本发明专利技术的一个方面提供一种将计算机对象分类为恶意软件的方法,包括在基计算机处从多个远程计算机中的每一个接收关于计算机对象的数据,该对象或类似对象存储在远程计算机上。在基计算机中,比较从多个计算机接收的关于计算机对象的数据。根据所述比较,将计算机对象分类为恶意软件。在一个实施例中,关于计算机对象的数据包括以下中的一个或多个:包含在对象内或者由所述对象组成的可执行指令;对象的大小;对象的名称;对象在各个远程计算机上的对象逻辑存储位置或路径;对象的销售商;与对象相关联的软件产品和版本;以及当创建、配置对象或对象在各个远程计算机上运行时,由对象发起的事件或涉及对象的事件。
Method and apparatus for processing malicious software
One aspect of the invention provides a method for computer object classification of malicious software, including the base computer from a remote computer in every computer receives a data object, the object or similar objects are stored on a remote computer. In a base computer, compare data received from a plurality of computers about a computer object. According to the comparison, the computer objects are classified as malicious software. In one embodiment, a computer object data includes one or more of the following: included in the object or the object composed of executable instructions; the size of the object; the name of the object; the object in each object on the remote computer storage location or logical path; objects and vendors; the object associated with the software product and version; and, when creating configuration object or run on a remote computer, by object initiated events or events related to object.
【技术实现步骤摘要】
本专利技术一般涉及用于处理恶意软件的方法和装置。在一个方面中,本专利技术涉及一 种用于将计算机对象分类为恶意软件的方法和装置。在另一个方面中,本专利技术涉及一种用 于确定远程计算机能够防止恶意软件的方法和装置。在另一个方面中,本专利技术涉及一种用 于将计算机对象分类为恶意软件或安全的方法和装置。在另一个方面中,本专利技术涉及一种 在计算机上安装软件的方法。
技术介绍
在此使用的术语“恶意软件”一般指任何可执行的计算机文件或者是恶意代码或包含恶意代码(并且因此包括病毒、特洛伊、蠕虫、间谍软件、广告软件等)的更一般的“对^fe ”家。一种诸如反病毒扫描软件的典型反恶意软件产品扫描对象或应用于对象的算法 结果或其部分,从而在已知指示存在病毒的对象中查找签名(signature)。通常地,处理恶 意软件的方法当新型恶意软件例如经由因特网发布时,最终检测这些恶意软件。一旦检 测到新的恶意软件条目,那么该领域中的服务提供商生成试图处理这些恶意软件的签名, 并且然后将这些签名发布以更新他们的反恶意软件程序。还使用了启发式(Heuristic)方 法。这些系统很好地用于防止已知的恶意对象。然而,由于它们依靠生成和/或更新 的签名文件,所以在一个新的恶意软件开始存在或发布与生成或更新用于与恶意软件进行 战斗的签名并且将其提供给用户之间存在着不可避免的延迟。因此,用户在一个特定时间 段内处于来自于新的恶意软件的风险中,该特定时间段可能高达一周甚至更长。而且,为了 尽量击败反病毒产品,恶意软件编写者使用混淆(obfuscation)技术从而试图隐藏病毒代 码的签名或签名基础数据以防止检测。通常地,混淆包括加密或对病毒代码打包。W0-A-2004/097602描述了一种系统,该系统分析由本地计算机接收或生成的计算 机文件并且将这些文件与已知文件的数据库进行比较以确定特定文件是否是已知的,并且 如果是,确定该特定文件是否在足够长的时间内已知从而可以被看作“安全的”。然而,在实 践中,关于它本身,这不太可能提供足够的保护,因为例如,可以仅将病毒或特洛伊的有效 载荷进行编程来激活,这可以在特定日期、或者当从本地或远程系统或进程接收消息或指 令时,或者可以在该进程已经进行了第一次运行或被发布之后的数月或者甚至数年时发生 特定事件的时候进行。因此,仅查看文件的时间长短不是确定它是否是适当地安全的并且 将继续如此的满意方法。在W0-A-2004/0083408的系统中,通过检查由计算机上运行的特定文件进行的连 接尝试来检测文件中的蠕虫。US-A-6944772、US-A-6772346、EP-A-1549012 和 EP-A-U80040 都公开了 “基于群 体的”反恶意软件系统,其中多个“本地”计算机都经由网络(例如,其可以是LAN或因特 网)连接到中央计算机。在遇到它们还不知道的文件时,本地计算机向中央计算机发送对 运行文件进行授权的请求。如果在中央计算机处识别了文件,那么中央计算机可以发送对 本地计算机的许可,以便当已知文件是安全时运行该文件,或者当已知文件是恶意时发送 “拒绝”命令。然而,在这些现有技术方案的每个中,如果该文件在中央计算机处不是已知 的,那么整个文件被发送到中央计算机,其中可以分析该文件以确定它是否应该被看作安 全的还是恶意的。通常通过对文件进行详细分析(例如,通过模拟或解释)来手工或“半手 工”执行此类分析,其可能仍需要花费数天来满足通常要求的人的介入。因此,在将新文件 分类为安全或恶意软件之前仍旧存在相当长的时间段。在这些现有技术系统的情况中,由 本地计算机发送到中央计算机的对运行文件授权的请求可以包括发送校验和或者唯一代 表文件的“关键字”或“签名”。类似的基于群体的反恶意软件系统在W0-A-02/33525中公开。在此系统中,在本 地计算机寻求许可(clearance)运行中央计算机不知道是安全或恶意软件的文件的情况 中,在其他本地计算机上的关于文件普及的某些受限审核信息可以被发送给与寻求允许运 行该文件的本地计算机相关联的人类系统管理员。因此,人类系统管理员仍旧可以通过“手 工”决定文件是否是运行安全的来更好地获得通知。在US-A-2004/0073810的系统中,包含关于附件或其他传输的文件的数据的元文 件发送到中央计算机。对关于该文件的数据进行分析从而确定传输的文件是恶意软件的可 能性。给出的特定示例是,如果传输文件已经经由至少一定数目的服务器进行了传输,那么 它应该被作为恶意软件。在US-A-2005/0021994和US-A-2004/0153644中公开的系统中,可以由例如与文 件相关联的软件销售商验证为安全的预先准许的文件可以在没有进一步检查的情况下总 是被允许运行。在US-A-2004/0153644的系统的一个实施例中,执行监控,从而如果在中央 机构处在一个时间段中从多个本地计算机接收到该文件的大量不正常请求,或者如果在一 个时间段内从单个本地计算机接收到该文件的大量不正常请求,则确定文件是恶意的。在US-A-2004/0006704的系统中,将计算机上的软件安装版本与软件版本及其已 知弱点的数据库进行比较。因此,可以通知计算机用户特定的风险以及如何通过更新现有 软件或安装新软件来最小化这些风险。在W0-A-03/021402的系统中,中央数据库保存了存储在多个本地计算机的每个 上的所有文件的虚拟映像。如果识别了一个本地计算机中的威胁,可以向具有类似配置的 其他本地计算机通知该风险。因此,现有技术系统或者依靠对新对象的深入分析从而确定对象是否是恶意的, 这在分析文件和新的反恶意软件分布期间引入了延迟并因此引入了用户风险,或者执行对 特定对象操作的受限分析或向计算机的传输方法,以确定对象是恶意的可能性。
技术实现思路
根据本专利技术的第一方面,提供一种将计算机对象分类为恶意软件的方法,该方法 包括在基(基)计算机处,从多个远程计算机的每一个接收关于计算机对象的数据,该 对象或类似对象存储在远程计算机上;在基计算机中,比较从多个计算机接收的关于计算机对象的数据;以及根据所述比较,将计算机对象分类为恶意软件。与仅依靠签名匹配的现有技术相比,该方面允许在对象和/或它们对不同远程计 算机的影响之间进行比较,以确定特定对象是否应该被归类为良好还是恶意软件。可以执 行复杂的模式分析。这允许在不需要对对象本身进行详细分析的情况下,快速确定对象的 本质,同样确定它是否是恶意软件,并且还避免了生成新签名用于签名匹配,如在传统现有 技术反病毒软件中的那样。在优选的实施例中,从多个远程计算机发送到基计算机并且在比较中使用的关于 计算机对象的数据包括以下中的一个或多个包含在对象内或者由所述对象组成的可执行 指令;对象的大小;对象的当前名称;对象在盘上的物理和文件夹位置;对象的原始名称; 对象的创建和修改日期;销售商、产品、版本以及存储在对象内的任何其他信息;对象头部 或由所述远程计算机保持的头部;以及当创建、配置对象或对象在各个远程计算机上运行 时,由对象发起的事件或涉及对象的事件。 优选地,该比较识别该对象和另一个对象之间的关系。在示例中,如果该对象或者 父对象或其他相关对象为不良(或良好),可以立刻并自动地使用此比较来将本文档来自技高网...
【技术保护点】
一种确定远程计算机具有防止恶意软件的保护的方法,所述方法包括:在基计算机处接收所有或选择的安全产品的细节,所述安全产品在所述远程计算机上按时间点操作;从连接到所述基计算机的其他远程计算机接收类似信息;以及,识别具有安全产品的特定组合的所述其他远程计算机没有识别出来的任何恶意软件进程。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:M·莫里斯,P·斯塔布斯,M·哈特维希,D·哈特,
申请(专利权)人:普瑞维克斯有限公司,
类型:发明
国别省市:GB
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。