[发明专利]用于恶意软件签名生成的系统和方法

说明书

一种检测恶意软件的技术，该技术涉及：加载已知恶意软件信息；在已知恶意软件信息中查找字符串；将字符串保存在第一数据库中；从已知恶意软件信息识别第一相连字符串块；将置信度指示符分配给第一相连字符串块；尝试在包含从已知恶意软件提取的一个或更多个相连字符串块的第二数据库中查找第一相连字符串块；以及响应于确定第一相连字符串块满足与第二数据库中包含的第二相连字符串块的相似度的预定阈值，对第一相连字符串块进行标记。

技术领域

本文描述的实施方式大体涉及恶意软件检测，并且更具体地涉及基于在存储器中找到的字符串的恶意软件检测。

背景技术

恶意软件的发展比人类用户能够制定对策的速度更快。这使得恶意软件检测变得困难，因为对策通常在识别出非常多的恶意软件之前就已经过时了。从自动化哈希和模糊哈希识别签名到文件几何指纹，存在针对此问题的许多解决方案，但是使主动识别与误报平衡一直是挑战。期望一种更好的方法来识别恶意软件，该方法能够检测先前未知的恶意软件而不会产生过多的误报。

另外，恶意软件混淆增加了检测恶意软件所需的时间和资源。这会将存储器分析的速度减慢到取证分析(而非实时分析)。此外，静态文件扫描程序在尝试跟上混淆器变化速度方面面临艰巨的任务。期望一种处理恶意软件混淆以进行字符串提取的更好的方法。

附图说明

图1是例示了根据一个或更多个实施方式的可编程设备的网络的图。

图2是例示了根据一个或更多个实施方式的利用用于恶意软件签名生成的系统的示例系统的图。

图3是例示了根据一个或更多个实施方式的用于生成恶意软件签名的方法的流程图。

图4是例示了根据一个或更多个实施方式的用于生成恶意软件签名并在客户端的设备上确认签名的方法的流程图。

图5是例示了根据一个或更多个实施方式的用于基于相连字符串块(contiguousstring block)生成恶意软件签名的方法的流程图。

图6A和图6B是例示了根据一个或更多个实施方式的用于基于相连字符串块生成恶意软件签名的另一方法的流程图。

图7是例示了根据一个或更多个实施方式的用于基于通配字符串生成恶意软件签名的方法的流程图。

图8A和图8B是例示了根据一个或更多个实施方式的用于基于通配字符串生成恶意软件签名的另一方法的流程图。

图9是例示了根据一个实施方式的与本文描述的技术一起使用的计算设备的图。

图10是例示了根据另一实施方式的与本文描述的技术一起使用的计算设备的框图。

具体实施方式

在下面的描述中，出于解释的目的，阐述了许多具体细节以便提供对本发明的透彻理解。然而，对本领域技术人员显而易见的是，可以在没有这些具体细节的情况下实践本发明。在其它实例中，以框图形式示出了结构和设备，以避免模糊本发明。对没有下标或后缀的数字的引用应理解为引用与所引用的数字相对应的所有下标和后缀的实例。此外，本公开中使用的语言主要是出于可读性和指导性目的而选择的，并未被选择成划定或限制发明主题，而是借助于确定该发明主题所必需的权利要求。说明书中对“一个实施方式”或“一实施方式”的提及是指结合这些实施方式描述的特定特征、结构或特性包括在本发明的至少一个实施方式中，并且对“一个实施方式”或“一实施方式”的多次提及不应被理解成必须全部指代相同的实施方式。

如本文所使用的，术语“可编程设备”可以指单个可编程设备或一起工作以执行被描述成在可编程设备上或由可编程设备执行的功能的多个可编程设备。

如本文所使用的，术语“介质”是指单个物理介质或可以共同存储被描述成存储在介质上的内容的多个介质。