用于识别恶意软件的异常检测的制作方法

相关申请的交叉引用

本申请要求于2015年6月27日提交的标题为“anomalydetectiontoidentifymalware”（用于识别恶意软件的异常检测）的美国非临时（发明）专利申请第14/752,893号的权益和优先权，其全部内容通过引用并入本文。

本公开一般涉及信息安全的领域，并且更具体地涉及用于识别恶意软件的异常检测。

背景技术：

网络安全的领域在当今社会中已经变得越来越重要。互联网已经实现了全世界的不同计算机网络的互联。特别而言，互联网提供了用于在经由各种类型的客户端设备连接到不同计算机网络的不同用户之间交换数据的介质。虽然互联网的使用转变了商业和个人通信，但它也被恶意运营商使用作为工具来获得未经授权地访问计算机和计算机网络以及有意或无意披露敏感信息。

感染主计算机的恶意的软件（“恶意软件”）可能能够执行任何数量的恶意行为，诸如从与主计算机相关联的商业或个人窃取敏感信息、传播到其他主计算机和/或协助分布式拒绝服务攻击、从主计算机发出垃圾邮件或恶意邮件等。因此，对于保护​​计算机和计算机网络免受恶意的软件和设备的恶意和无意的利用仍然保持重大的管理挑战。

附图说明

为了提供对本公开及其特征和优点的更完整的理解，对结合附图的以下描述进行参考，其中相似的附图标号表示相似的部件，其中：

图1a是根据本公开的实施例的用于识别恶意软件的异常检测的通信系统的简化框图；

图1b是根据本公开的实施例的用于识别恶意软件的异常检测的通信系统的一部分的简化框图；

图2是图示出根据一个实施例的可以与通信系统相关联的潜在操作的简化流程图；

图3是图示出根据一个实施例的可以与通信系统相关联的潜在操作的简化流程图；

图4是图示出根据一个实施例的以点对点配置进行布置的示例计算系统的框图；

图5是与本公开的示例性arm生态系统片上系统（soc）相关联的简化框图；和

图6是图示出根据一个实施例的示例处理器核心的框图。

附图中的图不一定按比例绘制，因为它们的尺寸可以显著变化而不偏离本公开的范围。

具体实施方式

示例实施例

图1a是根据本公开的实施例的用于识别恶意软件的异常检测的通信系统100a的简化框图。如图1a中所图示，通信系统100a可以包括电子设备102a-102d、云服务104和服务器106。一个或多个电子设备102a-102d可以各自包括存储器110、处理器112、异常值检测模块114、一个或多个进程116a-116c以及多个硬件118a和118b。异常值检测模块114可以包括元数据数据库120。一个或多个外围设备122a和122b可以连接到电子设备102a-102d中的一个或多个。云服务104和服务器106可以各自包括网络异常值检测模块124。网络异常值检测模块124可以包括元数据数据库120。电子设备102a-102d、云服务104和服务器106可以使用网络108来彼此通信。

图1b是根据本公开的实施例的用于识别恶意软件的异常检测的通信系统100b的简化框图。如图1b中所图示，通信系统100b可以包括电子设备102e-102g、云服务104和服务器106。电子设备102e-102g可以使用本地网络128来彼此通信。本地网络128可以包括电子设备102h。电子设备102h可以包括本地网络异常值检测模块130。本地网络异常值检测模块130可以包括元数据数据库120。本地网络128可以使用网络108来与云服务104和服务器106进行通信。

在示例实施例中，根据本公开的实施例，通信系统100a和100b可以被配置用于识别恶意软件的异常检测。异常值检测模块114、网络异常值检测模块124和本地网络异常值检测模块130可被配置为理解设备的行为并为网络上的每个设备评估设备信誉值。通信系统100a和100b还被配置为基于与应用或活动相关联的网络业务中的内容来识别可疑应用或活动。例如，通信系统100a和100b可以被配置为监视系统的活动，将所监视的活动与针对系统的元数据进行比较，并识别低流行性异常值以检测潜在的恶意对象。例如，异常值检测模块114可以被配置为理解进程116a-116c、硬件118a和118b以及外围设备122a和122b的行为并且通过辨别来自进程116a-116c、硬件118a和118b以及外围设备122a和122b的低流行性异常值或异常行为来识别可疑活动。而且，网络异常值检测模块124可以被配置为理解电子设备102a-102d的行为并且通过辨别来自电子设备102a-102d的低流行性异常值或异常行为来识别可疑活动。另外，本地网络异常值检测模块130可以被配置为理解电子设备102e-102g的行为并通过辨别来自电子设备102e-102g的低流行性异常值或异常行为来识别可疑活动。元数据数据库120可以包括针对系统中的每个对象的元数据，以促进理解系统上的对象的行为。在一个示例中，元数据数据库120可以包括在通信系统100a和100b中发现的每个异常值的流行性和年龄或者可能存在于通信系统100a和100b中的常见已知的异常值的常见异常值的流行性和年龄（如果可能的话）。

异常值检测模块114和网络异常值检测模块124可以使用元数据数据库120来确定低流行性异常值以及低流行性异常值何时可以指示来自设备、进程或对象的恶意活动。例如，异常值检测模块114和网络异常值检测模块124可以被配置为监视通信系统100a和100b中的对象（例如，电子设备102a-102g、进程116a-116c、硬件118a和118b、外围设备122a和122b等等）的活动，将所监视的活动与针对系统的元数据进行比较，并识别低流行性异常值以检测潜在的恶意活动。在一个示例中，所监视的活动可以包括对系统中的对象（例如，电子设备、进程、硬件、外围设备等）的元数据的分析以识别多态威胁。更具体地说，可以比较来自多个系统的对象元数据，以通过识别多态的指示符来促进多态威胁的识别，诸如文件名称重用、类似的指纹但其他方面相同的在对象上的不同散列等。多态对象与另一对象类似但在文件几何形状、文件密码散列等等方面只有轻微的区别，并且区别可以是关于在每个系统上如何呈现该对象的指示。所监视的活动还可以包括对系统的对象重用分析以检测重用来自另一对象的元数据的对象。例如，重用由流行对象所使用的诸如文件名之类元数据的低流行的对象但是在其他方面低流行的对象是非常不同的（例如，svchost.exe是被恶意应用重用的公共文件名）。低流行性异常值的年龄可以至少部分地被用来检测潜在恶意活动。在一个示例中，可以由异常值检测模块114和/或网络异常值检测模块124确定每个异常值的流行性和年龄，并且相对流行的、年轻的异常值可能是恶意活动的指示。

图1的元件可以通过一个或多个接口而彼此耦合，所述一个或多个接口采用为网络（例如网络108、本地网络128等）通信提供可行路径的任何合适的连接（有线或无线）。另外，图1的这些元件中的任何一个或多个可以基于特定的配置需要而被组合或从架构中移除。通信系统100a和100b可以包括能够用于传输或接收网络中的分组的传输控制协议/互联网协议（tcp/ip）通信的配置。通信系统100a和100b还可以在适当的情况下并且基于特定的需要而与用户数据报协议/ip（udp/ip）或任何其他合适的协议结合操作。

为了说明通信系统100a和100b的某些示例技术，理解可能穿越网络环境的通信是重要的。以下基础信息可以被视为可以从其中对本公开进行恰当解释的基础。

目前，恶意软件常常试图通过模仿预期在恶意软件正在运行的环境中找到的对象来隐藏自己。恶意软件可以模仿的对象可以是各种各样的元数据、文件名、进程名称、文件属性、注册表项等。这种技术常常对于向用户和管理员隐藏恶意软件而言工作出色。所需要的是一种能够利用被恶意软件所使用的模仿进程来检测和识别恶意软件的方法。

如图1a和图1b中概述的用于识别恶意软件的异常检测的通信系统可以解决这些问题（和其他问题）。通信系统100a和100b可以被配置为使用集中化数据存储（例如，元数据数据库120）来识别用于识别异常值的常见应用和进程的元数据。检测算法可以与集中化数据存储（例如，元数据数据库120）一起工作，以找到环境中高度流行的统一对象，并寻找低流行性异常值以识别潜在的恶意对象。该进程类似于人类研究人员在查看系统上的不寻常行为时将经历的进程，并且可以允许通信系统100a和100b在研究人员和管理员无法实现的规模上自动化这种类型的逻辑。

使用集中化数据存储（例如，元数据数据库120）来识别元数据异常值，异常值检测模块114和本地网络异常值检测模块130可以识别通信系统100a和100b中的高度流行的统一对象，并寻找低流行性异常值以识别潜在的恶意对象。通信系统100a和100b或通信系统100a和100b的一部分的分析可以是寻找针对对象的异常值的调度进程，其是高度流行的并且如果有任何异常值的话则在历史上有很少。（例如，msiexec总是被签名，并且在最后的分析期间出现了未被签名的msiexec的一个唯一实例，这可能指示恶意活动）。对此的扩展是在上下文中查看新异常值的超集，例如，如果单个系统在上次分析期间具有vse或hip威胁事件，并且异常值检测模块114识别了17个非常不寻常的异常值，那么系统非常可能正在经历恶意活动。分析也可以是按需的，诸如对来自电子设备的查询的响应。查询可以是对设备或网络上的潜在恶意行为进行响应，并且查询可以被用来验证通信系统100a和100b中潜在的恶意或寻常行为的位置。例如，如果网络异常值检测模块124检测到来自本地网络的不寻常量的异常值活动，则本地网络异常值检测模块130可以能够追踪不寻常高的异常值活动至电子设备102e。电子设备102e可以包括异常值检测模块114，并且可以将不寻常高的异常值活动的源追踪至进程、外围设备或硬件。

异常值检测模块114和本地网络异常值检测模块130的分析可以是多态的，其中，在环境中的二进制的每个其他实例被有效地签名。分析也可能是寻找对象重用，其中，自动运行注册表项是与环境中的其他表项不匹配的唯一值。例如，针对自动运行注册表项的目标文件由adobe签名，且正被讨论的目标二进制文件是唯一的且未经签名的。分析还可以包括文件名。例如，常用文件（例如，msiexec.exe）位于唯一的位置，并且具有唯一的二进制属性（例如打包/解包，32/64位等）。在一个示例中，逻辑的组合可以由异常值检测模块114和本地网络异常值检测模块130来完成。一些属性旨在是动态的而不是普遍存在的（例如，文件版本信息），并且另外相同的二进制从本机win32更改为.net文件结构是不太可能的。在一个示例中，逻辑引擎可以被配置为不同地对元数据中的改变进行加权。

在一个实施例中，网络异常值检测模块124和本地网络异常值检测模块130可以被配置为被动地监听网络业务并监视去往和来自每个电子设备的网络业务。在一个示例中，网络中的一个或多个电子设备（例如电子设备102a-102d）可以各自包括异常值检测模块114以监视网络业务并且基于去往和来自每个电子设备的网络业务来提供警报。在另一个示例中，除了提供信息警报之外，中央网络网关设备（例如，电子设备102h）还可以使用本地网络异常值检测模块130来监视业务并且自动地对可疑行为采取行动。

转向图1a和图1b的基础设施，示出了根据示例实施例的通信系统100a和100b。通常，通信系统100a和100b可以以任何类型或拓扑的网络来实现。网络108表示用于接收和发射通过通信系统100a和100b传播的信息分组的互连通信路径的一系列点或节点。网络108提供节点之间的通信接口，并且可以被配置为任何局域网（lan）、虚拟局域网（vlan）、广域网（wan）、无线局域网（wlan）、城域网（man）、内联网、外联网、虚拟专用网络（vpn）以及在网络环境中促进通信的任何其他适当的架构或系统，或者它们的任何合适的组合——包括有线和/或无线通信。本地网络128表示用于接收和发射通过电子设备102e-102g传播的信息分组的互连通信路径的一系列点或节点。本地网络128提供节点之间的通信接口，并且可以被配置为任何局域网（lan）、虚拟局域网（vlan）以及在网络环境中促进通信的任何其他适当的架构或系统，或者它们的任何合适的组合——包括有线和/或无线通信。

在通信系统100a和100b中，可以根据任何合适的通信消息传送协议来发送和接收包括分组、帧、信号、数据等的网络业务。合适的通信消息传送协议可以包括多层方案，诸如开放系统互连（osi）模型或其任何衍生或变体（例如，传输控制协议/互联网协议（tcp/ip），用户数据报协议/ip（udp/ip））。另外，也可以在通信系统100a和100b中提供通过蜂窝网络的无线电信号通信。可以提供合适的接口和基础设施以实现与蜂窝网络的通信。

如本文所使用的术语“分组”是指可以在分组交换网络上的源节点和目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。这些网络地址可以是tcp/ip消息传送协议中的互联网协议（ip）地址。如本文所使用的术语“数据”是指任何类型的二进制、数字、语音、视频、文本或脚本数据，或者任何类型的源或目标代码，或者是以一种可以在电子设备和/或网络中从一点传达到另一点的任何适当的格式的任何其他合适的信息。另外，消息、请求、响应和查询是网络业务的形式，并且因此可以包括分组、帧、信号、数据等。

在示例实现中，电子设备102a-102h、云服务104和服务器106是网络元件，其意欲涵盖网络设施、服务器、路由器、交换机、网关、桥接器、负载平衡器、处理器、模块、或者可操作来在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。网络元件可以包括促进其操作的任何合适的硬件、软件、组件、模块或对象，以及用于在网络环境中接收、发射和/或以其它方式传达数据或信息的合适的接口。这可以包括允许有效交换数据或信息的适当的算法和通信协议。

关于与通信系统100a和100b相关联的内部结构，电子设备102a-102h、云服务104和服务器106中的每一个都可以包括用于存储要在本文中所概述的操作中使用的信息的存储器元件。电子设备102a-102h、云服务104和服务器106中的每一个可以将信息保存在任何合适的存储器元件（例如，随机存取存储器（ram）、只读存储器（rom）、可擦除可编程rom（eprom）、电可擦除可编程rom（eeprom）、专用集成电路（asic）等）、软件、硬件、固件中或者在适当的情况下并且基于特定需要保存在任何其它合适的组件、设备、元件或对象中。本文所讨论的任何存储器项目都应该被解释为涵盖在广义术语“存储器元件”内。此外，在通信系统100a和100b中使用、跟踪、发送或接收的信息可以被提供在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中，所有这些都可以在任何合适的时间帧处被引用。任何这样的存储选项也可以被包括在如本文所使用的广义术语“存储器元件”内。

在某些示例实现中，本文所概述的功能可以由编码在一个或多个有形介质中的逻辑来实现（例如，由处理器或其他类似的机器等执行的软件（潜在地包括目标代码和源代码）、在asic中提供的嵌入式逻辑、数字信号处理器（dsp）指令），其可以包括非暂时性计算机可读介质。在这些实例中的一些实例中，存储器元件可以存储用于在本文中所描述的操作的数据。这包括能够存储被执行以实现本文中所描述的活动的软件、逻辑、代码或处理器指令的存储器元件。

在示例实现中，通信系统100a和100b的网络元件，诸如电子设备102a-102h、云服务104和服务器106，可以包括软件模块（例如异常值检测模块114和网络异常值检测模块124）以实现或促进如本文所概述的操作。这些模块可以以任何适当的方式合适地组合，这可以基于特定的配置和/或供应需求。在示例实施例中，这样的操作可以由硬件执行、被实现在这些元件的外部、或者被包括在某个其他网络设备中以实现预期的功能。此外，模块可以被实现为软件、硬件、固件或其任何合适的组合。这些元件还可以包括可以与其他网络元件协调以便实现操作的软件（或往复式软件），正如在本文中所概述的。

另外，电子设备102a-102h、云服务104和服务器106中的每一个可以包括能够执行软件或算法以执行如本文所讨论的活动的处理器。处理器可以执行与数据相关联的任何类型的指令以实现本文详述的操作。在一个示例中，处理器可以将元件或物品（例如，数据）从一个状态或事物转换为另一个状态或事物。在另一个示例中，可以用固定逻辑或可编程逻辑（例如，由处理器执行的软件/计算机指令）来实现本文所概述的活动，并且本文所标识的元件可以是某种类型的可编程处理器、可编程数字逻辑（例如现场可编程门阵列（fpga）、eprom、eeprom）或包括数字逻辑、软件、代码、电子指令或其任何合适组合的asic。本文所描述的任何潜在的处理元件、模块和机器都应该被解释为被涵盖在广义术语“处理器”内。

电子设备102a-102h每一个都可以是网络元件，并且包括例如台式计算机、膝上型计算机、移动设备、个人数字助理、智能电话、平板电脑或其他类似设备。云服务104被配置为向电子设备102a-h提供云服务。云服务104通常可以被定义为对作为服务通过诸如互联网的网络递送的计算资源的使用。通常，计算、储存和网络资源在云基础设施中被提供，有效地将工作负载从本地网络转移到云网络。服务器106可以是诸如服务器或虚拟服务器之类的网络元件，并且可以与希望经由某个网络（例如，网络108）在通信系统100a和100b中发起通信的客户端、顾客、端点或最终用户相关联。术语“服务器”包括用于服务客户端的请求和/或代表通信系统100a和100b内的客户端执行一些计算任务的设备。尽管异常值检测模块114在图1a中被表示为位于电子设备102aa中，但这仅用于说明的目的。异常值检测模块114可以以任何合适的配置来进行组合或分离。另外，尽管本地网络异常值检测模块130在图1b中被表示为位于电子设备102h中，但是这仅用于说明的目的。本地网络异常值检测模块130可以以任何合适的配置来进行组合或分离。此外，异常值检测模块114和本地网络异常值检测模块130可以各自与诸如云服务104或服务器106的电子设备102a-f可访问的另一网络集成或分布在该另一网络中。

转到图2，图2是图示出根据实施例的可以与用于识别恶意软件的异常检测相关联的流程200的可能操作的示例流程图。在一个实施例中，流程200的一个或多个操作可以由异常值检测模块114、本地网络异常值检测模块130和网络异常值检测模块124执行。在202处，设备连接到网络。在204处，系统确定针对设备的元数据是否在网络之外可用。例如，系统可以确定针对设备的流行性、年龄和其他元数据在网络之外是否可用。如果针对设备的元数据在网络之外不可用，那么系统确定类似类型的设备是否连接到网络，如在208中。如果针对设备的元数据在网络之外可用，那么从网络之外获取针对设备的元数据，如在206中。在208处，系统确定是否类似类型的设备连接到网络。

如果类似类型的设备没有连接到网络，那么在网络上观察设备的激活，如在212中。如果类似类型的设备连接到网络，那么将类似类型的设备的元数据添加到针对设备的元数据。在212处，在网络上观察设备的激活。

在214处，创建来自设备的元数据。在216处，系统确定是否需要改变针对该设备创建的元数据。如果需要改变针对该设备创建的元数据，那么按照需要改变针对设备的元数据，如在218中。如果不需要改变针对该设备创建的元数据，那么流程结束，并且不改变针对设备的元数据。

转到图3，图3是图示出根据实施例的可以与用于识别恶意软件的异常检测相关联的流程300的可能操作的示例流程图。在一个实施例中，流程300的一个或多个操作可以由异常值检测模块114、本地网络异常值检测模块130和网络异常值检测模块124执行。在302处，确定针对系统的元数据。在304处，监视系统的活动。在306处，系统确定系统的活动是否在为系统所确定的元数据内。如果系统的活动在为系统所确定的元数据内（例如，没有异常值），那么继续监视系统的活动，如在304中。如果系统的活动不在为系统所确定的元数据内（例如，异常值存在），那么采取补救行动，如在306中。例如，补救行动可以是针对恶意软件而扫描系统，或追踪关于系统的活动为何不在为系统所确定的元数据中的缘由或原因。

图4图示出了根据一个实施例的以点对点（ptp）配置布置的计算系统400。具体而言，图4示出了其中处理器、存储器和输入/输出设备通过多个点对点接口互连的系统。通常，通信系统10的一个或多个网络元件可以以与计算系统400相同或类似的方式来配置。

如图4中所图示，系统400可以包括若干处理器，为了清楚起见仅示出了其中的两个处理器470和480。尽管示出了两个处理器470和480，但是应当理解，系统400的实施例也可以仅包括一个这样的处理器。处理器470和480可以各自包括用于执行程序的多个线程的一组核心（即，处理器核心474a和474b以及处理器核心484a和484b）。这些核心可以被配置为以类似于以上参考图1-图3所讨论的方式来执行指令代码。每个处理器470、480可以包括至少一个共享高速缓存471、481。共享高速缓存471、481可以存储由处理器470、480的一个或多个组件诸如处理器核心474和484所利用的数据（例如，指令）。

处理器470和480还可以各自包括与存储器元件432和434通信的集成存储器控制器逻辑（mc）472和482。存储器元件432和/或434可以存储由处理器470和480使用的各种数据。在替代实施例中，存储器控制器逻辑472和482可以是与处理器470和480分离的离散逻辑。

处理器470和480可以是任何类型的处理器，并且可以分别地使用点对点接口电路478和488经由点对点（ptp）接口450来交换数据。处理器470和480可以各自使用点对点接口电路476、486、494和498经由个体点对点接口452和454来与芯片组490交换数据。芯片组490也可以使用可以是ptp接口电路的接口电路492经由高性能图形接口439来与高性能图形电路438交换数据。在替代实施例中，图4中所图示的任何或全部ptp链路可以被实现为多点分支总线而不是ptp链路。

芯片组490可以经由接口电路496来与总线420通信。总线420可以具有通过其进行通信的一个或多个设备，诸如总线桥接器418和i/o设备416。经由总线410，总线桥接器418可以与诸如键盘/鼠标412（或其他输入设备，诸如触摸屏、轨迹球等）、通信设备426（诸如调制解调器、网络接口设备或可以通过计算机网络460通信的其他类型的通信设备）、音频i/o设备414和/或数据储存设备428之类的其他设备进行通信。数据储存设备428可以存储可以由处理器470和/或480执行的代码430。在替代实施例中，总线架构的任何部分可以用一个或多个ptp链路来实现。

图4中描绘的计算机系统是可以被利用来实现本文所讨论的各种实施例的计算系统的实施例的示意图示。应该理解，图4中描绘的系统的各种组件可以被组合在片上系统（soc）架构中或在任何其他合适的配置中。例如，本文所公开的实施例可以被并入到包括诸如智能蜂窝电话、平板电脑、个人数字助理、便携式游戏设备等的移动设备的系统中。应该理解，在至少一些实施例中这些移动设备可以被提供有soc架构。

转向图5，图5是与本公开的示例arm生态系统soc500相关联的简化框图。本公开的至少一个示例实现可以包括本文所讨论的异常检测特征和arm组件。例如，图5的示例可以与任何arm核心（例如，a-7，a-15等等）相关联。此外，架构可以是任何类型的平板电脑、智能手机（包括android^tm电话，iphones^tm）、ipad^tm、googlenexus^tm、microsoftsurface^tm、个人计算机、服务器、视频处理组件、膝上型计算机（包括任何类型的笔记本）、ultrabook^tm系统、任何类型的触摸使能输入设备等等的部分。

在图5的这个示例中，arm生态系统soc500可以包括多个核心506-507、l2高速缓存控制508、总线接口单元509、l2高速缓存510、图形处理单元（gpu）515、互连502、视频编解码器520和液晶显示器（lcd）i/f525，其可以与耦合到lcd的移动工业处理器接口（mipi）/高分辨率多媒体接口（hdmi）链路相关联。

arm生态系统soc500还可以包括订户身份模块（sim）i/f530、引导只读存储器（rom）535、同步动态随机存取存储器（sdram）控制器540、闪存控制器545、串行外围接口（spi）主机550、合适的功率控制555、动态ram（dram）560以及闪存565等。另外，一个或多个示例实施例包括一个或多个通信能力、接口和特征，诸如bluetooth^tm570、3g调制解调器575、全球定位系统（gps）580和802.11wi-fi585的实例。

在操作中，图5的示例可以提供处理能力连同相对低的功耗以实现各种类型的计算（例如，移动计算、高端数字家庭、服务器、无线基础设施等）。另外，这样的架构可以实现任意数量的软件应用（例如，android^tm、adobe^®flash^®player、java平台标准版（javase）、javafx、linux、microsoftwindowsembedded、symbian和ubuntu等）。在至少一个示例实施例中，核心处理器可以实现具有耦合的低等待时间二级高速缓存的无序超标量流水线。

图6图示出了根据一个实施例的处理器核心600。处理器核心600可以是用于任何类型的处理器的核心，所述任何类型的处理器诸如微处理器、嵌入式处理器、数字信号处理器（dsp）、网络处理器或者用于执行代码的其他设备。虽然在图6中仅图示出了一个处理器核心600，但是处理器可以替代地包括多于一个的图6中所图示出的处理器核心600。例如，处理器核心600代表参照图4的处理器470和480来示出和描述的处理器核心474a、474b、484a、484b的一个示例实施例。处理器核心600可以是单线程核心，或者对于至少一个实施例，处理器核心600可以是多线程的，因为它可以每个核心包括多于一个的硬件线程上下文（或“逻辑处理器”）。

图6还图示出了根据一个实施例的耦合到处理器核心600的存储器602。存储器602可以是本领域技术人员已知的或以其他方式可用的各种各样的存储器（包括存储器层级的各种层）中的任何存储器。存储器602可以包括要由处理器核心600执行的代码604，其可以是一个或多个指令。处理器核心600可以遵循由代码604所指示的指令的程序序列。每个指令进入前端逻辑606并且被一个或多个解码器608处理。解码器可以以预定义的格式作为其输出生成诸如固定宽度微操作之类的微操作，或者可以生成反映原始代码指令的其他指令、微指令或控制信号。前端逻辑606还包括寄存器重命名逻辑610和调度逻辑612，其通常分配资源并对与用于执行的指令相对应的操作进行排队。

处理器核心600还可以包括具有一组执行单元616-1至616-n的执行逻辑614。一些实施例可以包括专用于特定功能或功能集合的多个执行单元。其他实施例可以包括仅一个执行单元或者可以执行特定功能的一个执行单元。执行逻辑614执行由代码指令指定的操作。

在完成由代码指令指定的操作的执行之后，后端逻辑618可以撤退代码604的指令。在一个实施例中，处理器核心600允许无序执行，但是要求指令的有序撤退。撤退逻辑620可以采取各种已知的形式（例如，重新排序缓冲器等）。以这种方式，处理器核心600在代码604的执行期间至少在由解码器所生成的输出、由寄存器重命名逻辑610所利用的硬件寄存器和表以及由执行逻辑614所修改的任何寄存器（未示出）方面而被转换。

尽管在图6中未被图示出，但是处理器可以包括与处理器核心600一起的芯片上的其他元件，其中的至少一些元件在本文中参照图6被示出和描述。例如，如图6中所示，处理器可以包括存储器控制逻辑连同处理器核心600。处理器可以包括i/o控制逻辑和/或可以包括与存储器控制逻辑集成的i/o控制逻辑。

注意，对于本文所提供的示例，交互可以在两个、三个或更多网络元件方面来描述。但是，仅仅是为了清楚和示例的目的而这样做。在某些情况下，通过仅引用有限数量的网络元件来描述给定流程集合的一个或多个功能性可能更容易。应该理解，通信系统100a和100b及其教导是容易扩展的，并且可以容纳大量的组件以及更复杂/繁杂的布置和配置。因此，所提供的示例不应限制通信系统100a和100b的范围或者禁止通信系统100a和100b的广泛教导，因为通信系统100a和100b潜在地被应用于无数的其他架构。

也很重要的是要注意：前面的流程图（即，图2和图3）中的操作仅仅图示出了可以由通信系统100a和100b执行或在通信系统100a和100b内执行的一些可能相关的场景和模式。在适当的情况下，可以删除或移除这些操作中的一些操作，或者可以在不脱离本公开的范围的情况下对这些操作进行相当大的修改或改变。另外，已经将这些操作中的多个描述为与一个或多个附加操作同时或并行地执行。但是，可以对这些操作的定时进行相当大地改变。为了示例和讨论的目的提供了前面的操作流程。通信系统100a和100b提供了大量的灵活性，因为在不脱离本公开的教导的情况下可以提供任何合适的布置、时间顺序、配置和定时机制。

虽然已经参考特定的布置和配置详细描述了本公开，但是在不脱离本公开的范围的情况下，可以显著地改变这些示例配置和布置。此外，基于特定的需求和实现，可以对某些组件进行组合、分离、消除或添加。另外，虽然已经参考促进通信进程的特​​定元件和操作图示出了通信系统100a和100b，但是这些元件和操作可以被实现通信系统100a和100b的预期功能性的任何合适的架构、协议和/或进程来代替。

本领域技术人员可以确定许多其他改变、替换、变化、变更和修改，并且本公开旨在涵盖落入所附权利要求书的范围内的所有这些改变、替换、变化、更改和修改。为了协助美国专利商标局（uspto）以及另外协助在本申请所发布的任何专利的任何读者解释所附权利要求，申请人希望注意到，申请人：（a）不打算任何所附权利要求援引美国法典第35标题第112节的第六(6)段，因为在此它存在于申请日，除非单词“用于…的装置”或“用于…的步骤”在特定权利要求中专门使用；以及（b）不打算通过本说明书的任何陈述以另外没有在所附权利要求中反映的任何方式而对本公开进行限制。

其他注释和示例

示例c1是具有一个或多个指令的至少一个机器可读介质，所述指令在由至少一个处理器执行时使所述至少一个处理器：监视系统中的对象的活动，将所监视的活动与系统的元数据进行比较、并识别低流行性异常值以检测潜在的恶意活动。

在示例c2中，示例c1的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统中的所述对象的元数据的分析以识别多态威胁。

在示例c3中，示例c1-c2中的任何一个的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统的对象重用分析以检测重用来自另一对象的元数据的对象。

在示例c4中，示例c1-c3中的任何一个的主题可以可选地包括：其中所述低流行性异常值的年龄至少部分地被用来检测所述潜在的恶意活动。

在示例c5中，示例c1-c4中的任何一个的主题可以可选地包括：其中所监视的活动包括对所述系统的文件名分析。

在示例c6中，示例c1-c5中的任何一个的主题可以可选地包括：其中所述潜在的恶意活动与对象相关联并且针对恶意软件而对所述对象进行扫描。

在示例c7中，示例c1-c6中的任何一个的主题可以可选地包括：其中从所述系统上所监视的先前活动创建针对所述系统的所述元数据。

在示例c8中，示例c1-c7中的任何一个的主题可以可选地包括：其中针对所述系统的所述元数据至少部分地基于针对类似系统的其他元数据。

在示例a1中，电子设备可以包括异常值检测模块，其中所述异常值检测模块被配置为监视系统中的对象的活动，将所监视的活动与针对所述系统的元数据进行比较，并且识别低流行性异常值以检测潜在的恶意活动。

在示例a2中，示例a1的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统中的所述对象的元数据的分析以识别多态威胁。

在示例a3中，示例a1-a2中的任何一个的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统的对象重用分析以检测重用来自另一对象的元数据的对象。

在示例a4中，示例a1-a3中的任何一个的主题可以可选地包括：其中所述低流行性异常值的年龄至少部分地被用来检测所述恶意活动。

在示例a5中，示例a1-a4中的任何一个的主题可以可选地包括，其中所监视的活动包括对所述系统的文件名分析。

在示例a6中，示例a1-a5中的任何一个的主题可以可选地包括：其中所述潜在的恶意活动与对象相关联并且针对恶意软件而对所述对象进行扫描。

在示例a7中，示例a1-a6中的任何一个的主题可以可选地包括：其中从所述系统上所监视的先前活动创建针对所述系统的所述元数据。

在示例a8中，示例a1-a7中的任何一个的主题可以可选地包括：其中针对所述系统的所述元数据至少部分地基于针对类似系统的其他元数据。

示例m1是一种方法，包括：监视系统中的对象的活动，将所监视的活动与针对所述系统的元数据进行比较，以及识别低流行性异常值以检测潜在的恶意活动。

在示例m2中，示例m1的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统上的所述对象的元数据的分析以识别多态威胁。

在示例m3中，示例m1-m2中的任何一个的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统的对象重用分析以检测重用来自另一对象的元数据的对象。

在示例m4中，示例m1-m3中的任何一个的主题可以可选地包括：其中所述低流行性异常值的年龄至少部分地被用来检测所述潜在的恶意活动。

在示例m5中，示例m1-m4中的任何一个的主题可以可选地包括：其中所监视的活动包括对所述系统的文件名分析。

在示例m6中，示例m1-m5中的任何一个的主题可以可选地包括将所述潜在的恶意活动与对象相关联，并针对恶意软件而对所述潜在的恶意对象进行扫描。

在示例m7中，示例m1-m6中的任何一个的主题可以可选地包括：其中从所述系统上所监视的先前活动创建针对所述系统的所述元数据。

示例s1是​​用于识别恶意软件的异常检测的系统，该系统包括异常值检测模块，所述异常值检测模块被配置为监视系统中的对象的活动、将所监视的活动与针对所述系统的元数据进行比较、以及识别低流行性异常值以检测潜在的恶意活动。

在示例s2中，示例s1的主题可以可选地包括：其中将所监视的活动与针对所述系统的元数据进行比较包括对所述系统中的所述对象的元数据的分析以识别多态威胁、对所述系统的对象重用分析以检测重用来自另一对象的元数据的对象、和对系统的文件名分析。

示例x1是机器可读存储介质，其包括机器可读指令以如同示例a1-a8或m1-m7中任一示例执行一种方法或实现一种装置。示例y1是包括用于执行示例方法m1-m7中的任何一个的装置的设备。在示例y2中，示例y1的主题可以可选地包括包含处理器和存储器的用于执行方法的装置。在示例y3中，示例y2的主题可以可选地包括包含机器可读指令的存储器。