本发明专利技术提供了一种经由信誉系统的恶意软件检测的计算机网络设备和方法。计算机网络设备接收数字文件并从该文件中提取多个高级别特征。使用分类器评估该多个高级别特征以确定该文件是良性的还是恶意的。如果该文件被确定是良性的,则该文件被转发到请求计算机,以及如果该文件被确定是恶意的,则该文件被阻止。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及在计算机化系统中的恶意程序代码的检测,更具体地涉及经由信誉系统的恶意软件检测。有限的版权放弃 本专利文件公开的一部分包括声明了版权保护的材料。由于该专利文件或专利公开出现在了美国专利商标局的文件或记录中,因此版权拥有者不会对任何人对该专利文件或专利公开的传真复制提出异议,但保留所有其他任意的权力。
技术介绍
计算机是有价值的工具在很大程度上是由于其和其他计算机系统之间通信以及通过计算机网络获取信息的能力。网络典型地包括互联的计算机组,它们通过有线、光纤、无线电或其他数据传输手段连接,来为计算机提供从计算机到计算机传输信息的能力。因特网可能是最知名的计算机网络,使得数百万的人能够访问数百万的其他计算机,例如通过查看网页,发送电子邮件,或通过执行其他计算机到计算机的通信。但是,由于因特网的规模如此之大以及因特网用户的兴趣如此多种多样,因此恶意的用户或罪犯试图以对其他用户造成危险的方式与其他用户的计算机通信不是罕见的。例如,黑客可能试图登录到公司的计算机来偷窃、删除或改变信息。计算机病毒或特洛伊木马程序被分布到其他计算机,或者被大量计算机用户没有察觉地下载或执行。并且,在一个诸如公司的组织中的计算机用户可能有时试图执行未被授权的网络通信,例如,执行文件共享程序或从公司网络内部传输公司机密到因特网。由于这些以及其他原因,许多计算机系统采用多种安全防护意图保护计算机系统免受威胁。防火墙的设计是为了限制在网络上可能发生的通信种类,反病毒程序的设计是为了防止恶意代码被计算机系统加载或执行,恶意软件检测程序的设计是为了检测回邮器、键击记录器以及被设计用于执行诸如从计算机窃取信息或将计算机用作非预期的用途的不希望的操作的其他软件。多种其他的恶意软件,例如,广告软件、间谍软件以及特洛伊木马程序通常通过例如这些防护系统被检测并控制。许多这种防护系统使用已知的恶意软件威胁的签名来检测并控制这些威胁。例如,反病毒软件典型地使用包括代码片段或其他识别信息的大的签名库来扫描诸如硬盘驱动器之类的存储器,并扫描正在执行的程序,从而在其可能造成损害前从计算机系统移出攻击性的代码。检测新的威胁,或者能够重新排列它们的可执行代码来降低基于签名的检测的有效性的威胁,仍然是反恶意软件应用的一个挑战。考虑到新类型的恶意软件不断地发展,并经常被配置来避免检测,恶意软件的有效及准确的检测仍然是恶意软件检测软件持续面临的挑战。
技术实现思路
本专利技术的一些示例实施例包括计算机网络设备,其可操作以接收数字文件并从该文件提取多个高级别特征。使用分类器评估该多个高级别特征来确定该文件是良性的还是恶意的。如果该文件被确定是良性的,则该文件被转发到请求计算机,如果该文件被确定是恶意的,则该文件被阻止。本专利技术的元件可被采用在诸如防火墙之类的网关设备中或终端主机上,来防止访问恶意的文件。在进一步的示例中,后端恶意软件分析平台被采用来检测并追踪恶意文件。附图说明图I显示了与本专利技术的示例实施例一致的计算机网络。 图2是图示了与本专利技术的示例实施例一致的使用高级别文件特征和确定文件是否是恶意软件的决策树分类引擎的流程图。具体实施例方式在下面的对本专利技术的示例实施例的详细描述中,通过附图和说明引用特定的示例。这些示例被足够详细地描述使得本领域技术人员能够实施本专利技术,并用来示出本专利技术怎样被应用到多种目的或实施例中。本专利技术的其他实施例存在并在本专利技术的范围中,并且逻辑的、机械的、电子的以及其他变动可被做出而不背离本专利技术的主题或范围。然而此处描述的本专利技术的多种实施例的特征或限制(对合并这些特征或限制的示例实施例是必要的)不限制本专利技术的整体,并且本专利技术的任意引用、它的元件、操作以及应用并不限制本专利技术的整体而是仅用作定义这些示例实施例。因此,下面的详细描述并不限制本专利技术的范围,其仅由附加的权利要求来定义。本专利技术的一些示例实施例包括诸如可执行程序之类的电子二进制文件的分类,其使用文件的高级别特征以及决策树,产生关于文件是恶意软件的可能性的有效和准确的确定。因为单独使用签名的恶意软件检测由于恶意软件生产者设计程序来避开检测而变的不够有效,所以其他方法被期望来改善执行不希望的功能的程序的检测速率。为了帮助促进恶意软件检测的速率,在本专利技术的一些实施例中应用的技术超越了包括恶意软件或被恶意软件感染的软件的签名或其他低级别特征。在不同的实施例中,文件可被以至少三种不同的方式被处理或表示,包括使用文件本身、使用文件的散列、或使用文件的高级别特征。研究显示,高级别特征可被成功地使用来检测恶意的行为,在更详细的一般化的恶意软件检测系统的示例中,通过使用提取器程序来从二进制提取高级别特征。这些特征包括文件大小信息、熵、时间戳、动态链接库、以及其他这种高级别特征。虽然这些特征的每一个自身对二进制的恶意不是决定性的,但所有特征的组合可以产生准确的结果来标识特定的样本是干净的还是脏的。在不同的实施例中,使用几项技术在恶意软件检测的不同关系下工作来提供对恶意软件的更为高效的以及有效的识别,包括对终端主机部署的紧凑快速的分类器,对网关部署的紧凑快速的分类器,对后端样本处理的复杂分类器,和适用于查询的实时分类的复杂快速的分类器。使用提取器,二进制文件被分解为文件的不同的特征或属性,包括能被容易地提取的静态属性以及诸如网络活动或库或其他使用的资源之类的行为数据。同样地,特征可以是密集的(总是存在,例如文件大小)或稀疏的(很少出现,例如,条目点处的开头两个字节是xyzz)。在多个实施例中,文件的高级别特征包括诸如文件大小、文件内的随机性、文件中的开始或结束代码串、以及文件几何。文件几何不仅包括大小,还包括其他特征,例如文件中的段的数量、段的组织、可执行代码段中的内含物和特征,等等。例如,一个具有五个段的文件,其最后一段是具有高熵或高随机性的可执行代码,这样的文件可被有理由猜测为隐 藏在具有其他内容的文件中的恶意代码。为了区分干净的二进制和恶意软件,干净的和脏的样本的数据集被创建。使用这些,机器学习算法被采用来在特征空间导出边界来分离干净的和脏的样本。各种实施方式包括使用诸如决策树之类的紧凑模型来评估数据并将稀疏特征转换为密集特征来形成端点、网关或后端分类系统。在特定部署中,一个小的分类模型是合适的,例如在终端用户计算机系统或便携设备中的实施方式。标准技术会导致大的模型并因此不实用。在一个这样的示例中,一个小的模型文件被产生,带有适度的误判率。被检测为恶意软件的文件被在网络服务器中查找来确定它们是否实际上是恶意软件,以使得服务器做出最终的恶意软件决定。当需要紧凑的模型时,我们使用决策树分类器,我们将其表示为一系列嵌套的条件(if)语句。我们修剪所有不导致恶意分类结果的路径,在这种情况下,默认是干净的/未知的。此外,我们将在输入数据中的所有的稀疏特征转换为密集特征,通过仅仅轻微地影响分类性能而大幅度地减小模型的大小。稀疏特征到密集特征的转换使得在决策树中使用更少数量的决策。替代使用几千个单独的特征,我们使用特征id来查找多个密集特征。我们使用散列实施方式连同压缩的位掩码来以非常高效的方式存储散列数据,导致快速的查找以及小的存储器印迹。例如,开始比特、结束比特、以及文件的其他这种特征可被转换为一个或多个散列本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:S·克拉塞尔,唐雨春,何远尘,钟振宇,
申请(专利权)人:迈克菲股份有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。