基于频率的信誉制造技术

在一个示例实施例中，公开了在子例程水平分析应用和其他可执行对象的防恶意软件系统和方法。可以给每一子例程指定执行频率评分，该执行频率评分可以基于隔离环境中的仿真执行、基于真实世界操作条件或基于静态分析。可以基于有多频繁地执行来给每一子例程指定执行频率评分。基于这种评分，也可以给每一子例程指定信誉评分。为了帮助对相同子例程在其他应用中发生进行交叉引用，也可以给子例程指定伪唯一标识符，例如模糊指纹。

【技术实现步骤摘要】
【国外来华专利技术】本公开内容的领域本申请涉及计算机网络安全的领域，且尤其涉及用于为对象计算基于频率的信誉的系统、装置和方法。背景贯穿本说明书所使用的恶意软件(“malware”)包括任何病毒、木马、机器人、僵尸、黑客程序(rootkit)、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器辅助对象、cookie、记录器或被设计成采取可能不需要的动作的类似物，包括作为非限制性示例的数据破坏、隐蔽数据收集、浏览器劫持、网络代理或重定向、隐蔽跟踪、数据记录、键盘记录、过度或蓄意的障碍移除、联系人搜集以及未经许可的自我传播。在此称为防恶意软件系统某些系统聚焦于在应用或文件水平标识和打击恶意软件。“可执行对象”包括任何文件、程序、宏、脚本、文档、记录或包含用于执行程序的代码的类似物。除了被开发成作为单机程序操作之外，恶意软件也可以采取添加或注入到其他软件的恶意代码的形式。这种形式的一个示例可以是其中通过寄生复制计算机病毒引入恶意代码的“受感染文件”。也可以将恶意代码手动注入或将它添加到软件源，以使得在编译之后它将变成可执行对象的一部分，或者可以被添加到脚本且进行解释，脚本可以编译或者不编译。某些防恶意软件解决方案聚焦于标识受感染文件且然后移除、隔离或以其他方式阻断它们。附图简述在与附图一起阅读时，可从下列详细描述最佳理解本公开内容。要强调的是，根据本行业中的标准做法，各种特征没有按比例绘制，且仅用于阐释目的。事实上，出于讨论的清晰起见，可以任意增加或减少各种特征的尺度。图1是根据本说明书的一个或多个示例的分布式信誉环境的网络级图。图2是根据本说明书的一个或多个示例包含多个子例程(包括常见子例程)的多个可执行对象的框图。图3是根据本说明书的一个或多个示例的客户机设备130的框图。图4是根据本说明书的一个或多个示例由信誉客户机执行的示例过程的流程图。图5是根据本说明书的一个或多个示例的信誉服务器的框图。图6是根据本说明书的一个或多个示例的提供信誉服务器的一种方法的流程图。各实施例的详细描述概览在一种示例中，公开了在子例程水平分析应用和其他可执行对象的防恶意软件系统和方法。可以给每一子例程指定执行频率评分，该执行频率评分可以基于隔离环境中的仿真执行、基于真实世界操作条件或基于静态分析。可以基于有多频繁地执行来给每一子例程指定执行频率评分。基于这种评分，也可以给每一子例程指定信誉评分。为了辅助对在其他应用中发生的相同子例程的交叉引用，也可以给子例程指定伪唯一标识符，例如模糊指纹。本公开内容的各实施例一些软件生态系统已经向从“应用商店”如谷歌商店(GooglePlay)、苹果商店和微软商店分发的应用和其他可执行对象的模型迁移。在这种环境中，恶意软件作者可以通过隐藏恶意功能以免受应用商店筛选来改变适应。一些防恶意软件解决方案也可能难以检测的一种可能方法是构建有用的或期望的程序例如游戏并向其注入恶意子例程，这些恶意子例程仅在特定的相对罕见的条件下激活，例如，针对相对小的但期望的用户类别(这种类型的包含有时被称为“复活节彩蛋”)。在这种场景中，许多用户将发现该应用在预期边界内操作且看上去是有用和出现有用和有趣的。这些用户可能给予该应用良好评价，从而加剧了隐藏的恶意软件的散布。类似地，可以通过贿赂开发商或获得对源代码控制系统的未经授权的访问权的手段将恶意代码注入到合法软件，例如在入侵拥有对源代码储存库的“写”访问权的人的计算机之后。这种隐蔽的恶意软件传播可以用于大规模攻击以及有针对性的攻击，包括政府资助的攻击。因而，在一些情况中将恶意软件标识限制在可执行对象水平可能不是最优的。相反，新出现的威胁可能聚焦于新的攻击方法，例如包括：通过逆向工程或以其他方式修改现有可执行对象以注入恶意软件例程创建受感染文件，且向应用商店提供经修改的可执行对象。创建经由应用商店分发的大部分合法的可执行对象，但其中包括偶尔执行的恶意软件例程，使得难以将可执行对象标识为恶意软件。通过使用大型开发团队和第三方软件的加载项，可进一步加剧这些挑战。在一种示例攻击中，恶意软件作者以目标代码格式提供有用的第三方库。该库可以包括大部分合法的功能，加上仅偶尔执行的恶意软件有效载荷。这种偶尔执行可以帮助掩盖该库的恶意软件本质。例如，该库可以记录金融交易，且仅在用户访问具有多于100,000美元的可用资金的银行账户时激活，于是该账户被取空了。在另一示例中，恶意软件有效载荷从用户收集私有数据以供销售给营销实体，但仅在出现GPS信号时以及在发现用户处于从列表选择的一种邮政编码内时收集数据，该列表被配置成大到足以提供有用数据但小到足以确保仅偶尔执行恶意软件有效载荷。执行的这种偶发性可以帮助确保不能容易地检测到恶意软件库。如果该库提供通常使用的或非常有用的功能，且如果以宽松的授权条款免费或廉价提供它，那么，寻求满足紧迫的绝限的时间紧张的开发者可能被引诱到使用该库。因而，恶意软件库可能最终进入多种不同应用，且被分发给多种不同的设备。宽广、错杂的构分布也可能使得难以标识恶意软件库的所有实例，即使在发现恶意的有效载荷之后也是如此。例如，可以在第一可执行对象中标识有效载荷，以使得适当地隔离、清洗和重新部署第一可执行对象而不带有有效载荷。然而，由于不知道已经使用该库的每一供应商，难以标识每一受感染文件。此外，该库可能拥有执行或解释从外部源提供的代码的能力，作为非限制性示例，外部源例如来自Web页面的脚本或指令或经由网络连接接收的命令。在一些情况中，在执行在一些情况中等效于“僵尸”、“后门”、或“远程壳”功能的此类远程控制之前，静态和动态分析不能够检查攻击者的确切意图。在第二示例攻击场景中，恶意软件作者取得诸如应用之类的公开可获得的可执行对象的副本，并逆向工程或以其他方式修改该应用以插入恶意软件行为。然后，该作者可以将该应用分发到例如用户可以可选地选择的未经验证第三方应用储存库。在这种情况中，最终用户可以发现可以在第三方应用储存库上免费获得流行的付费应用，且看上去具有所期望的应用的全部原始功能。因为恶意软件有效载荷仅在某些条件下激活，许多用户可能不会受到不良影响。在这种情况中，不需要将该应用的每一副本都标识为恶意软件。相反，仅需要标记已经修改的那些。在第三示例攻击场景中，恶意软件作者可能会被诸如应用之类的可执行对象的在其他方面合法的开发者合法雇佣。在这种情况中，用户可以隐蔽地将恶意软件行为注入在其他方面合法的应用，且可以通过将恶意软本文档来自技高网...

【技术保护点】
一种装置，其用于执行可执行对象的基于频率的分类，包括：处理器，其通信上耦合到存储器；网络接口；以及信誉客户机引擎，其通信上耦合到所述处理器，且可操作为：将可执行对象解析成多个子例程；以及给每一子例程指定执行频率评分。

【技术特征摘要】
【国外来华专利技术】1.一种装置，其用于执行可执行对象的基于频率的分类，包括：
处理器，其通信上耦合到存储器；
网络接口；以及
信誉客户机引擎，其通信上耦合到所述处理器，且可操作为：
将可执行对象解析成多个子例程；以及
给每一子例程指定执行频率评分。
2.如权利要求1所述的信誉客户机，其特征在于，所述信誉客户机引擎还可操作为：
在所述网络接口上提供所述执行频率评分；以及
通过所述网络接口接收所述可执行对象的信誉评分。
3.如权利要求1所述的信誉客户机，其特征在于，所述给每一子例程指定执行频率评分
进一步包括运行所述可执行对象和清点对所述各子例程的调用。
4.如权利要求1所述的信誉客户机，其特征在于，所述信誉客户机引擎还可以操作为在
隔离环境中运行所述可执行对象。
5.如权利要求1所述的信誉客户机，其特征在于，将所述可执行对象解析成多个子例程
进一步包括修改所述可执行对象的副本以便将频率计数器注入到所述各子例程。
6.一个或多个非暂态计算机可读介质，其上存储有可执行指令，所述可执行指令可操
作为指示处理器提供如权利要求1-5中的任何一项所述的信誉客户机引擎。
7.一种信誉服务器，包括：
处理器，其通信上耦合到存储器；
网络接口；以及
信誉服务器引擎，其通信上耦合到所述处理器且可操作为：
将可执行对象解析成多个子例程；以及
给每一子例程指定信誉评分。
8.如权利要求7所述的信誉服务器，其特征在于，所述信誉服务器引擎还可操作为：
至少部分地基于所述多个子例程的所述信誉评分，计算所述可执行对象的信誉评分；
以及
经由所述网络接口将所述各信誉评分中的至少一个分发给多个信誉客户机。
9.如权利要求8所述的信誉服务器，其特征在于，所述给每一子例程指定信誉评分进一
步包括给每一子例程指定执行频率评分。
10.如权利要求8所述的信誉服务器，其特征在于，将所述可执行对象解析成多个子例
程进一步包括从信誉客户机接收关于所述多个子例程的数据。
11.如权利要求8所述的信誉服务器，其特征在于，给每一子例程指定信誉评分进一步
包括从信誉客户机接收每一子例程的执行频率评分。
12.如权利要求8所述的信誉服务器，其特征在于，给每一子例程指定信誉评分进一步
包括：
给每一子例程指定伪唯一指纹；以及
使用所述伪唯一指纹在信誉数据库中查询匹配子例程的频率或信誉评分。
13.如权利要求8所述的信誉服务器，其特征在于，给每一子例程指定信誉评分进一步
包括接收所述子例程的执行频率评分，所述执行频率评分包括跨越多个可执行对象的执行
频率。
14.如权利要求8所述的信誉服务器，其特征在于，所述信誉服务器引擎还可操作为：
在隔离环境中运行所述可执行对象；以及
基于各子例程的执行频率，给各子例程指定频率评分。
15.如权利要求8所述的信誉服务器，其特征在于，给每一子例程指定信誉评分进一步
包括静态分析所述可执行对象。
16.如权利要求8所述的信誉服务器，其特征在于，所述信誉服务器引擎还可以操作为
标记带有低信誉评分的可执行对象以供额外深入分析。
17.如权利要求8所述的信誉服务器，其特征在于，所述可执行对象的所述信誉至少部
分地基于所述多个子例程的所述信誉。
18.如权利要求8所述的信誉服务器，其特征在于，所述信誉服务器引擎还可操作为：
确定所述可执行对象具有高信誉评分；以及
给所述多个子例程指定高信誉评分。
19.如权利要求8所述的信誉服务器，其特征在于，所述信誉服务器引擎还可操作为：
给至少一个子例程指定伪唯一指纹；
跨越多个可执行对象计算所述子例程的执行频率评分；以及
将所述信誉评分与所述执行频率评分相关起来。
20.如权利要求19所述的信誉服务器，其特征在于，给所述子例程指定伪唯一指纹包括
计算模糊指纹。
21.如权利要求8所述的信誉服务器，其特征在于，所述信誉服务器引擎还可以操作为
将具有执行频率评分0的子例程标识为安全风险。
22.如权利要求8所述的信誉服务器，其特征在...

【专利技术属性】
技术研发人员：I·穆迪科，
申请(专利权)人：迈克菲股份有限公司，
类型：发明
国别省市：美国;US