经由沙盒检测恶意文件感染制造技术

本发明专利技术涉及一种经由沙盒检测恶意文件感染。一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作、来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。

【技术实现步骤摘要】

技术介绍
恶意文件、诸如恶意软件(“恶意程序(malware)”)可以指用于破坏计算机操作、收集敏感信息、取得对私有计算机系统的访问等的任意软件。恶意文件可以包括多种类型的敌对或侵入软件，包括计算机病毒、蠕虫(worm)、特洛伊木马、勒索软件(ransomware)、间谍软件、广告软件、恐吓软件、或者其他恶意软件。用户网络上的客户端设备可能在客户端设备的操作期间下载是恶意文件的文件。与安全设备相关联的恶意文件检测工具可以在该文件被下载到客户端设备时基于对该文件执行分析来确定该文件是恶意的。该文件可能在恶意文件检测工具完成对该文件的分析之前就在该客户端设备上被执行并且感染该客户端设备。该文件还可能感染用户网络上的其他客户端设备。
技术实现思路
根据一些可能的实施方式，一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作，来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。根据一些可能的实施方式，一种方法可以包括由设备监测与客
户端设备集合相关联的网络活动。与客户端设备集合相关联的网络活动可以包括与网络地址集合相关联的第一网络活动和与客户端设备集合的端口集合相关联的第二网络活动。该方法可以包括由该设备将与客户端设备集合相关联的网络活动和网络活动简档集合中的网络活动简档进行匹配。网络活动简档可以是当在沙盒环境中测试与网络活动简档相关联的恶意文件时观察到的特定网络活动。该方法可以包括由该设备基于将与客户端设备集合相关联的网络活动和网络活动简档进行匹配，来提供恶意文件正在客户端设备集合中的客户端设备上进行操作的通知。在一些可能的实施方式中，该方法进一步包括接收恶意文件，在沙盒环境中执行恶意文件，在沙盒环境中执行恶意文件的同时监测与恶意文件相关联的网络活动，基于监测与恶意文件相关联的网络活动来生成网络活动简档，以及存储与网络活动简档相关联的信息。在一些可能的实施方式中，匹配与客户端设备集合相关联的网络活动可以进一步包括确定针对网络活动简档集合中的每个网络活动简档的得分。该得分可以表示网络活动简档和与客户端设备集合相关联的网络活动之间的相似性的度量。该方法可以包括基于针对网络活动简档的得分来确定与客户端设备集合相关联的网络活动与网络活动简档相匹配。在一些可能的实施方式中，监测与客户端设备集合相关联的网络活动可以进一步包括对客户端设备集合的特定客户端设备执行端口扫描。将与客户端设备集合相关联的网络活动和网络活动简档集合中的网络活动简档进行匹配可以进一步包括将对特定客户端设备的端口扫描的结果与在测试环境中测试恶意文件时执行的另一个端口扫描进行匹配。在一些可能的实施方式中，该方法可以进一步包括基于确定与客户端设备集合相关联的网络活动匹配网络活动简档，促使补救动作在客户端设备上被执行。该补救动作与补救恶意文件相关联。在一些可能的实施方式中，该方法可以进一步包括获得白名单。该白名单可以与指定如下的网络活动相关联，网络活动与在恶意文件未在客户端设备上进行操作时客户端设备的操作相关联。监测与客户端设备集合相关联的网络活动可以进一步包括从与客户端设备集合相关联的网络活动中过滤掉与白名单相关联的网络活动。根据一些可能的实施方式，一种计算机可读介质可以包括一个或多个指令，一个或多个指令促使一个或多个处理器确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。一个或多个指令可以促使一个或多个处理器监测与客户端设备相关联的网络活动。一个或多个指令可以促使一个或多个处理器基于监测与客户端设备相关联的网络活动，确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。一个或多个指令可以促使一个或多个处理器提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。在一些可能的实施方式中，一个或多个指令可以进一步促使一个或多个处理器建立测试环境，促使恶意文件在测试环境中被执行，并且基于在促使恶意文件在测试环境中被执行时观察到的网络活动来标识与恶意文件相关联的网络活动。促使一个或多个处理器确定网络简档的一个或多个指令可以进一步促使一个或多个处理器基于标识与恶意文件相关联的网络活动来确定网络活动简档。在一些可能的实施方式中，促使一个或多个处理器促使恶意文件在测试环境中被执行的一个或多个指令可以进一步促使一个或多个处理器在恶意文件在测试环境中执行时引发与恶意文件相关联的网络活动反应。促使一个或多个处理器监测与客户端设备相关联的网络活动的一个或多个指令可以进一步促使一个或多个处理器在监测与客户端设备相关联的网络活动时在客户端设备上引发与恶意文件相关联的网络活动反应，并且基于在客户端设备上引发与恶意文件相关联的网络活动反应来确定与客户端设备相关联的网络活动匹
配与恶意文件相关联的网络活动简档。在一些可能的实施方式中，测试环境可以是沙盒环境。在一些可能的实施方式中，一个或多个指令可以进一步促使一个或多个处理器分析恶意文件以确定被标识在恶意文件中的一个或多个网络地址。促使一个或多个处理器确定网络活动简档的一个或多个指令可以进一步促使一个或多个处理器基于被标识在恶意文件中的一个或多个网络地址来确定网络活动简档。在一些可能的实施方式中，一个或多个指令可以进一步促使一个或多个处理器确定恶意文件被存储在与客户端设备相关联的数据结构中。一个或多个指令可以进一步促使一个或多个处理器基于确定恶意文件被存储在与客户端设备相关联的数据结构中并且基于确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档、来确定恶意文件正在客户端设备上执行或者已经在客户端设备上执行。一个或多个指令可以进一步促使一个或多个处理器提供指示恶意文件正在客户端设备上进行执行或者已经在客户端设备上进行执行的信息。在一些可能的实施方式中，上述客户端设备是第一客户端设备，并且一个或多个指令可以进一步促使一个或多个处理器确定被下载到第二客户端设备的文件是恶意文件。第一客户端设备和第二客户端设备可以位于用户网络上。一个或多个指令可以进一步促使一个或多个处理器基于确定被下载到第二客户端设备的文件是恶意文件、来确定恶意文件是否正在第一客户端设备上进行操作。根据一些可能的实施方式，一种设备包括一个或多个处理器，用于接收触发以确定恶意文件是否正在客户端设备上进行操作。一个或多个处理器可以用于基于接收该触发以确定恶意文件是否正在客户端设备上进行操作，来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。一个或多个处理器可以用于基于监
测本文档来自技高网...

【技术保护点】
一种方法，包括：由设备监测与客户端设备集合相关联的网络活动，与所述客户端设备集合相关联的所述网络活动包括与网络地址集合相关联的第一网络活动和与所述客户端设备集合的端口集合相关联的第二网络活动；由所述设备将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配，所述网络活动简档是在沙盒环境中测试与所述网络活动简档相关联的恶意文件时观察到的特定网络活动；以及由所述设备基于将与所述客户端设备集合相关联的所述网络活动和所述网络活动简档进行匹配，来提供所述恶意文件正在所述客户端设备集合中的客户端设备上进行操作的通知。

【技术特征摘要】
2015.03.31 US 14/675,4221.一种方法，包括：由设备监测与客户端设备集合相关联的网络活动，与所述客户端设备集合相关联的所述网络活动包括与网络地址集合相关联的第一网络活动和与所述客户端设备集合的端口集合相关联的第二网络活动；由所述设备将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配，所述网络活动简档是在沙盒环境中测试与所述网络活动简档相关联的恶意文件时观察到的特定网络活动；以及由所述设备基于将与所述客户端设备集合相关联的所述网络活动和所述网络活动简档进行匹配，来提供所述恶意文件正在所述客户端设备集合中的客户端设备上进行操作的通知。2.根据权利要求1所述的方法，进一步包括：接收所述恶意文件；在所述沙盒环境中执行所述恶意文件；在所述沙盒环境中执行所述恶意文件的同时，监测与所述恶意文件相关联的所述网络活动；基于监测与所述恶意文件相关联的所述网络活动来生成所述网络活动简档；以及存储与所述网络活动简档相关联的信息。3.根据权利要求1所述的方法，其中匹配与所述客户端设备集合相关联的所述网络活动进一步包括：确定针对所述网络活动简档集合中的每个网络活动简档的得分，所述得分表示所述网络活动简档和与所述客户端设备集合相关联的所述网络活动之间的相似性的度量；以及基于针对所述网络活动简档的所述得分来确定与所述客户端设
\t备集合相关联的所述网络活动与所述网络活动简档相匹配。4.根据权利要求1所述的方法，其中监测与所述客户端设备集合相关联的所述网络活动进一步包括：对所述客户端设备集合的特定客户端设备执行端口扫描；并且其中将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配进一步包括：将对所述特定客户端设备的所述端口扫描的结果与在所述测试环境中测试所述恶意文件时执行的另一个端口扫描进行匹配。5.根据权利要求1所述的方法，进一步包括：基于确定与所述客户端设备集合相关联的所述网络活动匹配所述网络活动简档，促使补救动作在所述客户端设备上被执行，所述补救动作与补救所述恶意文件相关联。6.根据权利要求1所述的方法，进一步包括：获得白名单，所述白名单与指定如下的网络活动相关联，所述网络活动与在所述恶意文件未在所述客户端设备上进行操作时所述客户端设备的操作相关联；以及其中监测与所述客户端设备集合相关联的所述网络活动进一步包括：从与所述客户端设备集合相关联的网络活动中过滤掉与所述白名单相关联的网络活动。7.一种用于提供信息的系统，所述信息指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档，所述系统包括：用于确定与所述恶意文件相关联的所述网络活动简档的装置，所述网络活动简档包括与当所述恶意文件在测试环境中...

【专利技术属性】
技术研发人员：J·A·兰顿，D·J·奎因兰，K·亚当斯，D·康隆，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US