国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      信息保護方法和系統(tǒng)的制作方法

      文檔序號:6568602閱讀:303來源:國知局
      專利名稱:信息保護方法和系統(tǒng)的制作方法
      技術領域
      本發(fā)明總體上涉及抵抗病毒對信息進行保護,更具體而言涉及到檢 測攻擊、保護信息并從攻擊中恢復的系統(tǒng)和方法。
      背景技術
      本發(fā)明涉及抵抗計算機病毒(包括惡意軟件)保護計算機文件和/ 或對象的系統(tǒng)和方法。在計算機和機器的語境中,病毒是一種通過將自 身拷貝插入其他可執(zhí)行代碼或文檔中而散播的自我復制/自我再現(xiàn)的自 動程序。雖然可以將術語"病毒"定義為一種惡意軟件(惡意的軟件), 但通常使用"病毒"來指任何種類的惡意軟件,包括蠕蟲、特洛伊木馬、 間諜軟件、廣告軟件等。計算機防病毒程序通用于從被感染的對象(諸如數據文件)檢測、清除和刪除計算^fe^病毒。通常使用的一種檢測形式是掃描駐留在宿主計 算機系統(tǒng)的存儲裝置上的對象。掃描對象是為了找到嵌入的病毒是否存 在,掃描可以是基于識別標志(signature-based)的或是啟發(fā)式(heuristic) 的(例如查找可疑行為)。不過,基于識別標志的病毒掃描依賴從事先已 識別出的病毒獲得的識別標志,不會檢測尚未被識別和分析過的病毒 ("日零"或"零日"攻擊)。這些是沒有已知方案和/或檢測標志的攻 擊。現(xiàn)存的啟發(fā)式方法不是絕對安全的,可能檢測不到病毒攻擊。于是, 防病毒程序可能不知道對象已經;故感染。這些形式的攻擊給系統(tǒng)運行和數據完整性帶來了嚴重威脅。可以用 IPS/IDS (入侵保護系統(tǒng)/入侵檢測系統(tǒng))通過檢測異常行為并實施定義 系統(tǒng)響應的策略來抵御零日攻擊。響應可以包括向管理員通告問題、限制端口的使用、限制帶寬以及最終將受影響計算機從網絡隔離開。然后 依靠管理員來解決問題。通常自己無法解決問題。相反,將問題轉達給 防病毒軟件提供者或試圖將系統(tǒng)恢復到攻擊前某時間點。在對象中檢測到病毒之后,響應通常涉及到清除或修復被感染對象 (含有病毒的對象)、刪除被感染對象或隔離被感染對象以阻止對其進 一步的訪問。刪除或隔離被感染對象的缺點在于使其無法再用了 。因此,可以試圖清除或修復對象。不過有時,如果不是不可能,也是難以利用 現(xiàn)存方法修復對象,且所獲得的對象可能受損,剩余的僅有選擇就是刪 除或隔離。即使在成功清除對象病毒的情況下,處理也可能留下缺陷,導致對象與未感染對象不匹配。缺陷可能是無害的且對象是可用的,但在有些情況下,例如金融體系中可能會將其視為不能接受的。因為感染 時間是未知的,清除病毒后的對象可能沒有正確的日期和時間標記。恢復到攻擊前的時間點可能是成問題的,因為管理l不知道感染實 際是何時發(fā)生的。管理員所知道的只是攻擊何時暴發(fā)的。很多攻擊會潛伏起來,有時會潛伏數月或數年,因此不容易了解感染是何時發(fā)生的。因此,需要一種在計算機系統(tǒng)上抵御病毒保護信息的改進方法、制品和{殳備。


      結合附圖,通過以下詳細說明將容易理解本發(fā)明,在附圖中類似的附圖標記表示類似的結構元件,其中圖1為根據本發(fā)明的系統(tǒng)實施例的示意圖;圖2為示出了更換被感染對象的過程實施例的流程圖;以及圖3為示出了分析模式以識別被感染對象的過程實施例的流程圖。
      具體實施方式
      以下結合示出了本發(fā)明原理的附圖給出本發(fā)明一個或更多實施例 的詳細說明。盡管是結合這種實施例描述本發(fā)明的,但應當理解本發(fā)明 不限于任一實施例。相反,本發(fā)明的范圍僅受權利要求的限制且本發(fā)明 包含4艮多替代、變型和等價方式。為了舉例的目的,在下述說明中給出 了很多特定細節(jié),以便提供對本發(fā)明的徹底了解。提供這些細節(jié)是為了 舉例,而可以根據權利要求、無需這些具體細節(jié)的一些或全部來實施本發(fā)明。為了清楚起見,未詳細描述在本發(fā)明相關技術領域中公知的技術 材料,以免不必要地使本發(fā)明難以理解。應當認識到,可以用很多方式實施本發(fā)明,包括過程、設備、系統(tǒng)、 裝置、方法或計算機可讀介質,例如計算機可讀存儲介質或計算機網絡, 其中通過光或電子通信鏈路發(fā)送程序指令。在該說明書中,可以將這些 實施方式或本發(fā)明可以采用的任何其他形式稱為手法。通常,可以在本 發(fā)明的范圍內改變所披露過程的步驟順序。將參考在其上執(zhí)行信息保護程序的計算機系統(tǒng)描述本發(fā)明的實施例,不過應理解,本發(fā)明的原理不限于該特定配置。相反,可以將它們 應用于無論是本地還是遠程裝置上其中存儲了文件或對象的任何系統(tǒng), 且該裝置可以包括一個或多個存儲裝置。雖然這里的信息方法是針對將 它們用于抵御病毒攻擊保護信息來描述的,本領域技術人員應認識到, 它們同樣適用于希望檢測對對象的異常改變或允許用戶將對象恢復到 異常改變之前的點的其他情形。這里公開的是檢測病毒攻擊并將被感染 對象恢復到感染前狀態(tài)的方法和系統(tǒng)。為用戶提供了檢測和根除零日惡 意軟件的能力以及對策方案,該方案能夠發(fā)現(xiàn)和定位受威脅的對象、恢 復受損對象并對需要懷疑已被惡意軟件感染的對象的企業(yè)進行清洗??梢詫⑷肭直Wo系統(tǒng)/入侵檢測系統(tǒng)("IPS/IDS")與這里所述的歸檔和 威脅分析結合起來。圖1示出了一些可能的配置,其中可以用計算機系統(tǒng)10上執(zhí)行的 程序來抵抗病毒,保護它們在專用本地存儲裝置12、與另一計算機系統(tǒng) 16共享的存儲裝置14或與另一計算機系統(tǒng)20相關的存儲裝置18上所 含的信息。計算機系統(tǒng)10可以經由網絡或其他通信裝置與計算機系統(tǒng) 20或任何其他裝置通信。計算機系統(tǒng)10與因特網通信,可以被配置為 /人防病毒軟件供應者22接收病毒定義/更新,不過應當理解可以通過諸 如物理介質的其他裝置接收病毒定義/更新??梢允褂没诰W絡的IPS/IDS 24,該IPS/IDS 24與計算機系統(tǒng)10 上執(zhí)行的程序通信以提供(例如)與可疑網絡動作和發(fā)起該動作的主機 身份相關的信息。在一個實施例中可以在連接到網絡的另 一計算機系統(tǒng) 中提供IPS/IDS 24的功能,或者可以將代理置于任何或所有計算機系統(tǒng) 上以監(jiān)測活動。可以提供備份系統(tǒng)26用于備份來自計算機系統(tǒng)的數據。 備份系統(tǒng)26可以包括硬盤驅動器、光盤驅動器、磁帶庫及其他存儲裝置(未示出),可以執(zhí)行備份程序以備份來自計算機系統(tǒng)的數據,計算 機系統(tǒng)可以具有與備份程序通信的備份客戶端。其他配置是可能的,例如在另 一計算機系統(tǒng)上執(zhí)行備份程序,將數據備份到SAN或NAS裝置 (未示出)或連接到被備份計算機系統(tǒng)的存儲裝置上。在一些配置中, 備份可以包括幾種類型的存儲器組,例如采用在線或近線存儲器(例如 硬盤驅動器)的備份池以及采用離線存儲器(例如磁帶)的檔案存儲器。 這里公開的原理適用于任何配置的備份。計算機系統(tǒng)IO可以包括與用 戶交互的顯示器和輸入裝置,或者用戶可以從遠程位置與計算機系統(tǒng)10 交互。在實施例中,在對象中檢測到病毒之后,響應可以包括清除或修復 被感染對象、刪除被感染對象、隔離被感染對象或用干凈的對象更換被 感染對象。這可以自動執(zhí)行或根據來自用戶的指令執(zhí)行。在確定對象被 感染之后,可以標識對象的備份拷貝用于更換被感染對象。在從用戶確 認或自動確認之后,可以用備份拷貝更換被感染對象。在實施例中,可以有多個備份拷貝。應當理解,可以用"備份拷貝,, 表示完全備份拷貝以及周期性進行且能夠與備份拷貝組合以容許恢復 到時間點的更新。亦即,可以將備份做成俘獲當前備份點和上次備份(其 可以是全部備份或自上次備份的變化的另一備份)之間的變化??梢詫?"備份拷貝"視為對象的恢復點。于是可能對一個對象有多個恢復點可 用。如果正在使用連續(xù)數據保護,該系統(tǒng)可以具有將對象恢復到任一時 間點的能力??梢栽谥拦粜圆《疽约翱赡鼙桓腥局白龀鰧ο蟮膫?份拷貝。具有多個備份拷貝增加了具有對象的干凈拷貝的概率。因為可以在知道攻擊病毒之前,^旦在病毒攻擊之后(即"零日"攻 擊)做出備份拷貝,因此它們可能被感染。在實施例中,可以將系統(tǒng)配 置成搜索備份以找到對象的干凈拷貝。 一旦找到了干凈拷貝,可以將其 提交給防病毒引擎以確認其是干凈的,然后用于取代被感染對象。不要 求用戶與備份交互或搜索備份,用戶可以從選擇菜單中筒單地選擇"取 代"來恢復對象,而不是必須要手工搜索取代對象或從IT支持那里尋 求幫助。這具有為用戶簡化恢復過程、減少恢復時間和降低恢復成本的 優(yōu)點。立即替換對象減少了恢復時間和成本,增大了應用軟件和/或用戶 使用對象時的可得性。圖2寬泛的示出了一個實施例中流程。在步驟100中,判斷對象是否被惡意軟件感染。如本文所述,可以通過分析對象、系統(tǒng)行為和備份 拷貝,或通過防病毒或惡意軟件掃描做出該判斷。如果對象被感染了,就在備份中定位對象的備份拷貝,步驟102。該備份拷貝可以是未被標 志為已感染的最近的備份拷貝。在步驟104中,檢查備份拷貝看是否有 惡意軟件,如果其沒被感染,用備份拷貝替換被感染對象,步驟108。 可選地,可以在步驟106中詢問用戶是否要用備份拷貝取代被感染對象, 如果用戶接受,則執(zhí)行步驟108。如果發(fā)現(xiàn)備份拷貝被感染,則過程返 回到步驟102并定位另一備份拷貝。在實施例中,可以檢查備份拷貝看 它是否是唯一的。如果它與已經定位并檢查過的備份拷貝是一樣的,就 可以跳過這一步。在一個實施例中檢查備份拷貝以尋找惡意軟件可以包括將其提交到防病毒引擎。在一個實施例中,系統(tǒng)IO可以判定發(fā)生感染的時間點("感染點")、 定位在感染點之前做成的備份拷貝以及用備份拷貝取代被感染對象。可 以選擇備份拷貝使之為感染點之前的最近備份拷貝。如本文所述,可以 通過分析對象及其備份拷貝來判斷對象是否被感染以及感染點。在做出 這些判斷時,可以選擇感染點之前的備份拷貝并用于取代被感染對象。防病毒程序和/或備份程序可以是計算機系統(tǒng)IO上執(zhí)行的程序、另 一程序或在另一計算機系統(tǒng)上執(zhí)行的程序的一部分。可以在系統(tǒng)IO、系 統(tǒng)20或另一計算機系統(tǒng)上提供用戶界面,用于和程序交互。為了找到對象的干凈版本,判斷何時發(fā)生攻擊是有幫助的。在實施 例中,可以用該系統(tǒng)來發(fā)現(xiàn)哪些計算機系統(tǒng)受到威脅,哪些文件受到影 響,并提供建議或自動解決方案。該系統(tǒng)尋找由計算機系統(tǒng)執(zhí)行的異常 行為,例如由監(jiān)測計算機系統(tǒng)執(zhí)行的網絡行為。例如,可以通過IPS/IDS, 諸如檢測異常網絡行為的基于網絡的IPS/IDS,或具有運行在每個受監(jiān) 測計算機上的代理的基于代理的IPS/IDS,來執(zhí)行這一操作。當檢測到 計算機系統(tǒng)執(zhí)行的異常行為時,可以用系統(tǒng)的日志來查明發(fā)起異常行為 或以某種方式與異常行為相關的對象,例如被執(zhí)行惡意軟件而改變的對 象??梢栽诒镜叵到y(tǒng)日志文件、基于代理的文件(其可以是更加魯棒的) 或可以提供有助于查明與異常行為相關的對象的信息的其他數據源(諸 如過程)。在查明相關對象之后,系統(tǒng)可以搜索對象的拷貝,以找到未 被假定的惡意軟件感染的對象版本。對于零日攻擊而言,沒有可用于查明惡意軟件的已知識別標志。在實施例中,系統(tǒng)可以監(jiān)測對象和對象的備份拷貝,以發(fā)現(xiàn)異常改變。用 于檢測和分析對象的異常改變的方法可以/人監(jiān)測對象大小改變到在對 象的二進制模式上執(zhí)行模式識別。可以在已經訪問對象之前或之后進行 該操作。基于該評估,系統(tǒng)可以查明最可能代表感染點的時間點。 一旦 查明該點,就把在該點之前制成的備份拷貝視為可能是干凈的,并用于 替換被感染對象??梢栽趯⑺鼈冇糜谔鎿Q之前通過防病毒引擎掃描備份 拷貝。可以從制作備份拷貝時就向病毒定義添加了病毒識別標記,且那 些備份拷貝可能具有那時還不知道其識別標記的病毒。在實施例中,備 份拷貝可以具有針對每個拷貝計算的散列識別標記以及用于迅速識別 唯一版本的散列。僅對唯一的版本進行分析查找惡意軟件,或將其提交 到防病毒引擎,以避免處理復本。在通過完整備份進行備份期間可能會 出現(xiàn)對象的復本拷貝,在這種情況下,僅需要處理首先碰到的拷貝。在 一個實施例中,在執(zhí)行對象訪問之前可以對其進行研究以找到異常改 變,如果認為它們可能是惡意軟件造成的,則阻塞該訪問。圖3為示出了用于查明異常的在一個實施例中的過程的流程圖。在 步驟200中,如本文所述,分析對象的備份拷貝以判斷使用、大小等模 式(包括趨勢)。步驟202涉及到監(jiān)測來自模式的偏差,且可以將偏差 標志為可能代表被惡意軟件感染的異常,步驟204。可以確定發(fā)生感染 的時間點,步驟206。在步驟208中,可以才艮據用于異常的策略擬定響 應。例如,策略可以指定隔離疑似被感染對象,通知管理員,用整潔的 備份拷貝更換被感染對象,拒絕訪問企圖等。在實施例中,可以進行訪問日志分析以搜索異常動作??梢詫⒆x寫 與時間標志以及任選地與諸如源ID、應用ID等的其他元數據在一起記 錄??梢杂眠@種元數據來搜索異常行為。例如,如果未預料到的用戶或 應用訪問對象,那么可以將其看作異常的。Microsoft Word文檔通常不 會被Microsoft Word之外的任何應用程序寫入,因此可能會把另 一種應 用程序向Word文檔寫入看成是可疑的。其他情況可能涉及到由制作或 修改對象的應用程序或用戶之外的應用程序或用戶對對象進行大量讀 取,讓人懷疑惡意軟件正試圖通過網絡竊取數據并傳輸到遠程位置。可 以將此與監(jiān)測網絡的異常行為以及觀察計算機試圖將大量數據傳輸到 異常位置結合起來。還可以將訪問日志用于將寫入返回到感染點之前的時間點。訪問日志可以與備份池相關聯(lián)??梢詥为毷褂迷摲椒ɑ蛘吲c其他方法結合,以 返回到感染點之前的正確拷貝或對象版本。在實施例中,如果可以判斷 出哪些寫入是惡意軟件活動造成的,就可以有選擇地忽略那些寫入,并 可用其他有效寫入將對象變?yōu)楦腥竞笞钚掳姹?。例如,用于惡意軟件?入的過濾器可以基于特定的元數據,例如被確定已經被惡意軟件感染的 發(fā)起應用程序,并/或僅施加由有效應用程序發(fā)出的寫入。最終將備份池 移動到檔案中,可以整合與此前活動的備份池相關的訪問日志并將其加 入到對象的主索引中。在一個實施例中可以將大小的走向用作異常變化的指標。如果預計 對象的大小在其整個壽命期間都保持靜態(tài),那么對象大小的變化將是發(fā) 生某種異常的明顯標志。在一示例中,懷疑一對象被感染了,其當前大小為256KB。在整個備份池中搜索發(fā)現(xiàn)對象的大小與備份池內保持的所 有版本是一致的。不過,當把搜索延伸到檔案中時,發(fā)現(xiàn)直到120天之 前,所有的版本都是168KB,并且從對象纟支最初歸檔開始一直是168KB。 這樣可以得出結論,對象的168KB版本為未感染的版本。如果168KB 版本出現(xiàn)在六個月之前,在此之前對象為80KB,這就暗示80KB對象 為干凈版本,而非168KB對象。在備份中保持越多的版本,找到干凈版 本的機會就越大(如果曾經有一個的話)。動態(tài)變化的對象可能會在正常使用期間具有變化的大小。通過分析 對象大小隨時間的變化,可以確定大小變化的趨勢。利用該信息并采用 統(tǒng)計分析,可以識別出具有異常變化的對象,并可以確定感染點。更多 的歷史信息可以提高分析精度。此外,在預計會發(fā)生大小變化時卻沒有 對象大小變化也可能是異常行為的標志。在實施例中,可以將暫時的趨勢用作異?;顒拥闹笜???梢灶A計對 象在其壽命期間改變大小,或其數據可以發(fā)生變化??梢杂米兓l率、日期和時間來查明異常。例如,對象可能每天都正常地改變大小。分析備份表明,對象總是一天改變一次,但在18個月之前,對象一天改變兩次。可以將此視為異常,并標記為感染點。也可以考慮其他類型的訪問。在范例中,從星期一到星期五,從早8點到晚6點,每天都可以打 開、使用和改變對象。分析備份發(fā)現(xiàn)在正常預計窗口之外的日期和時間 對象被改變過幾次??梢酝ㄟ^返回到預期窗口之外最遠(最早)改變查找來發(fā)現(xiàn)可能的感染點??梢杂媚J交蛱囟ǚ绞礁淖儗ο?。通過對歷史數據進行統(tǒng)計分 才斤,可以找到異常變化并幫助標識疑似感染時間點。在預計時間或間隔 對象沒有發(fā)生變化也可以是指標。在一實施例中,該分析可以包括判斷對象之內發(fā)生變化的位置(或 變化數量)。例如,可以預計對象要發(fā)生變化,而對象之內的變化點(與 開頭的偏移)是恒定的。分析備份可以查明在不同于預期位置的偏移處 發(fā)生改變的對象??梢曰趯ο笾凶兓恢玫膯未胃淖兓蛭恢玫膸状胃?變將對象歸入疑似一類。預計發(fā)生變化的對象可能會一直在對象的末尾 追加改變的數據。在整個備份中搜索可以查明已經改變的對象,但不是 如預計那樣在對象的末尾??梢詫⑦@些對象視為疑似的。改變可能發(fā)生在對象內的多個位置(偏移),即使改變的位置是穩(wěn) 定的,也可能不在每個位置處穩(wěn)定地改變(即,有時某些位置可能改變, 而某些可能不改變)??梢詫⒃撔畔⒂米魉阉鳂藴?,并可以將具有超出 這些標準范圍之外的變化的對象視為疑似的??梢源_定改變的正常模 式,并可以將異常模式標識為疑似的。在實施例中,系統(tǒng)可以在每次使用對象時,或在特定時段中,在預 計發(fā)生變化改變的對象之內的特定位置查找改變的缺失。可以用預計的 變化未發(fā)生來將一個或多個對象標記為疑似。對象內容的全部或一部分可以改變,而對象保持相同的大小。感染 可以通過用與原對象相同大小的惡意對象替代整個對象(通過重命名、 覆蓋或刪除對象以及寫入新的對象等)來改變已知干凈和未受損的對 象。這可以通過僅替換與惡意對象自身大小匹配的對象,或者用惡意對 象替換更大的對象并簡單地加長惡意對象以將其大小增大到與更大對 象大小匹配來完成。這會避開基于大小的分析。在一個實施例中,即使在對象大小未改變的情況下,也可以使用二 進制輪廓趨向,通過分析對象自身的二進制模式來查明異常活動。對于 固定大小的對象而言,可以分析對象的二進制模式隨時間的變化并查出 模式發(fā)生的異常改變。在一個實施例中,可以對對象的每個拷貝進行散 列編碼并比較散列值。散列值的失配表明對象的差異,會讓人懷疑與不 匹配散列相關的對象已經被改變了 。在一個實施例中也可以進行對象比 特(或字節(jié)或其他數據塊)之間的簡單比較。可以在對象或對象的部分上進行模式識別和/或趨勢分析,并將結果 與備份比較以查明偏差??梢杂脜翟O置偏差容限,以便通過含有可接 受變化的對象并對含有可能不可接受變化的對象加以標記??梢詫俗R 為含不可接受變化的對象視為疑似。在實施例中,系統(tǒng)可以判斷、測量和跟蹤對象中的變化程度。例如, 對象可能會在很多位置發(fā)生隨機量的變化,但對象的有些部分永遠不會 改變。通過查明這些部分的改變,可以找到疑似對象。在另一范例中, 對象在總大小上的改變可能是隨機的,但是在對象之內存在會發(fā)生變化 但變化在一定限度之內的區(qū)域。通過查明預計限度之外的變化,查明了 疑似對象。還可能有些對象的部分在每次使用對象時(有些可能與不同 類型的使用,如讀或寫相關)或每隔規(guī)則的間隔周期性地發(fā)生變化。這 些預期變化的缺失可用于將對象標識為具有異?;顒印T谝粋€實施例中可以利用變化代理跟蹤來查明具有異?;顒拥膶?象。例如,如果對對象的改變和/或寫入的源是未知的或未預料到的,可 以將該活動視為異常的。通過跟蹤對象改變/寫入的來源,可以判斷改變 /寫入的源是否是預計的或不能接受的。于是,如果對象的變化或寫入來 自既非認可的也不是通常的(基于歷史)程序/過程的程序或過程,那么 將該對象標志為疑似。為了清楚起見,這里以特定的流程描述了該過程和方法,但應當理 解的是,在不脫離本發(fā)明精神的條件下,其他次序也是可能的,且可以 并行執(zhí)行該過程和方法。此外,可以對步驟進行細分或組合。如這里所 述,可以將根據本發(fā)明寫出的軟件存儲在某種形式的計算機可讀介質中,例如存儲器或CD-ROM中,或者通過網絡傳輸并由處理器執(zhí)行。本文援引的所有參考文獻都將通過引用并入本文。雖然上文已經根 據特定實施例描述了本發(fā)明,但可以預料,本發(fā)明的各種修改和變型對 于本領域的技術人員來講無疑是明顯的,且可以在所附權利要求的范圍 及其等價要件之內實施??梢允褂贸^一臺計算機,例如使用多臺并行 的計算機或在多臺計算機上分配任務,從而作為整體它們執(zhí)行這里所述 組件的功能,即,由它們取代單一的計算機??梢杂蓡蝹€計算機上的或 分布在若干計算機上的單一過程或過程組執(zhí)行上述各種功能。過程可以 調用其他過程來處理某些任務??梢允褂脝我坏拇鎯ρb置,或者可以用 若干個來取代單一的存儲裝置。所公開的實施例是例示性的而非限制性的,本發(fā)明不限于這里給出的細節(jié)。有很多實施本發(fā)明的備選方式。因 此意在將本公開和下面的權利要求解釋為覆蓋落在本發(fā)明真正精神和 范圍之內的所有這種修改和變型。
      權利要求
      1.一種用于保護計算機系統(tǒng)中的對象的方法,包括判斷對象是否被惡意軟件感染,如果所述對象被感染在所述對象的備份中定位所述對象的第一備份拷貝;以及用所述第一備份拷貝替代所述對象。
      2. 根據權利要求1所述的方法,還包括判斷所述第一備份拷貝是 否被惡意軟件感染。
      3. 根據權利要求2所述的方法,還包括如果所述第一備份拷貝被 感染,定位第二備份拷貝。
      4. 根據權利要求3所述的方法,其中定位所述第二備份拷貝包括 查出比所述第一備份拷貝更老的備份拷貝。
      5. 根據權利要求4所述的方法,其中查出所述第二備份拷貝包括 將候選備份拷貝與所述第一備份拷貝比較,以判斷所述第二備份拷貝是 否與所述第 一備份拷貝不同。
      6. 根據權利要求5所述的方法,其中將所述候選備份拷貝與所述 第一備份拷貝比較包括將所述候選備份拷貝的散列值與所迷第一備份 拷貝的散列值比較。
      7. 根據權利要求5所述的方法,還包括僅當所迷第二備份拷貝與 所述第 一備份拷貝不同時才判斷所述第二備份拷貝是否被惡意軟件感 染。
      8. 根據權利要求1所述的方法,其中所述備份包括在線備份存儲 器和離線備份存儲器,且定位所述笫一備份拷貝包括在所述在線備份存 儲器中搜索。
      9. 根據權利要求8所述的方法,其中定位所述第一備份拷貝還包 括在搜索所述在線備份存儲器之后搜索所述離線備份存儲器。
      10. 根據權利要求1所述的方法,還包括判斷所述對象被感染的感 染時間點。
      11. 根據權利要求10所述的方法,還包括使用所述感染點選擇所 述第一備份拷貝。
      12.根據權利要求1所述的方法,其中選擇所述第一備份拷貝包 括選擇在所述感染點之前做成的備份拷貝。
      13.根據權利要求12所述的方法,還包括判斷所述第一備份拷貝是否被惡意軟件感染。
      14. 根據權利要求13所述的方法,其中判斷所述第一備份拷貝是 否被感染包括將所述第一備份拷貝提交到防病毒引擎。
      15. 根據權利要求1所迷的方法,還包括詢問用戶是否用備份拷貝 替代所述被感染對象。
      16. —種用于保護包括備份的系統(tǒng)中的對象的方法,所述備份包括 所述對象的備份拷貝,所述方法包括使用對象的至少一個備份拷貝確定與所述對象相關的模式;以及 檢測與所述模式的偏離,以查明表示所述對象被惡意軟件感染的異常。
      17. 根據權利要求16所述的方法,其中確定所述模式包括分析從 以下項構成的組中選擇的至少一項對象大小、訪問對象的時間、訪問 對象的位置或對象變化的源。
      18. 根據權利要求16所述的方法,其中檢測與所述模式的偏離包 括監(jiān)測所述對象的訪問日志或分析所述備份拷貝以找到偏離所述模式 的拷貝。
      19. 根據權利要求16所述的方法,還包括查明所述對象被惡意軟 件感染的感染時間點。
      20. 根據權利要求19所述的方法,還包括檢索在感染點之前做成 的備份拷貝。
      全文摘要
      公開了一種用于保護計算機系統(tǒng)中的對象的方法。分析對象以判斷其是否被惡意軟件感染,如果判定被感染,在對象的備份中定位對象的備份拷貝。用備份拷貝替換被感染對象。
      文檔編號G06F21/56GK101243400SQ200680029860
      公開日2008年8月13日 申請日期2006年8月16日 優(yōu)先權日2005年8月16日
      發(fā)明者C·H·克勞達托斯, D·S·科布, J·A·拜姆 申請人:Emc公司
      網友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1