[发明专利]识别多态性恶意软件

说明书

技术领域

本发明涉及识别计算机系统上的多态性恶意软件。

背景技术

计算机和计算机系统的恶意软件感染是一个日益增长的问题。近来，在很多高调的事例中，计算机恶意软件迅速扩散到整个世界并且由此在数据丢失和工作时间损失方面造成了价值数百万英镑的损害。

恶意软件经常是通过使用计算机病毒扩散的。早期的病毒是通过将被感染的电子文件拷贝至软盘以及将电子文件从磁盘转移到先前未被感染的计算机来进行扩散的。在用户尝试打开受感染的电子文件时，这时将会触发恶意软件并感计算机。近来，病毒已经由因特网进行扩散，例如用电子邮件扩散。可以预料到的是，在未来，病毒将会通过无线数据传输进行扩散，例如通过使用了蜂窝电话网络的移动通信设备之间的通信进行扩散。

市场上可用的反病毒应用有很多种。这些应用往往是通过保持已知病毒和恶意软件的指纹数据库来运作的。对于“实时”扫描应用而言，在用户尝试对文件执行诸如打开、保存或复制之类的操作时，所述请求会被重定向到反病毒应用。如果该应用没有关于电子文件的已有记录，那么所述电子文件将被扫描，以便找到已知的病毒或恶意软件指纹。如果在该文件中识别出病毒或恶意软件，那么反病毒应用可以采取恰当的动作，例如向用户报告，通知管理员，清除或拦截恶意软件病毒。然后，反病毒应用可以将受感染文件的标识添加到受感染文件的注册表中。

反病毒应用的数据库既可以保持在计算机系统本地，也可以远离客户计算机系统，例如位于服务器。服务器同样可用于确定电子文件是不是恶意软件。在这种情况下，发现可疑电子文件的客户端设备会向服务器发送与电子文件相关的签名信息以及其他元数据信息，其中所述信息有助于服务器将可疑电子文件签名及其他元数据与指纹数据库中列举的指纹相比较，以便检测恶意软件文件。一旦服务器识别出可疑电子文件(是否是恶意软件)，则所述服务器会将此反向报告给客户端。

指纹是用于识别恶意文件或干净文件的图案。通常，指纹基于客户端中计算的某种签名。所述签名既可以是简单的完整或部分文件散列(hash)，也可以是采用更复杂的静态文件分析或动态行为分析产生的。静态智能签名是通过在可疑电子文件的不同部分静态计算不同散列或者使用其他一些静态文件属性确定的。而动态行为分析则可以是例如对恶意软件如何影响计算机系统环境进行分析，在虚拟环境中运行恶意软件或者在运行时间监视恶意软件。动态签名基于可疑电子文件的行为计算的，例如使用在小型虚拟环境中运行可疑电子文件的结果以及散列来自运行路径分析的结果。

客户端发送至服务器的元数据未必就是签名数据。例如，所发送的还可以是文件使用信息、与可疑电子文件相关联的下载URL、文件名和位置、任何相关联的文件或动态链接库的标识、注册表变化等等。所述指纹不但可以用签名数据创建，而且还可以基于其他元数据。例如，基于下载的URL，可以将电子文件标识成是恶意软件或干净的。

使用客户端/服务器模型而不是在计算机设备本地存储反病毒应用和数据库，将会提供若干个优点。这些优点包括以下各项：

1)不必将全部恶意软件指纹下载到每一个客户端设备，所下载的只是相关的恶意软件指纹。

2)在检测到新的恶意软件时，在服务器上将会立即“发布”该恶意软件，该信息可被提供给所有客户端设备。每一个客户端设备不必等待下一次的调度数据库更新。这样做将会确保在识别出新的恶意软件之后尽可能快地保护每一个客户端设备免受恶意软件损害。

3)由于反病毒服务器看到的是被查询的签名，并且举例来说，所述服务器可以将这些签名用于用例优先化处理，因此可以使用从反病毒服务器获取的数据来获悉全局恶意软件的状况。此外，所述数据还可用于执行统计分析，以便给出用以确定是否允许执行可疑文件的“声誉裁决”。

在编写恶意软件时，恶意软件创建者会使用多种不同方式来避开检测。一种避开检测的明显方式是以一种致使保存在指纹数据库中的检测指纹不再匹配恶意软件的方式来改变恶意软件。通常，改变完整文件散列之类的静态文件属性较为容易。恶意软件编写者较难回避的是基于行为的签名检测。

多态性恶意软件是可以用不同方式打包以产生打包电子文件的恶意软件，所述电子文件则是二进制可执行文件并且包含“解包器”。打包的电子文件是不同的，并且由此具有不同的散列值。该处理通常是用加密技术完成的。在极端情况下，打包电子文件的每次拷贝都是不同的。这样会使反病毒应用很难仅从其静态签名中识别出打包的二进制可执行文件是恶意软件。