安全漏洞检测技术制造技术

本发明专利技术公开了安全漏洞检测技术。在一个具体实施例中，所述技术可实现为用于检测安全漏洞的方法，所述方法包括：指定声誉给应用程序；分发所述声誉给客户端；从所述客户端接收与执行所述应用程序的所述客户端有关的监测到的系统行为；根据所述监测到的系统行为确定是否更改所述应用程序的所述声誉；分发更改的声誉给所述客户端；从所述客户端接收进一步监测到的系统行为；以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程序的规则。

【技术实现步骤摘要】
【国外来华专利技术】安全漏洞检测技术
本专利技术整体涉及计算机病毒和恶意软件，更具体地讲，涉及安全漏洞检测技术。
技术介绍
此前，计算机病毒和恶意软件常利用先前未知的安全漏洞，也即零日漏洞利用(zerodayexploits)。这些计算机病毒和恶意软件可引起多个问题，包括：触及敏感或私人数据、降低系统性能以及分流系统资源。因此，检测此类安全漏洞已经变得非常重要。然而，传统的安全漏洞检测方法需要对系统行为进行追溯分析，以识别计算机病毒或恶意软件所利用的安全漏洞。鉴于上述，可以理解，可能存在与传统安全漏洞检测相关的显著问题和缺陷。
技术实现思路
本专利技术公开了安全漏洞检测技术。在一个具体实施例中，所述技术可实现为检测安全漏洞的方法，所述方法包括指定声誉(reputation)给应用程序；分发所述声誉给客户端(client)；从所述客户端接收与执行所述应用程序的所述客户端有关的监测到的系统行为；根据所述监测到的系统行为确定是否更改所述应用程序的所述声誉；分发更改的声誉给所述客户端；从所述客户端接收进一步监测到的系统行为；以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程序的规则。根据该具体实施例的其他方面，所述声誉指示应用程序是否是可信的、中性的、可疑的和恶意的应用程序中的一种。根据该具体实施例的其他方面，所述应用程序是来自已知实体的新应用程序。根据该具体实施例的其他方面，根据所述已知实体指定所述应用程序的所述声誉。根据该具体实施例的其他方面，根据所述接收的声誉在所述客户端执行所述应用程序。根据该具体实施例的其他方面，在所述监测到的系统行为指示所述应用程序正表现出可疑行为时更改所述应用程序的所述声誉。根据该具体实施例的其他方面，根据从执行所述应用程序的多个客户端接收的监测到的系统行为来更改所述应用程序的所述声誉。根据该具体实施例的其他方面，所述监测到的系统行为包括与客户端系统的行为以及在所述客户端上执行的所述应用程序的行为有关的详细信息。根据该具体实施例的其他方面，针对所述应用程序的所述规则指示所述应用程序将是隔离的、防止访问某些客户端资源的、在虚拟客户端上执行的以及允许完全访问客户端资源的应用程序中的一种。根据该具体实施例的其他方面，所述方法包括将针对所述应用程序生成的所述规则传送到所述客户端。在另一个具体实施例中，所述技术可实现为至少一种存储计算机程序指令的非瞬时性处理器可读存储介质，所述非瞬时性处理器可读存储介质被配置为可由至少一个处理器读取以指示所述至少一个处理器执行用于执行一种方法的计算机进程，所述方法包括：指定声誉给应用程序；分发所述声誉给客户端；从所述客户端接收与执行所述应用程序的所述客户端有关的监测到的系统行为；根据所述监测到的系统行为确定是否更改所述应用程序的所述声誉；分发更改的声誉给所述客户端；从所述客户端接收进一步监测到的系统行为；以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程序的规则。在另一个具体实施例中，所述技术可实现为一种检测安全漏洞的方法，所述方法包括指定声誉给应用程序；根据所述指定的声誉执行所述应用程序；在执行所述应用程序时监测系统行为；将监测到的系统行为报告给后台系统；确定是否已从所述后台系统接收到所述应用程序的更改的声誉；根据所述更改的声誉监测所述系统行为；将监测到的系统行为传送给所述后台系统；以及确定是否已从所述后台系统接收到针对所述应用程序的新规则。根据该具体实施例的其他方面，根据在所述应用程序安装期间所述应用程序的行为指定所述声誉给所述应用程序。根据该具体实施例的另外的方面，监测所述系统行为包括监测未经授权的系统资源访问、对系统操作系统的未经授权写入、安全应用程序的终止以及未经授权的网络活动中的至少一者。根据该具体实施例的另外的方面，根据探试法针对已知的可疑和恶意行为监测所述系统行为。根据该具体实施例的另外的方面，当所述指定的声誉指示所述应用程序可信时以第一频率监测所述系统行为，并在所述更改的声誉指示所述应用程序不可信时以高于所述第一频率的第二频率监测所述系统行为。根据该具体实施例的另外的方面，当检测到可疑的系统行为时，根据所述指定的为可信的声誉继续执行所述应用程序。根据该具体实施例的其他方面，所述方法包括根据所述接收到的规则执行所述应用程序。在另一个具体实施例中，所述技术可实现为至少一种存储计算机程序指令的非瞬时性处理器可读存储介质，所述非瞬时性处理器可读存储介质被配置为可由至少一个处理器读取以指示所述至少一个处理器执行用于执行一种方法的计算机进程，所述方法包括：指定声誉给应用程序；根据所述指定的声誉执行所述应用程序；在执行所述应用程序时监测系统行为；将监测到的系统行为报告给后台系统；确定是否已从所述后台系统接收到所述应用程序的更改的声誉；根据所述更改的声誉监测所述系统行为；将监测到的系统行为传送给所述后台系统；以及确定是否已从所述后台系统接收到针对所述应用程序的新规则。在另一个具体实施例中，所述技术可实现为一种检测安全漏洞的系统，所述系统包括：通信地耦接到网络的一个或多个处理器；其中所述一个或多个处理器被配置为：指定声誉给应用程序；分发所述声誉给客户端；从所述客户端接收与执行所述应用程序的所述客户端有关的监测到的系统行为；根据所述监测到的系统行为确定是否更改所述应用程序的所述声誉；分发更改的声誉给所述客户端；从所述客户端接收进一步监测到的系统行为；以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程序的规则。附图说明为了有利于更全面地理解本专利技术，现在参考附图，其中类似的标号表示类似的元件。这些附图不应被理解为限制本专利技术，而是旨在仅为示例性的。图1示出了根据本专利技术实施例的网络体系结构的框图。图2示出了根据本专利技术实施例的计算机系统的框图。图3示出了根据本专利技术实施例的安全漏洞检测模块。图4示出了根据本专利技术实施例的一种检测安全漏洞的方法。图5示出了根据本专利技术实施例的一种检测安全漏洞的方法。具体实施方式图1示出了根据本专利技术实施例的用于检测安全漏洞的网络体系结构的框图。图1为网络体系结构100的简化视图，该网络体系结构可以包括未示出的另外的元件。网络体系结构100可以包含客户端系统110、120和130，以及服务器140A和140B(可使用图2所示的计算机系统200来实施它们中的一者或多者)。客户端系统110、120和130可以通信地耦接到网络150。服务器140A可以通信地耦接到存储设备160A(1)-(N)，而服务器140B可以通信地耦接到存储设备160B(1)-(N)。客户端系统110、120和130可以包含安全漏洞检测模块(如安全漏洞检测模块300)。另外，服务器140A和140B可以包含安全漏洞检测模块(如安全漏洞检测模块300)。服务器140A和140B可以通信地耦接到SAN(存储区域网络)光纤网170。SAN光纤网170可以经由网络150支持通过服务器140A和140B以及通过客户端系统110、120和130来访问存储设备180(1)-(N)。参考图2的计算机系统200，可使用调制解调器247、网络接口248或一些其他方法来提供从客户端系统110、120和130中的一者或多者到网络150的连接。客户端系统11本文档来自技高网...

【技术保护点】
一种检测安全漏洞的方法，所述方法包括：指定声誉给应用程序；分发所述声誉给客户端；从所述客户端接收与执行所述应用程序的所述客户端有关的监测到的系统行为；根据所述监测到的系统行为确定是否更改所述应用程序的所述声誉；分发更改的声誉给所述客户端；从所述客户端接收进一步监测到的系统行为；以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程序的规则。

【技术特征摘要】
【国外来华专利技术】2013.06.28 US 13/9314261.一种检测安全漏洞的方法，所述方法包括：在后台系统处确定应用程序的初始声誉，其中，所述应用程序是先前在多个客户端上卸载的新的应用程序并且所述初始声誉是基于对以下的分析：所述应用程序的作者和在所述应用程序的安装期间所述多个客户端的行为；从所述后台系统经由网络将所述初始声誉分发给所述多个客户端；在所述后台系统处从所述多个客户端中的一个客户端接收与执行所述应用程序的所述多个客户端中的所述一个客户端有关的监测到的系统行为，其中，所述多个客户端中的所述一个客户端基于针对所述应用程序的安全强制执行来执行所述应用程序，针对所述应用程序的安全强制执行是根据所述应用程序的所述初始声誉和所述应用程序的行为确定的；在所述后台系统处基于所述监测到的系统行为确定是否更改所述应用程序的所述初始声誉；分发所更改的声誉给所述多个客户端；从所述多个客户端中的所述一个客户端接收进一步监测到的系统行为；以及基于从所述多个客户端中的所述一个客户端接收的所述进一步监测到的系统行为确定要执行的动作。2.根据权利要求1所述的方法，其中，确定所述应用程序的所述初始声誉包括指定所述初始声誉，并且其中，所述初始声誉指示所述应用程序是否是可信、中性、可疑、和恶意程序中的一种。3.根据权利要求1所述的方法，其中，所述分析包括确定所述应用程序是否是来自已知实体，并且其中在所述应用程序的安装期间所述多个客户端的所述行为是使用探试法来分析的。4.根据权利要求3所述的方法，其中，确定所述应用程序的所述初始声誉包括指定所述初始声誉，所述初始声誉是基于所述已知实体来指定的。5.根据权利要求1所述的方法，其中，所述应用程序是基于由所述多个客户端接收到的声誉而在所述多个客户端上执行的。6.根据权利要求1所述的方法，其中，在所述监测到的系统行为指示所述应用程序正表现出可疑行为时所述应用程序的所述初始声誉被更改。7.根据权利要求5所述的方法，其中，所述应用程序的所述初始声誉是基于从执行所述应用程序的所述多个客户端接收的监测到的系统行为而更改的。8.根据权利要求1所述的方法，其中，所述监测到的系统行为包括与客户端系统的行为以及在所述多个客户端中的所述一个客户端上执行的所述应用程序有关的详细信息。9.根据权利要求1所述的方法，其中，所述要执行的动作包括针对所述应用程序生成规则，并且其中，针对所述应用程序的所述规则指示所述应用程序将是以下一种：隔离的、防止访问特定客户端资源的、在虚拟客户端上执行的、以及允许完全访问客户端资源的。10.根据权利要求9所述的方法，还包括：将针对所述应用程序生成的所述规则传送到所述客户端。11.至少一种存储计算机程序指令的非瞬时性处理器可读存储介质，所述非瞬时性处理器可读存储介质被配置为能够由至少一个处理器读取以指示所述至少一个处理器执行用于执行根据权利要求1所述的方法的计算机进程。12.一种检测安全漏洞...

【专利技术属性】
技术研发人员：S·里韦拉，P·艾希莉，
申请(专利权)人：赛门铁克公司，
类型：发明
国别省市：美国;US