技術領域

本發明總體上涉及計算機安全領域，并且具體涉及用于基于計算機用戶的裁決來檢測計算機安全威脅的系統、方法和計算機程序產品。

背景技術

近來，越來越多的信息技術公司進行“云計算”技術研究以實現他們的Web托管（Web?hosting）、數據存儲和處理需要。云計算意指當以因特網服務的形式來提供所要求的計算能力時的數據處理。因此，云計算客戶端不需要擔心基礎設施---這由服務提供商來實現。一方面，它對于普通用戶是非常方便的工具，用戶不需要擔心復雜的軟件和硬件接口，而另一方面，這些責任被轉移給了提供商。

云數據處理意指在各種級別上的各種數據類型的分布式處理。在一種情況下，那可以意指提供硬件和系統軟件（基礎設施作為服務）以使用。在另一些情況下，提供用于開發、測試、應用程序支持的整個平臺（平臺作為服務）。目前，最常見的選擇之一是軟件提供服務（軟件作為服務）。其他用于一些抽象的和可擴展的服務的硬件和軟件提供趨勢也正在發展中。為簡化起見，下文中我們將稱云數據處理為“云服務”。

目前，存在很多不同的云計算選擇。例如，Google?App允許僅采用因特網瀏覽器來在線編輯各種類型的文檔，而將數據存儲在Google服務器上。一個最新的Google開發產品---Chrome操作系統（OS）---也在工具的關鍵角色中使用瀏覽器來訪問其他資源，為減少的客戶端計算機（例如上網本）負載、良好的可靠性和操作的簡化（整個基礎設施位于服務器上）做好準備。云計算的另一個好的示例是Onlive平臺，該平臺通過在服務器上處理所有的游戲數據并以多媒體格式傳送至客戶端，來在甚至硬件能力非常有限的計算機上（與上網本或平板電腦相同）提供最新計算機游戲的實時享有。微軟目前正開發它的Azure平臺，用于創建分布式web應用程序。平臺操作原理以對所使用的資源支付入網費（subscription?fee）作為交換來解決規模和資源訪問的問題。

圖1示出了上述云服務的高級別示意圖。云服務120以軟件和硬件資源110示出，其可由個人計算機（PC）100所請求。這一模型的發展目前正被積極推進，并且如前面所提到，它將顯著的責任放到云服務120的提供商身上，這些責任與諸如用戶數據安全性和安全這類的問題以及與所提供的軟件和硬件資源110的靈活擴展性相關聯。

考慮到云計算的優點，它會吸引那些最近看到威脅數目的增加超過所有可想象限度的反病毒軟件公司的興趣就不足為奇了。下文中，威脅將意指各種惡意軟件，諸如特洛伊木馬、網絡蠕蟲、病毒和其他不受歡迎的軟件，以及至具有惡意和其他不受歡迎的軟件、許可軟件漏洞等的web頁的鏈接等。不受歡迎的軟件可以包括犯罪軟件、間諜軟件和妨礙數據或計算機可操作性的軟件（勒索軟件）。圖2示出了由ZAO卡巴斯基實驗室所攔截和分析的新的獨特的惡意文件的數量增加。顯然，該增加明顯呈指數，這由最近出現的原因的數目確定。同時，反病毒公司的能力---用于處理新威脅的硬件以及員工（病毒分析師）--是非常有限的，不能以和威脅量同樣的步伐增加。新的獨特的惡意軟件量的增加的原因之一是電信的巨大發展，包括互聯網和用戶數量的相應快速增加。這反過來刺激各種基于web的在線服務的發展：網上銀行、虛擬貨幣（例如WebMoney）、生活日記和寫博客、很多軟件結構遷移至web（已經提到的Google?App是很好的示例）。相應地，當前階段的網絡犯罪者正以惡意軟件的形式積極使用他們的開發產品進行旨在偷取和敲詐金錢的web攻擊。近來，他們的活動不僅已經影響銀行業務（所謂銀行特洛伊木馬），還擴展到對流行的在線游戲賬號進行黑客行為，以及使用特洛伊木馬-贖金類型軟件進行敲詐。很多因素助使得他們得逞和如圖2所示的惡意軟件的相應增加：許多在線服務安全不足、在很多國家缺少或完全缺失因特網犯罪法律、以及有時僅是計算機用戶對計算機安全基本無知。

應該承認通常以簽名和啟發式檢測為代表的現有的惡意軟件防護方法實際上耗盡了它們的潛力。啟發式分析基于對惡意軟件特有的具體特征（代碼段、某些寄存器密鑰、文件名或進程）的搜索，但每個啟發式掃描場景的調試均需花費大量時間并且總是存在誤差風險（誤報檢測）。目前啟發式檢測方法的效率停留在60~70%，事實上這是最大的可能水平。