一种创建在恶意软件检测中使用的定制化置信带的计算机实施的方法可以包括1)识别接收可执行内容的一个门户,2)识别与该门户相关的元数据,3)分析该元数据以确定通过该门户接收的可执行内容会造成何种风险,然后4)基于该分析,创建一个置信带以便应用在通过该门户接收的可执行内容的至少一次处置过程中。在此还披露了不同的其他的方法、系统、以及计算机可读介质。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
消费者和企业面临着恶意软件日渐增长的趋势,恶意软件威胁他们的计算机的稳定性和性能以及他们数据的安全性。具有恶意动机的计算机程序员已经创建并继续创建病毒、特洛伊木马、蠕虫、以及其他程序(统称为“恶意软件”),以试图危害计算机系统。为了逃避检测,不怀好意的程序员可以将恶意软件注入合法程序之中或之间。很多安全软件公司通过为它们的客户定期地创建和配置恶意软件签名(例如,唯一识别恶意软件的散列函数)来努力与恶意软件进行斗争。然而,大量恶意软件仍未得到识别,因此利用传统的基于签名的恶意软件检测机制是无法检测到,尤其是因为恶意软件作者可以定期地修改他们的恶意软件,以试图绕过通常使用的基于签名的恶意软件检测机制。除了基于签名的方法外或作为它的替代形式,安全软件公司可以采用各种探试法,以便基于不同特征和/或行为对文件和程序进行分类(例如分类为恶意的或安全的)。不幸地是,基于探试法的分类方法可能导致不可接受数量的误判和/或漏判。因此,本披露认识到需要一些改进的恶意软件检测机制和技术。
技术实现思路
如以下更为详细说明的,本披露总体上涉及创建在恶意软件检测中使用的定制化置信带的多种系统及方法。在一个实例中,在此描述的系统可以通过以下操作完成这种任务:1)识别能够接收可执行内容的一个门户(例如互联网浏览器、电子邮件客户端、对等网络客户端、聊天客户端等),2)识别与该门户相关的元数据,3)分析该元数据以确定通过该门户接收的可执行内容造成何种风险,然后4)基于该分析,创建一个置信带以便应用在通过该门户接收的可执行内容的至少一次处置过程中。在一些实例中,该元数据识别源自该门户的多个可执行对象、该门户的受欢迎程度(例如,该门户的用户数量和/或使用频率)、和/或源自该门户的不受信任的可执行对象的发生率(例如,从该门户下载的可执行对象被安全系统标记的频率)。在此描述的系统可以从各种来源汇集这类元数据,例如该门户的多个实例(例如,从该门户在各种用户的系统上的不同安装程序)。在一些实例中,该门户可以包括能够创建一个附加可执行对象(例如,通过下载该附加可执行对象,从而在一个本地系统上创建一个副本)的一个可执行对象(例如,进程、可执行文件等)。在一个实例中,在此描述的系统可以基于可应用于该门户的一个或多个用户配置来创建该置信带。例如,用户、管理员、和/或安全厂商可以基于某些门户和/或多类门户的已知特征为这些门户或多类门户设置参数。在一些实例中,该置信带可以应用到一类门户(例如,总的来说是互联网浏览器,而不是一个具体的互联网浏览器)。—旦创建了置信带,在此描述的系统可以通过以下操作应用该置信带:1)识别源自该门户的与该置信带相关联的一个可执行对象(例如,从该门户下载的一个可执行文件),以及2)在该可执行对象的一次处置过程中应用该置信带(例如,通过利用该置信带并结合该可执行对象的分析来确定针对于该可执行对象采取何种安全动作(如果存在的话))。例如,在此描述的系统可以确定与该可执行对象相关联的一个风险评分(独立产生或接收自一个信誉服务)使得该可执行对象被分类为在置信带中是安全的、恶意的、或不确定的。如以下将要详细解释的,在此描述的系统和方法可以基于原始门户能够进行可执行对象的定制化处置。在可执行对象的处置过程中通过利用定制化的置信带,这些系统和方法可以改善现有的基于试探法的恶意软件检测技术,有可能减少误判和/或漏判并因此增强安全性和/或用户体检。来自上述任一个实施方案的多种特征可以根据在此说明的通用原理彼此相互结合使用。通过阅读以下的详细说明连同附图和权利要求,将会更加全面地理解这些以及其他的实施方案、特征、和优点。附图说明附图展示了多个示例性实施方案并且是本说明书的一部分。这些附图与以下的说明共同展现并解释了本披露的不同原理。图1是创建在恶意软件检测中使用的定制化置信带的一个示例性系统的方框图。图2是创建在恶意软件检测中使用的定制化置信带的一个示例性系统的方框图。图3是创建在恶意软件检测中使用的定制化置信带的一个示例性方法的流程图。图4是用于恶意软件检测的示例性定制化置信带的图示。图5是创建在恶意软件检测中使用的定制化置信带的一个示例性系统的方框图。图6是创建在恶意软件检测中使用的定制化置信带的一个示例性方法的流程图。图7是一个示例性计算系统的方框图,该计算系统能够实施在此说明和/或展示的这些实施方案中的一个或多个。图8是一种示例性计算网络的框图,该计算网络能够实施在此说明和/或展示的这些实施方案中的一个或多个。贯穿这些附图,相同的参考字符以及描述表示相似的但并不一定完全相同的要素。虽然在此说明的这些示例性实施方案可容许进行不同的修改以及多种替代形式,在此仍在附图中以举例的方式示出多个具体的实施方案并且对其进行了详细的说明。然而,在此说明的多个示例性实施方案无意限制于所披露的这些具体形式。相反,本披露涵盖了落入所附权利要求范围内的所有修改形式、等效形式、以及替代方案。具体实施例方式以下将参见图1、2以及5详细描述创建在恶意软件检测中使用的定制化置信带的示例性系统。还将结合图3、4和6提供相应的计算机实施的方法的详细说明。另外,将结合图7和8分别提供一种示例性计算系统和网络架构的详细说明,它们能够实施在此说明的这些实施方案中的一个或多个。图1是创建在恶意软件检测中使用的定制化置信带的一个示例性系统100的方框图。如此图中所示,示例性系统100可以包括用于执行一项或多项任务的一个或多个模块102。例如,如以下将更为详细解释的,示例性系统100可以包括识别模块104,该模块被编程用于I)识别接收可执行内容的门户,以及2)识别与该门户相关的元数据。示例性系统100还可以包括分析模块106,该模块被编程用于分析元数据以确定通过该门户接收的可执行内容造成何种风险。示例性系统100还可以包括创建模块108,该模块被编程用于基于这种分析来创建置信带以便在可执行内容(通过该门户接收)的一次或多次处置过程中应用。尽管展示为多个分离的元件,图1中模块102的一个或多个可以代表一个单一模块或应用程序中的多个部分。在某些实施方案中,图1中模块102的一个或多个可以代表一个或多个软件应用程序或程序,这些软件应用程序或程序在由计算装置执行时可以使该计算装置执行一项或多项任务。例如,如以下更为详细解释的,模块102中的一个或多个可以代表在一个或多个计算装置上存储并被配置为在其上运行的多个软件模块,例如图2所示计算系统202、图7中的计算系统710、和/或图8中的示例性网络架构800的多个部分。图1中模块102的一个或多个还可以代表被配置用于执行一项或多项任务的一个或多个专用计算机的全部或一部分。图1中的示例性系统100可以采用各种方式进行部署。例如,示例性系统100的全部或一部分可以代表图2中示例性系统200的多个部分。如图2所示,系统200可以包括通过网络204与服务器206进行通信的计算系统202。在一个实施方案中,计算系统202可以包括图1的模块102 (例如,识别模块104、分析模块106以及创建模块108)。在一个实施方案中,如以下更为详细讨论的,模块102可以被编程用于(例如作为安装在计算系统202上的安全软件的一部分)1)识别能够接收可执行内容(例如本文档来自技高网...
【技术保护点】
一种创建在恶意软件检测中使用的定制化置信带的计算机实施的方法,该方法的至少一部分由包括至少一个处理器的一个计算装置来执行的,该方法包括:识别接收可执行内容的一个门户;识别与该门户相关的元数据;分析该元数据以确定通过该门户接收的可执行内容会造成何种风险;基于该分析,创建一个置信带以便应用在通过该门户接收的可执行内容的至少一次处置过程中。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:J·陈,J·J·朴,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。