网络环境中的代理辅助的恶意应用阻止的制作方法
【技术领域】
[0001]本公开总体涉及网络安全领域,更具体而言,本公开涉及网络环境中的代理辅助的恶意应用阻止。
【背景技术】
[0002]网络安全领域在当今已社会变得日益重要。因特网已允许不同的计算机网络在全世界范围内互连在一起。具体而言,因特网提供了用于在相同或不同的计算机网络中的各种系统之间交换电子通信的介质。尽管因特网和其他联网基础结构的使用已改变企业和个人通信,但是,它也变成恶意操作者获得对系统和网络的未经授权的访问以及对敏感信息的故意的或无意的公开的工具。
[0003]感染终端主机的恶意软件可能能够执行任何数量的恶意动作,这些动作诸如例如,从终端主机处发出垃圾邮件或恶意电子邮件,从与终端主机相关联的企业或个人处窃取敏感信息,传播到其他主机系统,利用分布式拒绝服务攻击和/或破坏活动或间谍活动(或其他形式的网络战争)来辅助。虽然使用各种方法来检测穿越网络的恶意软件,但是一些恶意软件仍躲避检测。由于由恶意操作者利用的不断演进的一系列策略,使得检测并停止恶意软件或由恶意软件导致的恶意活动的分散变得更复杂。因此,对于防止计算机和计算机网络免受恶意软件的破坏的大量管理挑战仍存在。安全专业人员需要开发抗击允许恶意操作者利用计算机的此类战术的创新工具。
【附图说明】
[0004]为提供对本公开以及其特征和优点的更完整的理解,结合所附附图来进行对以下描述的引用,在所附附图中,相同的参考编号表示相同的部件,其中:
[0005]图1是根据本公开的用于阻止网络环境中的恶意应用的计算系统的简化框图;
[0006]图2是根据本公开的可以在用于阻止恶意应用的计算系统的另一实施例中实现的虚拟桌面基础结构的简化框图;
[0007]图3是示出根据至少一个实施例的恶意应用阻止系统中的可能的操作的简化交互图示;
[0008]图4是示出根据至少一个实施例的恶意应用阻止系统中的进一步的可能的操作的简化交互图示;
[0009]图5是示出根据至少一个实施例的恶意应用阻止系统中的更进一步的可能的操作的简化交互图示;
[0010]图6A-6B示出在至少一个实施例中与终端主机相关联的潜在操作的简化流程图;
[0011]图7A-7B示出在至少一个实施例中与安全设备相关联的潜在操作的简化流程图;
[0012]图8是根据实施例的、耦合到示例处理器的存储器的框图;以及
[0013]图9是根据实施例的示例计算系统的框图。
【具体实施方式】
[0014]图1是根据本公开的至少一个实施例的、用于阻止网络环境中的恶意应用的计算系统100的简化框图。计算系统100可包括受保护的网络,此受保护的网络包括至少一个终端主机130、终端主机策略服务器140、网络安全设备150、本地威胁情报服务器170以及网络安全管理器180。受保护的网络可以配置成经由诸如网络110之类的任何合适的网络来与其他系统和网络通信。在至少一个实施例中,网络110是诸如因特网之类的广域网。云威胁情报服务器120可由受保护的网络经由网络110来访问。
[0015]参考特定的元件,终端主机130可包括端点情报代理(EIA) 132、应用133、动态链接库(DLL)模块135、至少一个处理器136以及至少一个存储器元件138。网络安全设备150可包括端点情报服务器152、本地网络策略服务器154、至少一个处理器156以及至少一个存储器元件158 ο在至少一个实施例中,可以在受保护的网络中提供交换机、路由器或其他合适的网络元件160以促进终端主机130与网络110之间的通信。在此配置中,网络安全设备150是带外的,并且网络元件160从终端主机130接收网络通信量(traffic),并将网络通信量发送到终端主机130。网络元件160可包括SPAN端口 162,以允许将网络通信量复制到网络安全设备150中。在其他实施例中,网络安全设备150可直联(in-line)地配置,以在不具有使网络通信量能绕过网络安全设备150的任何中间网络元件的情况下从终端主机130接收网络通信量。本地威胁情报服务器170可以包含某些应用和动态链接库的文件声誉分值,并且可以在被请求时将此类信息提供给网络安全设备150。网络安全管理器180可以接收与终端主机130的进程相关联的元数据,并且可以提供用于向用户显示与此进程相关联的信息的用户界面。
[0016]为了说明用于阻止恶意应用的计算系统100的某些示例技术,理解可能正在穿越网络环境的通信是重要的。下列基础信息可视为可以适当地解释本公开的基础。
[0017]恶意软件会中断计算机网络,并且导致系统不稳定和/或不安全。如本文中所使用,恶意软件(本文中也被称为“恶意应用”)是通常用于描述设计为参与对计算机的怀敌意的和/或不希望的行为的软件的广义术语,并且一般包括设计成用于干扰计算机或网络的正常操作和/或获得对计算机或网络的未经授权的访问的任何软件。一旦终端主机遭损害,恶意软件就会破坏此终端主机,并使用它来进行恶意活动。在一些实例中,恶意软件可以设计成用于窃取、损坏、公开、修改或以其他方式损害数据。恶意软件也可以包括传播向量,这些传播向量使恶意软件能在组织的网络(例如,受保护的网络)内或跨其他网络或计算机系统分散。恶意软件的示例可包括但不仅限于,病毒、垃圾邮件、钓鱼诈骗、拒绝服务(DOS)攻击、目录采集、僵尸网络、间谍软件、广告软件、木马和蠕虫。
[0018]将会领会,本公开的广泛的范围旨在将“软件”引用为涵盖包括指令的任何电子文件或对象,所述指令可被理解为在计算机上并且在计算机上被处理,所述计算机诸如例如,应用(例如,可执行文件、对象文件、脚本文件、解释器文件,等等)和动态链接库(DLL)模块或当准备应用供执行时可以被加载并链接的的其他模块。如果应用或DLL模块是恶意软件或者如果它被恶意软件感染(例如,被恶意软件破坏的良性的应用或DLL模块),则应用或DLL模块是恶意的。另外,如果根据应用而实例化的进程加载了恶意的DLL模块,那么,此应用也可以被视为是“恶意的”。
[0019]用于恶意软件检测的一种常见的方法涉及扫描应用以标识已知的签名,并且基于此签名来获取文件声誉分值。签名是典型地被表达为固定的数位串的散列值。可以通过将加密散列算法应用于应用或应用的一个或多个部分来导出散列值。一种共知的算法是MD5消息摘要算法,此MD5消息摘要算法是产生具有预定的位长度(例如,128位)的散列值的加密散列函数,并且在“MD5消息摘要算法征求意见稿(FRC) 1321,R.Rivest,1992年4月,由RFC6151更新”中指定。
[0020]文件声誉分值(本文中也被称为“威胁情报分值”可以是反映特定的文件(S卩,应用或其他模块)是恶意的似然率的分值。文件声誉分值可以配置成例如在从良性的到恶意的、或好的到差的尺度范围内变化。在一些示例中,范围可包括不同程度,诸如,好的、差的、严重的、关键的、未知的,等等。在其他示例中,范围可包括对于好、差或未知的简单使用。可以通过在本地或全局地(例如,在云中)查询威胁情报服务器并提供有争议的应用的散列值来获取文件声誉分值。威胁情报服务器可以判断散列是否是已知的(即,由散列表示的应用是否经评估,以及是否为此应用导出了分值)。如果应用是已知的,则威胁情报服务器可以将对应的分值提供给查询设备。威胁情报服务器能以任何合适的方式导出散列的文件声誉分值,这些方式包括但不仅限于,集体情报、对特定文件的分析、和/或与其他威胁向量(诸如,web、电子邮件和网络威胁数据等)相关。
[0021]在带有许多最终用户主机的大型网络中,评估每一个网络连接并且可以联系本地和/或云服务以获得声誉信息的安全软件可以使用大量局部化的资源。然而,网络解决方案也可能通过从最终用户主机建立网络连接的反复尝试来使用巨量的网络资源。由此,需要使对网络资源的使用最小化,同时有效地阻止恶意应用进行网络连接的解决方案。
[0022]—些恶意软件可以配置成在对应于具有好的声誉的应用的进程的执行期间隐藏或躲避检测。例如,应用可以配置成在执行期间加载一个或多个其他模块(诸如,动态链接库(DLL)模块)。在一些配置中,可以在与应用相关联的进程已经建立了网络会话之后加载模块。由此,可能无法基于文件声誉分值而将应用以及此应用的所加载的模块的初始评估识别为是恶意的。在另一示例中,当在貌似良性的网络连接期间下载恶意软件时,此恶意软件可能影响应用或由应用使用的其他模块(例如,DLL)。这可能无法由常规的安全解决方案迅速地检测到。由此,还需要标识并阻止已经注入在网络通信量中的恶意软件的解决方案。
[0023]如附图中所概述,用于阻止网络环境中的恶意应用的系统可以解决这些问题(和其他问题)。在计算系统100中,端点情报代理拦截终端主机(或虚拟桌面基础结构(VDI)服务器)上的网络访问尝试,并且将此应用的元数据提供给网络安全设备。网络安全设备可以查询威胁情报服务器和/或云服务以获取此应用的文件声誉分值(本文中也被称为“威胁情报声誉分值”和“TI声誉分值”)。可使用TI声誉分值以基于一个或多个本地网络策略来确定将由终端主机采取的动作。网络安全设备可以将TI声誉分值和动作信息提供给最终主机。取决于动作信息(即,指令、通知,或将采取的动作的其他指示),终端主机可以创建实现动作的规则,所述动作诸如阻止应用进行未来的网络连接。由此,可以通过阻止终端主机处的应用来保护网络中的其他主机免受此终端主机上的恶意软件的破坏。然而,如果应用具有好的声誉,或如果网络安全设备处的策略指示了阻止动作是不合适的,则可允许网络通信量。例如,终端主机可以通过不执行任何阻止动作,简单地允许网络会话继续。
[0024]当允许网络连接时,在网络会话期间,附加的评估可以在网络安全设备和终端主机两者处继续。在至少一个实施例中,可以在终端主机上评估应用的经加载的或调用的模块(诸如,DLL文件)以判断它们是否遭恶意软件损害。如果是,则终端主机可以将本地分值(“端点声誉分值”)分配给此应用,并且将它发送到网络安全设备。网络安全设备可以基于本地网络策略和端点声誉分值来确定动作,并且可以将指示了将采取的动作的动作信息往回发送给终端主机。取决于动作信息,终端主机随后可以创建阻止此应用从终端主机进行未来的网络连接的规则。在当网络通信量被允许的另一场景下,网络安全设备可以继续对网络通信量监测恶意软件。如果检测到恶意软件,则网络安全设备可以将网络通信量与来自终端主机的网络连接信息相关联,以便标识与网络通信量相关联的终端主机和应用。网络安全设备可以声誉信息和动作信息提供给终端主机。
[0025]当应用的差TI声誉分值被提供到终端主机时,取决于特定的实现,可以在网络安全设备处、终端主机处或者这两者处阻止与当前运行的进程相关联的正在进行的网络通信量。如果网络安全设备是直联的,则它可以阻止正在进行的网络通信量,但是如果网络安全设备是带外的,则它可以通知终端主机也阻止此正在进行的网络通信量。由此,计算系统100的实施例可以监测网络通信量并阻止所建立的会话的恶意应用,并且可以防止与检测到的恶意应用相关联的未来的网络连接。
[0026]转向图1,图1示出用于阻止网络环境中的恶意应用的计算系统100的简化示例。为了易于说明,单个终端主机130示出为与主机策略服务器140、网络安全设备150,以及可能的网络元件160进行通信。然而,将显而易见的是,众多终端主机可以配置成经由网络安全设备150或网络元件160来与网络110进行通信,并且主机策略服务器140可以配置成管理多个终端主机的策略。此外,在至少一些实现中,可以利用与网络安全设备150和主机策略服务器140通信的虚拟化台式机基础结构(VDI)服务器来虚拟化多个终端主机。在这种场景下,能以端点情报代理132来配置VDI服务器,并且此VDI服务器可以为多个虚拟化的终端主机执行拦截和应用阻止功能。
[0027]在至少一个实施例中,网络安全设备150可以配置为与终端主机130直联。在此直联式实施例中,网络安全设备150可以从终端主机130接收网络通信量,并且例如经由网络112和110来将此网络通信量转发至本地或远程目的地节点。在至少一个其他实施例中,网络安全设备150可以带外地配置,并且网络元件160可以被配置为与终端主机130直联。在此带外实施例中,网络安全设备150可以从网络元件160接收与终端主机130相关联的网络通信量,并且可以例如经由网络114和110来将此网络通信量转发至本地或远程目的地节点。SPAN端口 162可以配置成将网络通信量的数据分组的副本提供给网络安全设备150。
[0028]—般而言,可以在任何类型或任何拓扑的网络中实现计算系统100。网络112 (直联式实施例),114(带外式实施例)以及110各自都表示经互连的通信路径的一系列点或节点,用于接收和发送通过计算系统100而传播的信息的分组。这些网络在节点之间提供可通信接口、并且可配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网,虚拟私有网络(VPN)、以及促进网络环境中的通信的任何其他合适的架构或系统、或上述各项的任何合适的组合(包括有线和/或无线的通信)。这些网络可以包括任何数量的有线(例如,以太网等)和无线技术(例如,2012年3月29日发布的电气与电子工程师学会(IEEE)标准802.11?-2012、2012年8月17日发布的IEEE标准802.16*-2012、胃丨?丨^1&?、专用近距离通信(031?0,等等),卫星、蜂窝技术(例如,36/46/5G/nG,等等),其他无线电频率(例如,近场通信(NFC)、射频识别(RFID),等等)和/或促进网络环境中的网络通信的任何其他联网协议。在至少一个实施例中,网络112和114表示受保护的网络的实施例,此受保护的网络可以配置为内部的、潜在地私有的、与实体(例如,企业、学校、政府机关,组织,等等)相关联的网络。在至少一个实施例中,网络110表示广域网(例如,因特网),此广域网允许由内部网络的终端主机(诸如,终端主机130)对其他网络和系统的访问。
[0029]在计算系统100中,可以根据任何合适的通信消息传送协议来发送和接收网络通信量,此网络通信量包括分组、帧、信号、数据等。合适的通信消息传送协议可包括多层式方案(诸如,开放系统互连(OSI)模型),或多层式方案的任何衍生或变体(例如,传输控制协议/网际协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。分组是可以在分组交换网路(诸如,网络112、114和110)上的源节点与目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。作为示例,这些网络地址可以是TCP/IP消息传送协议中的网际协议(IP)地址。如本文中所使用的术语“数据”是指可以从电子设备和/或网络中的一个点传递到另一点的任何类型的二进制文件、数字、语音、视频、文本、或脚本数据、或任何类型的源或目标代码,或任何合适的格式的任何其他合适的信息。此外,消息、请求、响应和查询是网络通信量的形式,因此,可以包括分组、帧、信号,数据等。
[0030]一般而言,“服务器”、“主机”和“计算设备”(包括用于实现计算系统100的此类设备(例如,120、130、140、150、160、170,180)可以包括可操作以接收、传输、处理、存储和/或管理与本文中所公开的实施例相关联的数据和信息的所有类型的设备、电子计算设备和机器。这些计算设备可以各自都包括一个或多个处理器、计算机可读存储器以及促进其操作的任何合适的硬件、软件、固件、组件、模块或对象。这些计算设备也可以包括采用任何合适的连接(有线的或无线的)的接口,以便接收、传输,和/或以其他方式在计算系统100中传递数据或信息。这可以包括允许数据或信息的有效交换的合适的算法和通信协议。此外,计算设备还可以配置成执行任何操作系统(例如,Linux、UNIX、Windows、Windows Server,等等)以管理其中的硬件组件。此外,一些计算设备可包括适用于使特定操作系统的执行虚拟化的虚拟机。
[0031]在至少一个实施例中,网络安全设备150是可以主管涉及网络安全的软件应用和其他程序的网络元件。在一些实现中,网络安全设备150也可配置成促进终端主机(例如,终端主机130)与其他本地或远程计算设备和网络之间的通信。网络元件是计算设备类型的,并且可包括但不仅限于,防火墙、服务器、网络设备、路由器、交换机、网关、桥接器、负载平衡器、处理器、模块或可操作以在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。
[0032]终端主机130可包括一般被实现为网络中的端点设备的计算设备,诸如例如,个人计算机、膝上型计算机、蜂窝电话、智能电话、平板计算机、个人数字助理、媒体客户端、移动互联网设备以及适用于接收、发送或以其他方式在计算系统100中进行通信的其他设备。终端主机130也可以包括配置成发起与其他本地或远程计算设备的网络通信的网络元件或其他计算设备。将会理解,可以有配置在计算系统100中(例如,在网络112、114中)的任何数量的终端主机。
[0033]计算系统100的计算设备(诸如,终端主机130和网络安全设备150)可包括用于实现或促进本文中概述的操作的软件模块(例如,端点情报代理132、端点情报服务器152)。这些模块能以任何合适的方式合适地被组合或分区,这可以基于特定的配置和/或供应(provis1ning)需求。在一些实施例中,可以由在这些元件的外部实现的或被包括在某个其他计算设备中的硬件和/或固件来执行此类操作中的一个或多个以实现计划的功能。这些元件也可以包括可以与其他计算设备协调以实现如本文中所概述的操作的软件(或往复式软件)。
[0034]在至少一个实施例中,网络安全设备150的端点情报服务器152和终端主机130的端点情报代理132配置成协作以标识与穿越或尝试穿越计算系统100的网络通信量相关联的恶意应用。主机策略服务器140可以配置成根据策略来将网络安全设备150的监测端口网络地址(例如,网际协议(IP)地址)推送到端点情报代理132。端点情报代理132可以将元数据提供给端点情报服务器152以允许标识恶意的应用。
[0035]由端点情报代理132提供的元数据可以与终端主机130上尝试例如经由网络110来进行至目的地主机的网络连接的进程相关联。在本文中将此进行网络连接的尝试称为“网络访问尝试”。终端主机进程是正在在终端主机上执行的应用的实例。当由终端主机130上的进程发起网络通信量时,终端主机130被称为“源主机”。源主机可以将网络通信量发送到目的地主机,此目的地主机可以是可由源主机访问的任何本地或远程网络(例如,网络112、114,110,等等)中的节点。
[0036]由端点情报代理132传递到端点情报服务器152的元数据可以提供关于与某些网络通信量相关联的终端主机130、终端主机130的当前用户以及应用(例如,应用133的)和进程的可见性。元数据可包括用户信息、主机应用信息和/或主机进程信息。用户信息可包括用户名/标识符、安全标识符(SID)等中的一个或多个。主机应用和进程信息可包括下列各项中的中的一项或多项:应用名称和文件路径(AppPath(App路径))、应用的散列或校验和(MD5Hash(MD5散列))、应用的声誉(AppReputat1n(App声誉)