為不利����,但是實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一個(gè)客戶端計(jì)算機(jī)可以比沒有 實(shí)施本發(fā)明的多個(gè)實(shí)施方案的客戶端計(jì)算機(jī)遠(yuǎn)為更快地潛在地得到保護(hù)不受新的惡意軟 件實(shí)例的危害��。還應(yīng)當(dāng)認(rèn)識到���,客戶端計(jì)算機(jī)上的針對完整簽名定義和流式簽名定義二者 的更新閾值周期應(yīng)當(dāng)被設(shè)置為與在簽名更新服務(wù)器上設(shè)置的發(fā)布時(shí)間段相同的時(shí)間段。本發(fā)明的多個(gè)實(shí)施方案不僅在一個(gè)客戶端上提供了簽名數(shù)據(jù)集合的更頻繁的更 新(例如在分鐘的級別上)����,而且與更頻繁地發(fā)布完整簽名定義數(shù)據(jù)集的情況相比還以對 網(wǎng)絡(luò)帶寬使用的影響最小的方式提供了這種功能性。因?yàn)榱魇胶灻x文件僅包含在發(fā)布 周期內(nèi)的那些新的簽名���,所以實(shí)現(xiàn)了這種降低的帶寬消耗��。由于此類簽名平均占用50字節(jié) 并且預(yù)期的是每五分鐘將會產(chǎn)生50到150個(gè)之間的新簽名�����,流式簽名定義迷你驅(qū)動文件將 預(yù)期是在2500到7500字節(jié)之間�����。于是����,網(wǎng)絡(luò)帶寬影響可以分散在多個(gè)分發(fā)服務(wù)器之間、并 且將取決于請求流式簽名定義的客戶端計(jì)算機(jī)的數(shù)目或者一個(gè)推動傳輸分發(fā)服務(wù)器通過 它來提供那些流式簽名定義的機(jī)制(例如�,廣播或多播)。一種示例性計(jì)算和網(wǎng)絡(luò)環(huán)境如以上所示出的��,可以使用多種的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)來實(shí)施本發(fā)明����。以下參見圖 6和圖7說明了此類計(jì)算和網(wǎng)絡(luò)環(huán)境的一個(gè)實(shí)例。圖6描繪了適合用于實(shí)施本發(fā)明的多個(gè)實(shí)施方案的一種計(jì)算機(jī)系統(tǒng)610(例如��,簽 名更新服務(wù)器110和客戶端計(jì)算機(jī)120(1)-(M))的框圖���。計(jì)算機(jī)系統(tǒng)610包括總線612��,該 總線將計(jì)算機(jī)系統(tǒng)610的大多數(shù)子系統(tǒng)相互連接�,如中央處理器614��、系統(tǒng)存儲器617(典型 地RAM���,但是還可以包括ROM、閃存RAM���、或類似的存儲器)�����、輸入/輸出控制器618����、外部音 頻裝置(如經(jīng)由音頻輸出接口 622的擴(kuò)音器系統(tǒng)620)、外部裝置(如經(jīng)由顯示適配器626 的顯示屏624)����、多個(gè)串行端口 628和630、鍵盤632 (與鍵盤控制器633相連接)����、存儲接口 634、可操作用于接收軟盤638的軟盤驅(qū)動器637����、可操作用于與光纖通道網(wǎng)絡(luò)690相連接 的主機(jī)總線適配器(HBA)接口卡635A、可操作用于連接到SCSI總線639上的主機(jī)總線適 配器(HBA)接口卡635B��、以及可操作用于接收光盤642的光盤驅(qū)動器640��。還包括了鼠標(biāo) 646 (或其他指向和點(diǎn)擊裝置�����,通過串行端口 628與總線612相連接)、調(diào)制解調(diào)器647 (通 過串行端口 630與總線612相連接)��、以及網(wǎng)絡(luò)接口 648 (直接與總線612相連接)����。
總線612允許中央處理器614與系統(tǒng)存儲器617之間的數(shù)據(jù)通信,該系統(tǒng)存儲器 可以包括只讀存儲器(ROM)或閃存(均未示出)���、以及隨機(jī)存取存儲器(RAM)(未示出)�, 如以上指出的 �����。RAM總體上是加載操作系統(tǒng)和應(yīng)用程序的主存儲器�����。ROM或閃存可以包含 (除其他代碼之外)基本輸入輸出系統(tǒng)(BIOS)��,該系統(tǒng)控制基本硬件操作如與外圍部件的 交互���。駐存在計(jì)算機(jī)系統(tǒng)610中的多種應(yīng)用程序總體上存儲在計(jì)算機(jī)可讀媒質(zhì)(如硬盤驅(qū) 動器(例如,固定盤644)、光盤驅(qū)動器(例如����,光盤驅(qū)動器640)、軟盤單元637或其他存儲 媒質(zhì))上并且通過它們進(jìn)行訪問���。此外����,當(dāng)通過網(wǎng)絡(luò)調(diào)制解調(diào)器647或接口 648來訪問時(shí)���, 應(yīng)用程序可以是處于根據(jù)應(yīng)用程序和數(shù)據(jù)通信技術(shù)進(jìn)行調(diào)制的電子信號的形式��。存儲接口 634連同計(jì)算機(jī)系統(tǒng)610的其他存儲接口可以連接到用于信息的存儲 和/或檢索的一種標(biāo)準(zhǔn)計(jì)算機(jī)可讀媒質(zhì)上��,如固定盤驅(qū)動器644����。固定盤驅(qū)動器644可以 是計(jì)算機(jī)系統(tǒng)610的一部分或者可以是分離的并且通過其他接口系統(tǒng)可訪問的�。調(diào)制解 調(diào)器647可以通過電話鏈路提供到遠(yuǎn)程服務(wù)器上的直接連接、或者通過互聯(lián)網(wǎng)服務(wù)提供商 (ISP)提供到互聯(lián)網(wǎng)的直接連接�����。網(wǎng)絡(luò)接口 648可以通過一個(gè)直接網(wǎng)絡(luò)鏈路提供到一個(gè)遠(yuǎn) 程服務(wù)器的直接連接、或者通過一個(gè)POP(存在點(diǎn))提供到互聯(lián)網(wǎng)的直接連接���。網(wǎng)絡(luò)接口 648還可以使用無線技術(shù)提供此類連接��,該無線技術(shù)包括數(shù)字蜂窩電話連接���、蜂窩數(shù)字包數(shù) 據(jù)(CDPD)連接、數(shù)字衛(wèi)星數(shù)據(jù)連接�����、或類似的連接���。許多其他裝置或子系統(tǒng)(未示出)能夠以類似的方式(例如�����,文檔掃描儀����、數(shù)碼照 相機(jī)��、等等)進(jìn)行連接�。相反�,實(shí)施本發(fā)明并不需要圖6中示出的所有裝置都存在���。這些裝 置和子系統(tǒng)能夠以不同于圖6中示出的方式互相連接。如圖6中示出的計(jì)算機(jī)系統(tǒng)的操作 在本領(lǐng)域中是公知的并且未在本申請中進(jìn)行詳細(xì)討論�。用于實(shí)施本發(fā)明的編碼可以被存 儲在計(jì)算機(jī)可讀存儲媒質(zhì)中,如系統(tǒng)存儲器617����、固定盤644、光盤642����、或軟盤638的一個(gè) 或多個(gè)中。在計(jì)算機(jī)系統(tǒng)610上提供的操作系統(tǒng)可以是MS- DOS �����、MS- WINDOWS ��、 OS/ 2 ��、UNIX �����、Linux 、或另一種已知的操作系統(tǒng)�����。另外�����,有關(guān)在此說明的這些信號�����,本領(lǐng)域的普通技術(shù)人員將會認(rèn)識到一個(gè)信號可 以被直接從一個(gè)第一方框傳送至一個(gè)第二方框����、或者一個(gè)信號在這些方框之間可以被修改 (例如,放大����、衰減、延遲�����、鎖存����、緩存����、逆轉(zhuǎn)�、過濾、或其他方式的修改)��。盡管以上說明的實(shí) 施方案的這些信號的特征是從一個(gè)方框傳送到下一個(gè)上�,本發(fā)明的其他實(shí)施方案可以包括 多種修改的信號來代替此類直接傳送的信號�����,只要在多個(gè)方框之間傳送了該信號的信息的 和/或功能的方面����。因?yàn)樗婕暗碾娐返奈锢硐拗?例如,將不可避免地有某種衰減以及 延遲)�����,在某種程度上��,在第二方框處的信號輸入可以理解為從來自第一方框的一個(gè)第一信 號輸出中得出的一個(gè)第二信號���。因此���,如在此所使用的��,從一個(gè)第一信號得出的一個(gè)第二信 號包括該第一信號或?qū)υ摰谝恍盘柕娜魏涡薷?����,無論是因?yàn)殡娐废拗苹蚴且驗(yàn)榻?jīng)過了其他 電路元件���,這些電路元件未改變該第一信號的信息的和/或最終功能性方面。圖7是一個(gè)框圖����,它描繪了一種網(wǎng)絡(luò)體系結(jié)構(gòu)700,其中客戶端系統(tǒng)710���、720和 730連同存儲服務(wù)器740A和740B(可以使用計(jì)算機(jī)系統(tǒng)610實(shí)施它們中的任何一個(gè)) 被連接到網(wǎng)絡(luò)750上�����。存儲服務(wù)器740A被進(jìn)一步描繪為具有直接附接的多個(gè)存儲裝置 760A (I)-(N)�����,并且存儲服務(wù)器740B被描繪為具有直接附接的多個(gè)存儲裝置760B (I)-(N)���。 多個(gè)存儲服務(wù)器740A和740B還被連接到SAN光纖通道770上�,盡管本發(fā)明的操作不要求 連接到存儲區(qū)域網(wǎng)絡(luò)上���。SAN光纖通道770支持由存儲服務(wù)器740A和740B����、以及因此通過網(wǎng)絡(luò)750由客戶端系統(tǒng)710�����、720和730對存儲裝置780(1)-(N)的訪問���。智能存儲陣列790還被示出為通過SAN光纖通道770可訪問的一個(gè)具體的存儲裝置的實(shí)例�����。借助于計(jì)算機(jī)系統(tǒng)610,調(diào)制解調(diào)器647、網(wǎng)絡(luò)接口 648或一些其他方法可以被用 于提供從客戶端計(jì)算機(jī)系統(tǒng)710�、720和730中的每一個(gè)到網(wǎng)絡(luò)750的連接性�。例如,客戶 端系統(tǒng)710、720�、和730能夠使用例如一個(gè)網(wǎng)絡(luò)瀏覽器或其他客戶端軟件(未示出)來訪問 存儲服務(wù)器740A或740B上的信息�����。這樣一個(gè)客戶端允許客戶端系統(tǒng)710��、720����、和730訪問 由存儲服務(wù)器740A或740B或存儲裝置760A (1) - (N)、760B (1) - (N)�����、780 (1) - (N)之一或智 能存儲陣列790托管的數(shù)據(jù)����。圖7描繪了使用一個(gè)網(wǎng)絡(luò)(如互聯(lián)網(wǎng))用于交換數(shù)據(jù),但是 本發(fā)明并不限于互聯(lián)網(wǎng)或任何具體的基于網(wǎng)絡(luò)的環(huán)境��。其他實(shí)施方案本發(fā)明良好地適合于獲得所提及的優(yōu)點(diǎn)連同在此包含的其他優(yōu)點(diǎn)�����。盡管已經(jīng)通過 參照本發(fā)明的具體實(shí)施方案來描繪��、說明�����、并限定了本發(fā)明��,這種參照并非暗示對本發(fā)明的 限制�,并且不得推斷出任何此類限制�。本發(fā)明在形式和功能上能夠進(jìn)行顯著的修改����、替代、 以及等效物�,如相關(guān)領(lǐng)域的普通技術(shù)人員將會想到的�����。所描繪和說明的實(shí)施方案僅是實(shí)例��, 并且對本發(fā)明的范圍不是窮盡的��。上文說明了多個(gè)實(shí)施方案�,它們包括被包含在其他部件中的多個(gè)部件(例如�,不 同的元件被示出為計(jì)算機(jī)系統(tǒng)610的部件)��。此類體系結(jié)構(gòu)僅是實(shí)例�����,并且事實(shí)上,可以實(shí) 施許多其他體系結(jié)構(gòu),它們實(shí)現(xiàn)了相同的功能性���。在一種抽象的但仍明確的意義上�,為了實(shí) 現(xiàn)相同的功能性的任何部件安排都是有效地“相關(guān)聯(lián)的”從而實(shí)現(xiàn)了所希望的功能性���。因 此�,在此為了實(shí)現(xiàn)一種具體的功能性而相結(jié)合的任何兩個(gè)部件都可以被看作彼此“相關(guān)聯(lián) 的”從而實(shí)現(xiàn)了所希望的功能性����,而無論體系結(jié)構(gòu)或中間部件如何。同樣��,如此相關(guān)聯(lián)的任 何兩個(gè)部件還可以被看作彼此“可操作地相連接的”或“可操作地相聯(lián)接的”以便實(shí)現(xiàn)所希 望的功能性����。上述詳細(xì)說明已經(jīng)通過使用框圖��、流程圖、以及實(shí)例給出了本發(fā)明的不同實(shí)施方 案。本領(lǐng)域的技術(shù)人員將會理解通過使用實(shí)例展示的每個(gè)框圖部件、流程圖步驟��、操作和/ 或部件都可以由一個(gè)大系列的硬件���、軟件�、固件�����、或它們的任何組合來單獨(dú)地和/或共同地 實(shí)現(xiàn)�。本發(fā)明已經(jīng)在完全功能性的計(jì)算機(jī)系統(tǒng)背景中進(jìn)行了說明;然而���,本領(lǐng)域的普通 技術(shù)人員將會認(rèn)識到本發(fā)明能夠以多種的形式作為程序產(chǎn)品來分發(fā)�,并且無論用于實(shí)際上 進(jìn)行該分發(fā)的具體類型的信號承載媒質(zhì)如何本發(fā)明都是同等地適用的��。信號承載媒質(zhì)的實(shí) 例包括計(jì)算機(jī)可讀存儲媒質(zhì)�、傳輸型媒質(zhì)如數(shù)字的和模擬的通信鏈路、連同未來研發(fā)的媒 質(zhì)存儲和分發(fā)系統(tǒng)�。以上討論的實(shí)施方案可以通過執(zhí)行某些任務(wù)的軟件模塊來實(shí)施。在此討論這些軟 件模塊可以包括腳本�、批數(shù)據(jù)、或其他可執(zhí)行文件�。這些軟件模塊可以被存儲在機(jī)器可讀或 計(jì)算機(jī)可讀存儲媒質(zhì)上�,如磁軟盤��、硬盤�����、半導(dǎo)體存儲器(例如����,RAM、ROM���、以及閃存類型的 媒質(zhì))�����、光盤(例如,CD-ROM�����、CD-R�、以及DVD)、或其他類型的存儲器模塊�����。用于存儲根據(jù)本 發(fā)明的一種實(shí)施方案的固件或硬件模塊的存儲裝置還可以包括基于半導(dǎo)體的存儲器,它可 以是永久地�����、可移除地或遠(yuǎn)程地與微處理器/存儲器系統(tǒng)相聯(lián)接�。因此,這些模塊可以被存 儲在一個(gè)計(jì)算機(jī)系統(tǒng)存儲器中以便將該計(jì)算機(jī)系統(tǒng)配置為進(jìn)行該模塊的功能��。其他新的以及不同類型的計(jì)算機(jī)可讀存儲媒質(zhì)可以被用于存儲在此討論的這些模塊��。以上的說明是旨在展示本發(fā)明并且不應(yīng)當(dāng)被認(rèn)為是限制性的��。本發(fā)明的范圍內(nèi)的 其他實(shí)施方案是可能的�。本領(lǐng)域的普通技術(shù)人員將容易地實(shí)施對提供在此披露的這些結(jié) 構(gòu)和方法而言必需的步驟,并且將會理解這些步驟的過程參數(shù)和序列是僅通過舉例而給出 的�、并且可以被改變來實(shí)現(xiàn)本發(fā)明的范圍內(nèi)的所期望的結(jié)構(gòu)以及修改?�;谠诖私o出的說 明可以做出對于在此披露的這些實(shí)施方案的變更和修改�,而不背離本發(fā)明的范圍。因此��,本發(fā)明是旨在僅由所附權(quán)利要求的范圍來限定�����,并在所有方面給予對等效 物的全面認(rèn)同。盡管已經(jīng)結(jié)合多個(gè)實(shí)施方案說明了本發(fā)明��,但是本發(fā)明并非旨在受限于在此給出 的這些特定形式�。相反,它是旨在覆蓋能夠被合理地包括在如由所附權(quán)利要求限定的本發(fā) 明的范圍內(nèi)的此類替代方案���、修改����、以及等效物�。工業(yè)應(yīng)用件本發(fā)明的多個(gè)實(shí)施方案可以被應(yīng)用在計(jì)算機(jī)安全領(lǐng)域之中。
權(quán)利要求
1.一種方法���,包括組裝一個(gè)完整的簽名定義文件�,該完整的簽名定義文件包括一個(gè)第一接收的惡意軟件 的簽名��,其中該完整的簽名定義文件進(jìn)一步包括直到一個(gè)限定的時(shí)間所接收的第一多個(gè)惡意軟件 的簽名�����;在該限定的時(shí)間之后發(fā)布該完整的簽名定義文件����;組裝一個(gè)流式簽名定義文件,該流式簽名定義文件包括該第一接收的惡意軟件的簽 名�����,其中該流式簽名定義文件進(jìn)一步包括在一個(gè)第一時(shí)間段上接收到第二多個(gè)惡意軟件的簽名���,該第一時(shí)間段開始于一個(gè)第一起始時(shí)間并且結(jié)束于一個(gè)第一結(jié)束時(shí)間����;并且 該第一結(jié)束時(shí)間先于該限定的時(shí)間�����;并且 在該第一時(shí)間段結(jié)束時(shí)發(fā)布該流式簽名定義文件�。
2.如權(quán)利要求1所述的方法,其中所述發(fā)布該流式簽名定義文件包括 響應(yīng)于來自一個(gè)第一遠(yuǎn)程節(jié)點(diǎn)的一個(gè)請求傳輸該流式簽名定義文件���;并且來自該第一遠(yuǎn)程節(jié)點(diǎn)的請求是先于一個(gè)第二結(jié)束時(shí)間��,其中該第二結(jié)束時(shí)間在該第一 結(jié)束時(shí)間之后��。
3.如權(quán)利要求2所述的方法����,進(jìn)一步包括使用一個(gè)先前的完整的簽名定義文件以及該流式簽名定義文件來針對對應(yīng)于該第一 接收的簽名與該第一多個(gè)惡意軟件的簽名之一的多個(gè)惡意軟件的實(shí)例對該第一遠(yuǎn)程節(jié)點(diǎn) 進(jìn)行掃描,其中所述對該第一遠(yuǎn)程節(jié)點(diǎn)進(jìn)行掃描是先于該限定的時(shí)間進(jìn)行的�����。
4.如權(quán)利要求1所述的方法����,進(jìn)一步包括組裝一個(gè)第二流式簽名定義文件,該第二流式簽名定義文件包括在一個(gè)第二時(shí)間段上 接收的第三多個(gè)簽名����,其中該第二時(shí)間段開始于一個(gè)第二起始時(shí)間并且結(jié)束于一個(gè)第二結(jié)束時(shí)間, 該第二起始時(shí)間是在該第一結(jié)束時(shí)間之后��,并且 該第二結(jié)束時(shí)間是先于該限定的時(shí)間����;并且 在該第二時(shí)間段結(jié)束時(shí)發(fā)布該第二流式簽名定義文件。
5.如權(quán)利要求4所述的方法����,其中所述發(fā)布該第二流式簽名定義文件包括 在該第二時(shí)間段結(jié)束時(shí)用該第二流式簽名定義文件替代該流式簽名定義文件��。
6.如權(quán)利要求1所述的方法,其中該第一接收的惡意軟件的簽名�、該第一多個(gè)惡意軟 件的簽名以及該第二多個(gè)惡意軟件的簽名是從一個(gè)或多個(gè)惡意軟件的簽名證書引擎接收 的。
7.如權(quán)利要求1所述的方法��,其中所述組裝該流式簽名定義文件包括將該第一接收的惡意軟件的簽名附加在一個(gè)列表土��,該列表包括該第二多個(gè)惡意軟件 的簽名中的一個(gè)或多個(gè)惡意軟件的簽名���。
8.如權(quán)利要求1所述的方法�,其中所述組裝該流式簽名定義文件包括將對應(yīng)于該第一接收的惡意軟件的簽名的一個(gè)指示符附加一個(gè)列表上��,該列表包括指向該第二多個(gè)惡意軟件的簽名的對應(yīng)的多個(gè)惡意軟件的簽名的一個(gè)或多個(gè)指示符����,其中對 應(yīng)于該第一接收的惡意軟件的簽名的指示符包括有關(guān)該第一接收的惡意軟件的簽名的一 個(gè)位置的信息。
9.一種裝置�,包括 一個(gè)處理器;一個(gè)網(wǎng)絡(luò)接口�,該網(wǎng)絡(luò)接口被連接到該處理器上并且被配置為接收一個(gè)第一惡意軟件 的簽名、第一多個(gè)惡意軟件的簽名���、以及第二多個(gè)惡意軟件的簽名�;一個(gè)第一存儲卷,該第一存儲卷被連接到該處理器上并且被配置為存儲一個(gè)完整的簽 名定義文件�,其中該完整的簽名定義文件包括該第一惡意軟件的簽名;一個(gè)第二存儲卷�,該第二存儲卷被連接到該處理器上并且被配置為存儲一個(gè)流式簽名 定義文件,其中該流式簽名定義文件包括該第一惡意軟件的簽名�����;以及一個(gè)存儲器�,該存儲器被連接到該處理器上并且存儲由該處理器可執(zhí)行的多個(gè)指令, 這些指令被配置為組裝該完整的簽名定義文件��,其中該完整的簽名定義文件進(jìn)一步包括直到一個(gè)限定的 時(shí)間所接收的第一多個(gè)惡意軟件的簽名�����,在該限定的時(shí)間之后發(fā)布該完整的簽名定義文件����, 組裝該流式簽名定義文件,其中該流式簽名定義文件進(jìn)一步包括在一個(gè)第一時(shí)間段上接收的第二多個(gè)惡意軟件的簽 名���,該第一時(shí)間段開始于一個(gè)第一起始時(shí)間并且結(jié)束于一個(gè)第一結(jié)束時(shí)間并且該第一結(jié)束 時(shí)間先于該限定的時(shí)間���,并且在該第一時(shí)間段結(jié)束時(shí)發(fā)布該流式簽名定義文件。
10.如權(quán)利要求9所述的裝置,進(jìn)一步包括一個(gè)第二網(wǎng)絡(luò)接口��,該第二網(wǎng)絡(luò)接口被連接到該處理器上并且被配置為傳輸該流式簽 名定義文件�����;并且該存儲器進(jìn)一步存儲由該處理器可執(zhí)行的用于發(fā)布該流式簽名定義文件的多個(gè)指令�����、 并且被配置為響應(yīng)于來自一個(gè)第一遠(yuǎn)程節(jié)點(diǎn)的一個(gè)請求使用該第二網(wǎng)絡(luò)接口來傳輸該流 式簽名定義文件�,其中來自該第一遠(yuǎn)程節(jié)點(diǎn)的請求是先于一個(gè)第二結(jié)束時(shí)間�����,并且 該第二起始時(shí)間在該第一結(jié)束時(shí)間之后�����。
11.如權(quán)利要求9所述的裝置�,進(jìn)一步包括該存儲器存儲可由該處理器執(zhí)行的另外的多個(gè)指令并且被配置為用于組裝一個(gè)第二 流式簽名定義文件,該第二流式簽名定義文件包括在一個(gè)第二時(shí)間段上接收的第三多個(gè)簽 名��,其中該第二時(shí)間段開始于在該第一結(jié)束時(shí)間之后的一個(gè)第二起始時(shí)間并且結(jié)束于先于 該限定的時(shí)間的一個(gè)第二結(jié)束時(shí)間�,并且在該第二時(shí)間段結(jié)束時(shí)發(fā)布該第二流式簽名定義文件。
12.如權(quán)利要求11所述的裝置,進(jìn)一步包括該存儲器存儲了可由該處理器執(zhí)行的用于發(fā)布該第二流式簽名文件的另外的多個(gè)指 令����、并且被配置為在該第二時(shí)間段結(jié)束時(shí)用該第二流式簽名定義文件替代該流式簽名定義 文件。
13.如權(quán)利要求9所述的裝置�����,進(jìn)一步包括該存儲器存儲了可由該處理器執(zhí)行的用于組裝該流式簽名定義文件的另外的多個(gè)指 令���、并且被配置為將該第一惡意軟件的簽名附加到一個(gè)列表上��,該列表包括該第二多個(gè)惡 意軟件的簽名中的一個(gè)或多個(gè)惡意軟件的簽名�����。
14.如權(quán)利要求9所述的裝置���,進(jìn)一步包括該處理器存儲了可由該處理器執(zhí)行的用于組裝該流式簽名定義文件的另外的多個(gè)指 令、并且被配置為將對應(yīng)于該第一惡意軟件的簽名的一個(gè)指示符附加到一個(gè)列表上��,該列 表包括指向該第二多個(gè)惡意軟件的簽名的多個(gè)對應(yīng)的惡意軟件的簽名的一個(gè)或多個(gè)指示 符�����,其中對應(yīng)于該第一惡意軟件的簽名的指示符包括有關(guān)該第一惡意軟件的簽名的一個(gè)位 置的信息。
15.一種系統(tǒng)����,包括一個(gè)信號處理器模塊,該信號處理器模塊被配置為 接收一個(gè)第一惡意軟件的簽名���,并且將該第一惡意軟件的簽名提供給一個(gè)完整定義組裝模塊以及一個(gè)流式定義組裝模塊;該完整定義組裝模塊被連接到該信號處理器模塊上��、并且被配置為組裝包括該第一惡 意軟件的簽名的一個(gè)完整的簽名定義文件并且將該完整的簽名定義文件存儲在一個(gè)相關(guān) 聯(lián)的第一存儲器中���,其中該完整的簽名定義文件進(jìn)一步包括直到一個(gè)限定的時(shí)間由該完整定義組裝模塊接收 的第一多個(gè)惡意軟件的簽名�;一個(gè)完整定義請求模塊����,該完整定義請求模塊被連接到該第一存儲器上、并且被配置 為在該限定的時(shí)間之后傳輸全部或部分的該完整的簽名定義文件����;該流式定義組裝模塊被連接到該信號處理器模塊上、并且被配置為組裝包括該第一惡 意軟件的簽名的一個(gè)流式簽名定義文件并且將該流式簽名定義文件存儲在一個(gè)相關(guān)聯(lián)的 第二存儲器中��,其中該流式簽名定義文件進(jìn)一步包括在一個(gè)第一時(shí)間段上接收到第二多個(gè)惡意軟件的簽名��,該第一時(shí)間段開始于一個(gè)第一起始時(shí)間并且結(jié)束于一個(gè)第一結(jié)束時(shí)間,并且 該第一結(jié)束時(shí)間是先于該限定的時(shí)間�;并且一個(gè)流式定義請求模塊,該流式定義請求模塊被連接到該第二存儲器上����、并且被配置 為在該第一時(shí)間段結(jié)束時(shí)傳輸該流式簽名定義文件。
16.如權(quán)利要求15所述的系統(tǒng)����,進(jìn)一步包括一個(gè)遠(yuǎn)程節(jié)點(diǎn),該遠(yuǎn)程節(jié)點(diǎn)通過一個(gè)網(wǎng)絡(luò)被連接到該流式定義請求模塊上��、并且被配 置為請求該流式簽名定義文件�,其中該請求是先于一個(gè)第二結(jié)束時(shí)間并且該第二結(jié)束時(shí)間 是在該第一結(jié)束時(shí)間之后;并且該流式定義請求模塊進(jìn)一步被配置為響應(yīng)于來自該遠(yuǎn)程節(jié)點(diǎn)的請求執(zhí)行所述傳輸該 流式簽名定義文件�。
17.如權(quán)利要求15所述的系統(tǒng),進(jìn)一步包括該信號處理器模塊進(jìn)一步被配置為在一個(gè)第二時(shí)間段上接收第三多個(gè)簽名�,其中該第二時(shí)間段開始于一個(gè)第二起始時(shí)間并且結(jié)束于一個(gè)第二結(jié)束時(shí)間, 該第二起始時(shí)間是在該第一結(jié)束時(shí)間之后��,并且 該第二結(jié)束時(shí)間是先于該限定的時(shí)間���;該流式定義組裝模塊被進(jìn)一步配置為組裝包括該第三多個(gè)簽名的一個(gè)第二流式簽名 定義文件并且將該第二流式簽名定義文件存儲在該相關(guān)聯(lián)的第二存儲器中����;并且該流式定義請求模塊被進(jìn)一步配置為在該第二時(shí)間段結(jié)束時(shí)傳輸該第二流式定義文件。
18.如權(quán)利要求15所述的系統(tǒng)��,進(jìn)一步包括一個(gè)或多個(gè)惡意軟件的簽名證書引擎��,該一個(gè)或多個(gè)惡意軟件的簽名證書引擎被連接 到該信號處理器模塊上�、并且被配置為向該信號處理器模塊提供該第一接收的惡意軟件的 簽名、該第一多個(gè)惡意軟件的簽名以及該第二多個(gè)惡意軟件的簽名���。
19.如權(quán)利要求15所述的系統(tǒng)���,其中該流式簽名定義組裝模塊被進(jìn)一步配置為通過將該第一惡意軟件的簽名附加一個(gè)列表上來組裝該流式簽名定義文件��,該列表包 括該第二多個(gè)惡意軟件的簽名中的一個(gè)或多個(gè)惡意軟件的簽名����。
20.如權(quán)利要求15所述的系統(tǒng),其中該流式簽名定義組裝模塊被進(jìn)一步配置為 通過將對應(yīng)于該第一接收的惡意軟件的簽名的一個(gè)指示符附加一個(gè)列表上來組裝該流式簽名定義文件�����,該列表包括指向該第二多個(gè)惡意軟件的簽名的對應(yīng)的多個(gè)惡意軟件簽 名的一個(gè)或多個(gè)指示符�,其中對應(yīng)于該第一接收的惡意軟件的簽名的指示符包括有關(guān)該第 一接收的惡意軟件的簽名的一個(gè)位置的信息。
全文摘要
在此提供了一種通過使用添加的或“流式的”定義數(shù)據(jù)包用于組裝并發(fā)布經(jīng)常的惡意軟件的簽名定義更新的方法��、系統(tǒng)和裝置。本發(fā)明的多個(gè)實(shí)施方案通過不僅在一個(gè)長周期上發(fā)布完整的惡意軟件的簽名定義的更新而且還在一個(gè)短周期上流式傳輸包含新驗(yàn)定的簽名定義的流式惡意軟件的簽名定義的更新來提供此類功能性��。因?yàn)榻邮樟诵买?yàn)定的惡意軟件的簽名定義���,這些新的簽名定義不僅被包含在完整的簽名定義文件中而且還被包含在一個(gè)流式簽名定義更新中�,該流式簽名定義更新僅包含在一個(gè)流式更新周期內(nèi)接收的新驗(yàn)定的簽名定義�����。在該流式更新周期終結(jié)時(shí)���,通過發(fā)布給多個(gè)反惡意軟件的客戶端使得一個(gè)流式簽名定義文件變得可供使用����。一個(gè)流式簽名定義文件僅包含在對于該流式定義文件的組裝周期的過程中收到的那些簽名定義��。本發(fā)明的多個(gè)實(shí)施方案在發(fā)布新的流式簽名定義文件時(shí)用一個(gè)新的流式簽名定義文件替代了一個(gè)先前的流式簽名定義文件����。
文檔編號G06F21/00GK102105884SQ200980129392
公開日2011年6月22日 申請日期2009年6月19日 優(yōu)先權(quán)日2008年6月20日
發(fā)明者J·梅格斯, P·J·維爾喬恩 申請人:賽門鐵克公司