[发明专利]用于恶意软件检测的系统和方法

说明书

相关申请的交叉引用：本申请要求2009年8月28日递交的美国专利申请No.12/550,025的递交日的权益，该美国专利申请No.12/550,025要求2008年8月29日递交的美国临时专利申请No.61/092,848的优先权。

背景

二进制文件时常在很多计算设备之间进行传送。接收二进制文件的计算设备通常不知道该文件的来源或者其接收的代码是否安全。为了确保计算设备的安全性，可以对二进制文件进行反汇编来确定该文件是否包含诸如病毒、蠕虫、特洛伊木马和/或类似的恶意软件。

通常，反汇编器将二进制文件从机器语言翻译为汇编语言。一些反汇编器是交互式的，并且允许熟练程序员对于反汇编器如何分析文件做出注解、修正、阐述或者决定。例如，反汇编器可以在出现新的函数或者特定代码段时发出信号。当所标识的动作发生时，可以对该代码的特定段加标签以供今后参考。然而，对未知的可执行文件(executable)进行分析可能是一个耗时的过程，其通常是由特殊训练的人员来手动进行的，或者通过使用统计方法自动进行。

发明内容

在描述本方法之前，应当理解本发明并不限于所描述的特定系统、方法或协议，因为它们可以改变。本文所使用的术语仅用于描述特定实施方案的目的，并且其并不意图限制本公开的范围。

必须注意，如本文及所附权利要求书中所使用的，除非上下文另外明确指出，否则单数形式“一”(“a”和“an”)和“所述”包括复数指称。除非另外定义，否则本文使用的所有技术和科学术语具有本领域普通技术人员所普遍理解的含义。使用在这里，术语“包括”意味着“包括但不限于”。

在一实施方案中，一种自动识别恶意软件的方法可以包括：通过专家系统知识库接收来自二进制文件的汇编语言序列；识别来自所述接收的汇编语言序列的指令序列；以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的，所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为有威胁的，可以发送信息到代码分析部件并可以通知使用者所述二进制文件包含恶意软件。所述信息可以包括以下内容中的一项或更多项：所述指令序列；标签，所述标签包括这样的指示，即所述指令序列是有威胁的；以及针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求。

在一实施方案中，一种自动识别恶意软件的方法可以包括：通过专家系统知识库接收来自二进制文件的汇编语言序列；识别来自所述接收的汇编语言序列的指令序列；以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的，所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为无威胁的，可以发送信息到代码分析部件并可以请求第二指令序列。所述信息可以包括以下内容中的一项或更多项：所述指令序列；以及标签，所述标签包括这样的指示，即所述指令序列是无威胁的。

在一实施方案中，一种自动识别恶意软件的方法可以包括：通过专家系统知识库接收来自二进制文件的汇编语言序列；识别来自所述接收的汇编语言序列的指令序列；以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的，所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为不可归类的，所述方法可以包括发送重新分析所述汇编语言序列的请求到代码分析部件请求；接收新指令序列，所述新指令序列对应于所述重新分析的汇编语言序列；以及归类所述新指令序列为有威胁的、无威胁的或不可归类的。

在一实施方案中，一种自动识别恶意软件的方法可以包括：通过代码分析部件分析二进制文件来生成汇编语言序列和相应的指令序列；发送所述指令序列到专家系统知识库；以及从所述专家系统知识库接收与所述指令序列相关联的归类信息。如果所述归类信息将所述指令序列标识为有威胁的，所述方法可以包括从所述二进制文件识别一个或更多个其他汇编语言序列，所示二进制文件包括所述指令序列的至少一部分，以及发送所述已识别的汇编语言序列的至少一个到所述专家系统知识库。如果所述归类信息将所述指令序列识别为无威胁的，所述方法可以包括发送第二指令序列到所述专家系统知识库。如果所述归类信息将所述指令序列识别为不可归类的，所述方法可以包括重新分析所述汇编语言序列来产生新指令序列，以及发送所述新指令序列到所述专家系统知识库。