[发明专利]基于频率的信誉

说明书

本公开内容的领域

本申请涉及计算机网络安全的领域，且尤其涉及用于为对象计算基于频率的信誉 的系统、装置和方法。

背景

贯穿本说明书所使用的恶意软件(“malware”)包括任何病毒、木马、机器人、僵尸、 黑客程序(rootkit)、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏 览器辅助对象、cookie、记录器或被设计成采取可能不需要的动作的类似物，包括作为非限 制性示例的数据破坏、隐蔽数据收集、浏览器劫持、网络代理或重定向、隐蔽跟踪、数据记 录、键盘记录、过度或蓄意的障碍移除、联系人搜集以及未经许可的自我传播。在此称为防 恶意软件系统某些系统聚焦于在应用或文件水平标识和打击恶意软件。“可执行对象”包括 任何文件、程序、宏、脚本、文档、记录或包含用于执行程序的代码的类似物。除了被开发成 作为单机程序操作之外，恶意软件也可以采取添加或注入到其他软件的恶意代码的形式。 这种形式的一个示例可以是其中通过寄生复制计算机病毒引入恶意代码的“受感染文件”。 也可以将恶意代码手动注入或将它添加到软件源，以使得在编译之后它将变成可执行对象 的一部分，或者可以被添加到脚本且进行解释，脚本可以编译或者不编译。某些防恶意软件 解决方案聚焦于标识受感染文件且然后移除、隔离或以其他方式阻断它们。

附图简述

在与附图一起阅读时，可从下列详细描述最佳理解本公开内容。要强调的是，根据 本行业中的标准做法，各种特征没有按比例绘制，且仅用于阐释目的。事实上，出于讨论的 清晰起见，可以任意增加或减少各种特征的尺度。

图1是根据本说明书的一个或多个示例的分布式信誉环境的网络级图。

图2是根据本说明书的一个或多个示例包含多个子例程(包括常见子例程)的多个 可执行对象的框图。

图3是根据本说明书的一个或多个示例的客户机设备130的框图。

图4是根据本说明书的一个或多个示例由信誉客户机执行的示例过程的流程图。

图5是根据本说明书的一个或多个示例的信誉服务器的框图。

图6是根据本说明书的一个或多个示例的提供信誉服务器的一种方法的流程图。

各实施例的详细描述

概览

在一种示例中，公开了在子例程水平分析应用和其他可执行对象的防恶意软件系 统和方法。可以给每一子例程指定执行频率评分，该执行频率评分可以基于隔离环境中的 仿真执行、基于真实世界操作条件或基于静态分析。可以基于有多频繁地执行来给每一子 例程指定执行频率评分。基于这种评分，也可以给每一子例程指定信誉评分。为了辅助对在 其他应用中发生的相同子例程的交叉引用，也可以给子例程指定伪唯一标识符，例如模糊 指纹。

本公开内容的各实施例

一些软件生态系统已经向从“应用商店”如谷歌商店(GooglePlay)、苹果商店和 微软商店分发的应用和其他可执行对象的模型迁移。在这种环境中，恶意软件作者可以通 过隐藏恶意功能以免受应用商店筛选来改变适应。一些防恶意软件解决方案也可能难以检 测的一种可能方法是构建有用的或期望的程序例如游戏并向其注入恶意子例程，这些恶意 子例程仅在特定的相对罕见的条件下激活，例如，针对相对小的但期望的用户类别(这种类 型的包含有时被称为“复活节彩蛋”)。在这种场景中，许多用户将发现该应用在预期边界内 操作且看上去是有用和出现有用和有趣的。这些用户可能给予该应用良好评价，从而加剧 了隐藏的恶意软件的散布。

类似地，可以通过贿赂开发商或获得对源代码控制系统的未经授权的访问权的手 段将恶意代码注入到合法软件，例如在入侵拥有对源代码储存库的“写”访问权的人的计算 机之后。这种隐蔽的恶意软件传播可以用于大规模攻击以及有针对性的攻击，包括政府资 助的攻击。

因而，在一些情况中将恶意软件标识限制在可执行对象水平可能不是最优的。相 反，新出现的威胁可能聚焦于新的攻击方法，例如包括：

通过逆向工程或以其他方式修改现有可执行对象以注入恶意软件例程创建受感 染文件，且向应用商店提供经修改的可执行对象。

创建经由应用商店分发的大部分合法的可执行对象，但其中包括偶尔执行的恶意 软件例程，使得难以将可执行对象标识为恶意软件。