用于检测嵌入在任意位置的文件并且判定文件的信誉的系统和方法技术方案

在一个示例实施例中提供了一种方法，其包括：识别与文件的开始相关联的文件格式标识符，基于文件格式标识符解析文件直到识别出文件的结束，以及计算从文件的开始到文件的结束的散列。所述方法还可以包括：发送散列到信誉系统，并且基于从信誉系统接收到的散列的信誉而采取策略动作。

【技术实现步骤摘要】
【国外来华专利技术】用于检测嵌入在任意位置的文件并且判定文件的信誉的系统和方法
概括地说，本说明书涉及网络安全领域，更具体地说，涉及用于检测嵌入在任意位置的文件并且判定文件的信誉的系统和方法。
技术实现思路
根据本专利技术实施例，提供了一种用于检测嵌入在任意位置的文件并确定文件的信誉的方法，包括：识别与文件的开始相关联的文件格式标识符，其中，所述文件是嵌入在网络流中的第二文件内的可执行文件；基于所述文件格式标识符来解析所述文件以识别所述文件的结束，其中，只有所述文件被解析来识别所述文件的结束，并且其中，所述第二文件的不包括所述文件的部分没有被解析来识别所述文件的结束；计算从所述文件的开始到所述文件的结束的散列值；发送所述散列值到信誉系统；接收与所述散列值相关联的信誉值；以及基于所述信誉值采取策略动作。根据本专利技术实施例，提供了一种用于检测嵌入在任意位置的文件并确定文件的信誉的装置，包括一个或多个处理器，其能够操作以执行与文件检测模块相关联的指令，以便所述装置被配置用于：识别与文件的开始相关联的文件格式标识符，其中，所述文件是嵌入在网络流中的第二文件内的可执行文件；基于所述文件格式标识符解析所述文件以识别所述文件的结束，其中，只有所述文件被解析来识别所述文件的结束，并且其中，所述第二文件的不包括所述文件的部分没有被解析来识别所述文件的结束；计算从所述文件的开始到所述文件的结束的散列值；发送所述散列值到信誉系统；接收与所述散列值相关联的信誉值；以及基于所述信誉值采取策略动作。根据本专利技术实施例，提供了一种用于检测嵌入在任意位置的文件并确定文件的信誉的装置，包括：用于识别与文件的开始相关联的文件格式标识符的模块，其中，所述文件是嵌入在网络流中的第二文件内的可执行文件；用于基于所述文件格式标识符来解析所述文件以识别所述文件的结束的模块，其中，只有所述文件被解析来识别所述文件的结束，并且其中，所述第二文件的不包括所述文件的部分没有被解析来识别所述文件的结束；用于计算从所述文件的开始到所述文件的结束的散列值的模块；用于发送所述散列值到信誉系统的模块；用于接收与所述散列值相关联的信誉值的模块；以及用于基于所述信誉值采取策略动作的模块。
技术介绍
在今天的社会中网络安全领域已经变得越来越重要。互联网已经可以使全世界的不同计算机网络能够互联。然而，有效地保护和维持稳定的计算机和系统的能力对于部件制造商、系统设计者和网络运营商来说，存在显著的阻碍。通过由恶意操作者实现的不断演进的系列策略，这个阻碍变得甚至更加复杂。如果某类型的恶意软件可以感染主机计算机，那么它也能够执行任何数量的恶意动作，例如从主机计算机发送出垃圾邮件或者恶意电子邮件、从与主机计算机相关联的商业或者个人窃取敏感信息、传播到其他主机计算机、和/或协助分布式拒绝服务攻击。此外，恶意操作者可以将访问权出售或者给予给其他恶意操作者，从而逐步升级对这些主机计算机的利用。因此，对于开发创新工具以与允许恶意操作者利用计算机的策略而言仍然保有显著的挑战。附图说明为了提供对本公开和其特征和优点的更加完整的理解，结合附图对以下的描述进行参考，其中相似的参考数字代表相似的部分，其中：图1是示出了按照本说明书的用于检测嵌入任意位置的文件的网络环境的示例实施例的简化框图；图2是示出了可能与网络环境相关联的额外细节的简化框图；图3是示出了可能与网络环境相关联的潜在操作的简化流程图；图4A-4B是示出了可能与网络环境相关联的潜在操作的伪C代码算法列表；以及图5A-5B提供了可能嵌入网络流的任意位置的示例文件的十六进制视图。具体实施方式在一个示例实施例中提供了一种方法，其包括：识别与文件的开始相关联的文件格式标识符，基于文件格式标识符解析文件直到识别出文件的结束，以及从文件的开始到文件的结束计算散列。该方法还包括发送所述散列到信誉系统，并且基于从信誉系统接收到的散列的信誉而采取策略动作。在更具体的实施例中，文件可以是可执行文件，并且格式标识符可以包括表明特定操作系统的可执行文件格式的“MZ”字符串。解析文件可以包括解析文件中的报头以判定文件的尺寸，其可以被用于定位文件的结束。示例实施例转到图1，图1是网络环境100的示例实施例的简化的框图，在网络环境100中可以检测到嵌入在任意位置的文件。网络环境100可以包括节点(例如主机110a-110d)的局域网105，其可以通过具有嵌入的文件检测模块122的另一个节点(例如传感器120)连接到互联网115。传感器120还可以连接到信誉系统124，其在一些实施例中可以是远程的、基于云的信誉系统。通常，节点是能够在网络上发送、接收、或者传送数据的任何系统、机器、设备、网络元件、客户端、服务器、对等层、服务、应用、或者其他对象。网络环境100中的节点之间的链路代表两个节点可以通过其通信的任何介质。介质可以是有形介质(例如电缆或者光纤线缆)或者无形介质(例如用于无线通信的无线电波)。因此，每个主机110a-110d可以相互通信，并且与链接到互联网115的远程节点(例如传感器120、网络服务器125、邮件服务器130、和/或即时消息传送服务器135)通信。主机110a-110d还可以例如通过邮件服务器130与远程主机140交换电子邮件消息。通常，主机110a-110d可以是能够运行程序的任何类型的节点。按照最通常的理解，主机可以是通用目的的计算机，例如台式计算机、工作站计算机、服务器、膝上计算机、平板计算机(例如iPad)、或者移动电话(例如iPhone)。例如集线器、路由器、交换机、传感器以及打印机的其他设备也可以是主机，但是在某些上下文中也可以区别于其他类型的主机，因为它们通常被配置为特定目的的计算机。图1中的每个元件可以通过简单网络接口或者通过任何其他合适的连接(有线的或者无线的)彼此耦合，所述连接提供了网络通信的可行路径。此外，这些元件中的任何一个或多个可以基于特定配置需要而被合并或者从架构移除。网络环境100可以包括能够传输控制协议/互联网协议(TCP/IP)通信的配置，用于在网络中传送或者接收分组。网络环境100还可以在合适时和基于特定需而连同用户数据报协议/IP(UDP/IP)或者任何其他合适的协议一起进行操作。为了解释用于检测嵌入在网络环境的任意位置的文件的系统和方法的技术的目的，理解发生在给定网络内的某些活动是重要的。以下的基本信息可以被视为可以合理解释本公开的基础。这样的信息被认真地提供，仅仅是为了解释的目的，因此，不应当以任何方式解释为限制本公开的宽泛范围和它的潜在应用。典型的网络环境提供与其他网络电通信的能力。例如，互联网可以被用于访问以远程服务器为主机的网页，以发送或者接收电子邮件(即电子邮件)消息、或者交换文件。然而，用于干扰正常操作或者获取对机密信息的访问的新战术持续涌现。例如，威胁包括能够通过对计算机、网络和/或数据的未授权访问，对数据的未授权的销毁、公开、和/或修改，和/或拒绝服务而干扰计算机或者网络的正常操作的任何活动。恶意软件尤其代表了对于计算机安全的持续威胁。“恶意软件”通常用作对任何敌意的、入侵的或者烦人的软件的标签，例如计算机病毒、木马、蠕虫、bot、间谍软件、广告软件等，但是也可以包括其他恶意软件。恶意本文档来自技高网...

【技术保护点】
一种方法，包括：识别与文件的开始相关联的文件格式标识符；基于所述文件格式标识符来解析所述文件以识别所述文件的结束；以及计算从所述文件的开始到所述文件的结束的散列值。

【技术特征摘要】
【国外来华专利技术】2011.10.18 US 13/276,1971.一种用于检测嵌入在任意位置的文件并确定文件的信誉的方法，包括：识别与文件的开始相关联的文件格式标识符，其中，所述文件是嵌入在网络流中的第二文件内的可执行文件；基于所述文件格式标识符来解析所述文件以识别所述文件的结束，其中，只有所述文件被解析来识别所述文件的结束，并且其中，所述第二文件的不包括所述文件的部分没有被解析来识别所述文件的结束；计算从所述文件的开始到所述文件的结束的散列值；发送所述散列值到信誉系统；接收与所述散列值相关联的信誉值；以及基于所述信誉值采取策略动作。2.如权利要求1所述的方法，其中所述文件是二进制文件。3.如权利要求1所述的方法，其中：所述文件格式标识符是包括“MZ”的字符串。4.如权利要求1所述的方法，其中：所述文件格式标识符是包括“PE00”的字符串。5.如权利要求1所述的方法，其中解析所述文件包括：解析在所述文件中的报头，以判定所述文件的尺寸。6.如权利要求1所述的方法，其中：所述文件格式标识符是包括“MZ”的字符串；以及解析所述文件包括解析在所述文件中的报头以判定所述文件的尺寸。7.如权利要求1-6中任一项所述的方法，其中解析所述文件包括：解析在所述文件中的报头，以检测与所述文件相关联的证书。8.如权利要求1-6中任一项所述的方法，其中利用散列函数计算所述散列值，所述散列函数被选择为在所述散列值不正确时最小化与恶意软件的误报匹配。9.一种用于检测嵌入在任意位置的文件并确定文件的信誉的装置，包括：一个或多个处理器，其能够操作以执行与文件检测模块相关联的指令，以便所述装置被配置用于：识别与文件的开始相关联的文件格式标识符，其中，所述文件是嵌入在网络流中的第二文件内的可执行文件；基于所述文件格式标识符解析所述文件以识别所述文件的结束，其中，只有所述文件被解析来识别所述文件的结束，并且其中，所述第二文件的不包括所述文件的部分没有被解析来识别所述文件的结束；计算从所述文件的开始到所述文件的结束的散列值；发送所述散列值到信誉系统；接收与所述散列值相关联的信誉值；以及基于所述信誉值采取策略动作。10.如权利要求9所述的装置，其中所述文件是二进制文件。11.如权利要求9所述的装置，其中：所述文件格式...

【专利技术属性】
技术研发人员：D·L·H·马，V·马哈迪克，S·帕塔克，
申请(专利权)人：迈克菲公司，
类型：发明
国别省市：美国;US