[发明专利]创建在恶意软件检测中使用的定制化置信带的系统和方法

说明书

背景技术

消费者和企业面临着恶意软件日渐增长的趋势，恶意软件威胁他们的计算机的稳定性和性能以及他们数据的安全性。具有恶意动机的计算机程序员已经创建并继续创建病毒、特洛伊木马、蠕虫、以及其他程序（统称为“恶意软件”），以试图危害计算机系统。为了逃避检测，不怀好意的程序员可以将恶意软件注入合法程序之中或之间。

很多安全软件公司通过为它们的客户定期地创建和配置恶意软件签名（例如，唯一识别恶意软件的散列函数）来努力与恶意软件进行斗争。然而，大量恶意软件仍未得到识别，因此利用传统的基于签名的恶意软件检测机制是无法检测到，尤其是因为恶意软件作者可以定期地修改他们的恶意软件，以试图绕过通常使用的基于签名的恶意软件检测机制。

除了基于签名的方法外或作为它的替代形式，安全软件公司可以采用各种探试法，以便基于不同特征和/或行为对文件和程序进行分类（例如分类为恶意的或安全的）。不幸地是，基于探试法的分类方法可能导致不可接受数量的误判和/或漏判。因此，本披露认识到需要一些改进的恶意软件检测机制和技术。

发明内容

如以下更为详细说明的，本披露总体上涉及创建在恶意软件检测中使用的定制化置信带的多种系统及方法。在一个实例中，在此描述的系统可以通过以下操作完成这种任务：1)识别能够接收可执行内容的一个门户（例如互联网浏览器、电子邮件客户端、对等网络客户端、聊天客户端等），2)识别与该门户相关的元数据，3)分析该元数据以确定通过该门户接收的可执行内容造成何种风险，然后4)基于该分析，创建一个置信带以便应用在通过该门户接收的可执行内容的至少一次处置过程中。

在一些实例中，该元数据识别源自该门户的多个可执行对象、该门户的受欢迎程度（例如，该门户的用户数量和/或使用频率）、和/或源自该门户的不受信任的可执行对象的发生率（例如，从该门户下载的可执行对象被安全系统标记的频率）。在此描述的系统可以从各种来源汇集这类元数据，例如该门户的多个实例（例如，从该门户在各种用户的系统上的不同安装程序）。在一些实例中，该门户可以包括能够创建一个附加可执行对象（例如，通过下载该附加可执行对象，从而在一个本地系统上创建一个副本）的一个可执行对象（例如，进程、可执行文件等）。

在一个实例中，在此描述的系统可以基于可应用于该门户的一个或多个用户配置来创建该置信带。例如，用户、管理员、和/或安全厂商可以基于某些门户和/或多类门户的已知特征为这些门户或多类门户设置参数。在一些实例中，该置信带可以应用到一类门户（例如，总的来说是互联网浏览器，而不是一个具体的互联网浏览器）。

一旦创建了置信带，在此描述的系统可以通过以下操作应用该置信带：1)识别源自该门户的与该置信带相关联的一个可执行对象（例如，从该门户下载的一个可执行文件），以及2)在该可执行对象的一次处置过程中应用该置信带（例如，通过利用该置信带并结合该可执行对象的分析来确定针对于该可执行对象采取何种安全动作（如果存在的话））。例如，在此描述的系统可以确定与该可执行对象相关联的一个风险评分（独立产生或接收自一个信誉服务）使得该可执行对象被分类为在置信带中是安全的、恶意的、或不确定的。

如以下将要详细解释的，在此描述的系统和方法可以基于原始门户能够进行可执行对象的定制化处置。在可执行对象的处置过程中通过利用定制化的置信带，这些系统和方法可以改善现有的基于试探法的恶意软件检测技术，有可能减少误判和/或漏判并因此增强安全性和/或用户体检。

来自上述任一个实施方案的多种特征可以根据在此说明的通用原理彼此相互结合使用。通过阅读以下的详细说明连同附图和权利要求，将会更加全面地理解这些以及其他的实施方案、特征、和优点。

附图说明

附图展示了多个示例性实施方案并且是本说明书的一部分。这些附图与以下的说明共同展现并解释了本披露的不同原理。

图1是创建在恶意软件检测中使用的定制化置信带的一个示例性系统的方框图。

图2是创建在恶意软件检测中使用的定制化置信带的一个示例性系统的方框图。

图3是创建在恶意软件检测中使用的定制化置信带的一个示例性方法的流程图。

图4是用于恶意软件检测的示例性定制化置信带的图示。

图5是创建在恶意软件检测中使用的定制化置信带的一个示例性系统的方框图。

图6是创建在恶意软件检测中使用的定制化置信带的一个示例性方法的流程图。