【技术实现步骤摘要】
在内核模式下对隐写术的实时检测和防护
[0001]本申请是申请号为
201880049047.3
,申请日为
2018
年5月
30
日,专利技术名称为“在内核模式下对恶意软件和隐写术的实时检测和防护”的专利技术专利申请的分案申请
。
[0002]相关申请的交叉引用
[0003]本申请要求于
2017
年5月
30
日提交的美国临时申请第
62/512,659
号的权益,其全部内容通过引用并入
。
[0004]本公开内容总体上涉及恶意软件的检测,并且特别涉及在内核模式下对恶意软件和隐写术的实时检测和防护
。
技术介绍
[0005]恶意软件是指可以在无需所有者知晓或许可的情况下感染计算机
、
平板电脑或设备的恶意计算机软件程序
。
隐写术是一种通过恶意软件感染设备和网络的方法
。
[0006]恶意软件可以包括病毒
、
蠕虫
、
木马
、
僵尸网络
、
间谍软件和广告软件
。
病毒在附着至可执行程序之后自我复制
。
蠕虫跨网络自我复制以快速感染大量设备
。
木马将其自身伪装成合法软件并且试图窃取用户的标识
、
口令和其他个人信息
。
僵尸网络是被远程控制的受感染的设备的组
。 >各个机器人
(
设备
)
可以被命令发送
SPAM
电子邮件或参与拒绝服务攻击
。
间谍软件被设计为捕获键击
、
信用卡号码和其他个人信息
。
广告软件感染设备并下载和显示不需要的广告
。
[0007]传统的恶意软件防护工具可以试图检测签名并隔离和修复,或移除恶意软件
。
然而,恶意软件程序的数量急剧增加,并且签名通常仅针对已知恶意软件创建
。
因此,传统的基于签名的方法通常不能识别或检测未知恶意软件
。
[0008]此外,基于使用规则的运行时启发式扫描的传统方法可能生成许多误报和漏报
。
基于用于在虚拟机中执行可疑文件并观察恶意行为的沙盒化的其他传统方法通常不能检测能够确定其是否在沙盒
(
虚拟机或容器
)
中并逃避检测的恶意软件
。
最后,基于静态代码分析的传统方法也不能可靠地检测恶意软件
。
附图说明
[0009]所公开的实施方式具有优点和特征,上述优点和特征将根据具体实施方式
、
所附权利要求书和附图
(
或绘图
)
而变得更加明显
。
附图的简要介绍如下
。
[0010]图1示出了根据实施方式的用于在内核模式下对恶意软件和隐写术的实时检测和防护的系统的示例框图
。
[0011]图2示出了根据实施方式的针对在平台上以用户模式运行的应用程序的对恶意软件的实时检测和防护的示例框图
。
[0012]图3示出了根据实施方式的用于对恶意软件的实时检测和防护的示例过滤管理器和微过滤器驱动程序
。
[0013]图4示出了根据实施方式的用于对恶意软件的实时检测和防护的卷影服务
(VSS)
的示例部件
。
[0014]图5示出了根据实施方式的蒙特卡洛
π
近似的示例数据点
。
[0015]图6示出了根据实施方式的用于对恶意软件的实时检测和防护的示例过程
。
[0016]图7示出了根据实施方式的用于在内核模式下对隐写术的实时检测和防护的示例便携式可执行
(PE)
文件的部件
。
[0017]图8示出了根据实施方式的用于在内核模式下对隐写术的实时检测和防护的示例过程
。
[0018]图9是示出能够从机器可读介质中读取指令并且在处理器或控制器中执行指令的示例机器的部件的框图
。
具体实施方式
[0019]附图和以下描述仅通过说明的方式涉及优选实施方式
。
应当注意,根据以下讨论,本文中公开的结构和方法的替选实施方式将被容易认识到在不脱离所要求保护的原理的情况下可以采用的可行替选方案
。
[0020]现在将详细参照若干实施方式,其示例在附图中示出
。
注意,在可行的情况下,类似或相似的附图标记可以在附图中使用并且可以指示类似或相似的功能
。
附图仅出于说明的目的描绘了所公开的系统
(
或方法
)
的实施方式
。
本领域技术人员根据以下描述将容易认识到,在不脱离在本文中描述的原理的情况下可以采用在本文中所示的结构和方法的替选实施方式
。
[0021]引言
[0022]传统的安全产品可以包括行为分析和运行时启发法以通过寻找可疑应用程序接口
(API)
调用和动作来保护设备免受未知恶意软件的影响
。
恶意软件是指旨在损坏或禁用计算机和计算机系统的软件
。
恶意软件可以包括复杂的程序以通过创建多态性和变形恶意软件来规避来自安全产品的检测
。
多态性恶意软件通过使用突变引擎加密破坏性代码来进行突变,该突变引擎在不同的执行上生成新的“签名”。
变形恶意软件动态地重构可执行代码以混淆恶意意图
。
为了规避检测,恶意软件可以添加冗余处理器操作码,例如推送
、
弹出
、
空操作和跳转指令以改变可执行文件的签名但不影响其功能性
。
[0023]勒索软件是快速增长的恶意软件类别
。
勒索软件是一种类型的恶意软件,其感染计算机
、
平板电脑
、
设备或智能电话,目标是迫使用户“支付赎金”以重新获得对其设备或个人数据的访问
。
一些类型的勒索软件可以锁定用户设备或系统以阻止用户访问其设备或系统
。
其他类型的勒索软件可以使用加密软件来加密用户的个人数据,例如文字处理文档
、
照片
、
音乐
、
视频和电子邮件
。
在这样的情况下,用户可能被要求支付赎金以重新获得访问
。
隐写术是一种通过勒索软件感染设备和网络的方法
。
[0024]隐写术是指将计算机文件
、
消息
、
图像或视频隐藏在另一计算机文件
、
消息
、
图像或视频内的做法
。
在数字隐本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种用于在内核模式下对隐写术的实时检测和防护的方法,包括:检测经由防火墙
、
操作系统或电子邮件系统的文件传输;确定所述文件的大小;从文件系统中检索所述文件的存储文件大小;将所确定的文件大小与所述文件的所述存储文件大小进行比较;响应于所确定的文件大小大于所述文件的所述存储文件大小,对所述文件执行隐写术检测分析;以及响应于指示所述文件中存在隐写术的所述隐写术检测分析:执行隐写术补救动作,以及将描述所述隐写术的信息发送至客户端设备
。2.
根据权利要求1所述的方法,其中,确定所述文件的大小包括:获得指向所述文件的段头部的指针,所述段头部与所述文件的多个段相关联;对于所述文件的多个段中的每个段,确定所述段的大小;以及将所述文件的多个段中的每个段的大小相加以确定所述文件的大小
。3.
根据权利要求2所述的方法,其中,获得指向所述文件的段头部的指针包括:使用所述文件的文件名或所述文件的路径打开所述文件;读取所述文件的头部;从所述头部中检索幻数;以及验证所述幻数以获得指向所述文件的段头部的指针
。4.
根据权利要求1所述的方法,其中,对所述文件执行所述隐写术检测分析包括:识别所述文件中的附加载荷;分析所述附加载荷以确定所述附加载荷的文件格式;以及基于所述附加载荷的文件格式执行所述隐写术检测分析
。5.
根据权利要求1所述的方法,其中,对所述文件执行所述隐写术检测分析包括:识别所述文件中的附加载荷;以及执行蒙特卡洛近似
、
熵确定
、
序列系数分析
、
算术平均值确定
、
卡方确定和标准偏差确定中的一个或更多个以确定所述附加载荷内的数据是否被加密
。6.
根据权利要求1所述的方法,其中,对所述文件执行所述隐写术检测分析包括:识别所述文件中的附加载荷;以及识别在所述附加载荷内存在未授权数据
。7.
根据权利要求1所述的方法,其中,对所述文件执行所述隐写术检测分析包括:识别所述文件中的附加载荷;以及识别在所述附加载荷内存在汇编级或机器级指令
。8.
根据权利要求1所述的方法,其中,执行所述隐写术补救动作包括:终止所述文件的处理和传输;以及隔离所述文件
。9.
一种存储指令的非暂态计算机可读介质,所述指令在由至少一个处理器执行时使所述至少一个处理器执行如下操作:检测经由防火墙
、
操作系统或电子邮件系统的文件传输;
确定所述文件的大小;从所述文件系统中检索所述文件的存储文件大小;将所确定的文件大小与所述文件的所述存储文件大小进行比较;响应于所确定的文件大小大于所述文件的所述存储文件大小,对所述文件执行隐写术检测分析;以及响应于指示所述文件中存在隐写术的所述隐写术检测分析:执行隐写术补救动作,以及将描述所述隐写术的信息发送至客户端设备
。10.
根据权利要求9所述的非暂态计算机可读介质,其中,使所述至少一个处理器确定所述文件的大小的指令包括使所述至少一个处理器进行以下操作的指令:获得指向所述文件的段头部的指针,所述段头部与所述文件的多个段相关联;对于所述文件的多个段中的每个段,确定所述段的大小;以及将所述文件的多个段中的每个段的大小相加以确定所述文件的大小
。11.
根据权利要求
10
所述的非暂态计算机可读介质,其中,使所述至少一个处理器获得指向所述文件的段头部的指针的指令包括使所述至少一个处理器进行以下操作的指令:使用所述文件的文件名或所述文件的路径打开所述文件;读取所述文件的头部;从所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。