專利名稱:使用文件流行程度通知行為試探的攻擊性的制作方法
技術(shù)領(lǐng)域:
本披露總體上涉及計(jì)算機(jī)安全,并且更具體地涉及使用文件的流行程度來(lái)通知相 應(yīng)的行為試探性惡意軟件檢測(cè)的攻擊性。
背景技術(shù):
系統(tǒng)用來(lái)檢測(cè)(及因此消除)惡意軟件(例如病毒、蠕蟲(chóng)、特洛伊木馬、間諜軟件 等)。這種惡意軟件檢測(cè)系統(tǒng)典型地通過(guò)使用靜態(tài)位簽名和/或試探對(duì)惡意軟件進(jìn)行來(lái)工 作?;陟o態(tài)位簽名的惡意軟件檢測(cè)涉及對(duì)已知惡意軟件中的特定位級(jí)模式(簽名)進(jìn)行 識(shí)別。然后對(duì)文件進(jìn)行掃描以確定它們是否包含該簽名。當(dāng)使用靜態(tài)文件簽名識(shí)別惡意軟 件時(shí),判罪的確定性較高。然而,通過(guò)改變內(nèi)容可以規(guī)避基于簽名的檢測(cè)。簽名的作用變得 越來(lái)越小,因?yàn)閻阂廛浖淖髡咴诓倏v他們的惡意軟件上變得更精通以避免基于簽名的檢 測(cè)。試探性惡意軟件檢測(cè)涉及通過(guò)應(yīng)用多種基于決定的規(guī)則或權(quán)衡方法確定一個(gè)給 定的文件是惡意軟件的可能性。試探性分析在許多情況下可以產(chǎn)生有用的結(jié)果,但沒(méi)有其 正確性的數(shù)學(xué)證據(jù)。在靜態(tài)文件試探中,文件的內(nèi)容是試探性地分析的。在基于行為的試 探中,程序的行為是試探性地分析的。兩種方法都涉及用一組樣本惡意軟件訓(xùn)練一個(gè)試探 性分析器并且清潔文件,以便其對(duì)相互關(guān)聯(lián)的內(nèi)容的類型或行為進(jìn)行總結(jié)。通過(guò)定義,使用 試探性分析對(duì)被懷疑的惡意軟件進(jìn)行識(shí)別從來(lái)都不是完全確定的,因?yàn)樵囂叫苑治鰞H確定 文件是清潔或惡意的可能性?;谠囂降奈募凶锏男判倪M(jìn)一步面臨以下事實(shí)訓(xùn)練設(shè)置 難于定義并且總是不同于真實(shí)世界設(shè)置?;谛袨榈膼阂廛浖z測(cè)的一個(gè)主要缺點(diǎn)是誤報(bào)。由于試探性分析中的固有不確 定性,存在將以疑似惡意的方式作用的非惡意文件判罪的可能。錯(cuò)誤地將清潔的文件列為 惡意是有問(wèn)題的,因?yàn)槠涑3?dǎo)致合法的、可能重要的內(nèi)容被阻斷。為解決該問(wèn)題,常常拒 絕使用的試探的攻擊性,以便降低誤報(bào)率。遺憾地是,降低試探的攻擊性伴隨地促使被檢測(cè) 的正報(bào)率也下降。換言之,通過(guò)使用較弱的試探,惡意文件更可能被錯(cuò)誤地分類為清潔的并 且傳遞給用戶。追蹤電子數(shù)據(jù)從其中產(chǎn)生的來(lái)源的聲譽(yù)是用來(lái)識(shí)別惡意軟件的另一種技術(shù)。例 如,可以追蹤電子郵件地址和域名的聲譽(yù)來(lái)識(shí)別可信賴與潛在惡意的電子郵件地址發(fā)送者 和文件簽名。當(dāng)特定的文件的來(lái)源是眾所周知時(shí),基于聲譽(yù)的文件分類會(huì)是有效的。隨著 時(shí)間的推移,在起源于一個(gè)來(lái)源的很多電子內(nèi)容中,該來(lái)源的聲譽(yù)可以被秘密地評(píng)估并用 來(lái)屏蔽或傳遞內(nèi)容。遺憾地是,基于聲譽(yù)的文件分類在低流行范圍內(nèi)評(píng)估來(lái)源具有困難。解決這些問(wèn)題是令人期望的。
發(fā)明內(nèi)容
一種試探性攻擊性管理系統(tǒng)基于目標(biāo)文件的流行率來(lái)調(diào)節(jié)在基于行為的試探性 惡意軟件檢測(cè)中使用的攻擊性級(jí)別。例如,基于來(lái)自一個(gè)聲譽(yù)追蹤或惡意軟件檢測(cè)系統(tǒng)的輸入,確定一個(gè)有待接受基于行為的試探性分析的文件的流行率。響應(yīng)于所確定的文件的流行率,調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級(jí)別。更具體地,對(duì)于較低流行性的文件將攻擊性級(jí)別設(shè)定到一個(gè)更高的級(jí)別,而對(duì)于較高流行性的文件則設(shè)定到一個(gè)更低的級(jí)別。在一個(gè)實(shí)施方案中,對(duì)不同的流行率的文件設(shè)定誤報(bào)容忍級(jí)別,并且基于接受者操作特征的分析用來(lái)設(shè)定對(duì)應(yīng)的攻擊性級(jí)別。使用該設(shè)定的攻擊性級(jí)別,將基于行為的試探性分析應(yīng)用到該文件。例如,響應(yīng)于正在使用的攻擊性級(jí)別,這會(huì)涉及在文件的基于行為的試探性分析過(guò)程中改變文件屬性的處理和/或測(cè)量不同的文件屬性。除了設(shè)定攻擊性級(jí)別之外,在一些實(shí)施方案中,試探性分析還包括將較低流行性的文件動(dòng)態(tài)地權(quán)衡為更可能是惡意的,以及將較高流行性的文件動(dòng)態(tài)地權(quán)衡為更可能是合法的。根據(jù)所應(yīng)用的基于行為的試探性分析,確定該文件是否包括惡意軟件。若確定該文件不包括惡意軟件,則允許正常的文件處理按期望進(jìn)行。另一方面,若確定該文件包括惡意軟件,則采取附加的步驟,如阻斷該文件、刪除該文件、隔離該文件和/或?qū)υ撐募⒍?。在本概述中以及在以下的詳?xì)說(shuō)明中說(shuō)明的這些特征及優(yōu)點(diǎn)并不是包攬無(wú)遺的,并且具體地講,通過(guò)參看本發(fā)明的附圖、說(shuō)明書(shū)、以及權(quán)利要求書(shū),很多額外的特征和優(yōu)點(diǎn)對(duì)相關(guān)領(lǐng)域的普通技術(shù)人員將變得清楚。另外,應(yīng)該注意到本說(shuō)明書(shū)中所使用的語(yǔ)言的選 擇主要是為了易讀性和指導(dǎo)性的目的,并且也許不是被選用為描繪或限制本發(fā)明的主題,對(duì)于確定這種發(fā)明主題必須求助于權(quán)利要求書(shū)。
圖I是根據(jù)一些實(shí)施方案的一種示例性網(wǎng)絡(luò)架構(gòu)的框圖,其中可以實(shí)施一種試探性攻擊性管理系統(tǒng)。圖2是根據(jù)一些實(shí)施方案適用于實(shí)施一種試探性攻擊性管理系統(tǒng)的計(jì)算機(jī)系統(tǒng)的框圖。圖3是根據(jù)一些實(shí)施方案的一種試探性攻擊性管理系統(tǒng)的操作的框圖。這些圖示僅為展示的目的描繪了多個(gè)實(shí)施方案。本領(lǐng)域的普通技術(shù)人員將容易地從以下說(shuō)明中認(rèn)識(shí)至IJ,可以使用在此所展示的這些結(jié)構(gòu)以及方法的替代實(shí)施方案而不背離在此說(shuō)明的原理。
具體實(shí)施例方式圖I是一個(gè)框圖,示出了一種示例性網(wǎng)絡(luò)架構(gòu)100,其中可以實(shí)施一種試探性攻擊性管理系統(tǒng)101。該示出的網(wǎng)絡(luò)架構(gòu)100包括多個(gè)客戶端103A、103B和103N,以及多個(gè)服務(wù)器105A和105N。在圖I中,試探性攻擊性管理系統(tǒng)101如圖所示駐存在客戶端103A上。應(yīng)理解這僅是一個(gè)示例,在多種實(shí)施方案中該系統(tǒng)101的多種功能可以在客戶端103、服務(wù)器105上實(shí)例化,或可以分布在多個(gè)客戶端103和/或服務(wù)器105之間。如在圖2中所示和下文描述的計(jì)算機(jī)系統(tǒng)210可以用來(lái)實(shí)施客戶端103和服務(wù)器105。例如通過(guò)下文結(jié)合圖2描述的網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247,客戶端103和服務(wù)器105可以通信性地連接到網(wǎng)絡(luò)107上??蛻舳?03例如可以使用網(wǎng)頁(yè)瀏覽器或其他的客戶端軟件(未示出)訪問(wèn)服務(wù)器105上的申請(qǐng)者和/或數(shù)據(jù)。盡管圖I示出了三個(gè)客戶端和兩個(gè)服務(wù)器作為一個(gè)示例,在實(shí)踐中可以部署更多個(gè)客戶端103和/或服務(wù)器105。在一個(gè)實(shí)施方案中,網(wǎng)絡(luò)107是互聯(lián)網(wǎng)的形式。在其他的實(shí)施方案中可以使用其他的網(wǎng)絡(luò)107或基于網(wǎng)絡(luò)的環(huán)境。圖2是一個(gè)框圖,展示了一種適用于實(shí)施試探性攻擊性管理系統(tǒng)101的計(jì)算機(jī)系統(tǒng)210??梢杂眠@種形式的計(jì)算機(jī)系統(tǒng)210實(shí)施客戶端103和服務(wù)器105。如圖所示,計(jì)算機(jī)系統(tǒng)210的一個(gè)組件是總線212??偩€212通信性地連接到計(jì)算機(jī)系統(tǒng)210的其他組件上,如至少一個(gè)處理器214、系統(tǒng)存儲(chǔ)器217 (例如隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、閃存存儲(chǔ)器)、輸入/輸出(I/O)控制器218 ;通信性地連接到外部音頻裝置如揚(yáng)聲器系統(tǒng)220的音頻輸出接口 222上;通信性地連接到外部視頻輸出裝置如顯示屏224的顯示適配器226、一個(gè)或多個(gè)接口如串行端口 230、通用串行總線(USB)插口 230、并行端口(未示出)等等上;通信性地連接到鍵盤(pán)232的鍵盤(pán)控制器233上;通信性地連接到至少一個(gè)硬盤(pán)244 (或其他形式)的存儲(chǔ)接口 234、配置為接收軟盤(pán)238的軟盤(pán)驅(qū)動(dòng)237、配置為連接光纖通道(FC)網(wǎng)絡(luò)290的主機(jī)總線適配器(HBA)接口卡235A、配置為連接到SCSI總線239的HBA接口卡235B、配置為接收光盤(pán)242的光盤(pán)驅(qū)動(dòng)240、例如通過(guò)USB插口 228連接到總線212的鼠標(biāo)246 (或其他的指點(diǎn)裝置)、例如通過(guò)串行端口 230連接到總線212的調(diào)制解調(diào)器247、及直接連接到總線212的網(wǎng)絡(luò)接口 248上。 其他的組件(未示出)能夠以類似的方式連接(例如,文件掃描儀、數(shù)碼相機(jī)、打印機(jī)等)。相反,圖2中所示的所有組件不需要出現(xiàn)。這些組件和子系統(tǒng)能夠以不同于圖2中示出的方式互相連接??偩€212允許在處理器214和系統(tǒng)存儲(chǔ)器217之間的數(shù)據(jù)通信,這如上所述可以包括ROM和/或閃存存儲(chǔ)器以及RAM。RAM典型地是加載操作系統(tǒng)和應(yīng)用程序的主存儲(chǔ)器。ROM和/或閃存存儲(chǔ)器可以包括(除其他的代碼以外)控制特定基本硬件操作的基本輸入輸出(BIOS)系統(tǒng)。應(yīng)用程序可以存儲(chǔ)在本地計(jì)算機(jī)可讀媒質(zhì)上(例如硬盤(pán)244、光盤(pán)242)并加載到系統(tǒng)存儲(chǔ)器217中并由處理器214執(zhí)行。應(yīng)用程序還可以例如通過(guò)網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247從遠(yuǎn)程位置(即遠(yuǎn)程定位的計(jì)算機(jī)系統(tǒng)210)加載到系統(tǒng)存儲(chǔ)器217中。在圖2中,試探性攻擊性管理系統(tǒng)101如圖所示駐存在系統(tǒng)存儲(chǔ)器217中。以下將結(jié)合圖3更詳細(xì)地描述試探性攻擊性管理系統(tǒng)101的工作。存儲(chǔ)接口 234連接到一個(gè)或多個(gè)硬盤(pán)244 (和/或其他的標(biāo)準(zhǔn)存儲(chǔ)媒質(zhì))上。硬盤(pán)244可以是計(jì)算機(jī)系統(tǒng)210的一部分或者可以是物理上分離的并且通過(guò)其他接口系統(tǒng)可訪問(wèn)的。網(wǎng)絡(luò)接口 248和/或調(diào)制解調(diào)器247可以直接或間接通信性地連接到網(wǎng)絡(luò)107(如互聯(lián)網(wǎng))上。這種連接可以是有線或無(wú)線的。 圖3示出了根據(jù)一些實(shí)施方案駐存在計(jì)算機(jī)系統(tǒng)210的系統(tǒng)存儲(chǔ)器217中的一個(gè)試探性攻擊性管理系統(tǒng)101的操作。如上所述,試探性攻擊性管理系統(tǒng)101的功能可以駐存在客戶端103、服務(wù)器105中或可以分布在多個(gè)計(jì)算機(jī)系統(tǒng)210之間,包括在基于云的計(jì)算環(huán)境內(nèi),其中試探性攻擊性管理系統(tǒng)101的功能被提供為網(wǎng)絡(luò)107上的一種服務(wù)。應(yīng)理解盡管試探性攻擊性管理系統(tǒng)101如圖3所示作為一個(gè)單一的實(shí)體,所示的試探性攻擊性管理系統(tǒng)101代表一組功能,如所希望的這可以作為單個(gè)或多個(gè)模塊實(shí)例化(試探性攻擊性管理系統(tǒng)101的多個(gè)特定模塊的實(shí)例化如圖3所示)。應(yīng)理解試探性攻擊性管理系統(tǒng)101的這些模塊可以在任何計(jì)算機(jī)系統(tǒng)210的系統(tǒng)存儲(chǔ)器217 (例如RAM、ROM、閃存存儲(chǔ)器)內(nèi)實(shí)例化(例如作為目標(biāo)代碼或可執(zhí)行的圖片),以便當(dāng)計(jì)算機(jī)系統(tǒng)210的處理器214處理一個(gè)模塊時(shí),計(jì)算機(jī)系統(tǒng)210執(zhí)行相關(guān)的功能。如本文中使用,術(shù)語(yǔ)“計(jì)算機(jī)系統(tǒng)”、“計(jì)算機(jī)”、“客戶端”、“客戶端計(jì)算機(jī)”、“服務(wù)器”、“服務(wù)器計(jì)算機(jī)”及“計(jì)算裝置”是指配置和/或編程為執(zhí)行所描述的功能的一個(gè)或多個(gè)計(jì)算機(jī)。此外,實(shí)施試探性攻擊性管理系統(tǒng)101的功能的程序代碼可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)上。任何形式的有形的計(jì)算機(jī)可讀媒質(zhì)可在此背景下使用,例如磁性的或光學(xué)存儲(chǔ)媒質(zhì)。如在此所使用的,術(shù)語(yǔ)“計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)”不意味著電氣信號(hào)與底層物理媒質(zhì)分離。如在圖3中所示,試探性攻擊性管理系統(tǒng)101的攻擊性調(diào)節(jié)模塊301調(diào)節(jié)滑動(dòng)的行為試探攻擊性級(jí)別303,作為正在檢查的目標(biāo)文件305的場(chǎng)內(nèi)流行率309的一個(gè)功能??傊?,高度流行的惡意軟件321傾向于在適當(dāng)?shù)臅r(shí)候被檢測(cè)到。換言之,一旦一個(gè)特定的惡意軟件305廣泛分布,惡意軟件檢測(cè)系統(tǒng)傾向于對(duì)其進(jìn)行識(shí)別。一旦廣泛分布的 惡意軟件321被識(shí)別到,惡意軟件檢測(cè)系統(tǒng)可以創(chuàng)建并使用一個(gè)對(duì)應(yīng)的簽名以便識(shí)別并且阻斷它。低流行度惡意軟件321較少可能被識(shí)別和簽名,因此更加依賴其他的檢測(cè)方法,如基于行為的試探性分析。對(duì)于這些原因,如在下文詳細(xì)描述,攻擊性調(diào)節(jié)模塊301增加攻擊性級(jí)別303,以其在較低流行性的文件305上進(jìn)行基于行為的試探性分析,并且降低對(duì)較高流行性的文件305的攻擊性級(jí)別303。如圖3中所示,流行度確定模塊307確定根據(jù)有待接受用于軟件321的檢測(cè)的基于行為的試探性分析的文件305的流行率309。在一個(gè)實(shí)施方案中,如圖所示,流行度確定模塊307從一個(gè)聲譽(yù)追蹤模塊311收集該信息。典型地,與惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的聲譽(yù)追蹤模塊311使用聲譽(yù)追蹤,并且因此能夠訪問(wèn)聲譽(yù)追蹤數(shù)據(jù)313的一個(gè)廣泛基礎(chǔ)以及識(shí)別多個(gè)文件305的場(chǎng)內(nèi)流行率309的信息。在其他的實(shí)施方案中,流行度確定模塊307基于來(lái)自不同來(lái)源的輸入確定流行率309,如具有從分布在場(chǎng)景中的多個(gè)客戶端代理(未示出)編寫(xiě)的數(shù)據(jù)的一個(gè)中央惡意軟件檢測(cè)系統(tǒng)庫(kù)(未示出)。應(yīng)理解流行度確定模塊307具體地并且試探性攻擊性管理系統(tǒng)101和基于行為的試探性分析總體上可以但不需要是也利用其他技術(shù)(例如基于簽名的分析、聲譽(yù)追蹤)來(lái)檢測(cè)并管理惡意軟件的較大的惡意軟件檢測(cè)系統(tǒng)的一部分。如通過(guò)流行度確定模塊307確定,攻擊性調(diào)節(jié)模塊301調(diào)節(jié)攻擊性級(jí)別303,以其基于它們關(guān)聯(lián)的流行率309對(duì)單個(gè)文件305進(jìn)行基于行為的試探性分析。攻擊性303的最高級(jí)別用于單個(gè)文件305(例如流行度確定模塊307以前未見(jiàn)過(guò)的文件305)。如上所解釋,攻擊性303的更高的級(jí)別導(dǎo)致更高的正報(bào)率,由于在檢測(cè)它們的潛在的惡意的其他方式中的困難,這對(duì)于較低流行性的文件305是令人期望的。攻擊性303的更高的級(jí)別傾向于導(dǎo)致更高的誤報(bào)率。因此,由于文件305的流行率309增加,攻擊性調(diào)節(jié)模塊301相應(yīng)地降低攻擊性303的級(jí)別以使用。應(yīng)理解改變攻擊性303的級(jí)別可以影響在基于行為的試探性分析中如何處理文件屬性的特定的組合,以及潛在地測(cè)量哪些屬性。本領(lǐng)域普通技術(shù)人員應(yīng)知道在攻擊性303的不同的級(jí)別進(jìn)行基于行為的試探性分析的實(shí)施結(jié)構(gòu),并且本領(lǐng)域技術(shù)人員根據(jù)本公開(kāi)將更容易理解它們?cè)诿枋龅膶?shí)施方案中的內(nèi)容內(nèi)的使用。一旦攻擊性調(diào)節(jié)模塊301設(shè)定攻擊性303的級(jí)別基于其流行率309用于一個(gè)特定的文件305,一個(gè)基于行為的試探性分析模塊315使用該攻擊性級(jí)別303應(yīng)用基于行為的試探性分析以確定該文件是否包括惡意軟件321。應(yīng)理解基于哪個(gè)特定的文件流行率309應(yīng)用攻擊性303的什么特定的級(jí)別是一個(gè)可變的設(shè)計(jì)參數(shù)。策劃誤報(bào)率與正報(bào)率的傳統(tǒng)的接受者操作特征(ROC)可以測(cè)量惡意軟件321的基于試探性行為的檢測(cè)。假設(shè)誤報(bào)率被認(rèn)為是可容忍的,基于傳統(tǒng)的ROC分析可以用來(lái)計(jì)算一個(gè)對(duì)應(yīng)的正報(bào)率。在一個(gè)實(shí)施方案中,容忍級(jí)別設(shè)定模塊323對(duì)在不同流行率309的文件305設(shè)定誤報(bào)容忍級(jí)別325,并且一個(gè)ROC分析模塊317確定對(duì)應(yīng)的攻擊性級(jí)別303,該攻擊性調(diào)節(jié)模塊301將用于這些文件305的攻擊性303的級(jí)別設(shè)定到此。應(yīng)理解通過(guò)容忍級(jí)別設(shè)定模塊323設(shè)定的誤報(bào)容忍級(jí)別325可以是可變的設(shè)計(jì)參數(shù)。假定對(duì)誤報(bào)的一致容忍,其中攻擊性調(diào)節(jié)模塊301基于流行率309調(diào)節(jié)攻擊性級(jí)別303,ROC在每個(gè)流行率309上是不同的,因此在不同的流行率309上導(dǎo)致不同的正報(bào)率。如上所解釋的,因?yàn)檩^低流行性的文件305更可能是惡意的,因此所檢測(cè)的對(duì)應(yīng)的正報(bào)較少可能是誤報(bào)。因此,實(shí)際的正報(bào)率在低流行范圍中更高。一個(gè)流行度權(quán)衡模塊319也可以將低流行度文件305動(dòng)態(tài)地權(quán)衡為被分類為惡意的。換言之,該流行度權(quán)衡模塊319可以調(diào)節(jié)在特定文件305的基于行為的試探性分析中 的使用的一個(gè)動(dòng)態(tài)屬性以便促使具有更高流行率309的文件305更傾向于被認(rèn)為是非惡意的以及具有更低流行率309的文件305更傾向于被認(rèn)為是惡意的,與使用的硬性限制相反。總之,基于行為的試探性分析模塊315分析單個(gè)文件305以確定它們是否包括使用根據(jù)每個(gè)分析的文件305的流行率309調(diào)節(jié)的攻擊性級(jí)別303的惡意軟件321。如上所述,基于行為的試探性分析模塊315也可以使用將較低流行性的文件305權(quán)衡到被分類為惡意的試探性屬性。這些技術(shù)提高了在低流行惡意軟件321的更困難的領(lǐng)域中的檢測(cè),并且提供了在不同的文件305的不同流行率309下在誤報(bào)率和正報(bào)率之間的平衡。應(yīng)理解被判斷為合法327對(duì)文件305可以由計(jì)算機(jī)系統(tǒng)210按照期望處理,而確定為惡意軟件321的文件可以被阻斷、隔離、殺毒或根據(jù)傳統(tǒng)的反惡意軟件功能處理。如熟悉本領(lǐng)域技術(shù)的人們將會(huì)理解的,本發(fā)明能夠以多種其他具體的形式來(lái)實(shí)施而不背離其精神或本質(zhì)性特征。同樣,這些部分、模塊、代理器、管理器、部件、功能、過(guò)程、動(dòng)作、層、特征、屬性、方法以及其他方面的特定的命名以及劃分不是強(qiáng)制性的或有重要意義的,并且實(shí)施本發(fā)明或其特征的機(jī)理可以具有不同的名稱、劃分和/或形式。為了解釋的目的,已經(jīng)參照具體實(shí)施方案對(duì)前述說(shuō)明作出了描述。但是,這些示意性的說(shuō)明并不旨在窮舉或者將本發(fā)明限制在所披露的準(zhǔn)確形式。鑒于以上傳授內(nèi)容,許多修改與變形都是可能的。為了最好地解釋本發(fā)明的原理及其實(shí)際應(yīng)用,選擇并說(shuō)明了這些實(shí)施方案,從而使得本領(lǐng)域的其他技術(shù)人員能夠最好地在作出或不作出可能適用于預(yù)期的具體用途的各種修改情況下利用不同實(shí)施方案。
權(quán)利要求
1.一種計(jì)算機(jī)實(shí)施的方法,該方法用于依據(jù)目標(biāo)文件的流行率來(lái)調(diào)節(jié)攻擊性級(jí)別以便用在基于行為的試探性惡意軟件檢測(cè)之中,該方法包括以下步驟 通過(guò)一個(gè)計(jì)算機(jī)來(lái)確定一個(gè)有待接受基于行為的試探性分析的文件的流行率,以便確定該文件是否包括惡意軟件; 通過(guò)一個(gè)計(jì)算機(jī)響應(yīng)于對(duì)該文件所確定的流行率來(lái)調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級(jí)別; 通過(guò)一個(gè)計(jì)算機(jī)使用該攻擊性級(jí)別來(lái)對(duì)該文件應(yīng)用基于行為的試探性分析;并且 通過(guò)一個(gè)計(jì)算機(jī)依據(jù)所應(yīng)用的基于行為的試探性分析來(lái)確定該文件是否包括惡意軟件。
2.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)來(lái)確定一個(gè)有待接受基于行為的試探性分析的文件的流行率以便確定該文件是否包括惡意軟件進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)基于與一個(gè)聲譽(yù)追蹤系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)來(lái)確定該文件的流行率。
3.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)來(lái)確定一個(gè)有待接受基于行為的試探性分析的文件的流行率以便確定該文件是否包括惡意軟件進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)基于與一個(gè)惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)來(lái)確定該文件的流行率。
4.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)來(lái)調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級(jí)別進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)對(duì)較低流行性的文件將該攻擊性級(jí)別設(shè)定到一個(gè)更高的級(jí)別,而對(duì)于較高流行性的文件則設(shè)定到一個(gè)更低的級(jí)別。
5.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)來(lái)調(diào)節(jié)在該文件的基于行為的試探性分析中使用的攻擊性級(jí)別進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)對(duì)處于不同流行率的多個(gè)文件設(shè)定多個(gè)誤報(bào)容忍級(jí)別;并且 通過(guò)一個(gè)計(jì)算機(jī)使用基于接受者操作特征的分析對(duì)具有不同的設(shè)定的誤報(bào)容忍級(jí)別的多個(gè)文件來(lái)設(shè)定多個(gè)對(duì)應(yīng)的攻擊性級(jí)別。
6.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)使用該攻擊性級(jí)別來(lái)對(duì)該文件應(yīng)用基于行為的試探性分析進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)響應(yīng)于該攻擊性級(jí)別在該文件的基于行為的試探性分析過(guò)程中來(lái)改變至少一些文件屬性的處理。
7.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)使用該攻擊性級(jí)別對(duì)該文件應(yīng)用基于行為的試探性分析進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)響應(yīng)于該攻擊性級(jí)別來(lái)確定在該文件的基于行為的試探性分析的過(guò)程中要測(cè)量哪些文件屬性。
8.如權(quán)利要求I所述的方法,進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)將較低流行性的文件動(dòng)態(tài)地權(quán)衡為更可能是惡意的并將較高流行性的文件動(dòng)態(tài)地權(quán)衡為更可能是合法的。
9.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)依據(jù)所應(yīng)用的基于行為的試探性分析來(lái)確定該文件是否包括惡意軟件進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)來(lái)確定該文件是合法的;并且 響應(yīng)于確定該文件是合法的,通過(guò)一個(gè)計(jì)算機(jī)來(lái)允許該文件的標(biāo)準(zhǔn)處理。
10.如權(quán)利要求I所述的方法,其中通過(guò)一個(gè)計(jì)算機(jī)依據(jù)所應(yīng)用的基于行為的試探性分析來(lái)確定該文件是否包括惡意軟件進(jìn)一步包括 通過(guò)一個(gè)計(jì)算機(jī)來(lái)確定該文件包括惡意軟件;并且 響應(yīng)于確定了該文件包括惡意軟件,通過(guò)一個(gè)計(jì)算機(jī)來(lái)執(zhí)行一組步驟中的至少一個(gè)附加的步驟,該組步驟由以下各項(xiàng)組成 阻斷該文件 刪除該文件; 隔離該文件;以及 對(duì)該文件殺毒。
11.至少一種計(jì)算機(jī)可讀存儲(chǔ)媒介,包含一個(gè)計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品基于目標(biāo)文件的流行率用于調(diào)節(jié)一個(gè)攻擊性級(jí)別以便用在基于行為的試探性惡意軟件檢測(cè)之中,該計(jì)算機(jī)程序產(chǎn)品包括 用于確定一個(gè)有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的程序代碼; 響應(yīng)于該文件所確定的流行率用于調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級(jí)別的程序代碼; 使用該攻擊性級(jí)別用于對(duì)該文件應(yīng)用基于行為的試探性分析的程序代碼;以及 依據(jù)所應(yīng)用的基于行為的試探性分析用于確定該文件是否包括惡意軟件的程序代碼。
12.如權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品,其中用于確定一個(gè)有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的程序代碼進(jìn)一步包括 基于與一個(gè)聲譽(yù)追蹤系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)用于確定該文件的流行率的程序代碼。
13.如權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品,其中用于確定一個(gè)有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的程序代碼進(jìn)一步包括 基于與一個(gè)惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)用于確定該文件的流行率的程序代碼。
14.如權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品,其中用于調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級(jí)別的程序代碼進(jìn)一步包括 用于對(duì)較低流行性的文件將該攻擊性級(jí)別設(shè)定到一個(gè)更高級(jí)別而對(duì)于較高流行性的文件設(shè)定到一個(gè)更低級(jí)別的程序代碼。
15.一種計(jì)算機(jī)系統(tǒng),該計(jì)算機(jī)系統(tǒng)基于目標(biāo)文件的流行率用于調(diào)節(jié)一個(gè)攻擊性級(jí)別來(lái)用在基于行為的試探性惡意軟件檢測(cè)中,該計(jì)算機(jī)系統(tǒng)包括 一個(gè)處理器; 計(jì)算機(jī)存儲(chǔ)器 用于確定一個(gè)有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的裝置; 響應(yīng)于該文件所確定的流行率用于調(diào)節(jié)攻擊性級(jí)別而用在對(duì)該文件的基于行為的試探性分析中的裝置; 使用該攻擊性級(jí)別用于對(duì)該文件應(yīng)用基于行為的試探性分析的裝置;以及 依據(jù)所應(yīng)用的基于行為的試探性分析用于確定該文件是否包括惡意軟件的裝置。
全文摘要
在此確定了一個(gè)有待接受基于行為的試探性分析的文件的流行率,并且響應(yīng)于這個(gè)流行率對(duì)在該分析中使用的攻擊性級(jí)別進(jìn)行調(diào)節(jié)。對(duì)于較低流行性的文件將這種攻擊性設(shè)定為更高的級(jí)別,而對(duì)于較高流行性的文件則設(shè)定到更低的級(jí)別。使用所設(shè)定的攻擊性級(jí)別,將基于行為的試探性分析應(yīng)用于該文件。除了設(shè)定攻擊性級(jí)別之外,這種試探性分析還可以包括將較低流行性的文件動(dòng)態(tài)地權(quán)衡為更可能是惡意的,而將較高流行性的文件動(dòng)態(tài)地權(quán)衡為這種可能較小的?;谒鶓?yīng)用的基于行為的試探性分析,確定了該文件是否包括惡意軟件。若確定該文件包括惡意軟件,可以采取適當(dāng)?shù)牟襟E,如對(duì)該文件進(jìn)行阻斷、刪除、隔離和/或殺毒。
文檔編號(hào)G06F11/00GK102713853SQ201080045700
公開(kāi)日2012年10月3日 申請(qǐng)日期2010年10月26日 優(yōu)先權(quán)日2009年10月26日
發(fā)明者J·陳, R·康拉德 申請(qǐng)人:賽門鐵克公司