專利名稱:用于檢測(cè)惡意軟件和管理惡意軟件相關(guān)信息的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及計(jì)算機(jī)科學(xué)領(lǐng)域,具體而言涉及供不同安全應(yīng)用程序使用的用于檢測(cè)惡意軟件和管理惡意軟件相關(guān)信息的系統(tǒng)����、方法和計(jì)算機(jī)程序產(chǎn)品。
背景技術(shù):
日趨復(fù)雜且迅速擴(kuò)散的惡意的軟件�����,也被稱為惡意軟件(malware)�,給個(gè)人計(jì)算機(jī)、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)�����、個(gè)人通訊設(shè)備等帶來日益增加的安全威脅��。惡意的軟件通常以文件傳輸?shù)姆绞酵ㄟ^計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播,例如因特網(wǎng)�����、電子郵件或其它數(shù)據(jù)通訊工具��。為了打擊惡意軟件的傳播���,不同的安全軟件供應(yīng)商開發(fā)了各種各樣的計(jì)算機(jī)和網(wǎng)絡(luò)安全產(chǎn)品���,例如反病毒軟件、反間諜軟件��、反釣魚軟件��、反垃圾郵件軟件�、防火墻應(yīng)用程序。這些安全應(yīng)用程序采用不同的方法來檢測(cè)惡意軟件和其它威脅�����。例如��,簽名檢測(cè)技術(shù)利用從已知惡意軟件獲取的代碼模板來對(duì)代碼中的那些模板進(jìn)行對(duì)象掃描����。校驗(yàn)信息完整性的技術(shù)使用已知的可信任的(干凈的)程序的代碼并且利用其創(chuàng)建干凈程序代碼的拷貝用于后續(xù)的與應(yīng)用程序的對(duì)比。在操作系統(tǒng)更新之后�,信息完整性校驗(yàn)系統(tǒng)創(chuàng)建修改文件的長(zhǎng)列表。校驗(yàn)和(checksum)監(jiān)測(cè)系統(tǒng)使用循環(huán)冗余碼(cyclic redundancy code, CRC)值來確定程序文件的完整性和可靠性�。使用仿真技術(shù)在虛擬計(jì)算機(jī)環(huán)境中執(zhí)行可疑程序以檢測(cè)惡意行為。由于各種安全應(yīng)用程序是由不同的供應(yīng)商開發(fā)的�����,使用不同的惡意軟件檢測(cè)技術(shù)�,并且具有不同的數(shù)據(jù)通信和數(shù)據(jù)存儲(chǔ)格式,所以這些應(yīng)用程序通常不能彼此兼容�����。此外��,每個(gè)應(yīng)用程序都維護(hù)自身的惡意軟件數(shù)據(jù)庫�,供應(yīng)商定期采用有關(guān)最新的惡意軟件和其它威脅的信息來更新該數(shù)據(jù)庫。由于彼此不兼容���,這些安全產(chǎn)品不能與彼此共享與已經(jīng)檢測(cè)出的惡意軟件有關(guān)的信息����。例如,當(dāng)遇到新型惡意軟件或威脅���,但一種安全應(yīng)用程序并未檢測(cè)出該惡意軟件或威脅��,而另一種安全應(yīng)用程序卻已經(jīng)識(shí)別出該類惡意軟件時(shí)�����,共享與新威脅有關(guān)的信息將有助于阻止惡意軟件的傳播�����。因此����,需要改進(jìn)的系統(tǒng)來檢測(cè)和管理惡意軟件相關(guān)信息以及分配該信息給不同的安全應(yīng)用程序�。
發(fā)明內(nèi)容
本發(fā)明公開了用于集中檢測(cè)、存儲(chǔ)和管理惡意軟件相關(guān)信息以及分配該信息給不同的安全應(yīng)用程序的系統(tǒng)���、方法和計(jì)算機(jī)程序產(chǎn)品���。在一個(gè)示范性實(shí)施例中,集中安全管理系統(tǒng)包括安全信息的中央知識(shí)數(shù)據(jù)庫����,例如有關(guān)不同種類的惡意軟件和其它安全威脅的信息。該系統(tǒng)進(jìn)一步包括解釋器模塊��,該模塊提供多個(gè)定制的XML接口以接收和解析來自不同供應(yīng)商開發(fā)的遠(yuǎn)程安全應(yīng)用程序的信息查詢����。該系統(tǒng)進(jìn)一步包括多個(gè)本地和遠(yuǎn)程分析模塊(引擎),該模塊(引擎)使用包含于所述中央知識(shí)數(shù)據(jù)庫中的惡意軟件相關(guān)信息分析來自所述安全應(yīng)用程序的信息查詢���。在一個(gè)示范性實(shí)施例中�����,集中安全系統(tǒng)積聚來自不同安全威脅的信息并且向各種安全應(yīng)用程序和各種分析模塊提供到所積聚的信息的受控訪問�。所述不同的安全應(yīng)用程序和分析模塊可以包括但不限于計(jì)算機(jī)應(yīng)用程序或者由不同供應(yīng)商提供的在線服務(wù)���;實(shí)施不同的惡意軟件檢測(cè)技術(shù)����,例如簽名匹配�����、仿真、白名單或黑名單數(shù)據(jù)庫等�;駐留在不同的計(jì)算機(jī)系統(tǒng),例如個(gè)人計(jì)算機(jī)���、公司工作站和服務(wù)器�����、個(gè)人通信設(shè)備(例如智能手機(jī))����,網(wǎng)絡(luò)防火墻等�;或者具備不同的系統(tǒng)訪問策略。在一個(gè)示范性實(shí)施例中���,所述集中安全管理系統(tǒng)通過多個(gè)XML接口之一接收來自遠(yuǎn)程安全應(yīng)用程序的有關(guān)可疑對(duì)象的信息查詢�。所述解釋器模塊從多個(gè)分析模塊中選擇兩個(gè)或兩個(gè)以上不同的分析模塊來分析可疑對(duì)象中惡意軟件的存在�����,并且將從所述遠(yuǎn)程安全應(yīng)用程序接收到的有關(guān)所述可疑對(duì)象的信息提供給所選取的分析模塊�。分析模塊采用不同的惡意軟件分析技術(shù)來分析所述可疑對(duì)象。所述分析模塊將所述分析的結(jié)果返回給所述解釋器模塊。該結(jié)果包括多個(gè)與所述可疑對(duì)象關(guān)聯(lián)的信息參數(shù)�,包括識(shí)別所述對(duì)象為惡意或者非惡意的參數(shù)。所述解釋器模塊通過所述多個(gè)XML接口之一將有關(guān)識(shí)別出的惡意對(duì)象的所述信息傳送給所述安全應(yīng)用程序以響應(yīng)所述查詢����。在一個(gè)示范性實(shí)施例中,如果所述分析的結(jié)果是至少一個(gè)分析模塊識(shí)別所述可疑對(duì)象為惡意且另一個(gè)分析模塊識(shí)別所述可疑對(duì)象為非惡意�,則所述解釋器模塊識(shí)別在該可疑對(duì)象的一個(gè)或多個(gè)信息參數(shù)與存儲(chǔ)在所述中央知識(shí)數(shù)據(jù)庫中的其它已知的惡意和非惡意對(duì)象的信息參數(shù)之間的關(guān)聯(lián)性����。如果識(shí)別出的相關(guān)的惡意對(duì)象的數(shù)量超過識(shí)別出的相關(guān)的非惡意對(duì)象的數(shù)量,其中兩個(gè)相關(guān)的對(duì)象具有至少一個(gè)基本相似的信息參數(shù)��,則所述解釋器模塊識(shí)別該可疑對(duì)象為惡意軟件�����,并將該分析的結(jié)果返回給所述安全應(yīng)用程序�。以上本發(fā)明示范性實(shí)施例的概要用于提供對(duì)于這些實(shí)施例的基本理解。本概要并非本發(fā)明所有設(shè)想方面的廣泛概述���,且并非意圖確認(rèn)所有實(shí)施例的關(guān)鍵或特征因素�����,也并非描述某些或者全部實(shí)施例的范圍��。本概要的唯一目的是以簡(jiǎn)化的形式提出有關(guān)一個(gè)或多個(gè)方面的一些概念作為隨后更加詳盡的描述的前奏�。為了達(dá)到前述的及相關(guān)的目的,該一個(gè)或多個(gè)實(shí)施例包括了下文中充分描述且權(quán)利要求中具體指出的特征�。下面的說明以及附圖詳細(xì)地闡述了一個(gè)或多個(gè)實(shí)施例的某些示例性的特征。然而���,這些特征僅僅表明了本發(fā)明的不同方面的原理能夠得以應(yīng)用的一些方式�,并且本說明意圖包括本發(fā)明的所有這些方面及其等同物�。
本發(fā)明的附圖并入并作為本說明書的一部分用于示例性說明本發(fā)明的一個(gè)或多個(gè)示范性實(shí)施例。該附圖結(jié)合下面的詳細(xì)描述�����,用來解釋本發(fā)明實(shí)施例的原理及實(shí)施方式�����。附圖中
圖1示出了根據(jù)一個(gè)示范性實(shí)施例計(jì)算機(jī)系統(tǒng)的示意圖�����,該計(jì)算機(jī)系統(tǒng)用于實(shí)現(xiàn)用于檢測(cè)惡意軟件和管理惡意軟件相關(guān)信息的系統(tǒng)���;
圖2示出了根據(jù)一個(gè)示范性實(shí)施例����,用于檢測(cè)惡意軟件和管理惡意軟件相關(guān)信息的系統(tǒng)的示意圖3A、圖;3B�、圖3C示出了根據(jù)不同的示范性實(shí)施例,用于存儲(chǔ)惡意軟件相關(guān)信息的對(duì)象數(shù)據(jù)結(jié)構(gòu)的示意圖4示出了根據(jù)一個(gè)示范性實(shí)施例�,用于檢測(cè)惡意軟件和管理惡意軟件相關(guān)信息的方法的流程圖;圖5示出了根據(jù)一個(gè)示范性實(shí)施例�����,用于檢測(cè)惡意軟件和管理惡意軟件相關(guān)信息的另一種方法的流程圖6示出了根據(jù)一個(gè)示范性實(shí)施例�����,用于存儲(chǔ)和管理惡意軟件相關(guān)信息的面向?qū)ο蟮念惖臄?shù)據(jù)結(jié)構(gòu)的示意圖�。
具體實(shí)施例方式本文將圍繞供多個(gè)不同安全應(yīng)用程序使用的用于惡意軟件相關(guān)信息的集中安全管理的系統(tǒng)��、方法和計(jì)算機(jī)程序產(chǎn)品來描述本發(fā)明的示范性實(shí)施例�。本領(lǐng)域的普通技術(shù)人員將會(huì)意識(shí)到下面的描述僅僅是說明性的且并非意圖作任何形式的限定。受益于本申請(qǐng)的本領(lǐng)域的技術(shù)人員將易于獲得其他實(shí)施例的啟示?,F(xiàn)在將詳盡地指出如何實(shí)施附圖所示的本發(fā)明的具體實(shí)施例。貫穿附圖及下面的描述��,相同的附圖標(biāo)記用于盡可能的表示相同或類似的項(xiàng)目。圖1描述了計(jì)算機(jī)系統(tǒng)5的一個(gè)示范性實(shí)施例��,例如網(wǎng)絡(luò)服務(wù)器���,其適用于實(shí)現(xiàn)本發(fā)明的集中安全系統(tǒng)�����,以及其它可以正在使用該安全系統(tǒng)的服務(wù)的計(jì)算設(shè)備�,包括但不限于運(yùn)行安全應(yīng)用程序的個(gè)人電腦和服務(wù)器�、移動(dòng)通信設(shè)備、網(wǎng)絡(luò)服務(wù)器及其它設(shè)備�����。正如圖ι所示��,計(jì)算機(jī)系統(tǒng)5可以包括一個(gè)或多個(gè)處理器15����、存儲(chǔ)器20、一個(gè)或多個(gè)硬盤驅(qū)動(dòng)器 30�����、光盤驅(qū)動(dòng)器35、串行端口 40�、圖形卡45、聲卡50和網(wǎng)卡55��,上述設(shè)備通過系統(tǒng)總線10 相連����。系統(tǒng)總線10可以是幾種類型總線結(jié)構(gòu)的任意類型,包括存儲(chǔ)器總線或存儲(chǔ)控制器�����、 外圍總線和本地總線���,上述總線使用各已知的總線結(jié)構(gòu)的任意一種���。處理器15可以包括一個(gè)或多個(gè)htel Core 2 Quad 2. 33 GHz處理器或者其它類型的微處理器���。系統(tǒng)存儲(chǔ)器20可以包括只讀存儲(chǔ)器(ROM) 21和隨機(jī)存取存儲(chǔ)器(RAM) 23�。存儲(chǔ)器20可以在DRAM (動(dòng)態(tài)RAM)�����、EPROM、EEPR0M�����、閃存或者其它類型的存儲(chǔ)器結(jié)構(gòu)中實(shí)現(xiàn)�。 ROM 21存儲(chǔ)基本的輸入/輸出系統(tǒng)22 (BIOS),其包含例如啟動(dòng)期間有助于在計(jì)算機(jī)系統(tǒng) 5的組成部件之間傳遞信息的基本例程��。RAM 23存儲(chǔ)操作系統(tǒng)M (0S)��,例如Windows XP Professional 或者其它類型的操作系統(tǒng)���,其負(fù)責(zé)計(jì)算機(jī)系統(tǒng)5中的進(jìn)程的管理與協(xié)調(diào)以及硬件資源的分配與共享�����。系統(tǒng)存儲(chǔ)器20還存儲(chǔ)在所述計(jì)算機(jī)系統(tǒng)5上運(yùn)行的應(yīng)用程序和程序25�,例如安全應(yīng)用程序�����。系統(tǒng)存儲(chǔ)器20還存儲(chǔ)程序25使用的各種運(yùn)行時(shí)(runtime) 數(shù)據(jù)26��。計(jì)算機(jī)系統(tǒng)5可以進(jìn)一步包括硬盤驅(qū)動(dòng)器30�,例如1太字節(jié)(terabyte) SATA 磁性硬盤驅(qū)動(dòng)器(HDD)����,以及用于讀取或?qū)懭肟梢苿?dòng)光盤的光盤驅(qū)動(dòng)器35��,例如⑶-ROM�、 DVD-ROM或者其它光學(xué)介質(zhì)。驅(qū)動(dòng)器30和35以及與之相關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)提供對(duì)于計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)��、應(yīng)用程序以及實(shí)施在此披露的算法和方法的程序模塊/子程序的非易失性存儲(chǔ)�。盡管示范的計(jì)算機(jī)系統(tǒng)5使用磁盤和光盤,本領(lǐng)域的技術(shù)人員仍應(yīng)意識(shí)到可存儲(chǔ)可由計(jì)算機(jī)系統(tǒng)5所訪問的數(shù)據(jù)的其它類型的計(jì)算機(jī)可讀介質(zhì)也可以應(yīng)用于所述計(jì)算機(jī)系統(tǒng)的替代性實(shí)施例中���,例如盒式磁帶��、閃存卡�����、數(shù)字視頻光碟、RAMs, ROMs��、 EPROMs和其它類型的存儲(chǔ)器��。計(jì)算機(jī)系統(tǒng)5進(jìn)一步包括多個(gè)串行端口 40,例如通用串行總線(USB)�,其用于連接數(shù)據(jù)輸入設(shè)備75,例如鍵盤����、鼠標(biāo)、觸摸板及其它�。串行端口 40還可用于連接數(shù)據(jù)輸出設(shè)備 80,例如打印機(jī)�、掃描儀及其它,以及用于連接其它外圍設(shè)備85�����,例如外部數(shù)據(jù)存儲(chǔ)設(shè)備等��。計(jì)算機(jī)系統(tǒng)5還可以包括圖形卡45�����,例如nVidia GeForce GT 240M或者其它視頻卡�,其用于與監(jiān)視器60或者其它視頻再現(xiàn)設(shè)備聯(lián)接。計(jì)算機(jī)系統(tǒng)5還可以包括聲卡50��,其用于經(jīng)由內(nèi)置或外置的揚(yáng)聲器65再現(xiàn)聲音��。此外,系統(tǒng)5可以包括網(wǎng)卡55�,例如Khernet、WiFi���、 GSM�����、藍(lán)牙或者其它有線�、無線或蜂窩網(wǎng)絡(luò)接口�,用于將計(jì)算機(jī)系統(tǒng)5連接到網(wǎng)絡(luò)70,例如因特網(wǎng)(Internet)�����。圖2示出了本發(fā)明的集中安全系統(tǒng)200的示范性實(shí)施例的示意性框圖�����。正如圖中描繪的�,系統(tǒng)200可以作為連接到因特網(wǎng)、內(nèi)聯(lián)網(wǎng)或者其它公共或?qū)S镁W(wǎng)絡(luò)的網(wǎng)絡(luò)服務(wù)器或者一組服務(wù)器來實(shí)現(xiàn)���。系統(tǒng)200包括管理模塊220�、解釋器模塊M0��、中央知識(shí)數(shù)據(jù)庫230 和各種內(nèi)部分析模塊250及外部分析模塊沈0�。內(nèi)部分析模塊250對(duì)于系統(tǒng)200而言可以是本地的,例如���,所述內(nèi)部分析模塊250部署在同一服務(wù)器或同一局域網(wǎng)中����。外部分析模塊 260通常遠(yuǎn)離系統(tǒng)200���,例如��,所述外部分析模塊260部署在遠(yuǎn)程應(yīng)用服務(wù)器中�����。不同的模塊可以使用硬件�、軟件或其結(jié)合來實(shí)現(xiàn)���。在一個(gè)實(shí)施例中��,系統(tǒng)200可以被駐留在遠(yuǎn)程個(gè)人計(jì)算機(jī)及工作站210中的不同的外部安全應(yīng)用程序215���、外部分析模塊沈0����、第三方服務(wù)器 270����、移動(dòng)通信設(shè)備(例如智能手機(jī))、網(wǎng)絡(luò)防火墻以及其它受到各種安全威脅和攻擊的設(shè)備所訪問�。在一個(gè)示范性實(shí)施例中,管理模塊220控制對(duì)安全系統(tǒng)200的訪問��。例如��,管理模塊220可以為不同類型的安全應(yīng)用程序215����、分析模塊250及沈0、第三方服務(wù)器270或者其它向系統(tǒng)200注冊(cè)的實(shí)體維護(hù)多個(gè)訪問策略�。每個(gè)訪問策略可以包含與使用系統(tǒng)200 的服務(wù)的實(shí)體有關(guān)的信息,例如公司名稱�、由該公司持有的用于訪問所述系統(tǒng)200的用戶許可的數(shù)量、由該公司使用的訪問所述系統(tǒng)200的安全應(yīng)用程序的類型以及給予該實(shí)體的訪問權(quán)的等級(jí)����。例如���,完全訪問權(quán)可以允許該給定的實(shí)體對(duì)來自所述安全系統(tǒng)200的信息發(fā)出無限制數(shù)量的請(qǐng)求����,以及允許該給定的實(shí)體將關(guān)于新威脅的信息提交給安全系統(tǒng)200。 相比而言�����,部分訪問權(quán)將允許該實(shí)體信息發(fā)出有限制數(shù)量的請(qǐng)求���。在操作過程中�����,管理模塊 220從在所述系統(tǒng)注冊(cè)的實(shí)體接收全部信息查詢及其它類型的通信�����,識(shí)別該實(shí)體�,查驗(yàn)相關(guān)聯(lián)的訪問策略��,并將所述查詢轉(zhuǎn)發(fā)給解釋器模塊M0。在一個(gè)示范性實(shí)施例中��,解釋器模塊240執(zhí)行對(duì)于來自不同安全應(yīng)用程序215的信息查詢的解釋�����??傮w而言,信息查詢可以包含關(guān)于安全應(yīng)用程序215遇到的安全問題或者可疑文檔���、電子郵件消息�、鏈接等的描述��,安全應(yīng)用程序215不能決定將其分類為惡意或者非惡意��。由于不同的安全應(yīng)用程序215可以由不同的軟件供應(yīng)商開發(fā)�,可以使用不同的程序語言,可以在不同的平臺(tái)上運(yùn)行��,并且可以具有不同的通信協(xié)議���,所以解釋器模塊MO 提供多個(gè)允許與不同安全應(yīng)用程序215通信的定制的可擴(kuò)展標(biāo)示語言(XML)接口����。例如,管理模塊220可以將該查詢所來自的應(yīng)用程序的識(shí)別信息提供給解釋器模塊M0����,解釋器模塊240將選擇適當(dāng)?shù)腦ML接口以解析并處理來自該安全應(yīng)用程序的查詢。通過這種方式�, 安全系統(tǒng)200為不同供應(yīng)商開發(fā)的不同安全應(yīng)用程序215和尋找與未知類型的惡意軟件及其它威脅有關(guān)的信息的其它實(shí)體提供跨平臺(tái)的支持。在另一個(gè)示范性實(shí)施例中��,解釋器模塊240將對(duì)信息查詢的分析委托給不同的模塊250及沈0����。例如��,解釋器模塊240可以請(qǐng)求一個(gè)或多個(gè)可使用的分析模塊來分析從安全應(yīng)用程序215接收到的有關(guān)可疑文檔或活動(dòng)的信息���。由于不同的分析模塊250及260可以配置不同的惡意軟件檢測(cè)技術(shù)來分析并檢測(cè)惡意的軟件或者其它類型的威脅���,所以所述分析模塊可能需要來自中央數(shù)據(jù)庫230的不同的惡意軟件相關(guān)信息以便確定所述可疑文檔或活動(dòng)是否是惡意的,對(duì)該類型的威脅進(jìn)行分類�,以及確定適當(dāng)?shù)姆烙袨椤榱诉_(dá)到上述目的����,解釋器模塊240提供不同類型的XML接口來與這些分析模塊進(jìn)行通信�。例如����,解釋器模塊240可以使用定制XML接口將可疑對(duì)象提供給仿真模塊250,然后使用該XML接口以請(qǐng)求/接收來自中央知識(shí)數(shù)據(jù)庫230的供所述分析模塊使用的附加信息�����。與此對(duì)比���,解釋器模塊240可以使用與之不同的XML接口來將可疑網(wǎng)絡(luò)活動(dòng)的記錄(log)提供給記錄解析模塊260����,然后使用該XML接口以請(qǐng)求/接收來自知識(shí)數(shù)據(jù)庫230的供所述分析模塊使用的附加信息�����。通過使用定制的XML接口�,系統(tǒng)200可以容易地將提供不同類型的分析邏輯來檢測(cè)惡意軟件的不同的分析模塊250及260集成起來。在一個(gè)示范性實(shí)施例中�,分析模塊250及260包含處理邏輯以分析并歸類安全應(yīng)用程序215不能識(shí)別的安全威脅。這些模塊能夠在系統(tǒng)200的內(nèi)部運(yùn)行(如模塊250)�,也能夠在系統(tǒng)200的外部運(yùn)行(如模塊沈0)。在一個(gè)示范性實(shí)施例中�����,分析模塊250及260可以包括一個(gè)或多個(gè)服務(wù)器以執(zhí)行由不同軟件開發(fā)商開發(fā)的幾種不同的反病毒引擎。每個(gè)反病毒引擎可以維護(hù)自身的包含惡意軟件相關(guān)信息的本地?cái)?shù)據(jù)庫沈5��。解釋器模塊240可配置為使用不同的可用反病毒引擎來同時(shí)測(cè)試可疑文檔�����。換句話說����,同一可疑文檔實(shí)際上可同時(shí)被兩個(gè)或多個(gè)分析模塊所分析。表明該可疑文檔是否為惡意的以及如果該可疑文檔是惡意時(shí)所必須采取的防御行為的分析結(jié)果被傳送給解釋器模塊M0���,解釋器模塊240轉(zhuǎn)而將該分析的結(jié)果轉(zhuǎn)發(fā)給發(fā)起該查詢的安全應(yīng)用程序215。此外�����,正如在此將要更詳細(xì)地描述的那樣�����,解釋器模塊240可以對(duì)新的惡意文檔進(jìn)行分類并將其添加到中央知識(shí)數(shù)據(jù)庫230用于今后的參照�。在另一個(gè)示范性實(shí)施例中���,另外的分析模塊250或260可以包括仿真引擎,該仿真引擎在安全虛擬環(huán)境中執(zhí)行由解釋器模塊240提供的可疑文檔�����。該虛擬環(huán)境可以配置成與計(jì)算機(jī)210的初始環(huán)境相應(yīng)�,在此初始環(huán)境中,安全應(yīng)用程序215根據(jù)管理模塊220中的有關(guān)計(jì)算機(jī)210的可用信息發(fā)現(xiàn)該可疑文檔�。例如,如果計(jì)算機(jī)210運(yùn)行Windows XP 操作系統(tǒng)�����,則該虛擬環(huán)境可以被創(chuàng)建成模擬Windows XP 操作系統(tǒng)�����。使用仿真技術(shù)檢測(cè)惡意軟件的示范性系統(tǒng)披露于共有的專利號(hào)為7���,614���,084的美國(guó)專利中,在此通過引用的方式將其全文合并到本文中�����。表明該可疑文檔是否為惡意的以及如果該文檔是惡意時(shí)所必須采取的防御行為的分析結(jié)果由解釋器模塊240傳送給應(yīng)用程序215。此外���,解釋器模塊240可以對(duì)新的惡意文檔進(jìn)行分類并將其添加到中央數(shù)據(jù)庫230用于今后的參照�����。在另一個(gè)示范性實(shí)施例中���,另外的分析模塊250或260可以包括簽名分析器引擎, 該引擎將安全應(yīng)用程序215提供的可疑文檔的簽名(例如散表)與包含已知惡意文檔的簽名的其本地?cái)?shù)據(jù)庫265或者包含在中央數(shù)據(jù)庫230中的簽名進(jìn)行比較��。如果簽名分析器引擎確定該可疑文檔的簽名與已知惡意軟件的簽名相匹配���,則該可疑文檔被識(shí)別為那個(gè)類型的惡意軟件,報(bào)告給解釋器模塊對(duì)0�����。解釋器模塊240可以轉(zhuǎn)而在中央數(shù)據(jù)庫230中檢查對(duì)于此特定類型的惡意軟件必須采取何種類型的防御行為���。然后�,解釋器模塊240將與已檢測(cè)到的惡意軟件有關(guān)的信息和與需要采取的保護(hù)計(jì)算機(jī)210免受該類型惡意軟件攻擊的行為類型有關(guān)的信息傳達(dá)給安全應(yīng)用程序215。如果已檢測(cè)到的惡意軟件是新類型的惡意軟件�����,則解釋器模塊240可以對(duì)該惡意軟件進(jìn)行適當(dāng)?shù)姆诸?�,并將其添加到中央知識(shí)數(shù)據(jù)庫 230用于今后的參照��。
在另一個(gè)示范性實(shí)施例中�,分析模塊250或260可以包括記錄解析器引擎。該引擎可以配置為分析在計(jì)算機(jī)210或相關(guān)聯(lián)的網(wǎng)絡(luò)中安全應(yīng)用程序215所檢測(cè)到的可疑程序的執(zhí)行記錄或者可疑網(wǎng)絡(luò)活動(dòng)的記錄����。程序執(zhí)行記錄通常表明了可疑程序執(zhí)行的一系列事件,例如可疑的系統(tǒng)呼叫或者存儲(chǔ)器訪問�����。網(wǎng)絡(luò)活動(dòng)記錄通常表明了一系列可疑網(wǎng)絡(luò)活動(dòng)�����, 例如異常流量����、未授權(quán)的登錄嘗試或文檔訪問����、竊聽活動(dòng)等�����。如果記錄解析器引擎識(shí)別出惡意的程序活動(dòng)或網(wǎng)絡(luò)攻擊����,則將其報(bào)告給解釋器模塊對(duì)0,解釋器模塊240轉(zhuǎn)而將此報(bào)告連同對(duì)于該惡意的程序或網(wǎng)絡(luò)威脅所必須采取的防御行為類型的信息一起報(bào)告給應(yīng)用程序 215��。此外���,該惡意的程序或網(wǎng)絡(luò)活動(dòng)可以被解釋器模塊240分類并添加到中央數(shù)據(jù)庫230 中����。然而在另一個(gè)示范性實(shí)施例中����,安全系統(tǒng)200可以配置為向托管在遠(yuǎn)程服務(wù)器 270上的第三方專家系統(tǒng)提供有關(guān)已知或新近發(fā)現(xiàn)的惡意軟件及計(jì)算機(jī)威脅的信息�。例如,所述第三方專家系統(tǒng)270可以擁有自身的本地惡意軟件數(shù)據(jù)庫275,但是可能需要用安全系統(tǒng)200積累的有關(guān)新型惡意軟件的當(dāng)前信息來對(duì)其進(jìn)行更新��。在此種情況下��,服務(wù)器 270可以定期向系統(tǒng)200查詢有關(guān)新型惡意軟件的信息或者收集有關(guān)不同類型惡意軟件及其它威脅的統(tǒng)計(jì)信息��。管理模塊220將確定服務(wù)器270是否可以使用服務(wù)器訪問策略向系統(tǒng)注冊(cè)����,并進(jìn)一步將授權(quán)的查詢轉(zhuǎn)發(fā)給解釋器模塊M0。模塊240使用適當(dāng)?shù)腦ML接口接收該請(qǐng)求���,其將會(huì)解析來自服務(wù)器270的信息查詢�,然后向中央知識(shí)數(shù)據(jù)庫230查詢所請(qǐng)求的有關(guān)特定類型惡意軟件的信息�。檢索到的信息采用適當(dāng)?shù)腦ML接口被轉(zhuǎn)發(fā)給服務(wù)器270。在一個(gè)示范性實(shí)施例中��,安全系統(tǒng)200可易于擴(kuò)展�����,以適應(yīng)數(shù)量不斷增長(zhǎng)的不同的安全應(yīng)用程序215和使用系統(tǒng)的服務(wù)的遠(yuǎn)程服務(wù)器270����。完全相同的分析模塊250及260 的數(shù)量可以增加或者減少以便提高安全系統(tǒng)200的處理能力及效率�����。例如��,所述系統(tǒng)可以被調(diào)整以包括三個(gè)運(yùn)行仿真引擎的服務(wù)器��、五個(gè)運(yùn)行簽名分析器引擎的服務(wù)器����、兩個(gè)運(yùn)行記錄解析器引擎的服務(wù)器以及其它類型的分析模塊�,其數(shù)量取決于來自不同安全應(yīng)用程序 215和服務(wù)器270的信息查詢量。在一個(gè)示范性實(shí)施例中���,解釋器模塊240可被配置為管理所有分析模塊之間的任務(wù)分配����,以便使用已知技術(shù)來優(yōu)化系統(tǒng)效率及實(shí)現(xiàn)內(nèi)部和外部分析模塊之間的均衡負(fù)載分布��。在一個(gè)示范性實(shí)施例中���,中央知識(shí)數(shù)據(jù)庫230可以包括一個(gè)或多個(gè)SQL服務(wù)器�,解釋器模塊240使用XML接口可以訪問該服務(wù)器�?���?傮w而言�����,該數(shù)據(jù)庫230是與已知安全威脅有關(guān)的信息的存儲(chǔ)處����,該已知的安全威脅例如計(jì)算機(jī)病毒��、間諜軟件����、垃圾郵件、網(wǎng)絡(luò)釣魚腳本�����、網(wǎng)絡(luò)攻擊和其它類型的安全威脅�����;也是與針對(duì)上述安全威脅的不同類型防御行為有關(guān)的信息的存儲(chǔ)處��,該防御行為例如已檢測(cè)到的惡意軟件的隔離或排除、被感染文檔的終止執(zhí)行���、因特網(wǎng)或電子郵件服務(wù)的阻斷等�。另外��,中央知識(shí)數(shù)據(jù)庫230可以包含白名單數(shù)據(jù)庫����,其包含有關(guān)非惡意對(duì)象的信息,例如文檔�、腳本、插件��、應(yīng)用程序�、網(wǎng)站等。而且���,中央知識(shí)數(shù)據(jù)庫230可以包括與利用安全系統(tǒng)服務(wù)的不同類型安全應(yīng)用程序有關(guān)的信息�,這些信息包括軟件開發(fā)商/供應(yīng)商信息����、軟件版本信息、本地惡意軟件數(shù)據(jù)庫更新狀態(tài)�、訪問等級(jí)(完全�,有限等)��、應(yīng)用程序故障排除信息等����。此外��,該數(shù)據(jù)庫230包含有關(guān)本地分析模塊 250和遠(yuǎn)程分析模塊260的信息�,包括軟件開發(fā)商/供應(yīng)商信息、軟件版本信息�����、本地惡意軟件數(shù)據(jù)庫更新狀態(tài)�、模塊所使用的分析技術(shù)(例如簽名掃描、仿真��、白名單知識(shí)數(shù)據(jù)庫等)���、 模塊故障排除信息等���。解釋器模塊240使用分析模塊250及260檢測(cè)到的有關(guān)新型惡意及非惡意對(duì)象的信息和其它信息來定期更新中央知識(shí)數(shù)據(jù)庫230。在一個(gè)示范性實(shí)施例中���,有關(guān)各種惡意對(duì)象即惡意文檔�、程序、腳本���、網(wǎng)站等的信息��,可以以類的對(duì)象的形式存儲(chǔ)于系統(tǒng)200中�����。圖3A-圖3C描繪了用于在安全系統(tǒng)200內(nèi)存儲(chǔ)惡意軟件相關(guān)的信息的類的實(shí)施例�。圖3A示出了在該類中所有參數(shù)的信息可以被分成兩部分基本信息310和補(bǔ)充信息320�。基本信息310可以包括例如有關(guān)惡意對(duì)象(文檔名稱及文檔路徑)類型的信息����、對(duì)象源、該對(duì)象在何地何時(shí)被創(chuàng)建�、該對(duì)象被發(fā)送給誰等。描述此對(duì)象的所有其它參數(shù)包括補(bǔ)充信息320�����。例如,該補(bǔ)充信息可以包括但不限于惡意對(duì)象的MD5散表(hash)�����,其可以用于該對(duì)象的簽名分析�����;非常易受此類型惡意對(duì)象影響的系統(tǒng)組件的識(shí)別�����;與為保護(hù)計(jì)算機(jī)系統(tǒng)免受此類型對(duì)象的攻擊所必須采取的防御行為有關(guān)的信息�,例如該惡意對(duì)象的隔離或排除�、受感染文檔的終止執(zhí)行、因特網(wǎng)或電子郵件訪問的阻斷等��。在一個(gè)示范性實(shí)施例中�,分析模塊250及260為每個(gè)已分析的可疑文檔或威脅創(chuàng)建新類型的對(duì)象。分析模塊在惡意軟件分析期間完成對(duì)所有基本和所有補(bǔ)充信息的收集并將其通過適當(dāng)?shù)腦ML接口發(fā)送給解釋器模塊M0����。由于這些分析模塊執(zhí)行不同類型的分析并且使用來自中央知識(shí)數(shù)據(jù)庫230的不同信息,所以對(duì)于相同惡意文檔或威脅所產(chǎn)生的數(shù)據(jù)對(duì)象可能是不同的����;這些所產(chǎn)生的數(shù)據(jù)對(duì)象可能有不同數(shù)目的字段或者在相同的字段中有不同的信息�����。例如����,如圖3B中所示��,分析模塊250及260可以為同一可疑文檔(文檔名1) 創(chuàng)建兩個(gè)不同的對(duì)象330和340�����,然而�,其余的關(guān)于這些對(duì)象的基本及補(bǔ)充信息可以是不同的;例如����,這些對(duì)象可以有不同的文檔路徑,其歸因于有關(guān)此可疑文檔的信息查詢來自不同的安全應(yīng)用程序�;這些對(duì)象可以有不同的MD5散表值,其歸因于這些文檔可能已經(jīng)被改變��。 因此�����,在這些信息可以被添加到中央知識(shí)數(shù)據(jù)庫230以及被報(bào)告給安全應(yīng)用程序215之前, 解釋器模塊240必須確定這些對(duì)象是相關(guān)的并且一定是彼此相互關(guān)聯(lián)的�����。在一個(gè)示范性實(shí)施例中���,這些相關(guān)的對(duì)象可以由解釋器模塊240進(jìn)行分析并基于匹配參數(shù)加以關(guān)聯(lián)以獲得供非匹配參數(shù)使用的全部替代選擇�。例如�,能夠通過名稱來相互關(guān)聯(lián)對(duì)象330和340,并且能夠發(fā)現(xiàn)用于具有相同名稱的對(duì)象的所有MD5散表��,正如圖中所示�����。類似地�,解釋器模塊240能夠通過MD5散表值使對(duì)象350和360相互關(guān)聯(lián)�,并且在用戶系統(tǒng)中獲取全部替代選擇的名稱(以不同的名稱,在不同的位置)�����,正如圖3C中所示。通過這種方式�,相關(guān)的對(duì)象,包括惡意和非惡意的對(duì)象�,可以被識(shí)別并且彼此相互關(guān)聯(lián)。如果在相互關(guān)聯(lián)的過程中已發(fā)現(xiàn)新的參數(shù)��,則解釋器模塊240用該新參數(shù)在中央知識(shí)數(shù)據(jù)庫230 中為該對(duì)象更新補(bǔ)充信息字段��,并且向請(qǐng)求該對(duì)象的安全應(yīng)用程序提供更新后的信息�。圖4描繪了解釋器模塊240的操作算法的一個(gè)示范性實(shí)施例。在步驟410中���,解釋器模塊從安全應(yīng)用程序215接收關(guān)于可疑對(duì)象(例如文檔�����、鏈接或者活動(dòng)記錄)的信息查詢���。 在步驟420中,解釋器模塊選擇一個(gè)或者多個(gè)分析模塊250或260用來分析該給定查詢����,并且將該查詢通過相關(guān)聯(lián)的XML接口轉(zhuǎn)發(fā)給所選取的模塊。在分析模塊分析該對(duì)象的期間�, 解釋器模塊可以從所選取的分析模塊接收對(duì)于來自中央數(shù)據(jù)庫230的信息的請(qǐng)求��。解釋器模塊240將所有來自數(shù)據(jù)庫230的對(duì)于該可疑對(duì)象的分析為必要的可用信息提供給分析模塊���。如果在步驟430中,分析模塊提供不一致的分析結(jié)果��,即一個(gè)分析模塊識(shí)別該可疑對(duì)象為惡意的且另一分析模塊識(shí)別該對(duì)象為非惡意的�,則在步驟440中,解釋器模塊240可以識(shí)別分析模塊所提供的不一致結(jié)果之間的關(guān)聯(lián)性���,以便最終確定該對(duì)象是否為惡意的�����。在一個(gè)示范性實(shí)施例中�����,可以使用統(tǒng)計(jì)分析來識(shí)別關(guān)聯(lián)性(其示例被示出于圖5中)。在其它實(shí)施例中��,專家系統(tǒng)�����、模糊邏輯規(guī)則、遺傳算法或者披露于專利號(hào)為7�����,530���,106的共有美國(guó)專利中的安全風(fēng)險(xiǎn)評(píng)級(jí)系統(tǒng)�����,均可以用于將不一致的結(jié)果統(tǒng)一起來��,該美國(guó)專利再次通過引用的方式合并到本文中��。如果所有的分析結(jié)果是一致的且在步驟450中���,該可疑對(duì)象被所有的分析模塊識(shí)別為非惡意的,則過程移動(dòng)到步驟490����,在此步驟中,解釋器模塊將該分析結(jié)果報(bào)告給請(qǐng)求該結(jié)果的安全應(yīng)用程序���。如果在步驟450中����,該對(duì)象被所有的分析模塊識(shí)別為惡意的,則解釋器模塊確定是否檢測(cè)到了新型惡意軟件��,例如�����,通過檢查在中央知識(shí)數(shù)據(jù)庫230中是否有關(guān)于此惡意對(duì)象的任何信息����。如果在中央知識(shí)數(shù)據(jù)庫230中沒有關(guān)于所檢測(cè)到的惡意對(duì)象的信息,則在步驟470中��,解釋器模塊在數(shù)據(jù)庫230中為該新的惡意對(duì)象創(chuàng)建惡意軟件的新的類����。如果該對(duì)象不是新的,則在步驟480中����,解釋器模塊使用分析模塊在分析該對(duì)象的期間所發(fā)現(xiàn)的任何新參數(shù)來更新中央數(shù)據(jù)庫記錄。最后����,在步驟490,解釋器模塊將分析結(jié)果報(bào)告給發(fā)起該信息查詢的安全應(yīng)用程序215�。圖5示出了由解釋器模塊240執(zhí)行的統(tǒng)計(jì)分析算法的一個(gè)示范性實(shí)施例,該算法用于識(shí)別從兩個(gè)或多個(gè)分析模塊接收的不一致的分析結(jié)果之間的關(guān)聯(lián)性��。在步驟510中���, 解釋器模塊從兩個(gè)或多個(gè)分析模塊接收不一致的分析結(jié)果����。當(dāng)某些分析模塊識(shí)別可疑對(duì)象為惡意的而其它的分析模塊識(shí)別該可疑對(duì)象為非惡意的時(shí)候����,此分析結(jié)果不一致。例如���, 簽名分析器可能確定可疑文檔為非惡意的�,而仿真引擎可能確定同一文檔表現(xiàn)出惡意的活動(dòng)��。在此情況下�,解釋器模塊可以使用統(tǒng)計(jì)分析來識(shí)別該可疑對(duì)象的不同參數(shù)與存儲(chǔ)在中央數(shù)據(jù)庫230中的其它惡意及非惡意對(duì)象的相似參數(shù)之間的關(guān)聯(lián)性。為達(dá)到上述目的�����,在步驟520中,解釋器模塊選擇該可疑對(duì)象的基本或者補(bǔ)充參數(shù)(310或320 )之一�����。例如����,該給定可疑對(duì)象的文檔路徑(或鏈接)可以被選作適合的關(guān)聯(lián)參數(shù)。在步驟530����,解釋器模塊通過在中央知識(shí)數(shù)據(jù)庫230中搜尋具有基本相似的文檔路徑參數(shù)的其它對(duì)象(例如與可疑對(duì)象下載自同一網(wǎng)站的對(duì)象)來執(zhí)行統(tǒng)計(jì)分析。如果在步驟540中����,解釋器模塊確定具有大體相似的文檔路徑參數(shù)的已識(shí)別惡意對(duì)象的總數(shù)超過具有大體相似的文檔路徑的非惡意對(duì)象的總數(shù)一定的百分比(例如至少25%)或者其它標(biāo)準(zhǔn),則解釋器模塊可以得出該可疑對(duì)象為惡意的結(jié)論�,同時(shí)流程轉(zhuǎn)到步驟570。然而�,如果在步驟540中��,解釋器模塊沒有在該可疑對(duì)象與中央數(shù)據(jù)庫中的其它對(duì)象的文檔路徑參數(shù)之間發(fā)現(xiàn)任何關(guān)聯(lián)性����,因而也就不能得出該可疑對(duì)象是否為惡意的結(jié)論����,則解釋器模塊可以在步驟520中選擇其它參數(shù)�����,并且使用該參數(shù)重復(fù)所述統(tǒng)計(jì)分析�����。如果在步驟550中所有的參數(shù)都已經(jīng)被使用��,但是所述統(tǒng)計(jì)分析沒有得出該對(duì)象是否為惡意的確鑿答案����,則在步驟560中發(fā)送所有的分析結(jié)果給專家人工進(jìn)行審查�����。接下來�����,在步驟570中����,解釋器模塊在中央數(shù)據(jù)庫中存儲(chǔ)/更新統(tǒng)計(jì)分析的結(jié)果或者專家人工審查的結(jié)果���,并在步驟580中��,將該分析結(jié)果報(bào)告給發(fā)起該信息查詢的安全應(yīng)用程序215�����。圖6示出了由解釋器模塊240使用的類數(shù)據(jù)結(jié)構(gòu)的一個(gè)示范性實(shí)施例�����,用于實(shí)例化圖3中所示的用于存儲(chǔ)惡意軟件相關(guān)信息的類用例(class Case)的對(duì)象����。類用例610 為存儲(chǔ)于中央數(shù)據(jù)庫230中的對(duì)象定義多個(gè)參數(shù)620 (基本的和補(bǔ)充的)�,并且定義多個(gè)函數(shù)630用于訪問及修改所述對(duì)象的參數(shù)�����。在一個(gè)示范性實(shí)施例中����,所述類可以使用XML格式來定義,并且可以使用XML接口來訪問各參數(shù)。以下提供對(duì)于類用例不同函數(shù)及其使用的簡(jiǎn)要描述�。
例如�����,解釋器模塊240可以使用函數(shù)CaseLoad 640通過不同的參數(shù)字段來搜索中央數(shù)據(jù)庫230中的對(duì)象����。例如,可以在針對(duì)可疑對(duì)象的統(tǒng)計(jì)分析期間以及對(duì)象更新期間使用該函數(shù)。該函數(shù)返回具有一個(gè)或多個(gè)所請(qǐng)求的搜索參數(shù)的對(duì)象的列表���。可以使用任意以下參數(shù)來搜索該對(duì)象
case_id 整數(shù)(integer)-唯一的對(duì)象標(biāo)識(shí)符��;
file_name 字符串(string)-該對(duì)象的名稱; date_open 日期時(shí)間(datatime)-該對(duì)象被創(chuàng)建的日期及時(shí)間���; date_lastop 日期時(shí)間(datatime)-此對(duì)象的最后修改日期及時(shí)間�����; current_status 整數(shù)(integer)-該對(duì)象(惡意或非惡意)的當(dāng)前狀態(tài)); compl_level 整數(shù)(integer)-該對(duì)象的復(fù)雜等級(jí)����; antivirus 整數(shù)(integer)-檢測(cè)此對(duì)象的分析模塊的標(biāo)識(shí)符; file_path 字符串(string)-關(guān)于對(duì)象源路徑的信息(例如URL)�; MD5-sum 整數(shù)(integer)-該對(duì)象的MD5散表����;以及 problem 字符串(string)-惡意對(duì)象行為的描述。在例如分析模塊提供有關(guān)此對(duì)象的新信息的時(shí)候��,解釋器模塊240可以使用函數(shù) CaseUpdate 650來修改/更新由casejd識(shí)別的對(duì)象的參數(shù)���。解釋器模塊可以使用函數(shù) CaseClose 660來存儲(chǔ)將更新存儲(chǔ)于中央數(shù)據(jù)庫中并關(guān)閉用casejd識(shí)別的對(duì)象���。通過其他描述存儲(chǔ)于中央數(shù)據(jù)庫230中的惡意和非惡意對(duì)象的參數(shù)以及允許解釋器模塊240訪問、搜索和修改存儲(chǔ)于類用例所實(shí)例化的對(duì)象中的數(shù)據(jù)的附加函數(shù)���,可以對(duì)以上類結(jié)構(gòu)進(jìn)行擴(kuò)展���。在一個(gè)示范性實(shí)施例中���,內(nèi)部分析模塊250也支持相同的類結(jié)構(gòu), 該類結(jié)構(gòu)簡(jiǎn)化了在這些分析模塊��、解釋器模塊和中央數(shù)據(jù)庫之間的信息交換����。為了與配置其它類結(jié)構(gòu)以維護(hù)和傳輸數(shù)據(jù)的外部分析模塊進(jìn)行通信,解釋器模塊可以使XML接口定制為以本地格式接收來自那些分析模塊的數(shù)據(jù)并將接收到的數(shù)據(jù)映射為類用例的格式以在系統(tǒng)200中加以處理和存儲(chǔ)�。本發(fā)明的集中安全系統(tǒng)相對(duì)于現(xiàn)有技術(shù)有很多優(yōu)勢(shì)。該集中安全系統(tǒng)的一個(gè)優(yōu)勢(shì)是����,其為配置了由不同供應(yīng)商開發(fā)的不同的安全和反病毒軟件�、防火墻及其它產(chǎn)品的公司安全架構(gòu)的安裝提供更大的靈活性。例如��,公司網(wǎng)絡(luò)中的安全應(yīng)用程序可以具有安全規(guī)則�, 所述安全規(guī)則指定如果用戶的工作站之一檢測(cè)到未知但可疑的活動(dòng),則該用戶對(duì)于因特網(wǎng)和電子郵件的訪問必須被阻斷直到已檢測(cè)到的威脅的實(shí)際危險(xiǎn)被安全人員所確定��。然而�����, 如果安全應(yīng)用程序有權(quán)訪問本發(fā)明的集中安全系統(tǒng),則該應(yīng)用程序可以使用有關(guān)已檢測(cè)到的活動(dòng)的可用信息查詢所述安全系統(tǒng)�����,并實(shí)時(shí)接收有關(guān)已檢測(cè)到的活動(dòng)實(shí)際上是否為惡意的響應(yīng)以及關(guān)于適當(dāng)防御行為的信息��。所述安全系統(tǒng)提高了不同安全應(yīng)用程序保護(hù)公司網(wǎng)絡(luò)免受惡意軟件和其它威脅攻擊的效力�。在不同的實(shí)施例中,在此描述的算法和方法可以通過硬件����、軟件、固件(firmware ) 或者其任意組合來實(shí)現(xiàn)�。如果以軟件實(shí)現(xiàn),可以一條或多條指令或代碼的形式將所述函數(shù)存儲(chǔ)在非暫時(shí)性的計(jì)算機(jī)可讀介質(zhì)上���。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲(chǔ)器和方便計(jì)算機(jī)程序從一處傳遞到另一處的通信介質(zhì)�。存儲(chǔ)介質(zhì)可以是可被計(jì)算機(jī)訪問的任何可用介質(zhì)��。根據(jù)實(shí)施例但并非限定��,這樣的計(jì)算機(jī)可讀介質(zhì)包括RAM�����、ROM、EEPROM�、CD-ROM或其它光盤存儲(chǔ)器、磁盤存儲(chǔ)器或其它磁性存儲(chǔ)器設(shè)備或者可用于以指令或數(shù)據(jù)結(jié)構(gòu)的形式攜帶或存儲(chǔ)所需的程序代碼并且可被計(jì)算機(jī)訪問的任何其它介質(zhì)��。此外���,任何連接均可稱為計(jì)算機(jī)可讀介質(zhì)�����。例如��,如果從網(wǎng)站�����、服務(wù)器或其它遠(yuǎn)程資源傳輸軟件是使用同軸電纜�����、光纜、雙絞線���、數(shù)字用戶專用線(DSL)或者諸如紅外線����、無線電及微波之類的無線技術(shù)的方式,則該連接方式包括在介質(zhì)的定義中����。為了清楚起見,在此并未對(duì)實(shí)施本發(fā)明的所有常規(guī)特征加以示出和描述�����。應(yīng)當(dāng)意識(shí)到在任何這類實(shí)際的實(shí)施方式的開發(fā)過程中�,必須做出大量特定的實(shí)施方式?jīng)Q策以實(shí)現(xiàn)開發(fā)者的特定目標(biāo),同時(shí)應(yīng)當(dāng)意識(shí)到這些特定目標(biāo)將隨實(shí)施方式的不同以及開發(fā)者的不同而改變�����。而且��,應(yīng)當(dāng)意識(shí)到這類開發(fā)工作可能是復(fù)雜且耗費(fèi)時(shí)間的��,但是對(duì)于受益于本文公開內(nèi)容的本領(lǐng)域的普通技術(shù)人員而言��,都將是常規(guī)的工程任務(wù)。此外�����,可以理解的是在此使用的措辭或術(shù)語是為了描述而非限定的目的�����,以便本領(lǐng)域的技術(shù)人員根據(jù)在此提出的教導(dǎo)及指引并結(jié)合相關(guān)領(lǐng)域技術(shù)人員所掌握的知識(shí)來解讀本說明書中的措辭或術(shù)語����。而且,除非如此明確的予以闡述�,否則本說明書或權(quán)利要求中的任何術(shù)語均并非意圖歸結(jié)為非常規(guī)或者特殊的含義。在此披露的各種實(shí)施例包含現(xiàn)在及將來與在此通過示例的方式所提及的已知組件的已知等同物���。而且���,盡管已經(jīng)示出及描述了實(shí)施例及其應(yīng)用,但對(duì)于受益于本發(fā)明的本領(lǐng)域的技術(shù)人員而言顯而易見的是����,在不脫離本申請(qǐng)中所披露的發(fā)明構(gòu)思的情況下,比以上提及的更多的修改是可能的�����。
權(quán)利要求
1.一種用于檢測(cè)惡意軟件的計(jì)算機(jī)實(shí)施方法����,所述方法包括從多個(gè)分析引擎中選擇兩個(gè)或者多個(gè)不同的分析引擎用于分析可疑對(duì)象是否存在惡意軟件,其中不同的分析引擎使用不同的惡意軟件分析技術(shù)�����;將關(guān)于所述可疑對(duì)象的信息提供給所述所選擇的分析引擎��;從所述所選擇的分析引擎接收分析所述可疑對(duì)象的結(jié)果����,其中所述結(jié)果包括多個(gè)與所述可疑對(duì)象相關(guān)聯(lián)的信息參數(shù),所述信息參數(shù)包括識(shí)別所述對(duì)象為惡意或非惡意的參數(shù)����;如果至少一個(gè)分析引擎識(shí)別所述可疑對(duì)象為惡意的且至少一個(gè)其它分析引擎識(shí)別所述可疑對(duì)象為非惡意的,則識(shí)別所述可疑對(duì)象的一個(gè)或多個(gè)信息參數(shù)與存儲(chǔ)于知識(shí)數(shù)據(jù)庫中的其它已知惡意和非惡意對(duì)象的信息參數(shù)之間的關(guān)聯(lián)性����;以及如果已識(shí)別的關(guān)聯(lián)的惡意對(duì)象的數(shù)量超過已識(shí)別的關(guān)聯(lián)的非惡意對(duì)象的數(shù)量,則識(shí)別所述可疑對(duì)象為惡意軟件��,其中兩個(gè)關(guān)聯(lián)的對(duì)象具有至少一個(gè)基本相似的信息參數(shù)。
2.根據(jù)權(quán)利要求1所述的方法����,進(jìn)一步包括提供多個(gè)定制為接收來自不同安全應(yīng)用程序的數(shù)據(jù)并傳送數(shù)據(jù)給不同安全應(yīng)用程序的不同的第一 XML接口 ;以及提供多個(gè)定制為接收來自不同分析引擎的數(shù)據(jù)并傳送數(shù)據(jù)給不同分析引擎的不同的第二 XML接口����。
3.根據(jù)權(quán)利要求2所述的方法,進(jìn)一步包括通過所述多個(gè)第一 XML接口之一從遠(yuǎn)程安全應(yīng)用程序接收關(guān)于所述可疑對(duì)象的信息查詢��;以及通過所述多個(gè)第一 XML接口之一向所述安全應(yīng)用程序傳送關(guān)于已識(shí)別的惡意對(duì)象的信息以響應(yīng)所述查詢��。
4.根據(jù)權(quán)利要求2所述的方法��,其中至少部分基于在所述多個(gè)不同分析引擎之間的處理負(fù)載的均衡分布��,從所述多個(gè)分析引擎中選擇兩個(gè)或者多個(gè)分析引擎���。
5.根據(jù)權(quán)利要求1所述的方法���,其中所述所選擇的兩個(gè)或多個(gè)分析引擎基本上同時(shí)分析所述可疑對(duì)象是否存在惡意軟件。
6.根據(jù)權(quán)利要求2所述的方法�,進(jìn)一步包括在所述所選擇的分析引擎分析所述可疑對(duì)象期間,通過所述多個(gè)第二 XML接口之一從所述所選擇的分析引擎接收對(duì)于關(guān)于已知惡意對(duì)象的信息的請(qǐng)求���;從所述知識(shí)數(shù)據(jù)庫檢索所述被請(qǐng)求的信息�;以及通過所述多個(gè)第二 XML接口之一傳送所述檢索到的信息給所述所選擇的分析引擎以供在惡意軟件分析期間使用。
7.根據(jù)權(quán)利要求1所述的方法�����,進(jìn)一步包括如果兩個(gè)或多個(gè)所選擇的分析引擎識(shí)別所述可疑對(duì)象為惡意的�,但是提供新的或不同的關(guān)于所述已識(shí)別的惡意對(duì)象的信息參數(shù)����, 則在所述知識(shí)數(shù)據(jù)庫中識(shí)別一個(gè)或多個(gè)關(guān)聯(lián)的惡意對(duì)象,并使用所述新的或不同的信息參數(shù)來更新所述已識(shí)別的關(guān)聯(lián)的惡意對(duì)象��。
8.用于檢測(cè)惡意軟件的系統(tǒng)���,所述系統(tǒng)包括存儲(chǔ)器��,其配置為存儲(chǔ)關(guān)于已知的惡意和非惡意對(duì)象的信息的知識(shí)數(shù)據(jù)庫��;以及處理器�����,其與所述存儲(chǔ)器耦合��,所述處理器配置為從多個(gè)分析引擎中選擇兩個(gè)或者多個(gè)不同的分析引擎用于分析可疑對(duì)象是否存在惡意軟件�,其中不同的分析引擎使用不同的惡意軟件分析技術(shù);將關(guān)于所述可疑對(duì)象的信息提供給所述所選擇的分析引擎����;從所述所選擇的分析引擎接收分析所述可疑對(duì)象的結(jié)果,其中所述結(jié)果包括多個(gè)與所述可疑對(duì)象相關(guān)聯(lián)的信息參數(shù)�����,所述信息參數(shù)包括識(shí)別所述對(duì)象為惡意或非惡意的參數(shù)��;如果至少一個(gè)分析引擎識(shí)別所述可疑對(duì)象為惡意的且至少一個(gè)其它分析引擎識(shí)別所述可疑對(duì)象為非惡意的����,則識(shí)別所述可疑對(duì)象的一個(gè)或多個(gè)信息參數(shù)與存儲(chǔ)于所述知識(shí)數(shù)據(jù)庫中的其它已知惡意和非惡意對(duì)象的信息參數(shù)之間的關(guān)聯(lián)性;以及如果已識(shí)別的關(guān)聯(lián)的惡意對(duì)象的數(shù)量超過已識(shí)別的關(guān)聯(lián)的非惡意對(duì)象的數(shù)量����,則識(shí)別所述可疑對(duì)象為惡意軟件,其中兩個(gè)關(guān)聯(lián)的對(duì)象具有至少一個(gè)基本相似的信息參數(shù)���。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其中所述處理器進(jìn)一步配置為提供多個(gè)定制為接收來自不同安全應(yīng)用程序的數(shù)據(jù)并傳送數(shù)據(jù)給不同安全應(yīng)用程序的不同的第一 XML接口 �;以及提供多個(gè)定制為接收來自不同分析引擎的數(shù)據(jù)并傳送數(shù)據(jù)給不同分析引擎的不同的第二 XML接口。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其中所述處理器進(jìn)一步配置為通過所述多個(gè)第一 XML接口之一從遠(yuǎn)程安全應(yīng)用程序接收關(guān)于所述可疑對(duì)象的信息查詢;以及通過所述多個(gè)第一 XML接口之一向所述安全應(yīng)用程序傳送關(guān)于已識(shí)別的惡意對(duì)象的信息以響應(yīng)所述查詢�。
11.根據(jù)權(quán)利要求9所述的系統(tǒng),其中至少部分基于在所述多個(gè)不同分析引擎之間的處理負(fù)載的均衡分布�,從所述多個(gè)分析引擎選擇兩個(gè)或者多個(gè)分析引擎����。
12.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述所選擇的兩個(gè)或多個(gè)分析引擎基本上同時(shí)分析所述可疑對(duì)象是否存在惡意軟件�����。
13.根據(jù)權(quán)利要求9所述的系統(tǒng)��,其中所述處理器進(jìn)一步配置為在所選擇的分析引擎分析所述可疑對(duì)象期間��,通過所述多個(gè)第二 XML接口之一從所述所選擇的分析引擎接收對(duì)于關(guān)于已知惡意對(duì)象的信息的請(qǐng)求����;從所述知識(shí)數(shù)據(jù)庫檢索所述被請(qǐng)求的信息;以及通過所述多個(gè)第二 XML接口之一傳送所述檢索到的信息給所述所選擇的分析引擎以供在惡意軟件分析期間使用�。
14.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其中所述處理器進(jìn)一步配置為如果兩個(gè)或多個(gè)所選擇的分析引擎識(shí)別所述可疑對(duì)象為惡意的���,但是提供新的或不同的關(guān)于所述已識(shí)別的惡意對(duì)象的信息參數(shù),則在所述知識(shí)數(shù)據(jù)庫中識(shí)別一個(gè)或多個(gè)關(guān)聯(lián)的惡意對(duì)象����,并使用所述新的或不同的信息參數(shù)來更新所述已識(shí)別的關(guān)聯(lián)的惡意對(duì)象。
15.嵌入在非暫時(shí)性的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品�����,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括用于檢測(cè)惡意軟件的計(jì)算機(jī)可執(zhí)行指令���,所述介質(zhì)包括指令用于從多個(gè)分析引擎中選擇兩個(gè)或者多個(gè)不同的分析引擎用于分析可疑對(duì)象是否存在惡意軟件�,其中不同的分析引擎使用不同的惡意軟件分析技術(shù)�����;將關(guān)于所述可疑對(duì)象的信息提供給所述所選擇的分析引擎�����;從所述所選擇的分析引擎接收分析所述可疑對(duì)象的結(jié)果�,其中所述結(jié)果包括多個(gè)與所述可疑對(duì)象相關(guān)聯(lián)的信息參數(shù)�,所述信息參數(shù)包括識(shí)別所述對(duì)象為惡意或非惡意的參數(shù)�����;如果至少一個(gè)分析引擎識(shí)別所述可疑對(duì)象為惡意的且至少一個(gè)其它分析引擎識(shí)別所述可疑對(duì)象為非惡意的����,則識(shí)別所述可疑對(duì)象的一個(gè)或多個(gè)信息參數(shù)與存儲(chǔ)于知識(shí)數(shù)據(jù)庫中的其它已知惡意和非惡意對(duì)象的信息參數(shù)之間的關(guān)聯(lián)性;以及如果已識(shí)別的關(guān)聯(lián)的惡意對(duì)象的數(shù)量超過已識(shí)別的關(guān)聯(lián)的非惡意對(duì)象的數(shù)量�����,則識(shí)別所述可疑對(duì)象為惡意軟件����,其中兩個(gè)關(guān)聯(lián)的對(duì)象具有至少一個(gè)基本相似的信息參數(shù)�����。
16.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)程序產(chǎn)品�����,進(jìn)一步包括指令用于提供多個(gè)定制為接收來自不同安全應(yīng)用程序的數(shù)據(jù)并傳送數(shù)據(jù)給不同安全應(yīng)用程序的不同的第一 XML接口 ���;以及提供多個(gè)定制為接收來自不同分析引擎的數(shù)據(jù)并傳送數(shù)據(jù)給不同分析引擎的不同的第二 XML接口��。
17.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,進(jìn)一步包括指令用于通過所述多個(gè)第一 XML接口之一從遠(yuǎn)程安全應(yīng)用程序接收關(guān)于所述可疑對(duì)象的信息查詢;以及通過所述多個(gè)第一 XML接口之一向所述安全應(yīng)用程序傳送關(guān)于已識(shí)別的惡意對(duì)象的信息以響應(yīng)所述查詢���。
18.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,其中至少部分基于所述多個(gè)不同分析引擎之間的處理負(fù)載的均衡分布�,從所述多個(gè)分析引擎選擇兩個(gè)或者多個(gè)分析引擎。
19.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)程序產(chǎn)品�,其中所述所選擇的兩個(gè)或多個(gè)分析引擎基本上同時(shí)分析所述可疑對(duì)象是否存在惡意軟件。
20.根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,進(jìn)一步包括指令用于在所述所選擇的分析引擎分析所述可疑對(duì)象期間,通過所述多個(gè)第二 XML接口之一從所選擇的分析引擎接收對(duì)于關(guān)于已知惡意對(duì)象的信息的請(qǐng)求����;從所述知識(shí)數(shù)據(jù)庫檢索所述被請(qǐng)求的信息;以及通過所述多個(gè)第二 XML接口之一傳送所述檢索到的信息給所述所選擇的分析引擎以供在惡意軟件分析期間使用。
全文摘要
本發(fā)明公開了用于集中檢測(cè)和管理供不同安全應(yīng)用程序使用的惡意軟件相關(guān)信息的系統(tǒng)�、方法和計(jì)算機(jī)程序產(chǎn)品。在一個(gè)示例中�,集中安全管理系統(tǒng)包括安全信息的中央知識(shí)數(shù)據(jù)庫,該安全信息例如與不同類型的惡意軟件及其它安全威脅有關(guān)的信息�����。該系統(tǒng)進(jìn)一步包括解釋器模塊�,該解釋器模塊提供多個(gè)定制的可擴(kuò)展標(biāo)示語言(XML)接口來接收和解析來自不同供應(yīng)商開發(fā)的遠(yuǎn)程安全應(yīng)用程序的信息查詢。該系統(tǒng)進(jìn)一步包括多個(gè)本地及遠(yuǎn)程分析模塊(引擎)��,其使用包含在中央知識(shí)數(shù)據(jù)庫中的惡意軟件相關(guān)信息來分析來自安全應(yīng)用程序的信息查詢�����。
文檔編號(hào)G06F21/56GK102332072SQ20111033978
公開日2012年1月25日 申請(qǐng)日期2011年11月1日 優(yōu)先權(quán)日2010年11月1日
發(fā)明者奧列格·V·乍特瑟 申請(qǐng)人:卡巴斯基實(shí)驗(yàn)室封閉式股份公司