針對惡意軟件檢測的動態(tài)隔離的制作方法
【技術領域】
[0001]本發(fā)明的實施例一般涉及計算機安全和惡意軟件防護,更具體地涉及針對惡意軟件檢測的動態(tài)隔離。
【背景技術】
[0002]計算機以及其它電子設備上感染惡意軟件是非常煩人并且難以檢測和修復的。反惡意軟件方案可能需要將惡意代碼或文件的簽名與已評估軟件進行匹配,來確定該軟件對于計算系統(tǒng)是有害的。惡意軟件可以通過使用多態(tài)程序或可執(zhí)行文件來偽裝自身,其中惡意軟件改變自身以避免被反惡意軟件方案檢測到。在這種情況下,反惡意軟件方案可能在零日攻擊中不能檢測到新的或變形的惡意軟件。惡意軟件可以包括但不限于間諜軟件、隱匿技術、密碼竊取程序、垃圾郵件、釣魚攻擊源、拒絕服務攻擊源、病毒、記錄器、木馬、廣告軟件、或任意其它產(chǎn)生不希望活動的數(shù)字內(nèi)容。
【附圖說明】
[0003]為了更全面理解本發(fā)明的實施例及其特征和優(yōu)點,現(xiàn)在結合附圖參考以下描述,在附圖中:
[0004]圖1是用于針對惡意軟件檢測的動態(tài)隔離的示例性系統(tǒng)的圖示;
[0005]圖2是示例性信譽服務器的配置和操作的圖示;
[0006]圖3是用于針對惡意軟件檢測的動態(tài)隔離的系統(tǒng)的示例性操作的圖示;
[0007]圖4是基于被配置為執(zhí)行或掃描電子設備的監(jiān)視器的系統(tǒng)的示例性實施例的圖示;
[0008]圖5是用于針對惡意軟件檢測的動態(tài)隔離的方法的示例性實施例的圖示;
[0009]圖6是用于分析數(shù)據(jù)的方法的示例性實施例的圖示;以及
[0010]圖7是用于比較惡意軟件的量化可能性的方法的示例性實施例的圖示。
【具體實施方式】
[0011]圖1是用于針對惡意軟件檢測的動態(tài)隔離的示例性系統(tǒng)100的圖示。系統(tǒng)100可以配置為執(zhí)行監(jiān)視器102以評估通過動態(tài)隔離的惡意軟件的諸如數(shù)據(jù)112的信息。在一個實施例中,數(shù)據(jù)112可以駐留在監(jiān)視器102配置為掃描惡意軟件的電子設備上。在另一實施例中,監(jiān)視器102可以配置為攔截或接收數(shù)據(jù)112。監(jiān)視器102可以配置為評估數(shù)據(jù)112的惡意軟件狀態(tài)或信譽,將數(shù)據(jù)112放置進隔離區(qū)106,并在時延后重新評估數(shù)據(jù)112的惡意軟件狀態(tài)或信譽。在一個實施例中,監(jiān)視器102可以被配置為將數(shù)據(jù)112放置進隔離區(qū)106,并且如果原始評估確定數(shù)據(jù)112的惡意軟件狀態(tài)未知或不能充分確定則重新評估數(shù)據(jù)112。在重新評估數(shù)據(jù)112期間,監(jiān)視器102可以配置為確定數(shù)據(jù)112的惡意軟件狀態(tài)現(xiàn)在是否是已知的,或者已經(jīng)改變,并且基于重新評估的結果而允許或阻擋數(shù)據(jù)112。此外,監(jiān)視器102可以被配置為在數(shù)據(jù)112的惡意軟件狀態(tài)繼續(xù)為未知的或未被充分確定時繼續(xù)重復重新評估過程。
[0012]監(jiān)視器102可以被配置為在系統(tǒng)100的任意適當部分上執(zhí)行。監(jiān)視器102可以被配置為例如在服務器、計算機、節(jié)點、網(wǎng)關、路由器、發(fā)送器或接收器上執(zhí)行。在一個實施例中,監(jiān)視器102可以在諸如網(wǎng)絡網(wǎng)關104的網(wǎng)絡管理設備上執(zhí)行。
[0013]網(wǎng)絡網(wǎng)關104可以被配置為提供對網(wǎng)絡、廣域網(wǎng)、內(nèi)聯(lián)網(wǎng)、移動網(wǎng)絡、子網(wǎng)絡或諸如局域網(wǎng)(LAN) 126的其它設施的訪問。在一個實施例中,網(wǎng)絡網(wǎng)關104可以包含于LAN 126中。在另一實施例中,網(wǎng)絡網(wǎng)關104可以在LAN 126之外。網(wǎng)絡網(wǎng)關104可以包括網(wǎng)絡應用114,其被配置為代表LAN 126上的節(jié)點或其它設備執(zhí)行網(wǎng)絡網(wǎng)關服務。網(wǎng)絡網(wǎng)關104可以被配置為提供LAN 126和其它網(wǎng)絡(例如,內(nèi)聯(lián)網(wǎng)、網(wǎng)絡、子網(wǎng)絡或互聯(lián)網(wǎng))之間的訪問。其部分可以包括如圖1所示的網(wǎng)絡122。網(wǎng)絡網(wǎng)關104可以被配置為從LAN 126外部接收意圖目的地在LAN 126內(nèi)(例如,客戶端電子設備108)的諸如數(shù)據(jù)112的業(yè)務量。業(yè)務量可以源自網(wǎng)絡節(jié)點110,其可以包括網(wǎng)絡、子網(wǎng)絡、服務器、網(wǎng)站或其它適當?shù)膶嶓w,并可以經(jīng)過網(wǎng)絡122到達網(wǎng)絡網(wǎng)關104??蛻舳穗娮釉O備108可以包括例如計算機、膝上型計算機、服務器、手持計算設備、網(wǎng)絡設備、或其它通信地耦合在LAN 126上的數(shù)字實體。
[0014]監(jiān)視器102可以位于網(wǎng)絡網(wǎng)關104上,或者在任意其它電子設備、服務器或其它掃描惡意軟件的適當機構上。監(jiān)視器102可以實現(xiàn)于例如任意應用、過程、腳本、模塊、可執(zhí)行文件、可執(zhí)行程序、服務器、可執(zhí)行對象、庫、或其它適當?shù)臄?shù)字實體。監(jiān)視器102可以包括邏輯或由處理器(如處理器118)執(zhí)行的指令。監(jiān)視器102的指令的邏輯可以駐留在通信的耦合到處理器118的存儲器120內(nèi)。
[0015]處理器118可以包括例如微處理器、微控制器、數(shù)字信號處理器(DSP)、專用集成電路(ASIC)、或配置為解譯和/或執(zhí)行程序指令和/或處理數(shù)據(jù)的任意其它數(shù)字或模擬電路。在一些實施例中,處理器118可以解譯和/或執(zhí)行程序指令和/或處理存儲于存儲器120中的數(shù)據(jù)。存儲器120可以被部分或整體地配置為應用存儲器、系統(tǒng)存儲器,或兩者。存儲器120可以包括被配置為保持和/或容納一個或多個存儲器模塊的任意系統(tǒng)、設備或裝置。每個存儲器模塊可以包括被配置為在一段時間內(nèi)保留程序指令和/或數(shù)據(jù)的任意系統(tǒng)、設備或裝置(例如,計算機可讀介質)。
[0016]在一個實施例中,監(jiān)視器102可以通信地耦合到網(wǎng)絡應用114或耦合到網(wǎng)絡網(wǎng)關104的其它部分,以便接收或掃描數(shù)據(jù)112。監(jiān)視器102可以以任意適當方式訪問數(shù)據(jù)112,例如通過直接攔截數(shù)據(jù)112或通過在接收到數(shù)據(jù)112時被網(wǎng)絡應用114訪問或調用。在另一實施例中,監(jiān)視器102可以訪問數(shù)據(jù)112,例如通過掃描存儲器內(nèi)或電子設備(如網(wǎng)絡網(wǎng)關104或客戶端電子設備108)的磁盤上的惡意軟件。
[0017]數(shù)據(jù)112可以包括例如電子郵件、電子郵件附件、文件、可執(zhí)行文件、可執(zhí)行程序、腳本、代碼、應用或其它實體。數(shù)據(jù)112的待被監(jiān)視器102分析的部分可以包括例如諸如代碼的可執(zhí)行內(nèi)容、諸如已知被惡意軟件利用的敏感數(shù)據(jù)部分、到第三方的超鏈接或其它地址、發(fā)送方地址、消息文本、垃圾郵件指示符、或其它適當?shù)男畔ⅰ1O(jiān)視器102可以被配置為通過創(chuàng)建數(shù)字簽名或基于內(nèi)容的哈希值來唯一地識別數(shù)據(jù)112的一部分。唯一標識可以被監(jiān)視器102用于查找信息源中針對惡意軟件相關信息的數(shù)據(jù)112。
[0018]網(wǎng)絡節(jié)點110可以包括服務器、網(wǎng)站或可由客戶端電子設備108或系統(tǒng)100中的另一實體訪問的其它網(wǎng)絡實體。網(wǎng)絡節(jié)點I1可以包含數(shù)據(jù)112形式的惡意內(nèi)容。惡意內(nèi)容可以用于偽裝下載,并由客戶端電子設備108上的惡意代理啟動。例如,在客戶端電子設備108上執(zhí)行的惡意軟件可以接觸網(wǎng)絡節(jié)點110來下載額外內(nèi)容(數(shù)據(jù)112形式的),以利用客戶端電子設備108的系統(tǒng)資源。網(wǎng)絡節(jié)點110可以假冒合法數(shù)據(jù)、電子郵件、頁面或用于客戶端電子設備108的其它內(nèi)容。客戶端電子設備108可能試圖下載惡意應用、電子郵件、電子郵件附件、數(shù)據(jù)、文件、代碼或其它內(nèi)容(數(shù)據(jù)112形式的)。例如,客戶端電子設備108上的網(wǎng)絡瀏覽器應用可以針對看似合法的網(wǎng)站訪問網(wǎng)絡節(jié)點110,但是作為數(shù)據(jù)112用于在客戶端電子設備108上執(zhí)行的部分下載的腳本可能包括惡意軟件。在另一例子中,網(wǎng)絡節(jié)點110可以發(fā)送看似合法但是具有惡意電子郵件附件的電子郵件或轉移看似合法的文件。這種附件或文件例如可以包括可執(zhí)行文件、可執(zhí)行程序、腳本、或對于已知應用看起來無害的數(shù)據(jù)文件,例如文字處理文件、.PDF文件或JavaScript。因此,惡意軟件可以感染客戶端電子設備108,例如作為惡意應用執(zhí)行或通過利用已知應用中的弱點。惡意軟件可以通過使得應用打開、運行或執(zhí)行文件或嵌有利用已知應用的弱點的指令的代碼來利用已知應用中的弱點。這種惡意軟件攻擊可以包括那些利用堆棧、堆或其它緩沖區(qū)超限或溢出。
[0019]監(jiān)視器102可以通信地耦合到反病毒數(shù)據(jù)庫116,反病毒數(shù)據(jù)庫116可以包括簽名、庫、啟發(fā)式規(guī)則、白名單一包含關于已知安全的數(shù)據(jù)、軟件或網(wǎng)站的信息、黑名單一包含關于已知與惡意軟件相關聯(lián)的數(shù)據(jù)、軟件或網(wǎng)站的信息、或任意其它關于識別惡意軟件的信息。監(jiān)視器102可以被配置為比較諸如數(shù)據(jù)112的接收到的信息與反病毒數(shù)據(jù)庫116,以確定接收到的信息是否是惡意的或與惡意軟件相關聯(lián)。反病毒數(shù)據(jù)庫116可以本地存儲于監(jiān)視器102中,例如在網(wǎng)絡網(wǎng)關114中。監(jiān)視器102或其它適當?shù)膶嶓w可以被配置為周期性地根據(jù)反病毒服務器更新反病毒數(shù)據(jù)庫116的內(nèi)容。反病毒數(shù)據(jù)庫116可以任意適當方式實現(xiàn),例如用文件、記錄、數(shù)據(jù)結構、庫、應用、腳本或數(shù)據(jù)庫。
[0020]然而,假定反病毒數(shù)據(jù)庫116在本地實現(xiàn),其中所包含的內(nèi)容和信息可能不是完全最新的。另外,反病毒數(shù)據(jù)庫116可能沒有關于惡意軟件的“零日”攻擊的信息,其中首次遭遇惡意軟件的特定實例。此外,反病毒數(shù)據(jù)庫116可能不能訪問各種信息資源,例如來自各種反惡意軟件客戶端或反惡意軟件實驗室結果的領域報告。因此,監(jiān)視器102可以被配置為通過計算云訪問反惡意軟件服務器,以確定最新的反惡意軟件信息。這種反惡意軟件服務器可以包括例如信譽服務器126。
[0021]監(jiān)視器102可以被配置為訪問信譽服務器126,以確定接收到的信息(例如,數(shù)據(jù)112)的惡意軟件狀態(tài)。信譽服務器126可以作為云計算機服務或網(wǎng)絡124上的軟件即服務而執(zhí)行和運行。網(wǎng)絡124可以包括例如,互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、廣域網(wǎng)、回程網(wǎng)絡、對等網(wǎng)絡、或其任意組合。如果監(jiān)視器102嘗試訪問信譽服務器126并且信譽服務器126出于任意原因而不可用,則監(jiān)視器102可以被配置為再次重復嘗試。這種重復嘗試可以在監(jiān)視器102針對到信譽服務器126的給定數(shù)據(jù)片的第一次確定或在監(jiān)視器102針對給定數(shù)據(jù)片的后續(xù)確定時做出。
[0022]針對給定信息片,例如數(shù)據(jù)112,信譽服務器126可以被配置為確定數(shù)據(jù)112是否與惡意軟件相關聯(lián)。在一個實施例中,信譽服務器126可以被配置為提供對數(shù)據(jù)112的分析,其中并不明確知道數(shù)據(jù)112是否與惡意軟件相關聯(lián)。如果明確知道例如數(shù)據(jù)112的內(nèi)容的哈希值是否與惡意軟件匹配,或者數(shù)據(jù)112的發(fā)送地址是已知的惡意軟件網(wǎng)絡服務器,那么將規(guī)則發(fā)送給例如監(jiān)視器102的各種反惡意軟件客戶端。諸如監(jiān)視器102的客戶端隨后將確定所接收到的數(shù)據(jù)112是惡意的并采取合適的校正動作。然而,在一些情況下,可能不能明確知道數(shù)據(jù)112是否與惡意軟件相關聯(lián)。例如,先前未遭遇過的哈希值、簽名或網(wǎng)絡地址可能包含于數(shù)據(jù)112中。在另一例子中,分析數(shù)據(jù)112的哈希值、簽名或網(wǎng)絡地址可能不會得到數(shù)據(jù)112是安全或是不安全的明確結論的確定。因此,信譽服務器126可以被配置為針對各種軟件和網(wǎng)絡地址來跟蹤報告、實例以及相關聯(lián)信息,以確定軟件或網(wǎng)絡地址是惡意的可能性。該可能性可以基于任意合適的標準,例如所報告的實例的分布、試圖傳輸?shù)脑?、證書狀態(tài)、或其它可疑動作的指示。分別來說,這些可疑動作的指示并不能明確證明數(shù)據(jù)112的惡意軟件狀態(tài)。然而,信譽服務器126可以將其用作提供對數(shù)據(jù)112是惡意的可能性的估計的因素。此外,可疑活動的指示可以實時變化,例如當從各個客戶端報告軟件,或網(wǎng)絡服務器被損壞時,使得其參與惡意軟件攻擊。信譽服務器126可以被配置為向監(jiān)視器102提供數(shù)據(jù)112是惡意的可能性的量化。
[0023]圖2是示例性信譽服務器126的配置和操作的圖示。信譽服務器126可以包括信譽服務器應用232,其配置為處理用于惡意軟件分析的請求