[发明专利]用于恶意代码检测的系统及方法

权利要求书

1.一种用于检测及防止建立用于恶意通信的一网络连线的一企图的计算机实现的方法，其特征在于︰所述方法包含步骤︰

检测用于建立一网络连线的一连线建立过程，其中所述连线建立过程是由在一用户端上运行的一代码所引发；

分析在所述引发代码的至少一堆栈跟踪中的多笔记录，以检测建立一恶意通信的一尝试，其中所述网络连线被使用于一恶意活动；及

当所述分析的步骤检测到基于所述网络连线建立所述恶意通信的所述尝试时，阻挡所述网络连线的建立。

2.如权利要求1所述的方法，其特征在于︰所述分析所述多笔记录的步骤包含：分析流动数据，其中所述流动数据包括所述至少一堆栈跟踪，及由下述组成的群组中的至少一成员：与所述连线建立相关的线程数据、模块数据及程序数据。

3.如权利要求1所述的方法，其特征在于︰所述方法还包含︰

分别在每一用户处收集与所述至少一堆栈跟踪及/或流动数据相关的一数据；

分别从每一用户传输与所述至少一堆栈跟踪相关的所述数据至一中央服务器；

其中由所述中央服务器进行所述分析的步骤。

4.如权利要求3所述的方法，其特征在于︰与所述至少一堆栈跟踪相关的所述数据包括一动态代码。

5.如权利要求1所述的方法，其特征在于︰所述方法还包含︰当基于所述网络连线建立所述恶意通信的所述尝试没有被检测到时，准许所述连线建立过程激活所述网络连线。

6.如权利要求1所述的方法，其特征在于︰所述分析的步骤在所述网络连线的激活前被进行。

7.如权利要求1所述的方法，其特征在于︰当所述网络连线被激活时，所述分析的步骤在由所述引发应用程序进行的一恶意活动及/或通信相关数据前送之前被进行。

8.如权利要求1所述的方法，其特征在于︰所述至少一堆栈跟踪是在依据用于引发所述连线建立过程的一互联网协议的一传输控制协议(TCP)而执行的所述连线建立期间被收集。

9.如权利要求1所述的方法，其特征在于︰所述方法还包含︰在所述检测后停止所述连线建立过程。

10.如权利要求1所述的方法，其特征在于︰所述至少一堆栈跟踪及/或流动数据是在引发所述连线建立过程时被获得。

11.如权利要求1所述的方法，其特征在于︰

所述至少一堆栈跟踪包括多个堆栈跟踪的至少一顺序，其中所述多个堆栈跟踪是在所述连线建立过程中的多个点位被获得；及

所述分析的步骤包含：将所述多个堆栈跟踪与流动数据分析匹配，其中所述流动数据分析代表建立所述恶意通信的所述尝试。

12.如权利要求1所述的方法，其特征在于︰所述分析的步骤包含：分析所述至少一堆栈跟踪的所述多笔记录，以用于一未知模块及一列入黑名单的或列入白名单的模块中的至少一个，其中所述未知模块及所述列入黑名单的或列入白名单的模块中的至少一个代表所述引发应用程序的感染。

13.如权利要求1所述的方法，其特征在于︰所述分析的步骤包含：分析所述至少一堆栈跟踪，以用于被多个未被感染的应用程序使用的连线建立流动数据分析，其中所述多个未被感染的应用程序在进行所述分析的步骤的一中央服务器处被指定为有效。

14.如权利要求1所述的方法，其特征在于︰所述分析的步骤包含：比对所述至少一堆栈跟踪与连线建立堆栈流动数据分析，其中当所述应用程序没有被一被插入代码感染时，所述连线建立堆栈流动数据分析被预期将会被所述应用程序产生，其中所述被插入代码引发建立所述恶意活动/通信的所述尝试。

15.一种用于检测建立用于恶意通信的一网络连线的一企图的系统，其特征在于︰所述系统包含︰

至少一闸道器，被配置以：

接收一代码的至少一堆栈跟踪，其中所述代码是在用于与一基于网络的服务器建立一网络连线的一连线建立过程中运行在一用户端上；

分析在所述至少一堆栈跟踪中的多笔记录，以决定建立一恶意通信的一尝试存在或不存在，其中所述网络连线被使用于一恶意活动；

当所述多笔记录被与一恶意流动数据分析匹配时，检测建立用于所述恶意通信的所述网络连线的一企图；及

产生一信号，所述信号代表使用所述网络连线建立所述恶意通信的所述尝试。