一种允许检测试图隐藏网络业务的隐藏恶意程序的技术。通过监视在安全可信环境中的和在操作系统环境中的网络业务,然后比较监视的数据,可以检测到隐藏网络业务的企图,允许执行在计算机系统的恢复行为从而定位和移除隐藏网络业务的恶意程序的可能性。
【技术实现步骤摘要】
【国外来华专利技术】
在此描述的实施例大体涉及恶意程序(malware)检测,并且具体地涉及检测试图从反恶意软件中隐藏网络业务的恶意程序。
技术介绍
根套件(Rootkit)是一种秘密类型的设计用于在通常的检测方法中隐藏某些进程或者程序的存在的恶意软件(恶意程序)。Rootkit典型地能够实现对折衷系统的持续有特权的访问。当攻击者获得根(root)或者管理员访问时,Rootkit安装可以是自动的或者激活的。获得这一访问是利用已知的弱点对系统的直接攻击的结果,或者通过获得对密码(通过破解、权限升级或者社会工程)的访问。一旦被安装,Rootkit典型地尝试隐藏入侵并且保持其自己(或者其他进程)的有特权的访问。Rootkit检测很困难,因为Rootkit能够破坏试图找到它的软件。检测方法包括使用替代的、可信的操作系统、基于行为的方法、签名扫描、差别扫描以及存储器转储分析。移除可以是非常复杂的或者在实践上不可能的,尤其是在Rootkit驻留在内核中的情况下。重新安装操作系统可能是唯一针对这一问题的有用的方法。当处理固件Rootkit时,移除可能需要硬件替换或者专门装置。现代Rootkit不必提升访问,但是通常被用于通过增加隐藏能力来产生其他的不能够检测的软件有效负荷。由于它们携带的有效负荷是恶意的,所以大部分Rootkit被分类为恶意程序。例如,有效负荷可能会悄悄偷走用户密码、信用卡信息、计算资源,或者执行其他未授权的行为。极少数量的Rootkit被其用户认为有用的应用程序:例如,Rootkit可能掩盖CD-ROM-仿真驱动器,允许视频游戏用户来战胜需要将原始安装介质插入物理光驱动器中从而验证软件是正当购买的反盗版措施。Rootkit可以在计算机环境的不同的特权级别或者模式中运行。用户模式Rootkit在与多数其他的用户应用程序相同的模式下运行,而不是低层系统进程。它们具有很多可能的安装向量从而拦截和修改应用编程接口(API)的标准行为。一些将动态链接库(例如.DLL文件、.dylib文件、.so文件或者.shlib文件)注入其他进程,并且因此能够在其中执行任何目标进程从而欺骗它。其他具有充足特权的仅仅覆盖目标应用的存储器。内核模式Rootkit (零环)和/或驻留在虚拟层(有时被称为环_1)上的Rootkit通过增加代码或者替换核心操作系统部分以最高的操作系统特权来运行,核心操作系统包括内核和相关的装置驱动器。多数操作系统支持内核模式装置驱动器,其以与操作系统自身相同的特权来执行。如此,很多内核模式Rootkit被发展为装置驱动器或者可加载模块,例如可加载内核模块或者装置驱动器。这一类Rootkit具有不受限制的安全访问。内核Rootkit可能非常难被检测和移除,由于它们以与操作系统自身相同的安全等级来运行,并且因此能够拦截或者破坏多数可信的操作系统操作并且因此以类似秘密的方式将它们自己“隐藏”。隐藏它们在系统中的存在的Rootkit和其他恶意程序很难被在受感染的操作环境的范围内检测和清除。【附图说明】图1是示出了根据一个实施例的具有隐藏的网络业务的计算机网络的框图。图2是示出了根据一个实施例的在以安全环境和不安全环境监视的网络业务之间的差别的图表。图3是示出了根据一个实施例的用于检测Rootkit的计算机系统的框图。图4是示出了根据一个实施例的用于检测恶意程序的技术的流程图。图5是示出了根据另一个实施例的用于检测恶意程序的技术的流程图。图6是示出了根据再一个实施例的用于检测恶意程序的技术的流程图。【具体实施方式】在下面的描述中,出于解释的目的,阐述了很多特定的细节以用于提供对本专利技术的透彻的理解。但是,很明显,对于本领域技术人员来说没有这些特定的细节也可能实现本专利技术。在其他例子中,以框图的形式示出了结构和装置从而避免混淆本专利技术。对没有下标或者后缀的数字的参考被理解为参考了所有对应于该参考数字的下标和后缀的例子。此外,在本公开中使用的语言已经被选择主要为了易读性和指导目的,并且可能没有被选择来描绘或者限制专利技术主题,而采取必要的权利要求来确定这样的专利技术主题。在说明书中对“一个实施例”或者“实施例”的参考意味着结合该实施例描述的特定的特征、结构,或者特性包括在本专利技术的至少一个实施例中,并且多次对“一个实施例”或者“实施例”的参考不应当被理解为必须全部参考相同的实施例。在此描述的实施例是例子并且是为了示意性的目的。本领域技术人员可以识别到能够使用用于实现公开的主题的替代技术。示例性实施例的元件可能被设置在不同的配置中或者与不同示例性实施例的元件组合。例如,框和流程的执行的顺序可以改变。这些流程图的一些框可以被改变、省略或者组合并且如期望地可以增加其他框。如在此使用的,术语“计算机系统”可以指代单个计算机或者多个在一起工作的计算机来执行在此描述为在计算机系统上或者被其执行的功能。逐渐地,对商业、政府机构以及其他的网络攻击都是隐藏和持续的。结果,检测隐藏通信的能力变得对能够处理对知识产权和个人信息的偷窃越来越重要。用于掩盖一个人的轨迹的主要的因素包括从操作系统中的软件驻留隐藏。通常避免检测的方法是使用能够从例如反病毒软件和基于主机的入侵检测中隐藏行为的恶意程序。当前的威胁更关注于隐藏在操作系统中(Rootkit和Bootkit)而遮挡网络传输是自然的下一步,因此检测恶意程序通信正变得越来越有意义和重要。Bootkit (在操作系统在boot进程阶段初始化之前激活的Rootkit)可以控制操作系统与网络硬件的交互。它们也可以使用网络堆栈,典型的是互联网协议(IP)堆栈。这可能在不能够看到恶意的网络业务的操作系统下(包括入侵检测或者其他安全软件)呈现操作系统和软件操作。Rootkit代码还能够从固件激活,该固件会使得其很难检测并且极其难被移除。市场上有多种使用不同方法的Rootkit检测程序。比较可信的和潜在感染的信息的方法也是公知的并且被使用在很多反Rootkit工具中,例如通过Russinovich的RootkitRevealer的基于差别的检测,其能够检测Sony DRM Rootkit。其他的例子是F-Secure的Blacklight和McAfee的RootkitDetective,所有这些都将差别观察用作主要的检测方法之一。但是,现有的反Rootkit方法没有考虑网络业务,并且隐藏网络业务的Rootkit或者Bootkit使用完全基于软件的基于差别的检测来检测如果不是不可能的话则将会是非常困难的。识别检测隐藏的网络业务的值以及检测这一业务的问题产生了下面描述的方案。下面是在隐藏、持续威胁的情境中示出了这一专利技术的重要性的一些例子。考虑到通过无论什么方法加载的恶意程序(例如,在网站中获得的)。该恶意程序设计来收集信息和将收集的信息周期性地泄露给外部实体。由于入侵监测系统,其可能是基于主机或者基于网络的,能够将该行为标记为可疑的,恶意程序设计者试图阻止入侵检测代理来检测该泄露。为了避免基于网络的日志记录和入侵检测系统,恶意程序可被设计来仅当没有代理被使用或者当连接到已知的私人IP地址(例如192.168.X.X)时才发送消息。即使外部实体是当前不知道的并且没有被入侵检测系统设置黑名单为恶意的,夕卜部实体可能此后本文档来自技高网...
【技术保护点】
一种其上存储了指令的非暂时性计算机可读介质,所述指令包括当被执行时使得计算机系统进行以下操作的指令:监视通过所述计算机系统的操作系统控制的环境中的所述计算机系统的网络业务,产生第一监视数据;监视不通过所述操作系统控制的安全环境中的所述计算机系统的网络业务,产生第二监视数据;比较所述第一监视数据和所述第二监视数据;以及指示所述第一监视数据与所述第二监视数据是否相同。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:O·本沙罗姆,A·奈什塔特,I·穆蒂克,
申请(专利权)人:迈可菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。