[发明专利]经由信誉系统的恶意软件检测

说明书

相关申请

本专利申请要求于2010年1月26日申请的名称为“MALWAREDETECTION VIA REPUTATION SYSTEM”的美国专利申请号12/693,765的优先权，该美国专利申请要求于2009年12月31日申请的名称为“MALWARE DETECTION VTA REPUTATIONSYSTEM”的美国临时专利申请号61/291,568的优先权，其全部内容通过引用合并于此。

技术领域

本发明一般涉及在计算机化系统中的恶意程序代码的检测，更具体地涉及经由信誉系统的恶意软件检测。

有限的版权放弃

本专利文件公开的一部分包括声明了版权保护的材料。由于该专利文件或专利公开出现在了美国专利商标局的文件或记录中，因此版权拥有者不会对任何人对该专利文件或专利公开的传真复制提出异议，但保留所有其他任意的权力。

背景技术

计算机是有价值的工具在很大程度上是由于其和其他计算机系统之间通信以及通过计算机网络获取信息的能力。网络典型地包括互联的计算机组，它们通过有线、光纤、无线电或其他数据传输手段连接，来为计算机提供从计算机到计算机传输信息的能力。因特网可能是最知名的计算机网络，使得数百万的人能够访问数百万的其他计算机，例如通过查看网页，发送电子邮件，或通过执行其他计算机到计算机的通信。

但是，由于因特网的规模如此之大以及因特网用户的兴趣如此多种多样，因此恶意的用户或罪犯试图以对其他用户造成危险的方式与其他用户的计算机通信不是罕见的。例如，黑客可能试图登录到公司的计算机来偷窃、删除或改变信息。计算机病毒或特洛伊木马程序被分布到其他计算机，或者被大量计算机用户没有察觉地下载或执行。并且，在一个诸如公司的组织中的计算机用户可能有时试图执行未被授权的网络通信，例如，执行文件共享程序或从公司网络内部传输公司机密到因特网。

由于这些以及其他原因，许多计算机系统采用多种安全防护意图保护计算机系统免受威胁。防火墙的设计是为了限制在网络上可能发生的通信种类，反病毒程序的设计是为了防止恶意代码被计算机系统加载或执行，恶意软件检测程序的设计是为了检测回邮器、键击记录器以及被设计用于执行诸如从计算机窃取信息或将计算机用作非预期的用途的不希望的操作的其他软件。多种其他的恶意软件，例如，广告软件、间谍软件以及特洛伊木马程序通常通过例如这些防护系统被检测并控制。

许多这种防护系统使用已知的恶意软件威胁的签名来检测并控制这些威胁。例如，反病毒软件典型地使用包括代码片段或其他识别信息的大的签名库来扫描诸如硬盘驱动器之类的存储器，并扫描正在执行的程序，从而在其可能造成损害前从计算机系统移出攻击性的代码。

检测新的威胁，或者能够重新排列它们的可执行代码来降低基于签名的检测的有效性的威胁，仍然是反恶意软件应用的一个挑战。考虑到新类型的恶意软件不断地发展，并经常被配置来避免检测，恶意软件的有效及准确的检测仍然是恶意软件检测软件持续面临的挑战。

发明内容

本发明的一些示例实施例包括计算机网络设备，其可操作以接收数字文件并从该文件提取多个高级别特征。使用分类器评估该多个高级别特征来确定该文件是良性的还是恶意的。如果该文件被确定是良性的，则该文件被转发到请求计算机，如果该文件被确定是恶意的，则该文件被阻止。本发明的元件可被采用在诸如防火墙之类的网关设备中或终端主机上，来防止访问恶意的文件。在进一步的示例中，后端恶意软件分析平台被采用来检测并追踪恶意文件。

附图说明

图1显示了与本发明的示例实施例一致的计算机网络。

图2是图示了与本发明的示例实施例一致的使用高级别文件特征和确定文件是否是恶意软件的决策树分类引擎的流程图。

具体实施方式

在下面的对本发明的示例实施例的详细描述中，通过附图和说明引用特定的示例。这些示例被足够详细地描述使得本领域技术人员能够实施本发明，并用来示出本发明怎样被应用到多种目的或实施例中。本发明的其他实施例存在并在本发明的范围中，并且逻辑的、机械的、电子的以及其他变动可被做出而不背离本发明的主题或范围。然而此处描述的本发明的多种实施例的特征或限制(对合并这些特征或限制的示例实施例是必要的)不限制本发明的整体，并且本发明的任意引用、它的元件、操作以及应用并不限制本发明的整体而是仅用作定义这些示例实施例。因此，下面的详细描述并不限制本发明的范围，其仅由附加的权利要求来定义。