[发明专利]对于恶意过程的基于非签名的检测的系统和方法

说明书

技术领域

本公开大体上涉及信息安全，并且更特定地涉及以基于非签名的方式检测恶意软件。

背景技术

随着数字存储的数据的普遍性和重要性持续上升，使该数据保持安全的重要性相应地上升。尽管公司和个人试图保护他们的数据，其他个人、组织和企业试图利用安全漏洞以便访问该数据和/或对计算机系统本身造成严重破坏。大体上，试图利用安全漏洞的不同类型的软件可以称作“恶意软件”，并且可归类成包括病毒、蠕虫、广告软件、间谍软件和其他的组。

许多不同的产品尝试保护计算机系统和它们关联的数据以免被恶意软件攻击。一个这样的方法是使用例如McAfee AntiVirus、McAfee Internet Security和McAfee Total Protection等反恶意软件程序。一些反恶意软件程序依赖使用恶意软件签名用于检测。这些签名可基于之前识别的恶意软件的身份或恶意软件文件的一些哈希或其他结构标识符。用于识别恶意软件的另一个方法基于文件的行为。例如，反恶意软件的软件可对于尝试访问存储器的受限部分的过程来监测电子设备。

然而，这些方法依赖静态签名和/或大量的处理能力来跟踪过程行为。另外，签名数据库可能因为识别越来越多的恶意软件而变得非常大。另外，因为略微修改的恶意软件文件的哈希可与原始哈希不同，对恶意软件文件的小的改变可战胜使签名数据库的大小降低的尝试。硬件问题还可因为需要一致网络连接来确保恶意软件签名的最新版本可用而出现。最后，对签名的依赖可以使系统易受瞬时攻击－由之前未识别的恶意软件的攻击。

发明内容

根据本公开的教导，与检测电子设备上的服务攻击的拒绝关联的劣势和问题可改进、减少或消除。

根据本公开的一个实施例，描述用于将多个过程归类到多个过程类别内的方法。该方法可包括：收集该过程的多个特征；将多个归类规则应用于该多个特征来产生多个加权的威胁分数，其中该多个归类规则中的每个对应于多个过程类别中的一个或多个；将多个加权的威胁分数与多个阈值比较，其中该多个阈值中的每个对应于多个过程类别中的一个；以及至少基于多个加权的威胁分数与多个预定阈值的比较将过程归类到一个或多个过程类别中。

根据本公开的另一个实施例，描述用于将多个过程归类到多个过程类别内的系统。该系统可包括处理器，其配置成收集过程的多个特征；将多个归类规则应用于该多个特征来产生多个加权的威胁分数，其中该多个归类规则中的每个对应于多个过程类别中的一个或多个；将多个加权的威胁分数与多个阈值比较，其中该多个阈值中的每个对应于多个过程类别中的一个；以及至少基于多个加权的威胁分数与多个预定阈值的比较将过程归类到一个或多个过程类别中。

附图说明

本实施例及其优势的更完整的理解可通过参考结合附图（其中类似的标号指示类似的特征）来看的下面的描述而获得，并且其中：

图1图示根据本公开的某些实施例用于检测在电子设备上运行的恶意过程的电子设备的高级图；

图2图示根据本公开的某些实施例用于检测在电子设备上运行的恶意过程的电子设备的备选高级图；以及

图3图示根据本公开的某些实施例用于检测在电子设备上运行的恶意过程的示例方法的流程图。

具体实施方式

优选实施例和它们的优势通过参照图1至3而最好地理解，其中类似的数字用于指示类似且对应的部件。

为了该公开的目的，电子设备系统可包括能够存储、处理、发送、接收、使用或处理采用数字形式存储的数据的任何设备、子设备或设备和/子设备的组合，该数据包括存储在计算机可读介质上的数据。计算机可读介质可包括配置成存储数字数据的任何设备、子设备或设备和/或子设备的组合，其无限制地包括硬盘驱动器、闪速存储器、只读存储器、随机存取存储器、光学存储器、固态存储器或用于存储数字数据的任何其他类型的可移动和/或固定介质。