【技术实现步骤摘要】
技术介绍
恶意文件、诸如恶意软件(“恶意程序(malware)”)可以指用于破坏计算机操作、收集敏感信息、取得对私有计算机系统的访问等的任意软件。恶意文件可以包括多种类型的敌对或侵入软件,包括计算机病毒、蠕虫(worm)、特洛伊木马、勒索软件(ransomware)、间谍软件、广告软件、恐吓软件、或者其他恶意软件。用户网络上的客户端设备可能在客户端设备的操作期间下载是恶意文件的文件。与安全设备相关联的恶意文件检测工具可以在该文件被下载到客户端设备时基于对该文件执行分析来确定该文件是恶意的。该文件可能在恶意文件检测工具完成对该文件的分析之前就在该客户端设备上被执行并且感染该客户端设备。该文件还可能感染用户网络上的其他客户端设备。
技术实现思路
根据一些可能的实施方式,一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作,来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息,该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动,来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。根据一些可能的实施方式,一种方法可以包括由设备监测与客
户端设备集合相关联的网络活动。与客户端设备集合相关联的网络活动可以包括与网络地址集合相关联的第一网络活动和与客户端设备集 ...
【技术保护点】
一种方法,包括:由设备监测与客户端设备集合相关联的网络活动,与所述客户端设备集合相关联的所述网络活动包括与网络地址集合相关联的第一网络活动和与所述客户端设备集合的端口集合相关联的第二网络活动;由所述设备将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配,所述网络活动简档是在沙盒环境中测试与所述网络活动简档相关联的恶意文件时观察到的特定网络活动;以及由所述设备基于将与所述客户端设备集合相关联的所述网络活动和所述网络活动简档进行匹配,来提供所述恶意文件正在所述客户端设备集合中的客户端设备上进行操作的通知。
【技术特征摘要】
2015.03.31 US 14/675,4221.一种方法,包括:由设备监测与客户端设备集合相关联的网络活动,与所述客户端设备集合相关联的所述网络活动包括与网络地址集合相关联的第一网络活动和与所述客户端设备集合的端口集合相关联的第二网络活动;由所述设备将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配,所述网络活动简档是在沙盒环境中测试与所述网络活动简档相关联的恶意文件时观察到的特定网络活动;以及由所述设备基于将与所述客户端设备集合相关联的所述网络活动和所述网络活动简档进行匹配,来提供所述恶意文件正在所述客户端设备集合中的客户端设备上进行操作的通知。2.根据权利要求1所述的方法,进一步包括:接收所述恶意文件;在所述沙盒环境中执行所述恶意文件;在所述沙盒环境中执行所述恶意文件的同时,监测与所述恶意文件相关联的所述网络活动;基于监测与所述恶意文件相关联的所述网络活动来生成所述网络活动简档;以及存储与所述网络活动简档相关联的信息。3.根据权利要求1所述的方法,其中匹配与所述客户端设备集合相关联的所述网络活动进一步包括:确定针对所述网络活动简档集合中的每个网络活动简档的得分,所述得分表示所述网络活动简档和与所述客户端设备集合相关联的所述网络活动之间的相似性的度量;以及基于针对所述网络活动简档的所述得分来确定与所述客户端设
\t备集合相关联的所述网络活动与所述网络活动简档相匹配。4.根据权利要求1所述的方法,其中监测与所述客户端设备集合相关联的所述网络活动进一步包括:对所述客户端设备集合的特定客户端设备执行端口扫描;并且其中将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配进一步包括:将对所述特定客户端设备的所述端口扫描的结果与在所述测试环境中测试所述恶意文件时执行的另一个端口扫描进行匹配。5.根据权利要求1所述的方法,进一步包括:基于确定与所述客户端设备集合相关联的所述网络活动匹配所述网络活动简档,促使补救动作在所述客户端设备上被执行,所述补救动作与补救所述恶意文件相关联。6.根据权利要求1所述的方法,进一步包括:获得白名单,所述白名单与指定如下的网络活动相关联,所述网络活动与在所述恶意文件未在所述客户端设备上进行操作时所述客户端设备的操作相关联;以及其中监测与所述客户端设备集合相关联的所述网络活动进一步包括:从与所述客户端设备集合相关联的网络活动中过滤掉与所述白名单相关联的网络活动。7.一种用于提供信息的系统,所述信息指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档,所述系统包括:用于确定与所述恶意文件相关联的所述网络活动简档的装置,所述网络活动简档包括与当所述恶意文件在测试环境中...
【专利技术属性】
技术研发人员:J·A·兰顿,D·J·奎因兰,K·亚当斯,D·康隆,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。