[发明专利]针对恶意软件检测的动态隔离

权利要求书

1.一种用于防止恶意软件攻击的方法，包括：

在电子设备上分析数据的一部分；

确定所述数据的恶意软件状态的第一表示，所述第一表示指示：

所述数据的恶意软件状态并不肯定是安全的；以及

所述数据的恶意软件状态并不肯定是恶意的；

基于对所述数据的恶意软件状态的第一表示的确定，隔离所述数据达一段时间；

在所述一段时间之后，确定同一数据的恶意软件状态的第二表示；

通过比较所述第一表示和所述第二表示来估计所述数据是否与恶意软件相关联；以及

基于估计所述数据是否与恶意软件相关联，确定是否将所述数据从隔离区释放。

2.根据权利要求1所述的方法，其中：

比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据的恶意软件状态是安全的可能性的增加；以及

估计所述数据是否与恶意软件相关联包括：基于所述数据的恶意软件状态是安全的可能性的增加来估计所述数据的恶意软件状态是安全的。

3.根据权利要求1所述的方法，其中：

比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据的恶意软件状态是安全的可能性的降低；以及

估计所述数据是否与恶意软件相关联包括：基于所述数据的恶意软件状态是安全的可能性的降低来估计所述数据的恶意软件状态是恶意的。

4.根据权利要求1所述的方法，其中，

比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据的恶意软件状态是安全的可能性的降低；

估计所述数据是否与恶意软件相关联包括：基于所述数据的恶意软件状态是安全的可能性的降低来估计所述数据的恶意软件状态是恶意的；以及

如果估计所述数据与恶意软件相关联，则阻挡所述数据到达预期的接收方。

5.根据权利要求1所述的方法，其中，

比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据的恶意软件状态是安全的可能性的降低；

估计所述数据是否与恶意软件相关联包括：基于所述数据的恶意软件状态是安全的可能性的降低来估计所述数据的恶意软件状态是恶意的；以及

比较所述第一表示和所述第二表示包括：确定所述第二表示是否已经穿过阈值。

6.根据权利要求1所述的方法，其中，比较所述第一表示和所述第二表示产生如下确定：

所述数据的恶意软件状态并不肯定是安全的；以及

所述数据的恶意软件状态并不肯定是恶意的；并且

所述方法还包括：

基于通过比较所述第一表示和所述第二表示产生的所述确定，重复所述隔离并确定所述数据的恶意软件状态的第三表示；

比较所述第三表示与先前确定的表示；以及

基于对所述第三表示与所述先前确定的表示的所述比较，估计所述数据的恶意软件状态。

7.根据权利要求1所述的方法，其中，所述第一表示和所述第二表示包括信誉分数。

8.一种用于防止恶意软件攻击的系统，包括：

计算机可读介质，其用于存储计算机可执行指令；

处理器，其耦合到所述计算机可读介质，其中，所述处理器在执行所述计算机可执行指令时用于：分析数据的一部分，确定所述数据的恶意软件状态的第一表示，所述第一表示指示：所述数据的恶意软件状态并不肯定是安全的，以及所述数据的恶意软件状态并不肯定是恶意的；基于对所述数据的恶意软件状态的第一表示的确定，隔离所述数据达一段时间；在所述一段时间之后，确定同一数据的恶意软件状态的第二表示；通过比较所述第一表示和所述第二表示来估计所述数据是否与恶意软件相关联；以及基于估计所述数据是否与恶意软件相关联，确定是否将所述数据从隔离区释放。