用于应对恶意软件的方法和装置

摘要

在一个方面中，一种将计算机对象分类为恶意软件的方法包括：在基本计算机(3)从多个远程计算机(2)中的每个远程计算机接收关于计算机对象的数据，该对象或者相似对象在多个远程计算机上被存储和/或处理。基本计算机(3)包括：多个威胁服务器(62)，被布置用于从多个远程计算机(2)接收所述数据并且对该数据实时应用规则和/或启发法以确定所述对象是否为恶意软件并且向远程计算机(2)传达所述确定。基本计算机(3)包括：至少一个中心服务器(74)，与威胁服务器(62)通信并且被布置用于从威胁服务器(62)接收关于对象的所述数据以维护从所有威胁服务器(62)关于对象接收的数据的主数据库(71，72，73)。

主权项

一种将计算机对象分类为恶意软件的方法，所述方法包括：在第一威胁服务器处从多个第一远程计算机接收计算机对象的细节，所述对象或者相似对象在所述多个第一远程计算机上被存储和/或处理，其中第一计算机对象的所述细节包括唯一地标识所述第一计算机对象的数据；由所述第一威胁服务器通过比较唯一地标识所述第一计算机对象的所述数据与在与所述第一威胁服务器关联的数据库中的唯一地标识多个计算机对象的多个数据，来确定所述第一计算机对象是否先前已被看见；当所述第一计算机对象先前未被看见时：从所述第一远程计算机接收关于所述第一计算机对象的附加信息，所述附加信息是包括所述对象的属性和/或定义对象的行为的信息的元数据；在与所述第一威胁服务器关联的数据库中存储所述第一计算机对象的所述细节和关于所述第一计算机对象的接收的所述附加信息；以及向与中心服务器关联的至少一个数据库提供第二数据库的内容；当所述第一计算机对象先前已被看见时：在所述第一威胁服务器处增加与所述第一计算机对象已被看见的次数关联的计数，并且向中心服务器提供与所述第一计算机对象已被看见的所述次数关联的增加的所述计数；以及在第二威胁服务器处接收与所述中心服务器关联的所述至少一个数据库的所述内容的至少一部分，其中与所述中心服务器关联的所述至少一个数据库的所述内容的所述至少一部分包括在所述第二数据库中存储的所述第一计算机对象的所述细节的子集。