專利名稱:創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的系統(tǒng)和方法
創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的系統(tǒng)和方法
背景技術(shù):
消費者和企業(yè)面臨著惡意軟件日漸增長的趨勢���,惡意軟件威脅他們的計算機的穩(wěn)定性和性能以及他們數(shù)據(jù)的安全性。具有惡意動機的計算機程序員已經(jīng)創(chuàng)建并繼續(xù)創(chuàng)建病毒���、特洛伊木馬��、蠕蟲��、以及其他程序(統(tǒng)稱為“惡意軟件”)����,以試圖危害計算機系統(tǒng)。為了逃避檢測���,不懷好意的程序員可以將惡意軟件注入合法程序之中或之間�。很多安全軟件公司通過為它們的客戶定期地創(chuàng)建和配置惡意軟件簽名(例如��,唯一識別惡意軟件的散列函數(shù))來努力與惡意軟件進行斗爭��。然而����,大量惡意軟件仍未得到識別,因此利用傳統(tǒng)的基于簽名的惡意軟件檢測機制是無法檢測到����,尤其是因為惡意軟件作者可以定期地修改他們的惡意軟件,以試圖繞過通常使用的基于簽名的惡意軟件檢測機制�����。除了基于簽名的方法外或作為它的替代形式,安全軟件公司可以采用各種探試法����,以便基于不同特征和/或行為對文件和程序進行分類(例如分類為惡意的或安全的)。不幸地是��,基于探試法的分類方法可能導(dǎo)致不可接受數(shù)量的誤判和/或漏判���。因此����,本披露認識到需要一些改進的惡意軟件檢測機制和技術(shù)����。
發(fā)明內(nèi)容
如以下更為詳細說明的,本披露總體上涉及創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的多種系統(tǒng)及方法�。在一個實例中,在此描述的系統(tǒng)可以通過以下操作完成這種任務(wù):1)識別能夠接收可執(zhí)行內(nèi)容的一個門戶(例如互聯(lián)網(wǎng)瀏覽器����、電子郵件客戶端����、對等網(wǎng)絡(luò)客戶端���、聊天客戶端等),2)識別與該門戶相關(guān)的元數(shù)據(jù)��,3)分析該元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容造成何種風(fēng)險���,然后4)基于該分析��,創(chuàng)建一個置信帶以便應(yīng)用在通過該門戶接收的可執(zhí)行內(nèi)容的至少一次處置過程中�����。在一些實例中����,該元數(shù)據(jù)識別源自該門戶的多個可執(zhí)行對象��、該門戶的受歡迎程度(例如����,該門戶的用戶數(shù)量和/或使用頻率)、和/或源自該門戶的不受信任的可執(zhí)行對象的發(fā)生率(例如�,從該門戶下載的可執(zhí)行對象被安全系統(tǒng)標(biāo)記的頻率)����。在此描述的系統(tǒng)可以從各種來源匯集這類元數(shù)據(jù)�,例如該門戶的多個實例(例如,從該門戶在各種用戶的系統(tǒng)上的不同安裝程序)����。在一些實例中,該門戶可以包括能夠創(chuàng)建一個附加可執(zhí)行對象(例如�,通過下載該附加可執(zhí)行對象,從而在一個本地系統(tǒng)上創(chuàng)建一個副本)的一個可執(zhí)行對象(例如�,進程、可執(zhí)行文件等)��。在一個實例中,在此描述的系統(tǒng)可以基于可應(yīng)用于該門戶的一個或多個用戶配置來創(chuàng)建該置信帶�。例如,用戶��、管理員���、和/或安全廠商可以基于某些門戶和/或多類門戶的已知特征為這些門戶或多類門戶設(shè)置參數(shù)�。在一些實例中����,該置信帶可以應(yīng)用到一類門戶(例如,總的來說是互聯(lián)網(wǎng)瀏覽器����,而不是一個具體的互聯(lián)網(wǎng)瀏覽器)?����!﹦?chuàng)建了置信帶�,在此描述的系統(tǒng)可以通過以下操作應(yīng)用該置信帶:1)識別源自該門戶的與該置信帶相關(guān)聯(lián)的一個可執(zhí)行對象(例如,從該門戶下載的一個可執(zhí)行文件)��,以及2)在該可執(zhí)行對象的一次處置過程中應(yīng)用該置信帶(例如���,通過利用該置信帶并結(jié)合該可執(zhí)行對象的分析來確定針對于該可執(zhí)行對象采取何種安全動作(如果存在的話))�。例如�����,在此描述的系統(tǒng)可以確定與該可執(zhí)行對象相關(guān)聯(lián)的一個風(fēng)險評分(獨立產(chǎn)生或接收自一個信譽服務(wù))使得該可執(zhí)行對象被分類為在置信帶中是安全的�����、惡意的、或不確定的�����。如以下將要詳細解釋的�����,在此描述的系統(tǒng)和方法可以基于原始門戶能夠進行可執(zhí)行對象的定制化處置�。在可執(zhí)行對象的處置過程中通過利用定制化的置信帶,這些系統(tǒng)和方法可以改善現(xiàn)有的基于試探法的惡意軟件檢測技術(shù)����,有可能減少誤判和/或漏判并因此增強安全性和/或用戶體檢。來自上述任一個實施方案的多種特征可以根據(jù)在此說明的通用原理彼此相互結(jié)合使用��。通過閱讀以下的詳細說明連同附圖和權(quán)利要求�����,將會更加全面地理解這些以及其他的實施方案��、特征�����、和優(yōu)點。
附圖展示了多個示例性實施方案并且是本說明書的一部分���。這些附圖與以下的說明共同展現(xiàn)并解釋了本披露的不同原理��。圖1是創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的一個示例性系統(tǒng)的方框圖。圖2是創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的一個示例性系統(tǒng)的方框圖���。圖3是創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的一個示例性方法的流程圖�。圖4是用于惡意軟件檢測的示例性定制化置信帶的圖示���。圖5是創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的一個示例性系統(tǒng)的方框圖����。圖6是創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的一個示例性方法的流程圖��。圖7是一個示例性計算系統(tǒng)的方框圖����,該計算系統(tǒng)能夠?qū)嵤┰诖苏f明和/或展示的這些實施方案中的一個或多個。圖8是一種示例性計算網(wǎng)絡(luò)的框圖����,該計算網(wǎng)絡(luò)能夠?qū)嵤┰诖苏f明和/或展示的這些實施方案中的一個或多個。貫穿這些附圖,相同的參考字符以及描述表示相似的但并不一定完全相同的要素���。雖然在此說明的這些示例性實施方案可容許進行不同的修改以及多種替代形式�,在此仍在附圖中以舉例的方式示出多個具體的實施方案并且對其進行了詳細的說明�����。然而���,在此說明的多個示例性實施方案無意限制于所披露的這些具體形式����。相反���,本披露涵蓋了落入所附權(quán)利要求范圍內(nèi)的所有修改形式�、等效形式�����、以及替代方案�����。
具體實施例方式以下將參見圖1、2以及5詳細描述創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的示例性系統(tǒng)����。還將結(jié)合圖3、4和6提供相應(yīng)的計算機實施的方法的詳細說明����。另外,將結(jié)合圖7和8分別提供一種示例性計算系統(tǒng)和網(wǎng)絡(luò)架構(gòu)的詳細說明�����,它們能夠?qū)嵤┰诖苏f明的這些實施方案中的一個或多個���。圖1是創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的一個示例性系統(tǒng)100的方框圖。如此圖中所示�����,示例性系統(tǒng)100可以包括用于執(zhí)行一項或多項任務(wù)的一個或多個模塊102����。例如,如以下將更為詳細解釋的����,示例性系統(tǒng)100可以包括識別模塊104���,該模塊被編程用于I)識別接收可執(zhí)行內(nèi)容的門戶,以及2)識別與該門戶相關(guān)的元數(shù)據(jù)�����。示例性系統(tǒng)100還可以包括分析模塊106����,該模塊被編程用于分析元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容造成何種風(fēng)險。示例性系統(tǒng)100還可以包括創(chuàng)建模塊108���,該模塊被編程用于基于這種分析來創(chuàng)建置信帶以便在可執(zhí)行內(nèi)容(通過該門戶接收)的一次或多次處置過程中應(yīng)用����。盡管展示為多個分離的元件����,圖1中模塊102的一個或多個可以代表一個單一模塊或應(yīng)用程序中的多個部分。在某些實施方案中����,圖1中模塊102的一個或多個可以代表一個或多個軟件應(yīng)用程序或程序�����,這些軟件應(yīng)用程序或程序在由計算裝置執(zhí)行時可以使該計算裝置執(zhí)行一項或多項任務(wù)�。例如���,如以下更為詳細解釋的��,模塊102中的一個或多個可以代表在一個或多個計算裝置上存儲并被配置為在其上運行的多個軟件模塊����,例如圖2所示計算系統(tǒng)202����、圖7中的計算系統(tǒng)710��、和/或圖8中的示例性網(wǎng)絡(luò)架構(gòu)800的多個部分����。圖1中模塊102的一個或多個還可以代表被配置用于執(zhí)行一項或多項任務(wù)的一個或多個專用計算機的全部或一部分。圖1中的示例性系統(tǒng)100可以采用各種方式進行部署����。例如,示例性系統(tǒng)100的全部或一部分可以代表圖2中示例性系統(tǒng)200的多個部分����。如圖2所示�,系統(tǒng)200可以包括通過網(wǎng)絡(luò)204與服務(wù)器206進行通信的計算系統(tǒng)202。在一個實施方案中���,計算系統(tǒng)202可以包括圖1的模塊102 (例如����,識別模塊104�、分析模塊106以及創(chuàng)建模塊108)。在一個實施方案中�����,如以下更為詳細討論的���,模塊102可以被編程用于(例如作為安裝在計算系統(tǒng)202上的安全軟件的一部分)1)識別能夠接收可執(zhí)行內(nèi)容(例如���,通過網(wǎng)絡(luò)204來自于服務(wù)器206的內(nèi)容)的計算系統(tǒng)202上的一個門戶(例如,門戶210)����,2)識別與該門戶相關(guān)的元數(shù)據(jù)(例如�,元數(shù)據(jù)220)�����,3)分析該元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容會造成何種風(fēng)險�����,然后4)基于該分析創(chuàng)建一個置信帶以便應(yīng)用在通過該門戶接收的可執(zhí)行內(nèi)容的一次或多次處理過程中���。接著��,模塊102可以將置信帶應(yīng)用在源自該門戶的可執(zhí)行對象的處理過程中(例如���,通過利用該置信帶并結(jié)合該可執(zhí)行對象的分析來確定針對該可執(zhí)行對象采取何種安全動作(如果存在的話))。計算系統(tǒng)202通常代表能夠讀取計算機可執(zhí)行指令的任意類型或形式的計算裝置�����。計算系統(tǒng)202的實例包括(但不限于)膝上型計算機���、桌上型計算機、服務(wù)器��、蜂窩電話、個人數(shù)字助理(PDA)���、多媒體播放器����、嵌入式系統(tǒng)�����、以上各項中的一項或多項的組合�����、圖7中示例性計算系統(tǒng)710����、或任意其他適當(dāng)?shù)挠嬎阊b置。服務(wù)器206通常代表任意類型或形式的計算裝置��,該裝置能夠傳輸可執(zhí)行內(nèi)容和/或傳輸產(chǎn)生可執(zhí)行內(nèi)容的指令���。服務(wù)器206的實例包括(但不限于)被配置用于提供各種數(shù)據(jù)庫服務(wù)和/或運行某些軟件應(yīng)用程序的應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器���。網(wǎng)絡(luò)204通常代表能夠協(xié)助通信或數(shù)據(jù)傳輸?shù)娜我饨橘|(zhì)或架構(gòu)����。網(wǎng)絡(luò)204的實例包括(但不限于):內(nèi)部網(wǎng)���、廣域網(wǎng)(WAN)�、局域網(wǎng)(LAN)���、個人區(qū)域網(wǎng)(PAN)�、互聯(lián)網(wǎng)�����、電力線通信(PLC)�����、蜂窩網(wǎng)絡(luò)(例如GSM網(wǎng)絡(luò))��、圖8中的示例性網(wǎng)絡(luò)架構(gòu)800等�。網(wǎng)絡(luò)204可以利用無線或有線連接來協(xié)助通信或數(shù)據(jù)傳送�����。在一個實施方案中,網(wǎng)絡(luò)204可以協(xié)助計算系統(tǒng)202和服務(wù)器206之間的通信����。圖3是一個示例性的用于創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的計算機實施的方法300的流程圖。圖3中所示的步驟可以由任意適合的計算機可執(zhí)行代碼和/或計算系統(tǒng)來執(zhí)行��。在一些實施方案中��,圖3所示的步驟可以由圖1中系統(tǒng)100和/或圖2中系統(tǒng)200的組件中的一個或多個來執(zhí)行���。如圖3所示���,在步驟302本文描述的系統(tǒng)的一個或多個可以識別接收可執(zhí)行內(nèi)容的門戶。例如����,作為圖2中計算系統(tǒng)202的一部分,識別模塊104可以識別門戶210�����。如本文所用�,術(shù)語“可執(zhí)行內(nèi)容”可以指代任意可執(zhí)行文件和/或可執(zhí)行指令集�����。另外或可替代地���,“可執(zhí)行內(nèi)容”可以指代能夠轉(zhuǎn)換為和/或解釋為可執(zhí)行指令的任何數(shù)據(jù)。例如����,“可執(zhí)行內(nèi)容”可以指代包含可執(zhí)行文件的歸檔文件、具有指令(可由解釋器執(zhí)行)的腳本��、庫對象等��。在一些實例中���,“可執(zhí)行內(nèi)容”可以指代使得門戶創(chuàng)建��、產(chǎn)生和/或保存可執(zhí)行指令的內(nèi)容�����。如本文所用��,術(shù)語“門戶”通?�?梢灾复軌蚪邮湛蓤?zhí)行內(nèi)容的任何對象和/或路徑�。門戶的實例包括(但不限于)互聯(lián)網(wǎng)瀏覽器(例如�����,能夠從互聯(lián)網(wǎng)下載可執(zhí)行內(nèi)容的瀏覽器)����,例如MOZILLA FIREF0X、微軟IE瀏覽器或SAFARI ���;電子郵件客戶端(例如���,能夠接收和/或下載可執(zhí)行內(nèi)容作為附件的客戶端),例如微軟OUTLOOK ;對等網(wǎng)絡(luò)客戶端(例如��,分布式和/或分散式文件共享客戶端)�,例如UTORRENT、LIMEWIRE�、或AZUREUS ;聊天客戶端(例如,能夠接收可執(zhí)行內(nèi)容作為附件和/或接收可執(zhí)行內(nèi)容的鏈接的客戶端)�����,例如SKYPE、AOLINSTANT MESSENGER�����、或 G00GLETALK 等�����。在一些實例中��,門戶可以包括能夠創(chuàng)建附加可執(zhí)行對象(例如可執(zhí)行文件�����、進程等)的可執(zhí)行對象(即���,包括可執(zhí)行內(nèi)容的任意對象)���。在此實例中,通過創(chuàng)建從另一個位置(例如���,在網(wǎng)絡(luò)上)接收的可執(zhí)行對象的本地副本��,可執(zhí)行對象可以“創(chuàng)建”附加的可執(zhí)行對象��。例如����,門戶可以包括能夠下載附加可執(zhí)行對象的可執(zhí)行對象。本文描述的系統(tǒng)可以采用任意適合的形式來識別步驟302中的門戶�����。例如�,識別模塊104可以檢測創(chuàng)建新的可執(zhí)行對象的嘗試并可以將圖2中的門戶210識別為該嘗試的來源����。在此實例中,識別模塊104可監(jiān)控與門戶210相關(guān)聯(lián)的I/O操作和/或網(wǎng)絡(luò)流量����。另外或可替代地,識別模塊104可以接收消息(例如從入侵防護系統(tǒng))�,該消息識別源自門戶210的新近創(chuàng)建的可執(zhí)行對象。在其他實例中�,識別模塊104通過簡單地從識別該門戶的配置文件(例如將該門戶識別為需要定制化置信帶的門戶)進行讀取來識別該門戶。在一些實例中��,識別模塊104可以將應(yīng)用程序識別為門戶�。另外或可替代地���,識別模塊104可以將可執(zhí)行組件(例如,插件�����、庫���、擴展名等)識別為門戶����。例如����,如果一個互聯(lián)網(wǎng)瀏覽器包括能夠下載可執(zhí)行內(nèi)容的插件,則識別模塊104可以該識別互聯(lián)網(wǎng)瀏覽器和/或可以識別該插件��。轉(zhuǎn)至圖3����,在步驟304,本文描述的系統(tǒng)的一個或多個可以識別與步驟302中識別的門戶相關(guān)的元數(shù)據(jù)����。例如��,在步驟304����,作為圖2中計算系統(tǒng)202的一部分���,識別模塊104可以識別與門戶210相關(guān)的元數(shù)據(jù)220�。如本文所用�,術(shù)語“與門戶相關(guān)的元數(shù)據(jù)”可以指代在由門戶接收和/或創(chuàng)建的可執(zhí)行內(nèi)容的處置過程中有幫助的任何數(shù)據(jù)�����。這種元數(shù)據(jù)的實例包括(但不限于)與該門戶和/或該門戶接收的可執(zhí)行內(nèi)容相關(guān)的統(tǒng)計資料��、指示源自該門戶的可執(zhí)行對象數(shù)量的信息(例如���,指示該門戶已經(jīng)創(chuàng)建了 1000個可執(zhí)行對象的信息)����、指示源自該門戶的不受信任可執(zhí)行對象的發(fā)生率的信息(例如���,該信息表示門戶已經(jīng)創(chuàng)建了 100個不受信任的可執(zhí)行對象和/或該門戶創(chuàng)建的可執(zhí)行對象的10%是不受信任的)����、指示該門戶的受歡迎程度的信息(例如,該門戶如何廣泛地被采用��、該門戶被使用了多少次等)或類似的信息��。在一些實例中��,通過匯集門戶的多個實例上的元數(shù)據(jù)���,識別模塊104可以識別與該門戶相關(guān)的元數(shù)據(jù)�����。例如���,識別模塊104可以識別、匯集和/或總計不同用戶系統(tǒng)上門戶的不同安裝程序的元數(shù)據(jù)��。識別模塊104可以采用任意適合的方式來執(zhí)行步驟304�����。在一些實例中,通過監(jiān)控門戶���,識別模塊104可以識別與有問題的門戶相關(guān)的元數(shù)據(jù)����。另外或可替代地���,通過讀取包括該元數(shù)據(jù)的數(shù)據(jù)庫��,識別模塊104可以識別與有問題的門戶相關(guān)的元數(shù)據(jù)�。在一些實例中���,識別模塊104可從另一個應(yīng)用程序接收元數(shù)據(jù)��。例如,識別模塊104可以從能夠跟蹤門戶的已識別實例的安全軟件(例如N0RT0NINSIGHT)來接收表示該門戶的受歡迎程度的信息����。同樣,識別模塊104可以接收表示多個可執(zhí)行對象和/或源自安全軟件的門戶的被感染和/或不受信任的可執(zhí)行對象的比率的信息����。轉(zhuǎn)至圖3,在步驟306,本文描述的系統(tǒng)的一個或多個可以分析步驟304中識別的元數(shù)據(jù)以確定通過門戶接收的可執(zhí)行內(nèi)容會造成何種風(fēng)險�。例如,在步驟306,作為圖2中計算系統(tǒng)202的一部分�����,分析模塊106可以分析元數(shù)據(jù)220以確定通過門戶210接收的可執(zhí)行內(nèi)容對計算系統(tǒng)202會造成何種風(fēng)險���。分析模塊106可以采用任意適合的方式執(zhí)行步驟306�����。例如�,分析模塊106可以基于步驟304中識別的元數(shù)據(jù)來計算風(fēng)險評分和/或一系列風(fēng)險因素�。例如,分析模塊106可以為較高比例的以往通過門戶接收的不受信任的可執(zhí)行對象來設(shè)置更高的風(fēng)險評分����。另外或可替代地,分析模塊106可以為不太受歡迎的門戶設(shè)置更高的風(fēng)險評分��。在一些實例中�,分析模塊106可以分析歷史數(shù)據(jù),這些歷史數(shù)據(jù)與利用統(tǒng)計技術(shù)通過門戶接收的可執(zhí)行對象的處置方式��、隨時間變化的趨勢、版本號信息等相關(guān)��。在步驟308�����,本文描述的系統(tǒng)的一個或多個可以基于步驟306中執(zhí)行的分析來創(chuàng)建置信帶����,以便應(yīng)用在通過門戶接收的可執(zhí)行內(nèi)容的一次或多次處置過程中。例如在步驟308�����,作為圖2中計算系統(tǒng)202的一部分��,創(chuàng)建模塊108可以創(chuàng)建置信帶230以應(yīng)用在通過門戶210接收的可執(zhí)行內(nèi)容的一次或多次處置過程中���。如本文所用���,術(shù)語“處置”可以指代分類和/或補救的任意處理過程�。例如,如以下更為詳細描述的��,可執(zhí)行文件的處置可以包括將該文件分類為安全的、惡意的����、或不確定的。在一些實例中�����,作為處置的一部分�,可執(zhí)行對象可以接收表示該可執(zhí)行對象造成風(fēng)險的評分。如本文所用��,術(shù)語“置信帶”可以指代用于一次處置的不同可能結(jié)果和/或類別的范圍和/或閾值的任意集合���。例如���,圖4是系統(tǒng)400中用于惡意軟件檢測的示例性定制化置信帶的圖示。如圖4所示����,可執(zhí)行對象412、414�����、422和432各自可以收到分別為120、_120�����、20和-20的風(fēng)險評分(例如�,在分析后由安全軟件來分配)。在此實例中�,置信帶410、420和430各自可以對應(yīng)于一個不同的門戶����。如圖4所示,對于每個置信帶而言�����,可執(zhí)行對象412可以屬于“良好”類別���。同樣�,對于每個置信帶而言�,可執(zhí)行對象414可以屬于“差”類別然而,根據(jù)置信帶410��、420或430是否應(yīng)用����,可執(zhí)行對象422可以屬于“不確定”、“良好”或“差”��。同樣��,根據(jù)置信帶410和420���,可執(zhí)行對象432可以屬于“不確定”類別�����,但根據(jù)置信帶430��,可以屬于“差”類別�����。因此�,可執(zhí)行對象422和432的處置可以依賴于哪個門戶發(fā)起了它們�。盡管圖4展示了三個可能的類別,如以下更為詳細描述的����,置信帶可以包含各種類別���、補救和/或其他安全動作。創(chuàng)建模塊108可以采用各種方式來創(chuàng)建置信帶�����。例如���,創(chuàng)建模塊108可以創(chuàng)建置信帶以應(yīng)用于一類門戶�����。如前所提及����,門戶可以包括各種應(yīng)用程序中的任意一種���,例如互聯(lián)網(wǎng)瀏覽器���、電子郵件客戶端、對等網(wǎng)絡(luò)客戶端等��。因此創(chuàng)建模塊108可以創(chuàng)建置信帶以應(yīng)用于特定的門戶(例如,M0ZILLAFIREF0X)��。另外或可替代地�����,創(chuàng)建模塊108可以創(chuàng)建置信帶以應(yīng)用于一類門戶(例如����,所有的互聯(lián)網(wǎng)瀏覽器��,包括MOZILLA FIREF0X����、微軟IE瀏覽器、SAFAR1��、GOOGLE CHROME 等)���。在一些實例中�����,創(chuàng)建模塊108可以基于可應(yīng)用于門戶的至少一個用戶配置來創(chuàng)建置信帶�����。例如��,用戶�����、管理員�、和/或安全廠商可以基于某些門戶或多類門戶的已知特征為這些門戶或多類門戶設(shè)置參數(shù)。例如�����,安全廠商可以識別門戶中的安全漏洞并預(yù)期該安全漏洞可能被廣泛利用����。因此,安全廠商可以向門戶的置信帶的配置中添加參數(shù)以便對源自該門戶的可執(zhí)行內(nèi)容進行更為嚴格的分類��。以圖4為例��,創(chuàng)建模塊108可以創(chuàng)建置信帶410以便處置源自互聯(lián)網(wǎng)瀏覽器(作為一類)的可執(zhí)行內(nèi)容��。在此實例中�����,創(chuàng)建模塊108可以基于源自互聯(lián)網(wǎng)瀏覽器的可執(zhí)行內(nèi)容中的惡意軟件的平均發(fā)生率而在置信帶410中設(shè)置閾值。創(chuàng)建模塊108還可以創(chuàng)建置信帶420以進行源自電子郵件客戶端(作為一類)的可執(zhí)行內(nèi)容的處置���。在此實例中�,創(chuàng)建模塊108可以基于源自電子郵件客戶端的可執(zhí)行內(nèi)容中的惡意軟件的較低發(fā)生率而降低對于置信帶410為“良好的”可執(zhí)行內(nèi)容的閾值�。而且�����,用戶(例如�,安全廠商、管理員等)可以基于通常在網(wǎng)關(guān)上已過濾了電子郵件中的惡意可執(zhí)行對象的觀察而向創(chuàng)建模塊108提交參數(shù)以縮小“不確定的”可執(zhí)行內(nèi)容的范圍�。同樣基于元數(shù)據(jù)分析和用戶配置,創(chuàng)建模塊108還可以創(chuàng)建置信帶430以進行源自對等網(wǎng)絡(luò)客戶端(作為一類)的可執(zhí)行內(nèi)容的處置���。在此實例中����,創(chuàng)建模塊108可以基于源自對等網(wǎng)絡(luò)客戶端的可執(zhí)行內(nèi)容中的惡意軟件的較高發(fā)生率而擴大“良好的”可執(zhí)行內(nèi)容的范圍�,并且可以根據(jù)用戶配置來縮小置信帶430中的“不確定的”可執(zhí)行內(nèi)容的范圍以便在較大程度上減少漏判(例如,相比于互聯(lián)網(wǎng)瀏覽器或電子郵件的內(nèi)容中的漏判�����,管理員可以更少地關(guān)心由對等網(wǎng)絡(luò)下載產(chǎn)生的漏判。)�。在步驟308之后,方法300可以結(jié)束�����。如以上詳細說明的�����,在源自不同門戶的可執(zhí)行對象的處置過程中�����,本文描述的系統(tǒng)可以應(yīng)用根據(jù)圖3中的示例性方法300產(chǎn)生的置信帶����。圖6是一種用于在惡意軟件檢測中應(yīng)用這種定制化置信帶的示例性計算機實施的方法600的流程圖。圖6中所示的步驟可以由任意適合的計算機可執(zhí)行代碼和/或計算系統(tǒng)來執(zhí)行�����。在一些實施方案中����,圖6中所示的步驟可以通過圖1中系統(tǒng)100�、圖2中系統(tǒng)200和/或圖5中系統(tǒng)500的組件中的一個或多個來執(zhí)行���。如圖6所示��,在步驟602��,本文所描述系統(tǒng)的一個或多個可以識別源自一個門戶的可執(zhí)行對象�。例如在步驟602���,作為圖5中計算系統(tǒng)202的一部分,處置模塊510可以識別源自門戶210的可執(zhí)行對象520�����。本文描述的系統(tǒng)可以采用任意適合的方式執(zhí)行步驟602�。例如,處置模塊510可以檢測創(chuàng)建新的可執(zhí)行對象的嘗試并且可以將圖5中門戶210識別為該嘗試的來源�。在此實例中,處置模塊510可以監(jiān)控與門戶210相關(guān)聯(lián)的I/O操作和/或網(wǎng)絡(luò)流量�����。另外或可替代地,處置模塊510可以接收消息(例如���,從入侵防護系統(tǒng))�����,該消息識別源自門戶210的新近創(chuàng)建的可執(zhí)行對象�。在步驟604����,本文描述系統(tǒng)的一個或多個可以在可執(zhí)行對象的處置過程中使用與有問題的門戶相關(guān)聯(lián)的置信帶。例如在步驟604����,作為圖5中計算系統(tǒng)202的一部分,處置模塊510可以在可執(zhí)行對象520的處置過程中使用與門戶210相關(guān)聯(lián)的置信帶230�。當(dāng)步驟604完成時,方法600可以結(jié)束�����。本文描述的系統(tǒng)可以采用任意適合的方式執(zhí)行步驟604���。例如��,處置模塊510可以在分析可執(zhí)行對象的各種行為和/或特征時使用一種或多種試探法以便為可執(zhí)行對象分配風(fēng)險評分���。另外或可替代地����,處置模塊510可以識別先前分配(通過例如信譽服務(wù))給可執(zhí)行對象的風(fēng)險評分�����。然后處置模塊510可以通過確定分配給可執(zhí)行對象的風(fēng)險評分落在置信帶230的哪個位置而對該可執(zhí)行對象進行分類��。例如�,圖5中的處置模塊510可以識別圖4中通過對等網(wǎng)絡(luò)客戶端接收的可執(zhí)行對象422。在此實例中,處置模塊510可以從信譽服務(wù)檢索(利用例如基于散列的查找系統(tǒng))先前分配給可執(zhí)行對象422的風(fēng)險評分(在此實例中,是20)�����。然后��,處置模塊510可以在該可執(zhí)行對象422的處置過程中將置信帶430用于可執(zhí)行對象422����,因為該對象源自對等網(wǎng)絡(luò)客戶端���,而不是與互聯(lián)網(wǎng)瀏覽器(置信帶410)或電子郵件客戶端(置信帶420)。在此實例中����,處置模塊510可以將可執(zhí)行對象422分類為“差的”,因為它的風(fēng)險評分(在此實例中����,是20)屬于置信帶430的較低置信帶。如前文所提�,可執(zhí)行對象的處置可以包括各種分類和/或補救。例如����,可執(zhí)行對象的處置可以包括確定可執(zhí)行對象是安全的。在此實例中����,處置模塊510可以將可執(zhí)行對象置于白名單上,允許執(zhí)行可執(zhí)行對象����,從隔離區(qū)中移除可執(zhí)行對象、和/或執(zhí)行任意其他適合的安全動作����。在另一個實例中��,可執(zhí)行對象的處置可以包括確定該可執(zhí)行對象是惡意的(例如��,被感染的�、欺騙性的等)���。在此實例中�,處置模塊510可以向用戶�、管理員和/或安全廠商上報可執(zhí)行對象,在隔離區(qū)中放置可執(zhí)行對象�����,移除或刪除可執(zhí)行對象�,阻止執(zhí)行可執(zhí)行對象,和/或執(zhí)行任意其他適合的安全動作��。在附加的實例中���,可執(zhí)行對象的處置可以包括確定可執(zhí)行對象的安全性是未知的。在此實例中����,處置模塊510可限制與可執(zhí)行對象相關(guān)的權(quán)限���,監(jiān)控可執(zhí)行對象,和/或執(zhí)行任意其他適合的安全動作��。在一些實例中��,可執(zhí)行對象(以及閾值和/或置信帶范圍)的處置可以包括更大粒度的分類和任意適合的補救���。如以上所描述�����,本文所述的系統(tǒng)和方法可以基于原始門戶能夠進行可執(zhí)行對象的定制化處置���。在可執(zhí)行對象的處置過程中通過利用定制化的置信帶,這些系統(tǒng)和方法可以提高現(xiàn)有的基于試探法的惡意軟件檢測技術(shù)�����,有可能減少誤判和/或漏判并因此增強安全性和/或用戶體檢�����。圖7是一個示例性計算系統(tǒng)710的方框圖,該系統(tǒng)能夠?qū)嵤┰诖苏f明和/或展示的一個或多個實施方案��。計算系統(tǒng)710廣義上代表能夠執(zhí)行計算機可讀指令的任何單處理器或多處理器的計算裝置或系統(tǒng)���。計算系統(tǒng)710的多個實例包括但不限于工作站����、膝上型計算機���、客戶側(cè)終端����、服務(wù)器��、分布式計算系統(tǒng)���、手持裝置��、或任何其他計算系統(tǒng)或裝置�。在其最基本的配置中�����,計算系統(tǒng)710可以包括至少一個處理器714以及一個系統(tǒng)內(nèi)存716��。處理器714總體上代表能夠處理數(shù)據(jù)或解釋并執(zhí)行多個指令的任何類型或形式的處理單元�����。在某些實施方案中��,處理器714可以從軟件應(yīng)用程序或模塊中接收指令��。這些指令可以使處理器714執(zhí)行在此所說明和/或展示的這些示例性實施方案中的一個或多個的功能��。例如�,處理器714可以單獨地或與其他元件相結(jié)合來執(zhí)行和/或作為一種手段來執(zhí)行在此披露的識別、匯集����、分析、創(chuàng)建��、應(yīng)用��、和/或確定步驟中的一個或多個���。處理器714還可以執(zhí)行和/或作為一種手段來執(zhí)行在此說明和/或展示的任何其他步驟��、方法�、或過程。系統(tǒng)內(nèi)存716總體上代表能夠存儲數(shù)據(jù)和/或其他計算機可讀指令的任何類型或形式的易失性或非易失性存儲裝置或介質(zhì)��。系統(tǒng)內(nèi)存716的多個實例包括(但不限于)隨機存取存儲器(RAM)��、只讀存儲器(ROM)���、閃存���、或任何其他適當(dāng)?shù)拇鎯ρb置。盡管未作要求�����,在某些實施方案中計算系統(tǒng)710可以既包括易失性內(nèi)存單元(例如���,像系統(tǒng)內(nèi)存716)又包括非易失性存儲裝置(例如�,像以下詳細描述的主存儲裝置732)����。在一個實例中��,圖1模塊102中的一個或多個可以載入到系統(tǒng)內(nèi)存716中���。在某些實施方案中,除了處理器714和系統(tǒng)內(nèi)存716外���,示例性計算系統(tǒng)710還可以包括一個或多個組件或元件。例如��,如圖7所示��,計算系統(tǒng)710可以包括內(nèi)存控制器718����、輸入/輸出(I/O)控制器720、以及通信接口 722����,它們中的每一個可以通過通信基礎(chǔ)設(shè)施712相互連接。通信基礎(chǔ)設(shè)施712總體上代表能夠幫助在計算裝置的一個或多個組件之間進行通信的任意類型或形式的基礎(chǔ)設(shè)施���。通信基礎(chǔ)設(shè)施712的實例包括但不限于通信總線(例如ISA����、PC1、PCIe���、或類似總線)和網(wǎng)絡(luò)��。內(nèi)存控制器718總體上代表在計算系統(tǒng)710的一個或多個組件之間操作內(nèi)存或數(shù)據(jù)或者控制通信的任意類型或形式的裝置��。例如��,在某些實施方案中���,內(nèi)存控制器718可以通過通信基礎(chǔ)設(shè)施712控制處理器714、系統(tǒng)內(nèi)存716以及I/O控制器720之間的通信����。在某些實施方案中,內(nèi)存控制器718可以獨立地或與其他元件相結(jié)合地執(zhí)行和/或作為一種手段執(zhí)行在此描述和/或展示的多個步驟或特征中的一個或多個�,例如識別、匯集���、分析�����、創(chuàng)建�、應(yīng)用、和/或確定�。I/O控制器720總體上代表能夠協(xié)調(diào)和/或控制計算裝置的輸入和輸出功能的任何類型或形式的模塊。例如����,在某些實施方案中,I/o控制器720可以控制或協(xié)助計算系統(tǒng)710的一個或多個元件之間的數(shù)據(jù)的傳輸��,這些元件例如是處理器714�����、系統(tǒng)內(nèi)存716����、通信接口 722�、顯示適配器726、輸入接口 730以及存儲接口 734���。例如I/O控制器720可以單獨地或與其他元件相結(jié)合來執(zhí)行和/或作為一種手段來執(zhí)行在此描述的識別��、匯集�����、分析�、創(chuàng)建、應(yīng)用�、和/或確定步驟中的一個或多個。I/O控制器720還可用于執(zhí)行和/或作為一種手段用于執(zhí)行本披露中提出的其他步驟和特征����。通信接口 722廣義地代表能夠協(xié)助示例性計算系統(tǒng)710與一個或多個附加裝置之間進行通信的任何類型或形式的通信裝置或適配器。例如���,在某些實施方案中��,通信接口 722可以協(xié)助計算系統(tǒng)710與包括多個附加的計算系統(tǒng)的私有或公共網(wǎng)絡(luò)之間的通信��。通信接口 722的實例包括而不限于有線網(wǎng)絡(luò)接口(例如網(wǎng)絡(luò)接口卡)�、無線網(wǎng)絡(luò)接口(例如無線網(wǎng)絡(luò)接口卡)��、調(diào)制解調(diào)器��、以及任何其他適當(dāng)?shù)慕涌?����。在至少一個實施方案中����,通信接口722可通過到網(wǎng)絡(luò)(如互聯(lián)網(wǎng))的直接鏈接來提供到遠程服務(wù)器的直接連接�����。通信接口 722還可以間接地提供這種連接�����,例如通過局域網(wǎng)(如以太網(wǎng))���、個人局域網(wǎng)、電話或纜線網(wǎng)���、蜂窩電話連接、衛(wèi)星數(shù)據(jù)連接�����、或任何其他適當(dāng)?shù)倪B接�。在某些實施方案中,通信接口 722還可以代表主機適配器�,該主機適配器被配置為用于通過外部總線或通信信道協(xié)助計算系統(tǒng)710與一個或多個附加網(wǎng)絡(luò)或存儲裝置之間的通信。主機適配器的實例包括但不限于SCSI主機適配器��、USB主機適配器、IEEE 1394主機適配器����、SATA和eSATA主機適配器、ATA和PATA主機適配器��、光纖通道接口適配器����、以太網(wǎng)適配器等。通信接口 722還可以允許計算系統(tǒng)710參與分布式計算或遠程計算���。例如���,通信接口 722可以從遠程裝置接收指令或向遠程裝置發(fā)送指令用于執(zhí)行。在某些實施方案中�����,通信接口 722可以獨立地或與其他元件相結(jié)合地執(zhí)行和/或作為一種手段執(zhí)行在此描述的識別�、匯集、分析���、創(chuàng)建�����、應(yīng)用�、和/或確定步驟中的一個或多個。通信接口 722還可以用于執(zhí)行和/或作為一種手段用于執(zhí)行本披露中提出的其他步驟和特征����。如圖7所示,計算系統(tǒng)710還可以包括通過顯示適配器726連接至通信基礎(chǔ)設(shè)施712的至少一個顯示裝置724��。顯示裝置724總體上代表能夠可視地呈現(xiàn)顯示適配器726所轉(zhuǎn)發(fā)的顯示信息的任意類型或形式的裝置�����。相似地�����,顯示適配器726總體上代表任意類型或形式的裝置���,這些裝置被配置用于從通信基礎(chǔ)設(shè)施712 (或從本領(lǐng)域已知的幀緩沖器)轉(zhuǎn)發(fā)圖形、文本以及其他數(shù)據(jù)以便顯示在顯示裝置724上��。如圖7所示,示例性計算系統(tǒng)710還可以包括通過輸入接口 730連接至通信基礎(chǔ)設(shè)施712的至少一個輸入裝置728�。輸入裝置728總體上代表能夠向示例性計算系統(tǒng)710提供計算機或人員生成的輸入的任意類型或形式的輸入裝置。輸入裝置728的實例包括但不限于鍵盤���、指向裝置����、語音識別裝置或任意其他輸入裝置��。在至少一個實施方案中��,輸入裝置728可以獨立地或結(jié)合其他元件執(zhí)行和/或作為一種手段執(zhí)行在此描述的識別���、匯集��、分析���、創(chuàng)建、應(yīng)用���、和/或確定步驟中的一個或多個��。輸入裝置728還可以用于執(zhí)行和/或作為一種手段來執(zhí)行本披露中提出的其他步驟和特征�����。如圖7所示��,示例性計算系統(tǒng)710還包括通過存儲接口 734連接至通信基礎(chǔ)設(shè)施712的一個主存儲裝置732和一個備份存儲裝置733�。存儲裝置732和733總體上代表能夠存儲數(shù)據(jù)和/或其他計算機可讀指令的任意類型或形式的存儲裝置或介質(zhì)。例如��,存儲裝置732與733可以是磁盤驅(qū)動器(例如����,所謂的硬盤驅(qū)動器)、軟盤驅(qū)動器���、磁帶驅(qū)動器�、光盤驅(qū)動器����、閃存驅(qū)動器、或者類似裝置���。存儲接口 734總體上代表用于在存儲裝置732和733以及計算系統(tǒng)710的其他組件之間傳輸數(shù)據(jù)的任意類型或形式的接口或裝置。在某些實施方案中����,存儲裝置732和733可以被配置為用于讀取自和/或?qū)懭氲娇梢苿哟鎯卧?����,該可移動存儲單元被配置為用于存儲計算機軟件�����、數(shù)據(jù)���、或其他計算機可讀信息。適合的可移動存儲單元的實例包括但不限于軟盤����、磁帶、光盤�、閃存裝置等等。存儲裝置732和733還可以包括其他類似的結(jié)構(gòu)或裝置�����,以允許計算機軟件��、數(shù)據(jù)或其他計算機可讀指令下載到計算系統(tǒng)710中�。例如�,存儲裝置732和733可以被配置用于讀或?qū)戃浖?��、?shù)據(jù)或其他計算機可讀信息��。存儲裝置732和733還可以作為計算系統(tǒng)710的一部分或可以是通過其他接口系統(tǒng)訪問的一個分離的裝置���。在某些實施方案中,存儲裝置732和733可以用于例如獨立地或結(jié)合其他元件執(zhí)行和/或作為一種手段執(zhí)行在此披露的識別���、匯集�����、分析���、創(chuàng)建、應(yīng)用��、和/或確定步驟中的一個或多個�。存儲裝置732和733還可以被用于執(zhí)行和/或作為一種手段用于執(zhí)行本披露提出的其他步驟和特征。很多其他裝置或子系統(tǒng)可以連接至計算系統(tǒng)710上�����。相反地,為了實施在此描述和/或展示的實施方案��,不需要圖7中所示的所有組件和裝置����。以上提到的這些裝置和子系統(tǒng)還能夠以不同于圖7中所示的方式進行相互連接�����。計算系統(tǒng)710還可以使用任何數(shù)量的軟件�����、固件�、和/或硬件的配置。例如��,在此披露的示例性實施方案中的一個或多個可以被編碼為一種計算機可讀介質(zhì)上的計算機程序(還稱為計算機軟件����、軟件應(yīng)用程序、計算機可讀指令�����、或計算機控制邏輯)。短語“計算機可讀介質(zhì)”總體上是指能夠存儲或攜帶計算機可讀指令的任何形式的裝置�、載體、或介質(zhì)���。計算機可讀介質(zhì)的實例包括但不限于傳輸型介質(zhì)�����,如載波��,以及物理介質(zhì)���,如磁性存儲介質(zhì)(例如,硬盤驅(qū)動器和軟盤驅(qū)動器)�����、光存儲介質(zhì)(例如��,CD-ROM或DVD-ROM)����、電子存儲介質(zhì)(例如,固態(tài)驅(qū)動器和閃存介質(zhì))、以及其他分布式系統(tǒng)�。包含計算機程序的計算機可讀介質(zhì)可以載入到計算系統(tǒng)710中。存儲在計算機可讀介質(zhì)上的所有或部分計算機程序然后可以存儲在系統(tǒng)內(nèi)存716和/或存儲裝置732和733的不同部分上�����。當(dāng)由處理器714執(zhí)行時����,載入到計算系統(tǒng)710中的計算機程序可以使處理器714執(zhí)行和/或作為一種手段執(zhí)行在此描述和/或展示的示例性實施方案中的一個或多個的功能�����。另外或可替代地���,在此所說明和/或展示的示例性實施方案中的一個或多個可以在固件和/或硬件中實施��。例如計算系統(tǒng)710可被配置用作一種專用集成電路(ASIC)��,它被適配為用于實施在此所披露的這些示例性實施方案中的一個或多個���。圖8是示例性網(wǎng)絡(luò)架構(gòu)800的方框圖,在該網(wǎng)絡(luò)架構(gòu)中客戶端系統(tǒng)810�����、820和830以及服務(wù)器840和845可以連接至網(wǎng)絡(luò)850?��?蛻舳讼到y(tǒng)810�����、820和830通常代表任意類型或形式的計算裝置或系統(tǒng)����,例如圖7中的示例性計算系統(tǒng)710�����。在一個實例中�����,客戶端系統(tǒng)810可以包括圖1的系統(tǒng)100�����。類似地���,服務(wù)器840和845總體上代表被配置為用于提供不同的數(shù)據(jù)庫服務(wù)和/或運行某種軟件應(yīng)用程序的計算裝置或系統(tǒng)�,例如應(yīng)用程序服務(wù)器或數(shù)據(jù)庫服務(wù)器。網(wǎng)絡(luò)850總體上代表任何電信或計算機網(wǎng)絡(luò)�����,例如它包括:內(nèi)部網(wǎng)��、廣域網(wǎng)(WAN)��、局域網(wǎng)(LAN)����、個人區(qū)域網(wǎng)(PAN)�����、或互聯(lián)網(wǎng)�����。如圖8所示����,一個或多個存儲裝置860(1)-(N)可以直接附接至服務(wù)器840。類似地,一個或多個存儲裝置870 (I)-(N)可以直接附接至服務(wù)器845�。存儲裝置860 (I) - (N)和存儲裝置870 (I)-(N)總體上代表能夠存儲數(shù)據(jù)和/或其他計算機可讀指令的任意類型或形式的存儲裝置或介質(zhì)。在某些實施方案中��,存儲裝置860 (I)-(N)和存儲裝置870 (I)-(N)可代表被配置為用于使用不同協(xié)議(例如NFS�、SMB、或CIFS)來與服務(wù)器840和845進行通信的網(wǎng)絡(luò)附聯(lián)存儲(NAS )裝置�。服務(wù)器840和845還可以連接至存儲區(qū)域網(wǎng)絡(luò)(SAN)結(jié)構(gòu)880。SAN結(jié)構(gòu)880總體上代表能夠協(xié)助多個存儲裝置之間通信的任意類型或形式的計算機網(wǎng)絡(luò)或體系結(jié)構(gòu)�。SAN結(jié)構(gòu)880可以協(xié)助服務(wù)器840和845與多個存儲裝置890 (I)-(N)和/或一個智能存儲器陣列895之間的通信。SAN結(jié)構(gòu)880還可以通過網(wǎng)絡(luò)850以及服務(wù)器840和845協(xié)助客戶端系統(tǒng)810�����、820和830與存儲裝置890 (I)-(N)和/或智能存儲器陣列895之間的通信���,其方式為裝置890 (I) - (N)和陣列895對客戶端系統(tǒng)810���、820和830呈現(xiàn)為本地附接的裝置。與存儲裝置860 (I)-(N)和存儲裝置870 (I)-(N) —樣��,存儲裝置890 (I) - (N)和存儲陣列895總體上代表能夠存儲數(shù)據(jù)和/或其他計算機可讀指令的任意類型或形式的存儲裝置或介質(zhì)�����。在某些實施方案中,參見圖7的示例性計算系統(tǒng)710���,通信接口(例如����,圖7中的通信接口 722)可用于在每一個客戶端系統(tǒng)810�、820和830以及網(wǎng)絡(luò)850之間提供連接性??蛻舳讼到y(tǒng)810、820和830能夠利用例如網(wǎng)絡(luò)瀏覽器或其他客戶端軟件來訪問服務(wù)器840和845上的信息����。這種軟件可以允許客戶端系統(tǒng)810、820和830訪問由服務(wù)器840���、服務(wù)器845、存儲裝置860 (I) - (N)���、存儲裝置870 (I) - (N)�����、存儲裝置890 (I) - (N)或智能存儲器陣列895管理的數(shù)據(jù)�。盡管圖8描繪了使用網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))交換數(shù)據(jù),但在此描述和/或展示的實施方案不限于互聯(lián)網(wǎng)或任意具體的基于網(wǎng)絡(luò)的環(huán)境�����。在至少一個實施方案中�����,在此披露的示例性實施方案中的一個或多個的全部或一部分可被編碼為一種計算機程序并且由服務(wù)器840��、服務(wù)器845��、存儲裝置860 (I)-(N)�����、存儲裝置870 (I)-(N)��、存儲裝置890 (I)-(N)�、智能存儲陣列895、或它們中的任意組合加載并執(zhí)行���。在此披露的多個示例性實施方案的一個或多個的全部或一部分還可以被編碼為計算機程序�����,存儲在服務(wù)器840中��,由服務(wù)器845運行���,并在網(wǎng)絡(luò)850上分發(fā)給客戶端系統(tǒng)810�、820和830�����。因此���,網(wǎng)絡(luò)架構(gòu)800可以獨立地或與其他元件相結(jié)合地執(zhí)行和/或作為一種手段執(zhí)行在此描述和/或展示的多個步驟或特征中的一個或多個���,例如分析、匯集���、分析����、創(chuàng)建����、應(yīng)用、和/或確定步驟中的一個或多個���。網(wǎng)絡(luò)架構(gòu)800還可以用于執(zhí)行和/或作為一種手段來執(zhí)行本披露中提出的其他步驟和特征�����。如以上所述����,計算系統(tǒng)710和/或網(wǎng)絡(luò)架構(gòu)800的一個或者多個部件可以單獨地亦或與其他元件相結(jié)合地執(zhí)行和/或作為一種手段來執(zhí)行使一種用于創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的示例性方法的一個或多個步驟�����。雖然以上披露使用了多個具體的框圖����、流程圖、以及實例闡明了不同的實施方案�,在此說明和/或展示的每個框圖部件、流程圖步驟�、操作、和/或部件都可以單獨地和/或共同地使用一個大范圍的硬件����、軟件���、或者固件(或者它們的任何組合)配置來實施。另外����,在其他部件之中所包括的任何部件的披露都應(yīng)該看作本質(zhì)上是示例性的,因為可以實施許多其他的體系結(jié)構(gòu)來達到同樣的功能����。在一些實例中,在此描述的系統(tǒng)可以部署在云計算或基于網(wǎng)絡(luò)的環(huán)境中��。云計算環(huán)境可以通過互聯(lián)網(wǎng)提供各種服務(wù)和應(yīng)用程序����。這些基于云的服務(wù)(例如,軟件即服務(wù)��、平臺即服務(wù)��、基礎(chǔ)設(shè)施即服務(wù)等)可以通過網(wǎng)絡(luò)瀏覽器或其他的遠程接口進行訪問��。在此所述的不同功能可以通過遠程桌面環(huán)境或任何其他的基于云的計算環(huán)境來提供��。在此說明和/或展示的進程的參數(shù)以及步驟的順序僅僅是以舉例的方式給出并且可以按希望來更改�����。例如�,雖然在此展示和/或說明的這些步驟可以按照一個具體的順序來示出或討論,但這些步驟并非必須按照所展示或者所討論的順序來執(zhí)行����。在此說明和/或展示的不同的示例性方法還可以省略在此說明或展示的一個或者多個步驟或者還可以包括除所披露的那些之外的額外步驟。雖然不同的實施方案在此已經(jīng)在全功能性計算系統(tǒng)的背景下進行了說明和/或展示��,這些示例性實施方案中的一個或者多個能夠以多種形式作為一個程序產(chǎn)品來分發(fā)���,而無論實際用于進行該分發(fā)的計算機可讀介質(zhì)的具體形式如何�����。在此披露的這些實施方案還可以通過使用執(zhí)行一些特定任務(wù)的軟件模塊來實施�����。這些軟件模塊可以包括腳本���、成批文件、或者其他可執(zhí)行文件,它們可以存儲在一種計算機可讀的存儲介質(zhì)上或者在一種計算系統(tǒng)中��。在一些實施方案中�����,這些軟件模塊可以將一個計算系統(tǒng)配置用于實施在此披露的一個或者多個示例性的實施方案����。另外,在此所述的這些模塊中的一個或多個可以將數(shù)據(jù)��、物理裝置��、和/或物理裝置的表示從一種形式轉(zhuǎn)換到另一種形式���。例如在此描述的模塊的一個或多個可以將計算系統(tǒng)轉(zhuǎn)換為精確應(yīng)用安全試探法的系統(tǒng)以便執(zhí)行基于原始門戶的可執(zhí)行內(nèi)容���。已經(jīng)提供了以上說明用于使本領(lǐng)域的其他普通技術(shù)人員能夠最好地使用在此披露的這些示例性實施方案的不同方面。這種示例性說明并非旨在是窮盡性的或者被限制在所披露的任何準(zhǔn)確的形式上��。許多修改與變更都是可能的而不背離本披露的精神與范圍��。應(yīng)該認為在此披露的這些實施方案在所有方面都是展示性的而非限制性的�����。應(yīng)該參照所附權(quán)利要求及其等效物來確定本披露的范圍。除非另外說明���,如在本說明書與權(quán)利要求中所使用的,術(shù)語“一種”或“一個”將被解釋為“至少一個”的意思���。此外����,為便于使用���,如在本說明書以及權(quán)利要求中所使用的文字“包含”和“具有”是可以互換的并且具有與文字“包括”相同的含義���。
權(quán)利要求
1.一種創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的計算機實施的方法,該方法的至少一部分由包括至少一個處理器的一個計算裝置來執(zhí)行的�����,該方法包括: 識別接收可執(zhí)行內(nèi)容的一個門戶���; 識別與該門戶相關(guān)的元數(shù)據(jù)�; 分析該元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容會造成何種風(fēng)險; 基于該分析����,創(chuàng)建一個置信帶以便應(yīng)用在通過該門戶接收的可執(zhí)行內(nèi)容的至少一次處置過程中。
2.根據(jù)權(quán)利要求1所述的計算機實施的方法����,進一步包括: 識別源自該門戶的一個可執(zhí)行對象; 在該可執(zhí)行對象的一次處置過程中應(yīng)用該置信帶��。
3.根據(jù)權(quán)利要求2所述的計算機實施的方法����,其中該可執(zhí)行對象的處置包括以下操作中的至少一項: 確定該可執(zhí)行對象是安全的; 確定該可執(zhí)行對象是惡意的��; 確定該可執(zhí)行對象的安全性是未知的����。
4.根據(jù)權(quán) 利要求1所述的計算機實施的方法,其中該門戶包括能夠創(chuàng)建一個附加可執(zhí)行對象的一個可執(zhí)行對象�����。
5.根據(jù)權(quán)利要求1所述的計算機實施的方法��,其中該門戶包括以下內(nèi)容中的至少一項: 一個互聯(lián)網(wǎng)瀏覽器; 一個電子郵件客戶端�; 一個對等網(wǎng)絡(luò)客戶端; 一個聊天客戶端�。
6.根據(jù)權(quán)利要求1所述的計算機實施的方法,其中該元數(shù)據(jù)識別以下內(nèi)容中的至少一項: 源自該門戶的多個可執(zhí)行對象�����; 該門戶的受歡迎程度���; 源自該門戶的不受信任的可執(zhí)行對象的發(fā)生率。
7.根據(jù)權(quán)利要求1所述的計算機實施的方法���,其中創(chuàng)建該置信帶以應(yīng)用至該門戶包括創(chuàng)建一個置信帶以應(yīng)用至一類門戶�。
8.根據(jù)權(quán)利要求1所述的計算機實施的方法�����,其中識別該元數(shù)據(jù)包括匯集該門戶的多個實例上的元數(shù)據(jù)�����。
9.根據(jù)權(quán)利要求1所述的計算機實施的方法����,其中創(chuàng)建該置信帶包括基于可應(yīng)用于該門戶的至少一個用戶配置來創(chuàng)建該置信帶���。
10.一種創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的系統(tǒng),該系統(tǒng)包括: 一個識別模塊�,該識別模塊被編程用于: 識別接收可執(zhí)行內(nèi)容的一個門戶; 識別與該門戶相關(guān)的元數(shù)據(jù)��; 一個分析模塊�����,該分析模塊被編程用于分析該元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容會造成何種風(fēng)險���; 一個創(chuàng)建模塊�����,該創(chuàng)建模塊被編程用于基于該分析創(chuàng)建一個置信帶以便應(yīng)用在通過該門戶接收的可執(zhí)行內(nèi)容的至少一次處置過程中��; 至少一個處理器���,該處理器被配置用于執(zhí)行該識別模塊、該分析模塊以及該創(chuàng)建模塊�。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)���,進一步包括一個處置模塊,該處置模塊被編程用于: 識別源自該門戶的一個可執(zhí)行對象�����; 在該可執(zhí)行對象的一次處置過程中應(yīng)用該置信帶�。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其中該可執(zhí)行對象的處置包括以下操作中的至少一項: 確定該可執(zhí)行對象是安全的���; 確定該可執(zhí)行對象是惡意的�����; 確定該可執(zhí)行對象的安全性是未知的。
13.根據(jù)權(quán)利要求10所述的系統(tǒng)���,其中該門戶包括能夠創(chuàng)建一個附加可執(zhí)行對象的一個可執(zhí)行對象�����。
14.根據(jù)權(quán)利要求10所述的系統(tǒng)����,其中該門戶包括以下內(nèi)容中的至少一項: 一個互聯(lián)網(wǎng)瀏覽器; 一個電子郵件客戶端�����;` 一個對等網(wǎng)絡(luò)客戶端����; 一個聊天客戶端。
15.根據(jù)權(quán)利要求10所述的系統(tǒng)����,其中該元數(shù)據(jù)識別以下內(nèi)容中的至少一項: 源自該門戶的多個可執(zhí)行對象; 該門戶的受歡迎程度���; 源自該門戶的不受信任的可執(zhí)行對象的發(fā)生率���。
16.根據(jù)權(quán)利要求10所述的系統(tǒng),其中該創(chuàng)建模塊被編程用于通過創(chuàng)建一個置信帶以應(yīng)用至一類門戶來創(chuàng)建該置信帶以應(yīng)用至該門戶���。
17.根據(jù)權(quán)利要求10所述的系統(tǒng)��,其中該識別模塊被編程用于通過匯集該門戶的多個實例上的元數(shù)據(jù)來識別該元數(shù)據(jù)����。
18.根據(jù)權(quán)利要求10所述的系統(tǒng),其中該創(chuàng)建模塊被編程用于通過基于可應(yīng)用于該門戶的至少一個用戶配置創(chuàng)建該置信帶來創(chuàng)建該置信帶�。
19.一種計算機可讀存儲介質(zhì),包括一個或多個計算機可執(zhí)行指令����,當(dāng)由一個計算裝置的至少一個處理器執(zhí)行時,這些指令使得該計算裝置: 識別接收可執(zhí)行內(nèi)容的一個門戶�; 識別與該門戶相關(guān)的元數(shù)據(jù); 分析該元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容會造成何種風(fēng)險�����; 基于該分析����,創(chuàng)建一個置信帶以便應(yīng)用在通過該門戶接收的可執(zhí)行內(nèi)容的至少一次處置過程中���。
20.根據(jù)權(quán)利要求19所述的計算機可讀存儲介質(zhì)�����,其中該一個或多個計算機可執(zhí)行指令進一步使得該計算裝置: 識別源自該門戶的一個可執(zhí)行對象����;在該可執(zhí)行對象的一 次處置過程中應(yīng)用該置信帶。
全文摘要
一種創(chuàng)建在惡意軟件檢測中使用的定制化置信帶的計算機實施的方法可以包括1)識別接收可執(zhí)行內(nèi)容的一個門戶�,2)識別與該門戶相關(guān)的元數(shù)據(jù),3)分析該元數(shù)據(jù)以確定通過該門戶接收的可執(zhí)行內(nèi)容會造成何種風(fēng)險����,然后4)基于該分析,創(chuàng)建一個置信帶以便應(yīng)用在通過該門戶接收的可執(zhí)行內(nèi)容的至少一次處置過程中����。在此還披露了不同的其他的方法、系統(tǒng)��、以及計算機可讀介質(zhì)���。
文檔編號G06F21/56GK103109295SQ201180028892
公開日2013年5月15日 申請日期2011年5月14日 優(yōu)先權(quán)日2010年7月2日
發(fā)明者J·陳, J·J·樸 申請人:賽門鐵克公司