專利名稱:使用文件流行程度通知行為試探的攻擊性的制作方法
技術(shù)領(lǐng)域:
本披露總體上涉及計算機安全��,并且更具體地涉及使用文件的流行程度來通知相 應(yīng)的行為試探性惡意軟件檢測的攻擊性�����。
背景技術(shù):
系統(tǒng)用來檢測(及因此消除)惡意軟件(例如病毒����、蠕蟲�����、特洛伊木馬、間諜軟件 等)�����。這種惡意軟件檢測系統(tǒng)典型地通過使用靜態(tài)位簽名和/或試探對惡意軟件進行來工 作��?����;陟o態(tài)位簽名的惡意軟件檢測涉及對已知惡意軟件中的特定位級模式(簽名)進行 識別�����。然后對文件進行掃描以確定它們是否包含該簽名����。當(dāng)使用靜態(tài)文件簽名識別惡意軟 件時,判罪的確定性較高�����。然而,通過改變內(nèi)容可以規(guī)避基于簽名的檢測�。簽名的作用變得 越來越小,因為惡意軟件的作者在操縱他們的惡意軟件上變得更精通以避免基于簽名的檢 測����。試探性惡意軟件檢測涉及通過應(yīng)用多種基于決定的規(guī)則或權(quán)衡方法確定一個給 定的文件是惡意軟件的可能性。試探性分析在許多情況下可以產(chǎn)生有用的結(jié)果�,但沒有其 正確性的數(shù)學(xué)證據(jù)。在靜態(tài)文件試探中�����,文件的內(nèi)容是試探性地分析的���。在基于行為的試 探中��,程序的行為是試探性地分析的。兩種方法都涉及用一組樣本惡意軟件訓(xùn)練一個試探 性分析器并且清潔文件����,以便其對相互關(guān)聯(lián)的內(nèi)容的類型或行為進行總結(jié)。通過定義���,使用 試探性分析對被懷疑的惡意軟件進行識別從來都不是完全確定的�,因為試探性分析僅確定 文件是清潔或惡意的可能性?;谠囂降奈募凶锏男判倪M一步面臨以下事實訓(xùn)練設(shè)置 難于定義并且總是不同于真實世界設(shè)置?���;谛袨榈膼阂廛浖z測的一個主要缺點是誤報。由于試探性分析中的固有不確 定性���,存在將以疑似惡意的方式作用的非惡意文件判罪的可能����。錯誤地將清潔的文件列為 惡意是有問題的���,因為其常常導(dǎo)致合法的����、可能重要的內(nèi)容被阻斷�����。為解決該問題���,常常拒 絕使用的試探的攻擊性�,以便降低誤報率。遺憾地是�����,降低試探的攻擊性伴隨地促使被檢測 的正報率也下降��。換言之�����,通過使用較弱的試探����,惡意文件更可能被錯誤地分類為清潔的并 且傳遞給用戶。追蹤電子數(shù)據(jù)從其中產(chǎn)生的來源的聲譽是用來識別惡意軟件的另一種技術(shù)��。例 如����,可以追蹤電子郵件地址和域名的聲譽來識別可信賴與潛在惡意的電子郵件地址發(fā)送者 和文件簽名。當(dāng)特定的文件的來源是眾所周知時����,基于聲譽的文件分類會是有效的��。隨著 時間的推移,在起源于一個來源的很多電子內(nèi)容中��,該來源的聲譽可以被秘密地評估并用 來屏蔽或傳遞內(nèi)容��。遺憾地是���,基于聲譽的文件分類在低流行范圍內(nèi)評估來源具有困難����。解決這些問題是令人期望的�。
發(fā)明內(nèi)容
一種試探性攻擊性管理系統(tǒng)基于目標(biāo)文件的流行率來調(diào)節(jié)在基于行為的試探性 惡意軟件檢測中使用的攻擊性級別。例如�����,基于來自一個聲譽追蹤或惡意軟件檢測系統(tǒng)的輸入��,確定一個有待接受基于行為的試探性分析的文件的流行率�。響應(yīng)于所確定的文件的流行率,調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級別����。更具體地,對于較低流行性的文件將攻擊性級別設(shè)定到一個更高的級別�,而對于較高流行性的文件則設(shè)定到一個更低的級別���。在一個實施方案中,對不同的流行率的文件設(shè)定誤報容忍級別��,并且基于接受者操作特征的分析用來設(shè)定對應(yīng)的攻擊性級別�。使用該設(shè)定的攻擊性級別,將基于行為的試探性分析應(yīng)用到該文件�。例如,響應(yīng)于正在使用的攻擊性級別���,這會涉及在文件的基于行為的試探性分析過程中改變文件屬性的處理和/或測量不同的文件屬性�。除了設(shè)定攻擊性級別之外�,在一些實施方案中,試探性分析還包括將較低流行性的文件動態(tài)地權(quán)衡為更可能是惡意的�����,以及將較高流行性的文件動態(tài)地權(quán)衡為更可能是合法的�。根據(jù)所應(yīng)用的基于行為的試探性分析,確定該文件是否包括惡意軟件�����。若確定該文件不包括惡意軟件�,則允許正常的文件處理按期望進行。另一方面�����,若確定該文件包括惡意軟件����,則采取附加的步驟,如阻斷該文件���、刪除該文件���、隔離該文件和/或?qū)υ撐募⒍尽T诒靖攀鲋幸约霸谝韵碌脑敿氄f明中說明的這些特征及優(yōu)點并不是包攬無遺的���,并且具體地講�,通過參看本發(fā)明的附圖�、說明書、以及權(quán)利要求書�����,很多額外的特征和優(yōu)點對相關(guān)領(lǐng)域的普通技術(shù)人員將變得清楚����。另外�,應(yīng)該注意到本說明書中所使用的語言的選 擇主要是為了易讀性和指導(dǎo)性的目的���,并且也許不是被選用為描繪或限制本發(fā)明的主題����,對于確定這種發(fā)明主題必須求助于權(quán)利要求書�����。
圖I是根據(jù)一些實施方案的一種示例性網(wǎng)絡(luò)架構(gòu)的框圖���,其中可以實施一種試探性攻擊性管理系統(tǒng)���。圖2是根據(jù)一些實施方案適用于實施一種試探性攻擊性管理系統(tǒng)的計算機系統(tǒng)的框圖。圖3是根據(jù)一些實施方案的一種試探性攻擊性管理系統(tǒng)的操作的框圖����。這些圖示僅為展示的目的描繪了多個實施方案。本領(lǐng)域的普通技術(shù)人員將容易地從以下說明中認識至IJ��,可以使用在此所展示的這些結(jié)構(gòu)以及方法的替代實施方案而不背離在此說明的原理。
具體實施例方式圖I是一個框圖�����,示出了一種示例性網(wǎng)絡(luò)架構(gòu)100���,其中可以實施一種試探性攻擊性管理系統(tǒng)101。該示出的網(wǎng)絡(luò)架構(gòu)100包括多個客戶端103A�、103B和103N,以及多個服務(wù)器105A和105N�。在圖I中,試探性攻擊性管理系統(tǒng)101如圖所示駐存在客戶端103A上��。應(yīng)理解這僅是一個示例�,在多種實施方案中該系統(tǒng)101的多種功能可以在客戶端103、服務(wù)器105上實例化��,或可以分布在多個客戶端103和/或服務(wù)器105之間���。如在圖2中所示和下文描述的計算機系統(tǒng)210可以用來實施客戶端103和服務(wù)器105�����。例如通過下文結(jié)合圖2描述的網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247�,客戶端103和服務(wù)器105可以通信性地連接到網(wǎng)絡(luò)107上?�?蛻舳?03例如可以使用網(wǎng)頁瀏覽器或其他的客戶端軟件(未示出)訪問服務(wù)器105上的申請者和/或數(shù)據(jù)�����。盡管圖I示出了三個客戶端和兩個服務(wù)器作為一個示例�,在實踐中可以部署更多個客戶端103和/或服務(wù)器105。在一個實施方案中��,網(wǎng)絡(luò)107是互聯(lián)網(wǎng)的形式��。在其他的實施方案中可以使用其他的網(wǎng)絡(luò)107或基于網(wǎng)絡(luò)的環(huán)境�。圖2是一個框圖,展示了一種適用于實施試探性攻擊性管理系統(tǒng)101的計算機系統(tǒng)210�。可以用這種形式的計算機系統(tǒng)210實施客戶端103和服務(wù)器105���。如圖所示�,計算機系統(tǒng)210的一個組件是總線212�。總線212通信性地連接到計算機系統(tǒng)210的其他組件上���,如至少一個處理器214����、系統(tǒng)存儲器217 (例如隨機存取存儲器(RAM)、只讀存儲器(ROM)����、閃存存儲器)、輸入/輸出(I/O)控制器218 ;通信性地連接到外部音頻裝置如揚聲器系統(tǒng)220的音頻輸出接口 222上�;通信性地連接到外部視頻輸出裝置如顯示屏224的顯示適配器226、一個或多個接口如串行端口 230�����、通用串行總線(USB)插口 230���、并行端口(未示出)等等上;通信性地連接到鍵盤232的鍵盤控制器233上��;通信性地連接到至少一個硬盤244 (或其他形式)的存儲接口 234�����、配置為接收軟盤238的軟盤驅(qū)動237�、配置為連接光纖通道(FC)網(wǎng)絡(luò)290的主機總線適配器(HBA)接口卡235A、配置為連接到SCSI總線239的HBA接口卡235B��、配置為接收光盤242的光盤驅(qū)動240、例如通過USB插口 228連接到總線212的鼠標(biāo)246 (或其他的指點裝置)��、例如通過串行端口 230連接到總線212的調(diào)制解調(diào)器247����、及直接連接到總線212的網(wǎng)絡(luò)接口 248上。 其他的組件(未示出)能夠以類似的方式連接(例如����,文件掃描儀、數(shù)碼相機����、打印機等)。相反�����,圖2中所示的所有組件不需要出現(xiàn)�����。這些組件和子系統(tǒng)能夠以不同于圖2中示出的方式互相連接��?�?偩€212允許在處理器214和系統(tǒng)存儲器217之間的數(shù)據(jù)通信,這如上所述可以包括ROM和/或閃存存儲器以及RAM�。RAM典型地是加載操作系統(tǒng)和應(yīng)用程序的主存儲器。ROM和/或閃存存儲器可以包括(除其他的代碼以外)控制特定基本硬件操作的基本輸入輸出(BIOS)系統(tǒng)�。應(yīng)用程序可以存儲在本地計算機可讀媒質(zhì)上(例如硬盤244、光盤242)并加載到系統(tǒng)存儲器217中并由處理器214執(zhí)行����。應(yīng)用程序還可以例如通過網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247從遠程位置(即遠程定位的計算機系統(tǒng)210)加載到系統(tǒng)存儲器217中。在圖2中�����,試探性攻擊性管理系統(tǒng)101如圖所示駐存在系統(tǒng)存儲器217中���。以下將結(jié)合圖3更詳細地描述試探性攻擊性管理系統(tǒng)101的工作。存儲接口 234連接到一個或多個硬盤244 (和/或其他的標(biāo)準(zhǔn)存儲媒質(zhì))上��。硬盤244可以是計算機系統(tǒng)210的一部分或者可以是物理上分離的并且通過其他接口系統(tǒng)可訪問的���。網(wǎng)絡(luò)接口 248和/或調(diào)制解調(diào)器247可以直接或間接通信性地連接到網(wǎng)絡(luò)107(如互聯(lián)網(wǎng))上��。這種連接可以是有線或無線的���。 圖3示出了根據(jù)一些實施方案駐存在計算機系統(tǒng)210的系統(tǒng)存儲器217中的一個試探性攻擊性管理系統(tǒng)101的操作����。如上所述����,試探性攻擊性管理系統(tǒng)101的功能可以駐存在客戶端103、服務(wù)器105中或可以分布在多個計算機系統(tǒng)210之間��,包括在基于云的計算環(huán)境內(nèi)����,其中試探性攻擊性管理系統(tǒng)101的功能被提供為網(wǎng)絡(luò)107上的一種服務(wù)。應(yīng)理解盡管試探性攻擊性管理系統(tǒng)101如圖3所示作為一個單一的實體��,所示的試探性攻擊性管理系統(tǒng)101代表一組功能����,如所希望的這可以作為單個或多個模塊實例化(試探性攻擊性管理系統(tǒng)101的多個特定模塊的實例化如圖3所示)。應(yīng)理解試探性攻擊性管理系統(tǒng)101的這些模塊可以在任何計算機系統(tǒng)210的系統(tǒng)存儲器217 (例如RAM�����、ROM�、閃存存儲器)內(nèi)實例化(例如作為目標(biāo)代碼或可執(zhí)行的圖片),以便當(dāng)計算機系統(tǒng)210的處理器214處理一個模塊時���,計算機系統(tǒng)210執(zhí)行相關(guān)的功能���。如本文中使用�,術(shù)語“計算機系統(tǒng)”���、“計算機”��、“客戶端”����、“客戶端計算機”���、“服務(wù)器”���、“服務(wù)器計算機”及“計算裝置”是指配置和/或編程為執(zhí)行所描述的功能的一個或多個計算機��。此外��,實施試探性攻擊性管理系統(tǒng)101的功能的程序代碼可以存儲在計算機可讀存儲媒質(zhì)上�����。任何形式的有形的計算機可讀媒質(zhì)可在此背景下使用,例如磁性的或光學(xué)存儲媒質(zhì)���。如在此所使用的��,術(shù)語“計算機可讀存儲媒質(zhì)”不意味著電氣信號與底層物理媒質(zhì)分離��。如在圖3中所示��,試探性攻擊性管理系統(tǒng)101的攻擊性調(diào)節(jié)模塊301調(diào)節(jié)滑動的行為試探攻擊性級別303�,作為正在檢查的目標(biāo)文件305的場內(nèi)流行率309的一個功能�����?�?傊?��,高度流行的惡意軟件321傾向于在適當(dāng)?shù)臅r候被檢測到����。換言之���,一旦一個特定的惡意軟件305廣泛分布����,惡意軟件檢測系統(tǒng)傾向于對其進行識別。一旦廣泛分布的 惡意軟件321被識別到�����,惡意軟件檢測系統(tǒng)可以創(chuàng)建并使用一個對應(yīng)的簽名以便識別并且阻斷它��。低流行度惡意軟件321較少可能被識別和簽名����,因此更加依賴其他的檢測方法,如基于行為的試探性分析��。對于這些原因�����,如在下文詳細描述��,攻擊性調(diào)節(jié)模塊301增加攻擊性級別303���,以其在較低流行性的文件305上進行基于行為的試探性分析,并且降低對較高流行性的文件305的攻擊性級別303��。如圖3中所示,流行度確定模塊307確定根據(jù)有待接受用于軟件321的檢測的基于行為的試探性分析的文件305的流行率309�。在一個實施方案中,如圖所示��,流行度確定模塊307從一個聲譽追蹤模塊311收集該信息��。典型地��,與惡意軟件檢測系統(tǒng)相關(guān)聯(lián)的聲譽追蹤模塊311使用聲譽追蹤���,并且因此能夠訪問聲譽追蹤數(shù)據(jù)313的一個廣泛基礎(chǔ)以及識別多個文件305的場內(nèi)流行率309的信息�����。在其他的實施方案中�����,流行度確定模塊307基于來自不同來源的輸入確定流行率309����,如具有從分布在場景中的多個客戶端代理(未示出)編寫的數(shù)據(jù)的一個中央惡意軟件檢測系統(tǒng)庫(未示出)��。應(yīng)理解流行度確定模塊307具體地并且試探性攻擊性管理系統(tǒng)101和基于行為的試探性分析總體上可以但不需要是也利用其他技術(shù)(例如基于簽名的分析、聲譽追蹤)來檢測并管理惡意軟件的較大的惡意軟件檢測系統(tǒng)的一部分��。如通過流行度確定模塊307確定����,攻擊性調(diào)節(jié)模塊301調(diào)節(jié)攻擊性級別303,以其基于它們關(guān)聯(lián)的流行率309對單個文件305進行基于行為的試探性分析��。攻擊性303的最高級別用于單個文件305(例如流行度確定模塊307以前未見過的文件305)��。如上所解釋����,攻擊性303的更高的級別導(dǎo)致更高的正報率,由于在檢測它們的潛在的惡意的其他方式中的困難���,這對于較低流行性的文件305是令人期望的���。攻擊性303的更高的級別傾向于導(dǎo)致更高的誤報率。因此�,由于文件305的流行率309增加,攻擊性調(diào)節(jié)模塊301相應(yīng)地降低攻擊性303的級別以使用���。應(yīng)理解改變攻擊性303的級別可以影響在基于行為的試探性分析中如何處理文件屬性的特定的組合�,以及潛在地測量哪些屬性。本領(lǐng)域普通技術(shù)人員應(yīng)知道在攻擊性303的不同的級別進行基于行為的試探性分析的實施結(jié)構(gòu)�����,并且本領(lǐng)域技術(shù)人員根據(jù)本公開將更容易理解它們在描述的實施方案中的內(nèi)容內(nèi)的使用����。一旦攻擊性調(diào)節(jié)模塊301設(shè)定攻擊性303的級別基于其流行率309用于一個特定的文件305����,一個基于行為的試探性分析模塊315使用該攻擊性級別303應(yīng)用基于行為的試探性分析以確定該文件是否包括惡意軟件321。應(yīng)理解基于哪個特定的文件流行率309應(yīng)用攻擊性303的什么特定的級別是一個可變的設(shè)計參數(shù)�。策劃誤報率與正報率的傳統(tǒng)的接受者操作特征(ROC)可以測量惡意軟件321的基于試探性行為的檢測。假設(shè)誤報率被認為是可容忍的�����,基于傳統(tǒng)的ROC分析可以用來計算一個對應(yīng)的正報率�����。在一個實施方案中�,容忍級別設(shè)定模塊323對在不同流行率309的文件305設(shè)定誤報容忍級別325,并且一個ROC分析模塊317確定對應(yīng)的攻擊性級別303�����,該攻擊性調(diào)節(jié)模塊301將用于這些文件305的攻擊性303的級別設(shè)定到此。應(yīng)理解通過容忍級別設(shè)定模塊323設(shè)定的誤報容忍級別325可以是可變的設(shè)計參數(shù)�。假定對誤報的一致容忍,其中攻擊性調(diào)節(jié)模塊301基于流行率309調(diào)節(jié)攻擊性級別303�,ROC在每個流行率309上是不同的,因此在不同的流行率309上導(dǎo)致不同的正報率���。如上所解釋的���,因為較低流行性的文件305更可能是惡意的,因此所檢測的對應(yīng)的正報較少可能是誤報���。因此���,實際的正報率在低流行范圍中更高。一個流行度權(quán)衡模塊319也可以將低流行度文件305動態(tài)地權(quán)衡為被分類為惡意的�����。換言之�,該流行度權(quán)衡模塊319可以調(diào)節(jié)在特定文件305的基于行為的試探性分析中 的使用的一個動態(tài)屬性以便促使具有更高流行率309的文件305更傾向于被認為是非惡意的以及具有更低流行率309的文件305更傾向于被認為是惡意的,與使用的硬性限制相反�?��?傊谛袨榈脑囂叫苑治瞿K315分析單個文件305以確定它們是否包括使用根據(jù)每個分析的文件305的流行率309調(diào)節(jié)的攻擊性級別303的惡意軟件321��。如上所述���,基于行為的試探性分析模塊315也可以使用將較低流行性的文件305權(quán)衡到被分類為惡意的試探性屬性。這些技術(shù)提高了在低流行惡意軟件321的更困難的領(lǐng)域中的檢測����,并且提供了在不同的文件305的不同流行率309下在誤報率和正報率之間的平衡。應(yīng)理解被判斷為合法327對文件305可以由計算機系統(tǒng)210按照期望處理�,而確定為惡意軟件321的文件可以被阻斷、隔離���、殺毒或根據(jù)傳統(tǒng)的反惡意軟件功能處理�����。如熟悉本領(lǐng)域技術(shù)的人們將會理解的�,本發(fā)明能夠以多種其他具體的形式來實施而不背離其精神或本質(zhì)性特征����。同樣��,這些部分���、模塊、代理器���、管理器�、部件�、功能、過程��、動作�、層、特征��、屬性���、方法以及其他方面的特定的命名以及劃分不是強制性的或有重要意義的�����,并且實施本發(fā)明或其特征的機理可以具有不同的名稱���、劃分和/或形式����。為了解釋的目的�����,已經(jīng)參照具體實施方案對前述說明作出了描述���。但是,這些示意性的說明并不旨在窮舉或者將本發(fā)明限制在所披露的準(zhǔn)確形式���。鑒于以上傳授內(nèi)容����,許多修改與變形都是可能的�����。為了最好地解釋本發(fā)明的原理及其實際應(yīng)用����,選擇并說明了這些實施方案,從而使得本領(lǐng)域的其他技術(shù)人員能夠最好地在作出或不作出可能適用于預(yù)期的具體用途的各種修改情況下利用不同實施方案����。
權(quán)利要求
1.一種計算機實施的方法�,該方法用于依據(jù)目標(biāo)文件的流行率來調(diào)節(jié)攻擊性級別以便用在基于行為的試探性惡意軟件檢測之中���,該方法包括以下步驟 通過一個計算機來確定一個有待接受基于行為的試探性分析的文件的流行率��,以便確定該文件是否包括惡意軟件��; 通過一個計算機響應(yīng)于對該文件所確定的流行率來調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級別�; 通過一個計算機使用該攻擊性級別來對該文件應(yīng)用基于行為的試探性分析��;并且 通過一個計算機依據(jù)所應(yīng)用的基于行為的試探性分析來確定該文件是否包括惡意軟件�。
2.如權(quán)利要求I所述的方法,其中通過一個計算機來確定一個有待接受基于行為的試探性分析的文件的流行率以便確定該文件是否包括惡意軟件進一步包括 通過一個計算機基于與一個聲譽追蹤系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)來確定該文件的流行率�����。
3.如權(quán)利要求I所述的方法�,其中通過一個計算機來確定一個有待接受基于行為的試探性分析的文件的流行率以便確定該文件是否包括惡意軟件進一步包括 通過一個計算機基于與一個惡意軟件檢測系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)來確定該文件的流行率。
4.如權(quán)利要求I所述的方法��,其中通過一個計算機來調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級別進一步包括 通過一個計算機對較低流行性的文件將該攻擊性級別設(shè)定到一個更高的級別��,而對于較高流行性的文件則設(shè)定到一個更低的級別����。
5.如權(quán)利要求I所述的方法��,其中通過一個計算機來調(diào)節(jié)在該文件的基于行為的試探性分析中使用的攻擊性級別進一步包括 通過一個計算機對處于不同流行率的多個文件設(shè)定多個誤報容忍級別��;并且 通過一個計算機使用基于接受者操作特征的分析對具有不同的設(shè)定的誤報容忍級別的多個文件來設(shè)定多個對應(yīng)的攻擊性級別���。
6.如權(quán)利要求I所述的方法,其中通過一個計算機使用該攻擊性級別來對該文件應(yīng)用基于行為的試探性分析進一步包括 通過一個計算機響應(yīng)于該攻擊性級別在該文件的基于行為的試探性分析過程中來改變至少一些文件屬性的處理���。
7.如權(quán)利要求I所述的方法�,其中通過一個計算機使用該攻擊性級別對該文件應(yīng)用基于行為的試探性分析進一步包括 通過一個計算機響應(yīng)于該攻擊性級別來確定在該文件的基于行為的試探性分析的過程中要測量哪些文件屬性�����。
8.如權(quán)利要求I所述的方法����,進一步包括 通過一個計算機將較低流行性的文件動態(tài)地權(quán)衡為更可能是惡意的并將較高流行性的文件動態(tài)地權(quán)衡為更可能是合法的����。
9.如權(quán)利要求I所述的方法,其中通過一個計算機依據(jù)所應(yīng)用的基于行為的試探性分析來確定該文件是否包括惡意軟件進一步包括 通過一個計算機來確定該文件是合法的��;并且 響應(yīng)于確定該文件是合法的,通過一個計算機來允許該文件的標(biāo)準(zhǔn)處理����。
10.如權(quán)利要求I所述的方法,其中通過一個計算機依據(jù)所應(yīng)用的基于行為的試探性分析來確定該文件是否包括惡意軟件進一步包括 通過一個計算機來確定該文件包括惡意軟件���;并且 響應(yīng)于確定了該文件包括惡意軟件�����,通過一個計算機來執(zhí)行一組步驟中的至少一個附加的步驟�,該組步驟由以下各項組成 阻斷該文件 刪除該文件���; 隔離該文件�����;以及 對該文件殺毒����。
11.至少一種計算機可讀存儲媒介���,包含一個計算機程序產(chǎn)品�,該計算機程序產(chǎn)品基于目標(biāo)文件的流行率用于調(diào)節(jié)一個攻擊性級別以便用在基于行為的試探性惡意軟件檢測之中,該計算機程序產(chǎn)品包括 用于確定一個有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的程序代碼�; 響應(yīng)于該文件所確定的流行率用于調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級別的程序代碼; 使用該攻擊性級別用于對該文件應(yīng)用基于行為的試探性分析的程序代碼�����;以及 依據(jù)所應(yīng)用的基于行為的試探性分析用于確定該文件是否包括惡意軟件的程序代碼�。
12.如權(quán)利要求11所述的計算機程序產(chǎn)品,其中用于確定一個有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的程序代碼進一步包括 基于與一個聲譽追蹤系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)用于確定該文件的流行率的程序代碼����。
13.如權(quán)利要求11所述的計算機程序產(chǎn)品,其中用于確定一個有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的程序代碼進一步包括 基于與一個惡意軟件檢測系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)用于確定該文件的流行率的程序代碼�。
14.如權(quán)利要求11所述的計算機程序產(chǎn)品,其中用于調(diào)節(jié)在該文件的基于行為的試探性分析的中使用的攻擊性級別的程序代碼進一步包括 用于對較低流行性的文件將該攻擊性級別設(shè)定到一個更高級別而對于較高流行性的文件設(shè)定到一個更低級別的程序代碼���。
15.一種計算機系統(tǒng)���,該計算機系統(tǒng)基于目標(biāo)文件的流行率用于調(diào)節(jié)一個攻擊性級別來用在基于行為的試探性惡意軟件檢測中����,該計算機系統(tǒng)包括 一個處理器; 計算機存儲器 用于確定一個有待接受基于行為的試探性分析的文件的流行率以確定該文件是否包括惡意軟件的裝置; 響應(yīng)于該文件所確定的流行率用于調(diào)節(jié)攻擊性級別而用在對該文件的基于行為的試探性分析中的裝置����; 使用該攻擊性級別用于對該文件應(yīng)用基于行為的試探性分析的裝置;以及 依據(jù)所應(yīng)用的基于行為的試探性分析用于確定該文件是否包括惡意軟件的裝置����。
全文摘要
在此確定了一個有待接受基于行為的試探性分析的文件的流行率,并且響應(yīng)于這個流行率對在該分析中使用的攻擊性級別進行調(diào)節(jié)���。對于較低流行性的文件將這種攻擊性設(shè)定為更高的級別���,而對于較高流行性的文件則設(shè)定到更低的級別。使用所設(shè)定的攻擊性級別�,將基于行為的試探性分析應(yīng)用于該文件。除了設(shè)定攻擊性級別之外��,這種試探性分析還可以包括將較低流行性的文件動態(tài)地權(quán)衡為更可能是惡意的��,而將較高流行性的文件動態(tài)地權(quán)衡為這種可能較小的���?;谒鶓?yīng)用的基于行為的試探性分析�����,確定了該文件是否包括惡意軟件。若確定該文件包括惡意軟件�����,可以采取適當(dāng)?shù)牟襟E�����,如對該文件進行阻斷����、刪除、隔離和/或殺毒����。
文檔編號G06F11/00GK102713853SQ201080045700
公開日2012年10月3日 申請日期2010年10月26日 優(yōu)先權(quán)日2009年10月26日
發(fā)明者J·陳, R·康拉德 申請人:賽門鐵克公司