[发明专利]良性文件列表生成

说明书

可以通过组合标准列表和客户端列表来生成例外列表。可以获得标识一组标准良性文件的标准良性文件信息。可以获得用于所述一组标准良性文件的一组标准签名。可以获得标识用于客户端的一组客户端良性文件的客户端良性文件信息。可以获得用于所述客户端的所述一组客户端良性文件的一组客户端签名。可以基于所述一组标准签名和所述一组客户端签名，来生成用于所述客户端的客户端例外列表。

相关申请

本申请要求2018年12月17日提交的名称为“Benign File List Generation(良性文件列表生成)”的美国非临时申请No.16/221,799的优先权权益，所述美国非临时申请的内容通过引用以其全文并入本文。

技术领域

本公开总体上涉及生成良性文件列表。

背景技术

恶意软件检测软件的两个目标是对实际的恶意软件具有高检测率并且具有低误报率。当良性文件被视为恶意软件时，会出现误报。通常使用单级方法进行恶意软件检测。使用单级方法时，这两个目标彼此矛盾，因为调整检测以增大一个比率会导致另一个比率也增大。通过使用混合两级方法，可以在保持实际检测率的同时降低误报率。

发明内容

本公开的一个方面涉及一种用于生成良性文件列表的系统。所述系统可以包括一个或多个处理器以及一个或多个非暂态计算机可读存储器，所述一个或多个非暂态计算机可读存储器耦接到所述一个或多个处理器并且配置有能够由所述一个或多个处理器执行的指令。执行所述指令可以使所述系统执行包括以下各项的操作：获得标识一组标准良性文件的标准良性文件信息；获得用于所述一组标准良性文件的一组标准签名；将所述标准良性文件信息添加到标识一组全局良性文件的全局良性文件信息中，其中，所述全局良性文件信息与一组全局签名相关联；获得标识用于第一客户端的第一组客户端良性文件的第一客户端良性文件信息；针对用于所述第一客户端的客户端良性文件，确定所述全局良性文件信息是否标识所述客户端良性文件；响应于确定所述全局良性文件信息未标识所述客户端良性文件，将与所述客户端良性文件相对应的新签名添加到所述一组全局签名；修改所述全局良性文件信息以将所述客户端良性文件与第一客户端标识符相关联；获得用于所述第一客户端的所述第一组客户端良性文件的一组第一客户端签名；以及，基于所述一组标准签名和所述一组第一客户端签名，生成用于所述第一客户端的第一客户端例外列表。

在一些实施例中，所述一组第一客户端签名可以基于所述一组全局签名和所述第一客户端标识符而获得。

本公开的另一方面涉及一种用于生成良性文件列表的系统。所述系统可以包括一个或多个处理器以及一个或多个非暂态计算机可读存储器，所述一个或多个非暂态计算机可读存储器耦接到所述一个或多个处理器并且配置有能够由所述一个或多个处理器执行的指令。执行所述指令可以使所述系统执行包括以下各项的操作：获得用于一组标准良性文件的一组标准签名；获得标识用于第一客户端的第一组客户端良性文件的第一客户端良性文件信息；获得用于所述第一客户端的所述第一组客户端良性文件的一组第一客户端签名；以及，基于所述一组标准签名和所述一组第一客户端签名，生成用于所述第一客户端的第一客户端例外列表。

本公开的又一方面涉及一种用于生成良性文件列表的方法，所述方法包括：获得标识一组标准良性文件的标准良性文件信息；获得用于所述一组标准良性文件的一组标准签名；获得标识用于第一客户端的第一组客户端良性文件的第一客户端良性文件信息；获得用于所述第一客户端的所述第一组客户端良性文件的一组第一客户端签名；以及，基于所述一组标准签名和所述一组第一客户端签名，生成用于所述第一客户端的第一客户端例外列表。

在一些实施例中，获得所述标准良性文件信息可以包括从创建安全标准的组织获得所述标准良性文件信息。

在一些实施例中，可以基于从相应文件提取的核心信息来确定所述第一客户端例外列表中的至少一个签名，其中，从所述相应文件提取的所述核心信息与从类似文件提取的核心信息相匹配。