[发明专利]利用基于散列的指纹检测恶意软件

权利要求书

1.一种针对可执行程序(104)使用基于散列的指纹检测恶意软件的计算机实施的方法，所述计算机实施的方法包括以下步骤：

在计算机系统上执行程序(104)；

监视所述程序(104)的事件流(120)，所述事件流(120)包括多个事件(202,202A，202B，202C)；

计算第一指纹(110)，所述第一指纹(110)包括表示所述事件流(120)中多个事件的概要的第一多个散列值；

响应于触发事件的发生，将所述第一指纹(110)与从已知为包含恶意软件的程序生成的一个或多个第二指纹进行比较，其中当所述第一指纹(110)的至少一个散列值具有触发值或触发模式时，所述触发事件发生，并且其中所述触发值或所述触发模式能够由所述至少一个散列值的最低四位都为零来呈现；以及

至少部分基于所述比较来确定由所述第一指纹(110)表示的行为是否是允许的行为。

2.根据权利要求1所述的计算机实施的方法，还包括以下步骤：

响应于新事件(202)被添加到所述事件流(120)中，重新计算所述第一指纹的新值，所述第一指纹(110)的新值至少部分地基于所述第一指纹(110)的当前值和与所述新事件(202)相关联的多个散列值来重新计算，其中所述第一指纹(110)包括固定长度的指纹，其中所述固定长度与所述事件流(120)中的事件数量无关。

3.根据权利要求1所述的计算机实施的方法，其中，所述多个散列值根据最小散列散列算法确定。

4.根据权利要求1所述的计算机实施的方法，其中，所述多个事件(202,202A，202B，202C)包括API(应用程序接口)调用。

5.根据权利要求1所述的计算机实施的方法，其中，所述计算所述第一指纹(110)的步骤包括：将所述事件流(120)中的事件分组为多个重叠组，并且其中至少部分基于一组事件来计算所述第一指纹(110)。

6.一种其上存储有程序的非暂时性计算机可读存储介质，所述程序使得计算机执行如权利要求1到5的任一项所述的方法的步骤。

7.一种使用基于散列的指纹检测恶意软件的系统(100)，所述系统包括：

计算设备(102)，用于执行可执行程序(104)；

监视模块(106)，被配置为监视所述程序(104)的事件流(120)，所述事件流(120)包括多个事件(202,202A，202B，202C)；

聚合模块(108)，被配置为接收和处理所述多个事件(202,202A，202B，202C)以生成所述事件流(120)的第一指纹(110)，生成的所述第一指纹(110)包括表示所述多个事件(202,202A，202B，202C)的概要的第一多个散列值，其中响应于触发事件，所述聚合模块(108)将所述第一指纹(110)提供给行为分析模块(112)；以及

行为分析模块(112)，被配置为接收所述事件流(120)的第一指纹(110)，将所述事件流(120)的第一指纹(110)与从已知为包含恶意软件的程序生成的一个或多个第二指纹进行比较，其中当所述第一指纹(110)的至少一个散列值具有触发值或触发模式时，所述触发事件发生，并且其中所述触发值或所述触发模式能够由所述至少一个散列值的最低四位都为零来呈现以及基于所述比较来确定由所述第一指纹(110)表示的行为是否是允许的行为。

8.根据权利要求7所述的系统(100)，其中，响应于新事件(220)被添加到所述事件流(120)中，所述聚合模块(108)重新生成所述第一指纹(110)的新值，所述第一指纹(110)的新值至少部分基于所述第一指纹(110)的当前值和与所述新事件(220)相关联的多个散列值来重新生成，其中所述第一指纹(110)包括固定长度的指纹，其中所述固定长度与所述事件流(120)中的事件数量无关。

9.根据权利要求7所述的系统(100)，其中，所述多个散列值根据最小散列散列算法确定。