本發(fā)明總體上涉及基于計(jì)算機(jī)文件的安全，尤其涉及包含在一般傳送的文件格式中的潛在危險(xiǎn)。

背景技術(shù)：

惡意軟件(例如病毒、特洛伊木馬、其他的惡意內(nèi)容)變得愈來(lái)愈普遍。鑒于惡意軟件出現(xiàn)新變種的速率，傳統(tǒng)的建立簽名來(lái)識(shí)別這些威脅的方法變得愈來(lái)愈困難。與使用基于簽名的方法相關(guān)聯(lián)的挑戰(zhàn)在于"尋找不良"的問(wèn)題會(huì)無(wú)限制。該方法總是落后于最新和最危險(xiǎn)的威脅。另一問(wèn)題是，這些方法經(jīng)常產(chǎn)生良性內(nèi)容的假陽(yáng)性識(shí)別形式的大量"噪聲"，而不對(duì)潛在問(wèn)題提供可行動(dòng)的洞察力來(lái)允許帶有保護(hù)組織的任務(wù)的個(gè)人做出知情決定。

一種有助于使良性內(nèi)容的假陽(yáng)性識(shí)別數(shù)量最小化的方法是通過(guò)使用電子沙箱，如圖1所示。當(dāng)電子文件105例如通過(guò)網(wǎng)絡(luò)110由系統(tǒng)接收時(shí)，文件可被放置到電子沙箱115。電子沙箱115，如它的名稱所暗示的，是能夠完全隔離地打開(kāi)電子文件105的一個(gè)器具。電子沙箱115，可以是與任何內(nèi)聯(lián)網(wǎng)物理隔離(或盡可能完全隔離)的計(jì)算機(jī)系統(tǒng)，用以避免任何惡意代碼的遷移。作為備選，電子沙箱115可以是計(jì)算機(jī)系統(tǒng)中的虛擬環(huán)境，理想地，與同一計(jì)算機(jī)系統(tǒng)(或其他連成網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng))上的任何其他環(huán)境隔離。

一旦電子文件105在電子沙箱115中打開(kāi)，電子沙箱115的操作系統(tǒng)的關(guān)鍵判據(jù)可被監(jiān)視以找出任何可能暗示文件被惡意代碼感染的可疑行為。這樣的行為可包括但不限于試圖接入因特網(wǎng)、改變注冊(cè)設(shè)定、或嘗試提高用戶特權(quán)。

通過(guò)使用電子沙箱115，電子文件105中的任何惡意代碼的危險(xiǎn)效應(yīng)被嚴(yán)格地限制于沙箱環(huán)境，為了有一個(gè)新鮮的環(huán)境實(shí)例，當(dāng)處理下一個(gè)文件時(shí)，其通常被丟棄。如果在電子沙箱115中打開(kāi)電子文件105未證明任何惡意代碼的存在，則電子文件105可能不是一個(gè)威脅，因而可被傳給用戶120。相反地，如果在電子沙箱115中打開(kāi)電子文件105顯示惡意代碼存在，則電子文件105可被置到隔離區(qū)125，直到電子文件105被某種程度地清除掉惡意代碼或直到電子文件105被刪除。

這種方式使用電子沙箱115存在的問(wèn)題在于需要相當(dāng)?shù)拈_(kāi)銷(xiāo)來(lái)維護(hù)電子沙箱115以及監(jiān)視電子沙箱以確定電子文件105是否包含惡意代碼。另外，監(jiān)視電子沙箱115內(nèi)的電子文件105對(duì)于電子文件105傳給用戶增加相當(dāng)?shù)牡却龝r(shí)間。最后，攻擊者會(huì)知道電子沙箱115的使用。通過(guò)將他們的惡意代碼啟動(dòng)時(shí)間延遲到電子沙箱115的檢查時(shí)間之后，電子沙箱115的觀察會(huì)無(wú)法偵測(cè)惡意代碼。因此，電子文件105可以被作為安全文件傳遞至用戶120，盡管其含有惡意代碼。

本發(fā)明的實(shí)施例解決了現(xiàn)有技術(shù)上的這個(gè)問(wèn)題及其他問(wèn)題。

附圖說(shuō)明

圖1示出了現(xiàn)有技術(shù)防范惡意內(nèi)容的范例。

圖2示出了依照本發(fā)明的實(shí)施例，通過(guò)設(shè)計(jì)來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的系統(tǒng)增強(qiáng)圖1的電子沙箱。

圖3示出了依照本發(fā)明的實(shí)施例，關(guān)于圖2的掃描器的更多細(xì)節(jié)。

圖4示出了圖3的數(shù)據(jù)庫(kù)的細(xì)節(jié)。

圖5示出了圖3的威脅計(jì)算器的細(xì)節(jié)。

圖6示出了圖3的分析器與統(tǒng)計(jì)分析器的細(xì)節(jié)，當(dāng)在分析模式下使用時(shí)。

圖7示出了依照本發(fā)明的實(shí)施例，用于在圖3的系統(tǒng)中計(jì)算電子文件的危險(xiǎn)評(píng)估的程序流程圖。

圖8示出了依照本發(fā)明的第二實(shí)施例，用于計(jì)算圖7的危險(xiǎn)評(píng)估的另一程序的流程圖。

圖9a-9b示出了用于計(jì)算圖7所示的程序中使用的權(quán)重的程序流程圖。

圖10a-10b示出了在圖7所示的程序中用于確定是否使用電子沙箱的程序的流程圖。

詳細(xì)描述

因?yàn)閳D示的本發(fā)明的實(shí)施例，大部分可用本技術(shù)領(lǐng)域人員所知道的電子元件及電路來(lái)實(shí)現(xiàn)，為了了解與鑒識(shí)下面所說(shuō)明的本發(fā)明實(shí)施例的概念與為了不使本發(fā)明實(shí)施例的說(shuō)明混淆和分散，細(xì)節(jié)的說(shuō)明不會(huì)比認(rèn)為有必要的更為詳盡。

與本發(fā)明共同轉(zhuǎn)讓的其他專利與專利申請(qǐng)，包含美國(guó)專利號(hào)8,185,954、8,533,824、8,869,283以及美國(guó)專利公告號(hào)2013/0326624，所有這些專利和專利申請(qǐng)通過(guò)引用組合于此，它們均描述了用于確定電子文件內(nèi)容是否已知安全的系統(tǒng)及方法。簡(jiǎn)單來(lái)說(shuō)，這些專利與專利申請(qǐng)描述了取得電子文件并確定所述電子文件聲稱要使用的格式(例如，pdf或word)的系統(tǒng)與方法。(adobe和adobepdf為adobesystemsincorporated在美國(guó)和/或其他國(guó)家的注冊(cè)商標(biāo)或商標(biāo)。microsoft為microsoftcorppration在美國(guó)和/或其他國(guó)家的注冊(cè)商標(biāo)或商標(biāo))。一旦所聲稱的格式被確定，則檢查電子文件的內(nèi)容以判斷內(nèi)容是否符合既定的格式。如果內(nèi)容符合既定的格式，則該內(nèi)容被允許通過(guò)從而傳遞至用戶。否則該內(nèi)容被隔離。該內(nèi)容，不管是否符合既定的格式，均還可被再生。通過(guò)用既定的格式再創(chuàng)建上述內(nèi)容，內(nèi)容的再生能進(jìn)一步幫助避免惡意內(nèi)容的悄悄進(jìn)入。該再生的電子文件理想上和原來(lái)的文件結(jié)構(gòu)相同，但缺了不需要的任何元數(shù)據(jù)。

本發(fā)明的實(shí)施例，提供一種抗惡意軟件內(nèi)容數(shù)據(jù)管理裝置，通過(guò)從另一不同的觀點(diǎn)來(lái)接近問(wèn)題，提供一種惡意軟件的防范與對(duì)電子文件所帶來(lái)的威脅的洞察力。和試著去跟上曾經(jīng)改變已知為壞的定義的步伐相比較，對(duì)特別的文件格式已知為好是不用改變的，在這個(gè)意義上，定義為好的觀點(diǎn)為一有限度的問(wèn)題?？赡艽_定定義成被動(dòng)的文件的優(yōu)良性，即文件內(nèi)不包含活動(dòng)程序代碼。這些文件是組織每天要傳達(dá)的典型文件。但是，這些文件也是新一波攻擊意圖隱藏于內(nèi)的所在。

了解文件內(nèi)容，增加了進(jìn)一步層面的了解，本發(fā)明的實(shí)施例，產(chǎn)生一個(gè)關(guān)于所涉及文件包含的內(nèi)容的類(lèi)型的評(píng)分，并基于用可配置的加權(quán)因子使得偏態(tài)的歷史統(tǒng)計(jì)學(xué)產(chǎn)生感知的危險(xiǎn)。該方法偏離了對(duì)文件的信譽(yù)僅提供安全/不安全的二元答案的傳統(tǒng)技術(shù)和已知技術(shù)。本發(fā)明的實(shí)施例，通過(guò)提供灰色地帶，將此擴(kuò)充以允許個(gè)人和真正進(jìn)一步的決策程序，將這信息混和至為了那個(gè)特殊文件或內(nèi)容而有的全面性決策程序，因而增加偵測(cè)惡意軟件的精確度以及降低假陽(yáng)性的比率。

通過(guò)擴(kuò)充這口頭禪"尋找好"的程序，上述程序維護(hù)具有數(shù)千條執(zhí)行目前所了解的判據(jù)的規(guī)則的規(guī)則列表，并通過(guò)將這些規(guī)則分類(lèi)成規(guī)則子集，內(nèi)容組的集合可被實(shí)現(xiàn)，然后這些內(nèi)容組可被加權(quán)以及總計(jì)來(lái)形成一個(gè)跨越所分析的大型文件語(yǔ)料庫(kù)一致的評(píng)分。此評(píng)分結(jié)果可帶來(lái)比單純決定為好/壞更多樣的色彩。

在此描述的系統(tǒng)和方法，在基于與已知良好的內(nèi)容一致評(píng)估文件的方法(其提供文件一致或不一致的二元結(jié)果)上增加第二層分析程序。除該二元性程序之外的另外一層，允許去實(shí)行第三個(gè)結(jié)果，即原始、未被殺毒的文件版本如果被認(rèn)為是低危險(xiǎn)則被允許傳遞至接收者。

可包含本發(fā)明實(shí)施例的系統(tǒng)的范例，可以包括電子郵件保護(hù)系統(tǒng)的實(shí)現(xiàn)，其中，文件通常為附件是否應(yīng)被隔離的決定，可通過(guò)分析評(píng)分能力來(lái)加強(qiáng)。在某些情況下，特別是在中小型企業(yè)(sme)環(huán)境在，通常無(wú)安全專業(yè)人員駐點(diǎn)做主觀判斷是否釋放或是永久隔離上述文件。上述sme環(huán)境一般是由安全管理服務(wù)供貨商(mssp)來(lái)服務(wù)，提供一種遠(yuǎn)程管理服務(wù)，因此允許組織將自己的安全功能外包給上述mssp。所以，任何在這層次上的假陽(yáng)性事件造成要耗費(fèi)打支持電話回到上述mssp的成本，以釋放文件或提供對(duì)該問(wèn)題的進(jìn)一步解釋。通過(guò)使用本發(fā)明的實(shí)施例，推出一種自動(dòng)程序，在該程序中，被隔離的文件能夠訴諸于更多細(xì)節(jié)的決策，以及更精簡(jiǎn)和更省成本地接受管理。

另一范例，在減輕任何新的或當(dāng)前的攻擊上，mssp供貨商能夠遠(yuǎn)程調(diào)整被應(yīng)用在各類(lèi)別上的權(quán)重，以根據(jù)目前的威脅的格局和內(nèi)容的重要性，在決策過(guò)程增加或減少關(guān)聯(lián)內(nèi)容組的重要性。

范例還包括一優(yōu)化的沙箱程序的實(shí)行，該沙箱程序的實(shí)行使程序典型化，在此，可疑文件跨越若干開(kāi)放的潛在進(jìn)入點(diǎn)由組織接收，或通常被稱作為受控環(huán)境內(nèi)的”引爆”，文件內(nèi)的任何潛在的惡意軟件無(wú)法引起任何損害或擴(kuò)散至其他環(huán)境。目前技術(shù)發(fā)展水平的沙箱程序通常觀察文件大約5分鐘來(lái)查明是否可能為執(zhí)行任何惡意行為的文件，而后不是將文件隔離就是允許傳送至希望的接收者。該方法所帶來(lái)的問(wèn)題在于每個(gè)文件均被處理并且被延遲，這引起顯著的處理開(kāi)銷(xiāo)和帶寬使用。相反地，本發(fā)明的實(shí)施例優(yōu)化該程序，因?yàn)殡娮游募軌蚧谄鋬?nèi)包含的內(nèi)容組進(jìn)行評(píng)分，并在該文件被放置在沙箱中之前設(shè)定臨界點(diǎn)。如果電子文件有足夠的評(píng)分，則能繞過(guò)沙箱，減輕每一文件被沙箱”引爆”的必要性。然后沙箱基礎(chǔ)設(shè)施能夠?qū)⑺康馁Y源僅聚焦在那些需要掃描的文件，當(dāng)它們被評(píng)分為在閾值之上(或之下，這取決于實(shí)行的方式)，這意味著有進(jìn)一步調(diào)查的理由。

圖2突顯出本發(fā)明的實(shí)施例如何解決沙箱實(shí)施的這些缺點(diǎn)。電子文件105可被提交給本發(fā)明的實(shí)施例，如連在沙箱115前面的掃描器205表示的。統(tǒng)計(jì)評(píng)分的程序可被應(yīng)用至電子文件105來(lái)確認(rèn)電子文件105是否能被再生。如果電子文件105因?yàn)楹团c電子文件105的格式有關(guān)的規(guī)則所指定的一致而能夠被再生，那么被再生的文件能夠繞過(guò)沙箱115，經(jīng)由任何適合的媒介被傳遞至用戶120。如果電子文件105因?yàn)楹陀晌募袷揭?guī)格所設(shè)定的規(guī)則不一致而不能夠被再生，那么電子文件105可被轉(zhuǎn)發(fā)到沙箱115。因此，本發(fā)明的實(shí)施例有作為噪聲過(guò)濾器的效果，并且沙箱115只需要在存在不一致問(wèn)題或違反有關(guān)政策的有限數(shù)目的文件上實(shí)例化。對(duì)本領(lǐng)域技術(shù)人員顯而易見(jiàn)的是，該優(yōu)化過(guò)濾器在性能和開(kāi)銷(xiāo)方面對(duì)全面的程序有相當(dāng)?shù)暮锰帯?/p>

雖然文件的一致性政策可直接在掃描器205制定，網(wǎng)絡(luò)連接110也能用來(lái)在遠(yuǎn)程管理文件的一致性政策。這些政策確定文件內(nèi)的不一致的類(lèi)型，引起掃描器205認(rèn)為文件為非一致性的文件因而被轉(zhuǎn)發(fā)給沙箱115。通過(guò)改變掃描器205所使用的政策，可實(shí)現(xiàn)負(fù)載平衡，因此在需求高峰期間或真正的惡意軟件活動(dòng)高峰期間，直接傳遞電子文件至用戶120或在沙箱115中引爆電子文件105兩者間的偏移能被改變。這些政策可基于組織偏好狀態(tài)來(lái)決定，并通過(guò)當(dāng)前惡意軟件活動(dòng)來(lái)調(diào)解。

圖3示出了根據(jù)本發(fā)明的實(shí)施例，關(guān)于圖2的掃描器的更多細(xì)節(jié)。掃描器205包括一臺(tái)能夠適當(dāng)?shù)剡M(jìn)行規(guī)劃以實(shí)行本發(fā)明實(shí)施例的計(jì)算機(jī)305。另一選擇，計(jì)算機(jī)305可包括設(shè)計(jì)來(lái)實(shí)行本發(fā)明的實(shí)施例的特殊目的的組件。

計(jì)算機(jī)305可包括接收器310、分析器315、威脅計(jì)算器320。接收器310可接收數(shù)據(jù)，如正被檢查的電子文件或用于檢查類(lèi)別的權(quán)重。分析器315可分析電子文件以查看電子文件的內(nèi)容是否符合電子文件的格式。如上所述，和確定內(nèi)容是否為已知良好相關(guān)聯(lián)的檢查，可被組編成不同的類(lèi)別。有上千種的檢查被組編成不同的類(lèi)別。分析器315使用這些檢查，如所組編的，來(lái)確定電子文件是否符合電子文件預(yù)期的格式。分析器315能產(chǎn)生報(bào)告來(lái)識(shí)別那個(gè)檢查不返回預(yù)期的結(jié)果和那些檢查是屬于那個(gè)類(lèi)別。

威脅計(jì)算器320可取得分析器315的輸出，并計(jì)算電子文件的威脅評(píng)分。對(duì)于分析器315所辨認(rèn)的每個(gè)問(wèn)題，威脅計(jì)算器能夠辨認(rèn)相應(yīng)的權(quán)重，并通過(guò)對(duì)問(wèn)題被發(fā)現(xiàn)的次數(shù)和與該問(wèn)題相關(guān)聯(lián)的權(quán)重的乘積進(jìn)行總計(jì)，來(lái)計(jì)算總威脅評(píng)分。然后該總計(jì)的值和一閾值比較以確定電子文件是否被認(rèn)為有危險(xiǎn)。

如果電子文件被認(rèn)為有危險(xiǎn)，那么電子文件可如前所述地在沙箱115中引爆。圖3將沙箱115示為掃描器205的一部分。本技術(shù)領(lǐng)域的專業(yè)人員會(huì)承認(rèn)沙箱115可被實(shí)現(xiàn)為軟件，在該情況下任何適合的計(jì)算機(jī)均可以實(shí)施沙箱115的軟件，在此情況下，沙箱115可以為計(jì)算機(jī)305的一部分。但沙箱115可和掃描器205分開(kāi)，如圖2所示：沙箱115可當(dāng)成另外分開(kāi)的計(jì)算機(jī)的一部分，或一具有特殊目的的機(jī)器來(lái)實(shí)施，不管是哪一種，均能足夠地被隔離以防止電子文件內(nèi)的任何惡意代碼達(dá)成它們所想要的目的。

計(jì)算機(jī)305也可包括統(tǒng)計(jì)分析器325，參照?qǐng)D6，如以下所描述的，分析器315可在分析模式下使用，運(yùn)行在幾組已知文件上。然后統(tǒng)計(jì)分析器325能夠處理這些分析結(jié)果，建立用于確定電子文件是否被認(rèn)為是一個(gè)威脅的初始權(quán)重。

計(jì)算機(jī)305也可包括存儲(chǔ)器330。存儲(chǔ)器330可用于存儲(chǔ)信息：例如，被系統(tǒng)掃描的電子文件的副本。存儲(chǔ)器330也可存儲(chǔ)數(shù)據(jù)庫(kù)335，其中數(shù)據(jù)庫(kù)包括關(guān)于用來(lái)驗(yàn)證電子文件符合它所聲稱的文件格式的檢查的信息。圖4表示數(shù)據(jù)庫(kù)335的細(xì)節(jié)。

在圖4中，數(shù)據(jù)庫(kù)335被示為包括3列數(shù)據(jù)。(在術(shù)語(yǔ)“列”意味著用于數(shù)據(jù)庫(kù)335的表格格式的同時(shí)，本領(lǐng)域技術(shù)人員會(huì)承認(rèn)上述數(shù)據(jù)庫(kù)335能夠以任何想要的構(gòu)造來(lái)存儲(chǔ)數(shù)據(jù)，而不限定于表格格式)。這3列為存儲(chǔ)類(lèi)別、問(wèn)題及權(quán)重。例如，數(shù)據(jù)庫(kù)335顯示2個(gè)不同的類(lèi)別405和410、5個(gè)問(wèn)題415、420、425、430與435(被分成2個(gè)類(lèi)別)、以及7個(gè)權(quán)重440、445、450、455、460、465、470。對(duì)于各個(gè)類(lèi)別或問(wèn)題，可分配權(quán)重。例如“類(lèi)別_1”405具有權(quán)重_1440，而問(wèn)題_1415(和類(lèi)別_1405關(guān)聯(lián))具有權(quán)重_2445。

圖4實(shí)際上表示不同的可能實(shí)施例。在本發(fā)明的一些實(shí)施例中，類(lèi)別被分配權(quán)重，而不是各個(gè)問(wèn)題被分配權(quán)重。在本發(fā)明的其他實(shí)施例中，各個(gè)問(wèn)題被分配權(quán)重。在權(quán)重分配給類(lèi)別的實(shí)施例中，該類(lèi)別的問(wèn)題數(shù)可和該類(lèi)別的權(quán)重相乘。在權(quán)重分配給問(wèn)題的實(shí)施例中，每一問(wèn)題發(fā)生的次數(shù)可和該問(wèn)題的權(quán)重相乘。不管權(quán)重是針對(duì)每個(gè)類(lèi)別還是針對(duì)每個(gè)問(wèn)題，這些乘積的總和可被計(jì)算，總和代表電子文件的評(píng)分。

雖然有人會(huì)認(rèn)為所有的權(quán)重皆為相同的符號(hào)(亦即，全部為正或負(fù)，取決于使用既定閾值的方式)，但實(shí)際上無(wú)此限制存在。創(chuàng)造惡意內(nèi)容的當(dāng)事人們通常想要他們的惡意內(nèi)容達(dá)到其本身的目的：除了其他的可能性，就是損害計(jì)算機(jī)系統(tǒng)，提取和傳送數(shù)據(jù)回到惡意內(nèi)容的創(chuàng)造者，或?qū)⒂?jì)算機(jī)變成殭尸(計(jì)算機(jī)受到正常預(yù)期的用戶以外的人的控制)。文件看起來(lái)愈可疑，任何惡意內(nèi)容就愈不可能達(dá)到它們的目的。因此，預(yù)期具有惡意內(nèi)容的文件會(huì)具有相對(duì)較少的與之相關(guān)聯(lián)的其它問(wèn)題是合理的。出于這樣的原因，某些一般不關(guān)聯(lián)到惡意內(nèi)容的問(wèn)題可被分配具有相反符號(hào)的權(quán)重，從而降低電子文件被認(rèn)為危險(xiǎn)的可能性。例如，正的權(quán)重可被分配給不太重大的問(wèn)題，負(fù)的權(quán)重可被分配給較重大的問(wèn)題，而具有比既定閾值少的威脅評(píng)分表明電子文件被認(rèn)為有威脅?；旌头?hào)的權(quán)重的使用也能對(duì)要使用的既定閾值發(fā)生影響。例如在本發(fā)明的一實(shí)施例中，既定閾值可以為零。

圖5表示圖3的威脅計(jì)算器的細(xì)節(jié)。如以上說(shuō)明的，可對(duì)電子文件計(jì)算威脅評(píng)分。本發(fā)明的實(shí)施例可檢查電子文件是否符合它所聲稱的格式。對(duì)一個(gè)特定的所聲稱的文件格式，可執(zhí)行檢查以查看電子文件是否符合該文件格式的標(biāo)準(zhǔn)。如果一特定的檢查不被滿足--亦即電子文件無(wú)法滿足此文件格式標(biāo)準(zhǔn)的某些要素--那么此問(wèn)題被標(biāo)注為已經(jīng)發(fā)生。威脅計(jì)算器320可取得電子文件105及數(shù)據(jù)庫(kù)335，并對(duì)電子文件105計(jì)算危險(xiǎn)評(píng)估505(亦稱為威脅評(píng)分，或簡(jiǎn)稱為評(píng)分)。在本發(fā)明的一個(gè)實(shí)施例中，危險(xiǎn)評(píng)估505，通過(guò)將每一問(wèn)題的發(fā)生次數(shù)和與該問(wèn)題相應(yīng)的權(quán)重相乘，并總和這些乘積進(jìn)行計(jì)算。

要注意的是，在本發(fā)明的一些實(shí)施例中，權(quán)重是分配給類(lèi)別而不是分配給各個(gè)問(wèn)題。在本發(fā)明的這些實(shí)施例中，系統(tǒng)基于各個(gè)檢查來(lái)計(jì)算每個(gè)類(lèi)別的問(wèn)題的發(fā)生次數(shù)。和以上的討論類(lèi)似，該次數(shù)和分配至類(lèi)別的權(quán)重相乘，用于危險(xiǎn)評(píng)估505的計(jì)算。

一個(gè)尚未詳細(xì)討論的觀點(diǎn)是如何分配數(shù)據(jù)庫(kù)335中使用的權(quán)重。明顯地，用戶可手動(dòng)來(lái)分配權(quán)重，或者使用系統(tǒng)供貨商建立的默認(rèn)權(quán)重。但自動(dòng)化計(jì)算初始權(quán)重是可能的。在本發(fā)明的實(shí)施例中，分析器315不僅在掃描模式下亦能在分析模式下運(yùn)行。在分析模式下，分析器315能夠提取已知的文件、分析那些、及從分析結(jié)果產(chǎn)生權(quán)重。

圖6表示圖3的分析器和統(tǒng)計(jì)分析器使用在分析模式下的詳情。在圖6中，分析器315可接收兩個(gè)文件語(yǔ)料庫(kù)，如語(yǔ)料庫(kù)605及610，然后分析器315可分析語(yǔ)料庫(kù)605及610并產(chǎn)生結(jié)果615及620。例如，語(yǔ)料庫(kù)605可包括已知有惡意內(nèi)容的文件，然而語(yǔ)料庫(kù)610可包括已知有問(wèn)題但不是威脅的文件。然后統(tǒng)計(jì)分析器325可處理這些結(jié)果615及620，來(lái)調(diào)整分配到類(lèi)別或檢查/問(wèn)題的權(quán)重，當(dāng)在正常的運(yùn)行模式下分析電子文件時(shí)。統(tǒng)計(jì)分析器325可使用任何想要的算法來(lái)調(diào)整權(quán)重。在本發(fā)明的一些實(shí)施例中，直到在語(yǔ)料庫(kù)605中的文件的威脅評(píng)分表明一個(gè)比在語(yǔ)料庫(kù)610中的文件的威脅評(píng)分有更大的危險(xiǎn)時(shí)，才會(huì)調(diào)整權(quán)重。

即使在初始權(quán)重已被決定之后，用戶也可以選擇調(diào)整權(quán)重。例如，這樣的系統(tǒng)的一用戶可決定文件中包含的宏被認(rèn)為是安全的，即使宏能被用來(lái)達(dá)到惡意的結(jié)果。這樣的系統(tǒng)的另一用戶可決定一個(gè)名不副實(shí)的字體指明一個(gè)重大的危險(xiǎn)，即使字體的名稱通常不能被使用于惡意沖擊。因此，默認(rèn)權(quán)重可被用戶蓋寫(xiě)(或者朝用戶的方向，但由系統(tǒng)的制造者蓋寫(xiě))。

上述對(duì)圖6的說(shuō)明意味著在分析模式下使用分析器315，僅能在確定系統(tǒng)使用的初始權(quán)重時(shí)發(fā)生。在本發(fā)明的一些實(shí)施例中，分析器315僅在系統(tǒng)投入運(yùn)行來(lái)保護(hù)用戶之前，被使用在分析模式。但即使在使用系統(tǒng)保護(hù)用戶期間，分析器315分析電子文件的結(jié)果沒(méi)有理由不能用于調(diào)整權(quán)重。例如，當(dāng)電子文件被分析器315分析時(shí)，系統(tǒng)(不是直接就是使用統(tǒng)計(jì)分析器325)能夠使用這些分析作為反饋來(lái)調(diào)整分配到類(lèi)別或檢查/問(wèn)題的權(quán)重。該反饋能以任何希望的方式發(fā)生。例如，不管分析的結(jié)果，反饋可被應(yīng)用于分析器315分析的每個(gè)電子文件。或者上述反饋僅能在文件被認(rèn)為危險(xiǎn)時(shí)或文件被認(rèn)為安全時(shí)應(yīng)用。本領(lǐng)域的一般技術(shù)人員會(huì)認(rèn)可反饋可受管理的其他方法。

上述說(shuō)明暗示數(shù)據(jù)庫(kù)中的每一權(quán)重被調(diào)整。然而此暗示可以是事實(shí)，但并不是必需的?？砂l(fā)生僅調(diào)整某些權(quán)重：可能只有一個(gè)權(quán)重被調(diào)整。也可能發(fā)生統(tǒng)計(jì)分析器325的結(jié)果確定初始權(quán)重是滿意地而不需要調(diào)整。本發(fā)明的實(shí)施例包含所有這樣的變化。

圖7表示依照本發(fā)明的實(shí)施例，用于在圖3所示的系統(tǒng)中計(jì)算電子文件的危險(xiǎn)評(píng)估的程序流程圖。在圖7中，在模塊705，系統(tǒng)可接收電子文件。在模塊710，系統(tǒng)可使用被組編成類(lèi)別的各個(gè)檢查來(lái)分析電子文件。在模塊715，系統(tǒng)可確定各個(gè)類(lèi)別的權(quán)重(或者，作為備選，如上所述的檢查/問(wèn)題本身的權(quán)重)。在模塊720，使用檢查與類(lèi)別以及關(guān)聯(lián)的權(quán)重，系統(tǒng)可計(jì)算電子文件的危險(xiǎn)評(píng)估或威脅評(píng)分。最終，在模塊725，系統(tǒng)可使用所計(jì)算的危險(xiǎn)評(píng)估來(lái)調(diào)整權(quán)重，例如，在反饋環(huán)路中。

圖8表示依照本發(fā)明的實(shí)施例，作為圖7的計(jì)算危險(xiǎn)評(píng)估的程序的備選方案的流程圖。如以上所說(shuō)明的，權(quán)重不是分配給檢查的類(lèi)別，而是分配給檢查本身。模塊805、810、815可取代圖7所示的模塊710、715、720。在模塊805，電子文件可使用各個(gè)檢查進(jìn)行分析。在模塊810。可確定各個(gè)檢查的權(quán)重。在模塊815，系統(tǒng)可基于檢查和分配給其的權(quán)重計(jì)算危險(xiǎn)評(píng)估或威脅評(píng)分。

圖9a-9b表示用于計(jì)算圖7中使用的權(quán)重的程序流程圖。結(jié)合圖9a-9b所討論的權(quán)重可用于檢查的類(lèi)別或者用于各個(gè)檢查。在圖9a中，在模塊905，權(quán)重可由用戶分配。另外，在模塊910，默認(rèn)權(quán)重可被分配。在模塊915，默認(rèn)權(quán)重可被用戶調(diào)整。

在圖9b中，為了確定默認(rèn)權(quán)重(或是默認(rèn)權(quán)重的替代權(quán)重，以某種其他方式提供)，權(quán)重可通過(guò)分析已知文件進(jìn)行計(jì)算。在模塊920，系統(tǒng)可接收文件語(yǔ)料庫(kù)。如以上所說(shuō)明的，在本發(fā)明的一些實(shí)施例中，一個(gè)語(yǔ)料庫(kù)可包括已知含有惡意內(nèi)容的文件，而另一個(gè)語(yǔ)料庫(kù)可包括具有已知不為威脅的問(wèn)題的文件。在模塊925，文件語(yǔ)料庫(kù)可使用檢查/檢查的類(lèi)別來(lái)掃描。在模塊930，掃描的結(jié)果可以統(tǒng)計(jì)方式進(jìn)行分析。在模塊935，默認(rèn)權(quán)重可使用系統(tǒng)分析進(jìn)行調(diào)整。然后控制可回到圖9a的處理結(jié)束的地方。

圖10a-10b表示用于確定在圖7的程序中是否使用電子沙箱的程序流程圖。在圖10a中，在模塊1005，系統(tǒng)可計(jì)算電子文件的威脅評(píng)分。在模塊1010，系統(tǒng)可將上述威脅評(píng)分和既定閾值進(jìn)行比較。在模塊1015，系統(tǒng)確定上述威脅評(píng)分是否超過(guò)上述既定閾值。如果超過(guò)，在模塊1020，電子文件被認(rèn)為是安全的，而在模塊1025，系統(tǒng)可將電子文件傳遞至預(yù)定的接收者。

如果上述威脅評(píng)分不超過(guò)上述既定閾值，在模塊1030(圖10b)，系統(tǒng)能注意到電子文件不被認(rèn)為是安全的。在模塊1035，系統(tǒng)可將電子文件放置在沙箱中。在模塊1040，系統(tǒng)可引爆電子文件(以任何適當(dāng)?shù)姆绞?，并且在模塊1045，系統(tǒng)可觀察沙箱的運(yùn)行。在模塊1050，系統(tǒng)確定文件是否看起來(lái)是威脅。如果是，在模塊1055，系統(tǒng)可隔離上述文件直到采用適當(dāng)?shù)难a(bǔ)救措施為止。否則，處理返回到模塊1025(圖10a)，使系統(tǒng)將電子文件傳遞至預(yù)定的接收者。

雖然圖10a-10b在威脅評(píng)分超過(guò)既定閾值時(shí)將電子文件描述為被認(rèn)為是安全的，本領(lǐng)域的普通技術(shù)人員會(huì)將認(rèn)識(shí)到，電子文件是否被認(rèn)為安全的測(cè)試可取決于如何計(jì)算威脅評(píng)分。因此，如果正的權(quán)重被使用于被認(rèn)為更重大的問(wèn)題，如果威脅評(píng)分小于既定閾值，那么電子文件可被認(rèn)為安全；如果威脅評(píng)分大于既定閾值，則被認(rèn)為危險(xiǎn)。

上述的流程圖表示的本發(fā)明的一些可能實(shí)施例，但本發(fā)明其他的實(shí)施例，可以不同的安排來(lái)組織這些模塊，并可包括想要的不同模塊或省略不想要的不同模塊，或重復(fù)所需的一個(gè)模塊(或多個(gè)模塊)。本發(fā)明的實(shí)施例包括流程圖上的所有這些變化，不管是否明確表示或說(shuō)明。

以下的討論提供一個(gè)適合的機(jī)器的簡(jiǎn)要、一般的描述，而在該機(jī)器中，本發(fā)明的某些觀念可以被實(shí)行。典型地，該機(jī)器包括處理器、存儲(chǔ)器如隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、或其他的狀態(tài)保存介質(zhì)、存儲(chǔ)裝置、視頻接口以及輸入/輸出接口端口與其連接的系統(tǒng)總線。該機(jī)器可由來(lái)自傳統(tǒng)輸入設(shè)備如鍵盤(pán)、鼠標(biāo)的輸入及從另一機(jī)器接收的指令、或與虛擬現(xiàn)實(shí)(vr)環(huán)境的交互、生物識(shí)別反饋，或其他的輸入信號(hào)控制，至少是部分控制。如本文所用，上述用語(yǔ)"機(jī)器"廣泛地包含一臺(tái)計(jì)算機(jī)、或通信連接的機(jī)器或一起運(yùn)行的裝置的系統(tǒng)。示例性機(jī)器包括運(yùn)算裝置，如個(gè)人計(jì)算機(jī)、工作站、服務(wù)器、便攜計(jì)算機(jī)，手持裝置、電話、平板等，也包括運(yùn)輸裝置，如私人或大眾運(yùn)輸，如汽車(chē)、火車(chē)、出租車(chē)等。

上述機(jī)器可包括嵌入式控制器，如可編程邏輯裝置或非可編程邏輯裝置或陣列、專用集成電路(asic)、嵌入式計(jì)算機(jī)、智能卡等。上述機(jī)器可利用連接至一個(gè)或多個(gè)遠(yuǎn)程機(jī)器的一個(gè)或多個(gè)鏈接，如經(jīng)由網(wǎng)絡(luò)接口、調(diào)制解調(diào)器或其他的通信連接。機(jī)器可經(jīng)由實(shí)體上和/或邏輯上的網(wǎng)絡(luò)來(lái)居中鏈接，如內(nèi)聯(lián)網(wǎng)、因特網(wǎng)、局域網(wǎng)(lan)、寬域網(wǎng)(wan)等。本技術(shù)領(lǐng)域的人員將會(huì)理解網(wǎng)絡(luò)通信可利用各種有線和/或無(wú)線的短距離或長(zhǎng)距離的載波和協(xié)議，包括射頻(rf)、衛(wèi)星、微波、電氣及電子工程學(xué)會(huì)(ieee)810.11、藍(lán)牙、光纖、紅外線、電纜、激光等。

本發(fā)明可通過(guò)參照或結(jié)合關(guān)聯(lián)的數(shù)據(jù)來(lái)說(shuō)明，包括函數(shù)、程序、數(shù)據(jù)結(jié)構(gòu)、應(yīng)用程序等，當(dāng)機(jī)器存取上述這些關(guān)聯(lián)的數(shù)據(jù)時(shí)，導(dǎo)致機(jī)器執(zhí)行任務(wù)，或定義抽象的數(shù)據(jù)類(lèi)型或低階的硬件景況。關(guān)聯(lián)的數(shù)據(jù)可被存儲(chǔ)在有形計(jì)算機(jī)可讀介質(zhì)上，作為非短暫的計(jì)算機(jī)可執(zhí)行的指令。關(guān)聯(lián)的數(shù)據(jù)可被存儲(chǔ)在如易失性和/或非易失性存儲(chǔ)器中，例如ram、rom等，或其他的存儲(chǔ)裝置和其相關(guān)的存儲(chǔ)介質(zhì)，包括硬盤(pán)、軟盤(pán)、光存儲(chǔ)介質(zhì)、磁帶、閃存、記憶卡、數(shù)字影碟、生物存儲(chǔ)等。關(guān)聯(lián)的數(shù)據(jù)可通過(guò)傳送環(huán)境包括以封包、串行數(shù)據(jù)、并列數(shù)據(jù)及傳播信號(hào)的形式等實(shí)體上和/或邏輯上的網(wǎng)絡(luò)來(lái)傳送，并且能以壓縮或加密的格式使用。關(guān)聯(lián)的數(shù)據(jù)能被使用在分布式環(huán)境，及本機(jī)和/或遠(yuǎn)程存儲(chǔ)供機(jī)器存取。

參照?qǐng)D示說(shuō)明的實(shí)施例，已經(jīng)描述和圖示說(shuō)明本發(fā)明的精神。在不背離此精神的原則上，圖示的實(shí)施例在安排與細(xì)節(jié)上做修改是被認(rèn)可的。又，雖然前面的討論已聚焦在特定的實(shí)施例，但其他的構(gòu)造亦會(huì)被周密考慮，尤其是即使表達(dá)在此使用例如為“在一實(shí)施例”或類(lèi)似，但這些詞組是用來(lái)一般性地提及實(shí)施例的可能性，而不意圖限定本發(fā)明于特定的實(shí)施例的構(gòu)造。如同在此所使用的，這些術(shù)語(yǔ)可以提及可組合至其他實(shí)施例的相同或不同的實(shí)施例。

本發(fā)明的實(shí)施例能夠無(wú)限制地延伸至以下的陳述：

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；以及使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查、針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重以及針對(duì)多個(gè)檢查中的每一個(gè)分配的第二權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；以及使用來(lái)自分析器的結(jié)果、分配給多個(gè)類(lèi)別的權(quán)重及分配給多個(gè)檢查的第二權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查，以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；以及使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；其中上述接收器用于從用戶接收分配給多個(gè)類(lèi)別的權(quán)重。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；以及使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；其中分配給多個(gè)類(lèi)別的權(quán)重包括分配給多個(gè)類(lèi)別的默認(rèn)權(quán)重；及其中上述接收器用于從用戶接收分配至多個(gè)類(lèi)別的第二權(quán)重。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查，以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用在數(shù)據(jù)庫(kù)中的復(fù)數(shù)的檢查來(lái)分析電子文件的分析器；以及使用來(lái)自分析器的結(jié)果和分配給復(fù)數(shù)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；其中分配給多個(gè)類(lèi)別的權(quán)重包括分配給多個(gè)類(lèi)別的默認(rèn)權(quán)重；又其中上述分析器用于分析具有已知不一致的第一文件語(yǔ)料庫(kù)來(lái)產(chǎn)生第一結(jié)果，及分析第二安全文件語(yǔ)料庫(kù)來(lái)產(chǎn)生第二結(jié)果；又其中系統(tǒng)還包括統(tǒng)計(jì)分析器以統(tǒng)計(jì)方式評(píng)審第一結(jié)果及第二結(jié)果，并調(diào)整分配給多個(gè)類(lèi)別的默認(rèn)權(quán)重，使得對(duì)于第一文件語(yǔ)料庫(kù)的第一計(jì)算的危險(xiǎn)評(píng)估高于對(duì)于第二文件語(yǔ)料庫(kù)的第二計(jì)算的危險(xiǎn)評(píng)估。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；以及使用來(lái)自分析器的結(jié)果來(lái)調(diào)整權(quán)重的統(tǒng)計(jì)分析器。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；以及存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；以及使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；其中系統(tǒng)用于在所計(jì)算的危險(xiǎn)評(píng)估大于既定閾值時(shí)將電子文件傳給第二用戶。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；以及電子沙箱，如果上述文件的危險(xiǎn)評(píng)估不超過(guò)既定閾值，電子文件被放置到電子沙箱。

本發(fā)明的實(shí)施例包括一種系統(tǒng)，該系統(tǒng)包括：計(jì)算機(jī)；計(jì)算機(jī)中的存儲(chǔ)器；以及存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)庫(kù)，其中數(shù)據(jù)庫(kù)包括被組編成多個(gè)類(lèi)別的多個(gè)檢查以及針對(duì)多個(gè)類(lèi)別中的每一個(gè)分配的權(quán)重；接收電子文件的接收器；使用數(shù)據(jù)庫(kù)中的多個(gè)檢查來(lái)分析電子文件的分析器；使用來(lái)自分析器的結(jié)果和分配給多個(gè)類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的危險(xiǎn)評(píng)估的威脅計(jì)算器；以及電子沙箱，如果上述文件的危險(xiǎn)評(píng)估不超過(guò)既定的閾值，電子文件被放置在電子沙箱；其中系統(tǒng)用于在所觀察的電子沙箱的運(yùn)行表明上述電子文件不是威脅時(shí)將電子文件傳給第二用戶。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定多個(gè)類(lèi)別中的每一個(gè)的權(quán)重；以及使用多個(gè)類(lèi)別和分配給多個(gè)類(lèi)別中的每一個(gè)的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用來(lái)自多個(gè)類(lèi)別之一的多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；從多個(gè)類(lèi)別之一確定多個(gè)檢查中的每一個(gè)的權(quán)重；以及使用來(lái)自多個(gè)類(lèi)別之一的多個(gè)檢查和分配給多個(gè)檢查中的每一個(gè)的第二權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估。

本發(fā)明的實(shí)施例包括一種方法，上述方法包括：從用戶接收分配給多個(gè)類(lèi)別中的每一個(gè)的權(quán)重；接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定多個(gè)類(lèi)別中的每一個(gè)的權(quán)重；以及使用多個(gè)類(lèi)別和分配給多個(gè)類(lèi)別中的每一個(gè)的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定多個(gè)類(lèi)別中的每一個(gè)的權(quán)重，包括接收一默認(rèn)權(quán)重以分配至每一類(lèi)別；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定多個(gè)類(lèi)別中的每一個(gè)的權(quán)重；以及使用多個(gè)類(lèi)別和分配至每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估；其中每一類(lèi)別的權(quán)重的確定，包括接收默認(rèn)權(quán)重并分配至每一類(lèi)別，及依照來(lái)自用戶的指令調(diào)整分配給每一類(lèi)別的默認(rèn)權(quán)重。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定多個(gè)類(lèi)別中的每一個(gè)的權(quán)重；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估；其中每一類(lèi)別的權(quán)重的確定，包括接收默認(rèn)權(quán)重并分配至每一類(lèi)別；又其中接收默認(rèn)權(quán)重并分配至每一類(lèi)別，包括接收具有已知不一致的第一文件語(yǔ)料庫(kù)及第二安全文件語(yǔ)料庫(kù)，掃描第一文件語(yǔ)料庫(kù)產(chǎn)生第一結(jié)果，掃描第二安全文件語(yǔ)料庫(kù)產(chǎn)生第二結(jié)果，以統(tǒng)計(jì)方法分析第一結(jié)果及第二結(jié)果，并使用第一結(jié)果與第二結(jié)果的分析來(lái)調(diào)整分配給每一類(lèi)別的默認(rèn)權(quán)重，使得對(duì)于第一文件語(yǔ)料庫(kù)的第一計(jì)算的危險(xiǎn)評(píng)估高于對(duì)于第二文件語(yǔ)料庫(kù)的第二計(jì)算的危險(xiǎn)評(píng)估。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定每一類(lèi)別的權(quán)重；使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估；以及使用電子文件的最終的危險(xiǎn)評(píng)估來(lái)調(diào)整分配給每一類(lèi)別的權(quán)重。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定每一類(lèi)別的權(quán)重；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估，包括使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重來(lái)計(jì)算電子文件的威脅評(píng)分，以及將上述威脅評(píng)分和閾值分?jǐn)?shù)做比較，如果上述威脅評(píng)分超過(guò)上述閾值分?jǐn)?shù)，則確定電子文件可能不是威脅并將電子文件傳遞至用戶。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定每一類(lèi)別的權(quán)重；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估，包括使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重來(lái)計(jì)算電子文件的威脅評(píng)分，以及將上述威脅評(píng)分和閾值分?jǐn)?shù)做比較，如果上述威脅評(píng)分超過(guò)上述閾值分?jǐn)?shù)，則確定電子文件可能不是威脅并將電子文件傳遞至用戶，如果上述威脅評(píng)分不超過(guò)上述閾值分?jǐn)?shù)，則確定電子文件可能是威脅。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定每一類(lèi)別的權(quán)重；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估，包括使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重來(lái)計(jì)算電子文件的威脅評(píng)分，以及將威脅評(píng)分和閾值分?jǐn)?shù)做比較，如果威脅評(píng)分超過(guò)閾值分?jǐn)?shù)，則確定電子文件可能不是威脅并將電子文件傳遞至用戶，如果威脅評(píng)分不超過(guò)閾值分?jǐn)?shù)，則確定電子文件可能是威脅；其中確定電子文件可能是威脅，包括將電子文件放置至電子沙箱，引爆電子沙箱中的電子文件，以及在引爆電子沙箱中的電子文件后觀察電子沙箱的運(yùn)行。

本發(fā)明的實(shí)施例包括一種方法，該方法包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定每一類(lèi)別的權(quán)重；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估，包括使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重來(lái)計(jì)算電子文件的威脅評(píng)分，以及將威脅評(píng)分和閾值分?jǐn)?shù)做比較，如果威脅評(píng)分超過(guò)閾值分?jǐn)?shù)，則確定電子文件可能不是威脅并將電子文件傳遞至用戶，如果威脅評(píng)分不超過(guò)閾值分?jǐn)?shù)，則確定電子文件可能是威脅；其中確定電子文件可能是威脅，包括將電子文件放置至電子沙箱，引爆電子沙箱中的電子文件，并在引爆電子沙箱中的電子文件后觀察電子沙箱的運(yùn)行，而如果所觀察到的電子沙箱的運(yùn)行表明電子文件不是威脅的話，則將電子文件傳遞至用戶。

本發(fā)明的實(shí)施例包括存儲(chǔ)非暫時(shí)性指令的有形計(jì)算機(jī)可讀介質(zhì)，當(dāng)上述非暫時(shí)性指令由機(jī)器執(zhí)行時(shí)，實(shí)施下面所述的方法，包括：接收電子文件；使用多個(gè)檢查來(lái)分析電子文件以確定電子文件是否符合預(yù)期的格式，多個(gè)檢查被組編成多個(gè)類(lèi)別；確定每一類(lèi)別的權(quán)重；以及使用多個(gè)類(lèi)別和分配給每一類(lèi)別的權(quán)重，來(lái)計(jì)算電子文件的最終的危險(xiǎn)評(píng)估。

因此，有鑒于本發(fā)明所說(shuō)明的各種各樣的實(shí)施例的安排，詳細(xì)的描述及其伴隨的資料僅作為舉例說(shuō)明，并不能用于限制本發(fā)明的范圍。因此，本發(fā)明所要求保護(hù)的技術(shù)方案包括在權(quán)利要求范圍及其精神內(nèi)的所有的修改及等同方案。