非侵入式白名单制定制造技术

在示例中，公开了一种用于对可执行对象进行增强型非侵入式白名单制定的安全架构。当可执行对象设法执行动作时，安全引擎无缝地拦截所述动作并且判定是否将所述动作列入白名单、黑名单或灰名单，为所述动作指定相应的安全分数。列入白名单的动作可以被允许，列入黑名单的动作可以被禁止，并且列入灰名单的动作可能需要来自用户的附加验证。因为将所述分数指定给所述可执行对象和所述动作的组合，可以避免误肯定，如，在可执行对象被预取但还未设法执行任何有用工作时可能发生的那些误肯定。

Non intrusive white list

In the example, a security architecture for enhanced non intrusive white list formulation for an executable object is disclosed. When the executable objects try to perform the action, the security engine seamlessly to intercept the action and determine whether the action will be included in the white list, black list or grey list for the specified fraction of the corresponding safety action. The actions listed in the white list can be allowed, blacklisted actions can be banned, and the inclusion of the list of actions may require additional validation from the user. Because of the combination of scores assigned to the executable object and the action, can avoid false positive, such as in the executable object prefetching may occur but not yet managed to perform any useful work when the false positive.

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求2014年9月24日提交的题为“Non-InvasiveWhitelisting(非侵入式白名单制定)”的美国技术申请号14/495,692的优先权，所述申请通过引用结合在此。
本申请涉及计算机安全领域，并且更具体地涉及对可执行对象所进行的动作的非侵入式白名单制定。
技术介绍
计算机安全是一个重要的问题，并且其重要性随着计算设备之间互连性的提高而提高。在传统安全架构的一个示例中，反病毒或反恶意软件代理周期性扫描计算机硬盘驱动器以判定机器上是否安装有与一个或多个恶意对象的配置文件相匹配的可执行对象。用户还可以在更新变得可用时手动地为可执行对象安装这些更新，或者安全管理员可以在这些更新变得可用时“推(push)”出更新。在这种示例架构中，可执行对象可以由“白名单”或“黑名单”来控制。“白名单”上的可执行对象被允许不受禁止地运行，而“黑名单”上的可执行对象则完全被阻止。附图说明当与附图一起阅读时，将从以下详细描述中更好地理解本公开。强调的是，根据行业中的标准实践，不同特征未按比例绘制，并且仅用于说明性目的。实际上，为了讨论清楚，不同特征的尺寸可以被任意放大或减小。图1是根据本说明书的一个或多个示例的安全网络的网络图。图2是根据本说明书的一个或多个示例的计算设备的框图。图3是根据本说明书的一个或多个示例的服务器计算机的框图。图4和图4A是根据本说明书的一个或多个示例的方法的流程图。图5是根据本说明书的一个或多个示例的安全引擎的功能框图。图6是根据本说明书的一个或多个示例的自我审批的功能框图。具体实施方式概述在示例中，公开了一种用于对可执行对象的增强型非侵入式白名单制定的安全架构。当可执行对象设法执行动作时，安全引擎无缝地拦截所述动作并且判定是否将所述动作列入白名单、黑名单或灰名单，为所述动作指定相应的安全分数。列入白名单的动作可以被允许，列入黑名单的动作可以被禁止，并且列入灰名单的动作可能需要来自用户的附加验证。因为将所述分数指定给所述可执行对象和所述动作的组合，可以避免误肯定，如，在可执行对象被预取但还未设法执行任何有用工作时可能发生的那些误肯定。本公开的示例实施例以下公开内容提供了用于实施本公开的不同特征的许多不同实施例或示例。以下描述了部件和安排的具体示例以便简化本公开。当然，这些仅是示例并且并不旨在是限制性的。进一步地，本公开在不同示例中可以重复参考标号和/或字母。这种重复是出于简明性和清楚性的目的，并且本身并不决定所讨论的不同实施例和/或配置之间的关系。不同实施例可以具有不同优点，并且不必需要任何实施例的特定优点。安全架构中的永久性问题是对安全性与便利性的平衡。在多数情况下，提高安全性以及增加便利性的目标是直接彼此相反的。换言之，一般而言，增加便利性则降低了安全性，而增加安全性则降低了便利性。因此，期望提供一种包括在一定程度上增加安全性和便利性二者的非显而易见的改进的安全架构。在一个示例中，白名单制定解决方案被用于可执行对象。如贯穿本说明书所使用的，通过非限制性示例的方式，术语“可执行对象”可以包括可执行文件、DLL、共享对象库、静态库、ActiveX部件、驱动器、脚本、安装程序包以及具有嵌入式活动内容的文档(如，宏指令)。白名单制定本身是一种据说可以以便利性为代价增加安全性的解决方案。在典型的白名单制定解决方案中，所允许的或可允许的可执行对象的列表由安全子系统(例如，在数据库中)维护。白名单上未出现的任何可执行对象被阻止执行。在白名单的最严谨的形式中，白名单仅可以由具有管理访问权限的用户(如，系统管理员)进行修改。因此，最终用户(如使用计算机的个人)不能启动系统管理员未放置在白名单上的任何可执行对象。在白名单制定的不太严谨的形式中，在手动管理的数据库中仍然维护白名单，但给予个人用户对数据库的写入访问权限，从而使得他可以随意修改白名单。在又另一个示例中，对白名单进行维护，并且当用户试图启动来自未出现在白名单上的可执行对象的进程时，可能需要附加验证(如，采用弹出对话或类似的形式)。例如，如果用户试图启动来自白名单上的外部对象的进程，可能出现弹出以通知用户他即将启动未被列入白名单的可执行对象，并且请求用户实际上打算进行的验证。为了增加对这种弹出的利用，软件可以为用户提供有关可执行对象的有用信息。然而，再次，存在折衷。将大量信息提供给用户给予用户基于此进行决策的附加信息，但是存在信息过载的风险。在那种情况下，用户看到大量的对他来说无意义的加密信息，并且他因此忽略了全部信息，仅凭猜测做出准许或阻止对象的决策。在本说明书的系统和方法中，公开了一种安全架构，所述安全架构应用计算机智能以提供增强的安全性，同时还在不必要时避免打扰用户，并且避免对用户的信息过载。在本说明书的一个示例中，描述了一种安全架构，其中可以将安全引擎整体地托管在最终用户的计算设备上、整体地托管在除运行在最终用户设备上的瘦客户端以外的服务器上、或者托管在一些二者的组合上。为了增加实用性，真正的白名单可以与黑名单和灰名单二者结合使用，并且可以给可执行对象二者以及由这些对象采取的单独动作指定信誉分数。在这一架构中，可以一直允许白名单上的对象。可以一直阻止黑名单上的对象，通知或不通知最终用户或者服务器和管理员。灰名单上的对象可以接收分级分数，从而基于多种因素做出有关是否启动对象以及是否从最终用户或者从服务器或系统管理员征求验证的决策。通过非限制性示例的方式，这些因素可以包括：可执行对象本身、其内容、威胁智能数据库、先前决策、来自最终用户或管理员的先前输入、嵌入在询问可执行对象本身或目录之内的证书、可执行对象的信誉、可执行对象的创建者的信誉、或者作为非限制性示例的其他类似因素。这些因素可以用于将分数(如信誉分数)指定给可执行对象，从而可以做出有关是否完全允许所述对象以及是否需要附加用户输入的明智决策。在实施例中，通过在下文中更加详细地描述的机器学习技术来增强白名单制定。由于计算设备学习了用户之前允许哪种类型的应用程序，当机器遇到新对象时，它可以检查所述对象的信誉分数。如果所述信誉分数与用户已经授权的多个其他对象的信誉一样良好或者更高，那么要求用户再次进行验证就没什么价值了。这一机器学习方面强调，即使在“列入白名单”的应用程序中，可能有灰色区域，只要有可能就应该采用自动方式来处理。在本说明书的示例方法中，当启动可执行对象时，安全引擎判定对象本身是否被列入白名单、黑名单或灰名单。如果所述对象被列入白名单，则执行可以继续进行，无论是通知或是不通知用户或管理员。如果可执行对象被列入黑名单，则阻止并且不启动所述对象，无论是通知或是不通知最终用户或者服务器或管理员。未出现在白名单或黑名单上的任何可执行对象被认为是列入灰名单的对象。当对象被认为是列入灰名单的对象时，可以部署附加机器学习以判定是否完全允许所述对象启动、以及是否寻求来自用户或管理员的附加验证。如上所述，可以在给所述对象指定置信分数的过程中采用多种因素。应注意的是，所述置信分数无需是简单的整体分数或标量分数。相反，置信分数可以是具有不同因素的多分面分数或者确定多个可能动作的分数，通过非限制性示例的方式，包括：允许所述应用程序、阻止所述应用程序、允许所本文档来自技高网...

【技术保护点】
一种计算设备，包括：存储设备，所述存储设备包含可执行对象；以及一个或多个逻辑元件，所述逻辑元件包括安全引擎，所述安全引擎可操作用于：检测所述可执行对象已经试图执行动作；截取所述动作；为所述动作指定信誉；以及对所述信誉采取动作。

【技术特征摘要】
【国外来华专利技术】2014.09.24 US 14/495,6921.一种计算设备，包括：存储设备，所述存储设备包含可执行对象；以及一个或多个逻辑元件，所述逻辑元件包括安全引擎，所述安全引擎可操作用于：检测所述可执行对象已经试图执行动作；截取所述动作；为所述动作指定信誉；以及对所述信誉采取动作。2.如权利要求1所述的计算设备，其中，对所述信誉采取动作包括准许所述可执行对象执行所述动作。3.如权利要求1所述的计算设备，其中，对所述信誉采取动作包括阻止所述可执行对象执行所述动作。4.如权利要求1所述的计算设备，其中，对所述信誉采取动作包括向用户提供警告。5.如权利要求1所述的计算设备，其中，对所述信誉采取动作包括接收与所述动作相关的用户决策。6.如权利要求5所述的计算设备，其中，所述信誉引擎进一步可操作用于缓存所述用户决策。7.如权利要求1至6中任一项所述的计算设备，其中，为所述动作指定信誉包括使用启发法。8.如权利要求1至6中任一项所述的计算设备，其中，为所述动作指定信誉包括：识别所述对象的类型；针对所述对象计算校验和；以及提取对象属性。9.如权利要求1至6中任一项所述的计算设备，其中，为所述动作指定信誉包括查询威胁智能数据库。10.如权利要求1至6中任一项所述的计算设备，其中，为所述动作指定信誉包括检测输入/输出请求分组。11.如权利要求1至6中任一项所述的计算设备，其中，指定信誉包括提供自我审批。12.如权利要求1至6中任一项所述的计算设备，其中，对所述信誉采取动作包括检测并避免误肯定。13.如权利要求12所述的计算设备，其中，检测并避免误肯定包括：确定所述可执行对象已经被预取；以及在不请求用户决策的情况下允许预取动作...

【专利技术属性】
技术研发人员：A·乔里，B·辛格，J·库拉那，R·潘迪，
申请(专利权)人：迈克菲股份有限公司，
类型：发明
国别省市：美国;US