[发明专利]用于校正反病毒记录以最小化恶意软件误检的系统和方法

权利要求书

1.一种用于恶意软件检测的计算机实现的方法，所述方法包括：

由反病毒应用程序对软件对象进行存在恶意软件的分析；

从反病毒数据库中检索与所分析对象相关联的反病毒记录，其中所述反病毒记录识别所述对象为恶意的；

在经校正反病毒记录数据库中检查用于检索到的反病毒记录的校正；

如果在所述经校正反病毒记录数据库中发现用于所述反病毒记录的校正，则基于所述校正更新在所述反病毒数据库中的所述反病毒记录，并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析；

如果在所述经校正反病毒记录数据库中没有发现用于所述反病毒记录的校正，则利用反病毒服务器检查所述反病毒记录的正确性，其中所述反病毒服务器使用从部署在不同计算机上的多个反病毒应用程序所收集的有关软件对象的统计信息来证实反病毒记录的正确性；以及

如果所述反病毒服务器提供用于所述反病毒记录的校正，则基于所述校正来更新所述反病毒数据库中的所述反病毒记录，并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析。

2.根据权利要求1所述的方法，进一步包括：

如果所述反病毒服务器不提供用于所述反病毒记录的校正，则使用所述检索到的反病毒记录用于对所述软件对象进行存在恶意软件的分析；以及

将有关所述软件对象的信息和从所述反病毒数据库检索到的所述相关联的反病毒记录发送至所述反病毒服务器。

3.根据权利要求1所述的方法，其中利用反病毒服务器检查所述反病毒记录的正确性进一步包括：

将有关所述软件对象的执行的信息提供给所述反病毒服务器，其中所述反病毒服务器对所提供的有关所述软件对象的信息与有关已知的干净对象的信息相比较。

4.根据权利要求1所述的方法，其中利用反病毒服务器检查所述反病毒记录的正确性进一步包括：

将有关所述软件对象的执行的信息提供给所述反病毒服务器，其中所述反病毒服务器对所提供的有关所述软件对象的信息与从其他软件应用程序所收集的有关所述软件对象的统计信息相比较。

5.根据权利要求1所述的方法，其中用于所述反病毒记录的校正包括所述反病毒记录的状态的改变，其中所述反病毒记录的所述状态选自包括工作记录、测试记录和不活动记录的组中。

6.根据权利要求1所述的方法，其中当所述反病毒服务器基于所收集的有关所述反病毒记录的统计信息确定对所述反病毒记录应用记录校正规则时，触发所述反病毒记录的所述状态的改变。

7.根据权利要求6所述的方法，其中当所述反病毒服务器确定由所述反病毒记录将所述软件对象识别为恶意的数量超出由所述反病毒记录将所述软件对象识别为干净的数量预定阈值时，触发所述反病毒记录的所述状态的改变。

8.一种用于恶意软件检测的基于计算机的系统，所述系统包括：

第一数据存储，存储包含多个反病毒记录的反病毒数据库；

第二数据存储，存储包含用于一个或多个反病毒记录的一个或多个校正的经校正反病毒记录数据库；以及

耦合至所述第一数据存储和第二数据存储的处理器，所述处理器配置为：

使用反病毒应用程序对软件对象进行存在恶意软件的分析；

从所述反病毒数据库检索与所分析对象相关联的反病毒记录，其中所述反病毒记录识别所述对象为恶意的；

在所述经校正反病毒记录数据库中检查用于检索到的反病毒记录的校正；

如果在所述经校正反病毒记录数据库中发现用于所述反病毒记录的校正，则基于所述校正更新在所述反病毒数据库中的所述反病毒记录，并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析；

如果在所述经校正反病毒记录数据库中没有发现用于所述反病毒记录的校正，则利用反病毒服务器检查所述反病毒记录的正确性，其中所述反病毒服务器使用从部署在不同计算机上的多个反病毒应用程序所收集的有关软件对象的统计信息来证实反病毒记录的正确性；以及

如果所述反病毒服务器提供用于所述反病毒记录的校正，则基于所述校正来更新所述反病毒数据库中的所述反病毒记录，并且使用更新的反病毒记录用于对所述软件对象进行存在恶意软件的分析。