[发明专利]用于校正反病毒记录以最小化恶意软件误检的系统和方法

说明书

相关申请的交叉引用

本申请依据美国法典35章的119（a）-（d），请求享有在2011年11月24日递交的第2011147542号俄罗斯申请的优先权，其以引用的方式合并到本文中。

技术领域

本公开总体上涉及计算机安全领域，并且具体地，涉及用于校正反病毒记录的系统、方法和计算机程序产品。

背景技术

当前，对反病毒数据库保持及时更新是反病毒业界最紧迫的问题之一。事实上，甚至在恶意软件程序还没被主导的反病毒专家和公司检测出的很短时间内，该恶意软件就可能由不同用户下载几十万次，并且感染大量的计算机。反病毒数据库的及时更新允许充分而快速地执行对恶意软件的对抗。

但值得注意的是，包括恶意软件在内的软件数量正不断增加，在此过程中必须有检测类似应用的主动联系的方法。为了对抗未知恶意软件，现代的反病毒公司正采用启发式分析方法、利用虚拟化在受保护环境中（例如，沙盒、蜜罐）执行未知程序、以及基于对它们的活动的分析（例如，HIPS）来限制程序功能的各种手段。虽然如此，人们并不能完全依赖于所有上述所枚举的过程，这是因为在当前反病毒应用程序中上述过程具有与其操作和使用的特性相关联的一定的缺陷，其中在当前反病毒应用程序中用户有权由于这些技术需要占用大量的时间和资源而确立不提供这些技术的完全使用的设定，例如当启动未知程序时。在对未知程序的验证完成之前，用户可例如在沙盒形式的保护环境中禁止其执行，或者减少分配用于模拟的时间。

联系到主动技术可能存在低效率操作的风险，并鉴于恶意软件程序数量的不断增加，所谓的“白名单”越来越普及：干净的（clean）即已验证且可靠的对象的数据库。为文件、应用程序、链接、E-mail消息以及即时消息传送系统中的用户账号记录、消息交换日志、IP地址、主机名称、域名等等构建干净对象的列表。编制类似的列表可能始于多种因素：存在电子签名或其他制造商数据、关于源的数据（从该处获得应用程序）、关于应用程序链接的数据（父-子关系）、针对应用程序版本的数据（例如，前一版本已经在经验证程序的列表中这一事实出发，可认为应用程序为经验证的）、针对环境变量的数据（例如，操作系统、启动参数）等等。在每一次发布对用于反病毒数据库的签名的更新之前，必须对其进行冲突检查，例如利用文件的“白名单”。值得注意的是，在给定时间所研究的大多数未知可执行文件为所谓的PE（可移植可执行）文件并具有PE格式（对于Windows操作系统家族而言，大多数恶意软件为按照该形式所写）。PE文件可表示为格式：文件头、一定数量的包括可执行程序格式的部分、以及叠加部分，该叠加部分为在执行期间可根据需要加载的程序段。目前，文件的各种唯一部分被用于试图创建文件签名。通常来说，源于代码部分的代码被用于这些目的。然而，情况常常是专家因为这样的片段存在于恶意软件中而将会错误地将程序库或者其他广泛使用的代码解释为恶意软件的一部分。在这种情况下，被错误地应用于这一广泛使用的片段的签名可能会被创建。这一签名将成功地检测出恶意软件应用，但它也会将所有包含这一代码片段但是干净的其他文件定义为恶意的。由于这个错误而导致误检（false detection）发生。

反病毒应用程序的操作不论如何都与某些反病毒记录相关联，例如，规则、模板、列表和签名，一般来说专家通常参与其创建。这些反病毒记录允许检测和移除恶意软件。但这一过程中也不排除人为因素，并且专家也可能会出差错，例如在创建将把某一信息在文件的“白名单”中的干净软件确定为恶意的签名之后。还必须注意到不仅只是专家会出差错。用于自动形成反病毒记录而存在的系统，其试图检测出尽可能多的恶意软件，将不可避免会囊括一些干净的应用软件。

因此，为了最小化恶意软件误检，需要出现一种用于校正包含在反病毒数据库中的反病毒记录的方法。

发明内容

本发明经设计用于及时地校正反病毒记录以达到最小化误检的目的。技术结果包括，通过针对记录使用校正来使得误检最小化，其中所述记录定义对象为恶意的或干净的。