[发明专利]模糊列入白名单反恶意软件系统及方法有效
| 申请号: | 201280064362.6 | 申请日: | 2012-09-05 |
| 公开(公告)号: | CN104025107B | 公开(公告)日: | 2017-02-22 |
| 发明(设计)人: | I·弗拉德·托凡;V·索林·杜代亚;D·维罗埃尔·卡尼亚 | 申请(专利权)人: | 比特梵德知识产权管理有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京律盟知识产权代理有限责任公司11287 | 代理人: | 张世俊 |
| 地址: | 塞浦路斯*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 在一些实施例中,反恶意软件系统考虑非恶意数据对象之间的良性差异,例如由编译器及其它多态性引入的差异。将目标对象分离成众多代码块,且针对每一代码块计算散列。接着,将所获得目标散列集与对应于从列入白名单的对象提取的代码块的散列的数据库进行比较。如果目标对象具有与列入白名单的对象共有的显著数目个散列,那么可将其标记为列入白名单的(被信赖的、非恶意的)。略微不同于已知列入白名单的对象的对象仍可接收白名单状态。通过允许相异对象的散列集之间的特定程度的不匹配,本发明的一些实施例在不使安全性降低到不可接受程度的情况下增加列入白名单的效率。 | ||
| 搜索关键词: | 模糊 列入 名单 恶意 软件 系统 方法 | ||
【主权项】:
一种反恶意软件的方法,其包括:在客户端计算机系统处执行所述客户端计算机系统的多个目标对象的初始恶意软件扫描;及响应于通过所述初始恶意软件扫描做出的所述目标对象被怀疑为恶意的初步确定:在所述客户端计算机系统处产生所述目标对象的多个目标散列,每一目标散列表示所述目标对象的相异代码块,每一相异代码块由所述目标对象的处理器指令序列组成;经由广域网将所述多个目标散列从所述客户端计算机系统发送到连接到所述客户端计算机系统的服务器计算机系统;及在所述客户端计算机系统处从所述服务器计算机系统接收所述目标对象是否为恶意的服务器侧指示符,其中所述服务器侧指示符由所述服务器计算机系统通过以下操作产生:针对所述多个目标散列中的至少一目标散列,检索参考对象的多个参考散列,所述参考对象选自根据所述目标散列的一组列入白名单的对象,且当所述多个目标散列不完全相同于所述多个参考散列时,根据所述多个目标散列与所述多个参考散列两者共有的散列计数确定相似度得分;当所述相似度得分超过预定阈值时,将所述目标对象指定为非恶意的;当所述相似度得分不超过所述预定阈值时,通过从所述目标对象的所述多个目标散列中过滤出在干净散列的数据库中显现的所有目标散列来产生所述目标对象的经过滤目标散列集;及将所述经过滤目标散列集与恶意软件特有的恶意软件识别散列的数据库进行比较,或将所述经过滤目标散列集与由连接到所述服务器计算机系统的多个相异客户端计算机系统在预定最近时间段内报告的未知对象特有的爆发检测散列的数据库进行比较。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于比特梵德知识产权管理有限公司,未经比特梵德知识产权管理有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201280064362.6/,转载请声明来源钻瓜专利网。
- 上一篇:答题卡用组合式涂卡器
- 下一篇:凸轮廓线仪
