[发明专利]使用文件流行程度通知行为试探的攻击性

说明书

技术领域

本披露总体上涉及计算机安全，并且更具体地涉及使用文件的流行程度来通知相应的行为试探性恶意软件检测的攻击性。

背景技术

系统用来检测（及因此消除）恶意软件（例如病毒、蠕虫、特洛伊木马、间谍软件等）。这种恶意软件检测系统典型地通过使用静态位签名和/或试探对恶意软件进行来工作。基于静态位签名的恶意软件检测涉及对已知恶意软件中的特定位级模式（签名）进行识别。然后对文件进行扫描以确定它们是否包含该签名。当使用静态文件签名识别恶意软件时，判罪的确定性较高。然而，通过改变内容可以规避基于签名的检测。签名的作用变得越来越小，因为恶意软件的作者在操纵他们的恶意软件上变得更精通以避免基于签名的检测。

试探性恶意软件检测涉及通过应用多种基于决定的规则或权衡方法确定一个给定的文件是恶意软件的可能性。试探性分析在许多情况下可以产生有用的结果，但没有其正确性的数学证据。在静态文件试探中，文件的内容是试探性地分析的。在基于行为的试探中，程序的行为是试探性地分析的。两种方法都涉及用一组样本恶意软件训练一个试探性分析器并且清洁文件，以便其对相互关联的内容的类型或行为进行总结。通过定义，使用试探性分析对被怀疑的恶意软件进行识别从来都不是完全确定的，因为试探性分析仅确定文件是清洁或恶意的可能性。基于试探的文件判罪的信心进一步面临以下事实：训练设置难于定义并且总是不同于真实世界设置。

基于行为的恶意软件检测的一个主要缺点是误报。由于试探性分析中的固有不确定性，存在将以疑似恶意的方式作用的非恶意文件判罪的可能。错误地将清洁的文件列为恶意是有问题的，因为其常常导致合法的、可能重要的内容被阻断。为解决该问题，常常拒绝使用的试探的攻击性，以便降低误报率。遗憾地是，降低试探的攻击性伴随地促使被检测的正报率也下降。换言之，通过使用较弱的试探，恶意文件更可能被错误地分类为清洁的并且传递给用户。

追踪电子数据从其中产生的来源的声誉是用来识别恶意软件的另一种技术。例如，可以追踪电子邮件地址和域名的声誉来识别可信赖与潜在恶意的电子邮件地址发送者和文件签名。当特定的文件的来源是众所周知时，基于声誉的文件分类会是有效的。随着时间的推移，在起源于一个来源的很多电子内容中，该来源的声誉可以被秘密地评估并用来屏蔽或传递内容。遗憾地是，基于声誉的文件分类在低流行范围内评估来源具有困难。

解决这些问题是令人期望的。

发明内容

一种试探性攻击性管理系统基于目标文件的流行率来调节在基于行为的试探性恶意软件检测中使用的攻击性级别。例如，基于来自一个声誉追踪或恶意软件检测系统的输入，确定一个有待接受基于行为的试探性分析的文件的流行率。响应于所确定的文件的流行率，调节在该文件的基于行为的试探性分析的中使用的攻击性级别。更具体地，对于较低流行性的文件将攻击性级别设定到一个更高的级别，而对于较高流行性的文件则设定到一个更低的级别。在一个实施方案中，对不同的流行率的文件设定误报容忍级别，并且基于接受者操作特征的分析用来设定对应的攻击性级别。使用该设定的攻击性级别，将基于行为的试探性分析应用到该文件。例如，响应于正在使用的攻击性级别，这会涉及在文件的基于行为的试探性分析过程中改变文件属性的处理和/或测量不同的文件属性。除了设定攻击性级别之外，在一些实施方案中，试探性分析还包括将较低流行性的文件动态地权衡为更可能是恶意的，以及将较高流行性的文件动态地权衡为更可能是合法的。根据所应用的基于行为的试探性分析，确定该文件是否包括恶意软件。若确定该文件不包括恶意软件，则允许正常的文件处理按期望进行。另一方面，若确定该文件包括恶意软件，则采取附加的步骤，如阻断该文件、删除该文件、隔离该文件和/或对该文件杀毒。

在本概述中以及在以下的详细说明中说明的这些特征及优点并不是包揽无遗的，并且具体地讲，通过参看本发明的附图、说明书、以及权利要求书，很多额外的特征和优点对相关领域的普通技术人员将变得清楚。另外，应该注意到本说明书中所使用的语言的选择主要是为了易读性和指导性的目的，并且也许不是被选用为描绘或限制本发明的主题，对于确定这种发明主题必须求助于权利要求书。

附图说明

图1是根据一些实施方案的一种示例性网络架构的框图，其中可以实施一种试探性攻击性管理系统。

图2是根据一些实施方案适用于实施一种试探性攻击性管理系统的计算机系统的框图。