[发明专利]用于检测先前未知的恶意软件的系统和方法

说明书

相关申请的交叉引用

本申请要求于2009年10月1日提交的第2009136233号俄罗斯专利申请的优先权，在此通过援引的方式将该申请全文并入本申请中。

技术领域

本发明涉及反恶意软件技术，且更具体地，涉及基于实时自动事件检测未知恶意软件威胁以及分析对象的行为模式。

背景技术

恶意程序的持续繁殖对世界范围内的计算机产生了相当大的损害。给独立个人计算机和企业网络提供保护的现有方法主要集中于处理已经知道的计算机威胁。

一般而言，自20世纪80年代末以来存在的反病毒程序以下述两种方式检测病毒和相关的敌意软件：(1)针对匹配那些已知病毒(“病毒签名(signature)”)的二进制代码串扫描文件；和(2)针对已知的像病毒一样的代码扫描文件(“启发式扫描”)。其它技术包含阻止类病毒的行为(“行为阻止”)或针对某些修改校验文件(“完整性校验”)。

第6,016,546号美国专利披露了一种检测该数据串中存在任何第一组已知数据特性(trait)的概率的方法，其使用第二组一般特征和第三组签名，并且其中一般特征和签名是第一组数据特性的典型特征。

第6,338,141号美国专利披露了一种可以实时地在独立的计算机系统上或者在联网的机器上执行的方法。该方法使用有关数据的集合来检测计算机文件中的计算机病毒。该有关数据的集合包括由病毒生成的各种有关特征对象。使正在针对病毒而被校验的计算机文件经历生成有关特征对象的过程。在作为文件扫描的结果而生成了特征对象之后，将它们与有关数据的集合相检查，并且依据结果，可认为该文件是被感染的并阻止其在系统上运行。

然而，该处理病毒的方法只可以在恶意对象已经进入计算机系统或网络上的一个节点之后识别恶意对象，并且其对带有新的未知特征的未知威胁或者对表现出未知行为模式的计算机病毒是无效的。

据此，在本领域内需要一种系统和方法，用于在未知病毒进入所保护的计算机系统或计算机网络之前检测未知计算机威胁的更为有效而主动的途径。

发明内容

本发明旨在提供一种基于各种标准进行风险分析和风险评估的检测未知恶意软件的方法和系统，其基本上避免了一个或多个现有技术的缺点。

本发明的一个方面提供一种用于检测先前未知的恶意软件的系统、方法和计算机程序产品，所述方法包括：(a)从远程计算机接收事件信息和文件元数据；(b)识别所述事件信息或所述文件元数据是表示已知恶意软件、还是表示未知恶意软件、亦或是表示恶意软件不存在；(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在，则过滤所述事件信息和所述文件元数据；(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估，以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在；以及(e)进行风险分析和风险评估，其中，所述风险分析和风险评估包括基于文件的调用的“父类-子类”分级结构的构造，并且其中，对父类评估的风险是基于与子类相关联的风险。

文件元数据可以是文件名、文件扩展名、文件大小、文件链接状态、不论文件是否被数字签名、是否为下载的实体程序、是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口中的任一项。

被分析的事件信息可以包括有关对象的行为模式的信息或、与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性以及与事件的类型有关的信息，所述事件的类型例如文件下载、文件投放和文件链接等等。

所述系统能够实时地自动检测先前未知的恶意软件，或者可以与分析人员合作针对这类恶意软件的存在进行多级分析。

所述系统维护已知或者被认为是安全的对象的所谓的白名单、以及已知或者被确定为恶意的对象的所谓的黑名单。

一旦文件被添加到黑名单中，安装在用户计算机上的反病毒软件就开始将对象检测为恶意的，并防御用户计算机不受该恶意对象侵害。该反病毒软件也阻止用户访问被放入黑名单的域和URL。对于域，该系统还计算所谓的“声望(reputation)”参数，该参数示出了访问给定互联网资源的危险程度。

本发明的附加功能和优点将在如下的说明中阐述，还有部分通过描述是显而易见的，或由本发明的实践可以得知。通过在书面的描述、权利要求书和附图中特别指出的结构，将实现并获得本发明的优点

可以理解的是，无论是上述的总体描述还是如下的详细描述都是示例性和解释性的，并且旨在提供对所述的本发明进一步的解释。

附图说明