返回新闻列表

卡巴斯基实验室新专利能够避免分析非必要软件活动,令安全扫描更有效

        美国专利商标局向卡巴斯基实验室颁发了一项编号为8,762,948的专利技术。该技术可以在软件分析期间过滤非必要活动。

        仿真技术是最有效的恶意软件分析方法之一,但是这需要分析大量数据。其工作流程为:将程序代码分为若干个单独指令,每一指令均在虚拟机上运行。这种方法无须入侵计算机操作系统就可以掌控指令行为。在此过程中会生成系统日志,通过分析该日志将判定出潜在的有害元素。

        然而,系统日志通常包含很多非必要事件,这对于判定恶意程序并无益处,且降低了分析过程的效率。首先,分析这些非必要活动加剧了判定恶意活动的复杂度。其次,它造成计算机资源过度紧张。运用预先过滤机制可以先于分析过程,从记录中移除所有非必要活动,避免其过度占用系统日志。

        该专利技术是一种生成上述规则的方法。就本质而言,它无异于反病毒公司远程系统所执行的程序仿真技术。首先,它会基于最流行的开发工具创建若干测试程序。这些程序均在记录有系统日志的单独虚拟机上运行。通过分析系统日志可以检测出重复的非必要活动。由于这些活动无益于判定恶意威胁等级,其相关信息便被纳入过滤规则的数据库中。因此,在使用仿真技术时,系统日志中的相似活动无论何时出现,过滤组件都会先于分析过程,将其自动移除。

        如果一项日志活动的样本被这种方法认定为非必要活动,那么它应该是’GetVersion ()’的函数调用,一种对操作系统版本的请求。而这种请求总是由使用Delphi 7编写的所有应用发出,并非恶意软件的表现。

        “在开发有效的分析组件时保持平衡十分重要,只有这样才会使计算机性能不受限于有效保护。最重要的一点是,该组件的工作量很大,我们必须避免非必要信息加重其负荷”,卡巴斯基实验室首席技术专家、也是该专利技术作者之一的Oleg Zaitsev表示。

        目前,此项专利技术已应用于Kaspersky Endpoint Security 8.0 for Windows、Kaspersky Endpoint Data Protection Edition (Endpoint 10)、卡巴斯基网络安全解决方案、卡巴斯基网络安全解决方案–虚拟化安全以及Kaspersky PURE。

        卡巴斯基实验室一直不断取得更多领先的信息安全技术专利。截止至2014年7月,卡巴斯基实验室在俄罗斯、美国、欧盟和中国获得的专利已达219项。此外,公司还有超过276项专利技术正在上述国家的专利局审批。