[发明专利]对不需要的软件或恶意软件进行分类的系统和方法

说明书

技术领域

本发明一般地涉及识别恶意活动，更具体地说，涉及一种通过识别加密数据通信对不需要的软件或恶意软件进行分类的系统和方法。

背景技术

恶意软件-由恶意和软件这两个单词混合而成单词-是被设计为在未经主人知情同意的情况下渗透或损害计算机系统的软件。此表述是计算机专业人士用于表示各种形式的恶意的、侵入的或烦人的软件或程序代码的统称。许多计算机用户对于该术语不了解，经常使用“计算机病毒”指代包括真正病毒在内的所有类型的恶意软件。

软件是根据创建者的主观意图而非任何特殊的特征被视为恶意软件的。恶意软件包括计算机病毒、蠕虫、特洛伊木马、多数内核级后门(root kit)、间谍软件、欺诈广告软件、犯罪软件和其他恶意和不需要的软件。恶意软件与具有合法用途但包含有害漏洞的缺陷软件不同。

包括第一个因特网蠕虫和一些MS-DOS病毒在内的许多早期传染性程序的编写只是为了进行试验或恶作剧，一般不以侵害为目的，或者仅为了给人造成麻烦，而不是为了给计算机造成严重损害。但是，由于广泛的宽带互联网访问的增加，有人开始设计以盈利为目的恶意软件，其中或多或少带些违法(强制广告)犯罪的动机。例如，自2003年起，设计出了大量广泛传播的病毒和蠕虫来控制用户计算机以实现恶意侵占。受感染的“僵尸计算机”被用于发送垃圾电子邮件、成为非法数据的宿主，或作为一种敲诈形式参与分布式拒绝服务攻击。

另一种完全趋利的恶意软件以间谍软件的形式出现，例如，被设计为监视用户的Web浏览、显示未经请求发送的广告，或将联盟营销收益转移到间谍软件创建者的程序。间谍软件程序不像病毒那样传播，它们一般利用安全漏洞进行安装，或者与用户安装的软件打包在一起，例如点对点应用。间谍软件和广告程序经常会安装很多进程，以至于受感染的机器变得不稳定，从而改变了攻击的初衷。

最知名类型的恶意软件、病毒和蠕虫是以其传播方式而非任何其他特殊的行为被人所知。术语“计算机病毒”用于表示已经感染某些可执行软件并导致所述软件在运行时将病毒传播给其他可执行软件的程序。病毒还可以包含执行其他操作(通常是恶意的)的有效负载。另一方面，蠕虫是通过网络主动传播自己以感染其他计算机的程序。蠕虫也可携带有效负载。

在上世纪八十年代和九十年代，经常理所当然地认为恶意程序以破坏或恶作剧的形式创建(尽管有些病毒的传播只是使用户不再进行非法软件交换)。最近，更多恶意软件程序的编写带有经济动机或利益动机在内。可以认为恶意软件的作者选择通过控制受感染的系统赚钱：将这种控制转化为收益来源。

自大约2003年起，就恢复所花费的时间和金钱而言，最昂贵的恶意软件形式是被称为间谍软件的宽泛型软件。间谍软件程序是一款商业产品，其目的是为了间谍软件创建者的经济利益收集有关计算机用户的信息、向用户显示弹出广告，或者改变Web浏览器行为。例如，有些间谍软件程序将搜索引擎结果重定向到付费广告。通常被媒体称为“窃取软件”的其他间谍软件通过覆盖联盟营销代码，使得收入流向间谍软件的创建者，而非预定接收者。

为了协调许多受感染计算机的活动，攻击者使用被称为僵尸网络的协调系统。在僵尸网络的情况下，恶意软件或malbot登录到互联网中继聊天通道或其他聊天系统。攻击者然后可以同时向所有受感染的系统发出指令。僵尸网络还可以用于将升级后的恶意软件推入受感染系统，使这些软件不受反病毒软件或其他安全措施的制约。

当恶意软件攻击变得更频繁时，注意力已经从病毒和间谍软件防护转移到恶意软件防护，并且开发出专门抗击这些恶意软件的程序。目前的反恶意软件程序可以通过两种方式抗击恶意软件。首先，反恶意软件程序可以提供实时保护来防止在用户的计算机上安装恶意软件。此类间谍软件防护与反病毒防护的工作方式相同，因为反恶意软件的软件扫描所有入站网络数据来查看是否具有恶意软件并阻止其碰到的任何威胁。其次，反恶意软件的软件程序可以专门用于检测和删除已经安装在用户计算机上的恶意软件。此类恶意软件防护通常更易于使用并且更流行。此类反恶意软件的软件扫描Windows注册表的内容、操作系统文件和计算机上已安装的程序，并且会提供所找到的任何威胁的列表，从而允许用户选择需要删除的内容和需要保留的内容，或者将该列表与已知恶意软件组件列表进行比较，删除匹配的文件。