[发明专利]模糊列入白名单反恶意软件系统及方法

说明书

相关申请案的交叉参考

本申请案主张于2011年11月2日提出申请的第61/554,859号美国临时专利申请案的申请日期的权益，所述临时专利申请案特此以全文引用方式并入。 

背景技术

本发明涉及用于保护用户免受恶意软件破坏的系统及方法，且特定来说涉及软件列入白名单。 

恶意软件(还称为恶意软件(malware))影响全世界的大量计算机系统。在其许多形式(例如计算机病毒、蠕虫、特洛伊木马及rootkit)中，恶意软件对数百万计算机用户呈现出严重风险，使他们易于遭受数据损失、身份盗用及生产力损失等等。 

专用于恶意软件扫描的计算机程序采用从用户计算机系统检测及消除恶意软件的各种方法。此类方法包含基于行为的技术及基于内容的技术。基于行为的方法可涉及允许被怀疑程序在经隔离虚拟环境中执行，从而识别恶意行为并阻挡冒犯程序的执行。在基于内容的方法中，通常将被怀疑文件的内容与已知恶意软件识别签名的数据库进行比较。如果在被怀疑文件中找到已知恶意软件签名，那么将所述文件标记为恶意的。 

打击恶意软件的其它方法采用应用程序白名单，其包括维持在用户的计算机系统上允许的软件及行为的列表，及阻挡执行所有其它应用程序。此类方法对多态恶意软件特别有效，多态恶意软件能够随机地修改其恶意软件识别签名，从而使常规基于内容的方法无效。 

一些列入白名单应用采用散列值来识别并确保列入白名单的软件的完整性。可针对隶属于列入白名单的应用程序的文件或文件群组创建加密散列并进行存储以供参考。接着，通过将所存储散列与在运行时产生的新散列进行比较而验证相应应用程序。 

反恶意软件列入白名单方法的性能可取决于以高效且灵活方式维持并更新白名单数据库的能力。 

发明内容

根据一个方面，一种方法包括：在客户端计算机系统处执行所述客户端计算机系统的多个目标对象的初始恶意软件扫描；及响应于通过所述初始恶意软件扫描做出的所述目标对象被怀疑为恶意的初步确定：在所述客户端计算机系统处产生所述目标对象的多个目标散列，每一目标散列表示所述目标对象的相异代码块，每一相异代码块由所述目标对象的处理器指令序列组成；经由广域网将所述多个目标散列从所述客户端计算机系统发送到连接到所述客户端计算机系统的服务器计算机系统；及在所述客户端计算机系统处从所述服务器计算机系统接收所述目标对象是否为恶意的服务器侧指示符。所述服务器侧指示符由所述服务器计算机系统通过以下操作产生：针对所述多个目标散列中的至少一目标散列，检索参考对象的多个参考散列，所述参考对象选自根据所述目标散列的一组列入白名单的对象，且当所述多个目标散列不完全相同于所述多个参考散列时，根据所述多个目标散列与所述多个参考散列两者共有的散列计数确定相似度得分；及当所述相似度得分超过预定阈值时，将所述目标对象指定为非恶意的。 

根据另一方面，一种方法包括：经由广域网在服务器计算机系统处接收连接到所述服务器计算机系统的客户端计算机系统的目标对象的多个目标散列；在所述服务器计算机系统处产生所述目标对象是否为恶意的服务器侧指示符；及将所述目标对象是否为恶意的所述服务器侧指示符发送到所述客户端计算机系统。所述多个目标散列是在所述客户端计算机系统处响应于由所述客户端计算机系统做出的所述目标对象被怀疑为恶意的初步确定而产生的，所述初步确定由所述客户端计算机系统的多个目标对象的初始恶意软件扫描而引起。在所述服务器计算机系统处产生所述目标对象是否为恶意的服务器侧指示符包括：针对所述多个目标散列中的至少一目标散列，检索参考对象的多个参考散列，所述参考对象选自根据所述目标散列的一组列入白名单的对象，且当所述多个目标散列不完全相同于所述多个参考散列时，根据所述多个目标散列与所述多个参考散列两者共有的散列计数确定相似度得分；及当所述相似度得分超过预定阈值时，将所述目标对象指定为非恶意的。 

根据另一方面，一种方法包括：在服务器计算机系统处接收目标对象的多个目标散列，每一目标散列表示所述目标对象的相异代码块，每一相异代码块由所述目标对象的处理器指令序列组成；针对所述多个目标散列中的至少一目标散列，采用所述服务器计算机系统来：检索参考对象的多个参考散列，所述参考对象选自根据所述目标散列的一组列入白名单的对象，且当所述多个目标散列不完全相同于所述多个参考散列时，根据所述多个目标散列与所述多个参考散列两者共有的散列计数确定相似度得分；及当所述相似度得分超过预定阈值时，采用所述服务器计算机系统来将所述目标对象标记为非恶 意的。