一种用于影响恶意软件的进化过程的方法、产品与计算器程序产品,所述方法包含步骤有:(a)接收一恶意软件标本;(b)产生所述恶意软件标本的变种;(c)评估所述变种并给予每个变种一体质分数;(d)选择具有至少一默认的体质分数的所述变种;以及(e)使用所述选择的变种当作步骤(a)中的恶意软件标本,以产生新一代变种。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术是关于网络安全(Cyber security),更确切地,是关于一种提供一预测的安全产品的方法与产品,以及评分现有安全系统的方法与产品。
技术介绍
网络安全供货商与黑客之间持续着猫抓老鼠的竞赛:当供货商发出静与动态签署以及侦测类型来辨识恶意软件时,所有黑客需要做的只有在已被鉴别与认证恶意软件中执行微小的改变,因此有系统地回避了这些侦测方法。这是广泛且一般的现象:99%以上的新恶意软件,至少部分,实际上是伴随着微小改变的再生恶意软件。为了提供了能保护个人与公司网络免于不同恶意软件与意外入侵危害的恶意软件侦测套件,现今已有不同的尝试。全部所知的恶意软件侦测器是使用互动方式与相关技术来防范已知的计算器病毒、攻击方法、恶意软件行为、恶意软件类型、漏洞、可利用的部分等等。尚未有能以预测以及主动的方式来防范未知恶意软件的技术的供货商、产品或包装。另外,更困难的是以客观的方式与经验决定出较好的安全产品。能用于预测未知恶意软件以及防范这种恶意软件的方法、计算器程序与系统是很有用处的。能评估并衡量安全产品能力的方法也对进行抗衡有很大好处。定义术语「恶意软件」指的是来自以编码、可执行内容、脚本、主动内容、以及其他软件形式以及输入/输出潜在串流,像是能造成攻击的网络封包串流,为形式的恶意软件。恶意软件包含病毒、exploits病毒、木马程序、臭虫,rootkits病毒、间谍软件等等,但不限于这止匕~、O术语「恶意软件标本」指的是用于进化过程的恶意软件片段,如下详述,所述恶意软件片段一般是被所提供系统或第三方系统、方法或处理所不定时取得或纪录。一些标本是在被感染的/污染的计算器上找到,或是被存于特殊数据库。在进化过程中,恶意软件标本是被用在所提供处理的后续阶段中(以下有更清楚说明)。术语「变种」是借自生物的辞库,是关于进化且指的是恶意软件标本的版本或「突变」,所述恶意软件标本的版本或「突变」能被以随机、部分随机、假随机的刻意方法来变换或变异。变种可通过在恶意软件编码上执行「突变」、合并两个或更多组编码、或是熟习技艺者所知的遗传程序的任何其他形式所产生。术语「突变」,在此使用也是借自生物的辞库且指的是对恶意软件标本的编码所做的改变。举例来说,突变会包含增加或移除程序码行、重组程序码行、复制程序码行、改变参数、替换给第三方编码的呼叫、改变端口、改变所使用的程序库等。术语「恶意变种」在此使用于意指仍有恶意的恶意软件标本的一改变版本。失去恶意特性的变种在此被指为「无恶意变种」。术语「回避变种」在此使用于意指恶意软件标本的一改变版本,且所述恶意软件标本的改变版本仍有与标本的回避等级可相比的回避等级(例如,像是原本恶意软件标本,被相同或更少数目的恶意软件侦测系统所侦测)。已失去回避特性的变种(例如,相比于原本标本较不会回避)在此被指为「无回避变种」。—般来说,除非特定,否则,术语「恶意特性」指的是恶意编码(例如,用于执行的指令组)、恶意行为(例如,当分开执行时不一定是恶意,但在特定方式一起执行时会有恶意意图的动作/指令)或两者的结合。侦测器是用于侦测的计算器程序产品,并在一些状况中抵抗在目标系统或网络上的恶意软件。侦测器也会采用被使用一或多个侦测方法的第三方产品所使用,并为熟习技艺者所知的定义形式,以侦测可疑恶意软件。术语「脚印」、「踪迹」或「攻击踪迹」等是关于档案或其他恶意的编码(举例来说,像是连续的网络封包)所遗留的所有类型的脚印/证据,包含:网络流量、二元编码、操作系统与API呼叫、CPU活动、内存脚印(memory footprint),上述的任何内容与结合。所述术语脚印/踪迹可附带不同的修饰语。术语「遗传运算符」指的是使恶意软件变种变异与合并/交叉的运算符。
技术实现思路
本专利技术提供用以基于进化原则并防止这样的恶意组件与其他相似组件的产品、方法与系统。依据本专利技术提供了一系统,包含(a) —恶意软件进化引擎,用于产生恶意标本的恶意软件变种;以及(b) —评估器,被配置用于基于一恶毒等级和一回避等级的其中至少一者,来评估所述恶意软件变种。以及在一些实施例中的(C) 一恶意软件提取器,用于在从知识库、生产系统,与第三方产品所组成的集合中所选出的至少一来源,收集恶意软件标本给所述进化引擎;以及/或是(C) 一侦测器建立器,用于基于所述进化引擎所产生与所述评估器所评估的所述恶意软件变种来产生一侦测器机制。依据以下描述的本专利技术的另外特征,或在一方法中,所述进化引擎是被设制成用于通过执行从施加突变至所述恶意软件标本的可执行编码、施加突变至恶意软件发送的网络流量、施加突变至来源编码、施加突变至汇编语言编码,以及交叉合并所述恶意软件变种所组成的所述集合中选出的至少一动作,来产生所述恶意软件变种。又依据其他特征,或在一方法中,所述突变是从由以下构成的一集合所选出:(i)随机突变;(ii)将一给定指令序列替换为另一功能相同的指令序列一选出的程序库呼叫被替换为一功能相同的不同程序库呼叫;(iv) —选出的被使用的程序库被替换为一功能相同的不同程序库;(V)增加被辨识为具有恶意功能的区域中的所述突变的各别概率;(vi)增加被辨识为不倾向阻止所述可执行的编码的适当执行的区域中的所述突变的各别概率;(vii)增加安全产品所签署的区域中的所述突变的概率;(viii)增加所述突变导致所述体质分数增加的区域中的所述突变的概率;(ix)针对已加入二元编码的一区段重写所述可执行的编码的标头,造成所述区段的扩张;(X)将所述可执行的编码与其他所述可执行的编码结合,以产出所合并的编码,以及重写相关标头,以允许所述结合编码的适当执行;(xi)修改所述可执行的编码的特定区段,以改变对相关作业有系统地的静态调用的的动态功能呼叫。又依据其他特征或一平行方法,一攻击机器是被设制成用于寄送所述恶意软件发送的网络流量至所述进化引擎,所述进化引擎另被设置于施加所述突变至所述恶意软件发送的网络流量并寄送所述变异的恶意软件发送的网络流量至受害机器,其中所述变异的恶意软件发送的网络流量在所述受害机器上造成的结果是由所述评估器评估,以判断所述恶毒等级。又依据其他特征,被施加至所述恶意软件发送的网络流量的所述突变包含修正CRC/校验和值字段,或是在不同协议中的一网络封包的任何其他字段,以在所述封包的载荷中或标头的各种突变之后,使所述CRC/校验和值或是其他字段。又依据其他特征,在一安全频道中,通过包住含有所述恶意软件发送的网络流量的网络通讯,或使用加密与编码,导致所述恶意软件发送的网络流量被混淆。依据另一实施例,提供了一种用以影响恶意软件上的进化过程的方法,所述方法包含以下步骤:(a)接收一恶意软件标本;(b)产生所述恶意软件标本的变种;(C)评估所述变种并给予每一所述变种一各别体质分数;(d)选择具有至少一默认的各别体质分数的所述变种;以及(e)使用所选择的所述变种做为步骤(a)中的所述恶意软件标本,从步骤(a)产生所述变种的新一代。在一些实施例中,所述方法另包含以下步骤:(f)收集所述变种的踪迹数据与良性的档案或网络流;以及(g)将所述踪迹数据分类为以下范畴其中的至少一者:恶意的变种的踪迹、良性档案的踪迹,以及在所述进化过程期间失去恶意活动的退化的恶意软件变种的本文档来自技高网...
【技术保护点】
一种系统,其特征在于,包含:(a)一恶意软件进化引擎,用于产生恶意标本的恶意软件变种;以及(b)一评估器,被配置用于基于一恶毒等级和一回避等级的其中至少一者,来评估所述恶意软件变种。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:施洛米·波拿鲁,利兰·坦客曼,麦可·马克宗,
申请(专利权)人:配拨股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。