[发明专利]用于恶意代码检测的准确保证的系统及方法

权利要求书

1.一种用于认证由一被允许的代码建立一网络连线的一企图的方法，其特征在于︰所述方法包含步骤︰

提供具有多个之前被观测的多个堆栈跟踪模板的一数据集，其中所述多个堆栈跟踪模板的每一个代表在多个堆栈跟踪中普遍存在的一堆栈跟踪模式，其中所述多个堆栈跟踪是通过监控多个用户的多个堆栈而记录，其中所述多个用户是在一连线建立过程中执行一被允许的代码，其中所述连线建立过程是用于建立与所述被允许的代码相关的多个网络连线；

接收一新的堆栈跟踪，其中所述新的堆栈跟踪是在用于一新的网络连线的一新的连线建立过程中被一新的用户记录；

测量所述新的堆栈跟踪与所述多个堆栈跟踪模板之间的一相似度，以识别一被匹配到的堆栈跟踪模板；

评估所述被匹配到的堆栈跟踪模板，以用于一被预定的规则要求；及

以所述被匹配到的堆栈跟踪模板来更新一规则集数据库，以认证与多个堆栈模板相关联的多个新的网络连线建立，其中所述多个堆栈模板与所述被匹配到的堆栈跟踪模板相匹配；

其中评估所述被匹配到的堆栈跟踪模板的步骤包含：

递增一计数器的一值，其中所述计数器指示从多个不同的用户而来的多个之前堆栈跟踪模板匹配；及

评估所述值是否违反多个匹配的所述被预定的规则要求。

2.如权利要求1所述的方法，其特征在于︰所述多个堆栈跟踪模板被指定为代表所述被允许的代码的一可疑恶意行为。

3.如权利要求1所述的方法，其特征在于︰所述多个堆栈跟踪模板及所述新的堆栈跟踪包括被以与所述被允许的代码的所述堆栈跟踪相关联的方式收集的一上下文数据，及所述相似度是依据所述上下文数据而被测量。

4.如权利要求3所述的方法，其特征在于︰所述上下文数据包括一事件识别码及/或一主机名称。

5.如权利要求3所述的方法，其特征在于︰所述上下文数据包括选自由下述组成的群组中的至少一成员：在个别的用户处运行的一相似操作系统、一相似被允许的应用程序、多个不同被允许的应用程序的一相似堆栈跟踪数据，及建立所述网络连线的多个相似协议。

6.如权利要求1所述的方法，其特征在于︰所述方法还包含︰基于所述匹配的不存在，将所述新的堆栈跟踪加入所述数据集成为一新的堆栈跟踪模板。

7.如权利要求1所述的方法，其特征在于︰所述多个不同的用户为一相同被指定的群组的一部分。

8.如权利要求1所述的方法，其特征在于︰当所述被匹配到的堆栈跟踪模板及所述新的堆栈跟踪与多个不同的用户相关联时，评估所述被匹配到的堆栈跟踪模板的步骤即被进行，以用于所述被预定的规则要求。

9.如权利要求1所述的方法，其特征在于︰所述方法还包含︰

分析所述新的堆栈跟踪以指定所述网络连线为怀疑与一恶意代码相关；及

所述方法还包含︰

重指定与所述恶意代码相关的所述怀疑为与所述被允许的代码相关。

10.如权利要求9所述的方法，其特征在于︰与所述恶意代码相关的所述怀疑是由一新的被允许的代码所引起，其中所述新的被允许的代码被安装于显示一像恶意的行为的所述新的用户上。

11.如权利要求9所述的方法，其特征在于︰所述被允许的代码代表由不正确地引起怀疑与所述恶意代码相关的所述识别而来的一假阳性识别。

12.如权利要求9所述的方法，其特征在于︰所述堆栈跟踪被与至少一堆栈跟踪模板匹配，其中所述堆栈跟踪与一被认证通过的新的网络连线相关联，及所述至少一堆栈跟踪模板与建立用于一恶意通信的所述网络连线的一企图相关联。