发明名称 |
聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
摘要 |
根据本发明,提供了一种系统、方法和计算机可读媒体,用于聚合多个安全服务或其它事件收集系统的知识库以保护计算机免受恶意软件侵害。本发明的一个方面是主动保护计算机免受恶意软件侵害的方法。更具体地,该方法包括:使用反恶意软件服务或其它事件收集系统来观察潜在地指示恶意软件的可疑事件;确定这些可疑事件是否满足预定阈值;且如果所述可疑事件满足预定阈值,则实行被设计用于防止恶意软件传播的限制性安全策略。 |
申请公布号 |
CN1841397B |
申请公布日期 |
2010.06.02 |
申请号 |
CN200610051552.0 |
申请日期 |
2006.02.28 |
申请人 |
微软公司 |
发明人 |
A·F·托马斯;E·胡迪斯;M·克莱默;M·科斯蒂;P·巴尔;R·K·达德西亚;Y·艾德瑞 |
分类号 |
G06F21/00(2006.01)I;G06F1/00(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
上海专利商标事务所有限公司 31100 |
代理人 |
张政权 |
主权项 |
一种计算机实现的方法,该方法收集本地机器事件并聚合反恶意软件服务和其它事件检测系统的知识库以主动保护计算机免受恶意软件侵害,该方法包括:(a)使用所述反恶意软件服务和其它事件检测系统来观察潜在地指示恶意软件的可疑事件,包括:通过事件检测系统识别计算机上出现的事件,包括识别计算机入口点、数据流、计算机事件和/或计算机活动,并基于所识别的事件产生度量,通过反恶意软件服务观察计算机上出现的事件,当事件不是恶意软件感染的肯定指示时,确定所述事件是否为潜在地指示恶意软件的可疑事件,报告已确定的可疑事件;(b)通过将事件检测系统产生的度量和由反恶意软件服务报告的可疑事件进行聚合确定所述可疑事件是否满足预定阈值,从而识别指示恶意软件的可疑事件的组合,其中可疑事件的组合包括通过分析所产生的度量识别出的可疑事件和由反恶意软件服务报告的可疑事件;以及(c)如果所述可疑事件的组合指示恶意软件,则将限制性安全策略应用于所述计算机。 |
地址 |
美国华盛顿州 |