用于确定基于文件的内容带来的危险的统计分析方法技术

本申请描述了用于计算电子文件的危险评估的系统和方法。被组织成类别的检查的数据库可用于扫描电子文件。检查的类别可以包括分配给它们的权重。分析器可使用上述检查来分析电子文件。分析者确认的问题可使用权重进行加权以确定电子文件的危险评估。

【技术实现步骤摘要】
【国外来华专利技术】用于确定基于文件的内容带来的危险的统计分析方法
本专利技术总体上涉及基于计算机文件的安全，尤其涉及包含在一般传送的文件格式中的潜在危险。
技术介绍
恶意软件(例如病毒、特洛伊木马、其他的恶意内容)变得愈来愈普遍。鉴于恶意软件出现新变种的速率，传统的建立签名来识别这些威胁的方法变得愈来愈困难。与使用基于签名的方法相关联的挑战在于"寻找不良"的问题会无限制。该方法总是落后于最新和最危险的威胁。另一问题是，这些方法经常产生良性内容的假阳性识别形式的大量"噪声"，而不对潜在问题提供可行动的洞察力来允许带有保护组织的任务的个人做出知情决定。一种有助于使良性内容的假阳性识别数量最小化的方法是通过使用电子沙箱，如图1所示。当电子文件105例如通过网络110由系统接收时，文件可被放置到电子沙箱115。电子沙箱115，如它的名称所暗示的，是能够完全隔离地打开电子文件105的一个器具。电子沙箱115，可以是与任何内联网物理隔离(或尽可能完全隔离)的计算机系统，用以避免任何恶意代码的迁移。作为备选，电子沙箱115可以是计算机系统中的虚拟环境，理想地，与同一计算机系统(或其他连成网络的计算机系统)上的任何其他环境隔离。一旦电子文件105在电子沙箱115中打开，电子沙箱115的操作系统的关键判据可被监视以找出任何可能暗示文件被恶意代码感染的可疑行为。这样的行为可包括但不限于试图接入因特网、改变注册设定、或尝试提高用户特权。通过使用电子沙箱115，电子文件105中的任何恶意代码的危险效应被严格地限制于沙箱环境，为了有一个新鲜的环境实例，当处理下一个文件时，其通常被丢弃。如果在电子沙箱115中打开电子文件105未证明任何恶意代码的存在，则电子文件105可能不是一个威胁，因而可被传给用户120。相反地，如果在电子沙箱115中打开电子文件105显示恶意代码存在，则电子文件105可被置到隔离区125，直到电子文件105被某种程度地清除掉恶意代码或直到电子文件105被删除。这种方式使用电子沙箱115存在的问题在于需要相当的开销来维护电子沙箱115以及监视电子沙箱以确定电子文件105是否包含恶意代码。另外，监视电子沙箱115内的电子文件105对于电子文件105传给用户增加相当的等待时间。最后，攻击者会知道电子沙箱115的使用。通过将他们的恶意代码启动时间延迟到电子沙箱115的检查时间之后，电子沙箱115的观察会无法侦测恶意代码。因此，电子文件105可以被作为安全文件传递至用户120，尽管其含有恶意代码。本专利技术的实施例解决了现有技术上的这个问题及其他问题。附图说明图1示出了现有技术防范恶意内容的范例。图2示出了依照本专利技术的实施例，通过设计来计算电子文件的危险评估的系统增强图1的电子沙箱。图3示出了依照本专利技术的实施例，关于图2的扫描器的更多细节。图4示出了图3的数据库的细节。图5示出了图3的威胁计算器的细节。图6示出了图3的分析器与统计分析器的细节，当在分析模式下使用时。图7示出了依照本专利技术的实施例，用于在图3的系统中计算电子文件的危险评估的程序流程图。图8示出了依照本专利技术的第二实施例，用于计算图7的危险评估的另一程序的流程图。图9A-9B示出了用于计算图7所示的程序中使用的权重的程序流程图。图10A-10B示出了在图7所示的程序中用于确定是否使用电子沙箱的程序的流程图。详细描述因为图示的本专利技术的实施例，大部分可用本
人员所知道的电子元件及电路来实现，为了了解与鉴识下面所说明的本专利技术实施例的概念与为了不使本专利技术实施例的说明混淆和分散，细节的说明不会比认为有必要的更为详尽。与本专利技术共同转让的其他专利与专利申请，包含美国专利号8,185,954、8,533,824、8,869,283以及美国专利公告号2013/0326624，所有这些专利和专利申请通过引用组合于此，它们均描述了用于确定电子文件内容是否已知安全的系统及方法。简单来说，这些专利与专利申请描述了取得电子文件并确定所述电子文件声称要使用的格式(例如，PDF或Word)的系统与方法。(Adobe和AdobePDF为AdobeSystemsIncorporated在美国和/或其他国家的注册商标或商标。Microsoft为MicrosoftCorppration在美国和/或其他国家的注册商标或商标)。一旦所声称的格式被确定，则检查电子文件的内容以判断内容是否符合既定的格式。如果内容符合既定的格式，则该内容被允许通过从而传递至用户。否则该内容被隔离。该内容，不管是否符合既定的格式，均还可被再生。通过用既定的格式再创建上述内容，内容的再生能进一步帮助避免恶意内容的悄悄进入。该再生的电子文件理想上和原来的文件结构相同，但缺了不需要的任何元数据。本专利技术的实施例，提供一种抗恶意软件内容数据管理装置，通过从另一不同的观点来接近问题，提供一种恶意软件的防范与对电子文件所带来的威胁的洞察力。和试着去跟上曾经改变已知为坏的定义的步伐相比较，对特别的文件格式已知为好是不用改变的，在这个意义上，定义为好的观点为一有限度的问题。可能确定定义成被动的文件的优良性，即文件内不包含活动程序代码。这些文件是组织每天要传达的典型文件。但是，这些文件也是新一波攻击意图隐藏于内的所在。了解文件内容，增加了进一步层面的了解，本专利技术的实施例，产生一个关于所涉及文件包含的内容的类型的评分，并基于用可配置的加权因子使得偏态的历史统计学产生感知的危险。该方法偏离了对文件的信誉仅提供安全/不安全的二元答案的传统技术和已知技术。本专利技术的实施例，通过提供灰色地带，将此扩充以允许个人和真正进一步的决策程序，将这信息混和至为了那个特殊文件或内容而有的全面性决策程序，因而增加侦测恶意软件的精确度以及降低假阳性的比率。通过扩充这口头禅"寻找好"的程序，上述程序维护具有数千条执行目前所了解的判据的规则的规则列表，并通过将这些规则分类成规则子集，内容组的集合可被实现，然后这些内容组可被加权以及总计来形成一个跨越所分析的大型文件语料库一致的评分。此评分结果可带来比单纯决定为好/坏更多样的色彩。在此描述的系统和方法，在基于与已知良好的内容一致评估文件的方法(其提供文件一致或不一致的二元结果)上增加第二层分析程序。除该二元性程序之外的另外一层，允许去实行第三个结果，即原始、未被杀毒的文件版本如果被认为是低危险则被允许传递至接收者。可包含本专利技术实施例的系统的范例，可以包括电子邮件保护系统的实现，其中，文件通常为附件是否应被隔离的决定，可通过分析评分能力来加强。在某些情况下，特别是在中小型企业(SME)环境在，通常无安全专业人员驻点做主观判断是否释放或是永久隔离上述文件。上述SME环境一般是由安全管理服务供货商(MSSP)来服务，提供一种远程管理服务，因此允许组织将自己的安全功能外包给上述MSSP。所以，任何在这层次上的假阳性事件造成要耗费打支持电话回到上述MSSP的成本，以释放文件或提供对该问题的进一步解释。通过使用本专利技术的实施例，推出一种自动程序，在该程序中，被隔离的文件能够诉诸于更多细节的决策，以及更精简和更省成本地接受管理。另一范例，在减轻任何新的或当前的攻击上，MSSP供货商能够远程调整被应用在各类别上的权重，以根据目前的威胁的格局和内容的本文档来自技高网...

【技术保护点】
一种系统，包括：计算机；所述计算机中的存储器；存储在所述存储器中的数据库，所述数据库包括：组编成多个类别的多个检查；以及分配给所述多个类别中的每一类别的权重；接收器，用于接收电子文件；分析器，使用所述数据库中的所述多个检查来分析所述电子文件；以及威胁计算器，使用来自所述分析器的结果和分配给所述多个类别的所述权重，来计算电子文件的危险评估。

【技术特征摘要】
【国外来华专利技术】2014.11.26 US 62/084,832;2015.01.20 US 14/600,4311.一种系统，包括：计算机；所述计算机中的存储器；存储在所述存储器中的数据库，所述数据库包括：组编成多个类别的多个检查；以及分配给所述多个类别中的每一类别的权重；接收器，用于接收电子文件；分析器，使用所述数据库中的所述多个检查来分析所述电子文件；以及威胁计算器，使用来自所述分析器的结果和分配给所述多个类别的所述权重，来计算电子文件的危险评估。2.根据权利要求1所述的系统，其中，所述数据库还包括分配给所述多个检查中的每一检查的第二权重；以及所述威胁计算器使用来自所述分析器的结果及分配给所述多个检查的所述第二权重，来计算所述电子文件的危险评估。3.根据权利要求1所述的系统，其中，所述接收器用于从用户接收分配给所述多个类别的所述权重。4.根据权利要求1所述的系统，其中，分配给所述多个类别的所述权重包括分配给所述多个类别的默认权重；以及所述接收器用于从用户接收第二权重以分配给所述多个类别。5.根据权利要求1所述的系统，其中，分配给所述多个类别的所述权重包括分配给所述多个类别的默认权重；所述分析器用于分析具有已知不一致的第一文件语料库以产生第一结果，及分析第二安全文件语料库以产生第二结果；以及所述系统还包括统计分析器，其以统计方式评审所述第一结果及所述第二结果，并调整分配给所述多个类别的所述默认权重，使得对于所述第一文件语料库计算的第一危险评估高于对于所述第二文件语料库计算的第二危险评估。6.根据权利要求1所述的系统，还包括统计分析器，使用来自所述分析器的所述结果来调整所述权重。7.根据权利要求1所述的系统，其中所述系统用于在计算的危险评估大于预定阈值时将所述电子文件传给第二用户。8.根据权利要求1所述的系统，还包括电子沙箱，如果所述文件的所述危险评估不超过预定阈值，则将所述电子文件放置到所述电子沙箱中。9.根据权利要求8所述的系统，其中所述系统用于在所观察的所述电子沙箱的运行表明所述电子文件不是威胁时，将所述电子文件传给第二用户。10.一种方法，包括：接收电子文件；使用多个检查来分析所述电子文件以确定所述电子文件是否符合预期的格式，其中所述多个检查被组编成多个类别；确定所述多个类别中的每一类别的权重；以及使用所述多个类别和分配给所述多个类别中的每一类别的所述权重，来计算所述电子文件的最终的危险评估。11.根据权利要求10所述的方法，其中，使用多个类别来分析所述电子文件以确定所述电子文件是否符合预期的格式，包括使用来自所述多个类别之一的第二多个检...

【专利技术属性】
技术研发人员：S·哈顿，
申请(专利权)人：格拉斯沃IP有限公司，
类型：发明
国别省市：英国,GB