檢測惡意軟件包括監視可執行程序的事件流，其中該事件流包括諸如API調用事件的多個事件。為事件流確定第一多個散列值。響應于事件流中觸發事件的發生，可以將事件流的第一多個散列值與表示已知惡意軟件可執行文件的事件流的第二多個散列值進行比較。基于該比較，可以確定由第一多個散列值表示的行為是否是允許的行為。

相關申請的交叉引用

本申請要求2016年9月30日提交的題為“Detecting?Malware?with?Hash-BasedFingerprints”的美國臨時專利申請序列號62/402，800的優先權。

技術領域

本發明一般涉及反惡意軟件技術，并且更具體地，涉及通過使用基于散列的指紋檢測惡意軟件。

背景技術

惡意軟件(malware)是“惡意軟件(malicious?software)”的縮寫，其是指在用戶不知情或不同意的情況下可以用于中斷計算機操作、損壞數據、收集敏感信息或獲得對私有計算機系統的訪問的軟件。這種惡意軟件的示例包括軟件病毒、特洛伊木馬(trojanhorses)、rootkits、勒索軟件(ransomware)等。由惡意軟件開發人員使用的一種常見機制是將惡意軟件嵌入到看起來像是用戶所期望的文件中，或者在用戶訪問網站時下載并執行該惡意軟件。例如，惡意軟件可以被嵌入到看起來合法且有用的軟件應用中。用戶下載文件，并且當文件打開時，執行文件內的惡意軟件。包含惡意軟件的文件可以稱為惡意文件(malicious?file)。

檢測惡意軟件以保護計算設備是主要關注的問題。最近，已經有許多改進惡意軟件的檢測的嘗試。一種這樣的嘗試包括確定一個文件是否與另一文件類似，或者一個數據對象是否與另一數據對象相似。例如，簽名分析、試探性分析、行為分析、散列和分析以及基于云的分析都是這種方法論途徑的類別。雖然簽名和散列和技術是熟知的檢測分析方法，但是這些技術可能無法檢測修改后的惡意軟件代碼。試探性分析可以嘗試通過靜態地分析文件來檢測新的惡意軟件，但是它在檢測模糊的惡意軟件時可能是無效的。行為分析通常被證明在檢測修改后的惡意軟件方面是有效的，但是即使是已知的這種分析方法也有許多缺點。例如，已知的行為分析方法可能導致系統性能降低。出于這些原因，需要一種改進的檢測惡意軟件的方法，特別是在不降低系統性能的情況下檢測惡意軟件。專利公開US2015/082441A1、US2015/082430A1和US?2016/103992A1討論了對于理解本發明的背景有用的信息。

發明內容

本發明一般涉及一種使用基于散列的指紋檢測惡意軟件的系統和方法。為了檢測惡意軟件，可以將可執行程序的屬性與已知包含惡意軟件的程序或文件的屬性進行比較。