[发明专利]用于恶意软件检测的事件的异步处理

权利要求书

1.一种用于异步处理计算机系统中的事件的方法，所述方法包括：

(a)检测计算机系统中的事件；

(b)过滤所述事件，以确定所述事件是否匹配安全标准；

(c)如果所述事件没有通过至少一个过滤器，并且至少其中一个过滤器安全标准不匹配所述事件，那么创建所述事件的复本并处理所述事件复本；

(d)将所述事件放置到队列中，用于处理；

(e)通过对所述事件复本进行进一步的处理来释放所述事件；

(f)从所述队列中删除所述事件复本；

(g)处理所述事件复本，其中，如果反病毒检查揭示了所述事件的恶意性质，那么所述事件复本的处理包括所述事件复本的反病毒检查以及终止引发所述事件的对象；和

(h)对于一对象，该对象和该对象的先前已知的非恶意版本相比具有行为差异但还是基本上相似于该先前已知的非恶意对象，则将所述对象归为非恶意的。

2.如权利要求1所述的方法，进一步包括为引发所述事件的对象产生行为日志。

3.如权利要求2所述的方法，其中，所述行为日志被用于网络配置的反病毒检查。

4.如权利要求2所述的方法，其中，所述行为日志被用于网站的反病毒检查。

5.如权利要求1所述的方法，其中，所述事件的过滤包括通过至少一个过滤器处理所述事件。

6.如权利要求1所述的方法，进一步包括基于所述事件复本创建控制记录，其中，所述控制记录包含与事件相关的试探数据。

7.如权利要求6所述的方法，其中，所述反病毒检查事件包括所述控制记录的反病毒检查。

8.如权利要求2所述的方法，其中，所述行为日志的处理包括下述任一项：

签名检测；

事件仿真；和

试探式检测。

9.如权利要求8所述的方法，其中，所述试探式检测使用来自任一项所述行为日志、来自远程数据库和本地数据库的数据。

10.如权利要求1所述的方法，其中，所述事件复本的处理进一步包括基于和先前已知的对象的相似程度将引发所述事件的对象添加到白名单或黑名单中。

11.如权利要求10所述的方法，其中，针对误报分析所述白名单和所述黑名单。

12.如权利要求11所述的方法，其中，所述误报分析包括在所述白名单和所述黑名单之间检测冲突。

13.一种用于异步处理事件的系统，所述系统包括处理器、连接到所述处理器的存储器和加载到所述存储器上用于实施权利要求1中的步骤的计算机代码。

14.如权利要求13所述的系统，其中，由应用程序模块对所述对象进行的处理来确定所述对象是否为恶意的。

15.如权利要求14所述的系统，其中，如果所述对象被认定为恶意的，那么终止所述对象的活动。

16.如权利要求14所述的系统，其中，如果所述对象被认定为恶意的，那么限制所述对象的功能。

17.如权利要求14所述的系统，其中，如果在不同的计算机上所述对象被认定为恶意的，那么在该计算机系统上所述对象也被认定为恶意的。

18.如权利要求13所述的系统，其中，所述应用程序模块是下述任一项：

防火墙；

反病毒模块；

HIPS(主机入侵保护系统)；

网络反病毒；

邮件反病毒；

通信反病毒；

脚本反病毒；

仿真器；和

PDM(主动防御模块)。

19.如权利要求13所述的系统，其中，所述过滤器允许通过核心系统事件。

20.如权利要求13所述的系统，其中，所述事件被反病毒检查看它们是否通过所述过滤器。