CN105580022A - 使用声誉指示符来促进恶意软件扫描的系统和方法 - Google Patents
使用声誉指示符来促进恶意软件扫描的系统和方法 Download PDFInfo
- Publication number
- CN105580022A CN105580022A CN201480052984.6A CN201480052984A CN105580022A CN 105580022 A CN105580022 A CN 105580022A CN 201480052984 A CN201480052984 A CN 201480052984A CN 105580022 A CN105580022 A CN 105580022A
- Authority
- CN
- China
- Prior art keywords
- reputation
- module
- designator
- malware
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 435
- 230000008569 process Effects 0.000 claims abstract description 394
- 230000004044 response Effects 0.000 claims abstract description 53
- 230000009471 action Effects 0.000 claims description 39
- 238000001514 detection method Methods 0.000 claims description 14
- 230000003068 static effect Effects 0.000 abstract description 4
- 241000700605 Viruses Species 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 24
- 230000008859 change Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 238000002955 isolation Methods 0.000 description 11
- 238000003860 storage Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 8
- 238000002347 injection Methods 0.000 description 8
- 239000007924 injection Substances 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000007935 neutral effect Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000005055 memory storage Effects 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 210000004027 cell Anatomy 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 235000017166 Bambusa arundinacea Nutrition 0.000 description 1
- 235000017491 Bambusa tulda Nutrition 0.000 description 1
- 241001330002 Bambuseae Species 0.000 description 1
- 206010011968 Decreased immune responsiveness Diseases 0.000 description 1
- 208000032420 Latent Infection Diseases 0.000 description 1
- 235000015334 Phyllostachys viridis Nutrition 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 239000011425 bamboo Substances 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 208000037771 disease arising from reactivation of latent virus Diseases 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005059 dormancy Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000004615 ingredient Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013404 process transfer Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- User Interface Of Digital Computer (AREA)
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
Abstract
所描述的系统和方法允许保护计算机系统使其免受诸如病毒、特洛伊木马和间谍软件等恶意软件影响。声誉管理器结合反恶意软件引擎而执行。所述声誉管理器根据由目标进程加载的一组可执行模块(诸如,共享库)的声誉来确定在所述计算机系统上执行的所述目标进程的声誉。所述反恶意软件引擎可经配置以采用进程特定协议来针对恶意软件扫描所述目标进程,所述协议根据进程声誉来选择。被信任为非恶意的进程可因此使用比未知或不受信任进程更宽松的协议来扫描。可执行模块的所述声誉可为静态的;模块声誉指示符可由远程声誉服务器存储和/或检索。进程声誉可为可动态改变的,即,由所述声誉管理器响应于进程生命周期和/或安全事件重复重新计算。
Description
背景技术
本发明涉及用于保护计算机系统免受恶意软件影响的系统和方法。
恶意软件(malicioussoftware,也称为malware)在世界范围内影响大量计算机系统。恶意软件以其许多形式(诸如,计算机病毒、蠕虫、隐匿程序以及间谍软件)给数百万计算机用户带来严重的风险,从而使所述用户容易受到数据和敏感信息丢失、身份盗窃以及生产力损失等等的影响。
安全软件可用于检测感染用户的计算机系统的恶意软件,并额外地移除此恶意软件或停止此恶意软件的执行。在本领域中已知若干恶意软件检测技术。一些恶意软件检测技术依赖于恶意软件代理的代码段与指示恶意软件的标记库的匹配。其它常规方法检测恶意软件代理的一组指示恶意软件的行为。
安全软件可能给用户的计算机系统造成沉重的计算负担。恶意软件代理的增殖导致恶意软件检测例程、标记数据库以及行为探试程序的复杂性持续增大,这会进一步减慢反恶意软件运行。为降低计算成本,安全软件可并入有各种优化程序,但每一此程序通常处置特定情形或类别的恶意软件,并且无法良好地转变到新发现的恶意软件。
为跟上一组快速变化的威胁,强烈希望开发快速、稳健且可扩展的反恶意软件解决方案。
发明内容
根据一个方面,一种客户端系统包括经配置以执行目标进程的至少一个处理器,所述目标进程包括主要可执行模块的例子和共享库的例子,所述至少一个处理器经进一步配置以从服务器接收主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符,第一模块声誉指示符根据主要可执行模块的另一例子的行为而确定。服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务。所述至少一个处理器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第一和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。
根据另一方面,一种服务器包括至少一个处理器,所述至少一个处理器经配置以确定主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符,所述第一模块声誉指示符根据主要可执行模块的例子的行为而确定。所述至少一个处理器经进一步配置以响应于确定第一和第二模块声誉指示符而将所述第一和第二模块声誉指示符传输到经配置以与服务器一起执行反恶意软件事务的多个客户端系统的客户端系统。所述客户端系统经配置以执行目标进程,所述目标进程包括第一共享库的另一例子和第二共享库的例子。所述客户端系统经进一步配置以根据第一和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所述客户端系统经进一步配置以响应于确定进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。
根据另一方面,一种非暂时性计算机可读媒体存储指令,所述指令在被执行时配置执行目标进程的客户端系统的至少一个处理器(所述目标进程包括主要可执行模块的例子和共享库的例子)以从服务器接收主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符,第一模块声誉指示符根据主要可执行模块的另一例子的行为而确定。所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务。所述至少一个处理器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第一和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。
根据另一方面,一种客户端系统包括经配置以执行目标进程的至少一个处理器,所述目标进程包括第一可执行模块的例子和第二可执行模块的例子。所述至少一个处理器经进一步配置以从服务器接收第一可执行模块的第一模块声誉指示符和第二可执行模块的第二模块声誉指示符,第一模块声誉指示符根据第一可执行模块的另一例子的行为而确定。所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务。所述至少一个处理器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第一和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。
根据另一方面,一种服务器包括经配置以与多个客户端系统一起执行反恶意软件事务的至少一个处理器,所述多个客户端系统包含客户端系统。所述客户端系统经配置以执行目标进程,所述目标进程包括第一可执行模块的例子和第二可执行模块的例子。所述至少一个处理器经进一步配置以确定第一可执行模块的第一模块声誉指示符和第二可执行模块的第二模块声誉指示符,第一模块声誉指示符根据第一可执行模块的另一例子的行为而确定;且响应于确定第一和第二模块声誉指示符将所述第一和第二模块声誉指示符传输到客户端系统。所述客户端系统经进一步配置以根据所述第一和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所述客户端系统经进一步配置以响应于确定进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。
附图说明
在阅读下文的详细描述之后且在参考附图之后,将更好地理解本发明的以上方面及优点,其中:
图1展示根据本发明的一些实施例的包括多个客户端系统和声誉服务器的示范性反恶意软件系统。
图2展示根据本发明的一些实施例的受保护而免受恶意软件影响的示范性隔离环境(诸如,企业内部网)。
图3-A说明根据本发明的一些实施例的客户端系统的示范性硬件配置。
图3-B说明根据本发明的一些实施例的声誉服务器的示范性硬件配置。
图4展示根据本发明的一些实施例的包含保护客户端系统免受恶意软件影响的安全应用程序的一组示范性软件对象。
图5展示根据本发明的一些实施例的在客户端系统上执行的一组示范性软件对象。所述对象从处理器特权级别的角度表示。
图6展示根据本发明的一些实施例的包括声誉管理器和反恶意软件引擎的示范性安全应用程序的图式。
图7展示根据本发明的一些实施例的图6的声誉管理器和反恶意软件引擎之间的示范性数据交换。
图8展示根据本发明的一些实施例的从声誉高速缓冲存储器和声誉服务器接收数据的示范性声誉管理器。
图9展示在客户端系统上执行的两个进程,每一进程包括多个可执行模块。图9进一步展示根据本发明的一些实施例的针对每一进程确定的进程声誉指示符,以及针对每一可执行模块确定的模块声誉指示符。
图10-A说明根据本发明的一些实施例的示范性云声誉指示符。
图10-B展示根据本发明的一些实施例的示范性模块声誉指示符。
图10-C展示根据本发明的一些实施例的示范性进程声誉指示符。
图11展示根据本发明的一些实施例的由图7到8的活动监视器执行的示范性步骤序列。
图12展示根据本发明的一些实施例的由图7到8的决策单元执行的示范性步骤序列。
图13展示根据本发明的一些实施例由决策单元在接收指示进程启动的通知之后执行的示范性步骤序列。
图14展示根据本发明的一些实施例的由本地声誉服务器执行的示范性步骤序列。
图15说明根据本发明的一些实施例的由决策单元(图7到8)在接收安全通知之后执行的示范性步骤序列。
图16展示根据本发明的一些实施例的由反恶意软件引擎(图6到7)执行的示范性步骤序列。
图17展示根据本发明的一些实施例的图1的声誉更新系统的示范性配置。
图18展示根据本发明的一些实施例的由声誉更新系统执行的示范性步骤序列。
具体实施方式
在以下描述中,应理解,所有所引述的结构之间的连接可为直接操作性连接或通过中间结构的间接操作性连接。一组元件包含一或多个元件。对元件的任何引述应理解为是指至少一个元件。多个元件包含至少两个元件。除非另有要求,否则任何所描述的方法步骤无需一定以特定所说明的顺序执行。从第二元件导出的第一元件(例如,数据)涵盖与第二元件相等的第一元件以及通过处理第二元件和任选地其它数据产生的第一元件。根据参数做出确定或决定涵盖根据所述参数和任选地根据其它数据做出所述确定或决定。除非另外指明,否则一些数量/数据的指示符可为所述数量/数据本身,或不同于所述数量/数据本身的指示符。除非另外指明,否则进程表示计算机程序的例子,其中计算机程序为确定计算机系统执行特定任务的指令序列。除非另外指明,否则散列为散列函数的输出。除非另外指明,否则散列函数为将可变长度符号序列(例如,字符、位)映射到固定长度数据(诸如,数字或位串)的数学变换。计算机可读媒体涵盖非暂时性媒体(诸如,磁性、光学和半导体存储媒体(例如,硬盘驱动器、光盘、快闪存储器、DRAM))以及通信链路(诸如,导电缆线和光纤链路)。根据一些实施例,本发明尤其提供计算机系统,所述计算机系统包括经编程以执行本文中描述的方法的硬件(例如,一或多个处理器)以及对指令进行编码以执行本文中描述的方法的计算机可读媒体。
以下描述通过实例且不一定通过限制说明本发明的实施例。
图1展示根据本发明的一些实施例的示范性反恶意软件系统5。系统5包括经由通信网络20连接的一组客户端系统10a到10c和中央声誉服务器14。中央声誉服务器可进一步连接到中央声誉数据库16并连接到声誉更新系统18。在一些实施例中,系统5可进一步包括连接到网络20的一组隔离环境12a到12b(例如,企业内部网)。网络20可为广域网(诸如,因特网),而网络20的部分还可包含局域网(LAN)。
客户端系统10a到10c可包含终端用户计算机,其各自具有处理器、存储器及存储装置并且运行操作系统,诸如,或Linux。一些客户端计算机系统10a到10c可为移动计算机和/或电信装置,诸如平板计算机、移动电话、个人数字助理(PDA)、可戴计算装置、家用装置(诸如,TV或音乐播放器)或包含处理器和存储器单元且需要恶意软件保护的任何其它电子装置。在一些实施例中,客户端系统10a到10c可表示个别客户,或若干客户端系统可属于同一客户。
在一些实施例中,中央声誉服务器14经配置以在客户端系统10a到10c的请求下处置声誉数据。声誉数据库16可包括声誉数据(诸如,针对多个可执行模块确定的模块声誉指示符)的存储库,如下文详细描述。在示范性实施例中,服务器14可在需要时从中央声誉数据库16检索声誉数据,并可将此声誉数据传输到客户端系统10a到10c。在一些实施例中,声誉更新系统18经配置以将声誉数据保存和/或更新到声誉数据库16,如下文进一步描述。
图2说明连接到网络20的隔离环境12,诸如企业内部网。环境12包括均连接到本地网络120的一组客户端系统10d到10e和本地声誉服务器114。网络120可表示例如局域网。在一些实施例中,隔离环境12可进一步包括连接到本地网络120的服务器声誉高速缓冲存储器22和环境特定声誉数据库24。本地声誉服务器114可经配置以在客户端系统10d到10e的请求下处置声誉数据,(例如)以从声誉高速缓冲存储器22和/或环境特定声誉数据库24检索声誉数据,及将此数据传输到请求客户端系统10d到10e。高速缓冲存储器22和数据库24可经配置以存储声誉数据(诸如,模块声誉指示符),如下文展示。在一些实施例中,本地声誉服务器114可经进一步配置以与中央声誉服务器14通信(例如)以从服务器14检索声誉数据及将此数据存储到高速缓冲存储器22和/或本地声誉数据库114中。
图3-A展示根据本发明的一些实施例的执行反恶意软件操作的客户端系统10(诸如,图1到2的客户端系统10a到10e)的示范性硬件配置。客户端系统10可表示企业计算装置(诸如,企业服务器)或终端用户装置(诸如,个人计算机或智能电话)等等。图3出于说明性目的展示计算机系统;其它客户端系统(诸如,移动电话或平板计算机)可具有不同配置。在一些实施例中,系统10包括均通过一组总线44连接的一组物理装置,其包含处理器32、存储器单元34、一组输入装置36、一组输出装置38、一组存储装置40和一组网络适配器42。
在一些实施例中,处理器32包括经配置以使用一组信号和/或数据执行计算和/或逻辑运算的物理装置(例如,多核集成电路)。在一些实施例中,此类逻辑运算以处理指令(例如,机器代码或其它类型的软件)序列的形式递送到处理器32。存储器单元34可包括非暂时性计算机可读媒体(例如,RAM),其存储在实行指令的进程中由处理器32存取或产生的数据/信号。输入装置36可包含计算机键盘、鼠标和麦克风等等,其包含允许用户将数据和/或指令引入到客户端系统10中的相应硬件接口和/或适配器。输出装置38可包含显示屏和扬声器等等,以及硬件接口/适配器(诸如,图形卡),其允许系统10将数据传达到用户。在一些实施例中,输入装置36和输出装置38可共享共用硬件,如在触摸屏装置的情形中。存储装置40包含实现软件指令和/或数据的非暂时性存储、读取和写入的计算机可读媒体。示范性存储装置40包含磁盘和光盘及快闪存储器装置以及可移动媒体(诸如,CD和/或DVD磁盘和驱动器)。所述组网络适配器42使得客户端系统10能够连接到计算机网络(例如,网络20、120)和/或其它装置/计算机系统。总线44共同表示多个系统、外围装置以及芯片组总线和/或实现客户端系统10的装置32到42之间的通信的所有其它电路。例如,总线44可包括将处理器32连接到存储器34的北桥,和/或将处理器32连接到装置36到42的南桥等等。
图3-B展示声誉服务器(诸如,图1中的中央声誉服务器14或图2中的本地声誉服务器114)的示范性硬件配置。服务器14包括均通过一组总线144连接的服务器处理器132、服务器存储器134、一组服务器存储装置140和一组网络适配器142。装置132、134、140和142的操作可反映上文描述的装置32、34、40和42的操作。例如,服务器处理器132可包括经配置以使用一组信号和/或数据执行计算和/或逻辑运算的物理装置。服务器存储器134可包括非暂时性计算机可读媒体(例如,RAM),其存储在执行计算的进程中由处理器132存取或产生的数据/信号。网络适配器142使得服务器14能够连接到计算机网络(诸如,网络20、120)。
图4展示根据本发明的一些实施例的在客户端系统10上执行的一组示范性软件对象。客户操作系统(OS)46包括提供到客户端系统10的硬件的接口的软件,并充当一组软件应用程序52a到52c和54的主机。OS46可包括任何广泛可用的操作系统,诸如或AndroidTM等等。应用程序52a到52c可包含文字处理、图像处理、数据库、浏览器以及电子通信应用程序等等。在一些实施例中,安全应用程序54经配置以如下文描述那样执行反恶意软件操作以保护客户端系统10免受恶意软件影响。安全应用程序54可为独立程序或可形成软件套件(其尤其包括反恶意软件、反垃圾邮件和反间谍软件组件)的一部分。
图5说明从处理器特权级别(在此项技术中也称为层或保护环)的角度表示的在客户端系统10上执行的一组软件对象。在一些实施例中,每一此层或保护环通过指令集表征,允许在相应处理器特权级别处执行的软件对象执行所述指令集。当软件对象试图执行在相应特权级别内不被允许的指令时,该试图可触发处理器事件,诸如异常或错误。操作系统46的大多数组件在此项技术中称为内核层或内核模式(例如,因特尔平台上的环0)的处理器特权级别处执行。应用程序52在小于OS46的处理器特权(例如,环3或用户模式)处执行。
在一些实施例中,安全应用程序54的部分可在用户级别处理器特权(即,与应用程序52相同的级别)处执行。例如,此类部分可包括图形用户接口,所述图形用户接口向用户通知在相应VM上检测到的任何恶意软件或安全威胁,并且从用户接收指示(例如)应用程序54的所要配置选项的输入。应用程序54的其它部分可在内核特权级别处执行。例如,应用程序54可安装反恶意软件驱动器55(其向反恶意软件应用程序54提供内核级别功能性),以(例如)针对恶意软件标记扫描存储器和/或检测进程的指示恶意软件的行为和/或在OS46上执行的其它软件对象。在一些实施例中,安全应用程序54进一步包括声誉管理器58,所述声誉管理器的部分可以内核模式执行。
图6展示根据本发明的一些实施例的示范性安全应用程序54的图式。应用程序54包括均连接到声誉管理器58的反恶意软件引擎56和客户端声誉高速缓冲存储器122。在一些实施例中,客户端高速缓冲存储器122经配置以暂时存储声誉数据(诸如,模块声誉指示符)且将此数据传输到声誉管理器58。在一些实施例中,声誉管理器58经配置以确定针对各种软件对象(其包含应用程序、进程和可执行模块)确定的声誉数据、存储和/或从高速缓冲存储器122检索此数据以及将此数据传输到反恶意软件引擎56。
在一些实施例中,引擎56经配置以针对恶意软件扫描在客户端系统10上执行的软件对象(诸如,图4中的应用程序52a到52c)。此恶意软件扫描可包含确定目标软件对象是否含有恶意代码,以及进一步移除相应代码或防止相应代码执行。在一些实施例中,如果一条代码经配置以执行一组恶意动作中的任何者,那么认为该条代码是恶意的。此类恶意动作可包含助长隐私丢失、个人或敏感数据丢失或用户部分上的生产力损失的任何动作。一些实例包含在用户不知情或未授权的情况下修改或擦除数据以及更改在客户端系统10上执行的合法程序的执行。恶意动作的其它实例包含提取用户的个人数据或敏感数据(诸如,密码、登录详细信息、信用卡或银行账户数据)或机密文件等等。恶意动作的其它实例包含未授权拦截或以其它方式窃听用户与第三方的对话和/或数据交换。其它实例包含利用客户端系统10发送未经请求通信(垃圾邮件)及利用客户端系统10向远程计算机系统发送恶意数据请求(如在拒绝服务攻击中)。
在一些实施例中,由引擎56扫描的目标对象包括用户模式应用程序、进程和可执行模块。除非另外指明,否则进程为计算机程序(诸如,应用程序或操作系统46的一部分)的例子,并通过具有至少执行线程和由操作系统指派给它的虚拟存储器区段来表征,相应存储器区段包括可执行代码。除非另外指明,否则可执行模块为进程的组成部分或建置块;每一此模块包括可执行代码。示范性可执行模块包含进程的主要可执行文件(诸如,中的EXE文件)和共享库(诸如,动态链接库–DLL)等等。在一些实施例中,进程的主要可执行模块包括在启动相应进程时执行的第一机器指令。库为实施程序的各个功能方面的代码的独立成套区段。共享库可由超过一个程序独立使用。可在执行诸如或的操作系统的客户端系统10中识别类似种类的可执行模块。可在相应进程的启动和/或执行期间将可执行模块加载到存储器和/或从存储器卸载可执行模块。为执行恶意软件扫描,引擎56可利用此项技术中已知的任何反恶意软件方法,诸如标记匹配和行为扫描等等。
在一些实施例中,声誉管理器58与反恶意软件引擎56协作以促进恶意软件检测。例如,声誉管理器58可将某个软件对象(诸如,进程或可执行模块)的声誉的指示符传达到反恶意软件56。在一些实施例中,软件对象的声誉指示相应对象并非恶意的信任级别。例如,声誉指示符可指示相应对象受信任、不受信任或未知。作为响应,反恶意软件引擎56可给予受信任对象优先处理。例如,引擎56可使用宽松的安全协议来扫描受信任对象,并使用严格的安全协议来扫描未知或不受信任的对象,其中宽松的安全协议比严格的安全协议在计算方面更廉价。在一个此实例中,宽松的安全协议可指示引擎56仅采用恶意软件检测方法的子集和/或仅采用恶意软件识别探试程序的子集来扫描受信任对象,而严格的安全协议可使用对引擎56可用的方法和/或探试程序的全集。在一些实施例中,宽松的安全协议可针对每一进程或可执行模块专门定制,如下文详细展示。例如,声誉管理器58可通过将一组进程特定的扫描参数值传输到引擎56来配置引擎56使用进程特定协议,扫描参数值用于例示当扫描/监视相应进程时引擎56的一组配置参数。因此,扫描/监视协议可在受信任对象与不受信任对象之间不同,而且在一个受信任对象与另一受信任对象之间不同。
在一些实施例中,可根据相应对象的一组建置块的声誉来确定目标软件对象的声誉。建置块的声誉可存储在本地存储库(例如,高速缓冲存储器22、122)和/或远程存储库(例如,中央声誉数据库16)中,并且针对相应建置块的每一次出现而再利用。相比之下,目标对象本身的声誉可动态确定,即,由声誉管理器58响应于安全事件和/或目标对象的某些生命周期事件而重复计算。这种方式定义所存储声誉数据的优选尺度/粒度。建置块的尺寸和类型可因实施例而异。在一些实施例中,建置块为可执行模块(例如,主要可执行程序和共享库);为简单起见,以下论述将仅描述此类实施方案。建置块的其它实例包含由相应进程调用的可执行脚本(例如,Perl、VisualBasic和Python脚本)和解释文件(例如,JAR文件)等等。所属领域的技术人员将了解,此处描述的系统和方法可转变成其它种类的建置块和其它粒度级别。
图7展示本发明的一些实施例中的声誉管理器58和反恶意软件引擎56的进一步细节以及组件56与58之间的示范性数据交换。反恶意软件引擎56可包括多个安全特征76a到76d。在一些实施例中,特征76a到76d为引擎56的组件,其可彼此独立地执行。示范性安全特征包含个别反恶意软件组件,其各自实施相异方法:防火墙、行为扫描器和标记匹配引擎等等。在一些实施例中,防火墙拦截与在客户端系统10上执行的软件对象相关的入站和/或出站网络业务,且可根据用户指示规则和/或内部探试程序而接受、拒绝或修改此业务的通道或内容。在一些实施例中,行为扫描器监视在客户端系统10上执行的软件对象的行为(例如,检测动作,诸如写入到磁盘文件或编辑OS注册表项)。标记匹配引擎可试图匹配在客户端系统10上执行的软件对象的代码序列与称为标记的指示恶意软件的代码序列的列表;匹配可指示相应对象包括恶意软件。另一示范性安全特征为安全程序,其可能组合多个反恶意软件方法/组件,例如,“应用方法A;如果结果为1,那么应用方法B;等等”。安全程序的其它实例包含按需扫描和按存取扫描。又另一示范性安全特征为一组恶意软件识别探试程序。
在一些实施例中,可使用一组扫描参数来配置安全特征76a到76d;改变扫描参数的值可更改相应特征的操作。一个示范性扫描参数为用于与指示恶意软件的分数进行比较的阈值;当分数超过相应阈值时,进程/模块可被认为是恶意的。扫描参数的另一实例为由行为扫描器用于确定进程/模块是否恶意的一组探试程序。扫描参数的另一实例为用于校正神经网络分类器以区分良性对象与恶意对象的一组神经元权重。在一些实施例中,声誉管理器58可通过将此类扫描参数的一组值传输到引擎56来有效配置反恶意软件引擎56的操作,如下文详细展示。
在一些实施例中,声誉管理器58(图7)包含决策单元72、连接到决策单元72的活动监视器74、均连接到决策单元72的云管理器68和高速缓冲存储器管理器70。声誉管理器58可经配置以从反恶意软件引擎56接收声誉请求60和/或安全事件通知64,且将进程声誉指示符82和/或安全警告66传输到反恶意软件引擎56。在下文给出此类数据交换的细节。
在一些实施例中,活动监视器74经配置以检测软件对象(诸如,在客户端系统10内执行的应用程序和进程)的生命周期事件,以维持此类被监视对象的列表且将此类事件传达到决策模块72。例如,监视器74可检测应用程序、进程和/或线程的启动和/或终止。由监视器74拦截的其它示范性事件包含将可执行模块(诸如,DLL)加载到其存储器空间中和/或从其存储器空间卸载所述可执行模块的进程。活动监视器74可进一步确定对象间关系,诸如哪个进程加载哪个可执行模块。其它此类关系包含父子关系,例如主从关系。在一些实施例中,监视器74可进一步确定所选择对象是否已将代码注入到另一对象中,或所选择对象是否为由另一软件对象进行的此注入的目标。子对象为由称为父对象的另一对象产生的可执行实体,子对象独立于父对象而执行。示范性子对象为例如经由OS的CreateProcess函数或经由中的剪叉机构(forkmechanism)产生的子进程。代码注入为此项技术中用于指示将代码序列(诸如,动态链接库(DLL))引入到现有进程的存储器空间中以更改相应进程的原始功能性的一族方法的通用术语。为执行诸如检测进程的启动和/或检测代码注入等等的任务,监视器74可采用此项技术中已知的任何方法,诸如,调用或挂钩某些OS函数。例如,在运行OS的系统中,监视器74可拦截对LoadLibrary函数或对CreateFileMapping函数的调用以检测可执行模块的加载。在另一实例中,监视器74可注册PsSetCreateProcessNotifyRoutine回调函数以检测新进程的启动,和/或可挂钩CreateRemoteThread函数以检测注入代码的执行。
在一些实施例中,决策单元72经配置以从活动监视器74接收指示目标进程的生命周期事件(例如,目标进程的启动)的出现的数据。决策单元72可经进一步配置以从高速缓冲存储器管理器70和/或云管理器68请求指示目标进程的可执行模块(例如,由目标进程加载的主要可执行程序或共享库)的声誉的数据。单元72可经进一步配置以根据相应可执行模块的声誉确定目标进程的声誉,且将指示目标进程的声誉的指示符82传输到反恶意软件引擎56。
在一些实施例中,决策单元72可经配置以从反恶意软件引擎56接收安全事件通知64,通知64指示由执行触发或在目标进程或模块的执行期间发生的安全事件。此类安全事件由反恶意软件引擎56检测;一些实例包含目标进程/模块执行某些动作,诸如从因特网下载文件或修改OS46的注册表项。由目标进程/模块执行的此类动作可本身为指示恶意软件的,或当结合由目标进程/模块执行或由与目标进程相关的进程执行(例如,由目标进程的子进程执行)的其它动作而出现时可为指示恶意软件的。决策单元72可经进一步配置以响应于接收通知64而根据通知64(重新)计算相应目标进程的进程声誉指示符82,且将指示符82传输到反恶意软件引擎56。
在一些实施例中,决策单元72可经配置以分析通知64,并针对由通知64指示的某些类型的安全事件将安全警告66发送到反恶意软件引擎56。安全警告66可向反恶意软件引擎56指示相应客户端系统10被怀疑受到恶意软件感染,且可配置引擎56以执行严格的安全协议,这将称为偏执狂模式。下文给出决策单元72的操作的更详细描述。
高速缓冲存储器管理器70和云管理器68可经配置以在决策单元72的请求下分别从声誉高速缓冲存储器222和声誉服务器214检索声誉数据。高速缓冲存储器222可表示例如客户端声誉高速缓冲存储器122(图6)。取决于实施方案,声誉服务器214可表示中央声誉服务器14(图1)或本地声誉服务器114(图2)。图8说明根据本发明的一些实施例高速缓冲存储器管理器70从高速缓冲存储器222接收模块声誉指示符80,以及云管理器68从声誉服务器214接收云声誉指示符78。高速缓冲存储器管理器70可经进一步配置以将由云管理器68接收的声誉数据存储在高速缓冲存储器222中达可变但有限的时间量;声誉数据的高速缓冲存储器生命周期可根据云指示符78确定。
图9展示根据本发明的一些实施例的两个示范性进程84a到84b和多个声誉指示符。进程84a包括可执行模块86a到86c,例如主要可执行程序86a和两个动态链接库86b到86c。进程84b包含主要可执行程序86d和三个DLL,其中的两个为进程84a的库86b到86c的实例。分别针对模块86a到86e确定一组模块声誉指示符80a到80e,且分别针对进程84a到84b确定一组进程声誉指示符82a到82b。
在一些实施例中,模块声誉指示符80a到80e为存储到声誉高速缓冲存储器222和/或声誉服务器214(图8)和/或从声誉高速缓冲存储器222和/或声誉服务器214检索的静态数据项。当两个或更多个进程加载同一模块(例如,图9中的共享库)的例子时,所有此类例子的模块声誉指示符可相同。进程声誉指示符82a根据模块声誉指示符86a到86c而确定,而进程指示符82b根据模块声誉指示符86b到86e而确定。与模块声誉指示符相比,进程声誉指示符82a到82b可为可动态改变、由声誉管理器58响应于在客户端系统10中出现的安全事件和/或分别响应于进程84a到84b的生命周期事件而重复重新计算。
在图10-A到10-C中分别说明云、模块和进程声誉指示符的一些示范性格式。云声誉指示符78包括一组云扫描参数值79a和高速缓冲存储器截止指示符79b等等。高速缓冲存储器截止指示符79b指示云声誉指示符78的寿命,即,相应声誉数据应存储在高速缓冲存储器222中的时间长度。此类寿命可在可执行模块之间变化。通过指定高速缓冲存储器声誉数据的有限寿命,一些实施例有效地促使此数据从声誉服务器214的刷新,因此含有相应模块的潜在感染的蔓延。
在一些实施例中,云扫描参数值79a包括将在扫描/监视相应可执行模块时用于配置反恶意软件引擎56(图7)的安全特征76a到76d的若干组参数值。在一个此实例中,安全特征F1为行为扫描器,且F1的扫描参数值包含元组{v1,v3,…},其中参数值v1指示“激活行为扫描技术X”,且参数值v3指示“停用探试程序集Y”等等。当监视相应可执行模块时,指示引擎56的此示范性行为扫描器特征使用技术X,同时停用探试程序集Y。
模块声誉指示符80(图10-B)的一些实施例包含一组模块扫描参数值81a、高速缓冲存储器截止指示符81b和模块评估指示符81c等等。模块扫描参数值81a指示配置反恶意软件引擎56以监视和/或扫描相应模块的参数值。高速缓冲存储器截止指示符81b指示相应声誉数据的寿命。在一些实施例中,高速缓冲存储器截止指示符81b与相应模块的高速缓冲存储器截止指示符79b相同。模块扫描参数值81a可与相应模块的云扫描参数值79a相同,或可遵循安全事件(诸如,相应模块执行指示恶意软件的动作)而与参数值79a不同(见下文)。
模块评估指示符81c提供当前给予相应模块的信任级别的估计。在一些实施例中,模块评估指示符81c根据当前信息将相应模块标记为受信任、不受信任或未知。受信任标签可指示相应模块不可能是恶意的。不受信任标签可指示相应模块被怀疑是恶意的(例如,当相应模块已执行指示恶意软件的动作时,诸如将代码注入到另一模块或进程中)。未知标签可指示高速缓冲存储器222和/或服务器214未保持相应模块的声誉数据。
在一些实施例中,进程声誉指示符82(图10-C)包含一组进程扫描参数值83a和进程评估指示符83c等等。进程评估指示符83c指示当前给予相应进程的信任级别。指示符83c的示范性值包含正值、负值和中性值。正标签可指示相应进程不可能是恶意的,且可指示反恶意软件引擎56使用扫描参数值83a扫描和/或监视相应进程。负标签可指示恶意嫌疑,从而指示恶意软件引擎56使用预定的严格的安全协议分析相应进程。中性标签可指示相应进程既不是完全受信任的也不是恶意的,且可指示引擎56使用预定的默认安全协议分析相应进程。在一些实施例中,当目标进程包括一组可执行模块时,根据目标进程的该组可执行模块中的每一者的指示符81a确定目标进程的指示符83a,如下文描述。此外,可根据目标进程的该组可执行模块的模块评估指示符81c确定目标进程的进程评估指示符83c,如下文展示。
图11展示根据本发明的一些实施例的由活动监视器74(图7)实行的示范性步骤序列。在步骤序列302到304中,监视器74等待在客户端系统10内出现触发事件。示范性触发事件包含在客户端系统10上执行的进程的生命周期事件,诸如进程的启动或终止。其它实例包含加载或卸载可执行模块(诸如,DLL)的进程。又另一示范性触发事件为大量生成一组子进程的父进程。为检测此类触发事件的出现,活动监视器74可使用此项技术中已知的任何方法,诸如,调用或挂钩某些OS函数,例如,由OS46用于启动某一进程以进行执行的函数。
在步骤306中,活动监视器74可识别事件类型,例如启动新进程以进行执行。当触发事件已确实出现时,步骤308可识别引起相应触发事件或受触发事件影响的进程。在一些实施例中,监视器74可从由OS46用于表示当前在执行中的每一进程的数据结构确定此类进程的标识。例如,在Windows中,每一进程表示为执行进程块(EPROCESS),其尤其包括到相应进程的线程中的每一者的句柄以及允许OS46从多个执行进程识别相应进程的唯一进程ID。类似进程表示可用于其它OS,诸如当超过一个进程受到触发事件影响时,步骤308可进一步包含确定相应进程之间的关系。例如,当父进程启动子进程时,监视器74可记录子和父的标识以及其关系的类型(父子关系)。接着,在步骤310中,活动监视器74可将关于触发事件的通知传输到决策单元72。
图12展示根据本发明的一些实施例的由决策单元72实行的示范性步骤序列。在步骤序列312到314中,决策单元72等待接收通知。此类通知可由活动监视器74(见上文)或由反恶意软件引擎56(见例如图7中的安全事件通知64)传达。当接收到通知时,步骤316确定所述通知是否是从反恶意软件引擎56接收的安全事件通知,且当是时,在步骤320中,决策单元72根据所接收的安全事件通知的类型继续(下文更多细节)。当所述通知不是从反恶意软件引擎56接收的安全事件通知时,步骤318确定所述通知是否是从活动监视器74接收的触发事件通知,且当是时,在步骤322中,决策单元72根据经由所述通知传达的触发事件的类型继续。
图13展示当触发事件包括进程的启动时由决策单元72在步骤322(图12)内实行的示范性步骤序列。在步骤324中,决策单元72可确定由相应进程加载的该组可执行模块。为执行步骤324,决策单元72可采用此项技术中已知的任何方法。例如,在运行OS的客户端系统中,在启动进程之后,OS46建立称为进程环境块(PEB)的进程特定数据结构,所述数据结构包括由OS46用于管理与相应进程相关联的资源的数据。此数据包含加载模块的虚拟存储器地址。决策单元72可因此根据相应进程的PEB识别加载模块。
接着,决策单元72可针对由目标进程加载的每一模块循环执行步骤序列326到342。步骤326选择加载模块。在步骤328中,决策模块计算所选择模块的识别指示符,所述识别指示符允许高速缓冲存储器222和/或服务器214明确识别所选择模块。在一些实施例中,识别指示符包含所选择模块的代码段的散列或所选择模块的代码段等等。用于计算散列的示范性散列函数包含安全散列(SHA)和消息摘要(MD)算法。在一些实施例中,高速缓冲存储器管理器70可使用识别散列作为到高速缓冲存储器222中的查找键。其它示范性标识指示符可包含相应模块的元数据,诸如所选择模块的文件名、大小、版本和时间戳等等。
步骤330指示高速缓冲存储器管理器70从高速缓冲存储器222检索所选择模块的模块声誉数据。步骤330可包含将所选择模块的标识指示符发送到高速缓冲存储器管理器70及从高速缓冲存储器管理器70接收所选择模块的模块声誉指示符80。步骤332确定高速缓冲存储器查找是否成功(即,是否在高速缓冲存储器222中发现所选择模块的声誉数据),且当高速缓冲存储器查找成功时,决策单元前进到下文描述的步骤342。当高速缓冲存储器222当前未保持所请求声誉数据时(例如,当所请求声誉数据已从高速缓冲存储器222截止时),在步骤334中,决策单元72可指示云管理器68从声誉服务器214检索声誉数据。步骤334可包含将包括所选择模块的标识指示符(例如,散列识别符)的声誉请求发送到服务器214及从服务器214接收相应模块的云声誉指示符78。为检索指示符78,服务器214的一些实施例可使用所选择模块的识别散列作为到中央声誉数据库16和/或环境特定声誉数据库24中的查找键。当此数据库查找失败时(即,当在声誉数据库中未发现所选择模块的声誉数据时),服务器214可返回失败指示符。
在步骤序列336到338中,决策单元72可根据所选择模块的云声誉指示符78制定所选择模块的模块声誉指示符80。在一些实施例中,确定模块扫描参数值81a和高速缓冲存储器截止指示符81b包括从云声誉指示符78(分别从项79a和79b,见图10-A到10-B)复制相应值。在一些实施例中,在步骤338中,决策单元72可将模块评估指示符81c确定为受信任、不受信任或未知。在一个实例中,当数据库查找成功时(即,当步骤334返回所选择模块的云声誉指示符时)宣布所选择模块受信任。当未在声誉数据库中发现所选择模块的声誉数据时,所选择模块可接收未知(中性)的评估。在一些实施例中,当决策单元72已从反恶意软件引擎56接收到指示所选择模块(或所选择模块的不同例子)被怀疑是恶意的安全通知时,所选择模块可接收不受信任的评估,而与步骤334是否返回所选择模块的云声誉指示符无关。
在步骤340中,决策单元72指示高速缓冲存储器管理器70将所选择模块的声誉数据(诸如,指示符80)存储在高速缓冲存储器222中。在一些实施例中,当相应模块被怀疑是恶意的时,高速缓冲存储器管理器可更改高速缓冲存储器截止指示符81b的值。例如,当决策单元已接收到关于相应模块的安全通知时,可修改指示符81b以指示永久记录(无截止时间)。
接着,步骤342确定是否具有更多的可执行模块留待处理,且如果是,那么执行返回到上文描述的步骤326。当已处理目标进程的最后可执行模块时,步骤序列344到346根据组成目标进程的可执行模块的模块声誉指示符80确定目标进程的进程声誉指示符82。在表1中给出用于确定进程声誉指示符82的示范性决策表。
表1
| 模块评估指示符 | 进程评估指示符 |
| 全部正/受信任 | 正/受信任 |
| 至少一个中性/未知,所有剩下的为正/受信任 | 中性/未知 |
| 至少一个负/不受信任 | 负/不受信任 |
在步骤346中,决策单元72根据构成目标进程的可执行模块的扫描参数值81a确定目标进程的扫描参数值83a。在一些实施例中,对于每一安全特征76a到76d(图7),根据应用到组成目标进程的可执行模块的模块扫描参数值集81a的集合运算来确定进程扫描参数值83a的相应集合,参数值集81a对应于相应特征。用于确定进程扫描参数值83a的示范性集合运算包含并集和交集等等。替代地,当模块扫描参数集81a包括二进制值时,集合运算可包含逻辑与和逻辑或运算子。下文针对图9的进程84b给出此进程扫描参数值83a的确定的实例。表示2展示构成进程84b的每一模块的示范性模块扫描参数值81a和进程84b的所得进程扫描参数值83a。
表2
在表2的实例中,第三和第五列中列出使用交集/与运算子处理的参数值集,而第四和第六列中列出使用并集/或运算子处理的参数值集。特征F1可为实时保护程序,且特征F2可为行为扫描器。扫描参数值可具有以下示范性含义:
a1:激活反病毒技术T1;
a2:不监视读取磁盘文件的尝试。
a3:不监视写入磁盘文件的尝试。
a4:仅扫描可执行文件;
b1:停用探试程序集H1;
b2:停用探试程序集H2;
b3:激活行为扫描技术T2;
在一些实施例中,决策单元72可取集合{a2、a4}、{a4}、{a2,a4}和{a2,a3,a4}的交集以产生{a4},并取集合{a1}和{N/A}的并集以产生{a1}。决策单元72可进一步取两个所得集合{a1}和{a4}的并集以产生{a1,a4}作为对应于安全特征F1的进程B的进程扫描参数值83a的集合。类似地,对于安全特征F2,决策单元72可取集合{b1}、{b1}、{b1}和{b1,b2}的交集以产生{b1},且取集合{b3}和{N/A}的并集以产生{b3}。确定为所得集合{b1}和{b3}的并集的集合{b1,b3}可因此表示对应于安全特征F2的进程B的进程扫描参数值83a的集合。使用上文列出的各种参数的含义,进程扫描参数值83a指示反恶意软件引擎56,使得在扫描进程B中,实时保护组件应仅扫描可执行对象,且应激活反病毒技术T1,而行为扫描器组件应停用探试程序集H1并激活行为扫描技术T2。
在计算进程扫描参数值83a和进程评估指示符83c之后,决策单元可组合目标进程的进程声誉指示符82并在步骤348中将指示符82传输到反恶意软件引擎56。
图14说明隔离环境(诸如,图1中的环境12a到12b)中的声誉请求的示范性处理。与图7到8中说明的示范性系统相比,图14的系统引入中央声誉服务器14与终端客户端10之间的额外高速缓冲存储和服务器查找层级。此类配置可通过降低服务器14与终端客户端系统10之间的数据业务来加快反病毒软件运行。
类似图2和14中描绘的配置的配置还可实现处置声誉数据的环境特定方式。在一些实施例中,环境特定声誉数据库24包括针对相应隔离环境12专门定制的一组云和/或模块声誉指示符。在一个此实例中,企业内部网的客户端系统10d到10e(图2)运行广泛采用的软件应用程序X,诸如Microsoft应用程序X加载可执行模块Y,只要相应客户端系统连接到因特网,可执行模块Y就容易受到恶意软件影响。当连接客户端系统10d到10e的本地网络120不直接连接到因特网时(例如,当网络120受到防火墙保护时),应用程序X不再遭受与因特网连接相关联的安全隐患。因此,针对此类安全隐患监视应用程序X可不一定在系统10d到10e上(即,在隔离环境12内),而此监视在直接连接到因特网的系统中可为重要的。在一些实施例中,配置反恶意软件引擎56的扫描参数可根据运行引擎56的相应客户端系统在隔离环境12内还是在隔离环境12外操作而设置为不同值。引擎56可因此经配置而以与在环境12外执行的模块Y的例子不同的方式扫描/监视在环境12内执行的模块Y的例子。
在环境特定性的另一实例中,企业使用专有软件应用程序X,其不由隔离环境12外的其它客户端系统使用。关于应用程序X的可执行模块Y的声誉数据因此不可能由其它客户端系统使用。在一些实施例中,此声誉数据仅保存在环境特定声誉数据库24中,且不保存在中央声誉数据库16中。此类配置可提高在隔离环境12外侧操作的客户端以及在环境12内操作的客户端的数据库查找的效率。
在一些实施例中,图14中描绘的执行流程与图13中的步骤328到340的执行并行。本地声誉服务器114可包括服务器高速缓冲存储器管理器170、本地环境管理器88和服务器云管理器168。服务器高速缓冲存储器管理器170和服务器云管理器168的操作可分别反映上文关于图7到8和图13描述的高速缓冲存储器管理器70和云管理器68的操作。在一些实施例中,当客户端系统10的声誉管理器58需要目标可执行模块的声誉数据时,管理器58可制定包括目标模块的标识指示符(例如,散列识别符)的声誉请求160,且可通过本地网络120将请求160传输到本地声誉服务器114。在步骤352中,服务器高速缓冲存储器管理器170在服务器声誉高速缓冲存储器22中查询相应模块的声誉数据。当此数据存在于高速缓冲存储器22中时,执行前进到下文描述的步骤362。当声誉数据未被高速缓冲存储时,在步骤354中,本地环境管理器88在环境特定声誉数据库24中查询声誉数据。当在数据库24中找到声誉数据时,执行前进到步骤362。当未在数据库24中找到声誉数据时,在步骤358中,服务器云管理器168可从中央声誉服务器14请求声誉数据。接着,在步骤360中,服务器云管理器168根据从服务器14接收到的响应确定中央声誉服务器14是否已接收到所请求数据。当云管理器168接收到声誉数据(诸如,相应模块的云声誉指示符78)时,本地声誉服务器114计算相应模块的模块声誉指示符80(见,例如图13中的步骤336到338的描述),且在步骤364中,服务器高速缓冲存储器管理器将指示符80保存在服务器声誉高速缓冲存储器22中。在步骤362中,本地声誉服务器114可将对声誉请求160的响应发送到请求客户端10。在一些实施例中,步骤362可进一步包括计算进程声誉指示符82(见,例如图13中的步骤344到346的描述)。
在步骤322(图12)的另一实例中,触发事件包括加载可执行模块(诸如,DLL)的目标进程。在一些实施例中,加载新模块可改变目标进程的声誉指示符82。例如,加载不受信任的模块会将进程的声誉从正/受信任降级到中性/未知或甚至降级到负/不受信任。重新计算指示符82可包括例如执行步骤328到340(图13)(其中所选择模块为新加载的可执行模块)以确定相应模块的模块声誉指示符80。接着,决策单元72可以类似于上文关于步骤344到346描述的方式的方式确定指示符82。例如,可根据决策表(见,例如表1)确定进程评估指示符83c,且可通过使用运算子(诸如,并集/或和交集/与)组合当前值83a与新加载模块的模块扫描参数值81a来更新进程扫描参数值83a。
在步骤322(图12)的另一实例中,触发事件包括加载可执行模块(诸如,DLL)的目标进程。在此类情形中,决策单元72可重新计算目标进程的进程声誉指示符82以反映目标进程的新模块组成。为重新计算指示符82,一些实施例可执行图13中说明的步骤序列。在一些实施例中,决策单元72可根据目标进程的当前进程评估指示符83c来决定是否重新计算进程声誉指示符82。例如,当目标进程当前被评估为负/不受信任时,决策单元可维持负/不受信任评估达目标进程的寿命而不重新计算指示符82。
图15展示由决策单元72在接收安全事件通知(图12中的步骤320)之后执行的示范性步骤序列。在一些实施例中,安全事件通知64(图7)包含可疑进程和/或可疑模块的指示符以及触发相应通知的安全事件的类型的指示符。例如,通知64可指示进程Y的模块X已将代码注入到进程Z中;在此实例中,X可为可疑模块,Y可为可疑进程,且代码注入可为触发安全事件。步骤372评估安全通知64(例如)以提取安全事件的类型及识别可疑进程和/或可疑模块。在步骤374中,决策单元72可确定步骤372中识别的安全事件是否证明指示反恶意软件引擎56进入特定运行模式(称为偏执狂模式)是正当的。当是正当的时,在步骤376中,决策单元72可将安全警告66(图6)传输到反恶意软件引擎56。
在一些实施例中,激活偏执狂模式可进一步包含将当前正在执行的所有进程的进程评估指示符83c暂时改变为负/不受信任达预定时间段(诸如,几分钟)(其将称为偏执狂模式时间跨度)。在偏执狂模式时间跨度已经结束时,所有进程的声誉指示符可恢复到安全警告66之前的值。在一些实施例中,偏执狂模式时间跨度是事件特定的;一些安全事件授权激活偏执狂模式达比其它安全事件更长的时间。当超过一个安全事件在几乎相同的时间出现时,一些实施例将偏执狂模式时间跨度设置在至少与所有个别安全事件的最长偏执狂模式时间跨度一样长的值。当若干安全事件依序出现时,偏执狂模式时间跨度可为累积的,或可经确定以与序列中的最后事件的偏执狂模式时间跨度同步截止。下文给出关于偏执狂模式的更多细节。
当未证明开始偏执狂模式是正当的时,在步骤378中,决策单元72可根据在步骤372中识别的安全事件的类型更新可疑模块的模块评估指示符81c。更新模块评估指示符可(例如)基于安全事件的严重性将可疑模块从受信任降级到中性或不受信任。在步骤380中,决策单元72可指示高速缓冲存储器管理器70将可疑模块的更新声誉数据保存在高速缓冲存储器222中。步骤380可进一步包括将声誉反馈传输到数据库更新系统18,从而指示系统18将更新包含在中央声誉数据库16中(细节见下文)。
接着,决策单元72可识别当前使用可疑模块的例子的一组进程。识别此类进程可根据由活动监视器74管理和提供的信息继续。接着,决策单元可针对相应集合中的每个进程循环执行步骤序列384到390以更新此类进程的声誉指示符82。此更新可在客户端系统10中各处有效传播关于可疑模块的新安全数据。步骤384从当前将可疑模块的例子加载到其存储器空间中的一组进程选择某一进程。步骤386可使用(例如)上文关于图13描述的步骤序列重新计算所选择进程的进程声誉指示符82。由于步骤386,一些进程的声誉可从正/受信任降级到中性/未知,或降级到负/不受信任;类似地,一些进程可从中性/未知降级到负/不受信任。步骤388可将所选择进程的经更新进程声誉指示符82传输到反恶意软件引擎56。在步骤390中,决策单元72检查是否还有进程未被更新,且当是时,返回到步骤384。
图16展示根据本发明的一些实施例的由反恶意软件引擎56实行的示范性步骤序列。引擎56可与声誉管理器58同时执行,且可与管理器58交换通知和/或声誉数据,如上文描述。在步骤序列394到396中,反恶意软件引擎56经配置以等待事件的出现,同时执行反恶意软件操作(诸如,检测和/或移除恶意软件)。恶意软件检测可包含监视当前在客户端系统10上执行的一组进程和/或可执行模块,以及例如拦截由相应进程和/或模块执行的某些动作并确定此类动作是否是恶意的或指示恶意软件的。在一些实施例中,引擎56的安全特征76a到76d可通过调整特征特定扫描参数而独立于彼此配置。通过调整此类扫描参数值,引擎56可经配置而以多个相异模式和/或操作协议中的每一者操作。在一些实施例中,此类跨度参数可针对每一进程和/或可执行模块独立设置,使得引擎56可使用潜在相异协议扫描/监视每一此进程或模块。进程特定扫描参数值的实例为如上文所示由声誉管理器58传输到引擎56的进程声誉指示符82的扫描参数值83a。
步骤396确定是否已出现事件,且当否时,将执行返回到步骤394。此类事件包括在客户端系统10内出现的安全事件以及从声誉管理器58接收安全警告64和进程声誉指示符82。当已出现事件时,在步骤398中,引擎56可确定事件是否包括接收安全警告,且当否时,引擎56可继续进行到步骤400。在一些实施例中,安全警告66指示引擎56进入或退出偏执狂模式。为进入偏执狂模式,在步骤404中,引擎56可将安全特征76a到76d的扫描参数重置到对应于严格的安全协议的值的预定集合,从而否决从声誉管理58接收的任何进程特定值。在一些实施例中,在偏执狂模式内激活的严格的安全协议包含激活可以其它方式休眠以保存计算资源的安全特征。此类特征可包含特定针对触发相应安全警告的线程的类型的检测例程和/或程序。偏执狂模式可尤其进一步包含激活检测探视程序的额外集合以及停用用于加速反恶意软件运行的优化集合。在一些实施例中,可激活偏执狂模式达在安全警告66中指示的有限时间段;偏执狂模式可在所指示时段之后自动结束,或可响应于接收明确指示引擎56退出偏执狂模式的安全警告66而关闭。在一些实施例中,退出偏执狂模式包括将扫描参数重置到在偏执狂模式激活之前记录的进程和/或模块特定值。
在步骤400中,反恶意软件引擎56可确定事件是否包括从声誉管理器58接收进程声誉指示符,且当否时,引擎56继续进行到步骤402。当接收到声誉指示符时,在步骤406中,反恶意软件引擎可将扫描参数值更新到由所接收声誉指示符指示的新值。
在步骤402中,引擎56确定事件是否为安全事件(例如,进程已将库注入到另一进程中),且当否时,引擎56返回到步骤394。当确实检测到安全事件时,步骤408识别触发相应安全事件的可疑模块和/或可疑进程,且在步骤410中,引擎56将指示可疑模块的标识和安全事件的类型的安全事件通知64传输到声誉管理器58。
图17展示根据本发明的一些实施例的声誉更新系统18(见,例如图1)的示范性配置。系统18可经配置以通过响应于从客户端系统10a到10e接收关于相应模块的声誉反馈90改变熟悉模块的当前声誉数据,和/或通过将针对在声誉反馈90中识别的不熟悉模块确定的声誉数据添加到中央声誉数据库16来使存储在中央数据库16中的声誉数据保持最新。在一些实施例中,熟悉模块表示数据库16已含有针对其的声誉数据的软件对象,而不熟悉模块表示当接收反馈90时针对其在数据库16中没有声誉数据可用的对象。可从客户端系统10a到10e和/或从发布新产品或产品更新的软件供应商接收关于不熟悉模块的信息。
在一些实施例中,声誉更新系统18包括反馈分析器92、连接到反馈分析器92的模块分析引擎94以及连接到分析器92和引擎94的数据库更新单元96。模块分析引擎94可经配置以评估不熟悉模块的声誉,且制定此类模块的云声誉指示符78。在一些实施例中,引擎94经配置以收集每一模块的动作和/或行为的记录,所述记录允许操作者和/或机器导出相应不熟悉模块的最佳扫描参数值。扫描参数值的此导出和/或优化可以此项技术中已知的任何方法实行。为收集记录,引擎94可采用时间检测组件,其可经配置以拦截运行时间事件,诸如子对象的启动或相应不熟悉模块的代码注入。在一些实施例中,模块分析引擎94可经进一步配置以确定相应不熟悉模块的云扫描参数值79a和/或高速缓冲存储器截止指示符79b。此类确定可完全自动、由引擎94的组件执行或可由人类操作者监督。
图18说明由更新系统18在从客户端系统10接收声誉反馈90之后执行的示范性步骤序列。在一些实施例中,声誉反馈90包含可执行模块的标识指示符(例如,散列识别符),从而将相应模块指示为反馈90的对象。当相应模块是熟悉的时,声誉反馈90可进一步包括相应模块的声誉的变化的指示符。在一些实施例中,声誉由模块评估指示符(见,例如图10-B中的项81c)描述,从而指示(例如)相应模块具有正、中性或负声誉。声誉的变化可由在客户端系统10中引起安全事件的相应模块触发(也见上文关于图16中的步骤402、408和410的论述)。例如,当模块执行指示恶意软件的动作时,其声誉可从正/受信任降级到中性/未知或甚至负/不受信任。在此类情形中,声誉反馈90可进一步包括指示由相应模块引起的安全事件(例如,代码注入)的类型的指示符。当声誉反馈90涉及不熟悉模块时,反馈90可包含代码段(例如,相应模块的所有可执行代码)和/或元数据(诸如,模块文件名、字节大小、时间戳)以及相应模块的路径等等。
在步骤序列412到414中,反馈分析器92确定由声誉反馈90指示的反馈的类型(例如,声誉更新),并确定反馈90涉及熟悉的可执行模块还是涉及不熟悉的可执行模块。当相应模块是熟悉的时,在步骤416中,系统18采用数据库更新单元96来更新当前保持在中央声誉数据库16中的关于相应模块的声誉数据,以反映由反馈90指示的声誉的变化。在一些实施例中,当相应模块的声誉从正/受信任降级到中性/未知或甚至降级到负/不受信任时,数据库更新单元96可从中央声誉数据库16删除相应模块的声誉记录。在此类实施例中,数据库16可仅有效存储当前评级为正/受信任的可执行模块的记录。
当反馈90指示不熟悉模块时,在步骤418中,声誉更新系统18将相应模块的数据发送到模块分析引擎94供分析。在步骤418中,引擎94可通过分析相应模块的代码段来确定相应模块是否可能是恶意的。引擎94可进一步确定不熟悉模块的一组特征,例如确定相应模块是否执行一组预定动作(例如,从网络下载文件、将文件写入到磁盘、注入代码等等)中的任何者。在一些实施例中,步骤418还可包含将不熟悉模块分类成多个类别或种类的可执行模块(例如,主要可执行程序、共享库等等)中的一者。
在步骤420中,模块分析引擎94可确定相应模块的云声誉指示符,其包含用于配置客户端反恶意软件引擎56的一组扫描参数值。接着,在步骤422中,声誉更新系统18可采用数据库更新单元来将针对不熟悉模块确定的云声誉指示符78保存到中央声誉数据库16。在一些实施例中,仅针对已从引擎94接收到正/受信任声誉评估的不熟悉模块执行步骤422。
上文描述的示范性系统和方法允许保护客户端系统(诸如,计算机系统)使其免受恶意软件(诸如,病毒、特洛伊木马和间谍软件)影响。在一些实施例中,声誉管理器与反恶意软件引擎同时执行。反恶意软件引擎执若干操作,诸如检测在相应客户端系统上执行的恶意软件和/或移除此恶意软件或使此恶意软件失能。对于在客户端系统上执行的每一进程,声誉管理器可将声誉指示符传输到反恶意软件引擎,所述声誉指示符指示相应进程不是恶意的信任级别。
在常规反恶意软件系统中,在不考虑其声誉的情况下扫描软件对象。相比之下,在本发明的一些实施例中,反恶意软件引擎可给予受信任对象优先处理。例如,与反恶意软件引擎将用来扫描未知对象的协议相比,反恶意软件引擎可使用在计算方面更廉价的协议来扫描受信任对象。在一个此实例中,可在扫描受信任对象时停用反恶意软件引擎的特征的子集。这种方式可通过减轻与扫描受信任对象相关联的计算负担来实质上提高反恶意软件性能。
在一些实施例中,反恶意软件引擎可经配置以通过调整一组扫描参数而以多个相异模式操作。以进程特定方式调整扫描参数值使得反恶意软件引擎能够使用进程特定方法或协议扫描每一进程。在一些实施例中,根据相应对象的声誉选择扫描参数值,因此反恶意软件方法或协议可根据扫描对象的声誉变化。
一些常规反恶意软件系统试图通过将一组优化应用到反恶意软件例程来减轻扫描的计算负担。此类优化可包含根据相应对象的一组特征确定目标对象是否属于特定的对象类别以及给予属于所述相应类别的对象优先处理。此类优化不可有效地从一种类型的恶意软件转变到另一类型的恶意软件,且会被专门设计成通过配合到相应类别中来规避检测的恶意软件代理利用。相比之下,在本发明的一些实施例中,根据指示相应对象不是恶意的信任级别的声誉而不根据相应对象的特征来给予对象给定优先处理。这种方式可容易地从一种类型或类别的恶意软件转变到另一类型或类别的恶意软件(包含新出现的威胁)。此外,由于声誉管理器独立于反恶意软件引擎而操作,所以反恶意软件引擎可经升级以并入新扫描方法和程序而不影响声誉管理器的操作。
在本发明的一些实施例中,可根据相应对象的一组建置块的声誉来确定目标软件对象的声誉。此类建置块的实例包含进程的主要可执行程序和由相应进程加载的共享库等等。每一建置块的声誉可为静态的;此声誉的指示符可存储在本地存储库(例如,本地高速缓冲存储器)和/或远程存储库(例如,中央声誉数据库)中且可针对相应建置块的每一个例子再利用。相比之下,目标对象本身的声誉可为可动态改变的,由声誉管理器响应于安全事件和/或目标对象的生命周期而重复计算。
建置块(诸如,共享库)的声誉可指示相应建置块不是恶意的信任级别。个别建置块的此类声誉可根据跨越远程连接到中央声誉服务器的多个客户端系统分布的此类建置块的多个相异例子的行为确定。在本发明的一些实施例中,可响应于涉及相应建置块的例子的安全事件更新建置块的所存储声誉数据。在一个此实例中,当共享库执行指示恶意软件的动作时,相应库的声誉可从受信任降级到未知或降级到不受信任。经更新的声誉指示符可保存在本地高速缓冲存储器中和/或传输到中央声誉数据库。此类配置允许任何声誉变化迅速传播到使用相应共享库的例子的其它本地进程,且进一步传播到连接到声誉服务器的其它客户端系统。
在一些实施例中,建置块的所存储声誉数据包含用于配置反恶意软件引擎以监视相应建置块和/或包括相应建置块的例子的进程的一组扫描参数值。指示(例如)使用什么探试程序来监视相应对象的行为的此类参数值可由人类操作者确定或由机器自动确定。最佳参数值可(例如)通过监视相应可执行模块在受控环境中的执行和确定所述模块的一组行为和/或静态特征来确定。此类参数值可经有效更新以处置新发现的恶意软件代理类型和变体。通过上文描述的服务器和/或高速缓冲存储器声誉查找机构,此类更新接着可传播到连接到声誉服务器的所有客户端系统。
所属领域的技术人员将清楚,可以许多方式更改以上实施例而不脱离本发明的范围。因此,本发明的范围应由所附权利要求书和其法律等效物确定。
Claims (35)
1.一种客户端系统,其包括经配置以执行目标进程的至少一个处理器,所述目标进程包括主要可执行模块的例子和共享库的例子,所述至少一个处理器经进一步配置以:
从服务器接收所述主要可执行模块的第一模块声誉指示符和所述共享库的第二模块声誉指示符,所述第一模块声誉指示符根据所述主要可执行模块的另一例子的行为而确定,且其中所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务;
响应于接收所述第一和第二模块声誉指示符,根据所述第一和第二模块声誉指示符确定所述目标进程的进程声誉指示符,所述进程声誉指示符指示所述目标进程是否可能是恶意的;以及
响应于确定所述目标进程的所述进程声誉指示符,根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由所述客户端系统执行以确定所述目标进程是否是恶意的。
2.根据权利要求1所述的客户端系统,其中配置所述反恶意软件扫描包括:
当所述进程声誉指示符指示所述目标进程不可能是恶意的时,采用宽松的安全协议来确定所述目标进程是否是恶意的;以及
否则,采用严格的安全协议来确定所述目标进程是否是恶意的,其中所述严格的安全协议比所述宽松的安全协议在计算方面更昂贵。
3.根据权利要求1所述的客户端系统,其中所述第一模块声誉指示符包括第一组扫描参数值,其中所述第二模块声誉指示符包括第二组扫描参数值,其中确定所述进程声誉指示符包括根据所述第一和第二组扫描参数值确定第三组扫描参数值,且其中根据所述进程声誉指示符配置所述反恶意软件扫描包括采用所述第三组扫描参数值来例示在所述客户端系统上执行的反恶意软件引擎的一组配置参数,所述反恶意软件引擎经配置以执行所述反恶意软件扫描。
4.根据权利要求3所述的客户端系统,其中根据所述第一和第二组扫描参数值的并集确定所述第三组扫描参数值。
5.根据权利要求3所述的客户端系统,其中根据所述第一和第二组扫描参数值的交集确定所述第三组扫描参数值。
6.根据权利要求1所述的客户端系统,其中所述第一组扫描参数值的所选择扫描参数值指示用于确定所述目标进程是否是恶意的所选择探试程序。
7.根据权利要求1所述的客户端系统,其中所述第一组扫描参数值的所选择扫描参数值指示所述第二客户端系统确定所述目标进程是否执行所选择动作。
8.根据权利要求1所述的客户端系统,其中所述主要可执行模块的所述另一例子在所述多个客户端系统的第二客户端系统上执行。
9.根据权利要求1所述的客户端系统,其中所述至少一个处理器经进一步配置以响应于配置所述反恶意软件扫描:
检测所述目标进程的动作,所述动作经配置以将第二可执行模块加载到所述目标进程中;
响应于检测所述动作,根据由所述服务器针对所述第二可执行模块的例子确定的第三模块声誉指示符更新所述目标进程的所述进程声誉指示符;以及
作为响应,根据所述经更新进程声誉指示符重新配置所述反恶意软件扫描。
10.根据权利要求1所述的客户端系统,其中确定所述进程声誉指示符包括:
识别由所述目标进程加载的所有可执行模块,所述所有可执行模块包含所述主要可执行模块的所述另一例子和所述共享库的所述例子;
根据由所述服务器针对所述所有可执行模块的每一模块的例子确定的模块声誉指示符确定所述每一模块是否可能是恶意的;以及
作为响应,当所述所有可执行模块的每一模块不可能是恶意的时,制定所述目标进程的所述进程声誉指示符以指示所述目标进程不可能是恶意的。
11.根据权利要求10所述的客户端系统,其中确定所述进程声誉指示符进一步包括响应于确定每一模块是否可能是恶意的,在所述所有可执行模块的至少一个模块可能是恶意的时,制定所述进程声誉指示符以指示所述目标进程可能是恶意的。
12.根据权利要求1所述的客户端系统,其中所述至少一个处理器经配置以响应于配置所述反恶意软件扫描:
确定所述目标进程是否执行指示恶意软件的动作;以及
当所述目标进程执行所述指示恶意软件的动作时,
识别所述目标进程的可疑模块,所述可疑模块执行所述指示恶意软件的动作;
更新所述可疑模块的模块声誉指示符以指示所述可疑模块可能是恶意的;
响应于更新所述可疑模块的所述模块声誉指示符,根据所述可疑模块的所述经更新模块声誉指示符更新所述目标进程的所述进程声誉指示符;以及
根据所述经更新进程声誉指示符重新配置所述反恶意软件扫描。
13.根据权利要求12所述的客户端系统,其中所述至少一个处理器经进一步配置以响应于更新所述可疑模块的所述模块声誉指示符将所述可疑模块的所述经更新模块声誉指示符传输到所述服务器。
14.根据权利要求12所述的客户端系统,其中所述至少一个处理器经进一步配置以响应于更新所述可疑模块的所述模块声誉指示符:
识别在所述客户端系统上执行的第二进程,所述第二进程包括所述可疑模块的例子;
响应于识别所述第二进程,根据所述可疑模块的所述经更新模块声誉指示符确定所述第二进程的第二进程声誉指示符;以及
作为响应,根据所述第二进程声誉指示符配置第二反恶意软件扫描,所述第二反恶意软件扫描由所述客户端系统执行以确定所述第二进程是否是恶意的。
15.根据权利要求1所述的客户端系统,其中所述至少一个处理器经进一步配置以响应于配置所述反恶意软件扫描:
确定所述目标进程是否执行指示恶意软件的动作;以及
当所述目标进程执行所述指示恶意软件的动作时,
采用严格的安全协议来确定在所述客户端系统上执行的第二进程是否是恶意的,在不考虑所述第二进程是否可能是恶意的情况下制定所述严格的安全协议。
16.根据权利要求1所述的客户端系统,其中所述至少一个处理器经进一步配置以响应于配置所述反恶意软件扫描:
确定所述目标进程是否执行指示恶意软件的动作;以及
当所述目标进程执行所述指示恶意软件的动作时,
识别在所述客户端系统上执行的第二进程;
响应于识别所述第二进程,更新针对所述第二进程确定的第二进程声誉指示符以指示所述第二进程可能是恶意的;以及
作为响应,根据所述经更新第二进程声誉指示符配置第二反恶意软件扫描,所述第二反恶意软件扫描由所述客户端系统执行以确定所述第二进程是否是恶意的。
17.一种服务器,其包括至少一个处理器,所述至少一个处理器经配置以:
确定主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符,所述第一模块声誉指示符根据所述主要可执行模块的例子的行为而确定;以及
响应于确定所述第一和第二模块声誉指示符,将所述第一和第二模块声誉指示符传输到经配置以与所述服务器一起执行反恶意软件事务的多个客户端系统的客户端系统,所述客户端系统经配置以执行目标进程,所述目标进程包括所述主要可执行模块的另一例子和所述共享库的例子,所述客户端系统经进一步配置以:
根据所述第一和第二模块声誉指示符确定所述目标进程的进程声誉指示符,所述进程声誉指示符指示所述目标进程是否可能是恶意的;以及
响应于确定所述进程声誉指示符,根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由所述客户端系统执行以确定所述目标进程是否是恶意的。
18.根据权利要求17所述的服务器,其中配置所述反恶意软件扫描包括:
当所述进程声誉指示符指示所述目标进程不可能是恶意的时,采用宽松的安全协议来确定所述目标进程是否是恶意的;以及
否则,采用严格的安全协议来确定所述目标进程是否是恶意的,其中所述严格的安全协议比所述宽松的安全协议在计算方面更昂贵。
19.根据权利要求17所述的服务器,其中所述第一模块声誉指示符包括第一组扫描参数值,其中所述第二模块声誉指示符包括第二组扫描参数值,其中确定所述进程声誉指示符包括根据所述第一和第二组扫描参数值确定第三组扫描参数值,且其中根据所述进程声誉指示符配置所述反恶意软件扫描包括采用所述第三组扫描参数值来例示在所述客户端系统上执行的反恶意软件引擎的一组配置参数,所述反恶意软件引擎经配置以执行所述反恶意软件扫描。
20.根据权利要求19所述的服务器,其中根据所述第一和第二组扫描参数值的并集确定所述第三组扫描参数值。
21.根据权利要求19所述的服务器,其中根据所述第一和第二组扫描参数值的交集确定所述第三组扫描参数值。
22.根据权利要求17所述的服务器,其中所述第一组扫描参数值的所选择扫描参数值指示用于确定所述目标进程是否是恶意的所选择探试程序。
23.根据权利要求17所述的服务器,其中所述第一组扫描参数值的所选择扫描参数值指示所述客户端系统确定所述目标进程是否执行所选择动作。
24.根据权利要求17所述的服务器,其中所述主要可执行模块的所述另一例子在所述多个客户端系统的第二客户端系统上执行。
25.根据权利要求17所述的服务器,其中所述客户端系统经进一步配置以响应于配置所述反恶意软件扫描:
检测所述目标进程的动作,所述动作经配置以将第二可执行模块加载到所述目标进程中;
响应于检测所述动作,根据由所述服务器针对所述第二可执行模块的例子确定的第三模块声誉指示符更新所述目标进程的所述进程声誉指示符;以及
作为响应,根据所述经更新进程声誉指示符重新配置所述反恶意软件扫描。
26.根据权利要求17所述的服务器,其中确定所述进程声誉指示符包括:
识别由所述目标进程加载的所有可执行模块,所述所有可执行模块包含主要可执行模块的所述另一例子和所述共享库的所述例子;
根据由所述服务器针对所述所有可执行模块的每一模块的例子确定的模块声誉指示符确定所述每一模块是否可能是恶意的;以及
作为响应,当所述所有可执行模块的每一模块不可能是恶意的时,制定所述目标进程的所述进程声誉指示符以指示所述目标进程不可能是恶意的。
27.根据权利要求26所述的服务器,其中确定所述进程声誉指示符进一步包括响应于确定每一模块是否可能是恶意的,在所述所有可执行模块的至少一个模块可能是恶意的时,制定所述进程声誉指示符以指示所述目标进程可能是恶意的。
28.根据权利要求17所述的服务器,其中所述客户端系统经进一步配置以响应于配置所述反恶意软件扫描:
确定所述目标进程是否执行指示恶意软件的动作;以及
当所述目标进程执行所述指示恶意软件的动作时,
识别所述目标进程的可疑模块,所述可疑模块执行所述指示恶意软件的动作;
更新所述可疑模块的模块声誉指示符以指示所述可疑模块可能是恶意的;
响应于更新所述可疑模块的所述模块声誉指示符,根据所述可疑模块的所述经更新模块声誉指示符更新所述目标进程的所述进程声誉指示符;以及
根据所述经更新进程声誉指示符重新配置所述反恶意软件扫描。
29.根据权利要求28所述的服务器,其中所述客户端系统经进一步配置以响应于更新所述可疑模块的所述模块声誉指示符将所述可疑模块的所述经更新模块声誉指示符传输到所述服务器。
30.根据权利要求28所述的服务器,其中所述客户端系统经进一步配置以响应于更新所述可疑模块的所述模块声誉指示符:
识别在所述客户端系统上执行的第二进程,所述第二进程包括所述可疑模块的例子;
响应于识别所述第二进程,根据所述可疑模块的所述经更新模块声誉指示符确定所述第二进程的第二进程声誉指示符;以及
作为响应,根据所述第二进程声誉指示符配置第二反恶意软件扫描,所述第二反恶意软件扫描由所述客户端系统执行以确定所述第二进程是否是恶意的。
31.根据权利要求17所述的服务器,其中所述客户端系统经进一步配置以响应于配置所述反恶意软件扫描:
确定所述目标进程是否执行指示恶意软件的动作;以及
当所述目标进程执行所述指示恶意软件的动作时,
采用严格的安全协议来确定在所述第二客户端系统上执行的第二进程是否是恶意的,在不考虑所述第二进程是否可能是恶意的情况下制定所述严格的安全协议。
32.根据权利要求17所述的服务器,其中所述客户端系统经进一步配置以响应于配置所述反恶意软件扫描:
确定所述目标进程是否执行指示恶意软件的动作;以及
当所述目标进程执行所述指示恶意软件的动作时,
识别在所述客户端系统上执行的第二进程;
响应于识别所述第二进程,更新针对所述第二进程确定的第二进程声誉指示符以指示所述第二进程可能是恶意的;以及
作为响应,根据所述经更新第二进程声誉指示符配置第二反恶意软件扫描,所述第二反恶意软件扫描由所述第二客户端系统执行以确定所述第二进程是否是恶意的。
33.一种存储指令的非暂时性计算机可读媒体,所述指令在被执行时配置执行目标进程的客户端系统的至少一个处理器以执行以下操作,所述目标进程包括主要可执行模块的例子和共享库的例子:
从服务器接收所述主要可执行模块的第一模块声誉指示符和所述共享库的第二模块声誉指示符,所述第一模块声誉指示符根据所述主要可执行模块的另一例子的行为而确定,其中所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务;
响应于接收所述第一和第二模块声誉指示符,根据所述第一和第二模块声誉指示符确定所述目标进程的进程声誉指示符,所述进程声誉指示符指示所述目标进程是否可能是恶意的;以及
响应于确定所述目标进程的所述进程声誉指示符,根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由所述客户端系统执行以确定所述目标进程是否是恶意的。
34.一种客户端系统,其包括经配置以执行目标进程的至少一个处理器,所述目标进程包括第一可执行模块的例子和第二可执行模块的例子,所述至少一个处理器经进一步配置以:
从服务器接收所述第一可执行模块的第一模块声誉指示符和所述第二可执行模块的第二模块声誉指示符,所述第一模块声誉指示符根据所述第一可执行模块的另一例子的行为而确定,且其中所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务;
响应于接收所述第一和第二模块声誉指示符,根据所述第一和第二模块声誉指示符确定所述目标进程的进程声誉指示符,所述进程声誉指示符指示所述目标进程是否可能是恶意的;以及
响应于确定所述目标进程的所述进程声誉指示符,根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由所述客户端系统执行以确定所述目标进程是否是恶意的。
35.一种服务器,其包括至少一个处理器,所述至少一个处理器经配置以与多个客户端系统一起执行反恶意软件事务,所述多个客户端系统包含经配置以执行目标进程的客户端系统,所述目标进程包括第一可执行模块的例子和第二可执行模块的例子,所述至少一个处理器经进一步配置以:
确定所述第一可执行模块的第一模块声誉指示符和所述第二可执行模块的第二模块声誉指示符,所述第一模块声誉指示符根据所述第一可执行模块的例子的行为而确定;以及
响应于确定所述第一和第二模块声誉指示符,将所述第一和第二模块声誉指示符传输到所述客户端系统,所述客户端系统经进一步配置以:
根据所述第一和第二模块声誉指示符确定所述目标进程的进程声誉指示符,所述进程声誉指示符指示所述目标进程是否可能是恶意的;以及
响应于确定所述进程声誉指示符,根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由所述客户端系统执行以确定所述目标进程是否是恶意的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/040,430 US9117077B2 (en) | 2013-09-27 | 2013-09-27 | Systems and methods for using a reputation indicator to facilitate malware scanning |
| US14/040,430 | 2013-09-27 | ||
| PCT/RO2014/000028 WO2015171007A1 (en) | 2013-09-27 | 2014-09-25 | Systems and methods for using a reputation indicator to facilitate malware scanning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105580022A true CN105580022A (zh) | 2016-05-11 |
| CN105580022B CN105580022B (zh) | 2019-06-21 |
Family
ID=52741557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480052984.6A Active CN105580022B (zh) | 2013-09-27 | 2014-09-25 | 使用声誉指示符来促进恶意软件扫描的系统和方法 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US9117077B2 (zh) |
| EP (1) | EP3049984B1 (zh) |
| JP (1) | JP6317434B2 (zh) |
| KR (1) | KR101928908B1 (zh) |
| CN (1) | CN105580022B (zh) |
| AU (1) | AU2014393471B2 (zh) |
| CA (1) | CA2915806C (zh) |
| ES (1) | ES2869400T3 (zh) |
| HK (1) | HK1219790A1 (zh) |
| IL (1) | IL243431B (zh) |
| RU (1) | RU2646352C2 (zh) |
| SG (1) | SG11201600064PA (zh) |
| WO (1) | WO2015171007A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109891422A (zh) * | 2016-10-27 | 2019-06-14 | 比特梵德知识产权管理有限公司 | 用于优化计算机安全操作的动态信誉指示符 |
| US11297039B1 (en) * | 2021-08-09 | 2022-04-05 | Oversec, Uab | Providing a notification system in a virtual private network |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8935792B1 (en) * | 2010-10-05 | 2015-01-13 | Mcafee, Inc. | System, method, and computer program product for conditionally performing an action based on an attribute |
| US10515214B1 (en) * | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
| US9262635B2 (en) * | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US10735550B2 (en) * | 2014-04-30 | 2020-08-04 | Webroot Inc. | Smart caching based on reputation information |
| US9386031B2 (en) * | 2014-09-12 | 2016-07-05 | AO Kaspersky Lab | System and method for detection of targeted attacks |
| FR3027130B1 (fr) * | 2014-10-14 | 2016-12-30 | Airbus Operations Sas | Integration automatique de donnees relatives a une operation de maintenance |
| US10083295B2 (en) * | 2014-12-23 | 2018-09-25 | Mcafee, Llc | System and method to combine multiple reputations |
| US10834109B2 (en) * | 2014-12-23 | 2020-11-10 | Mcafee, Llc | Determining a reputation for a process |
| US9948649B1 (en) * | 2014-12-30 | 2018-04-17 | Juniper Networks, Inc. | Internet address filtering based on a local database |
| DE102015215362A1 (de) * | 2015-08-12 | 2017-02-16 | Robert Bosch Gmbh | Verfahren zum Einstellen mindestens eines Parameters einer Handwerkzeugmaschine |
| GB2546984B (en) * | 2016-02-02 | 2020-09-23 | F Secure Corp | Preventing clean files being used by malware |
| US10713360B2 (en) * | 2016-02-19 | 2020-07-14 | Secureworks Corp. | System and method for detecting and monitoring network communication |
| TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
| US10282546B1 (en) * | 2016-06-21 | 2019-05-07 | Symatec Corporation | Systems and methods for detecting malware based on event dependencies |
| US10073968B1 (en) * | 2016-06-24 | 2018-09-11 | Symantec Corporation | Systems and methods for classifying files |
| KR20180024524A (ko) * | 2016-08-30 | 2018-03-08 | 주식회사 윈스 | 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법 |
| US11074494B2 (en) * | 2016-09-09 | 2021-07-27 | Cylance Inc. | Machine learning model for analysis of instruction sequences |
| US10922604B2 (en) * | 2016-09-09 | 2021-02-16 | Cylance Inc. | Training a machine learning model for analysis of instruction sequences |
| US10476900B2 (en) | 2016-09-30 | 2019-11-12 | McAFEE, LLC. | Safe sharing of sensitive data |
| US10223536B2 (en) * | 2016-12-29 | 2019-03-05 | Paypal, Inc. | Device monitoring policy |
| CN108804914B (zh) * | 2017-05-03 | 2021-07-16 | 腾讯科技(深圳)有限公司 | 一种异常数据检测的方法及装置 |
| US10873589B2 (en) | 2017-08-08 | 2020-12-22 | Sonicwall Inc. | Real-time prevention of malicious content via dynamic analysis |
| US10929539B2 (en) * | 2017-08-11 | 2021-02-23 | Nec Corporation | Automated software safeness categorization with installation lineage and hybrid information sources |
| CN107682315B (zh) * | 2017-09-05 | 2020-11-06 | 杭州迪普科技股份有限公司 | 一种sql注入攻击检测模式设置方法及装置 |
| US11151252B2 (en) | 2017-10-13 | 2021-10-19 | Sonicwall Inc. | Just in time memory analysis for malware detection |
| US11086985B2 (en) * | 2017-12-04 | 2021-08-10 | Microsoft Technology Licensing, Llc | Binary authorization based on both file and package attributes |
| US10685110B2 (en) | 2017-12-29 | 2020-06-16 | Sonicwall Inc. | Detection of exploitative program code |
| US10902122B2 (en) * | 2018-01-31 | 2021-01-26 | Sonicwall Inc. | Just in time memory analysis for malware detection |
| US11232201B2 (en) | 2018-05-14 | 2022-01-25 | Sonicwall Inc. | Cloud based just in time memory analysis for malware detection |
| US11374977B2 (en) * | 2018-09-20 | 2022-06-28 | Forcepoint Llc | Endpoint risk-based network protection |
| US11636198B1 (en) * | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
| US11481482B2 (en) * | 2019-09-09 | 2022-10-25 | Mcafee, Llc | Securing an application framework from shared library sideload vulnerabilities |
| US11675901B2 (en) * | 2020-12-22 | 2023-06-13 | Mcafee, Llc | Malware detection from operating system event tracing |
| KR102560431B1 (ko) * | 2022-09-21 | 2023-07-27 | 시큐레터 주식회사 | 자식 프로세스의 악성 행위를 검사하기 위한 방법 및 이를 위한 장치 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040083381A1 (en) * | 2002-10-24 | 2004-04-29 | Sobel William E. | Antivirus scanning in a hard-linked environment |
| US7392544B1 (en) * | 2007-12-18 | 2008-06-24 | Kaspersky Lab, Zao | Method and system for anti-malware scanning with variable scan settings |
| US20080235801A1 (en) * | 2007-03-20 | 2008-09-25 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
| US20110185429A1 (en) * | 2010-01-27 | 2011-07-28 | Mcafee, Inc. | Method and system for proactive detection of malicious shared libraries via a remote reputation system |
| US8001606B1 (en) * | 2009-06-30 | 2011-08-16 | Symantec Corporation | Malware detection using a white list |
| US8225406B1 (en) * | 2009-03-31 | 2012-07-17 | Symantec Corporation | Systems and methods for using reputation data to detect shared-object-based security threats |
| US20120192275A1 (en) * | 2011-01-20 | 2012-07-26 | Microsoft Corporation | Reputation checking of executable programs |
| US8495705B1 (en) * | 2010-04-20 | 2013-07-23 | Symantec Corporation | Systems and methods for reputation-based application of data-loss prevention policies |
| US20130254880A1 (en) * | 2012-03-21 | 2013-09-26 | Mcafee, Inc. | System and method for crowdsourcing of mobile application reputations |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6931540B1 (en) | 2000-05-31 | 2005-08-16 | Networks Associates Technology, Inc. | System, method and computer program product for selecting virus detection actions based on a process by which files are being accessed |
| US7991902B2 (en) * | 2006-12-08 | 2011-08-02 | Microsoft Corporation | Reputation-based authorization decisions |
| US9147071B2 (en) | 2010-07-20 | 2015-09-29 | Mcafee, Inc. | System and method for proactive detection of malware device drivers via kernel forensic behavioral monitoring and a back-end reputation system |
| JP5961638B2 (ja) | 2011-02-17 | 2016-08-02 | ターセーラ, インコーポレイテッド | アプリケーション証明のためのシステムおよび方法 |
| US9262624B2 (en) | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
| RU2011138462A (ru) * | 2011-09-20 | 2013-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Использование решений пользователей для обнаружения неизвестных компьютерных угроз |
-
2013
- 2013-09-27 US US14/040,430 patent/US9117077B2/en active Active
-
2014
- 2014-09-25 CN CN201480052984.6A patent/CN105580022B/zh active Active
- 2014-09-25 AU AU2014393471A patent/AU2014393471B2/en active Active
- 2014-09-25 KR KR1020167008072A patent/KR101928908B1/ko active IP Right Grant
- 2014-09-25 WO PCT/RO2014/000028 patent/WO2015171007A1/en active Application Filing
- 2014-09-25 JP JP2016517435A patent/JP6317434B2/ja active Active
- 2014-09-25 ES ES14882803T patent/ES2869400T3/es active Active
- 2014-09-25 SG SG11201600064PA patent/SG11201600064PA/en unknown
- 2014-09-25 EP EP14882803.1A patent/EP3049984B1/en active Active
- 2014-09-25 CA CA2915806A patent/CA2915806C/en active Active
- 2014-09-25 RU RU2016115859A patent/RU2646352C2/ru active
-
2015
- 2015-12-31 IL IL243431A patent/IL243431B/en active IP Right Grant
-
2016
- 2016-07-01 HK HK16107677.7A patent/HK1219790A1/zh unknown
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040083381A1 (en) * | 2002-10-24 | 2004-04-29 | Sobel William E. | Antivirus scanning in a hard-linked environment |
| US20080235801A1 (en) * | 2007-03-20 | 2008-09-25 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
| US7392544B1 (en) * | 2007-12-18 | 2008-06-24 | Kaspersky Lab, Zao | Method and system for anti-malware scanning with variable scan settings |
| US8225406B1 (en) * | 2009-03-31 | 2012-07-17 | Symantec Corporation | Systems and methods for using reputation data to detect shared-object-based security threats |
| US8001606B1 (en) * | 2009-06-30 | 2011-08-16 | Symantec Corporation | Malware detection using a white list |
| US20110185429A1 (en) * | 2010-01-27 | 2011-07-28 | Mcafee, Inc. | Method and system for proactive detection of malicious shared libraries via a remote reputation system |
| US8495705B1 (en) * | 2010-04-20 | 2013-07-23 | Symantec Corporation | Systems and methods for reputation-based application of data-loss prevention policies |
| US20120192275A1 (en) * | 2011-01-20 | 2012-07-26 | Microsoft Corporation | Reputation checking of executable programs |
| US20130254880A1 (en) * | 2012-03-21 | 2013-09-26 | Mcafee, Inc. | System and method for crowdsourcing of mobile application reputations |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109891422A (zh) * | 2016-10-27 | 2019-06-14 | 比特梵德知识产权管理有限公司 | 用于优化计算机安全操作的动态信誉指示符 |
| CN109891422B (zh) * | 2016-10-27 | 2023-03-10 | 比特梵德知识产权管理有限公司 | 用于优化计算机安全操作的动态信誉指示符 |
| US11297039B1 (en) * | 2021-08-09 | 2022-04-05 | Oversec, Uab | Providing a notification system in a virtual private network |
Also Published As
| Publication number | Publication date |
|---|---|
| IL243431B (en) | 2018-11-29 |
| ES2869400T3 (es) | 2021-10-25 |
| WO2015171007A1 (en) | 2015-11-12 |
| US9117077B2 (en) | 2015-08-25 |
| AU2014393471A1 (en) | 2016-02-04 |
| RU2646352C2 (ru) | 2018-03-02 |
| EP3049984B1 (en) | 2021-03-10 |
| AU2014393471B2 (en) | 2019-06-27 |
| JP6317434B2 (ja) | 2018-04-25 |
| CA2915806C (en) | 2020-08-18 |
| KR20160055826A (ko) | 2016-05-18 |
| RU2016115859A (ru) | 2017-10-30 |
| JP2016538614A (ja) | 2016-12-08 |
| CN105580022B (zh) | 2019-06-21 |
| HK1219790A1 (zh) | 2017-04-13 |
| US20150096018A1 (en) | 2015-04-02 |
| EP3049984A1 (en) | 2016-08-03 |
| KR101928908B1 (ko) | 2018-12-13 |
| CA2915806A1 (en) | 2015-11-12 |
| SG11201600064PA (en) | 2016-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105580022A (zh) | 使用声誉指示符来促进恶意软件扫描的系统和方法 | |
| US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| US10530789B2 (en) | Alerting and tagging using a malware analysis platform for threat intelligence made actionable | |
| US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
| CN108369625B (zh) | 用于保护多个网络端点的双重存储器内省 | |
| US9794270B2 (en) | Data security and integrity by remote attestation | |
| US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
| US20170251002A1 (en) | Malware analysis platform for threat intelligence made actionable | |
| JP2018032418A (ja) | マルウェアに対処するための方法及び装置 | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| US10237293B2 (en) | Dynamic reputation indicator for optimizing computer security operations | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| Hassan et al. | Extraction of malware iocs and ttps mapping with coas |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1219790 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |