用于追蹤和檢測(cè)惡意軟件的系統(tǒng)和方法技術(shù)方案

在此所描述的具體實(shí)施例提供了一種電子設(shè)備，所述電子設(shè)備可以被配置成用于：確定與進(jìn)程相關(guān)的程序開始運(yùn)行，當(dāng)確定了應(yīng)當(dāng)對(duì)所述程序進(jìn)行監(jiān)測(cè)時(shí)對(duì)與所述程序相關(guān)的事件進(jìn)行追蹤，并且確定在所述追蹤結(jié)束之前有待追蹤的事件數(shù)量。所述有待追蹤的事件數(shù)量可以與程序類型相關(guān)。另外，所述被追蹤的事件數(shù)量可以與所述程序的活動(dòng)相關(guān)。如果所述程序具有子程序，則可以確定有待追蹤的子事件數(shù)量。可以將所述被追蹤的子事件與所述被追蹤的事件進(jìn)行組合，并且可以對(duì)結(jié)果進(jìn)行分析從而判定所述進(jìn)程是否包括惡意軟件。

【技術(shù)實(shí)現(xiàn)步驟摘要】
【國(guó)外來(lái)華專利技術(shù)】
本公開總體上涉及信息安全領(lǐng)域，并且更具體地涉及對(duì)惡意軟件的追蹤和檢測(cè)。
技術(shù)介紹
網(wǎng)絡(luò)安全領(lǐng)域在當(dāng)今社會(huì)中已經(jīng)變得越來(lái)越重要。互聯(lián)網(wǎng)已經(jīng)使得全世界不同計(jì)算機(jī)網(wǎng)絡(luò)能夠互連。具體地，互聯(lián)網(wǎng)提供了用于通過(guò)各種類型的客戶端設(shè)備在連接至不同計(jì)算機(jī)網(wǎng)絡(luò)的不同用戶之間交換數(shù)據(jù)的介質(zhì)。雖然互聯(lián)網(wǎng)的使用已經(jīng)改變了商業(yè)和個(gè)人通信，它同樣已經(jīng)被用作惡意操作者對(duì)計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行未授權(quán)訪問(wèn)以及對(duì)敏感信息的有意或無(wú)意暴露的工具。感染主機(jī)的惡意軟件(“Malware”)可能能夠執(zhí)行任何數(shù)量的惡意行為，如從與主機(jī)相關(guān)聯(lián)的企業(yè)或個(gè)人盜取敏感信息、傳播至其他主機(jī)、和/或幫助分布式拒絕服務(wù)攻擊、從主機(jī)發(fā)出垃圾郵件或惡意郵件等。因此，對(duì)于保護(hù)計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)免受惡意軟件的惡意或無(wú)意利用，仍然存在著重大的管理性挑戰(zhàn)。附圖說(shuō)明為了對(duì)本公開及其特征和優(yōu)點(diǎn)提供更完整的理解，結(jié)合附圖參照以下說(shuō)明書，在附圖中，相同的參考號(hào)代表相同的部件，在附圖中：圖1是根據(jù)本公開的實(shí)施例的一種用于在網(wǎng)絡(luò)環(huán)境中抑制惡意軟件的通信系統(tǒng)的簡(jiǎn)化框圖；圖2是根據(jù)實(shí)施例展示了可以與所述通信系統(tǒng)相關(guān)聯(lián)的可能操作的簡(jiǎn)化流程圖；圖3是根據(jù)實(shí)施例展示了可以與所述通信系統(tǒng)相關(guān)聯(lián)的可能操作的簡(jiǎn)化流程圖；圖4是根據(jù)實(shí)施例展示了可以與所述通信系統(tǒng)相關(guān)聯(lián)的可能操作的簡(jiǎn)化流程圖；圖5是根據(jù)實(shí)施例展示了可以與所述通信系統(tǒng)相關(guān)聯(lián)的可能操作的簡(jiǎn)化流程圖；圖6是根據(jù)實(shí)施例展示了可以與所述通信系統(tǒng)相關(guān)聯(lián)的可能操作的簡(jiǎn)化流程圖；圖7是根據(jù)實(shí)施展示了以點(diǎn)到點(diǎn)配置安排的示例計(jì)算系統(tǒng)的框圖；圖8是與本公開的示例ARM生態(tài)系統(tǒng)片上系統(tǒng)(SOC)相關(guān)聯(lián)的簡(jiǎn)化框圖；以及圖9是根據(jù)實(shí)施展示了示例處理器的框圖。附圖中的這些圖不一定要按比例繪制，因?yàn)樗鼈兊某叽缈梢燥@著地改變而不背離本公開的范圍。具體實(shí)施方式示例實(shí)施例圖1是一種用于幫助追蹤和檢測(cè)惡意軟件的通信系統(tǒng)100的簡(jiǎn)化框圖。通信系統(tǒng)100可以包括電子設(shè)備110、網(wǎng)絡(luò)114、和安全服務(wù)器116。電子設(shè)備可以包括檢測(cè)模塊118。惡意設(shè)備112可能試圖向電子設(shè)備110中引入惡意軟件。電子設(shè)備110、惡意設(shè)備112、和安全服務(wù)器116可以通過(guò)網(wǎng)絡(luò)114連接。在一個(gè)示例中，惡意設(shè)備112可以直接連接(例如，通過(guò)通用串行總線(USB)類型連接)至電子設(shè)備110。在示例實(shí)施例中，通信系統(tǒng)100可以被配置成用于：確定與特性相關(guān)的程序開始運(yùn)行；當(dāng)確定應(yīng)當(dāng)對(duì)所述程序進(jìn)行監(jiān)測(cè)時(shí)對(duì)與所述程序相關(guān)的事件進(jìn)行追蹤；并且確定在所述追蹤結(jié)束之前有待追蹤的事件數(shù)量。所述特性可以是任何可以指示所述程序是惡意軟件或可能包含惡意軟件的特性。例如，所述程序可以具有允許所述程序在沒(méi)有所有者的知會(huì)同意的情況下混入、修改、改變、惡化、或損壞計(jì)算機(jī)系統(tǒng)的特性。所述有待追蹤的事件數(shù)量可以與程序類型相關(guān)。另外，所述被追蹤的事件數(shù)量可以與所述程序的活動(dòng)相關(guān)。通信系統(tǒng)100可以進(jìn)一步被配置成用于：如果所述程序具有子程序，則確定有待追蹤的子事件數(shù)量。程序的子程序是代表或響應(yīng)于來(lái)自另一程序的請(qǐng)求、事件、或動(dòng)作行動(dòng)的任何程序或代碼。通信系統(tǒng)100可以被配置成用于跨父進(jìn)程/子進(jìn)程合并被追蹤的事件，并且對(duì)所述被追蹤的事件的結(jié)果進(jìn)行分析從而判定所述進(jìn)程是否包括惡意軟件。在其他示例中，通信系統(tǒng)100可以被配置成用于分析所述被追蹤的事件的結(jié)果并將所述結(jié)果發(fā)送至安全服務(wù)器。在一些示例中，所述被追蹤的事件的結(jié)果在被發(fā)送至安全服務(wù)器之前被標(biāo)準(zhǔn)化并合并。圖1的元件可以采取任何適當(dāng)連接(有線或無(wú)線)通過(guò)一個(gè)或多個(gè)接口彼此耦聯(lián)，這為網(wǎng)絡(luò)(例如，網(wǎng)絡(luò)114)通信提供了可行的通路。另外，可以基于具體配置需求將圖1的這些元件中的任何一個(gè)或多個(gè)與架構(gòu)進(jìn)行組合或從中移除。通信系統(tǒng)100可以包括能夠進(jìn)行傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)通信以便在網(wǎng)絡(luò)中傳輸或接收分組報(bào)文的配置。通信系統(tǒng)100還可以在適當(dāng)情況下并基于具體需要結(jié)合用戶數(shù)據(jù)報(bào)協(xié)議/IP(UDP/IP)或任何其他適當(dāng)協(xié)議運(yùn)行。為了展示通信系統(tǒng)100的某些示例技術(shù)，理解可以貫穿網(wǎng)絡(luò)環(huán)境的通信很重要。以下基礎(chǔ)信息可以被視為可以對(duì)本公開正確解釋的基礎(chǔ)。增加對(duì)互聯(lián)網(wǎng)的訪問(wèn)具有增加下述軟件程序的觸及的非預(yù)期效果：在沒(méi)有用戶知會(huì)同意的情況下捕捉其私人信息的軟件程序，或者在沒(méi)有用戶的知識(shí)和知會(huì)同意的情況下使計(jì)算機(jī)惡化的軟件程序。如在此所使用的術(shù)語(yǔ)“惡意軟件”包括任何類型的軟件程序，所述軟件程序被設(shè)計(jì)成用于沒(méi)有所有者的知會(huì)同意的情況下混入、修改、改變、惡化、或損壞計(jì)算機(jī)系統(tǒng)，不管軟件程序的動(dòng)機(jī)，并且不管軟件程序?qū)λ姓叩脑O(shè)備、系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)造成的結(jié)果。各種檢測(cè)程序可以用于試圖檢測(cè)惡意軟件的存在。在一些實(shí)例中，檢測(cè)程序依賴對(duì)正在被檢查的軟件程序中的簽名的檢查，從而判定所述程序是否是或包含惡意軟件。在一些實(shí)例中，檢測(cè)程序使用追蹤方法來(lái)判定軟件程序是否是惡意軟件。然而，惡意軟件作者頻繁地更改或改變惡意軟件程序的部分，從而避免追蹤方法的檢測(cè)。結(jié)果是，反惡意軟件供應(yīng)商和安全系統(tǒng)采取了行為技術(shù)以瞄準(zhǔn)前攝檢測(cè)。然而，一些技術(shù)是面向單個(gè)進(jìn)程的并且對(duì)多組件威脅是無(wú)效的。一些威脅趨向于具有若干組件。例如，一些威脅開始于惡意URL，利用易損性或主持隱藏下載。然后，來(lái)自惡意的統(tǒng)一資源定位符(URL)的惡意下載(例如，C&Cbot代碼、密碼竊取器有效載荷等)傾向于作為單獨(dú)的進(jìn)程繁衍。追蹤單個(gè)進(jìn)程并不在整個(gè)端到端的威脅事件建立上下文，從而限制了保護(hù)值。另外，在對(duì)威脅活動(dòng)進(jìn)行追蹤時(shí)，一些技術(shù)使用硬編碼或預(yù)先配置的超時(shí)來(lái)確定何時(shí)停止追蹤。這是無(wú)效的，因?yàn)槊總€(gè)威脅具有不同的感染時(shí)間窗，并且并不保證30或60秒的追蹤可以為惡意軟件檢測(cè)捕捉到足夠的事件或行為。威脅可能等待來(lái)自惡意軟件服務(wù)器對(duì)用戶機(jī)器的活動(dòng)、握手和命令等來(lái)推進(jìn)，并且60秒的追蹤不可能識(shí)別惡意活動(dòng)。用于追蹤和檢測(cè)惡意軟件的通信系統(tǒng)(如圖1中描繪的)可以解決這些問(wèn)題(以及其他的)。在圖1的通信系統(tǒng)100中，為了最終和檢測(cè)惡意軟件，所述系統(tǒng)可以被配置成用于在對(duì)事件進(jìn)行標(biāo)準(zhǔn)化和合并之后對(duì)文件和程序的事件或行為進(jìn)行分組。這可以建立一般的但足夠詳細(xì)的端到端的威脅事件追蹤。使用規(guī)則和機(jī)器學(xué)習(xí)將所合并的事件加標(biāo)簽并相關(guān)，從而使得當(dāng)檢測(cè)到威脅時(shí)抑制策略可以相應(yīng)地應(yīng)用于每個(gè)組件。如全文中使用的術(shù)語(yǔ)“事件”和“多個(gè)事件”將包括行為、動(dòng)作、調(diào)用、重定向、下載、或惡意代碼可能對(duì)電子設(shè)備使用的任何其他進(jìn)程、事件、或行為。另外，檢測(cè)模塊118可以使用智能上下文來(lái)確定追蹤持續(xù)時(shí)間。代替硬編碼的超時(shí)，檢測(cè)模塊118可以利用上下文觸發(fā)器來(lái)確定何時(shí)追蹤足夠以及何時(shí)應(yīng)當(dāng)暫停和恢復(fù)追蹤。通信系統(tǒng)110可以被配置成用于跨進(jìn)程監(jiān)測(cè)事件并將這些事件合并至單個(gè)追蹤中。目前的方案并不將跨多個(gè)進(jìn)程的事件整合至合并的追蹤中。為了避免檢測(cè)，一些惡意軟件已經(jīng)轉(zhuǎn)換為或者多組件或者在其同盟之間具有相互獨(dú)立的有效載荷。來(lái)自單個(gè)進(jìn)程或單個(gè)組件的事件經(jīng)常不呈現(xiàn)足夠的可疑活動(dòng)。檢測(cè)模塊118可以被配置成用跨進(jìn)程的上下文建立事件追蹤并貫穿相關(guān)的組件來(lái)組合所述事件。將多個(gè)進(jìn)程的事件合并還可以有助于機(jī)器學(xué)習(xí)和惡意軟件分類。在特定示例中，惡意軟件事件(例如，惡意軟件繁衍樹)的追蹤可能具有多個(gè)分支。進(jìn)程A可以繁衍進(jìn)程B1和B本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
至少一種計(jì)算機(jī)可讀介質(zhì)，包括一條或多條指令，所述一條或多條指令當(dāng)被處理器執(zhí)行時(shí)使所述處理器：確定與進(jìn)程相關(guān)的程序開始運(yùn)行；當(dāng)確定了應(yīng)當(dāng)對(duì)所述程序進(jìn)行監(jiān)測(cè)時(shí)，對(duì)與所述程序相關(guān)的事件進(jìn)行追蹤；確定在所述追蹤結(jié)束之前有待追蹤的事件數(shù)量；以及分析被追蹤的事件的結(jié)果，從而判定所述進(jìn)程是否包括惡意軟件。

【技術(shù)特征摘要】
【國(guó)外來(lái)華專利技術(shù)】2014.06.27 US 14/318,2621.至少一種計(jì)算機(jī)可讀介質(zhì)，包括一條或多條指令，所述一條或多條指令當(dāng)被處理器執(zhí)行時(shí)使所述處理器：確定與進(jìn)程相關(guān)的程序開始運(yùn)行；當(dāng)確定了應(yīng)當(dāng)對(duì)所述程序進(jìn)行監(jiān)測(cè)時(shí)，對(duì)與所述程序相關(guān)的事件進(jìn)行追蹤；確定在所述追蹤結(jié)束之前有待追蹤的事件數(shù)量；以及分析被追蹤的事件的結(jié)果，從而判定所述進(jìn)程是否包括惡意軟件。2.如權(quán)利要求1所述的至少一種計(jì)算機(jī)可讀介質(zhì)，其中，所述有待追蹤的事件數(shù)量與程序類型相關(guān)。3.如權(quán)利要求1和2中任一項(xiàng)所述的至少一種計(jì)算機(jī)可讀介質(zhì)，其中，所述被追蹤的事件數(shù)量與所述程序的活動(dòng)相關(guān)。4.如權(quán)利要求1至3中任一項(xiàng)所述的至少一種計(jì)算機(jī)可讀介質(zhì)，進(jìn)一步包括一條或多條指令，所述一條或多條指令當(dāng)被所述處理器執(zhí)行時(shí)：判定所述程序是否具有子程序。5.如權(quán)利要求4所述的至少一種計(jì)算機(jī)可讀介質(zhì)，進(jìn)一步包括一條或多條指令，所述一條或多條指令當(dāng)被所述處理器執(zhí)行時(shí)：如果所述程序具有所述子程序，則確定有待追蹤的子事件數(shù)量。6.如權(quán)利要求5所述的至少一種計(jì)算機(jī)可讀介質(zhì)，進(jìn)一步包括一條或多條指令，所述一條或多條指令當(dāng)被所述處理器執(zhí)行時(shí)：將所述被追蹤的子事件與所述被追蹤的事件進(jìn)行組合。7.如權(quán)利要求1至6中任一項(xiàng)所述的至少一種計(jì)算機(jī)可讀介質(zhì)，其中，所述有待追蹤的事件數(shù)量基于上下文觸發(fā)器。8.如權(quán)利要求7所述的至少一種計(jì)算機(jī)可讀介質(zhì)，進(jìn)一步包括一條或多條指令，所述一條或多條指令當(dāng)被所述處理器執(zhí)行時(shí)：將所述追蹤的結(jié)果傳達(dá)給網(wǎng)絡(luò)元件以進(jìn)行進(jìn)一步分析。9.一種裝置，包括：檢測(cè)模塊，其中，所述檢測(cè)模塊被配置成用于：確定與進(jìn)程相關(guān)的程序開始運(yùn)行；當(dāng)確定了應(yīng)當(dāng)對(duì)所述程序進(jìn)行監(jiān)測(cè)時(shí)，對(duì)與所述程序相關(guān)的事件進(jìn)行追蹤；以及確定在所述追蹤結(jié)束之前有待追蹤的事件數(shù)量；以及分析被追蹤的事件的結(jié)果，從而判定所述進(jìn)程是否包括惡意軟件。10.如權(quán)利要求9所述的裝置，其中，所述有待追蹤的事件數(shù)量與程序類型相關(guān)。11.如權(quán)利要求9和10中任一項(xiàng)所述的裝置，其中，所述檢測(cè)模塊被進(jìn)一步配置成用于：判定所述程序是否具有子程序。12.如權(quán)利要求11所述的裝置，其中，所述檢測(cè)模塊被進(jìn)一步配置成用于：如果所述程序具...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：P·辛格，Z·吳，
申請(qǐng)(專利權(quán))人：邁克菲股份有限公司，
類型：發(fā)明
國(guó)別省市：美國(guó);US