相關(guān)申請(qǐng)的交叉引用

本申請(qǐng)依據(jù)美國(guó)法典35章的119（a）-（d），請(qǐng)求享有在2011年11月24日遞交的第2011147542號(hào)俄羅斯申請(qǐng)的優(yōu)先權(quán)，其以引用的方式合并到本文中。

技術(shù)領(lǐng)域

本公開總體上涉及計(jì)算機(jī)安全領(lǐng)域，并且具體地，涉及用于校正反病毒記錄的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。

背景技術(shù)

當(dāng)前，對(duì)反病毒數(shù)據(jù)庫(kù)保持及時(shí)更新是反病毒業(yè)界最緊迫的問題之一。事實(shí)上，甚至在惡意軟件程序還沒被主導(dǎo)的反病毒專家和公司檢測(cè)出的很短時(shí)間內(nèi)，該惡意軟件就可能由不同用戶下載幾十萬次，并且感染大量的計(jì)算機(jī)。反病毒數(shù)據(jù)庫(kù)的及時(shí)更新允許充分而快速地執(zhí)行對(duì)惡意軟件的對(duì)抗。

但值得注意的是，包括惡意軟件在內(nèi)的軟件數(shù)量正不斷增加，在此過程中必須有檢測(cè)類似應(yīng)用的主動(dòng)聯(lián)系的方法。為了對(duì)抗未知惡意軟件，現(xiàn)代的反病毒公司正采用啟發(fā)式分析方法、利用虛擬化在受保護(hù)環(huán)境中（例如，沙盒、蜜罐）執(zhí)行未知程序、以及基于對(duì)它們的活動(dòng)的分析（例如，HIPS）來限制程序功能的各種手段。雖然如此，人們并不能完全依賴于所有上述所枚舉的過程，這是因?yàn)樵诋?dāng)前反病毒應(yīng)用程序中上述過程具有與其操作和使用的特性相關(guān)聯(lián)的一定的缺陷，其中在當(dāng)前反病毒應(yīng)用程序中用戶有權(quán)由于這些技術(shù)需要占用大量的時(shí)間和資源而確立不提供這些技術(shù)的完全使用的設(shè)定，例如當(dāng)啟動(dòng)未知程序時(shí)。在對(duì)未知程序的驗(yàn)證完成之前，用戶可例如在沙盒形式的保護(hù)環(huán)境中禁止其執(zhí)行，或者減少分配用于模擬的時(shí)間。

聯(lián)系到主動(dòng)技術(shù)可能存在低效率操作的風(fēng)險(xiǎn)，并鑒于惡意軟件程序數(shù)量的不斷增加，所謂的“白名單”越來越普及：干凈的（clean）即已驗(yàn)證且可靠的對(duì)象的數(shù)據(jù)庫(kù)。為文件、應(yīng)用程序、鏈接、E-mail消息以及即時(shí)消息傳送系統(tǒng)中的用戶賬號(hào)記錄、消息交換日志、IP地址、主機(jī)名稱、域名等等構(gòu)建干凈對(duì)象的列表。編制類似的列表可能始于多種因素：存在電子簽名或其他制造商數(shù)據(jù)、關(guān)于源的數(shù)據(jù)（從該處獲得應(yīng)用程序）、關(guān)于應(yīng)用程序鏈接的數(shù)據(jù)（父-子關(guān)系）、針對(duì)應(yīng)用程序版本的數(shù)據(jù)（例如，前一版本已經(jīng)在經(jīng)驗(yàn)證程序的列表中這一事實(shí)出發(fā)，可認(rèn)為應(yīng)用程序?yàn)榻?jīng)驗(yàn)證的）、針對(duì)環(huán)境變量的數(shù)據(jù)（例如，操作系統(tǒng)、啟動(dòng)參數(shù)）等等。在每一次發(fā)布對(duì)用于反病毒數(shù)據(jù)庫(kù)的簽名的更新之前，必須對(duì)其進(jìn)行沖突檢查，例如利用文件的“白名單”。值得注意的是，在給定時(shí)間所研究的大多數(shù)未知可執(zhí)行文件為所謂的PE（可移植可執(zhí)行）文件并具有PE格式（對(duì)于Windows操作系統(tǒng)家族而言，大多數(shù)惡意軟件為按照該形式所寫）。PE文件可表示為格式：文件頭、一定數(shù)量的包括可執(zhí)行程序格式的部分、以及疊加部分，該疊加部分為在執(zhí)行期間可根據(jù)需要加載的程序段。目前，文件的各種唯一部分被用于試圖創(chuàng)建文件簽名。通常來說，源于代碼部分的代碼被用于這些目的。然而，情況常常是專家因?yàn)檫@樣的片段存在于惡意軟件中而將會(huì)錯(cuò)誤地將程序庫(kù)或者其他廣泛使用的代碼解釋為惡意軟件的一部分。在這種情況下，被錯(cuò)誤地應(yīng)用于這一廣泛使用的片段的簽名可能會(huì)被創(chuàng)建。這一簽名將成功地檢測(cè)出惡意軟件應(yīng)用，但它也會(huì)將所有包含這一代碼片段但是干凈的其他文件定義為惡意的。由于這個(gè)錯(cuò)誤而導(dǎo)致誤檢（false?detection）發(fā)生。

反病毒應(yīng)用程序的操作不論如何都與某些反病毒記錄相關(guān)聯(lián)，例如，規(guī)則、模板、列表和簽名，一般來說專家通常參與其創(chuàng)建。這些反病毒記錄允許檢測(cè)和移除惡意軟件。但這一過程中也不排除人為因素，并且專家也可能會(huì)出差錯(cuò)，例如在創(chuàng)建將把某一信息在文件的“白名單”中的干凈軟件確定為惡意的簽名之后。還必須注意到不僅只是專家會(huì)出差錯(cuò)。用于自動(dòng)形成反病毒記錄而存在的系統(tǒng)，其試圖檢測(cè)出盡可能多的惡意軟件，將不可避免會(huì)囊括一些干凈的應(yīng)用軟件。

因此，為了最小化惡意軟件誤檢，需要出現(xiàn)一種用于校正包含在反病毒數(shù)據(jù)庫(kù)中的反病毒記錄的方法。

發(fā)明內(nèi)容

本發(fā)明經(jīng)設(shè)計(jì)用于及時(shí)地校正反病毒記錄以達(dá)到最小化誤檢的目的。技術(shù)結(jié)果包括，通過針對(duì)記錄使用校正來使得誤檢最小化，其中所述記錄定義對(duì)象為惡意的或干凈的。