微软公司新申请的一项专利:为了帮助网络管理员对抗恶意软件在网络中的蔓延,将开发一套网络监测系统,实时地收集恶意程序的数据,用以防止恶意程序的向无保护的客户端蔓延并减少提出对抗恶意软件的方法所花费的时间。
它与 Windows Defender 类似,但(很可能)会具有更快的响应时间,并可由网络管理员管理。这条消息是 James Moody 提供的。
在这样的系统方案中,将存在一个中央可信任实体 (一个网络服务器),它将负责与安装了专门的软件的客户端通讯,与客户端共同核对应用程序的签名,并在怀疑恶意软件存在的情况下要求从客户端得到更多的信息。这样的监测服务器动态的建立每个恶意软件的档案,然后通过通知其他客户端其特点来阻止其在整个网络中蔓延。
恶意软件往往以试图将其插入客户端的 Auto Start Extension Point (ASEP) 或其它随开机启动的位置为标志。当然,正常的软件也经常会这么干。为了解决这个问题,客户端将与中央服务器通讯,以确定其代码是否是已知的恶意程序。如果被怀疑的软件的行为已经储存在数据库中并被标志为非法数据,那么服务器将记录相关资料,并阻止其散布到整个网络。
但是,如果客户端提供的资料不在数据库服务器中,那么服务器将要求提供更多资料。客户端之后会产生一个更详细的活动报告。这些数据中还可能包括内存的dump 这对于对恶意软件进行反向工程十分有用。服务器依据得到的数据进行分析,以确定是否出现了新的恶意软件的模式。
系统可帮助网络管理员监控最易受攻击的系统和用户。然后,如果必要,他们就可以锁定这些客户端,甚至分析出哪些用户需要得到进一步如何用好计算机的培训。
没有评论:
发表评论