CN106161344B - 基于行为增量标识躲避的恶意对象 - Google Patents
基于行为增量标识躲避的恶意对象 Download PDFInfo
- Publication number
- CN106161344B CN106161344B CN201510142620.3A CN201510142620A CN106161344B CN 106161344 B CN106161344 B CN 106161344B CN 201510142620 A CN201510142620 A CN 201510142620A CN 106161344 B CN106161344 B CN 106161344B
- Authority
- CN
- China
- Prior art keywords
- safety means
- information
- user equipment
- analysis
- behavioral test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000009227 behaviour therapy Methods 0.000 claims abstract description 154
- 238000012360 testing method Methods 0.000 claims abstract description 51
- 230000006399 behavior Effects 0.000 claims description 65
- 238000000034 method Methods 0.000 claims description 60
- 230000009471 action Effects 0.000 claims description 22
- 244000035744 Hura crepitans Species 0.000 claims description 19
- 230000003542 behavioural effect Effects 0.000 claims description 12
- 230000001052 transient effect Effects 0.000 claims description 8
- 230000003068 static effect Effects 0.000 claims description 3
- 241000406668 Loxodonta cyclotis Species 0.000 claims description 2
- 238000009434 installation Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 32
- 238000001514 detection method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000000454 anti-cipatory effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3692—Test management for test results analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
- Alarm Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及基于行为增量标识躲避的恶意对象。一种安全设备可以接收与对象相关联的实际行为信息。实际行为信息可以标识与在真实环境中执行对象相关联的第一行为集合。安全设备确定与对象相关联的测试行为信息。测试行为信息可以标识与在测试环境中测试对象相关联的第二行为集合。安全设备可以比较第一行为集合和第二行为集合以确定在第一行为集合和第二行为集合之间的差别。安全设备可以基于在第一行为集合和第二行为集合之间的差别标识对象是否为躲避的恶意对象。安全设备可以提供对象是否为躲避的恶意对象的指示。
Description
技术领域
本发明涉及基于行为增量标识躲避的(evasive)恶意对象。
背景技术
安全设备可以被放置在用户设备和服务器设备(例如,与网站相关联的服务器设备)之间。安全设备可以被配置为检测(例如,使用URL名誉、黑名单、反病毒扫描、反恶意软件技术等)由服务器设备提供的恶意对象(例如,木马、蠕虫、间谍程序、包含漏洞利用的文件等),并且可以被配置为阻止恶意对象被用户设备接收。
发明内容
根据一些可能的实现方式,一种安全设备可以包括一个或者多个处理器以:接收与对象相关联的实际行为信息,其中实际行为信息可以标识与在真实环境(liveenvironment)中执行对象相关联的第一行为集合;确定与对象相关联的测试行为信息,其中测试行为信息可以标识与在测试环境中测试对象相关联的第二行为集合;比较第一行为集合和第二行为集合以确定在第一行为集合和第二行为集合之间的差别;基于在第一行为集合和第二行为集合之间的差别标识对象是否为躲避的恶意对象;以及提供对象是否为躲避的恶意对象的指示。
根据一些可能的实现方式,一种计算机可读介质可以存储一条或者多条指令,该一条或者多条指令当由一个或者多个处理器执行时,致使该一个或者多个处理器:确定与对象相关联的测试行为信息,其中测试行为信息可以标识与在测试环境中测试对象相关联的测试行为集合;获得与对象相关联的实际行为信息,其中实际行为信息可以标识与在真实环境中执行或者安装对象相关联的实际行为集合;比较实际行为集合和测试行为集合以确定在实际行为集合和测试行为集合之间的差别;基于在实际行为集合和测试行为集合之间的差别确定对象是否为躲避的恶意对象;以及提供指示对象是否为躲避的恶意对象的信息。
根据一些可能的实现方式,一种方法可以包括:由安全设备接收与对象相关联的实际行为信息,其中实际行为信息可以标识与在用户设备上执行对象相关联的第一行为组;由安全设备确定与对象相关联的测试行为信息,其中测试行为信息可以标识与在用户设备上测试对象相关联的第二行为组;由安全设备确定在第一行为组和第二行为组之间的差别;由安全设备基于在第一行为组和第二行为组之间的差别将对象标识为躲避的恶意对象;以及由安全设备提供与将对象标识为躲避的恶意对象相关联的信息。
附图说明
图1是在此描述的示例实现方式的概述的示图;
图2是在其中可以实现在此描述的系统和/或方法的示例环境的示图;
图3是图2的一个或者多个设备的示例组件的示图;
图4是用于确定与对象相关联的测试行为信息以及存储与对象相关联的测试行为信息的示例过程的流程图;
图5是与在图4中所示的示例过程有关的示例实现方式的示图;
图6是用于确定与对象相关联的实际行为信息以及提供实际行为信息的示例过程的流程图;
图7是与在图6中所示的示例过程有关的示例实现方式的示图;
图8是用于基于比较与对象相关联的实际行为信息和与对象相关联的测试行为信息来将对象标识为躲避的恶意对象的示例过程的流程图;
图9是与在图8中所示的示例过程有关的示例实现方式的示图。
具体实施方式
示例实现方式的以下详细的描述参考附图。在不同附图中的相同的标号可以标识相同的或者相似的元素。
安全设备可以试图检测正被向用户设备提供的恶意对象(例如,包括恶意软件、病毒或者另一类型的恶意代码的对象)。然而,如果恶意对象已经被设计为躲避检测,则安全设备可能不能检测恶意对象。一种这样的躲避策略涉及如果恶意对象确定它正在仿真环境、沙盒环境中等被测试,则阻止恶意对象展现任何恶意行为。例如,安全设备可以实现沙盒以测试(例如,分析、执行、检查等)运行在虚拟机(VM)上的完整的操作系统内的对象。可以概括对象的测试行为并且可以应用启发以便确定对象是否是躲避的。然而,恶意对象可以被设计为检测恶意对象是否正在沙盒中被测试,并且可以在这样的检测时避免展现恶意行为。这样,安全设备可能不正确地确定对象不是恶意的,并且可能向用户设备提供恶意对象。需要一种解决方案,该解决方案允许安全设备确定当对象在用户设备上被执行时与当对象由安全设备测试时相比,对象表现不同(例如,实际行为和测试行为之间的差别可以指示对象是躲避的恶意对象)。
在此所述的实现方式允许安全设备基于比较与对象相关联、并且由用户设备确定的实际行为信息和与对象相关联、并且由安全设备确定的测试行为信息来将对象标识为躲避的恶意对象。
图1是在此描述的示例实现方式100的概述的示图。为了示例实现方式100的目的,假设对象正由服务器设备向用户设备提供(例如,基于由用户设备提出的请求)。进一步地,假设安全设备被放置在用户设备和服务器设备之间,并且安全设备被配置为检测正被向用户设备提供的对象是否为恶意对象。
如在图1中以及由标号105所示,安全设备可以接收由服务器设备提供的对象。如由标号110所示,安全设备可以接下来测试(例如,执行、分析、检查等)对象以便确定与对象相关联的测试行为信息。如由标号115所示,安全设备可以向用户设备提供对象。如由标号120所示,用户可以确定(例如,通过执行对象、打开对象、运行对象、安装对象等)与对象相关联的实际行为信息。如由标号125所示,用户设备可以向安全设备提供与对象相关联的实际行为信息。
如由标号130所示,安全设备可以接收实际行为信息,并且可以比较实际行为信息和测试行为信息。如由标号135所示,基于比较实际行为信息和测试行为信息,安全设备可以确定实际行为信息与测试行为信息不同(例如,实际行为信息示出了在测试行为信息中没有示出的行为)。如由标号140所示,基于确定实际行为信息与测试行为信息不同,安全设备可以将对象标识为躲避的恶意对象(例如,通过进行对象的附加分析;通过将与实际行为相关联的信息、与测试行为相关联的信息和/或具有在实际行为和测试行为之间的差别的信息输入到机器学习模型中,该机器学习模型被训练为将对象分类为恶意的或者善意的;等),并且可以相应地动作(例如,通过通知用户设备的用户等)。
以这种方式,基于比较对象相关联的(例如,由用户设备确定的)实际行为信息和与对象相关联的(例如,由安全设备确定的)测试行为信息,安全设备可以将对象标识为躲避的恶意对象。
图2是其中可以实现在此描述的系统和/或方法的示例环境200的示图。如在图2中所示,环境200可以包括用户设备210、安全设备220、服务器设备230和网络240。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的结合来互连。
用户设备210可以包括能够经由网络(例如,网络240)与其他设备(例如,服务器设备230)通信和/或能够接收由另一设备(例如,服务器设备230)提供的信息的一个或者多个设备。例如,用户设备210可以包括计算设备,诸如膝上型计算机、平板计算机、手持计算机、台式计算机、移动电话(例如,智能电话、无线电话等)、个人数字助理或者类似的设备。在一些实现方式中,用户设备210可以主控被配置为确定由用户设备210接收的与对象相关联的实际行为信息的安全客户端。附加地或者备选地,用户设备210可以能够向安全设备220提供实际行为信息。
安全设备220可以包括能够接收、生成、确定、提供和/或存储与对象相关联的行为信息(例如,测试行为信息或者实际行为信息)的一个或者多个设备。例如,安全设备220可以包括计算设备,诸如服务器。在一些实现中,安全设备220可以能够确定与对象相关联的测试行为信息。例如,安全设备220可以主控沙盒环境,该沙盒环境允许安全设备220执行对象、分析对象、运行对象、安装对象等以便确定与对象相关联的测试行为信息。附加地或者备选地,安全设备220可以能够以另一方式确定测试行为信息。
在一些实现中,基于与对象相关联的测试行为信息和与对象相关联的实际行为信息,安全设备220可以能够标识对象是否为躲避的恶意对象。附加地或者备选地,安全设备220可以包括能够处理和/或传送在用户设备210和服务器设备230之间的通信(例如,请求、响应等)的一个或者多个设备。例如,安全设备220可以包括网络设备,诸如反向代理、服务器(例如,代理服务器)、流量转移设备、防火墙、路由器、负载均衡器等。
安全设备220可以与单个服务器设备230或者服务器设备230的组(例如,数据中心)结合而被使用。通信可以通过安全设备220被路由以到达一个或者多个服务器设备230。例如,安全设备220可以被放置在网络内作为去往包括一个或者多个服务器设备230的私有网络的网关。附加地或者备选地,安全设备220可以与单个用户设备210或者用户设备210的组结合而被使用。通信可以通过安全设备220被路由以到达一个或者多个用户设备210。例如,安全设备220可以被放置在网络内作为去往包括一个或者多个用户设备210的私有网络的网关。
服务器设备230可以包括能够接收、提供、生成、存储和/或处理与对象相关联的信息的一个或者多个设备。例如,服务器设备230可包括计算设备,诸如服务器(例如,应用服务器、内容服务器、主机服务器、web服务器等)。
网络240可以包括一个或者多个有线和/或无线网络。例如,网络240可以包括无线局域网(WLAN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网(例如,公共交换电话网(PSTN))、蜂窝网络、公众陆地移动电话网(PLMN)、自组网、内联网、因特网、基于光纤的网络或者这些或者其他类型的网络的结合。在一些实现方式中,网络250可以允许在诸如用户设备210、服务器设备230和/或安全设备220的设备之间的通信。
在图2中所示的设备和网络的数目和布置作为示例被提供。在实践中,与在图2中所示的那些设备和/或网络相比,可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或者被不同地布置的设备和/或网络。此外,在图2中所示的两个或者更多个设备可以在单个设备内被实现,或者在图2中所示的单个设备可以被实现为多个、分布式的设备。附加地或者备选地,环境200的设备的集合(例如,一个或者多个设备)可以执行如正由环境200的设备的另一集合执行的描述的一个或者多个功能。
图3是设备300的示例组件的示图。设备300可以与用户设备210、安全设备220和/或服务器设备230相对应。在一些实现方式中,用户设备210、安全设备220和/或服务器设备230可以包括一个或者多个设备300和/或设备300的一个或者多个组件。如在图3中所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310可以包括允许设备300的组件之中的通信的组件。处理器320可以包括处理器(例如,中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器和/或解译和/或执行指令的任何处理组件(例如,现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)和/或存储信息和/或指令以用于被处理器320使用的其他类型的动态或者静态存储设备(例如,闪存、磁存储器、光存储器等)。
存储组件340可以存储与设备300的操作和使用有关的信息和/或软件。例如,存储组件340可以包括硬盘(例如,磁盘、光盘、磁光盘、固态硬盘等)、光盘(CD)、数字通用磁盘(DVD)、软盘、盒式磁盘、磁带和/或其他类型的计算机可读介质,连同对应的驱动。
输入组件350可以包括允许设备300诸如经由用户输入(例如,触摸屏显示、键盘、键区、鼠标、按钮、开关、麦克风等)接收信息的组件。附加地或者备选地,输入组件350可以包括用于感测信息的传感器(例如,全球定位系统(GPS)组件、加速计、陀螺仪、行器等)。输出组件360可以包括提供来自设备300的输出信息的组件(例如,显示器、扬声器、一个或者多个发光二极管(LED)等)。
通信接口370可以包括使得设备300能够与其他设备诸如经由有线连接、无线连接或者有线和无线连接的结合进行通信的类似收发器的组件(例如,收发器、单独的接收器和发射器等)。通信接口370可以允许设备300接收来自另一设备的信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备300可以执行在此描述的一个或者多个过程。设备300可以响应于处理器320执行由诸如存储器330和/或存储组件340的计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在此被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储空间或者遍布多个物理存储设备的存储空间。
可以经由通信接口370从另一计算机可读介质或者从另一设备将软件指令读入存储器330和/或存储器组件340中。在存储器330和/或存储器组件340中存储的软件指令当被执行时,可以致使处理器320执行在此描述的一个或者多个过程。附加地或者备选地,硬接线的电路可以被用于替代软件指令或者与软件指令结以来执行在此描述的一个或者多个过程。因此,在此描述的实现方式不被限制于硬件电路和软件的任何特定结合。
在图3中所示的组件的数目和布置作为示例被提供。在实践中,与在图3中所示的那些组件相比,设备300可以包括附加的组件、更少的组件、不同的组件或者被不同地布置的组件。附加地或者备选地,设备300的组件的集合(例如,一个或者多个组件)可以执行如正由设备300的组件的另一集合执行的描述的一个或者多个功能。
图4是用于确定与对象相关联的测试行为信息以及存储与对象相关联的测试行为信息的示例过程的流程图。在一些实现方式中,图4的一个或者多个过程框可以由安全设备220来执行。在一些实现中,图4的一个或者多个过程框可以由另一设备或者与安全设备220分离的或者包括安全设备220的设备的集合(诸如用户设备210)来执行。
如在图4中所示,过程400可以包括接收与用户设备相关联的对象(框410)。例如,安全设备220可以接收与用户设备210相关联的对象。在一些实现方式中,当服务器设备230提供用于向用户设备210传输的对象时(例如,当放置安全设备220以接收向用户设备210提供的对象时),安全设备220可以接收对象。附加地或者备选地,当另一设备(诸如用户设备210或者在网络240中包括的设备)向安全设备220提供对象时,安全设备220可以接收对象。
对象可以包括可执行对象(例如,Windows可执行文件(EXE)、Windows脚本文件(WSF)等)、网页对象(例如,超文本标记语言(HTML)文档等)、文本对象(例如,微软Word文档(DOC)、纯文本文件(TXT))、页面布局对象(例如,可移植文档格式文件(PDF)、图片文件(PCT))、压缩的对象(例如,压缩文件(ZIP)、WinRAR压缩的档案(RAR)等)或者另一类型的对象。
在一些实现方式中,基于由用户设备210提供的请求,安全设备220可以接收对象。例如,用户设备210的用户可以提供(例如,经由用户设备210的输入机制)指示用户设备210将接收对象的信息,并且用户设备210可以向服务器设备230发送请求(例如,当服务器设备230存储对象时)。在这一示例中,服务器设备230可以接收请求,并且可以向安全设备220提供对象(例如,当放置安全设备220以在对象被发送至用户设备210之前接收该对象时)。在一些实现方式中,用户可能不知道用户设备210已经发送了对于对象的请求(例如,当运行在用户设备210上的程序被配置为自动地使得用户设备210请求对象时,等)。在一些实现方式中,基于正由服务器设备230提供的对象,安全设备220可以接收对象。例如,服务器设备230可以将对象发送至用户设备210(例如,在用户设备210没有请求该对象的情况下),并且安全设备220可以接收来自服务器设备230的对象。
附加地或者备选地,安全设备220可以接收来自用户设备210的对象。例如,如下所述,用户设备210可以接收来自服务器设备230的对象,并且可以确定与该对象相关联的实际行为信息。在这一示例中,用户设备210可以向安全设备210提供对象连同实际行为信息(例如,以便允许安全设备220确定与对象相关联的测试行为信息)。
如在图4中进一步示出的,过程400可以包括确定与对象相关联的测试行为信息(框420)。例如,安全设备220可以确定与对象相关联的测试行为信息。在一些实现方式中,在安全设备220接收对象以后,安全设备220可以确定测试行为信息。附加地或者备选地,当安全设备220接收安全设备220将确定测试行为信息的指示时,安全设备220可以确定测试行为信息。
测试行为信息可以包括标识与在测试环境(例如,沙盒环境、仿真环境、由VM主控的环境等)中测试对象相关联的一种或者多种行为的信息。在一些实现方式中,如下所述,测试行为信息可以被与实际行为信息比较以便将对象标识为躲避的恶意对象。在一些实现中,基于在仿真环境中执行对象,安全设备220可以确定测试行为信息。例如,安全设备220可以实现运行在VM上的完整的操作系统内的沙盒环境。在此,安全设备220可以在沙盒环境中执行对象以便确定测试行为信息。在测试环境中测试对象可以允许安全设备220执行对象的动态分析(例如,以便确定对象是否为恶意对象),而不冒在用户设备210上发生任何恶意活动的风险。
附加地或者备选地,安全设备220可以通过执行对象的静态分析(诸如使用反病毒软件扫描对象)、执行对象的字符串搜索、对对象进行反汇编等来确定测试行为。附加地或者备选地,安全设备220可以以与分析对象、执行对象、检查对象、运行对象、安装对象或者以其他方式测试对象相关联的另一方式确定测试行为信息。
附加地或者备选地,基于与另一用户设备210相关联的信息,安全设备220可以确定测试行为。例如,第一用户设备210可以在较早的时间向安全设备220提供与对象相关联的实际行为信息(例如,当第一用户设备210在较早的时间接收该对象时)。在这一示例中,安全设备220可以确定(例如,基于实际行为信息以及基于由安全设备220确定的测试行为信息)对象是躲避的恶意对象。安全设备220可以存储对象是躲避的恶意对象的指示和/或可以存储与对象相关联的测试行为信息。在此,当安全设备220将基于第二用户设备210接收对象(例如,在较晚的时间)来确定测试行为信息时,安全设备220可以取回指示和/或测试行为信息。以这一方式,安全设备220可以使用之前确定的测试行为信息和/或可以基于存储的与对象相关联的指示将对象标识为躲避的恶意对象。
在一些实现方式中,测试行为信息可以指示对象是恶意对象。例如,安全设备220可以在沙盒环境内执行对象,并且可以标识与执行对象相关联的一个或者多个恶意的和/或可疑的行为,诸如文件的创建、文件的编辑、注册表项的创建、注册表项的编辑、注册表项的删除、自动化任务的调度、网络连接的建立等。在这一示例中,基于测试行为信息和/或基于执行对象的附加分析(例如,使用另一种恶意软件检测技术、病毒检测技术、间谍软件检测技术、勒索软件检测技术等),安全设备220可以确定对象是恶意对象。在一些实现方式中,安全设备220可以不允许向用户设备210提供对象(例如,当测试行为信息足够允许安全设备220结论性地(具有特定程度的确定性)确定该对象是恶意的时)。备选地,即使当安全设备220标识一个或者多个恶意的和/或可疑的行为时(例如,当测试行为信息不足以允许安全设备220确定对象是恶意的时),安全设备220可以允许向用户设备210提供对象。
备选地,测试行为信息可以指示对象不是恶意的对象。例如,安全设备220可以在沙盒环境内执行对象,并且可以不标识与执行对象相关联的恶意的和/或可疑的对象(即,对象可以不使得任何可疑的和/或恶意的行为被展示)。在此,安全设备220可以确定测试行为信息,该测试行为信息标识一个或者多个正常的行为(例如,非恶意行为、非可疑行为、典型行为、预期行为等)。在这一示例中,基于测试行为信息和/或基于执行对象的附加分析(例如,使用另一种恶意软件检测技术、病毒检测技术、间谍软件检测技术、勒索软件检测技术等),安全设备220可以确定对象不是恶意对象,并且可以允许向用户设备210提供该对象。在一些实现方式中,安全设备220可以向用户设备210提供对象(例如,在安全设备220确定测试行为信息之后、在安全设备220确定测试行为信息之前、在安全设备220确定测试行为信息的同时等)。附加地或者备选地,安全设备220可以提供指示用户设备210将确定与对象相关联的实际行为信息的信息,并且向安全设备220提供实际行为信息。
在一些实现方式中,安全设备220可以向用户设备210提供与对象相关联的测试行为信息(例如,如下所述,以使得用户设备210可以确定与对象相关联的实际行为信息何时偏离测试行为信息)。
如在图4中进一步示出的,过程400可以包括存储与对象相关联的测试行为信息(框430)。例如,安全设备220可以存储与对象相关联的测试行为信息。在一些实现方式中,当安全设备220确定测试行为信息时(例如,在安全设备220确定测试行为信息之后),安全设备220可以存储测试行为信息。附加地或者备选地,基于接收安全设备220将存储测试行为信息的指示,安全设备220可以存储测试行为信息。
在一些实现方式中,安全设备220可以在安全设备220的存储器位置(例如,RAM、ROM、缓存、硬盘等)中存储测试行为信息。在一些实现方式中,安全设备220可以在由安全设备220存储或者可访问的测试行为信息数据结构中存储测试行为信息。附加地或者备选地,安全设备220可以向另一设备提供测试行为信息以用于存储。
在一些实现方式中,安全设备220可以存储测试行为信息,以使得安全设备220可以在较晚的时间取回测试行为信息。在一些实现方式中,安全设备220可以存储关于用户设备210的测试行为信息。附加地或者备选地,安全设备220可以存储关于对象的测试行为信息。
尽管图4示出了过程400的示例框,但是在一些实现方式中,与在图4中描绘的那些框相比,过程400可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地或者备选地,过程400的框中的两个或者更多个框可以被并行地执行。
图5是关于在图4中所示的示例过程400的示例实现方式500的示图。为了图5的目的,假设安全设备220(例如,SD1)被放置在用户设备210(例如,UD1)和服务器设备230(例如,站点X服务器)之间。进一步地,假设SD1被配置为确定与将向UD1提供的对象相关联的测试行为信息。
如在图5中以及由标号505所示,UD1可以经由SD1向站点X服务器发送对于由站点X服务器存储的对象(例如,game.exe)的请求。如由标号510所示,基于由UD1提供的请求,站点X服务器可以向SD1提供对象。如由标号515所示,SD1可以接收对象并且可以在由SD1主控的沙盒环境中执行该对象。如由标号520所示,基于执行对象(例如,与game.exe相关联的游戏文件夹的创建以及与game.exe相关联的图像文件的下载),SD1可以标识两种行为。如由标号525所示,SD1可以确定两种行为为正常的行为(例如,非恶意的、非可疑的等),对象不是恶意对象,并且SD1可以存储与对象相关联的测试行为信息。如由标号530所示,SD1可以接下来向UD1提供该对象。
如上所述,图5仅作为示例被提供。其他示例是有可能的并且可以与关于图5而被描述的内容不同。
图6是用于确定与对象相关联的实际行为信息并且提供实际行为信息的示例过程600的流程图。在一些实现方式中,图6的一个或者多个过程框可以由用户设备210执行。在一些实现中,图6的一个或者多个过程框可以由另一设备或者与用户设备210分离的或者包括用户设备210的设备的组(诸如安全设备220)来执行。
如在图6中所示,过程600可以包括接收对象(框610)。例如,用户设备210可以接收对象。在一些实现方式中,当安全设备220提供对象时,用户设备210可以接收对象。附加地或者备选地,当服务器设备230提供对象时(例如,基于来自用户设备210的请求),用户设备210可以接收对象。附加地或者备选地,用户设备210可以从另一设备和/或在另一时间接收对象。
在一些实现方式中,在安全设备220确定与对象相关联的测试行为信息之后,用户设备210可以接收对象。换言之,在过程400(如上所述)由安全设备220执行之后(例如,当安全设备220被配置为在用户设备210接收对象之前确定测试行为信息时),用户设备210可以接收对象。备选地,在安全设备220确定与对象相关联的测试行为信息之前,用户设备210可以接收对象。换言之,在过程400由安全设备220执行之前(例如,当安全设备220被配置为在用户设备210接收对象和/或向安全设备220提供对象之后确定测试行为信息时),用户设备210可以接收对象。备选地,在安全设备220确定与对象相关联的测试行为信息的同时,用户设备210可以接收对象。
如在图6中进一步示出的,过程600可以包括确定与对象相关联的实际行为信息(框620)。例如,用户设备210可以确定与对象相关联的实际行为信息。在一些实现方式中,在用户设备210接收对象之后,用户设备210可以确定实际行为信息。附加地或者备选地,当用户设备210接收执行对象、运行对象、打开对象、安装对象等的指示(例如,用户输入)时,用户设备210可以确定实际行为信息。附加地或者备选地,当用户设备210接收用户设备210将确定实际行为信息的指示时,用户设备210可以确定实际行为信息。
实际行为信息可以包括标识在真实环境内(例如,当对象在用户设备210上被执行、在用户设备210上运行、由用户设备210打开、在用户设备210上安装时等)由对象展示的一种或者多种行为的信息。在一些实现方式中,用户设备210可以通过在与用户设备210相关联的真实环境中执行对象、运行对象、打开对象等以及监控对象的行为来确定实际行为信息。在一些实现方式中,如下所述,可以比较实际行为信息与测试行为信息以便将对象标识为躲避的恶意对象。
在一些实现方式中,用户设备210可以基于来自用户的指示来确定实际行为信息。例如,当用户提供指示用户设备210将执行对象的指示时,用户设备210可以被配置为(例如,自动地)确定与对象相关联的实际行为信息。
附加地或者备选地,用户设备210可以基于用户设备210的配置来确定实际行为信息。例如,用户设备210可以被配置为(例如,基于由用户设备210主控的安全应用)当用户设备210执行对象、运行对象、打开对象、安装对象等时确定实际行为信息。
附加地或者备选地,用户设备210可以基于由安全设备220提供的指示来确定实际行为。例如,安全设备220可以向用户设备210提供对象连同用户设备210将确定与对象相关联的实际行为信息的指示(例如,如上所述),并且用户设备210可以因此确定实际行为信息。
如在图6中进一步示出的,过程600可以包括提供实际行为信息(框630)。例如,用户设备210可以提供实际行为信息。在一些实现方式中,在用户设备210确定实际行为信息之后,用户设备210可以提供实际行为信息。附加地或者备选地,当用户设备210接收指示用户设备210将提供实际行为信息的信息时,用户设备210可以提供实际行为信息。
在一些实现方式中,用户设备210可以基于阈值时间量来提供实际行为信息。例如,用户设备210可以存储信息,该信息指示用户设备210将对于在用户设备210开始执行对象之后的阈值时间量(例如,30秒、5分钟等)确定实际行为信息,并且用户设备210可以因此确定并且提供实际行为信息。附加地或者备选地,用户设备210可以周期性地提供实际行为信息(例如,每隔1分钟当对象是打开时、每隔10分钟当对象正在运行时等)。
在一些实现方式中,用户设备210可以基于检测从与对象相关联的测试行为信息的偏差提供实际行为信息。例如,安全设备220可以向用户设备210提供测试行为信息(例如,当安全设备210被配置为在向用户设备210提供对象之前确定测试行为信息时)。在此,用户设备210可以接收测试行为信息并且可以开始确定实际行为信息(例如,用户设备210可以开始执行对象并且监控与执行对象相关联的行为)。在这一示例中,用户设备210可以确定(例如,在用户设备210开始执行对象之后的时间)实际行为信息已经偏离了测试行为信息(例如,当用户设备210在执行期间0标识在测试行为信息中没有标识的行为时),并且用户设备210可以向安全设备220提供实际行为信息。
在一些实现方式中,用户设备210可以提供对象连同实际行为信息。例如,在安全设备220确定与对象相关联的测试行为信息之前,用户设备210可以接收对象,并且用户设备210可以执行该对象。在此,用户设备210可以向安全设备220提供实际行为信息连同对象(例如,以使得安全设备220可以在测试环境(例如,在沙盒环境、仿真环境、使用由安全设备220主控的VM等)中执行对象以便确定与对象相关联的测试行为信息)。
附加地或者备选地,用户设备210可以提供与一个或者多个用户动作相关联的信息,该一个或者多个用户动作与对象相关联。例如,用户设备210可以提供与用户输入(例如,用户名、密码、特定按键的选择、用户界面的特定区域的选择等)相关联的信息,该用户输入由用户提供并且与对象相关联(例如,以使得安全设备210可以重新创建该一个或者多个用户动作以便执行与对象相关联的附加测试)。附加地或者备选地,用户设备210可以提供与对象相关联的存储器快照。例如,用户设备210可以提供与在用户设备210上运行的过程的存储器空间相关联的信息(例如,以使得安全设备220可以在沙盒环境内重新建立匹配的存储器空间以便执行与对象相关联的附加测试)。
尽管图6示出了过程600的示例框,在一些实现方式中,与在图6中描绘的那些框相比,过程600可以包括附加的框、更少的框、不同的框或者被不同地布置的框。附加地或者备选地,过程600的框中的两个或者更多个框可以被并行地执行。
图7是与在图6中所示的示例过程600有关的示例实现方式700的示图。为了图7的目的,假设用户设备210(例如,UD1)已经从服务器设备230(例如,站点X服务器)请求了对象(例如,game.exe)。进一步地,假设被放置在UD1和站点X服务器之间的安全设备220(例如,SD1)已经接收了对象、确定并存储了与对象相关联的测试行为信息,并且已经确定了(例如,基于测试行为信息)UD1可以接收对象。最后,假设UD1被配置为确定与对象相关联的实际行为信息,以及向SD1提供实际行为信息。
如在图7中以及由标号705所示,SD1可以向UD1提供对象。如由标号710所示,UD1可以接收对象,并且可以(例如,基于来自用户的指示)执行对象。如由标号715所示,在UD1开始执行对象后的一分钟时间段期间,UD1可以确定与对象相关联的实际行为对象(例如,假设UD1被配置为在开始对象的执行以后的一分钟提供实际行为信息)。如所示,UD1可以确定实际行为信息,该实际行为信息标识与执行对象相关联的三种行为(例如,与game.exe相关联的游戏文件夹的创建、注册表项Y的编辑以及任务X的调度)。如由标号720所示,UD1可以向SD1提供与对象相关联并且由UD1确定的实际行为信息。
如上所述,图7仅作为示例被提供。其他示例是有可能的并且可以与关于图7而被描述的内容不同。
图8是用于基于比较与对象相关联的实际行为信息和与对象相关联的测试行为信息将对象标识为躲避的恶意对象的示例过程800的流程图。在一些实现方式中,图8的一个或者多个过程框可以由安全设备220执行。在一些实现方式中,图8的一个或者多个过程框可以由另一设备或者与安全设备220分离的或者包括安全设备220的设备(诸如用户设备210)的集合来执行。
如在图8中所示,过程800可以包括接收与对象相关联的实际行为信息(框810)。例如,安全设备220可以接收与对象相关联的实际行为信息。在一些实现方式中,如以上关于过程600所描述的,当用户设备210提供实际行为信息时,安全设备220可以接收与对象相关联的实际行为信息。
在一些实现方式中,安全设备220可以基于用户设备210的配置(例如,当用户设备被配置为在特定时间、以特定时间间隔等提供实际行为信息时)接收实际行为信息。附加地或者备选地,安全设备220可以基于由安全设备220提供的请求(例如,当安全设备220从用户设备210请求实际行为信息时),接收实际行为信息。附加地或者备选地,安全设备220可以在另一时间接收实际行为信息。
如在图8中进一步示出的,过程800可以包括与对象相关联的测试行为信息(框820)。例如,安全设备220可以确定与对象相关联的测试行为信息。在一些实现方式中,在安全设备220接收实际行为信息之后,安全设备220可以确定测试行为信息。附加地或者备选地,当安全设备220接收对象时(例如,如上所述),安全设备220可以确定测试行为信息。附加地或者备选地,当安全设别220接收指示安全设备220将确定测试行为信息的信息时,安全设备220可以确定测试行为信息。
在一些实现方式中,安全设备220可以基于由安全设备220存储的信息确定与对象相关联的测试行为信息。例如,如以上关于过程400所描述的,安全设备220可以确定和存储测试行为信息,并且可以基于存储的信息确定测试行为信息。
附加地或者备选地,安全设别220可以基于测试对象来确定测试行为信息(例如,当在用户设备210接收对象之前安全设备220没有测试对象时)。换言之,在用户设备210提供与对象相关联的实际行为信息之后,安全设备220可以执行过程400。
如在图8中进一步示出的,过程800可以包括比较实际行为信息和测试行为信息(框830)。例如,安全设备220可以比较实际行为信息和测试行为信息。在一些实现方式中,在安全设备220确定测试行为信息之后,安全设备220可以比较实际行为信息和测试行为信息。附加地或者备选地,在安全设备220接收实际行为信息之后,安全设备220可以比较实际行为信息和测试行为信息。附加地或者备选地,在安全设备220接收指示安全设备220将比较实际行为信息和测试行为信息的信息之后,安全设备220可以比较实际行为信息和测试行为信息。
在一些实现方式中,安全设备220可以比较实际行为信息和测试行为信息以便确定当对象由安全设备220测试时与对象由用户设备210执行、运行、打开、安装等相比,对象是否表现不同(例如,在实际行为信息和测试行为信息之间的差别可以指示对象是躲避的恶意对象)。在一些实现方式中,安全设备220可以基于比较实际行为信息和测试行为信息标识在实际行为信息和测试行为信息之间的差别。例如,安全设备220可以确定实际行为信息标识了在测试行为信息中没有标识的行为、测试行为信息标识了在实际行为信息中没有标识的行为、实际行为信息标识了与在测试行为信息中标识的行为相比不同的行为等。在一些实现方式中,安全设备220可以标识在实际行为信息和测试行为信息之间的一个或者多个差别。
如在图8中进一步示出的,过程800可以包括基于比较实际行为信息和测试行为信息将对象标识为躲避的恶意对象(框840)。例如,安全设备220可以基于比较实际行为信息和测试行为信息将对象标识为躲避的恶意对象。在一些实现方式中,在安全设备220比较实际行为信息和测试行为信息之后,安全设备220可以将对象标识为躲避的恶意对象。在一些实现方式中,当安全设备220接收指示安全设备220要将对象标识为躲避的恶意对象的信息时,安全设备220可以将对象标识为躲避的恶意对象。
在一些实现方式中,基于比较实际行为信息和测试行为信息,安全设备220可以将对象标识为躲避的恶意对象。例如,安全设备220可以比较实际行为信息和测试行为信息,并且可以确定对象在用户设备210上展示了一种或者多种恶意行为,以及对象在安全设备220上没有展示一种或者多种恶意行为(例如,在沙盒环境中该对象的测试期间)。在这一示例中,安全设备220可以基于确定对象在用户设备210上展示了一种或者多个恶意行为将对象标识为躲避的恶意对象(例如,当安全设备220被配置为当对象在用户设备210上展示一种或者多种恶意行为,但在安全设备220上没有展示该一种或者多种恶意行为时将对象标识为躲避的恶意对象时)。
附加地或者备选地,安全设备220可以基于与对象相关联的附加测试将对象标识为躲避的恶意对象。例如,安全设备220可以比较实际行为信息和测试行为信息,并且可以确定对象在用户设备210上展示了恶意行为,以及对象在安全设备220上没有展示恶意行为。在这一示例中,假设安全设备220已经从用户设备210接收了与一个或者多个用户动作相关联的信息,该一个或者多个用户动作与执行对象相关联。在此,安全设备220可以使用与该一个或者多个用户动作相关联的信息以便在用户设备上重新创建对象的执行,并且安全设备220可以执行对象的附加测试(例如,使用另一种恶意软件检测技术、病毒检测技术、间谍软件检测技术、勒索软件检测技术等)以便确定对象是否为躲避的恶意对象。
附加地或者备选地,安全设备220可以基于实际行为信息区别于测试行为信息的方式将对象标识为恶意对象。例如,如果对象在客户端设备210上展示了包括第一特征(例如,在回收站中的文件的创建)和相关联的第二特征(例如,致使文件被自动地执行)的行为,并且在安全设备220上没有展示第一特征或者第二特征,则安全设备220可以将对象标识为躲避的恶意对象。换言之,可以将展示的行为分解成特征,并且安全设备220可以确定(例如,基于由安全设备220存储的静态规则、基于由安全设备220使用机器学习技术确定的动态规则等)对象是否为躲避的恶意对象。
在一些实现方式中,在将对象标识为躲避的恶意对象之后,安全设备220可以提供指示。例如,安全设备220可以将对象标识为躲避的恶意对象,并且安全设备220可以提供(例如,向与用户设备210相关联的管理员设备、向用户设备210等)用户设备210已经接收了躲避的恶意对象的通知。作为另一示例,安全设备220可以将对象标识为躲避的恶意对象,并且可以从网络240移除用户设备210(例如,以使得用户设备210不能将躲避的恶意对象传染给其他的用户设备210)。作为又一示例,安全设备220可以使得躲避的恶意对象从用户设备210被移除。附加地或者备选地,安全设备220可以采取与对象和/或用户设备210相关联的另一种类型的纠正动作。例如,安全设备220可以通知防火墙过滤与该对象类似的对象,可以向黑名单添加与该对象相关联的信息等。
尽管图8示出了过程800的示例框,在一些实现方式中,与在图8中描绘的那些框相比,过程800可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地或者备选地,过程800的框中的两个或者更多个框可以被并行地执行。
图9是与在图8中所示的示例过程900有关的示例实现方式的示图。为了图9的目的,假设安全设备220(例如,SD1)已经确定并存储了与对象(例如,game.exe)相关联的测试行为信息,该测试行为信息标识了与在测试环境(例如,沙盒环境)中测试对象相关联的两种行为(例如,游戏文件夹的创建和游戏图像的下载)。进一步地,假设用户设备210(例如,UD1)已经接收了对象并且确定了与对象相关联的实际行为,该实际行为标识了与在UD1上执行对象相关联的三种行为(例如,游戏文件夹的创建、注册表项X的编辑和任务Y的调度)。
如在图9中以及由标号905所示,UD1可以向SD1提供与对象相关联的实际行为信息。如由标号910所示,SD1可以接收实际行为信息,并且可以确定(例如,基于由SD1存储的信息)与对象相关联的测试行为信息。如由标号915所示,SD1可以比较实际行为信息和测试行为信息,并且如由标号920所示,可以确定实际行为信息与测试行为信息不同(例如,因为测试行为信息没有标识与编辑注册表项X或者调度任务Y相关联的行为,并且因为测试行为信息没有标识与下载游戏图像文件相关联的行为)。为了示例实现方式900的目的,假设SD1被配置为将注册表项的编辑标识为恶意行为以及将任务的调度标识为恶意行为。如由标号925所示,SD1可以将对象标识为躲避的恶意对象(例如,因为实际行为信息标识了在测试行为信息中没有包括的两种恶意行为)。如由标号930所示,SD1可以向UD1提供对象是躲避的恶意对象的指示(例如,以使得用户可以删除该对象、停止执行该对象等)。
如上所述,图9仅作为示例被提供。其他示例是有可能的并且可以与关于图9而被描述的内容不同。
在此所述的实现方式可以允许安全设备基于比较与对象相关联的并且由用户设备确定的实际行为信息和与对象相关联的并且由安全设备确定的测试行为信息来确定对象是否为躲避的恶意对象。
前述公开内容提供了说明和描述,但是并未旨在于为穷尽或者将实现方式限制于所公开的精确形式。根据上述公开内容的修改和变化是有可能的或者修改和变化可以从实现方式的实践中被获取。
如在此使用的,术语“组件”旨在于被广泛地解释为硬件、固件和/或硬件和软件的结合。
一些实现在此结合阈值而被描述。如在此使用的,满足阈值可以指代值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或者等于阈值、等于阈值等。
在此所述的系统和/或方法可以按照硬件、固件或者硬件和软件的结合的不同形式而被实现将是明显的。用于实现这些系统和/或方法的实际的具体化的控制硬件或者软件代码不限于本实现方式。因此,系统和/或方法的操作和行为在此没有参考具体的软件代码而被描述——应当理解,基于在此的描述能够设计软件和硬件以实现系统和/或方法。
尽管特征的特定组合被记载在权利要求中和/或被公开在说明书中,这些组合并未旨在于限制可能的实现方式的公开内容。事实上,这些特征中的许多特征可以按照在权利要求中未被具体记载的方式和/或在说明书中未被具体公开的方式结合。尽管以下列出的每个从属权利要求可以直接地依赖于仅一个权利要求,可能的实现方式的公开内容包括每个从属权利要求与在权利要求集合中的每个其他权利要求相结合。
在此使用的元素、动作或者指令均不应被解释为关键的或者必不可少的,除非如此明确地描述。并且,如在此使用的,冠词“一个”和“一种”旨在于包括一个或者多个项目,并且可以与“一个或者多个”可交替地使用。此外,如在此使用的,术语“集合”旨在于包括一个或者多个项目,并且可以与“一个或者多个”可交替地使用。当仅指一个项目时,使用术语“一个”或者类似的语言。并且,如在此使用的,术语“有”、“具有”、“含有”等旨在于为开放的术语。进一步地,短语“基于”旨在于表示“至少部分基于”的意思,除非另外明确地说明。
Claims (20)
1.一种安全设备,包括:
一个或者多个处理器,用于:
从用户设备接收与对象相关联的实际行为信息,
所述实际行为信息标识与在所述用户设备、在真实环境中执行所述对象相关联的第一行为集合;
接收与在所述真实环境中执行所述对象相关联的存储器快照,
所述存储器快照对应于与在所述真实环境中执行所述对象相关联的存储器空间;
基于所述存储器快照执行所述对象的分析,
执行所述分析以使得在所述安全设备、在测试环境内重新建立所述存储器空间,并且
所述分析与标识所述对象是否为躲避的恶意对象相关联;
确定与所述对象相关联的测试行为信息,
所述测试行为信息标识与在所述测试环境中测试所述对象相关联的第二行为集合,并且
所述测试环境包括沙盒环境;
比较所述第一行为集合和所述第二行为集合以确定在所述第一行为集合和所述第二行为集合之间的差别;
基于在所述第一行为集合和所述第二行为集合之间的所述差别标识所述对象是否为所述躲避的恶意对象,
所述对象基于以下各项被标识为所述躲避的恶意对象:
所述第一行为集合包括恶意行为,以及
所述第二行为集合不包括所述恶意行为;以及
基于将所述对象标识为所述躲避的恶意对象提供所述对象为所述躲避的恶意对象的指示。
2.根据权利要求1所述的安全设备,其中所述一个或者多个处理器还用于:
接收所述对象;
在所述测试环境内执行所述对象以确定所述测试行为信息;以及存储所述测试行为信息;并且
其中所述一个或者多个处理器在确定与所述对象相关联的所述测试行为信息时用于:
基于存储的所述测试行为信息确定所述测试行为信息。
3.根据权利要求2所述的安全设备,其中所述一个或者多个处理器还用于:
向所述用户设备提供所述对象,
向所述用户设备提供所述对象以允许所述用户设备在所述真实环境中执行所述对象以确定所述实际行为信息。
4.根据权利要求1所述的安全设备,其中所述分析是第一分析;并且
其中所述一个或者多个处理器还用于:
接收与用户动作相关联的信息,所述用户动作与在所述真实环境中执行所述对象相关联;以及
基于与所述用户动作相关联的所述信息执行所述对象的第二分析,
执行所述第二分析以使得在所述测试环境中重新创建所述用户动作,并且
所述第二分析与标识所述对象是否为所述躲避的恶意对象相关联。
5.根据权利要求1所述的安全设备,其中所述测试环境包括与所述安全设备相关联的仿真环境。
6.根据权利要求1所述的安全设备,其中所述一个或者多个处理器还用于:
使得从所述用户设备移除所述躲避的恶意对象。
7.根据权利要求1所述的安全设备,其中所述一个或者多个处理器还用于:
通知防火墙以过滤与所述躲避的恶意对象相似的对象。
8.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或者多个指令,所述一个或者多个指令在被一个或者多个处理器执行时,使得所述一个或者多个处理器:
获得与对象相关联的实际行为信息,
所述实际行为信息标识从在用户设备、在真实环境中执行或者安装所述对象展示的实际行为集合;
接收与在所述真实环境中执行或者安装所述对象相关联的存储器快照,
所述存储器快照对应于与在所述真实环境中执行或者安装所述对象相关联的存储器空间;
基于所述存储器快照执行所述对象的分析,
执行所述分析以使得在安全设备、在测试环境内重新建立所述存储器空间,并且
所述分析与标识所述对象是否为躲避的恶意对象相关联;
确定与所述对象相关联的测试行为信息,
所述测试行为信息标识与在所述测试环境中测试所述对象相关联的测试行为集合;
比较所述实际行为集合和所述测试行为集合以确定在所述实际行为集合和所述测试行为集合之间的差别;
基于在所述实际行为集合和所述测试行为集合之间的所述差别标识所述对象是否为所述躲避的恶意对象,
所述对象基于以下各项被确定为所述躲避的恶意对象:
所述实际行为集合包括恶意行为,以及
所述测试行为集合不包括所述恶意行为;以及
基于将所述对象确定为所述躲避的恶意对象提供指示所述对象为所述躲避的恶意对象的信息。
9.根据权利要求8所述的非瞬态计算机可读介质,其中所述一个或者多个指令在被所述一个或者多个处理器执行时,还使得所述一个或者多个处理器:
接收所述对象;
在所述测试环境内执行或者安装所述对象以确定所述测试行为信息;以及
存储所述测试行为信息;并且
其中使得所述一个或者多个处理器确定与所述对象相关联的所述测试行为信息的所述一个或者多个指令使得所述一个或者多个处理器:
基于存储的所述测试行为信息确定所述测试行为信息。
10.根据权利要求8所述的非瞬态计算机可读介质,其中所述一个或者多个指令在被所述一个或者多个处理器执行时,还使得所述一个或者多个处理器:
向所述用户设备提供所述对象,
向所述用户设备提供所述对象以允许所述用户设备在所述真实环境中执行或者安装所述对象以确定所述实际行为信息。
11.根据权利要求8所述的非瞬态计算机可读介质,其中所述分析是第一分析;并且
其中所述一个或者多个指令在被所述一个或者多个处理器执行时,还使得所述一个或者多个处理器:
接收与用户动作相关联的信息,所述用户动作与在所述真实环境中执行或者安装所述对象相关联;以及
基于与所述用户动作相关联的所述信息执行所述对象的第二分析,
执行所述第二分析以使得在所述测试环境中重新创建所述用户动作,并且
所述第二分析与确定所述对象是否为所述躲避的恶意对象相关联。
12.根据权利要求8所述的非瞬态计算机可读介质,其中所述分析是第一分析;并且
其中所述一个或者多个指令在被所述一个或者多个处理器执行时,还使得所述一个或者多个处理器:
基于所述存储器快照执行所述对象的第二分析,
所述第二分析是与所述存储器快照相关联的静态分析,并且
所述第二分析与确定所述对象是否为所述躲避的恶意对象相关联。
13.根据权利要求8所述的非瞬态计算机可读介质,其中所述测试环境包括与所述安全设备相关联的沙盒环境。
14.根据权利要求8所述的非瞬态计算机可读介质,其中所述一个或者多个指令在被所述一个或者多个处理器执行时,还使得所述一个或者多个处理器:
基于将所述对象确定为所述躲避的恶意对象从网络移除所述用户设备。
15.一种安全方法,包括:
由安全设备从用户设备接收与对象相关联的实际行为信息,
所述实际行为信息标识与在所述用户设备上执行所述对象相关联的第一行为组;
由所述安全设备接收与在所述用户设备上执行所述对象相关联的存储器快照,
所述存储器快照对应于与在所述用户设备上执行所述对象相关联的存储器空间;
由所述安全设备基于所述存储器快照执行所述对象的分析,
执行所述分析以使得在所述安全设备内重新建立所述存储器空间,并且
所述分析与标识所述对象是否为躲避的恶意对象相关联;
由所述安全设备确定与所述对象相关联的测试行为信息,
所述测试行为信息标识与在所述安全设备上测试所述对象相关联的第二行为组;
由所述安全设备确定在所述第一行为组和所述第二行为组之间的差别;
由所述安全设备基于在所述第一行为组和所述第二行为组之间的所述差别将所述对象标识为所述躲避的恶意对象,
所述对象基于以下各项被标识为所述躲避的恶意对象:
所述第一行为组包括恶意行为,以及
所述第二行为组不包括所述恶意行为;以及
由所述安全设备基于将所述对象标识为所述躲避的恶意对象提供与将所述对象标识为所述躲避的恶意对象相关联的信息。
16.根据权利要求15所述的方法,还包括:
接收所述对象;
在测试环境内测试所述对象以确定所述测试行为信息,
所述测试环境由所述安全设备主控;以及
存储所述测试行为信息;并且
其中确定与所述对象相关联的所述测试行为信息还包括:
基于存储的所述测试行为信息确定所述测试行为信息。
17.根据权利要求15所述的方法,其中所述分析是第一分析;并且
其中所述方法还包括:
接收与用户动作相关联的信息,所述用户动作与在所述用户设备上执行所述对象相关联;以及
基于与所述用户动作相关联的所述信息执行所述对象的第二分析,
执行所述第二分析以使得在所述安全设备上重新创建所述用户动作,并且
所述第二分析与将所述对象标识为所述躲避的恶意对象相关联。
18.根据权利要求15所述的方法,其中所述安全设备主控沙盒环境,
所述沙盒环境允许所述安全设备测试所述对象以便确定与所述对象相关联的所述测试行为信息。
19.根据权利要求15所述的方法,其中所述第一行为组还包括创建文件以及使得自动地执行所述文件;并且
其中所述第二行为组不包括:
创建所述文件,以及
使得自动地执行所述文件。
20.根据权利要求15所述的方法,还包括:
通知防火墙将所述躲避的恶意对象加入黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810164929.6A CN108268771B (zh) | 2014-09-30 | 2015-03-27 | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/502,713 | 2014-09-30 | ||
| US14/502,713 US9411959B2 (en) | 2014-09-30 | 2014-09-30 | Identifying an evasive malicious object based on a behavior delta |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810164929.6A Division CN108268771B (zh) | 2014-09-30 | 2015-03-27 | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161344A CN106161344A (zh) | 2016-11-23 |
| CN106161344B true CN106161344B (zh) | 2018-03-30 |
Family
ID=52810962
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510142620.3A Active CN106161344B (zh) | 2014-09-30 | 2015-03-27 | 基于行为增量标识躲避的恶意对象 |
| CN201810164929.6A Active CN108268771B (zh) | 2014-09-30 | 2015-03-27 | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810164929.6A Active CN108268771B (zh) | 2014-09-30 | 2015-03-27 | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (4) | US9411959B2 (zh) |
| EP (2) | EP3690692B1 (zh) |
| CN (2) | CN106161344B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9860208B1 (en) | 2014-09-30 | 2018-01-02 | Palo Alto Networks, Inc. | Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network |
| US9882929B1 (en) | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| US10044675B1 (en) | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US9411959B2 (en) | 2014-09-30 | 2016-08-09 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| US9984231B2 (en) * | 2015-11-11 | 2018-05-29 | Qualcomm Incorporated | Detecting program evasion of virtual machines or emulators |
| CN110891048B (zh) * | 2015-12-24 | 2021-09-03 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10237293B2 (en) * | 2016-10-27 | 2019-03-19 | Bitdefender IPR Management Ltd. | Dynamic reputation indicator for optimizing computer security operations |
| US10586040B2 (en) * | 2017-03-24 | 2020-03-10 | Ca, Inc. | Sample-specific sandbox configuration based on endpoint telemetry |
| TWI677804B (zh) * | 2017-11-29 | 2019-11-21 | 財團法人資訊工業策進會 | 計算機裝置及辨識其軟體容器行為是否異常的方法 |
| US10628586B1 (en) | 2017-11-30 | 2020-04-21 | Palo Alto Networks, Inc. | Detecting malware via scanning for dynamically generated function pointers in memory |
| US20190174319A1 (en) * | 2017-12-01 | 2019-06-06 | Seven Networks, Llc | Detection and identification of potentially harmful applications based on detection and analysis of malware/spyware indicators |
| US20190362075A1 (en) * | 2018-05-22 | 2019-11-28 | Fortinet, Inc. | Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween |
| CN108846069B (zh) * | 2018-06-07 | 2022-07-19 | 创新先进技术有限公司 | 一种基于标记语言的文档执行方法及装置 |
| CN109040054B (zh) * | 2018-07-30 | 2020-12-04 | 杭州迪普科技股份有限公司 | 一种url过滤测试方法和装置 |
| US11138313B2 (en) * | 2018-08-13 | 2021-10-05 | Juniper Networks, Inc. | Malware detection based on user interactions |
| US11036856B2 (en) | 2018-09-16 | 2021-06-15 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
| CN110908898B (zh) * | 2019-11-06 | 2023-07-21 | 贝壳找房(北京)科技有限公司 | 生成测试方案的方法及系统 |
| US11265346B2 (en) | 2019-12-19 | 2022-03-01 | Palo Alto Networks, Inc. | Large scale high-interactive honeypot farm |
| US11271907B2 (en) | 2019-12-19 | 2022-03-08 | Palo Alto Networks, Inc. | Smart proxy for a large scale high-interaction honeypot farm |
| US11372978B2 (en) * | 2020-04-13 | 2022-06-28 | Twistlock Ltd. | Software package analysis for detection of malicious properties |
| US20210326436A1 (en) * | 2020-04-21 | 2021-10-21 | Docusign, Inc. | Malicious behavior detection and mitigation in a document execution environment |
| RU2748518C1 (ru) * | 2020-08-27 | 2021-05-26 | Общество с ограниченной ответственностью "Траст" | Способ противодействия вредоносному программному обеспечению (ВПО) путем имитации проверочной среды |
| US20220191217A1 (en) * | 2020-12-15 | 2022-06-16 | Raytheon Company | Systems and methods for evasive resiliency countermeasures |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103049696A (zh) * | 2012-11-21 | 2013-04-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚拟机躲避识别的方法及装置 |
| JP2014071796A (ja) * | 2012-10-01 | 2014-04-21 | Nec Corp | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8793787B2 (en) * | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US8290763B1 (en) | 2008-09-04 | 2012-10-16 | Mcafee, Inc. | Emulation system, method, and computer program product for passing system calls to an operating system for direct execution |
| CN102088379B (zh) * | 2011-01-24 | 2013-03-13 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
| US9081959B2 (en) * | 2011-12-02 | 2015-07-14 | Invincea, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
| CA2777434C (en) * | 2012-05-18 | 2019-09-10 | Ibm Canada Limited - Ibm Canada Limitee | Verifying application security vulnerabilities |
| CN102902913B (zh) * | 2012-09-19 | 2016-08-03 | 无锡华御信息技术有限公司 | 防止恶意破坏计算机内的软件的保全方法 |
| CN103699479B (zh) * | 2012-09-27 | 2018-02-02 | 百度在线网络技术(北京)有限公司 | 一种沙盒测试环境构建系统及构建方法 |
| US9185128B2 (en) * | 2013-08-30 | 2015-11-10 | Bank Of America Corporation | Malware analysis methods and systems |
| CN103559441B (zh) * | 2013-10-28 | 2016-04-27 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
| US9411959B2 (en) | 2014-09-30 | 2016-08-09 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
-
2014
- 2014-09-30 US US14/502,713 patent/US9411959B2/en active Active
-
2015
- 2015-03-23 EP EP20160988.0A patent/EP3690692B1/en active Active
- 2015-03-23 EP EP15160337.0A patent/EP3002702B1/en active Active
- 2015-03-27 CN CN201510142620.3A patent/CN106161344B/zh active Active
- 2015-03-27 CN CN201810164929.6A patent/CN108268771B/zh active Active
-
2016
- 2016-08-05 US US15/229,842 patent/US9594908B2/en active Active
-
2017
- 2017-03-10 US US15/455,981 patent/US9922193B2/en active Active
-
2018
- 2018-03-15 US US15/922,467 patent/US10210332B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| JP2014071796A (ja) * | 2012-10-01 | 2014-04-21 | Nec Corp | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103049696A (zh) * | 2012-11-21 | 2013-04-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚拟机躲避识别的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108268771B (zh) | 2024-03-08 |
| US9922193B2 (en) | 2018-03-20 |
| CN106161344A (zh) | 2016-11-23 |
| EP3690692B1 (en) | 2024-02-28 |
| US20160342794A1 (en) | 2016-11-24 |
| US9594908B2 (en) | 2017-03-14 |
| EP3690692A1 (en) | 2020-08-05 |
| US10210332B2 (en) | 2019-02-19 |
| US20170185779A1 (en) | 2017-06-29 |
| CN108268771A (zh) | 2018-07-10 |
| EP3002702A1 (en) | 2016-04-06 |
| EP3002702B1 (en) | 2020-05-06 |
| US20160092682A1 (en) | 2016-03-31 |
| US20180204003A1 (en) | 2018-07-19 |
| US9411959B2 (en) | 2016-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161344B (zh) | 基于行为增量标识躲避的恶意对象 | |
| US10474817B2 (en) | Dynamically optimizing performance of a security appliance | |
| CN106022113B (zh) | 经由沙盒检测恶意文件感染 | |
| US9912698B1 (en) | Malicious content analysis using simulated user interaction without user involvement | |
| US10075455B2 (en) | Zero-day rotating guest image profile | |
| US20170324756A1 (en) | Remote remediation of malicious files | |
| CN106022123A (zh) | 多文件恶意软件分析 | |
| US20210406368A1 (en) | Deep learning-based analysis of signals for threat detection | |
| CN107203717A (zh) | 在虚拟机上执行文件的防病毒扫描的系统和方法 | |
| CN105607944B (zh) | 一种共享应用环境的方法及装置 | |
| CN111259404B (zh) | 中毒样本生成方法、装置、设备及计算机可读存储介质 | |
| JP2011233081A (ja) | アプリケーション判定システムおよびプログラム | |
| TWI687906B (zh) | 用於進行基於安全的電腦之候選者評估的系統和方法以及執行方法之非暫時性電腦可讀媒體 | |
| US10839066B1 (en) | Distinguishing human from machine input using an animation | |
| KR102072288B1 (ko) | GANs을 이용한 보안 로그 데이터의 이상 탐지 방법 및 이를 수행하는 장치들 | |
| JP6930862B2 (ja) | クライアント改ざん判断システムおよび方法 | |
| WO2016127037A1 (en) | Method and device for identifying computer virus variants | |
| CN113515744A (zh) | 恶意文档检测方法、装置、系统、电子装置和存储介质 | |
| US10706146B2 (en) | Scanning kernel data structure characteristics | |
| CN117150491A (zh) | 一种恶意软件的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |