针对恶意软件检测的动态隔离

摘要

一种方法，包括在电子设备上检测数据的一部分，确定所述数据的恶意软件状态的第一表示，隔离所述数据达一段时间，通过比较第一表示和第二表示来估计所述数据是否与恶意软件相关联，以及基于所述估计将所述数据从隔离区释放。所述第一表示指示了所述数据的恶意软件状态并不肯定是安全的以及所述数据的恶意软件状态并不肯定是恶意的。

说明书

技术领域

本发明的实施例一般涉及计算机安全和恶意软件防护，更具体地涉及针对恶意软件检测的动态隔离。

背景技术

计算机以及其它电子设备上感染恶意软件是非常烦人并且难以检测和修复的。反恶意软件方案可能需要将恶意代码或文件的签名与已评估软件进行匹配，来确定该软件对于计算系统是有害的。恶意软件可以通过使用多态程序或可执行文件来伪装自身，其中恶意软件改变自身以避免被反恶意软件方案检测到。在这种情况下，反恶意软件方案可能在零日攻击中不能检测到新的或变形的恶意软件。恶意软件可以包括但不限于间谍软件、隐匿技术、密码窃取程序、垃圾邮件、钓鱼攻击源、拒绝服务攻击源、病毒、记录器、木马、广告软件、或任意其它产生不希望活动的数字内容。

附图说明

为了更全面理解本发明的实施例及其特征和优点，现在结合附图参考以下描述，在附图中：

图1是用于针对恶意软件检测的动态隔离的示例性系统的图示；

图2是示例性信誉服务器的配置和操作的图示；

图3是用于针对恶意软件检测的动态隔离的系统的示例性操作的图示；

图4是基于被配置为执行或扫描电子设备的监视器的系统的示例性实施例的图示；

图5是用于针对恶意软件检测的动态隔离的方法的示例性实施例的图示；

图6是用于分析数据的方法的示例性实施例的图示；以及

图7是用于比较恶意软件的量化可能性的方法的示例性实施例的图示。

具体实施方式

图1是用于针对恶意软件检测的动态隔离的示例性系统100的图示。系统100可以配置为执行监视器102以评估通过动态隔离的恶意软件的诸如数据112的信息。在一个实施例中，数据112可以驻留在监视器102配置为扫描恶意软件的电子设备上。在另一实施例中，监视器102可以配置为拦截或接收数据112。监视器102可以配置为评估数据112的恶意软件状态或信誉，将数据112放置进隔离区106，并在时延后重新评估数据112的恶意软件状态或信誉。在一个实施例中，监视器102可以被配置为将数据112放置进隔离区106，并且如果原始评估确定数据112的恶意软件状态未知或不能充分确定则重新评估数据112。在重新评估数据112期间，监视器102可以配置为确定数据112的恶意软件状态现在是否是已知的，或者已经改变，并且基于重新评估的结果而允许或阻挡数据112。此外，监视器102可以被配置为在数据112的恶意软件状态继续为未知的或未被充分确定时继续重复重新评估过程。

监视器102可以被配置为在系统100的任意适当部分上执行。监视器102可以被配置为例如在服务器、计算机、节点、网关、路由器、发送器或接收器上执行。在一个实施例中，监视器102可以在诸如网络网关104的网络管理设备上执行。

网络网关104可以被配置为提供对网络、广域网、内联网、移动网络、子网络或诸如局域网(LAN)126的其它设施的访问。在一个实施例中，网络网关104可以包含于LAN 126中。在另一实施例中，网络网关104可以在LAN 126之外。网络网关104可以包括网络应用114，其被配置为代表LAN 126上的节点或其它设备执行网络网关服务。网络网关104可以被配置为提供LAN 126和其它网络(例如，内联网、网络、子网络或互联网)之间的访问。其部分可以包括如图1所示的网络122。网络网关104可以被配置为从LAN 126外部接收意图目的地在LAN 126内(例如，客户端电子设备108)的诸如数据112的业务量。业务量可以源自网络节点110，其可以包括网络、子网络、服务器、网站或其它适当的实体，并可以经过网络122到达网络网关104。客户端电子设备108可以包括例如计算机、膝上型计算机、服务器、手持计算设备、网络设备、或其它通信地耦合在LAN 126上的数字实体。

监视器102可以位于网络网关104上，或者在任意其它电子设备、服务器或其它扫描恶意软件的适当机构上。监视器102可以实现于例如任意应用、过程、脚本、模块、可执行文件、可执行程序、服务器、可执行对象、库、或其它适当的数字实体。监视器102可以包括逻辑或由处理器(如处理器118)执行的指令。监视器102的指令的逻辑可以驻留在通信的耦合到处理器118的存储器120内。

处理器118可以包括例如微处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、或配置为解译和/或执行程序指令和/或处理数据的任意其它数字或模拟电路。在一些实施例中，处理器118可以解译和/或执行程序指令和/或处理存储于存储器120中的数据。存储器120可以被部分或整体地配置为应用存储器、系统存储器，或两者。存储器120可以包括被配置为保持和/或容纳一个或多个存储器模块的任意系统、设备或装置。每个存储器模块可以包括被配置为在一段时间内保留程序指令和/或数据的任意系统、设备或装置(例如，计算机可读介质)。

在一个实施例中，监视器102可以通信地耦合到网络应用114或耦合到网络网关104的其它部分，以便接收或扫描数据112。监视器102可以以任意适当方式访问数据112，例如通过直接拦截数据112或通过在接收到数据112时被网络应用114访问或调用。在另一实施例中，监视器102可以访问数据112，例如通过扫描存储器内或电子设备(如网络网关104或客户端电子设备108)的磁盘上的恶意软件。

数据112可以包括例如电子邮件、电子邮件附件、文件、可执行文件、可执行程序、脚本、代码、应用或其它实体。数据112的待被监视器102分析的部分可以包括例如诸如代码的可执行内容、诸如已知被恶意软件利用的敏感数据部分、到第三方的超链接或其它地址、发送方地址、消息文本、垃圾邮件指示符、或其它适当的信息。监视器102可以被配置为通过创建数字签名或基于内容的哈希值来唯一地识别数据112的一部分。唯一标识可以被监视器102用于查找信息源中针对恶意软件相关信息的数据112。

网络节点110可以包括服务器、网站或可由客户端电子设备108或系统100中的另一实体访问的其它网络实体。网络节点110可以包含数据112形式的恶意内容。恶意内容可以用于伪装下载，并由客户端电子设备108上的恶意代理启动。例如，在客户端电子设备108上执行的恶意软件可以接触网络节点110来下载额外内容(数据112形式的)，以利用客户端电子设备108的系统资源。网络节点110可以假冒合法数据、电子邮件、页面或用于客户端电子设备108的其它内容。客户端电子设备108可能试图下载恶意应用、电子邮件、电子邮件附件、数据、文件、代码或其它内容(数据112形式的)。例如，客户端电子设备108上的网络浏览器应用可以针对看似合法的网站访问网络节点110，但是作为数据112用于在客户端电子设备108上执行的部分下载的脚本可能包括恶意软件。在另一例子中，网络节点110可以发送看似合法但是具有恶意电子邮件附件的电子邮件或转移看似合法的文件。这种附件或文件例如可以包括可执行文件、可执行程序、脚本、或对于已知应用看起来无害的数据文件，例如文字处理文件、.PDF文件或JavaScript。因此，恶意软件可以感染客户端电子设备108，例如作为恶意应用执行或通过利用已知应用中的弱点。恶意软件可以通过使得应用打开、运行或执行文件或嵌有利用已知应用的弱点的指令的代码来利用已知应用中的弱点。这种恶意软件攻击可以包括那些利用堆栈、堆或其它缓冲区超限或溢出。

监视器102可以通信地耦合到反病毒数据库116，反病毒数据库116可以包括签名、库、启发式规则、白名单—包含关于已知安全的数据、软件或网站的信息、黑名单—包含关于已知与恶意软件相关联的数据、软件或网站的信息、或任意其它关于识别恶意软件的信息。监视器102可以被配置为比较诸如数据112的接收到的信息与反病毒数据库116，以确定接收到的信息是否是恶意的或与恶意软件相关联。反病毒数据库116可以本地存储于监视器102中，例如在网络网关114中。监视器102或其它适当的实体可以被配置为周期性地根据反病毒服务器更新反病毒数据库116的内容。反病毒数据库116可以任意适当方式实现，例如用文件、记录、数据结构、库、应用、脚本或数据库。

然而，假定反病毒数据库116在本地实现，其中所包含的内容和信息可能不是完全最新的。另外，反病毒数据库116可能没有关于恶意软件的“零日”攻击的信息，其中首次遭遇恶意软件的特定实例。此外，反病毒数据库116可能不能访问各种信息资源，例如来自各种反恶意软件客户端或反恶意软件实验室结果的领域报告。因此，监视器102可以被配置为通过计算云访问反恶意软件服务器，以确定最新的反恶意软件信息。这种反恶意软件服务器可以包括例如信誉服务器126。

监视器102可以被配置为访问信誉服务器126，以确定接收到的信息(例如，数据112)的恶意软件状态。信誉服务器126可以作为云计算机服务或网络124上的软件即服务而执行和运行。网络124可以包括例如，互联网、内联网、广域网、回程网络、对等网络、或其任意组合。如果监视器102尝试访问信誉服务器126并且信誉服务器126出于任意原因而不可用，则监视器102可以被配置为再次重复尝试。这种重复尝试可以在监视器102针对到信誉服务器126的给定数据片的第一次确定或在监视器102针对给定数据片的后续确定时做出。

针对给定信息片，例如数据112，信誉服务器126可以被配置为确定数据112是否与恶意软件相关联。在一个实施例中，信誉服务器126可以被配置为提供对数据112的分析，其中并不明确知道数据112是否与恶意软件相关联。如果明确知道例如数据112的内容的哈希值是否与恶意软件匹配，或者数据112的发送地址是已知的恶意软件网络服务器，那么将规则发送给例如监视器102的各种反恶意软件客户端。诸如监视器102的客户端随后将确定所接收到的数据112是恶意的并采取合适的校正动作。然而，在一些情况下，可能不能明确知道数据112是否与恶意软件相关联。例如，先前未遭遇过的哈希值、签名或网络地址可能包含于数据112中。在另一例子中，分析数据112的哈希值、签名或网络地址可能不会得到数据112是安全或是不安全的明确结论的确定。因此，信誉服务器126可以被配置为针对各种软件和网络地址来跟踪报告、实例以及相关联信息，以确定软件或网络地址是恶意的可能性。该可能性可以基于任意合适的标准，例如所报告的实例的分布、试图传输的源、证书状态、或其它可疑动作的指示。分别来说，这些可疑动作的指示并不能明确证明数据112的恶意软件状态。然而，信誉服务器126可以将其用作提供对数据112是恶意的可能性的估计的因素。此外，可疑活动的指示可以实时变化，例如当从各个客户端报告软件，或网络服务器被损坏时，使得其参与恶意软件攻击。信誉服务器126可以被配置为向监视器102提供数据112是恶意的可能性的量化。

图2是示例性信誉服务器126的配置和操作的图示。信誉服务器126可以包括信誉服务器应用232，其配置为处理用于恶意软件分析的请求，接受来自各个客户端230的报告，以及访问和维持信誉数据库234中的信誉信息。信誉服务器应用232可以实现为任意合适的应用、可执行文件、脚本、程序、库、函数、模块、或其它适当的实体。信誉服务器应用232可以通信地耦合到监视器102、信誉数据库234和客户端230。

当关于潜在的恶意软件或网络地址的信息被各种反恶意软件客户端230观察到时，信誉服务器应用232可以接收这种信息，并将其存储在信誉数据库234中。基于规则、启发法、以及这些客户端230所报告的观察，信誉数据库234可以生成软件或网络地址是恶意的可能性。客户端230可以由反恶意软件的软件实现，其运行在位于跨网络的电子设备上，所述网络例如是互联网、广域网、回程网、对等网、或其它适当的实体。在一个实施例中，可以利用监视器102的实例来实现客户端230。

信誉数据库234可以任何合适的方式实现，例如通过数据库、文件、记录、服务器、库、脚本、或其任意适当的组合。信誉数据库234可以包括软件信息236，其中可以存储给定数字信息片是恶意的可能性。软件信息236还可以包括形成所述可能性基础的数据。软件信息236可以以任何适当的方式进行索引，例如文件名、签名或哈希值240。信誉数据库234可以包括网络地址信息248，其中可以存储给定网络实体是恶意的可能性。网络地址信息248还可以包括形成所述可能性基础的数据。网络地址信息248可以以任何适当方式进行索引，例如网站地址、域名或服务器名、互联网协议(IP)地址、或其它地址指示250。

在软件信息236或网络地址信息248中有恶意软件的可能性可以用信誉分数进行表达。信誉分数可以例如包括百分比分数或信誉排名。可以使用表达信誉分数、百分比、评估或排名的任意适当机制或方式。在图2的例子中，信誉分数可以表达为数据是安全的百分比肯定(percentage-certain)信誉分数244，或表达为范围在1到5的信誉排名246信誉分数，1为最肯定恶意的而5为最肯定安全的。信誉数据库234可以对其不肯定是否数据为恶意的数据进行定址，同时信誉数据库234、信誉服务器应用232或诸如监视器102的信誉分数的接收者可以针对估计当前讨论的数据是应被认为是恶意的还是应被认为是安全的而应用阈值。例如，具有百分比肯定信誉分数244大于百分之九十的数据可以被认为是安全的，而具有百分比肯定信誉分数244小于百分之四十的数据则可以被认为是恶意的。具有在这些阈值之间的百分比肯定信誉分数244的数据可以被认为是恶意软件状态未知的。此外，对于在信誉数据库234中不存在条目的数据，或者对于不存在足够信息以生成信誉分数的数据，可以将其认为是未知的。估计安全、估计恶意、或未知状态可以存储于状态指示器242中。可以取决于实现信誉服务器126的经验和技能，而调整信誉及其相关联阈值的精确分析。

信誉服务器应用232可以被配置为接受来自监视器102的对数据112的请求。信誉服务器应用232可以被配置为通过使用网络地址信息248或软件信息236中的数据112的索引来访问在信誉数据库234中的相应信誉分数和状态。信誉服务器应用232可以向监视器102返回例如百分比肯定信誉分数244或信誉排名246形式的相应的信誉分数。

返回图1，给定来自信誉服务器126的数据112的信誉分数，监视器102可以被配置为采取适当动作。例如，如果来自信誉服务器126的信誉分数高于给定阈值，例如百分之九十，那么监视器102就可以被配置为允许数据112传送到客户端电子设备108。在另一例子中，监视器102可以被配置为允许数据112被执行、加载到存储器、或保持驻留在电子设备上。如果来自信誉服务器126的信誉分数低于给定阈值，例如百分之四十，那么监视器102就被配置为阻挡数据112传送到客户端电子设备108，或阻挡数据112被执行或加载到存储器。在分析或信誉指示数据112引出特定种类的中间风险的情况下，例如垃圾电子邮件，监视器102可以被配置为允许系统100的管理员或用户手动允许数据112被访问、取回或发送。然而，来自信誉服务器126的信誉分数并不明确指示数据112是否是恶意的。此外，来自信誉服务器126的信誉分数可能并不到达适当的阈值，或高或低，限定了数据112实际上应该如何被对待。允许具有这种未知恶意软件状态的数据112行进到客户端电子设备108可能允许恶意软件到达客户端电子设备108。允许具有这种未知恶意软件状态的数据112被执行或加载到存储器可能允许恶意软件运行。此外，拒绝具有这种未知恶意软件状态的数据112行进到客户端电子设备108可能是误报，其中合法的传输被错误地拒绝。

监视器102可以被配置为例如基于访问反病毒数据库或信誉服务器126来确定数据112的恶意软件状态是未知的。监视器102可以被配置为将具有未知恶意软件状态的数据112放置到隔离区106。隔离区106可以以安全的方式存储数据112，从而数据112不能被执行或影响网络网关104或客户端电子设备108的操作。隔离区106可以以任意适当方式实现，例如存储器的安全部分、数据库、沙盒、电子邮件隔离区、或电子邮件存储。隔离区106可以实现在任意适当的设备上，例如客户端电子设备108或网络网关104。

因为随着时间当结合所讨论的数据观察到额外行为和分布时，信誉分析可以改变且演化，所以监视器102可以配置为在隔离区保持具有未知恶意软件状态的数据112，并随后执行对数据112的额外评估。基于对数据112的额外评估，监视器102可以配置为自动允许数据112被访问或行进到客户端电子设备108，通知操作员数据112是安全的且被允许访问以行进、阻挡数据112，或继续隔离数据112直到执行对数据112的额外的、随后的评估。因此，系统100可以利用动态隔离区，其中系统100被配置为将数据112放置到隔离区106内，并随后基于对数据112的额外评估而将数据112从隔离区106释放。

监视器102可以配置为通过进行对数据112的额外评估而利用动态隔离区。额外评估可以通过比较数据112与反病毒数据库116而进行，其中反病毒数据库116已经接收了更新后的规则、启发法、或其它恶意软件标准。此外，监视器102可以被配置为通过访问信誉服务器126而进行对数据112的额外评估，其中信誉服务器126中的信息从先前评估后已经进行了更新。更新后的对数据112的评估因而可以通过例如利用来自客户端230的关于数据112的其它实例的额外信息进行。

监视器102可以被配置为重复对数据112的重新评估。在一个实施例中，监视器102可以被配置为重复对数据112的评估达一总时间长度，例如24小时。如果数据112的恶意软件状态尚未解决，则根据原始标准或根据本文所描述的额外标准，监视器102可以被配置为将数据112假设为恶意的而进行处理。此外，监视器102可以被配置为采取校正动作，例如阻挡数据112、从隔离区106删除数据112、向发送方网络节点110发送错误消息、向发送方网络节点110发送假冒消息、或者警告系统管理员。此外，监视器102可以被配置为将数据112连同诸如其识别信息、预期接收方和网络节点110的信息报告给信誉服务器126。在另一实施例中，监视器102可以被配置为以给定频率重复对数据112的评估，例如每隔十分钟一次。如果数据112的恶意软件状态尚未解决，则根据原始标准或根据本文所描述的额外标准，监视器102可以被配置为随后重复对数据112的评估。可以根据以上所述的总时间长度对评估进行重复。

监视器102可以被配置为在重新评估数据112期间使用针对动态隔离区的任意适当标准。在一个实施例中，监视器102可以被配置为在重新评估数据112期间使用与在原始评估时相同的标准。例如，如果百分之九十的信誉分数是在原始评估数据112期间将数据112认为是安全的最小阈值，则在重新评估数据112时可以使用相同的阈值。在另一例子中，如果百分之四十的信誉分数是在原始评估数据112期间将数据112认为是恶意的最大阈值，则在重新评估数据112时可以使用相同的阈值。因此，在这些阈值之间的任意信誉分数可以继续使得数据112被认为是恶意软件状态未知的。然而，对于数据112可能有不充足的信息来最终使其被认为是安全的或是恶意的。因此，在另一实施例中，监视器102可以被配置为在重新评估数据112期间使用与在原始评估时所用的不同标准。在又一实施例中，监视器102可以被配置为在随后评估迭代的过程中应用与先前的重新评估额外的、不同的标准。

监视器102可以被配置为针对动态隔离区确定数据112的信誉分数是否已经从先前评估改变。在一个实施例中，监视器102可以被配置为确定如果信誉分数降低，则数据112将被作为恶意的进行处理。在额外的实施例中，监视器102可以被配置为确定如果信誉分数增加，则数据112被作为安全的进行处理。

此外，监视器102可以被配置为针对动态隔离区确定数据112的信誉分数是否已经从先前评估实质上改变。改变可以例如通过信誉分数中的绝对差值或信誉分数中的百分差值进行测量。在一个实施例中，监视器102可以被配置为确定如果信誉分数降低了特定量或百分比，则数据112将被作为恶意的进行处理。在附加实施例中，监视器102可以被配置为确定如果信誉分数增加了特定量或百分比，则数据112被作为安全的进行处理。在另一实施例中，无论是绝对值或是百分比的变化的标准可以在后续评估迭代中进行改变。例如，与在第一次重新评估期间所使用的标准量相比，在后续评估过程中的标准量可以降低，从而最终较小的改变可以触发对数据112的特定处理。

另外，监视器102可以被配置为针对动态隔离区确定数据112的信誉分数是否已经达到距先前评估的中间阈值。中间阈值可以包括：下限阈值，在该阈值之下数据112被认为是恶意的；上限阈值，在该阈值之上数据112被认为是安全的。下限阈值可以高于先前使用的下限阈值，而上限阈值可以低于先前使用的上限阈值。例如，将数据112当作恶意的中间阈值可以是比原始所使用的信誉分数(例如百分之四十)高的信誉分数(例如百分之五十)。因此，如果在重新评估期间数据112的信誉分数已经移动到百分之四十九，则监视器102可以确定信誉分数低于中间恶意阈值，并认为数据112是恶意的。在一个实施例中，监视器102可以被配置为确定如果信誉分数降低到低于较低中间阈值，则将认为数据112是恶意的进行处理。在附加的实施例中，监视器102可以被配置为确定如果信誉分数增加到高于较高中间阈值，则将认为数据112是安全的进行处理。在再一实施例中，在后续的评估迭代期间，中间阈值可以改变。例如，在后续评估期间，下限阈值可以增加或上限阈值可以降低，从而最终较小的改变将触发对数据112的特定处理。在其他实施例中，其中阈值没有最初被监视器102应用于具有未知恶意软件状态的数据112，监视器102可以被配置为在重新评估期间应用阈值。

监视器102可以被配置为评估从网络节点110处接收到的任意适当的数据112。此外，监视器102可以被配置为对于初始确定指示数据112的恶意软件状态未知的数据112，以本文所描述的方式通过重新评估应用动态隔离区。在一个实施例中，监视器102可以被配置为评估和重新评估在网络网关104处接收到的所有数据的恶意软件状态。在另一实施例中，监视器102可以被配置为评估和重新评估在网络网关104处接收到的对应于特定业务类型的所有数据的恶意软件状态。例如，监视器102可以被配置为分析所有的电子邮件业务。在另一例子中，监视器102可以被配置为分析电子邮件的所有附件。在再一个实施例中，监视器102可以被配置为分析倾向于恶意软件开发的业务，例如可执行文件、JavaScript或用于具有已知弱点或易损性的应用的文件。在又一个实施例中，监视器102可以被配置为评估和重新评估在网络网关104处接收到的源自恶意软件状态未知或恶意的网络节点110的所有数据的恶意软件状态。在这种实施例中，监视器102可以首先在确定例如数据112的代码或内容的恶意软件状态或信誉之前，确定网络节点110的恶意软件状态或信誉。在再一实施例中，监视器102可以被配置为出于重新评估的目的而选择性地采用这些先前实施例中的任意一个，其中数据112的第一评估在所有的业务或业务的子集上进行，但是对具有未知恶意软件状态的数据112的重新评估在业务的子集上进行，例如特定类型的业务或其中网络节点110是恶意的或未知的。

在一个实施例中，监视器102可以被配置为自动将数据112从动态隔离区释放，从而数据112在确定数据112将被作为安全的进行处理时到达客户端电子设备108。在另一实施例中，监视器102可以被配置为通知监视器102的操作员数据112可以被安全地从动态隔离区释放，从而数据112在确定数据112将被作为安全的进行处理时到达客户端电子设备108。响应于操作员输入，监视器102可以被配置为从动态隔离区释放数据112，从而数据112在确定数据112将被作为安全的进行处理时到达客户端电子设备108，或继续隔离数据112。

监视器102可以被配置为在确定数据112将被作为恶意的进行处理时针对动态隔离区内的数据112采取适当的校正动作。例如，可以从隔离区106删除数据112，可以将错误消息发送给网络节点110，可以将假冒消息发送给发送方网络节点110，或者可以警告系统管理员。当数据112被隔离时，可以将指示数据112被延迟的消息发送给网络节点110、客户端电子设备108、或管理员。在最终决定阻挡数据112或将数据112当作是恶意的之后，可以向网络节点110发送指示数据112是成功的假冒消息。该消息可以指示遭遇了错误，其中网络节点110可以重新发送数据112。在一些情况下，假冒或错误消息可以在初始隔离数据112时发送。在一个实施例中，数据112中的恶意内容可以被移除或代替，并且数据112的剩余部分被发送到客户端电子设备108。例如，数据112内的电子邮件中的恶意附件可以被移除，但是保留消息内容。在另一例子中，到数据112内的电子邮件中的恶意网站的链接可以被移除，但是保留其余的消息内容。

在操作中，监视器102可以在例如网络网关104的设备上执行，以扫描诸如数据112的去往或来自客户端电子网络设备108的网络业务。可以通过网络172与网络节点110进行业务。监视器102可以直接或与网络应用114结合来拦截业务。监视器102可以选择性地拦截所有网络业务或其部分。对所拦截的网络业务的选择可以基于例如业务源或节点、业务所使用的协议、业务类型、或业务内容。在一个实施例中，监视器102可以通过访问一个或多个反病毒数据库116和信誉服务器126来评估业务。如果数据112的恶意软件状态初始被确定为未知的，则监视器102可以将数据112放置到隔离区106的动态隔离区内。监视器102随后可以再次评估数据112的恶意软件状态。在后续评估之后，如果数据112被认为是恶意的，则可以自动采取校正动作。在后续评估之后，如果数据112被认为是安全的，则数据112可以被自动释放以输送到其期望目的地，例如客户端电子设备108，或者可以通知操作员数据112是安全的并能够被安全释放以用于输送。因此，隔离区106可以暂时容纳数据112直到关于其恶意软件状态做出进一步的确定。

图3是针对恶意软件检测的动态隔离的系统100的示例性操作的图示。在(1)处，在实施例中可以接收到信息的试图传送。该传送可以源自网络节点110。该传送可以包括数据112。该传送可以被独立工作或结合其它软件工作的监视器102拦截。在另一实施例中，在(1)处，数据112可以驻留在监视器102被配置为对其进行恶意软件扫描的电子设备上。在(2)处，可以对数据112进行分类。数据112可以被分类以确定例如监视器102是否将初始评估其恶意软件状态，或者如果初始确定所述状态是未知的，则将数据112放置到动态隔离区内以进行重新评估。例如，监视器102可以选择性地分析特定种类的业务，例如，电子邮件、电子邮件附件、可执行代码、与损害应用相关联的文件、在客户端上具有未知或恶意应用的业务、或者来自未知或恶意发送方的业务。可以做出关于应用或发送方的初始确定。可以确定与数据112相关联的网络地址，例如网络节点110、临时服务器或设备、或包含于数据112内的链接。可以确定数据112的哈希值或数字签名以唯一地识别其内容。

在一个实施例中，在(3)处，监视器102可以访问本地恶意软件信息源，例如反病毒数据库116，以确定数据112是否指示是恶意软件。在(4)处，返回结果。如果数据112是恶意的，则可以对其进行阻挡。如果数据112已知是安全的，则可以允许其进行到客户端电子设备108、被执行、被加载到存储器、或者被系统100的一部分(例如，网络网关104或客户端电子设备108)所访问。然而，如果根据反病毒数据库116数据112的恶意软件状态是未知的，则在另一实施例中，在(5)处，监视器102可以通过访问反恶意软件服务器(例如信誉服务器126)来确定数据112的恶意软件状态。

信誉服务器126可以确定通过监视器102例如利用网络地址、哈希值或与数据112相关联的由监视器102所提供的数字签名所识别的数据112的信誉。如图2所示，例如，信誉服务器126可以确定通过示例性哈希值“123”所识别的数据112具有百分之九十六的百分比肯定信誉分数244，或者具有五的信誉排名246信誉分数。这种信誉分数可以指示由哈希值“123”所识别的数据112是安全的。在一个实施例中，信誉服务器126可以包含这样指示的状态指示符242。状态指示符242可以基于上限阈值，在该阈值之上信誉分数指示数据112应该被认为是已知为安全的。在另一实施例中，监视器102或信誉分数的另一使用者可以应用其自己的阈值以做出这种状态确定。监视器102可以允许这种数据112输送到其期望的接收方(例如，客户端电子设备108)，或被加载、执行或通过例如网络网关104或客户端电子设备108访问。

监视器102可以使用示例性哈希值“345”向信誉服务器126提供对数据112的指示。信誉服务器126可以确定由示例性哈希值“345”识别的数据112具有百分之二十二的百分比肯定信誉分数244，或者具有一的信誉排名246信誉分数。这种信誉分数可以指示由哈希值“345”识别的数据112是恶意的。在一个实施例中，信誉服务器126可以包含这样指示的状态指示符242。状态指示符242可以基于下限阈值，在该阈值之下信誉分数指示数据112应该被认为是已知为恶意的。在另一实施例中，监视器102或信誉分数的另一使用者可以应用其自己的阈值以做出这种状态确定。监视器102可以阻挡这种数据112被执行、加载或输送到其期望接收方(例如，客户端电子设备108)、或采取其它校正动作。

监视器102可以利用示例性哈希值“789”向信誉服务器126提供数据112的指示。信誉服务器126可以确定由示例性哈希值“789”识别的数据112具有百分之六十四的百分比肯定信誉分数244，或者具有三的信誉排名246信誉分数。这种信誉分数可以指示由哈希值“345”识别的数据112具有未知的恶意软件状态。在一个实施例中，信誉服务器126可以包含这样指示的状态指示符242。状态指示符242可以基于两个阈值，在所述阈值之间信誉分数指示数据112具有未知的恶意软件状态。在另一实施例中，监视器102或信誉分数的另一使用者可以应用其自己的阈值以做出这种状态确定。监视器102可以将这种数据112放置在动态隔离区内。

监视器102可以利用示例性网络地址“111.111.111.111”向信誉服务器126提供数据112的指示。信誉服务器126可以确定与数据112相关联的网络地址“111.111.111.111”具有百分之九十八的百分比肯定信誉分数244，或者具有五的信誉排名246信誉分数。这种信誉分数可以指示与网络地址“111.111.111.111”相关联的数据112是安全的。在一个实施例中，信誉服务器126可以包含这样指示的状态指示符242。状态指示符242可以基于上限阈值，在该阈值之上信誉分数指示数据112应该被认为是已知为安全的。在另一实施例中，监视器102或信誉分数的另一使用者可以应用其自己的阈值以做出这种状态确定。监视器102可以允许这种数据112输送到其期望的接收方(例如，客户端电子设备108)，或被执行、加载或通过系统100的一部分(例如网络网关104或客户端电子设备108)访问。

监视器102可以使用示例性网络地址“113.113.113.113”向信誉服务器126提供对数据112的指示。信誉服务器126可以确定与数据112相关联的网络地址“113.113.113.113”具有百分之三十二的百分比肯定信誉分数244，或者具有二的信誉排名246信誉分数。这种信誉分数可以指示与网络地址“113.113.113.113”相关联的数据112是恶意的。在一个实施例中，信誉服务器126可以包含这样指示的状态指示符242。状态指示符242可以基于下限阈值，在该阈值之下信誉分数指示数据112应该被认为是已知为恶意的。在另一实施例中，监视器102或信誉分数的另一使用者可以应用其自己的阈值以做出这种状态确定。监视器102可以阻挡这种数据112被执行、加载或输送到其期望接收方(例如，客户端电子设备108)、或采取其它校正动作。

监视器102可以利用示例性网络地址“114.114.114.114”向信誉服务器126提供数据112的指示。信誉服务器126可以确定与数据112相关联的网络地址“114.114.114.114”具有百分之六十二的百分比肯定信誉分数244，或者具有三的信誉排名246信誉分数。这种信誉分数可以指示与示例性网络地址“114.114.114.114”相关联的数据112具有未知的恶意软件状态。在一个实施例中，信誉服务器126可以包含这样指示的状态指示符242。状态指示符242可以基于两个阈值，在所述阈值之间信誉分数指示数据112具有未知的恶意软件状态。在另一实施例中，监视器102或信誉分数的另一使用者可以应用其自己的阈值以做出这种状态确定。监视器102可以将这种数据112放置在动态隔离区内。

可以用从监视器102收集到的信息来更新信誉服务器126中用于数据112的条目。此外，如果监视器102提供数据112的指示未在信誉服务器126中找到，例如哈希值“999”或相关联的网络地址“116.116.116.116”，则信誉服务器126可以指示监视器102状态是未知的。如果尚未存在，则可以为所报告的数据112将条目输入到信誉服务器126中。

返回图3，在(7)处，如果数据112的恶意软件状态是未知的，例如数据112具有哈希值“789”或“999”或者与具有地址“114.114.114.114”或“116.116.116.116”的网络节点110相关联，则监视器102可以将数据112放置到动态隔离区106内。对于确定具有超过上限阈值的高信誉分数或被指定为安全的数据112，例如具有哈希值为“123”或与具有地址为“111.111.111.111”的网络节点110相关联的数据112，监视器102可以允许这种数据112输送到其期望的接收方(例如，客户端电子设备108)、或被执行、加载或访问。对于被确定具有低于下限阈值的低信誉分数或被指定为恶意的数据112，例如具有哈希值为“456”或与具有地址为“113.113.113.113”的网络节点110相关联的数据112，监视器102可以将这种数据112认为是恶意的，阻挡执行、加载或输送到其期望接收方(例如，客户端电子设备108)、或采取其它校正动作。

在将数据112放置到动态隔离区之后，在(8)处，监视器102在重新评估数据112之前等待指定的时间长度。该时间长度可以由监视器102操作所设定的频率来确定，例如一分钟或十分钟。在一个实施例中，在将数据112放置到动态隔离区106之后，监视器102可以将传输被延迟的消息发送给发送方、期望的接收方、或系统管理员。然而，向发送方发送这种消息可以向网络节点110的恶意操作员提供已经检测到试图发送消息的信息。因此可以阻止这种消息。系统100的管理员或用户可以在该期间手动从隔离区106释放或删除数据112。此外，如果对于数据112通过例如重复评估数据112而已经超过隔离时间的总阈值长度，则监视器102可以永久地隔离数据112或将数据112当作恶意的。隔离时间的阈值长度可以变化，其中如果对数据112的评估反应了超过阈值的改变则可以重设时间。因此，数据112的评估中后出现的改变可以引起继续的重新评估数据112。

在(9)处，监视器102可以通过例如访问反病毒数据库116或信誉服务器126来重复对数据112的一次或多次评估，所述反病毒数据库116或信誉服务器126可以将信誉或数据112的其它分析在(10)处返回到监视器102。数据112的信誉分数可以改变。监视器102可以使用这种改变或没有改变，以对数据112进行进一步的分析。信誉服务器126可以具有对数据112新确定的恶意软件状态，例如安全的或恶意的，或者对于恶意软件状态持续未知的数据112进行新评估的信誉分数。监视器102可以应用数据112的这种新的恶意软件状态，以允许数据112或阻挡数据112并采取校正动作。此外，其中数据112继续具有未知的恶意软件状态，监视器102可以基于任意信誉分数改变来应用分析。

例如，如图3所示，由哈希值“789”识别的数据112的百分比肯定信誉分数244可以随着时间从百分之六十四改变到百分之七十二。在一个实施例中，根据监视器102或信誉服务器126所维持的阈值，信誉的这种改变可以将数据112的恶意软件状态从未知改变为安全。在另一实施例中，这种改变可以继续将数据112的恶意软件状态保持为未知的。

在另一例子中，与网络地址“114.114.114.114”相关联的数据112的的百分比肯定信誉分数244可以从百分之六十二改变到百分之四十八，或者信誉排名246信誉分数可以从三改变到二。在一个实施例中，根据监视器102或信誉服务器126所维持的阈值，信誉的这种改变可以将数据112的恶意软件状态从未知改变为恶意的。在另一实施例中，这种改变可以继续将数据112的恶意软件状态保持为未知的。

监视器102可以从信誉服务器126接收更新后的信誉分数，并且如果新的信誉超过阈值则确定数据112将被当作安全的。阈值可以包括在(6)处原始使用的阈值。阈值可以包括比在(6)处原始使用的或在先前重新评估中的阈值低的中间阈值。阈值可以是新的，其中监视器102先前未使用过阈值来评估数据112。

在一个实施例中，监视器102可以从信誉服务器126接收更新后的信誉分数，并且如果新的信誉小于阈值则确定数据112将被当作恶意的。阈值可以包括在(6)处原始使用的阈值。阈值可以包括比在(6)处原始使用的或在先前重新评估中的阈值高的中间阈值。阈值可以是新的，其中监视器102先前未使用过阈值来评估数据112。

在另一实施例中，监视器102可以从信誉服务器126接收更新后的信誉分数，并且如果新的信誉的绝对值或百分比比先前信誉分数大阈值量，则确定数据112将被当作安全的。阈值量可以与原始信誉分数或在重新评估数据112期间确定的信誉分数相关。

在又一个实施例中，监视器102可以从信誉服务器126接收更新后的信誉分数，并且如果新的信誉的绝对值或百分比比先前信誉分数小阈值量，则确定数据112将被当作恶意的。阈值量可以与原始信誉分数或在重新评估数据112期间确定的信誉分数相关。

在再一个实施例中，如果新的信誉分数大于原始信誉分数，则监视器102可以确定数据112将被当作安全的。此外，如果新的信誉分数小于原始信誉分数，则监视器102以确定数据112将被当作恶意的。监视器102可以在总评估时间周期结束时做出这种确定。

在(11a)处，在一个实施例中，如果监视器102已经确定将数据112当作安全的，则数据112可以被允许输送到客户端电子设备108。在另一实施例中，在(11a)处，数据112可以被允许加载、执行、或被系统100的一部分访问。在(11b)处，如果监视器102已经确定将数据112当作恶意的，则数据112可以被阻挡、永久保持在隔离区106内、或采取其它校正动作。可以将错误或假冒消息发送给网络节点110。在(11c)处，如果监视器102尚未确定将数据112当作安全的还是恶意的，则可以重复对数据112的评估。监视器102可以考虑数据112的信誉分数的改变以及评估的持续时间来决定是否重复评估。例如，如果数据112已经接收到信誉分数中的改变，则评估可以继续。如果还未达到时间的总阈值长度，则评估可以继续。如果已经观察到信誉分数中的改变，则可以延长用于评估的时间的阈值长度。如果信誉分数没有改变或改变不显著，或者如果已经超过时间的阈值长度，则停止评估。对于已经终止评估的这种数据112，监视器102可以永久地隔离数据112，将数据112当作恶意的，或者采取校正动作。

虽然示出为在网络网关104上执行，但是监视器102可以在任意适当机器、设备或服务器上执行。在一个实施例中，监视器102可以在云计算系统上或作为软件即服务执行，其中监视器102扫描在网络网关104或系统100的其它部分(例如客户端电子设备108)处遇到的业务，但是在不同设备上的不同处理器内执行。此外，系统100的各个部分(例如，反病毒数据库116或隔离区106)可以驻留或执行在任意适当的机器、设备或服务器上。

图4示出了基于监视器102a的系统100的示例性实施例，所述监视器102a被配置为在电子设备402上执行或扫描电子设备402。电子设备402可以包括被配置为解释和/或执行程序指令和/或处理数据的任意设备，包括但不限于：计算机、台式计算机、服务器、膝上型计算机、个人数字助理、或智能电话。电子设备402可以包括在电子设备402上执行的应用412，应用412从网络节点110a接收诸如数据112a的网络业务。在一个例子中，应用412可以已知不包括恶意软件，但是访问可能包括恶意软件的数据112a。在另一例子中，应用412可能本身是恶意软件，或者通过弱点或易损性而被损坏从而被恶意软件利用。在这种情况下，监视器102a不能够确定应用412的恶意软件状态，或者错误地将应用412分类为安全的。

在一个实施例中，监视器102a可以在电子设备402上执行，并扫描例如由应用412接收到的数据112a的网络业务或例如由应用412访问的数据112b的数据。监视器102a可以访问反病毒数据库116a(监视器102a本地的或与电子设备402在同一网络内)或信誉服务器126a，以评估和重新评估数据112a或数据112b，并在必要时将所述数据放置在动态隔离区内。监视器102a可以包括驻留在电子设备402的存储器120a上的指令，以由电子设备402的处理器118a执行。

在另一实施例中，监视器102b可以在服务器414上执行，所述服务器414被配置为管理、保卫或保护电子设备402。监视器102b可以扫描例如由应用412接收到的数据112a的网络业务或例如由应用412访问的数据112b的数据。监视器102b可以访问反病毒数据库116b(监视器102b本地的或与服务器414在同一网络内)或信誉服务器126a，以评估和重新评估数据112a或数据112b，并在必要时将所述数据放置在动态隔离区内。监视器102b可以包括驻留在服务器414的存储器120b上的指令，以由服务器414的处理器118b执行。

图5是针对恶意软件检测用于动态隔离的方法500的示例性实施例的图示。在505处，在一个实施例中，可以拦截、观察或检测意图去往电子设备的数据。在一个实施例中，这种数据可以传送自电子设备中或在设备中创建。在另一实施例中，这种数据可以从电子设备的外部传送到电子设备。数据可以源自具有网络地址的特定发送方，流过给定网络和具有网络地址的中间实体，具有特定内容，并意图去往特定接收方。执行方法500的优点在于防止特定接收方和其它实体遭受恶意软件。在另一实施例中，可以检测电子设备上的数据。所述数据可以被配置为在电子设备中被加载、执行或访问。执行方法500的优点在于保护数据所驻留的电子设备。数据可以包括文件、电子邮件、电子邮件附件、或其它数字数据。在510处，可以确定是否针对恶意软件进一步分析数据。这种确定可以基于例如发送方或中间实体、接收方、数据的内容、或数据的类型。在一个实施例中，可以分析所有的数据。如果没有数据待被分析，则方法500可以进行到565。

如果针对恶意软件分析数据，则在515处，对数据进行分析。这种分析可以例如使用本地反恶意软件数据库、规则和启发法，或通过访问云计算服务或服务器来进行。这种分析515可以完全或部分地由图6的方法600实现。这种分析例如可以导致对数据的恶意或安全特性的量化、测量或表示。例如，可以接收数据是恶意的或安全的可能性的量化，例如信誉分数。

在520处，可以评估分析的结果以确定数据是否与恶意软件相关联。如果已经确定数据是恶意的，则方法500可以进行到560。如果已经确定数据是安全的，则方法500可以进行到565。如果已经确定数据的恶意软件状态是未知的，则方法500可以进行到525。

在525处，可以将数据放置在隔离区。这种隔离区可以包括沙盒、安全存储器、电子邮件隔离区、电子邮件存储、或配置为防止数据在系统资源上操作的其它保护性空间。可以通知管理员、用户或期望的接收方。可以用消息、错误、或假冒消息通知数据的发送方。

在530处，可以将数据保持在隔离区内达一定时间周期，例如一分钟、十分钟或半个小时。时间周期是可以配置的。时间周期可以基于对数据的先前评估，其中评估中增加的改变引起时间周期减小，或者评估中减小的改变引起时间周期增加。可以在该时间期间将数据保持在隔离区内。

在535处，可以重复对数据的分析。可以重复部分或全部515，并可以全部或部分通过图6的方法600来实现。如果在这些规则中存在改变，则可以重复一些分析(例如访问本地反恶意软件规则、启发法或数据库)；否则不重复。与515或者先前执行的535相反，在535处可以使用不同标准。例如，与先前执行535或515相反，可以在535处应用恶意软件的可能性的不同阈值，或这种可能性的改变的不同阈值。在一个例子中，用于确定数据将被当作安全的上限阈值可以在535的执行期间降低。在另一例子中，用于确定数据将被当作恶意的下限阈值可以在535的执行期间升高。在又一例子中，用于确定数据将被当作恶意的或安全的改变的阈值可以在535的执行期间降低。可以接收数据是恶意的或安全的可能性的更新的量化、测量或表示，例如信誉分数。可以关于数据相对于515中接收到的原始量化或535的先前执行中先前接收到的量化是恶意的或是安全的可能性，来评估更新的量化。

在540处，可以确定分析是否指示数据与恶意软件相关联。如果分析指示数据与恶意软件相关联，则方法500可以进行到560。如果分析指示数据是安全的，则方法500可以进行到565。如果已经确定数据的恶意软件状态是未知的，则方法500可以进行到550。

在550处，可以确定是否继续动态隔离数据，同时等待数据是恶意的或是安全的更肯定的可能性。可以通过例如对可以隔离数据的时间总量的限制来进行该确定，例如24小时。可以基于535中分析的结果来重设、延长或收缩时间限制。例如，通过多次执行535在可能性中重复观察到的改变可能使得时间限制被重设或延长。在另一例子中，在535内的可能性尚未改变的观察可能使得时间限制收缩。如果重复分析，则方法500可以进行到535。如果不重复分析，则方法500可以进行到560或永久隔离数据。

在560中，已经确定数据是恶意的或是被当作恶意的。数据可以被删除、移除、或者永久呈现为不能操作。可以通知数据的接收方、管理员或用户。可以向发送方发送错误或假冒消息。可以记录关于数据和随后的分析的信息或将其发送到反恶意软件服务器。

在565中，已经确定数据是安全的或是被当作安全的。数据可以自动被从隔离区释放并发送到期望的接收方。可以向操作员通知该确定。可以记录关于数据和随后的分析的信息或将其发送到反恶意软件服务器。

图6是用于分析部分数据的方法600的示例性实施例的图示。在605处，可以确定数据的标识。例如，可以计算部分或全部数据的数字签名或哈希值。在另一例子中，可以确定数据发送方或转发数据的中间实体的网络地址。在另一例子中，可以确定数据内容中的链接的网络地址。可以使用所述标识来访问数据的恶意软件信息。

在610处，可以利用所述标识访问本地反恶意软件数据库、规则或启发法，以确定相关联的数据是否是安全的、恶意的或未知的。本地反恶意软件信息可以驻留在通过局域网连接的本地设备或服务器中。在615处，可以分析结果。如果所述标识与恶意软件相关联，则方法600可以进行到640。如果所述标识与安全数据相关联，则方法600可以进行到645。如果所述标识与恶意软件或安全实体都不相关联或者是未知的，则方法600可以进行到620。在一个实施例中，方法600可以跳过610-615。

在620处，可以利用标识访问反恶意软件服务器以确定相关联的数据是否是安全的、恶意的或未知的。反恶意软件服务器可以通过云计算方案访问，并包含关于恶意软件的实时数据。与恶意软件相关联的可能性(例如信誉分数)可以从反恶意软件服务器取回。在625处，可以分析结果。如果标识是与恶意软件相关联，则方法600可以进行到640。如果标识是与安全数据相关联，则方法600可以进行到645。如果标识是不与恶意软件或安全实体相关联或者是未知的，则方法600可以进行到635。

在635处，可以确定数据的恶意软件状态是未知的。可以向例如信誉分数的可能性提供该确定。在640处，可以确定数据的恶意软件状态是恶意的。该确定可以是肯定的或是基于可能性的近似。在645处，可以确定数据的恶意软件状态是安全的。该确定可以是肯定的或是基于可能性的近似。

图7是用于比较恶意软件的可能性的量化的方法700的示例性实施例的图示。方法700可以包括基于重复评估数据来确定数据的一部分是否是安全的、恶意的或未知的。方法700可以基于数据是恶意的可能性的量化。这种量化可以包括例如信誉分数。方法700还可以基于当前确定的量化与先前确定的量化的比较。先前确定的量化可以包括例如原始量化或迭代的中间量化。因此，以下结合方法700所描述的比较可以在当前量化和任意这种先前量化之间。

在705处，可以确定例如信誉分数的当前和先前量化。这种分数例如可以通过图6的方法600的执行进行确定。在710处，可以选择用于比较信誉分数的一个或多个标准。所述标准可以例如选自以下之间：信誉分数中的任意改变是否已经发生，在这种情况下方法700可以进行到715；是否信誉已经改变绝对阈值量，在这种情况下方法700可以进行到725；是否信誉已经改变百分比量，在这种情况下方法700可以进行到735；或者是否信誉已经达到上限阈值或下限阈值，在这种情况下方法700可以进行到745。在一个实施例中，710中的标准选择可以通过配置运行700的系统而进行。在另一实施例中，可以基于对数据进行分析的迭代次数或时间长度来选择特定标准。例如，在方法700的操作过程中可以使用绝对值改变、百分比改变或达到阈值中的一个，并且在方法700的后续操作中，可以选择在715中任何改变的标准。

在715中，可以确定在当前量化和先前量化之间是否信誉分数已经有任何改变。如果信誉增加，则方法700可以进行到760。如果信誉没有增加，则在720处可以确定信誉是否降低，如果是，则方法700可以进行到755。如果信誉没有降低，则方法700可以进行到765。

在725处，可以确定超过一个或多个阈值的信誉分数中的改变是否在当前量化和先前量化之间。如果信誉已经增加超过第一阈值差，则方法700可以进行到760。如果信誉尚未增加超过第一阈值差，则方法700可以进行到760。如果信誉尚未增加超过第一阈值差，则在730处可以确定信誉是否已经降低超过第二阈值差，并且如果是，则方法700可以进行到755。如果信誉尚未降低超过第二阈值差，则方法700可以进行到765。第一和第二阈值可以相同或不同。此外，第一和第二阈值可以用信誉的绝对值表示。另外，第一和第二阈值可以不同于结合图7所描述的其它阈值。

在735处，可以确定超过一个或多个阈值的信誉分数中的百分比改变是否在当前和先前量化之间。如果信誉已经增加超过第一阈值百分比差，则方法700可以进行到760。如果信誉尚未增加超过第一阈值百分比差，则在740处可以确定信誉是否已经降低超过第二阈值百分比差，并且如果是，则方法700可以进行到755。如果信誉尚未降低超过第二阈值百分比差，则方法700可以进行到765。第一和第二阈值可以相同或不同。此外，第一和第二阈值可以用信誉的百分比值表示。另外，第一和第二阈值可以不同于结合图7所描述的其它阈值。

在745处，可以确定信誉是否已经达到当前和先前量化之间的上或下阈值信誉分数。如果信誉已经增加超过上阈值，则方法700可以进行到760。如果信誉尚未增加超过上阈值，则在750处可以确定信誉是否已经降低超过下阈值，并且如果是，则方法700可以进行到755。如果信誉尚未降低超过下阈值，则方法700可以进行到765。

结合图7所描述的阈值可以根据与方法700相关联的系统的特定实现进行设置。此外，方法700所使用的阈值可以在方法700的不同执行之间进行调整。例如，方法700的后续执行可以利用较小的信誉差阈值，或者上阈值和下阈值之间的较窄间隙。

在755处，可以确定将数据当作恶意的并与恶意软件相关联。在760处，可以确定将数据当作安全的并不包含恶意软件。在765处，可以确定将数据当作具有未知的恶意软件状态。在770处，可以调整在方法700或其它方法的执行之间进行的等待周期。此外，可以调整结合方法700使用的标准和阈值。

可以利用图1-4的系统来实现方法500、600和700或任意其它系统操作来实现实现方法500、600和700。这样，方法500、600和700的优选初始点和包括方法500、600和700的元素的次序可以取决于所选择的实现方式。在一些实施例中，一些元素可以可选地省略、重复或组合。在某些实施例中，方法500、600和700可以部分或全部以实现在计算机可读介质中的软件实现。

出于本公开的目的，计算机可读介质可以包括任意手段或手段的聚集，其可以保留数据和/或指令达一段时间。计算机可读介质可以包括但不限于：存储介质，例如直接存取存储设备(如，硬盘驱动或软盘)，顺序存取存储设备(如，磁带磁盘驱动)，高密度盘，CD-ROM，DVD，随机存取存储器(RAM)，只读存储器(ROM)，电可擦除可编程只读存储器(EEPROM)，和/或闪速存储器；以及通信介质，如电线、光纤和其它电磁和/或光载体；和/或前述任意组合。后面的例子属于进一步的实施例。例子中的特性可以用于上述或本文所述一个或多个实施例中任意地方。

下面的例子属于进一步的实施例。

一种可以在电子设备上执行的用于防止恶意软件攻击的方法。如下所述，所述方法的任意适当部分或方面可以实现在至少一个机器可读存储介质上或系统中。所述方法可以包括元素、动作或特征的任意适当组合。例如，所述方法可以包括分析数据的一部分。此外，所述方法可以包括确定所述数据的恶意软件状态的第一表示。所述第一表示可以指示：所述数据的恶意软件状态并不肯定是安全的；以及所述数据的恶意软件状态并不肯定是恶意的。另外，所述方法可以包括隔离所述数据达一段时间。所述方法可以包括确定所述数据的恶意软件状态的第二表示，通过比较所述第一表示和所述第二表示来估计所述数据是否与恶意软件相关联。此外，所述方法可以包括基于估计所述数据是否与恶意软件相关联，将所述数据从隔离区释放。在所述方法中，比较所述第一表示和所述第二表示可以包括：确定表示是否改变，指示所述数据是安全的增加的可能性；以及确定所述数据是否与恶意软件相关联包括：基于所述数据是安全的增加的可能性来估计所述数据是安全的。比较所述第一表示和所述第二表示可以包括：确定表示是否改变，指示所述数据是安全的降低的可能性；以及确定所述数据是否与恶意软件相关联包括：基于所述数据是安全的降低的可能性来估计所述数据是恶意的。如果所述数据与恶意软件相关联，则阻挡所述数据到达预期的接收方。比较所述第一表示和所述第二表示可以包括：确定所述第二表示是否已经穿过阈值。比较所述第一表示和所述第二表示产生如下确定：所述数据的恶意软件状态并不肯定是安全的；以及所述数据的恶意软件状态并不肯定是恶意的。如果做出这种确定，则所述方法还可以包括：基于所述确定，重复所述隔离并确定所述数据的恶意软件状态的第三表示；比较所述第三表示与先前确定的表示；以及基于所述比较，估计所述数据的恶意软件状态。所述表示可以包括信誉分数。

至少一种机器可读存储介质，其可以包括：在计算机可读介质上携带的计算机可执行指令。介质的各个方面可以实现上述方法或下述系统的任意适当部分或组合。所述指令能够被处理器读取。当所述指令被读取且执行时可以使得所述处理器分析数据的一部分。此外，还可以使得所述处理器确定所述数据的恶意软件状态的第一表示。所述第一表示可以指示：所述数据的恶意软件状态并不肯定是安全的；以及所述数据的恶意软件状态并不肯定是恶意的。可以使得所述处理器隔离所述数据达一段时间。另外，可以使得所述处理器确定所述数据的恶意软件状态的第二表示。并且，可以使得所述处理器通过比较所述第一表示和所述第二表示来估计所述数据是否与恶意软件相关联。此外，可以使得所述处理器基于估计所述数据是否与恶意软件相关联，将所述数据从隔离区释放。比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据是安全的增加的可能性；以及确定所述数据是否与恶意软件相关联包括：基于所述数据是安全的增加的可能性来估计所述数据是安全的。此外，比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据是安全的降低的可能性；以及确定所述数据是否与恶意软件相关联包括：基于所述数据是安全的降低的可能性来估计所述数据是恶意的。另外，如果所述数据与恶意软件相关联，则阻挡所述数据到达预期的接收方。并且，比较所述第一表示和所述第二表示包括：确定所述第二表示是否已经穿过阈值。此外，比较所述第一表示和所述第二表示产生如下确定：所述数据的恶意软件状态并不肯定是安全的；以及所述数据的恶意软件状态并不肯定是恶意的。可以使得所述处理器基于所述确定，重复所述隔离并确定所述数据的恶意软件状态的第三表示；比较所述第三表示与先前确定的表示；以及基于所述比较，估计所述数据的恶意软件状态。此外，所述表示可以包括信誉分数。

一种被配置为用于防止恶意软件攻击的系统。所述系统可以实现如上所述的方法或至少一种机器可读存储介质的任意部分或组合。所述系统可以包括耦合到计算机可读介质上的处理器；以及在所述计算机可读介质上携带的计算机可执行指令。所述指令能够被所述处理器读取。当所述指令被读取和执行时使得所述处理器分析所述数据的一部分。此外，可以使得所述处理器确定所述数据的恶意软件状态的第一表示。所述第一表示指示：所述数据的恶意软件状态并不肯定是安全的；以及所述数据的恶意软件状态并不肯定是恶意的。可以使得所述处理器隔离所述数据达一段时间。另外，可以使得所述处理器确定所述数据的恶意软件状态的第二表示。并且，可以使得所述处理器通过比较所述第一表示和所述第二表示来估计所述数据是否与恶意软件相关联。此外，可以使得所述处理器基于估计所述数据是否与恶意软件相关联，将所述数据从隔离区释放。比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据是安全的增加的可能性；以及确定所述数据是否与恶意软件相关联包括：基于所述数据是安全的增加的可能性来估计所述数据是安全的。此外，比较所述第一表示和所述第二表示包括：确定表示是否改变，指示所述数据是安全的降低的可能性；以及确定所述数据是否与恶意软件相关联包括：基于所述数据是安全的降低的可能性来估计所述数据是恶意的。另外，如果所述数据与恶意软件相关联，则阻挡所述数据到达预期的接收方。并且，比较所述第一表示和所述第二表示包括：确定所述第二表示是否已经穿过阈值。此外，比较所述第一表示和所述第二表示产生如下确定：所述数据的恶意软件状态并不肯定是安全的；以及所述数据的恶意软件状态并不肯定是恶意的。可以进一步使得所述处理器基于所述确定，重复所述隔离并确定所述数据的恶意软件状态的第三表示；比较所述第三表示与先前确定的表示；以及基于所述比较，估计所述数据的恶意软件状态。此外，所述表示可以包括信誉分数。

上述例子中的特性可以用于一个或多个实施例中的任意地方。

虽然已经详细描述了本公开，但是应该理解的是在不背离所附权利要求所限定的公开的精神和范围的情况下可以做出各种改变、替代和变化。