[发明专利]指示恶意软件的信号标记

权利要求书

1.一种计算设备，包括：

存储器和至少一个用于执行多个模块的处理器，所述多个模块包括：

静态代码分析模块，用于根据分别对第一组已知恶意软件应用程序代码和第二组已知干净应用程序代码进行的静态代码分析，确定第一组标记和第二组标记；和

信号产生模块，用于根据所述标记的分组产生指示恶意软件的成组信号标记。

2.根据权利要求1所述的计算设备，其中该已知恶意软件应用程序代码为已知恶意软件二进制文件的形式，并且该已知干净应用程序代码为已知干净二进制文件的形式。

3.根据权利要求2所述的计算设备，其中所述标记是根据包括模糊处理容忍规则的规则产生的。

4.根据权利要求3所述的计算设备，其中如果所述规则中的一个规则是击中相应的各个二进制文件，那么产生相应的第一组标记和相应的第二组标记。

5.根据权利要求1所述的计算设备，其中所述成组信号标记基于机器学习。

6.根据权利要求1所述的计算设备，其中所述分组基于空取消引用、资源泄漏、死代码、路径操作、查询字符串注入、命令注入、资源注入和拒绝服务中的至少两个。

7.根据权利要求1所述的计算设备，进一步包括：

用于把所述信号标记输出给信号标记恶意软件可能性数据库的输出模块。

8.一种方法，包括：

根据规则对第一组已知恶意软件应用程序代码和第二组已知干净应用程序代码进行代码分析，以产生标记；

确定成组指示恶意软件的所述标记；和

根据指示恶意软件的所述标记的分组，产生成组信号标记。

9.根据权利要求8所述的方法，其中所述成组信号标记基于机器学习。

10.根据权利要求8所述的方法，其中所述规则包括模糊处理容忍规则。

11.根据权利要求8所述的方法，其中所述分组包括下列中的至少两个：

话费欺诈、引导、滥用权限、作为服务安装的应用程序、敏感数据检索、使用反射、使用动态加载和侵犯隐私。

12.根据权利要求11所述的方法，其中所述话费欺诈包括使用发送文本消息功能，其中所述引导包括获得对设备的特权访问，其中所述滥用权限包括请求高于特定阈值的权限，并且所述敏感数据检索包括调用应用程序接口以检索设备特定的信息。

13.根据权利要求11所述的方法，其中所述使用反射包括使用用于下载指令的功能。

14.一种非暂时性计算机可读存储介质，该存储介质存储指令，所述指令如果被计算设备的至少一个处理器执行，则致使该计算设备：

根据模糊处理容忍规则对第一组已知恶意软件二进制文件和第二组已知干净二进制文件进行静态代码分析，以产生标记；并且

根据基于机器学习的所述标记的分组，产生指示恶意软件的成组信号标记。

15.根据权利要求14所述的非暂时性计算机可读存储介质，其中所述静态代码分析进一步包括数据流源、结构规则、清单可扩展标记语言、语义分析和控制流中的至少两个。