[发明专利]检测恶意文件的系统和方法

说明书

本发明公开了检测恶意文件的方法和系统。根据一方面，方法包括：分别从一个或多个计算机接收一个或多个调用日志，各个调用日志包括从在相应的计算机上执行的文件进行的函数调用；将所述一个或多个调用日志合并成组合调用日志；在所述组合调用日志中搜索以查找存储在威胁数据库中的一个或多个行为规则的匹配项；当在所述调用日志中查找到所述行为规则时，确定关于被研究的文件的判定；以及将关于所述判定的信息发送至所述一个或多个计算机。

技术领域

本发明总体涉及计算机安全领域，并且更具体地涉及检测恶意文件的系统和方法。

背景技术

传统的签名分析并不总能检测到恶意文件和包含在文件中的恶意代码，尤其是多态病毒、混淆文件以及外壳代码(shellcode)。因此，现代防病毒应用程序额外使用了采用“沙箱(sandbox)”的验证，“沙箱”是与系统的其余部分隔离的特殊环境，限制了对沙箱内部执行的进程的访问和资源使用。例如，可以基于文件系统和寄存器的部分虚拟化、基于对文件系统和寄存器的访问规则、或者基于混合算法以虚拟机的形式来实现沙箱。在沙箱中执行被验证的文件。在文件执行过程中，将关于应用程序接口(application programminginterface，API)的函数调用和系统事件的信息记录在调用日志中。然后，防病毒应用程序会分析生成的调用日志。

调用日志通常保存关于在文件执行期间由所述文件产生的API函数调用的信息，并且还保存关于来自被调用的API函数的返回的信息(在返回地址处传输(transfer)控件)。沙箱中文件的执行通常在有限的时间间隔(最多几十秒)内发生。同时，当在沙箱中执行包含外壳代码的文件时，可能难以通过分析API函数调用的日志来检测文件的执行，因为外壳代码可能已经被加载到进程的内存中，但是在将控件转移到包含外壳代码的内存位置之前，已经终止沙箱中进程的执行。

用于检测文件中的恶意代码的另一技术是仿真，该仿真包括在仿真器中执行代码期间模仿主机系统。

所提到的技术在现代防病毒软件中一起使用。通常首先执行文件的签名分析，然后如果未检测到恶意行为，则在仿真器或沙箱中执行该文件。如果未检测到恶意行为，则直接在用户的计算机上(不是在隔离的环境中，如在沙箱中的情形)执行该文件。在这个阶段，又一重要的防病毒模块开始工作-行为分析器，该行为分析器在文件在用户计算机上执行的过程中收集并分析API函数调用的日志。利用已安装的拦截器驱动，行为分析器拦截在执行恶意代码期间发生的API函数调用并且还拦截调用的API函数的返回，并将API函数调用和调用的API函数的返回保存在调用日志中。然后，行为分析器在调用日志中搜索已知的恶意行为模式并给出判定(诸如病毒、蠕虫、特洛伊木马(Trojan horse)或附条件的有害软件)。行为分析器分析调用日志的原理类似于沙箱和仿真器的工作。但是行为分析器没有上述模块固有的缺陷–对文件执行的时间没有限制，以及检测和绕过仿真器和沙箱的技术不起作用，因为文件是在用户的计算机上执行，而不是在隔离的环境中或在仿真器中执行。

但同时，文件行为可以根据执行环境或甚至在同一计算机上以不同输入参数启动时而不同。因此，恶意文件在每次启动期间的行为可能不属于已知的恶意行为模式。因此，技术问题是确定的恶意文件的行为不属于已知的恶意行为模式的质量很差的技术问题。

在现实世界执行环境中检测恶意软件的其它已知方法将软件执行的操作注册到日志中并在该日志中搜索已知的恶意行为模式。然而，该方法不能解决所指出的确定的恶意文件的行为不属于已知的恶意行为模式的质量很差的技术问题。

发明内容

公开了用于检测恶意文件的系统和方法。例如，用于检测恶意文件的方法可以包括分别从一个或多个计算机接收一个或多个调用日志，各个调用日志包括从在相应的计算机上执行的文件进行的函数调用；将所述一个或多个调用日志合并成组合调用日志；在所述组合调用日志中搜索以查找存储在威胁数据库中的一个或多个行为规则的匹配项；当在所述调用日志中查找到所述一个或多个行为规则时，确定关于被研究的文件的判定；以及将关于所述判定的信息发送至所述一个或多个计算机。