[发明专利]用于恶意软件检测的系统和方法

权利要求书

1.一种自动识别恶意软件的方法，所述方法包括：

通过专家系统知识库接收来自二进制文件的汇编语言序列；

识别来自所述接收的汇编语言序列的指令序列；

通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的，所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行；

如果所述指令序列被归类为有威胁的，发送信息到代码分析部件，其中所述信息包括以下内容中的一项或更多项：

所述指令序列；

标签，所述标签包括这样的指示，即所述指令序列是有威胁的；以及

针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求；以及

通知使用者所述二进制文件包含恶意软件。

2.如权利要求1的方法，其中应用一个或更多个规则的操作包括应用由C语言集成生产系统语言写成的一个或更多个规则。

3.如权利要求1的方法，其中归类所述指令序列的操作包括以下内容中的一项或更多项：

应用一个或更多个规则到所述指令序列来判定所述二进制文件的二进制文件结构是否恰当；

应用一个或更多个蠕虫界定操作来判定所述指令序列是否包括复制所述汇编语言序列中的一个或更多个指令；

应用一个或更多个特洛伊木马界定操作来判定所述指令序列是否包括与一个或更多个特洛伊木马相关联的一个或更多个指令；以及

应用一个或更多个病毒界定操作来判定所述指令序列是否包括一个或更多个自我复制指令。

4.如权利要求1的方法，其中应用一个或更多个规则的操作包括：

应用优先规则的集合到所述指令序列，其中所述优先规则的集合包括多个优先规则，其中每个优先规则与相对于所述集合中其他优先规则的优先权相关联。

5.如权利要求4的方法，其中应用优先规则的集合的操作包括按优先权顺序应用所述优先规则到所述指令序列，直至所述指令序列被归类或每个优先规则都已经被应用。

6.如权利要求4的方法，其中应用优先规则的集合的操作包括：通过将优先权给予具有匹配于所述指令序列的更高次数的规则，来排序所述优先规则。

7.如权利要求1的方法，其中归类所述指令序列的操作包括：如果所述指令序列不能被从头到尾遍历，则归类所述指令序列为有威胁的。

8.如权利要求1的方法，其中，针对所述指令序列中每个节点，归类所述指令序列的操作包括：

遍历所述节点；

判定所述节点是否在先前已经被遍历；以及

如果所述节点在先前已被遍历，归类所述指令序列为有威胁的。

9.如权利要求1的方法，其中归类所述指令序列的操作包括：如果所述指令序列包含以下内容中的一项或更多项，归类所述指令序列为有威胁的：

加密例程；

解密例程；以及

用于复制所述指令序列的至少一部分的一个或更多个指令。

10.一种自动识别恶意软件的方法，所述方法包括：

通过专家系统知识库接收来自二进制文件的汇编语言序列；

识别来自所述接收的汇编语言序列的指令序列；

通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的，所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行；

如果所述指令序列被归类为无威胁的，发送信息到代码分析部件，其中所述信息包括以下内容中的一项或更多项：

所述指令序列；以及

标签，所述标签包括这样的指示，即所述指令序列是无威胁的；以及

请求第二指令序列。

11.如权利要求10的方法，其中归类所述指令序列的操作包括：如果所述专家系统遍历所述指令序列全体，则归类所述指令序列为无威胁的。