安全漏洞检测技术的制作方法
【技术领域】
[0001] 本发明整体涉及计算机病毒和恶意软件,更具体地讲,涉及安全漏洞检测技术。
【背景技术】
[0002] 此前,计算机病毒和恶意软件常利用先前未知的安全漏洞,也即零日漏洞利用 (zero day exploits)。这些计算机病毒和恶意软件可引起多个问题,包括:触及敏感或私 人数据、降低系统性能以及分流系统资源。因此,检测此类安全漏洞已经变得非常重要。然 而,传统的安全漏洞检测方法需要对系统行为进行追溯分析,以识别计算机病毒或恶意软 件所利用的安全漏洞。
[0003] 鉴于上述,可以理解,可能存在与传统安全漏洞检测相关的显著问题和缺陷。
【发明内容】
[0004] 本发明公开了安全漏洞检测技术。在一个具体实施例中,所述技术可实现为检测 安全漏洞的方法,所述方法包括指定声誉(reputation)给应用程序;分发所述声誉给客户 端(client);从所述客户端接收与执行所述应用程序的所述客户端有关的监测到的系统 行为;根据所述监测到的系统行为确定是否更改所述应用程序的所述声誉;分发更改的声 誉给所述客户端;从所述客户端接收进一步监测到的系统行为;以及根据从所述客户端接 收的所述监测到的系统行为确定是否生成针对所述应用程序的规则。
[0005] 根据该具体实施例的其他方面,所述声誉指示应用程序是否是可信的、中性的、可 疑的和恶意的应用程序中的一种。
[0006] 根据该具体实施例的其他方面,所述应用程序是来自已知实体的新应用程序。
[0007] 根据该具体实施例的其他方面,根据所述已知实体指定所述应用程序的所述声 誉。
[0008] 根据该具体实施例的其他方面,根据所述接收的声誉在所述客户端执行所述应用 程序。
[0009] 根据该具体实施例的其他方面,在所述监测到的系统行为指示所述应用程序正表 现出可疑行为时更改所述应用程序的所述声誉。
[0010] 根据该具体实施例的其他方面,根据从执行所述应用程序的多个客户端接收的监 测到的系统行为来更改所述应用程序的所述声誉。
[0011] 根据该具体实施例的其他方面,所述监测到的系统行为包括与客户端系统的行为 以及在所述客户端上执行的所述应用程序的行为有关的详细信息。
[0012] 根据该具体实施例的其他方面,针对所述应用程序的所述规则指示所述应用程序 将是隔离的、防止访问某些客户端资源的、在虚拟客户端上执行的以及允许完全访问客户 端资源的应用程序中的一种。
[0013] 根据该具体实施例的其他方面,所述方法包括将针对所述应用程序生成的所述规 则传送到所述客户端。
[0014] 在另一个具体实施例中,所述技术可实现为至少一种存储计算机程序指令的非瞬 时性处理器可读存储介质,所述非瞬时性处理器可读存储介质被配置为可由至少一个处理 器读取以指示所述至少一个处理器执行用于执行一种方法的计算机进程,所述方法包括: 指定声誉给应用程序;分发所述声誉给客户端;从所述客户端接收与执行所述应用程序的 所述客户端有关的监测到的系统行为;根据所述监测到的系统行为确定是否更改所述应用 程序的所述声誉;分发更改的声誉给所述客户端;从所述客户端接收进一步监测到的系统 行为;以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程 序的规则。
[0015] 在另一个具体实施例中,所述技术可实现为一种检测安全漏洞的方法,所述方法 包括指定声誉给应用程序;根据所述指定的声誉执行所述应用程序;在执行所述应用程序 时监测系统行为;将监测到的系统行为报告给后台系统;确定是否已从所述后台系统接收 到所述应用程序的更改的声誉;根据所述更改的声誉监测所述系统行为;将监测到的系统 行为传送给所述后台系统;以及确定是否已从所述后台系统接收到针对所述应用程序的新 规则。
[0016] 根据该具体实施例的其他方面,根据在所述应用程序安装期间所述应用程序的行 为指定所述声誉给所述应用程序。
[0017] 根据该具体实施例的另外的方面,监测所述系统行为包括监测未经授权的系统资 源访问、对系统操作系统的未经授权写入、安全应用程序的终止以及未经授权的网络活动 中的至少一者。
[0018] 根据该具体实施例的另外的方面,根据探试法针对已知的可疑和恶意行为监测所 述系统行为。
[0019] 根据该具体实施例的另外的方面,当所述指定的声誉指示所述应用程序可信时以 第一频率监测所述系统行为,并在所述更改的声誉指示所述应用程序不可信时以高于所述 第一频率的第二频率监测所述系统行为。
[0020] 根据该具体实施例的另外的方面,当检测到可疑的系统行为时,根据所述指定的 为可信的声誉继续执行所述应用程序。
[0021] 根据该具体实施例的其他方面,所述方法包括根据所述接收到的规则执行所述应 用程序。
[0022] 在另一个具体实施例中,所述技术可实现为至少一种存储计算机程序指令的非瞬 时性处理器可读存储介质,所述非瞬时性处理器可读存储介质被配置为可由至少一个处理 器读取以指示所述至少一个处理器执行用于执行一种方法的计算机进程,所述方法包括: 指定声誉给应用程序;根据所述指定的声誉执行所述应用程序;在执行所述应用程序时监 测系统行为;将监测到的系统行为报告给后台系统;确定是否已从所述后台系统接收到所 述应用程序的更改的声誉;根据所述更改的声誉监测所述系统行为;将监测到的系统行为 传送给所述后台系统;以及确定是否已从所述后台系统接收到针对所述应用程序的新规 则。
[0023] 在另一个具体实施例中,所述技术可实现为一种检测安全漏洞的系统,所述系统 包括:通信地耦接到网络的一个或多个处理器;其中所述一个或多个处理器被配置为:指 定声誉给应用程序;分发所述声誉给客户端;从所述客户端接收与执行所述应用程序的所 述客户端有关的监测到的系统行为;根据所述监测到的系统行为确定是否更改所述应用程 序的所述声誉;分发更改的声誉给所述客户端;从所述客户端接收进一步监测到的系统行 为;以及根据从所述客户端接收的所述监测到的系统行为确定是否生成针对所述应用程序 的规则。
【附图说明】
[0024] 为了有利于更全面地理解本发明,现在参考附图,其中类似的标号表示类似的元 件。这些附图不应被理解为限制本发明,而是旨在仅为示例性的。
[0025] 图1示出了根据本发明实施例的网络体系结构的框图。
[0026] 图2示出了根据本发明实施例的计算机系统的框图。
[0027] 图3示出了根据本发明实施例的安全漏洞检测模块。
[0028] 图4示出了根据本发明实施例的一种检测安全漏洞的方法。
[0029] 图5示出了根据本发明实施例的一种检测安全漏洞的方法。
【具体实施方式】
[0030] 图1示出了根据本发明实施例的用于检测安全漏洞的网络体系结构的框图。
[0031] 图1为网络体系结构100的简化视图,该网络体系结构可以包括未示出的另外的 元件。网络体系结构100可以包含客户端系统110、120和130,以及服务器140A和140B (可 使用图2所示的计算机系统200来实施它们中的一者或多者)。客户端系统110、120和130 可以通信地耦接到网络150。服务器140A可以通信地耦接到存储设备160A (I) - (N),而服务 器140B可以通信地耦接到存储设备160B (I)-(N)。客户端系统110、120和130可以包含安 全漏洞检测模块(如安全漏洞检测模块300)。另外,服务器140A和140B可以包含安全漏 洞检测模块(如安全漏洞检测模块300)。服务器140A和140B可以通信地耦接到SAN (存 储区域网络)光纤网170。SAN光纤网170可以经由网络150支持通过服务器140A和140B 以及通过客户端系统110、120和130来访问存储设备180 (I)-(N)。
[0032] 参考图2的计算机系统200,可使用调制解调器247、网络接口 248或一些其他方 法来提供从客户端系统110、120和