CN103020522B - 用于校正反病毒记录以最小化恶意软件误检的***和方法 - Google Patents
用于校正反病毒记录以最小化恶意软件误检的***和方法 Download PDFInfo
- Publication number
- CN103020522B CN103020522B CN201210484935.2A CN201210484935A CN103020522B CN 103020522 B CN103020522 B CN 103020522B CN 201210484935 A CN201210484935 A CN 201210484935A CN 103020522 B CN103020522 B CN 103020522B
- Authority
- CN
- China
- Prior art keywords
- record
- virus
- software object
- correction
- services device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Information Transfer Between Computers (AREA)
Abstract
公开为用于校正反病毒记录的***、方法和计算机程序产品。在示范性方法中,在对软件对象进行恶意软件分析期间,反病毒应用程序从反病毒数据库检索与所分析对象相关联的反病毒记录,其将对象识别为恶意的或者干净的。应用程序还检查在反病毒高速缓存中是否存在用于反病毒记录的校正,并使用该校正来分析软件对象。如果在高速缓存中没有发现校正,则应用程序利用反病毒服务器检查反病毒记录的正确性。反病毒服务器使用从部署在不同计算机上的反病毒应用程序所收集的有关软件对象的统计信息来证实反病毒记录的正确性。如果反病毒服务器提供对反病毒记录的校正,则应用程序使用所提供的校正来对软件对象进行恶意软件分析。
Description
相关申请的交叉引用
本申请依据美国法典35章的119(a)-(d),请求享有在2011年11月24日递交的第2011147542号俄罗斯申请的优先权,其以引用的方式合并到本文中。
技术领域
本公开总体上涉及计算机安全领域,并且具体地,涉及用于校正反病毒记录的***、方法和计算机程序产品。
背景技术
当前,对反病毒数据库保持及时更新是反病毒业界最紧迫的问题之一。事实上,甚至在恶意软件程序还没被主导的反病毒专家和公司检测出的很短时间内,该恶意软件就可能由不同用户下载几十万次,并且感染大量的计算机。反病毒数据库的及时更新允许充分而快速地执行对恶意软件的对抗。
但值得注意的是,包括恶意软件在内的软件数量正不断增加,在此过程中必须有检测类似应用的主动联系的方法。为了对抗未知恶意软件,现代的反病毒公司正采用启发式分析方法、利用虚拟化在受保护环境中(例如,沙盒、蜜罐)执行未知程序、以及基于对它们的活动的分析(例如,HIPS)来限制程序功能的各种手段。虽然如此,人们并不能完全依赖于所有上述所枚举的过程,这是因为在当前反病毒应用程序中上述过程具有与其操作和使用的特性相关联的一定的缺陷,其中在当前反病毒应用程序中用户有权由于这些技术需要占用大量的时间和资源而确立不提供这些技术的完全使用的设定,例如当启动未知程序时。在对未知程序的验证完成之前,用户可例如在沙盒形式的保护环境中禁止其执行,或者减少分配用于模拟的时间。
联系到主动技术可能存在低效率操作的风险,并鉴于恶意软件程序数量的不断增加,所谓的“白名单”越来越普及:干净的(clean)即已验证且可靠的对象的数据库。为文件、应用程序、链接、E-mail消息以及即时消息传送***中的用户账号记录、消息交换日志、IP地址、主机名称、域名等等构建干净对象的列表。编制类似的列表可能始于多种因素:存在电子签名或其他制造商数据、关于源的数据(从该处获得应用程序)、关于应用程序链接的数据(父-子关系)、针对应用程序版本的数据(例如,前一版本已经在经验证程序的列表中这一事实出发,可认为应用程序为经验证的)、针对环境变量的数据(例如,操作***、启动参数)等等。在每一次发布对用于反病毒数据库的签名的更新之前,必须对其进行冲突检查,例如利用文件的“白名单”。值得注意的是,在给定时间所研究的大多数未知可执行文件为所谓的PE(可移植可执行)文件并具有PE格式(对于Windows操作***家族而言,大多数恶意软件为按照该形式所写)。PE文件可表示为格式:文件头、一定数量的包括可执行程序格式的部分、以及叠加部分,该叠加部分为在执行期间可根据需要加载的程序段。目前,文件的各种唯一部分被用于试图创建文件签名。通常来说,源于代码部分的代码被用于这些目的。然而,情况常常是专家因为这样的片段存在于恶意软件中而将会错误地将程序库或者其他广泛使用的代码解释为恶意软件的一部分。在这种情况下,被错误地应用于这一广泛使用的片段的签名可能会被创建。这一签名将成功地检测出恶意软件应用,但它也会将所有包含这一代码片段但是干净的其他文件定义为恶意的。由于这个错误而导致误检(falsedetection)发生。
反病毒应用程序的操作不论如何都与某些反病毒记录相关联,例如,规则、模板、列表和签名,一般来说专家通常参与其创建。这些反病毒记录允许检测和移除恶意软件。但这一过程中也不排除人为因素,并且专家也可能会出差错,例如在创建将把某一信息在文件的“白名单”中的干净软件确定为恶意的签名之后。还必须注意到不仅只是专家会出差错。用于自动形成反病毒记录而存在的***,其试图检测出尽可能多的恶意软件,将不可避免会囊括一些干净的应用软件。
因此,为了最小化恶意软件误检,需要出现一种用于校正包含在反病毒数据库中的反病毒记录的方法。
发明内容
本发明经设计用于及时地校正反病毒记录以达到最小化误检的目的。技术结果包括,通过针对记录使用校正来使得误检最小化,其中所述记录定义对象为恶意的或干净的。
在一个示范性实施例中,一种方法涉及部署在个人计算机上的软件应用程序,其对软件对象进行恶意软件分析。该应用程序从反病毒数据库检索与所分析的对象相关联的反病毒记录,该记录识别所述对象为恶意的或干净的。然后反病毒应用程序在反病毒高速缓存中检查对检索到的反病毒记录的校正。如果在反病毒高速缓存中发现对该反病毒记录的校正,则应用程序基于该校正更新反病毒数据库中的反病毒记录,并使用更新的反病毒记录用于对软件对象进行存在恶意软件的分析。如果在反病毒高速缓存中没有发现对反病毒记录的校正,则应用程序利用反病毒服务器来检查反病毒记录的正确性。反病毒服务器使用从部署在不同计算机上的多个反病毒应用程序中收集到的有关软件对象的统计信息来证实相关联反病毒记录的正确性。如果反病毒服务器提供了对反病毒记录的校正,那么反病毒应用程序基于该校正来更新反病毒数据库中的反病毒记录,并使用更新的反病毒记录用于对软件对象进行存在恶意软件的分析。如果反病毒服务器没有提供对反病毒记录的校正,那么反病毒应用程序使用原始的反病毒记录来对软件对象进行恶意软件分析。
在利用反病毒服务器检查反病毒记录的正确性期间,反病毒应用程序为反病毒服务器提供关于软件对象的执行的信息。在一个示范性实施例中,为了证实反病毒记录的正确性,反病毒服务器将所提供的信息与从其他软件应用程序收集的关于软件对象的统计信息相比较。在另一个示范性实施例中,为了证实反病毒记录的正确性,反病毒服务器将所提供的信息与关于已知的干净对象的信息相比较。
在一个示范性实施例中,对反病毒记录的校正包括反病毒记录的状态的改变。反病毒记录的状态选自包括工作记录、测试记录和非活动记录的组中。在一个示范性实施例中,当反病毒软件服务器基于收集到的关于所述反病毒记录的统计信息而确定将记录校正规则应用于反病毒记录时,例如当反病毒服务器确定由所述反病毒记录将软件对象识别为恶意的数量超出由所述反病毒记录将所述软件对象识别为干净的数量预定阈值时,触发该反病毒记录的状态的改变。
上述示范性实施例的简要概括用于提供对本发明基本的理解。这一概括并非对本发明所有预期方面的广泛概述,并且既非意图确定所有实施例的关键或决定因素,也非意图划定任何或所有实施例的范围界。其唯一的目的在于作为本发明以下更为详细的描述的前序,以简化的形式预设一个或多个实施例。为实现前述事项,一个或多个实施例包括权利要求中所描述的并且具体指出的特征。
附图说明
并入本说明书并构成本说明书的一部分的附图示出本发明的一个或多个示范性实施例,并且,与详细说明结合用于解释实施例的原理和实现方案。
在附图中:
图1示出用于更新反病毒数据库的***的示意图;
图2示出反病毒验证的机制;
图3示出根据一个示范性实施例的,用于防御恶意软件的客户端-服务器***;
图4示出根据一个示范性实施例的,用于及时校正反病毒记录的***的示意图;
图5示出根据一个示范性实施例的,用于及时校正反病毒记录的***的操作方法;
图6示出根据一个示范性实施例的计算机***的示意图。
具体实施方式
本文围绕用于在恶意软件检测期间通过利用经校正的反病毒记录来及时更新反病毒数据库以最小化误报的***、方法和计算机程序产品来描述本发明的示范性实施例。本领域的普通技术人员应该理解以下描述仅是示例性的,而非意图以任何方式进行限定。受益于此公开内容,本领域技术人员容易想到其他实施例。现进行详细介绍以实现如附图所示的本发明的示范性实施例。贯穿附图及随后的描述都尽可能使用相同的附图标记来表示相同的或相似的项目。
图1显示了用于更新反病毒数据库的示范性***。通常,反病毒更新定向为:从更新服务器110通过因特网140至运行反病毒应用程序125的PC120。服务器110维护反病毒数据库130,所述反病毒数据库130由反病毒公司利用新的以及更新的反病毒记录来不断地增补。因此,反病毒公司不断地发布新的签名、启发法、家长控制的手段以及其他对象,可以在两种状态组中对其进行发布,包括这些反病毒记录已经验证且工作(working),以及在测试模式下对可在用户计算机上检查出来的反病毒记录加以测试。在一个示范性实施例中,反病毒数据库130包括经验证为工作和测试记录这两者。工作反病毒记录(例如,签名、启发法及其他)与测试记录不同,事实上,如果工作记录被激活,它会产生事件的用户通知。如果测试记录被激活,那么将不会通知用户。因此,在此以及在下文中术语“工作记录”将理解为具有“工作”状态的反病毒记录,而术语“测试记录”将理解为具有“测试”状态的反病毒记录。必须注意,***运行并不限于仅使用具有已指出状态的反病毒记录,也可具有其他状态。
在反病毒更新期间,将新的反病毒记录从反病毒数据库130经由因特网140传送至PC120。将包含更新模块150的反病毒应用程序125安装在PC120上,将记录从反病毒数据库130传送至所述更新模块150。反病毒应用程序125具有其自己的反病毒数据库160,工作记录以及测试记录均存储在其中。反病毒数据库160可由反病毒应用程序的分析模块之一所使用;其可以是签名验证模块、模拟器、启发式验证工具以及其他。来自反病毒数据库130的新的记录由更新模块150传送至反病毒数据库160中,所述新的记录与工作记录与测试记录二者有关。
在反病毒数据库160中所发现的每个记录均具有唯一识别符(ID)。每个反病毒记录均允许检测一个或若干个恶意对象,每个对象均具有自己的哈希和(hashsum)。必须注意,通常使用MD5算法计算哈希和,但也可使用其它哈希函数计算,例如MD4、SHA1、SHA2、SHA256等等。反病毒记录的唯一识别符与对象的哈希和之间的关系是“多对多”的关系。例如,具有唯一识别符的一个记录可以和若干个哈希和相关联。同时,一个哈希和可对应若干个记录。例如,如果具有唯一识别符的单独的记录首先被应用于特定哈希和,然后新的记录被创建以允许检测类似恶意程序的整个族,则可能发生这一情况。
应该注意,反病毒更新的过程可以小时为间隔发生。如果在反病毒数据库160进行反病毒更新之后得到一个签名,例如使用该签名将已知是干净的对象确定为恶意的,那么类似事件为误读并导致错误的通知。经过若干小时,误读可在大量的PC120上发生,并且将会向大量的用户通知干净对象的检测为恶意的,直到这样的错误被校正的下一个反病毒。因此,在反病毒数据库的基本更新之前允许及时的反病毒记录校正的机制是必要的,以达到最小化误读和错误通知的目的。
图2描绘了通过部署在PC120上的反病毒应用程序125进行反病毒验证的机制。反病毒数据库160包含工作反病毒记录210和测试记录220。每个反病毒记录均具有其自己的唯一的识别符。在特定对象200的反病毒验证期间,反病毒应用程序可使用来自于反病毒数据库160的具有唯一识别符的任意记录。来自于反病毒数据库160的每个记录均基于验证的结果提出裁决230。反病毒数据库160包含允许反病毒应用程序检测恶意对象200并随后实施一系列旨在无效该对象200的动作的记录。因此,当反病毒应用程序125使用来自于反病毒数据库160的记录来分析对象200时,针对该对象200的裁决将在激活的记录的基础上,可识别对象200为恶意对象230a。但针对对象200的这一记录和裁决有可能不准确,这是因为例如即使是在该对象实际为干净的情况下,反病毒应用程序125所使用的反病毒记录可能识别对象200为恶意的。因此需要一种工具用于验证由反病毒应用程序所使用的记录的有效性,并用于无效反病毒记录的及时校正。
图3描绘了根据一个示范性实施例的,保护PC以防御恶意软件的***。用于防御恶意软件的***包括反病毒应用程序310,该反病毒应用程序310包含大量分析模块320,其允许恶意软件的检测和例如移除。对于分析模块320的操作而言,反病毒应用程序310维护其自己的反病毒数据库160,其包含工作记录210和测试记录220二者。每个反病毒记录均有其自己的唯一识别符。在特定对象200的反病毒验证期间,来自分析模块系列320中的任意分析模块均可使用来自反病毒数据库160的记录。这些记录例如为签名、启发法、家长控制的手段以及其他。必须注意,并非所有来自分析模块系列320的分析模块都使用相同的记录。取决于对象200的类型使用合适的分析模块,其采用反病毒记录来验证该对象200。若干个分析模块也可以联合执行对象200的验证。来自分析模块系列320中用于特定对象200的反病毒检查的任何分析模块均可使用工作记录210和测试记录220二者,其中所述工作记录210的激活将触发用户通知,而所述测试记录220的激活不会触发用户通知。反病毒应用程序310还可包含高速缓存330,对于存储对反病毒记录的校正是必要的。与来自于反病毒数据库160的具有相同识别符的记录相比,位于高速缓存330中的校正,例如校正的记录或者记录的状态,具有更高的优先权。如果在使用某一分析模块对对象200进行反病毒检查期间,有可能使用来自反病毒数据库160的针对对象200记录或者是来自高速缓存330具有相同识别符的记录,那么该分析模块将选择来自于高速缓冲器330的记录。
如果反病毒记录既激活作为工作记录也激活作为测试记录,则将关于所激活记录的信息发送至分析和校正服务器340,在该服务器上可验证所激活记录的有效性。与由记录所检测的对象200有关的信息也可发送至分析和校正服务器340。该信息对于识别数据库160中其运行导致发生误检和用户通知的那些记录是必需的。关于由记录所检测的对象200的信息可表示为这些对象200的元数据的形式。分析和校正服务器340可由反病毒服务的公司提供商所托管,并且它从部署有反病毒应用程序310的许多PC120处接收关于所激活的反病毒记录以及关于由这些记录所检测的对象200的统计信息。反病毒应用程序310与分析和校正服务器340之间通过因特网140进行通信。如果在运行期间,来自于分析模块系列320的某一分析模块激活来自于反病毒库160的反病毒记录,那么该分析模块配置为发送查询至分析和校正服务器340以检查所激活记录的有效性。在利用所激活记录实施任何动作之前进行该查询。因此,例如在针对由具有“工作”状态的所激活记录来检测恶意对象而产生通知之前发送查询。如果针对查询的响应确认了所激活记录的有效性,那么继而发生通知,并且实施指向使恶意对象200无效的进一步的动作。对导致错检和用户通知的反病毒记录的检测和校正,在对与使用这些记录所检测的对象200相关联的统计信息进行处理的过程中被实施。
图4描绘了根据一个示范性实施例的,用于及时校正反病毒记录以最小化误检的***。如此前所注意到的,反病毒应用程序310在其运行期间与分析和校正服务器340进行交互。因此,例如当唯一的反病毒记录被激活时,工作记录或者是测试记录,都将关于该所激活记录的信息发送至分析和校正服务器340,在所述分析和校正服务器340上对所激活记录实施有效性检查。在一个实施例中,分析和校正服务器340包含经校正记录的数据库440,所述数据库440存储对在之前的分析期间被认为引起误测的那些记录的校正。例如,与对反病毒记录的状态校正有关的信息存储在该数据库440中。在示范性实施例的描述中将进一步描述这一情况。但应该理解,正被描述的***并非限于所描述的示范性实施例,并且经校正记录的数据库440也可包含完全改变了的反病毒记录。
在通常情况下,在特定对象200的反病毒检查期间,来自分析模块系列320中的任意分析模块均可使用来自于反病毒数据库160的记录。此外,如果来自分析模块系列320中的任意分析模块均已使用特定的反病毒记录确定对象200的恶意性,那么在根据所激活记录执行任何动作之前,诸如发出该事件的用户通知,该分析模块将发送查询至分析和校正服务器340,特别是发送至经校正记录的数据库440。在查询中,例如,将为来自于反病毒数据库160的所激活反病毒记录指明识别符。如果具有该识别符的记录在反病毒数据库160的下一次更新之前被校正,例如其状态被改变,并且在校正数据库440中发现该校正,在此情况下该校正为关于新状态的信息,那么响应于针对部分反病毒应用程序310的查询,例如响应于来自分析模块系列320的任意分析模块,将传送与对所激活反病毒记录的状态进行校正有关的信息。对于对象200,反病毒应用程序310以及特别是来自分析模块系列320中的任意分析模块的进一步的操作,将根据所激活的反病毒记录的改变后的状态来执行。在具体情况下,可将关于对记录的校正的信息从分析模块系列320中的任意分析模块传送至高速缓存330,该高速缓存330为存储对反病毒记录的校正所必需。在高速缓存330中发现的校正总是被用于特定对象200的反病毒检查中。因此,例如在激活来自于反病毒数据库160的特定记录时,将首先在高速缓存330中检查对该记录的校正的存在。如果在高速缓存330中存在校正,例如所激活的反病毒记录的状态的改变,那么反病毒应用程序以及特别是来自分析模块系列320中的任意分析模块的操作将根据所激活的反病毒记录的改变后的状态来执行。在具体情况下,如果作为对经校正记录的数据库440进行查询的结果,来自分析模块系列320中的任意分析模块已经接收完全改变的反病毒记录并已将其保存在高速缓存330中,那么一旦进行进一步操作,则与来自于反病毒数据库160的记录相比较,该记录特别将具有更高的优先权。也就是说,如果在由来自分析模块系列320中的任意分析模块进行特定对象200的反病毒分析期间,有使用来自于反病毒数据库160或者来自于高速缓存330的与对象200相关联的反病毒记录的选项,那么该分析模块将选择来自于高速缓存330的记录。必须注意,由于对已经发生的校正加以考虑的更新的反病毒记录将在下一次更新时被传送至反病毒数据库160,因此在反病毒数据库160的下一次更新后高速缓存330被清除。
如上所述,在一个示范性实施例中,反病毒记录的状态可以为“工作”,“测试”或“不活动(inactive)”。当激活“工作”记录时,用户收到关于该事件的通知;当激活“测试”记录时,不会发生通知。如果同时具有工作状态和测试状态的记录是激活的,则将关于该所激活记录的信息,例如它的识别符以及有关对象200的统计信息发送至分析和校正服务器340,在该对象200的检查期间该反病毒记录被激活。当“不活动”的记录被激活时,并不实施上述动作。对于“不活动”状态的必要性由以下几方面的考虑产生。首先,任何记录改变为“不活动”状态允许避免误检和用户通知。此外,当来自于反病毒数据库160的任意记录开始将干净的而且被安装在世界上大多数PC120上的对象定义为恶意时,如MicrosoftWord软件这样的对象,则有关该对象200的大量统计数据将被发送至分析和校正服务器340。这样的统计数据流可使得服务器340出现过载。及时在服务器340上将这一记录的状态改变为“不活动”允许对统计数据的后续传送加以阻止。
如果在经校正记录的数据库440中或者高速缓存330中没有关于对所激活记录的校正的信息,那么取决于记录的状态,可向用户传送与检测恶意对象200有关的通知。关于所激活反病毒记录的信息,例如它的识别符连同与激活该记录的对象200有关的统计信息,也可被发送至分析和校正服务器340,特别是发送至信息处理模块410。必须注意,有关对象200的统计数据集总是与关于所激活记录的信息一起被发送,该记录在该对象200的反病毒检查期间由来自反病毒应用310的分析模块系列320中的某一分析模块所激活。统计数据集可包括不同的参数,例如对象200的名称、该对象200的哈希和、版本、权限等等。分析和校正服务器也可维护干净对象数据库430,干净对象数据库430包括已知的干净对象,诸如文件、链接、e-mail消息、以及用于即时消息传送通信的用户账户记录、信息交换日志、IP地址、主机名称、域名和广告公司识别符等等。以下本文描述示例性实施例,干净对象数据库430博阿含被认为是可信任的并且对PC120和存储在该PC120上的数据不显现威胁的对象的哈希和。必须注意,***并不限于所给定的示例性实施例,并且存在大量的可存储于干净对象数据库430中的数据。
在接收到关于被激活的反病毒记录的信息诸如它的识别符,以及关于其分析触发了反病毒记录的激活的对象200的统计信息之后,信息处理模块410实施对接收到的信息与存储在干净对象数据库430中的信息的比较。因此,在一个示范性实施例中,可将由来自反病毒应用程序310的分析模块系列320中的某一分析模块所检查的、反病毒记录针对其被激活的并且被认为是恶意的对象200的哈希和,与存储在干净对象数据库430中的干净对象的哈希和相比较。如果由分析模块系列320中的某一分析模块使用反病毒记录检查并且认为是恶意的对象200的哈希和与来自于干净对象数据库430的干净对象的哈希和一致,那么信息处理模块410将关于评估该对象为恶意的记录的信息,例如它的识别符,从干净对象数据库430发送至记录校正模块420。
记录校正模块420设计为处理关于反病毒记录的信息,并且对这些记录例如对它们的状态进行校正,所述反病毒记录错误的进行操作并将来自于数据库430的干净对象确定为恶意的。记录校正模块420包含规则数据库420a,在其激活期间将由分析和校正模块420对错误的反病毒记录进行校正。因此,例如,如果在50个PC120上对象200被认为是恶意的,那么在规则数据库420a中可以存在这样的规则,其规定模块420将其哈希和在干净对象数据库430中被发现的对象200的记录的状态从“工作”校正为“不活动”。例如,考虑到若干个对象200也可由一个反病毒记录识别为恶意的,则规定将记录状态从“工作”校正为“不活动”的规则也可在指定的比例阈值上被激活,该比例在对象非恶意时由被认为是恶意的对象的反病毒记录加以确定与由实际上恶意的对象的相同记录加以确定之间。如果该比例超出预设的阈值,例如超出0.01%,那么将由记录校正模块420将该反病毒记录的状态从“工作”改为“不活动”。类似地,具有“工作”状态的记录也可改变为“测试”状态,并且反之亦然。例如,如果由实际上恶意的对象的该记录加以确定和由被认为是恶意的干净对象的相同记录加以确定之间的比例值相应地为99.9%,那么该反病毒记录的状态可由该记录校正模块420从“测试”改变为“工作”。然而,如果该比例值降低到例如90%或者更低的值,那么将由记录校正模块420将该反病毒记录的状态从“测试”改变为“不活动”。此外,反病毒记录的新状态将和该记录的识别符一起被发送至经校正记录的数据库440。在一个示范性实施例中,只要用于校正记录状态的规则被激活并且记录状态被改变,则记录校正模块420就可使用例如推送更新(PUSH-update)技术来执行将与任意反病毒记录的经校正状态有关的信息传递至大量PC120上的反病毒应用程序310的高速缓存330。推送更新技术是用于强制更新的技术。也就是说,一旦更新在服务器变得可用,则服务器110自动地将更新传送至反病毒应用程序310,而不是由反病毒应用310每几分钟就对更新服务器110检查更新的存在。
因此,所描述的***对由反病毒应用程序310所使用的错误的反病毒记录实施检测、校正这些记录的状态、并将对记录的校正传递至经校正记录的数据库440或使用推送-更新技术传递至安装在许多PC120上的反病毒应用程序310的高速缓存330。
在一个示范性实施例中,可将人为分析引入到由记录校正模块420接收到的反病毒记录的分析中。分析师可负责利用新规则来填充规则数据库420a,基于所述新规则反病毒记录将被改变。分析师也可利用关于各种记录的新状态的信息以及完全改变了的反病毒记录来填充经校正记录数据库440。
图5描绘了用于及时地校正反病毒记录以最小化恶意软件误检的***的运行方法。***的运行从步骤510开始,在该步骤由来自反病毒应用程序310的分析模块系列320中的某一分析模块在对象200的反病毒检查期间对来自于反病毒数据库160的一个唯一的反病毒记录进行激活。所激活的记录具有唯一识别符以及状态,例如“工作”、“测试”或者“不活动”。
然后在步骤520,在对由反病毒记录确定为恶意的对象200实施任何动作,例如通知用户在PC120上检测到这一对象之前,来自分析模块系列320的某个分析模块查询分析和校正服务器340,特别是查询经校正记录数据库440,目的在于确立所激活记录的有效性。例如,在查询中指出所激活反病毒记录的识别符。然后,在步骤530,如果具有该识别符的记录在下一次更新之前被校正例如它的状态改变,并且该校正在校正数据库440中被发现,在这种情况下所述校正为关于新的状态的信息,那么在步骤540,响应于对反病毒应用程序310的查询,例如对来自分析模块系列320中的某一分析模块的查询,将传送与所激活记录的状态的校正有关的信息。进一步,反病毒应用程序310,特别是来自分析模块系列320中的某一分析模块,将使用经校正记录来对对象200进行恶意软件的存在的分析,或者实施与反病毒记录的更新后状态相关联的其他动作。例如,取决于记录的新的状态,如果例如反病毒记录的状态从“测试”改变为“工作”,则可将检测恶意对象200的通知发送给用户。另一方面,如果例如记录的状态改变为“不活动”记录,则没有通知。然后***的运行在步骤540后结束。
在一个示范性实施例中,***的运行可能并不在步骤540之后结束,而是继续进入步骤550。如前所述,一个反病毒记录可将若干个对象200检测为恶意的。在***运行期间,可能会有这样的情况:可出现新的对象200,例如用于属于“干净”对象的新应用程序的安装文件,并且其状态之前从“测试”校正为“工作”的反病毒记录已经开始将该对象定义为恶意的。将***在步骤540之后的运行扩展至步骤550有助于避免这样的情况,即误报检测,也就是在校正了反病毒记录,比如其状态之后反复出现误检的风险。
在一个示范性实施例中,在步骤540,将与记录的校正有关的信息从来自分析模块系列320中的某一分析模块传送至高速缓存330,该高速缓存330为存储这些对反病毒记录的校正所必需。在高速缓存330中发现的校正总是被用于某一对象200的反病毒检查中。因此,例如,当激活来自于反病毒数据库160的某一记录时,将对高速缓存330中的这一记录检查校正的存在。如果在高速缓存330中存在校正,例如反病毒记录的状态的改变,那么反病毒应用程序310的操作,特别是来自分析模块系列320的某一分析模块的操作,将根据所激活记录的经校正状态来实施。在具体的实施例中还必须注意,将记录校正从记录校正模块420直接传送至高速缓存330时,在步骤520,来自分析模块系列320中的某一分析模块将查询反病毒应用程序310的高速缓存330,而非分析和校正服务器340。
以及,如果在步骤530,具有给定识别符的记录在基本更新之前没被改变,并且在校正数据库440中没有针对该记录的校正的信息,那么***的操作继续进入步骤550。在这一步骤,来自分析模块系列320中的某一分析模块将与所激活记录有关的信息,例如它的识别符,以及与在其分析期间该反病毒记录被激活的对象200有关的统计信息传递至分析和校正服务器340,特别是传递至信息处理模块410。统计数据集可包括各种参数,例如对象200的名称、哈希和、版本、权限等等。在分析和校正服务器侧340,也存在干净对象数据库430。在接收到与所激活记录有关的信息例如它的识别符,以及与在其反病毒检查期间该记录被激活的对象200有关的统计信息之后,信息处理模块410在步骤560对接收到的信息与存储在干净对象数据库430中的信息实施比较。因此,在一个示范性实施例中,将关于对其激活反病毒记录并且被认为是恶意的被检查对象200的哈希和的信息,与关于存储在干净对象数据库430中的干净对象的哈希和的信息相比较。在具体实施例中,可以将与被检查对象200有关的其他信息例如它的名称,与来自干净对象数据库430中的相应信息相比较。比较也可在关于被检查对象200的多个参数的信息和来自干净对象数据库430中的相应信息之间进行。
此外,在步骤570,如果在将关于对其激活反病毒记录并且被认为是恶意的被检查对象200的哈希和的信息与关于存储在干净对象数据库430中的干净对象的哈希和的信息相比较之后,由于干净对象数据库430中没有该对象的哈希和而确立该对象事实上为恶意的,那么***运行结束。然而,如果在步骤570,确定由来自分析模块系列320中的某一分析模块使用反病毒记录检查并确定为恶意的对象200的哈希和与来自干净对象数据库430中的干净对象的哈希和相匹配,那么在步骤580,信息处理模块410将关于确定对象为恶意的反病毒记录的信息发送至记录校正模块420。这样的信息可以是例如该反病毒记录的识别符。记录校正模块420包含规则数据库420a,在规则数据库420a由记录校正模块420激活期间,某一反病毒记录将被校正,例如它的状态。因此,如果在步骤590,在接收到关于确定对象200为恶意的反病毒记录的信息之后,关于该对象200的信息存在于干净对象数据库中并且用于校正该记录的规则未被激活,那么***运行返回到步骤510。如果记录校正模块420已经接收到关于该记录的信息的次数不足,并且记录的错误激活情况的数量不足以激活用于校正该记录的规则,那么类似结果可能会发生。必须理解,在这种情况下,将考虑在步骤510为另一个PC120开始***运行,在该PC上在检查同一个对象200期间相同的反病毒记录已被激活。
然而,如果在步骤590,在接收到关于确定其哈希和在在干净对象数据库430中的对象为恶意的反病毒记录的信息之后,规则被激活以校正该记录,那么***运行继续进入步骤595。在该步骤,记录校正模块420将产生反病毒记录的校正,例如针对该记录的状态。可由记录校正模块420来改变反病毒记录的状态,例如从“工作”改变为“不活动”。此外,反病毒记录的新的状态和该记录的识别符一起被发送至经校正记录数据库440。在一个示范性实施例中,一旦规则被激活以校正记录的状态并且记录状态被改变,则记录校正模块420就可使用例如推送更新技术来执行将与任意反病毒记录的经校正状态有关的信息至安装于多个PC120上的反病毒应用310的高速缓存330的传递。因此,记录校正,例如它的状态,将被传送至经校正记录数据库440或者至反病毒应用程序310的高速缓存330。在这之后,随着在另一PC120上在来自分析模块系列320的任意分析模块的运行期间来自反病毒数据库160的相同记录的激活,以及传送查询至经校正记录数据库440或者至高速缓存330,将接收与反病毒记录的校正有关的信息,例如新的状态,该信息将由来自分析模块系列320中的分析模块用来分析对象。
图6描绘了计算机***5的示范性实施例,在该计算机***5上可实施上述用于恶意软件检测的***。***5可包括网络服务器、个人计算机、笔记本电脑、平板电脑、智能电话或者其他类型的数据处理或计算装置。计算机5可以包括由***总线10所连接的一个或多个处理器15、存储器20、一个或多个硬盘驱动器30、光盘驱动器35、串行端口40、图形卡45、声卡50和网卡55。***总线10可以是使用各种已知总线架构的任意一种的若干类型总线结构的任意一种,包括存储器总线或存储器控制器、***总线和局部总线。处理器15可包括一个或多个Core2Quad2.33GHz处理器或其他类型的微处理器。
***存储器20可以包括只读存储器(ROM)21以及随机存取存储器(RAM)23。存储器20可实现为DRAM(动态RAM)、EPROM、EEPROM、闪存或者其它类型的存储器架构。ROM21存储基本输入/输出***22(BIOS),包含有助于在计算机***5的部件之间传递信息的基本例程,例如在启动期间。RAM23存储操作***24(OS),例如XP或者其它类型的操作***,所述操作***负责对计算机***5中的进程进行管理和协调,并且对计算机***5中的硬件资源进行分配和共享。***存储器20也存储了应用程序和程序25,诸如反病毒应用程序。存储器20也存储了由程序25所使用的各种运行时(runtime)数据26。
计算机***5可更进一步地包括硬盘驱动器30,诸如SATA磁性硬盘驱动器(HDD),以及用于对可移动光盘,诸如CD-ROM、DVD-ROM或者其它光学媒介进行读取或者写入的光盘驱动器35。驱动器30和35及其相关联的计算机可读媒介提供了对实现本文所公开的算法以及方法的计算机可读指令、数据结构、应用程序和程序模块/子例程的非易失性存储。虽然示例性的计算机***5采用了磁盘以及光盘,但是本领域技术人员应该了解到在所述计算机***的可替换实施例中也可以使用其他类型的可以储存计算机***5可访问的数据的计算机可读媒介,诸如磁带盒、闪存卡、数字视频光盘、RAM、ROM、EPROM及其它类型的存储器。
计算机***5更进一步地包括多个串行端口40,诸如通用串行总线(USB),其用于连接数据输入设备75,诸如键盘、鼠标、触摸板及其它设备。串行端口40也可用于连接数据输出设备80,诸如打印机、扫描仪及其他设备,以及连接其它的***设备85,诸如外部数据存储设备等。***5也可包括图形卡45,诸如或者其它的视频卡,用于与监视器60或者其它的视频再现设备相连接。***5也可包括声卡50,用于经由内部或者外接扬声器65再现声音。此外,***5可以包括网卡55,诸如以太网、WiFi、GSM、蓝牙或者其它有线、无线或蜂窝网络接口,用于将计算机***5连接到网络70,诸如因特网。
在各种实施例中,本文所描述的算法以及方法都可以以硬件、软件、固件或者其任意组合来实现。如果以软件来实现,那么功能可以以一个或多个指令或者代码的方式存储在非暂时性计算机可读介质上。计算机可读介质同时包括计算机存储和有助于将计算机程序从一个地方传递到另一个地方的通信介质。存储介质可以是可由计算机访问的任何可用媒介。举例来说,而并非限定,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它的光盘存储器、磁盘存储器或其它的磁存储设备、或者任何其它可用于承载或存储所需的指令或者数据结构形式的程序代码并且可由计算机访问的介质。此外,任何连接都可被称为计算机可读介质。例如,如果使用同轴电缆、光纤电缆、双绞线、数字用户线路(DSL)或者无线技术诸如红外线、无线电和微波来从网站、服务器或者其它的远程资源传送软件,则其均包括在所述介质的定义中。
为了清楚起见,本文并未对实施例的所有常规特征加以示出和描述。应当意识到在任何这类实际的实现方案的开发过程中,必须做出大量特定于实现方案的决策以实现开发者的特定目标,同时应当意识到这些特定目标将随实现方案的不同以及开发者的不同而变化。而且,应当意识到这类开发工作可能是复杂且耗费时间的,但是对于受益于本公开的本领域的普通技术人员而言,都将是常规的工程任务。
此外,可以理解的是在此使用的措辞或术语是为了描述而非限定的目的,以便本领域的技术人员根据本文提出的教导及指引并结合相关领域技术人员所掌握的知识来解读本说明书中的措辞或术语。而且,除非如此明确的予以阐述,否则本说明书或权利要求中的任何术语均并非意图归结为非常规或者特殊的含义。
本文披露的各种实施例包含本文通过示例的方式所提及的已知部件的现在和将来的已知等同物。而且,尽管已经示出及描述了实施例及其应用,但对于受益于本发明的本领域的技术人员而言显而易见的是,在不脱离本文所披露的发明构思的情况下,比以上提及的更多的修改是可能的。
Claims (14)
1.一种用于恶意软件检测的计算机实现的方法,所述方法包括:
由反病毒应用程序对软件对象进行存在恶意软件的分析;
从反病毒数据库中检索与所分析对象相关联的反病毒记录,其中所述反病毒记录识别所述对象为恶意的;
在经校正反病毒记录数据库中检查用于检索到的反病毒记录的校正;
如果在所述经校正反病毒记录数据库中发现用于所述反病毒记录的校正,则基于所述校正更新在所述反病毒数据库中的所述反病毒记录,并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析;
如果在所述经校正反病毒记录数据库中没有发现用于所述反病毒记录的校正,则利用反病毒服务器检查所述反病毒记录的正确性,其中所述反病毒服务器使用从部署在不同计算机上的多个反病毒应用程序所收集的有关软件对象的统计信息来证实反病毒记录的正确性;以及
如果所述反病毒服务器提供用于所述反病毒记录的校正,则基于所述校正来更新所述反病毒数据库中的所述反病毒记录,并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析,
当利用带有工作状态的经校正的记录对所述软件对象进行的处理指示所述软件对象是恶意的时,至少通知用户有关检测到的恶意软件;以及
当利用带有测试状态的经校正的记录对所述软件对象进行的处理指示所述软件对象是恶意的时,至少不通知所述用户有关检测到的恶意软件。
2.根据权利要求1所述的方法,进一步包括:
如果所述反病毒服务器不提供用于所述反病毒记录的校正,则使用所述检索到的反病毒记录用于对所述软件对象进行存在恶意软件的分析;以及
将所述有关软件对象的信息和从所述反病毒数据库检索到的所述相关联的反病毒记录发送至所述反病毒服务器。
3.根据权利要求1所述的方法,其中利用反病毒服务器检查所述反病毒记录的正确性进一步包括:
将所述有关软件对象的执行的信息提供给所述反病毒服务器,其中所述反病毒服务器对所提供的所述有关软件对象的信息与有关已知的干净对象的信息相比较。
4.根据权利要求1所述的方法,其中利用反病毒服务器检查所述反病毒记录的正确性进一步包括:
将所述有关软件对象的执行的信息提供给所述反病毒服务器,其中所述反病毒服务器对所提供的所述有关软件对象的信息与从其他软件应用程序所收集的所述有关软件对象的统计信息相比较。
5.根据权利要求1所述的方法,其中用于所述反病毒记录的校正包括所述反病毒记录的状态的改变,其中所述反病毒记录的所述状态选自包括工作记录、测试记录和不活动记录的组中。
6.根据权利要求1所述的方法,其中当所述反病毒服务器基于所收集的有关所述反病毒记录的统计信息确定对所述反病毒记录应用记录校正规则时,触发所述反病毒记录的所述状态的改变。
7.根据权利要求6所述的方法,其中当所述反病毒服务器确定由所述反病毒记录将所述软件对象识别为恶意的数量超出由所述反病毒记录将所述软件对象识别为干净的数量预定阈值时,触发所述反病毒记录的所述状态的改变。
8.一种用于恶意软件检测的基于计算机的***,所述***包括:
第一数据存储,存储包含多个反病毒记录的反病毒数据库;
第二数据存储,存储包含用于一个或多个反病毒记录的一个或多个校正的经校正反病毒记录数据库;以及
耦合至所述第一数据存储和第二数据存储的处理器,所述处理器配置为:
使用反病毒应用程序对软件对象进行存在恶意软件的分析;
从所述反病毒数据库检索与所分析对象相关联的反病毒记录,其中所述反病毒记录识别所述对象为恶意的;
在所述经校正反病毒记录数据库中检查用于检索到的反病毒记录的校正;
如果在所述经校正反病毒记录数据库中发现用于所述反病毒记录的校正,则基于所述校正更新在所述反病毒数据库中的所述反病毒记录,并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析;
如果在所述经校正反病毒记录数据库中没有发现用于所述反病毒记录的校正,则利用反病毒服务器检查所述反病毒记录的正确性,其中所述反病毒服务器使用从部署在不同计算机上的多个反病毒应用程序所收集的有关软件对象的统计信息来证实反病毒记录的正确性;以及
如果所述反病毒服务器提供用于所述反病毒记录的校正,则基于所述校正来更新所述反病毒数据库中的所述反病毒记录,并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析,
当利用带有工作状态的经校正的记录对所述软件对象进行的处理指示所述软件对象是恶意的时,至少通知用户有关检测到的恶意软件;以及
当利用带有测试状态的经校正的记录对所述软件对象进行的处理指示所述软件对象是恶意的时,至少不通知所述用户有关检测到的恶意软件。
9.根据权利要求8所述的***,其中所述处理器进一步配置为:
如果所述反病毒服务器不提供用于所述反病毒记录的校正,则使用所述检索到的反病毒记录用于对所述软件对象进行存在恶意软件的分析;以及
将所述有关软件对象的信息和从所述反病毒数据库检索到的所述相关联的反病毒记录发送至所述反病毒服务器。
10.根据权利要求8所述的***,其中为了利用反病毒服务器检查所述反病毒记录的正确性,所述处理器进一步配置为:
将所述有关软件对象的执行的信息提供给所述反病毒服务器,其中所述反病毒服务器对所提供的所述有关软件对象的信息与有关已知的干净对象的信息相比较。
11.根据权利要求8所述的***,其中为利用反病毒服务器检查所述反病毒记录的正确性,所述处理器进一步配置为:
将所述有关软件对象的执行的信息提供给所述反病毒服务器,其中所述反病毒服务器对所提供的所述有关软件对象的信息与从其他软件应用程序所收集的所述有关软件对象的统计信息相比较。
12.根据权利要求8所述的***,其中用于所述反病毒记录的校正包括所述反病毒记录的状态的改变,其中所述反病毒记录的所述状态选自包括工作记录、测试记录和不活动记录的组中。
13.根据权利要求8所述的***,其中所述反病毒记录的所述状态的改变在所述反病毒服务器基于所收集的有关所述反病毒记录的统计信息确定对所述反病毒记录应用记录校正规则时触发。
14.根据权利要求13所述的***,其中所述反病毒记录的所述状态的改变在所述反病毒服务器确定由所述反病毒记录将所述软件对象识别为恶意的数量超出由所述反病毒记录将所述软件对象识别为干净的数量预定阈值时触发。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011147542/08A RU2487405C1 (ru) | 2011-11-24 | 2011-11-24 | Система и способ для исправления антивирусных записей |
RU2011147542 | 2011-11-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103020522A CN103020522A (zh) | 2013-04-03 |
CN103020522B true CN103020522B (zh) | 2016-01-20 |
Family
ID=46000950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210484935.2A Active CN103020522B (zh) | 2011-11-24 | 2012-11-23 | 用于校正反病毒记录以最小化恶意软件误检的***和方法 |
Country Status (4)
Country | Link |
---|---|
US (4) | US8732836B2 (zh) |
EP (2) | EP2597586A1 (zh) |
CN (1) | CN103020522B (zh) |
RU (1) | RU2487405C1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8640245B2 (en) * | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
CN103632088A (zh) * | 2012-08-28 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种木马检测方法及装置 |
US9536091B2 (en) * | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9280369B1 (en) | 2013-07-12 | 2016-03-08 | The Boeing Company | Systems and methods of analyzing a software component |
US9336025B2 (en) | 2013-07-12 | 2016-05-10 | The Boeing Company | Systems and methods of analyzing a software component |
US9396082B2 (en) | 2013-07-12 | 2016-07-19 | The Boeing Company | Systems and methods of analyzing a software component |
US9852290B1 (en) * | 2013-07-12 | 2017-12-26 | The Boeing Company | Systems and methods of analyzing a software component |
US9479521B2 (en) | 2013-09-30 | 2016-10-25 | The Boeing Company | Software network behavior analysis and identification system |
RU2602369C2 (ru) * | 2015-03-31 | 2016-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ уменьшения количества определений легитимного файла вредоносным |
US9667657B2 (en) | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
RU2617654C2 (ru) * | 2015-09-30 | 2017-04-25 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя |
RU2625053C1 (ru) * | 2016-07-29 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Устранение ложных срабатываний антивирусных записей |
GB2561177B (en) * | 2017-04-03 | 2021-06-30 | Cyan Forensics Ltd | Method for identification of digital content |
US10460108B1 (en) | 2017-08-16 | 2019-10-29 | Trend Micro Incorporated | Method and system to identify and rectify input dependency based evasion in dynamic analysis |
US10846403B2 (en) * | 2018-05-15 | 2020-11-24 | International Business Machines Corporation | Detecting malicious executable files by performing static analysis on executable files' overlay |
EP4060534A1 (en) * | 2021-03-15 | 2022-09-21 | AO Kaspersky Lab | Systems and methods for modifying a malicious code detection rule |
CN113934625A (zh) * | 2021-09-18 | 2022-01-14 | 深圳市飞泉云数据服务有限公司 | 软件检测方法、设备及存储介质 |
CN113779584A (zh) * | 2021-11-15 | 2021-12-10 | 北京信达环宇安全网络技术有限公司 | 防护软件安装方法及*** |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7080000B1 (en) * | 2001-03-30 | 2006-07-18 | Mcafee, Inc. | Method and system for bi-directional updating of antivirus database |
Family Cites Families (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6035423A (en) * | 1997-12-31 | 2000-03-07 | Network Associates, Inc. | Method and system for providing automated updating and upgrading of antivirus applications using a computer network |
US7363657B2 (en) * | 2001-03-12 | 2008-04-22 | Emc Corporation | Using a virus checker in one file server to check for viruses in another file server |
US6993660B1 (en) * | 2001-08-03 | 2006-01-31 | Mcafee, Inc. | System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment |
US7188369B2 (en) * | 2002-10-03 | 2007-03-06 | Trend Micro, Inc. | System and method having an antivirus virtual scanning processor with plug-in functionalities |
GB2400934B (en) * | 2003-04-25 | 2005-12-14 | Messagelabs Ltd | A method of,and system for detecting mass mailing viruses |
US7509676B2 (en) * | 2004-07-30 | 2009-03-24 | Electronic Data Systems Corporation | System and method for restricting access to an enterprise network |
US7765410B2 (en) * | 2004-11-08 | 2010-07-27 | Microsoft Corporation | System and method of aggregating the knowledge base of antivirus software applications |
US7650639B2 (en) * | 2005-03-31 | 2010-01-19 | Microsoft Corporation | System and method for protecting a limited resource computer from malware |
US7844700B2 (en) * | 2005-03-31 | 2010-11-30 | Microsoft Corporation | Latency free scanning of malware at a network transit point |
US8561190B2 (en) * | 2005-05-16 | 2013-10-15 | Microsoft Corporation | System and method of opportunistically protecting a computer from malware |
GB2427048A (en) * | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
US8713686B2 (en) * | 2006-01-25 | 2014-04-29 | Ca, Inc. | System and method for reducing antivirus false positives |
US20070277167A1 (en) | 2006-05-23 | 2007-11-29 | International Business Machines Corporation | System and method for computer system maintenance |
US8584240B1 (en) * | 2007-10-03 | 2013-11-12 | Trend Micro Incorporated | Community scan for web threat protection |
US8087086B1 (en) * | 2008-06-30 | 2011-12-27 | Symantec Corporation | Method for mitigating false positive generation in antivirus software |
US8381298B2 (en) * | 2008-06-30 | 2013-02-19 | Microsoft Corporation | Malware detention for suspected malware |
CN101408846B (zh) * | 2008-11-24 | 2011-04-13 | 华为终端有限公司 | 一种杀毒软件升级的方法及相应的终端和*** |
GB2470928A (en) * | 2009-06-10 | 2010-12-15 | F Secure Oyj | False alarm identification for malware using clean scanning |
US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
GB2471716A (en) * | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
US8572740B2 (en) * | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
US7743419B1 (en) * | 2009-10-01 | 2010-06-22 | Kaspersky Lab, Zao | Method and system for detection and prediction of computer virus-related epidemics |
US8356354B2 (en) * | 2009-11-23 | 2013-01-15 | Kaspersky Lab, Zao | Silent-mode signature testing in anti-malware processing |
RU92551U1 (ru) * | 2009-11-23 | 2010-03-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система тестирования и исправления тестовых баз данных антивирусного приложения |
US8719935B2 (en) * | 2010-01-08 | 2014-05-06 | Microsoft Corporation | Mitigating false positives in malware detection |
US8910288B2 (en) * | 2010-02-05 | 2014-12-09 | Leidos, Inc | Network managed antivirus appliance |
US8683216B2 (en) * | 2010-07-13 | 2014-03-25 | F-Secure Corporation | Identifying polymorphic malware |
RU101224U1 (ru) * | 2010-07-23 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система выявления и минимизации риска ложных срабатываний |
US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
US8424093B2 (en) * | 2010-11-01 | 2013-04-16 | Kaspersky Lab Zao | System and method for updating antivirus cache |
US8640245B2 (en) * | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
US8832836B2 (en) * | 2010-12-30 | 2014-09-09 | Verisign, Inc. | Systems and methods for malware detection and scanning |
WO2013005079A1 (en) * | 2011-07-06 | 2013-01-10 | F-Secure Corporation | Security method and apparatus |
US8839423B2 (en) * | 2011-09-20 | 2014-09-16 | Netqin Mobile, Inc. | Method and system for sharing mobile security information |
US8214905B1 (en) * | 2011-12-21 | 2012-07-03 | Kaspersky Lab Zao | System and method for dynamically allocating computing resources for processing security information |
-
2011
- 2011-11-24 RU RU2011147542/08A patent/RU2487405C1/ru active
-
2012
- 2012-03-23 US US13/428,177 patent/US8732836B2/en active Active
- 2012-04-20 EP EP20120164873 patent/EP2597586A1/en not_active Ceased
- 2012-04-20 EP EP14176048.8A patent/EP2790122B1/en active Active
- 2012-11-23 CN CN201210484935.2A patent/CN103020522B/zh active Active
-
2014
- 2014-03-31 US US14/230,262 patent/US8966634B2/en active Active
-
2015
- 2015-01-16 US US14/598,425 patent/US9350756B2/en active Active
-
2016
- 2016-04-14 US US15/098,896 patent/US9614867B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7080000B1 (en) * | 2001-03-30 | 2006-07-18 | Mcafee, Inc. | Method and system for bi-directional updating of antivirus database |
Also Published As
Publication number | Publication date |
---|---|
US20130139265A1 (en) | 2013-05-30 |
US20140215627A1 (en) | 2014-07-31 |
US9614867B2 (en) | 2017-04-04 |
CN103020522A (zh) | 2013-04-03 |
US20150128278A1 (en) | 2015-05-07 |
US20160255101A1 (en) | 2016-09-01 |
EP2790122B1 (en) | 2017-03-29 |
US8732836B2 (en) | 2014-05-20 |
RU2487405C1 (ru) | 2013-07-10 |
RU2011147542A (ru) | 2013-05-27 |
EP2790122A3 (en) | 2014-11-05 |
EP2790122A2 (en) | 2014-10-15 |
US8966634B2 (en) | 2015-02-24 |
EP2597586A1 (en) | 2013-05-29 |
US9350756B2 (en) | 2016-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103020522B (zh) | 用于校正反病毒记录以最小化恶意软件误检的***和方法 | |
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
CN102651061B (zh) | 用于检测复杂恶意软件的***和方法 | |
KR101948711B1 (ko) | 멀웨어 탐지를 위한 복합 스코어링 | |
US9081967B2 (en) | System and method for protecting computers from software vulnerabilities | |
RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
CN102629310A (zh) | 用于保护计算机***免遭恶意对象活动侵害的***和方法 | |
US9071639B2 (en) | Unauthorized application detection system and method | |
CN103329093A (zh) | 更新软件 | |
CN102882875B (zh) | 主动防御方法及装置 | |
US11528298B2 (en) | Methods and systems for preventing malicious activity in a computer system | |
CN112257058A (zh) | 一种操作***可信计算校验方法及*** | |
CN102857519B (zh) | 主动防御*** | |
US10310948B2 (en) | Evaluation of risk of data loss and backup procedures | |
EP2584484A1 (en) | System and method for protecting a computer system from the activity of malicious objects | |
EP2819055B1 (en) | System and method for detecting malicious software using malware trigger scenarios | |
EP2835757B1 (en) | System and method protecting computers from software vulnerabilities | |
EP3985535A1 (en) | Detecting malicious activity by analysing the behaviour of objects in a non-isolated environment | |
US20240037242A1 (en) | Intelligent pre-boot indicators of vulnerability | |
RU2602369C2 (ru) | Система и способ уменьшения количества определений легитимного файла вредоносным | |
KR101439207B1 (ko) | 해킹 프로세스 감지 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |