买专利,只认龙图腾
首页 专利交易 科技果 科技人才 科技服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

【发明授权】确定用于进程的信誉_迈克菲有限责任公司_201580076745.9 

申请/专利权人:迈克菲有限责任公司

申请日:2015-11-25

公开(公告)日:2021-02-09

公开(公告)号:CN107430663B

主分类号:G06F21/56(20130101)

分类号:G06F21/56(20130101);G06F21/57(20130101)

优先权:["20141223 US 14/581439"]

专利状态码:有效-授权

法律状态:2021.02.09#授权;2017.12.26#实质审查的生效;2017.12.01#公开

摘要:本文中描述的特定实施例提供用于一种电子装置,其能够配置成:识别在该电子装置上运行的进程;如果该进程具有已知信誉,则指派信誉到该进程;确定该进程是否包含可运行代码;确定用于可运行代码的信誉;以及组合用于可运行代码的信誉和指派到该进程的信誉以创建用于该进程的新信誉。

主权项:1.至少一种计算机可读介质,包括一个或多个指令,所述一个或多个指令在由电子装置的至少一个处理器执行所述指令时促使所述处理器:识别进程,其中所述电子装置包括所述进程,且所述进程包含可运行代码;如果所述进程具有已知信誉,则指派信誉到所述进程;确定用于所述可运行代码的信誉;组合用于所述可运行代码的所述信誉和指派到所述进程的所述信誉以创建用于所述进程的新信誉;确定所述电子装置的信誉;以及将用于所述进程的新信誉与所述电子装置的信誉进行组合。

全文数据:确定用于进程的信誉[0001]相关申请的交叉引用本申请要求2014年12月23日提交的命名为“DETERMININGAREPUTATIONFORAPROCESS”的美国非临时专利申请号14581439的权益和优先权,该申请通过引用全部被结合于本文中。技术领域[0002]本公开一般涉及信息安全性领域,并且更具体地说,涉及确定用于进程的信誉。背景技术[0003]网络安全性领域在当今社会中已变得越来越重要。因特网已实现全世界的不同计算机网络的互连。具体而言,因特网提供用于在经由各种类型的客户端装置连接到不同计算机网络的不同用户之间交换数据的媒介。虽然因特网的使用已变换了商业和个人通信,但它也一直被用作恶意操作者获得对计算机和计算机网络的未经授权访问和敏感信息的有意或无意公开的媒介vehicle。[0004]感染主计算机的恶意软件(“malware”)可以能执行任何数量的恶意动作,例如从与主计算机关联的商业或个体窃取敏感信息,传播到其它主计算机和或辅助分布式的拒绝服务攻击、从主计算机发送出垃圾邮件或恶意电子邮件等等。因此,对于保护计算机和计算机网络免于由恶意软件和装置的恶意及无意利用,依然处于显著管理挑战。附图说明[0005]为提供本公开以及其特征和优点的更完整理解,参考结合附图进行的下面的描述,其中相似参考数字表示相似部分,其中;图1是根据本公开的实施例的确定用于进程的信誉的通信系统的简化框图;图2是根据本公开的实施例的通信系统的一部分的简化框图;图3是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图4是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图5是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图6是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图7是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图8是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图9是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图10是根据实施例的图示可与通信系统关联的潜在操作的简化流程图;图11是根据实施例的图示以点对点配置布置的示例计算系统的框图;图12是与本公开的示例ARM生态系统芯片上系统S0C关联的简化框图;以及图13是根据实施例的图示示例处理器核的框图。[0006]附图的图形不必按比例绘制,因为其尺寸能够大幅变化而不脱离本公开的范围。具体实施方式[0007]示例实施例图1是根据本公开的实施例的确定用于进程的信誉或信任级别)的通信系统100的简化框图。如图1中所图示的,通信系统100的实施例能够包含电子装置1〇2、服务器1〇4和云1〇6。电子装置102能够包含进程信誉模块110、一个或更多进程112a、112b和112c、处理器114a及存储器116a。在一个示例中,存储器116a可包含信誉数据库118、白名单120和黑名单122。服务器104能够包含处理器114b、存储器116b和网络进程信誉模块124a。存储器116b能够包含白名单120、黑名单122和网络信誉数据库126。云106能够包含处理器114c、存储器116c和网络进程信誉模块124b。存储器116c能够包含白名单120、黑名单122和网络信誉数据库126。电子装置102、服务器104和云106可使用网络108进行通信。网络元件144能够是通过网络108与电子装置进行通信或交互的任何网络元件。[0008]在示例实施例中,通信系统100能够配置成确定用于诸如进程112?1、11213和112c的一个或更多进程的信誉。能够独立确定用于每个进程的信誉。例如,通信系统1〇〇能够配置成从与进程112a关联的主要可运行函数(例如,用来运行进程的主要函数,例如notpad.exe、与进程112b关联的主要可运行函数及与进程112c关联的主要可运行函数建立目标或基础进程信誉。[0009]电子装置102上的事件能够由进程信誉模块110观察或监测,并且每个进程112a、112b和112c的信誉能够在对象修改每个进程、电子装置102或其中每个进程位于或操作的系统或环境时被更新。通信系统100也能够配置成支持对象具有更改的信誉的概念,其随后能够整体或个别追溯影响进程112a、112b和112c的信誉。例如,恶意软件可影响进程112a的信誉,但不影响进程112b的信誉,并且只极小地影响进程112c的信誉。[0010]图1的元件可通过采用任何适合连接有线或无线)的一个或更多接口相互耦合,其提供了用于网络例如,网络108通信的可行路径。另外,基于特定配置需要,可组合或者从架构中去除图1的这些元件的任何一个或更多元件。通信系统100可包含具有用于网络中分组的传送或接收的传送控制协议因特网协议TCPIP通信的能力的配置。在适当的情况下并基于具体需要,通信系统100也可连同用户数据报协议IPUDPIP或任何其它适合协议来操作。[0011]为了图示通信系统1〇〇的某些示例技术的目的,重要的是,理解可正遍历网络环境的通信。下面的基本信息可被看作从其本公开可被恰当解释的基础。[0012]经常必需声明,完全跟踪和知道在任何给定时间的进程的信誉。进程的信誉能够是在除诸如脚本的解释的内容外还包含所有线程和存储器区的进程上下文内运行的代码的算法聚合。在附加的事件流经系统,并且有关在进程空间中运行的模块的附加信誉数据被发现时,应随着时间的过去而更新信誉。进程的信誉能够是十分有用的,因为它是帮助检测恶意软件,保护关键资源和数据的漏出,并且保护计算机和计算机网络免于由恶意软件和装置的恶意和无意利用的数据源。[0013]如图1中概述的能够确定用于进程的信誉的通信系统能够解决这些问题(及其它问题)。在示例中,进程信誉模块110能够配置成建立用于进程的目标或基本进程信誉。更具体地说,进程信誉模块110能够监测在系统中的事件,例如库加载、附接线程、写进程存储器等,并且如果此种事件发生,则进程的信誉能够被修改以包含事件的信誉。例如,进程的信誉能够被修改成是进程的信誉和在被加载的文件库的信誉的合并。而且,如果参与者进程actorprocess造成进程的附接线程事件,则进程的信誉能够被修改成进程的信誉和参与者进程的信誉的合并。此外,如果参与者进程造成进程的写进程存储器事件,则进程的信誉能够被修改成进程的信誉和参与者进程的信誉的合并。另外,如果进程读或解释内容文件,则进程的信誉能够被修改成进程的信誉和在被读的内容文件的信誉的合并。一个示例可使内容文件类型结合到作为解释器的进程,使得如果进程不能实际读取那个文件类型,则它不影响进程的信誉。而且,如果进程联系(contractURL,并且该URL能够被确定成具有信誉,则进程的信誉能够被修改成进程的信誉和该URL的信誉的合并。另外,如果进程联系IP地址,并且该IP地址能够被确定成具有信誉,则进程的信誉能够被修改成进程的信誉和该IP地址的信誉的合并。此外,与进程交互的用户或最终用户可具有信誉,并且进程的信誉能够被修改成进程的信誉和用户的信誉的合并。例如,具有高许可highclearance的高级IT员工可具有极高的信誉,而初级IT员工或非IT员工可具有极低的信誉。[0014]上述示例仅作为说明性示例提供,其它示例可被使用并且明显在本公开的范围内。通常,如果事件发生,其能够被确定成影响进程的信誉,则进程的信誉能够被修改成进程的信誉和新事件的信誉的合并。以这种方式,在进程已开始运行后,能够执行进程的行为分析,并且行为的分析能够用来修改进程的信誉。例如,尝试修改Windows®进程的存储器能够被确定成是恶意事件,并且进程的信誉能够被设置成事件的信誉和进程的信誉的合并。在进程的寿命内,能够监测加载的对象的信誉,并且能够将进程的信誉更新成对象更改的信誉。例如,如果库被加载到进程中,并且在加载库事件己发生后,那个库被识别具有恶意信誉,则进程的信誉能够被更新以反映恶意信誉。[0015]存在多种合并信誉或组合信誉的方式,并且它们全部在本公开的范围内。例如,值可用来存储进程的信誉的指示。信誉可由在〇与1〇〇之间的整数表示,其中100表示最受信任信誉,并且0表示恶意信誉,其中50是真实未知信誉。使用两个信誉的平均值或者能够包含规则或加权平均算法的算法机制,能够合并进程和参与者处理器actorprocessor或某一其它事件的信誉。[0016]转到图1的基础设施,示出根据示例实施例的通信系统100。通常,通信系统100能够在任何类型或拓扑的网络中实现。网络108表示用于接收和传送通过通信系统100传播的信息的分组的互连通信路径的一系列点或节点。网络108提供在节点之间的通信接口,并且可配置为任何局域网(LAN、虚拟局域网(VLAN、宽域网(WAN、无线局域网WLAN、城域网MAN、内联网、外联网、虚拟专用网VPN及促进在网络环境中通信的任何其它适当的架构或系统或其任何适合的组合,包含有线和或无线通信。[0017]在通信系统100中,能够根据任何适合的通信消息传递协议,发送和接收包含分组、帧、信号、数据等的网络业务。适合的通信消息传递协议能够包含多层方案,例如开放系统互连0SI模型或其任何派生或变体例如,传送控制协议因特网协议TCPIP、用户数据报协议IPUDPIP。另外,在通信系统100中也可提供通过蜂窝网络的无线电信号通信。可提供适合的接口和基础设施以实现与蜂窝网络的通信。[0018]如在本文中所使用的术语“分组”表示能够在分组交换网络上源节点和目的地节点之间被路由的数据的单元。分组包含源网络地址和目的地网络地址。这些网络地址在TCPIP消息传递协议中能够是因特网协议IP地址。如在本文中所使用的术语“数据”表示任何类型的二进制、数字、声音、视频、文本或脚本数据,或任何类型的源或目标代码,或可在电子装置和或网络中从一个点到另一个点传递的以任何适当格式的任何其它适合信息。另外,消息、请求、响应和询问是网络业务的形式,并因此可包括分组、帧、信号、数据等等。[0019]在示例实现中,电子装置102、服务器104和云106是网络元件,其意味着包含网络器具appliance、服务器、路由器、交换机、网关、桥、负载平衡器、处理器、模块或可操作以在网络环境中交换信息的任何其它适合装置、组件、元件或对象。网络元件可包含促进其操作的任何适合硬件、软件、组件、模块或对象,以及用于在网络环境中接收、传送和或以其它方式传递数据或信息的适合接口。这可包含允许数据或信息的有效交换的适当算法和通信协议在内。[0020]关于与通信系统100关联的内部结构,电子装置102、服务器104和云106每个能够包含用于存储在本文中概述的操作中要使用的信息的存储器元件存储器116a-116c。电子装置102、服务器104和云106中的每个可在适当的情况下并基于具体需要在任何适合存储器元件例如,随机访问存储器RAM、只读存储器ROM、可擦除可编程ROMEPROM、电可擦除可编程ROMEEPR0M、专用集成电路ASIC等等)、软件、硬件、固件中或在任何其它适合组件、装置、元件或对象中保存信息。在本文中所讨论的存储器项(item中的任何应被理解为在宽泛术语‘存储器元件’之内被包含。此外,在通信系统1〇〇中被使用、被追踪、被发送或被接收的信息能够在任何数据库、寄存器、队列、表格、高速缓存、控制名单或其它存储结构中被提供,它们中的所有能够在任何适合时间帧被引用reference。任何此类存储选项可还在如本文中所使用的宽泛术语‘存储器元件’之内被包含。[0021]在某些示例实现中,在本文中所概述的功能可由在一个或更多有形媒体例如,在ASIC中提供的嵌入式逻辑、数字信号处理器DSP指令、要由处理器运行的软件潜在包含目标代码和源代码在内)或其它类似机器等等)中编码的逻辑来实现,所述一个或更多有形媒体可包含非暂时性计算机可读媒体在内。在这些情形中的一些中,存储器元件能够存储用于在本文中所描述的操作的数据。这包含能够存储软件、逻辑、代码或处理器指令其被运行以实行在本文中所描述的活动)的存储器元件。[0022]在示例实现中,通信系统100的电子装置102、服务器104和云106可包含实现或促进如本文中概述的操作的软件模块例如,进程信誉模块110和网络进程信誉模块124a和124b。这些模块可以以任何适合的方式适当地组合,这可基于特殊配置和或预备provisioning需要。在示例实施例中,此类操作可由硬件实行,在这些元件外部实现,或者包含在某一其它网络装置中以实现预期功能性。此外,模块能够实现为硬件、软件、固件或其任何适合的组合。这些元件也可包含能够与其它网络元件协调以便实现如本文中概述的操作的软件或往复式软件)。[0023]另外,电子装置102、服务器104和云106每个可包含能够运行软件或算法以执行如本文中讨论的活动的处理器例如,处理器114a-114c。处理器能够运行与数据相关联的任何类型的指令以实现本文中详述的操作。在一个示例中,处理器能够将元件或物品article例如,数据从一个状态或事物变换成另一个状态或事物。在另一个示例中,在本文中所概述的活动可通过固定逻辑或可编程逻辑例如,由处理器运行的软件八十算机指令来实现,以及在本文中所识别的元件能够是包含数字逻辑、软件、代码、电子指令或其任何适合组合的某一类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列FPGA、EPROM、EEPROM或ASIC。在本文中所描述的潜在处理元件、模块和机器中的任何应被理解为被包含在宽泛术语‘处理器’之内。[0024]电子装置102能够是网络元件,并且包含例如桌上型计算机、膝上型计算机、移动装置、个人数字助理、智能电话、平板或其它类似装置。服务器104能够是诸如服务器或虚拟服务器的网络元件,并能够关联于希望经由某一网络例如,网络108在通信系统100中发起initiate通信的客户端、顾客、端点或终端用户。术语‘服务器’包含用来服务客户端的请求和或代表通信系统100之内客户端来执行某一计算任务的装置在内。尽管网络进程信誉模块124a和124b在图1中被表示为位于服务器104或云106中,但这仅是为了说明性目的。网络进程信誉模块124a和124b能够在任何适合配置中被组合或分离。此外,网络进程信誉模块124a和124b能够与由服务器104或云106可访问的另一个网络集成或分布在其中。云1〇6配置成将云服务提供给电子装置102。云服务可通常被定义为使用通过网络例如因特网)作为服务而被输送的计算资源。通常,计算、存储和网络资源在云基础设施中被提供,从而将工作量从本地网络有效转移到云网络。[0025]转到图2,图2是包含电子装置102的通信系统100的一部分的简化框图。电子装置102能够包含进程信誉模块110、进程112a、处理器114a、存储器116a、用户动作128、运行代码130、硬件134、网络业务136、注入代码138及外设装置140。存储器116a能够包含信誉数据库118、白名单120、黑名单122、数据132和加载库142。白名单120能够包含已知信誉好或受信任的应用和进程。黑名单122能够包含己知信誉差或不受信任的应用和进程。信誉数据库118能够包含在白名单120或黑名单122中未包含的进程的信誉。进程信誉模块110能够使用白名单120、黑名单122和信誉数据库118以帮助确定用于进程的信誉。[0026]用户动作I28表示可由用户采取的动作,例如访问恶意URL或者在电子装置102上安装不受信任的数据。如果任何用户动作128修改进程112a,则修改进程112a的用户动作的信誉能够与进程112a的信誉合并。运行代码130表示在电子装置102上运行的代码。如果任何运行代码13〇修改进程11加,则修改进程112a的运行代码的信誉能够与进程112a的信誉合并。硬件1:34表示连接到电子装置102的硬件。如果任何硬件134修改进程112a,则修改进程112a的硬件的信誉能够与进程112a的信誉合并。网络业务136表示可由电子装置102发送或接收的网络业务。如果任何网络业务136修改进程112a,则修改进程112a的网络业务的信誉能够与进程112a的信誉合并。注入代码138表示注入到电子装置102中的进程的代码。如果任何注入代码138修改进程112a,则修改进程112a的注入代码的信誉能够与进程112a的信誉合并。外设装置140表示连接到电子装置1〇2的外设装置。如果任何外设装置140修改进程11也,则修改进程11¾的外设装置的信誉能够与进程U2a的信誉合并。数据132表示包含在电子装置102中的数据。如果任何数据132修改进程112a,则修改进程112a的数据的信誉能够与进程112a的信誉合并。加载库142表示在电子装置上加载的库。如果任何加载库142修改进程112a,则修改进程11¾的加载库的信誉能够与进程n2a的信誉合并。以上所述只是说明性示例,并且其它类似示例明显在本公开的范围内。[0027]转到图3,图3是根据实施例的图示可与确定用于进程的信誉关联的流程300的可能操作的示例流程图。在实施例中,流程300的一个或更多操作可由进程信誉模块11〇执行。在302处,开始进程。在304处,系统确定进程是否具有已知信誉。例如,进程可在白名单120、黑名单122或数据库中的条目中进行匹配。如果进程不具有己知信誉,则如在308中,系统确定进程是否包含与进程关联的主要可运行代码或函数。如果进程确实具有已知信誉,则如在306中,已知信誉被指派到进程。在308处,系统确定进程是否包含与进程关联的主要可运行代码或函数。如果进程不包含与进程关联的主要可运行代码或函数,则流程结束。如果进程确实包含主要可运行代码或函数,则如在310中,确定并且组合每个关联主要可运行代码或函数的信誉。在312处,每个可运行代码或函数的组合信誉被指派到或用来更新进程的信誉。[0028]转到图4,图4是根据实施例的图示可与确定用于进程的信誉关联的流程4〇〇的可能操作的示例流程图。在实施例中,流程400的一个或更多操作可由进程信誉模块110执行。在402处,开始进程。在404处,确定与进程关联的主要可运行函数的信誉。在4〇6处,主要可运行函数的信誉被指派到进程。在408处,系统确定进程是否加载库代码。例如,进程122£1可运行从加载库142加载的代码。如果进程未加载库代码,则流程停止。如果进程确实加载库代码,则如在410中,确定加载库代码的信誉或用于每个加载库代码的信誉)。在412处,通过加载库代码或每个库代码的信誉,更新进程的信誉。[0029]转到图5,图5是根据实施例的图示可与确定用于进程的信誉关联的流程5〇〇的可能操作的示例流程图。在实施例中,流程500的一个或更多操作可由进程信誉模块丨10执行。在502处,开始进程。在504处,确定与进程关联的主要可运行函数的信誉。在506处,主要可运行函数的信誉被指派到进程。在508处,系统确定进程是否与网络元件交互。例如,进程122a可与网络元件144交互。如果进程未与网络元件交互,则流程停止。如果进程确实与网络元件交互,则如在510中,确定网络元件的信誉。在512处,通过网络元件的信誉,更新进程的信誉。[0030]转到图6,图6是根据实施例的图示可与确定用于进程的信誉关联的流程600的可能操作的示例流程图。在实施例中,流程600的一个或更多操作可由进程信誉模块110执行。在6〇2处,开始进程。在6〇4处,确定与进程关联的主要可运行函数的信誉。在606处,主要可运行函数的信誉被指派到进程。在6〇8处,系统确定进程是否解释内容文件。例如,进程122a可以是显示PDF文档的PDF阅读器或运行脚本的脚本解释器。如果进程未解释内容文件,则流程停止。如果进程确实解释内容文件,则如在610中,确定内容文件的信誉。在612处,通过内容文件的信誉,更新进程的信誉。[0031]转到图7,图7是根据实施例的图示可与确定用于进程的信誉关联的流程7〇〇的可能操作的示例流程图。在实施例中,流程700的一个或更多操作可由进程信誉模块110执行。在7〇2处,开始进程。在7〇4处,确定与进程关联的主要可运行函数的信誉。在706处,主要可运行函数的信誉被指派到进程。在7〇8处,系统确定线程是否附接到进程。例如,进程122可创建具有恶意代码的线程,并且然后附接那个线程到进程122b,这实际上在进程122a下隐藏进程122a的行为,并且允许进程122a绕过防火墙规则。如果线程未附接到进程,则流程停止。如果线程附接到进程,则如在710中,确定用于附接的线程的信誉。在712处,通过附接的线程的信誉,更新进程的信誉。[0032]转到图8,图8是根据实施例的图示可与确定用于进程的信誉关联的流程800的可能操作的示例流程图。在实施例中,流程800的一个或更多操作可由进程信誉模块110执行。在802处,开始具有信誉的电子装置上的进程。在804处,确定与进程关联的主要可运行函数的信誉。在806处,主要可运行函数的信誉被指派到进程。在808处,通过电子装置的信誉,更新进程的信誉。在810处,系统确定电子装置的信誉是否已更改成新信誉。例如,进程122£1可在电子装置102上运行,并且电子装置可已受恶意软件感染。如果电子装置的信誉尚未更改成新信誉,则流程停止。如果电子装置的信誉已更改成新信誉,则如在812中,通过电子装置的新信誉,更新进程的信誉。[0033]转到图9,图9是根据实施例的图示可与确定用于进程的信誉关联的流程900的可能操作的示例流程图。在实施例中,流程9〇0的一个或更多操作可由进程信誉模块110执行。在902处,开始进程。在904处,确定与进程关联的主要可运行函数的信誉。在906处,主要可运行函数的信誉被指派到进程。在908处,监测进程的行为。在910处,系统确定进程是否执行可疑行为。例如,可监测进程122a以查看它是否执行任何可疑活动,例如访问进程122a通常不访问的存储器的端口或区域。如果进程未执行任何可疑行为,则流程停止。如果进程确实执行可疑行为,则如在912中,基于可疑行为,更新进程的信誉。[0034]转到图10,图10是根据实施例的图示可与确定用于进程的信誉关联的流程1000的可能操作的示例流程图。在实施例中,流程1000的一个或更多操作可由进程信誉模块110执行。在1102处,开始进程。在1004处,确定用于进程的信誉。在1006处,用户与进程进行交互。在1008处,系统确定用户是否具有已知信誉。如果用户不具有已知信誉,则流程结束。如果用户确实具有已知信誉,则通过用户的已知信誉,更新用于进程的信誉。[0035]图11图示根据实施例的以点对点PtP配置布置的计算系统1100。具体而言,图11示出其中处理器、存储器和输入输出装置通过多个点对点接口互连的系统。通常,可以以与计算系统1100相同或类似的方式配置通信系统100的一个或更多网络元件。[0036]如图11中所图示的,系统1100可包含几个处理器,为清晰起见,只示出其中的两个处理器1170和1180。虽然示出了两个处理器1170和1180,但要理解的是,系统1100的实施例也可包含仅一个此种处理器。处理器1170和1180可每个包含核集(S卩,处理器核1174A和1174B和处理器核1184A和1184B以运行程序的多个线程。核可配置成以类似于上面参照图1-9讨论的方式运行指令代码。每个处理器1170、1180可包含至少一个共享高速缓存1171、1181。共享高速缓存1171、1181可存储由诸如处理器核1174和1184的处理器1170、1180的一个或更多组件利用的数据例如,指令。[0037]处理器1170和1180也可每个包含集成存储器控制器逻辑MC1172和1182以便与存储器元件1132和1134进行通信。存储器元件II32和或1134可存储由处理器1170和1180使用的各种数据。在备选实施例中,存储器控制器逻辑1172和1182可以是与处理器117〇和1180分开的离散逻辑。[0038]处理器1170和1180可以是任何类型的处理器,并且可分别使用点对点接口电路1178和1188而经由点对点(PtP接口1150交换数据。处理器11了0和1180每个可使用点对点接口电路1176、1186、1194和1198而经由个别的点对点接口1152和1154与芯片集119〇交换数据。芯片集1190也可使用能够是PtP接口电路的接口电路11犯而经由高性能图形接口1139与高性能图形电路1138交换数据。在备选实施例中,图11中图示的任何或所有PtP链路能够实现为多支路总线而不是PtP链路。[0039]芯片集1190可经由接口电路11%与总线112〇进行通信。总线112〇可具有通过它进行通信的一个或更多装置,例如总线桥1118和IO装置1116。经由总线1110,总线桥1118可与其它装置例如键盘鼠标1112或诸如触摸屏、轨迹球等其它输入装置)、通信装置1126诸如调制解调器、网络接口装置或可通过计算机网络lleo进行通信的其它类型的通信装置)、音频IO装置1114和或数据存储装置112S进行通信。数据存储装置1128可存储可由处理器1170和或118〇运行的代码1130。在备选实施例中,总线架构的任何部分能够通过一个或更多PtP链路实现。[0040]图11中描绘的计算机系统是可用来实现本文中讨论的各种实施例的计算系统的实施例的示意图。将领会的是,图11中描绘的系统的各种组件可在系统上的芯片SoC架构中或者在任何其它适合配置中组合。例如,本文中公开的实施例能够合并到包含诸如智能蜂窝电话、平板计算机、个人数字助理、便携式游戏装置等移动装置的系统中。将领会的是,在至少一些实施例中,这些移动装置可提供有SoC架构。[0041]转到图12,图12是与本公开的示例ARM生态系统S0C1200关联的简化框图。本公开的至少一个示例实现能够包含本文中讨论的信誉确定特征和ARM组件。例如,图12的示例能够与任何ARM核例如,A-9,A-15等关联。此外,架构能够是任何类型的平板、智能电话包含Android™电话、i-Phone™、i_Pad™、GoogleNexus™'MicrosoftSurface™、个人计算机、服务器、视频处理组件、膝上型计算机包含任何类型的笔记本)、Ultrab〇〇kTM系统、任何类型的触摸使能的输入装置等的一部分。[0042]在图12的此示例中,ARM生态系统S0C1200可包含多个核1206-1207、L2高速缓存控制1208、总线接口单元1209、L2高速缓存1210、图形处理单元GPU1215、互连1202、视频编解码器1220及可与耦合到液晶显示器LCD的移动行业处理器接口(MIPI高清晰多媒体接口(HDMI链路关联的LCDIF1225。[0043]ARM生态系统S0C1200也可包含订户身份模块(SMIF1230、引导只读存储器ROM1235、同步动态随机存取存储器SDRAM控制器1240、闪存控制器1245、串行外设接口SPI主控器1250、适合的功率控制1255、动态RAM①RAM1260及闪存1265。另外,一个或更多示例实施例包含一个或更多个通信能力、接口和特征,例如Bluetooth™127〇的实例、3G调制解调器1275、全球定位系统GPS1280及802.11Wi-Fi1285。[OO44]在操作中,图12的示例能够提供处理能力及相对低的功耗以实现各种类型的计算例如,移动计算、高端数字家庭、服务器、无线基础设施等)。另外,此种架构能够实现任何数量的软件应用(例如,AndroidTM、Adobe®Flash®播放器、Java平台标准版本JaveSE、JavaFM'Linux'MicrosoftWindowsEmbeddecUSymbian和Ubuntu等)。在至少一个不例实施例中,核处理器可实现具有耦合低等待时间的2级高速缓存的失序超标量流水线。[0045]图13图示根据实施例的处理器核1300。处理器核1300可以是用于任何类型的处理器例如微处理器、嵌入式处理器、数字信号处理器DSP、网络处理器或运行代码的其它装置的核。虽然图13中只图示一个处理器核1300,但处理器可备选包含不止一个图13中图示的处理器核13〇0。例如,处理器核1300表示参照图10的处理器1070和1080示出和描述的处理器核l〇74a、1074b、1074a和1074b的一个示例实施例。处理器核1300可以是单线程核,或者对于至少一个实施例,处理器核1300可以是多线程的,因为它可每核包含不止一个硬件线程上下文或“逻辑处理器”)。[0046]图I3也图示根据实施例的耦合到处理器核1300的存储器13〇2。存储器丨3〇2可以是如本领域技术人员已知或以其它方式可用的各种各样存储器中的任何存储器包含存储器分层结构的各种层)。存储器1302可包含要由处理器核1300运行的可以是一个或更多指令的代码1304。处理器核1300能够遵循由代码1304指示的指令的程序序列。每个指令进入前端逻辑1306并且由一个或更多解码器1308处理。解码器可生成作为其输出的微操作,例如以预定义格式的固定宽度微操作,或者可生成其它指令、微指令或反映原代码指令的控制信号。前端逻辑1306也包含寄存器重命名逻辑1310和调度逻辑1幻2,其通常分配资源并且将对应于指令的操作排队以便运行。[0047]处理器核1300也能够包含具有运行单元集m6-l到m6_N的运行逻辑1314。一些实施例可包含专用于特定功能或功能集的多个运行单元。其它实施例可只包含一个运行单元或能够执行特定功能的一个运行单元。运行逻辑1314执行由代码指令指定的操作。[0048]在由代码指令指定的操作的运行完成后,后端逻辑131S能够引退retire代码1304的指令。在一个实施例中,处理器核1300允许乱序运行,但要求指令的有序引退。引退逻辑1320可采用多种已知的形式例如,重新排序缓冲器或诸如此类)。以这种方式,处理器核1300至少在由解码器生成的输出、由寄存器重命名逻辑1310利用的硬件寄存器和表格及由运行逻辑1314修改的任何寄存器未示出方面在代码1304的运行期间被变换。[0049]虽然图13中未图示,但处理器可包含在具有处理器核1300的芯片上的其它元件,其至少一些元件在本文中参照图10示出和描述。例如,如图10中所示,处理器可包含存储器控制逻辑及处理器核1300。处理器可包含IO控制逻辑和或可包含与存储器控制逻辑集成的IO控制逻辑。[0050]注意,通过本文中提供的示例,可根据两个、三个或更多网络元件来描述交互。然而,这仅为清楚和示例的目的而已经被做出。在某些情况中,通过仅引用有限数目的网络元件来描述流程的给定集合的功能性中的一个或更多功能性可以是更容易的。应领会,通信系统100和其教导是可易于可扩展的,并能够容纳大量组件,以及更难解的复杂的complicatedsophisticated布置和配置。相应地,所提供的不例不应限制范围或约束通信系统l〇〇a和100b的宽泛教导,如潜在应用于无数的其它架构。[0051]也重要的是,注意到前述流程图(例如,图3-10中的操作仅图示可由通信系统1〇〇或在通信系统100之内运行的可能相关场景和模式中的一些。这些操作中的一些操作可在适当的情况下被删除或移除,或这些操作可被相当大地修改或更改,而没有背离本公开的范围。另外,多个这些操作己被描述为与一个或更多附加的操作并发或并行运行。然而,这些操作的定时timing可被相当大地变更。前述操作流程已为了示例和讨论的目的而被提供。实质上的灵活性由通信系统1〇〇来提供,因为任何适合布置、年表chronology、配置和定时机制可被提供而没有背离本公开的教导。[0052]尽管本公开已参考具体布置和配置被详细描述,但这些示例配置和布置可被显著更改而没有背离本公开的范围。此外,某些组件可基于具体需要和实现而被组合、分离、消除或添加。另外,尽管通信系统1〇〇己参考促进通信进程的具体元件和操作被图示,但这些元件和操作可由实现通信系统100的所预期的功能性的任何适合架构、协议和或进程替换。[0053]许多其它更改、替代、变化、变更和修改可对本领域中的技术人员是确定的,以及预期本公开包含如落入所附权利要求的范围内的所有此类更改、替代、变化、变更和修改以便辅助美国专利和商标局USPTO,和另外帮助在该申请上所发布的任何专利的任何读者解释随附于此的权利要求,申请人希望表明,本申请人:(a未预期所附权利要求中的任何援引35U.S.C.122节的第6段,因为其存在于其提交日期,除非词“用于……的部件”或“用于……的步骤”在具体权利要求中被特定使用;以及b未预期通过说明书中的任何声明以未在所附权利要求中以其它方式被反映的任何方式来限制该公开。[0054]其它注释和示例示例C1是具有一个或更多指令的至少一种机器可读存储媒介,指令在由至少一个处理器运行时,促使该至少一个处理器:识别进程,其中该进程包含可运行代码;如果该进程具有已知信誉,则指派信誉到该进程;确定用于可运行代码的信誉;以及组合用于可运行代码的信誉和指派到该进程的信誉以创建用于该进程的新信誉。[0055]在示例C2中,示例C1的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:如果进程包含加载库代码,则确定加载库的信誉;以及组合加载库的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0056]在示例C3中,示例C1-C2任一项的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:如果进程与网络元件进行通信,则确定该网络元件的信誉;以及组合该网络元件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0057]在示例C4中,示例C1-C3任一项的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:如果进程解释内容文件,则确定该内容文件的信誉;以及组合该内容文件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0058]在示例C5中,示例C1-C4任一项的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:如果线程附接到进程,则确定该线程的信誉;以及组合该线程的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0059]在示例C6中,示例C1-C5任一项的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:确定包含进程的电子装置的信誉;以及组合该电子装置的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0060]在示例C7中,示例C1-C6任一项的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:确定电子装置的信誉已更改成新信誉;以及组合该电子装置的新信誉和用于该进程的第二新信誉以创建用于该进程的第三信誉。[0061]在示例C8中,示例C1-C7任一项的主题能够可选地包含一个或更多指令,指令在由该至少一个处理器运行时,还促使处理器:确定进程的行为的信誉;以及组合进程的行为的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0062]在示例A1中,电子装置能够包含进程信誉模块,其中进程信誉模块配置成:识别进程,其中该进程包含可运行代码;如果该进程具有已知信誉,则指派信誉到该进程;确定用于可运行代码的信誉;以及组合用于可运行代码的信誉和指派到该进程的信誉以创建用于该进程的新信誉。[0063]在示例A2中,示例A1的主题能够可选地包含进程信誉模块还配置成:如果进程包含加载库代码,则确定加载库的信誉;以及组合加载库的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0064]在示例A3中,示例A1-A2任一项的主题能够可选地包含进程信誉模块还配置成:如果进程与网络元件进行通信,则确定该网络元件的信誉;以及组合该网络元件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0065]在示例A4中,示例A1-A3任一项的主题能够可选地包含进程信誉模块还配置成:如果进程解释内容文件,则确定该内容文件的信誉;以及组合该内容文件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0066]在示例A5中,示例A1-A4任一项的主题能够可选地包含进程信誉模块还配置成:如果线程附接到进程,则确定该线程的信誉;以及组合该线程的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0067]在示例A6中,示例A1-A5任一项的主题能够可选地包含进程信誉模块还配置成:确定包含进程的电子装置的信誉;以及组合该电子装置的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0068]在示例A7中,示例A1-A6任一项的主题能够可选地包含进程信誉模块还配置成:确定电子装置的信誉己更改成新信誉;以及组合该电子装置的新信誉和用于该进程的第二新信誉以创建用于该进程的第三信誉。[0069]在示例A8中,示例A1-A7任一项的主题能够可选地包含进程信誉模块还配置成:确定进程的行为的信誉;以及组合进程的行为的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0070]示例Ml是一种方法,包含:识别进程,其中该进程包含可运行代码;如果该进程具有已知信誉,则指派信誉到该进程;确定用于可运行代码的信誉;以及组合用于可运行代码的信誉和指派到该进程的信誉以创建用于该进程的新信誉。[0071]在示例M2中,示例Ml的主题能够可选地包含:如果进程包含加载库代码,则确定加载库的信誉;以及组合加载库的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0072]在示例M3中,示例M1-M2任一项的主题能够可选地包含:如果进程与网络元件进行通信,则确定该网络元件的信誉;以及组合该网络元件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0073]在示例M4中,示例M1-M3任一项的主题能够可选地包含:如果进程解释内容文件,则确定该内容文件的信誉;以及组合该内容文件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0074]在示例M5中,示例M1-M4任一项的主题能够可选地包含:如果线程附接到进程,则确定该线程的信誉;以及组合该线程的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0075]在示例M6中,示例Ml-M5任一项的主题能够可选地包含:确定包含进程的电子装置的信誉;以及组合该电子装置的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0076]在示例M7中,示例M1-M6任一项的主题能够可选地包含:确定进程的行为的信誉;以及组合进程的行为的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0077]示例S1是用于确定进程的信誉的系统,系统包含进程信誉模块,其配置用于:识别进程,其中该进程包含可运行代码;如果该进程具有已知信誉,则指派信誉到该进程,确定用于可运行代码的信誉;以及组合用于可运行代码的信誉和指派到该进程的信誉以创建用于该进程的新信誉。[0078]在示例S2中,示例S1的主题能够可选地包含系统,该系统还配置用于:如果进程与网络元件进行通信,则确定该网络元件的信誉;以及组合该网络元件的信誉和用于该进程的新信誉以创建用于该进程的第二新信誉。[0079]示例XI是机器可读存储媒介,其包含如在示例A1-A8或M1-M7任一项中实现方法或实现设备的机器可读指令。示例Y1是包括用于执行示例方法M1-M7任一项的部件的设备。在示例Y2中,示例Y1的主题能够可选地包含用于执行方法的部件,包括处理器和存储器。在示例Y3中,示例Y2的主题能够可选地包含包括机器可读指令的存储器。

权利要求:1.至少一种计算机可读媒介,包括一个或更多指令,所述一个或更多指令在由至少一个处理器运行时促使所述处理器:识别进程,其中所述进程包含可运行代码;如果所述进程具有已知信誉,则指派信誉到所述进程;确定用于所述可运行代码的信誉;以及组合用于所述可运行代码的所述信誉和指派到所述进程的所述信誉以创建用于所述进程的新信誉。2.如权利要求1所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:如果所述进程包含加载库代码,则确定加载库的信誉;以及组合所述加载库的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。3.如权利要求1和2中的任何所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:如果所述进程与网络兀件进行通信,则确定所述网络元件的信誉;以及组合所述网络元件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。4.如权利要求1_3中的任何所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:如果所述进程解释内容文件,则确定所述内容文件的信誉;以及组合所述内容文件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新彳3誉。5.如权利要求1-4中的任何所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:如果线程附接到所述进程,则确定所述线程的信誉;以及组合所述线程的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。6.如权利要求I-5中的任何所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:确定包含所述进程的电子装置的信誉;以及组合所述电子装置的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。7.如权利要求I-6中的任何所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:确定所述电子装置的所述信誉已更改成新信誉;以及组合所述电子装置的所述新信誉和用于所述进程的所述第二新新信誉以创建用于所述进程的第三新信誉。8.如权利要求I-7中的任何所述的至少一种计算机可读媒介,还包括一个或更多指令,所述一个或更多指令在由所述至少一个处理器运行时还促使所述处理器:确定所述进程的行为的信誉;以及组合所述进程的所述行为的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。9.一种设备,包括:进程信誉模块,配置成:识别进程,其中所述进程包含可运行代码;如果所述进程具有已知信誉,则指派信誉到所述进程;确定用于所述可运行代码的信誉;以及组合用于所述可运行代码的所述信誉和指派到所述进程的所述信誉以创建用于所述进程的新信誉,其中所述新进程存储在所述设备的存储器区域中。10.如权利要求9所述的设备,其中所述进程信誉模块还配置成:如果所述进程包含加载库代码,则确定加载库的信誉;以及组合所述加载库的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。11.如权利要求9和10中的任何所述的设备,其中所述进程信誉模块还配置成:如果所述进程与网络元件进行通信,则确定所述网络元件的信誉;以及组合所述网络元件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。12.如权利要求9-11中的任何所述的设备,其中所述进程信誉模块还配置成:如果所述进程解释内容文件,则确定所述内容文件的信誉;以及组合所述内容文件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。13.如权利要求9-12中的任何所述的设备,其中所述进程信誉模块还配置成:如果线程附接到所述进程,则确定所述线程的信誉;以及组合所述线程的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。14.如权利要求9-13中的任何所述的设备,其中所述进程信誉模块还配置成:确定包含所述进程的电子装置的信誉;以及组合所述电子装置的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。15.如权利要求9-14中的任何所述的设备,其中所述进程信誉模块还配置成:确定所述电子装置的所述信誉已更改成新信誉;以及组合所述电子装置的所述新信誉和用于所述进程的所述第二新新信誉以创建用于所述进程的第三新信誉。16.如权利要求9-15中的任何所述的设备,其中所述进程信誉模块还配置成:确定所述进程的行为的信誉;以及组合所述进程的所述行为的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。17.—种方法,包括:识别进程,其中所述进程包含可运行代码;如果所述进程具有已知信誉,则指派信誉到所述进程;确定用于所述可运行代码的信誉;以及组合用于所述可运行代码的所述信誉和指派到所述进程的所述信誉以创建用于所述进程的新信誉。18.如权利要求17所述的方法,还包括:如果所述进程包含加载库代码,则确定加载库的信誉;以及组合所述加载库的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。19.如权利要求17和18中的任何所述的方法,还包括:如果所述进程与网络元件进行通信,则确定所述网络元件的信誉;以及组合所述网络元件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。20.如权利要求17-19中的任何所述的方法,还包括:如果所述进程解释内容文件,则确定所述内容文件的信誉;以及组合所述内容文件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。21.如权利要求17-20中的任何所述的方法,还包括:如果线程附接到所述进程,则确定所述线程的信誉;以及组合所述线程的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。22.如权利要求17-21中的任何所述的方法,还包括:确定包含所述进程的电子装置的信誉;以及组合所述电子装置的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。23.如权利要求17-22中的任何所述的方法,还包括:确定所述进程的行为的信誉;以及组合所述进程的所述行为的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。24.—种用于确定进程的信誉的系统,所述系统包括:进程信誉模块,配置用于:识别进程,其中所述进程包含可运行代码;如果所述进程具有已知信誉,则指派信誉到所述进程;确定用于所述可运行代码的信誉;以及组合用于所述可运行代码的所述信誉和指派到所述进程的所述信誉以创建用于所述进程的新信誉。25.如权利要求24所述的系统,其中所述系统还配置用于:如果所述进程与网络元件进行通信,则确定所述网络元件的信誉;以及组合所述网络元件的所述信誉和用于所述进程的所述新信誉以创建用于所述进程的第二新信誉。

百度查询: 迈克菲有限责任公司 确定用于进程的信誉

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。