减轻基于隐写术的恶意软件攻击的方法、系统和装置制造方法及图纸

公开了用于在媒体文件中检测隐写式隐藏内容的方法、装置、系统和制品。示例系统包括用于确定媒体文件类型的媒体分类器，以及用于将检测技术应用于媒体文件的检测器。检测器基于媒体文件类型从多种隐写检测技术中选择检测技术。所述系统还包括修复器，该修复器用于基于检测器是否在媒体文件中检测到隐写式隐藏内容来将修复技术应用于媒体文件。

【技术实现步骤摘要】
【国外来华专利技术】减轻基于隐写术的恶意软件攻击的方法、系统和装置
本公开总体上涉及隐写术(steganography)，并且更具体地涉及减轻基于隐写术的恶意软件攻击的方法、系统和装置。
技术介绍
基于隐写术的恶意软件攻击涉及将恶意软件代码、僵尸网络命令、泄漏信息等隐匿在普通媒体文件(例如，图像文件、音频文件、视频文件)中。在一些实例中，恶意代码将已感染设备引导到网站，该网站利用已感染设备的已知漏洞对该已感染设备执行一组恶意动作。一些类型的恶意软件导致在计算设备中存储的有价值的信息被隐写式隐藏在随后被传输至第三方以供利用的媒体文件中。许多公司、政府实体和其它组织因这样的攻击而丢失了大量泄漏信息。对基于隐写术的攻击进行检测的当前技术通常是在已经检测到由攻击造成的损失之后手动执行，并且包括对恶意软件的可疑载体应用各种测试，并可视地检验生成的二进制数据。附图说明图1是具有根据本公开的教导构造的示例隐写(stegano)检测器和修复器的示例计算系统的框图。图2是图1的示例隐写检测器和修复器的示例实现方式的框图。图3A是在图1和图2的示例隐写检测器和修复器中包括的示例第一媒体分类器的示例实现方式的框图。图3B是在图1和图2的示例隐写检测器和修复器中包括的示例第二媒体分类器的示例实现方式的框图。图4是可以由图3A的示例第一媒体分类器和图3B的示例第二媒体分类器访问的示例媒体分类树的图。图5是在图1和图2的示例隐写检测器和修复器中包括的示例图像隐写检测器、示例视频隐写检测器和示例音频隐写检测器的示例实现方式的框图。图6是在图1和图2的示例隐写检测器和修复器中包括的示例检测器结果收集器和示例策略执行器的示例实现方式的框图。图7是在图1和图2的示例隐写检测器和修复器中包括的示例破坏器(disruptor)的示例实现方式的框图。图8A例示了在被图7的示例破坏器破坏之前的示例图像。图8B例示了在被图7的示例破坏器破坏之后的图8A的示例图像。图9是表示可以被执行以实现图1和图2的示例隐写检测器和修复器的示例机器可读指令的流程图。图10是表示可以被执行以实现图2的示例图像隐写检测器、示例视频隐写检测器、示例音频隐写检测器和示例检测器结果收集器中的一者或更多者的示例机器可读指令的流程图。图11是表示可以被执行以实现在图1和图2的示例隐写检测器和修复器中包括的示例修复器的示例机器可读指令的流程图。图12是能够执行图9、图10和/或图11的指令以实现图1和/或图2的示例隐写检测器和修复器的示例处理器平台的框图。附图未按比例绘制。在任何可能的情况下，将在整个附图和所附书面描述中使用相同的附图标记来指代相同或相似的部分。具体实施方式在过去的一年中，基于隐写术的恶意软件攻击数量急剧增加。不幸的是，由于基于隐写术的攻击具有几乎无法被检测到的性质，这些攻击的频度可能会继续增加。预先成功检测到这样的攻击的极少数已知技术通常不针对检测隐写式隐藏的恶意软件，而是针对检测已知被隐写式隐藏的特定恶意软件。对隐写式隐藏的恶意软件、泄露信息等进行检测的大多数已知技术在已经检测到由攻击造成的损失之后手动执行，并且包括对恶意软件的可疑载体应用各种测试。通常，需要对二进制文件进行可视检验以识别这样的隐藏的恶意软件、泄露信息等。这样的技术工作强度很大、耗时，并且尽管有助于减轻将来的类似攻击，但通常无法检测或防止在将来发生基于隐写式的攻击。本文公开了对基于隐写式的恶意软件攻击和/或信息泄漏事件(也称为数据外泄事件)进行检测和修复的方法、系统和装置。(在本文档中，隐写术有时简写为“隐写”)。基于隐写的检测/修复系统对概率性地过滤后的媒体文件执行实时隐写分析，以在不损害存储有隐藏信息的载体文件(例如，媒体文件)的完整性的情况下，检测和破坏文件的隐写术组成部分。在一些示例中，检测/修复系统包括媒体文件拦截器、文件过滤器和分类器、隐写分析操作器、修复器和修复后处理器。检测/修复系统基于这样的处理器和/或文件可能与基于隐写的攻击相关联的可能性，向媒体文件处理器和/或媒体文件指派信誉等级。信誉等级信息可以在评估是否将更加仔细地或不太仔细地检查传入的媒体文件时使用。图1是示例计算系统100的框图，该示例计算系统100安装在示例站点105处并且与诸如本文中例示为云110的互联网之类的网络进行通信。示例站点105可以容纳在一个或更多个建筑物中。站点105包括与示例网关设备120进行通信的示例计算设备115A、115B、115C、115D，该示例网关设备120在计算设备115A至115D与云110之间接收和发送信息。通过网关设备120路由的邮件文件、音频文件、视频文件、图像文件、文档文件、网页文件(例如，http格式的文件)等形式的信息经受由示例隐写检测器和修复器125执行的一个或更多个操作。在一些示例中，基于隐写的修复器/检测器125分析去往/来自网关的信息，以尝试识别包含隐写式隐藏的恶意软件、隐写式隐藏的机密和/或专有信息的文件，并根据需要执行操作以破坏这样的隐写式隐藏的恶意软件和/或机密/专有信息。在一些示例中，隐写检测器和修复器125还识别可疑的文件/文件处理器，并向这样的文件/文件处理器指派信誉等级。在一些示例中，隐写检测器和修复器125使用概率信息来确定文件是否可能包含隐写式隐藏的恶意软件和/或信息。在一些示例中，概率是基于正被分析的文件的类型(音频、视频、图像、文字处理文档等)，并且在一些示例中，文件类型被用于识别要在文件上进行的一组测试/分析，其目的是识别隐写式隐藏的信息。隐写检测器和修复器125还可以使要应用在一个或更多个文件上的修复技术基于指定要如何处理包含隐写式隐藏的信息的文件的修复策略。在一些示例中，隐写检测器和修复器125与任何数量的其它恶意软件检测器相结合地工作。通过对包含隐写式隐藏的恶意软件和/或隐藏的机密和专有信息的文件进行分析、检测和修复，隐写检测器和修复器125阻挠了恶意软件攻击并防止了机密信息泄漏。因此，与通常以攻击后取证方式工作的常规系统不同，图1的示例隐写检测器和修复器125能够主动监测网络业务250，以实时识别隐写式隐藏的恶意软件和隐藏的机密信息，并且还能够持续采取破坏这样的恶意软件并防止这样的信息外泄所需的动作。尽管示出为在网关设备120的外部，但是隐写检测器和修复器125可以位于网关设备120的内部，以在将消息传送给计算设备115A至115D之前对这样的消息进行分析。图2是图1的示例隐写检测器和修复器125的示例实现方式的框图。隐写检测器和修复器125包括示例媒体文件拦截器202、示例检测系统204、示例策略执行器206、示例信誉指派器208、示例提取器210和示例修复器212。在一些示例中，检测系统204包括示例基于签名的检测器214、示例第一媒体分类器216A、示例图像隐写检测器218、示例音频隐写检测器220、示例视频隐写检测器222、示例检测器结果确定器224、示例签名监管器226和示例知识数据库228。在一些示本文档来自技高网...

【技术保护点】
1.一种在媒体文件中检测隐写式隐藏内容的系统，所述系统包括：/n媒体分类器，所述媒体分类器确定媒体文件的类型；/n检测器，所述检测器将检测技术应用于所述媒体文件，所述检测器基于所述类型从多种隐写检测技术中选择所述检测技术；以及/n修复器，所述修复器基于所述检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。/n

【技术特征摘要】
【国外来华专利技术】20171207 US 15/834,4151.一种在媒体文件中检测隐写式隐藏内容的系统，所述系统包括：
媒体分类器，所述媒体分类器确定媒体文件的类型；
检测器，所述检测器将检测技术应用于所述媒体文件，所述检测器基于所述类型从多种隐写检测技术中选择所述检测技术；以及
修复器，所述修复器基于所述检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。


2.根据权利要求1所述的系统，其中，所述媒体文件是第一媒体文件，并且所述系统还包括媒体拦截器，所述媒体拦截器拦截在数据网络上传输的、包括所述第一媒体文件的多个文件，所述文件包括多个媒体文件和多个非媒体文件。


3.根据权利要求1所述的系统，其中，所述检测器是第一检测器，所述系统还包括第二检测器，所述第二检测器应用基于签名的检测技术来确定所述媒体文件是否包括隐写式隐藏内容。


4.根据权利要求1所述的系统，其中，当所述类型被确定为图像媒体文件类型时，所述检测器选择第一检测技术；当所述类型被确定为音频媒体文件类型时，所述检测器选择第二检测技术；并且当所述类型被确定为视频媒体文件类型时，所述检测器选择第三检测技术。


5.根据权利要求1所述的系统，其中，所述检测器包括：
选择器，所述选择器基于所述类型从多种检测技术中选择第一检测技术和第二检测技术；
检测技术应用器，所述检测技术应用器将所述第一检测技术和所述第二检测技术应用于所述媒体文件，所述第一检测技术和所述第二检测技术的所述应用产生第一检测结果和第二检测结果；
比较器，所述比较器将所述第一检测结果和所述第二检测结果的加权后组合与阈值进行比较；
文件识别器，所述文件识别器基于所述第一检测结果和所述第二检测结果的所述加权后组合的所述比较，将所述媒体文件识别为包含隐写式隐藏内容。


6.根据权利要求1所述的系统，其中，所述修复器基于所述类型来选择将应用于所述媒体文件的所述修复技术。


7.根据权利要求1所述的系统，其中，所述修复器通过修改所述媒体文件的数据的字节的最低有效位来应用所述修复技术。


8.根据权利要求1所述的系统，所述系统还包括策略执行器，所述策略执行器在确定所述媒体文件包括隐写式隐藏内容时执行将应用于所述媒体文件的一组策略，所述策略指定以下中的至少一项：当在所述媒体文件中检测到隐写式隐藏内容时将采取的修复活动；以及被指派给与所述媒体文件相关联的媒体处理器的信誉。


9.根据权利要求1所述的系统，所述系统还包括信誉指派器，所述信誉指派器基于与一个或更多个媒体处理器相关联的媒体文件类型被确定为包含隐写式隐藏内容的频度，将信誉指派给所述媒体处理器。


10.一种或更多种非暂时性机器可读存储介质，所述一种或更多种非暂时性机器可读存储介质包括机器可读指令，所述机器可读指令在被执行时使一个或更多个处理器至少进行以下操作：
确定媒体文件的媒体文件类型；
将检测技术应用于所述媒体文件，所述检测技术是基于所述媒体文件类型从多种隐写检测技术中选择的；以及
基于检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。


11.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，所述指令还使所述一个或更多个处理器拦截数据网络上的多个文件，所述文件包括媒体文件和非媒体文件。


12.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，所述指令还使所述一个或更多个处理器应用基于签名的检测技术来确定所述媒体文件是否包括隐写式隐藏内容。


13.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，所述指令还使所述一个或更多个处理器执行以下操作：当所述媒体文件类型被确定为图像媒体文件类型时，选择第一检测技术；当所述媒体文件类型被确定为音频媒体文件类型时，选择第二检测技术；并且当所述媒体文件类型被确定为视频媒体文件类型时，选择第三检测技术。


14.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，所述指令还使所述一个或更多个处理器执行以下操作：
基于所述媒体文件类型从多种检测技术中选择第一检测技术和第二检测技术；
将所述第一检测技术和所述第二检测技术应用于所述媒体文件，所述第一检测技术和所述第二检测技术的所述应用产生第一检测结果和第二检测结果；
将所述第一检测结果和所述第二检测结果的加权后组合与阈值进行比较；以及
基于所述第一检测结果和所述第二检测结果的所述加权后组合的所述比较，将所述媒体文件识别为包含隐写式隐藏内容。


15.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，所述指令还使所述一个或更多个处理器基于所述媒体文件类型选择将应用于所述媒体文件的修复方法。


16.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，应用所述修复技术包括：修改所述媒体文件的数据的字节的最低有效位。


17.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质，其中，所述指令还使所述一个或更多个处理器执行以下操作：在确定所述媒体文件包括隐写式隐藏内容时管理将应用于所述媒体文件的一组策略，所述策略指定以下中的至少一项...

【专利技术属性】
技术研发人员：G·兰乔尼，S·马修斯，F·鲁伊兹，C·伍德沃德，
申请(专利权)人：迈克菲有限责任公司，
类型：发明
国别省市：美国;US