[发明专利]用于检测未知恶意软件的系统和方法

说明书

技术领域

本发明一般涉及计算机安全领域，并且特别地，涉及用于检测未知恶意软件的系统、方法和计算机程序产品。

背景技术

在过去的十年间，由诸如游戏、新闻、娱乐、购物、银行、社交网络等互联网服务的发展所推动的互联网用户数量的显著增长，已导致新类型恶意软件的出现的显著增加。仅在过去的三年间，所检测到的新的恶意程序的数量已增加了超过十倍。并且该增长率在继续增加。由此，反病毒软件开发人员一直在努力通过开发新的用于检测恶意软件的系统和方法来跟上新种类的恶意软件的激增。

作为此开发的结果，恶意软件的签名匹配和启发式(heuristic)分析技术已经广泛普及且极其常用于反病毒应用程序及其他计算机和网络安全产品。然而这些技术具有局限性。

签名匹配方法专门面向对已知的软件对象的检测，而不适于检测之前属于未知类型的恶意软件。这与签名匹配方法是基于对来自文件的小型片段的散列函数值进行比较的事实相关联。因此，由于散列函数的加密属性，输入数据中甚至一个比特的改变，也会完全改变输出结果。

保护的启发式分析方法也在检测未知恶意软件方面具有缺陷：首先，相对于签名方法的更长的操作时间；以及其次，其提供60-70％的检测率，这已经接近其能力的极限。

因此，用于检测未知恶意软件的新方法是必要的。

发明内容

本发明公开了用于检测未知恶意软件的系统、方法和计算机程序产品。在一个示例性实施例中，用于检测未知恶意软件的方法包括确定软件对象是否为已知的恶意的或干净(clean)的对象；以及，如果该对象是未知的，确定该未知对象的文件类型。基于该对象的该文件类型，选择两个或多个不同的恶意软件分析方法来分析该对象是否存在恶意软件。对于每个所选择的恶意软件分析方法，生成相关联的对象基因。该对象基因为含有从对象中检索的或与对象相关联的多个信息元素的数据结构。然后，使用所选择的恶意软件分析方法分析该对象基因是否存在恶意软件。

在另一个示例性实施例中，用于检测未知恶意软件的方法包括为多个已知的恶意的和干净的对象中的每一个生成至少一个对象基因。使用一个或多个恶意软件分析方法分析每个对象基因。然后，基于通过所述方法对该已知恶意对象的基因的分析来计算通过一个恶意软件分析方法或者两个或多个恶意软件分析方法的组合对恶意对象的成功检测水平。下一步，基于通过所述方法对已知干净对象的基因的分析来计算通过一个恶意软件分析方法或者两个或多个恶意软件分析方法的组合对干净对象的误报(false positive)水平。然后，以该已知恶意对象的该成功检测水平和该已知干净对象的该误报水平的函数来测量每个恶意分析方法或恶意分析方法的组合的有效性。最后，选择最有效的恶意软件分析方法的一个或组合来分析未知对象是否存在恶意软件。

以上对于示例性实施例的简要概括起到了提供对本发明的基本理解的作用。此概括并非对本发明的所有预期方面的广泛概述，并且既非意图识别所有实施例的重要或关键元素，也非意图描述任何或所有实施例的范围。其唯一的目的是以简化的形式预设一个或多个实施例，作为以下的对于本发明的更详细说明的前序。为了前述内容的实现，该一个或多个实施例包括在权利要求书中所说明并特别指出的特征。

附图说明

并入此说明书并构成此说明书的一部分的附图图示了本发明的一个或多个示例性实施例，并且与详细的说明一起起到解释这些实施例的原理和实施的作用。

在附图中：

图1图示了根据一个示例性实施例的用于检测未知恶意软件的过程的流程图。

图2图示了根据一个示例性实施例的用于选择恶意软件分析方法的表格。

图3图示了根据一个示例性实施例的用于选择恶意软件分析方法的过程的流程图。

图4图示了根据一个示例性实施例的用于选择计算机系统来分析未知对象是否存在恶意软件的表格。

图5图示了根据一个示例性实施例的用于实施图3的方法的系统的示意图。

图6图示了根据所公开的实施例的用于实施用于检测未知恶意软件的系统和方法的通用计算机的示意图。

图7图示了蠕虫程序的执行路径基因的示例。

图8图示了用于木马程序的程序流程图基因的示例。

图9图示了用于蠕虫程序的函数调用图表基因的示例。

图10图示了可执行文件的可操作区域基因的示例。

图11示意性图示了PDF文件的结构。