所描述的系统和方法允许保护计算机系统使其免受诸如病毒、特洛伊木马和间谍软件等恶意软件影响。声誉管理器结合反恶意软件引擎而执行。所述声誉管理器根据由目标进程加载的一组可执行模块(诸如,共享库)的声誉来确定在所述计算机系统上执行的所述目标进程的声誉。所述反恶意软件引擎可经配置以采用进程特定协议来针对恶意软件扫描所述目标进程,所述协议根据进程声誉来选择。被信任为非恶意的进程可因此使用比未知或不受信任进程更宽松的协议来扫描。可执行模块的所述声誉可为静态的;模块声誉指示符可由远程声誉服务器存储和/或检索。进程声誉可为可动态改变的,即,由所述声誉管理器响应于进程生命周期和/或安全事件重复重新计算。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】
技术介绍
本专利技术涉及用于保护计算机系统免受恶意软件影响的系统和方法。 恶意软件(malicious software,也称为malware)在世界范围内影响大量计算机 系统。恶意软件以其许多形式(诸如,计算机病毒、蠕虫、隐匿程序以及间谍软件)给数百万 计算机用户带来严重的风险,从而使所述用户容易受到数据和敏感信息丢失、身份盗窃以 及生广力损失等等的影响。 安全软件可用于检测感染用户的计算机系统的恶意软件,并额外地移除此恶意软 件或停止此恶意软件的执行。在本领域中已知若干恶意软件检测技术。一些恶意软件检测 技术依赖于恶意软件代理的代码段与指示恶意软件的标记库的匹配。其它常规方法检测恶 意软件代理的一组指示恶意软件的行为。 安全软件可能给用户的计算机系统造成沉重的计算负担。恶意软件代理的增殖导 致恶意软件检测例程、标记数据库以及行为探试程序的复杂性持续增大,这会进一步减慢 反恶意软件运行。为降低计算成本,安全软件可并入有各种优化程序,但每一此程序通常处 置特定情形或类别的恶意软件,并且无法良好地转变到新发现的恶意软件。为跟上一组快速变化的威胁,强烈希望开发快速、稳健且可扩展的反恶意软件解 决方案。
技术实现思路
根据一个方面,一种客户端系统包括经配置以执行目标进程的至少一个处理器, 所述目标进程包括主要可执行模块的例子和共享库的例子,所述至少一个处理器经进一步 配置以从服务器接收主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指 示符,第一模块声誉指示符根据主要可执行模块的另一例子的行为而确定。服务器经配置 以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务。所述至少一个处理 器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第一和第二模块声誉指 示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意 的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程声誉指示符而根据所 述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目 标进程是否是恶意的。 根据另一方面,一种服务器包括至少一个处理器,所述至少一个处理器经配置以 确定主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符,所述第一模 块声誉指示符根据主要可执行模块的例子的行为而确定。所述至少一个处理器经进一步配 置以响应于确定第一和第二模块声誉指示符而将所述第一和第二模块声誉指示符传输到 经配置以与服务器一起执行反恶意软件事务的多个客户端系统的客户端系统。所述客户端 系统经配置以执行目标进程,所述目标进程包括第一共享库的另一例子和第二共享库的例 子。所述客户端系统经进一步配置以根据第一和第二模块声誉指示符确定目标进程的进程 声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所述客户端系统经进 一步配置以响应于确定进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描, 所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。 根据另一方面,一种非暂时性计算机可读媒体存储指令,所述指令在被执行时配 置执行目标进程的客户端系统的至少一个处理器(所述目标进程包括主要可执行模块的例 子和共享库的例子)以从服务器接收主要可执行模块的第一模块声誉指示符和共享库的第 二模块声誉指示符,第一模块声誉指示符根据主要可执行模块的另一例子的行为而确定。 所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务。 所述至少一个处理器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第一 和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进 程是否可能是恶意的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程声 誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户端 系统执行以确定目标进程是否是恶意的。 根据另一方面,一种客户端系统包括经配置以执行目标进程的至少一个处理器, 所述目标进程包括第一可执行模块的例子和第二可执行模块的例子。所述至少一个处理器 经进一步配置以从服务器接收第一可执行模块的第一模块声誉指示符和第二可执行模块 的第二模块声誉指示符,第一模块声誉指示符根据第一可执行模块的另一例子的行为而确 定。所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事 务。所述至少一个处理器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第 一和第二模块声誉指示符确定目标进程的进程声誉指示符,所述进程声誉指示符指示目标 进程是否可能是恶意的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程 声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由客户 端系统执行以确定目标进程是否是恶意的。 根据另一方面,一种服务器包括经配置以与多个客户端系统一起执行反恶意软件 事务的至少一个处理器,所述多个客户端系统包含客户端系统。所述客户端系统经配置以 执行目标进程,所述目标进程包括第一可执行模块的例子和第二可执行模块的例子。所述 至少一个处理器经进一步配置以确定第一可执行模块的第一模块声誉指示符和第二可执 行模块的第二模块声誉指示符,第一模块声誉指示符根据第一可执行模块的另一例子的行 为而确定;且响应于确定第一和第二模块声誉指示符将所述第一和第二模块声誉指示符传 输到客户端系统。所述客户端系统经进一步配置以根据所述第一和第二模块声誉指示符确 定目标进程的进程声誉指示符,所述进程声誉指示符指示目标进程是否可能是恶意的。所 述客户端系统经进一步配置以响应于确定进程声誉指示符而根据所述进程声誉指示符配 置反恶意软件扫描,所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意 的。【附图说明】 在阅读下文的详细描述之后且在参考附图之后,将更好地理解本专利技术的以上方面 及优点,其中: 图1展示根据本专利技术的一些实施例的包括多个客户端系统和声誉服务器的示范性 反恶意软件系统。 图2展示根据本专利技术的一些实施例的受保护而免受恶意软件影响的示范性隔离环 境(诸如,企业内部网)。 图3-A说明根据本专利技术的一些实施例的客户端系统的示范性硬件配置。 图3-B说明根据本专利技术的一些实施例的声誉服务器的示范性硬件配置。 图4展示根据本专利技术的一些实施例的包含保护客户端系统免受恶意软件影响的安 全应用程序的一组示范性软件对象。 图5展示根据本专利技术的一些实施例的在客户端系统上执行的一组示范性软件对 象。所述对象从处理器特权级别的角度表示。 图6展示根据本专利技术的一些实施例的包括声誉管理器和反恶意软件引擎的示范性 安全应用程序的图式。 图7展示根据本专利技术的一些实施例的图6的声誉管理器和反恶意软件引擎之间的 示范性数据交换。 图8展示根据本专利技术的一些实施例的从声誉高速缓冲存储器和声誉服务器接收数 据的示范性声誉管理器。 图9展示在客户端系统上执行的两个进程,每一进程包括多个可执行模块。图9进 一步展示根据本专利技术的一些实施例的针对每一进程确定的进程声誉指示符,以及针对每一 可执行模块确定的模块声誉指示符。图10-A说明根据本专利技术的一些实施例的示范性云声誉指示符。 图本文档来自技高网...
【技术保护点】
一种客户端系统,其包括经配置以执行目标进程的至少一个处理器,所述目标进程包括主要可执行模块的例子和共享库的例子,所述至少一个处理器经进一步配置以:从服务器接收所述主要可执行模块的第一模块声誉指示符和所述共享库的第二模块声誉指示符,所述第一模块声誉指示符根据所述主要可执行模块的另一例子的行为而确定,且其中所述服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务;响应于接收所述第一和第二模块声誉指示符,根据所述第一和第二模块声誉指示符确定所述目标进程的进程声誉指示符,所述进程声誉指示符指示所述目标进程是否可能是恶意的;以及响应于确定所述目标进程的所述进程声誉指示符,根据所述进程声誉指示符配置反恶意软件扫描,所述反恶意软件扫描由所述客户端系统执行以确定所述目标进程是否是恶意的。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:丹尼尔亚利山杜·米尔塞斯库,
申请(专利权)人:比特梵德知识产权管理有限公司,
类型:发明
国别省市:塞浦路斯;CY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。