專利名稱:用于校正反病毒記錄以最小化惡意軟件誤檢的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本公開總體上涉及計(jì)算機(jī)安全領(lǐng)域,并且具體地,涉及用于校正反病毒記錄的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。
背景技術(shù):
當(dāng)前,對反病毒數(shù)據(jù)庫保持及時(shí)更新是反病毒業(yè)界最緊迫的問題之一。事實(shí)上,甚至在惡意軟件程序還沒被主導(dǎo)的反病毒專家和公司檢測出的很短時(shí)間內(nèi),該惡意軟件就可能由不同用戶下載幾十萬次,并且感染大量的計(jì)算機(jī)。反病毒數(shù)據(jù)庫的及時(shí)更新允許充分而快速地執(zhí)行對惡意軟件的對抗。但值得注意的是,包括惡意軟件在內(nèi)的軟件數(shù)量正不斷增加,在此過程中必須有檢測類似應(yīng)用的主動聯(lián)系的方法。為了對抗未知惡意軟件,現(xiàn)代的反病毒公司正采用啟發(fā)式分析方法、利用虛擬化在受保護(hù)環(huán)境中(例如,沙盒、蜜罐)執(zhí)行未知程序、以及基于對它們的活動的分析(例如,HIPS)來限制程序功能的各種手段。雖然如此,人們并不能完全依賴于所有上述所枚舉的過程,這是因?yàn)樵诋?dāng)前反病毒應(yīng)用程序中上述過程具有與其操作和使用的特性相關(guān)聯(lián)的一定的缺陷,其中在當(dāng)前反病毒應(yīng)用程序中用戶有權(quán)由于這些技術(shù)需要占用大量的時(shí)間和資源而確立不提供這些技術(shù)的完全使用的設(shè)定,例如當(dāng)啟動未知程序時(shí)。在對未知程序的驗(yàn)證完成之前,用戶可例如在沙盒形式的保護(hù)環(huán)境中禁止其執(zhí)行,或者減少分配用于模擬的時(shí)間。聯(lián)系到主動技術(shù)可能存在低效率操作的風(fēng)險(xiǎn),并鑒于惡意軟件程序數(shù)量的不斷增力口,所謂的“白名單”越來越普及干凈的(clean)即已驗(yàn)證且可靠的對象的數(shù)據(jù)庫。為文件、應(yīng)用程序、鏈接、E-mail消息以及即時(shí)消息傳送系統(tǒng)中的用戶賬號記錄、消息交換日志、IP地址、主機(jī)名稱、域名等等構(gòu)建干凈對象的列表。編制類似的列表可能始于多種因素存在電子簽名或其他制造商數(shù)據(jù)、關(guān)于源的數(shù)據(jù)(從該處獲得應(yīng)用程序)、關(guān)于應(yīng)用程序鏈接的數(shù)據(jù)(父-子關(guān)系)、針對應(yīng)用程序版本的數(shù)據(jù)(例如,前一版本已經(jīng)在經(jīng)驗(yàn)證程序的列表中這一事實(shí)出發(fā),可認(rèn)為應(yīng)用程序?yàn)榻?jīng)驗(yàn)證的)、針對環(huán)境變量的數(shù)據(jù)(例如,操作系統(tǒng)、啟動參數(shù))等等。在每一次發(fā)布對用于反病毒數(shù)據(jù)庫的簽名的更新之前,必須對其進(jìn)行沖突檢查,例如利用文件的“白名單”。值得注意的是,在給定時(shí)間所研究的大多數(shù)未知可執(zhí)行文件為所謂的PE (可移植可執(zhí)行)文件并具有PE格式(對于Windows操作系統(tǒng)家族而言,大多數(shù)惡意軟件為按照該形式所寫)。PE文件可表示為格式文件頭、一定數(shù)量的包括可執(zhí)行程序格式的部分、以及疊加部分,該疊加部分為在執(zhí)行期間可根據(jù)需要加載的程序段。目前,文件的各種唯一部分被用于試圖創(chuàng)建文件簽名。通常來說,源于代碼部分的代碼被用于這些目的。然而,情況常常是專家因?yàn)檫@樣的片段存在于惡意軟件中而將會錯(cuò)誤地將程序庫或者其他廣泛使用的代碼解釋為惡意軟件的一部分。在這種情況下,被錯(cuò)誤地應(yīng)用于這一廣泛使用的片段的簽名可能會被創(chuàng)建。這一簽名將成功地檢測出惡意軟件應(yīng)用,但它也會將所有包含這一代碼片段但是干凈的其他文件定義為惡意的。由于這個(gè)錯(cuò)誤而導(dǎo)致誤檢(false detection)發(fā)生。反病毒應(yīng)用程序的操作不論如何都與某些反病毒記錄相關(guān)聯(lián),例如,規(guī)則、模板、列表和簽名,一般來說專家通常參與其創(chuàng)建。這些反病毒記錄允許檢測和移除惡意軟件。但這一過程中也不排除人為因素,并且專家也可能會出差錯(cuò),例如在創(chuàng)建將把某一信息在文件的“白名單”中的干凈軟件確定為惡意的簽名之后。還必須注意到不僅只是專家會出差錯(cuò)。用于自動形成反病毒記錄而存在的系統(tǒng),其試圖檢測出盡可能多的惡意軟件,將不可避免會囊括一些干凈的應(yīng)用軟件。因此,為了最小化惡意軟件誤檢,需要出現(xiàn)一種用于校正包含在反病毒數(shù)據(jù)庫中的反病毒記錄的方法。
發(fā)明內(nèi)容
本發(fā)明經(jīng)設(shè)計(jì)用于及時(shí)地校正反病毒記錄以達(dá)到最小化誤檢的目的。技術(shù)結(jié)果包括,通過針對記錄使用校正來使得誤檢最小化,其中所述記錄定義對象為惡意的或干凈的。在一個(gè)示范性實(shí)施例中,一種方法涉及部署在個(gè)人計(jì)算機(jī)上的軟件應(yīng)用程序,其對軟件對象進(jìn)行惡意軟件分析。該應(yīng)用程序從反病毒數(shù)據(jù)庫檢索與所分析的對象相關(guān)聯(lián)的反病毒記錄,該記錄識別所述對象為惡意的或干凈的。然后反病毒應(yīng)用程序在反病毒高速緩存中檢查對檢索到的反病毒記錄的校正。如果在反病毒高速緩存中發(fā)現(xiàn)對該反病毒記錄的校正,則應(yīng)用程序基于該校正更新反病毒數(shù)據(jù)庫中的反病毒記錄,并使用更新的反病毒記錄用于對軟件對象進(jìn)行存在惡意軟件的分析。如果在反病毒高速緩存中沒有發(fā)現(xiàn)對反病毒記錄的校正,則應(yīng)用程序利用反病毒服務(wù)器來檢查反病毒記錄的正確性。反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的多個(gè)反病毒應(yīng)用程序中收集到的有關(guān)軟件對象的統(tǒng)計(jì)信息來證實(shí)相關(guān)聯(lián)反病毒記錄的正確性。如果反病毒服務(wù)器提供了對反病毒記錄的校正,那么反病毒應(yīng)用程序基于該校正來更新反病毒數(shù)據(jù)庫中的反病毒記錄,并使用更新的反病毒記錄用于對軟件對象進(jìn)行存在惡意軟件的分析。如果反病毒服務(wù)器沒有提供對反病毒記錄的校正,那么反病毒應(yīng)用程序使用原始的反病毒記錄來對軟件對象進(jìn)行惡意軟件分析。在利用反病毒服務(wù)器檢查反病毒記錄的正確性期間,反病毒應(yīng)用程序?yàn)榉床《痉?wù)器提供關(guān)于軟件對象的執(zhí)行的信息。在一個(gè)示范性實(shí)施例中,為了證實(shí)反病毒記錄的正確性,反病毒服務(wù)器將所提供的信息與從其他軟件應(yīng)用程序收集的關(guān)于軟件對象的統(tǒng)計(jì)信息相比較。在另一個(gè)示范性實(shí)施例中,為了證實(shí)反病毒記錄的正確性,反病毒服務(wù)器將所提供的信息與關(guān)于已知的干凈對象的信息相比較。在一個(gè)示范性實(shí)施例中,對反病毒記錄的校正包括反病毒記錄的狀態(tài)的改變。反病毒記錄的狀態(tài)選自包括工作記錄、測試記錄和非活動記錄的組中。在一個(gè)示范性實(shí)施例中,當(dāng)反病毒軟件服務(wù)器基于收集到的關(guān)于所述反病毒記錄的統(tǒng)計(jì)信息而確定將記錄校正規(guī)則應(yīng)用于反病毒記錄時(shí),例如當(dāng)反病毒服務(wù)器確定由所述反病毒記錄將軟件對象識別為惡意的數(shù)量超出由所述反病毒記錄將所述軟件對象識別為干凈的數(shù)量預(yù)定閾值時(shí),觸發(fā)該反病毒記錄的狀態(tài)的改變。
上述示范性實(shí)施例的簡要概括用于提供對本發(fā)明基本的理解。這一概括并非對本發(fā)明所有預(yù)期方面的廣泛概述,并且既非意圖確定所有實(shí)施例的關(guān)鍵或決定因素,也非意圖劃定任何或所有實(shí)施例的范圍界。其唯一的目的在于作為本發(fā)明以下更為詳細(xì)的描述的前序,以簡化的形式預(yù)設(shè)一個(gè)或多個(gè)實(shí)施例。為實(shí)現(xiàn)前述事項(xiàng),一個(gè)或多個(gè)實(shí)施例包括權(quán)利要求中所描述的并且具體指出的特征。
并入本說明書并構(gòu)成本說明書的一部分的附圖示出本發(fā)明的一個(gè)或多個(gè)示范性實(shí)施例,并且,與詳細(xì)說明結(jié)合用于解釋實(shí)施例的原理和實(shí)現(xiàn)方案。在附圖中圖1示出用于更新反病毒數(shù)據(jù)庫的系統(tǒng)的示意圖;圖2示出反病毒驗(yàn)證的機(jī)制;圖3示出根據(jù)一個(gè)示范性實(shí)施例的,用于防御惡意軟件的客戶端-服務(wù)器系統(tǒng);圖4示出根據(jù)一個(gè)示范性實(shí)施例的,用于及時(shí)校正反病毒記錄的系統(tǒng)的示意圖;圖5示出根據(jù)一個(gè)示范性實(shí)施例的,用于及時(shí)校正反病毒記錄的系統(tǒng)的操作方法;圖6示出根據(jù)一個(gè)示范性實(shí)施例的計(jì)算機(jī)系統(tǒng)的示意圖。
具體實(shí)施例方式本文圍繞用于在惡意軟件檢測期間通過利用經(jīng)校正的反病毒記錄來及時(shí)更新反病毒數(shù)據(jù)庫以最小化誤報(bào)的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品來描述本發(fā)明的示范性實(shí)施例。本領(lǐng)域的普通技術(shù)人員應(yīng)該理解以下描述僅是示例性的,而非意圖以任何方式進(jìn)行限定。受益于此公開內(nèi)容,本領(lǐng)域技術(shù)人員容易想到其他實(shí)施例?,F(xiàn)進(jìn)行詳細(xì)介紹以實(shí)現(xiàn)如附圖所示的本發(fā)明的示范性實(shí)施例。貫穿附圖及隨后的描述都盡可能使用相同的附圖標(biāo)記來表示相同的或相似的項(xiàng)目。圖1顯示了用于更新反病毒數(shù)據(jù)庫的示范性系統(tǒng)。通常,反病毒更新定向?yàn)閺母路?wù)器110通過因特網(wǎng)140至運(yùn)行反病毒應(yīng)用程序125的PC 120。服務(wù)器110維護(hù)反病毒數(shù)據(jù)庫130,所述反病毒數(shù)據(jù)庫130由反病毒公司利用新的以及更新的反病毒記錄來不斷地增補(bǔ)。因此,反病毒公司不斷地發(fā)布新的簽名、啟發(fā)法、家長控制的手段以及其他對象,可以在兩種狀態(tài)組中對其進(jìn)行發(fā)布,包括這些反病毒記錄已經(jīng)驗(yàn)證且工作(working),以及在測試模式下對可在用戶計(jì)算機(jī)上檢查出來的反病毒記錄加以測試。在一個(gè)示范性實(shí)施例中,反病毒數(shù)據(jù)庫130包括經(jīng)驗(yàn)證為工作和測試記錄這兩者。工作反病毒記錄(例如,簽名、啟發(fā)法及其他)與測試記錄不同,事實(shí)上,如果工作記錄被激活,它會產(chǎn)生事件的用戶通知。如果測試記錄被激活,那么將不會通知用戶。因此,在此以及在下文中術(shù)語“工作記錄”將理解為具有“工作”狀態(tài)的反病毒記錄,而術(shù)語“測試記錄”將理解為具有“測試”狀態(tài)的反病毒記錄。必須注意,系統(tǒng)運(yùn)行并不限于僅使用具有已指出狀態(tài)的反病毒記錄,也可具有其他狀態(tài)。在反病毒更新期間,將新的反病毒記錄從反病毒數(shù)據(jù)庫130經(jīng)由因特網(wǎng)140傳送至PC 120。將包含更新模塊150的反病毒應(yīng)用程序125安裝在PC 120上,將記錄從反病毒數(shù)據(jù)庫130傳送至所述更新模塊150。反病毒應(yīng)用程序125具有其自己的反病毒數(shù)據(jù)庫160,工作記錄以及測試記錄均存儲在其中。反病毒數(shù)據(jù)庫160可由反病毒應(yīng)用程序的分析模塊之一所使用;其可以是簽名驗(yàn)證模塊、模擬器、啟發(fā)式驗(yàn)證工具以及其他。來自反病毒數(shù)據(jù)庫130的新的記錄由更新模塊150傳送至反病毒數(shù)據(jù)庫160中,所述新的記錄與工作記錄與測試記錄二者有關(guān)。在反病毒數(shù)據(jù)庫160中所發(fā)現(xiàn)的每個(gè)記錄均具有唯一識別符(ID)。每個(gè)反病毒記錄均允許檢測一個(gè)或若干個(gè)惡意對象,每個(gè)對象均具有自己的哈希和(hash sum)o必須注意,通常使用MD5算法計(jì)算哈希和,但也可使用其它哈希函數(shù)計(jì)算,例如MD4、SHA1、SHA2、SHA256等等。反病毒記錄的唯一識別符與對象的哈希和之間的關(guān)系是“多對多”的關(guān)系。例如,具有唯一識別符的一個(gè)記錄可以和若干個(gè)哈希和相關(guān)聯(lián)。同時(shí),一個(gè)哈希和可對應(yīng)若干個(gè)記錄。例如,如果具有唯一識別符的單獨(dú)的記錄首先被應(yīng)用于特定哈希和,然后新的記錄被創(chuàng)建以允許檢測類似惡意程序的整個(gè)族,則可能發(fā)生這一情況。應(yīng)該注意,反病毒更新的過程可以小時(shí)為間隔發(fā)生。如果在反病毒數(shù)據(jù)庫160進(jìn)行反病毒更新之后得到一個(gè)簽名,例如使用該簽名將已知是干凈的對象確定為惡意的,那么類似事件為誤讀并導(dǎo)致錯(cuò)誤的通知。經(jīng)過若干小時(shí),誤讀可在大量的PC 120上發(fā)生,并且將會向大量的用戶通知干凈對象的檢測為惡意的,直到這樣的錯(cuò)誤被校正的下一個(gè)反病毒。因此,在反病毒數(shù)據(jù)庫的基本更新之前允許及時(shí)的反病毒記錄校正的機(jī)制是必要的,以達(dá)到最小化誤讀和錯(cuò)誤通知的目的。圖2描繪了通過部署在PC 120上的反病毒應(yīng)用程序125進(jìn)行反病毒驗(yàn)證的機(jī)制。反病毒數(shù)據(jù)庫160包含工作反病毒記錄210和測試記錄220。每個(gè)反病毒記錄均具有其自己的唯一的識別符。在特定對象200的反病毒驗(yàn)證期間,反病毒應(yīng)用程序可使用來自于反病毒數(shù)據(jù)庫160的具有唯一識別符的任意記錄。來自于反病毒數(shù)據(jù)庫160的每個(gè)記錄均基于驗(yàn)證的結(jié)果提出裁決230。反病毒數(shù)據(jù)庫160包含允許反病毒應(yīng)用程序檢測惡意對象200并隨后實(shí)施一系列旨在無效該對象200的動作的記錄。因此,當(dāng)反病毒應(yīng)用程序125使用來自于反病毒數(shù)據(jù)庫160的記錄來分析對象200時(shí),針對該對象200的裁決將在激活的記錄的基礎(chǔ)上,可識別對象200為惡意對象230a。但針對對象200的這一記錄和裁決有可能不準(zhǔn)確,這是因?yàn)槔缂词故窃谠搶ο髮?shí)際為干凈的情況下,反病毒應(yīng)用程序125所使用的反病毒記錄可能識別對象200為惡意的。因此需要一種工具用于驗(yàn)證由反病毒應(yīng)用程序所使用的記錄的有效性,并用于無效反病毒記錄的及時(shí)校正。圖3描繪了根據(jù)一個(gè)示范性實(shí)施例的,保護(hù)PC以防御惡意軟件的系統(tǒng)。用于防御惡意軟件的系統(tǒng)包括反病毒應(yīng)用程序310,該反病毒應(yīng)用程序310包含大量分析模塊320,其允許惡意軟件的檢測和例如移除。對于分析模塊320的操作而言,反病毒應(yīng)用程序310維護(hù)其自己的反病毒數(shù)據(jù)庫160,其包含工作記錄210和測試記錄220 二者。每個(gè)反病毒記錄均有其自己的唯一識別符。在特定對象200的反病毒驗(yàn)證期間,來自分析模塊系列320中的任意分析模塊均可使用來自反病毒數(shù)據(jù)庫160的記錄。這些記錄例如為簽名、啟發(fā)法、家長控制的手段以及其他。必須注意,并非所有來自分析模塊系列320的分析模塊都使用相同的記錄。取決于對象200的類型使用合適的分析模塊,其采用反病毒記錄來驗(yàn)證該對象200。若干個(gè)分析模塊也可以聯(lián)合執(zhí)行對象200的驗(yàn)證。來自分析模塊系列320中用于特定對象200的反病毒檢查的任何分析模塊均可使用工作記錄210和測試記錄220 二者,其中所述工作記錄210的激活將觸發(fā)用戶通知,而所述測試記錄220的激活不會觸發(fā)用戶通知。反病毒應(yīng)用程序310還可包含高速緩存330,對于存儲對反病毒記錄的校正是必要的。與來自于反病毒數(shù)據(jù)庫160的具有相同識別符的記錄相比,位于高速緩存330中的校正,例如校正的記錄或者記錄的狀態(tài),具有更高的優(yōu)先權(quán)。如果在使用某一分析模塊對對象200進(jìn)行反病毒檢查期間,有可能使用來自反病毒數(shù)據(jù)庫160的針對對象200記錄或者是來自高速緩存330具有相同識別符的記錄,那么該分析模塊將選擇來自于高速緩沖器330的記錄。如果反病毒記錄既激活作為工作記錄也激活作為測試記錄,則將關(guān)于所激活記錄的信息發(fā)送至分析和校正服務(wù)器340,在該服務(wù)器上可驗(yàn)證所激活記錄的有效性。與由記錄所檢測的對象200有關(guān)的信息也可發(fā)送至分析和校正服務(wù)器340。該信息對于識別數(shù)據(jù)庫160中其運(yùn)行導(dǎo)致發(fā)生誤檢和用戶通知的那些記錄是必需的。關(guān)于由記錄所檢測的對象200的信息可表示為這些對象200的元數(shù)據(jù)的形式。分析和校正服務(wù)器340可由反病毒服務(wù)的公司提供商所托管,并且它從部署有反病毒應(yīng)用程序310的許多PC120處接收關(guān)于所激活的反病毒記錄以及關(guān)于由這些記錄所檢測的對象200的統(tǒng)計(jì)信息。反病毒應(yīng)用程序310與分析和校正服務(wù)器340之間通過因特網(wǎng)140進(jìn)行通信。如果在運(yùn)行期間,來自于分析模塊系列320的某一分析模塊激活來自于反病毒庫160的反病毒記錄,那么該分析模塊配置為發(fā)送查詢至分析和校正服務(wù)器340以檢查所激活記錄的有效性。在利用所激活記錄實(shí)施任何動作之前進(jìn)行該查詢。因此,例如在針對由具有“工作”狀態(tài)的所激活記錄來檢測惡意對象而產(chǎn)生通知之前發(fā)送查詢。如果針對查詢的響應(yīng)確認(rèn)了所激活記錄的有效性,那么繼而發(fā)生通知,并且實(shí)施指向使惡意對象200無效的進(jìn)一步的動作。對導(dǎo)致錯(cuò)檢和用戶通知的反病毒記錄的檢測和校正,在對與使用這些記錄所檢測的對象200相關(guān)聯(lián)的統(tǒng)計(jì)信息進(jìn)行處理的過程中被實(shí)施。圖4描繪了根據(jù)一個(gè)示范性實(shí)施例的,用于及時(shí)校正反病毒記錄以最小化誤檢的系統(tǒng)。如此前所注意到的,反病毒應(yīng)用程序310在其運(yùn)行期間與分析和校正服務(wù)器340進(jìn)行交互。因此,例如當(dāng)唯一的反病毒記錄被激活時(shí),工作記錄或者是測試記錄,都將關(guān)于該所激活記錄的信息發(fā)送至分析和校正服務(wù)器340,在所述分析和校正服務(wù)器340上對所激活記錄實(shí)施有效性檢查。在一個(gè)實(shí)施例中,分析和校正服務(wù)器340包含經(jīng)校正記錄的數(shù)據(jù)庫440,所述數(shù)據(jù)庫440存儲對在之前的分析期間被認(rèn)為引起誤測的那些記錄的校正。例如,與對反病毒記錄的狀態(tài)校正有關(guān)的信息存儲在該數(shù)據(jù)庫440中。在示范性實(shí)施例的描述中將進(jìn)一步描述這一情況。但應(yīng)該理解,正被描述的系統(tǒng)并非限于所描述的示范性實(shí)施例,并且經(jīng)校正記錄的數(shù)據(jù)庫440也可包含完全改變了的反病毒記錄。在通常情況下,在特定對象200的反病毒檢查期間,來自分析模塊系列320中的任意分析模塊均可使用來自于反病毒數(shù)據(jù)庫160的記錄。此外,如果來自分析模塊系列320中的任意分析模塊均已使用特定的反病毒記錄確定對象200的惡意性,那么在根據(jù)所激活記錄執(zhí)行任何動作之前,諸如發(fā)出該事件的用戶通知,該分析模塊將發(fā)送查詢至分析和校正服務(wù)器340,特別是發(fā)送至經(jīng)校正記錄的數(shù)據(jù)庫440。在查詢中,例如,將為來自于反病毒數(shù)據(jù)庫160的所激活反病毒記錄指明識別符。如果具有該識別符的記錄在反病毒數(shù)據(jù)庫160的下一次更新之前被校正,例如其狀態(tài)被改變,并且在校正數(shù)據(jù)庫440中發(fā)現(xiàn)該校正,在此情況下該校正為關(guān)于新狀態(tài)的信息,那么響應(yīng)于針對部分反病毒應(yīng)用程序310的查詢,例如響應(yīng)于來自分析模塊系列320的任意分析模塊,將傳送與對所激活反病毒記錄的狀態(tài)進(jìn)行校正有關(guān)的信息。對于對象200,反病毒應(yīng)用程序310以及特別是來自分析模塊系列320中的任意分析模塊的進(jìn)一步的操作,將根據(jù)所激活的反病毒記錄的改變后的狀態(tài)來執(zhí)行。在具體情況下,可將關(guān)于對記錄的校正的信息從分析模塊系列320中的任意分析模塊傳送至高速緩存330,該高速緩存330為存儲對反病毒記錄的校正所必需。在高速緩存330中發(fā)現(xiàn)的校正總是被用于特定對象200的反病毒檢查中。因此,例如在激活來自于反病毒數(shù)據(jù)庫160的特定記錄時(shí),將首先在高速緩存330中檢查對該記錄的校正的存在。如果在高速緩存330中存在校正,例如所激活的反病毒記錄的狀態(tài)的改變,那么反病毒應(yīng)用程序以及特別是來自分析模塊系列320中的任意分析模塊的操作將根據(jù)所激活的反病毒記錄的改變后的狀態(tài)來執(zhí)行。在具體情況下,如果作為對經(jīng)校正記錄的數(shù)據(jù)庫440進(jìn)行查詢的結(jié)果,來自分析模塊系列320中的任意分析模塊已經(jīng)接收完全改變的反病毒記錄并已將其保存在高速緩存330中,那么一旦進(jìn)行進(jìn)一步操作,則與來自于反病毒數(shù)據(jù)庫160的記錄相比較,該記錄特別將具有更高的優(yōu)先權(quán)。也就是說,如果在由來自分析模塊系列320中的任意分析模塊進(jìn)行特定對象200的反病毒分析期間,有使用來自于反病毒數(shù)據(jù)庫160或者來自于高速緩存330的與對象200相關(guān)聯(lián)的反病毒記錄的選項(xiàng),那么該分析模塊將選擇來自于高速緩存330的記錄。必須注意,由于對已經(jīng)發(fā)生的校正加以考慮的更新的反病毒記錄將在下一次更新時(shí)被傳送至反病毒數(shù)據(jù)庫160,因此在反病毒數(shù)據(jù)庫160的下一次更新后高速緩存330被清除。如上所述,在一個(gè)示范性實(shí)施例中,反病毒記錄的狀態(tài)可以為“工作”,“測試”或“不活動(inactive)”。當(dāng)激活“工作”記錄時(shí),用戶收到關(guān)于該事件的通知;當(dāng)激活“測試”記錄時(shí),不會發(fā)生通知。如果同時(shí)具有工作狀態(tài)和測試狀態(tài)的記錄是激活的,則將關(guān)于該所激活記錄的信息,例如它的識別符以及有關(guān)對象200的統(tǒng)計(jì)信息發(fā)送至分析和校正服務(wù)器340,在該對象200的檢查期間該反病毒記錄被激活。當(dāng)“不活動”的記錄被激活時(shí),并不實(shí)施上述動作。對于“不活動”狀態(tài)的必要性由以下幾方面的考慮產(chǎn)生。首先,任何記錄改變?yōu)椤安换顒印睜顟B(tài)允許避免誤檢和用戶通知。此外,當(dāng)來自于反病毒數(shù)據(jù)庫160的任意記錄開始將干凈的而且被安裝在世界上大多數(shù)PC 120上的對象定義為惡意時(shí),如MicrosoftWord軟件這樣的對象,則有關(guān)該對象200的大量統(tǒng)計(jì)數(shù)據(jù)將被發(fā)送至分析和校正服務(wù)器340。這樣的統(tǒng)計(jì)數(shù)據(jù)流可使得服務(wù)器340出現(xiàn)過載。及時(shí)在服務(wù)器340上將這一記錄的狀態(tài)改變?yōu)椤安换顒印痹试S對統(tǒng)計(jì)數(shù)據(jù)的后續(xù)傳送加以阻止。如果在經(jīng)校正記錄的數(shù)據(jù)庫440中或者高速緩存330中沒有關(guān)于對所激活記錄的校正的信息,那么取決于記錄的狀態(tài),可向用戶傳送與檢測惡意對象200有關(guān)的通知。關(guān)于所激活反病毒記錄的信息,例如它的識別符連同與激活該記錄的對象200有關(guān)的統(tǒng)計(jì)信息,也可被發(fā)送至分析和校正服務(wù)器340,特別是發(fā)送至信息處理模塊410。必須注意,有關(guān)對象200的統(tǒng)計(jì)數(shù)據(jù)集總是與關(guān)于所激活記錄的信息一起被發(fā)送,該記錄在該對象200的反病毒檢查期間由來自反病毒應(yīng)用310的分析模塊系列320中的某一分析模塊所激活。統(tǒng)計(jì)數(shù)據(jù)集可包括不同的參數(shù),例如對象200的名稱、該對象200的哈希和、版本、權(quán)限等等。分析和校正服務(wù)器也可維護(hù)干凈對象數(shù)據(jù)庫430,干凈對象數(shù)據(jù)庫430包括已知的干凈對象,諸如文件、鏈接、e-mail消息、以及用于即時(shí)消息傳送通信的用戶賬戶記錄、信息交換日志、IP地址、主機(jī)名稱、域名和廣告公司識別符等等。以下本文描述示例性實(shí)施例,干凈對象數(shù)據(jù)庫430博阿含被認(rèn)為是可信任的并且對PC120和存儲在該P(yáng)C 120上的數(shù)據(jù)不顯現(xiàn)威脅的對象的哈希和。必須注意,系統(tǒng)并不限于所給定的示例性實(shí)施例,并且存在大量的可存儲于干凈對象數(shù)據(jù)庫430中的數(shù)據(jù)。在接收到關(guān)于被激活的反病毒記錄的信息諸如它的識別符,以及關(guān)于其分析觸發(fā)了反病毒記錄的激活的對象200的統(tǒng)計(jì)信息之后,信息處理模塊410實(shí)施對接收到的信息與存儲在干凈對象數(shù)據(jù)庫430中的信息的比較。因此,在一個(gè)示范性實(shí)施例中,可將由來自反病毒應(yīng)用程序310的分析模塊系列320中的某一分析模塊所檢查的、反病毒記錄針對其被激活的并且被認(rèn)為是惡意的對象200的哈希和,與存儲在干凈對象數(shù)據(jù)庫430中的干凈對象的哈希和相比較。如果由分析模塊系列320中的某一分析模塊使用反病毒記錄檢查并且認(rèn)為是惡意的對象200的哈希和與來自于干凈對象數(shù)據(jù)庫430的干凈對象的哈希和一致,那么信息處理模塊410將關(guān)于評估該對象為惡意的記錄的信息,例如它的識別符,從干凈對象數(shù)據(jù)庫430發(fā)送至記錄校正模塊420。記錄校正模塊420設(shè)計(jì)為處理關(guān)于反病毒記錄的信息,并且對這些記錄例如對它們的狀態(tài)進(jìn)行校正,所述反病毒記錄錯(cuò)誤的進(jìn)行操作并將來自于數(shù)據(jù)庫430的干凈對象確定為惡意的。記錄校正模塊420包含規(guī)則數(shù)據(jù)庫420a,在其激活期間將由分析和校正模塊420對錯(cuò)誤的反病毒記錄進(jìn)行校正。因此,例如,如果在50個(gè)PC 120上對象200被認(rèn)為是惡意的,那么在規(guī)則數(shù)據(jù)庫420a中可以存在這樣的規(guī)則,其規(guī)定模塊420將其哈希和在干凈對象數(shù)據(jù)庫430中被發(fā)現(xiàn)的對象200的記錄的狀態(tài)從“工作”校正為“不活動”。例如,考慮到若干個(gè)對象200也可由一個(gè)反病毒記錄識別為惡意的,則規(guī)定將記錄狀態(tài)從“工作”校正為“不活動”的規(guī)則也可在指定的比例閾值上被激活,該比例在對象非惡意時(shí)由被認(rèn)為是惡意的對象的反病毒記錄加以確定與由實(shí)際上惡意的對象的相同記錄加以確定之間。如果該比例超出預(yù)設(shè)的閾值,例如超出0. 01%,那么將由記錄校正模塊420將該反病毒記錄的狀態(tài)從“工作”改為“不活動”。類似地,具有“工作”狀態(tài)的記錄也可改變?yōu)椤皽y試”狀態(tài),并且反之亦然。例如,如果由實(shí)際上惡意的對象的該記錄加以確定和由被認(rèn)為是惡意的干凈對象的相同記錄加以確定之間的比例值相應(yīng)地為99. 9%,那么該反病毒記錄的狀態(tài)可由該記錄校正模塊420從“測試”改變?yōu)椤肮ぷ鳌薄H欢?,如果該比例值降低到例?0%或者更低的值,那么將由記錄校正模塊420將該反病毒記錄的狀態(tài)從“測試”改變?yōu)椤安换顒印?。此外,反病毒記錄的新狀態(tài)將和該記錄的識別符一起被發(fā)送至經(jīng)校正記錄的數(shù)據(jù)庫440。在一個(gè)示范性實(shí)施例中,只要用于校正記錄狀態(tài)的規(guī)則被激活并且記錄狀態(tài)被改變,則記錄校正模塊420就可使用例如推送更新(PUSH-update)技術(shù)來執(zhí)行將與任意反病毒記錄的經(jīng)校正狀態(tài)有關(guān)的信息傳遞至大量PC 120上的反病毒應(yīng)用程序310的高速緩存330。推送更新技術(shù)是用于強(qiáng)制更新的技術(shù)。也就是說,一旦更新在服務(wù)器變得可用,則服務(wù)器110自動地將更新傳送至反病毒應(yīng)用程序310,而不是由反病毒應(yīng)用310每幾分鐘就對更新服務(wù)器110檢查更新的存在。因此,所描述的系統(tǒng)對由反病毒應(yīng)用程序310所使用的錯(cuò)誤的反病毒記錄實(shí)施檢測、校正這些記錄的狀態(tài)、并將對記錄的校正傳遞至經(jīng)校正記錄的數(shù)據(jù)庫440或使用推送-更新技術(shù)傳遞至安裝在許多PC 120上的反病毒應(yīng)用程序310的高速緩存330。在一個(gè)示范性實(shí)施例中,可將人為分析引入到由記錄校正模塊420接收到的反病毒記錄的分析中。分析師可負(fù)責(zé)利用新規(guī)則來填充規(guī)則數(shù)據(jù)庫420a,基于所述新規(guī)則反病毒記錄將被改變。分析師也可利用關(guān)于各種記錄的新狀態(tài)的信息以及完全改變了的反病毒記錄來填充經(jīng)校正記錄數(shù)據(jù)庫440。圖5描繪了用于及時(shí)地校正反病毒記錄以最小化惡意軟件誤檢的系統(tǒng)的運(yùn)行方法。系統(tǒng)的運(yùn)行從步驟510開始,在該步驟由來自反病毒應(yīng)用程序310的分析模塊系列320中的某一分析模塊在對象200的反病毒檢查期間對來自于反病毒數(shù)據(jù)庫160的一個(gè)唯一的反病毒記錄進(jìn)行激活。所激活的記錄具有唯一識別符以及狀態(tài),例如“工作”、“測試”或者“不活動”。然后在步驟520,在對由反病毒記錄確定為惡意的對象200實(shí)施任何動作,例如通知用戶在PC 120上檢測到這一對象之前,來自分析模塊系列320的某個(gè)分析模塊查詢分析和校正服務(wù)器340,特別是查詢經(jīng)校正記錄數(shù)據(jù)庫440,目的在于確立所激活記錄的有效性。例如,在查詢中指出所激活反病毒記錄的識別符。然后,在步驟530,如果具有該識別符的記錄在下一次更新之前被校正例如它的狀態(tài)改變,并且該校正在校正數(shù)據(jù)庫440中被發(fā)現(xiàn),在這種情況下所述校正為關(guān)于新的狀態(tài)的信息,那么在步驟540,響應(yīng)于對反病毒應(yīng)用程序310的查詢,例如對來自分析模塊系列320中的某一分析模塊的查詢,將傳送與所激活記錄的狀態(tài)的校正有關(guān)的信息。進(jìn)一步,反病毒應(yīng)用程序310,特別是來自分析模塊系列320中的某一分析模塊,將使用經(jīng)校正記錄來對對象200進(jìn)行惡意軟件的存在的分析,或者實(shí)施與反病毒記錄的更新后狀態(tài)相關(guān)聯(lián)的其他動作。例如,取決于記錄的新的狀態(tài),如果例如反病毒記錄的狀態(tài)從“測試”改變?yōu)椤肮ぷ鳌?,則可將檢測惡意對象200的通知發(fā)送給用戶。另一方面,如果例如記錄的狀態(tài)改變?yōu)椤安换顒印庇涗?,則沒有通知。然后系統(tǒng)的運(yùn)行在步驟540后結(jié)束。在一個(gè)示范性實(shí)施例中,系統(tǒng)的運(yùn)行可能并不在步驟540之后結(jié)束,而是繼續(xù)進(jìn)入步驟550。如前所述,一個(gè)反病毒記錄可將若干個(gè)對象200檢測為惡意的。在系統(tǒng)運(yùn)行期間,可能會有這樣的情況可出現(xiàn)新的對象200,例如用于屬于“干凈”對象的新應(yīng)用程序的安裝文件,并且其狀態(tài)之前從“測試”校正為“工作”的反病毒記錄已經(jīng)開始將該對象定義為惡意的。將系統(tǒng)在步驟540之后的運(yùn)行擴(kuò)展至步驟550有助于避免這樣的情況,即誤報(bào)檢測,也就是在校正了反病毒記錄,比如其狀態(tài)之后反復(fù)出現(xiàn)誤檢的風(fēng)險(xiǎn)。在一個(gè)示范性實(shí)施例中,在步驟540,將與記錄的校正有關(guān)的信息從來自分析模塊系列320中的某一分析模塊傳送至高速緩存330,該高速緩存330為存儲這些對反病毒記錄的校正所必需。在高速緩存330中發(fā)現(xiàn)的校正總是被用于某一對象200的反病毒檢查中。因此,例如,當(dāng)激活來自于反病毒數(shù)據(jù)庫160的某一記錄時(shí),將對高速緩存330中的這一記錄檢查校正的存在。如果在高速緩存330中存在校正,例如反病毒記錄的狀態(tài)的改變,那么反病毒應(yīng)用程序310的操作,特別是來自分析模塊系列320的某一分析模塊的操作,將根據(jù)所激活記錄的經(jīng)校正狀態(tài)來實(shí)施。在具體的實(shí)施例中還必須注意,將記錄校正從記錄校正模塊420直接傳送至高速緩存330時(shí),在步驟520,來自分析模塊系列320中的某一分析模塊將查詢反病毒應(yīng)用程序310的高速緩存330,而非分析和校正服務(wù)器340。以及,如果在步驟530,具有給定識別符的記錄在基本更新之前沒被改變,并且在校正數(shù)據(jù)庫440中沒有針對該記錄的校正的信息,那么系統(tǒng)的操作繼續(xù)進(jìn)入步驟550。在這一步驟,來自分析模塊系列320中的某一分析模塊將與所激活記錄有關(guān)的信息,例如它的識別符,以及與在其分析期間該反病毒記錄被激活的對象200有關(guān)的統(tǒng)計(jì)信息傳遞至分析和校正服務(wù)器340,特別是傳遞至信息處理模塊410。統(tǒng)計(jì)數(shù)據(jù)集可包括各種參數(shù),例如對象200的名稱、哈希和、版本、權(quán)限等等。在分析和校正服務(wù)器側(cè)340,也存在干凈對象數(shù)據(jù)庫430。在接收到與所激活記錄有關(guān)的信息例如它的識別符,以及與在其反病毒檢查期間該記錄被激活的對象200有關(guān)的統(tǒng)計(jì)信息之后,信息處理模塊410在步驟560對接收到的信息與存儲在干凈對象數(shù)據(jù)庫430中的信息實(shí)施比較。因此,在一個(gè)示范性實(shí)施例中,將關(guān)于對其激活反病毒記錄并且被認(rèn)為是惡意的被檢查對象200的哈希和的信息,與關(guān)于存儲在干凈對象數(shù)據(jù)庫430中的干凈對象的哈希和的信息相比較。在具體實(shí)施例中,可以將與被檢查對象200有關(guān)的其他信息例如它的名稱,與來自干凈對象數(shù)據(jù)庫430中的相應(yīng)信息相比較。比較也可在關(guān)于被檢查對象200的多個(gè)參數(shù)的信息和來自干凈對象數(shù)據(jù)庫430中的相應(yīng)信息之間進(jìn)行。此外,在步驟570,如果在將關(guān)于對其激活反病毒記錄并且被認(rèn)為是惡意的被檢查對象200的哈希和的信息與關(guān)于存儲在干凈對象數(shù)據(jù)庫430中的干凈對象的哈希和的信息相比較之后,由于干凈對象數(shù)據(jù)庫430中沒有該對象的哈希和而確立該對象事實(shí)上為惡意的,那么系統(tǒng)運(yùn)行結(jié)束。然而,如果在步驟570,確定由來自分析模塊系列320中的某一分析模塊使用反病毒記錄檢查并確定為惡意的對象200的哈希和與來自干凈對象數(shù)據(jù)庫430中的干凈對象的哈希和相匹配,那么在步驟580,信息處理模塊410將關(guān)于確定對象為惡意的反病毒記錄的信息發(fā)送至記錄校正模塊420。這樣的信息可以是例如該反病毒記錄的識別符。記錄校正模塊420包含規(guī)則數(shù)據(jù)庫420a,在規(guī)則數(shù)據(jù)庫420a由記錄校正模塊420激活期間,某一反病毒記錄將被校正,例如它的狀態(tài)。因此,如果在步驟590,在接收到關(guān)于確定對象200為惡意的反病毒記錄的信息之后,關(guān)于該對象200的信息存在于干凈對象數(shù)據(jù)庫中并且用于校正該記錄的規(guī)則未被激活,那么系統(tǒng)運(yùn)行返回到步驟510。如果記錄校正模塊420已經(jīng)接收到關(guān)于該記錄的信息的次數(shù)不足,并且記錄的錯(cuò)誤激活情況的數(shù)量不足以激活用于校正該記錄的規(guī)則,那么類似結(jié)果可能會發(fā)生。必須理解,在這種情況下,將考慮在步驟510為另一個(gè)PC 120開始系統(tǒng)運(yùn)行,在該P(yáng)C上在檢查同一個(gè)對象200期間相同的反病毒記錄已被激活。然而,如果在步驟590,在接收到關(guān)于確定其哈希和在在干凈對象數(shù)據(jù)庫430中的對象為惡意的反病毒記錄的信息之后,規(guī)則被激活以校正該記錄,那么系統(tǒng)運(yùn)行繼續(xù)進(jìn)入步驟595。在該步驟,記錄校正模塊420將產(chǎn)生反病毒記錄的校正,例如針對該記錄的狀態(tài)??捎捎涗浶UK420來改變反病毒記錄的狀態(tài),例如從“工作”改變?yōu)椤安换顒印?。此外,反病毒記錄的新的狀態(tài)和該記錄的識別符一起被發(fā)送至經(jīng)校正記錄數(shù)據(jù)庫440。在一個(gè)示范性實(shí)施例中,一旦規(guī)則被激活以校正記錄的狀態(tài)并且記錄狀態(tài)被改變,則記錄校正模塊420就可使用例如推送更新技術(shù)來執(zhí)行將與任意反病毒記錄的經(jīng)校正狀態(tài)有關(guān)的信息至安裝于多個(gè)PC 120上的反病毒應(yīng)用310的高速緩存330的傳遞。因此,記錄校正,例如它的狀態(tài),將被傳送至經(jīng)校正記錄數(shù)據(jù)庫440或者至反病毒應(yīng)用程序310的高速緩存330。在這之后,隨著在另一 PC 120上在來自分析模塊系列320的任意分析模塊的運(yùn)行期間來自反病毒數(shù)據(jù)庫160的相同記錄的激活,以及傳送查詢至經(jīng)校正記錄數(shù)據(jù)庫440或者至高速緩存330,將接收與反病毒記錄的校正有關(guān)的信息,例如新的狀態(tài),該信息將由來自分析模塊系列320中的分析模塊用來分析對象。圖6描繪了計(jì)算機(jī)系統(tǒng)5的示范性實(shí)施例,在該計(jì)算機(jī)系統(tǒng)5上可實(shí)施上述用于惡意軟件檢測的系統(tǒng)。系統(tǒng)5可包括網(wǎng)絡(luò)服務(wù)器、個(gè)人計(jì)算機(jī)、筆記本電腦、平板電腦、智能電話或者其他類型的數(shù)據(jù)處理或計(jì)算裝置。計(jì)算機(jī)5可以包括由系統(tǒng)總線10所連接的一個(gè)或多個(gè)處理器15、存儲器20、一個(gè)或多個(gè)硬盤驅(qū)動器30、光盤驅(qū)動器35、串行端口 40、圖形卡45、聲卡50和網(wǎng)卡55。系統(tǒng)總線10可以是使用各種已知總線架構(gòu)的任意一種的若干類型總線結(jié)構(gòu)的任意一種,包括存儲器總線或存儲器控制器、外圍總線和局部總線。處理器15可包括一個(gè)或多個(gè)Intel Core 2Quad 2. 33GHz處理器或其他類型的微處理器。系統(tǒng)存儲器20可以包括只讀存儲器(ROM) 21以及隨機(jī)存取存儲器(RAM) 23。存儲器20可實(shí)現(xiàn)為DRAM (動態(tài)RAM)、EPR0M、EEPR0M、閃存或者其它類型的存儲器架構(gòu)。ROM21存儲基本輸入/輸出系統(tǒng)22 (BIOS),包含有助于在計(jì)算機(jī)系統(tǒng)5的部件之間傳遞信息的基本例程,例如在啟動期間。RAM 23存儲操作系統(tǒng)24 (OS),例如Windows XP或者其它類型的操作系統(tǒng),所述操作系統(tǒng)負(fù)責(zé)對計(jì)算機(jī)系統(tǒng)5中的進(jìn)程進(jìn)行管理和協(xié)調(diào),并且對計(jì)算機(jī)系統(tǒng)5中的硬件資源進(jìn)行分配和共享。系統(tǒng)存儲器20也存儲了應(yīng)用程序和程序25,諸如反病毒應(yīng)用程序。存儲器20也存儲了由程序25所使用的各種運(yùn)行時(shí)(runtime)數(shù)據(jù)26。計(jì)算機(jī)系統(tǒng)5可更進(jìn)一步地包括硬盤驅(qū)動器30,諸如SATA磁性硬盤驅(qū)動器(HDD),以及用于對可移動光盤,諸如CD-ROM、DVD-ROM或者其它光學(xué)媒介進(jìn)行讀取或者寫入的光盤驅(qū)動器35。驅(qū)動器30和35及其相關(guān)聯(lián)的計(jì)算機(jī)可讀媒介提供了對實(shí)現(xiàn)本文所公開的算法以及方法的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、應(yīng)用程序和程序模塊/子例程的非易失性存儲。雖然示例性的計(jì)算機(jī)系統(tǒng)5采用了磁盤以及光盤,但是本領(lǐng)域技術(shù)人員應(yīng)該了解到在所述計(jì)算機(jī)系統(tǒng)的可替換實(shí)施例中也可以使用其他類型的可以儲存計(jì)算機(jī)系統(tǒng)5可訪問的數(shù)據(jù)的計(jì)算機(jī)可讀媒介,諸如磁帶盒、閃存卡、數(shù)字視頻光盤、RAM、ROM、EPROM及其它類型的存儲器。計(jì)算機(jī)系統(tǒng)5更進(jìn)一步地包括多個(gè)串行端口 40,諸如通用串行總線(USB),其用于連接數(shù)據(jù)輸入設(shè)備75,諸如鍵盤、鼠標(biāo)、觸摸板及其它設(shè)備。串行端口 40也可用于連接數(shù)據(jù)輸出設(shè)備80,諸如打印機(jī)、掃描儀及其他設(shè)備,以及連接其它的外圍設(shè)備85,諸如外部數(shù)據(jù)存儲設(shè)備等。系統(tǒng)5也可包括圖形卡45,諸如nVidia GeForce GT 240M或者其它的視頻卡,用于與監(jiān)視器60或者其它的視頻再現(xiàn)設(shè)備相連接。系統(tǒng)5也可包括聲卡50,用于經(jīng)由內(nèi)部或者外接揚(yáng)聲器65再現(xiàn)聲音。此外,系統(tǒng)5可以包括網(wǎng)卡55,諸如以太網(wǎng)、WiF1、GSM、藍(lán)牙或者其它有線、無線或蜂窩網(wǎng)絡(luò)接口,用于將計(jì)算機(jī)系統(tǒng)5連接到網(wǎng)絡(luò)70,諸如因特網(wǎng)。在各種實(shí)施例中,本文所描述的算法以及方法都可以以硬件、軟件、固件或者其任意組合來實(shí)現(xiàn)。如果以軟件來實(shí)現(xiàn),那么功能可以以一個(gè)或多個(gè)指令或者代碼的方式存儲在非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)上。計(jì)算機(jī)可讀介質(zhì)同時(shí)包括計(jì)算機(jī)存儲和有助于將計(jì)算機(jī)程序從一個(gè)地方傳遞到另一個(gè)地方的通信介質(zhì)。存儲介質(zhì)可以是可由計(jì)算機(jī)訪問的任何可用媒介。舉例來說,而并非限定,這種計(jì)算機(jī)可讀介質(zhì)可以包括RAM、ROM、EEPR0M、CD-ROM或其它的光盤存儲器、磁盤存儲器或其它的磁存儲設(shè)備、或者任何其它可用于承載或存儲所需的指令或者數(shù)據(jù)結(jié)構(gòu)形式的程序代碼并且可由計(jì)算機(jī)訪問的介質(zhì)。此外,任何連接都可被稱為計(jì)算機(jī)可讀介質(zhì)。例如,如果使用同軸電纜、光纖電纜、雙絞線、數(shù)字用戶線路(DSL)或者無線技術(shù)諸如紅外線、無線電和微波來從網(wǎng)站、服務(wù)器或者其它的遠(yuǎn)程資源傳送軟件,則其均包括在所述介質(zhì)的定義中。為了清楚起見,本文并未對實(shí)施例的所有常規(guī)特征加以示出和描述。應(yīng)當(dāng)意識到在任何這類實(shí)際的實(shí)現(xiàn)方案的開發(fā)過程中,必須做出大量特定于實(shí)現(xiàn)方案的決策以實(shí)現(xiàn)開發(fā)者的特定目標(biāo),同時(shí)應(yīng)當(dāng)意識到這些特定目標(biāo)將隨實(shí)現(xiàn)方案的不同以及開發(fā)者的不同而變化。而且,應(yīng)當(dāng)意識到這類開發(fā)工作可能是復(fù)雜且耗費(fèi)時(shí)間的,但是對于受益于本公開的本領(lǐng)域的普通技術(shù)人員而言,都將是常規(guī)的工程任務(wù)。此外,可以理解的是在此使用的措辭或術(shù)語是為了描述而非限定的目的,以便本領(lǐng)域的技術(shù)人員根據(jù)本文提出的教導(dǎo)及指引并結(jié)合相關(guān)領(lǐng)域技術(shù)人員所掌握的知識來解讀本說明書中的措辭或術(shù)語。而且,除非如此明確的予以闡述,否則本說明書或權(quán)利要求中的任何術(shù)語均并非意圖歸結(jié)為非常規(guī)或者特殊的含義。本文披露的各種實(shí)施例包含本文通過示例的方式所提及的已知部件的現(xiàn)在和將來的已知等同物。而且,盡管已經(jīng)示出及描述了實(shí)施例及其應(yīng)用,但對于受益于本發(fā)明的本領(lǐng)域的技術(shù)人員而言顯而易見的是,在不脫離本文所披露的發(fā)明構(gòu)思的情況下,比以上提及的更多的修改是可能的。
權(quán)利要求
1.一種用于惡意軟件檢測的計(jì)算機(jī)實(shí)現(xiàn)的方法,所述方法包括 由反病毒應(yīng)用程序?qū)浖ο筮M(jìn)行存在惡意軟件的分析; 從反病毒數(shù)據(jù)庫中檢索與所分析對象相關(guān)聯(lián)的反病毒記錄,其中所述反病毒記錄識別所述對象為惡意的; 在經(jīng)校正反病毒記錄數(shù)據(jù)庫中檢查用于檢索到的反病毒記錄的校正; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫中發(fā)現(xiàn)用于所述反病毒記錄的校正,則基于所述校正更新在所述反病毒數(shù)據(jù)庫中的所述反病毒記錄,并且使用更新的反病毒記錄用于對所述軟件對象進(jìn)行存在惡意軟件的分析; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫中沒有發(fā)現(xiàn)用于所述反病毒記錄的校正,則利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,其中所述反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的多個(gè)反病毒應(yīng)用程序所收集的有關(guān)軟件對象的統(tǒng)計(jì)信息來證實(shí)反病毒記錄的正確性;以及 如果所述反病毒服務(wù)器提供用于所述反病毒記錄的校正,則基于所述校正來更新所述反病毒數(shù)據(jù)庫中的所述反病毒記錄,并且使用更新的反病毒記錄用于對所述軟件對象進(jìn)行存在惡意軟件的分析。
2.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括 如果所述反病毒服務(wù)器不提供用于所述反病毒記錄的校正,則使用所述檢索到的反病毒記錄用于對所述軟件對象進(jìn)行存在惡意軟件的分析;以及 將有關(guān)所述軟件對象的信息和從所述反病毒數(shù)據(jù)庫檢索到的所述相關(guān)聯(lián)的反病毒記錄發(fā)送至所述反病毒服務(wù)器。
3.根據(jù)權(quán)利要求1所述的方法,其中利用反病毒服務(wù)器檢查所述反病毒記錄的正確性進(jìn)一步包括 將有關(guān)所述軟件對象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對所提供的有關(guān)所述軟件對象的信息與有關(guān)已知的干凈對象的信息相比較。
4.根據(jù)權(quán)利要求1所述的方法,其中利用反病毒服務(wù)器檢查所述反病毒記錄的正確性進(jìn)一步包括 將有關(guān)所述軟件對象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對所提供的有關(guān)所述軟件對象的信息與從其他軟件應(yīng)用程序所收集的有關(guān)所述軟件對象的統(tǒng)計(jì)信息相比較。
5.根據(jù)權(quán)利要求1所述的方法,其中用于所述反病毒記錄的校正包括所述反病毒記錄的狀態(tài)的改變,其中所述反病毒記錄的所述狀態(tài)選自包括工作記錄、測試記錄和不活動記錄的組中。
6.根據(jù)權(quán)利要求1所述的方法,其中當(dāng)所述反病毒服務(wù)器基于所收集的有關(guān)所述反病毒記錄的統(tǒng)計(jì)信息確定對所述反病毒記錄應(yīng)用記錄校正規(guī)則時(shí),觸發(fā)所述反病毒記錄的所述狀態(tài)的改變。
7.根據(jù)權(quán)利要求6所述的方法,其中當(dāng)所述反病毒服務(wù)器確定由所述反病毒記錄將所述軟件對象識別為惡意的數(shù)量超出由所述反病毒記錄將所述軟件對象識別為干凈的數(shù)量預(yù)定閾值時(shí),觸發(fā)所述反病毒記錄的所述狀態(tài)的改變。
8.一種用于惡意軟件檢測的基于計(jì)算機(jī)的系統(tǒng),所述系統(tǒng)包括第一數(shù)據(jù)存儲,存儲包含多個(gè)反病毒記錄的反病毒數(shù)據(jù)庫; 第二數(shù)據(jù)存儲,存儲包含用于一個(gè)或多個(gè)反病毒記錄的一個(gè)或多個(gè)校正的經(jīng)校正反病毒記錄數(shù)據(jù)庫;以及 耦合至所述第一數(shù)據(jù)存儲和第二數(shù)據(jù)存儲的處理器,所述處理器配置為 使用反病毒應(yīng)用程序?qū)浖ο筮M(jìn)行存在惡意軟件的分析; 從所述反病毒數(shù)據(jù)庫檢索與所分析對象相關(guān)聯(lián)的反病毒記錄,其中所述反病毒記錄識別所述對象為惡意的; 在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫中檢查用于檢索到的反病毒記錄的校正; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫中發(fā)現(xiàn)用于所述反病毒記錄的校正,則基于所述校正更新在所述反病毒數(shù)據(jù)庫中的所述反病毒記錄,并且使用更新的反病毒記錄用于對所述軟件對象進(jìn)行存在惡意軟件的分析; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫中沒有發(fā)現(xiàn)用于所述反病毒記錄的校正,則利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,其中所述反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的多個(gè)反病毒應(yīng)用程序所收集的有關(guān)軟件對象的統(tǒng)計(jì)信息來證實(shí)反病毒記錄的正確性;以及 如果所述反病毒服務(wù)器提供用于所述反病毒記錄的校正,則基于所述校正來更新所述反病毒數(shù)據(jù)庫中的所述反病毒記錄,并且使用更新的反病毒記錄用于對所述軟件對象進(jìn)行存在惡意軟件的分析。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述處理器進(jìn)一步配置為 如果所述反病毒服務(wù)器不提供用于所述反病毒記錄的校正,則使用所述檢索到的反病毒記錄用于對所述軟件對象進(jìn)行存在惡意軟件的分析;以及 將有關(guān)所述軟件對象的信息和從所述反病毒數(shù)據(jù)庫檢索到的所述相關(guān)聯(lián)的反病毒記錄發(fā)送至所述反病毒服務(wù)器。
10.根據(jù)權(quán)利要求8所述的系統(tǒng),其中為了利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,所述處理器進(jìn)一步配置為 將有關(guān)所述軟件對象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對所提供的有關(guān)所述軟件對象的信息與有關(guān)已知的干凈對象的信息相比較。
11.根據(jù)權(quán)利要求8所述的系統(tǒng),其中為利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,所述處理器進(jìn)一步配置為 將有關(guān)所述軟件對象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對所提供的有關(guān)所述軟件對象的信息與從其他軟件應(yīng)用程序所收集的有關(guān)所述軟件對象的統(tǒng)計(jì)信息相比較。
12.根據(jù)權(quán)利要求8所述的系統(tǒng),其中用于所述反病毒記錄的校正包括所述反病毒記錄的狀態(tài)的改變,其中所述反病毒記錄的所述狀態(tài)選自包括工作記錄、測試記錄和不活動記錄的組中。
13.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述反病毒記錄的所述狀態(tài)的改變在所述反病毒服務(wù)器基于所收集的有關(guān)所述反病毒記錄的統(tǒng)計(jì)信息確定對所述反病毒記錄應(yīng)用記錄校正規(guī)則時(shí)觸發(fā)。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其中所述反病毒記錄的所述狀態(tài)的改變在所述反病毒服務(wù)器確定由所述反病毒記錄將所述軟件對象識別為惡意的數(shù)量超出由所述反病毒記錄將 所述軟件對象識別為干凈的數(shù)量預(yù)定閾值時(shí)觸發(fā)。
全文摘要
公開為用于校正反病毒記錄的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。在示范性方法中,在對軟件對象進(jìn)行惡意軟件分析期間,反病毒應(yīng)用程序從反病毒數(shù)據(jù)庫檢索與所分析對象相關(guān)聯(lián)的反病毒記錄,其將對象識別為惡意的或者干凈的。應(yīng)用程序還檢查在反病毒高速緩存中是否存在用于反病毒記錄的校正,并使用該校正來分析軟件對象。如果在高速緩存中沒有發(fā)現(xiàn)校正,則應(yīng)用程序利用反病毒服務(wù)器檢查反病毒記錄的正確性。反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的反病毒應(yīng)用程序所收集的有關(guān)軟件對象的統(tǒng)計(jì)信息來證實(shí)反病毒記錄的正確性。如果反病毒服務(wù)器提供對反病毒記錄的校正,則應(yīng)用程序使用所提供的校正來對軟件對象進(jìn)行惡意軟件分析。
文檔編號G06F21/56GK103020522SQ20121048493
公開日2013年4月3日 申請日期2012年11月23日 優(yōu)先權(quán)日2011年11月24日
發(fā)明者亞歷山大·A·羅曼年科, 安東·S·拉普什金, 奧列格·A·伊沙諾夫 申請人:卡巴斯基實(shí)驗(yàn)室封閉式股份公司