用于追踪和检测恶意软件的系统和方法技术方案

技术编号:14636059 阅读:84 留言:0更新日期:2017-02-15 10:08
在此所描述的具体实施例提供了一种电子设备,所述电子设备可以被配置成用于:确定与进程相关的程序开始运行,当确定了应当对所述程序进行监测时对与所述程序相关的事件进行追踪,并且确定在所述追踪结束之前有待追踪的事件数量。所述有待追踪的事件数量可以与程序类型相关。另外,所述被追踪的事件数量可以与所述程序的活动相关。如果所述程序具有子程序,则可以确定有待追踪的子事件数量。可以将所述被追踪的子事件与所述被追踪的事件进行组合,并且可以对结果进行分析从而判定所述进程是否包括恶意软件。

【技术实现步骤摘要】
【国外来华专利技术】
本公开总体上涉及信息安全领域,并且更具体地涉及对恶意软件的追踪和检测。
技术介绍
网络安全领域在当今社会中已经变得越来越重要。互联网已经使得全世界不同计算机网络能够互连。具体地,互联网提供了用于通过各种类型的客户端设备在连接至不同计算机网络的不同用户之间交换数据的介质。虽然互联网的使用已经改变了商业和个人通信,它同样已经被用作恶意操作者对计算机和计算机网络进行未授权访问以及对敏感信息的有意或无意暴露的工具。感染主机的恶意软件(“Malware”)可能能够执行任何数量的恶意行为,如从与主机相关联的企业或个人盗取敏感信息、传播至其他主机、和/或帮助分布式拒绝服务攻击、从主机发出垃圾邮件或恶意邮件等。因此,对于保护计算机和计算机网络免受恶意软件的恶意或无意利用,仍然存在着重大的管理性挑战。附图说明为了对本公开及其特征和优点提供更完整的理解,结合附图参照以下说明书,在附图中,相同的参考号代表相同的部件,在附图中:图1是根据本公开的实施例的一种用于在网络环境中抑制恶意软件的通信系统的简化框图;图2是根据实施例展示了可以与所述通信系统相关联的可能操作的简化流程图;图3是根据实施例展示了可以与所述通信系统相关联的可能操作的简化流程图;图4是根据实施例展示了可以与所述通信系统相关联的可能操作的简化流程图;图5是根据实施例展示了可以与所述通信系统相关联的可能操作的简化流程图;图6是根据实施例展示了可以与所述通信系统相关联的可能操作的简化流程图;图7是根据实施展示了以点到点配置安排的示例计算系统的框图;图8是与本公开的示例ARM生态系统片上系统(SOC)相关联的简化框图;以及图9是根据实施展示了示例处理器的框图。附图中的这些图不一定要按比例绘制,因为它们的尺寸可以显著地改变而不背离本公开的范围。具体实施方式示例实施例图1是一种用于帮助追踪和检测恶意软件的通信系统100的简化框图。通信系统100可以包括电子设备110、网络114、和安全服务器116。电子设备可以包括检测模块118。恶意设备112可能试图向电子设备110中引入恶意软件。电子设备110、恶意设备112、和安全服务器116可以通过网络114连接。在一个示例中,恶意设备112可以直接连接(例如,通过通用串行总线(USB)类型连接)至电子设备110。在示例实施例中,通信系统100可以被配置成用于:确定与特性相关的程序开始运行;当确定应当对所述程序进行监测时对与所述程序相关的事件进行追踪;并且确定在所述追踪结束之前有待追踪的事件数量。所述特性可以是任何可以指示所述程序是恶意软件或可能包含恶意软件的特性。例如,所述程序可以具有允许所述程序在没有所有者的知会同意的情况下混入、修改、改变、恶化、或损坏计算机系统的特性。所述有待追踪的事件数量可以与程序类型相关。另外,所述被追踪的事件数量可以与所述程序的活动相关。通信系统100可以进一步被配置成用于:如果所述程序具有子程序,则确定有待追踪的子事件数量。程序的子程序是代表或响应于来自另一程序的请求、事件、或动作行动的任何程序或代码。通信系统100可以被配置成用于跨父进程/子进程合并被追踪的事件,并且对所述被追踪的事件的结果进行分析从而判定所述进程是否包括恶意软件。在其他示例中,通信系统100可以被配置成用于分析所述被追踪的事件的结果并将所述结果发送至安全服务器。在一些示例中,所述被追踪的事件的结果在被发送至安全服务器之前被标准化并合并。图1的元件可以采取任何适当连接(有线或无线)通过一个或多个接口彼此耦联,这为网络(例如,网络114)通信提供了可行的通路。另外,可以基于具体配置需求将图1的这些元件中的任何一个或多个与架构进行组合或从中移除。通信系统100可以包括能够进行传输控制协议/互联网协议(TCP/IP)通信以便在网络中传输或接收分组报文的配置。通信系统100还可以在适当情况下并基于具体需要结合用户数据报协议/IP(UDP/IP)或任何其他适当协议运行。为了展示通信系统100的某些示例技术,理解可以贯穿网络环境的通信很重要。以下基础信息可以被视为可以对本公开正确解释的基础。增加对互联网的访问具有增加下述软件程序的触及的非预期效果:在没有用户知会同意的情况下捕捉其私人信息的软件程序,或者在没有用户的知识和知会同意的情况下使计算机恶化的软件程序。如在此所使用的术语“恶意软件”包括任何类型的软件程序,所述软件程序被设计成用于没有所有者的知会同意的情况下混入、修改、改变、恶化、或损坏计算机系统,不管软件程序的动机,并且不管软件程序对所有者的设备、系统、网络或数据造成的结果。各种检测程序可以用于试图检测恶意软件的存在。在一些实例中,检测程序依赖对正在被检查的软件程序中的签名的检查,从而判定所述程序是否是或包含恶意软件。在一些实例中,检测程序使用追踪方法来判定软件程序是否是恶意软件。然而,恶意软件作者频繁地更改或改变恶意软件程序的部分,从而避免追踪方法的检测。结果是,反恶意软件供应商和安全系统采取了行为技术以瞄准前摄检测。然而,一些技术是面向单个进程的并且对多组件威胁是无效的。一些威胁趋向于具有若干组件。例如,一些威胁开始于恶意URL,利用易损性或主持隐藏下载。然后,来自恶意的统一资源定位符(URL)的恶意下载(例如,C&Cbot代码、密码窃取器有效载荷等)倾向于作为单独的进程繁衍。追踪单个进程并不在整个端到端的威胁事件建立上下文,从而限制了保护值。另外,在对威胁活动进行追踪时,一些技术使用硬编码或预先配置的超时来确定何时停止追踪。这是无效的,因为每个威胁具有不同的感染时间窗,并且并不保证30或60秒的追踪可以为恶意软件检测捕捉到足够的事件或行为。威胁可能等待来自恶意软件服务器对用户机器的活动、握手和命令等来推进,并且60秒的追踪不可能识别恶意活动。用于追踪和检测恶意软件的通信系统(如图1中描绘的)可以解决这些问题(以及其他的)。在图1的通信系统100中,为了最终和检测恶意软件,所述系统可以被配置成用于在对事件进行标准化和合并之后对文件和程序的事件或行为进行分组。这可以建立一般的但足够详细的端到端的威胁事件追踪。使用规则和机器学习将所合并的事件加标签并相关,从而使得当检测到威胁时抑制策略可以相应地应用于每个组件。如全文中使用的术语“事件”和“多个事件”将包括行为、动作、调用、重定向、下载、或恶意代码可能对电子设备使用的任何其他进程、事件、或行为。另外,检测模块118可以使用智能上下文来确定追踪持续时间。代替硬编码的超时,检测模块118可以利用上下文触发器来确定何时追踪足够以及何时应当暂停和恢复追踪。通信系统110可以被配置成用于跨进程监测事件并将这些事件合并至单个追踪中。目前的方案并不将跨多个进程的事件整合至合并的追踪中。为了避免检测,一些恶意软件已经转换为或者多组件或者在其同盟之间具有相互独立的有效载荷。来自单个进程或单个组件的事件经常不呈现足够的可疑活动。检测模块118可以被配置成用跨进程的上下文建立事件追踪并贯穿相关的组件来组合所述事件。将多个进程的事件合并还可以有助于机器学习和恶意软件分类。在特定示例中,恶意软件事件(例如,恶意软件繁衍树)的追踪可能具有多个分支。进程A可以繁衍进程B1和B本文档来自技高网...
<a href="http://www.xjishu.com/zhuanli/55/201580027224.html" title="用于追踪和检测恶意软件的系统和方法原文来自X技术">用于追踪和检测恶意软件的系统和方法</a>

【技术保护点】
至少一种计算机可读介质,包括一条或多条指令,所述一条或多条指令当被处理器执行时使所述处理器:确定与进程相关的程序开始运行;当确定了应当对所述程序进行监测时,对与所述程序相关的事件进行追踪;确定在所述追踪结束之前有待追踪的事件数量;以及分析被追踪的事件的结果,从而判定所述进程是否包括恶意软件。

【技术特征摘要】
【国外来华专利技术】2014.06.27 US 14/318,2621.至少一种计算机可读介质,包括一条或多条指令,所述一条或多条指令当被处理器执行时使所述处理器:确定与进程相关的程序开始运行;当确定了应当对所述程序进行监测时,对与所述程序相关的事件进行追踪;确定在所述追踪结束之前有待追踪的事件数量;以及分析被追踪的事件的结果,从而判定所述进程是否包括恶意软件。2.如权利要求1所述的至少一种计算机可读介质,其中,所述有待追踪的事件数量与程序类型相关。3.如权利要求1和2中任一项所述的至少一种计算机可读介质,其中,所述被追踪的事件数量与所述程序的活动相关。4.如权利要求1至3中任一项所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述一条或多条指令当被所述处理器执行时:判定所述程序是否具有子程序。5.如权利要求4所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述一条或多条指令当被所述处理器执行时:如果所述程序具有所述子程序,则确定有待追踪的子事件数量。6.如权利要求5所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述一条或多条指令当被所述处理器执行时:将所述被追踪的子事件与所述被追踪的事件进行组合。7.如权利要求1至6中任一项所述的至少一种计算机可读介质,其中,所述有待追踪的事件数量基于上下文触发器。8.如权利要求7所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述一条或多条指令当被所述处理器执行时:将所述追踪的结果传达给网络元件以进行进一步分析。9.一种装置,包括:检测模块,其中,所述检测模块被配置成用于:确定与进程相关的程序开始运行;当确定了应当对所述程序进行监测时,对与所述程序相关的事件进行追踪;以及确定在所述追踪结束之前有待追踪的事件数量;以及分析被追踪的事件的结果,从而判定所述进程是否包括恶意软件。10.如权利要求9所述的装置,其中,所述有待追踪的事件数量与程序类型相关。11.如权利要求9和10中任一项所述的装置,其中,所述检测模块被进一步配置成用于:判定所述程序是否具有子程序。12.如权利要求11所述的装置,其中,所述检测模块被进一步配置成用于:如果所述程序具...

【专利技术属性】
技术研发人员:P·辛格Z·吴
申请(专利权)人:迈克菲股份有限公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1