[发明专利]利用基于散列的指纹检测恶意软件

说明书

检测恶意软件包括监视可执行程序的事件流，其中该事件流包括诸如API调用事件的多个事件。为事件流确定第一多个散列值。响应于事件流中触发事件的发生，可以将事件流的第一多个散列值与表示已知恶意软件可执行文件的事件流的第二多个散列值进行比较。基于该比较，可以确定由第一多个散列值表示的行为是否是允许的行为。

相关申请的交叉引用

本申请要求2016年9月30日提交的题为“Detecting Malware with Hash-BasedFingerprints”的美国临时专利申请序列号62/402，800的优先权。

技术领域

本发明一般涉及反恶意软件技术，并且更具体地，涉及通过使用基于散列的指纹检测恶意软件。

背景技术

恶意软件(malware)是“恶意软件(malicious software)”的缩写，其是指在用户不知情或不同意的情况下可以用于中断计算机操作、损坏数据、收集敏感信息或获得对私有计算机系统的访问的软件。这种恶意软件的示例包括软件病毒、特洛伊木马(trojanhorses)、rootkits、勒索软件(ransomware)等。由恶意软件开发人员使用的一种常见机制是将恶意软件嵌入到看起来像是用户所期望的文件中，或者在用户访问网站时下载并执行该恶意软件。例如，恶意软件可以被嵌入到看起来合法且有用的软件应用中。用户下载文件，并且当文件打开时，执行文件内的恶意软件。包含恶意软件的文件可以称为恶意文件(malicious file)。

检测恶意软件以保护计算设备是主要关注的问题。最近，已经有许多改进恶意软件的检测的尝试。一种这样的尝试包括确定一个文件是否与另一文件类似，或者一个数据对象是否与另一数据对象相似。例如，签名分析、试探性分析、行为分析、散列和分析以及基于云的分析都是这种方法论途径的类别。虽然签名和散列和技术是熟知的检测分析方法，但是这些技术可能无法检测修改后的恶意软件代码。试探性分析可以尝试通过静态地分析文件来检测新的恶意软件，但是它在检测模糊的恶意软件时可能是无效的。行为分析通常被证明在检测修改后的恶意软件方面是有效的，但是即使是已知的这种分析方法也有许多缺点。例如，已知的行为分析方法可能导致系统性能降低。出于这些原因，需要一种改进的检测恶意软件的方法，特别是在不降低系统性能的情况下检测恶意软件。专利公开US2015/082441A1、US2015/082430A1和US 2016/103992A1讨论了对于理解本发明的背景有用的信息。

发明内容

本发明一般涉及一种使用基于散列的指纹检测恶意软件的系统和方法。为了检测恶意软件，可以将可执行程序的属性与已知包含恶意软件的程序或文件的属性进行比较。