[发明专利]分类恶意软件检测和抑制

说明书

相关申请的交叉引用

本申请要求2014年9月26日提交的题为“Taxonomic Malware Detection and Mitigation(分类恶意软件检测和抑制)”的美国实用新型申请号14/497,757的优先权，所述申请通过引用结合在此。

技术领域

本申请涉及计算机安全领域，并且更具体地涉及一种用于进行分类恶意软件检测和抑制的系统和方法。

背景技术

反病毒和反恶意软件研究已经演变成恶意软件作者与安全研究员之间正在进行的军备竞赛。在反恶意软件研究的更早些时候，安全研究员识别已知为恶意软件的可执行对象并对其进行采指纹就足够了。然后，用户计算机上的反恶意软件代理可以在计算机中搜索与已知恶意软件指纹相匹配的可执行对象。

然而，随着恶意软件作者已经增加其努力来避免检测和抑制，依靠简单的指纹识别解决方案已经变得更加困难。在一个示例中，根据可执行对象的校验和来计算所述对象的指纹。校验和是比较两个二进制对象并高度可信地判定它们是否相同的非常有效的方式。如果两个二进制对象具有相同的校验和，则所述两个对象被认为非常高度可信地相同。由此，如果发现可执行对象与已知恶意软件对象具有相同的校验和，则可以安全地隔离可执行对象，隔离有用对象的概率可忽略。

附图说明

当与附图一起阅读时，将从以下详细描述中更好地理解本公开。强调的是，根据行业中的标准实践，不同特征未按比例绘制，并且仅用于说明性目的。实际上，为了讨论清楚，不同特征的尺寸可以被任意放大或减小。

图1是根据本说明书的一个或多个示例的安全使能网络的框图。

图2是根据本说明书的一个或多个示例的计算设备的框图。

图3是根据本说明书的一个或多个示例的服务器的框图。

图4是根据本说明书的一个或多个示例的由分类引擎执行的方法的流程图。

图5是根据本说明书的一个或多个示例的分类引擎的功能性框图。

图6是根据本说明书的一个或多个示例的由分类引擎执行的方法的流程图。

具体实施方式

发明内容

在示例中，分类引擎比较两个二进制对象以便判定它们是否可以被分类为属于共同的族。如示例应用程序，所述分类引擎可用于检测源自共同祖先的恶意软件对象。为了对所述对象进行分类，对所述二进制进行反汇编并且标准化所产生的汇编代码。过滤出如编译器生成的库代码等已知“干净(clean)”函数。然后，可以表征汇编代码的标准化块，如通过形成N-grams并且对每个N-gram进行校验和。可以将这些与已知恶意软件例程进行比较。

本公开的示例实施例

以下公开内容提供了用于实施本公开的不同特征的许多不同实施例或示例。以下描述了部件和安排的具体示例以便简化本公开。当然，这些仅是示例并且并不旨在是限制性的。另外，本公开在各种示例中可以重复参考标号和/或字母。这种重复是为了简单和清晰的目的，并且本身并不指定所讨论的各种实施例和/或配置之间的关系。

不同实施例可以具有不同优点，并且不一定需要任何实施例的任何特定优点。

基于校验和的指纹识别技术和其他常用的恶意软件检测方法受制于由恶意软件作者进行的隐藏技术。例如，尽管校验和是比较两个二进制对象的非常快速且准确的方法，但是通过例如对恶意软件对象进行微小变化及重新编译也很容易将其击败。因为即使微小变化完全改变了校验和，重新编译的恶意软件对象也必须被独立地发现并重新表征。

由此，安全研究员与恶意软件作者之间的军备竞赛的一方面是：恶意软件作者可以频繁地对恶意软件对象进行细微变化，以便击败老的校验和。然后，这些新恶意软件对象在安全研究员能够识别它们并更新它们的校验和之前被释放到它们可能引起一些程度的危害的野外。这种动作对所谓“零日”利用而言特别危险，其中，恶意软件对象保持不被检测直到它达到它选择的某个日期和时间或其他条件，在所述点处，恶意软件对象在野外的所有副本同时递送有效载荷。在零日利用的情况下，在所述对象被检测且使用新校验和更新反恶意软件代理之前可能已经完成大量损害。