CN115549937A - 检测并阻止网络上早期传送的恶意文件 - Google Patents
检测并阻止网络上早期传送的恶意文件 Download PDFInfo
- Publication number
- CN115549937A CN115549937A CN202110984220.2A CN202110984220A CN115549937A CN 115549937 A CN115549937 A CN 115549937A CN 202110984220 A CN202110984220 A CN 202110984220A CN 115549937 A CN115549937 A CN 115549937A
- Authority
- CN
- China
- Prior art keywords
- file
- malicious
- malicious file
- partial
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及检测并阻止网络上早期传送的恶意文件。设备可以接收与网络设备的网络相关联的恶意文件,并且可以标识与恶意文件相关联的文件类型和文件特性。设备可以基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则,并且可以将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名。设备可以向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名。部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。
Description
技术领域
本公开的实施例涉及网络安全领域,更具体地涉及应对网络攻击和恶意文件。
背景技术
标识恶意行为(例如,网络攻击、恶意软件等)对于网络安全小组通常是耗时的过程。存在许多尝试引诱或捕捉不良行为者(例如,网络入侵者)暴露他们自身的产品,并且这些产品触发来自网络的各种行为(例如,阻止网络入侵者、停止恶意软件和/或网络攻击等)。
发明内容
本文所描述的一些实现涉及一种方法。该方法可以包括接收与网络设备的网络相关联的恶意文件,并且标识与该恶意文件相关联的文件类型和文件特性。该方法可以包括基于与恶意文件相关联的文件类型和文件特性确定应用于恶意文件的一个或多个规则,并且将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名。该方法可以包括向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。
本文所描述的一些实现涉及设备。该设备可以包括一个或多个存储器和一个或多个处理器。该一个或多个处理器可以被配置为接收由与网络设备的网络相关联的遭破解的(compromised)终端设备生成的恶意文件,并且标识与恶意文件相关联的文件类型和文件特性。一个或多个处理器可以被配置为基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则,并且将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名。一个或多个处理器可以被配置为向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。
本文所描述的一些实现涉及存储针对设备的指令集的非瞬态计算机可读介质。当(例如,其中“当”意味着“如果”或“在其中”并且不意味着“同时”)指令集由设备的一个或多个处理器执行时,指令集可以使设备接收与网络设备的网络相关联的恶意文件,并且标识与恶意文件相关联的文件类型和文件特性。当指令集被设备的一个或多个处理器执行时,指令集可以使设备基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则,并且将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名。当指令集被设备的一个或多个处理器执行时,指令集可以使设备向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名使网络设备中的一个或多个网络设备阻止恶意文件,并且传送除了恶意文件之外的文件。
附图说明
图1A-图1F是与检测并阻止网络上早期传送的恶意文件相关联的示例的示图。
图2是其中本文所描述的系统和/或方法可以被实现的示例环境的示图。
图3和图4是图2的一个或多个设备的示例组件的示图。
图5是用于检测并且阻止网络上早期传送的恶意文件的示例过程的流程图。
具体实施方式
示例参考附图实现以下具体实施方式。不同附图中相同的附图标记可以标识相同或相似的元素。
恶意行为,诸如与恶意文件、网络攻击、恶意软件等有关的恶意行为,可能是由恶意行为者(例如,网络入侵者)基于破解与网络相关联的终端设备而引起的。当恶意文件被标识(例如,被采指纹)并且恶意文件的指纹被标识时,恶意文件可以被阻止。然而,当前用于阻止恶意文件的技术也可以创建与其他与恶意文件无关的良性文件相匹配的指纹(例如,良性文件倾向于假阳性和/或恶意文件的阴性指示)。当前的技术还利用完整文件哈希以创建针对恶意文件的指纹。整个恶意文件需要被利用以创建完整文件哈希,这降低了网络流量并且消耗了计算资源(例如,处理资源、存储器资源、通信资源等),联网资源,和/或与处理整个恶意文件、生成恶意文件的假阳性和/或阴性指示、未能标识恶意文件、试图解决恶意文件的假阳性和/或阴性指示等类似的资源。
本文所描述的一些实现涉及安全系统,其能够检测并且阻止网络上早期传送的恶意文件。例如,安全系统可以接收与网络设备的网络相关联的恶意文件,并且可以标识与恶意文件相关联的文件类型和文件特性。安全系统可以基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则,并且可以将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名。安全系统可以向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名。部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。
通过这种方式,安全系统能够检测并且阻止网络上早期传送的恶意文件。安全系统可以行内(inline)检测恶意文件,并且在恶意文件传输期间尽早对恶意文件采指纹。针对一些文件类型,安全系统可能利用恶意文件的前几个字节或千字节,以针对恶意文件生成部分文件签名。安全系统可以基于适用于不同文件类型的一个或多个规则来生成部分文件签名。例如,安全系统可以确定某个类型文件的多少字节或千字节足以生成与其他良性文件不匹配的部分文件签名。因此,安全系统节省了计算资源、网络资源等,这些资源否则会通过处理整个恶意文件、生成恶意文件的假阳性和/或阴性指示、未能标识恶意文件、试图解决恶意文件的假阳性和/或阴性指示等其他方式被消耗。
图1A-图1F是与检测并且阻止网络上早期传送的恶意文件相关联的示例100的示图。如图1A-图1F所示,示例100包括与网络设备的网络相关联的安全系统,以及遭破解的终端设备。安全系统、网络、网络设备和终端设备的进一步细节被提供在本文其他地方。在一些实现中,当终端设备被攻击者有目的地利用以生成恶意文件时,遭破解的终端设备可以被认为是攻击者终端设备。
如图1A所示,并且通过附图标记105,安全系统可以从一个或多个网络设备接收与网络的遭破解的终端设备相关联的恶意文件。在一些实现中,恶意文件可以包括二进制文件(例如,Windows可执行文件、Linux可执行文件等)、常规可执行文件、安装文件、自解压存档文件、存档文件、具有非结构化报头的文件(例如,可移植文档格式(PDF)、富文本格式(RTF)文件等)和/或与恶意行为(例如,病毒、网络攻击、恶意软件、蠕虫、特洛伊木马、间谍软件等)相关联的类似文件。
如图1B所示,通过附图标记110,安全系统可以标识与恶意文件相关联的文件类型和文件特性。例如,安全系统可以确定恶意文件的文件类型是二进制文件、存档文件、具有非结构化报头的文件等。如果安全系统将恶意文件的文件类型标识为二进制文件,则安全系统可以确定与二进制文件相关联的文件特性,诸如二进制文件是否是Windows可执行文件、Linux可执行文件、常规可执行文件、安装文件、自解压存档文件等。如果安全系统将恶意文件的文件类型标识为具有非结构化报头的文件,则安全系统可以确定与具有非结构化报头的文件相关联的文件特性,诸如具有非结构化报头的文件是否是PDF文件、RTF文件等。
文件特性还可以包括标识恶意行为(例如,恶意文件已经被下载)的恶意数据,与网络地址之间的恶意通信(例如,与遭破解的终端设备相关联的媒体访问控制(MAC)地址、与遭破解的终端设备相关联的互联网协议(IP)地址、与遭破解的终端设备相关联的统一资源定位符(URL)地址等),与遭破解的终端设备相关联的序列号,标识与遭破解的终端设备相关联的制造商的数据,标识与遭破解的终端设备相关联的制造或模型的数据等。
在一些实现中,安全系统(例如,从网络设备)接收标识与网络相关联的网络设备的网络设备数据。针对网络设备的网络设备数据可以包括与网络设备相关联的MAC地址、与网络设备相关联的IP地址、与网络设备相关联的序列号、标识与网络设备相关联的制造商的数据、标识与网络设备相关联的制造或模型的数据、拓扑数据(例如,标识相邻终端设备和/或网络设备的数据、终端设备和/或网络设备之间的互连等)等。在一些实现中,一旦安全系统被通知恶意文件,安全系统就将网络设备配置为转发网络设备数据。
安全系统可以将恶意文件、恶意数据和/或网络设备数据存储在与安全系统相关联的数据结构(例如数据库、表格、列表等)中。安全系统可以存储这种数据,使得安全系统可以处理这种数据,以生成安全策略来阻止恶意文件通过网络进一步渗透。
如图1C所示,并且通过附图标记115,安全系统可以基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则。例如,当恶意文件的文件类型是二进制文件时,安全系统可以确定一个或多个规则,该一个或多个规则使安全系统标识恶意文件是否是常规可执行文件或安装文件。当恶意文件被标识为常规可执行文件时,安全系统可以确定一个或多个规则,该一个或多个规则使安全系统对恶意文件的第一数量的字节进行哈希(例如,或利用、变换以生成唯一结果等),以生成部分文件签名。当恶意文件被标识为安装文件时,安全系统可以确定一个或多个规则,该一个或多个规则使安全系统解析恶意文件,以标识恶意文件的经压缩的数据,并且对恶意文件的第一数量的字节和经压缩的数据进行哈希,以生成部分文件签名。该第一数量的字节可以包括恶意文件的前十个字节、前一百个字节、前一千个字节、前一万个字节等。部分文件签名的进一步细节在下面被提供。
在一些实现中,当恶意文件的文件类型是存档文件时,安全系统可以确定一个或多个规则,该一个或多个规则使安全系统对恶意文件的第一数量的字节进行哈希,以生成部分文件签名。
在一些实现中,当恶意文件的文件类型是具有非结构化报头的文件时,安全系统可以确定一个或多个规则,该一个或多个规则使安全系统解析恶意文件,以标识恶意文件的恶意字节的代码,并且对恶意文件的第一数量的字节和恶意字节的代码进行哈希,以生成部分文件签名。前述一个或多个规则仅是安全系统可以确定应用于恶意文件的规则的示例,并且一个或多个规则在不同的上下文中可以是不同的,诸如针对与恶意文件相关联的其他文件类型。
如图1D所示出的,通过附图标记120,安全系统可以将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名。在一些实现中,安全系统可以将一个或多个规则应用于恶意文件,以生成恶意文件的部分文件签名、指纹或其他标识符。部分文件签名可以使恶意文件在不处理整个恶意文件的情况下被快速地标识。由于恶意文件可能包括不同文件类型中的一种文件类型(例如,Windows可执行文件、Microsoft Office文件、Linux可执行文件、MacOS二进制文件等),因此安全系统可以基于应用适用于不同文件类型的不同规则来生成部分文件签名。部分文件签名可以包括恶意文件的部分文件的哈希,该哈希足以标识恶意文件并且不匹配除恶意文件以外的良性文件。例如,安全系统可以通过对恶意文件的第一数量的字节进行哈希以生成部分文件签名,来将一个或多个规则应用于恶意文件。
在一些实现中,当恶意文件的第一数量的字节未能以不显著减少或消除假阳性标识的方式来标识恶意文件时,安全系统还可以对恶意文件的大约中间的一个或多个部分(例如,在恶意文件的中间文件的百分之五、百分之十之内等)进行哈希、变换、利用等,以生成部分文件签名。例如,如果恶意文件包含一百个字节,则恶意文件的中间可以在约第50个字节处,并且从大约第45个字节到大约第55个字节。安全系统还可以将一个或多个规则应用于防止任何假阳性的恶意文件(例如,基于部分文件签名标识良性文件)。一个或多个部分中的每个部分可以包括足够大以标识恶意文件的字节的数量(例如,远离恶意文件的末端)。例如,一个或多个部分中的每个部分可以包括恶意文件的大约中间部分的十、二十、三十、四十等字节。
当恶意文件的文件类型是二进制文件时,安全系统可以应用一个或多个规则,该一个或多个规则使安全系统标识恶意文件是否是常规可执行文件或安装文件。当恶意文件是常规可执行文件时,安全系统可以应用一个或多个规则,该一个或多个规则使安全系统对恶意文件的第一数量的字节进行哈希以生成部分文件签名。当恶意文件是安装文件时,安全系统可以应用一个或多个规则,该一个或多个规则使安全系统解析恶意文件以标识恶意文件的经压缩的数据,并且对恶意文件的第一数量的字节和经压缩的数据进行哈希以生成部分文件签名。
当恶意文件的文件类型是存档文件时,安全系统可以应用一个或多个规则,该一个或多个规则使安全系统对恶意文件的第一数量的字节进行哈希以生成部分文件签名。
当恶意文件的文件类型是具有非结构化报头的文件时,安全系统可以应用一个或多个规则使安全系统解析恶意文件以标识恶意文件的恶意代码字节,并对恶意文件的第一数量的字节和恶意代码字节进行哈希以生成部分文件签名。
如图1E所示,通过附图标记125,安全系统可以对恶意文件的前N个字节(例如,第一数量的字节)进行哈希,以生成部分文件签名。例如,当恶意文件的文件类型是常规可执行文件或存档文件时,安全系统可以应用一个或多个规则,其使安全系统对恶意文件的第一数量的字节进行哈希以生成部分文件签名。
备选地,如图1E中附图标记130进一步所示出的,安全系统可以对恶意文件的前N个字节和一个或多个部分的字节(例如,大约位于中间)进行哈希,以生成部分文件签名。例如,当恶意文件的文件类型是安装文件或具有非结构化报头的文件时,安全系统可以应用一个或多个规则,该一个或多个规则使安全系统对恶意文件的第一数量的字节和一个或多个部分的字节进行哈希以生成部分文件签名。
如图1F所示出的,通过附图标记135,安全系统可以向网络设备和/或网络的终端设备提供针对恶意文件的部分文件签名。例如,安全系统可以利用网络设备和遭破解的终端设备的地址向网络设备和其他终端设备提供部分文件签名。在一些实现中,安全系统可以向网络设备中的一个设备提供部分文件签名,并且指示将该部分文件签名转发给其他网络设备。网络设备中的一个网络设备可以基于该指令来向给其他网络设备和/或遭破解的终端设备转发部分文件签名。
如在图1F中进一步所示出的,并且通过附图标记140,一个或多个网络设备可以基于部分文件签名来阻止或允许文件。例如,如果文件是恶意文件,则一个或多个网络设备可以将恶意文件与部分文件签名进行匹配,并且可以基于恶意文件与部分文件签名匹配来阻止文件。在另一示例中,如果文件是良性文件(例如,除恶意文件之外的文件),则一个或多个网络设备可能未能将恶意文件与部分文件签名进行匹配,并且可能基于未能将恶意文件与部分文件签名匹配而允许或传送文件。
在一些实现中,一个或多个网络设备和/或遭破解的终端设备可以基于部分文件签名来阻止与恶意文件相关联的流量,可以基于部分文件签名来隔离与恶意文件相关联的流量等。通过这种方式,遭破解的终端设备可以被防止将恶意文件传播到网络。
在一些实现中,安全系统可以将安全更新推送给遭破解的终端设备,使得遭破解的终端设备可以被更好地保护远离恶意文件。通过这种方式,安全更新可以从遭破解的终端设备中消除恶意文件。
在一些实现中,安全系统可以使遭破解的终端设备发起恶意软件和/或病毒扫描,以确保遭破解的终端设备不被恶意软件和/或病毒感染。在一些实现中,安全系统可以使遭破解的终端设备离线(例如,从网络断开),使得遭破解的终端设备可以不会损害网络。在一些实现中,安全系统可以发送用于在遭破解的终端设备上显示的通知(例如,通知用户终端设备已经被破解)。
通过这种方式,安全系统能够检测并且阻止网络上早期传送的恶意文件。安全系统可以行内检测恶意文件,并且在恶意文件的传输期间尽早对恶意文件采指纹。针对某些文件类型,安全系统可以利用恶意文件的前几个字节或千字节,以生成针对恶意文件的部分文件签名。安全系统可以基于适用于不同文件类型的一个或多个规则来生成部分文件签名。例如,安全系统可以决定某一类型文件的多少字节或千字节足以生成与其他良性文件不匹配的部分文件签名。因此,安全系统通过处理整个恶意文件、生成恶意文件的假阳性和/或阴性指示、未能标识恶意文件、试图解决恶意文件的假阳性和/或阴性指示等,节省了原本会被消耗的计算资源、网络资源等。
如上所指示的,图1A-图1F被提供作为示例。其他示例可能不同于关于图1A-图1F所描述的示例。作为示例,图1A-图1F中所示出的设备的数量和布置被提供为示例。实践中,与图1A-图1F所示出的设备相比,可以存在附加的设备、更少的设备、不同的设备或不同布置的设备。此外,图1A-图1F所示出的两个或多个设备可以被实现在单个设备内,或者图1A-图1F中所示出的单个设备可以被实现为多个分布式设备。附加地,或备选地,图1A-图1F所示出的设备集(例如,一个或多个设备)可以执行被描述为由图1A-图1F所示出的另一设备集所执行的一个或多个功能。
图2是示例环境200的示意图,其中本文所描述的系统和/或方法可以被实现。如图2所示出的,环境200可以包括安全系统201,它可以包括云计算系统202内的一个或多个元素和/或可以在云计算系统202内执行。云计算系统202可以包括一个或多个元素203-213,如下文更详细描述的。如图2所进一步所示出的,环境200可以包括网络220、网络设备230和/或终端设备240。环境200的设备和/或元素可以经由有线连接和/或无线连接来互连。
云计算系统202包括计算硬件203、资源管理组件204、主机操作系统(OS)205和/或一个或多个虚拟计算系统206。云计算系统202可以在例如Amazon Web服务平台、MicrosoftAzure平台或Snowflake平台上执行。资源管理组件204可以执行计算硬件203的虚拟化(例如,抽象化),以创建一个或多个虚拟计算系统206。使用虚拟化,资源管理组件204使得单个计算设备(例如,计算机或服务器)能够像多个计算设备一样操作,诸如通过从单个计算设备的计算硬件203创建多个孤立的虚拟计算系统206。通过这种方式,计算硬件203可以比使用分离的计算设备更高效地操作,具有更低的功率消耗、更高的可靠性、更高的可用性、更高的利用率、更加灵活和更低的成本。
计算硬件203包括来自一个或多个计算设备的硬件和对应的资源。例如,计算硬件203可以包括来自单个计算设备(例如,单个服务器)或多个计算设备(例如多个服务器)的硬件,诸如一个或多个数据中心中的多个计算设备。如所示出的,计算硬件203可以包括一个或多个处理器207、一个或多个存储器208、一个或多个存储组件209和/或一个或多个联网组件210。处理器、存储器、存储组件和联网组件(例如,通信组件)的示例在本文其他地方描述。
资源管理组件204包括能够虚拟化计算硬件203以启动、停止和/或管理一个或多个虚拟计算系统206的虚拟化应用(例如,在诸如计算硬件203的硬件上执行)。例如,资源管理组件204可以包括管理程序(例如,裸金属或类型1管理程序、托管或类型2管理程序或其他类型的管理程序)或虚拟机监视器,诸如当虚拟计算系统206是虚拟机211时。附加地或备选地,资源管理组件204可以包括容器管理器,诸如当虚拟计算系统206是容器212时。在一些实现中,资源管理组件204在主机操作系统205内执行和/或与主机操作系统205协调执行。
虚拟计算系统206包括虚拟环境,该虚拟环境能够使用计算硬件203基于云执行本文所描述的操作和/或过程。如所示出的,虚拟计算系统206可以包括虚拟机211、容器212或包括虚拟机和容器的混合环境213,以及其他示例。虚拟计算系统206可以使用文件系统来执行一个或多个应用,文件系统包括二进制文件、软件库和/或在访客操作系统(例如,在虚拟计算系统206内)或主机操作系统205上执行应用所需的其他资源。
尽管安全系统201可以包括云计算系统202的一个或多个元素203-213,可以在云计算系统202内执行,和/或可以被托管在云计算系统202内,但是在一些实现中,安全系统201可以不是基于云的(例如,可以在云计算系统外实现),或者可以是部分基于云的。例如,安全系统201可以包括不是云计算系统202的部分的一个或多个设备,诸如图3的设备300,它可以包括独立服务器或其他类型的计算设备。安全系统201可以执行在本文的其他地方被更详细地描述的一个或多个操作和/或过程。
网络220包括一个或多个有线和/或无线网络。例如,网络220可以包括蜂窝网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、专用网络、互联网和/或这些或其他类型网络的组合。网络220使环境200的设备之间能够通信。
网络设备230可以包括能够以本文所描述的方式接收、处理、存储、路由和/或提供流量(例如,分组和/或其他信息或元数据)的一个或多个设备。例如,网络设备230可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供方路由器(例如,提供方边缘路由器或提供方核心路由器)、虚拟路由器或其他类型的路由器。附加地或备选地,网络设备230可以包括网关、交换机、防火墙、集线器、桥、反向代理、服务器(例如代理服务器、云服务器或数据中心服务器)、负载均衡器和/或类似设备。在一些实现中,网络设备230可以是在外壳(例如,机箱)内实施的物理设备。在一些实现中,网络设备230可以是由云计算环境或数据中心的一个或多个计算设备实现的虚拟设备。在一些实现中,网络设备组230可以是用于通过网络的路由流量的数据中心节点组。
终端设备240包括一个或多个能够接收、生成、存储、处理和/或提供信息(诸如,本文所描述的信息)的设备。例如,终端设备240可以包括移动电话(例如智能电话或无线电话)、笔记本计算机、平板计算机、台式计算机、手持计算机、游戏设备、可穿戴通信设备(例如智能手表、智能眼镜、心率监测器、健身跟踪器、智能服装、智能珠宝或头戴式显示器)、网络设备或类似类型的设备。在一些实现中,终端设备240可以经由网络220(例如,通过使用网络设备230作为中介的路由分组)从其他终端设备240接收网络流量和/或向其他终端设备240提供网络流量。
图2所示出的设备和网络的数量和布置是作为示例来提供的。实际上,与图2所示出示的设备和/或网络相比,可能存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或不同布置的设备和/或网络。此外,图2所示出的两个或更多个设备可以被实现在单个设备内,或者图2所示出的单个设备可以被实现为多个分布式设备。附加地或备选地,环境200的设备集(例如,一个或多个设备)可以执行被描述为由环境200的另一设备集所执行的一个或多个功能。
图3是图2的一个或多个设备的示例组件的图。示例组件可以被包括在设备300中,设备300可以对应于安全系统201、网络设备230和/或终端设备240。在一些实现中,安全系统201、网络设备230和/或终端设备240可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示出的,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信组件370。
总线310包括能够在设备300的组件当中进行有线和/或无线通信的组件。处理器320包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和/或其他类型的处理组件。处理器320以硬件、固件或硬件和软件的组合来实现。在一些实现中,处理器320包括能够被编程以执行功能的一个或多个处理器。存储器330包括随机存取存储器、只读存储器和/或其他类型的存储器(例如,闪存、磁存储器和/或光存储器)。
存储组件340存储与设备300的操作有关的信息和/或软件。例如,存储组件340可以包括硬盘驱动器、磁盘驱动器、光盘驱动器、固态盘驱动器、光盘、数字通用盘和/或其他类型的非瞬态计算机可读介质。输入组件350使设备300能够接收输入,诸如用户输入和/或所感测的输入。例如,输入组件350可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、交换机、传感器、全球定位系统组件、加速度计、陀螺仪和/或致动器。输出组件360使设备300能够例如经由显示器、扬声器和/或一个或多个发光二极管来提供输出。通信组件370使设备300能够与其他设备通信,诸如经由有线连接和/或无线连接。例如,通信组件370可以包括接收器、发送器、收发机、调制解调器、网络接口卡和/或天线。
设备300可以执行本文所描述的一个或多个过程。例如,非瞬态计算机可读介质(例如,存储器330和/或存储组件340)可以存储指令集(例如,一个或多个指令、代码、软件代码和/或程序代码)用于由处理器320执行。处理器320可执行指令集以执行本文所述的一个或多个过程。在一些实现中,由一个或多个处理器320执行的指令集使一个或多个处理器320和/或设备300执行本文所描述的一个或多个过程。在一些实现中,硬连线电路可以被使用来代替指令或与指令结合来执行本文所描述的一个或多个过程。因此,本文所描述的实现不限于硬件电路和软件的任何特定组合。
图3中所示出的组件的数量和布置作为示例被提供。设备300可以包括与图3中所示出的组件相比附加的组件、更少的组件、不同的组件或不同布置的组件。附加地或备选地,设备300的组件集(例如,一个或多个组件)可以执行被描述为由设备300的另一组件集所执行的一个或多个功能。
图4是图2的一个或多个设备的示例组件的图。示例组件可以被包括在设备400中。设备400可以对应于网络设备230。在一些实现中,网络设备230可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4所示,设备400可以包括410-1至410-B(B≥1)一个或多个的输入组件(以下统称为输入组件410,并且被单独地称为输入组件410)、开关组件420、430-1至430-C(C≥1)一个或多个输出组件(以下统称为输出组件430,并且被单独地称为输出组件430)和控制器440。
输入组件410可以是针对物理链路的附件的一个或多个点,并且可以是针对输入流量(诸如,分组)的入口的一个或多个点。输入组件410可以处理输入流量,诸如通过执行数据链路层封装或解封装。在一些实现中,输入组件410可以传送和/或接收分组。在一些实现中,输入组件410可以包括输入线路卡,该输入线路卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线路卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备400可以包括一个或多个输入组件410。
开关组件420可以将输入组件410与输出组件430互连。在一些实现中,开关组件420可以经由一个或多个交叉杆、总线和/或共享存储器来实现。共享存储器可以在分组最终被调度用于递送输出组件430之前,担任临时缓冲器以存储来自输入组件410的分组。在一些实现中,开关组件420可以使输入组件410、输出组件430和/或控制器440能够彼此之间通信。
输出组件430可以存储分组,并且可以调度分组用于在输出物理链路上传输。输出组件430可以支持数据链路层封装或解封装,和/或各种高级协议。在一些实现中,输出组件430可以发送分组和/或接收分组。在一些实现中,输出组件430可以包括输出线路卡,该输出线路卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线路卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备400可以包括一个或多个输出组件430。在一些实现中,输入组件410和输出组件430可以由相同组件集实现(例如,输入/输出组件可以是输入组件410和输出组件430的组合)。
控制器440包括处理器,其形式例如为CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或其他类型的处理器。处理器以硬件、固件或软硬件结合的方式实现。在一些实现中,控制器440可以包括可以被编程以执行功能的一个或多个处理器。
在一些实现中,控制器440可以包括RAM、ROM和/或其他类型的动态或静态存储设备(例如,闪存、磁存储器、光存储器等),这些存储设备存储用于由控制器440使用的信息和/或指令。
在一些实现中,控制器440可以与连接到设备400的其他设备、网络和/或系统通信,以交换关于网络拓扑结构的信息。控制器440可以基于网络拓扑结构信息来创建路由表,可以基于路由表创建转发表,并且可以将转发表转发到输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表针对输入和/或输出分组执行路由查找。
控制器440可以执行本文所描述的一个或多个过程。控制器440可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被限定为非瞬态存储设备。存储设备包括单个物理存储设备内的存储空间或跨多个物理存储设备分布的存储空间。
软件指令可以被从另一计算机可读介质或从另一设备经由通信接口读取到与控制器440相关联的存储器和/或存储组件中。当被执行时,存储在与控制器440相关联的存储器和/或存储组件中的软件指令可以使控制器440执行本文所描述的一个或多个过程。附加地或者备选地,硬连线电路可以被使用来代替软件指令或与软件指令相结合,以执行本文所描述的一个或多个过程。因此,本文所描述的实现不限于硬件电路和软件的任何特定组合。
图4所示出的组件的数目和布置作为示例被提供。在实践中,设备400可以包括与图4所示的组件相比,附加的组件、更少的组件、不同的组件或不同布置的组件。附加地或备选地,设备400的组件集(例如,一个或多个组件)可以执行被描述为由设备400的另一组件集执行的一个或多个功能。
图5是用于检测并且阻止网络上早期传送的恶意文件的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由设备(例如,安全系统201)执行。在一些实现中,图5的一个或多个过程框可以由与该设备分离或包括该设备的另一设备或设备组执行,诸如网络设备(例如,网络设备230)和/或终端设备(例如,终端设备240)。附加地或备选地,图5的一个或多个处理框可以由设备300的一个或多个组件执行,诸如处理器320、存储器330、存储组件340、输入组件350、输出组件360和/或通信组件370。附加地或备选地,图5的一个或多个处理框可以由设备400的一个或多个组件执行,诸如输入组件410、开关组件420、输出组件430和/或控制器440。
如图5所示出的,过程500可以包括接收与网络设备网络相关联的恶意文件(框510)。例如,如上所述,设备可以接收与网络设备的网络相关联的恶意文件。
如图5进一步所示出的,过程500可以包括标识与恶意文件相关联的文件类型和文件特性(框520)。例如,如上所述,设备可以标识与恶意文件相关联的文件类型和文件特性。
如图5中进一步所示出的,过程500可以包括基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则(框530)。例如,如上所述,设备可以基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则。
如图5进一步所示出的,过程500可以包括将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名(框540)。例如,如上所述,设备可以将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名。在一些实现中,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,对恶意文件的第一数量的字节进行哈希,以生成部分文件签名。在一些实现中,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,对恶意文件的第一数量的字节和一个或多个部分的字节进行哈希,以生成部分文件签名。在一些实现中,一个或多个部分的字节位于恶意文件的大约中间。在一些实现中,一个或多个部分的字节位于远离恶意文件的末端。
在一些实现中,当恶意文件的文件类型是二进制文件时,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,标识恶意文件是否是常规可执行文件或安装文件;当恶意文件是常规可执行文件时,对恶意文件的第一数量的字节进行哈希,以生成部分文件签名;并且当恶意文件为安装文件时,解析恶意文件以标识恶意文件的经压缩的数据,并且对恶意文件的第一数量的字节和经压缩的数据进行哈希处理,以生成部分文件签名。
在一些实现中,当恶意文件的文件类型是存档文件时,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,对恶意文件的第一数量的字节进行哈希以生成部分文件签名。
在一些实现中,当恶意文件的文件类型是具有非结构化报头的文件时,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,解析恶意文件以标识恶意文件的恶意字节的代码,并且对恶意文件的第一数量的字节和恶意字节的代码进行哈希,以生成部分文件签名。
在一些实现中,当恶意文件的文件类型是常规可执行文件或存档文件时,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,对恶意文件的第一数量的字节进行哈希以生成部分文件签名。
在一些实现中,当恶意文件的文件类型是安装文件或具有非结构化报头的文件时,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括,对恶意文件的第一数量的字节和一个或多个部分的字节进行哈希以生成部分文件签名。在一些实现中,一个或多个字节部分包括,特定数量的字节,并且是位于恶意文件的大约中间的。
如图5进一步所示出的,过程50可以包括向网络的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名使网络设备中的一个或多个网络设备阻止恶意文件(框550)。例如,如上所述,设备可以向网络的网络设备的一个或多个网络设备提供针对恶意文件的部分文件签名。在一些实现中,部分文件签名使网络设备的一个或多个网络设备阻止恶意文件。在一些实现中,部分文件签名使网络设备的一个或多个网络设备传送除恶意文件之外的文件。
过程500可包括额外的实现,诸如下文所描述的任何单个实现或实现的任何组合和/或结合本文其他地方所描述的一个或多个其他过程。
尽管图5示出了过程500的示例框,但是在一些实现中,过程500可以包括与图5中描述的块相比附加的框、更少的框、不同的框或不同排列的框。附加地或者备选地,过程500的两个或多个框可以并行执行。
根据一些实现,公开了以下示例。
示例1.一种方法,包括:由设备接收与网络设备的网络相关联的恶意文件;由设备标识与恶意文件相关联的文件类型和文件特性;由设备基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则;由设备将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名;以及由设备向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名使网络设备中的一个或多个网络设备阻止恶意文件。
示例2.根据示例1的方法,其中将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括:对恶意文件的第一数量的字节进行哈希,以生成部分文件签名。
示例3.根据示例1的方法,其中将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括:对恶意文件的第一数量的字节和一个或多个部分的字节进行哈希,以生成部分文件签名。
示例4.根据示例3的方法,其中一个或多个部分的字节位于恶意文件的大约中间处。
示例5.根据示例3的方法,其中一个或多个部分的字节位于远离恶意文件的末端处。
示例6.根据示例1的方法,其中当恶意文件的文件类型为二进制文件时,将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名包括:标识恶意文件是否是常规可执行文件或者安装文件;当恶意文件是常规可执行文件时,对恶意文件的第一数量的字节进行哈希,以生成部分文件签名;以及当恶意文件是安装文件时:解析恶意文件以标识恶意文件的经压缩的数据,以及对恶意文件的第一数量的字节和经压缩的数据进行哈希,以生成部分文件签名。
示例7.根据示例1的方法,其中当恶意文件的文件类型为存档文件时,将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名包括:对恶意文件的第一数量的字节进行哈希,以生成部分文件签名。
示例8.一种设备,包括:一个或多个存储器;以及一个或多个处理器,用以:接收由与网络设备的网络相关联的遭破解的终端设备生成的恶意文件;标识与恶意文件相关联的文件类型和文件特性;基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则;将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名;以及向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名使网络设备中的一个或多个网络设备阻止恶意文件。
示例9.根据示例8的设备,其中当恶意文件的文件类型是具有非结构化报头的文件时,一个或多个处理器将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名,以:解析恶意文件以标识恶意文件的恶意字节的代码;以及对恶意文件的第一数量的字节和恶意字节的代码进行哈希,以生成部分文件签名。
示例10.根据示例8的设备,其中部分文件签名使网络设备中的一个或多个网络设备传输除了恶意文件之外的文件。
示例11.根据示例8的设备,其中当恶意文件的文件类型是常规可执行文件或存档文件时,一个或多个处理器将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名,以:对恶意文件的第一数量的字节进行哈希,以生成部分文件签名。
示例12.根据示例8的设备,其中当恶意文件的文件类型是安装文件或具有非结构化报头的文件时,一个或多个处理器将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名,以:对恶意文件的第一数量的字节和一个或多个部分的字节进行哈希,以生成部分文件签名。
示例13.根据示例12的设备,其中一个或多个部分的字节包括特定数量的字节。
示例14.根据示例12的设备,其中一个或多个部分的字节位于恶意文件的大约中间处。
示例15.一种存储指令集的非瞬态计算机可读介质,指令集包括:一个或多个指令,一个或多个指令在由设备的一个或多个处理器执行时,使设备:接收与网络设备的网络相关联的恶意文件;标识与恶意文件相关联的文件类型和文件特性;基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则;将一个或多个规则应用于恶意文件,以生成针对恶意文件的部分文件签名;以及向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名,其中部分文件签名使网络设备中的一个或多个网络设备阻止恶意文件并且传输除了恶意文件之外的文件。
示例16.根据示例15的非瞬态计算机可读介质,其中使设备将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名的一个或多个指令使设备执行以下一项:对恶意文件的第一数量的字节进行哈希,以生成部分文件签名;或者对恶意文件的第一数量的字节和一个或多个部分的字节进行哈希,以生成部分文件签名。
示例17.根据示例16的非瞬态计算机可读介质,其中一个或多个部分的字节位于恶意文件的大约中间处。
示例18.根据示例15的非瞬态计算机可读介质,其中当恶意文件的文件类型是二进制文件时,使设备将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名的一个或多个指令使设备:标识恶意文件是否是常规可执行文件或者安装文件;当恶意文件是常规可执行文件时,对恶意文件的第一数量的字节进行哈希,以生成部分文件签名;以及当恶意文件是安装文件时:解析恶意文件以标识恶意文件的经压缩的数据,以及对恶意文件的第一数量的字节和经压缩的数据进行哈希,以生成部分文件签名。
示例19.根据示例15的非瞬态计算机可读介质,其中当恶意文件的文件类型是存档文件时,使设备将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名的一个或多个指令使设备:对恶意文件的第一数量的字节进行哈希,以生成部分文件签名。
示例20.根据示例15的非瞬态计算机可读介质,其中当恶意文件的文件类型是具有非结构化报头的文件时,使设备将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名的一个或多个指令使设备:解析恶意文件以标识恶意文件的恶意字节的代码;以及对恶意文件的第一数量的字节和恶意字节的代码进行哈希,以生成部分文件签名。
前述公开内容提供了说明和描述,但是不旨在穷尽或将实现限制于所公开的精确形式。修改可以根据上述公开内容被做出,或者可以从实践的实践中获得。
本文所使用的术语“组件”旨在广义地解释为硬件、固件或硬件和软件的组合。显然,本文所述的系统和/或方法可以不同形式的硬件、固件和/或硬件和软件的组合来实现。用于实施这些系统和/或方法的实际专用控制硬件或软件代码不限制该实现。因此,本文所描述的系统和/或方法的操作和行为,而没有参考特定的软件代码——应当理解,基于本文的描述,软件和硬件可以被用于实现系统和/或方法。
尽管权利要求中列举了特征的特定组合和/或说明书中公开了特征的特定组合,但是这些组合不旨在限制各种实现的公开。事实上,许多这些特征可以以权利要求中未具体列举和/或说明书中未公开的方式组合。尽管以下列出的每个从属权利要求可能仅直接依赖于一个权利要求,但是各种实现的公开包括每个从属权利要求与权利要求集中的每个其他权利要求的组合。
除非明确说明,否则本文中所使用的任何元素、行为或指示不应当被解释为关键或必要的。此外,如本文所用,“一”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所使用,“该”一词旨在包括与制品“该”相关的一个或多个项目,并且可以与“该一个或多个”互换使用。此外,如本文所使用的术语“集”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关和不相关项目的组合等),并且可以与“一个或多个”互换使用。如果仅旨在一个项目,短语“仅一个”或类似的语言被使用。此外,本文所使用的术语“有”、“具有”、“含有”等旨在是开放式术语。此外,除非另有明确说明,“基于”一词旨在意味着“至少部分基于”。此外,如本文所使用的,术语“或”在一系列中使用时旨在是包含的,并且可以与“和/或”互换使用”,除非另有明确地说明(例如,如果与“任一”或“仅其中的一个”结合使用)
在前述说明书中,已经参考附图描述了各种示例实施例。然而,明显,在不脱离所附权利要求中所述的本发明的更广泛范围的情况下,可以对其进行各种修改和变化,并且可以实施附加的实施例。因此,说明书和附图是被视为说明性的而非限制性的。
Claims (20)
1.一种方法,包括:
由设备接收与网络设备的网络相关联的恶意文件;
由所述设备标识与所述恶意文件相关联的文件类型和文件特性;
由所述设备基于与所述恶意文件相关联的所述文件类型和所述文件特性来确定应用于所述恶意文件的一个或多个规则;
由所述设备将所述一个或多个规则应用于所述恶意文件,以生成针对所述恶意文件的部分文件签名;以及
由所述设备向所述网络的所述网络设备中的一个或多个网络设备提供针对所述恶意文件的所述部分文件签名,
其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备阻止所述恶意文件。
2.根据权利要求1所述的方法,其中将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名包括:
对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名。
3.根据权利要求1所述的方法,其中将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名包括:
对所述恶意文件的第一数量的字节和一个或多个部分的字节进行哈希,以生成所述部分文件签名。
4.根据权利要求3所述的方法,其中所述一个或多个部分的字节位于所述恶意文件的大约中间处。
5.根据权利要求3所述的方法,其中所述一个或多个部分的字节位于远离所述恶意文件的末端处。
6.根据权利要求1所述的方法,其中当所述恶意文件的所述文件类型为二进制文件时,将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的部分文件签名包括:
标识所述恶意文件是否是常规可执行文件或者安装文件;
当所述恶意文件是常规可执行文件时,对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名;以及
当所述恶意文件是安装文件时:
解析所述恶意文件以标识所述恶意文件的经压缩的数据,以及
对所述恶意文件的所述第一数量的字节和所述经压缩的数据进行哈希,以生成所述部分文件签名。
7.根据权利要求1所述的方法,其中当所述恶意文件的所述文件类型为存档文件时,将所述一个或多个规则应用于所述恶意文件,以生成针对所述恶意文件的部分文件签名包括:
对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名。
8.一种设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
接收由与网络设备的网络相关联的遭破解的终端设备生成的恶意文件;
标识与所述恶意文件相关联的文件类型和文件特性;
基于与所述恶意文件相关联的所述文件类型和所述文件特性来确定应用于所述恶意文件的一个或多个规则;
将所述一个或多个规则应用于所述恶意文件,以生成针对所述恶意文件的部分文件签名;以及
向所述网络的所述网络设备中的一个或多个网络设备提供针对所述恶意文件的所述部分文件签名,
其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备阻止所述恶意文件。
9.根据权利要求8所述的设备,其中当所述恶意文件的所述文件类型是具有非结构化报头的文件时,所述一个或多个处理器将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名,以:
解析所述恶意文件以标识所述恶意文件的恶意字节的代码;以及
对所述恶意文件的第一数量的字节和所述恶意字节的代码进行哈希,以生成所述部分文件签名。
10.根据权利要求8所述的设备,其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备传输除了所述恶意文件之外的文件。
11.根据权利要求8所述的设备,其中当所述恶意文件的所述文件类型是常规可执行文件或存档文件时,所述一个或多个处理器将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名,以:
对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名。
12.根据权利要求8所述的设备,其中当所述恶意文件的所述文件类型是安装文件或具有非结构化报头的文件时,所述一个或多个处理器将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名,以:
对所述恶意文件的第一数量的字节和一个或多个部分的字节进行哈希,以生成所述部分文件签名。
13.根据权利要求12所述的设备,其中所述一个或多个部分的字节包括特定数量的字节。
14.根据权利要求12所述的设备,其中所述一个或多个部分的字节位于所述恶意文件的大约中间处。
15.一种存储指令集的非瞬态计算机可读介质,所述指令集包括:
一个或多个指令,所述一个或多个指令在由设备的一个或多个处理器执行时,使所述设备:
接收与网络设备的网络相关联的恶意文件;
标识与所述恶意文件相关联的文件类型和文件特性;
基于与所述恶意文件相关联的所述文件类型和所述文件特性来确定应用于所述恶意文件的一个或多个规则;
将所述一个或多个规则应用于所述恶意文件,以生成针对所述恶意文件的部分文件签名;以及
向所述网络的所述网络设备中的一个或多个网络设备提供针对恶意文件的所述部分文件签名,
其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备阻止所述恶意文件并且传输除了所述恶意文件之外的文件。
16.根据权利要求15所述的非瞬态计算机可读介质,其中使所述设备将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的部分文件签名的所述一个或多个指令使所述设备执行以下一项:
对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名;或者
对所述恶意文件的所述第一数量的字节和一个或多个部分的字节进行哈希,以生成所述部分文件签名。
17.根据权利要求16所述的非瞬态计算机可读介质,其中所述一个或多个部分的字节位于所述恶意文件的大约中间处。
18.根据权利要求15所述的非瞬态计算机可读介质,其中当所述恶意文件的所述文件类型是二进制文件时,使所述设备将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名的所述一个或多个指令使所述设备:
标识所述恶意文件是否是常规可执行文件或者安装文件;
当所述恶意文件是常规可执行文件时,对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名;以及
当所述恶意文件是安装文件时:
解析所述恶意文件以标识所述恶意文件的经压缩的数据,以及
对所述恶意文件的所述第一数量的字节和所述经压缩的数据进行哈希,以生成部分文件签名。
19.根据权利要求15所述的非瞬态计算机可读介质,其中当所述恶意文件的所述文件类型是存档文件时,使所述设备将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名的所述一个或多个指令使所述设备:
对所述恶意文件的第一数量的字节进行哈希,以生成所述部分文件签名。
20.根据权利要求15所述的非瞬态计算机可读介质,其中当所述恶意文件的所述文件类型是具有非结构化报头的文件时,使所述设备将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名的所述一个或多个指令使所述设备:
解析所述恶意文件以标识所述恶意文件的恶意字节的代码;以及
对所述恶意文件的第一数量的字节和所述恶意字节的代码进行哈希,以生成所述部分文件签名。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/304,958 US11895129B2 (en) | 2021-06-29 | 2021-06-29 | Detecting and blocking a malicious file early in transit on a network |
| US17/304,958 | 2021-06-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115549937A true CN115549937A (zh) | 2022-12-30 |
Family
ID=77338498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110984220.2A Pending CN115549937A (zh) | 2021-06-29 | 2021-08-25 | 检测并阻止网络上早期传送的恶意文件 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11895129B2 (zh) |
| EP (1) | EP4113336A1 (zh) |
| CN (1) | CN115549937A (zh) |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7577848B2 (en) | 2005-01-18 | 2009-08-18 | Microsoft Corporation | Systems and methods for validating executable file integrity using partial image hashes |
| US7797746B2 (en) * | 2006-12-12 | 2010-09-14 | Fortinet, Inc. | Detection of undesired computer files in archives |
| US20130246378A1 (en) * | 2007-04-30 | 2013-09-19 | Stephen Owen Hearnden | Partial hash system, method, and computer program product |
| US20090100162A1 (en) * | 2007-10-15 | 2009-04-16 | Microsoft Corporation | Sharing Policy and Workload among Network Access Devices |
| US8353037B2 (en) * | 2009-12-03 | 2013-01-08 | International Business Machines Corporation | Mitigating malicious file propagation with progressive identifiers |
| US8468602B2 (en) * | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| TWI432987B (zh) * | 2011-03-15 | 2014-04-01 | Phison Electronics Corp | 記憶體儲存裝置、其記憶體控制器與病毒掃描方法 |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US20130263226A1 (en) * | 2012-01-22 | 2013-10-03 | Frank W. Sudia | False Banking, Credit Card, and Ecommerce System |
| US9202050B1 (en) * | 2012-12-14 | 2015-12-01 | Symantec Corporation | Systems and methods for detecting malicious files |
| CN103761477A (zh) * | 2014-01-07 | 2014-04-30 | 北京奇虎科技有限公司 | 一种病毒程序样本的获取方法和设备 |
| US9465939B2 (en) * | 2014-06-27 | 2016-10-11 | Mcafee, Inc. | Mitigation of malware |
| US9332023B1 (en) * | 2014-08-25 | 2016-05-03 | Symantec Corporation | Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats |
| US10956568B2 (en) * | 2018-04-30 | 2021-03-23 | Mcafee, Llc | Model development and application to identify and halt malware |
| WO2020006415A1 (en) | 2018-06-28 | 2020-01-02 | Crowdstrike, Inc. | Analysis of malware |
| RU2701842C1 (ru) * | 2018-06-29 | 2019-10-01 | Акционерное общество "Лаборатория Касперского" | Способ формирования запроса информации о файле для осуществления антивирусной проверки и система для реализации способа (варианты) |
| US10863256B2 (en) | 2018-10-16 | 2020-12-08 | Tibit Communications, Inc. | Plug-and-play PON systems with autonomous boot mode |
| RU2726878C1 (ru) * | 2019-04-15 | 2020-07-16 | Акционерное общество "Лаборатория Касперского" | Способ ускорения полной антивирусной проверки файлов на мобильном устройстве |
-
2021
- 2021-06-29 US US17/304,958 patent/US11895129B2/en active Active
- 2021-08-13 EP EP21191192.0A patent/EP4113336A1/en active Pending
- 2021-08-25 CN CN202110984220.2A patent/CN115549937A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20220417260A1 (en) | 2022-12-29 |
| EP4113336A1 (en) | 2023-01-04 |
| US11895129B2 (en) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| US10771506B1 (en) | Deployment of a security policy based on network topology and device capability | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US10091238B2 (en) | Deception using distributed threat detection | |
| US10733297B2 (en) | Real-time signatureless malware detection | |
| US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
| US10979453B2 (en) | Cyber-deception using network port projection | |
| CN107533605B (zh) | 爆发病理推断 | |
| JP2019523949A (ja) | ネットワークセキュリティマイクロサービスを負荷に基づいて動的に自動スケーリングするアーキテクチャ | |
| US20200050761A1 (en) | Detection and mitigation of fileless security threats | |
| US20220159023A1 (en) | System and method for detecting and classifying malware | |
| CN109218280B (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
| US11539722B2 (en) | Security threat detection based on process information | |
| US10645107B2 (en) | System and method for detecting and classifying malware | |
| CN110727942B (zh) | 用于恶意软件检测的存储器跟踪 | |
| US8661102B1 (en) | System, method and computer program product for detecting patterns among information from a distributed honey pot system | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| CN115549937A (zh) | 检测并阻止网络上早期传送的恶意文件 | |
| US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
| EP3594841A1 (en) | Real-time signatureless malware detection | |
| US11902330B1 (en) | Generating a network security policy based on a user identity associated with malicious behavior | |
| EP3598332B1 (en) | Memory tracking for malware detection | |
| JP2016031687A (ja) | マルウェア通信制御装置 | |
| CN116170405A (zh) | 引起或阻止对网络地址转换表的更新 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |