国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于校正反病毒記錄以最小化惡意軟件誤檢的系統(tǒng)和方法

      文檔序號(hào):6382229閱讀:226來(lái)源:國(guó)知局
      專(zhuān)利名稱(chēng):用于校正反病毒記錄以最小化惡意軟件誤檢的系統(tǒng)和方法
      技術(shù)領(lǐng)域
      本公開(kāi)總體上涉及計(jì)算機(jī)安全領(lǐng)域,并且具體地,涉及用于校正反病毒記錄的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。
      背景技術(shù)
      當(dāng)前,對(duì)反病毒數(shù)據(jù)庫(kù)保持及時(shí)更新是反病毒業(yè)界最緊迫的問(wèn)題之一。事實(shí)上,甚至在惡意軟件程序還沒(méi)被主導(dǎo)的反病毒專(zhuān)家和公司檢測(cè)出的很短時(shí)間內(nèi),該惡意軟件就可能由不同用戶(hù)下載幾十萬(wàn)次,并且感染大量的計(jì)算機(jī)。反病毒數(shù)據(jù)庫(kù)的及時(shí)更新允許充分而快速地執(zhí)行對(duì)惡意軟件的對(duì)抗。但值得注意的是,包括惡意軟件在內(nèi)的軟件數(shù)量正不斷增加,在此過(guò)程中必須有檢測(cè)類(lèi)似應(yīng)用的主動(dòng)聯(lián)系的方法。為了對(duì)抗未知惡意軟件,現(xiàn)代的反病毒公司正采用啟發(fā)式分析方法、利用虛擬化在受保護(hù)環(huán)境中(例如,沙盒、蜜罐)執(zhí)行未知程序、以及基于對(duì)它們的活動(dòng)的分析(例如,HIPS)來(lái)限制程序功能的各種手段。雖然如此,人們并不能完全依賴(lài)于所有上述所枚舉的過(guò)程,這是因?yàn)樵诋?dāng)前反病毒應(yīng)用程序中上述過(guò)程具有與其操作和使用的特性相關(guān)聯(lián)的一定的缺陷,其中在當(dāng)前反病毒應(yīng)用程序中用戶(hù)有權(quán)由于這些技術(shù)需要占用大量的時(shí)間和資源而確立不提供這些技術(shù)的完全使用的設(shè)定,例如當(dāng)啟動(dòng)未知程序時(shí)。在對(duì)未知程序的驗(yàn)證完成之前,用戶(hù)可例如在沙盒形式的保護(hù)環(huán)境中禁止其執(zhí)行,或者減少分配用于模擬的時(shí)間。聯(lián)系到主動(dòng)技術(shù)可能存在低效率操作的風(fēng)險(xiǎn),并鑒于惡意軟件程序數(shù)量的不斷增力口,所謂的“白名單”越來(lái)越普及干凈的(clean)即已驗(yàn)證且可靠的對(duì)象的數(shù)據(jù)庫(kù)。為文件、應(yīng)用程序、鏈接、E-mail消息以及即時(shí)消息傳送系統(tǒng)中的用戶(hù)賬號(hào)記錄、消息交換日志、IP地址、主機(jī)名稱(chēng)、域名等等構(gòu)建干凈對(duì)象的列表。編制類(lèi)似的列表可能始于多種因素存在電子簽名或其他制造商數(shù)據(jù)、關(guān)于源的數(shù)據(jù)(從該處獲得應(yīng)用程序)、關(guān)于應(yīng)用程序鏈接的數(shù)據(jù)(父-子關(guān)系)、針對(duì)應(yīng)用程序版本的數(shù)據(jù)(例如,前一版本已經(jīng)在經(jīng)驗(yàn)證程序的列表中這一事實(shí)出發(fā),可認(rèn)為應(yīng)用程序?yàn)榻?jīng)驗(yàn)證的)、針對(duì)環(huán)境變量的數(shù)據(jù)(例如,操作系統(tǒng)、啟動(dòng)參數(shù))等等。在每一次發(fā)布對(duì)用于反病毒數(shù)據(jù)庫(kù)的簽名的更新之前,必須對(duì)其進(jìn)行沖突檢查,例如利用文件的“白名單”。值得注意的是,在給定時(shí)間所研究的大多數(shù)未知可執(zhí)行文件為所謂的PE (可移植可執(zhí)行)文件并具有PE格式(對(duì)于Windows操作系統(tǒng)家族而言,大多數(shù)惡意軟件為按照該形式所寫(xiě))。PE文件可表示為格式文件頭、一定數(shù)量的包括可執(zhí)行程序格式的部分、以及疊加部分,該疊加部分為在執(zhí)行期間可根據(jù)需要加載的程序段。目前,文件的各種唯一部分被用于試圖創(chuàng)建文件簽名。通常來(lái)說(shuō),源于代碼部分的代碼被用于這些目的。然而,情況常常是專(zhuān)家因?yàn)檫@樣的片段存在于惡意軟件中而將會(huì)錯(cuò)誤地將程序庫(kù)或者其他廣泛使用的代碼解釋為惡意軟件的一部分。在這種情況下,被錯(cuò)誤地應(yīng)用于這一廣泛使用的片段的簽名可能會(huì)被創(chuàng)建。這一簽名將成功地檢測(cè)出惡意軟件應(yīng)用,但它也會(huì)將所有包含這一代碼片段但是干凈的其他文件定義為惡意的。由于這個(gè)錯(cuò)誤而導(dǎo)致誤檢(false detection)發(fā)生。反病毒應(yīng)用程序的操作不論如何都與某些反病毒記錄相關(guān)聯(lián),例如,規(guī)則、模板、列表和簽名,一般來(lái)說(shuō)專(zhuān)家通常參與其創(chuàng)建。這些反病毒記錄允許檢測(cè)和移除惡意軟件。但這一過(guò)程中也不排除人為因素,并且專(zhuān)家也可能會(huì)出差錯(cuò),例如在創(chuàng)建將把某一信息在文件的“白名單”中的干凈軟件確定為惡意的簽名之后。還必須注意到不僅只是專(zhuān)家會(huì)出差錯(cuò)。用于自動(dòng)形成反病毒記錄而存在的系統(tǒng),其試圖檢測(cè)出盡可能多的惡意軟件,將不可避免會(huì)囊括一些干凈的應(yīng)用軟件。因此,為了最小化惡意軟件誤檢,需要出現(xiàn)一種用于校正包含在反病毒數(shù)據(jù)庫(kù)中的反病毒記錄的方法。

      發(fā)明內(nèi)容
      本發(fā)明經(jīng)設(shè)計(jì)用于及時(shí)地校正反病毒記錄以達(dá)到最小化誤檢的目的。技術(shù)結(jié)果包括,通過(guò)針對(duì)記錄使用校正來(lái)使得誤檢最小化,其中所述記錄定義對(duì)象為惡意的或干凈的。在一個(gè)示范性實(shí)施例中,一種方法涉及部署在個(gè)人計(jì)算機(jī)上的軟件應(yīng)用程序,其對(duì)軟件對(duì)象進(jìn)行惡意軟件分析。該應(yīng)用程序從反病毒數(shù)據(jù)庫(kù)檢索與所分析的對(duì)象相關(guān)聯(lián)的反病毒記錄,該記錄識(shí)別所述對(duì)象為惡意的或干凈的。然后反病毒應(yīng)用程序在反病毒高速緩存中檢查對(duì)檢索到的反病毒記錄的校正。如果在反病毒高速緩存中發(fā)現(xiàn)對(duì)該反病毒記錄的校正,則應(yīng)用程序基于該校正更新反病毒數(shù)據(jù)庫(kù)中的反病毒記錄,并使用更新的反病毒記錄用于對(duì)軟件對(duì)象進(jìn)行存在惡意軟件的分析。如果在反病毒高速緩存中沒(méi)有發(fā)現(xiàn)對(duì)反病毒記錄的校正,則應(yīng)用程序利用反病毒服務(wù)器來(lái)檢查反病毒記錄的正確性。反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的多個(gè)反病毒應(yīng)用程序中收集到的有關(guān)軟件對(duì)象的統(tǒng)計(jì)信息來(lái)證實(shí)相關(guān)聯(lián)反病毒記錄的正確性。如果反病毒服務(wù)器提供了對(duì)反病毒記錄的校正,那么反病毒應(yīng)用程序基于該校正來(lái)更新反病毒數(shù)據(jù)庫(kù)中的反病毒記錄,并使用更新的反病毒記錄用于對(duì)軟件對(duì)象進(jìn)行存在惡意軟件的分析。如果反病毒服務(wù)器沒(méi)有提供對(duì)反病毒記錄的校正,那么反病毒應(yīng)用程序使用原始的反病毒記錄來(lái)對(duì)軟件對(duì)象進(jìn)行惡意軟件分析。在利用反病毒服務(wù)器檢查反病毒記錄的正確性期間,反病毒應(yīng)用程序?yàn)榉床《痉?wù)器提供關(guān)于軟件對(duì)象的執(zhí)行的信息。在一個(gè)示范性實(shí)施例中,為了證實(shí)反病毒記錄的正確性,反病毒服務(wù)器將所提供的信息與從其他軟件應(yīng)用程序收集的關(guān)于軟件對(duì)象的統(tǒng)計(jì)信息相比較。在另一個(gè)示范性實(shí)施例中,為了證實(shí)反病毒記錄的正確性,反病毒服務(wù)器將所提供的信息與關(guān)于已知的干凈對(duì)象的信息相比較。在一個(gè)示范性實(shí)施例中,對(duì)反病毒記錄的校正包括反病毒記錄的狀態(tài)的改變。反病毒記錄的狀態(tài)選自包括工作記錄、測(cè)試記錄和非活動(dòng)記錄的組中。在一個(gè)示范性實(shí)施例中,當(dāng)反病毒軟件服務(wù)器基于收集到的關(guān)于所述反病毒記錄的統(tǒng)計(jì)信息而確定將記錄校正規(guī)則應(yīng)用于反病毒記錄時(shí),例如當(dāng)反病毒服務(wù)器確定由所述反病毒記錄將軟件對(duì)象識(shí)別為惡意的數(shù)量超出由所述反病毒記錄將所述軟件對(duì)象識(shí)別為干凈的數(shù)量預(yù)定閾值時(shí),觸發(fā)該反病毒記錄的狀態(tài)的改變。
      上述示范性實(shí)施例的簡(jiǎn)要概括用于提供對(duì)本發(fā)明基本的理解。這一概括并非對(duì)本發(fā)明所有預(yù)期方面的廣泛概述,并且既非意圖確定所有實(shí)施例的關(guān)鍵或決定因素,也非意圖劃定任何或所有實(shí)施例的范圍界。其唯一的目的在于作為本發(fā)明以下更為詳細(xì)的描述的前序,以簡(jiǎn)化的形式預(yù)設(shè)一個(gè)或多個(gè)實(shí)施例。為實(shí)現(xiàn)前述事項(xiàng),一個(gè)或多個(gè)實(shí)施例包括權(quán)利要求中所描述的并且具體指出的特征。


      并入本說(shuō)明書(shū)并構(gòu)成本說(shuō)明書(shū)的一部分的附圖示出本發(fā)明的一個(gè)或多個(gè)示范性實(shí)施例,并且,與詳細(xì)說(shuō)明結(jié)合用于解釋實(shí)施例的原理和實(shí)現(xiàn)方案。在附圖中圖1示出用于更新反病毒數(shù)據(jù)庫(kù)的系統(tǒng)的示意圖;圖2示出反病毒驗(yàn)證的機(jī)制;圖3示出根據(jù)一個(gè)示范性實(shí)施例的,用于防御惡意軟件的客戶(hù)端-服務(wù)器系統(tǒng);圖4示出根據(jù)一個(gè)示范性實(shí)施例的,用于及時(shí)校正反病毒記錄的系統(tǒng)的示意圖;圖5示出根據(jù)一個(gè)示范性實(shí)施例的,用于及時(shí)校正反病毒記錄的系統(tǒng)的操作方法;圖6示出根據(jù)一個(gè)示范性實(shí)施例的計(jì)算機(jī)系統(tǒng)的示意圖。
      具體實(shí)施例方式本文圍繞用于在惡意軟件檢測(cè)期間通過(guò)利用經(jīng)校正的反病毒記錄來(lái)及時(shí)更新反病毒數(shù)據(jù)庫(kù)以最小化誤報(bào)的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品來(lái)描述本發(fā)明的示范性實(shí)施例。本領(lǐng)域的普通技術(shù)人員應(yīng)該理解以下描述僅是示例性的,而非意圖以任何方式進(jìn)行限定。受益于此公開(kāi)內(nèi)容,本領(lǐng)域技術(shù)人員容易想到其他實(shí)施例?,F(xiàn)進(jìn)行詳細(xì)介紹以實(shí)現(xiàn)如附圖所示的本發(fā)明的示范性實(shí)施例。貫穿附圖及隨后的描述都盡可能使用相同的附圖標(biāo)記來(lái)表示相同的或相似的項(xiàng)目。圖1顯示了用于更新反病毒數(shù)據(jù)庫(kù)的示范性系統(tǒng)。通常,反病毒更新定向?yàn)閺母路?wù)器110通過(guò)因特網(wǎng)140至運(yùn)行反病毒應(yīng)用程序125的PC 120。服務(wù)器110維護(hù)反病毒數(shù)據(jù)庫(kù)130,所述反病毒數(shù)據(jù)庫(kù)130由反病毒公司利用新的以及更新的反病毒記錄來(lái)不斷地增補(bǔ)。因此,反病毒公司不斷地發(fā)布新的簽名、啟發(fā)法、家長(zhǎng)控制的手段以及其他對(duì)象,可以在兩種狀態(tài)組中對(duì)其進(jìn)行發(fā)布,包括這些反病毒記錄已經(jīng)驗(yàn)證且工作(working),以及在測(cè)試模式下對(duì)可在用戶(hù)計(jì)算機(jī)上檢查出來(lái)的反病毒記錄加以測(cè)試。在一個(gè)示范性實(shí)施例中,反病毒數(shù)據(jù)庫(kù)130包括經(jīng)驗(yàn)證為工作和測(cè)試記錄這兩者。工作反病毒記錄(例如,簽名、啟發(fā)法及其他)與測(cè)試記錄不同,事實(shí)上,如果工作記錄被激活,它會(huì)產(chǎn)生事件的用戶(hù)通知。如果測(cè)試記錄被激活,那么將不會(huì)通知用戶(hù)。因此,在此以及在下文中術(shù)語(yǔ)“工作記錄”將理解為具有“工作”狀態(tài)的反病毒記錄,而術(shù)語(yǔ)“測(cè)試記錄”將理解為具有“測(cè)試”狀態(tài)的反病毒記錄。必須注意,系統(tǒng)運(yùn)行并不限于僅使用具有已指出狀態(tài)的反病毒記錄,也可具有其他狀態(tài)。在反病毒更新期間,將新的反病毒記錄從反病毒數(shù)據(jù)庫(kù)130經(jīng)由因特網(wǎng)140傳送至PC 120。將包含更新模塊150的反病毒應(yīng)用程序125安裝在PC 120上,將記錄從反病毒數(shù)據(jù)庫(kù)130傳送至所述更新模塊150。反病毒應(yīng)用程序125具有其自己的反病毒數(shù)據(jù)庫(kù)160,工作記錄以及測(cè)試記錄均存儲(chǔ)在其中。反病毒數(shù)據(jù)庫(kù)160可由反病毒應(yīng)用程序的分析模塊之一所使用;其可以是簽名驗(yàn)證模塊、模擬器、啟發(fā)式驗(yàn)證工具以及其他。來(lái)自反病毒數(shù)據(jù)庫(kù)130的新的記錄由更新模塊150傳送至反病毒數(shù)據(jù)庫(kù)160中,所述新的記錄與工作記錄與測(cè)試記錄二者有關(guān)。在反病毒數(shù)據(jù)庫(kù)160中所發(fā)現(xiàn)的每個(gè)記錄均具有唯一識(shí)別符(ID)。每個(gè)反病毒記錄均允許檢測(cè)一個(gè)或若干個(gè)惡意對(duì)象,每個(gè)對(duì)象均具有自己的哈希和(hash sum)o必須注意,通常使用MD5算法計(jì)算哈希和,但也可使用其它哈希函數(shù)計(jì)算,例如MD4、SHA1、SHA2、SHA256等等。反病毒記錄的唯一識(shí)別符與對(duì)象的哈希和之間的關(guān)系是“多對(duì)多”的關(guān)系。例如,具有唯一識(shí)別符的一個(gè)記錄可以和若干個(gè)哈希和相關(guān)聯(lián)。同時(shí),一個(gè)哈希和可對(duì)應(yīng)若干個(gè)記錄。例如,如果具有唯一識(shí)別符的單獨(dú)的記錄首先被應(yīng)用于特定哈希和,然后新的記錄被創(chuàng)建以允許檢測(cè)類(lèi)似惡意程序的整個(gè)族,則可能發(fā)生這一情況。應(yīng)該注意,反病毒更新的過(guò)程可以小時(shí)為間隔發(fā)生。如果在反病毒數(shù)據(jù)庫(kù)160進(jìn)行反病毒更新之后得到一個(gè)簽名,例如使用該簽名將已知是干凈的對(duì)象確定為惡意的,那么類(lèi)似事件為誤讀并導(dǎo)致錯(cuò)誤的通知。經(jīng)過(guò)若干小時(shí),誤讀可在大量的PC 120上發(fā)生,并且將會(huì)向大量的用戶(hù)通知干凈對(duì)象的檢測(cè)為惡意的,直到這樣的錯(cuò)誤被校正的下一個(gè)反病毒。因此,在反病毒數(shù)據(jù)庫(kù)的基本更新之前允許及時(shí)的反病毒記錄校正的機(jī)制是必要的,以達(dá)到最小化誤讀和錯(cuò)誤通知的目的。圖2描繪了通過(guò)部署在PC 120上的反病毒應(yīng)用程序125進(jìn)行反病毒驗(yàn)證的機(jī)制。反病毒數(shù)據(jù)庫(kù)160包含工作反病毒記錄210和測(cè)試記錄220。每個(gè)反病毒記錄均具有其自己的唯一的識(shí)別符。在特定對(duì)象200的反病毒驗(yàn)證期間,反病毒應(yīng)用程序可使用來(lái)自于反病毒數(shù)據(jù)庫(kù)160的具有唯一識(shí)別符的任意記錄。來(lái)自于反病毒數(shù)據(jù)庫(kù)160的每個(gè)記錄均基于驗(yàn)證的結(jié)果提出裁決230。反病毒數(shù)據(jù)庫(kù)160包含允許反病毒應(yīng)用程序檢測(cè)惡意對(duì)象200并隨后實(shí)施一系列旨在無(wú)效該對(duì)象200的動(dòng)作的記錄。因此,當(dāng)反病毒應(yīng)用程序125使用來(lái)自于反病毒數(shù)據(jù)庫(kù)160的記錄來(lái)分析對(duì)象200時(shí),針對(duì)該對(duì)象200的裁決將在激活的記錄的基礎(chǔ)上,可識(shí)別對(duì)象200為惡意對(duì)象230a。但針對(duì)對(duì)象200的這一記錄和裁決有可能不準(zhǔn)確,這是因?yàn)槔缂词故窃谠搶?duì)象實(shí)際為干凈的情況下,反病毒應(yīng)用程序125所使用的反病毒記錄可能識(shí)別對(duì)象200為惡意的。因此需要一種工具用于驗(yàn)證由反病毒應(yīng)用程序所使用的記錄的有效性,并用于無(wú)效反病毒記錄的及時(shí)校正。圖3描繪了根據(jù)一個(gè)示范性實(shí)施例的,保護(hù)PC以防御惡意軟件的系統(tǒng)。用于防御惡意軟件的系統(tǒng)包括反病毒應(yīng)用程序310,該反病毒應(yīng)用程序310包含大量分析模塊320,其允許惡意軟件的檢測(cè)和例如移除。對(duì)于分析模塊320的操作而言,反病毒應(yīng)用程序310維護(hù)其自己的反病毒數(shù)據(jù)庫(kù)160,其包含工作記錄210和測(cè)試記錄220 二者。每個(gè)反病毒記錄均有其自己的唯一識(shí)別符。在特定對(duì)象200的反病毒驗(yàn)證期間,來(lái)自分析模塊系列320中的任意分析模塊均可使用來(lái)自反病毒數(shù)據(jù)庫(kù)160的記錄。這些記錄例如為簽名、啟發(fā)法、家長(zhǎng)控制的手段以及其他。必須注意,并非所有來(lái)自分析模塊系列320的分析模塊都使用相同的記錄。取決于對(duì)象200的類(lèi)型使用合適的分析模塊,其采用反病毒記錄來(lái)驗(yàn)證該對(duì)象200。若干個(gè)分析模塊也可以聯(lián)合執(zhí)行對(duì)象200的驗(yàn)證。來(lái)自分析模塊系列320中用于特定對(duì)象200的反病毒檢查的任何分析模塊均可使用工作記錄210和測(cè)試記錄220 二者,其中所述工作記錄210的激活將觸發(fā)用戶(hù)通知,而所述測(cè)試記錄220的激活不會(huì)觸發(fā)用戶(hù)通知。反病毒應(yīng)用程序310還可包含高速緩存330,對(duì)于存儲(chǔ)對(duì)反病毒記錄的校正是必要的。與來(lái)自于反病毒數(shù)據(jù)庫(kù)160的具有相同識(shí)別符的記錄相比,位于高速緩存330中的校正,例如校正的記錄或者記錄的狀態(tài),具有更高的優(yōu)先權(quán)。如果在使用某一分析模塊對(duì)對(duì)象200進(jìn)行反病毒檢查期間,有可能使用來(lái)自反病毒數(shù)據(jù)庫(kù)160的針對(duì)對(duì)象200記錄或者是來(lái)自高速緩存330具有相同識(shí)別符的記錄,那么該分析模塊將選擇來(lái)自于高速緩沖器330的記錄。如果反病毒記錄既激活作為工作記錄也激活作為測(cè)試記錄,則將關(guān)于所激活記錄的信息發(fā)送至分析和校正服務(wù)器340,在該服務(wù)器上可驗(yàn)證所激活記錄的有效性。與由記錄所檢測(cè)的對(duì)象200有關(guān)的信息也可發(fā)送至分析和校正服務(wù)器340。該信息對(duì)于識(shí)別數(shù)據(jù)庫(kù)160中其運(yùn)行導(dǎo)致發(fā)生誤檢和用戶(hù)通知的那些記錄是必需的。關(guān)于由記錄所檢測(cè)的對(duì)象200的信息可表示為這些對(duì)象200的元數(shù)據(jù)的形式。分析和校正服務(wù)器340可由反病毒服務(wù)的公司提供商所托管,并且它從部署有反病毒應(yīng)用程序310的許多PC120處接收關(guān)于所激活的反病毒記錄以及關(guān)于由這些記錄所檢測(cè)的對(duì)象200的統(tǒng)計(jì)信息。反病毒應(yīng)用程序310與分析和校正服務(wù)器340之間通過(guò)因特網(wǎng)140進(jìn)行通信。如果在運(yùn)行期間,來(lái)自于分析模塊系列320的某一分析模塊激活來(lái)自于反病毒庫(kù)160的反病毒記錄,那么該分析模塊配置為發(fā)送查詢(xún)至分析和校正服務(wù)器340以檢查所激活記錄的有效性。在利用所激活記錄實(shí)施任何動(dòng)作之前進(jìn)行該查詢(xún)。因此,例如在針對(duì)由具有“工作”狀態(tài)的所激活記錄來(lái)檢測(cè)惡意對(duì)象而產(chǎn)生通知之前發(fā)送查詢(xún)。如果針對(duì)查詢(xún)的響應(yīng)確認(rèn)了所激活記錄的有效性,那么繼而發(fā)生通知,并且實(shí)施指向使惡意對(duì)象200無(wú)效的進(jìn)一步的動(dòng)作。對(duì)導(dǎo)致錯(cuò)檢和用戶(hù)通知的反病毒記錄的檢測(cè)和校正,在對(duì)與使用這些記錄所檢測(cè)的對(duì)象200相關(guān)聯(lián)的統(tǒng)計(jì)信息進(jìn)行處理的過(guò)程中被實(shí)施。圖4描繪了根據(jù)一個(gè)示范性實(shí)施例的,用于及時(shí)校正反病毒記錄以最小化誤檢的系統(tǒng)。如此前所注意到的,反病毒應(yīng)用程序310在其運(yùn)行期間與分析和校正服務(wù)器340進(jìn)行交互。因此,例如當(dāng)唯一的反病毒記錄被激活時(shí),工作記錄或者是測(cè)試記錄,都將關(guān)于該所激活記錄的信息發(fā)送至分析和校正服務(wù)器340,在所述分析和校正服務(wù)器340上對(duì)所激活記錄實(shí)施有效性檢查。在一個(gè)實(shí)施例中,分析和校正服務(wù)器340包含經(jīng)校正記錄的數(shù)據(jù)庫(kù)440,所述數(shù)據(jù)庫(kù)440存儲(chǔ)對(duì)在之前的分析期間被認(rèn)為引起誤測(cè)的那些記錄的校正。例如,與對(duì)反病毒記錄的狀態(tài)校正有關(guān)的信息存儲(chǔ)在該數(shù)據(jù)庫(kù)440中。在示范性實(shí)施例的描述中將進(jìn)一步描述這一情況。但應(yīng)該理解,正被描述的系統(tǒng)并非限于所描述的示范性實(shí)施例,并且經(jīng)校正記錄的數(shù)據(jù)庫(kù)440也可包含完全改變了的反病毒記錄。在通常情況下,在特定對(duì)象200的反病毒檢查期間,來(lái)自分析模塊系列320中的任意分析模塊均可使用來(lái)自于反病毒數(shù)據(jù)庫(kù)160的記錄。此外,如果來(lái)自分析模塊系列320中的任意分析模塊均已使用特定的反病毒記錄確定對(duì)象200的惡意性,那么在根據(jù)所激活記錄執(zhí)行任何動(dòng)作之前,諸如發(fā)出該事件的用戶(hù)通知,該分析模塊將發(fā)送查詢(xún)至分析和校正服務(wù)器340,特別是發(fā)送至經(jīng)校正記錄的數(shù)據(jù)庫(kù)440。在查詢(xún)中,例如,將為來(lái)自于反病毒數(shù)據(jù)庫(kù)160的所激活反病毒記錄指明識(shí)別符。如果具有該識(shí)別符的記錄在反病毒數(shù)據(jù)庫(kù)160的下一次更新之前被校正,例如其狀態(tài)被改變,并且在校正數(shù)據(jù)庫(kù)440中發(fā)現(xiàn)該校正,在此情況下該校正為關(guān)于新?tīng)顟B(tài)的信息,那么響應(yīng)于針對(duì)部分反病毒應(yīng)用程序310的查詢(xún),例如響應(yīng)于來(lái)自分析模塊系列320的任意分析模塊,將傳送與對(duì)所激活反病毒記錄的狀態(tài)進(jìn)行校正有關(guān)的信息。對(duì)于對(duì)象200,反病毒應(yīng)用程序310以及特別是來(lái)自分析模塊系列320中的任意分析模塊的進(jìn)一步的操作,將根據(jù)所激活的反病毒記錄的改變后的狀態(tài)來(lái)執(zhí)行。在具體情況下,可將關(guān)于對(duì)記錄的校正的信息從分析模塊系列320中的任意分析模塊傳送至高速緩存330,該高速緩存330為存儲(chǔ)對(duì)反病毒記錄的校正所必需。在高速緩存330中發(fā)現(xiàn)的校正總是被用于特定對(duì)象200的反病毒檢查中。因此,例如在激活來(lái)自于反病毒數(shù)據(jù)庫(kù)160的特定記錄時(shí),將首先在高速緩存330中檢查對(duì)該記錄的校正的存在。如果在高速緩存330中存在校正,例如所激活的反病毒記錄的狀態(tài)的改變,那么反病毒應(yīng)用程序以及特別是來(lái)自分析模塊系列320中的任意分析模塊的操作將根據(jù)所激活的反病毒記錄的改變后的狀態(tài)來(lái)執(zhí)行。在具體情況下,如果作為對(duì)經(jīng)校正記錄的數(shù)據(jù)庫(kù)440進(jìn)行查詢(xún)的結(jié)果,來(lái)自分析模塊系列320中的任意分析模塊已經(jīng)接收完全改變的反病毒記錄并已將其保存在高速緩存330中,那么一旦進(jìn)行進(jìn)一步操作,則與來(lái)自于反病毒數(shù)據(jù)庫(kù)160的記錄相比較,該記錄特別將具有更高的優(yōu)先權(quán)。也就是說(shuō),如果在由來(lái)自分析模塊系列320中的任意分析模塊進(jìn)行特定對(duì)象200的反病毒分析期間,有使用來(lái)自于反病毒數(shù)據(jù)庫(kù)160或者來(lái)自于高速緩存330的與對(duì)象200相關(guān)聯(lián)的反病毒記錄的選項(xiàng),那么該分析模塊將選擇來(lái)自于高速緩存330的記錄。必須注意,由于對(duì)已經(jīng)發(fā)生的校正加以考慮的更新的反病毒記錄將在下一次更新時(shí)被傳送至反病毒數(shù)據(jù)庫(kù)160,因此在反病毒數(shù)據(jù)庫(kù)160的下一次更新后高速緩存330被清除。如上所述,在一個(gè)示范性實(shí)施例中,反病毒記錄的狀態(tài)可以為“工作”,“測(cè)試”或“不活動(dòng)(inactive)”。當(dāng)激活“工作”記錄時(shí),用戶(hù)收到關(guān)于該事件的通知;當(dāng)激活“測(cè)試”記錄時(shí),不會(huì)發(fā)生通知。如果同時(shí)具有工作狀態(tài)和測(cè)試狀態(tài)的記錄是激活的,則將關(guān)于該所激活記錄的信息,例如它的識(shí)別符以及有關(guān)對(duì)象200的統(tǒng)計(jì)信息發(fā)送至分析和校正服務(wù)器340,在該對(duì)象200的檢查期間該反病毒記錄被激活。當(dāng)“不活動(dòng)”的記錄被激活時(shí),并不實(shí)施上述動(dòng)作。對(duì)于“不活動(dòng)”狀態(tài)的必要性由以下幾方面的考慮產(chǎn)生。首先,任何記錄改變?yōu)椤安换顒?dòng)”狀態(tài)允許避免誤檢和用戶(hù)通知。此外,當(dāng)來(lái)自于反病毒數(shù)據(jù)庫(kù)160的任意記錄開(kāi)始將干凈的而且被安裝在世界上大多數(shù)PC 120上的對(duì)象定義為惡意時(shí),如MicrosoftWord軟件這樣的對(duì)象,則有關(guān)該對(duì)象200的大量統(tǒng)計(jì)數(shù)據(jù)將被發(fā)送至分析和校正服務(wù)器340。這樣的統(tǒng)計(jì)數(shù)據(jù)流可使得服務(wù)器340出現(xiàn)過(guò)載。及時(shí)在服務(wù)器340上將這一記錄的狀態(tài)改變?yōu)椤安换顒?dòng)”允許對(duì)統(tǒng)計(jì)數(shù)據(jù)的后續(xù)傳送加以阻止。如果在經(jīng)校正記錄的數(shù)據(jù)庫(kù)440中或者高速緩存330中沒(méi)有關(guān)于對(duì)所激活記錄的校正的信息,那么取決于記錄的狀態(tài),可向用戶(hù)傳送與檢測(cè)惡意對(duì)象200有關(guān)的通知。關(guān)于所激活反病毒記錄的信息,例如它的識(shí)別符連同與激活該記錄的對(duì)象200有關(guān)的統(tǒng)計(jì)信息,也可被發(fā)送至分析和校正服務(wù)器340,特別是發(fā)送至信息處理模塊410。必須注意,有關(guān)對(duì)象200的統(tǒng)計(jì)數(shù)據(jù)集總是與關(guān)于所激活記錄的信息一起被發(fā)送,該記錄在該對(duì)象200的反病毒檢查期間由來(lái)自反病毒應(yīng)用310的分析模塊系列320中的某一分析模塊所激活。統(tǒng)計(jì)數(shù)據(jù)集可包括不同的參數(shù),例如對(duì)象200的名稱(chēng)、該對(duì)象200的哈希和、版本、權(quán)限等等。分析和校正服務(wù)器也可維護(hù)干凈對(duì)象數(shù)據(jù)庫(kù)430,干凈對(duì)象數(shù)據(jù)庫(kù)430包括已知的干凈對(duì)象,諸如文件、鏈接、e-mail消息、以及用于即時(shí)消息傳送通信的用戶(hù)賬戶(hù)記錄、信息交換日志、IP地址、主機(jī)名稱(chēng)、域名和廣告公司識(shí)別符等等。以下本文描述示例性實(shí)施例,干凈對(duì)象數(shù)據(jù)庫(kù)430博阿含被認(rèn)為是可信任的并且對(duì)PC120和存儲(chǔ)在該P(yáng)C 120上的數(shù)據(jù)不顯現(xiàn)威脅的對(duì)象的哈希和。必須注意,系統(tǒng)并不限于所給定的示例性實(shí)施例,并且存在大量的可存儲(chǔ)于干凈對(duì)象數(shù)據(jù)庫(kù)430中的數(shù)據(jù)。在接收到關(guān)于被激活的反病毒記錄的信息諸如它的識(shí)別符,以及關(guān)于其分析觸發(fā)了反病毒記錄的激活的對(duì)象200的統(tǒng)計(jì)信息之后,信息處理模塊410實(shí)施對(duì)接收到的信息與存儲(chǔ)在干凈對(duì)象數(shù)據(jù)庫(kù)430中的信息的比較。因此,在一個(gè)示范性實(shí)施例中,可將由來(lái)自反病毒應(yīng)用程序310的分析模塊系列320中的某一分析模塊所檢查的、反病毒記錄針對(duì)其被激活的并且被認(rèn)為是惡意的對(duì)象200的哈希和,與存儲(chǔ)在干凈對(duì)象數(shù)據(jù)庫(kù)430中的干凈對(duì)象的哈希和相比較。如果由分析模塊系列320中的某一分析模塊使用反病毒記錄檢查并且認(rèn)為是惡意的對(duì)象200的哈希和與來(lái)自于干凈對(duì)象數(shù)據(jù)庫(kù)430的干凈對(duì)象的哈希和一致,那么信息處理模塊410將關(guān)于評(píng)估該對(duì)象為惡意的記錄的信息,例如它的識(shí)別符,從干凈對(duì)象數(shù)據(jù)庫(kù)430發(fā)送至記錄校正模塊420。記錄校正模塊420設(shè)計(jì)為處理關(guān)于反病毒記錄的信息,并且對(duì)這些記錄例如對(duì)它們的狀態(tài)進(jìn)行校正,所述反病毒記錄錯(cuò)誤的進(jìn)行操作并將來(lái)自于數(shù)據(jù)庫(kù)430的干凈對(duì)象確定為惡意的。記錄校正模塊420包含規(guī)則數(shù)據(jù)庫(kù)420a,在其激活期間將由分析和校正模塊420對(duì)錯(cuò)誤的反病毒記錄進(jìn)行校正。因此,例如,如果在50個(gè)PC 120上對(duì)象200被認(rèn)為是惡意的,那么在規(guī)則數(shù)據(jù)庫(kù)420a中可以存在這樣的規(guī)則,其規(guī)定模塊420將其哈希和在干凈對(duì)象數(shù)據(jù)庫(kù)430中被發(fā)現(xiàn)的對(duì)象200的記錄的狀態(tài)從“工作”校正為“不活動(dòng)”。例如,考慮到若干個(gè)對(duì)象200也可由一個(gè)反病毒記錄識(shí)別為惡意的,則規(guī)定將記錄狀態(tài)從“工作”校正為“不活動(dòng)”的規(guī)則也可在指定的比例閾值上被激活,該比例在對(duì)象非惡意時(shí)由被認(rèn)為是惡意的對(duì)象的反病毒記錄加以確定與由實(shí)際上惡意的對(duì)象的相同記錄加以確定之間。如果該比例超出預(yù)設(shè)的閾值,例如超出0. 01%,那么將由記錄校正模塊420將該反病毒記錄的狀態(tài)從“工作”改為“不活動(dòng)”。類(lèi)似地,具有“工作”狀態(tài)的記錄也可改變?yōu)椤皽y(cè)試”狀態(tài),并且反之亦然。例如,如果由實(shí)際上惡意的對(duì)象的該記錄加以確定和由被認(rèn)為是惡意的干凈對(duì)象的相同記錄加以確定之間的比例值相應(yīng)地為99. 9%,那么該反病毒記錄的狀態(tài)可由該記錄校正模塊420從“測(cè)試”改變?yōu)椤肮ぷ鳌?。然而,如果該比例值降低到例?0%或者更低的值,那么將由記錄校正模塊420將該反病毒記錄的狀態(tài)從“測(cè)試”改變?yōu)椤安换顒?dòng)”。此外,反病毒記錄的新?tīng)顟B(tài)將和該記錄的識(shí)別符一起被發(fā)送至經(jīng)校正記錄的數(shù)據(jù)庫(kù)440。在一個(gè)示范性實(shí)施例中,只要用于校正記錄狀態(tài)的規(guī)則被激活并且記錄狀態(tài)被改變,則記錄校正模塊420就可使用例如推送更新(PUSH-update)技術(shù)來(lái)執(zhí)行將與任意反病毒記錄的經(jīng)校正狀態(tài)有關(guān)的信息傳遞至大量PC 120上的反病毒應(yīng)用程序310的高速緩存330。推送更新技術(shù)是用于強(qiáng)制更新的技術(shù)。也就是說(shuō),一旦更新在服務(wù)器變得可用,則服務(wù)器110自動(dòng)地將更新傳送至反病毒應(yīng)用程序310,而不是由反病毒應(yīng)用310每幾分鐘就對(duì)更新服務(wù)器110檢查更新的存在。因此,所描述的系統(tǒng)對(duì)由反病毒應(yīng)用程序310所使用的錯(cuò)誤的反病毒記錄實(shí)施檢測(cè)、校正這些記錄的狀態(tài)、并將對(duì)記錄的校正傳遞至經(jīng)校正記錄的數(shù)據(jù)庫(kù)440或使用推送-更新技術(shù)傳遞至安裝在許多PC 120上的反病毒應(yīng)用程序310的高速緩存330。在一個(gè)示范性實(shí)施例中,可將人為分析引入到由記錄校正模塊420接收到的反病毒記錄的分析中。分析師可負(fù)責(zé)利用新規(guī)則來(lái)填充規(guī)則數(shù)據(jù)庫(kù)420a,基于所述新規(guī)則反病毒記錄將被改變。分析師也可利用關(guān)于各種記錄的新?tīng)顟B(tài)的信息以及完全改變了的反病毒記錄來(lái)填充經(jīng)校正記錄數(shù)據(jù)庫(kù)440。圖5描繪了用于及時(shí)地校正反病毒記錄以最小化惡意軟件誤檢的系統(tǒng)的運(yùn)行方法。系統(tǒng)的運(yùn)行從步驟510開(kāi)始,在該步驟由來(lái)自反病毒應(yīng)用程序310的分析模塊系列320中的某一分析模塊在對(duì)象200的反病毒檢查期間對(duì)來(lái)自于反病毒數(shù)據(jù)庫(kù)160的一個(gè)唯一的反病毒記錄進(jìn)行激活。所激活的記錄具有唯一識(shí)別符以及狀態(tài),例如“工作”、“測(cè)試”或者“不活動(dòng)”。然后在步驟520,在對(duì)由反病毒記錄確定為惡意的對(duì)象200實(shí)施任何動(dòng)作,例如通知用戶(hù)在PC 120上檢測(cè)到這一對(duì)象之前,來(lái)自分析模塊系列320的某個(gè)分析模塊查詢(xún)分析和校正服務(wù)器340,特別是查詢(xún)經(jīng)校正記錄數(shù)據(jù)庫(kù)440,目的在于確立所激活記錄的有效性。例如,在查詢(xún)中指出所激活反病毒記錄的識(shí)別符。然后,在步驟530,如果具有該識(shí)別符的記錄在下一次更新之前被校正例如它的狀態(tài)改變,并且該校正在校正數(shù)據(jù)庫(kù)440中被發(fā)現(xiàn),在這種情況下所述校正為關(guān)于新的狀態(tài)的信息,那么在步驟540,響應(yīng)于對(duì)反病毒應(yīng)用程序310的查詢(xún),例如對(duì)來(lái)自分析模塊系列320中的某一分析模塊的查詢(xún),將傳送與所激活記錄的狀態(tài)的校正有關(guān)的信息。進(jìn)一步,反病毒應(yīng)用程序310,特別是來(lái)自分析模塊系列320中的某一分析模塊,將使用經(jīng)校正記錄來(lái)對(duì)對(duì)象200進(jìn)行惡意軟件的存在的分析,或者實(shí)施與反病毒記錄的更新后狀態(tài)相關(guān)聯(lián)的其他動(dòng)作。例如,取決于記錄的新的狀態(tài),如果例如反病毒記錄的狀態(tài)從“測(cè)試”改變?yōu)椤肮ぷ鳌?,則可將檢測(cè)惡意對(duì)象200的通知發(fā)送給用戶(hù)。另一方面,如果例如記錄的狀態(tài)改變?yōu)椤安换顒?dòng)”記錄,則沒(méi)有通知。然后系統(tǒng)的運(yùn)行在步驟540后結(jié)束。在一個(gè)示范性實(shí)施例中,系統(tǒng)的運(yùn)行可能并不在步驟540之后結(jié)束,而是繼續(xù)進(jìn)入步驟550。如前所述,一個(gè)反病毒記錄可將若干個(gè)對(duì)象200檢測(cè)為惡意的。在系統(tǒng)運(yùn)行期間,可能會(huì)有這樣的情況可出現(xiàn)新的對(duì)象200,例如用于屬于“干凈”對(duì)象的新應(yīng)用程序的安裝文件,并且其狀態(tài)之前從“測(cè)試”校正為“工作”的反病毒記錄已經(jīng)開(kāi)始將該對(duì)象定義為惡意的。將系統(tǒng)在步驟540之后的運(yùn)行擴(kuò)展至步驟550有助于避免這樣的情況,即誤報(bào)檢測(cè),也就是在校正了反病毒記錄,比如其狀態(tài)之后反復(fù)出現(xiàn)誤檢的風(fēng)險(xiǎn)。在一個(gè)示范性實(shí)施例中,在步驟540,將與記錄的校正有關(guān)的信息從來(lái)自分析模塊系列320中的某一分析模塊傳送至高速緩存330,該高速緩存330為存儲(chǔ)這些對(duì)反病毒記錄的校正所必需。在高速緩存330中發(fā)現(xiàn)的校正總是被用于某一對(duì)象200的反病毒檢查中。因此,例如,當(dāng)激活來(lái)自于反病毒數(shù)據(jù)庫(kù)160的某一記錄時(shí),將對(duì)高速緩存330中的這一記錄檢查校正的存在。如果在高速緩存330中存在校正,例如反病毒記錄的狀態(tài)的改變,那么反病毒應(yīng)用程序310的操作,特別是來(lái)自分析模塊系列320的某一分析模塊的操作,將根據(jù)所激活記錄的經(jīng)校正狀態(tài)來(lái)實(shí)施。在具體的實(shí)施例中還必須注意,將記錄校正從記錄校正模塊420直接傳送至高速緩存330時(shí),在步驟520,來(lái)自分析模塊系列320中的某一分析模塊將查詢(xún)反病毒應(yīng)用程序310的高速緩存330,而非分析和校正服務(wù)器340。以及,如果在步驟530,具有給定識(shí)別符的記錄在基本更新之前沒(méi)被改變,并且在校正數(shù)據(jù)庫(kù)440中沒(méi)有針對(duì)該記錄的校正的信息,那么系統(tǒng)的操作繼續(xù)進(jìn)入步驟550。在這一步驟,來(lái)自分析模塊系列320中的某一分析模塊將與所激活記錄有關(guān)的信息,例如它的識(shí)別符,以及與在其分析期間該反病毒記錄被激活的對(duì)象200有關(guān)的統(tǒng)計(jì)信息傳遞至分析和校正服務(wù)器340,特別是傳遞至信息處理模塊410。統(tǒng)計(jì)數(shù)據(jù)集可包括各種參數(shù),例如對(duì)象200的名稱(chēng)、哈希和、版本、權(quán)限等等。在分析和校正服務(wù)器側(cè)340,也存在干凈對(duì)象數(shù)據(jù)庫(kù)430。在接收到與所激活記錄有關(guān)的信息例如它的識(shí)別符,以及與在其反病毒檢查期間該記錄被激活的對(duì)象200有關(guān)的統(tǒng)計(jì)信息之后,信息處理模塊410在步驟560對(duì)接收到的信息與存儲(chǔ)在干凈對(duì)象數(shù)據(jù)庫(kù)430中的信息實(shí)施比較。因此,在一個(gè)示范性實(shí)施例中,將關(guān)于對(duì)其激活反病毒記錄并且被認(rèn)為是惡意的被檢查對(duì)象200的哈希和的信息,與關(guān)于存儲(chǔ)在干凈對(duì)象數(shù)據(jù)庫(kù)430中的干凈對(duì)象的哈希和的信息相比較。在具體實(shí)施例中,可以將與被檢查對(duì)象200有關(guān)的其他信息例如它的名稱(chēng),與來(lái)自干凈對(duì)象數(shù)據(jù)庫(kù)430中的相應(yīng)信息相比較。比較也可在關(guān)于被檢查對(duì)象200的多個(gè)參數(shù)的信息和來(lái)自干凈對(duì)象數(shù)據(jù)庫(kù)430中的相應(yīng)信息之間進(jìn)行。此外,在步驟570,如果在將關(guān)于對(duì)其激活反病毒記錄并且被認(rèn)為是惡意的被檢查對(duì)象200的哈希和的信息與關(guān)于存儲(chǔ)在干凈對(duì)象數(shù)據(jù)庫(kù)430中的干凈對(duì)象的哈希和的信息相比較之后,由于干凈對(duì)象數(shù)據(jù)庫(kù)430中沒(méi)有該對(duì)象的哈希和而確立該對(duì)象事實(shí)上為惡意的,那么系統(tǒng)運(yùn)行結(jié)束。然而,如果在步驟570,確定由來(lái)自分析模塊系列320中的某一分析模塊使用反病毒記錄檢查并確定為惡意的對(duì)象200的哈希和與來(lái)自干凈對(duì)象數(shù)據(jù)庫(kù)430中的干凈對(duì)象的哈希和相匹配,那么在步驟580,信息處理模塊410將關(guān)于確定對(duì)象為惡意的反病毒記錄的信息發(fā)送至記錄校正模塊420。這樣的信息可以是例如該反病毒記錄的識(shí)別符。記錄校正模塊420包含規(guī)則數(shù)據(jù)庫(kù)420a,在規(guī)則數(shù)據(jù)庫(kù)420a由記錄校正模塊420激活期間,某一反病毒記錄將被校正,例如它的狀態(tài)。因此,如果在步驟590,在接收到關(guān)于確定對(duì)象200為惡意的反病毒記錄的信息之后,關(guān)于該對(duì)象200的信息存在于干凈對(duì)象數(shù)據(jù)庫(kù)中并且用于校正該記錄的規(guī)則未被激活,那么系統(tǒng)運(yùn)行返回到步驟510。如果記錄校正模塊420已經(jīng)接收到關(guān)于該記錄的信息的次數(shù)不足,并且記錄的錯(cuò)誤激活情況的數(shù)量不足以激活用于校正該記錄的規(guī)則,那么類(lèi)似結(jié)果可能會(huì)發(fā)生。必須理解,在這種情況下,將考慮在步驟510為另一個(gè)PC 120開(kāi)始系統(tǒng)運(yùn)行,在該P(yáng)C上在檢查同一個(gè)對(duì)象200期間相同的反病毒記錄已被激活。然而,如果在步驟590,在接收到關(guān)于確定其哈希和在在干凈對(duì)象數(shù)據(jù)庫(kù)430中的對(duì)象為惡意的反病毒記錄的信息之后,規(guī)則被激活以校正該記錄,那么系統(tǒng)運(yùn)行繼續(xù)進(jìn)入步驟595。在該步驟,記錄校正模塊420將產(chǎn)生反病毒記錄的校正,例如針對(duì)該記錄的狀態(tài)??捎捎涗浶UK420來(lái)改變反病毒記錄的狀態(tài),例如從“工作”改變?yōu)椤安换顒?dòng)”。此外,反病毒記錄的新的狀態(tài)和該記錄的識(shí)別符一起被發(fā)送至經(jīng)校正記錄數(shù)據(jù)庫(kù)440。在一個(gè)示范性實(shí)施例中,一旦規(guī)則被激活以校正記錄的狀態(tài)并且記錄狀態(tài)被改變,則記錄校正模塊420就可使用例如推送更新技術(shù)來(lái)執(zhí)行將與任意反病毒記錄的經(jīng)校正狀態(tài)有關(guān)的信息至安裝于多個(gè)PC 120上的反病毒應(yīng)用310的高速緩存330的傳遞。因此,記錄校正,例如它的狀態(tài),將被傳送至經(jīng)校正記錄數(shù)據(jù)庫(kù)440或者至反病毒應(yīng)用程序310的高速緩存330。在這之后,隨著在另一 PC 120上在來(lái)自分析模塊系列320的任意分析模塊的運(yùn)行期間來(lái)自反病毒數(shù)據(jù)庫(kù)160的相同記錄的激活,以及傳送查詢(xún)至經(jīng)校正記錄數(shù)據(jù)庫(kù)440或者至高速緩存330,將接收與反病毒記錄的校正有關(guān)的信息,例如新的狀態(tài),該信息將由來(lái)自分析模塊系列320中的分析模塊用來(lái)分析對(duì)象。圖6描繪了計(jì)算機(jī)系統(tǒng)5的示范性實(shí)施例,在該計(jì)算機(jī)系統(tǒng)5上可實(shí)施上述用于惡意軟件檢測(cè)的系統(tǒng)。系統(tǒng)5可包括網(wǎng)絡(luò)服務(wù)器、個(gè)人計(jì)算機(jī)、筆記本電腦、平板電腦、智能電話(huà)或者其他類(lèi)型的數(shù)據(jù)處理或計(jì)算裝置。計(jì)算機(jī)5可以包括由系統(tǒng)總線(xiàn)10所連接的一個(gè)或多個(gè)處理器15、存儲(chǔ)器20、一個(gè)或多個(gè)硬盤(pán)驅(qū)動(dòng)器30、光盤(pán)驅(qū)動(dòng)器35、串行端口 40、圖形卡45、聲卡50和網(wǎng)卡55。系統(tǒng)總線(xiàn)10可以是使用各種已知總線(xiàn)架構(gòu)的任意一種的若干類(lèi)型總線(xiàn)結(jié)構(gòu)的任意一種,包括存儲(chǔ)器總線(xiàn)或存儲(chǔ)器控制器、外圍總線(xiàn)和局部總線(xiàn)。處理器15可包括一個(gè)或多個(gè)Intel Core 2Quad 2. 33GHz處理器或其他類(lèi)型的微處理器。系統(tǒng)存儲(chǔ)器20可以包括只讀存儲(chǔ)器(ROM) 21以及隨機(jī)存取存儲(chǔ)器(RAM) 23。存儲(chǔ)器20可實(shí)現(xiàn)為DRAM (動(dòng)態(tài)RAM)、EPR0M、EEPR0M、閃存或者其它類(lèi)型的存儲(chǔ)器架構(gòu)。ROM21存儲(chǔ)基本輸入/輸出系統(tǒng)22 (BIOS),包含有助于在計(jì)算機(jī)系統(tǒng)5的部件之間傳遞信息的基本例程,例如在啟動(dòng)期間。RAM 23存儲(chǔ)操作系統(tǒng)24 (OS),例如Windows XP或者其它類(lèi)型的操作系統(tǒng),所述操作系統(tǒng)負(fù)責(zé)對(duì)計(jì)算機(jī)系統(tǒng)5中的進(jìn)程進(jìn)行管理和協(xié)調(diào),并且對(duì)計(jì)算機(jī)系統(tǒng)5中的硬件資源進(jìn)行分配和共享。系統(tǒng)存儲(chǔ)器20也存儲(chǔ)了應(yīng)用程序和程序25,諸如反病毒應(yīng)用程序。存儲(chǔ)器20也存儲(chǔ)了由程序25所使用的各種運(yùn)行時(shí)(runtime)數(shù)據(jù)26。計(jì)算機(jī)系統(tǒng)5可更進(jìn)一步地包括硬盤(pán)驅(qū)動(dòng)器30,諸如SATA磁性硬盤(pán)驅(qū)動(dòng)器(HDD),以及用于對(duì)可移動(dòng)光盤(pán),諸如CD-ROM、DVD-ROM或者其它光學(xué)媒介進(jìn)行讀取或者寫(xiě)入的光盤(pán)驅(qū)動(dòng)器35。驅(qū)動(dòng)器30和35及其相關(guān)聯(lián)的計(jì)算機(jī)可讀媒介提供了對(duì)實(shí)現(xiàn)本文所公開(kāi)的算法以及方法的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、應(yīng)用程序和程序模塊/子例程的非易失性存儲(chǔ)。雖然示例性的計(jì)算機(jī)系統(tǒng)5采用了磁盤(pán)以及光盤(pán),但是本領(lǐng)域技術(shù)人員應(yīng)該了解到在所述計(jì)算機(jī)系統(tǒng)的可替換實(shí)施例中也可以使用其他類(lèi)型的可以?xún)?chǔ)存計(jì)算機(jī)系統(tǒng)5可訪(fǎng)問(wèn)的數(shù)據(jù)的計(jì)算機(jī)可讀媒介,諸如磁帶盒、閃存卡、數(shù)字視頻光盤(pán)、RAM、ROM、EPROM及其它類(lèi)型的存儲(chǔ)器。計(jì)算機(jī)系統(tǒng)5更進(jìn)一步地包括多個(gè)串行端口 40,諸如通用串行總線(xiàn)(USB),其用于連接數(shù)據(jù)輸入設(shè)備75,諸如鍵盤(pán)、鼠標(biāo)、觸摸板及其它設(shè)備。串行端口 40也可用于連接數(shù)據(jù)輸出設(shè)備80,諸如打印機(jī)、掃描儀及其他設(shè)備,以及連接其它的外圍設(shè)備85,諸如外部數(shù)據(jù)存儲(chǔ)設(shè)備等。系統(tǒng)5也可包括圖形卡45,諸如nVidia GeForce GT 240M或者其它的視頻卡,用于與監(jiān)視器60或者其它的視頻再現(xiàn)設(shè)備相連接。系統(tǒng)5也可包括聲卡50,用于經(jīng)由內(nèi)部或者外接揚(yáng)聲器65再現(xiàn)聲音。此外,系統(tǒng)5可以包括網(wǎng)卡55,諸如以太網(wǎng)、WiF1、GSM、藍(lán)牙或者其它有線(xiàn)、無(wú)線(xiàn)或蜂窩網(wǎng)絡(luò)接口,用于將計(jì)算機(jī)系統(tǒng)5連接到網(wǎng)絡(luò)70,諸如因特網(wǎng)。在各種實(shí)施例中,本文所描述的算法以及方法都可以以硬件、軟件、固件或者其任意組合來(lái)實(shí)現(xiàn)。如果以軟件來(lái)實(shí)現(xiàn),那么功能可以以一個(gè)或多個(gè)指令或者代碼的方式存儲(chǔ)在非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)上。計(jì)算機(jī)可讀介質(zhì)同時(shí)包括計(jì)算機(jī)存儲(chǔ)和有助于將計(jì)算機(jī)程序從一個(gè)地方傳遞到另一個(gè)地方的通信介質(zhì)。存儲(chǔ)介質(zhì)可以是可由計(jì)算機(jī)訪(fǎng)問(wèn)的任何可用媒介。舉例來(lái)說(shuō),而并非限定,這種計(jì)算機(jī)可讀介質(zhì)可以包括RAM、ROM、EEPR0M、CD-ROM或其它的光盤(pán)存儲(chǔ)器、磁盤(pán)存儲(chǔ)器或其它的磁存儲(chǔ)設(shè)備、或者任何其它可用于承載或存儲(chǔ)所需的指令或者數(shù)據(jù)結(jié)構(gòu)形式的程序代碼并且可由計(jì)算機(jī)訪(fǎng)問(wèn)的介質(zhì)。此外,任何連接都可被稱(chēng)為計(jì)算機(jī)可讀介質(zhì)。例如,如果使用同軸電纜、光纖電纜、雙絞線(xiàn)、數(shù)字用戶(hù)線(xiàn)路(DSL)或者無(wú)線(xiàn)技術(shù)諸如紅外線(xiàn)、無(wú)線(xiàn)電和微波來(lái)從網(wǎng)站、服務(wù)器或者其它的遠(yuǎn)程資源傳送軟件,則其均包括在所述介質(zhì)的定義中。為了清楚起見(jiàn),本文并未對(duì)實(shí)施例的所有常規(guī)特征加以示出和描述。應(yīng)當(dāng)意識(shí)到在任何這類(lèi)實(shí)際的實(shí)現(xiàn)方案的開(kāi)發(fā)過(guò)程中,必須做出大量特定于實(shí)現(xiàn)方案的決策以實(shí)現(xiàn)開(kāi)發(fā)者的特定目標(biāo),同時(shí)應(yīng)當(dāng)意識(shí)到這些特定目標(biāo)將隨實(shí)現(xiàn)方案的不同以及開(kāi)發(fā)者的不同而變化。而且,應(yīng)當(dāng)意識(shí)到這類(lèi)開(kāi)發(fā)工作可能是復(fù)雜且耗費(fèi)時(shí)間的,但是對(duì)于受益于本公開(kāi)的本領(lǐng)域的普通技術(shù)人員而言,都將是常規(guī)的工程任務(wù)。此外,可以理解的是在此使用的措辭或術(shù)語(yǔ)是為了描述而非限定的目的,以便本領(lǐng)域的技術(shù)人員根據(jù)本文提出的教導(dǎo)及指引并結(jié)合相關(guān)領(lǐng)域技術(shù)人員所掌握的知識(shí)來(lái)解讀本說(shuō)明書(shū)中的措辭或術(shù)語(yǔ)。而且,除非如此明確的予以闡述,否則本說(shuō)明書(shū)或權(quán)利要求中的任何術(shù)語(yǔ)均并非意圖歸結(jié)為非常規(guī)或者特殊的含義。本文披露的各種實(shí)施例包含本文通過(guò)示例的方式所提及的已知部件的現(xiàn)在和將來(lái)的已知等同物。而且,盡管已經(jīng)示出及描述了實(shí)施例及其應(yīng)用,但對(duì)于受益于本發(fā)明的本領(lǐng)域的技術(shù)人員而言顯而易見(jiàn)的是,在不脫離本文所披露的發(fā)明構(gòu)思的情況下,比以上提及的更多的修改是可能的。
      權(quán)利要求
      1.一種用于惡意軟件檢測(cè)的計(jì)算機(jī)實(shí)現(xiàn)的方法,所述方法包括 由反病毒應(yīng)用程序?qū)浖?duì)象進(jìn)行存在惡意軟件的分析; 從反病毒數(shù)據(jù)庫(kù)中檢索與所分析對(duì)象相關(guān)聯(lián)的反病毒記錄,其中所述反病毒記錄識(shí)別所述對(duì)象為惡意的; 在經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù)中檢查用于檢索到的反病毒記錄的校正; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù)中發(fā)現(xiàn)用于所述反病毒記錄的校正,則基于所述校正更新在所述反病毒數(shù)據(jù)庫(kù)中的所述反病毒記錄,并且使用更新的反病毒記錄用于對(duì)所述軟件對(duì)象進(jìn)行存在惡意軟件的分析; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù)中沒(méi)有發(fā)現(xiàn)用于所述反病毒記錄的校正,則利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,其中所述反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的多個(gè)反病毒應(yīng)用程序所收集的有關(guān)軟件對(duì)象的統(tǒng)計(jì)信息來(lái)證實(shí)反病毒記錄的正確性;以及 如果所述反病毒服務(wù)器提供用于所述反病毒記錄的校正,則基于所述校正來(lái)更新所述反病毒數(shù)據(jù)庫(kù)中的所述反病毒記錄,并且使用更新的反病毒記錄用于對(duì)所述軟件對(duì)象進(jìn)行存在惡意軟件的分析。
      2.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括 如果所述反病毒服務(wù)器不提供用于所述反病毒記錄的校正,則使用所述檢索到的反病毒記錄用于對(duì)所述軟件對(duì)象進(jìn)行存在惡意軟件的分析;以及 將有關(guān)所述軟件對(duì)象的信息和從所述反病毒數(shù)據(jù)庫(kù)檢索到的所述相關(guān)聯(lián)的反病毒記錄發(fā)送至所述反病毒服務(wù)器。
      3.根據(jù)權(quán)利要求1所述的方法,其中利用反病毒服務(wù)器檢查所述反病毒記錄的正確性進(jìn)一步包括 將有關(guān)所述軟件對(duì)象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對(duì)所提供的有關(guān)所述軟件對(duì)象的信息與有關(guān)已知的干凈對(duì)象的信息相比較。
      4.根據(jù)權(quán)利要求1所述的方法,其中利用反病毒服務(wù)器檢查所述反病毒記錄的正確性進(jìn)一步包括 將有關(guān)所述軟件對(duì)象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對(duì)所提供的有關(guān)所述軟件對(duì)象的信息與從其他軟件應(yīng)用程序所收集的有關(guān)所述軟件對(duì)象的統(tǒng)計(jì)信息相比較。
      5.根據(jù)權(quán)利要求1所述的方法,其中用于所述反病毒記錄的校正包括所述反病毒記錄的狀態(tài)的改變,其中所述反病毒記錄的所述狀態(tài)選自包括工作記錄、測(cè)試記錄和不活動(dòng)記錄的組中。
      6.根據(jù)權(quán)利要求1所述的方法,其中當(dāng)所述反病毒服務(wù)器基于所收集的有關(guān)所述反病毒記錄的統(tǒng)計(jì)信息確定對(duì)所述反病毒記錄應(yīng)用記錄校正規(guī)則時(shí),觸發(fā)所述反病毒記錄的所述狀態(tài)的改變。
      7.根據(jù)權(quán)利要求6所述的方法,其中當(dāng)所述反病毒服務(wù)器確定由所述反病毒記錄將所述軟件對(duì)象識(shí)別為惡意的數(shù)量超出由所述反病毒記錄將所述軟件對(duì)象識(shí)別為干凈的數(shù)量預(yù)定閾值時(shí),觸發(fā)所述反病毒記錄的所述狀態(tài)的改變。
      8.一種用于惡意軟件檢測(cè)的基于計(jì)算機(jī)的系統(tǒng),所述系統(tǒng)包括第一數(shù)據(jù)存儲(chǔ),存儲(chǔ)包含多個(gè)反病毒記錄的反病毒數(shù)據(jù)庫(kù); 第二數(shù)據(jù)存儲(chǔ),存儲(chǔ)包含用于一個(gè)或多個(gè)反病毒記錄的一個(gè)或多個(gè)校正的經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù);以及 耦合至所述第一數(shù)據(jù)存儲(chǔ)和第二數(shù)據(jù)存儲(chǔ)的處理器,所述處理器配置為 使用反病毒應(yīng)用程序?qū)浖?duì)象進(jìn)行存在惡意軟件的分析; 從所述反病毒數(shù)據(jù)庫(kù)檢索與所分析對(duì)象相關(guān)聯(lián)的反病毒記錄,其中所述反病毒記錄識(shí)別所述對(duì)象為惡意的; 在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù)中檢查用于檢索到的反病毒記錄的校正; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù)中發(fā)現(xiàn)用于所述反病毒記錄的校正,則基于所述校正更新在所述反病毒數(shù)據(jù)庫(kù)中的所述反病毒記錄,并且使用更新的反病毒記錄用于對(duì)所述軟件對(duì)象進(jìn)行存在惡意軟件的分析; 如果在所述經(jīng)校正反病毒記錄數(shù)據(jù)庫(kù)中沒(méi)有發(fā)現(xiàn)用于所述反病毒記錄的校正,則利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,其中所述反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的多個(gè)反病毒應(yīng)用程序所收集的有關(guān)軟件對(duì)象的統(tǒng)計(jì)信息來(lái)證實(shí)反病毒記錄的正確性;以及 如果所述反病毒服務(wù)器提供用于所述反病毒記錄的校正,則基于所述校正來(lái)更新所述反病毒數(shù)據(jù)庫(kù)中的所述反病毒記錄,并且使用更新的反病毒記錄用于對(duì)所述軟件對(duì)象進(jìn)行存在惡意軟件的分析。
      9.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述處理器進(jìn)一步配置為 如果所述反病毒服務(wù)器不提供用于所述反病毒記錄的校正,則使用所述檢索到的反病毒記錄用于對(duì)所述軟件對(duì)象進(jìn)行存在惡意軟件的分析;以及 將有關(guān)所述軟件對(duì)象的信息和從所述反病毒數(shù)據(jù)庫(kù)檢索到的所述相關(guān)聯(lián)的反病毒記錄發(fā)送至所述反病毒服務(wù)器。
      10.根據(jù)權(quán)利要求8所述的系統(tǒng),其中為了利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,所述處理器進(jìn)一步配置為 將有關(guān)所述軟件對(duì)象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對(duì)所提供的有關(guān)所述軟件對(duì)象的信息與有關(guān)已知的干凈對(duì)象的信息相比較。
      11.根據(jù)權(quán)利要求8所述的系統(tǒng),其中為利用反病毒服務(wù)器檢查所述反病毒記錄的正確性,所述處理器進(jìn)一步配置為 將有關(guān)所述軟件對(duì)象的執(zhí)行的信息提供給所述反病毒服務(wù)器,其中所述反病毒服務(wù)器對(duì)所提供的有關(guān)所述軟件對(duì)象的信息與從其他軟件應(yīng)用程序所收集的有關(guān)所述軟件對(duì)象的統(tǒng)計(jì)信息相比較。
      12.根據(jù)權(quán)利要求8所述的系統(tǒng),其中用于所述反病毒記錄的校正包括所述反病毒記錄的狀態(tài)的改變,其中所述反病毒記錄的所述狀態(tài)選自包括工作記錄、測(cè)試記錄和不活動(dòng)記錄的組中。
      13.根據(jù)權(quán)利要求8所述的系統(tǒng),其中所述反病毒記錄的所述狀態(tài)的改變?cè)谒龇床《痉?wù)器基于所收集的有關(guān)所述反病毒記錄的統(tǒng)計(jì)信息確定對(duì)所述反病毒記錄應(yīng)用記錄校正規(guī)則時(shí)觸發(fā)。
      14.根據(jù)權(quán)利要求13所述的系統(tǒng),其中所述反病毒記錄的所述狀態(tài)的改變?cè)谒龇床《痉?wù)器確定由所述反病毒記錄將所述軟件對(duì)象識(shí)別為惡意的數(shù)量超出由所述反病毒記錄將 所述軟件對(duì)象識(shí)別為干凈的數(shù)量預(yù)定閾值時(shí)觸發(fā)。
      全文摘要
      公開(kāi)為用于校正反病毒記錄的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。在示范性方法中,在對(duì)軟件對(duì)象進(jìn)行惡意軟件分析期間,反病毒應(yīng)用程序從反病毒數(shù)據(jù)庫(kù)檢索與所分析對(duì)象相關(guān)聯(lián)的反病毒記錄,其將對(duì)象識(shí)別為惡意的或者干凈的。應(yīng)用程序還檢查在反病毒高速緩存中是否存在用于反病毒記錄的校正,并使用該校正來(lái)分析軟件對(duì)象。如果在高速緩存中沒(méi)有發(fā)現(xiàn)校正,則應(yīng)用程序利用反病毒服務(wù)器檢查反病毒記錄的正確性。反病毒服務(wù)器使用從部署在不同計(jì)算機(jī)上的反病毒應(yīng)用程序所收集的有關(guān)軟件對(duì)象的統(tǒng)計(jì)信息來(lái)證實(shí)反病毒記錄的正確性。如果反病毒服務(wù)器提供對(duì)反病毒記錄的校正,則應(yīng)用程序使用所提供的校正來(lái)對(duì)軟件對(duì)象進(jìn)行惡意軟件分析。
      文檔編號(hào)G06F21/56GK103020522SQ20121048493
      公開(kāi)日2013年4月3日 申請(qǐng)日期2012年11月23日 優(yōu)先權(quán)日2011年11月24日
      發(fā)明者亞歷山大·A·羅曼年科, 安東·S·拉普什金, 奧列格·A·伊沙諾夫 申請(qǐng)人:卡巴斯基實(shí)驗(yàn)室封閉式股份公司
      網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1