聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害

摘要

根据本发明，提供了一种系统、方法和计算机可读媒体，用于聚合多个安全服务或其它事件收集系统的知识库以保护计算机免受恶意软件侵害。本发明的一个方面是主动保护计算机免受恶意软件侵害的方法。更具体地，该方法包括：使用反恶意软件服务或其它事件收集系统来观察潜在地指示恶意软件的可疑事件；确定这些可疑事件是否满足预定阈值；且如果所述可疑事件满足预定阈值，则实行被设计用于防止恶意软件传播的限制性安全策略。

说明书

发明领域

本发明涉及计算机，尤其涉及动态保护计算机免受恶意软件侵害。

发明背景

随着越来越多的计算机和其它计算装置通过诸如因特网的各种网络互连，计算机安全已变得越发重要，特别是免受网络上或信息流上传递的入侵或攻击。如本领域的熟练技术人员和其它人员将认识到的，这些攻击采取不同形式，包括但绝不限于计算机病毒、计算机蠕虫、系统组件替换、拒绝服务攻击、信息盗窃、甚至合法计算机系统特征的误用/滥用一所有这些都利用一个或多个计算机系统的脆弱性用于非法用途。虽然本领域的熟练技术人员将理解各种计算机攻击在技术上彼此截然不同，但对本发明来说且为了简化描述，所有这些攻击以下将通称为计算机恶意软件，或者更简单地称作恶意软件。

当计算机系统受到计算机恶意软件的攻击或“感染”时，负面结果是各式各样的，包括禁用计算机装置；擦除或破坏固件、应用程序或数据文件；将潜在的敏感数据发送到网络上的另一位置；关闭计算机系统；或者使得计算机系统崩溃。许多虽非全部计算机恶意软件的另一有害方面在于被感染的计算机系统被用于感染其它计算机系统。

图1是展示其上分布计算机恶意软件的示例连网环境100的示图。如图1所示，典型的示例性连网环境100包括多个计算机102-108，它们全部经由诸如内联网的通信网络110或者经由包括诸如常称作因特网的全球TCP/IP网络的较大通信网络互连。出于某种原因，与网络110相连的计算机，诸如计算机102上的恶意方，开发一计算机恶意软件112并将其发布到网络110上。被发布的计算机恶意软件112由诸如计算机104的一个或多个计算机接收并将它们感染，如箭头114所示。许多计算机恶意软件的典型情况是，计算机104一旦被感染就被用于感染其它计算机，诸如计算机106，如箭头116所示，后者接着感染另一计算机，诸如计算机108，如箭头118所示。

在反病毒软件在识别数千种计算机恶意软件方面变得更加复杂和有效的同时，计算机恶意软件也变得更加复杂。例如，许多新近的计算机恶意软件现在是多形态的，或者换句话说，它们没有可以在传送中由反病毒软件进行识别的可识别模式或者“签名”。这些多形态恶意软件常常是反病毒软件不可识别的，因为它们在传播到另一计算机系统之前自身进行了修改。

由于脆弱性在操作系统或诸如设备驱动程序和软件应用程序的其它计算机系统组件中被识别并解决，操作系统提供商通常将发布软件更新以修正该脆弱性。常称作补丁的这些更新应在计算机系统上安装以保护计算机系统免于所识别的脆弱性。但，这些更新本质上是对操作系统、设备驱动程序或软件应用程序的组件的代码改变。这样，它们不可能与来自反病毒软件提供商的反病毒更新一样快速和自由地发布。因为这些更新的代码改变，所以软件更新需要在向公众发布之前的实质性内部测试。

在现在的识别恶意软件并解决脆弱性的系统下，在某些情况下计算机易受恶意软件的攻击。例如，计算机用户可能不安装补丁和/或对反病毒软件的更新。在这种实例中，恶意软件会在未针对该恶意软件进行足够保护的计算机之间的网络上传播。然而，即使在用户定期更新计算机时，也存在以下被称作脆弱性窗口的一段时间，该时间段存在于在网络上发布新的计算机恶意软件的时候和操作系统组件上的反病毒软件被更新以保护计算机系统免受该恶意软件的时候之间。顾名思义，在该脆弱性窗口期间计算机系统对于新的计算机恶意软件来说是脆弱的或暴露的。

图2是示出脆弱性窗口的示例性时间线的框图。关于以上讨论，重要的时间或事件将被识别并称作关于时间线的事件。虽然现今发布的多数恶意软件都基于已知的脆弱性，但偶尔地在网络110上会有利用先前未知的脆弱性的计算机恶意软件发布。图2示出了这种情形下关于时间线200的脆弱性窗口204。因此，如时间线200上所示，在事件202处，恶意软件作者发布一新计算机恶意软件。由于这是新的计算机恶意软件，没有可用的操作系统补丁和反病毒更新以保护脆弱的计算机系统免受该恶意软件的侵害。相应地，脆弱性窗口204是打开的。

在新的计算机恶意软件在网络110上传播后的某一点处，操作系统提供商和/或反病毒软件提供商检测到该新的计算机恶意软件，如事件206所指示的。通常，本领域的熟练技术人员将理解：操作系统提供商和反病毒软件提供商两者在约几小时内检测到新计算机恶意软件的存在。

一旦检测到该计算机恶意软件，则反病毒软件提供商会开始其处理以识别一模式或“签名”，通过该模式或“签名”使得反病毒软件能识别该计算机恶意软件。类似地，操作系统提供商开始其处理以分析该计算机恶意软件，确定操作系统必须被打补丁以保护它免受该计算机恶意软件侵害。作为这些平行努力的结果，在事件208处，操作系统提供商和/或反病毒软件提供商发布一应对该计算机恶意软件的更新，即操作系统或反病毒软件的软件补丁。随后，在事件210处，将该更新安装于用户的计算机系统上，从而保护该计算机系统并使脆弱性窗口204关闭。

如从上述示例中可了解的一其仅作为其中计算机恶意软件造成对计算机系统的安全威胁的所有可能情形的代表一脆弱性窗口204存在于在网络110上发布计算机恶意软件112的事件和将相应更新安装于用户的计算机系统上的时候之间。不幸地，不论脆弱性窗口104是大还是小，受感染的计算机都会花费计算机所有人大量的金钱用于“清除”和维修。在应对具有附着到网络110上的几千或几百个装置的大公司或实体时，该成本是巨大的。由于恶意软件可能篡改或破坏用户数据，这种成本被进一步扩大，所有这些都会是极难或不可能跟踪和修复的。

为了反击恶意软件所呈现的威胁，更多数量的反恶意软件服务和其它事件检测系统已被开发用于监控用于不同类型恶意软件的入口点和/或数据流。例如，在反恶意软件服务的上下文中，除了常规反病毒软件之外，许多计算机现在还采用防火墙、行为阻断器和反间谍软件系统以保护计算机。本领域的熟练技术人员和其它人员将理解：反恶意软件服务通常能识别(1)已知是恶意软件特征的代码和/或活动，以及(2)是“可疑的”或具有潜在的恶意软件特征的代码和/或活动。当已知是恶意软件特征的代码和/或活动被识别，恶意软件处理例程将被用于“清除”或从计算机中去除该恶意软件。但是，在识别可疑的代码和/或活动时的实例中，该反恶意软件服务可能没有足够的信息来充分准确地声明该代码和/或活动实际上是恶意软件的特征。此外，对于许多不同用途，已开发了其它事件检测系统来监控入口点、数据流、计算机属性和/或活动。例如，一些操作系统跟踪中央处理单元(CPU)的处理量以及在主动保护计算机免受恶意软件侵害时有用的与计算机有关的某些重要“事件”。

发明内容

通过本发明的原理克服现有技术情况下的前述问题，本发明涉及一种用于聚合多个反恶意软件服务和其它事件检测系统的知识库以主动保护计算机免受恶意软件侵害的系统、方法和计算机可读媒体。

本发明的一个方面在于一种用于保护维护多个反恶意软件服务和/或事件检测系统的孤立计算机免受恶意软件侵害的方法。更具体地，该方法包括(1)使用所述反恶意软件服务和其它事件检测系统来观察潜在地指示恶意软件的可疑事件；(2)确定所述可疑事件是否满足预定阈值；以及(3)如果所述可疑事件满足所述预定阈值，则将限制性安全策略应用于所述计算机。在一些实例中，可以调用采取一般安全措施的安全策略，诸如阻断如果多数(不是全部)输入和输出网络通信量。在其它实例中，限制性安全策略可限制一实体可用的资源，以使计算机免受恶意软件侵害再次感染。

本发明的另一方面在于一种软件系统，它聚合多个反恶意软件服务和/或事件检测系统的知识库以保护计算机免受恶意软件侵害。在本发明的一个实施例中，该软件系统包括数据收集器组件、数据分析器模块和策略实现器。数据收集器组件用于从计算机上安装的不同反恶意软件系统和/或事件检测系统收集数据。在该实施例中，所收集的数据描述潜在地指示恶意软件的可疑事件。在各种时候，数据分析器模块可就由数据收集器组件所收集的数据作为一整体是否指示恶意软件进行判断。如果数据分析器模块以足够的确定性判定恶意软件存在，则策略实现器可实行限制对计算机资源的访问的限制性安全策略。

在再一个实施例中，计算机可读媒体具备内容，即程序，它使得计算机根据这里所述的方法进行操作。

附图说明

在通过参考以下详细描述并结合附图更好地理解本发明时，本发明的前述方面和许多附随优点将变成更易于理解，其中：

图1是示出其上通常分布恶意软件的常规连网环境的示图。

图2是示出说明现有技术中如何会出现脆弱性窗口的示例性时间线的框图。

图3是示出根据本发明的能聚合不同反恶意软件服务和/或计算机上安装的其它事件收集系统的知识库以主动保护计算机免受恶意软件侵害的计算机的组件的框图。

图4是示出根据本发明的保护计算机免受恶意软件侵害的计算机中实现的一种方法的一个实施例的流程图。

具体实施方式

根据本发明，提供了一种用于聚合多个安全服务和/或其它事件检测系统的知识库以保护计算机免受恶意软件侵害的系统、方法和计算机可读媒体。尽管本发明主要将在使用不同的反恶意软件服务来保护计算机免受恶意软件侵害的上下文中进行描述，但相关领域的熟练技术人员以及其它人士将理解：本发明也可应用于不同于所述那些的其它软件系统。例如，本发明的各方面可被配置成使用当前可用或仍在开发中的任何一种事件检测系统。以下描述首先提供了其中可实现本发明的软件系统的各方面的概况。随后，描述实现本发明的方法。这里提供的说明性示例并非旨在穷尽或将本发明限制于所揭示的精确形式。类似地，这里描述的任何步骤都可与其它步骤或步骤的组合互换，以实现相同的结果。

现在参考图3，将描述能实现本发明各方面的计算机300的组件。计算机300可以是各种装置中的任一种，包括但不限于个人计算装置、基于服务器的计算装置、个人数字助理、蜂窝电话、具有某种类型的存储器的其它电子装置等等。为便于说明且因为它对于本发明的理解不重要，图3没有示出许多计算机的典型组件，诸如CPU、键盘、鼠标、打印机或其它I/O装置、显示器等。但是，图3中描述的计算机300包括反病毒软件302、防火墙应用程序304、行为阻断器306、反间谍软件308和度量系统309。此外，计算机300在聚合例程310中实现本发明的各方面，该例程包括数据收集器组件312、数据分析器模块314以及策略实现器316。

本领域的熟练技术人员和其它人士将认识到：正使得更多数量的反恶意软件安全服务可用，以便在计算机上的各种入口点或数据流处得到保护以免受所有不同类型的恶意软件的侵害。例如，现今用于保护计算机免受恶意软件侵害的一个防卫措施是反病毒软件302。一般来说，传统反病毒软件302在从诸如盘的输入/输出(I/O)装置访问的数据中查找作为恶意软件特征的“签名”。此外，越来越多的反病毒软件202进行启发式恶意软件检测技术，这些技术被设计用于测量作为恶意软件特征的活动。

现今在针对计算机恶意软件的保护中普通的另一项防卫措施是防火墙应用程序304。本领域的熟练技术人员将认识到：防火墙应用程序304是一反恶意软件系统，它通过控制内部网络和外部网络之间的信息流来保护内部网络免受源自外部网络的未授权访问。源自内部网络之外的所有通信都经过防火墙应用程序304传送，它检查通信并确定它是否安全或者是否可允许接受通信。

当前可用的另一反恶意软件服务是行为阻断器306，它实现被设计成在调度了与策略相反的活动时允许在调解的同时出现良性活动的策略。通常，行为阻断器306实现一“沙箱“，在该沙箱中由恶意软件潜在感染的代码被分析以确定该代码是否执行不可接受的行为。例如，不可接受的行为可采取生成分发给用户的地址簿中找到的实体的大量电子邮件的形式。类似地，不可接受的行为可定义成对如系统注册表的重要数据库中的多个条目进行改变。无论如何，行为阻断器306分析程序并执行被设计成防止不可接受行为的策略。

越来越多的其它类型的反恶意软件服务正被开发以从计算机中识别和“清除”不同类型的恶意软件。例如，反间谍软件308被设计用于识别跟踪用户执行的动作的程序。虽然间谍软件不会像其它类型的恶意软件那样对计算机300造成破坏，但一些用户发现使他们的动作被跟踪并被报告给未知实体是侵犯性的。在这种实例中，用户可以安装从计算机中识别和清除这种类型的恶意软件的反间谍软件308。

本领域的熟练技术人员以及其它人士将认识到：某些事件检测系统可监控计算机入口点、数据流和/或计算机事件和活动。通常，事件检测系统不仅提供用于识别计算机上出现的事件的逻辑，还维护数据库、事件日志和用于获得关于观察到的事件的数据的其它类型的资源。例如，如图3所示，计算机300维护被设计用于观察和记录计算机300的各种性能度量的度量系统309。在这点上，度量系统309可监控CPU使用、页面错误的出现、进程终止和计算机300的其它性能特征。如以下更详细地描述的，计算机300的性能特征中的模式以及计算机上出现的其它事件可指示恶意软件。虽然在描述中说明了特定的事件检测系统(例如，度量系统309)，但本领域的熟练技术人员以及其它人士将认识到：其它类型的事件检测系统也可包含于计算机300内而不背离本发明的范围。

本领域的熟练技术人员以及其它人士将认识到：以上参考图3描述的反恶意软件系统302、304、306、308和事件检测系统309应解释为说明性而非本发明的限制。例如，本发明可以通过所谓的入侵检测系统来实现而不背离本发明的范围，其中该系统尝试通过检查可从网络获得的日志或其它信息来检测对计算机300的未授权访问。此外，可以使用与所示和所述的那些不同的反恶意软件系统和其它事件检测系统来实现本发明的各方面。此外，本发明的各方面可协同任何数量的反恶意软件服务和事件检测系统而实现。例如，反间谍软件308用虚线表示以表明在计算机300仅包括反病毒软件302、防火墙应用程序304、行为阻断器306和度量系统309而不包括反间谍软件308的情况下也可使用本发明。因此，在本发明的其它实施例中，可以在计算机300中添加或去除附加或更少的反恶意软件服务和事件检测系统。

虽然改善了反恶意软件在检测日益复杂的恶意软件时的精度，现有的反恶意软件服务仍被限制于检测特定领域中的恶意软件。结果，这些孤立的反病毒服务具有固有的限制。例如，防火墙应用程序304通过监控输入和输出的网络活动来检测恶意软件便受网络上的数据传输方式限制。本领域的熟练技术人员以及其它人士将认识到：在从基于服务器的计算机获得数据时基于客户机的计算机通常请求一个或多个文件。在该实例中，现代网络组件将文件分成较小的单元(分组)，以便在有限带宽网络连接上传送这些分组。分组在网络上传送并在它们到达基于客户机的计算机时由防火墙应用程序304单独扫描以查找恶意软件。因此，在分组中扫描恶意软件时防火墙应用程序304可能没有完整的文件，结果不能肯定地在一切情况下检测恶意软件。

尽管防火墙应用程序304不能肯定地在一切情况下检测恶意软件，但防火墙应用程序304可收集，或被容易地配置为收集，作为恶意软件感染的较强启发式指示的数据。例如，防火墙应用程序通常监控网络活动，这可包括可能是恶意软件特征的可疑数据的分组内容的“深度”监控。此外，许多防火墙应用程序维护关于计算机上出现的网络活动量的统计。当检测到网络活动明显增加时，存在可从防火墙应用程序304所维护的统计中导出的恶意软件尝试感染计算机的较强启发式指示。网络活动增加自身并不一定指示恶意软件。相反，存在计算机为何发送或接收增加的数据量的正当原因(例如，用户开始在网络上下载较大的多媒体文件)。如果这种类型的事件由防火墙应用程序304用于肯定地识别恶意软件感染，则将出现错误识别恶意软件时的较高数量的“错误肯定”或实例。

其它反恶意软件服务和事件检测系统也观察计算机由恶意软件感染或者恶意软件尝试感染计算机的启发式指示。例如，被称作间谍软件的特定类型的恶意软件需要在计算机上总是活动的，以跟踪用户的动作。为了在计算机启动时被激活，间谍软件将用诸如服务控制管理器(SCM)或注册表项的一个或多个操作系统的“可扩展点”进行注册。类似于以上提供的示例，在操作系统的可扩展点处注册一程序本身不是该程序是恶意软件的肯定指示。但是，用可扩展点进行注册是指示恶意软件的“可疑”事件。本发明针对收集和充分利用这些类型的可疑事件提供的知识以提供免受恶意软件侵害的主动保护。

如上所述，计算机300维护一聚合例程310，它包括数据收集器组件312、数据分析器模块314和策略实现器316。在描述本发明一个实施例的一般方面，数据收集器组件312从计算机300上安装的反恶意软件服务和事件检测系统(例如，反病毒软件302、防火墙应用程序304、行为阻断器306、反间谍软件308以及度量系统309)中获得关于“可疑”事件的数据。如以下参考图4更详细地描述的，所收集的数据可仅仅是来自于反恶意软件服务或事件检测系统的出现可疑事件的指示。此外，数据收集器组件312可从反恶意软件服务或事件检测系统获得描述可疑事件属性的元数据。在任一情况中，数据收集器组件312用作与计算机300上安装的反恶意软件服务和事件检测系统的接口，用于报告和/或获得关于可疑事件的数据。

如图3所示，聚合例程310还包括数据分析器模块314，它确定被报告给数据收集器组件312或者由它收集的可疑事件是否满足预定阈值。如以下参考图4更详细地描述的，当满足该阈值时，一实体(例如，计算机、文件、进程等)将由数据分析器模块314“标记”为恶意软件。在一些实例中，在确定是否满足阈值时，数据分析器模块314确定给定时间范围的可疑事件数量是否明显大于正常或高于特定量。此外，如以下参考图4更详细地描述的，数据分析器模块314可以分析由反恶意软件服务302、304、306、308和度量系统309所生成的元数据以确定是否满足阈值。在该实例中，数据分析器组件314通常将具有改良的上下文用于更精确地确定反恶意软件服务所观察到的可疑事件是否是恶意软件的特征。

聚合例程310还包括策略实现器316，它实现被设计成在与计算机300相关联的实体被“标记”为恶意软件时保护计算机300的策略。如前所述，数据分析器模块314确定被报告给数据收集器组件312的可疑事件是否满足阈值。在一些实例中，在满足阈值时，可以实现保护计算机300免受恶意软件侵害的限制性策略。一般来说，策略实现器316提升计算机300的安全等级来主动保护计算机免受恶意软件侵害。在提供缺省策略时，用户或系统管理员可选择要实现的策略。例如，用户可使用高限制性策略，该策略除了从计算机300中去除恶意软件所需的网络传输之外不允许计算机300发送或接收任何网络传输。但是，其它保护安全措施可以在策略中定义并在策略实现器316中实现，包括但不限于阻断特定通信端口和地址上的网络通信量；阻断与诸如电子邮件或Web浏览器应用程序的某些网络相关应用程序的通信；终止某些应用程序，以及阻断对计算机300上的特殊硬件和软件组件的访问。

根据本发明的一个实施例，策略实现器316被配置成与计算机300上安装的一个或多个反恶意软件服务302、304、306和308进行通信，以限制被“标记”为恶意软件的实体可用的资源。例如，行为阻断软件306可被配置为阻止被“标记”为恶意软件的进程访问操作系统可扩展点。策略实现器316可被配置为与行为阻断软件306通信并使得反间谍软件308阻断该进程执行这类活动。

本发明可用在许多不同上下文中实现，其中以下上下文只是一些示例。现有的反恶意软件服务能识别作为恶意软件的肯定指示的事件以及可能是恶意软件特征的可疑事件。如果与可疑事件相关联的实体被“标记”为恶意软件，则会出现过量的错误肯定或者实体被错误识别为恶意软件时的实例。然而，当主动保护计算机免受恶意软件侵害时，使实体与被反恶意软件服务或事件检测系统识别为可疑的事件相关联的知识是有帮助的。本发明可以在这种类型的现有基础结构中实现以聚合不同反恶意软件服务和事件检测系统的知识。更具体地，不同类型的反恶意软件服务(例如，反病毒软件302、防火墙应用程序304、行为阻断器306和反间谍软件308)和事件检测系统(例如，度量系统309)可被配置为向实现本发明各方面的软件模块(例如，聚合例程310)报告可疑事件。如果反恶意软件服务或事件检测系统观察到的可疑事件的数量或类型满足阈值，则聚合例程310将把与这些事件相关联的实体“标记”为恶意软件。

本领域的熟练技术人员和其它人士将认识到：图3是能执行本发明实现的功能的一个计算机300的简化示例。计算机300的实际实施例将具有图3或以下文本中未描述的附加组件。此外，图3示出了用于主动保护计算机300免受恶意软件侵害的示例性组件架构，但其它组件架构也是可能的。

现在参考图4，将描述图3所示的聚合例程310的示例性实施例，它确定反恶意软件服务或其它事件检测系统所识别的可疑事件是否是恶意软件的特征。

如图4所示，聚合例程310在框400处开始，其中例程310保持空闲直到反恶意软件服务或其它事件检测系统观察到可疑事件。根据包括反恶意软件服务的本发明的一个实施例，服务中的逻辑定义恶意软件感染的肯定指示和可能是恶意软件特征的可疑事件。如果识别出恶意软件感染的肯定指示，则不执行聚合例程310所实现的软件例程。但，在一些实例中，当识别出可疑事件时，报告该事件并进行分析以确定与该可疑事件相关联的实体是否应被“标记”为恶意软件。例如，本领域的熟练技术人员以及其它人士将认识到：多数恶意软件被加密以避免在传送中被检测出并将在执行前被解密。类似于以上参考图3提供的示例，例如，当反恶意软件服务遇到加密文件时，其本身不是该文件包含恶意软件的肯定指示。但是，遇到加密文件是被报告给本发明各方面的“可疑”事件。

在框402处，框400处识别的可疑事件被报告给聚合例程310。应理解，本发明可以在许多不同实施例中实现，其中以下的仅仅是一些示例。在一个实施例中，聚合例程310在由单个软件提供商创建的集成软件系统中实现。例如，图3所示的反病毒软件302、防火墙应用程序304、行为阻断器306、反间谍软件308和度量系统309可以与聚合例程310集成在一起。在该实例中，反恶意软件服务302、304、306、308和事件检测系统309可被配置成在框402处使用本领域公知的方法直接传递描述可疑事件属性的数据。在本发明的可选实施例中，聚合例程310维护允许第三方提供商报告可疑事件的应用程序接口(API)。在该实例中，第三方创建的反恶意软件服务或其它事件检测系统可“插入”聚合例程310并通过发出一个或多个API调用来报告可疑事件。根据再一个可选实施例，聚合例程310主动地从计算机上的一个或多个资源获得描述可疑事件的数据。例如，如之前参考图3所述的，事件检测系统(例如，度量系统309)可观察并记录计算机上出现的不同事件。通常，事件检测系统将不仅提供用于识别计算机上出现的事件的逻辑，还维护数据库、事件日志和其它软件模块上可用的其它类型的资源。在该实例中，聚合例程310可用从事件检测系统所维护的资源中获得描述可疑事件的数据。

如图4中进一步描述的，在框404处，聚合例程310对从反恶意软件服务接收或从诸如事件检测系统的其它源收集的描述可疑事件的数据进行分析。所进行的分析被设计成确定向聚合例程310报告或由它获得的可疑事件是否满足一预定阈值，该阈值指示恶意软件尝试感染计算机或已感染了该计算机。例如，恶意软件作者发布利用先前未知脆弱性的一新的恶意软件。该恶意软件(1)使用偶尔用于访问计算机的网络端口，(2)当存储于诸如盘的存储媒体上时包含在加密文件中；(3)尝试访问操作系统可扩展点，以及(4)使得大量数据被发送到其它网络可访问计算机，同时造成CPU使用的相应增加。如前所述，在本发明的一个实施例中，从反恶意软件服务或其它事件检测系统收集的数据可能仅仅是识别可疑事件的指示。在该实施例中，诸如防火墙应用程序304的反恶意软件服务可被配置成报告在偶尔使用的网络端口被访问时出现可疑事件。此外，由于恶意软件使得大量数据被发送到其它网络可访问计算机，防火墙应用程序304可确定网络活动的增加也是一可疑事件。随后，诸如反间谍软件308的另一反恶意软件服务可以在操作系统的可扩展点被访问时报告可疑事件的出现。仅仅接收到三个可疑事件报告不会满足预定的阈值。但是，度量系统309随后会在事件日志中记录CPU使用急剧增加。在这种情况中，数据收集器组件312可被配置成监控该事件日志并作为CPU使用增加的结果确定可疑事件出现。在该实例中，当在特定时间范围中出现四个可疑事件时，满足了聚合例程310所应用的预定阈值。但是，本领域的熟练技术人员以及其它人士将认识到：四个可疑事件足以满足预定阈值的以上提供的实例仅仅是用于说明目的的一个示例而不被解释为对于本发明的限制。

在本发明的另一实施例中，聚合例程310所收集的数据包括元数据，它帮助确定与计算机相关联的实体是否是恶意软件。本领域的熟练技术人员和其它人士将认识到：一些可疑事件将比其它可疑事件更可能与恶意软件相关联。在本发明的一个实施例中，计算机上的反恶意软件服务被配置成计算一值，该值表示一个或多个可疑事件与恶意软件相关联的概率。在以上提供的示例中，网络活动量的增加可由防火墙应用程序304分配一较高的值，这表示存在恶意软件正尝试感染计算机、感染其它计算机、攻击其它计算机或泄漏信息的较高概率。相反，在存储媒体上保存加密文件较不可能与恶意软件相关，因此将被分配到较低的值。根据本发明的一个实施例，向聚合例程310报告元数据，该元数据表示可疑事件是恶意软件特征的概率。在该实例中，例如当用指示出现恶意软件攻击的较高概率的元数据报告一个或多个可疑事件时，会满足预定阈值。

应理解，反恶意软件服务所报告的可疑事件可与不同的实体相关联。例如，用户可能从网络下载加密文件。如前所述，由于加密了文件，反恶意软件服务将向聚合例程310报告文件的下载，作为一可疑事件。此外，反恶意软件服务可使元数据与文件相关联，该元数据表示用恶意软件感染文件的概率。在本发明的一个实施例中，在框404处，聚合例程310使用预定阈值来确定是否将文件分类为被恶意软件感染。但在其它实施例中，聚合例程340使用预定阈值来确定其它类型的实体是否被恶意软件感染。例如，聚合例程310可以将整个计算机、进程、活动“标记”为与恶意软件相关联。

在本发明的再一个实施例中，由反恶意软件服务报告给聚合例程310的元数据可由其它反恶意软件服务用于表征一实体。例如，在以上提供的示例中，防火墙应用程序304向聚合例程310报告从网络下载一个加密文件。在该实例中，元数据可与该文件相关联，指示防火墙应用程序304将该文件“标记”为可疑的理由(例如，该文件被加密)。例如，如果该文件稍后与访问操作系统的可扩展点的尝试相关联，行为阻断器306可以发出一查询并获得与该文件相关联的元数据。在该实例中，行为阻断器306可使用元数据来更准确地表征该文件。例如，分析恶意软件的经验可指示被加密和访问操作系统可扩展点两者的组合可结合地作为高度可疑的事件。结果，行为阻断器306随后可以将该文件识别为受恶意软件感染。

在判断框406处，聚合例程310确定框404处分析的可疑事件是否满足预定阈值。如果满足预定阈值，则实体(例如，计算机、文件、进程等)被“标记”为与恶意软件相关联。在该实例中，聚合例程310进行到以下描述的框408。相反，如果不满足预定阈值，则聚合例程310回到框400且重复框400到406直到满足该阈值。

如图4所示，在判断框408处，聚合例程310确定是否任何注册的反恶意软件服务都能从计算机中去除该恶意软件。如前所述，聚合例程310允许反恶意软件服务注册并创建一概要，该概要识别所述服务能从计算机中去除的恶意软件的类型。如果达到框410，则恶意软件可能已感染了计算机且注册的反恶意软件服务能从该计算机中去除该恶意软件。在该实例中，聚合例程310所收集的元数据可用于识别恶意软件以及能从计算机中去除该恶意软件的反恶意软件服务。如果识别出合适的反恶意软件服务，则在框410处聚合例程310使得该反恶意软件服务利用本领域已知的方法去除该恶意软件。随后，聚合例程310进行到框412。相反，如果该恶意软件仅尝试感染计算机或者反恶意软件服务不能从计算机中去除该恶意软件，则聚合例程310跳过框410且直接进行到框412。

在框412处，聚合例程310实施被设计成防止恶意软件的传播或其感染的限制性安全策略。如果达到框414，则识别出恶意软件且计算机可能仍受该恶意软件感染或未受其感染。在计算机被感染的一些实例中，通常实行被设计用于防止恶意软件传播的一般限制性安全策略。例如，实现一般安全策略通常包括在资源上应用多个限制，诸如但不限于限制来自该计算机的网络传输；阻断特定通信端口和地址上的网络通信量；阻断与诸如电子邮件或Web浏览器应用程序的某些网络相关应用程序的通信；终止某些应用程序，和阻断对计算机上的特殊硬件和软件组件的访问。在其它实例中，聚合例程310可能已从计算机去除了恶意软件，使得它不再被感染。通常，在该实例中，将实行限制性低一些的安全策略且这被设计成防止计算机被该恶意软件再次感染。随后，聚合例程310进行到框414，在这里终止。

应理解，如果做出了实体不是恶意软件的判断，可以容易地解除框414处实行的限制性安全策略。例如，系统管理员或用户可以确定被标识为包含恶意软件的文件实际上是友善的。在该实例中，可以通过从用户、系统管理员处生成的或者作为将来学习的结果而生成的命令解除该限制性安全策略。

虽然已说明和描述了本发明的较佳实施例，但应理解：其中可以进行各种变化而不背离本发明的精神和范围。