所描述系统及方法允许保护计算机系统免受例如病毒、特洛伊木马及间谍软件等恶意软件的影响。对于多个可执行实体(例如在所述计算机系统上执行的进程及线程)中的每一者,评分引擎记录多个评估分数,每一分数是根据相异评估准则确定的。每当实体满足评估准则(例如,执行行动)时,所述实体的所述相应分数便被更新。更新实体的分数可触发对与所述相应实体相关的实体的分数更新,甚至当所述相关实体被终止,即,不再作用时也如此。相关实体尤其包含所述相应实体的父代及/或将代码注入到所述相应实体中的实体。所述评分引擎根据实体的所述多个评估分数来确定所述相应实体是否为恶意的。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】用于恶意软件检测的复杂评分
技术介绍
本专利技术涉及用于保护计算机系统免受恶意软件影响的系统及方法。 恶意软件(也被称为恶意软件(malware))在世界范围内影响大量计算机系统。在 其许多形式中(例如计算机病毒、蠕虫、隐匿程序(rootkit)及间谍软件),恶意软件给数百 万计算机用户呈现严重风险,使其易受数据及敏感信息丢失、身份盗用及生产力损失以及 其它。 安全软件可用于检测感染用户的计算机系统的恶意软件,且另外用于移除或停止 此类恶意软件的执行。所属领域中已知数种恶意软件-检测技术。一些技术依赖于将恶意软 件代理的代码片段与恶意软件-指示性特征库进行匹配。其它常规方法检测恶意软件代理 的一组恶意软件-指示性行为。 为规避检测及/或破坏安全软件的操作,一些恶意软件代理采用混淆技术,例如将 其代码加密或在每一所感染计算机系统上使用稍微不同代码版本(多态性)。其它示范性检 测规避方法将恶意活动划分为数个行动,每一行动由单独代理执行,可能具有时间延迟。在 其它实例中,恶意软件可举例来说通过使用特权提升及/或通过覆写安全软件的代码而试 图主动攻击并停用安全软件。 为与一组迅速改变的恶意软件威胁保持同步,存在对开发稳健及可扩缩反恶意软 件解决方案的强烈关注。
技术实现思路
根据一个方面,一种主机系统包括至少一个处理器,所述至少一个处理器经配置 以执行实体管理模块、实体评估器及评分引擎。所述实体管理模块经配置以管理经评估软 件实体的集合,其中管理所述集合包括:识别所述集合的第一实体的一组后代实体;确定所 述第一实体是否被终止;作为响应,当所述第一实体被终止时,确定所述组后代实体的所有 成员是否均被终止;且作为响应,当所述组后代实体的所有成员均被终止时,从所述集合移 除所述第一实体。所述实体评估器经配置以:根据评估准则评估所述第一实体;且作为响 应,当所述第一实体满足所述评估准则时,将评估指示符发射到所述评分引擎。所述评分引 擎经配置以:记录针对所述集合的所述第一实体确定的第一分数及针对第二实体确定的第 二分数,所述第一及第二分数是根据所述评估准则确定的;响应于记录所述第一及第二分 数,且响应于接收到所述评估指示符,根据所述评估指示符更新所述第二分数;且作为响 应,根据所述所更新第二分数来确定所述第二实体是否为恶意的。 根据另一方面,一种存储指令的非暂时性计算机可读媒体,所述指令在被执行时 配置主机系统的至少一个处理器以管理经评估软件实体的集合,其中管理所述集合包括: 识别所述集合的第一实体的一组后代实体;确定所述第一实体是否被终止;作为响应,当所 述第一实体被终止时,确定所述组后代实体的所有成员是否均被终止;且作为响应,当所述 组后代实体的所有成员均被终止时,从所述集合移除选定实体。所述指令进一步配置所述 至少一个处理器以记录针对所述集合的所述第一实体确定的第一分数及针对第二实体确 定的第二分数,所述第一及第二分数是根据评估准则确定的。响应于记录所述第一及第二 分数,所述指令进一步配置所述至少一个处理器以根据所述评估准则评估所述第一实体。 响应于评估所述第一实体,所述指令进一步配置所述至少一个处理器以在所述第一实体满 足所述评估准则时更新所述第二分数,且响应于更新所述第二分数,根据所述所更新第二 分数确定所述第二实体是否为恶意的。 根据另一方面,一种主机系统包括经配置以执行实体评估器及评分引擎的至少一 个处理器。所述实体评估器经配置以:根据评估准则评估第一软件实体,所述第一软件实体 是在客户端系统上执行,且作为响应,当所述第一软件实体满足所述评估准则时,将评估指 示符发射到所述评分引擎。所述评分引擎经配置以响应于接收到所述评估指示符,根据所 述评估指示符更新分数,其中所述分数是针对先前在所述主机系统上执行的第二软件实体 确定的,所述第二软件实体在更新所述分数时被终止。所述评分引擎进一步经配置以响应 于更新所述第二分数,根据所述所更新第二分数来确定所述第二软件实体是否为恶意的。 根据另一方面,一种方法包括采用主机系统的至少一个处理器来确定在所述主机 系统上执行的第一软件实体是否满足评估准则。所述方法进一步包括当所述第一软件实体 满足所述评估准则时,采用所述至少一个处理器来更新针对先前在所述主机系统上执行的 第二软件实体确定的分数,所述第二软件实体在更新所述分数时被终止,所述分数是根据 所述评估准则确定的。所述方法进一步包括响应于更新所述第二分数,采用所述至少一个 处理器来根据所述所更新第二分数确定所述第二软件实体是否为恶意的。【附图说明】 在阅读以下详细描述后且在参考图式后,本专利技术的前述方面及优点将立即变得更 好理解,在图式中: 图1展示根据本专利技术的一些实施例的经保护免受恶意软件影响的主机计算机系统 的示范性硬件配置。 图2-A展示根据本专利技术的一些实施例的包含在主机系统上执行的安全应用程序的 一组示范性软件对象。 图2-B展示一组示范性软件对象,所述示范性软件对象包含在经配置以支持虚拟 化的主机系统中的虚拟机内执行的安全应用程序。 图3图解说明根据本专利技术的一些实施例的以各种处理器特权层级在主机系统上执 行的软件对象的示范性层次,所述软件对象包含一组反恶意软件对象。 图4展示根据本专利技术的一些实施例的由图3的实体管理模块执行的示范性步骤序 列。 图5展示根据本专利技术的一些实施例的接收多个实体评估指示符的示范性评分引 擎,所述多个实体评估指示符是针对软件实体由多个实体评估器模块确定的。 图6图解说明在Windows?环境中的一组进程的示范性执行流程。实线箭头指示 在不存在反恶意软件系统的情况下的示范性执行流程。虚线箭头指示对所述执行流程的修 改,所述修改由根据本专利技术的一些实施例操作的多个实体评估器引入。 图7展示根据本专利技术的一些实施例的由实体评估器模块执行的示范性步骤序列。 图8展示根据本专利技术的一些实施例的多个示范性实体评分对象(ES0),每一 ES0是 针对相应软件实体确定的。ESO的示范性数据字段包含实体身份指示符EID、多个分数Si及 针对相应实体确定的聚合分数A以及其它。 图9图解说明根据本专利技术的一些实施例的一组示范性分数值,及由评分引擎使用 以对软件实体进行评分的各个组示范性权重。 图10展示根据本专利技术的一些实施例的由评分引擎执行(图3到4)的示范性步骤序 列。 图11图解说明包括经由计算机网络连接到安全服务器的多个主机系统的示范性 配置。 图12展示根据本专利技术的一些实施例的主机系统与安全服务器之间的示范性反恶 意软件交易。【具体实施方式】 在以下描述中,应理解,结构之间的所有所引用连接可为直接操作连接或通过中 间结构的间接操作连接。一组元素包含一个或多个元素。对元素的任何引用应理解为指代 至少一个元素。多个元素包含至少两个元素。除非另有需要,否则任何所描述方法步骤不需 要一定以特定所图解说明次序执行。第一元素(例如数据)从第二元素导出涵盖第一元素等 于第二元素,以及通过处理第二元素及任选地其它数据产生第一元素。根据参数做出确定 或决策涵盖根据所述参数及任选地根据其它数据做出确定或决策。除非另外规定,否则一 些数量/数据的指示符可为数量/数据本身,或与所述数量/数据本身不同的指示符。除本文档来自技高网...
【技术保护点】
一种包括至少一个处理器的主机系统,所述至少一个处理器经配置以执行实体管理模块、实体评估器及评分引擎,其中:所述实体管理模块经配置以管理经评估软件实体的集合,其中管理所述集合包括:识别所述集合的第一实体的一组后代实体;确定所述第一实体是否被终止;作为响应,当所述第一实体被终止时,确定所述组后代实体的所有成员是否均被终止;且作为响应,当所述组后代实体的所有成员均被终止时,从所述集合移除所述第一实体;所述实体评估器经配置以:根据评估准则评估所述第一实体;且作为响应,当所述第一实体满足所述评估准则时,将评估指示符发射到所述评分引擎;且所述评分引擎经配置以:记录针对所述集合的所述第一实体确定的第一分数及针对第二实体确定的第二分数,所述第一及第二分数是根据所述评估准则确定的;响应于记录所述第一及第二分数,且响应于接收到所述评估指示符,根据所述评估指示符更新所述第二分数;且作为响应,根据所述所更新第二分数来确定所述第二实体是否为恶意的。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:山多尔·卢卡奇,劳尔瓦西里·托萨,保罗丹尼尔·博卡,格奥尔基弗洛兰·哈嘉玛山,安德烈弗拉德·卢察什,
申请(专利权)人:比特梵德知识产权管理有限公司,
类型:发明
国别省市:塞浦路斯;CY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。