[发明专利]信息保护方法和系统

说明书

对其他申请的交叉引用

本申请要求享有2005年8月16日提交的题为“METHOD ANDSYSTEM FOR PROVIDING INFORMATION SECURITY”的共同未决美国临时专利申请No.60/708969(代理文档No.EMC-05-285PRO)的优先权，在此将其并入本文以作参考。

技术领域

本发明总体上涉及抵抗病毒对信息进行保护，更具体而言涉及到检测攻击、保护信息并从攻击中恢复的系统和方法。

背景技术

本发明涉及抵抗计算机病毒(包括恶意软件)保护计算机文件和/或对象的系统和方法。在计算机和机器的语境中，病毒是一种通过将自身拷贝插入其他可执行代码或文档中而散播的自我复制/自我再现的自动程序。虽然可以将术语“病毒”定义为一种恶意软件(恶意的软件)，但通常使用“病毒”来指任何种类的恶意软件，包括蠕虫、特洛伊木马、间谍软件、广告软件等。

计算机防病毒程序通用于从被感染的对象(诸如数据文件)检测、清除和删除计算机病毒。通常使用的一种检测形式是扫描驻留在宿主计算机系统的存储装置上的对象。扫描对象是为了找到嵌入的病毒是否存在，扫描可以是基于识别标志(signature-based)的或是启发式(heuristic)的(例如查找可疑行为)。不过，基于识别标志的病毒扫描依赖从事先已识别出的病毒获得的识别标志，不会检测尚未被识别和分析过的病毒(“日零”或“零日”攻击)。这些是没有已知方案和/或检测标志的攻击。现存的启发式方法不是绝对安全的，可能检测不到病毒攻击。于是，防病毒程序可能不知道对象已经被感染。

这些形式的攻击给系统运行和数据完整性带来了严重威胁。可以用IPS/IDS(入侵保护系统/入侵检测系统)通过检测异常行为并实施定义系统响应的策略来抵御零日攻击。响应可以包括向管理员通告问题、限制端口的使用、限制带宽以及最终将受影响计算机从网络隔离开。然后依靠管理员来解决问题。通常自己无法解决问题。相反，将问题转达给防病毒软件提供者或试图将系统恢复到攻击前某时间点。

在对象中检测到病毒之后，响应通常涉及到清除或修复被感染对象(含有病毒的对象)、删除被感染对象或隔离被感染对象以阻止对其进一步的访问。删除或隔离被感染对象的缺点在于使其无法再用了。因此，可以试图清除或修复对象。不过有时，如果不是不可能，也是难以利用现存方法修复对象，且所获得的对象可能受损，剩余的仅有选择就是删除或隔离。即使在成功清除对象病毒的情况下，处理也可能留下缺陷，导致对象与未感染对象不匹配。缺陷可能是无害的且对象是可用的，但在有些情况下，例如金融体系中可能会将其视为不能接受的。因为感染时间是未知的，清除病毒后的对象可能没有正确的日期和时间标记。

恢复到攻击前的时间点可能是成问题的，因为管理员不知道感染实际是何时发生的。管理员所知道的只是攻击何时暴发的。很多攻击会潜伏起来，有时会潜伏数月或数年，因此不容易了解感染是何时发生的。

因此，需要一种在计算机系统上抵御病毒保护信息的改进方法、制品和设备。

附图说明

结合附图，通过以下详细说明将容易理解本发明，在附图中类似的附图标记表示类似的结构元件，其中：

图1为根据本发明的系统实施例的示意图；

图2为示出了更换被感染对象的过程实施例的流程图；以及

图3为示出了分析模式以识别被感染对象的过程实施例的流程图。

具体实施方式

以下结合示出了本发明原理的附图给出本发明一个或更多实施例的详细说明。尽管是结合这种实施例描述本发明的，但应当理解本发明不限于任一实施例。相反，本发明的范围仅受权利要求的限制且本发明包含很多替代、变型和等价方式。为了举例的目的，在下述说明中给出了很多特定细节，以便提供对本发明的彻底了解。提供这些细节是为了举例，而可以根据权利要求、无需这些具体细节的一些或全部来实施本发明。为了清楚起见，未详细描述在本发明相关技术领域中公知的技术材料，以免不必要地使本发明难以理解。

应当认识到，可以用很多方式实施本发明，包括过程、设备、系统、装置、方法或计算机可读介质，例如计算机可读存储介质或计算机网络，其中通过光或电子通信链路发送程序指令。在该说明书中，可以将这些实施方式或本发明可以采用的任何其他形式称为手法。通常，可以在本发明的范围内改变所披露过程的步骤顺序。