[发明专利]识别多态性恶意软件

权利要求书

1.一种用于识别电子文件是多态性恶意软件的方法，该方法包括：

在服务器上，从客户端设备接收与所述电子文件相关联的散列值和元数据；

确定接收的元数据与数据库处存储的对应元数据相关，存储的对应元数据关联于与接收的散列值不同的另一散列值；

确定接收的每个散列值是由少于预定数目的客户端报告的；以及

由此确定所述电子文件可能是多态性恶意软件。

2.根据权利要求1所述的方法，还包括：

将接收的散列值和元数据与数据库处存储的已知指纹相比较；

如果接收的散列值和元数据二者中的任何一个与数据库处存储的指纹的至少一部分相对应，则确定电子文件是干净的或是恶意软件。

3.根据权利要求1或2所述的方法，还包括：如果不能确定所述电子文件可能是多态性恶意软件，则向用户发出警报。

4.根据权利要求1、2或3所述的方法，还包括：将接收的元数据添加到数据库中。

5.根据权利要求1或2所述的方法，还包括：如果确定所述电子文件可能是多态性恶意软件，则优先考虑所述电子文件，以进一步分析。

6.根据权利要求1至5中任一权利要求所述的方法，还包括：在服务器处，产生可疑文件的指纹，所述指纹基于接收到的元数据。

7.一种反病毒服务器，包括：

接收器，用于从客户端设备接收与电子文件相关联的散列值和元数据；

用于访问存有来自其他客户端设备的查询记录的数据库的装置，每一条记录包括散列值和元数据，所述元数据存储在相似元数据的群集中；

处理器，用于确定接收的元数据与存储在数据库处的对应元数据相关，其中存储的对应元数据关联于与接收的散列值不同的另一散列值；

处理器还被布置为确定服务器接收到少于预定数目的包含了与接收到的散列值相匹配的散列值的查询，以及

处理器还被布置为确定电子文件可能是多态性恶意软件。

8.根据权利要求7所述的反病毒服务器，其中处理器被布置为：将接收的散列值和元数据与数据库处存储的已知指纹相比较，如果接收的散列值和元数据二者的任何一个与数据库处存储的指纹的至少一部分相对应，则确定所述电子文件是干净的或是恶意软件。

9.根据权利要求7或8所述的反病毒服务器，其中处理器还被布置为：如果不能确定电子文件可能是多态性恶意软件，则向用户发出警报。

10.根据权利要求7、8或9所述的反病毒服务器，其中该处理器还被布置为将接收到的元数据添加至元数据群集。

11.根据权利要求7至10中任一权利要求所述的反病毒服务器，其中处理器还被布置为：如果确定所述电子文件可能是多态性恶意软件，则优先考虑所述电子文件，以进一步分析。

12.根据权利要求7至11中任一权利要求所述的反病毒服务器，其中处理器还被布置为产生针对可疑文件的签名，其中所述签名基于接收的元数据。

13.一种包括计算机可读代码的计算机程序，其中当在服务器上运行时，所述代码使服务器执行权利要求1至6中任一权利要求所述的方法。

14.一种计算机程序产品，所述计算机程序产品包括计算机可读介质以及根据权利要求13的计算机程序，其中所述计算机程序存储在计算机可读介质上。