实时无签名恶意软件检测制造技术

本公开的实施例涉及实时无签名恶意软件检测。设备可以生成与经确定性地定义的参数相关联的第一可执行进程的版本。设备可以运行第一可执行进程的版本，并且可以在运行第一可执行进程的版本时监视设备的设备参数或第一可执行进程。设备可以基于监视设备的设备参数或第一可执行进程来确定经确定性地定义的参数中的参数相对于针对该参数的预期值的变化，并且可以基于确定参数的变化来提供指示与设备相关的恶意软件的存在的信息。

Real time signature free malware detection

【技术实现步骤摘要】
实时无签名恶意软件检测相关申请本申请根据35U.S.C.§119要求于2018年7月9日提交的印度专利申请号201841025522的优先权，其内容通过整体引用并入本文。
本公开的实施例涉及恶意软件检测，并且更具体地涉及实时无签名恶意软件检测。
技术介绍
恶意软件(即，恶意的软件)可以指被用来破坏计算机、网络设备或移动设备的操作的任何软件。这可以包括收集敏感信息、获得对私有计算机系统的访问、加密文件和/或显示不想要的广告。恶意软件可以包括病毒、蠕虫、特洛伊木马、广告软件、间谍软件、勒索软件、键盘记录器、网络钓鱼等。
技术实现思路
根据一些可能的实施方式，设备可以包括一个或多个存储器和一个或多个处理器，用以：生成第一可执行进程的一个或多个版本，其中第一可执行进程与一个或多个经确定性地定义的参数相关联，其中第一可执行进程的一个或多个版本与设备的一个或多个对应的第二可执行进程共享一个或多个公共特性，并且其中第一可执行进程的一个或多个版本是被设计为类似于一个或多个对应的第二可执行进程的一个或多个可执行进程，并且一个或多个对应的第二可执行进程是被设计为在设备上执行一个或多个功能的一个或多个合法可执行进程。一个或多个处理器可以运行第一可执行进程的一个或多个版本，以及可以在运行第一可执行进程的一个或多个版本时，监视设备的一个或多个设备参数或第一可执行进程。一个或多个处理器可以基于监视设备的一个或多个设备参数或第一可执行进程，确定一个或多个经确定性地定义的参数中的参数相对于针对参数的预期值的变化，以及可以基于确定参数的变化，提供指示与设备相关的恶意软件的存在的信息。根据一些可能的实施方式，一种非瞬态计算机可读介质可以存储指令，该指令包括一个或多个指令，该一个或多个指令在由设备的一个或多个处理器执行时使一个或多个处理器：生成第一可执行进程，其中第一可执行进程与经确定性地定义的存储器映射相关联。该一个或多个指令可以使一个或多个处理器在端点设备中执行第一可执行进程，其中第一可执行进程与端点设备的第二可执行进程共享一个或多个公共特性，并且其中第一可执行进程是被设计为类似于第二可执行进程的可执行进程，并且第二可执行进程是被设计为在端点设备上执行功能的合法可执行进程。该一个或多个指令可以使一个或多个处理器在第一可执行进程的执行期间，监视端点设备的存储器映射或者第一可执行进程，以及基于监视存储器映射来确定存储器映射相对于经确定性地定义的存储器映射的变化。该一个或多个指令可以使一个或多个处理器基于确定存储器映射的变化来检测没有签名的恶意软件的存在，以及基于检测到恶意软件的存在来提供指示与端点设备相关的恶意软件的存在的信息。根据一些可能的实施方式，一种方法可以包括：由设备生成第一可执行进程，其中第一可执行进程与一个或多个经确定性地定义的参数相关联。该方法可以包括：由设备在设备中执行第一可执行进程的一个或多个版本，其中第一可执行进程的一个或多个版本与设备的一个或多个对应的第二可执行进程共享一个或多个特性，并且其中第一可执行进程的一个或多个版本是被设计为类似于一个或多个对应的第二可执行进程的一个或多个可执行进程，并且一个或多个对应的第二可执行进程是被设计为在设备上执行一个或多个功能的一个或多个合法可执行进程。该方法可以包括：在第一可执行进程的一个或多个版本的执行期间，由设备监视设备的一个或多个设备参数，以及由设备并且基于监视设备的一个或多个设备参数或第一可执行进程来确定一个或多个经确定性地定义的参数中的参数相对于针对参数的预期值的变化。该方法可以包括：基于确定参数的变化，由设备检测不使用签名的恶意软件的存在，以及由设备自动地更改一个或多个设备参数，作为对恶意软件的存在的响应。附图说明图1A至图1C是本文所描述的示例实施方式的图。图2是可以实现本文所描述的系统和/或方法的示例环境的图。图3A和图3B是图2的一个或多个设备的示例组件的图。图4是用于实时无签名恶意软件检测的示例过程的流程图。图5是用于实时无签名恶意软件检测的示例过程的流程图。图6是用于实时无签名恶意软件检测的示例过程的流程图。具体实施方式以下对示例实施方式的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。恶意软件可能对发布恶意软件的任何计算环境都有害。在一些实例中，可以通过激活嵌入或隐藏在文件(例如，文本文件、应用文档、电子邮件附件等)内的恶意有效载荷来发布恶意软件。在一些实例中，恶意软件可以将代码注入端点设备上的合法可执行进程，诸如操作系统进程、应用(例如，web浏览器、文字处理器等)等。在这种情况下，恶意软件可能从合法可执行进程内执行代码，以窃取数据、删除数据和/或执行某种其他恶意目的。当安全平台分析具有注入的代码的合法可执行进程和/或对应于合法可执行进程的文件时，安全平台可以假设注入的代码是文件的可允许特征，因为注入的代码不被识别为恶意软件，而是被识别为文件的特征。安全平台可以使用签名来实现对恶意软件的标识；然而，安全平台可能不存储标识尚未被标识和分类的新恶意软件的签名的信息。此外，随着大量不同类型的恶意软件的增加，获得标识恶意软件签名的数据可能变得越来越资源密集，并且可能超过日益小型化的设备的存储器能力和/或处理能力。诸如防病毒软件之类的一些安全平台可以在端点设备(诸如计算机、服务器、流量传递设备等)上操作，以检测恶意软件。然而，端点设备上的操作可能是资源密集型的(例如，处理资源、存储器资源等)。此外，由于端点设备的处理限制和安全平台的处理要求，端点设备上的操作可能是时间密集的，并且可能导致由恶意软件的操作造成的端点设备的不稳定性。因此，在专用硬件上在端点设备外部操作的安全平台可以使用安全环境(例如，沙盒)来标识恶意软件。安全平台可以分析文件，检测恶意软件(例如，使用静态分析、动态分析等)，并且阻止文件执行恶意目的(例如，通过隔离文件，阻止文件进一步传输，丢弃文件等)。这可以提高准确性并减少不稳定性；然而，在安全环境中检测恶意软件可能会导致大幅延迟以将可疑恶意软件从端点设备传递到沙盒环境、在沙盒环境中确定可疑恶意软件是恶意的、向端点设备提供指示可疑恶意软件是恶意的报告、并隔离端点设备处的恶意软件。因此，混合解决方案可以尝试直接在端点设备上操作沙盒。这种混合解决方案可以减少延迟并提高准确性，但可能仍无法实现基于端点的解决方案的速度或外部解决方案的准确性。本文所描述的一些实施方式提供使用蜜罐(honeypot)技术的无签名恶意软件检测。例如，端点设备可以生成对应于第二可执行进程的第一可执行进程(例如，伪可执行进程，该伪可执行进程与例如合法可执行进程(诸如web浏览器应用、文字处理器应用等)共享公共名称、公共依赖性集合等)。在这种情况下，端点设备可以运行第一可执行进程，并且可以检测与端点设备或第一可执行进程相关的所观察到的参数集合是否与关联于第一可执行进程的预期参数集合不同。基于检测到差别，端点设备可以确定恶意软件已经尝试在第一可执行本文档来自技高网...

【技术保护点】
1.一种设备，包括：/n一个或多个存储器；以及/n一个或多个处理器，用以：/n生成第一可执行进程的一个或多个版本，/n其中所述第一可执行进程与一个或多个经确定性地定义的参数相关联，/n其中所述第一可执行进程的所述一个或多个版本与所述设备的一个或多个对应的第二可执行进程共享一个或多个公共特性，并且/n其中所述第一可执行进程的所述一个或多个版本是被设计为类似于所述一个或多个对应的第二可执行进程的一个或多个可执行进程，并且所述一个或多个对应的第二可执行进程是被设计为在所述设备上执行一个或多个功能的一个或多个合法可执行进程；/n运行所述第一可执行进程的所述一个或多个版本；/n在运行所述第一可执行进程的所述一个或多个版本时，监视所述设备的一个或多个设备参数或所述第一可执行进程；/n基于监视所述设备的所述一个或多个设备参数或所述第一可执行进程，确定所述一个或多个经确定性地定义的参数中的参数相对于针对所述参数的预期值的变化；以及/n基于确定所述参数的所述变化，提供指示与所述设备相关的恶意软件的存在的信息。/n

【技术特征摘要】
20180709 IN 201841025522;20180830 US 16/117,8151.一种设备，包括：
一个或多个存储器；以及
一个或多个处理器，用以：
生成第一可执行进程的一个或多个版本，
其中所述第一可执行进程与一个或多个经确定性地定义的参数相关联，
其中所述第一可执行进程的所述一个或多个版本与所述设备的一个或多个对应的第二可执行进程共享一个或多个公共特性，并且
其中所述第一可执行进程的所述一个或多个版本是被设计为类似于所述一个或多个对应的第二可执行进程的一个或多个可执行进程，并且所述一个或多个对应的第二可执行进程是被设计为在所述设备上执行一个或多个功能的一个或多个合法可执行进程；
运行所述第一可执行进程的所述一个或多个版本；
在运行所述第一可执行进程的所述一个或多个版本时，监视所述设备的一个或多个设备参数或所述第一可执行进程；
基于监视所述设备的所述一个或多个设备参数或所述第一可执行进程，确定所述一个或多个经确定性地定义的参数中的参数相对于针对所述参数的预期值的变化；以及
基于确定所述参数的所述变化，提供指示与所述设备相关的恶意软件的存在的信息。


2.根据权利要求1所述的设备，其中所述一个或多个处理器还用以：
基于确定所述参数的所述变化，检测所述恶意软件的存在；
在检测到所述恶意软件的所述存在之后，确定用于移除所述恶意软件的补救技术；以及
使用所述补救技术自动移除所述恶意软件。


3.根据权利要求1所述的设备，其中所述第一可执行进程包括源代码。


4.根据权利要求1所述的设备，其中所述设备是端点设备或沙盒设备。


5.根据权利要求1所述的设备，其中所述一个或多个经确定性地定义的参数包括与针对所述第一可执行进程的经定义的行为相关联的存储器映射。


6.根据权利要求1所述的设备，其中所述第一可执行进程驻留在所述设备的所述一个或多个存储器中，并且在执行期间维持静态存储器映射。


7.根据权利要求1所述的设备，其中所述一个或多个公共特性包括以下中的至少一个：
公共文件名，
公共库链接，
公共模块链接，
公共动态链接库链接，或者
公共依赖性链接。


8.根据权利要求1所述的设备，其中所述一个或多个处理器还用以：
与执行所述第一可执行进程的所述一个或多个版本相关地执行所述一个或多个对应的第二可执行进程。


9.根据权利要求8所述的设备，其中当执行所述一个或多个对应的第二可执行进程时，所述一个或多个处理器用以：
以暂停模式执行所述一个或多个对应的第二可执行进程中的第二可执行进程；
将与对应于所述第二可执行进程的所述第一可执行进程的所述一个或多个版本中的版本相关联的可执行进程代码注入到所述第二可执行进程中；以及
基于注入所述可执行进程代码，从所述第二可执行进程执行所述第一可执行进程的所述一个或多个版本中的所述版本。


10.一种存储指令的非瞬态计算机可读介质，所述指令包括：
一个或多个指令，所述一个或多个指令在由端点设备的一个或多个处理器执行时使所述一个或多个处理器：
生成第一可执行进程，
其中所述第一可执行进程与经确定性地定义的存储器映射相关联；
在所述端点设备中执行所述第一可执行进程，
其中所述第一可执行进程与所述端点设备的第二可执行进程共享一个或多个公共特性，并且
其中所述第一可执行进程是被设计为类似于所述第二可执行进程的可执行进程，并且所述第二可执行进程是被设计为在所述端点设备上执行功能的合法可执行进程；
在所述第一可执行进程的执行期间，监视所述端点设备的存储器映射或者所述第一可执行进程；
基于监视所述存储器映射，确定所述存储器映射相对于所述经确定性地定义的存储器映射的变化；
基于确定所述存...

【专利技术属性】
技术研发人员：A·W·萨尔达尼亚，A·莫汉塔，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US