專利名稱:反惡意軟件處理中誤報(bào)的檢測(cè)和最小化的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及反惡意軟件技術(shù)領(lǐng)域���,更具體地�����,涉及發(fā)生在反惡意軟件處理期間的 誤報(bào)的檢測(cè)和最小化�。
背景技術(shù):
病毒和惡意軟件的檢測(cè)已經(jīng)成為貫穿整個(gè)個(gè)人計(jì)算機(jī)時(shí)代需要考慮的事情。隨著 例如互聯(lián)網(wǎng)等通信網(wǎng)絡(luò)的增長(zhǎng)和數(shù)據(jù)交換的日益增加����,包括用于通信的電子郵件的使用的 迅速增長(zhǎng)��,計(jì)算機(jī)通過通信或文件交換的傳染是一個(gè)日益重要的考慮因素����。傳染采取各種 形式,但是一般和計(jì)算機(jī)病毒�、木馬程序或其它形式的惡意代碼(例如,惡意軟件)相關(guān)���。近來��,以電子郵件為媒介導(dǎo)致的病毒攻擊事件��,無論在傳播的速度還是破壞的程 度上都是巨大的�,并且互聯(lián)網(wǎng)服務(wù)提供商(ISP)和企業(yè)遭受著服務(wù)的問題和電子郵件性能 的損失��。在許多情況下�,試圖充分地防止文件交換或以電子郵件為媒介導(dǎo)致的傳染給計(jì)算 機(jī)用戶帶來了嚴(yán)重的不便���。因此,期望出現(xiàn)用于檢測(cè)和應(yīng)對(duì)病毒攻擊的改進(jìn)的策略���。一種用于檢測(cè)病毒的常規(guī)方法是簽名(signature)掃描���。簽名掃描系統(tǒng)使用從已 知的惡意軟件代碼中提取的樣本代碼模式,并且在其它程序代碼中掃描這些模式的出現(xiàn)��。 簽名掃描方法的主要限制在于僅能檢測(cè)已知惡意代碼�,也就是說,只有和已存儲(chǔ)的已知惡 意代碼的樣本簽名相匹配的代碼才能被識(shí)別為受到傳染���。以前沒有識(shí)別出的所有的病毒或 惡意代碼�、以及在最近更新簽名數(shù)據(jù)庫(kù)的日期之后創(chuàng)建的所有的病毒或惡意代碼都不會(huì)被 檢測(cè)出來����。此外,如果簽名沒有以預(yù)期的方式排列在代碼中����,那么簽名分析技術(shù)無法識(shí)別病 毒的存在。替代地����,病毒的作者可能通過操作碼置換���,或?qū)未a(dummy code)或隨機(jī)代 碼插入到病毒功能中來模糊病毒的識(shí)別。無意義的代碼將病毒的簽名改變成足以使簽名掃 描程序無法檢測(cè)到病毒的存在����,但并沒有減少病毒傳播和輸送其有效載荷的能力�����。另一種病毒檢測(cè)策略是完整性校驗(yàn)�。完整性檢測(cè)系統(tǒng)從已知的、良性的應(yīng)用程序 代碼中提取代碼樣本�����。代碼樣本和來自程序文件的信息����,例如可執(zhí)行程序的首部和文件長(zhǎng) 度以及樣本的日期和時(shí)間戳,一同儲(chǔ)存�����。每隔一定間隔,程序文件就對(duì)此數(shù)據(jù)庫(kù)進(jìn)行校驗(yàn)�, 以確保程序文件未被修改。當(dāng)用戶升級(jí)計(jì)算機(jī)的操作系統(tǒng)或者安裝或升級(jí)應(yīng)用軟件的時(shí)候����,完整性校驗(yàn)程序 生成修改的文件的長(zhǎng)列表?�;谕暾孕r?yàn)的病毒檢測(cè)的主要缺點(diǎn)在于�����,每當(dāng)執(zhí)行應(yīng)用程 序的任何修改就會(huì)發(fā)出大量病毒活動(dòng)警告��。當(dāng)警告可能表示對(duì)計(jì)算機(jī)系統(tǒng)的合法的攻擊 時(shí)���,對(duì)用戶來說變得難以決策�����。校驗(yàn)和監(jiān)視系統(tǒng)(通常��,控制和或哈希監(jiān)視系統(tǒng))通過為每個(gè)程序文件生成循環(huán) 冗余校驗(yàn)(CRC)值來檢測(cè)病毒�。通過CRC值中的差別檢測(cè)程序文件的修改��。校驗(yàn)和監(jiān)視器 基于惡意代碼很難擊敗監(jiān)視這一事實(shí)而改進(jìn)了完整性校驗(yàn)系統(tǒng)。另一方面����,校驗(yàn)和監(jiān)視器 和完整性校驗(yàn)系統(tǒng)表現(xiàn)出相同的限制,即發(fā)出太多錯(cuò)誤警告�,并且確定哪些警告代表實(shí)際 的病毒或傳染變得困難。
一種有效的常規(guī)方法是使用所謂的白名單����,即已知“干凈(clean) ”的軟件組件、鏈 接���、程序庫(kù)和其它干凈的對(duì)象的列表?�?梢允褂霉V祵⒖梢蓪?duì)象和白名單進(jìn)行比較��。例 如����,在W0/2007066333中披露了哈希值的使用,其中��,白名單由已知干凈應(yīng)用程序的哈希值 組成���。在W0/2007066333中���,計(jì)算校驗(yàn)和�,并將其和已知的校驗(yàn)和相比較�����。為達(dá)到高效的目的���,必須經(jīng)常升級(jí)和披露白名單�,例如����,在US 2008/0168558中, 使用ISP用于更新白名單��。在US 2008/0104186中���,使用由消息的內(nèi)容得出的某些信息來 更新白名單����。此外,在US 2007/0083757中�����,決定白名單是否需要被校正�����,如果需要校正�����,則 檢索白名單的最新版本��。當(dāng)使用白名單時(shí)���,不可避免地會(huì)做出某些誤報(bào)(false positive)的確定。因?yàn)檎` 報(bào)會(huì)引起可能和惡意軟件一樣多的危害�,所以必須檢測(cè)出它們。例如��,AV(Anti-Virus���,反病 毒)軟件會(huì)將一個(gè)合法的組件“認(rèn)為”是惡意軟件��,從而導(dǎo)致AV軟件廠商的信譽(yù)受到嚴(yán)重 的破壞���,并且給許多用戶帶來麻煩并浪費(fèi)其時(shí)間�。發(fā)生的另一種情況為���,惡意軟件被誤認(rèn)為 是一個(gè)“干凈”的組件而危害系統(tǒng)�����。目前�,主動(dòng)錯(cuò)誤信息和校正白名單由人工檢測(cè)��。由于這 一過程達(dá)到很大程度上的人工���,需要分析師的參與��,所以這會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間���,經(jīng)常幾個(gè) 小時(shí),有時(shí)會(huì)長(zhǎng)達(dá)一到兩天�����,從而對(duì)許多用戶來說,在更新和分布白名單之前不能防止同一 誤報(bào)的出現(xiàn)�。在US 2008/0168558中披露了誤報(bào)的檢測(cè),其中通過比較各種威脅報(bào)告來檢測(cè)誤 報(bào)��。在W0/03077071中披露了將誤報(bào)值考慮在內(nèi)的安全系統(tǒng)����。然而,常規(guī)系統(tǒng)并不能提供基于檢測(cè)到的誤報(bào)進(jìn)行有效和可靠的白名單的更新���。 例如�����,在US 2006/0206935中��,對(duì)使風(fēng)險(xiǎn)誤報(bào)最小化進(jìn)行了討論�,但是沒有建議如何校正白名單���。在W0/9909507中,神經(jīng)網(wǎng)絡(luò)被用于使誤報(bào)最小化�。然而,此對(duì)比文件并沒有涉及 白名單的校正�。在US 2007/0220043中,例如廠商、產(chǎn)品版本和產(chǎn)品名稱的參數(shù)被用于評(píng)估 潛在的威脅����。然而,這些參數(shù)沒有被用于白名單的校正��。其它常規(guī)系統(tǒng)使用軟件許可證信 息�����,用于把軟件包含在白名單中��。在其它系統(tǒng)中��,數(shù)字簽名被用于將對(duì)象放置到白或黑(即���,惡意軟件)名單中���。例 如,在W0/2007143394中���,數(shù)字簽名被包含在白名單中��。然而���,也沒有披露如何校正和更新 白名單����。顯然���,期望為維護(hù)�����、校正和更新白名單和黑名單的改進(jìn)的技術(shù)��。因此�,本領(lǐng)域中需 要一種系統(tǒng)和方法用來滿足檢測(cè)和最小化發(fā)生在反惡意軟件處理過程中的誤報(bào)的需求��。
發(fā)明內(nèi)容
本發(fā)明旨在提供一種用于檢測(cè)和最小化發(fā)生在反惡意軟件處理期間的誤報(bào)的方 法和系統(tǒng)�����,其基本上避免了一個(gè)或多個(gè)現(xiàn)有技術(shù)的缺點(diǎn)�。本發(fā)明的一個(gè)方面提供一種用于檢測(cè)發(fā)生在執(zhí)行反惡意軟件應(yīng)用程序中的誤報(bào) 的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品����。根據(jù)示例性實(shí)施例,誤報(bào)的檢測(cè)和校正分為兩個(gè)階段實(shí) 施在創(chuàng)建新的反病毒數(shù)據(jù)庫(kù)(即�,惡意軟件黑名單)之前,以及在建成反病毒數(shù)據(jù)庫(kù)并檢 測(cè)到新的誤報(bào)之后���。系統(tǒng)計(jì)算潛在的惡意軟件對(duì)象的檢測(cè)概率�?���;诖烁怕剩到y(tǒng)決定是校正白名單(即�����,已知干凈對(duì)象的集合)還是更新黑名單(即���,已知惡意軟件對(duì)象的集合)��。在一個(gè)實(shí)施例中�����,處理過程能被分為幾個(gè)步驟創(chuàng)建并更新或校正白名單����;創(chuàng)建 并更新黑名單;檢測(cè)這些名單之間的沖突�����,并且基于沖突校正白名單和黑名單���。本發(fā)明額外的功能和優(yōu)點(diǎn)將在如下的說明中闡述�,還有部分通過描述是顯而易見 的��,或由本發(fā)明的實(shí)踐可以得知�。通過在書面的描述、權(quán)利要求書和附圖中一同指出的結(jié) 構(gòu)����,將實(shí)現(xiàn)并獲得本發(fā)明的優(yōu)點(diǎn)可以理解的是,無論是上述的總體描述還是如下的詳細(xì)描述都是示例性和解釋性 的�,并且旨在提供對(duì)要求權(quán)利的本發(fā)明進(jìn)一步的解釋。
附圖提供對(duì)本發(fā)明進(jìn)一步的理解����,并且并入此說明書中并構(gòu)成其中的一部分,這 些附圖示出了本發(fā)明的實(shí)施例并與描述一起用于解釋本發(fā)明的原理�。附圖中圖1示出了根據(jù)示例性實(shí)施例的用于基于不同的條件將對(duì)象放置到白名單中的 方法;圖2示出了根據(jù)示例性實(shí)施例的基于語(yǔ)境的判斷的生成���;圖3示出了根據(jù)示例性實(shí)施例的在白名單和黑名單的各種對(duì)象之間的多種可能 的沖突�����;圖4示出了根據(jù)示例性實(shí)施例的惡意軟件防御系統(tǒng)�����;圖5示出了根據(jù)示例性實(shí)施例的用于檢測(cè)生成的誤報(bào)記錄的體系結(jié)構(gòu)�。圖6A示出了根據(jù)示例性實(shí)施例的用于使白名單中誤報(bào)記錄最小化的體系結(jié)構(gòu)����。圖6B示出了根據(jù)示例性實(shí)施例的用于使黑名單中誤報(bào)記錄最小化的體系結(jié)構(gòu)。圖7A示出了根據(jù)示例性實(shí)施例的用于校正白名單和黑名單的方法����,其中試圖修 改黑名單。圖7B示出了根據(jù)示例性實(shí)施例的用于校正白名單和黑名單的方法��,其中試圖修 改白名單��。圖8示出了根據(jù)示例性實(shí)施例的示例性權(quán)重系數(shù)樹��。圖9示出了圖8中的樹的具體示例���。圖10示出了可以實(shí)施本發(fā)明的示例性計(jì)算機(jī)系統(tǒng)的示意圖��。
具體實(shí)施例方式現(xiàn)在��,將根據(jù)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)描述�,其示例圖示于附圖中。根據(jù)示例性實(shí)施例��,提供一種用于檢測(cè)誤報(bào)以及校正白名單的系統(tǒng)�����、方法和計(jì)算 機(jī)程序產(chǎn)品��。所提議的方法和系統(tǒng)也提供用于黑名單(即���,AV數(shù)據(jù)庫(kù))的及時(shí)更新�。本發(fā)明的一個(gè)方面提供一種用于檢測(cè)發(fā)生在執(zhí)行反惡意軟件應(yīng)用程序過程中檢 測(cè)誤報(bào)的系統(tǒng)�����、方法和計(jì)算機(jī)程序產(chǎn)品��。根據(jù)示例性實(shí)施例,檢測(cè)和校正誤報(bào)分為兩個(gè)階段 實(shí)施在創(chuàng)建新的反病毒數(shù)據(jù)庫(kù)(即�,惡意軟件黑名單)之前,以及在建成反病毒數(shù)據(jù)庫(kù)并 檢測(cè)到新的誤報(bào)之后�。系統(tǒng)計(jì)算某個(gè)潛在的惡意軟件對(duì)象的檢測(cè)概率?���;诖烁怕剩到y(tǒng) 決定是校正白名單(即��,已知干凈對(duì)象的集合)還是更新黑名單(即���,已知惡意軟件對(duì)象的
6集合)。在一個(gè)實(shí)施例中�����,處理過程分為幾個(gè)步驟創(chuàng)建并更新或校正白名單�����;創(chuàng)建并更 新黑名單��;檢測(cè)這些名單之間的沖突���,并且基于檢測(cè)到的沖突校正白名單�。示例性實(shí)施例的 統(tǒng)計(jì)系統(tǒng)提供沖突分析并校正白名單和黑名單。在一個(gè)實(shí)施例中��,提供一種用于創(chuàng)建白名單的方法�����。在另一個(gè)實(shí)施例中�����,提供一種 用于基于各種參數(shù)將應(yīng)用程序(或可執(zhí)行組件)添加到白名單中的方法�。根據(jù)示例性實(shí)施 例,采用基于哈希值��、應(yīng)用程序的許可證協(xié)議���、數(shù)字簽名���、對(duì)象的語(yǔ)境、用戶的統(tǒng)計(jì)和其它標(biāo) 準(zhǔn)的若干方法來創(chuàng)建白名單���。為文件對(duì)象�����、鏈接�、郵件信息和它們的發(fā)送者以及其它對(duì)象,例如即時(shí)通訊賬戶����、 運(yùn)行日志和地址、主機(jī)名�����、IP地址����、域名�����、廣告商的標(biāo)識(shí)符(例如�����,Google Adsense)�,創(chuàng)建白 名單。在圖1中列出填寫白名單的方法。這些方法允許通過分析已經(jīng)發(fā)布(release)的干 凈對(duì)象(例如���,應(yīng)用程序)100來逐步填寫白名單��。然而���,由于整個(gè)干凈信息流具有巨大的 容量,所以這些方法不能對(duì)其進(jìn)行分析����。特別地,由于哈希值隨著已發(fā)布的應(yīng)用程序的每一個(gè)新版本而變化��,所以使用哈 希值計(jì)算Iio來分析應(yīng)用程序是困難的�����。因?yàn)樵S可證協(xié)議140不一定總是可用的�����,并且開 發(fā)人員是以不同的方式處理它�,所以使用許可證協(xié)議140也是有問題的。注意到��,雖然通常 使用MD5算法計(jì)算哈希值110,但是也可以使用任意哈希函數(shù)�,例如MD4、SHA1���、SHA2��、SHA256 等��,來計(jì)算哈希值���。用戶統(tǒng)計(jì)150可以有助于填寫白名單。例如�,如果一個(gè)未知的對(duì)象100( S卩,應(yīng)用 程序或可執(zhí)行組件)已經(jīng)被大部分用戶標(biāo)記為“干凈的”���,那么它可以至少暫時(shí)地被認(rèn)為是 干凈的并添加到白名單中��。在系統(tǒng)內(nèi)也可以基于對(duì)象的行為160而將其添加到白名單中。例如��,當(dāng)檢測(cè)到執(zhí) 行文件“Photoshop, exe���,����,時(shí),由于它從 C \ProgramFiles\AdobePhotoshop 處運(yùn)行,使用 URL 白名單創(chuàng)建到服務(wù)器的鏈接并且沒有顯示任何惡意軟件屬性�,所以系統(tǒng)可以將文件標(biāo)識(shí)符 數(shù)據(jù)添加到白名單的列表文件中。也可以基于圖2中示出的對(duì)象的語(yǔ)境120而將其放置到白名單中����。該對(duì)象可以基 于它的名字210而為白名單。也可以基于它的廠商220或產(chǎn)品版本230而被放置到白名單 中�����。在做出白名單判斷260時(shí)��,可以將操作系統(tǒng)240和環(huán)境變量250考慮在內(nèi)�。使用整個(gè) 語(yǔ)境120來做出最全面的白名單判斷260。例如�,假如MS Internet Explorer的以前的版本被放置到白名單中,那么在這種 情況下�,其最新發(fā)布的版本也可以被放置到白名單中。要認(rèn)識(shí)到���,該判定實(shí)質(zhì)上是概率性 的���,通?�;趲讉€(gè)標(biāo)準(zhǔn)���,例如以前的版本是否在白名單中、語(yǔ)境�、廠商名稱、文件源�、環(huán)境變 量和其它因素。另一個(gè)使用語(yǔ)境120的示例性實(shí)施例可以依據(jù)關(guān)于對(duì)象的分布源的信息而將該 對(duì)象放置到白名單中���。例如���,它可以被應(yīng)用于從信任的互聯(lián)網(wǎng)節(jié)點(diǎn)(URL白名單)下載軟件。另一個(gè)示例性實(shí)施例是針對(duì)檢測(cè)白名單和黑名單之間的沖突���。例如����,對(duì)象被確定 為惡意軟件組件并且隨后被列入到黑名單中�。然而�����,該對(duì)象以前被放置到白名單中。如果 確定該對(duì)象被過早或錯(cuò)誤地放入黑名單中(該對(duì)象事實(shí)上是“干凈的”)���,則該事實(shí)被認(rèn)為 是誤報(bào)并進(jìn)行相應(yīng)的處理����。
圖3中示出了在白名單和黑名單的各種對(duì)象之間的多種可能的沖突��。沖突可以發(fā) 生在所有類型的對(duì)象例如文件����、鏈接(URL)、電子郵件訊息��、電子郵件發(fā)送者等之間����。圖4示出了根據(jù)本發(fā)明實(shí)施例的惡意軟件防御系統(tǒng)。防御模塊410被用于阻擋對(duì) 象400����。同時(shí),如果白名單列表組件430已經(jīng)確定對(duì)象400是干凈的對(duì)象�,則誤報(bào)檢測(cè)系統(tǒng) 420會(huì)檢測(cè)到?jīng)_突。白名單列表組件430在對(duì)象數(shù)據(jù)425的基礎(chǔ)上做出決定。然后���,根據(jù)白 名單列表組件430的可靠性�,可以使用HIPS(主機(jī)入侵防御系統(tǒng))邏輯440���。根據(jù)示例性實(shí)施例�����,有兩種類型的沖突生成誤報(bào)記錄之前����,和生成誤報(bào)記錄之 后����。因此,可以生成誤報(bào)記錄���,并且可以對(duì)白名單或黑名單做出適當(dāng)?shù)男U?�。替代地�,可?使誤報(bào)的可能性最小化�,因此沒有生成誤報(bào)記錄。在處理輸入的統(tǒng)計(jì)數(shù)據(jù)過程中,對(duì)誤報(bào)記 錄進(jìn)行檢測(cè)�。分析人員將新的記錄添加到白或黑名單的任何嘗試����,都會(huì)生成誤報(bào)記錄。圖5中示出了一種用于檢測(cè)生成的誤報(bào)記錄的體系結(jié)構(gòu)�����。AV系統(tǒng)的防御模塊410 發(fā)送原始數(shù)據(jù)(即�����,統(tǒng)計(jì)數(shù)據(jù))���。為了檢測(cè)并校正所記錄的誤報(bào)��,由原始數(shù)據(jù)得出大量檢測(cè) 對(duì)象的記錄并將其存儲(chǔ)在數(shù)據(jù)庫(kù)520中�。這些記錄(即��,檢測(cè)統(tǒng)計(jì)數(shù)據(jù))傳給誤報(bào)檢測(cè)模 塊530�,在該模塊中,將檢測(cè)記錄和存儲(chǔ)在白名單數(shù)據(jù)庫(kù)540中的干凈對(duì)象的記錄相比較����。 圖1中描繪的不同的比較算法被用于檢測(cè)沖突�。在此情況下����,當(dāng)由防御模塊410檢測(cè)的對(duì)象存在于白名單中時(shí),發(fā)生沖突�。將所有 的可疑對(duì)象(或?qū)ο蟮脑紨?shù)據(jù))和與它們相應(yīng)的數(shù)據(jù)庫(kù)560中的AV記錄都提供給誤報(bào) 校正模塊550。模塊550計(jì)算防御模塊410的錯(cuò)誤的概率以及包含到白名單中的惡意軟件 對(duì)象的概率���。一旦分析這些概率�,誤報(bào)校正模塊550就對(duì)是校正白名單數(shù)據(jù)庫(kù)540中的記 錄還是校正包含已知惡意軟件對(duì)象的黑名單的AV數(shù)據(jù)庫(kù)560提出判斷�。在某些復(fù)雜情況 下,做出最終的判斷需要有專家級(jí)分析人員的人為干涉����。圖6A中示出了一種用于使誤報(bào)記錄生成最小化的體系結(jié)構(gòu)。該體系結(jié)構(gòu)用于通 過在將記錄添加到白或黑名單的數(shù)據(jù)庫(kù)中時(shí)對(duì)誤報(bào)進(jìn)行檢測(cè)和校正�����,來提供誤報(bào)的可能性 的最小化��。由檢測(cè)系統(tǒng)610生成記錄�����。檢測(cè)系統(tǒng)可以具有自動(dòng)系統(tǒng)(即,機(jī)器人)���、其它模 塊和分析人員�����。將記錄提供給主動(dòng)錯(cuò)誤檢測(cè)模塊530。然后�����,將所有檢測(cè)的對(duì)象(或?qū)ο蟮?原始數(shù)據(jù))和與它們相應(yīng)的AV記錄560都送到誤報(bào)校正模塊550�。圖6B示出了除替代白名單而校正黑名單之外其余都類似的處理過程。在主動(dòng)錯(cuò)誤校正模塊550中��,計(jì)算檢測(cè)系統(tǒng)610的錯(cuò)誤概率和被包含在白名單540 中的惡意軟件對(duì)象的概率�����。在分析這些概率時(shí)��,誤報(bào)校正模塊550對(duì)是校正白名單數(shù)據(jù)庫(kù) 540中的記錄還是校正包含已知惡意軟件對(duì)象的黑名單的AV數(shù)據(jù)庫(kù)560提出判斷�����。在某些復(fù)雜情況下,專家級(jí)分析人員的干涉對(duì)做出判斷決定是非常重要的�����。因此����, 校正數(shù)據(jù)庫(kù)540和560,并且防御模塊410可以參考已經(jīng)更新的AV數(shù)據(jù)庫(kù)560��。圖7A示出了根據(jù)示例性實(shí)施例的用于校正白名單和黑名單的方法�。在步驟720 中創(chuàng)建一個(gè)新的AV記錄。在步驟710中收集檢測(cè)到的和可疑對(duì)象相關(guān)的信息���。在步驟730 中將在步驟710��、720處產(chǎn)生的數(shù)據(jù)和白名單做比較���。然后,在步驟740中���,檢測(cè)沖突����。在步 驟750中,如果確定沖突不是誤報(bào)��,那么在步驟760中校正白名單�����。在步驟750中��,如果確 定沖突是誤報(bào)事件���,那么校正AV記錄(即,黑名單)�。圖7B示出了用于校正白名單和黑名單的類似的處理過程,其中嘗試首先修改白 名單����。
8
根據(jù)示例性實(shí)施例,當(dāng)檢測(cè)到?jīng)_突時(shí)��,系統(tǒng)生成權(quán)重系數(shù)樹��。在圖8中描繪了示例 性權(quán)重系數(shù)樹�。每個(gè)權(quán)重代表基于特定標(biāo)準(zhǔn)的誤報(bào)的概率�。聚合權(quán)重(Aggregate Weight) 代表用于判斷決定的誤報(bào)的概率����。聚合權(quán)重是從0到100的數(shù)字,其中��,0表示發(fā)送到白名 單的干凈對(duì)象���,100表示惡意軟件(即�����,放置在AV數(shù)據(jù)庫(kù)中的黑名單對(duì)象)���。之間的任何數(shù) 字代表一個(gè)相對(duì)的概率。在權(quán)重50的區(qū)域內(nèi)的邊界情況由專家級(jí)分析人員決定��。為每個(gè) 沖突(即����,可疑的誤報(bào))創(chuàng)建權(quán)重系數(shù)樹?��;谔囟ǖ臉?biāo)準(zhǔn)計(jì)算權(quán)重系數(shù)��。例如�,可執(zhí)行文 件(即,對(duì)象)已經(jīng)由系統(tǒng)下載��。如果是該對(duì)象的首次出現(xiàn)����,則由系統(tǒng)生成圖9中所示的權(quán) 重系數(shù)樹。然后����,例如,權(quán)重3代表由主機(jī)名(權(quán)重3.1)�����、文件名(權(quán)重3. 2)和端口(權(quán)重 3. 3)之和計(jì)算的URL分析�。由掩蔽名稱(權(quán)重3. 1. 1)和whois信息(權(quán)重3. 1. 2)計(jì)算基 于主機(jī)名標(biāo)準(zhǔn)的權(quán)重3概率�。而又在域名的語(yǔ)法相似性(權(quán)重3. 1. 1. 1)和發(fā)音匹配算法 (SoundEX-algorighm)的相似性(權(quán)重3. 1. 1.2)的基礎(chǔ)上,計(jì)算掩蔽名稱概率�����。根據(jù)名稱服務(wù)器穩(wěn)定性標(biāo)準(zhǔn)(權(quán)重3. 1. 2. 2)和IP穩(wěn)定性(權(quán)重3. 1. 2. 3)來計(jì) 算Whois信息�。由文件名稱普及因素(未知因素)(權(quán)重3. 2. 1)和文件名稱語(yǔ)法分析(權(quán) 重3. 2. 2)和文件擴(kuò)展名(權(quán)重3. 2. 3)之和���,獲得文件名稱(權(quán)重3. 2)。文件擴(kuò)展名是掩 蔽的擴(kuò)展名(權(quán)重3. 2. 3. 1)和遺漏的擴(kuò)展名(權(quán)重3. 2. 3. 2)之和�����。而掩蔽的擴(kuò)展名又由 雙倍(三倍等)擴(kuò)展名(權(quán)重3. 2. 3. 1. 1)和用于可執(zhí)行文件的非可執(zhí)行文件的擴(kuò)展名(權(quán) 重3. 2. 3. 1. 2)之和生成����。由用于協(xié)議的非典型端口的使用概率(權(quán)重3. 3.1)來計(jì)算出端口(權(quán)重3. 3)。 因此���,由為每個(gè)標(biāo)準(zhǔn)計(jì)算的概率之和來獲得聚合權(quán)重���。基于這樣的綜合參數(shù)���,可以生成關(guān)于 下載的可執(zhí)行文件的準(zhǔn)確判斷���。圖9示出了圖8中的樹的具體示例。參照?qǐng)D10�,一種用于實(shí)施本發(fā)明的示例性系統(tǒng)包括通用計(jì)算設(shè)備,該通用計(jì)算設(shè) 備以計(jì)算機(jī)或服務(wù)器20等的形式,其包括處理單元21�����、系統(tǒng)存儲(chǔ)器22和系統(tǒng)總線23�����,所述 系統(tǒng)總線23連接各種系統(tǒng)組件����,包括系統(tǒng)存儲(chǔ)器到處理單元21。系統(tǒng)總線23可以是任何 類型的總線結(jié)構(gòu)�,包括使用任何總線結(jié)構(gòu)的局域總線、外圍總線和存儲(chǔ)控制器或存儲(chǔ)總線����。 系統(tǒng)存儲(chǔ)器包括只讀存儲(chǔ)器(ROM) 24和隨機(jī)存取存儲(chǔ)器(RAM) 25?����;据斎?輸出系統(tǒng) 26 (BIOS)被存儲(chǔ)在ROM 24中�����,其包含例如在啟動(dòng)過程中有助于在計(jì)算機(jī)20內(nèi)元件之間傳 輸信息的基本例行程序�����。計(jì)算機(jī)20可進(jìn)一步包括從硬盤(未示出)中讀取和對(duì)其寫入的硬盤驅(qū)動(dòng)27�、從可 移動(dòng)磁盤29中讀取或?qū)ζ鋵懭氲拇疟P驅(qū)動(dòng)28、以及從可移動(dòng)光盤31例如⑶-R0M���、DVD-R0M 等中讀取或?qū)ζ鋵懭氲墓獗P驅(qū)動(dòng)30���。硬盤驅(qū)動(dòng)27、磁盤驅(qū)動(dòng)28和光盤驅(qū)動(dòng)30分別通過硬 盤驅(qū)動(dòng)接口 32���、磁盤驅(qū)動(dòng)接口 33和光盤驅(qū)動(dòng)接口 34連接到系統(tǒng)總線23上���。這些驅(qū)動(dòng)和與 它們相關(guān)聯(lián)的計(jì)算機(jī)可讀取媒介為計(jì)算機(jī)20提供了計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)����、程序模塊 和其它數(shù)據(jù)的非易失性存儲(chǔ)。雖然本文描述的示例性環(huán)境采用了硬盤���、可移動(dòng)磁盤29和可移動(dòng)光盤31���,但所屬 領(lǐng)域的技術(shù)人員應(yīng)該認(rèn)識(shí)到�����,可以存儲(chǔ)可由計(jì)算機(jī)存取的數(shù)據(jù)的其它類型的計(jì)算機(jī)可讀取 媒介��,例如�����,盒式磁帶��、閃存卡���、數(shù)字視頻磁盤、伯努利盒式磁盤��、隨機(jī)存取存儲(chǔ)器(RAM)��、只 讀存儲(chǔ)器(ROM)等也可以用于示例性操作環(huán)境中�����。在硬盤�����、可移動(dòng)磁盤29����、光盤31、ROM 24或RAM 25上可存儲(chǔ)大量程序模塊��,包括
9操作系統(tǒng)35�。計(jì)算機(jī)20包括和操作系統(tǒng)35相聯(lián)或被包含在其中的文件系統(tǒng)36、一個(gè)或多 個(gè)應(yīng)用程序37��、其它程序模塊38和程序數(shù)據(jù)39����。用戶可以通過輸入設(shè)備例如鍵盤40和鼠 標(biāo)42將命令信息輸入到計(jì)算機(jī)20中。其它輸入設(shè)備(未示出)可包括麥克風(fēng)�����、操縱桿�����、游 戲墊���、圓盤式衛(wèi)星天線����、掃描儀等。這些和其它輸入設(shè)備通過連接系統(tǒng)總線的串行接口 46連接到處理單元21���,并且 可通過其它接口例如并行端口���、游戲端口(game port)或通用串行總線(USB)連接。監(jiān)視 器47或其它類型的顯示設(shè)備也經(jīng)由接口例如視頻適配器48連接到系統(tǒng)總線23���。除了監(jiān)視 器47之外�����,個(gè)人計(jì)算機(jī)通常還包括其它外圍輸出設(shè)備(未示出)���,例如揚(yáng)聲器和打印機(jī)。計(jì)算機(jī)20可以使用與一個(gè)或更多的遠(yuǎn)程計(jì)算機(jī)49的邏輯連接而運(yùn)行在聯(lián)網(wǎng)環(huán)境 中���。遠(yuǎn)程計(jì)算機(jī)49可由其它計(jì)算機(jī)�、服務(wù)器���、路由器�����、網(wǎng)絡(luò)PC����、對(duì)等設(shè)備(peer device)或 其它公共網(wǎng)絡(luò)節(jié)點(diǎn)代表���,并且雖然僅示出了存儲(chǔ)設(shè)備50�����,但通常包括對(duì)于計(jì)算機(jī)20所描述 的多數(shù)或全部元件�����。邏輯連接包括局域網(wǎng)(LAN)51和廣域網(wǎng)(WAN)52���。這樣的聯(lián)網(wǎng)環(huán)境在 辦公室、企業(yè)范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)��、內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)上是普遍的��。當(dāng)用于LAN聯(lián)網(wǎng)環(huán)境中時(shí),計(jì)算機(jī)20通過網(wǎng)絡(luò)接口或適配器53連接到本地網(wǎng)絡(luò) 51中�。當(dāng)用于WAN聯(lián)網(wǎng)環(huán)境中時(shí),計(jì)算機(jī)20通常包括調(diào)制解調(diào)器54或其它用于在廣域網(wǎng) 52例如互聯(lián)網(wǎng)上建立通信的裝置����。調(diào)制解調(diào)器54通過串行接口 46連接到系統(tǒng)總線23上, 該調(diào)制解調(diào)器54可以既是內(nèi)部的又是外部的��。在聯(lián)網(wǎng)環(huán)境中����,對(duì)于計(jì)算機(jī)20所描繪的程 序模塊或其中的一部分,可能存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中�����。應(yīng)該認(rèn)識(shí)到�,示出的網(wǎng)絡(luò)連接 是示例性的,也可以使用其它在計(jì)算機(jī)之間建立通信鏈接的方法��。已經(jīng)結(jié)合優(yōu)選實(shí)施例對(duì)本發(fā)明進(jìn)行了描述���,對(duì)于本領(lǐng)域的技術(shù)人員而言���,描述的 方法和已經(jīng)完成的設(shè)備的某些優(yōu)點(diǎn)應(yīng)當(dāng)是明顯的����。特別是����,本領(lǐng)域的技術(shù)人員應(yīng)該認(rèn)識(shí)到, 提出的系統(tǒng)和方法用于有效檢測(cè)和最小化發(fā)生在反惡意軟件處理過程中的誤報(bào)��。還應(yīng)當(dāng)理 解的是��,可以在本發(fā)明的精神和范圍內(nèi)做出各種修改����、適應(yīng)及其替代實(shí)施例�。本發(fā)明由如下 的權(quán)利要求書進(jìn)一步限定。
權(quán)利要求
一種用于防御惡意軟件以及校正白名單的方法�,所述方法包括(a)創(chuàng)建干凈對(duì)象的白名單和惡意軟件對(duì)象的黑名單;(b)收集與可疑對(duì)象相關(guān)的數(shù)據(jù)����;(c)將新的與惡意軟件相關(guān)的記錄添加到黑名單中,或添加新的白名單記錄���;(d)將所述數(shù)據(jù)和所述與惡意軟件相關(guān)的記錄與所述白名單做比較�����,或?qū)⑺鰯?shù)據(jù)和新的白名單記錄與所述黑名單做比較����;(e)檢測(cè)沖突;(f)分析所述沖突����,如果沖突是誤報(bào)事件,則校正所述黑名單�����,并且如果沖突是漏報(bào)事件��,則校正所述白名單��。
2.如權(quán)利要求1所述的方法���,其中��,基于對(duì)象的下列任一參數(shù)創(chuàng)建所述白名單 哈希值�����;語(yǔ)境����; 簽名; 許可證�����; 用戶統(tǒng)計(jì)��;和 行為��。
3.如權(quán)利要求1所述的方法�,其中��,所述對(duì)象是下列任一項(xiàng)目 文件���;URL ����;即時(shí)通訊賬戶�; 主機(jī)名; IP地址; 域名����;和 電子郵件訊息。
4.如權(quán)利要求1所述的方法����,進(jìn)一步包括在沖突檢測(cè)時(shí)創(chuàng)建權(quán)重系數(shù)樹。
5.如權(quán)利要求4所述的方法����,其中,所述權(quán)重系數(shù)樹包括根據(jù)不同標(biāo)準(zhǔn)計(jì)算的所述誤 報(bào)的多個(gè)概率�。
6.如權(quán)利要求1所述的方法,其中��,所述白名單的校正包括基于黑名單判斷從所述白 名單中刪除對(duì)象�。
7.如權(quán)利要求1所述的方法,其中��,所述黑名單的校正包括基于白名單判斷從所述黑 名單中刪除對(duì)象�。
8.如權(quán)利要求2所述的方法,其中��,所述對(duì)象語(yǔ)境包括 軟件名稱��;廠商信息; 產(chǎn)品版本���; 使用的操作系統(tǒng)���;和 環(huán)境變量。
9.一種用于使在反惡意軟件處理過程中的誤報(bào)記錄的生成最小化的方法��,所述方法包括�����;創(chuàng)建干凈對(duì)象的白名單和已知惡意軟件對(duì)象的黑名單����; 生成關(guān)于可疑對(duì)象檢測(cè)的記錄;從所述黑名單或從所述白名單中檢索對(duì)應(yīng)于所述可疑對(duì)象的記錄��;將所述記錄提供給誤報(bào)校正模塊��;由所述誤報(bào)校正模塊計(jì)算誤報(bào)檢測(cè)的概率�;和生成誤報(bào)判斷��,其中如果所述可疑對(duì)象被認(rèn)為是惡意的����,那么在所述白名單中做出校正����;并且 如果所述可疑對(duì)象被認(rèn)為是非惡意的�����,那么在所述黑名單中做出校正�����。
10.一種用于使在反惡意軟件處理過程中的誤報(bào)記錄的生成最小化的系統(tǒng)�����,包括 檢測(cè)系統(tǒng)���;接口到所述檢測(cè)系統(tǒng)的誤報(bào)檢測(cè)模塊�����; 誤報(bào)校正模塊�����; 防御模塊�����;可由所述誤報(bào)檢測(cè)模塊和所述誤報(bào)校正模塊訪問的白名單數(shù)據(jù)庫(kù)��; 連接到所述防御模塊的反病毒記錄數(shù)據(jù)庫(kù)����,所述反病毒記錄數(shù)據(jù)庫(kù)可由所述誤報(bào)檢測(cè) 模塊和所述誤報(bào)校正模塊訪問,其中所述檢測(cè)系統(tǒng)生成關(guān)于所述可疑對(duì)象檢測(cè)的記錄���,并且所述記錄被提供給所述誤報(bào)檢 測(cè)模塊��;并且由所述誤報(bào)校正模塊使用由所述誤報(bào)檢測(cè)模塊提供的所述白名單或所述黑名單����,計(jì)算 誤報(bào)檢測(cè)的概率�;由所述誤報(bào)校正模塊基于所述概率而生成誤報(bào)判斷,其中 如果所述可疑對(duì)象被認(rèn)為是惡意的�����,那么在所述白名單數(shù)據(jù)庫(kù) 中做出校正���;并且如果所述可疑對(duì)象被認(rèn)為是非惡意的��,那么在所述反病毒記錄 數(shù)據(jù)庫(kù)中做出校正�����;并且其中��,所述防御模塊繼續(xù)使用已校正的反病毒記錄數(shù)據(jù)庫(kù)���,用于防御惡意軟件。
11.如權(quán)利要求10所述的系統(tǒng)����,其中,所述概率用權(quán)重系數(shù)樹來計(jì)算����。全文摘要
本發(fā)明提供一種用于檢測(cè)發(fā)生在執(zhí)行反惡意軟件應(yīng)用程序過程中的誤報(bào)的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品���。誤報(bào)的檢測(cè)和校正分為兩個(gè)階段���,在創(chuàng)建新的反病毒數(shù)據(jù)庫(kù)(即���,惡意軟件黑名單)之前或在創(chuàng)建新的白名單之前,以及在建成反病毒數(shù)據(jù)庫(kù)或新的白名單并檢測(cè)到新的誤報(bào)之后����。系統(tǒng)計(jì)算某些潛在惡意軟件對(duì)象的檢測(cè)概率?�;诖烁怕?��,系統(tǒng)決定是校正白名單(即�����,已知的干凈對(duì)象的集合)還是更新黑名單(即�����,已知的惡意軟件對(duì)象的集合)���。處理過程被分為幾個(gè)步驟創(chuàng)建并更新(或校正)白名單;創(chuàng)建并更新黑名單��;檢測(cè)這些名單之間的沖突,并且基于檢測(cè)到的沖突校正黑名單或白名單�。
文檔編號(hào)G06F21/00GK101901314SQ20101020303
公開日2010年12月1日 申請(qǐng)日期2010年6月18日 優(yōu)先權(quán)日2009年6月19日
發(fā)明者G·柴庫(kù)諾夫 伊戈?duì)? A·埃夫雷莫夫 安德烈, V·納梅斯尼科夫 尤里, V·馬斯艾維斯基 尤里, V·丹尼斯切卡 尼古拉, A·澤倫斯基 帕維爾 申請(qǐng)人:卡巴斯基實(shí)驗(yàn)室封閉式股份公司