【技术实现步骤摘要】
【国外来华专利技术】减轻基于隐写术的恶意软件攻击的方法、系统和装置
本公开总体上涉及隐写术(steganography),并且更具体地涉及减轻基于隐写术的恶意软件攻击的方法、系统和装置。
技术介绍
基于隐写术的恶意软件攻击涉及将恶意软件代码、僵尸网络命令、泄漏信息等隐匿在普通媒体文件(例如,图像文件、音频文件、视频文件)中。在一些实例中,恶意代码将已感染设备引导到网站,该网站利用已感染设备的已知漏洞对该已感染设备执行一组恶意动作。一些类型的恶意软件导致在计算设备中存储的有价值的信息被隐写式隐藏在随后被传输至第三方以供利用的媒体文件中。许多公司、政府实体和其它组织因这样的攻击而丢失了大量泄漏信息。对基于隐写术的攻击进行检测的当前技术通常是在已经检测到由攻击造成的损失之后手动执行,并且包括对恶意软件的可疑载体应用各种测试,并可视地检验生成的二进制数据。附图说明图1是具有根据本公开的教导构造的示例隐写(stegano)检测器和修复器的示例计算系统的框图。图2是图1的示例隐写检测器和修复器的示例实现方式的框图。图3A是在图1和图2的示例隐写检测器和修复器中包括的示例第一媒体分类器的示例实现方式的框图。图3B是在图1和图2的示例隐写检测器和修复器中包括的示例第二媒体分类器的示例实现方式的框图。图4是可以由图3A的示例第一媒体分类器和图3B的示例第二媒体分类器访问的示例媒体分类树的图。图5是在图1和图2的示例隐写检测器和修复器中包括的示例图像隐写检测器、示例视频隐写检测器和示例音频隐写 ...
【技术保护点】
1.一种在媒体文件中检测隐写式隐藏内容的系统,所述系统包括:/n媒体分类器,所述媒体分类器确定媒体文件的类型;/n检测器,所述检测器将检测技术应用于所述媒体文件,所述检测器基于所述类型从多种隐写检测技术中选择所述检测技术;以及/n修复器,所述修复器基于所述检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。/n
【技术特征摘要】
【国外来华专利技术】20171207 US 15/834,4151.一种在媒体文件中检测隐写式隐藏内容的系统,所述系统包括:
媒体分类器,所述媒体分类器确定媒体文件的类型;
检测器,所述检测器将检测技术应用于所述媒体文件,所述检测器基于所述类型从多种隐写检测技术中选择所述检测技术;以及
修复器,所述修复器基于所述检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。
2.根据权利要求1所述的系统,其中,所述媒体文件是第一媒体文件,并且所述系统还包括媒体拦截器,所述媒体拦截器拦截在数据网络上传输的、包括所述第一媒体文件的多个文件,所述文件包括多个媒体文件和多个非媒体文件。
3.根据权利要求1所述的系统,其中,所述检测器是第一检测器,所述系统还包括第二检测器,所述第二检测器应用基于签名的检测技术来确定所述媒体文件是否包括隐写式隐藏内容。
4.根据权利要求1所述的系统,其中,当所述类型被确定为图像媒体文件类型时,所述检测器选择第一检测技术;当所述类型被确定为音频媒体文件类型时,所述检测器选择第二检测技术;并且当所述类型被确定为视频媒体文件类型时,所述检测器选择第三检测技术。
5.根据权利要求1所述的系统,其中,所述检测器包括:
选择器,所述选择器基于所述类型从多种检测技术中选择第一检测技术和第二检测技术;
检测技术应用器,所述检测技术应用器将所述第一检测技术和所述第二检测技术应用于所述媒体文件,所述第一检测技术和所述第二检测技术的所述应用产生第一检测结果和第二检测结果;
比较器,所述比较器将所述第一检测结果和所述第二检测结果的加权后组合与阈值进行比较;
文件识别器,所述文件识别器基于所述第一检测结果和所述第二检测结果的所述加权后组合的所述比较,将所述媒体文件识别为包含隐写式隐藏内容。
6.根据权利要求1所述的系统,其中,所述修复器基于所述类型来选择将应用于所述媒体文件的所述修复技术。
7.根据权利要求1所述的系统,其中,所述修复器通过修改所述媒体文件的数据的字节的最低有效位来应用所述修复技术。
8.根据权利要求1所述的系统,所述系统还包括策略执行器,所述策略执行器在确定所述媒体文件包括隐写式隐藏内容时执行将应用于所述媒体文件的一组策略,所述策略指定以下中的至少一项:当在所述媒体文件中检测到隐写式隐藏内容时将采取的修复活动;以及被指派给与所述媒体文件相关联的媒体处理器的信誉。
9.根据权利要求1所述的系统,所述系统还包括信誉指派器,所述信誉指派器基于与一个或更多个媒体处理器相关联的媒体文件类型被确定为包含隐写式隐藏内容的频度,将信誉指派给所述媒体处理器。
10.一种或更多种非暂时性机器可读存储介质,所述一种或更多种非暂时性机器可读存储介质包括机器可读指令,所述机器可读指令在被执行时使一个或更多个处理器至少进行以下操作:
确定媒体文件的媒体文件类型;
将检测技术应用于所述媒体文件,所述检测技术是基于所述媒体文件类型从多种隐写检测技术中选择的;以及
基于检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。
11.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,所述指令还使所述一个或更多个处理器拦截数据网络上的多个文件,所述文件包括媒体文件和非媒体文件。
12.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,所述指令还使所述一个或更多个处理器应用基于签名的检测技术来确定所述媒体文件是否包括隐写式隐藏内容。
13.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,所述指令还使所述一个或更多个处理器执行以下操作:当所述媒体文件类型被确定为图像媒体文件类型时,选择第一检测技术;当所述媒体文件类型被确定为音频媒体文件类型时,选择第二检测技术;并且当所述媒体文件类型被确定为视频媒体文件类型时,选择第三检测技术。
14.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,所述指令还使所述一个或更多个处理器执行以下操作:
基于所述媒体文件类型从多种检测技术中选择第一检测技术和第二检测技术;
将所述第一检测技术和所述第二检测技术应用于所述媒体文件,所述第一检测技术和所述第二检测技术的所述应用产生第一检测结果和第二检测结果;
将所述第一检测结果和所述第二检测结果的加权后组合与阈值进行比较;以及
基于所述第一检测结果和所述第二检测结果的所述加权后组合的所述比较,将所述媒体文件识别为包含隐写式隐藏内容。
15.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,所述指令还使所述一个或更多个处理器基于所述媒体文件类型选择将应用于所述媒体文件的修复方法。
16.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,应用所述修复技术包括:修改所述媒体文件的数据的字节的最低有效位。
17.根据权利要求10所述的一种或更多种非暂时性机器可读存储介质,其中,所述指令还使所述一个或更多个处理器执行以下操作:在确定所述媒体文件包括隐写式隐藏内容时管理将应用于所述媒体文件的一组策略,所述策略指定以下中的至少一项...
【专利技术属性】
技术研发人员:G·兰乔尼,S·马修斯,F·鲁伊兹,C·伍德沃德,
申请(专利权)人:迈克菲有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。