场境感知的实时计算机保护系统和方法.pdf

场境感知的实时计算机保护系统和方法
    背景技术

    性能是诸如实时文件扫描解决方案等实时安全产品供应商一直关心的问题。传统的实时文件扫描解决方案通常：1)在文件已被打开或修改时进行检测并随后2)通过扫描所涉文件来确定该文件是否已被损害。虽然单个文件扫描可能不会过度地占用计算系统的资源，但目前的操作系统执行的文件操作的数目可能需要更多次的文件扫描，而这又可能导致明显较慢的计算系统性能和用户厌烦。

    虽然某些安全供应商已尝试通过基于文件的扩展名或基于文件是被打开还是关闭而跳过文件扫描来限制实时文件扫描解决方案的性能影响，但此类常规方法在有效性和可靠性方面受限制。例如，此类方法可能无法识别具有似乎合法的文件扩展名的恶意文件，此类方法可能将计算资源专用于扫描经修改的文件，即使存在该经修改的文件未受到安全威胁的高度可能性。类似地，本公开认识到用于改善传统实时文件扫描安全解决方案的性能的可靠性两者的需要。

    【发明内容】

    如下文更详细地描述的那样，本公开总体上涉及用于响应于感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)通过检查所述感兴趣事件的完整场境(context)来确定是否执行实时文件扫描的系统和方法。所述感兴趣事件的完整场境可以包括所涉文件的历史、访问所涉文件的应用的历史、以及用于所涉文件的已知可接受使用模式。在此所公开的系统和方法可以通过评估此信息而不是始终执行扫描在不显著降低由传统实时扫描解决方案提供的安全水平的情况下使实时扫描系统的性能影响最小化。

    例如，一种系统可以通过以下步骤来确定是否执行实时文件扫描：1)检测感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)，2)识别与所述感兴趣事件相关的至少一个文件(诸如被打开或关闭的文件)，3)访问描述或识别其中发生所述感兴趣事件的较大场境的信息(在此也称为“场境元数据”)，4)访问至少一个规则，该规则包含用于基于所述感兴趣事件和所述场境元数据来确定是否对所述文件执行扫描的标准，以及随后5)通过应用所述规则来确定是否对所述文件执行扫描。

    如果所述系统判定扫描文件，则该系统还可以基于所述场境元数据来确定在执行扫描时是提高还是降低将应用于文件的监查水平。所述系统还可以基于扫描的结果来确定是否阻止文件、隔离文件、删除文件、通知用户或安全供应商等。所述系统随后可以基于安全扫描的结果来更新所述场境元数据。

    可以依照在此所述的一般原理将来自任何上述实施例的特征相互结合地使用。结合附图和权利要求来读取以下详细说明时将更全面地理解这些及其它实施例、特征、以及优点。

    【附图说明】

    附图示出许多示例性实施例，并且作为本说明书的一部分。这些附图连同以下说明一起说明并解释本公开的各种原理。

    图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性系统的方框图。

    图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性方法的流程图。

    图3是能够实现在此所述和/或所示的一个或多个实施例的示例性计算系统的方框图。

    图4是能够实现在此所述和/或所示的一个或多个实施例的示例性计算网络的方框图。

    在所有附图中，相同的附图标记和说明指示类似但不一定必须相同的元件。虽然在此所述的示例性实施例可以有各种修改和替换形式，但在附图中已通过示例示出了特定的实施例并将在此进行详细地描述。然而，在此所述的示例性实施例并不意在局限于所公开的特定形式。相反，本公开涵盖落入所附权利要求的范围内地所有修改、等价物、以及替换物。

    【具体实施方式】

    如下文更详细地描述的那样，本公开总体上涉及用于响应于感兴趣事件通过检查感兴趣事件的完整场境来确定是否执行实时文件扫描的系统和方法。描述或识别其中发生所述感兴趣事件的较大场境的信息(在下文中称为“场境元数据”)可以包括但不限于关于所涉文件的信息(诸如文件名、文件创建日期、已被读取或修改的次数、已经读取或修改该文件的应用、用于该文件的典型使用行为、先前对该文件执行的安全扫描的结果等)或关于接触所涉文件的应用或与所涉文件相关的应用的信息(诸如该文件程序是否是门户、该应用是否产生网络活动、该应用是否包含已知的漏洞等)。

    下面将参照图1来提供用于响应于感兴趣事件通过检查感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性系统的详细说明。还将结合图2来提供相应的示例性计算机实现方法的详细说明。另外，还将结合图3和4来提供能够实现在此所描述和/或所示的一个或多个实施例的示例性计算系统和网络架构的说明。

    图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来执行实时文件扫描的示例性系统100的方框图。如此图所示，示例性系统100可以包括用于执行一个或多个任务的一个或多个模块102。例如，示例性系统100可以包括用于检测可能触发文件扫描的感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)的事件检测模块104。示例性系统100还可以包括用于访问并应用包含标准的规则的规则应用模块106，所述标准用于基于所检测的感兴趣事件和与该感兴趣事件相关的场境元数据来确定是否执行文件扫描。

    另外，示例性系统100可以包括用于对文件执行安全扫描以确定该文件是否是恶意文件或是否引起安全风险的安全模块108。示例性系统100还可以包括用于基于文件的安全扫描结果来更新场境元数据的元数据更新模块110。虽然未在图1中示出，但示例性系统100还可以包括一个或多个附加模块。

    在某些实施例中，图1中的一个或多个模块102可以表示在被计算设备执行时可以促使计算设备响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的一个或多个软件应用或程序。例如，如下文更详细地描述的那样，一个或多个模块102可以表示被配置为在一个或多个计算设备上运行的软件模块，所述计算设备诸如图3中的计算系统310和/或图4中的示例性网络架构400的部分。图1中的一个或多个模块102还可以表示被配置为执行一个或多个任务的一个或多个专用计算机中的全部或部分。

    如图1所示，示例性系统100还可以包括一个或多个数据库120。数据库120可以表示单个数据库或计算设备或多个数据库或计算设备的部分。在一个实施例中，示例性系统100可以包括用于存储场境元数据的场境元数据数据库122，场境诸如关于作为用于扫描的候选的文件的信息和关于接触所述候选文件或与之相关的应用的信息。示例性系统100还可以包括用于存储包含标准的规则或规则集的规则数据库124，所述标准用于基于程序的特性来确定该程序是否包含垃圾邮件程序。

    图1中的一个或多个数据库120可以表示一个或多个计算设备的一部分。例如，一个或多个数据库120可以表示图3中的计算系统310的一部分和/或图4中的示例性网络架构400的部分。可选地，图1中的一个或多个数据库120可以表示一个或多个物理上分离的能够由计算设备访问的设备，诸如图3中的计算系统310和/或图4中的示例性网络架构的部分。

    图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性计算机实现方法200的流程图。如此图所示，在步骤202，所述系统可以检测感兴趣事件。例如，图1中的事件检测模块104可以检测图3中的计算系统310上的感兴趣事件。

    在此所使用的短语“感兴趣事件”通常指在计算系统上的可以触发文件扫描的任何事件。感兴趣事件的示例包括但不限于进程或应用打开文件的失败或成功尝试、进程或应用关闭文件的失败或成功尝试、对安全供应商提供的病毒定义集的更新、或可能引起对计算系统上的文件的可信赖性的怀疑的任何其它事件。

    所述系统可以以多种方式来执行步骤202。在一个示例中，图1中的事件检测模块104可以通过挂到(hook)计算系统(诸如图3中的计算系统)的操作系统中并响应特定事件来检测感兴趣事件。

    在步骤204，所述系统可以识别与在步骤202中检测到的与感兴趣事件相关的至少一个文件。所述系统可以以多种方式来识别与感兴趣事件相关的文件。例如，如果在步骤202中事件检测模块104识别到进程打开文件的成功尝试，则在步骤204，事件检测模块104可以识别被打开的文件。可选地，如果在步骤202中事件检测模块104检测到对供应商提供的病毒定义集的更新，则在步骤204，事件检测模块104可以识别受到此更新的影响或冲击的一个或多个文件。

    在步骤206，所述系统可以访问与感兴趣事件相关的场境元数据。例如，图1中的规则应用模块106可以从图1中的场境元数据数据库112检索关于在步骤204中识别的文件的信息。

    如上所述，短语“场境元数据”可以指的是关于其中发生感兴趣事件的大量的场境的信息。场境元数据的示例可以包括但不限于关于可疑的文件的信息和关于接触所涉文件或与之相关的一个或多个应用的信息。可以包括在场境元数据中的关于文件的信息类型的示例包括但不限于文件名、文件路径名、文件类型(诸如该文件是否是预读取文件、该文件是否是日志文件等)、文件创建日期、文件最后修改日期、文件的散列(hash)或数字签名、文件已被读取或修改的次数、读取或修改文件的应用、文件的使用行为(诸如该文件在启动序列期间是否通常被打开)、先前对文件执行的安全扫描的结果、或可用于确定是否对文件执行安全扫描的任何其它信息。

    类似地，关于接触候选文件或与之相关的应用的示例性信息可以包括但不限于应用名、与该应用相关的进程、用于该应用的使用行为、该应用是否是门户、该应用是否产生网络活动、该应用是否包含已知的漏洞、或可用于确定是否对所涉文件执行安全扫描的任何其它信息。

    在步骤208，所述系统可以访问包括标准的至少一个规则，所述标准用于基于感兴趣事件和场境元数据来确定是否对文件执行安全扫描。例如，图1中的规则应用模块106可以从规则数据库124中检索包括标准的至少一个规则，所述标准用于确定是否对在步骤204中识别的文件执行安全扫描。

    如上所述，在步骤208中访问的规则可以包括用于确定感兴趣事件(诸如应用打开和修改文件的成功尝试)是否需要实时文件扫描。可以由规则用来确定是否对文件执行实时扫描的标准的示例包括但不限于所涉文件的名称、修改、读取或访问所涉文件的进程或应用的名称、所涉文件的路径名或位置、所涉文件的文件类型、所涉文件的创建日期或最后修改日期、所涉文件已被访问的次数、已访问所涉文件的应用或进程、用于所涉文件的可接受使用行为、用于尝试访问所涉文件的应用的可接受使用行为、先前对所涉文件执行的安全扫描的结果、尝试访问所涉文件的应用是否是门户、尝试访问所涉文件的应用是否产生网络活动、尝试访问所涉文件的应用是否包含已知的漏洞、或可以用来确定感兴趣事件是否需要文件的实时扫描的任何其它标准。

    例如，规则可以规定只要由某些预先许可的应用或进程(例如通过进程名来识别)访问特定的文件(例如通过文件名或路径名来识别)、就不需要扫描该文件。类似地，规则可以规定每当某些敏感性或关键系统文件(例如通过其文件类型或路径名来识别)被具有已知漏洞的应用修改时，就必须扫描这些文件。

    规则本质上可以是一般的或专用的。例如，可以写下一般规则以消除在无威胁的使用情况下的扫描。例如，规则可以规定在写操作之后文件已被关闭之后不需要扫描只被写入且从未被读取的文件(诸如日志文件)。类似地，一般规则可以规定如果在X天的过程中文件只被单个应用写入或读取，只要是由单个识别的应用访问该文件，则不需要扫描该文件。

    可以对特定的文件类型书写规则。例如，规则可以规定如果进程或应用访问WINDOWS预读取文件，则只有该文件名与进程的名称不匹配时才应扫描该预读取文件。在本示例中，所述规则可以规定在以下情况下不应扫描预读取文件：1)文件名是“IEXPLORE.EXE-XXXXXX.PF”，2)文件正在被进程“IEXPLORE.EXE”读取，以及3)主进程刚刚启动。

    规则在本质上可以是专用的。例如，可以为特定的应用创建这样的规则，即其规定不需要扫描在某些众所周知的位置上的由该应用创建的临时文件，因为这些临时文件在应用终止时将被删除。在上述示例中的每一个中，可以通过将与在那种情形下跳过或减少相关的安全风险与可以实现的性能改善相比较来制定规则。

    在某些示例中，规则还可以包括用于基于与感兴趣事件相关的场境元数据来确定在执行安全扫描时应用于文件的安全水平的标准。例如，规则可以规定当文件被经预先许可的应用打开时，系统只需要对文件执行有限的安全扫描(例如通过确定文件的一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配)。可选地，如果系统确定文件被新的或未经许可的应用访问，则系统可以对该文件执行完全扫描(例如通过在虚拟或仿真的计算环境内执行文件来确定该文件是否包含恶意有效负荷)。

    在步骤210，系统可以通过应用来自步骤208的规则来确定是否对文件执行安全扫描。例如，图1中的规则应用模块106可以将在步骤208中从规则数据库124检索的规则应用于在步骤204中识别的文件。当图2中的步骤210完成时，图2中的示例性方法200可以终止。

    如果图1中的规则应用模块106在步骤210中确定系统应对文件执行安全扫描，则安全模块108可以对文件执行安全扫描。本文所使用的短语“安全扫描”通常指由计算系统对文件执行以便确定文件是否是恶意的或表示安全风险的任何分析。

    图1中的安全模块108可以以多种方式来尝试确定文件是否是恶意的。例如，安全模块108可以：1)确定文件的至少一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配(例如通过将文件的散列与已知恶意文件的散列相比较)，2)确定该文件是否触发由安全供应商提供的恶意件检测探试(例如，通过模式匹配)，3)在虚拟或模拟计算环境执行文件以确定文件是否包含恶意有效载荷，或4)通过任何其它适当的方式来验证文件的合法性。

    根据安全扫描的结果，安全模块108还可以对文件执行安全操作。在此所使用的短语“安全操作”通常指可以对已知恶意文件执行的任何安全操作。安全操作的示例包括但不限于删除文件、阻止访问文件、隔离文件、向用户或安全供应商发送将该文件识别为安全风险的通知、或可以对恶意文件或被认为将引起安全风险的文件执行的任何其它安全操作。

    在某些实施例中，当完成安全扫描时，系统可以基于扫描的结果来更新在步骤206中访问的场境元数据。例如，图1中的元数据更新模块110可以用对文件执行的安全扫描的结果来更新存储在场境元数据数据库122中的场境元数据。

    如上所述，通过制定并应用将感兴趣事件的较大范围的场境考虑在内的规则，在此所述的系统和方法可以在不显著牺牲提供的安全水平的情况下改善实时扫描系统的性能。类似地，在此所公开的系统和方法可以向实时计算机安全解决方案的用户提供各种可靠性和性能优点。

    图3是能够实现在此所描述的和/或所示的一个或多个实施例的示例性计算系统310的方框图。计算系统310广泛地表示能够执行计算机可读指令的任何单个或多处理器计算设备或系统。计算系统310的示例包括但不限于工作站、膝上型计算机、客户端侧终端、服务器、分布式计算系统、手持式设备、或任何其它计算系统或设备。在其最基本的配置中，计算系统310可以包括至少一个处理器314和系统存储器316。

    处理器314一般表示能够处理数据或解释并执行指令的任何类型或形式的处理单元。在某些实施例中，处理器314可以从软件应用或模块接收指令。这些指令可以促使处理器314执行在此所描述的和/或所示的一个或多个示例性实施例的功能。例如，处理器314可以执行在此所描述的检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独或与其它元件结合地执行在此所描述的检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。处理器314还可以执行在此所描述的和/或所示的任何其它步骤、方法、或过程和/或作为用于执行在此所描述的和/或所示的任何其它步骤、方法、或过程的装置。

    系统存储器316一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器316的示例包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、闪速存储器、或任何其它适当的存储设备。虽然不需要，但在某些实施例中，计算系统310可以包括易失性存储单元(诸如，例如系统存储器316)和非易失性存储设备(诸如，例如如下文更详细地描述的主存储设备332)二者。

    在某些实施例中，除处理器314和系统存储器316之外，示例性计算系统310还可以包括一个或多个组件或元件。例如，如图3所示，计算系统310可以包括存储控制器318、输入/输出(I/O)控制器320以及通信接口322，其中的每一个可以经由通信基础设施312互连。通信基础设施312一般表示能够便于计算设备的一个或多个组件之间的通信的任何类型或形式的基础设施。通信基础设施312的示例包括但不限于通信总线(诸如ISA、PCI、PCIe、或类似总线)和网络。

    存储控制器318一般表示能够处理存储器或数据或控制计算系统310的一个或多个组件之间的通信的任何类型或形式的设备。例如，在某些实施例中，存储控制器318可以经由通信基础设施312来控制处理器314、系统存储器316和I/O控制器320之间的通信。在某些实施例中，存储控制器318可以执行在此所描述的和/或所示的一个或多个步骤或特征和/或作为用于单独地或与其它组件相结合地执行在此所描述的和/或所示的一个或多个步骤或特征的装置，所述步骤或特征诸如检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行。

    I/O控制器320一般表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如，在某些实施例中，I/O控制器320可以控制或便于计算系统310之间的一个或多个元件之间的数据传送，所述元件诸如处理器314、系统存储器316、通信接口322、显示适配器326、输入接口330、以及存储在此所描述的检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行步骤。I/O控制器320还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。

    通信接口322广泛地表示能够便于示例性计算系统310与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如，在某些实施例中，通信接口322可以便于计算系统310与包括附加计算系统的私有或公共网络之间的通信。通信接口322的示例包括但不限于有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器、或任何其它适当接口。在至少一个实施例中，通信接口322可以经由到诸如因特网的网络的直接链路来提供到远程服务器的直接连接。通信接口322还可以通过例如局域网(诸如以太网或无线IEEE 802.11网络)、个域网(诸如BLUETOOTH网络或IEEE 802.15网络)、电话或电缆网、蜂窝式电话连接、卫星数据连接、或任何其它适当连接来间接地提供此类连接。

    在某些实施例中，通信接口322还可以表示被配置为经由外部总线或通信信道以便于计算系统310与一个或多个附加网络或存储设备之间的通信的主机适配器。主机适配器的示例包括但不限于SCSI主机适配器、USB主机适配器、IEEE 1394主机适配器、SATA和eSATA主机适配器、ATA和PATA主机适配器、光纤信道接口适配器、以太网适配器等。通信接口322还可以允许计算系统310参与分布式或远程计算。例如，通信接口322可以从远程设备接收指令或向远程设备发送用于执行的指令。在某些实施例中，通信接口322可以执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。通信接口322还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。

    如图3所示，计算系统310还可以包括经由显示适配器326耦合到通信基础设施312的至少一个显示设备324。显示设备324一般表示能够在视觉上显示由显示适配器326转发的信息的任何类型或形式的设备。类似地，显示适配器326一般表示被配置为转发来自通信基础设施312(或来自如本领域中所已知的帧缓冲器)的用于在显示设备324上显示的图形、文本、及其它数据的任何类型或形式的设备。

    如图3所示，示例性计算系统310还可以包括经由输入接口330耦合到通信基础设施312的至少一个输入设备328。输入设备328一般表示能够向示例性计算系统310提供计算机或人类生成的输入的任何类型或形式的输入设备。输入设备328的示例包括但不限于键盘、指示设备、语音识别设备、或任何其它设备。在至少一个实施例中，输入设备328可以执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。输入设备328还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。

    如图3所示，示例性计算系统310还可以包括经由存储接口334耦合到通信基础设施312的主存储设备332和备份存储设备333。存储设备332和333一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。例如，存储设备332和333可以是磁盘驱动器(例如，所谓的硬盘驱动器)、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等。存储接口334一般表示用于在存储设备332和333与计算系统310的其它组件之间传送数据的任何类型或形式的接口或设备。

    在某些实施例中，存储设备332和333可以被配置为从可移动存储单元读取和/或写入可移动存储单元，所述可移动存储单元被配置为存储计算机软件、数据、或其它计算机可读信息。适合的可移动存储单元的示例包括但不限于软盘、磁盘、光盘、闪速存储设备等。存储设备332和333还可以包括用于允许将计算机软件、数据、或其它计算机可读指令加载到计算系统310中的其它类似结构或设备。例如，存储设备332和333可以被配置为读取和写入软件、数据、或其它计算机可读信息。存储设备332和333可以是计算系统310的一部分或者可以是通过其它接口系统来访问的单独设备。

    在某些实施例中，可以将在此所公开的示例性文件系统存储在主存储设备332上，同时可以将在此所公开的示例性文件系统备份存储在备份存储设备333上。存储设备332和333还可以用于执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用来例如单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。存储设备332和333还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。

    可以将许多其它设备或子系统连接到计算系统310。相反，并不是图4所示的所有组件和设备都需要出现以实施本文所述和/或所示的实施例。以上参考的设备和子系统还可以以不同于图3所示的方式互连。计算系统310还可以采用任何数目的软件、固件、和/或硬件配置。例如，可以将在此所公开的一个或多个示例性实施例编码为计算机可读介质上的计算机程序(也称为计算机软件、软件应用、计算机可读指令、或计算机控制逻辑)。短语“计算机可读介质”通常指能够存储或承载计算机可读指令的任何形式的设备、载体、或介质。计算机可读介质的示例包括但不限于诸如载波的传输型介质、以及诸如磁存储介质(例如硬盘驱动器和软盘)、光学存储介质(例如CD或DVD-ROM)、电子存储介质(例如固态驱动器和闪速介质)的物理介质、及其它分布系统。

    可以将包含计算机程序的计算机可读介质加载到计算系统310中。然后可以将存储在计算机可读介质上的所有或一部分计算机程序存储在系统存储器316和/或存储设备332和333的各部分中。当被处理器314执行时，被加载到计算系统310中的计算机程序可以使得处理器314执行在此所描述的和/或所示的一个或多个示例性实施例的功能和/或作为用于执行在此所描述的和/或所示的一个或多个示例性实施例的功能的装置。另外地或可替换地，可以以固件和/或硬件来实现在此所描述的和/或所示的一个或多个示例性实施例。例如，计算系统310可以被配置为适合于实现在此所公开的一个或多个示例性实施例的专用集成电路(ASIC)。

    图4是其中客户端系统410、420、和430及服务器440和445可以被耦合到网络450的示例性网络架构400的方框图。客户端系统410、420、和430一般表示任何类型或形式的计算设备或系统，诸如图3所示的示例性计算系统310。类似地，服务器440和445一般表示诸如应用服务器或数据库服务器等的被配置为提供各种数据库服务和/或运行某些软件应用的计算设备或系统。网络450一般表示任何电信或计算机网络；包括例如企业内部网、广域网(WAN)、局域网(LAN)、个域网(PAN)、或因特网。

    如图4所示，可以将一个或多个存储设备460(1)-(N)直接附连到服务器440。类似地，可以将一个或多个存储设备470(1)-(N)直接附连到服务器445。存储设备460(1)-(N)和存储设备470(1)-(N)一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。在某些实施例中，存储设备460(1)-(N)和存储设备470(1)-(N)可以表示被配置为使用诸如NFS、SMB、或CIFS等各种协议来与服务器440和445通信的网络连接存储(NAS)设备。

    还可以将服务器440和445连接到存储区域网络(SAN)构架(fabric)480。SAN构架480一般表示能够便于多个存储设备之间的通信的任何类型或形式的计算机网络或架构。SAN构架480可以便于服务器440和445与多个存储设备490(1)-(N)和/或智能存储阵列495之间的通信。SAN构架480还可以经由网络450及服务器440和445以设备490(1)-(N)和阵列495表现为局部地附连到客户端系统410、420、和430的设备的方式来便于客户端系统410、420和430与存储设备490(1)-(N)和/或智能存储阵列495之间的通信。如同存储设备460(1)-(N)和存储设备470(1)-(N)一样，存储设备490(1)-(N)和智能存储阵列495一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。

    在某些实施例中及参照图3的示例性计算系统310，可以使用诸如图3中的通信接口322的通信接口来提供每个客户端系统410、420、和430与网络450之间的连接。客户端系统410、420、和430能够使用例如网页浏览器或其它客户端软件来访问服务器440或445上的信息。此类软件可以允许客户端系统410、420、和430访问由服务器440、服务器445、存储设备460(1)-(N)、存储设备470(1)-(N)、存储设备490(1)-(N)、或智能存储阵列495操管(host)的数据。虽然图4描绘了使用网络(诸如因特网)来交换数据，但在此所描述和/或所示的实施例不限于因特网或任何特定的基于网络的环境。

    在至少一个实施例中，可以将在此所公开的一个或多个示例性实施例中的全部或部分编码为计算机程序并加载到服务器440、服务器445、存储设备460(1)-(N)、存储设备470(1)-(N)、存储设备490(1)-(N)、智能存储阵列495、或其任何组合上并由其执行。还可以将在此所公开的一个或多个示例性实施例中的全部或部分编码为计算机程序、存储在服务器440中、由服务器445来运行、并通过网络450分发到客户端系统410、420、和430。因此，网络架构400可以执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。网络架构400还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。

    如上所述，在此所述的一个或多个系统可以执行在此所描述的和/或所示的一个或多个示例性实施例和/或作为用于单独地或与其它元件相结合地执行在此所描述的和/或所示的一个或多个示例性实施例的装置。例如，在此所描述的系统可以执行用于基于与感兴趣事件相关的场境元数据来确定是否执行实时文件扫描的方法，包括1)检测感兴趣事件，2)识别与所述感兴趣事件相关的至少一个文件，3)访问与所述感兴趣事件相关的场境元数据，4)访问包括标准的至少一个规则，所述标准用于基于所述感兴趣事件和所述场境元数据来确定是否对文件执行安全扫描，以及随后5)通过应用所述规则来确定是否对文件执行安全扫描。

    所述感兴趣事件可以表示打开文件的尝试、关闭文件的尝试、或对由安全供应商提供的病毒定义集的更新。另外，所述场境元数据可以包括关于文件的信息和/或关于与文件相关的至少一个应用的信息。

    关于文件的信息可以包括识别文件名、文件路径名、文件类型、文件创建日期、文件最后修改日期、文件的散列、文件已被读取或修改的次数、已经读取或修改文件的应用、文件的使用行为、先前对文件执行的安全扫描的结果、或任何其它潜在的有用信息的信息。类似地，关于与文件相关的应用的信息可以包括应用名称、与应用相关的进程、应用的使用行为、应用是否是门户、应用是否产生网络活动、应用是否包含已知的漏洞、或任何其它可能有用的信息。

    所述规则可以表示一般文件规则、一般应用规则、识别文件的可接受使用行为的文件类型专用规则、或识别与文件相关的应用的可接受使用行为的应用专用规则。所述规则还可以包括用于基于场境元数据来确定在执行安全扫描时要应用于文件的监查水平。

    在某些实施例中，访问场境元数据可以包括从场境元数据数据库中检索场境元数据。类似地，访问规则可以包括从规则数据库检索规则。另外，所述方法可以进一步包括对文件执行安全扫描并随后基于安全扫描的结果来确定是否对文件执行安全操作。所述安全操作可以表示要阻止文件、隔离文件、删除文件、或者向用户或安全供应商发送将文件识别为安全风险的通知的操作。

    在某些实施例中，所述方法可以进一步包括基于安全扫描的结果来更新场境元数据。在某些实施例中，对文件执行安全扫描可以包括确定文件的一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配、确定文件是否触发由安全供应商提供的恶意件检测探试(heuristic)、和/或在虚拟环境内执行文件。

    虽然前述公开使用特定的方框图、流程图、以及示例阐述了各种实施例，但可以使用大范围的硬件、软件、或固件(或其任何组合)配置来单独地和/或共同地实现在此所描述的和/或所示的每个方框图组件、流程图步骤、操作、和/或组件。另外，应将包含在其它组件内的组件的任何公开视为本质上是示例性的，因为可以实现许多其它架构以达到相同的功能。

    在此所描述的和/或所示的进程参数和步骤序列仅仅以示例的方式给出且可以根据需要而改变。例如，虽然按照特定的顺序示出或讨论了在此所示和/或所描述的步骤，但这些步骤不一定需要按照所示或所讨论的顺序来执行。在此所描述的和/或所示的各种示例性方法还可以省略在此所描述的或所示的一个或多个步骤或包括除那些公开的步骤之外的附加步骤。

    此外，虽然在此已经在全功能计算系统的场境中描述和/或示出了各种实施例，但可以以各种形式将这些示例性实施例中的一个或多个作为程序产品来分发，而不管用来实际执行分发的计算机可读介质的特定类型如何。还可以使用执行某些任务的软件模块来实现在此所公开的实施例。这些软件模块可以包括可以存储在计算机可读存储介质上或计算系统中的脚本、程序组(batch)、或其它可执行文件。在某些实施例中，这些软件模块可以将计算系统配置为执行在此所公开的一个或多个示例性实施例。

    已经提供了前述说明以使得本领域的其他技术人员能够最好地利用在此所公开的示例性实施例的各种方面。本示例性说明并不意在是排他性的或局限于所公开的任何精确形式。在不脱离本公开的精神和范围的情况下可以进行许多修改和变化。应从说明性而非限制性的方面来考虑在此所公开的实施例。确定本公开的范围时应对随附权利要求及其等价物进行参考。

    除非另有说明，在本说明书和权利要求中不带数量词的项应被理解为意指“至少一个”项。另外，为了便于使用，本说明书和权利要求中使用的术语“包括”和“具有”可与词语“包含”互换使用并具有与之相同的意义。