到10c上執(zhí)行的各種實體的統(tǒng)計及/或行為數(shù)據(jù)(其包含由各種實體評估 器報告到評分引擎38的實體評估指示符/分數(shù))���,及針對參數(shù)確定最優(yōu)值�����。接著經由網絡26 將所述值發(fā)射到相應主機系統(tǒng)��。
[0085] 在一個此類優(yōu)化實例中���,改變分數(shù)值80可有效地改變相應評估準則相對于彼此的 相關性��。惡意軟件威脅通常像波浪一樣發(fā)生�,其中世界范圍內的大量計算機系統(tǒng)在短時間 間隔內被同一惡意軟件代理影響�。通過從多個主機系統(tǒng)實時接收安全報告80,安全服務器 110可與目前惡意軟件威脅保持同步,且可將最優(yōu)安全設定82及時地遞送到相應主機系統(tǒng)���, 設定82包含(舉例來說)經優(yōu)化以用于檢測目前惡意軟件威脅的一組分數(shù)值80��。
[0086] 上文所描述的示范性系統(tǒng)及方法允許保護主機系統(tǒng)(例如計算機系統(tǒng))免受惡意 軟件(例如病毒�����、特洛伊木馬及間諜軟件)的影響。對于多個可執(zhí)行實體(例如同時在主機系 統(tǒng)上執(zhí)行的進程及線程)中的每一者����,評分引擎記錄多個評估分數(shù)��,每一分數(shù)是根據(jù)相異評 估準則確定的�。在一些實施例中���,經評估軟件實體可基本上在范圍及復雜性方面變化��,舉例 來說從個別執(zhí)行線程變化到個別應用程序�����,變化到操作系統(tǒng)及/或虛擬機的整個實例���。
[0087] 每當所監(jiān)視實體滿足評估準則(例如,執(zhí)行行動)時��,實體的相應分數(shù)便被更新����。更 新目標實體的分數(shù)可觸發(fā)對與目標實體有關的其它實體的分數(shù)更新。此類相關實體尤其包 含目標實體的子代��、目標實體的父代����、目標實體已將代碼注入到其中的實體及已將代碼注 入到目標實體中的實體�。
[0088] 常規(guī)反惡意軟件系統(tǒng)通常將每一實體與其它實體單獨地評分����。一些惡意軟件可設 法通過以下方式來規(guī)避檢測:將惡意活動分到數(shù)個相異代理當中(例如惡意進程的子進 程),使得個別代理中沒有一者執(zhí)行將被檢測到的充分的惡意軟件-指示性活動�。相比之下, 本發(fā)明的一些實施例將分數(shù)從一個實體傳播到其它相關實體��,因此跨越相關實體確證惡意 軟件-指示性數(shù)據(jù)��。分數(shù)傳播可確保檢測到惡意活動中所涉及的代理中的至少一者����。
[0089] 在一個示范性規(guī)避策略中,惡意軟件代理可繁衍多個子進程并退出���。惡意活動可 被分到子進程當中�,使得沒有個別子進程的行動可獨立地觸發(fā)惡意軟件警報�����。在本發(fā)明的 一些實施例中,分數(shù)可從一個實體傳播到另一實體�����,甚至當另一實體被終止時也如此�����。此配 置可檢測父進程為惡意的�����,但其可能未能檢測子進程的惡意性���。一些實施例維持目前正進 行評估的實體的列表;所述列表可包含作用實體及已終止實體兩者。僅當實體的所有后代 均終止時才可從列表去掉相應實體�����。
[0090] 在常規(guī)反惡意軟件系統(tǒng)中��,通常為每一實體僅記錄一個分數(shù)�����。通過保持多個每-實 體分數(shù)(每一分數(shù)根據(jù)其相異準則計算),本發(fā)明的一些實施例允許在每-準則基礎上將分 數(shù)在相關實體當中傳播���。此類分數(shù)可在傳播后即刻增加或降低��,從而允許貫穿每一實體的 壽命周期對惡意性的較精確評價�,具有較少誤肯定檢測����。在一些實施例中,一個實體的分數(shù) 對相關實體的分數(shù)的影響程度可經由數(shù)值傳播權重調整�����。此類權重可在實體之間及/或在 評估準則之間不同�����,從而允許分數(shù)傳播的靈活及精確調諧�。權重值可由人類操作者確定及/ 或經受旨在改進惡意軟件檢測性能的自動化優(yōu)化。
[0091 ] -些常規(guī)反惡意軟件系統(tǒng)通過確定經評估實體是否執(zhí)行惡意軟件-指示性行為�����, 及/或所述實體是否具有惡意軟件-指示性特征(例如惡意軟件-指示性代碼序列)而確定相 應實體是否為惡意����。相比之下���,在本發(fā)明的一些實施例中,實體評估準則獨立地未必是惡意 軟件-指示性的�。舉例來說����,一些準則包含確定實體是否執(zhí)行良性行動,例如打開文件或接 入IP地址��。然而�,當與其它行動組合時,此類行動可為惡意的(此類行動本身獨立地可并非 惡意軟件-指示性的)���。通過監(jiān)視廣泛多種實體行為及/或特征��、隨后記錄大量(可能為數(shù)以 百計)評估分數(shù)及以每-實體方式整合此類分數(shù)��,本發(fā)明的一些實施例可增加檢測率同時使 誤肯定最小化���。
[0092]本發(fā)明的一些實施例可保護虛擬化環(huán)境。在經配置以支持虛擬化的實施例中���,本 發(fā)明的一些組件可在虛擬機內執(zhí)行����,然而其它組件可在相應虛擬機外部執(zhí)行(舉例來說以 暴露相應虛擬機的虛擬機監(jiān)控程序的層級)。以虛擬機監(jiān)控程序層級執(zhí)行的此類組件可經 配置以對同時在相應主機系統(tǒng)上執(zhí)行的多個虛擬機執(zhí)行反惡意軟件操作��。
[0093]所屬領域中的技術人員將清楚�����,可在不背離本發(fā)明的范圍的情況下以許多方式更 改以上實施例����。因此,本發(fā)明的范圍應由所附權利要求書及其法律等效內容來確定��。
【主權項】
1. 一種包括至少一個處理器的主機系統(tǒng)���,所述至少一個處理器經配置以執(zhí)行實體管理 模塊���、實體評估器及評分引擎,其中: 所述實體管理模塊經配置以管理經評估軟件實體的集合���,其中管理所述集合包括: 識別所述集合的第一實體的一組后代實體���; 確定所述第一實體是否被終止���; 作為響應,當所述第一實體被終止時����,確定所述組后代實體的所有成員是否均被終止; 且 作為響應���,當所述組后代實體的所有成員均被終止時,從所述集合移除所述第一實體���; 所述實體評估器經配置以: 根據(jù)評估準則評估所述第一實體;且 作為響應��,當所述第一實體滿足所述評估準則時�,將評估指示符發(fā)射到所述評分引擎����; 且 所述評分引擎經配置以: 記錄針對所述集合的所述第一實體確定的第一分數(shù)及針對第二實體確定的第二分數(shù), 所述第一及第二分數(shù)是根據(jù)所述評估準則確定的����; 響應于記錄所述第一及第二分數(shù)����,且響應于接收到所述評估指示符����,根據(jù)所述評估指 示符更新所述第二分數(shù);且 作為響應,根據(jù)所述所更新第二分數(shù)來確定所述第二實體是否為惡意的�����。2. 根據(jù)權利要求1所述的主機系統(tǒng)���,其中所述評分引擎進一步經配置以: 響應于接收到所述評估指示符���,根據(jù)所述評估指示符更新所述第一分數(shù);且 作為響應,根據(jù)所述所更新第一分數(shù)來確定所述第一實體是否為惡意的���。3. 根據(jù)權利要求1所述的主機系統(tǒng)�,其中所述第一實體為所述第二實體的子代�����。4. 根據(jù)權利要求1所述的主機系統(tǒng)��,其中所述第二實體為所述第一實體的子代。5. 根據(jù)權利要求1所述的主機系統(tǒng)�����,其中所述第一實體包括由所述第二實體注入的代 碼區(qū)段�。6. 根據(jù)權利要求1所述的主機系統(tǒng),其中所述第二實體包括由所述第一實體注入的代 碼區(qū)段�����。7. 根據(jù)權利要求1所述的主機系統(tǒng)���,其中更新所述第二分數(shù)包括將所述第二分數(shù)改變 根據(jù)w · S確定的量,其中S為所述第一分數(shù)���,且其中w為數(shù)值權重�����。8. 根據(jù)權利要求1所述的主機系統(tǒng)�����,其中管理所述經評估軟件實體的集合進一步包括: 截獲新軟件實體的啟動;且 作為響應�,將所述新軟件實體添加到所述集合。9. 一種存儲指令的非暫時性計算機可讀媒體�,所述指令在被執(zhí)行時配置主機系統(tǒng)的至 少一個處理器以: 管理經評估軟件實體的集合,其中管理所述集合包括: 識別所述集合的第一實體的一組后代實體�; 確定所述第一實體是否被終止; 作為響應�,當所述第一實體被終止時,確定所述組后代實體的所有成員是否均被終止�; 且 作為響應,當所述組后代實體的所有成員均被終止時�����,從所述集合移除選定實體����; 記錄針對所述集合的所述第一實體確定的第一分數(shù)及針對第二實體確定的第二分數(shù), 所述第一及第二分數(shù)是根據(jù)評估準則確定的���; 響應于記錄所述第一及第二分數(shù)�����,根據(jù)所述評估準則評估所述第一實體���; 響應于評估所述第一實體����,當所述第一實體滿足所述評估準則時����,更新所述第二分數(shù); 且 響應于更新所述第二分數(shù)�����,根據(jù)所述所更新第二分數(shù)確定所述第二實體是否為惡意 的���。10. 根據(jù)權利要求9所述的計算機可讀媒體�,其中所述至少一個處理器進一步經配置 以: 響應于評估所述第一實體��,當所述第一實體滿足所述評估準則時����,更新所述第一分數(shù)�; 且 作為響應,根據(jù)所述所更新第一分數(shù)來確定第一可執(zhí)行實體是否為惡意的�����。11. 根據(jù)權利要求9所述的計算機可讀媒體,其中所述第一實體為所述第二實體的子 代���。12. 根據(jù)權利要求9所述的計算機可讀媒體��,其中所述第二實體為所述第一實體的子 代�。13. 根據(jù)權利要求9所述的計算機可讀媒體����,其中所述第一實體包括由所述第二實體注 入的代碼區(qū)段。14. 根據(jù)權利要求9所述的計算機可讀媒體�����,其中所述第二實體包括由所述第一實體注 入的代碼區(qū)段���。15. 根據(jù)權利要求9所述的計算機可讀媒體����,其中更新所述第二分數(shù)包括將所述第二分 數(shù)改變根據(jù)w · S確定的量����,其中S為所述第一分數(shù),且其中w為數(shù)值權重。16. 根據(jù)權利要求9所述的計算機可讀媒體�,其中管理所述經評估軟件實體集合進一步 包括: 截獲新軟件實體的啟動;且 作為響應,將所述新軟件實體添加到所述集合���。17. -種包括至少一個處理器的主機系統(tǒng)��,所述至少一個處理器經配置以執(zhí)行實體評 估器及評分引擎��,其中: 所述實體評估器經配置以: 根據(jù)評估準則評估第一軟件實體�����,所述第一軟件實體是在客戶端系統(tǒng)上執(zhí)行;且 作為響應��,當所述第一軟件實體滿足所述評估準則時����,將評估指示符發(fā)射到所述評分 引擎;且 所述評分引擎經配置以: 響應于接收到所述評估指示符�,根據(jù)所述評估指示符更新分數(shù),其中所述分數(shù)是針對 先前在所述主機系統(tǒng)上執(zhí)行的第二軟件實體確定的�����,所述第二軟件實體在更新所述分數(shù)時 被終止;且 作為響應����,根據(jù)所述所更新第二分數(shù)來確定所述第二軟件實體是否為惡意的。18. 根據(jù)權利要求17所述的主機系統(tǒng)�����,其中所述第一軟件實體為所述第二軟件實體的 子代��。19. 根據(jù)權利要求17所述的主機系統(tǒng)��,其中所述第一軟件實體包括由所述第二軟件實 體注入的代碼區(qū)段�����。20. -種方法�,其包括: 采用主機系統(tǒng)的至少一個處理器來確定在所述主機系統(tǒng)上執(zhí)行的第一軟件實體是否 滿足評估準則; 作為響應��,當所述第一軟件實體滿足所述評估準則時����,采用所述至少一個處理器來更 新針對先前在所述主機系統(tǒng)上執(zhí)行的第二軟件實體確定的分數(shù),所述第二軟件實體在更新 所述分數(shù)時被終止�����,所述分數(shù)是根據(jù)所述評估準則確定的;且 響應于更新所述第二分數(shù),采用所述至少一個處理器來根據(jù)所述所更新第二分數(shù)確定 所述第二軟件實體是否為惡意的���。21. 根據(jù)權利要求20所述的方法��,其中所述第一軟件實體為所述第二軟件實體的子實 體�����。22. 根據(jù)權利要求20所述的方法��,其中所述第一軟件實體包括由所述第二軟件實體注 入的代碼區(qū)段�。
【專利摘要】所描述系統(tǒng)及方法允許保護計算機系統(tǒng)免受例如病毒���、特洛伊木馬及間諜軟件等惡意軟件的影響���。對于多個可執(zhí)行實體(例如在所述計算機系統(tǒng)上執(zhí)行的進程及線程)中的每一者,評分引擎記錄多個評估分數(shù)���,每一分數(shù)是根據(jù)相異評估準則確定的���。每當實體滿足評估準則(例如,執(zhí)行行動)時��,所述實體的所述相應分數(shù)便被更新。更新實體的分數(shù)可觸發(fā)對與所述相應實體相關的實體的分數(shù)更新�,甚至當所述相關實體被終止�����,即����,不再作用時也如此。相關實體尤其包含所述相應實體的父代及/或將代碼注入到所述相應實體中的實體��。所述評分引擎根據(jù)實體的所述多個評估分數(shù)來確定所述相應實體是否為惡意的�。
【IPC分類】G06F21/56
【公開號】CN105593870
【申請?zhí)枴緾N201480054678
【發(fā)明人】山多爾·盧卡奇, 勞爾-瓦西里·托薩, 保羅-丹尼爾·博卡, 格奧爾基-弗洛蘭·哈嘉瑪山, 安德烈-弗拉德·盧察什
【申請人】比特梵德知識產權管理有限公司
【公開日】2016年5月18日
【申請日】2014年9月25日
【公告號】CA2931325A1, US9323931, US20150101049, WO2015050469A1