[发明专利]用于恶意软件检测的事件的异步处理

说明书

相关申请的交叉引用

本申请要求于2009年10月1日提交的第2009136240号俄罗斯专利申请以及于2009年10月1日提交的第2009136239号俄罗斯专利申请的优先权，在此通过援引的方式将两件申请全文并入本申请中。

技术领域

本发明涉及反恶意软件技术，更具体地，涉及基于运行在计算机系统上的应用程序的行为的恶意软件检测。

背景技术

病毒和恶意软件的检测已经成为贯穿个人计算机时代需要考虑的事情。随着例如因特网等通信网络的增长和数据交换的日益增加，包括用于通信的电子邮件的使用的迅速增长，计算机通过通信或文件交换的传染成为一个日益重要的考虑因素。传染采取各种形式，但是一般和计算机病毒、木马程序或其它形式的恶意代码(即，恶意软件)相关。

近来，以电子邮件为媒介导致的病毒攻击事件，无论在传播的速度还是破坏的程度上都是巨大的，并且互联网服务提供商(ISP)和企业遭受着服务的问题和电子邮件能力的损失。在许多情况下，试图充分地防止文件交换或以电子邮件为媒介导致的传染给计算机用户带来严重的不便。因此，期望出现用于检测和应对病毒攻击的改进的策略。

一种用于检测病毒的常规方法是签名(signature)扫描。签名扫描系统使用从已知的恶意软件代码中提取的样本代码模式，并且在其它程序代码中扫描这些模式的出现。签名扫描方法的主要限制在于仅能检测已知恶意代码，也就是说，只有和已存储的已知恶意代码的样本签名相匹配的代码才能被识别为受到传染。以前没有识别出的所有的病毒或恶意代码以及在最后更新签名数据库的日期之后创建的所有的病毒或恶意代码都不会被检测出来。

另一种常规途径是恶意软件组件的仿真。在提供安全性和维护计算机系统数据的完整性方面，在用户系统上执行可疑的恶意软件之前，在计算机系统上仿真执行该软件的能力是关键性的。通常仿真被用于反病毒和恶意软件检测。为了分析恶意软件组件例如病毒的行为以及收集统计信息(试探法)，仿真计算机系统并且使病毒运行在仿真的计算机系统中。在仿真过程中记录可疑组件的行为。稍后将行为记录和正常的行为模式相比较。

然而，在过去的十年里恶意软件组件和病毒变得越来越复杂。现代的恶意软件组件可以避免仿真。加之，潜在的恶意软件组件的试探式分析不能总是及时地执行。也可以使用事件监听(event interception)和运行中(on-the-fly)同步分析。例如，在WO2008048665A2中披露了这样的系统。然而，同步分析延迟了产生可疑事件的处理过程的执行。而其又引起整个系统的功能的延迟。

事件过滤技术也被用于分析运行的可疑应用程序的行为。例如，在US 7,406,199中描述了这样的方法。首选检查产生已经被滤出的可疑事件的处理过程，然后为进一步的处理发送。图1中描绘了使用同步事件处理的常规过滤方法的算法。

在这种方法中，在触发事件的处理过程已经被检查之后，为进一步的处理发送事件。在步骤110中实时地检测系统事件的发生之后，在步骤115中，系统驱动器通过多个过滤器处理事件。如果在步骤120中事件通过过滤器，那么发送事件，以便在步骤130中由系统模块来检查。

如果在步骤135中确定事件是不干净的(即，存在对系统构成的潜在威胁)，那么在步骤150中终止引发事件的处理。如果事件被确定为是干净的(在步骤135中)或事件没有通过过滤器(在步骤120中)，那么在步骤140中为进一步的处理释放(release)该事件。该方法是耗费时间的并且需要大量的系统资源，这也是十分昂贵的。

显然，期望一种改进的有效的方法用于分析运行在计算机系统中的应用程序的行为。因此，本领域中需要一种系统和方法用来满足基于运行在计算机系统中的应用程序的行为的恶意软件检测的需求。

发明内容

本发明旨在提供一种用于基于运行在计算机系统中的应用程序的行为的恶意软件检测的方法和系统，基本上消除一个或多个相关技术的缺陷。

本发明一方面提供一种用于基于运行在计算机系统中的应用程序的行为的恶意软件检测的系统、方法和计算机程序产品，包括：使用应用程序过滤器来异步处理用于恶意软件威胁分析的系统事件；使用试探和签名数据来分析事件；分析应用程序的行为并检测“干净的”应用程序的异常行为；基于行为分析来自动分类应用程序(即，检测新的版本)；基于由网站访问触发的行为来自动分析网站的可靠性；在企业网络中，检测用户计算机系统的配置中的异常；通过用户的行为简档来识别用户并且将简档用于自动配置用户应用程序。