以用户为中心的优先级策略

微软恶意软件防护中心 (MMPC) 的目标是让所有用户免受恶意软件的影响。我们的研究团队和自动化系统夜以继日地工作，力求实现此愿景。

攻击者制造的威胁数量还在不断增加。例如，上个月我们收集并分析了 2000 万个疑似恶意软件的新文件。这些文件中有 6% 属于恶意软件。为了检测出这 6% 的恶意软件，我们对大约 100,000 多个文件开发提取了特征码– 全部用于尽快地保护尽可能多的用户。这些新特征码阻止了 400 万个恶意软件对 300 万用户的感染，而我们已有的特征码则使另外 1100 万用户免受 7200 万个恶意软件感染。

我们的自动化系统可处理大量提交给 MMPC 的样本，并会针对新的恶意软件自动添加特征码。对于更多成熟的恶意软件系列，我们的研究人员还需要深入研究以攻克这些恶意软件系列所采用的用于避开我们的保护措施的新技术。Dorkbot 就是此类恶意软件系列的一个典型。上个月，我们保护了 729,000 个用户免受 Dorkbot 感染；但是，要不是我们足够快地分析了最新上传的文件并编写了 361 个新签名，就会有 70,000 用户受到 Dorkbot 的感染。

为了尽可能多、尽可能快地保护用户，每月我们都需要按照优先级分析 2000 万个新的可疑文件，这对我们是一个巨大的挑战。

我们的优先级策略是以用户为中心的。接着，我们依据来自超过 10 亿台用户计算机的数据来确定恶意软件的影响，同时还有数亿台用户计算机协助我们识别和收集新的恶意软件文件。由于我们可以清楚地了解到哪些恶意文件正影响着我们的用户，所以我们可以通过恶意文件在现实中感染率和影响的量化值确定我们响应过程的优先顺序。

反恶意软件行业有一个历史悠久的系统，用于共享收集到的恶意文件。我们会分析这些文件以优化我们自己的传感器，甚至当我们认为某些特征码能保护我们的用户免受其尚未遇到的威胁时，我们也会编写这些特征码。我们使用了一个用户影响评估过程，此过程会查询我们的传感器以在生态系统中查找相似的恶意文件，从而帮助我们做出决定。

由于这个以用户为中心的优先级策略一直主动而有效，因此只有在偶然的情况下，才会出现因为用户无法及时获得新特征码以阻止感染，而不得不采取补救措施。例如，上个月我们一小部分（1%）用户受到了这种情况的影响。尽管我们对自己所提供的保护服务水平感到自豪，但我们仍在通过优化我们的系统和传感器不断追求更好的结果，并继续在自动化和基于云的技术上进行投入，以便让我们可以更快地为我们的客户部署最新的保护。

我们认识到，我们的优先级策略可能不会与独立防病毒产品测试人员衡量我们工作有效性的方式始终保持一致。但我们坚信，通过遵循以用户为中心的优先级策略，我们能保护用户的安全。

Dennis Batchelder
Partner Program Manager

微软恶意软件防护中心