| 发明名称 | 模糊列入白名单反恶意软件系统及方法 | ||
| 摘要 | 在一些实施例中,反恶意软件系统考虑非恶意数据对象之间的良性差异,例如由编译器及其它多态性引入的差异。将目标对象分离成众多代码块,且针对每一代码块计算散列。接着,将所获得目标散列集与对应于从列入白名单的对象提取的代码块的散列的数据库进行比较。如果目标对象具有与列入白名单的对象共有的显著数目个散列,那么可将其标记为列入白名单的(被信赖的、非恶意的)。略微不同于已知列入白名单的对象的对象仍可接收白名单状态。通过允许相异对象的散列集之间的特定程度的不匹配,本发明的一些实施例在不使安全性降低到不可接受程度的情况下增加列入白名单的效率。 | ||
| 申请公布号 | CN104025107A | 申请公布日期 | 2014.09.03 |
| 申请号 | CN201280064362.6 | 申请日期 | 2012.09.05 |
| 申请人 | 比特梵德知识产权管理有限公司 | 发明人 | I·弗拉德·托凡;V·索林·杜代亚;D·维罗埃尔·卡尼亚 |
| 分类号 | G06F21/56(2006.01)I | 主分类号 | G06F21/56(2006.01)I |
| 代理机构 | 北京律盟知识产权代理有限责任公司 11287 | 代理人 | 张世俊 |
| 主权项 | 一种方法,其包括:在客户端计算机系统处执行所述客户端计算机系统的多个目标对象的初始恶意软件扫描;及响应于通过所述初始恶意软件扫描做出的所述目标对象被怀疑为恶意的初步确定:在所述客户端计算机系统处产生所述目标对象的多个目标散列,每一目标散列表示所述目标对象的相异代码块,每一相异代码块由所述目标对象的处理器指令序列组成;经由广域网将所述多个目标散列从所述客户端计算机系统发送到连接到所述客户端计算机系统的服务器计算机系统;及在所述客户端计算机系统处从所述服务器计算机系统接收所述目标对象是否为恶意的服务器侧指示符,其中所述服务器侧指示符由所述服务器计算机系统通过以下操作产生:针对所述多个目标散列中的至少一目标散列,检索参考对象的多个参考散列,所述参考对象选自根据所述目标散列的一组列入白名单的对象,且当所述多个目标散列不完全相同于所述多个参考散列时,根据所述多个目标散列与所述多个参考散列两者共有的散列计数确定相似度得分;及当所述相似度得分超过预定阈值时,将所述目标对象指定为非恶意的。 | ||
| 地址 | 塞浦路斯尼科西亚 | ||