本发明专利技术提供了一种用于检测先前未知的恶意软件的系统、方法和计算机程序产品,所述方法包括:(a)从远程计算机接收事件信息和文件元数据;(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在;(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在,则过滤所述事件信息和所述文件元数据;(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在;以及(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括文件的“父类-子类”分级结构,并且其中,对父类评定的风险是基于与子类相关联的风险。
【技术实现步骤摘要】
本专利技术涉及反恶意软件技术,且更具体地,涉及基于实时自动事件检测未知恶意 软件威胁以及分析对象的行为模式。
技术介绍
恶意程序的持续繁殖对世界范围内的计算机产生了相当大的损害。给独立个人计 算机和企业网络提供保护的现有方法主要集中于处理已经知道的计算机威胁。一般而言,自20世纪80年代末以来存在的反病毒程序以下述两种方式检测病毒 和相关的敌意软件(1)针对匹配那些已知病毒(“病毒签名(signature)”)的二进制代 码串扫描文件;和(2)针对已知的像病毒一样的代码扫描文件(“启发式扫描”)。其它技 术包含阻止类病毒的行为(“行为阻止”)或针对某些修改校验文件(“完整性校验”)。第6,016,546号美国专利披露了一种检测该数据串中存在任何第一组已知数据 特性(trait)的概率的方法,其使用第二组一般特征和第三组签名,并且其中一般特征和 签名是第一组数据特性的典型特征。第6,338,141号美国专利披露了一种可以实时地在独立的计算机系统上或者在 联网的机器上执行的方法。该方法使用有关数据的集合来检测计算机文件中的计算机病 毒。该有关数据的集合包括由病毒生成的各种有关特征对象。使正在针对病毒而被校验 的计算机文件经历生成有关特征对象的过程。在作为文件扫描的结果而生成了特征对象之 后,将它们与有关数据的集合相检查,并且依据结果,可认为该文件是被感染的并阻止其在 系统上运行。然而,该处理病毒的方法只可以在恶意对象已经进入计算机系统或网络上的一个 节点之后识别恶意对象,并且其对带有新的未知特征的未知威胁或者对表现出未知行为模 式的计算机病毒是无效的。据此,在本领域内需要一种系统和方法,用于在未知病毒进入所保护的计算机系 统或计算机网络之前检测未知计算机威胁的更为有效而主动的途径。
技术实现思路
本专利技术旨在提供一种基于各种标准进行风险分析和风险评估的检测未知恶意软 件的方法和系统,其基本上避免了一个或多个现有技术的缺点。本专利技术的一个方面提供一种用于检测先前未知的恶意软件的系统、方法和计算机 程序产品,所述方法包括(a)从远程计算机接收事件信息和文件元数据;(b)识别所述事 件信息或所述文件元数据是表示已知恶意软件、还是表示未知恶意软件、亦或是表示恶意4软件不存在;(C)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软 件不存在,则过滤所述事件信息和所述文件元数据;(d)对剩余事件信息和剩余文件元数 据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的 恶意软件存在;以及(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括基 于文件的调用的“父类-子类”分级结构的构造,并且其中,对父类评估的风险是基于与子 类相关联的风险。文件元数据可以是文件名、文件扩展名、文件大小、文件链接状态、不论文件是否 被数字签名、是否为下载的实体程序、是否被打包、文件源、文件调用频率、文件路径、从其 接收文件的URL和访问文件的端口中的任一项。被分析的事件信息可以包括有关对象的行为模式的信息或、与事件相关联的统计 数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性以及与事件的类型有 关的信息,所述事件的类型例如文件下载、文件投放和文件链接等等。所述系统能够实时地自动检测先前未知的恶意软件,或者可以与分析人员合作针 对这类恶意软件的存在进行多级分析。所述系统维护已知或者被认为是安全的对象的所谓的白名单、以及已知或者被确 定为恶意的对象的所谓的黑名单。一旦文件被添加到黑名单中,安装在用户计算机上的反病毒软件就开始将对象检 测为恶意的,并防御用户计算机不受该恶意对象侵害。该反病毒软件也阻止用户访问被放 入黑名单的域和URL。对于域,该系统还计算所谓的“声望(r印utation) ”参数,该参数示 出了访问给定互联网资源的危险程度。本专利技术的附加功能和优点将在如下的说明中阐述,还有部分通过描述是显而易见 的,或由本专利技术的实践可以得知。通过在书面的描述、权利要求书和附图中特别指出的结 构,将实现并获得本专利技术的优点可以理解的是,无论是上述的总体描述还是如下的详细描述都是示例性和解释性 的,并且旨在提供对所述的本专利技术进一步的解释。附图说明附图提供对本专利技术进一步的理解,并且并入此说明书中构成其中的一部分,这些 附图示出了本专利技术的实施例并与描述一起用于解释本专利技术的原理。附图中图1示出了本专利技术一个实施例的未知威胁检测的流程图。图2示出了用于识别一类未知威胁而生成的示例性DS(下载启动器图)图。图3示出了根据本专利技术一个实施例的作为各种标准的评估结果而生成的示例性 权重系数树。图4示出了根据本专利技术一个实施例的聚合权重计算的图示。图5示出了根据本专利技术一个实施例的新标准的生成。图6示出了本专利技术一个实施例的各种组件之间的数据流。图7示出了在其上可以实施反恶意软件专利技术的示例性计算机系统的示意图。具体实施例方式现在,将根据本专利技术的优选实施例进行详细描述,其示例图示于附图中。本专利技术旨在作为一种用于检测下列种类的先前未知的恶意软件的方法和系统 恶意程序 潜在不受欢迎的程序 恶意网站 流氓网站 经由电子邮件、IM、公共网络等发送的包含恶意对象或其链接的讯息 诸如基于互联网的攻击、不想要的标题(banner)、不想要的内容(与色情、赌 博、吸毒和酗酒有关的广告)等其余类型的计算机威胁。该系统远程追踪在用户计算机上正在执行的各种应用程序所调用的文件,以针对 恶意软件存在测试可执行文件,从而基本消除了相关现有技术的一个或多个缺点。在本专利技术一个实施例中,提出了一种用于检测未知威胁的系统和方法。示例性系 统可以包括由卡巴斯基实验室提供并维护的卡巴斯基安全网络(KSN)的一部分以及大量 用户,所述用户在日常正常使用他们各自的计算机的过程中连接至KSN。在连接至KSN之前,每个用户都在其计算机上安装了由卡巴斯基实验室提供在示 例性实施例中的反病毒程序。该反病毒产品在后台运行,并且将会潜在伤害用户计算机系 统的任何活动报告给KSN。该活动可以是用户第一次访问或下载特定文件或在用户计算机 上调用的可执行文件、或者用户连接至不熟悉的互联网资源,例如,会散播恶意文件的网站寸。由KSN收集的信息包括事件信息和对象信息。事件信息描述发生在远程用户的计 算机上的特定类型的事件,例如,对象下载、对象投放(dropping)、文件链接、文件调用的情 况。事件信息也可以包括与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地 址稳定性、与事件相关联的对象的活动和对象的某些行为模式。由KSN收集的对象信息包 括描述特定文件的文件元数据,例如,文件名、文件扩展名、文件大小、文件链接状态、文件 是否被数字签名、文件是否为可执行文件、下载的实体程序(utility)或文件是否被打包、 文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口。关于所收集的 信息,KSN维护已知为善意的或“干净的”或者被认为不可能为恶意的事件和对象的知识库 (白名单、或WL)。KSN还维护已知为恶意的或者被认为可能为恶意的事件和对象的知识库 (黑名单、或BL)。该系统也能够保护用户免于通过即时通讯(IM)发布给用户的恶意URL的链接。基 于存储在本文档来自技高网...
【技术保护点】
一种由计算机实施的用于检测先前未知的恶意软件的方法,所述方法包括:(a)从远程计算机接收事件信息和文件元数据;(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在;(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在,则过滤所述事件信息和所述文件元数据;(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在;以及(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括基于文件的调用次序的“父类-子类”分级结构的构造,并且其中,对父类评定的风险是基于与子类相关联的风险。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:尤里V马斯艾维斯基,尤里V纳梅斯尼科夫,尼古拉V丹尼斯切卡,帕维尔A泽伦斯基,
申请(专利权)人:卡巴斯基实验室封闭式股份公司,
类型:发明
国别省市:RU[俄罗斯]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。