CN105893228A - 用于行为沙箱化的系统和方法 - Google Patents

用于行为沙箱化的系统和方法 Download PDF

Info

Publication number
CN105893228A
CN105893228A CN201610109201.4A CN201610109201A CN105893228A CN 105893228 A CN105893228 A CN 105893228A CN 201610109201 A CN201610109201 A CN 201610109201A CN 105893228 A CN105893228 A CN 105893228A
Authority
CN
China
Prior art keywords
perform
environment
application
execution
behavior analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610109201.4A
Other languages
English (en)
Inventor
G·W·达尔彻
J·D·特帝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
McAfee LLC
Original Assignee
McAfee LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by McAfee LLC filed Critical McAfee LLC
Publication of CN105893228A publication Critical patent/CN105893228A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本公开涉及用于行为沙箱化的系统和方法。在一个实施例中,用于行为沙箱化的系统可以包括网络和计算机。网络通信地耦合于可执行应用的源。计算机通信地耦合于该网络并且包括行为分析模块和多个执行环境。该行为分析模块被配置为对经由该网络下载的可执行应用执行行为分析。多个执行环境包括标准执行环境和受保护的执行环境。该行为分析模块被配置为在该可执行应用的执行之前评估该可执行应用的多个行为特性,以确定是否应该在该受保护的执行环境之内执行该可执行应用。该行为分析模块还监视该可执行应用的执行以确定是否能够改变执行环境。

Description

用于行为沙箱化的系统和方法
本申请为中国申请号为201080062808.2、发明名称为“用于行为沙箱化的系统和方法”的进入中国国家阶段的PCT申请的分案申请。
相关申请
本专利申请要求于2009年12月15日且标题为“SYSTEMS ANDMETHODS FOR BEHAVIORAL SANDBOXING”的美国专利申请号为No.12/638,660的优先权,其内容通过引用整体结合于此。
版权声明
此专利文献的公开的一部分包含受到版权保护的材料。版权所有者不反对任何人传真复制在专利商标局的专利文档或档案中所出现的本专利文献或本专利公开,但是在其他方面无论如何保留所有版权。以下声明适用于如下所述的以及在形成此文件的一部分的附图中的软件和数据:2009年,McAfee Inc.版权所有。
技术领域
各种实施例一般涉及计算机安全的领域,且特别地但并非限制地,涉及用于可执行的应用的行为沙箱化(sandboxing)的系统和方法。
背景技术
增长的对互联网的访问具有增加了不经用户通知同意就抓取用户个人信息(“Spyware”)或不经用户知晓或通知同意就破坏计算机(“Malware”)的软件程序的范围的非预期影响。此外,小作坊产业已经出现在当使用应用的时候自动下载并显示广告的软件中。
这种程序,当安装在用户的计算机上时,可以窃听该用户,收集敏感信息并且在一些情况下控制该用户的计算机。在一些情况下,这些软件程序发送消息出去给其它计算机或服务器,提供用于潜在敏感信息的传递的管道。
通过使用插入式组件或其它对诸如浏览器之类的应用的附加类型扩展,软件应用也逐渐变得片段化。互联网为这些附加组件提供了极好的分布机制。然而,即使不是不可能,也很难从这些附加组件的不可信源确定是可信的。另外,普通用户可能请求、下载且安装附加组件,而甚至不知道他们正在做这件事。
发明内容
除了其他方面以外,本发明人已经认识到对分析所下载的应用和组件、在操作期间监视该应用和组件并防止任何可疑操作危害主机系统的系统和方法的需要。
示例1描述了可以包括一系统的主题。该系统可以包含通信地耦合于可执行的应用的源的网络。可以包括计算机,且可以配置计算机经由网络通信。计算机可以包括行为分析模块和多个执行环境。可以配置行为分析模块对经由网络下载的可执行的应用执行行为分析。多个执行环境可以包括标准执行环境和受保护的执行环境。可以配置受保护的执行环境以提供保护计算机不受由可执行的应用执行的恶意操作的危害的自包含的执行环境。行为分析模块可以评估可执行的应用的多个行为特性,以确定是否应该在受保护的执行环境之内在可执行的应用执行之前执行可执行的应用。另外,行为分析可以监视可执行的应用的执行以确定是否可以改变执行环境。
在示例2中,示例1的主题可以可选地包括被配置为评估与可执行的应用有关的特性的行为分析模块。特性可以提供关于是否可以信赖可执行的应用的源的指示。
在示例3中,示例1-2中的任何一个的主题可以可选地包括行为分析模块,被配置为评估与可执行的应用有关的包括以下两个或更多个的多个特性:从其接收可执行的应用的网络地址;请求可执行的应用的进程的信赖级别;来自可信源的签名证书;以及可疑的或策略活动以外的先前性能。
在示例4中,示例1-3中的任何一个的主题可以可选地包括被配置为在可执行的应用的执行之前分析可执行的应用将在其上操作的资源的行为分析模块。
在示例5中,示例1-4中的任何一个的主题可以可选地包括被配置为确定受保护的执行环境将使用的来控制可执行的应用执行的限制范围的行为分析模块。
在示例6中,示例1-5中的任何一个的主题可以可选地包括被配置为确定在受保护的执行环境之内应该包含什么类型的活动的行为分析模块。
在示例7中,示例1-6中的任何一个的主题可以可选地包括被配置为在确定沙箱环境使用的限制范围时应用安全策略的行为分析模块。
在示例8中,示例1-7中的任何一个的主题可以可选地包括被配置为对于在受保护的执行环境之内由可执行的应用执行的操作确定处置的行为分析模块。
在示例9中,示例1-8中的任何一个的主题可以可选地包括被配置为检测潜在恶意的活动的行为分析模块,潜在恶意的活动包括:打开资源文件;加载插件;由其它进程操纵;操纵其它进程;以及访问互联网。
在示例10中,示例1-9中的任何一个的主题可以可选地包括被配置为在评估可执行的应用的多个行为特性来确定是否应该在受保护的执行环境之内执行可执行的应用时应用安全策略的行为分析模块。
在示例11中,示例1-10中的任何一个的主题可以可选地包括被配置为确定将要在受保护的执行环境之内执行的可执行的应用的一部分的行为分析模块。
在示例12中,示例1-11中的任何一个的主题可以可选地包括被配置为确定可执行的应用的一部分的行为分析模块,其中该部分可以包括:纤程,线程,进程,动态链接库,脚本或插件组件,等等。
在示例13中,可以可选地配置或执行示例1-12中的任何一个的主题,以使得可以经由网络连接接收可执行的应用。可以在可执行的应用执行之前对可执行的应用执行行为分析。执行环境可以确定为行为分析的函数。可执行的应用可以在沙箱(受保护的)执行环境之内启动,如果行为分析如此指示的话。替代地,如果行为分析指示可执行的应用在受保护的环境之外执行是安全的,则可执行的应用可以在第一执行环境之内启动(执行)。在可执行的应用的执行期间实时地收集可执行的应用的行为特性并执行行为分析,以确定在执行期间是否可以改变执行位置(环境)。
在示例14中,可以可选地配置或执行示例1-13中的任何一个的主题,以使得可以在可执行的应用的执行之前执行行为分析并且行为分析可以包括评估与可执行的应用有关的提供关于可执行的应用的起源的指示的一个或更多个特性。
在示例15中,可以可选地配置或执行示例1-14中的任何一个的主题,以使得可以在可执行的应用的执行之前执行行为分析,并且行为分析可以包括可执行的应用将在其上操作的资源的分析。
在示例16中,可以可选地配置或执行示例1-15中的任何一个的主题,以使得行为分析可以包括评估一个或更多个特性,包括:从其中接收可执行的应用的网络地址,请求可执行的应用的进程的信赖级别,来自可信源的签名证书(与可执行的应用有关),以及可疑的或策略活动以外的先前性能。
在示例17中,可以可选地配置或执行示例1-16中的任何一个的主题,以使得在沙箱(受保护的)执行环境之内启动可执行的应用的执行包括在可执行的应用的执行之前确定应用于沙箱(受保护的)执行环境的限制范围。
在示例18中,可以可选地配置或执行示例1-17中的任何一个的主题,以使得确定执行环境的限制范围可以包括确定什么类型的活动应该包含在沙箱(受保护的)执行环境之内。
在示例19中,可以可选地配置或执行示例1-18中的任何一个的主题,以使得确定执行环境的限制范围可以包括确定对于在沙箱(受保护的)执行环境之内由可执行的应用执行的操作的处置。
在示例20中,可以可选地配置或执行示例1-19中的任何一个的主题,以使得收集动态特性可以包括检测潜在恶意的活动,潜在恶意的活动包括:打开资源文件,加载插件,由其它进程操纵,操纵其它进程和访问互联网。
在示例21中,可以可选地配置或执行示例1-20中的任何一个的主题,以使得确定在其中执行可执行的应用的执行环境可以包括应用安全策略。
在示例22中,可以可选地配置或执行示例1-21中的任何一个的主题,以使得确定在其中执行可执行的应用的执行环境可以包括确定将在沙箱执行环境之内执行的可执行的应用的一部分。
在示例23中,可以可选地配置或执行任何一个示例1-22中的任何一个的主题,以使得确定在其中执行可执行的应用的执行环境可以包括确定将在沙箱执行环境之内执行的可执行的应用的一部分,其中一部分可以包括:纤程,进程,动态链接库,脚本或插件组件。
在示例24中可以包括,或者可以可选地与示例1-23中的任何一个中组合以包括,机器可读(计算机可读)介质。机器可读介质可以包括当由计算机执行时致使计算机执行以下操作的指令,包括:经由网络连接接收可执行的应用;在可执行的应用的执行之前对可执行的应用执行行为分析;在执行行为分析的基础上,确定是否在沙箱环境中启动可执行的应用的执行;在沙箱环境之内启动可执行的应用的执行;在可执行的应用在沙箱环境之内执行的同时,动态地监视可执行的应用的行为特性;对监视的行为特性执行行为分析以确定可执行的应用是否可以从沙箱环境中移走;以及,基于所监视的行为特性的行为分析,从沙箱环境中移除可执行的应用。
这些示例可以以任何置换或组合的方式组合。此概述意在提供本专利申请的主题的概述。它并非意在提供本发明的排他的或穷尽的解释。包括了详细描述以提供更进一步的有关本专利申请的信息。
附图说明
通过示例而非局限地在附图的图中示出了一些实施例,其中:
图1是描述了能采用可执行的应用的行为沙箱化来提高安全性的示例系统100的方框图。
图2是描述了被配置为基于行为分析来沙箱化可执行的应用的示例系统的方框图。
图3是描述了用于提供可执行的应用的行为分析的示例系统的方框图。
图4是描述了用于可执行的应用地行为沙箱化的示例方法的带有泳道的流程图。
图5是描述了使用行为分析为可执行的应用配置执行环境的方法的具有泳道的流程图。
图6是依照示例描述了在可执行的应用的行为分析中的可选操作的流程图。
图7是依照示例描述了在为可执行的应用确定执行环境中的可选操作的流程图。
图8是描述了使用行为分析来分析可执行的应用的示例方法的流程图。
图9是以计算机系统为示例形式的机器的方框图,在其内可以执行致使机器执行在此论述的方法中的任何一个或更多个的指令。
具体实施方式
本发明的各种实施例(例如,示例)在此公开以提供用于行为沙箱化的方法和系统。行为沙箱化可以提供动态的机制用于保护终端用户系统免受已知和未知的恶意软件应用和组件的破坏,同时仍然允许用户拥有执行来自各种源的应用程序和组件的灵活性。
随着软件变得更易分配以及应用变得越来越片段化,日益难以在软件在目标平台上执行之前辨别正当软件和恶意软件。插件组件、实时解释码和其它各种类型的下载软件的广泛应用使得正当软件更容易损害并被用于恶意目的。遏制潜在恶意软件的一种技术就是在被称为“沙箱”的遏制区域之内执行未知的或有风险的软件。由执行在沙箱之内的软件(可执行的应用)执行的操作局限于仅影响沙箱而不影响更大的系统或当前执行在系统上的其它应用。
传统的沙箱化方案在应用和施行中已经不灵活了,经常严重地局限了应用正确地运转的能力。传统沙箱化方法也缺少动态地确定可执行的应用的哪些部分需要被沙箱化以及必须将沙箱环境与其它系统资源及其它应用(或者主要可执行的应用的部分)屏蔽的程度。下面的说明书论述对这些问题等的解决方案。
行为沙箱化可以使用行为分析来决定什么时候应该在沙箱执行环境之内执行进程。行为沙箱化还可以监视执行在沙箱化的执行环境之内的应用,以确定该应用或应用的一部分(例如,插件组件)是否可以从沙箱化的环境中移除并继续在标准执行环境之内执行。
在一示例中,可以配置沙箱环境以有选择地将主机系统与单独的操作屏蔽,而不只是仅仅遏制沙箱化的应用在执行期间可能企图做的一切事情。例如,可以配置沙箱执行环境以仅屏蔽更新操作系统的配置文件的企图(例如,对注册数据库对写操作)。还可以配置沙箱环境以允许某些输入进入沙箱化的应用以及允许某些输出从沙箱化的应用通信到其它的本地或远程的应用。例如,可以配置沙箱环境以允许沙箱化的应用从数据库读取数据并更新数据库内的数据。然而,可以配置沙箱环境以防止相同应用添加全新的记录到数据库。
在一个示例中,可以使用行为分析以确定在正常使用下用于网络浏览器的沙箱化范围(例如,在互联网上浏览网页)。当用户启动浏览器应用时,该启动可以被系统监视组件检测到。系统可以保持浏览器应用的执行,同时行为分析程序确定浏览器是否应该执行在沙箱环境之内,以及如果执行在沙箱环境之内的话应该将浏览器置于什么限制级别。在某些示例中,可使用安全策略以辅助确定是否在沙箱环境之内执行应用以及要使用的限制范围。在此示例中,检查安全策略并且对浏览器的操作历史执行行为分析。行为分析可以包括审查什么插件配置成在浏览器启动时自动加载以及该插件是否可以信赖。在此示例中,安全策略和行为分析两者都确定浏览器可以在启动时执行在标准执行环境中。
在系统继续浏览器应用的启动的情况下,当前示例继续。在浏览器启动的同时,使能系统监视组件以拦截来自浏览器应用的全部输入和输出。浏览器输入和输出可以被馈入行为分析模块以动态地评估浏览器(或浏览器的任何组件)的执行环境是否应该改变(例如,移入沙箱执行环境以保护主机系统上的其它进程或资源)。
在此示例中,用户导航到指示浏览器下载插件组件的网站。系统监视器可以拦截插件下载并为行为分析模块收集有关插件组件的信息。行为分析模块可以评估收集到的有关插件组件的信息以确定是否应该将该插件组件移入沙箱环境来执行。在一示例中,行为分析模块可以对比中心可信源数据库来检查插件组件的签名以确定该插件是否是潜在恶意的。例如,行为分析模块可以对比诸如互联网信誉系统(来自加利福尼亚圣克拉拉)之类的在线信誉系统来检查与该插件组件有关的统一资源定位符(URL)。
在此示例中,行为分析模块确定正在由浏览器下载的插件来自于根本不可信赖的源。该插件被重定向到沙箱执行环境中以进一步分析。一旦被下载,行为分析模块可以执行附加分析以确定在沙箱环境之内应用的限制范围。例如,行为分析模块可以调查该插件是否具有有效的和签名的安全证书。在此示例中,该插件或者不具有安全证书或它没被正当地签名。所以该插件完全执行在沙箱环境之内,其中系统监视器可以拦截全部操作来分析。在操作期间,当该插件试图对盘输入和输出时,其被系统监视器拦截并被保持。在插件执行期间,另一个进程试图输入或输出(I/O)到盘,确定附加I/O的源并允许该I/O(因为它是来自沙箱执行环境之外的应用)。
当该插件的执行完成时,系统监视器注意到执行的结束并降低与该浏览器应用有关的监视级别。在执行期间由该插件组件执行的操作可以从系统中清除,或者有选择地允许其更新其它进程或资源。例如,如果该插件组件试图给URL标记书签,则系统可以允许用该插件组件生成的信息来更新浏览器的书签。还可以配置系统监视器来记录该插件执行的操作以备将来之用。例如,如果该插件组件不尝试任何潜在恶意操作,则这可以记录在本地威胁数据库之内或被传输到中心在线信誉系统以备将来之用。
在某些示例中,可使用网关系统来拦截和评估引入的可执行的应用。在网关系统示例,网关系统可以使用由每一客户端端(终端用户系统)收集的行为分析信息来辅助建立与插件组件或其它被多个系统所重复使用的小程序有关的知识库。
定义
以下定义以举例的方式给出,且并非意欲被理解为是限制性的。本领域技术人员可以理解下面定义的一些术语可以包括在阅读此说明书的上下文时附加的含义。
可执行的应用-为了以下说明书的目的,可执行的应用可以包括任何已编译的二进制应用(例如,在微软环境中的可执行的应用或动态链接库),浏览器插件应用,浏览器或应用脚本(例如,JavascriptTM或Visual脚本),操作系统控制脚本(例如,在微软环境中的.bat文件或在UNIX环境中的C-shell脚本),以及实时解释码或小程序(例如,JavaTM小程序,Visual控制,.NetTM代码)。可执行的应用可以涵盖多个单独的处理单元,诸如进程、线程和纤程。另外,一些大的可执行的应用可以利用动态链接库(DLL)、脚本、或插件组件来扩展或增强基本的功能。在以下说明书之内,可执行的应用可以不同地被称为进程、应用、可执行的,或者简单地称为软件。
沙箱执行环境(沙箱环境)-为了以下说明书的目的,沙箱执行环境可以是屏蔽可执行的应用使其不能直接访问某些资源的主计算装置或可以在标准执行环境之内可用的装置的片段部分。可以配置沙箱执行环境以提供对可执行的应用所尝试的操作的各种限制级别。贯穿此说明书,沙箱执行环境也可以被称为沙箱环境或沙箱化的环境,用法的任何变化不意味着术语的通常含义的改变。
示例系统
图1是描述了能采用可执行的应用的行为沙箱化来提高安全性的示例系统100的方框图。系统100包括网络105,客户端系统110A、110B、…110N(总体称为客户端系统110),网关装置120,广域网连接125,以及广域网130。在某些示例中,系统100可以可选地包括本地服务器140、数据库150、远程系统160和远程数据库170。在一示例中,网络105是将客户端系统110彼此通信连接并通信连接到广域网130的局域网(有线的或无线的)。网关装置120可用于方便到广域网130的连接。网关装置120可以包括路由功能、过滤功能和代理功能。在某些示例中,网关装置120可用于对引入的可执行的应用,诸如从远程系统下载的JavaTM小程序,执行行为分析。在其中网关装置120对引入的可执行的应用执行行为分析的示例中,可疑的可执行的应用的执行仍然可以发生在单独的客户端系统110上。在一些示例中,可以配置网关装置120以基于安全策略和/或行为分析的应用来阻止已知的恶意可执行的应用。
在一示例中,数据库150可用于存储对客户端系统110或对网关装置120所执行的行为分析的结果以备将来之用。在此示例中,存储在数据库150中的信息可以被系统(客户端系统110或网关装置120)在对先前已经被连接到网络105的系统使用过的可执行的应用执行行为分析时重复使用。在某些示例中,数据库150可以与远程数据库170通信,以交换有关任何已知可执行的应用的行为信息。远程数据库170可以表示互联网信誉服务之一,诸如TrustedSourceTM或另一个行为特性源。
在一些示例中,本地服务器140可以是客户端系统110执行的可执行的应用的源。在其它示例中,远程服务器也可以是客户端系统110所下载的可执行的应用的源。仍然在其它示例中,可以经由互联网或私有广域网从任何系统或数据库下载可执行的应用。
图2是描述了被被配置为基于行为分析来沙箱化可执行的应用的示例系统200的方框图。系统200可以包括标准执行环境210、沙箱执行环境220、行为分析模块230、系统监视引擎240和资源控制基础结构250。在一示例中,标准执行环境用于执行任何信赖的可执行的应用(例如,没有表明任何执行恶意的活动的威胁的或来自于已知的且可信赖的源的那些应用)。标准执行环境210可以被分段成多个虚拟机器或类似的将应用执行分段的方法。在标准执行环境210之内,进行资源或存储空间的分段主要出于性能原因,不一定为了增强主机系统(例如,客户端系统110、本地服务器140或网关装置120)的安全性。
沙箱执行环境220可以配置为在资源和存储空间方面与系统200其余部分完全地隔离。沙箱执行环境220可以为可执行的应用提供一组严格控制的可以在其内执行的资源,诸如受限的盘和存储空间。沙箱执行环境220也可以根据配置控制本地和远程网络访问二者。例如,沙箱执行环境220可以允许某些局域网访问读和写局部数据库,但是不允许任何互联网访问以便限制潜在恶意行为。在一示例中,沙箱执行环境可以通过仿真实现。使用仿真时,沙箱化的进程在解释环境之内允许,而不是自然地在常规执行平台上执行。在另一个示例中,沙箱执行环境可以通过使用系统虚拟化来实现。虚拟化允许资源操作的拦截和进程之间通信的重定向。可替代地,虚拟化可用于复制进程将在其内执行的整个操作环境以镜像非沙箱化的环境。
可以配置行为分析模块230以分析可执行的应用的特性,以及可执行的应用执行的实际的过去的或当前的操作,以预测恶意行为的可能性。行为分析模块230能够分析有关可执行的应用的信息,诸如源、安装进程、最近修改、签名和加密证书有效性,等等。行为分析模块230还能够分析可执行的应用执行的过去记录的操作以及当前监视的操作,诸如资源的打开、插件组件的加载、访问互联网和读或写配置文件或数据库的企图,等等。参考下面与图3相关的论述获得关于示例行为分析系统的附加细节。
系统监视引擎240用于监视在标准执行环境210之内和在沙箱执行环境220之内执行的操作。系统监视引擎240能够向行为分析模块230提供有价值的信息,用于确定可执行的应用是否正在尝试(或有可能尝试)潜在恶意行为。可以配置系统监视引擎240以拦截访问包括盘I/O、网络装置I/O、存储器访问以及甚至处理器利用率的任何系统资源的企图。在某些示例中,通过路由到或来自沙箱环境的所有资源请求,系统监视引擎240辅助创建沙箱环境。可以配置系统监视引擎240以拦截资源访问请求并在允许操作继续之前变更源或目的地参数。资源的示例可以包含文件、配置数据库(作为基本示例,中的注册表)、存储器(通常被操作系统依进程划分,但是可以被手动重定向以提供更细的划分粒度),这里仅举数例。
资源控制基础结构250为标准执行环境210和沙箱执行环境220提供机制以控制访问诸如配置文件或盘访问之类的系统资源的某些部分。资源控制基础结构250提供对系统资源的访问的阻止和访问请求到镜像的资源的透明的重定向。例如,该沙箱执行环境220可以镜像(拷贝)诸如数据库之类的资源,以允许在沙箱之内运转的可执行的应用访问数据库。在此示例中,资源控制基础结构可以将访问主要数据库的任何企图透明地重定向到镜像的数据库。沙箱环境220然后能够确定在沙箱化的应用执行之后是否用镜像的数据库更新主要数据库。在一些示例中,资源控制基础结构可以包括虚拟化的方法。虚拟化可以在单个硬件装置(例如,应用服务器)之内产生多个完全分段的环境,每个各自运转就好像他们是单独的硬件平台。
示例行为分析系统
图3是描述了用于提供可执行的应用的行为分析的示例系统300的方框图。系统300包括多个事件源302A-302D、行为检测框架304、事件收集306、过滤插件310、规则调用模块312、规则插件314、反应处理模块316、反应插件318和事件数据存储器320。
如图所示,提供了多个事件源302A-302D。在图3的上下文中,事件源指的是任何能够识别、提供和/或收集事件的源。在某些示例中,事件源302A-302D可以由系统监视引擎240提供。可以利用用户模式事件源302A来监视用户接口和收集对应于用户接口的事件。在此情况下,监视可以包括监视接口的执行。在各种示例中,这可以使用内联挂接、接口指针重定向和/或底层基础结构或操作系统提供的回调来执行。
另外,可以利用文件系统滤过器302B来收集对应于文件系统的事件。更进一步地,可以利用网络滤波器302C收集与网络有关的事件。应该注意到任何事件源可以被用户根据需要利用或根据组织的安全策略进行配置。例如,可以利用记录回放接口302D来监视与回放机制或用户选择监视的任何其它高级源有关的事件。以这种方法,用户可以挑选和插入任何事件源。
如更进一步所示的,事件源302A-302D与包括多个处理模块的行为检测框架304和事件数据存储器320进行通信。更进一步地,提供行为核心内容模块308,包括能够使用行为检测框架304的功能运转的多个插件310、314和318。
在图3的上下文中,插件指的是注册参与特殊类型的活动的可执行的组件。例如,插件可以注册在行为检测框架304之内以在公布文件创建事件的时候调用。可以利用插件310、314和318以积极地参与各种模块内的处理。在各种示例中,可以利用插件将数据操纵成有用的形式,屏蔽和过滤数据,过滤噪音,以及将事件格式改变为标准化的或用户定义的格式,等等。
操作中,事件可以由事件源302A-302D提供并被收集作为事件收集进程306的一部分。如上面提到的,该事件源可以包括任何事件源且可以由用户(例如消费者,等等)提供。在一个示例中,事件的处理可以由作为消费者插件的事件处理器来执行。在此情况下,事件处理可以包括整理在数据存储器320之内的所关心的任何事件。
作为选项,可以对收集的事件执行事件规范化。在图3的上下文中,事件规范化指的是将事件从与事件源紧密连系的原始形式转化为普通的或规范化的形式。换言之,事件规范化可以包括以事件源不可知的格式重新发布所拦截的原始事件。在一些情况中,原始事件可以由系统监视器(例如事件源,等等)发布。例如,文件系统过滤器可以发布原始事件以响应所拦截的文件操作。
在一个示例中,插件(例如,原始事件处理器)可以规范化事件并重新发布规范化的结果。例如,事件处理器插件可以定位数据存储器320中的且用于事件的行为者和目标的条目。如果用于这些项目的数据存储器条目不存在,则可以生成该条目。
然后可以将诸如标志和路径名之类的事件细节转化为用于一个类别内的所有事件的标准化格式,不管事件源如何。可以实现此转换用于特殊类别的多个事件源。例如,文件操作可以被内核模式文件系统过滤器302B和用户模式接口监视器302A拦截。
来自这些事件源的原始事件必然不会具有相同的结构。可以实现事件规范化以解析这些差别,以使得可以发布允许用户不知道这些事件源细节的规范化事件。以此方法,可以利用包括在行为核内容模块308中的插件来执行事件规范化。
作为选项,事件规范化可以同时包括诸如事件的行为者和目标之间之类的数据存储项目之间的关系的关联。在一个示例中,此关联可以累积,形成共享公共历史的多个数据存储项目之间的关联。关于形成共享公共历史的多个数据存储项目之间的关联的更多信息可以在2008年7月22日提交的标题为“SYSTEM,METHOD,ANDCOMPUTER PROGRAM PRODUCT FOR UTILIZING A DATASTRUCTURE INCLUDING EVENT RELATIONSHIPS TODETECT UNWANTED ACTIVITY,”的美国专利申请序号12/177,601中找到,其通过整体引用结合于此。
分析所整理的事件的规则然后可以作为规则调用模块312的一部分来审查规范化的事件数据。规则调用模块312可以被所接收的事件触发。作为选项,规则评估可以驱动对不希望的或其它预先确定的活动进行检测。
在一个示例中,这些规则可以是用户选择的规则插件314,其中规则评估由事件处理器起动。在另一个示例中,规则也可以调用其它相关的和从属的规则。另外,规则可以能够访问数据存储器320中关于所整理的事件信息。
规则可以包括用于评估所整理的数据和确定是否可以进行检测的任何规则。这些检测可以包括恶意软件活动、不当数据传递(例如,就像数据泄露保护,等等)或者任何其它所关心的活动。作为选项,规则可以由用户(例如消费者,等等)生成。更进一步地,规则可以与用于识别事件的一个或更多个事件源无关。
如提到的,规则评估可以由注册为插件的处理器执行。可以通过行为检测框架304调用规则。作为选项,最高级规则可以调用自事件处理器内。这些最高级规则可以又调用通过对整理的数据的分析所确定的子规则。这些子规则可以又调用其它子规则,等等。
在各种示例中,规则评估插件314可以直接执行分析,或者调用用解释语言写的子逻辑。此用法允许大量规则逻辑用更易于被规则作者使用的专门的解释语言脚本书写,使得注册的插件起垫片作用,其任务就是调用具有合适子规则脚本的语言解释程序并将结果传递回到行为检测框架304。这允许生成灵活的和动态的规则逻辑,其便于规则组之间规则逻辑的重复使用。
虽然在图3中没有示出,但是当发布了特殊类型的检测的时候,检测处理器也可以注册为用于调用的插件。在一个示例中,检测可以是由规则处理器发布。支持检测处理器注册允许以交叉功能的方式共享信息。
例如,检测诸如从未核实的网站下载浏览器插件之类的高风险的活动可能对浏览器脚本扫描器是有意义的。脚本扫描器可以使这些插件经受更高级的扫描。另外,主机侵入保护产品也可以对下载感兴趣并将脚本隔离。最后,从其下载脚本的网站是未经审查的确定可通过发布网站分析工具的检测来进行通告。
响应基于规则对预先确定的活动的检测,作为反应处理模块316的一部分采取反应。在一个示例中,可以由反应插件318提供对这些反应的处理。在各种示例中,反应可以包括终止进程、阻止操作和/或执行选择性的扫描操作,等等。更多关于执行选择性的扫描操作的信息可以在2008年4月29日提交的、标题为“SYSTEM,METHOD,AND COMPUTER PROGRAM PRODUCT FOR DYNAMICALLYADJUSTING A LEVEL OF SECURITY APPLIED TO A SYSTEM”的美国专利申请序号12/111,851中找到,其通过整体引用结合于此。
反应处理器在请求特殊类型反应时可以注册为用于调用的插件。这些反应处理器然后可以执行反应。这允许在行为检测框架304的用户之间的反应类型的重复使用,并支持诸如响应于检测的系统监视级别的修改之类的交叉功能应用。
这也允许决定是否将会采取反应的策略应用到终端节点。例如,可以首先对比本地应用的策略由反应处理器检查所请求的终止进程的反应。策略可以指示对于该终端节点应该记录而不是实际采取反应,当新的抗恶意软件内容正在被初始部署时可以实行此策略。
在功能领域之内的检测然后可以发布为在行为检测框架304之内的事件。以此方法,用户(例如消费者,等等)可以能够既限制又动态地调整任何对行为分析框架304的影响。这样的系统影响可以包括CPU使用、存储器消耗、I/O带宽、等等。更进一步地,来自一个功能领域内部的检测可以被其它功能领域共享,或者在用于整体分析的中心领域之内进行评估。
事件的处理、整理的数据的存储和数据的分析都使用系统资源。使用行为检测框架304,用户将能对这样的资源使用设置上限,并响应于整理的数据的行为分析动态地控制资源使用。用于控制资源使用的一种技术是通过调整系统监视和扫描活动。更多关于通过调整系统监视和扫描活动来控制资源使用的信息可以在2008年4月29日提交的、标题为“SYSTEM,METHOD,AND COMPUTER PROGRAMPRODUCT FOR DYNAMICALLY ADJUSTING A LEVEL OFSECURITY APPLIED TO A SYSTEM,”的美国专利申请序号12/111,851中找到,其已经通过整体引用合并于此。
在一个示例中,可以在虚拟机之内协调活动以控制总体系统资源使用。可以应用此虚拟机内节流来控制运转在虚拟机之内的行为分析框架304的实例的资源使用。
更进一步地,用户可以在分析进程的每一点插入来参与。另外,用户功能可以被安装、删除、升级,并且可以不改变基础结构而变更它们的使用。用户也可以整理事件和在数据存储器320之内的所关联的数据用于稍后引用和操纵。更进一步地,用户可以写入对事件源细节一无所知的行为分析规则。
以此方法,行为检测框架304的使用可以由用户整体驱动。例如,用户可以插入为事件发生器、事件过滤器、事件消费器、规则评估器、检测处理器和反应提供器。
此插件模型便于消费者对共享子组件和他们的检测结果的行为检测框架304的构建。插件可以包括任何可执行的组件,并可以直接执行他们的分析,或者调用用解释语言写的子逻辑。例如,解释规则语言可以被规则评估器插件调用。
在一个示例中,插件支持对所有类型的插件可以是对称的。在此情况下,所有插件可以允许在行为检测基础结构之内的所有客户端可见的活动通过行为的发布来驱动,允许客户端注册回调用于当发布特殊类型行为时的调用,允许客户端回调被行为检测框架304调用,以及允许客户端回调发布行为。
在一个示例中,行为检测框架304的部署可以从使用主机环境(例如,客户端系统110)所支持的所有系统监视技术开始。在该情况下,主机环境指的是安全软件的主机。例如,主机可以包括操作系统或网络浏览器,等等。
主机环境可以加载包括行为检测框架304的安全软件并至少提供基本能力。此基本的功能中的一些可以包含文件系统监视、网络监视和监视配置数据库的更新(例如,监视注册操作,等等)。
作为选项,此系统监视的事件处理器可以作为事件过滤器和事件发生器执行。可以利用这些处理器以审查系统监视通知并滤出所不感兴趣的通知。从剩余的通知中,处理器可以用行为检测框架304发布事件。
在一个示例中,事件可以同步发布,其中在发布和服务事件的同时保持原始操作。在另一个示例中,事件可以异步发布,其中在发布和服务事件的同时允许原始操作进行。仍然在另一个示例中,可以在与原始操作相同的上下文之内发布事件。还是在另一个示例中,事件可以在不同的上下文发布之内,特别是监视发生在几个上下文之内的操作的中心上下文。例如,系统监视引擎240可以被配置为中心上下文监视系统以监视发生在配置于诸如系统200之类的主机系统内的每一执行环境之内的操作。也可以使用可以配置为中心上下文监视系统以监视发生在每一客户端系统110之内的操作的本地服务器140将此概念应用在组织级。
在一示例中,上下文定义在哪里可以服务在行为检测框架304之内的事件。在一个示例中,仅仅为该上下文注册的事件用户将会被通知该事件。例如,在特定进程的上下文之内(例如,在沙箱执行环境220之内)可以拦截文件生成操作。如果针对该上下文发布了事件,则仅仅为该进程的上下文注册的事件用户可以看到该事件。如果针对更大的系统范围的上下文发布了事件,则为该系统范围的上下文注册过的事件处理器可以看到该事件。
行为检测框架304可以包括各种上下文。例如,在一个示例中,上下文可以包括本地的上下文,其中用户模式操作被具体化到特殊的进程。在此情况下,可能每个所关心的进程存在一个本地的上下文。
在另一个示例中,上下文可以包括内核模式上下文。在此情况下,内核模式操作可以覆盖所有进程。仍然在另一个示例中,上下文可以包括系统范围的上下文,其是从本地和内核模式上下文发布到系统范围的上下文的事件的集合。在此情况下,可以每个系统存在一个系统范围的上下文。还是在另一个示例中,上下文可以包括网络范围的上下文,其是从系统范围的上下文发布到网络范围的上下文的事件的集合。
作为选项,可以使用分级的发布。在此情况下,不是在本地的和内核模式的上下文中能够被观察到的所有事件都可以发布给系统范围的上下文,仅仅是足够感兴趣的那些。以此方法,大部分事件可以在原始操作的上下文之内被服务。这允许更有效率的最小化发布事件给系统范围上下文的不必要的开销的行为检测模型。向网络范围的上下文的公布甚至可以更不频繁,以避免不必要的开销。
在一个示例中,在此分级之内的事件的传播的控制可以直接由事件处理器或者由追寻更大灵活性的规则来控制。如果利用了事件处理器,则反应处理器可以执行事件到不同级别的上下文分级的重新发布。
如上面提到的,事件消费器可以注册以当在消费者注册在内的上下文中发布了特殊类型事件时接收通知。一旦公布了匹配这些标准的事件就可以调用通知。作为选项,事件消费器可以审查包括在事件之内的数据。消费器也可以恢复、创建和变更在数据存储器320中的条目。消费器可以又发布它自己的事件、调用规则、发布检测和产生反应。
作为一个例子,由原始操作拦截的处理器发布的事件的消费器可以将这些事件作为规范化的事件重新发布以简化由规则评估器造成的抽取消耗。在此使用中,发布的初始事件被称为原始事件,且仅可以被其功能是将这些事件抽取为普通形式并将原始事件重新发布为规范化事件的事件消费器观察到。在数据存储器320之内的相关条目的位置,诸如针对行为者和目标的条目,可以包括在规范化进程中。相关条目可以还包括针对拦截到的操作的源进程或线程的数据存储条目以及诸如针对文件之类的针对该操作的目标的数据存储条目。
应该注意到数据存储器320可以包括任何用于整理事件数据的存储库。更进一步地,可以为任何用户目的在数据存储器320中创建项目,包括跟踪所接收事件的行为者和目标的项目。例如,响应于文件的拦截,可以为打开文件的进程和为实际文件创建开放条目。
在各种示例中,数据存储器320可以支持添加、检索和/或更新项目。数据存储器320也可以支持项目之间的关联的形成,诸如父和子、行为者和目标、以及共享公共历史的对象之间的关联。数据存储器320可以被事件处理器、事件发布者、检测处理器、规则评估器和反应处理器等等使用。
关于以上论述的示例行为分析系统的更多信息可以在2008年9月2日提交的、标题为“BEHAVIORAL ANALYSIS SYSTEM,METHOD,AND COMPUTER PROGRAM PRODUCT FORPROPAGATING EVENTS OVER A PLURALITY OFHIERARCHICAL 20LEVELS OF PROCESSING,”的美国专利申请序号12/202,952中找到,其已经通过整体引用合并于此。
行为沙箱化的示例方法
以下示例示出了行为沙箱化如何用于动态地保护单独的计算装置或整个网络不受恶意可执行的应用的危害。
图4是描述了用于可执行的应用的行为沙箱化的示例方法400的带有泳道的流程图。方法400包括以下操作:在402处接收可执行的应用,在404处行为分析,在406处确定可执行的环境,在408处决定沙箱化可执行的应用,在410处执行可执行的应用,在412处行为分析,在414处确定应该改变可执行的环境,在416处决定沙箱化可执行的应用,在420处执行可执行的应用,在422处行为分析,在424处确定应该改变可执行的环境,以及在426处在是的情况下从沙箱环境中移除可执行的应用。
在此示例中,方法400开始于402,系统200接收或加载可执行的应用。在404处,方法400继续,行为分析模块230对可执行的应用执行行为分析。在一示例中,行为分析模块230可以收集包括与可执行的应用的起源有关的那些事件的事件历史。行为分析模块230可以审查将要执行的可执行的应用的历史。行为分析模块230可以分析可执行的应用的事件历史,诸如:从互联网下载,由信赖的进程安装,代码的修改,来自可信赖源的加密签名的证书,或者先前执行时可疑的或策略之外的所考虑的活动的性能。
在此示例中,方法400继续,在406处,行为分析模块230确定将可执行的应用执行在哪个类型的执行环境之内。例如,如果行为分析模块230确定可执行的应用可以被信赖,则方法400可以在标准执行环境210之内启动可执行的应用。如果行为分析模块230确定可执行的应用具有执行恶意的活动的潜在可能,然后在408处,方法400将可执行的应用重定向到诸如沙箱执行环境220之类的沙箱执行环境中。如果可执行的应用将在沙箱执行环境220中执行,则方法400继续,在420处,沙箱执行环境220执行可执行的应用。
在其中可执行的应用执行在沙箱执行环境220之内的示例中,方法400继续,在422处,行为分析模块230在可执行的应用正在运转的同时执行行为分析。在此示例中,行为分析模块230不断地和动态地更新关于执行在沙箱环境220之内的可执行的应用的信息。在424处,方法400继续,行为分析模块230确定可执行的环境是否可以改变。例如,如果行为分析模块230在动态监视可执行的应用之后确定可执行的应用对系统200不再造成威胁,则可以从沙箱环境220移除可执行的应用。如果可执行的应用可以从沙箱环境220移除,那么方法400在426处继续,通过将可执行的应用从沙箱环境220中移动到标准执行环境210内。如果可执行的应用不能从沙箱环境220移除,那么在426处方法400循环返回到操作420并继续,直到可执行的应用完成或移到沙箱环境220之外。
转移回到操作408,如果行为分析模块230确定可执行的应用可以执行在标准执行环境210之内,那么方法400继续,在410处,系统200在标准执行环境210之内执行可执行的应用。在412处,方法400继续,行为分析模块230对执行在标准执行环境210之内的可执行的应用执行行为分析。在操作412,系统200动态地监视可执行的应用用于对恶意(或可疑)行为的任何签名。行为分析模块230监视增大系统200暴露给恶意操作的事件。行为分析模块230监视的事件可以包括:打开资源文件或数据库,加载插件(例如,脚本和一些诸如库或DLL之类的可执行的应用),由其它进程操纵,操纵其它进程,访问网络,访问互联网,或访问互联网上的已知良好站点之外的站点(例如,黑名单站点),这里仅举数例。
在414处,方法400继续,行为分析模块230基于所监视到的可执行的应用的行为特性确定是否应该改变可执行的环境。在操作412处执行的动态行为分析允许系统200在可执行的应用执行的同时变更可执行的应用(或者可执行的应用的一部分)的可执行的环境。这使系统200能够保护自身免遭看起来安全但结果是恶意的应用的危害。例如,行为分析模块230可以确定某一应用来自于已知的和可信赖的源,允许该应用在标准执行环境210之内启动。然而,在操作期间用户可以指示应用从未知源下载新的插件。可以配置行为分析模块230以拦截此事件并指示系统200将新的插件重定向到沙箱执行环境220内以执行并加强监视。在另一个示例中,行为分析模块230可以基于应用的历史行为的分析确定应用可以执行在标准执行环境210之内。然而,在执行期间应用可能违反管理可接受行为的安全策略而试图更新客户端系统110的配置数据库。在此示例中,行为分析模块230可以指示系统200将正在执行的应用移入沙箱执行环境220以保护系统200免遭任何更进一步的潜在危害。
在416处,方法400用行为分析模块230检查以确定可执行的应用是否应该移入沙箱执行环境220。如果要移动可执行的应用,那么方法400继续,在420处,系统200继续可执行的应用在沙箱执行环境220之内的执行。如果不打算将可执行的应用移入沙箱环境,那么方法400循环返回到操作408并继续,直到可执行的应用终止。
图5是描述了使用行为分析为可执行的应用配置执行环境的方法500的具有泳道的流程图。方法500包括来自方法400的操作和一些附加的可选择的操作,诸如在502处应用安全策略,在510处确定沙箱限制范围,以及在504和512处监视可执行的应用。
方法500包括操作502,其中行为分析模块230应用安全策略。在一示例中,安全策略可以从诸如本地服务器140之类的中心服务器获得。在另一个示例中,安全策略对于每一单独的客户端系统110可以是本地的。在某些示例中,安全策略可以由用户控制。在其它示例中,安全策略可以在组织级由网络或系统管理员控制。安全策略可以包括受限的操作的列表、黑名单的站点或应用的列表、默认执行在沙箱环境内的应用、沙箱化的特定例外、用户或群级别的限制、用户或群级别的许可和用户或群级别的解除。
正如在图5中所描述的,在行为分析模块230于操作404处执行任何行为分析之前,可以应用安全策略。应用安全策略可以识别或者是已知可信赖的或者是已知潜在恶意的可执行的应用,以防止任何进一步的行为分析变成必需的。安全策略还可以用于配置行为分析模块230。在其它示例中,安全策略可以应用在方法500之内的其它点,或者仅仅被行为分析模块230用于执行行为分析。
方法500还可以包括操作510,其中行为分析模块确定应用于沙箱执行环境220的限制范围。在一示例中,行为分析模块230可以使用有关可执行的应用的信息以确定当应用在沙箱执行环境220之内执行时应该如何限制对可执行的应用的控制。在某些示例中,行为分析模块230还可以使用源于安全策略的信息以配置对沙箱环境的限制。限制范围可以包括:系统资源访问,访问网络资源,互联网访问,由可信赖源签名的插件,网络地址范围,上黑名单的站点,通信协议(允许或者限制),与其它进程通信,或者与沙箱环境之外的进程通信。允许行为分析模块230有选择地配置沙箱环境可以增强沙箱化进程的功能,使能对允许执行什么可执行的应用的更细的控制级别,同时仍然维持最低安全级别。有选择地配置沙箱环境还可以通过允许在沙箱环境之内更密切地监视更多可执行的应用来增强安全,同时仍然使得可执行的应用能够执行必需的操作。
方法500包括操作504和512,其中系统监视引擎240监视由可执行的应用执行的操作的可配置的范围。在操作504处,方法500监视在标准执行环境210之内正在执行的可执行的应用。在一示例中,由系统监视引擎240在504处收集的监视信息可以被行为分析模块230用于确定可执行的应用是否应该移入沙箱环境220。正如以上论述的,由于在应用开始之后检测到的意外潜在恶意行为,可执行的应用可能需要移入沙箱环境。在操作512处,方法500监视在沙箱执行环境220之内正在执行的可执行的应用。在一示例中,由系统监视引擎240在512处收集的监视信息可以被行为分析模块230用于确定可执行的应用是否可以移出沙箱环境。监视可执行的应用在沙箱环境220之内的执行还可以用于确定由应用产生的信息是否可以传递到沙箱环境220之外。另外,监视的信息可用于动态地增大或减小应用于沙箱环境220的限制范围。
图6是依照示例描述了在可执行的应用的行为分析中的可选操作的流程图。方法404包括在602处应用安全策略、在604处分析可执行的应用特性和在606处分析要由可执行的应用所访问的资源。在此示例中,可以配置行为分析模块230以既在可执行的应用在执行环境之内执行之前又在可执行的应用执行的同时(例如在方法400之内的操作422处)执行操作602、604和606。
如在图6中所描述的,方法404开始于应用安全策略的行为分析模块230。在一示例中,应用安全策略配置行为分析模块230如何执行行为分析。例如,安全策略可以控制行为分析模块230如何对应用的起源或未签字的安全证书作出反应。安全策略还可以被用作列为黑名单的URL或应用的源,等等。
在604处,方法404继续,行为分析模块230分析关于可执行的应用的所有可用特性。特性可以包括起源(例如,URL或主机系统信息)、资源要求、过去的操作、信赖级别(例如,通过访问在线信誉数据库所确定的)或安全证书。行为分析模块230可以使用这些特性来确定可执行的应用是否有可能构成恶意的活动的威胁。
在606处,方法404完成,行为分析模块230分析可以由可执行的应用访问的资源。在一示例中,行为分析模块230可以分析实时可解释的应用的代码以确定应用可能试图访问什么资源。在另一个示例中,行为分析模块230可以依靠详述了应用所执行的过去操作的信息以便确定应用可能试图访问什么资源。
图7是依照示例描述了在为可执行的应用确定执行环境中的可选操作的流程图。确定可执行的环境的方法406可以可选地包括诸如以下的操作,在702处应用安全策略,在704处分析安全证书,在706处对比安全数据库检查应用签名,在708处确定执行在沙箱环境中的可执行的应用的一部分,在710处为沙箱环境确定限制范围,以及在712处为由可执行的应用在沙箱环境之内执行的操作确定处置。正如以上论述的,安全策略可以应用在诸如方法400或方法500之类的行为沙箱化的方法中的各个点。在此示例中,安全策略可以由行为分析模块230应用于为可执行的应用确定执行环境。
在此示例中,方法406继续,在操作704处,行为分析模块230分析可执行的应用的安全证书。在一示例中,下载的应用可以经由诸如安全套接层(SSL)或者传输层安全(TLS)之类的安全通信信道接收。典型地,SSL或TLS使用由证书机构提供的且包括可以验证的数字签名的证书。如果用于下载可执行的应用的连接利用具有有效数字签名的证书担保,那么应用来自可以信赖的源变得更加可能。行为分析模块230在确定可执行的应用是否应该执行在沙箱环境之内时可以包括安全类型和安全证书的有效性。
在706处,方法406可以继续,行为分析模块230对比安全数据库来检查应用签名(或其它鉴别特性)。在一示例中,针对每一可执行的应用的签名可以通过散列算法创建并保存在诸如数据库140之类的数据库中。关于应用的信赖价值的信息可以在与唯一签名相关联的数据库内分类。威胁数据库可以保持在本地或在诸如远程数据库170之类的中心。位于中心的威胁数据库可以从多个位置收集关于潜在恶意的以及已知是安全的应用的数据,因而提供对潜在的已知威胁的更广泛的观察。
在708处,方法406可以继续,行为分析模块230确定要在沙箱执行环境之内执行的可执行的应用的一部分。正如以上论述的,可执行的应用经常执行为多个执行线程,或者可以包括多个不同的可以在某种程度上独立执行的组件。在一示例中,系统200能够在沙箱环境之内执行可执行的应用的单独的线程或者甚至单独的纤程,同时允许应用的其余部分执行在标准执行环境中。例如,如果行为分析模块230确定应用的某一线程有破坏存储器的历史,那么该潜在恶意的线程可以移入沙箱环境220执行。沙箱环境220可以使用受保护的存储空间以防止任何存储器破坏不利地影响到系统的其余部分。
在710处,方法406可以继续,行为分析模块230为沙箱环境确定限制范围。正如以上论述的,用于沙箱环境220的限制范围可以包括在沙箱之内允许什么级别的I/O,是否允许沙箱化的应用与沙箱环境220外面通信,是否允许沙箱之外的进程操纵沙箱环境220之内执行的进程,以及是否允许互联网访问在沙箱环境220之内的进程,等等。
最后在712处,方法406可以结束于行为分析模块230为在沙箱环境220之内执行的操作确定处置。在一示例中,由在沙箱执行环境220之内的进程执行的操作可以被例如系统监视引擎240拦截。一旦被拦截,这些操作可以被一起阻止(无声地或者向用户发送错误或者调用应用)、被允许访问指定的资源(例如,在数据库中的数据,存储位置,网络装置)或者被重定向到由沙箱环境控制的私有位置。在此示例中,行为分析模块230可以基于可执行的应用的行为特性确定如何配置沙箱环境220。例如,如果配置沙箱环境220以将所有操作重定向到私有的受限的资源空间之内,那么仅允许可执行的应用与来自主机系统的镜像的数据交互。在沙箱化的应用终止后,通过或者从系统中清除或者用由沙箱化的应用执行的操作更新主机系统,来处置私有的(镜像的)数据。注意,只有如果可执行的应用在沙箱环境220之内在操作期间没有违反任何安全策略或执行任何潜在恶意操作,才可能允许更新主机系统。在某些示例中,操作在沙箱环境之外的进程可以被允许访问私有资源以得到由沙箱化的可执行的应用产生的信息。
图8是描述了使用行为分析来分析可执行的应用的示例方法800的流程图。方法800包括以下操作:在802处检测可执行的应用的启动,在804处执行可执行的应用的行为分析,在806处确定是否在沙箱执行环境之内执行可执行的应用,在808处在标准执行环境中开始可执行的应用,在810处对正在执行的可执行的应用执行行为分析,在812处确定可执行的应用是否应该移入沙箱执行环境,在814处确定可执行的应用是否仍然在执行,在822处配置沙箱执行环境,在824处在沙箱执行环境之内开始可执行的应用,在826处对正在执行的可执行的应用执行行为分析,以及在830处确定是否继续在沙箱执行环境之内执行可执行的应用。在一些示例中,方法800还可以包括在820处确定沙箱化的范围以及在832处处置沙箱化的数据和操作。
在一示例中,方法800在802处开始,系统监视引擎240检测可执行的应用的启动。在此示例中,系统监视引擎240可以指示系统200保持可执行的应用的执行,同时可执行的应用被分析以确定其是否可能是恶意的。在804处,方法800继续,行为分析模块230对可执行的应用执行行为分析。行为分析模块230分析可执行的应用以获取恶意软件或违犯安全策略的任何指示。接下来,在806处,方法800继续,行为分析模块230确定可执行的应用是否被移入沙箱执行环境220。
如果允许可执行的应用执行在诸如标准执行环境210之类的标准执行环境之内,则方法800在808处继续。在一示例中,在808处,方法800在标准可执行的环境210中开始可执行的应用。在810处,方法800继续,行为分析模块230对正在执行的可执行的应用执行行为分析。在某些示例中,系统监视引擎240可用于监视由可执行的应用执行的操作。可以由行为分析模块230针对潜在恶意行为来分析所监视的操作。在812处,行为分析模块230动态地确定正在执行的可执行的应用是否应该移入沙箱环境。如果在812处可执行的应用不被移入沙箱环境,则方法800在操作814处继续。在814处,方法800继续,系统200确定可执行的应用是否已经终止。如果可执行的应用继续执行,则方法800循环返回到操作808。
回到操作812处,如果行为分析模块230确定可执行的应用表现出潜在恶意行为,那么通过将可执行的应用移入沙箱执行环境220内,方法800继续。
方法800执行类似任务,不论沙箱化正在执行的可执行的应用还是仍然在启动进程中的可执行的应用。在某些示例中,方法800在820处开始沙箱化进程,其中行为分析模块230确定沙箱化范围。沙箱化范围可以包括沙箱环境对像盘I/O或网络访问的事物有多限制,以及可执行的应用的什么部分实际上执行在沙箱环境220之内。在一示例中,沙箱化进程在操作822处开始,行为分析模块230根据诸如沙箱化范围或安全策略之类的输入配置沙箱环境220。
在一示例中,一旦配置了沙箱执行环境220,方法800在824处通过在沙箱执行环境220之内开始或继续可执行的应用而继续。接下来,方法800在826处继续,行为分析模块230对正在执行的可执行的应用执行行为分析。在此示例中,对正执行在沙箱执行环境220之内的可执行的应用执行行为分析,以便动态地确定在可执行的应用或周围环境方面的变化是否允许从沙箱执行环境220中移除可执行的应用。在828处,方法800继续,行为分析模块230确定是否继续沙箱化可执行的应用。如果可执行的应用保持在沙箱执行环境220之内,则方法800继续到操作830。在操作830处,系统200确定可执行的应用是否继续执行。如果可执行的应用继续执行,则方法800循环返回到操作826。如果可执行的应用已经终止,那么方法800在操作832处结束。在832处,系统200处置沙箱化的数据和操作。沙箱化数据的处置可以包括清除来自系统的信息或者允许系统200更新受影响的资源。在某些示例中,沙箱化的数据和操作还可以适用于在标准执行环境210之内的进程,同时保持该数据和操作在分割的资源之内。
回到操作828处,如果确定可执行的应用可以从沙箱执行环境220移除,则方法800在操作814处继续。
主要在客户端系统110内的操作方面描述了以上方法。然而,类似方法或如上所述的多个部分可以在网关装置120之内实现。例如,可以配置网关装置120以检测从广域网130下载的可执行的应用。还可以配置网关装置120以对引入的可执行的应用执行行为分析。最初行为分析结果可以与客户端系统110共享,于是客户端系统110可以酌情沙箱化引入的可执行的应用。
模块,组件和逻辑
在此描述了包括逻辑或许多组件、模块、引擎或机制的某些实施例。模块可以构成要么软件模块(例如,实现在机器可读介质上的代码或在传输信号中的代码)要么硬件模块。硬件模块是能够执行某些操作且可以以某种方式配置或布置的有形的单元。在示例实施例中,一个或更多个计算机系统(例如,单机,客户端,或服务器计算机系统)或计算机系统的一个或更多个硬件模块(例如,一处理器或一群处理器)可以由软件(例如,应用或部分应用)配置为工作以执行在此描述的某些操作的硬件模块。
在各种实施例中,可以机械地或电子地实现硬件模块。例如,硬件模块可以包含永久被配置为执行某些操作的专用电路或逻辑(例如,特定目的处理器,诸如现场可编程门阵列(FPGA)或特定应用集成电路(ASIC))。硬件模块还可以包含暂时由软件被配置为执行某些操作的可编程序逻辑或电路(例如,如在通用处理器或其它可编程处理器内所含有的)。将会理解,是用专用和永久配置的电路还是用暂时配置的电路(例如,由软件配置的)来机械地实现硬件模块的决策可以由成本和时间考虑来驱动。
因此,应该理解术语“硬件模块”涵盖有形的实体,是物理上构造的、永久配置(例如,硬连接)或暂时配置(例如,编程)为用某种方式操作和/或执行在此描述的某些操作的有形实体。考虑其中硬件模块被暂时配置(例如,编程)的实施例,不必实时地在任何一个实例处配置或实例化每一硬件模块。例如,当硬件模块包含使用软件配置的通用处理器时,通用处理器在不同时间可以配置为各个不同的硬件模块。软件可以相应地配置处理器,例如,以在一个时间实例处构成特殊的硬件模块,以及在不同的时间实例处构成不同的硬件模块。
硬件模块可以提供信息给其它硬件模块,以及从其它硬件模块接收信息。因此,所描述的硬件模块可以被认为是通信地耦合的。当多个这样的硬件模块同时存在时,可以通过连接硬件模块的信号传输(例如,经由合适的电路和总线)完成通信。在其中不同时间配置或实例化多个硬件模块的实施例中,这些硬件模块之间的通信可以例如通过信息在多个硬件模块所访问的存储器结构中的存储与取回来实现。例如,一个硬件模块可以执行操作并将该操作的输出存储在其通信地耦合的存储设备中。进一步的硬件模块然后可以在稍后的时间访问存储设备以取回并处理所存储的输出。硬件模块还可以用输入/输出装置开始通信,且可以对资源进行操作(例如,收集信息)。
在此描述的示例方法的各种操作可以至少部分地由一个或更多个暂时配置(例如,由软件)或永久被配置为执行相关操作的处理器执行。不论暂时地还是永久地配置,这样的处理器可以构成运转以执行一个或更多个操作或功能的处理器实现的模块。在一些示例实施例中,在此提到的模块可以包含处理器实现的模块。
类似地,在此描述的方法可以至少部分是处理器实现的。例如,方法的至少一些操作可以由一个或更多个处理器或处理器实现的模块执行。某些操作的执行可以分布在一个或更多个处理器之中,不是只驻留在单个机器之内,而是部署于多个机器之中。在一些示例实施例中,一处理器或多处理器可以位于单个位置(例如,在家庭环境、办公室环境之内或作为服务器机群),而在其它实施例中,多处理器可以分布在多个位置之中。
一个或更多个处理器还可以运转以支持在“云计算”环境中的或作为SaaS的相关操作的执行。例如,至少一些操作可以由计算机群(作为包括处理器的机器的示例)来执行,这些操作可通过网络(例如,互联网)以及通过一个或更多个合适的接口(例如,API)来访问。
电子设备和系统
示例实施例可以用数字电子电路或用计算机硬件、固件、软件或用这些的组合实现。示例实施例可以使用计算机程序产品(例如,有形地实现在信息载体中的、在机器可读介质中的计算机程序,由数据处理设备、可编程处理器、计算机或者多个计算机执行,或者控制它们的操作)实现。
计算机程序可以用任何形式的编程语言编写,包括编译的或解释的语言,并且其可以以任何形式部署,包括作为单机程序或作为模块、子程序或者适合用于计算环境的其它单元。可以部署计算机程序以使其执行在一个计算机上,或者在位于一个站点或分布在多个站点之中并由通信网络互相连接的多个计算机上。
在示例实施例中,操作可以由一个或更多个执行计算机程序的可编程处理器执行以通过操作输入数据并产生输出来执行功能。方法操作还可以由特殊用途逻辑电路执行,且示例实施例的设备可以实现为特殊用途逻辑电路,特殊用途逻辑电路例如现场可编程门阵列(FPGA)或特定应用集成电路(ASIC)。
计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离,且一般通过通信网络相互作用。客户端和服务器的关系依据执行在各个计算机上的且彼此具有客户端-服务器关系的计算机程序呈现。在部署可编程的计算系统的实施例中,将会理解硬件和软件结构两者都需要考虑。特别地,将会理解,是用永久配置的硬件(例如,ASIC)、暂时配置的硬件(例如,软件和可编程处理器的组合)还是用永久和暂时配置的硬件的组合来实现某些功能的选择可以是设计选择。下面陈述在各种示例实施例中可以部署的硬件(例如,机器)和软件体系结构。
示例机器体系结构和机器可读介质
图9是以计算机系统900为示例形式的机器的方框图,在其内可以执行用于致使机器执行在此论述的方法中的任何一个或更多个的指令。照此,在一实施例中,计算机系统900包含系统900。在可替换的实施例中,机器作为独立装置运转,或可以连接(例如,联网)到其它机器。在联网的部署中,机器可以在服务器-客户端网络环境中以服务器或客户端机器的能力运转,或者在点对点(或分布式)网络环境中作为对等机。该机器可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、蜂窝式电话、网站装备、网络路由器、交换机或桥接器,或者是任何能够执行指定由该机器将采取的行动的指令(顺序的或别的方式)的机器。进一步地,在仅仅示出了单个机器的同时,也应该使术语“机器”包括独立地或共同地执行一个(或多个)指令集以执行在此论述的方法中的任何一个或多个的机器的任一集合。
示例计算机系统900包括处理器902(例如,中央处理单元(CPU)、图形处理单元(GPU),或两者)、主存储器904和静态存储器906,它们通过总线908彼此通信。计算机系统900可以进一步包括视频显示单元910(例如,液晶显示器(LCD)或者阴极射线管(CRT))。计算机系统900还包括字母数字输入装置912(例如,键盘)、用户接口(UI)导航装置914(例如,鼠标)、盘驱动装置916、信号产生装置918(例如,扬声器)和网络接口装置920。
机器可读介质
盘驱动器单元916包括机器可读介质922,其上存储有被在此描述的方法或功能中的任何一个或更多个实现或利用的数据结构和指令(例如,软件)924的一个或多个集合。指令924也可以完全或者至少部分地驻留在主存储器904之内,和/或在由计算机系统900执行期间驻留在处理器902之内,其中主存储器904和处理器902也构成机器可读介质。
虽然在示例实施例中示出机器可读介质922是单个介质,但是术语“机器可读介质”可以包括存储一个或更多个数据结构和指令924的单个介质或多个介质(例如,集中的或分布式数据库,和/或相关的高速缓存和服务器)。也应该使术语“机器可读介质”包括任何有形的介质,其能够存储、编码或携带由机器执行的且使得机器执行本发明的当前实施例的方法中的任何一个或更多个的指令,或者其能够存储、编码或者携带被这样的指令所利用的或与这样的指令相关联的数据结构。因此应该使术语“机器可读介质”包括,但不局限于,固态存储器以及光学和磁性介质。机器可读介质的特定示例包括非易失性存储器,包括举例来说半导体存储器装置,例如,可擦除可编程只读存储器(EPROM),电可擦除可编程只读存储器(EEPROM),以及闪速存储器装置;磁盘,诸如内部硬盘和可移除盘;磁光盘;以及CD-ROM和DVD-ROM盘。
传输介质
可以进一步经由使用传输介质的通信网络926传输或接收指令924。可以使用网络接口装置920和大量众所周知的传递协议(例如,HTTP)中的任何一个来传输指令924。通信网络的示例包括局域网(LAN)、广域网(WAN)、互联网、移动电话网、简易老式电话(POTS)网络以及无线数据网络(例如,WiFi和WiMax网络)。应该使术语“传输介质”包括任何无形的介质,其能够存储、编码或携带由机器执行的指令,并且包括数字的或模拟的通信信号或者其它无形的介质以便于这样的软件的通信。
因而,已经描述了向基于网络的市场中的用户作出上下文建议的方法和系统。虽然已经参考特定示例实施例描述了本发明的当前实施例,但是显然可以对这些实施例作出各种调整和变动而不背离本发明实施例的更加广泛的范围和精神。因此,说明书和附图应以说明性而非限制性意义来考虑。
虽然已经参考特定示例实施例描述了实施例,但是显然可以对这些实施例作出各种调整和变动而不背离本发明实施例的更加广泛的范围和精神。因此,说明书和附图应以说明性而非限制性意义来考虑。构成本发明的一部分的附图用图例说明的方法,而不是限制性地,显示了可以实践主题的特定实施例。足够详细地描述了示出的实施例以使本领域技术人员能够实践在此公开的教导。可以利用并从此导出其它实施例,以使可以作出结构的和合乎逻辑的替换和变动而没有背离此公开的范围。因此,不以局限的意义看待此详细说明,并且仅由附加的权利要求书,连同这些权利要求书所被授权的全部等效范围,来定义各种实施例的范围。
本发明主题的这样的实施例可以单独地和/或总体地被称为术语“发明”,只为方便起见,且如果实际公开了不止一个,则没有意图主动将此应用的范围局限于任何单一发明或发明构思。因而,虽然已经在此示出和描述了特定实施例,但是应该理解可以用适于达到相同目的的任何布置来代替所显示的特定实施例。此公开意图覆盖各种实施例的任何和所有修改或变体。以上实施例和没有在此特别描述的其它实施例的组合对于本领域技术人员在审阅以上描述时是显而易见的。
在此文件中提及的所有出版物、专利和专利文件通过整体引用而被合并于此,就好像通过引用分别合并一样。如果在此文件和通过引用所合并的那些文件之间发生不一致的用法,在所合并的引文中的用法应该认为是对此文件的用法的补充;对于矛盾的不一致之处,在此文件里的用法起支配作用。
在此文件中,在专利文件中通用的术语“一”或“一个”用于包括一个或大于一个,不依赖于任何其它实例或“至少一个”或“一个或更多个”的用法。在此文件里,术语“或”用于指代非排他性的或者使得“A或B”包括“A而不是B”、“B而不是A”和“A和B”,除非另有陈述。在附加的权利要求书中,术语“包括”和“在其中”分别用作术语“包含”和“其中”的等价通俗说法。此外,在下面的权利要求书中,术语“包括”和“包含”是开放的,那就是说,包括除了在这样的术语后面列出的元件之外的元件的系统、装置、制品或进程仍然被视为落入那些权利要求的范围。此外,在下面的权利要求书中,如果使用了术语“第一”、“第二”和“第三”等,其只被用作标记,而并非意欲向其对象施加数值条件。
遵照37C.F.R.§1.72(b)提供本公开的摘要,其要求摘要能使读者迅速了解技术公开的本质。应当理解,它不会用于解释或限制权利要求书的范围或意思。此外,在前面的具体实施方式中,能够看出为了简化本公开起见各种特征集中了在单个实施例里。在此公开的方法并非解释为反映了所主张的实施例需要比在每一权利要求中所明确记载的更多的特征。而是如以下权利要求书所反映的,发明的主旨以少于单个所公开实施例的所有特征而展现。因而,以下权利要求书由此并入该具体实施方式中,其中每一权利要求作为单独的实施例独立存在。

Claims (22)

1.一种用于在具有包括第一执行环境和第二执行环境的多个执行环境的系统中确定执行环境的方法,所述第二执行环境是受保护的执行环境,该方法包括:
在可执行应用的每次执行之前,对该可执行应用执行行为分析,该步骤包括:
在该可执行应用的每次执行之前,从远程安全数据库请求有关该可执行应用的可疑活动或策略外活动的先前执行的行为信息;以及
评估响应于该请求获得的行为信息;
在可执行应用的每次执行之前,基于所述行为分析来确定初始执行环境,该步骤包括:
确定该可执行应用的单次执行在第一执行环境中执行的第一部分和该单次执行在第二执行环境中执行的第二部分;以及
将初始执行环境确定为所述第一执行环境和第二执行环境中的一个;
加载该可执行应用以在所述初始执行环境中执行;
当该可执行应用在所述初始执行环境内执行时,收集该可执行应用的行为特性;以及
在该可执行应用仍然在所述初始执行环境内执行的同时,从所收集的行为特性确定该可执行应用的执行是否应当从所述初始执行环境移动到次级执行环境,
其中所述初始执行环境和所述次级执行环境中的仅仅一个是受保护的执行环境。
2.如权利要求1所述的方法,其中在执行之前执行行为分析包括:评估与该可执行应用有关的一个或更多个特性,所述一个或更多个特性指示该可执行应用的起源。
3.如权利要求2所述的方法,其中在执行之前执行行为分析包括:分析该可执行应用将使用的资源。
4.如权利要求2至3中的任一个所述的方法,其中该一个或更多个特性包括以下中的一个或更多个:
从其接收该可执行应用的网络地址;
请求该可执行应用的进程的信赖级别;以及
来自可信源的签名的证书。
5.如权利要求1所述的方法,其中加载该可执行应用以在所述第二执行环境内执行包括:在该可执行应用的执行之前确定应用于该第二执行环境的限制范围。
6.如权利要求5所述的方法,其中确定限制范围包括:确定什么类型的活动应该包含在该第二执行环境之内。
7.如权利要求5所述的方法,其中确定限制范围包括:确定对于由该可执行应用在该第二执行环境之内执行的操作的处置。
8.如权利要求1所述的方法,其中从所收集的行为特性进行确定包括检测潜在恶意的活动,所述潜在恶意的活动包括:
打开资源文件;
加载插件;
由其它进程操纵;
操纵其它进程;以及
访问互联网。
9.如权利要求1所述的方法,其中确定初始执行环境包括应用安全策略。
10.如权利要求1所述的方法,其中该可执行应用的单次执行的所述第一部分包括以下的执行:
纤程;
线程;
进程;
动态链接库;
脚本;或
插件组件。
11.一种用于在具有包括第一执行环境和第二执行环境的多个执行环境的系统中确定执行环境的装置,所述装置包括:
计算机,包括一个或多个处理器,其中所述一个或多个处理器被配置为:
在可执行应用的每次执行之前,对该可执行应用执行行为分析,该步骤包括:
在该可执行应用的每次执行之前,从远程安全数据库请求有关该可执行应用的可疑活动或策略外活动的先前执行的行为信息;以及
评估响应于该请求获得的行为信息;
在可执行应用的每次执行之前,基于所述行为分析来确定初始执行环境,该步骤包括:
确定该可执行应用的单次执行在第一执行环境中执行的第一部分和该单次执行在第二执行环境中执行的第二部分;以及
将初始执行环境确定为所述第一执行环境和第二执行环境中的一个;
加载该可执行应用以在所述初始执行环境中执行;
当该可执行应用在所述初始执行环境内执行时,收集该可执行应用的行为特性;以及
在该可执行应用仍然在所述初始执行环境内执行的同时,从所收集的行为特性确定该可执行应用的执行是否应当从所述初始执行环境移动到次级执行环境,
其中所述初始执行环境和所述次级执行环境中的仅仅一个是受保护的执行环境。
12.如权利要求11所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为评估与该可执行应用有关的一个或更多个特性,其中所述特性指示该可执行应用的提供者是否能够被信任。
13.如权利要求12所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为评估多个特性,所述多个特性包括以下中的两个或更多个:
从其接收该可执行应用的网络地址;
请求该可执行应用的进程的信赖级别;以及
来自可信源的签名的证书。
14.如权利要求11至12中的任一个所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为在可执行应用的执行之前,分析该可执行应用如果被执行将使用的资源。
15.如权利要求11所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为确定受保护的执行环境将使用来控制该可执行应用的执行的限制范围。
16.如权利要求15所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为确定什么类型的活动应该包含在所述受保护的执行环境之内。
17.如权利要求15所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为当确定由所述受保护的执行环境使用的限制范围时应用安全策略。
18.如权利要求15所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为确定对于由该可执行应用在该受保护的执行环境之内执行的操作的处置。
19.如权利要求11所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为检测潜在恶意的活动,所述潜在恶意的活动包括:
打开资源文件;
加载插件;
由其它进程操纵;
操纵其它进程;以及
访问互联网。
20.如权利要求11所述的装置,其中被配置为执行行为分析的所述一个或多个处理器进一步被配置为当评估所述可执行应用的多个行为特性以确定所述初始执行环境是否应当是受保护的执行环境时,应用安全策略。
21.如权利要求11所述的装置,其中该可执行应用的单次执行的所述部分包括以下的执行:
纤程;
线程;
进程;
动态链接库;
脚本;或
插件组件。
22.一种机器可读介质,包括代码,当所述代码被执行时使得机器执行根据权利要求1至10中的任一个所述的方法。
CN201610109201.4A 2009-12-15 2010-12-14 用于行为沙箱化的系统和方法 Pending CN105893228A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/638,660 US8479286B2 (en) 2009-12-15 2009-12-15 Systems and methods for behavioral sandboxing
US12/638,660 2009-12-15
CN201080062808.2A CN102741824B (zh) 2009-12-15 2010-12-14 用于行为沙箱化的系统和方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201080062808.2A Division CN102741824B (zh) 2009-12-15 2010-12-14 用于行为沙箱化的系统和方法

Publications (1)

Publication Number Publication Date
CN105893228A true CN105893228A (zh) 2016-08-24

Family

ID=44144450

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201080062808.2A Active CN102741824B (zh) 2009-12-15 2010-12-14 用于行为沙箱化的系统和方法
CN201610109201.4A Pending CN105893228A (zh) 2009-12-15 2010-12-14 用于行为沙箱化的系统和方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201080062808.2A Active CN102741824B (zh) 2009-12-15 2010-12-14 用于行为沙箱化的系统和方法

Country Status (6)

Country Link
US (2) US8479286B2 (zh)
EP (1) EP2513805B1 (zh)
JP (2) JP5592956B2 (zh)
KR (1) KR101442654B1 (zh)
CN (2) CN102741824B (zh)
WO (1) WO2011084431A2 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109952564A (zh) * 2016-11-08 2019-06-28 易享信息技术有限公司 数据库系统中测试数据的形成与操纵
CN110795311A (zh) * 2019-10-30 2020-02-14 北京三快在线科技有限公司 一种事件回放的方法及装置
CN113918950A (zh) * 2021-12-14 2022-01-11 成都无糖信息技术有限公司 一种基于模拟执行的沙箱构建方法

Families Citing this family (387)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US8959624B2 (en) 2007-10-31 2015-02-17 Bank Of America Corporation Executable download tracking system
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US9026668B2 (en) 2012-05-26 2015-05-05 Free Stream Media Corp. Real-time and retargeted advertising on multiple screens of a user watching television
US9961388B2 (en) 2008-11-26 2018-05-01 David Harrison Exposure of public internet protocol addresses in an advertising exchange server to improve relevancy of advertisements
US9519772B2 (en) 2008-11-26 2016-12-13 Free Stream Media Corp. Relevancy improvement through targeting of information based on data gathered from a networked device associated with a security sandbox of a client device
US9154942B2 (en) 2008-11-26 2015-10-06 Free Stream Media Corp. Zero configuration communication between a browser and a networked media device
US10880340B2 (en) 2008-11-26 2020-12-29 Free Stream Media Corp. Relevancy improvement through targeting of information based on data gathered from a networked device associated with a security sandbox of a client device
US8180891B1 (en) 2008-11-26 2012-05-15 Free Stream Media Corp. Discovery, access control, and communication with networked services from within a security sandbox
US9986279B2 (en) 2008-11-26 2018-05-29 Free Stream Media Corp. Discovery, access control, and communication with networked services
US10334324B2 (en) 2008-11-26 2019-06-25 Free Stream Media Corp. Relevant advertisement generation based on a user operating a client device communicatively coupled with a networked media device
US10567823B2 (en) 2008-11-26 2020-02-18 Free Stream Media Corp. Relevant advertisement generation based on a user operating a client device communicatively coupled with a networked media device
US9386356B2 (en) 2008-11-26 2016-07-05 Free Stream Media Corp. Targeting with television audience data across multiple screens
US10419541B2 (en) 2008-11-26 2019-09-17 Free Stream Media Corp. Remotely control devices over a network without authentication or registration
US10631068B2 (en) 2008-11-26 2020-04-21 Free Stream Media Corp. Content exposure attribution based on renderings of related content across multiple devices
US10977693B2 (en) 2008-11-26 2021-04-13 Free Stream Media Corp. Association of content identifier of audio-visual data with additional data through capture infrastructure
US8745361B2 (en) 2008-12-02 2014-06-03 Microsoft Corporation Sandboxed execution of plug-ins
US9588803B2 (en) 2009-05-11 2017-03-07 Microsoft Technology Licensing, Llc Executing native-code applications in a browser
US9954875B2 (en) 2009-06-26 2018-04-24 International Business Machines Corporation Protecting from unintentional malware download
US9298894B2 (en) 2009-06-26 2016-03-29 International Business Machines Corporation Cache structure for a computer system providing support for secure objects
US9846789B2 (en) * 2011-09-06 2017-12-19 International Business Machines Corporation Protecting application programs from malicious software or malware
US8578175B2 (en) 2011-02-23 2013-11-05 International Business Machines Corporation Secure object having protected region, integrity tree, and unprotected region
US8819446B2 (en) 2009-06-26 2014-08-26 International Business Machines Corporation Support for secure objects in a computer system
US8839422B2 (en) 2009-06-30 2014-09-16 George Mason Research Foundation, Inc. Virtual browsing environment
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8479286B2 (en) 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US9185064B2 (en) * 2010-01-15 2015-11-10 Microsoft Technology Licensing, Llc Interactive email
US8782209B2 (en) 2010-01-26 2014-07-15 Bank Of America Corporation Insider threat correlation tool
US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
US8800034B2 (en) 2010-01-26 2014-08-05 Bank Of America Corporation Insider threat correlation tool
US9038187B2 (en) * 2010-01-26 2015-05-19 Bank Of America Corporation Insider threat correlation tool
US8813232B2 (en) 2010-03-04 2014-08-19 Mcafee Inc. Systems and methods for risk rating and pro-actively detecting malicious online ads
US8918867B1 (en) * 2010-03-12 2014-12-23 8X8, Inc. Information security implementations with extended capabilities
US9390263B2 (en) 2010-03-31 2016-07-12 Sophos Limited Use of an application controller to monitor and control software file and application environments
US8782794B2 (en) 2010-04-16 2014-07-15 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US9491055B1 (en) * 2010-04-21 2016-11-08 Sprint Communications Company L.P. Determining user communities in communication networks
US9836724B2 (en) 2010-04-23 2017-12-05 Microsoft Technology Licensing, Llc Email views
US9098333B1 (en) * 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
US9148428B1 (en) 2011-05-25 2015-09-29 Bromium, Inc. Seamless management of untrusted data using virtual machines
US9104837B1 (en) * 2012-06-18 2015-08-11 Bromium, Inc. Exposing subset of host file systems to restricted virtual machines based on upon performing user-initiated actions against host files
US9116733B2 (en) * 2010-05-28 2015-08-25 Bromium, Inc. Automated provisioning of secure virtual execution environment using virtual machine templates based on requested activity
US9323921B2 (en) * 2010-07-13 2016-04-26 Microsoft Technology Licensing, Llc Ultra-low cost sandboxing for application appliances
US9246932B2 (en) * 2010-07-19 2016-01-26 Sitelock, Llc Selective website vulnerability and infection testing
US8918645B2 (en) 2010-09-24 2014-12-23 Amazon Technologies, Inc. Content selection and delivery for random devices
US8606948B2 (en) * 2010-09-24 2013-12-10 Amazon Technologies, Inc. Cloud-based device interaction
US8789138B2 (en) * 2010-12-27 2014-07-22 Microsoft Corporation Application execution in a restricted application execution environment
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
US9111089B1 (en) * 2011-02-08 2015-08-18 Symantec Corporation Systems and methods for safely executing programs
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
US20120210436A1 (en) * 2011-02-14 2012-08-16 Alan Rouse System and method for fingerprinting in a cloud-computing environment
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US9864853B2 (en) 2011-02-23 2018-01-09 International Business Machines Corporation Enhanced security mechanism for authentication of users of a system
US8769305B2 (en) * 2011-03-21 2014-07-01 Moncana Corporation Secure execution of unsecured apps on a device
US9396325B2 (en) 2011-03-21 2016-07-19 Mocana Corporation Provisioning an app on a device and implementing a keystore
US9473485B2 (en) 2011-03-21 2016-10-18 Blue Cedar Networks, Inc. Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing
US8812868B2 (en) 2011-03-21 2014-08-19 Mocana Corporation Secure execution of unsecured apps on a device
US8955142B2 (en) * 2011-03-21 2015-02-10 Mocana Corporation Secure execution of unsecured apps on a device
US8806647B1 (en) * 2011-04-25 2014-08-12 Twitter, Inc. Behavioral scanning of mobile applications
US9495183B2 (en) 2011-05-16 2016-11-15 Microsoft Technology Licensing, Llc Instruction set emulation for guest operating systems
US9921860B1 (en) 2011-05-25 2018-03-20 Bromium, Inc. Isolation of applications within a virtual machine
US8099596B1 (en) * 2011-06-30 2012-01-17 Kaspersky Lab Zao System and method for malware protection using virtualization
US8825748B2 (en) * 2011-07-06 2014-09-02 Sharp Laboratories Of America, Inc. Sandboxed daemon process invocation through HTTP
CN102289628A (zh) * 2011-07-21 2011-12-21 浙江大学城市学院 基于沙箱技术的shell脚本安全运行方法及系统
US9813310B1 (en) * 2011-10-31 2017-11-07 Reality Analytics, Inc. System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics
US9519781B2 (en) * 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US9792430B2 (en) 2011-11-03 2017-10-17 Cyphort Inc. Systems and methods for virtualized malware detection
US9686293B2 (en) 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
US8590041B2 (en) * 2011-11-28 2013-11-19 Mcafee, Inc. Application sandboxing using a dynamic optimization framework
GB2492857B (en) * 2011-11-30 2013-07-17 Avecto Ltd Method and computer device to control software file downloads
US9081959B2 (en) * 2011-12-02 2015-07-14 Invincea, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
US9389933B2 (en) 2011-12-12 2016-07-12 Microsoft Technology Licensing, Llc Facilitating system service request interactions for hardware-protected applications
US9413538B2 (en) 2011-12-12 2016-08-09 Microsoft Technology Licensing, Llc Cryptographic certification of secure hosted execution environments
JP5723760B2 (ja) * 2011-12-28 2015-05-27 Kddi株式会社 アプリケーション解析装置、アプリケーション解析システム、およびプログラム
US8935755B1 (en) * 2012-02-06 2015-01-13 Google Inc. Managing permissions and capabilities of web applications and browser extensions based on install location
US9075913B2 (en) 2012-02-27 2015-07-07 Qualcomm Incorporated Validation of applications for graphics processing unit
WO2013140403A1 (en) * 2012-03-21 2013-09-26 Green Sql Ltd. Database antivirus system and method
US9826017B1 (en) * 2012-05-03 2017-11-21 Google Inc. Securely serving results of dynamic user-provided code over the web
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US9104873B1 (en) * 2012-05-21 2015-08-11 Symantec Corporation Systems and methods for determining whether graphics processing units are executing potentially malicious processes
US9003475B1 (en) * 2012-06-05 2015-04-07 Symantec Corporation Systems and methods for applying data-loss-prevention policies
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US9727534B1 (en) 2012-06-18 2017-08-08 Bromium, Inc. Synchronizing cookie data using a virtualized browser
US9734131B1 (en) 2012-06-18 2017-08-15 Bromium, Inc. Synchronizing history data across a virtualized web browser
US10095662B1 (en) 2012-06-18 2018-10-09 Bromium, Inc. Synchronizing resources of a virtualized browser
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9898445B2 (en) 2012-08-16 2018-02-20 Qualcomm Incorporated Resource prefetching via sandboxed execution
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US9213827B2 (en) * 2012-09-27 2015-12-15 Intel Corporation Security data aggregation and business intelligence for web applications
US9430640B2 (en) 2012-09-28 2016-08-30 Intel Corporation Cloud-assisted method and service for application security verification
CN104718533B (zh) * 2012-10-08 2017-07-21 慧与发展有限责任合伙企业 企业设备的硬件故障管理系统、方法及架构
CN102930203B (zh) * 2012-10-12 2015-08-26 浙江大学城市学院 一种轻量级JavaScript沙箱的实现方法
US9135436B2 (en) 2012-10-19 2015-09-15 The Aerospace Corporation Execution stack securing process
FR2997529B1 (fr) * 2012-10-29 2015-12-25 Pradeo Security Systems Procede et systeme de verification de la securite d’une application en vue de son utilisation sur un appareil utilisateur.
US9069766B2 (en) * 2012-11-02 2015-06-30 Microsoft Technology Licensing, Llc Content-based isolation for computing device security
US9445112B2 (en) * 2012-12-06 2016-09-13 Microsoft Technology Licensing, Llc Secure transcoding of video data
US9197446B2 (en) * 2012-12-12 2015-11-24 Google Inc. Address pinning
US8918837B2 (en) 2012-12-28 2014-12-23 Intel Corporation Web application container for client-level runtime control
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9300760B2 (en) * 2013-01-28 2016-03-29 Google Inc. Machine-specific instruction set translation
CN103116722A (zh) * 2013-02-06 2013-05-22 北京奇虎科技有限公司 一种通知栏消息的处理方法、装置和系统
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
CN105074718A (zh) * 2013-02-15 2015-11-18 高通股份有限公司 具有多个分析仪模型提供商的移动设备中的在线行为分析引擎
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9009822B1 (en) * 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9781118B2 (en) 2013-03-14 2017-10-03 Intel Corporation Differentiated containerization and execution of web content based on trust level and other attributes
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9021585B1 (en) 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
EP2782038A1 (en) * 2013-03-19 2014-09-24 STMicroelectronics (Grenoble 2) SAS Resource management in a processor for trusted and untrusted applications
EP2782010A1 (en) 2013-03-19 2014-09-24 STMicroelectronics (Grenoble 2) SAS Hierarchical resource management
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US8910285B2 (en) 2013-04-19 2014-12-09 Lastline, Inc. Methods and systems for reciprocal generation of watch-lists and malware signatures
US9361459B2 (en) 2013-04-19 2016-06-07 Lastline, Inc. Methods and systems for malware detection based on environment-dependent behavior
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9069952B1 (en) * 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
KR101429131B1 (ko) * 2013-06-12 2014-08-11 소프트캠프(주) 시스템 보호를 위한 파일 보안용 관리장치와 관리방법
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US8943592B1 (en) * 2013-07-15 2015-01-27 Eset, Spol. S.R.O. Methods of detection of software exploitation
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
US9591003B2 (en) * 2013-08-28 2017-03-07 Amazon Technologies, Inc. Dynamic application security verification
CN103646213B (zh) * 2013-09-26 2016-06-01 北京神州绿盟信息安全科技股份有限公司 一种恶意软件的分类方法和装置
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
CN110717178A (zh) 2013-10-18 2020-01-21 诺基亚技术有限公司 用于操作和监测针对电子设备中的应用的权限的方法和系统
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9225715B2 (en) * 2013-11-14 2015-12-29 Globalfoundries U.S. 2 Llc Securely associating an application with a well-known entity
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
EP2881883B1 (en) * 2013-12-05 2018-04-11 AO Kaspersky Lab System and method for reducing load on an operating system when executing antivirus operations
RU2571723C2 (ru) 2013-12-05 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
US9235692B2 (en) 2013-12-13 2016-01-12 International Business Machines Corporation Secure application debugging
WO2015094356A1 (en) * 2013-12-20 2015-06-25 Intel Corporation Crowd sourced online application cache management
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US10430614B2 (en) * 2014-01-31 2019-10-01 Bromium, Inc. Automatic initiation of execution analysis
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9596264B2 (en) 2014-02-18 2017-03-14 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
DE102014203164A1 (de) * 2014-02-21 2015-08-27 Siemens Aktiengesellschaft Analysesystem und Verfahren zum dynamischen Konfigurieren eines Analysesystems
US10326778B2 (en) 2014-02-24 2019-06-18 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US11405410B2 (en) 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US10225280B2 (en) 2014-02-24 2019-03-05 Cyphort Inc. System and method for verifying and detecting malware
US10095866B2 (en) 2014-02-24 2018-10-09 Cyphort Inc. System and method for threat risk scoring of security threats
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9684787B2 (en) 2014-04-08 2017-06-20 Qualcomm Incorporated Method and system for inferring application states by performing behavioral analysis operations in a mobile device
US9530006B2 (en) * 2014-04-11 2016-12-27 Oracle International Corporation Method and system for performing a memory safety check of a program written in an unmanaged programming language
CN103970574B (zh) * 2014-05-22 2017-07-14 北京奇虎科技有限公司 office程序的运行方法及装置、计算机系统
US9563488B2 (en) 2014-05-29 2017-02-07 Apple Inc. Sharing extension points to allow an application to share content via a sharing extension
JP6116524B2 (ja) * 2014-06-05 2017-04-19 株式会社日立システムズ プログラム解析装置、プログラム解析方法及びプログラム解析システム
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9356969B2 (en) 2014-09-23 2016-05-31 Intel Corporation Technologies for multi-factor security analysis and runtime control
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10498746B2 (en) * 2014-10-02 2019-12-03 AVAST Software s.r.o. Cloud based reputation system for browser extensions and toolbars
US10073976B2 (en) * 2014-10-24 2018-09-11 Samsung Electronics Co., Ltd. Application executing method and device, and recording medium thereof
US9535731B2 (en) * 2014-11-21 2017-01-03 International Business Machines Corporation Dynamic security sandboxing based on intruder intent
US10242082B2 (en) * 2014-12-12 2019-03-26 Microsoft Technology Licensing, Llc Context-driven multi-user communication
CN104573515A (zh) * 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US10482240B2 (en) 2015-01-29 2019-11-19 Nec Corporation Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
KR102320149B1 (ko) * 2015-02-16 2021-11-01 삼성전자주식회사 어플리케이션을 실행하는 전자 장치 및 그 제어 방법
CN104766006B (zh) * 2015-03-18 2019-03-12 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9912681B1 (en) 2015-03-31 2018-03-06 Fireeye, Inc. Injection of content processing delay in an endpoint
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
JP6333763B2 (ja) * 2015-03-31 2018-05-30 株式会社日立アドバンストシステムズ マルウェア解析装置およびマルウェア解析方法
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10230750B2 (en) * 2015-06-08 2019-03-12 Securboration, Inc. Secure computing environment
US9600682B2 (en) * 2015-06-08 2017-03-21 Accenture Global Services Limited Mapping process changes
JP6791134B2 (ja) * 2015-06-16 2020-11-25 日本電気株式会社 分析システム、分析方法、分析装置及び、コンピュータ・プログラム
EP3314509A4 (en) * 2015-06-27 2018-12-05 McAfee, LLC Mitigation of malware
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
US20170039390A1 (en) * 2015-08-08 2017-02-09 James Alexander KING Methods and systems for privacy preserving third party extension
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US9465714B1 (en) * 2015-09-22 2016-10-11 International Business Machines Corporation Adaptive runtime for a multiprocessing API
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US9977896B2 (en) 2015-10-08 2018-05-22 Digital Guardian, Inc. Systems and methods for generating policies for an application using a virtualized environment
US10043026B1 (en) * 2015-11-09 2018-08-07 8X8, Inc. Restricted replication for protection of replicated databases
US20170134405A1 (en) * 2015-11-09 2017-05-11 Qualcomm Incorporated Dynamic Honeypot System
US10021120B1 (en) 2015-11-09 2018-07-10 8X8, Inc. Delayed replication for protection of replicated databases
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US10474819B2 (en) * 2015-11-20 2019-11-12 Lastline, Inc. Methods and systems for maintaining a sandbox for use in malware detection
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10616266B1 (en) 2016-03-25 2020-04-07 Fireeye, Inc. Distributed malware detection system and submission workflow thereof
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
WO2017177302A1 (en) 2016-04-15 2017-10-19 Light Wave Technology Inc. Automotive rear-view camera peripheral
CN106055975A (zh) * 2016-05-16 2016-10-26 杭州华三通信技术有限公司 文件检测方法及沙箱
US10855725B2 (en) * 2016-06-02 2020-12-01 Microsoft Technology Licensing, Llc Hardware-based virtualized security isolation
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) * 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10277631B1 (en) * 2016-07-08 2019-04-30 Sprint Communications Company L.P. Self-preserving policy engine and policy-based content transmission
WO2018010023A1 (en) * 2016-07-11 2018-01-18 Light Wave Technology Inc. Command relay device, system and method for providing remote assistance / remote control
CN107659540B (zh) * 2016-07-25 2021-01-26 中兴通讯股份有限公司 动态行为分析方法、装置、系统及设备
CN107786413B (zh) * 2016-08-24 2022-03-22 中兴通讯股份有限公司 一种浏览电子邮件的方法及用户终端
US10191861B1 (en) 2016-09-06 2019-01-29 Fireeye, Inc. Technique for implementing memory views using a layered virtualization architecture
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US20210306348A1 (en) * 2016-10-25 2021-09-30 Michael Ratiner System and method for securing electronic devices
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
CN106850263B (zh) * 2016-12-27 2019-10-18 北京华为数字技术有限公司 一种备平面中转发设备的配置错误检测方法、装置和系统
RU2665911C2 (ru) 2017-02-08 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ анализа файла на вредоносность в виртуальной машине
US11303656B2 (en) 2017-03-01 2022-04-12 Cujo LLC Determining entity maliciousness based on associated entities
US11314870B1 (en) * 2017-03-14 2022-04-26 Melih Abdulhayoglu Auto-containment of potentially vulnerable applications
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US11423140B1 (en) 2017-03-27 2022-08-23 Melih Abdulhayoglu Auto-containment of guest user applications
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10951644B1 (en) 2017-04-07 2021-03-16 Comodo Security Solutions, Inc. Auto-containment of potentially vulnerable applications
RU2649794C1 (ru) * 2017-04-28 2018-04-04 Акционерное общество "Лаборатория Касперского" Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла
EP3407235A1 (en) * 2017-05-22 2018-11-28 Leap in Value S.L. A computer-implemented method, a system and a computer program for identifying malicious uri data items
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
US20190018953A1 (en) * 2017-07-12 2019-01-17 Open Text Corporation Methods and systems for tenant aware behavior injection in content metadata service
US10546120B2 (en) 2017-09-25 2020-01-28 AO Kaspersky Lab System and method of forming a log in a virtual machine for conducting an antivirus scan of a file
US10887369B2 (en) 2017-09-25 2021-01-05 Splunk Inc. Customizable load balancing in a user behavior analytics deployment
US11086974B2 (en) * 2017-09-25 2021-08-10 Splunk Inc. Customizing a user behavior analytics deployment
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11294798B2 (en) * 2017-11-15 2022-04-05 Lenovo (Singapore) Pte. Ltd. Method and system for context based testing of software application vulnerabilities
KR102016226B1 (ko) 2017-11-22 2019-08-29 숭실대학교산학협력단 적응형 동적 분석 방법, 적응형 동적 분석 플랫폼 및 이를 탑재한 장치
US10885193B2 (en) 2017-12-07 2021-01-05 Microsoft Technology Licensing, Llc Method and system for persisting untrusted files
US11074323B2 (en) 2017-12-07 2021-07-27 Microsoft Technology Licensing, Llc Method and system for persisting files
US11240275B1 (en) * 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
CN108121914B (zh) * 2018-01-17 2021-04-13 四川神琥科技有限公司 一种文档泄密防护追踪系统
RU2697950C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ выявления скрытого поведения расширения браузера
EP3522057B1 (en) * 2018-02-06 2021-06-23 AO Kaspersky Lab System and method of detecting hidden behavior of a browser extension
KR102102577B1 (ko) * 2018-02-27 2020-04-21 한국인터넷진흥원 악성 앱 탐지 장치 및 그 방법
US10540175B2 (en) * 2018-03-05 2020-01-21 Appzero Software Corp. Up-level applications to a new OS
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US20190347420A1 (en) * 2018-05-11 2019-11-14 Microsoft Technology Licensing, Llc Method and system for installing and running untrusted applications
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
RU2708355C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде
US11188639B2 (en) * 2018-07-19 2021-11-30 Intel Corporation System, method and apparatus for automatic program compartmentalization
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
KR102510846B1 (ko) * 2018-10-04 2023-03-16 삼성전자주식회사 전자 장치 및 그의 제어방법
US11210391B2 (en) * 2018-11-29 2021-12-28 Palo Alto Networks, Inc. Application-level sandboxing on devices
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
RU2724790C1 (ru) 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US20220366035A1 (en) * 2019-06-26 2022-11-17 Nec Corporation Execution control system, execution control method, and program
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
GB201913893D0 (en) * 2019-09-26 2019-11-13 Palantir Technologies Inc Cybersecurity event detection system and method
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11295007B2 (en) * 2019-12-03 2022-04-05 Tableau Software, LLC Sandboxed application extensions
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
CN111460439B (zh) * 2020-03-27 2023-03-21 中南大学 基于多环境的逃避行为检测方法
KR102330404B1 (ko) * 2020-09-08 2021-11-24 주식회사 인더포레스트 통합 보안 진단 방법 및 장치
CN112434284B (zh) * 2020-10-29 2022-05-17 格物钛(上海)智能科技有限公司 一种基于沙箱环境的机器学习训练平台实现
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
WO2023023127A1 (en) * 2021-08-20 2023-02-23 Forter Ltd System and method for controlling js scripts access to dom/apis
US20230195882A1 (en) * 2021-12-21 2023-06-22 Cyberark Software Ltd. Orchestration and generation of minimal surface optimized unikernels
US11941109B2 (en) 2021-12-21 2024-03-26 Cyberark Software Ltd. Customizable and dynamically mutable operating systems
US11681805B1 (en) * 2022-05-26 2023-06-20 Morgan Stanley Services Group Inc. System for analytic data memorialization, data science, and validation
CN117521087B (zh) * 2024-01-04 2024-03-15 江苏通付盾科技有限公司 一种设备风险行为检测方法、系统及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
CN1567808A (zh) * 2003-06-18 2005-01-19 联想(北京)有限公司 一种网络安全装置及其实现方法
US20050240999A1 (en) * 1997-11-06 2005-10-27 Moshe Rubin Method and system for adaptive rule-based content scanners for desktop computers
US20060021054A1 (en) * 2004-07-21 2006-01-26 Microsoft Corporation Containment of worms
US20060021029A1 (en) * 2004-06-29 2006-01-26 Brickell Ernie F Method of improving computer security through sandboxing
JP2007122745A (ja) * 2006-12-20 2007-05-17 Trend Micro Inc ネットワークを介して通信端末に提供されるプログラムに対する伝送経路上でのセキュリティの確保
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
CN101213555A (zh) * 2005-06-30 2008-07-02 普瑞维克斯有限公司 用于处理恶意软件的方法和装置
CN101262491A (zh) * 2008-04-02 2008-09-10 王京 应用层网络分析方法及系统
JP2008234248A (ja) * 2007-03-20 2008-10-02 Mitsubishi Electric Corp プログラム実行装置及びプログラム実行方法

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6760441B1 (en) * 2000-03-31 2004-07-06 Intel Corporation Generating a key hieararchy for use in an isolated execution environment
US6611925B1 (en) * 2000-06-13 2003-08-26 Networks Associates Technology, Inc. Single point of entry/origination item scanning within an enterprise or workgroup
GB2371125A (en) * 2001-01-13 2002-07-17 Secr Defence Computer protection system
US20020188649A1 (en) * 2001-06-12 2002-12-12 Ron Karim Mechanism for safely executing an untrusted program
US20030229794A1 (en) * 2002-06-07 2003-12-11 Sutton James A. System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container
US7421498B2 (en) 2003-08-25 2008-09-02 Microsoft Corporation Method and system for URL based filtering of electronic communications and web pages
US7664819B2 (en) 2004-06-29 2010-02-16 Microsoft Corporation Incremental anti-spam lookup and update service
US20060075494A1 (en) 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US7287279B2 (en) 2004-10-01 2007-10-23 Webroot Software, Inc. System and method for locating malware
US8438499B2 (en) 2005-05-03 2013-05-07 Mcafee, Inc. Indicating website reputations during user interactions
EP1877905B1 (en) 2005-05-05 2014-10-22 Cisco IronPort Systems LLC Identifying threats in electronic messages
US7757289B2 (en) * 2005-12-12 2010-07-13 Finjan, Inc. System and method for inspecting dynamically generated executable code
US7725922B2 (en) * 2006-03-21 2010-05-25 Novell, Inc. System and method for using sandboxes in a managed shell
WO2007117567A2 (en) 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for limited access mobile platforms
US8332947B1 (en) * 2006-06-27 2012-12-11 Symantec Corporation Security threat reporting in light of local security tools
US8615800B2 (en) * 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US20080104699A1 (en) * 2006-09-28 2008-05-01 Microsoft Corporation Secure service computation
US8135994B2 (en) * 2006-10-30 2012-03-13 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
US20100071063A1 (en) * 2006-11-29 2010-03-18 Wisconsin Alumni Research Foundation System for automatic detection of spyware
US8621610B2 (en) * 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8326872B2 (en) * 2008-02-22 2012-12-04 Microsoft Corporation Database sandbox
US8239948B1 (en) * 2008-12-19 2012-08-07 Symantec Corporation Selecting malware signatures to reduce false-positive detections
US8813222B1 (en) * 2009-01-21 2014-08-19 Bitdefender IPR Management Ltd. Collaborative malware scanning
US8479286B2 (en) 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US20050240999A1 (en) * 1997-11-06 2005-10-27 Moshe Rubin Method and system for adaptive rule-based content scanners for desktop computers
CN1567808A (zh) * 2003-06-18 2005-01-19 联想(北京)有限公司 一种网络安全装置及其实现方法
US20060021029A1 (en) * 2004-06-29 2006-01-26 Brickell Ernie F Method of improving computer security through sandboxing
CN1961272A (zh) * 2004-06-29 2007-05-09 英特尔公司 通过沙箱技术改进计算机安全性的方法
US20060021054A1 (en) * 2004-07-21 2006-01-26 Microsoft Corporation Containment of worms
CN101213555A (zh) * 2005-06-30 2008-07-02 普瑞维克斯有限公司 用于处理恶意软件的方法和装置
JP2009500706A (ja) * 2005-06-30 2009-01-08 プレヴィクス リミテッド マルウェアに対処する方法及び装置
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
JP2007122745A (ja) * 2006-12-20 2007-05-17 Trend Micro Inc ネットワークを介して通信端末に提供されるプログラムに対する伝送経路上でのセキュリティの確保
JP2008234248A (ja) * 2007-03-20 2008-10-02 Mitsubishi Electric Corp プログラム実行装置及びプログラム実行方法
CN101262491A (zh) * 2008-04-02 2008-09-10 王京 应用层网络分析方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109952564A (zh) * 2016-11-08 2019-06-28 易享信息技术有限公司 数据库系统中测试数据的形成与操纵
CN109952564B (zh) * 2016-11-08 2022-06-21 易享信息技术有限公司 数据库系统中测试数据的形成与操纵
CN110795311A (zh) * 2019-10-30 2020-02-14 北京三快在线科技有限公司 一种事件回放的方法及装置
CN110795311B (zh) * 2019-10-30 2020-11-03 北京三快在线科技有限公司 一种事件回放的方法及装置
CN113918950A (zh) * 2021-12-14 2022-01-11 成都无糖信息技术有限公司 一种基于模拟执行的沙箱构建方法

Also Published As

Publication number Publication date
EP2513805B1 (en) 2019-04-17
US9223963B2 (en) 2015-12-29
US20110145926A1 (en) 2011-06-16
WO2011084431A3 (en) 2011-10-20
CN102741824B (zh) 2016-03-30
JP2013514594A (ja) 2013-04-25
EP2513805A4 (en) 2013-12-25
US8479286B2 (en) 2013-07-02
WO2011084431A2 (en) 2011-07-14
US20130254884A1 (en) 2013-09-26
EP2513805A2 (en) 2012-10-24
JP2014238870A (ja) 2014-12-18
KR101442654B1 (ko) 2014-09-22
JP5957492B2 (ja) 2016-07-27
CN102741824A (zh) 2012-10-17
KR20120114304A (ko) 2012-10-16
JP5592956B2 (ja) 2014-09-17

Similar Documents

Publication Publication Date Title
CN102741824B (zh) 用于行为沙箱化的系统和方法
Jang et al. An empirical study of privacy-violating information flows in JavaScript web applications
Grace et al. Riskranker: scalable and accurate zero-day android malware detection
Zhao et al. “TrustDroid™”: Preventing the use of SmartPhones for information leaking in corporate networks through the used of static analysis taint tracking
Jin et al. Fine-grained access control for html5-based mobile applications in android
JP2016534460A (ja) 動的アプリケーションセキュリティ検証
CN105531692A (zh) 针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略
CN108475217A (zh) 用于审计虚拟机的系统及方法
CN103620613A (zh) 用于基于虚拟机监视器的反恶意软件安全的系统和方法
CN102467628A (zh) 一种基于浏览器内核拦截技术的数据保护方法
US11586726B2 (en) Secure web framework
Chinprutthiwong et al. Security Study of Service Worker Cross-Site Scripting.
Kawabata et al. Sanadbox: Sandboxing third party advertising libraries in a mobile application
Pecka et al. Privilege escalation attack scenarios on the devops pipeline within a kubernetes environment
Zhang et al. A Small Leak Will Sink Many Ships: Vulnerabilities Related to mini-programs Permissions
Lee et al. Adlib: Analyzer for mobile ad platform libraries
Sprecher et al. SoK: All or nothing-a postmortem of solutions to the third-party script inclusion permission model and a path forward
Rack et al. Jack-in-the-box: An Empirical Study of JavaScript Bundling on the Web and its Security Implications
Armando et al. Mobile App Security Analysis with the MAVeriC Static Analysis Module.
Niemietz et al. Out of the dark: UI redressing and trustworthy events
Lombardi et al. Security for cloud computing
Jung et al. A study of android malware detection techniques in virtual environment
Geetha et al. Malware Detection In Smartphone As An Information Security
Faruki Techniques For Analysis And Detection Of Android Malware...
Acin Sanz ANDRIK: Automated Android malware analysis

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160824