【技术实现步骤摘要】
【国外来华专利技术】本公开内容的领域本申请涉及计算机网络安全的领域,且尤其涉及用于为对象计算基于频率的信誉的系统、装置和方法。背景贯穿本说明书所使用的恶意软件(“malware”)包括任何病毒、木马、机器人、僵尸、黑客程序(rootkit)、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器辅助对象、cookie、记录器或被设计成采取可能不需要的动作的类似物,包括作为非限制性示例的数据破坏、隐蔽数据收集、浏览器劫持、网络代理或重定向、隐蔽跟踪、数据记录、键盘记录、过度或蓄意的障碍移除、联系人搜集以及未经许可的自我传播。在此称为防恶意软件系统某些系统聚焦于在应用或文件水平标识和打击恶意软件。“可执行对象”包括任何文件、程序、宏、脚本、文档、记录或包含用于执行程序的代码的类似物。除了被开发成作为单机程序操作之外,恶意软件也可以采取添加或注入到其他软件的恶意代码的形式。这种形式的一个示例可以是其中通过寄生复制计算机病毒引入恶意代码的“受感染文件”。也可以将恶意代码手动注入或将它添加到软件源,以使得在编译之后它将变成可执行对象的一部分,或者可以被添加到脚本且进行解释,脚本可以编译或者不编译。某些防恶意软件解决方案聚焦于标识受感染文件且然后移除、隔离或以其他方式阻断它们。附图简述在与附图一起阅读时,可从下列详细描述最佳理解本公开内容。要强调的是,根据本行业中的标准做法,各种特征没有按比例绘制,且仅用于阐释目的。事实上,出于讨论 ...
【技术保护点】
一种装置,其用于执行可执行对象的基于频率的分类,包括:处理器,其通信上耦合到存储器;网络接口;以及信誉客户机引擎,其通信上耦合到所述处理器,且可操作为:将可执行对象解析成多个子例程;以及给每一子例程指定执行频率评分。
【技术特征摘要】
【国外来华专利技术】1.一种装置,其用于执行可执行对象的基于频率的分类,包括:
处理器,其通信上耦合到存储器;
网络接口;以及
信誉客户机引擎,其通信上耦合到所述处理器,且可操作为:
将可执行对象解析成多个子例程;以及
给每一子例程指定执行频率评分。
2.如权利要求1所述的信誉客户机,其特征在于,所述信誉客户机引擎还可操作为:
在所述网络接口上提供所述执行频率评分;以及
通过所述网络接口接收所述可执行对象的信誉评分。
3.如权利要求1所述的信誉客户机,其特征在于,所述给每一子例程指定执行频率评分
进一步包括运行所述可执行对象和清点对所述各子例程的调用。
4.如权利要求1所述的信誉客户机,其特征在于,所述信誉客户机引擎还可以操作为在
隔离环境中运行所述可执行对象。
5.如权利要求1所述的信誉客户机,其特征在于,将所述可执行对象解析成多个子例程
进一步包括修改所述可执行对象的副本以便将频率计数器注入到所述各子例程。
6.一个或多个非暂态计算机可读介质,其上存储有可执行指令,所述可执行指令可操
作为指示处理器提供如权利要求1-5中的任何一项所述的信誉客户机引擎。
7.一种信誉服务器,包括:
处理器,其通信上耦合到存储器;
网络接口;以及
信誉服务器引擎,其通信上耦合到所述处理器且可操作为:
将可执行对象解析成多个子例程;以及
给每一子例程指定信誉评分。
8.如权利要求7所述的信誉服务器,其特征在于,所述信誉服务器引擎还可操作为:
至少部分地基于所述多个子例程的所述信誉评分,计算所述可执行对象的信誉评分;
以及
经由所述网络接口将所述各信誉评分中的至少一个分发给多个信誉客户机。
9.如权利要求8所述的信誉服务器,其特征在于,所述给每一子例程指定信誉评分进一
步包括给每一子例程指定执行频率评分。
10.如权利要求8所述的信誉服务器,其特征在于,将所述可执行对象解析成多个子例
程进一步包括从信誉客户机接收关于所述多个子例程的数据。
11.如权利要求8所述的信誉服务器,其特征在于,给每一子例程指定信誉评分进一步
包括从信誉客户机接收每一子例程的执行频率评分。
12.如权利要求8所述的信誉服务器,其特征在于,给每一子例程指定信誉评分进一步
包括:
给每一子例程指定伪唯一指纹;以及
使用所述伪唯一指纹在信誉数据库中查询匹配子例程的频率或信誉评分。
13.如权利要求8所述的信誉服务器,其特征在于,给每一子例程指定信誉评分进一步
包括接收所述子例程的执行频率评分,所述执行频率评分包括跨越多个可执行对象的执行
频率。
14.如权利要求8所述的信誉服务器,其特征在于,所述信誉服务器引擎还可操作为:
在隔离环境中运行所述可执行对象;以及
基于各子例程的执行频率,给各子例程指定频率评分。
15.如权利要求8所述的信誉服务器,其特征在于,给每一子例程指定信誉评分进一步
包括静态分析所述可执行对象。
16.如权利要求8所述的信誉服务器,其特征在于,所述信誉服务器引擎还可以操作为
标记带有低信誉评分的可执行对象以供额外深入分析。
17.如权利要求8所述的信誉服务器,其特征在于,所述可执行对象的所述信誉至少部
分地基于所述多个子例程的所述信誉。
18.如权利要求8所述的信誉服务器,其特征在于,所述信誉服务器引擎还可操作为:
确定所述可执行对象具有高信誉评分;以及
给所述多个子例程指定高信誉评分。
19.如权利要求8所述的信誉服务器,其特征在于,所述信誉服务器引擎还可操作为:
给至少一个子例程指定伪唯一指纹;
跨越多个可执行对象计算所述子例程的执行频率评分;以及
将所述信誉评分与所述执行频率评分相关起来。
20.如权利要求19所述的信誉服务器,其特征在于,给所述子例程指定伪唯一指纹包括
计算模糊指纹。
21.如权利要求8所述的信誉服务器,其特征在于,所述信誉服务器引擎还可以操作为
将具有执行频率评分0的子例程标识为安全风险。
22.如权利要求8所述的信誉服务器,其特征在...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。