(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107683478A(43)申请公布日2018.02.09(21)申请号201680024044.5(74)专利代理机构中国专利代理(香港)有限公司720(22)申请日2016.02.0201代理人王洪斌郑冀之(30)优先权数据62/1211292015.02.26US(51)Int.Cl.14/7519352015.06.26USG06F21/55(2013.01)G06F17/30(2006.01)(85)PCT国际申请进入国家阶段日G06F21/56(2013.01)2017.10.25(86)PCT国际申请的申请数据PCT/US2016/0160302016.02.02(87)PCT国际申请的公布数据WO2016/137674EN2016.09.01(71)申请人迈克菲有限责任公司地址美国德克萨斯州(72)发明人C.阿尔默S.哈恩S.芬克权利要求书2页说明书14页附图11页(54)发明名称缓解恶意软件的系统和方法(57)摘要本文所描述的特定实施例提供了一种电子设备，所述电子设备可以被配置成接收脚本数据，确定针对脚本数据的校验和树，将校验和树的每一个校验和与一个或多个子树校验和比较，以及向脚本数据分配一个或多个分类。在一个示例中，校验和树是抽象语法树。CN107683478ACN107683478A权利要求书1/2页1.至少一个机器可读存储介质，包括一个或多个指令，所述一个或多个指令在由处理器执行时，使得机器可读介质：接收脚本数据；确定针对脚本数据的校验和树；将校验和树的每一个校验和与一个或多个子树校验和比较；以及向脚本数据分配一个或多个分类。2.权利要求1所述的至少一个机器可读介质，其中在抽象语法树上计算校验和树。3.权利要求1和2中的任一项所述的至少一个机器可读介质，其中子树校验和中的每一个校验和是普遍的恶意软件或良性的校验和。4.权利要求1-3中的任一项所述的至少一个机器可读介质，其中分类是基于与子树校验和中的校验和匹配的校验和树的子树。5.权利要求1-4中的任一项所述的至少一个机器可读介质，其中向分类分配百分比。6.权利要求1-5中的任一项所述的至少一个机器可读介质，其中校验和树的一个或多个校验和是模糊校验和。7.权利要求1-6中的任一项所述的至少一个机器可读介质，还包括一个或多个指令，所述一个或多个指令在由所述至少一个处理器执行时，使得机器可读介质：将校验和树串行化为特征向量。8.权利要求1-7中的任一项所述的至少一个机器可读介质，还包括一个或多个指令，所述一个或多个指令在由所述至少一个处理器执行时，使得机器可读介质：将特征向量传送至网络元件以用于进一步分析。9.一种装置，包括：树生成模块，其被配置成：接收脚本数据；确定针对脚本数据的校验和树；以及检测模块，其被配置成：将校验和树的每一个校验和与一个或多个子树校验和比较；并且向脚本数据分配一个或多个分类。10.权利要求9所述的装置，其中在抽象语法树上计算校验和树。11.权利要求9和10中的任一项所述的装置，其中子树校验和中的每一个校验和是普遍的恶意软件或良性的校验和。12.权利要求9-11中的任一项所述的装置，其中分类是基于与子树校验和中的校验和匹配的校验和树的子树。13.权利要求9-12中的任一项所述的装置，其中向分类分配百分比。14.权利要求9-13中的任一项所述的装置，其中校验和树的一个或多个校验和是模糊校验和。15.权利要求9-14中的任一项所述的装置，其中检测模块还被配置成：将校验和树串行化为特征向量。16.权利要求9-15中的任一项所述的装置，其中检测模块还被配置成：将特征向量传送至网络元件以用于进一步分析。2CN107683478A权利要求书2/2页17.一种方法，包括：接收脚本数据；确定针对脚本数据的校验和树；将校验和树的每一个校验和与一个或多个子树校验和比较；以及向脚本数据分配一个或多个分类。18.权利要求17所述的方法，其中在抽象语法树上计算校验和树。19.权利要求17和18中的任一项所述的方法，其中子树校验和中的每一个校验和是普遍的恶意软件或良性的校验和。20.权利要求17-19中的任一项所述的方法，其中分类是基于与子树校验和中的校验和匹配的校验和树的子树。21.权利要求17-20中的任一项所述的方法，其中向分类分配百分比。22.权利要求17-21中的任一项所述的方法，其中校验和树的一个或多个校验和是模糊校验和。23.权利要求17-22中的任一项所述的方法，还包括：将校验和树串行化为特征向量；以及将特征向量传送至网络元件以用于进一步分析。24.一种用于缓解恶意软件的系统，所述系统包括：树生成模块，其被配置成：接收脚本数据；确定针对脚本数据的校验和树；以及检测模块，