用於惡意軟體檢測的系統和方法

2023-05-15 23:56:26 1

專利名稱：：用於惡意軟體檢測的系統和方法用於惡意軟體檢測的系統和方法相關申請的交叉引用本申請要求2009年8月28日遞交的美國專利申請No.12/550,025的遞交日的權益，該美國專利申請No.12/550，025要求2008年8月四日遞交的美國臨時專利申請No.61/092，848的優先權。二進位文件時常在很多計算設備之間進行傳送。接收二進位文件的計算設備通常不知道該文件的來源或者其接收的代碼是否安全。為了確保計算設備的安全性，可以對二進位文件進行反彙編來確定該文件是否包含諸如病毒、蠕蟲、特洛伊木馬和/或類似的惡意軟體。通常，反彙編器將二進位文件從機器語言翻譯為彙編語言。一些反彙編器是交互式的，並且允許熟練程式設計師對於反彙編器如何分析文件做出註解、修正、闡述或者決定。例如，反彙編器可以在出現新的函數或者特定代碼段時發出信號。當所標識的動作發生時，可以對該代碼的特定段加標籤以供今後參考。然而，對未知的可執行文件(executable)進行分析可能是一個耗時的過程，其通常是由特殊訓練的人員來手動進行的，或者通過使用統計方法自動進行。
發明內容在描述本方法之前，應當理解本發明並不限於所描述的特定系統、方法或協議，因為它們可以改變。本文所使用的術語僅用於描述特定實施方案的目的，並且其並不意圖限制本公開的範圍。必須注意，如本文及所附權利要求書中所使用的，除非上下文另外明確指出，否則單數形式「一」(「a」和「an」)和「所述」包括複數指稱。除非另外定義，否則本文使用的所有技術和科學術語具有本領域普通技術人員所普遍理解的含義。使用在這裡，術語「包括」意味著「包括但不限於」。在一實施方案中，一種自動識別惡意軟體的方法可以包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；以及通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行。如果所述指令序列被歸類為有威脅的，可以發送信息到代碼分析部件並可以通知使用者所述二進位文件包含惡意軟體。所述信息可以包括以下內容中的一項或更多項所述指令序列；標籤，所述標籤包括這樣的指示，即所述指令序列是有威脅的；以及針對所述指令序列的至少一部分對來自所述二進位文件中的一個或更多個其他彙編語言序列進行搜索的請求。在一實施方案中，一種自動識別惡意軟體的方法可以包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；以及通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行。如果所述指令序列被歸類為無威脅的，可以發送信息到代碼分析部件並可以請求第二指令序列。所述信息可以包括以下內容中的一項或更多項所述指令序列；以及標籤，所述標籤包括這樣的指示，即所述指令序列是無威脅的。在一實施方案中，一種自動識別惡意軟體的方法可以包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；以及通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行。如果所述指令序列被歸類為不可歸類的，所述方法可以包括發送重新分析所述彙編語言序列的請求到代碼分析部件請求；接收新指令序列，所述新指令序列對應於所述重新分析的彙編語言序列；以及歸類所述新指令序列為有威脅的、無威脅的或不可歸類的。在一實施方案中，一種自動識別惡意軟體的方法可以包括通過代碼分析部件分析二進位文件來生成彙編語言序列和相應的指令序列；發送所述指令序列到專家系統知識庫；以及從所述專家系統知識庫接收與所述指令序列相關聯的歸類信息。如果所述歸類信息將所述指令序列標識為有威脅的，所述方法可以包括從所述二進位文件識別一個或更多個其他彙編語言序列，所示二進位文件包括所述指令序列的至少一部分，以及發送所述已識別的彙編語言序列的至少一個到所述專家系統知識庫。如果所述歸類信息將所述指令序列識別為無威脅的，所述方法可以包括發送第二指令序列到所述專家系統知識庫。如果所述歸類信息將所述指令序列識別為不可歸類的，所述方法可以包括重新分析所述彙編語言序列來產生新指令序列，以及發送所述新指令序列到所述專家系統知識庫。在一實施方案中，一種用於自動識別惡意軟體的系統可以包括代碼分析部件，所述代碼分析部件被配置為從二進位文件識別彙編語言序列，其中所述彙編語言序列包括一個或更多個指令序列；以及專家系統知識庫，所述專家系統知識庫與所述代碼分析部件通信。所述專家系統知識庫可以被配置為使用一個或更多個規則來歸類所述指令序列為有威脅的、無威脅的或不可歸類的。參照以下描述和附圖，將清楚本發明的方面、特徵、益處和優點，在附圖中圖1圖示根據一實施方案的示例性惡意軟體檢測系統。圖2圖示根據一實施方案的示例性專家系統知識庫。圖3圖示根據一實施方案的用於檢測和分析惡意軟體的示例性方法的流程圖。圖4圖示根據一實施方案、可以用於包含或實現程序指令的示例性系統的框圖。圖5和圖6圖示根據一實施方案的示例性指令序列。具體實施例方式在描述本方法之前，應當理解本發明並不限於所描述的特定系統、方法或協議，因為它們可以改變。本文所使用的術語僅用於描述特定實施方案的目的，並且其並不意圖限制本公開的範圍。如本文及所附權利要求書中所使用的，除非上下文另外明確指出，否則單數形式「一」(「a」和「an」)和「所述」包括複數指稱。除非另外定義，否則本文使用的所有技術和科學術語具有本領域普通技術人員所普遍理解的含義。使用在這裡，術語「包括」意味著「包括但不限於」。為了以下描述的目的，「節點」指彙編語言序列內處理器所執行的指令序列。「彙編語言」指一種計算機程式語言，其實現數字機器碼的符號表示。「彙編語言序列」指以彙編語言所編寫的節點序列。「二進位文件」指包括以二進位格式編碼的數據的計算機文件。可執行文件是一類二進位文件。「惡意軟體」是設計來幹擾、潛入或損害計算機系統的有惡意的軟體。惡意軟體的例子包括病毒、蠕蟲、特洛伊木馬、廣告軟體、間諜軟體、後門和/或類似軟體。「專家系統」是一種人工智慧軟體和/或固件，其被設計來在特定問題領域模擬人們的決策過程。圖1圖示根據一實施方案的惡意軟體檢測系統。惡意軟體檢測系統可以包括代碼分析部件100、專家系統知識庫200和/或連接器邏輯部件150。在一實施方案中，代碼分析部件100、專家系統知識庫200和/或連接器邏輯部件150可以使用軟體、硬體或軟體和硬體的組合來實現。在一實施方案中，代碼分析部件100、專家系統知識庫200和/或連接器邏輯部件150可以駐留在同一計算設備上。可替換地，代碼分析部件100、專家系統知識庫200和/或連接器邏輯部件150可以以彼此通信的方式駐留在不同計算設備上。在一實施方案中，代碼分析部件100可以分析例如但不限於可執行文件的二進位文件。在一實施方案中，代碼分析部件100可以以靜態或者動態方式分析二進位文件。靜態分析可以包括分析並非當前正在執行的二進位文件。相比之下，動態分析可以包括在二進位文件正在執行時分析該二進位文件。在一實施方案中，代碼分析部件可以使用硬體、軟體或硬體和軟體的組合來實現。在一實施方案中，代碼分析部件100可以包括反彙編器、調試器、解編譯器和/或類似部件。例如，代碼分析部件100可以是諸如IDAPro的反彙編器。代碼分析部件可以分析二進位文件來創建一彙編語言序列。在一實施方案中，彙編語言序列可以包括二進位文件的人類可讀表示。代碼分析部件100可以包括可以用來從二進位文件創建彙編語言序列的內部規則和/或操作。代碼分析部件100可以分析彙編語言序列來確定一指令序列。在一實施方案中，代碼分析部件100可以與外部設備交互來分析二進位文件。例如，如下討論的，代碼分析部件100可以與專家系統知識庫200通信。如圖1所圖示的，惡意軟體檢測系統可以包括專家系統知識庫200。在一實施方案中，專家系統知識庫200可以包括人類在特定領域中的專業知識的表徵。例如，專家系統知識庫200可以包括信息、數據、規則等來對經驗豐富的計算機分析師的知識和實踐進行建模。在一實施方案中，專家系統知識庫200可以使用C語言集成生產系統(「CLIPS」)來實現——CLIPS是一種可以用於創建專家系統的程式語言和軟體工具。圖2圖示根據一實施方案的專家系統知識庫。專家系統知識庫200可以包括內部規則和/或操作。在一實施方案中，這些內部規則和/或操作可以被應用到來自彙編語言序列的指令序列，以確定所述彙編語言序列是否包含惡意軟體。在一實施方案中，所述內部規則和/或操作可以表示人類專業知識的編碼。在一實施方案中，領域專家205可以填入到(populate)專家系統知識庫200。領域專家可以為，但不限於，具有分析惡意軟體的專業知識的人。在一實施方案中，領域專家205可以是這樣的計算設備，其被配置來為專家系統知識庫200提供可以表示人類專業知識的編碼的內部規則和/或操作。例如，一計算設備可以自動地為專家系統知識庫200提供對一條或更多條內部規則和/或操作的更新、改進等。在一實施方案中，專家系統知識庫200可以填入有二進位文件結構210。二進位文件結構可以是這樣的模板，其描繪二進位文件的一個或更多個部分，，和/或描繪二進位文件中多個部分的序列。二進位文件結構210可以用於分析文件結構是否恰當。例如，可以分析二進位文件結構210來確定該文件上的頭部是否符合一協議。在一實施方案中，專家系統知識庫200可以填入有蠕蟲界定操作215。蠕蟲界定操作215可以識別這樣的指令序列所述指令序列複製彙編語言序列。在一實施方案中，專家系統知識庫200可以填入有特洛伊木馬界定操作220。特洛伊木馬界定操作220可以識別彙編語言序列中這樣的指令序列所述指令序列與一個或更多個特洛伊木馬相關聯。在一實施方案中，專家系統知識庫可以填入有病毒界定操作225。病毒界定操作225可以識別彙編語言序列中的自我複製的指令序列。專家系統知識庫200可以包括可附加和/或可替換的操作。回頭參照圖1，惡意軟體檢測系統可以包括連接器邏輯部件150。連接器邏輯部件150可以使能(enable)代碼分析部件100和專家系統知識庫200之間的通信。在一實施方案中，從代碼分析部件100發送的彙編語言序列可以呈專家系統知識庫200不能直接處理的格式。代碼分析部件100可以將該彙編語言序列傳送到連接器邏輯部件150。連接器邏輯部件150可以將指令序列轉換為專家系統知識庫200可以處理的格式。連接器邏輯部件150可以將新近轉換的指令序列發送到專家系統知識庫200。類似地，連接器邏輯部件可以從專家系統知識庫200獲得信息。連接器邏輯部件可以將來自專家系統知識庫200的信息轉換為代碼分析部件100可讀的格式，並且將經轉換的信息傳輸到代碼分析部件。圖3描繪根據一實施方案、用於檢測和分析惡意軟體的方法的流程圖。二進位文件可以被代碼分析部件接收。代碼分析部件可以分析該文件來獲得彙編語言序列和指令序列。代碼分析部件可以經由連接器邏輯部件將所述彙編語言序列連同所述指令序列發送到專家系統知識庫。專家系統知識庫可以接收300所述彙編語言序列。在一實施方案中，專家系統知識庫可以從所述彙編語言序列識別305所述指令序列。專家系統知識庫可以應用內部操作和/或規則來對所述指令序列進行歸類315。在一實施方案中，歸類可以被用來確定該指令序列是否包含惡意軟體。例如，在一實施方案中，專家系統知識庫可以將所述指令序列歸類為無威脅的315、有威脅的330或者不可歸類的345。在本公開的範圍內可以使用附加和/或可替換的歸類。在一實施方案中，專家系統知識庫可以使用一條或更多條內部規則和/或操作來遍歷所接收指令序列的節點和分支。在一實施方案中，專家系統知識庫向所接收的指令序列應用一組優先規則(precedentialrule)。優先規則集中的每條規則可以具有相對於該集合中其他優先規則的排序。在一實施方案中，所述規則可以基於每條規則與指令序列之間的匹配次數來排序。例如，與一規則的匹配準則最類似的指令序列可以導致該規則被賦予針對給定遍歷的最高優先級(priority)。可替換地，與一規則的匹配準則最不類似的指令序列可以導致該規則被賦予針對給定遍歷的最低優先級。CLIPS提供諸如複雜度策略和簡單度策略的衝突解決策略，所述複雜度策略和簡單度策略分別向最多和最少次特定匹配賦予優先權(precedence)。在一實施方案中，這樣的策略可以被採用來對與指令序列最特定匹配的那些規則進行排序。在一實施方案中，專家系統知識庫可以向指令序列應用與最高優先權相關聯的規則。在一實施方案中，來自所述規則組的一條或更多條額外的優先規則可以按照它們的優先權次序應用到指令序列，直到所述指令序列被歸類或者直到已經應用了所有優先規則。在應用一條或多條規則時，如果專家系統知識庫從頭到尾遍歷指令序列，則該指令序列可以被歸類為無威脅的315。例如，圖5圖示根據一實施方案的示例性指令序列。如果專家系統知識庫能夠從頭(指令1505)到尾(指令8510)遍歷整個指令序列500，則該指令序列500可以被歸類為無威脅的。在一實施方案中，專家系統知識庫可以向代碼分析部件傳輸320信息，所述信息表明所述指令序列是無威脅的。在一實施方案中，所述信息可以包括附於所述指令序列、指示所述指令序列為無威脅的標籤。在一實施方案中，響應於將指令序列歸類為無威脅的，專家系統知識庫可以從代碼分析部件請求325具有新指令序列的新彙編序列來進行分析。在一實施方案中，如果專家系統知識庫不能遍歷指令序列的每條指令，則專家系統知識庫可以將該指令序列歸類為有威脅的330。例如，專家系統知識庫可以通過遍歷指令序列的指令來分析該指令序列，以確定是否存在惡意軟體。例如，循環可能是惡意軟體的指示標誌(indicator)。如果在遍歷期間專家系統知識庫到達一其已經分析過的指令，則專家系統知識庫可以確定該指令序列形成循環。在一實施方案中，專家系統知識庫可以將具有一個或更多個循環的指令序列歸類為有威脅的。圖6圖示出根據一實施方案的示例性指令序列。如圖6所圖示的，指令序列600可以被歸類為有威脅的，因為它包括從指令6605到指令4610的循環。在一實施方案中，可以指示惡意軟體或其他惡性行為的其他活動可以包括加密/解密例程、複製代碼、按鍵記錄、獨立發起網絡通信、與已知惡意方或可疑網絡主機通信等等。這樣，包括這些活動之一或更多的指令序列可以被歸類為有威脅的。在本公開的範圍內，附加和/或可替換的活動可以來指示惡意軟體。在一實施方案中，專家系統知識庫可以向代碼分析部件傳輸335信息，所述信息表明所述指令序列是有威脅的。所述信息可以經由連接器邏輯部件發送到代碼分析部件，所述連接器邏輯部件可以將所述信息翻譯為代碼分析部件可讀的形式。在一實施方案中，所述信息可以包括附於所述指令序列、指示所述指令序列為有威脅的標籤。在一實施方案中，所述信息可以包括對其他彙編語言序列進行搜索來查找之前曾分析340過的指令序列的至少一部分的請求。例如，代碼分析部件可以對其他彙編語言序列進行搜索來查找在前一實施例中討論的循環。在一實施方案中，代碼分析部件可以使用其內部操作和/或規則來翻譯和/或分析所述信息，以確定指令序列的至少一部分是否存在於彙編語言序列內部。如果代碼分析部件找到相同的指令序列或者指令序列的一部分，則代碼分析部件可以將相關的彙編語言序列和指令序列發送給專家系統知識庫。在一實施方案中，專家系統知識庫可以確定345指令序列是否是不可歸類的。如果專家系統知識庫不能確定指令序列是否是有威脅的，則該指令序列可以被標識為不可歸類的。例如，創建了二進位文件的程式設計師可能曾故意使用方法來模糊該文件的功用，妨礙代碼分析部件發出正確的指令序列。這樣，代碼分析部件可能經由連接器邏輯部件向專家系統知識庫發送非完整或者荒謬的指令序列。專家系統知識庫可以使用其內部規則和/或操作分析指令序列的每個節點。基於其分析，專家系統知識庫可以向代碼分析部件傳輸350請求來重新解釋特定節點或者一系列節點。例如，專家系統知識庫可以請求代碼分析部件針對特定節點生成新的指令序列。在一實施方案中，所述請求可以包括針對代碼分析部件的在分析彙編序列時可替換的考量因素。例如，在某些情況下，代碼分析部件可能不能夠恰當地分析彙編序列。這樣，專家系統知識庫可能有必要向代碼分析部件提供允許分析繼續下去的信息。例如，專家系統知識庫可以檢測出一非正確的指令序列應當被更改或忽略以允許分析繼續下去。在一實施方案中，該信息可以被包括在給代碼分析部件的請求中。在一實施方案中，代碼分析部件可以使用其內部規則和/或操作來分析彙編語言序列和指令序列。專家系統知識庫可以經由連接器邏輯部件從代碼分析部件接收345經分析的彙編語言序列和新的指令序列。專家系統知識庫可以遍歷該新的指令序列來確定其歸類。圖4描繪根據一實施方案、可以用於包含或者實現程序指令的示例性系統的框圖。參照圖4，總線400充當將硬體其他圖示組件進行互連的主信息通道。CPU405可以是系統的中央處理單元，進行執行程序所需的運算和邏輯操作。只讀存儲器(R0M)410和隨機訪問存儲器(RAM)415可以構成示例性存儲器設備或儲存介質。控制器420將一個或更多個可選的盤驅動接口到系統總線400。這些盤驅動可以包括例如外部或內部DVD驅動425、⑶ROM驅動430或硬碟驅動435。如之前指示的，這些各種盤驅動和盤控制器是可選的設備。程序指令可以儲存在ROM410和/或RAM415中。可選地，程序指令可以儲存在例如應驅動、緻密盤、數字盤、存儲器的計算機可讀儲存介質或任何其他實體記錄介質上。可選顯示接口面440可以允許來自總線400的信息以音頻、圖形或者字母數字形式顯示在顯示器445上。可以使用各種通信埠450進行與外部設備的通信。除了標準的計算機型部件外，所述硬體還可以包括接口455，該接口455允許從諸如鍵盤460的輸入設備或者諸如滑鼠、遙控器、觸摸板或觸控螢幕、指點設備和/或遊戲杆的其他輸入設備465接收數據。應當意識到，上述公開的各種和其他特徵以及功能或者其替換方案可以合乎期望地組合成很多其他不同的系統或應用。還有，本領域技術人員可以後續作出各種當前未預見或者未料想到的替換方案、修改、改動或其改進，所附實施方案也意圖包括這些替換方案、修改、改動或其改進。權利要求1.一種自動識別惡意軟體的方法，所述方法包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行；如果所述指令序列被歸類為有威脅的，發送信息到代碼分析部件，其中所述信息包括以下內容中的一項或更多項所述指令序列；標籤，所述標籤包括這樣的指示，即所述指令序列是有威脅的；以及針對所述指令序列的至少一部分對來自所述二進位文件中的一個或更多個其他彙編語言序列進行搜索的請求；以及通知使用者所述二進位文件包含惡意軟體。2.如權利要求1的方法，其中應用一個或更多個規則的操作包括應用由C語言集成生產系統語言寫成的一個或更多個規則。3.如權利要求1的方法，其中歸類所述指令序列的操作包括以下內容中的一項或更多項應用一個或更多個規則到所述指令序列來判定所述二進位文件的二進位文件結構是否恰當；應用一個或更多個蠕蟲界定操作來判定所述指令序列是否包括複製所述彙編語言序列中的一個或更多個指令；應用一個或更多個特洛伊木馬界定操作來判定所述指令序列是否包括與一個或更多個特洛伊木馬相關聯的一個或更多個指令；以及應用一個或更多個病毒界定操作來判定所述指令序列是否包括一個或更多個自我複製指令。4.如權利要求1的方法，其中應用一個或更多個規則的操作包括應用優先規則的集合到所述指令序列，其中所述優先規則的集合包括多個優先規則，其中每個優先規則與相對於所述集合中其他優先規則的優先權相關聯。5.如權利要求4的方法，其中應用優先規則的集合的操作包括按優先權順序應用所述優先規則到所述指令序列，直至所述指令序列被歸類或每個優先規則都已經被應用。6.如權利要求4的方法，其中應用優先規則的集合的操作包括通過將優先權給予具有匹配於所述指令序列的更高次數的規則，來排序所述優先規則。7.如權利要求1的方法，其中歸類所述指令序列的操作包括如果所述指令序列不能被從頭到尾遍歷，則歸類所述指令序列為有威脅的。8.如權利要求1的方法，其中，針對所述指令序列中每個節點，歸類所述指令序列的操作包括遍歷所述節點；判定所述節點是否在先前已經被遍歷；以及如果所述節點在先前已被遍歷，歸類所述指令序列為有威脅的。9.如權利要求1的方法，其中歸類所述指令序列的操作包括如果所述指令序列包含以下內容中的一項或更多項，歸類所述指令序列為有威脅的加密例程；解密例程；以及用於複製所述指令序列的至少一部分的一個或更多個指令。10.一種自動識別惡意軟體的方法，所述方法包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行；如果所述指令序列被歸類為無威脅的，發送信息到代碼分析部件，其中所述信息包括以下內容中的一項或更多項所述指令序列；以及標籤，所述標籤包括這樣的指示，即所述指令序列是無威脅的；以及請求第二指令序列。11.如權利要求10的方法，其中歸類所述指令序列的操作包括如果所述專家系統遍歷所述指令序列全體，則歸類所述指令序列為無威脅的。12.一種自動識別惡意軟體的方法，所述方法包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行；以及，如果所述指令序列被歸類為不可歸類的發送重新分析所述彙編語言序列的請求到代碼分析部件請求；接收新指令序列，所述新指令序列對應於所述重新分析的彙編語言序列；以及歸類所述新指令序列為有威脅的、無威脅的或不可歸類的。13.一種自動識別惡意軟體的方法，所述方法包括通過代碼分析部件分析二進位文件來生成彙編語言序列和相應的指令序列；發送所述指令序列到專家系統知識庫；從所述專家系統知識庫接收與所述指令序列相關聯的歸類信息；如果所述歸類信息將所述指令序列標識為有威脅的從所述二進位文件識別一個或更多個其他彙編語言序列，所示二進位文件包括所述指令序列的至少一部分，以及發送所述已識別的彙編語言序列的至少一個到所述專家系統知識庫；如果所述歸類信息將所述指令序列識別為無威脅的，發送第二指令序列到所述專家系統知識庫；以及如果所述歸類信息將所述指令序列識別為不可歸類的重新分析所述彙編語言序列來產生新指令序列，以及發送所述新指令序列到所述專家系統知識庫。14.如權利要求13的系統，其中分析二進位文件的操作包括靜態分析所述二進位文件和動態分析所述二進位文件中的一個或更多個。15.一種用於自動識別惡意軟體的系統，所述系統包括代碼分析部件，所述代碼分析部件被配置為從二進位文件識別彙編語言序列，其中所述彙編語言序列包括一個或更多個指令序列；以及專家系統知識庫，所述專家系統知識庫與所述代碼分析部件通信，其中所述專家系統知識庫被配置為使用一個或更多個規則來歸類所述指令序列為有威脅的、無威脅的或不可歸類的。16.如權利要求15的系統，進一步包括連接器邏輯部件，所述連接器邏輯部件與所述代碼分析部件和所述專家系統知識庫通信，其中所述連接器邏輯部件被配置來使所述代碼分析部件和所述專家系統知識庫之間能夠通信。17.如權利要求16的系統，其中所述連接器邏輯部件被配置為實現以下內容中的一項或更多項轉換所述指令序列到所述專家系統知識庫可處理的格式；以及轉換從所述專家系統知識庫接收的信息到所述代碼分析部件可處理的格式。18.如權利要求14的系統，其中所述專家系統知識庫被填入以下內容中的一項或更多項C語言集成生產系統規則；二進位文件結構；蠕蟲界定操作；特洛伊木馬界定操作；以及病毒界定操作。19.如權利要求14的系統，其中所述專家系統知識庫被配置來通過以下內容中的一項或更多項來歸類所述指令序列應用一個或更多個規則到所述指令序列來判定所述二進位文件的二進位文件結構是否恰當；應用一個或更多個蠕蟲界定操作來判定所述指令序列是否包括複製所述彙編語言序列中的一個或更多個指令；應用一個或更多個特洛伊木馬界定操作來判定所述指令序列是否包括與一個或更多個特洛伊木馬相關的一個或更多個指令；以及應用一個或更多個病毒界定操作來判定所述指令序列是否包括一個或更多個自我複製指令。20.如權利要求14的系統，其中所述專家系統知識庫被配置為應用優先規則的集合到所述指令序列，其中所述優先規則的集合包括多個優先規則，其中每個優先規則與相對於所述集合中其他優先規則的優先權相關聯。21.如權利要求20的系統，其中所述專家系統知識庫進一步被配置為按優先權順序應用所述優先規則到所述指令序列，直至所述指令序列被歸類或每個優先規則都已經被應用。22.如權利要求20的系統，其中所述專家系統知識庫進一步被配置為通過將優先權給予具有匹配於所述指令序列的更高次數的規則，來排序所述優先規則。全文摘要一種自動識別惡意軟體的方法可以包括通過專家系統知識庫接收來自二進位文件的彙編語言序列；識別來自所述接收的彙編語言序列的指令序列；以及通過所述專家系統知識庫將所述指令序列歸類為有威脅的、無威脅的或不可歸類的，所述歸類操作通過應用所述專家系統知識庫中的一個或更多個規則到所述指令序列來進行。如果所述指令序列被歸類為有威脅的，可以發送信息到代碼分析部件並可以通知使用者所述二進位文件包含惡意軟體。所述信息可以包括以下內容中的一項或更多項所述指令序列；標籤，所述標籤包括這樣的指示，即所述指令序列是有威脅的；以及針對所述指令序列的至少一部分對來自所述二進位文件中的一個或更多個其他彙編語言序列進行搜索的請求。文檔編號G06F21/00GK102203791SQ200980142930公開日2011年9月28日申請日期2009年8月31日優先權日2008年8月29日發明者R·希克斯申請人:Avg技術捷克有限責任公司