CN106462705A - 基于在已知的恶意环境中的出现标识可疑的恶意软件文件和站点 - Google Patents
基于在已知的恶意环境中的出现标识可疑的恶意软件文件和站点 Download PDFInfo
- Publication number
- CN106462705A CN106462705A CN201580025669.9A CN201580025669A CN106462705A CN 106462705 A CN106462705 A CN 106462705A CN 201580025669 A CN201580025669 A CN 201580025669A CN 106462705 A CN106462705 A CN 106462705A
- Authority
- CN
- China
- Prior art keywords
- event
- satellite
- anchor
- data stream
- telemetry data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本文中公开的是一种用于标识恶意活动的潜在源以及标识来自可疑的恶意源的潜在恶意的文件的系统和方法。通过使用来自已知已被恶意活动感染的设备的锚事件和遥测数据,可以标识两个设备之间的所述遥测数据中的类似的事件。这些卫星事件然后被用于标识可能已被所述卫星事件存放的其它文件,以使得可以向恶意软件研究人员突出那些文件。额外地,可以基于该分析来更新所述恶意软件保护,以将与所述卫星事件相关联的站点标记为恶意站点,以使得所述站点可以被阻止或者隔离。
Description
技术领域
本说明书一般涉及基于用于找到恶意软件的卫星源对已知的锚和遥测数据的分析标识潜在的恶意软件和恶意软件的源。
背景技术
恶意软件检测和标识是要求大量人类参与的复杂过程。恶意软件的开发人员总是试图经由持续地调整和修改恶意软件的外形和行为来智胜恶意软件检测和移除公司。由于恶意软件检测依赖于签名,所以恶意软件开发人员能够通过对他们的恶意软件文件的这种持续的变更和调整来领先于检测公司,这要求恶意软件检测公司持续地调整签名以检测经变更的恶意软件。
当前的恶意软件检测依赖于公司和个人在感染或者攻击已发生之后提交恶意软件或者可疑的恶意软件的样本。恶意软件研究人员将对文件进行分析,并且开发针对那个文件的签名。该签名将然后被推出给检测程序,以使得该文件将在未来被标识为恶意软件。恶意软件研究人员花费大量时间试图确定特定的文件实际上是恶意软件还是良性文件。
发明内容
下面呈现了本公开内容的简化的摘要,以向读者提供基本的理解。本摘要不是本公开内容的外延的概述,并且其不标识本发明的关键/至关重要的元素或者划定本发明的范围。其唯一目的在于,作为稍后呈现的详细描述的序言以简化形式呈现本文中公开的一些概念。
本示例提供用于确定未知的文件是恶意软件还是良性文件或者计算系统是否已被恶意软件感染或者不久将被利用恶意软件进行感染的系统和方法。本公开内容使用云和分布式计算来从多个机器接收关于被那些机器/设备执行的大量文件和活动的信息。这些文件中的一些文件可能是恶意软件,而这些文件中的一些文件可能不是恶意软件。经由对关于所述大量文件的所述信息进行聚合,所述系统能够确定可以使文件是恶意软件或者不是恶意软件的关于所述文件的特性。额外地,所述系统能够标识可能导致机器的感染的源事件。额外地,所述系统能够揭露导致感染的事件的链。
系统以经检测或者已知的恶意软件事件或者其它事件类型开始对来自所述设备中的每个设备的遥测数据进行分析。系统然后回顾从前以标识发生在多个遥测数据流中的公共源事件,以使得所述源事件可以被标记或者标识为是潜在的恶意的或者被破坏的源。由于所述系统中存在许多机器,所以相同的源事件将可能出现在多个针对被感染的机器的遥测数据流上。一旦源已针对所述恶意事件被标识,则所述保护软件可以被更新以保护其它机器(如果它们遭遇所述源事件的话)。这样,有可能经由标识恶意活动的源并且阻止对关联的站点的访问或者对来自那个站点的全部文件进行标示以用于进一步的研究来智胜恶意软件作者。这允许基于在其中文件不考虑与恶意文件内容相关联的签名而出现的上下文对机器进行保护。
经由参考下面结合附图来考虑的详细描述,附带的特征中的许多特征将被更轻松地认识到,因为相同的内容变得被更好地理解。
附图说明
从下面根据附图来阅读的详细说明书中,本说明书将被更好地理解,其中:
图1是图示出根据一个说明性实施例的恶意软件检测和保护系统的部件的方框图。
图2图示了根据一个说明性实施例的来自两个不同的设备的两个示例性的遥测数据流。
图3是图示根据一个说明性实施例的被系统用于标识卫星和恶意文件的过程的流程图。
图4是图示了根据一个实施例的计算设备的部件图。
在附图中,类似的标号用于指定类似的部分。
具体实施方式
下面结合附图提供的详细说明书旨在作为对本示例的描述,而不旨在表示本示例可以通过其被构造或者使用的仅有形式。本说明书阐述了示例的功能和用于构造和操作示例的步骤的序列。然而,可以由不同的示例完成相同或者等价的功能和序列。
当元素被称为被“连接”或者“耦合”时,所述元素可以被直接地连接或者耦合在一起,或者一个或多个中介元素可以也出现。相反,当元素被称为被“直接地连接”或者“直接地耦合”时,不出现任何中介元素。
本主题可以作为设备、系统、方法和/或计算机程序产品体现。相应地,本主题中的一些主题或者全部主题可以被体现在硬件和/或软件(包括固件、常驻软件、微代码、状态机、门阵列等)中。此外,本主题可以采用计算机可用或者计算机可读存储介质上的计算机程序产品的形式,所述计算机可用或者计算机可读存储介质具有体现在所述介质中的用于经由或者结合指令执行系统来使用的计算机可用或者计算机可读程序代码。在本文档的上下文中,计算机可用或者计算机可读介质可以是任何可以包含、存储、传送、传播或者传输用于经由或者结合指令执行系统、装置或者设备来使用的程序的介质。
计算机可用或者计算机可读介质可以例如但不限于是电子、磁性、光学、电磁、红外线或者半导体系统、装置、设备或者传输介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。
计算机存储介质包括用任何用于存储诸如是计算机可读指令、数据结构、程序模块或者其它数据的信息的方法或者技术实现的易失性和非易失性、可移除和非可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或者其它存储器技术、CD-ROM、数字多功能光盘(DVD)或者其它光学存储装置、盒式磁带、磁带、磁盘存储装置或者其它磁性存储设备、或者任何其它的可以用于存储期望的信息并且可以被指令执行系统访问的介质。应当指出,计算机可用或者计算机可读介质可以是纸或者程序被打印在其上的其它合适的介质,因为程序可以经由例如对纸或者其它合适的介质的光学扫描而被电子地捕获,然后被编译、解释或者如果必要以合适的方式被处理,并且然后被存储在计算机存储器中。
通信介质通常将计算机可读指令、数据结构、程序模块或者其它数据体现在诸如是载波或者其它传输机制的经调制的数据信号中,并且包括任何信息递送介质。这是与计算机存储介质不同的。术语“经调制的数据信号”可以被定义为使它的特性中的一个或多个特性以使得将信息编码在该信号中的方式被设置或者变更的信号。作为示例而非限制,通信介质包括诸如是有线网络或者直接有线连接的有线介质和诸如是声音、RF、红外线和其它无线介质的无线介质。以上提到的项中的任何项的组合应当也被包括在计算机可读介质的范围内。
当本主题被包含在计算机可执行指令的一般上下文中时,实施例可以包括被一个或多个系统、计算机或者其它设备执行的程序模块。一般地,程序模块包括执行特定任务或者实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以在各种实施例中根据需要被合并或者分布。
对恶意软件的标识已经是期望对计算机系统施加他们的恶意代码的恶意软件的开发人员或者恶意软件作者与试图阻止恶意软件对用户和计算机系统进行夺取和施加破坏的分析人员之间的永恒的猫和老鼠的游戏。恶意软件开发人员在创建恶意软件时持续地变更或者修改他们的策略,以使得对于反恶意软件程序来说标识、隔离和移除恶意软件更难。通常,恶意软件当用户在他们的系统已变得被恶意软件组件感染之后向恶意软件研究人员提交恶意软件的样本时被标识。研究人员对所提交的恶意软件样本进行研究,并且确定该样本是否实际上是恶意软件而不是某个其它东西,并且如果它是恶意软件,则研究人员标识恶意软件的签名。该恶意软件签名然后被发布,以使得反恶意软件程序可以利用该签名来在文件被呈现给作为反恶意软件程序的主机的系统时将该文件标识为恶意软件。
然而,这种用于标识恶意软件的方法是极端劳动密集的,因为研究人员必须对每个所提交的恶意软件候选项进行评估,以确定该候选项是否实际上是恶意软件。在世界范围内,存在非常少的活跃地处置恶意软件样本的恶意软件研究人员。通常,这些恶意软件研究人员全部都在查看相同或者相似的恶意软件候选项。这减少了每天可以被查看的唯一的恶意软件候选项的数量。当前的估计指示,每天产生超过200,000个新的恶意软件样本,并且大约500,000个文件被报告为可疑文件。可疑文件的大量的数量和每天生成的恶意软件样本的数量和手动分析可疑文件并且生成对于实际恶意软件的关联的签名花费的时间使得更有可能的是,恶意软件样本可以在签名被找到和发布之前在一些天内剧烈扩散。
本公开内容呈现了用于自动地标识可疑文件以及标识潜在受损的站点的系统和方法,所述潜在受损的站点可以被呈现给研究人员,以用于在经由将未知文件与潜在受损的站点相关来为终端用户提供保护时被看作恶意软件。
本公开内容引入了一些将在本讨论内被使用的术语。出于清楚和易于阅读的目的,为这些术语提供下面的定义。这些定义不旨在是在意义上限制性的,而仅用于在理解是提供辅助。
锚 - 锚是已知是恶意的或者与恶意活动相关的事件或者信号。它也被称为锚事件。锚也可以是看起来像恶意的而实际上还未确定它是恶意的事件,这是可疑事件。
锚时间段 - 被系统认为是用于确定恶意文件或者事件的源的感兴趣的区域的围绕锚的时间段。
卫星文件、卫星事件(共同称为“卫星”) - 在锚在其处被标识的机器上在锚时间段中被报告和/或找到的文件或者事件。
图1是图示了根据一个说明性实施例的恶意软件检测和保护系统100的部件的方框图。系统100包括遥测搜集部件120、存储部件130、锚标识部件140、卫星标识部件150、恶意软件保护部件160和设备170-1、170-2、170-N(共同称为设备170)。
恶意软件保护部件160在一个说明性实施例中是被安装或者操作在设备170上的反恶意软件程序。然而,在其它实施例中,可以将恶意软件保护部件160与遥测搜集部件120并置。恶意软件保护部件160在某些实施例中被配置为,当文件被安装在设备170上时对这些文件进行扫描。在某些实施例中,恶意软件保护部件160定期地(或者连续地)对设备170进行扫描,以确定是否可以检测到任何恶意文件或者活动。当恶意软件事件被检测时,恶意软件保护部件160生成针对所检测的事件的遥测数据。尽管本讨论讨论了恶意软件事件,但本领域的技术人员应当理解,这个事件可以包括任何可疑事件。可疑事件可以指恶意软件检测事件、已知的恶意软件事件、未知的事件或者已从外部源接收的指定关于事件的信息(诸如是指定事件的机器对和时间)的事件。
这个遥测数据可以包括运行在设备170上的进程、曾在设备170上被打开的文件、曾被设备170下载的文件、曾被设备170修改的文件、曾被设备170访问的网站或者互联网站点、或者可以被设备170报告的任何其它活动或者配置中的全部项。这些文件可以包括恶意的和良性的文件两者。这个遥测数据包括所检测的事件之前的一段时间内的数据。这个时间的量在某些实施例中可以由用户或者管理员配置。恶意软件保护部件向锚标识部件140或者遥测搜集部件120传输或者提供针对设备170所搜集的遥测数据。然而,在其它实施例中,遥测数据可以被持续地生成并且向锚标识部件140或者遥测搜集部件120报告。
锚标识部件140在一个实施例中是被配置为在遥测数据中标识锚并且对该数据进行标注的系统100的部件。在一个实施例中,锚标识部件140查询遥测数据以获得事件的子集。它从其中取得锚,所述锚是用于被卫星标识部件150使用的机器id和时间对的集合。一旦遥测数据已被搜集,则锚标识部件140在遥测数据中对具有具体的锚项的遥测数据进行标注。所检测的锚或者锚事件是遥测数据的基线基于其被报告的事件。如上面提到的,锚事件可以是对诸如是病毒、特洛伊木马或者其它恶意文件的恶意软件事件的检测。然而,在某些实施例中,它可以是由恶意软件保护部件160对被监控的设备170上的不常见或者以其它方式可疑的活动的检测。因此,对锚以及锚的事件的标识对于对遥测数据的进一步分析是重要的。在遥测数据中对锚的标识一般是独立于由设备170完成的任何其它遥测数据报告的。每个锚是该设备170上的单一的被隔离的事件。在某些实施例中,锚标识部件140位于设备170上,在其它实施例中,将它与系统100的其它部件并置在诸如相同的服务器上。
遥测搜集部件120在一个说明性实施例中是被配置为从诸如是设备170的各种各样的源搜集或者收集遥测数据的部件。这个遥测数据通常由从与设备170相关联的恶意软件保护部件160接收的信号组成。这个信号包括曾是与设备170相关联的活动或者事件,所述活动或者事件诸如是被打开、下载、保存、修改的文件、处理器活动、被访问的位置(例如,网站或者应用)、注册表项更新、网络业务(例如,协议或者目的地点)等。这个信号在某些实施例中包括所检测的锚事件之前的预定时间段内的来自关联的设备170的活动。在某些实施例中,遥测数据还可以包括所检测的锚事件之后的活动。所接收的遥测数据在某些实施例中已被锚标识部件140利用锚进行标记。然而,在其它实施例中,遥测搜集部件120可以从锚标识部件140请求锚被标识。在这个实施例中,遥测数据可以包括指示哪个事件或者哪些事件曾导致遥测数据被报告的信息。在某些实施例中,遥测搜集部件120从外部源接收事件的集合。这些外部源可以是提供设备170的所接收的遥测数据之外的事件信息的源。这个信息可以是已被标识的事件的列表,但可能不是恶意软件保护的部分,可以是从其它系统或者从研究人员分析搜集的遥测数据。
一旦遥测数据已被搜集,则这个数据被存储在存储部件130中。存储部件130可以是任何在其中数据可以被存储并且稍后被检索的介质或者设备170。在图1中由项131指示存储在存储设备中的各种遥测数据流。
卫星标识部件150在一个说明性实施例中是被配置为从遥测数据中标识锚之外的其它文件、应用、网站或者活动的系统100的部件,其中,所述其它文件、应用、网站或者活动可以是就其本身而言恶意的,或者可以是导致感染从其开始的根本原因。由于遥测搜集部件120能够从一些不同的设备170搜集遥测数据,所以对于卫星标识部件150来说变得有可能标识从设备170中的每个设备被报告的遥测数据之间的引人关注的相似性。由于每个设备170在它的遥测数据和导致遥测数据被发送的锚事件中进行报告,所以卫星标识部件150能够查看锚事件和通常将被单一的设备170体验的真空之外的围绕该锚事件的其它事件。
在一个实施例中,卫星标识部件150检查从设备170接收的遥测数据的子集以进行分析。卫星标识部件150查看每个锚事件,并且确定其它设备170的遥测数据中是否存在与所述锚同期发生的另一个事件。即,是否事件在锚时间段内发生。锚时间段可以是任何时间段。在某些实施例中,锚时间段是几分钟。在其它实施例中,锚时间段是一小时。然而,锚时间段可以长达几天。进一步地,在某些实施例中,锚时间段包括锚事件之后的时间,因此锚事件在锚时间段中间的时间点处发生。因此,同期发生的事件可以在锚事件之后发生。在某些实施例中,由卫星标识部件150对遥测数据进行的比较将每个设备的遥测数据与已知包括恶意活动的遥测数据流进行比较。经由在事件之前和之后进行查看,卫星标识部件能够标识公共的相关的事件,即,同期发生的事件。当以已知的恶意事件的集合开始时,公共的相关的事件更可能是恶意的。当以可疑事件的集合开始时,如果公共的相关的事件已知是恶意的,则起始集合更可能也是恶意的。
例如,如在图2中图示的,说明了来自两个不同设备的两个示例性遥测数据流200和240。尽管在图2中仅图示了两个遥测流,但应当指出,可以分析和查看任意数量的遥测数据流。在某些实施例中,遥测数据流200和240中的一个或全部两个遥测数据流已知包括恶意活动。第一设备201已在数据中报告了锚事件220和在锚事件220之前发生的其它事件214、216和218。第二设备250已报告了锚事件260和在锚事件260之前发生的其它事件252、254、256和258。在这个示例中,锚事件220和260不是相同的锚事件。跟随在锚事件220和260之后的箭头被图示为指示在锚之后可以存在未被图示的额外的遥测数据。进一步地,在图2中,为简单起见,仅图示了几个事件。在实际的遥测数据流中,取决于被分析的时间的长度,将存在数十至数千个可以出现的事件。在图2中经由被标识为时间的箭头来图示时间的概念。
卫星标识部件150然后将事件214、216、218与事件252、254、256和258进行比较,以确定所述事件中的任何事件是否与彼此相似或者相关。在某些实施例中,可以使用诸如是Jacard相似性度量或者余弦相似性度量的相似性度量。该分析可以考虑这些事件的事件类型、事件关于锚事件的时序(即,所述事件在事件220和260之前的预定时段内吗)、或者任何其它的可以在确定事件是否与彼此相似时提供辅助的东西。尽管事件在图2中被图示为在锚之前发生,再一次地,卫星标识部件150也可以查看在锚之后发生的事件。
在图2的示例中,卫星标识部件150确定事件254和216是相似的事件。卫星标识部件150将事件254和216标记为卫星事件270。在其中对多个不同的流进行分析的实施例中,在事件被标识为卫星事件270之前,可能不得不达到阈值数量的在它们中具有相似的事件的流。这样,系统100能够最小化其作为卫星270向回报告的误判的数量。然而,在某些实施例中,简单地使两个流具有相似的事件对于事件被标记为卫星事件270可能是足够的。
卫星标识部件150被进一步配置为,在标识其它潜在的恶意事件时使用卫星270。首先,在某些实施例中,将所标识的卫星270与已知的安全事件的白名单165进行比较。这样,不执行对已知的安全事件的进一步的分析。在某些实施例中将白名单165与遥测数据一起存储在存储设备130中。然而,在其它实施例中,白名单165可以是由卫星标识部件150以及还由恶意软件保护部件120访问的单独的部分。卫星标识部件150可以将卫星270转换成第二锚事件,并且然后从报告了卫星270的设备170的存储设备170请求遥测数据。在这种方法中,卫星270变成锚,并且卫星标识部件150在这些设备170的遥测数据中寻找与卫星事件270相似的其它事件。这种方法允许进行对过去的遥测的分析而不具有任何之前的事件的先验知识。
卫星标识部件150被进一步配置为,取得卫星事件270,并且在用于其它设备170的其它所报告的遥测数据中搜索该事件。当遥测数据流被标识为在该遥测数据中具有相同的卫星事件270时,卫星标识部件150可以确定所标识的卫星事件270是与文件或者其它软件代码的存放或者安装相关联的。该确定可以来自对原始遥测数据的原始分析(例如,事件254与216之间的相似性在于它们两者都放弃锚事件或者导致锚事件被下载)。或者,其可以是基于包含在所分析的遥测数据内的信息的。这样,卫星标识部件150能够在恶意软件的签名实际被知道之前标识潜在的恶意软件。该标识可以导致卫星标识部件150向对于设备170的恶意软件保护部件160发送指令它们隔离任何被卫星事件270放弃的文件而不考虑该文件是否已知是恶意的信号。在其它实施例中,如果确定了卫星事件270被与一些不同的恶意锚链接在一起,则卫星标识部件150可以导致卫星事件270的源被标记为恶意的,以使得恶意软件保护部件160阻止对关联的源的访问。这种方法战胜了恶意软件作者的如下这样的方法,即:持续变更恶意软件的签名以规避检测,但不变更实际恶意软件的源或者放弃实际恶意软件(这对于恶意软件作者来说是显著更时间密集和难以达到的)。
图3是图示了根据一个说明性实施例的被系统100用于标识卫星和恶意文件的过程的流程图。多个设备170中的每个设备170将遥测数据向报告回系统100。该遥测数据可以被持续地报告或者仅在在设备170上检测恶意事件之后被报告。遥测数据是从设备170报告的关于设备170的各种活动的数据,诸如是哪些网站曾被访问、哪些文件曾被打开、哪些文件曾被修改、哪些文件曾被下载等。恶意软件保护部件160在某些实施例中可以控制何时该遥测数据被发送。然而,在其它实施例中,遥测搜集部件120可以查询恶意软件保护部件160以获得遥测数据。
遥测数据被遥测搜集部件120接收。在步骤310处对此进行了图示。在某些实施例中,遥测搜集部件120简单地将遥测数据存储在存储设备130中。这种方法在系统100最初启动时可能是有用的,因为不存在要分析的大量数据。在步骤315处图示了对遥测数据的存储。在存储过程期间,遥测搜集部件120可以对遥测数据进行分析,以确定是否锚已被标识,或者是否遥测数据中存在足够用以标识锚的数据。如果锚还未被标识,则遥测搜集部件可以将遥测数据传递给锚标识部件140,以在遥测数据流中标识锚。在其它实施例中,遥测数据在存储遥测数据之前通过锚标识部件140。如果遥测数据中不存在足够的数据,则遥测搜集部件120可以在将数据存储在存储部件130中之前对数据进行标注,以指示该数据是缺失的。在其它实施例中,遥测数据可以因为不是有用的而简单地被丢弃。
一旦足够的遥测数据已被系统100获得,则卫星标识部件150访问存储在存储部件130中的遥测数据的至少一部分。卫星标识部件150取得与遥测数据流中的一个遥测数据流相关联的所述数据流中的一个数据流,并且在该遥测数据中标识锚。在步骤320处对此进行了图示。在一个实施例中,这由锚标识部件140在遥测数据流被从存储设备130中检索时执行。在另一个实施例中,遥测数据在存储在存储设备中之前被分析。在这个实施例中,步骤320可以发生在步骤315之前。
卫星标识部件150然后对当前存储在存储部件130中的其它遥测数据流的至少一部分进行分析。在步骤325中对此进行了图示。在这个步骤处,卫星标识部件150标识出现在用于当前遥测数据的数据流中的事件(诸如是图2的事件214、216和218),并且将那些事件与是与其它遥测数据中的事件(诸如是图2的事件254、256和258)同期发生的的事件进行比较。在这种方法中,卫星标识部件150在其它遥测数据流中的一个遥测数据流中取得锚,并且确定与出现在当前的遥测数据中的事件相似的相似事件是否出现在那个数据流中。该相似性可以是例如相同的事件在全部两个流中被指出或者一个事件类型(诸如是访问网站或者观看视频)在全部两个流中在从锚起的具体时间窗口内被标识。在某些实施例中,第一遥测数据流是已知包含恶意活动的,并且锚可以已知是恶意的。在其它实施例中,第一遥测数据流可以不是已知包括恶意活动的,但被用于比较的遥测数据流是已知包括恶意活动的。
一旦相似的事件已被卫星标识部件150标识,则这些事件被标记或者以其它方式标识为卫星270。在步骤330处图示了在遥测数据中对至少一个卫星270的标识。在某些实施例中,诸如是如果遥测数据中存在多个满足要求的事件的话,多个卫星270可以在该点处被标识。进一步地,在某些实施例中,如果事件出现在阈值数量的遥测数据流中并且满足相似性要求,则该事件被标识为卫星事件270。这有助于防止卫星270对它们自身不常见的事件的进行标识。然而,在其它实施例中,不使用阈值,因为这可以有助于标识恶意软件或者恶意活动的较早的潜在源。在某些实施例中,将所标识的卫星270与已知不是恶意的已知卫星270的白名单165进行比较。如果在白名单165中找到了卫星270,则从遥测数据中移除对卫星270的标识。
一旦卫星270已被卫星标识部件150标识,可以执行一些不同的过程。在一个实施例中,对所标识的卫星270进行分析以确定是否存在与它相关的其它卫星270。在该实施例中,卫星270在步骤331处就像它是锚一样地被转换或者看待,并且过程跟随线332并且重复步骤320-330,以找到是否存在与它相关的其它卫星270。这样,有可能标识根卫星事件270。换句话说,是原始锚的源的事件。通常,这可以当被污染的网站在尝试隐藏它的真实来源时将设备170重定向到多个不同的网站时发生。这也可以当重定向链中的站点被变更时发生,以帮助减少对恶意活动的总体的检测。
卫星标识部件150可以与以上的步骤替换地或者同时地将所标识的卫星270提供给恶意软件研究人员。在步骤335处对此进行了图示。恶意软件研究人员可以从卫星标识部件150接收遥测数据以及在遥测数据中对锚事件和卫星270的标识。如果多于一个卫星270已被标识,则这些卫星中的每个卫星可以也被提供给研究人员。研究人员可以然后确定卫星270或者锚是否是恶意的,并且然后作出或者确定需要对系统100或者恶意软件保护部件160作出的变更。
在某些实施例中,卫星标识部件150可以对存储设备130中的遥测数据中的全部遥测数据进行分析,并且标识共享特定的卫星270的全部遥测数据流。当在不同的遥测数据流中遭遇卫星270时,卫星标识部件150可以然后查看以确定与对应于未经报告的锚的卫星相关联的任何文件或者其它活动是否出现在该遥测数据流中。这在步骤340进行了图示。
未经报告的锚是与所标识的卫星270相关联的文件或者其它活动。例如,未经报告的锚可以是在与原始的锚相同的锚时间段处出现在系统上的文件,或者可以是遥测数据指示来自卫星的文件。然而,基于不同的确定因子,其它事件可以被标记为未经报告的锚。如果发现了未经报告的锚,则卫星标识部件150可以在遥测数据中将未经报告的锚标记为锚。在某些实施例中,卫星标识部件150可以对未经报告的锚进行标记以用于由恶意软件研究人员进行的分析。在某些实施例中,卫星标识部件150在遥测数据中从卫星270起向前查看,以标识与卫星270相关联的其它文件或者事件。在这种方法中,未被报告为锚的文件或者事件也可以被标识和分析,以使得其它恶意文件/事件可以被标识。可以将这些文件或者事件添加到可疑列表155或者已知恶意软件的列表157。
在某些实施例中,卫星标识部件150可以确定特定的卫星270是恶意的。在步骤345处对此进行了图示。如果例如卫星270出现在阈值数量的遥测数据流中,但未出现在白名单165中,则卫星标识部件150可以确定卫星270是恶意的。经由与锚分离地考虑卫星270,有可能标识恶意活动的源而不必知道恶意文件是或者曾是什么。这与知道飞过头顶的B-52轰炸机将要在一个位置处投下什么东西而不需要知道它将要投下什么但仅仅它的出现就不是好事是相似的。
如果确定了卫星270是恶意的,则卫星标识部件150可以为恶意软件保护部件160生成指示特定的卫星270是恶意的更新。该更新可以指令恶意软件保护部件160例如阻止对与卫星事件270相关联的站点的全部访问、阻止与卫星270相关联的全部下载、隔离与卫星270相关联的全部文件或者采取任何其它的将保护终端用户或者设备170的行动。在步骤350处图示了恶意软件保护部件160的更新。本文中描述的过程继续重复自身,以向设备170提供增强的保护。
图4图示了根据一个实施例的计算设备的部件图。计算设备400可以用于实现一个或多个本文中描述的计算设备、计算机进程或者软件模块。在一个示例中,计算设备400可以用于处理计算、执行指令、接收和传输数字信号。在另一个示例中,计算设备400可以在本实施例的系统所要求时用于处理计算、执行指令、接收和传输数字信号、接收和传输搜索查询和超文本、编译计算机代码。进一步地,计算设备400可以是分布式计算设备,其中,计算设备400的部件被放置在通过网络或者其它形式的连接而连接到彼此的不同计算设备上。额外地,计算设备400可以是基于云的计算设备。
计算设备400可以是现在已知的或者将变得已知的能够用软件、硬件、固件或者其组合执行本文中描述的步骤和/或功能的任何通用或者专用计算机。
在其最基本配置中,计算设备400通常包括至少一个中央处理单元(CPU)402和存储器404。取决于计算设备的精确配置和类型,存储器404可以是易失性的(诸如是RAM)、非易失性的(诸如是ROM、闪存等)或者这两者的某种组合。额外地,计算设备400还可以具有额外的特征/功能。例如,计算设备400可以包括多个CPU。所描述的方法可以被计算设备400中的任何处理单元以任何方式执行。例如,所描述的过程可以被全部两个CPU并行地执行。
计算设备400还可以包括额外的存储装置(可移除的和/或非可移除的),所述额外的存储装置包括但不限于磁盘或者光盘或者磁带。在图5中由存储装置406图示了这样的额外的存储装置。计算机存储介质包括用任何用于存储诸如是计算机可读指令、数据结构、程序模块或者其它数据的信息的方法或者技术实现的易失性和非易失性、可移除和非可移除介质。存储器404和存储装置406全部是计算机存储介质的示例。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或者其它存储器技术、CD-ROM、数字多功能光盘(DVD)或者其它光学存储装置、盒式磁带、磁带、磁盘存储装置或者其它磁性存储设备、或者任何其它的可以用于存储期望的信息并且可以被计算设备400访问的介质。任何这样的计算机存储介质可以是计算设备400的部分。
计算设备400还可以包含允许该设备与其它设备通信的(一个或者多个)通信设备412。(一个或者多个)通信设备412是通信介质的一个示例。通信介质通常将计算机可读指令、数据结构、程序模块或者其它数据体现在诸如是载波的经调制的数据信号或者其它传输机制中,并且包括任何信息递送介质。术语“经调制的数据信号”意味着这样的信号,所述信号使它的特性中的一个或多个特性以使得将信息编码在该信号中的方式被设置或者变更。作为示例而非限制,通信介质包括诸如是有线网络或者直接有线连接的有线介质和诸如是声音、RF、红外线和其它无线介质的无线介质。如本文中使用的术语计算机可读介质包括计算机存储介质和通信介质两者。所描述的方法可以以诸如是数据、计算机可执行指令等的任何形式被编码在任何计算机可读介质中。
计算设备400还可以具有诸如是键盘、鼠标、笔、话音输入设备、触摸输入设备等的输入设备410。可以还包括诸如是显示器、扬声器、打印机等的(一个或者多个)输出设备408。全部这些设备是本领域中公知的,并且不需要被详尽地讨论。
本领域的技术人员应当认识到,用于存储程序指令的存储设备可以是跨网络分布的。例如,远程计算机可以作为软件存储所描述的过程的一个示例。本地或者终端计算机可以访问远程计算机并且下载软件的一部分或者全部内容以运行程序。替换地,本地计算机可以根据需要下载软件的片段,或者经由在本地终端处执行一些软件指令并且在远程计算机(或者计算机网络)处执行一些软件指令来分布地处理。本领域的技术人员还将认识到,经由使用本领域的技术人员已知的常规技术,软件指令中的全部软件指令或者一部分软件指令可以被诸如是DSP、可编程逻辑阵列等的专用电路实现。
Claims (10)
1. 一种用于标识潜在的恶意软件的方法,包括:
在具有多个事件的第一遥测数据流中标识锚事件,其中,所述锚事件是之前被标识为潜在可疑事件的事件;以及
在第二遥测数据流中标识与所述第一遥测数据流中的所述多个事件中的一个事件相对应的至少一个卫星事件,其中,所述至少一个卫星事件是与所述锚事件不同的,但与所述锚事件有关系;
其中,前述步骤被至少一个处理器执行。
2.根据权利要求1所述的方法,进一步包括:
从多个设备接收遥测数据,所述遥测数据包括至少一个被标识为锚事件的事件。
3. 根据权利要求1所述的方法,进一步包括:
在至少第三遥测数据流中标识所述至少一个卫星事件;以及
在所述至少第三遥测数据流中标识未经报告的锚事件,其中,所述未经报告的锚事件在与所述锚事件相关联的锚时间段出现在所述至少第三遥测数据流中。
4. 根据权利要求1所述的方法,进一步包括:
在至少第三遥测数据流中标识所述至少一个卫星事件;以及
将所述至少一个卫星事件归类为恶意事件。
5. 根据权利要求4所述的方法,其中,归类进一步包括:
将所述至少一个卫星事件与已知的安全事件的白名单相比较;以及
如果所述至少一个卫星事件未出现在所述白名单中,则将所述至少一个卫星事件归类为所述恶意事件。
6. 根据权利要求1所述的方法,进一步包括:
将至少一个卫星事件看作第二锚事件;以及
在所述第一遥测数据流和所述第二遥测数据流中标识出现在从所述卫星事件起的锚时间段内的第二卫星事件,其中,所述第二卫星事件与所述至少一个卫星事件有关系。
7.一种用于标识恶意活动的系统,包括:
遥测搜集部件,其被配置为从多个设备接收多个遥测数据流,所述多个遥测数据流中的每个遥测数据流具有多个事件;
锚标识部件,其被配置为在第一遥测数据流中标识锚事件;以及
卫星标识部件,其被配置为在至少第二遥测数据流中标识卫星事件,所述卫星事件是与从所述锚事件起的锚时间段内的所述第一遥测数据流中的事件相对应的。
8.根据权利要求7所述的系统,进一步包括:
恶意软件保护部件,其被配置为标识所述多个设备中的至少一个设备上的潜在的恶意活动并且向所述遥测搜集部件提供遥测数据流。
9.根据权利要求7所述的系统,其中,所述卫星标识部件被进一步配置为,在第三遥测数据流中标识所述卫星事件,并且在所述第三遥测数据流中标识未经标识的锚事件,所述未经标识的锚事件与所述卫星事件有关系,并且出现在所述锚时间段内。
10.根据权利要求7所述的系统,其中,所述卫星标识部件被进一步配置为,在所述第一和所述第二遥测数据流两者中标识第二卫星事件,所述第二卫星事件与所述卫星事件有关系,并且在所述第一和所述第二遥测数据流两者中出现在从所述卫星事件起的第二锚时间段内。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/283089 | 2014-05-20 | ||
| US14/283,089 US10282544B2 (en) | 2014-05-20 | 2014-05-20 | Identifying suspected malware files and sites based on presence in known malicious environment |
| PCT/US2015/031286 WO2015179259A1 (en) | 2014-05-20 | 2015-05-18 | Identifying suspected malware files and sites based on presence in known malicious environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106462705A true CN106462705A (zh) | 2017-02-22 |
| CN106462705B CN106462705B (zh) | 2019-06-25 |
Family
ID=53373570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580025669.9A Active CN106462705B (zh) | 2014-05-20 | 2015-05-18 | 用于标识可疑的恶意软件文件和站点的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10282544B2 (zh) |
| EP (2) | EP3514719B1 (zh) |
| CN (1) | CN106462705B (zh) |
| BR (1) | BR112016026195B1 (zh) |
| WO (1) | WO2015179259A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9773112B1 (en) * | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
| US20210336968A1 (en) * | 2020-04-22 | 2021-10-28 | International Business Machines Corporation | Automatic ransomware detection and mitigation |
| CN115776325B (zh) * | 2022-11-07 | 2023-08-04 | 银河航天(成都)通信有限公司 | 一种应用于卫星系统的事件调度方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030188189A1 (en) * | 2002-03-27 | 2003-10-02 | Desai Anish P. | Multi-level and multi-platform intrusion detection and response system |
| CN1841397A (zh) * | 2005-03-31 | 2006-10-04 | 微软公司 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
| US20070150957A1 (en) * | 2005-12-28 | 2007-06-28 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| CN101986324A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于恶意软件检测的事件的异步处理 |
| US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
| CN103795703A (zh) * | 2011-04-18 | 2014-05-14 | 北京奇虎科技有限公司 | 一种保证用户网络安全性的方法及客户端 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6597892B1 (en) * | 2000-04-18 | 2003-07-22 | Ses Americom | Automated ground system with telemetry initiated command assistance |
| US8068054B2 (en) * | 2008-02-02 | 2011-11-29 | Zanio, Inc. | Receiver with means for ensuring bona fide of received signals |
| US8272059B2 (en) | 2008-05-28 | 2012-09-18 | International Business Machines Corporation | System and method for identification and blocking of malicious code for web browser script engines |
| US20120102568A1 (en) | 2010-10-26 | 2012-04-26 | Mcafee, Inc. | System and method for malware alerting based on analysis of historical network and process activity |
| US20130347111A1 (en) | 2012-06-25 | 2013-12-26 | Zimperium | System and method for detection and prevention of host intrusions and malicious payloads |
| US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
-
2014
- 2014-05-20 US US14/283,089 patent/US10282544B2/en active Active
-
2015
- 2015-05-18 WO PCT/US2015/031286 patent/WO2015179259A1/en active Application Filing
- 2015-05-18 EP EP19155452.6A patent/EP3514719B1/en active Active
- 2015-05-18 CN CN201580025669.9A patent/CN106462705B/zh active Active
- 2015-05-18 EP EP15728260.9A patent/EP3146460B1/en active Active
- 2015-05-18 BR BR112016026195-0A patent/BR112016026195B1/pt active IP Right Grant
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030188189A1 (en) * | 2002-03-27 | 2003-10-02 | Desai Anish P. | Multi-level and multi-platform intrusion detection and response system |
| CN1841397A (zh) * | 2005-03-31 | 2006-10-04 | 微软公司 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
| US20070150957A1 (en) * | 2005-12-28 | 2007-06-28 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| CN101986324A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于恶意软件检测的事件的异步处理 |
| US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
| CN103795703A (zh) * | 2011-04-18 | 2014-05-14 | 北京奇虎科技有限公司 | 一种保证用户网络安全性的方法及客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3514719A1 (en) | 2019-07-24 |
| US20150341372A1 (en) | 2015-11-26 |
| BR112016026195A8 (pt) | 2021-06-15 |
| EP3146460B1 (en) | 2019-06-26 |
| CN106462705B (zh) | 2019-06-25 |
| BR112016026195A2 (pt) | 2017-08-15 |
| EP3146460A1 (en) | 2017-03-29 |
| BR112016026195B1 (pt) | 2022-11-08 |
| US10282544B2 (en) | 2019-05-07 |
| WO2015179259A1 (en) | 2015-11-26 |
| EP3514719B1 (en) | 2021-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kim et al. | Improvement of malware detection and classification using API call sequence alignment and visualization | |
| US9294486B1 (en) | Malware detection and analysis | |
| KR102160659B1 (ko) | 하드웨어-기반 마이크로-아키텍처 데이터를 이용한 이상 프로그램 실행의 검출 | |
| US8291500B1 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
| Dumitraş et al. | Toward a standard benchmark for computer security research: The Worldwide Intelligence Network Environment (WINE) | |
| CN104517054B (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| US11956264B2 (en) | Method and system for verifying validity of detection result | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| De Maio et al. | Pexy: The other side of exploit kits | |
| CN108353083A (zh) | 用于检测域产生算法(dga)恶意软件的系统及方法 | |
| US11343263B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| RU2743619C1 (ru) | Способ и система генерации списка индикаторов компрометации | |
| US20220277078A1 (en) | Attack Kill Chain Generation and Utilization for Threat Analysis | |
| Bang et al. | Online synthesis of adaptive side-channel attacks based on noisy observations | |
| Filiz et al. | On the effectiveness of ransomware decryption tools | |
| CN106462705B (zh) | 用于标识可疑的恶意软件文件和站点的方法和系统 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| Jang et al. | Function‐Oriented Mobile Malware Analysis as First Aid | |
| US10360378B2 (en) | Analysis device, analysis method and computer-readable recording medium | |
| Sneha et al. | Ransomware detection techniques in the dawn of artificial intelligence: A survey | |
| Gantikow et al. | Container anomaly detection using neural networks analyzing system calls | |
| US9692781B2 (en) | Detecting unwanted intrusions into an information network | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| Gielen | Prioritizing computer forensics using triage techniques | |
| CN104239800B (zh) | Pdf中触发漏洞威胁的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |