卡巴斯基实验室的新专利能够让安全扫描过程更高效

        美国专利商标局向卡巴斯基实验室颁发了一项专利技术，编号为8762948，这项专利技术可以在软件分析期间过滤掉非必要的事件。 

        仿真技术是最为有效的恶意软件分析方法之一，但是，这种技术需要分析大量数据。其工作原理为：将程序代码分为若干条单独指令，每条指令都在虚拟机上运行。此技术无须入侵计算机操作系统就可以掌控指令行为，在此过程中会产生系统日志，通过分析日志将找出潜在的有害因素。 

        然而，系统日志通常包含很多非必要的事件，这对于判断恶意程序毫无帮助，且降低了分析效率。首先，分析这些非必要活动加剧了判定恶意活动的复杂度；其次，它造成计算机资源过于紧张。运用预先过滤机制，可以在分析过程启动之前就从记录中移除所有非必要活动，避免过度占用系统日志。 

        此项专利技术是一种生成上述规则的方法。从本质来讲，它类似于反病毒公司远程系统所执行的程序仿真技术。它首先会基于最流行的开发工具创建若干测试程序，这些程序均在有系统日志的单独虚拟机上运行，通过分析系统日志，可以检测出重复的非必要事件。由于这些事件对判断恶意威胁等级没有帮助，所以其相关信息便被纳入过滤规则数据库中。因此，在使用仿真技术时，系统日志中的相似活动无论何时出现，过滤组件都会在分析过程进行之前将其自动过滤。 

        如果此技术认定一项日志样本为非必要事件，那么该事件应该是‘GetVersion ()’的函数调用，用来请求返回操作系统版本。而这种请求总是由使用Delphi 7语言编写的程序发出，并非恶意软件。 

        卡巴斯基实验室首席技术专家、也是该专利技术的作者之一Oleg Zaitsev表示，“保持平衡对于开发有效的分析组件十分重要，只有这样才能使计算机性能不受限于有效保护。最重要的一点是，该组件工作量极大，我们必须避免非必要信息加重其负荷”。 

        目前，此项专利技术已应用于卡巴斯基实验室的多项解决方案。