本发明专利技术提供了一种用于基于运行在计算机系统上的应用程序的行为的恶意软件检测的系统、方法和计算机程序产品,该计算机系统包括:使用应用程序过滤器来异步处理用于恶意软件威胁分析的系统事件;使用试探和特征数据来分析事件;分析应用程序的行为并检测“干净的”应用程序的异常行为;自动地基于行为分析来分类应用程序(即,检测新版本);基于由网站访问触发的行为自动地分析网站的可靠性;在企业网络中,检测用户计算机系统的配置中的异常;通过用户的行为简档来识别用户并且将简档用于自动配置用户应用程序。
【技术实现步骤摘要】
本专利技术涉及反恶意软件技术,更具体地,涉及基于运行在计算机系统上的应用程 序的行为的恶意软件检测。
技术介绍
病毒和恶意软件的检测已经成为贯穿个人计算机时代需要考虑的事情。随着例如 因特网等通信网络的增长和数据交换的日益增加,包括用于通信的电子邮件的使用的迅速 增长,计算机通过通信或文件交换的传染成为一个日益重要的考虑因素。传染采取各种形 式,但是一般和计算机病毒、木马程序或其它形式的恶意代码(即,恶意软件)相关。近来,以电子邮件为媒介导致的病毒攻击事件,无论在传播的速度还是破坏的程 度上都是巨大的,并且互联网服务提供商(ISP)和企业遭受着服务的问题和电子邮件能力 的损失。在许多情况下,试图充分地防止文件交换或以电子邮件为媒介导致的传染给计算 机用户带来严重的不便。因此,期望出现用于检测和应对病毒攻击的改进的策略。一种用于检测病毒的常规方法是签名(signature)扫描。签名扫描系统使用从已 知的恶意软件代码中提取的样本代码模式,并且在其它程序代码中扫描这些模式的出现。 签名扫描方法的主要限制在于仅能检测已知恶意代码,也就是说,只有和已存储的已知恶 意代码的样本签名相匹配的代码才能被识别为受到传染。以前没有识别出的所有的病毒或 恶意代码以及在最后更新签名数据库的日期之后创建的所有的病毒或恶意代码都不会被 检测出来。另一种常规途径是恶意软件组件的仿真。在提供安全性和维护计算机系统数据的 完整性方面,在用户系统上执行可疑的恶意软件之前,在计算机系统上仿真执行该软件的 能力是关键性的。通常仿真被用于反病毒和恶意软件检测。为了分析恶意软件组件例如病 毒的行为以及收集统计信息(试探法),仿真计算机系统并且使病毒运行在仿真的计算机 系统中。在仿真过程中记录可疑组件的行为。稍后将行为记录和正常的行为模式相比较。然而,在过去的十年里恶意软件组件和病毒变得越来越复杂。现代的恶意软件 组件可以避免仿真。加之,潜在的恶意软件组件的试探式分析不能总是及时地执行。也 可以使用事件监听(event interception)和运行中(on-the-fly)同步分析。例如,在 W02008048665A2中披露了这样的系统。然而,同步分析延迟了产生可疑事件的处理过程的 执行。而其又引起整个系统的功能的延迟。事件过滤技术也被用于分析运行的可疑应用程序的行为。例如,在US 7,406,199 中描述了这样的方法。首选检查产生已经被滤出的可疑事件的处理过程,然后为进一步的4处理发送。图1中描绘了使用同步事件处理的常规过滤方法的算法。在这种方法中,在触发事件的处理过程已经被检查之后,为进一步的处理发送事 件。在步骤110中实时地检测系统事件的发生之后,在步骤115中,系统驱动器通过多个过 滤器处理事件。如果在步骤120中事件通过过滤器,那么发送事件,以便在步骤130中由系 统模块来检查。如果在步骤135中确定事件是不干净的(即,存在对系统构成的潜在威胁),那么 在步骤150中终止引发事件的处理。如果事件被确定为是干净的(在步骤135中)或事件 没有通过过滤器(在步骤120中),那么在步骤140中为进一步的处理释放(release)该事 件。该方法是耗费时间的并且需要大量的系统资源,这也是十分昂贵的。显然,期望一种改进的有效的方法用于分析运行在计算机系统中的应用程序的行 为。因此,本领域中需要一种系统和方法用来满足基于运行在计算机系统中的应用程序的 行为的恶意软件检测的需求。
技术实现思路
本专利技术旨在提供一种用于基于运行在计算机系统中的应用程序的行为的恶意软 件检测的方法和系统,基本上消除一个或多个相关技术的缺陷。本专利技术一方面提供一种用于基于运行在计算机系统中的应用程序的行为的恶意 软件检测的系统、方法和计算机程序产品,包括使用应用程序过滤器来异步处理用于恶意 软件威胁分析的系统事件;使用试探和签名数据来分析事件;分析应用程序的行为并检测 “干净的”应用程序的异常行为;基于行为分析来自动分类应用程序(即,检测新的版本); 基于由网站访问触发的行为来自动分析网站的可靠性;在企业网络中,检测用户计算机系 统的配置中的异常;通过用户的行为简档来识别用户并且将简档用于自动配置用户应用程 序。恶意对象(即,组件)可以是,例如,木马、病毒、rootkit或蠕虫。根据一个示例 性实施例,恶意软件检测的现有的方法被加速。一方面,异步地处理系统事件并且就是否为 恶意的来分析产生事件的应用程序。提出的方法允许将应用程序的行为和一组定义一系列 正常系统活动的规则相比较。每个规则定义了一组受信任应用程序的动作和恶意软件组件 的动作。因此,提出的方法优化了恶意软件威胁的处理并且提高了恶意软件检测的概率。本专利技术的其它特征和优点将在下面的描述中阐明,并且部分特征和优点在描述中 是明显的或可以通过本专利技术的实践得知。本专利技术的优点将通过本文所述的描述和权利要 求、附图详细地指出的配置(structure)来体现和达到。应该理解的是,无论是前述的概括描述还是下面详细的描述都是示范的和说明的 并且意图提供本专利技术的权利要求的进一步解释。附图说明附图提供对本专利技术进一步的理解,并且并入此说明书中并构成其中的一部分,这 些附图示出了本专利技术的实施例并与描述一起用于解释本专利技术的原理。附图中图1示出了用于使用系统事件的同步处理进行恶意软件检测的常规方法;图2示出了根据示例性实施例的用于恶意软件检测的系统;图3示出了根据示例性实施例的用于异步事件处理的算法;图4示出了根据示例性实施例的用于由流扫描器异步处理系统事件的算法;图5示出了根据示例性实施例的在反病毒(AV)模块中的事件处理;图6示出了根据示例性实施例的用于更新白名单和黑名单的方法;图7示出了根据示例性实施例的恶意网站的检测;图8示出了根据示例性实施例的在网络配置中的异常检测;图9示出了根据示例性实施例的用于和反病毒应用程序一起运行的不同级别的 用户设置的示例;图10示出了可以实施本专利技术的示例性计算机系统的示意图。 具体实施例方式现在,将对根据本专利技术的优选实施例进行详细描述,其示例图示于附图中。本专利技术的一个方面提供一种基于运行在计算机系统中的应用程序的行为的恶意 软件检测的系统、方法和计算机程序产品。根据示例性实施例,对恶意软件检测的现有方法进行加速。异步地处理事件并且 根据现有的恶意类型分析产生事件的应用程序。当处理过程继续运行在计算机系统上时, 事件的异步处理允许处理由所述这些处理过程(即,应用程序)引发的事件。根据所提出 的方法将应用程序的行为和一组定义一系列常规系统活动的规则(即行为模式)相比较。 每个规则都定义了一组受信任应用程序的动作和恶意软件组件的动作。图2示出了根据示例性实施例的用于恶意软件检测的系统200。操作系统(OS)驱 动器220经由流扫描器230控制应用程序模块250的运行。应用程序可以是,例如,HIPS (主 机入侵防御系统)、PDM(主动防御模块,用于基于恶意软件的行为检测恶意软件——将软 件的行为和特定的模板相比较,并且如果行为和模板相对应,则给予用户警告,并且,如必 要的话,阻止应用程序的进一步活动,由应用程序所做的任何系统的变化都恢复原状(roll back))、防火墙、网络AV(反病毒)本文档来自技高网...
【技术保护点】
一种用于异步处理计算机系统中的事件的方法,所述方法包括:(a)检测计算机系统中的事件;(b)过滤所述事件,以确定所述事件是否匹配安全标准;(c)如果所述事件没有通过至少一个过滤器,并且至少其中一个过滤器安全标准不匹配所述事件,那么创建所述事件的复本并处理所述事件复本;(d)将所述事件放置到队列中,用于处理;(e)通过对所述事件复本进行进一步的处理来释放所述事件;(f)从所述队列中删除所述事件复本;(g)处理所述事件复本,其中,如果反病毒检查揭示了所述事件的恶意性质,那么所述事件复本的处理包括所述事件复本的反病毒检查以及终止引发所述事件的对象;和(h)对于一对象,该对象和该对象的先前已知的非恶意版本相比具有行为差异但还是基本上相似于该先前已知的非恶意对象,则将所述对象归为非恶意的。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:弗拉迪斯洛夫V马第南科,安德烈V索布科,
申请(专利权)人:卡巴斯基实验室封闭式股份公司,
类型:发明
国别省市:RU[俄罗斯]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。