具有使用网络询问的最优定义分发的集中式扫描器数据库制造技术

一种系统和方法基于来自一个中央服务器的部分分发的恶意软件定义来检测客户端上的恶意软件。一个服务器存储对于已知恶意软件的恶意软件定义。该服务器基于这些恶意软件定义生成一个或多个过滤程序并且将这个或这些过滤程序分发给客户端装置。该服务器还针对最常被检出的恶意软件的一个子集将完整定义分发给这些客户端。客户端装置通过首先对一个文件应用该过滤程序来针对恶意软件对多个文件进行扫描。若该过滤程序输出一个肯定检测，则该客户端使用该完整定义对该文件进行扫描以确定是否该文件包括恶意软件。若该完整定义未被客户端本地存储，则由客户端向服务器询问该定义并且然后继续该扫描过程。

【技术实现步骤摘要】
【国外来华专利技术】具有使用网络询问的最优定义分发的集中式扫描器数据库
本披露总体上涉及计算机安全，并且更具体地涉及检测恶意软件。技术背景恶意软件如计算机病毒、蠕虫、特洛伊木马、以及间谍软件对现代计算机系统构成 持续的威胁。为了与恶意文件做斗争，计算机系统典型地运行试图检测、识别、并且将恶意 文件去除的防病毒软件。常规的防病毒软件存储了一个定义数据库，其中每个定义对应于 已知恶意软件。防病毒软件周期性地对客户端机器上的文件进行扫描以检测与已存储的定 义相匹配的恶意软件。然后，可以使被检出恶意软件失效或将其清除。虽然防病毒程序能够检测并去除恶意软件，但正在持续不断地产生的新的恶意软 件被设计为围绕现有程序来工作。因此，重要的是经常对这些防病毒定义进行更新这样使 得新发布的恶意软件可以被检出。这些更新典型地是由防病毒程序销售商提供的。近年来，新的已知恶意软件的数量已经急剧增长，使得分发更新日益成为一个挑 战性的问题。经常的更新可以对客户端机器造成数据过载的问题，这些机器必须持续接收 并存储新的定义而同时继续存储并维护全部较旧的定义。这对于具有有限的物理内存的客 户端机器，如自动取款机(ATM)，或具有有本文档来自技高网...

【技术保护点】
一种用于检测恶意软件的计算机实施的方法，该方法包括：　　对一个输入文件应用一个过滤程序以检测是否该输入文件具有与一个恶意软件定义的那些特征相匹配的特征，该恶意软件定义是在多种已知恶意软件定义的一个集合之中；　　基于应用该过滤程序、响应于该输入文件具有与该恶意软件定义中的那些特征相匹配的特征，使用该恶意软件定义对该输入文件进行扫描；并且　　基于该扫描来确定是否该输入文件包括恶意软件。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员：P斯曹，
申请(专利权)人：赛门铁克公司，
类型：发明
国别省市：US[美国]