使用公共因特网搜索确定基于因特网的对象信息的制作方法

使用公共因特网搜索确定基于因特网的对象信息的制作方法
【专利摘要】本发明的各实施方式总体上涉及使用公共因特网搜索确定基于因特网的对象信息。具体地，设备可以接收对象。该设备可以确定针对对象的对象信息。该设备可以基于对象信息使得因特网搜索执行以确定因特网搜索结果。对象信息可以被提供为针对因特网搜索的一个或多个因特网搜索查询。该设备可以基于使得因特网搜索执行而接收因特网搜索结果。因特网搜索结果可以与对象信息相关。该设备可以分析因特网搜索结果以确定基于因特网的对象信息。该设备可以存储或提供基于因特网的对象信息以允许确定对象是否为恶意。
【专利说明】
使用公共因特网搜索确定基于因特网的对象信息
技术领域
[0001]本发明的各实施方式总体上涉及计算机领域，具体地涉及使用公共因特网搜索确定基于因特网的对象信息。
【背景技术】
[0002]对象(例如，文件、文档、可执行文件等)可以包括对象内容，诸如词语、短语、串等。对象还可以包括描述该对象的对象元数据，诸如出版日期、作者、说明等。某些对象可能是恶意的并且可以执行不期望的动作。

【发明内容】

[0003]根据某些可能的实现方式，设备可以包括一个或多个处理器。该一个或多个处理器可以接收对象。该一个或多个处理器可以确定针对对象的对象信息。该一个或多个处理器可以基于对象信息使得因特网搜索执行以确定因特网搜索结果。对象信息可以被提供为针对因特网搜索的一个或多个因特网搜索查询。该一个或多个处理器可以基于使得因特网搜索执行而接收因特网搜索结果。因特网搜索结果可以与对象信息相关。该一个或多个处理器可以分析因特网搜索结果以确定基于因特网的对象信息。该一个或多个处理器可以存储或提供基于因特网的对象信息以允许确定对象是否为恶意。
[0004]根据某些可能的实现方式，一种计算机可读介质可以存储一个或多个指令，一个或多个指令在由一个或多个处理器执行时使得一个或多个处理器接收对象用于对象内容的确定。对象内容可以包括在对象中。该一个或多个指令可以使得一个或多个处理器确定针对对象的对象内容。该一个或多个指令可以使得一个或多个处理器处理对象内容以生成多个因特网搜索查询。该一个或多个指令可以使得一个或多个处理器向搜索引擎设备提交多个因特网搜索查询。该一个或多个指令可以使得一个或多个处理器基于多个因特网搜索查询从搜索引擎设备接收多个因特网搜索结果。该一个或多个指令可以使得一个或多个处理器分析多个因特网搜索结果以确定基于因特网的对象信息。该一个或多个指令可以使得一个或多个处理器存储或提供基于因特网的对象信息以允许确定对象是否恶意。
[0005]根据某些可能的实现方式，一种方法可以包括由设备接收对象用于处理以确定基于因特网的对象信息。该方法可以包括由设备确定针对对象的对象信息。对象信息可以包括在对象中或描述对象。该方法可以包括由设备基于对象信息生成因特网搜索查询。该方法可以包括由设备基于因特网搜索查询使得因特网搜索执行以确定搜索结果。该方法可以包括由设备分析搜索结果以确定基于因特网的对象信息。该方法可以包括由设备以基于因特网的对象信息为基础确定对象是否恶意。
[0006]根据某些可能的实现方式，一种设备，包括:一个或多个处理器用于:接收对象；确定针对对象的对象信息；基于对象信息使得因特网搜索执行以确定因特网搜索结果，对象信息被提供为针对因特网搜索的一个或多个因特网搜索查询；基于使得因特网搜索执行而接收因特网搜索结果，因特网搜索结果与对象信息相关；分析因特网搜索结果以确定基于因特网的对象信息；以及存储或提供基于因特网的对象信息以允许确定对象是否为恶
O
[0007]在一个示例实施方式中，其中一个或多个处理器在确定对象信息时进一步用于:确定针对对象的对象内容，对象内容包括对象中包括的信息；以及其中一个或多个处理器在使得因特网搜索执行时进一步用于:使得因特网搜索基于对象内容执行，对象内容被处理以生成一个或多个因特网搜索查询。
[0008]在一个示例实施方式中，其中一个或多个处理器在确定对象信息时进一步用于:确定针对对象的对象元数据，对象元数据包括描述对象的信息；以及其中一个或多个处理器在使得因特网搜索执行时进一步用于:使得因特网搜索基于对象元数据执行，对象元数据被处理以生成一个或多个因特网搜索查询。
[0009]在一个示例实施方式中，其中一个或多个处理器在确定对象信息时进一步用于:执行静态分析以确定对象信息，对象信息被确定而不需要打开或执行对象。
[0010]在一个示例实施方式中，其中一个或多个处理器在确定对象信息时进一步用于:通过执行对象确定对象信息，执行使得对象提供对象信息。
[0011]在一个示例实施方式中，其中一个或多个处理器进一步用于:以基于因特网的对象信息为基础确定对象的分类，分类指示对象是安全还是不安全。
[0012]在一个示例实施方式中，其中预测模型通过向已知对象以及与已知对象相关联的已知因特网搜索结果应用机器学习算法而生成；以及其中一个或多个处理器在分析因特网搜索结果时进一步用于:基于预测模型分析与对象相关联的因特网搜索结果以确定基于因特网的对象信息。
[0013]根据某些可能的实现方式，一种存储指令的计算机可读介质，指令包括:一个或多个指令在由一个或多个处理器执行时使得一个或多个处理器用于:接收对象用于对象内容的确定，对象内容包括在对象中；确定针对对象的对象内容；处理对象内容以生成多个因特网搜索查询；向搜索引擎设备提交多个因特网搜索查询；基于多个因特网搜索查询从搜索引擎设备接收多个因特网搜索结果；分析多个因特网搜索结果以确定基于因特网的对象信息；以及存储或提供基于因特网的对象信息以允许确定对象是否恶意。
[0014]在一个示例实施方式中，其中一个或多个指令在由一个或多个处理器执行时进一步使得一个或多个处理器用于:以基于因特网的对象信息为基础确定对象的分类，分类指示对象是否恶意。
[0015]在一个示例实施方式中，其中一个或多个指令在由一个或多个处理器执行时进一步使得一个或多个处理器用于:确定对象的对象元数据，对象元数据包括描述对象的信息；以及其中使得一个或多个处理器提交多个因特网搜索查询的一个或多个指令进一步使得一个或多个处理器用于:处理对象元数据以获得一个或多个因特网搜索查询；以及向搜索引擎设备提交一个或多个因特网搜索查询。
[0016]在一个示例实施方式中，其中使得一个或多个处理器确定对象内容的一个或多个指令进一步使得一个或多个处理器用于:执行静态分析以确定对象内容，对象内容被确定而不需要打开或执行对象。
[0017]在一个示例实施方式中，其中使得一个或多个处理器确定对象内容的一个或多个指令进一步使得一个或多个处理器用于:通过执行对象确定对象内容，执行使得对象提供对象内容。
[0018]在一个示例实施方式中，其中使得一个或多个处理器分析多个因特网搜索结果的一个或多个指令进一步使得一个或多个处理器用于:基于以下各项中的至少一项分析多个因特网搜索结果:与多个因特网搜索结果相关联的发布的日期，与多个因特网搜索结果相关联的页面浏览数目，与多个因特网搜索结果相关联的排名，或者与多个因特网搜索结果相关联的名誉。
[0019]在一个示例实施方式中，其中预测模型通过向已知对象以及与已知对象相关联的已知因特网搜索结果应用机器学习算法而生成；以及其中使得一个或多个处理器分析多个因特网搜索结果的一个或多个指令进一步使得一个或多个处理器用于:基于预测模型分析与对象相关联的多个因特网搜索结果以确定基于因特网的对象信息。
[0020]根据某些可能的实现方式，一种方法，包括:由设备接收对象用于处理以确定基于因特网的对象信息；由设备确定针对对象的对象信息，对象信息包括在对象中或描述对象；由设备基于对象信息生成因特网搜索查询；由设备基于因特网搜索查询使得因特网搜索执行以确定搜索结果；由设备分析搜索结果以确定基于因特网的对象信息；以及由设备以基于因特网的对象信息为基础确定对象是否恶意。
[0021]在一个示例实施方式中，进一步包括:确定针对对象的对象元数据，对象元数据包括描述对象的信息；以及其中使得因特网搜索执行进一步包括:使得因特网搜索基于对象元数据执行。
[0022]在一个示例实施方式中，其中预测模型通过向已知对象以及与已知对象相关联的已知因特网搜索结果应用机器学习算法而生成；以及方法，进一步包括:基于预测模型分析与对象相关联的因特网搜索结果以确定基于因特网的对象信息。
[0023]在一个示例实施方式中，其中确定对象信息进一步包括:执行静态分析以确定对象信息，静态分析确定对象信息而不需要打开或执行对象。
[0024]在一个示例实施方式中，其中确定对象信息进一步包括:通过执行对象确定对象in息，执行使得对象提供对象信息。
[0025]在一个示例实施方式中，其中确定对象信息进一步包括:确定针对对象的对象内容和对象元数据，对象内容包括在对象中，并且对象元数据描述对象；以及其中生成因特网搜索查询进一步包括:基于对象内容并且基于对象元数据生成因特网搜索查询。
【附图说明】
[0026]图1是本文所述示例实现方式的概述图；
[0027]图2是其中可以实现本文所述系统和/或方法的示例环境的图；
[0028]图3是图2的一个或多个设备的示例部件的图；
[0029]图4是用于基于对象内容和/或对象元数据确定基于因特网的对象信息的示例处理的流程图；以及
[0030]图5A至图是与图4中所示示例处理相关的示例实现方式的图。
【具体实施方式】
[0031]下面参考附图详细描述示例实现方式。不同附图中的相同参考标号可以标识相同或相似的元件。
[0032]网络服务提供者可能期望确定与对象相关的信息(例如，录入与网络服务提供者相关联的网络的文件、连接到网络的设备上的文件、可执行文件等)。对象可以包括对象内容(例如，串、短语、句子、错误消息、对话框、窗□标题、名称、web地址、网络地址等)和对象元数据(例如，描述对象的信息，诸如对象的发布者、对象的出版日期、对象类型、操作系统、对象说明、与对象相关联的版本标识符等)。网络服务提供者可以维护和/或访问私有数据库以确定与对象有关可以用于例如确定该对象是否恶意的信息。然而，私有数据库可能不足以确定该信息。例如，对象可能太新、太模糊等而不能包括在私有数据库中。此外，私有数据库可能依赖于特定实体来更新数据库，这可能造成私有数据库易于出现错误和疏漏。
[0033]本文所述实现方式可以在使用公共因特网搜索而不是(或者除了 )私有数据库搜索来确定与对象有关的信息方面辅助网络服务提供者。网络安全设备可以接收对象，并且可以确定来自对象的对象内容和对象元数据。网络安全设备可以向搜索引擎设备提供对象内容和/或对象元数据(如因特网搜索项)。基于该因特网搜索项，网络安全设备可以接收描述公共可获得的网页、文档之类的因特网搜索结果。网络安全设备可以分析该因特网搜索结果以确定描述对象的基于因特网的对象信息。网络安全设备可以提供和/或存储基于因特网的对象信息(例如，与和该对象相关的其他信息一起、作为与对象相关的信息的数据库的一部分等)。通过此方式，网络安全设备可以确定来自因特网的对象信息，其覆盖被任何私有数据库更广的对象范围，频繁地提供与新(例如，最近)对象相关的信息，并入由公共的成员提供的信息，并且其可以向对象的来源、发布者、预期用户等提供附加的洞察力。
[0034]图1是本文描述的示例实现方式100的概述图。如图1中所示，假设网络安全设备接收对象。进一步假设对象包括对象内容和对象元数据。如图所示，网络安全设备可以确定来自对象的对象内容和对象元数据。如图进一步所示，假设网络安全设备向因特网搜索引擎提供对象内容和对象元数据(例如，通过提供不同串、短语等作为不同搜索项等)。如图所示，网络安全设备可以基于以对象内容和元数据为基础执行搜索的因特网搜索引擎来接收因特网搜索结果。进一步如图所示，网络安全设备可以基于因特网搜索结果确定基于因特网的对象信息。基于因特网的对象信息可以包括与对象的年龄、对象的起源、与对象相关联的网站的名誉(例如，恶意网站、广告网站、社交媒体网站、博客网站等)、与对象相关联的网站的流行度的测量(例如，基于页面浏览量、其他链接网站、搜索结果排名等)、对象的论坛讨论(例如，论坛讨论中帖子的数目、论坛讨论的话题等)等相关的信息。网络安全设备或另一设备可以使用基于因特网的对象信息来确定对象是否恶意、对象的类型等。
[0035]通过此方式，网络安全设备可以基于对象内容和对象元数据编译因特网搜索结果。因特网搜索结果可以提供由于年龄、模糊等可能无法在私有数据库中获得的信息。网络安全设备可以分析因特网搜索结果以确定基于因特网的对象信息，其可以辅助网络安全设备和/或与该网络安全设备相关联的网络服务提供者对对象进行分类和/或监控(例如，以确定对象是否恶意)。
[0036]图2是其中可以实现本文所述系统和/或方法的示例环境200的图。如图2中所示，环境200可以包括客户端设备210、网络安全设备220、搜索引擎设备230和网络240。环境200的设备可以经由有线连接、无线连接或有线连接和无线连接的组合互连。
[0037]客户端设备210可以包括能够接收、生成、存储、处理和/或提供信息的一个或多个设备。例如，客户端设备210可以包括通信和/或计算设备，诸如移动电话(例如，智能电话、无线电电话等)、膝上型计算机、平板计算机、手持计算机、游戏设备或类似设备类型。在某些实现方式中，客户端设备210可以从环境200中的另一设备接收信息和/或向环境200中的另一设备传输信息。例如，客户端设备210可以从网络安全设备220接收对象和/或向网络安全设备220提供对象(例如，用于基于因特网的分析)。在某些实现方式中，客户端设备210可以接收、生成、存储、处理和/或提供基于因特网的对象信息(例如，由客户端设备210、网络安全设备220或另一设备生成的基于因特网的对象信息)。在某些实现方式中，客户端设备210能够执行、运行、操作、解析和/或读取对象(例如，用于确定来自对象的对象内容和对象元数据)。
[0038]网络安全设备220可以包括能够接收、生成、存储、处理和/或提供对象和/或与对象相关的信息的一个或多个设备。例如，网络安全设备220可以包括计算设备，诸如服务器、移动电话(例如，智能电话、无线电电话等)、膝上型计算机、平板计算机、手持计算机或类似设备。在某些实现方式中，网络安全设备220可以包括网络设备，诸如网关、防火墙、集线器、路由器或类似设备。网络安全设备220可以接收对象(例如，针对客户端设备210的对象、由客户端设备210提供的对象等)。网络安全设备220可以确定来自对象的对象内容和/或对象元数据。在某些实现方式中，网络安全设备220可以向因特网搜索引擎提供对象内容和/或对象元数据(例如，用于基于该对象内容和/或对象元数据的因特网搜索)。网络安全设备220可以存储和/或提供基于因特网的对象信息(例如，向客户端设备210或另一设备)。在某些实现方式中，网络安全设备220可以以基于因特网的对象信息为基础确定对象是否恶意，和/或可以向另一设备提供基于因特网的对象信息(例如，供该另一设备用于确定对象是否恶意)。
[0039]搜索引擎设备230可以包括能够接收、生成、存储、处理和/或提供因特网搜索查询和/或因特网搜索结果的一个或多个设备。例如，搜索引擎设备230可以包括服务器或类似设备。搜索引擎设备230可以从网络安全设备220或另一设备接收因特网搜索查询，并且可以通过基于该因特网搜索查询搜索因特网来确定因特网搜索结果(例如，与因特网搜索查询有关的因特网文档)。搜索引擎设备230可以生成因特网搜索结果的排名列表(例如，基于排名算法)，并且可以向网络安全设备220或另一设备提供因特网搜索结果的排名列表。
[0040]网络240可以包括一个或多个有线和/或无线网络。例如，网络240可以包括蜂窝网络(例如，长期演进(LTE)网络、3G网络、码分多址(CDMA)网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MN)、电话网络(例如，公共交换电话网络(PSTN))、私有网络、自适应网络、内联网、因特网、基于光纤的网络、云计算网络等和/或这些网络的组合或者其他类型的网络。
[0041]图2中所示的设备和网络的数目和布置作为示例提供。实践中，与图2中所示的设备和/或网络相比，可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同布置的设备和/或网络。此外，图2中所示的两个或更多设备可以在单个设备中实现，或者图2中所示的单个设备可以被实现为多个分布的设备。附加地或备选地，环境200的设备集(例如，一个或多个设备)可以执行描述为正由环境200的另一设备集执行的一个或多个功能。
[0042]图3是设备300的示例组件的图。设备300可以对应于客户端设备210、网络安全设220和/或搜索引擎设备230。在某些实现方式中，客户端设备210、网络安全设220和/或搜索引擎设备230可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中所示，设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口 370。
[0043]总线310可以包括允许在设备300的组件之间通信的组件。处理器320以硬件、固件或硬件和软件的组合实现。处理器320可以包括处理器(例如，中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器和/或解释和/或执行指令的任何处理组件(例如，现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。处理器330可以包括随机访问存储器(RAM)、只读存储器(ROM)和/或存储信息和/或指令供处理器320使用的另一类型的动态或静态存储设备(例如，闪存、磁存储器、光存储器等)。
[0044]存储组件340可以存储与设备300的操作和使用相关的信息和/或软件。例如，存储组件340可以包括硬盘(例如，磁盘、光盘、磁光盘、固态盘等)、紧致盘(⑶)、数字通用盘(DVD)、软盘、卡盘、磁带和/或另一类型的计算机可读介质连同对应驱动。
[0045]输入组件350可以包括允许设备300诸如经由用户输入接收信息的组件(例如，触摸屏显示器、键盘、小键盘、鼠标、按钮、开关、麦克风等)。附加地或备选地，输入组件350可以包括用于感测信息的传感器(例如，全球定位系统(GPS)组件、加速计、陀螺仪、致动器等)。输出组件360可以包括从设备300提供输出信息的组件(例如，显示器、扬声器、一个或多个发光二极管(LED)等)。
[0046]通信接口 370可以包括类收发机组件(例如，收发机、单独的接收机和发射机等)，使得设备300能够诸如经由有线连接、无线连接或有线连接和无线连接的组合与其他设备通信。通信接口 370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如，通信接口 370可以包括以太网接口、光学接口、同轴电缆接口、红外线接口、射频(RF)接口、通用串行总线(USB)接口、W1-Fi接口、蜂窝网络接口等。
[0047]设备300可以执行这里所述的一个或多个处理。设备300可以响应于处理器320执行由计算机可读介质(诸如存储器330和/或存储组件340)存储的软件指令来执行这些处理。计算机可读介质本文被限定为非瞬态存储器设备。存储器设备包括单个物理存储设备中的存储器空间或者遍布在多个物理存储设备之间的存储器空间。
[0048]软件指令可以经由通信接口 370从另一计算机可读介质或从另一设备读取至存储器330和/或存储组件340。当执行时，存储器330和/或存储组件340中存储的软件指令可以使得存储器320执行这里所述的一个或多个处理。附加地或备选地，硬件电路可以用于替代软件指令或与软件指令组合来执行这里所述的一个或多个处理。因此，这里所述的实现方式不限于硬件电路和软件的任何特定组合。
[0049]图3中所示的组件的数目和布置作为示例提供。实践中，与图3中所示的组件相比，设备300可以包括附加的组件、更少的组件、不同的组件、或者不同布置的组件。附加地或备选地，设备300的组件集(例如，一个或多个组件)可以执行描述为正由设备300的另一组件集执行的一个或多个功能。
[0050]图4是用于基于对象内容和/或对象元数据确定基于因特网的对象信息的示例处理400的流程图。在某些实现方式中，图4的一个或多个处理框可以由网络安全设备220执行。在某些实现方式中，图4的一个或多个处理框可以由与网络安全设备220分类或包括网络安全设备220的另一设备或设备集(诸如客户端设备210和/或搜索引擎设备230)执行。
[0051]如图4中所示，处理400可以包括接收与对象内容和/或对象元数据相关联的对象(框410)。例如，网络安全设备220可以接收与对象内容和/或对象元数据相关联的对象。在某些实现方式中，网络安全设备220可以从客户端设备210接收对象(例如，基于客户端设备210检测与对象相关联的潜在威胁，基于客户端设备210自动提供对象而不需要用户输入，基于客户端设备210接收用户输入而提供对象等)。在某些实现方式中，网络安全设备220可以接收针对客户端设备210的对象。例如，网络安全设备220可以作为针对客户端设备210的网关和/或防火墙，并且可以拦截去往客户端设备210途中的对象。网络安全设备220可以使用对象内容和/或对象元数据确定描述对象的基于因特网的对象信息，其可以在确定风险级别、起源或与对象相关的其他信息方面辅助网络安全设备220。
[0052]对象可以包括可执行文件(例如，Windows可执行文件(EXE)、Windows脚本文件(WSF)等)、网页对象(例如，超文本标记语言(HTML)文档等)、文本对象(例如，MicrosoftWord文档(DOC)、纯文本文件(TXT))、页面布局对象(例如，可移植文档格式文件(PDF)、图片文件(PCT))、压缩对象(例如，压缩的文件(ZIP)、WinRAR压缩的档案(RAR)等)或另一类型的对象。
[0053]对象内容可以包括可以存储在对象中和/或由对象引用的一个或多个字符、串、短语、句子等。例如，对象内容可以包括对象中包括的视窗的标题栏、对象中包括和/或由对象提供的错误消息、对象中包括的文本文档、对象中包括的图像和/或图像的描述、音频对象(例如，音频对象的转录、与音频对象相关联的信息等)、网络地址(例如，对象中包括的和/或在执行之后由对象接触的因特网协议(IP)地址等)、web地址(例如，包括在对象中和/或在执行之后由对象接触)等。对象元数据可以包括描述对象的信息。例如，对象元数据可以包括描述创建的时间和/或日期、作者、发布者、创建的位置、与创建的位置相关联的网络地址和/或域名、对象的描述、对象的版本等的信息。
[0054]进一步如图4中所示，处理400可以包括确定对象内容和/或对象元数据(框420) ο例如，网络安全设备220可以确定对象内容和/或对象元数据。网络安全设备220可以确定对象内容和/或对象元数据以针对因特网搜索结果搜索因特网来确定基于因特网的对象信息。在某些实现方式中，另一设备(例如，客户端设备210等)可以确定对象内容和/或对象元数据。
[0055]在某些实现方式中，网络安全设备220可以执行静态分析以确定惰性对象的对象内容和/或对象元数据(例如，而不需要执行和/或操作对象)。例如，网络安全设备220可以通过解析、检查和/或读取对象来执行静态分析。在某些实现方式中，网络安全设备220可以尝试基于对象类型确定惰性对象的对象内容信息和/或对象元数据。例如，如果对象是可疑的可执行文件，则网络安全设备220可以不执行该可疑的可执行文件(例如，出于安全原因)，并且可以尝试通过执行静态分析确定对象内容和/或对象元数据。附加地或备选地，如果网络安全设备220检测到对象是非加密的，则网络安全设备220可以尝试确定惰性对象的对象内容和/或对象元数据。通过此方式，网络安全设备220可以尝试确定惰性对象的对象内容和/或对象元数据，这可以改进安全性和/或允许网络安全设备220确定基于因特网的对象信息而不需要执行和/或打开对象。
[0056]在某些实现方式中，网络安全设备220可以通过打开和/或执行对象来确定对象内容和/或对象元数据。例如，假设网络安全设备220确定惰性对象(例如，基于正被加密、模糊等的惰性对象)的对象内容和/或对象元数据失败。在此情况下，网络安全设备220可以打开和/或执行对象。网络安全设备220可以在打开和/或执行对象之后确定对象内容和/或对象元数据。例如，网络安全设备220可以确定对象使之显示的网络地址和/或web地址(例如，对象与之通信的web地址)、对象的发布者、对象的类型、错误消息、标题文本、对话框等。在某些实现方式中，网络安全设备220在安全、分区和/或积极监控的位置(例如，存储器)中打开和/或执行对象以最小化打开和/或执行对象产生的对网络安全设备220的影响。通过此方式，网络安全设备220可以通过打开和/或执行对象确定对象内容和/或对象元数据，这可以辅助网络安全设备220确定模糊和/或加密对象的对象内容和/或对象元数据以及/或者确定对象与之通信的网络地址和/或web地址。
[0057]在某些实现方式中，对象元数据可以包括与对象相关的消息摘要。消息摘要可以包括基于对象生成的哈希值。在某些实现方式中，网络安全设备220可以使用消息摘要算法(诸如，消息摘要5 (MD5)算法、安全哈希算法等)生成消息摘要。网络安全设备220可以使得一个或多个因特网搜索基于对象元数据执行，这可以允许网络安全设备220确定与对象相关并且与消息摘要相关联的信息。
[0058]进一步如图4所示，处理400可以包括使得一个或多个因特网搜索基于对象内容和/或对象元数据执行以确定因特网搜索结果(框430)。例如，网络安全设备220可以使得一个或多个因特网搜索基于对象内容和/或对象元数据执行以确定因特网搜索结果。在某些实现方式中，网络安全设备220可以针对因特网搜索向搜索引擎设备230(例如，与Google、Yahoo、Bing、DuckDuckGo等相关联的搜索引擎设备230)提交对象内容和/或对象元数据。网络安全设备220可以使得一个或多个因特网搜索执行以确定用于分析的因特网搜索结果。在某些实现方式中，网络安全设备220可以本地执行因特网搜素。
[0059]在某些实现方式中，网络安全设备220可以使得因特网搜索基于特定串执行。例如，假设对象内容包括第一串、第二串和第三串。在某些实现方式中，网络安全设备220可以使得三个因特网搜索执行(例如，可以使得因特网搜索基于三个串中的每个串执行)。在某些实现方式中，网络安全设备220可以使得因特网搜索基于三个串的组合执行(例如，基于第一串和第二串的组合、基于所有三个串的组合等)。
[0060]在某些实现方式中，网络安全设备220可以基于对象内容和/或对象元数据确定和/或生成因特网搜索查询。例如，网络安全设备220可以将对象内容和/或对象元数据解析成串供因特网搜索查询使用，可以基于对象内容和/或对象元数据生成关键字作为因特网搜索查询等。作为另一示例，网络安全设备220可以基于对象内容中包括的特定消息、标题、对话框等和/或对象元数据中包括的特定发布者名称、对象类型、对象描述等生成因特网搜索查询。在某些实现方式中，网络安全设备220可以基于对象内容和/或对象元数据的组合生成因特网搜索查询。例如，网络安全设备220可以生成因特网搜索查询，其包括对应于与对象相关联的对象标题、对象发布者和/或版本标识符的信息。通过此方式，网络安全设备220可以基于对象内容和/或对象元数据生成因特网搜索查询，这可以提高基于因特网的对象信息的准确度。
[0061]在某些实现方式中，网络安全设备220可以使得因特网搜索自动执行而不需要用户输入。例如，基于确定对象内容和/或对象元数据，网络安全设备220可以自动使得因特网搜索基于对象内容和/或对象元数据执行。
[0062]在某些实现方式中，网络安全设备220可以向搜索引擎设备230提供搜索查询用于因特网搜索。搜索引擎设备230可以基于搜索查询执行因特网搜索。在某些实现方式中，搜索引擎设备230可以返回对应于已经由搜索引擎设备230标识为与搜索查询相关的因特网文档的搜索结果列表。基于搜索结果列表，并且基于对应于该搜索结果列表的因特网文档，网络安全设备220或另一设备可以确定描述与搜索查询相关联的对象的基于因特网的对象信息。
[0063]进一步如图4所示，处理400可以包括分析因特网搜索结果以确定基于因特网的对象信息(框440)。例如，网络安全设备220可以分析因特网搜索结果以确定基于因特网的对象信息。基于因特网的对象信息可以描述对象的起源、与对象相关联的风险等级、可疑的对象类型(例如，木马类型、恶意软件类型、广告软件类型、病毒类型、勒索软件类型、社交媒体类型、受限内容类型等)或其他信息。
[0064]在某些实现方式中，网络安全设备220可以应用规则集以分析因特网搜索结果。该规则集可以指示针对网络安全设备220的结论以基于因特网搜索结果的特性进行确定。例如，源自恶意软件网站的排名靠前的因特网搜索结果的第一集合可以指示与因特网搜索结果的第一集合相关联的对象是恶意软件对象。作为另一示例，源自已知文字处理器技术支持论坛的排名靠前的因特网搜索结果的第二集合可以指示与因特网搜索结果的第二集合相关联的对象与文字处理有关。
[0065]在某些实现方式中，规则集可以规定规则以确定因特网搜索结果的置信度的测量。例如，某些因特网搜索结果可以比其他因特网搜索结果在确定基于因特网的对象信息方面更重要。如下文所述，规则集可以规定一个或多个规则以确定哪些因特网搜索结果在确定基于因特网的对象信息方面最重要。通过此方式，网络安全设备220可以基于规则集确定因特网搜索结果的置信度，这可以提高基于因特网的对象信息的准确度和相关性。
[0066]在某些实现方式中，规则集可以基于因特网搜索结果的年龄确定基于因特网的对象信息和/或置信度的测量。例如，更近发布的因特网搜索结果可以指示该因特网搜索结果中包括的信息更近，并且可以由网络安全设备220提供更高置信度。作为另一示例，老的因特网搜索结果可以由网络安全设备220提供较低置信度(例如，基于可能过期或不准确的信息)。通过此方式，网络安全设备220可以基于因特网搜索结果的年龄确定置信度的测量，这可以允许网络安全设备220提高针对最近创建和/或老对象的基于因特网的对象信息的准确度。
[0067]在某些实现方式中，规则集可以基于因特网搜索结果的普及度的测量来确定基于因特网的对象信息。例如，与每天接收数百点击的因特网搜索结果相比，网络安全设备220可以向每天接收数百万点击的因特网搜索结果指派更高的置信度。通过此方式，网络安全设备220可以通过说明更普及的因特网文档比较不普及的因特网文档增加的准确度和/或可靠性来提高基于因特网的对象信息的准确度。
[0068]在某些实现方式中，规则集可以基于与因特网搜索结果相关联的名誉(例如，基于由服务器存储的名誉得分、基于链接至该网页的其他网页等)确定基于因特网的对象信息。例如，假设网络安全设备220基于对象进行因特网搜索并且接收具有与恶意软件相关联的名誉的网页的因特网搜索结果。网络安全设备220可以确定基于因特网的对象信息指示该对象可能是恶意软件(例如，基于与恶意软件相关联的网页)。作为另一示例，假设因特网搜索结果220接收针对文字处理器的名誉社区支持页面的因特网搜索结果。网络安全设备220可以确定基于因特网的对象信息指示与因特网搜索结果相关联的对象可能与文字处理有关，并且可能不是恶意的。通过此方式，网络安全设备220可以通过说明因特网搜索结果的名誉来提高基于因特网的对象信息的准确度以便确定因特网搜索结果是否与恶意网页等相关联。
[0069]在某些实现方式中，规则集可以基于因特网搜索结果内的论坛讨论来确定基于因特网的对象信息。例如，网络安全设备220可以评估论坛的名誉、对论坛讨论响应的数量、论坛讨论的话题、论坛讨论的内容等。在某些实现方式中，网络安全设备220可以针对论坛讨论中的关键字、关键短语等进行搜索以基于论坛讨论确定基于因特网的对象信息。通过此方式，网络安全设备220可以基于论坛讨论确定基于因特网的对象信息，这可以允许网络安全设备220基于人之间发生的对象的讨论来确定附加信息。
[0070]在某些实现方式中，网络安全设备220可以组合多个标准以确定基于因特网的对象信息。例如，网络安全设备220可以基于与因特网搜索结果相关联的名誉、因特网搜索结果的普及度的测量和/或与因特网搜索结果相关联的年龄的组合确定基于因特网的对象信息。在某些实现方式中，网络安全设备220可以基于标准的加权组合确定基于因特网的对象信息。例如，网络安全设备220可以向与因特网搜索结果相关联的名誉指派更大的相对加权，并且可以向与因特网搜索结果相关联的年龄指派更小的相对加权，反之亦然。网络安全设备220可以基于相对加权确定基于因特网的对象信息。通过此方式，网络安全设备220可以基于不同标准的相对加权确定基于因特网的对象信息，这可以允许网络安全设备220在确定基于因特网的对象信息时强调某个标准。
[0071]在某些实现方式中，网络安全设备220可以确定对象的分类。例如，网络安全设备220可以确定基于因特网的对象信息，并且可以以基于因特网的对象信息为基础确定分类。分类可以指示对象不安全(例如，恶意软件程序和/或文件、间谍软件程序和/或文件、广告软件程序和/或文件、病毒等)，对象安全(例如，安全程序和/或文件)、特定文件类别(例如，社交媒体文件、受限文件类别、恶意软件文件、包含敏感信息的文件等)等。在某些实现方式中，网络安全设备220可以确定与分类相关联的概率。例如，网络安全设备220可以以基于因特网的对象信息为基础确定对象不安全、安全、属于特定类别等的概率。
[0072]在某些实现方式中，网络安全设备220可以应用机器学习算法以分析因特网搜索结果。机器学习算法可以分析基于已知对象的因特网搜索结果以生成针对用于确定描述未知对象的基于因特网的对象信息的预测模型的规则。例如，网络安全设备220可以提供已知恶意和/或非恶意对象的集合以及与该已知恶意和/或非恶意对象的集合相关联的因特网搜索结果。机器学习算法可以基于该已知恶意和/或非恶意对象的集合和因特网搜索结果生成针对预测模型的规则。机器学习算法继而可以使用该预测模型确定针对未知对象的基于因特网的对象信息以预测未知对象是恶意，预测未知对象是非恶意，预测与未知对象相关联的内容类型等。与因特网搜索结果相关的上述规则描述不旨在穷举可能的实现方式。其他规则和/或技术可以用于确定基于因特网的对象信息，诸如数学分析技术、统计分析技术等。
[0073]进一步如图4中所示，处理400可以包括存储和/或提供基于因特网的对象信息(框450)。例如，网络安全设备220可以存储和/或提供基于因特网的对象信息。在某些实现方式中，网络安全设备220可以本地存储和/或提供基于因特网的对象信息。附加地或备选地，网络安全设备220可以向另一设备(例如，客户端设备210、服务器、基于云的存储服务、机器学习设备、分析设备等)提供该基于因特网的对象信息。
[0074]在某些实现方式中，网络安全设备220或另一设备(例如，机器学习设备、分析设备等)可以以基于因特网的对象信息为基础确定对象是否恶意。例如，网络安全设备220可以以基于因特网的对象信息为基础确定对象是恶意的概率，并且可以基于该概率确定对象是否恶意。在某些实现方式中，网络安全设备220可以向另一设备(例如，机器学习设备、分析设备等)提供基于因特网的对象信息，用于该另一设备确定对象是否恶意。通过此方式，网络安全设备220可以确定基于因特网的对象信息以确定对象是否恶意，这可以提高确定对象是否恶意的准确度。
[0075]在某些实现方式中，网络安全设备220可以基于确定对象恶意而丢弃该对象。例如，网络安全设备220可以确定对象恶意，并且可以删除该对象(例如，而不是将该对象提供到该对象的目的地)。通过此方式，网络安全设备220可以丢弃恶意对象，这可以防止恶意对象危害目的地设备(例如，客户端设备210)和/或从被危害的设备向恶意方提供信息。
[0076]在某些实现方式中，网络安全设备220可以基于确定对象恶意而隔离对象。例如，网络安全设备220可以将对象存储在安全孤立的存储器中(例如，用于进一步分析)。通过隔离对象，网络安全设备220可以允许网络管理员分析对象，这可以提高针对恶意对象的网络安全性。
[0077]在某些实现方式中，基于确定对象恶意，网络安全设备220可以与对象联合向客户端设备210发送通知。例如，网络安全设备220可以向客户端设备210提供警告，指示对象可能是恶意的并且安装和/或执行该对象对客户端设备210存在风险。通过此方式，网络安全设备220可以确保客户端设备210的用户意识到与执行潜在恶意对象相关联的风险，同时如果用户期望仍然允许客户端设备210执行该对象。
[0078]在某些实现方式中，网络安全设备220可以基于确定该对象是恶意的而在沙盒中执行对象。例如，网络安全设备220可以在安全、分区和/或积极监控的位置中执行对象。网络安全设备220可以积极监控恶意对象的执行，这可以向网络安全设备220提供附加信息以用于检测并控制恶意对象。
[0079]在某些实现方式中，网络安全设备220可以基于确定对象是恶意的而向预测模型添加与对象相关的信息。例如，网络安全设备220可以基于对象(例如，基于对象的特性、基于在执行时由对象执行的动作等)修改针对预测模型的规则。通过此方式，网络安全设备220可以基于确定对象是恶意的而更新预测模型，这可以在确定其他对象是否恶意方面提高预测模型的准确度。
[0080]在某些实现方式中，网络安全设备220可以基于确定对象是恶意的而向黑名单添加与对象相关的信息。例如，网络安全设备220可以维护和/或访问黑名单以确定对象是否恶意。基于确定对象是恶意的，网络安全设备220可以向黑名单添加描述和/或与对象相关的信息。通过此方式，网络安全设备220可以以基于因特网的对象信息为基础提高黑名单的覆盖范围，这可以提高用于确定其他对象是否恶意的黑名单的准确度。
[0081]在某些实现方式中，网络安全设备220可以基于确定对象是恶意的通知网络管理员该对象是恶意的。例如，网络安全设备220可以基于确定对象是恶意的向网络管理员提供消息和/或该对象。这在对象源自网络和/或由网络安全设备220频繁遇到时可能是有用的。通过此方式，网络安全设备220可以通知恶意对象的网络管理员，这可以允许网络管理员采取行动以警告用户等。
[0082]在某些实现方式中，网络安全设备220可以基于确定对象是恶意的执行上述动作的组合。例如，网络安全设备220可以通知网络管理员对象是恶意的，隔离该对象用于进一步分析和/或在沙盒中执行该对象以执行进一步的分析。在某些实现方式中，网络安全设备220可以基于配置(例如，由网络管理员提供的配置、自动确定的配置等)执行上述对象的组合。通过此方式，网络安全设备220可以基于配置执行动作的组合，这可以允许例如网络管理员定制由网络安全设备220提供的保护。
[0083]虽然图4示出了处理400的示例框，在某些实现方式中，处理400可以包括与图4所绘制的框相比附加的框、更少的框或不同布置的框。附加地或备选地，处理400的两个或更多框可以并行执行。
[0084]图5A至图是与图4中所示示例处理400相关的示例实现方式500的图。图5A至图f5D示出了基于对象内容和/或对象元数据确定基于因特网的对象信息的示例。
[0085]如图5A中参考标号505所示，网络安全设备220可以接收对象(例如，示为Notatrojan.exe)。假设网络安全设备220接收去往客户端设备210途中的对象(例如，如虚箭头所示)。如参考编号510所示，网络安全设备220可以确定针对该对象的对象信息(例如，对象内容、对象元数据等)。
[0086]如图5B中参考标号515所示，网络安全设备220可以确定针对可执行对象的对象内容和对象元数据。假设网络安全设备220执行静态分析以确定来自可执行对象的对象内容和对象元数据。附加地或备选地，网络安全设备220可以执行可执行对象以确定对象内容和对象元数据。如参考标号520所示，网络安全设备220可以成功确定对象内容(例如，示为第一串“错误:运行时间异常1231546”、第二串“安装Notatrojan.exe”和第三串“确认想要退出安装Notatrojan.exe ? ”)。
[0087]如参考标号525所示，网络安全设备220可以确定针对可执行对象的对象元数据。这里，网络安全设备220确定标识发布者(例如，Crackers公司)、发布日期(例如，3/29/2014)、对象类型(例如，可执行)、操作系统(例如，Windows)、对象描述(例如，“这不是木马”)和对象版本(例如，版本6.12)的对象元数据。如进一步所示，假设网络安全设备220处理对象内容和对象元数据以生成搜索查询。
[0088]如图5C中参考标号530所示，网络安全设备220可以向因特网搜索引擎(例如，搜索引擎设备230)提供对象内容和对象元数据(或者基于对象内容和对象元数据生成的关键字)作为搜索查询。假设因特网搜索引擎接收搜索查询并且基于每个搜索查询执行因特网搜索。如参考标号535所示，网络安全设备220可以基于因特网搜索查询接收因特网搜索结果。如图所示，因特网搜索结果可以包括去往网页(例如，hackers-r-us.com、malwarecentral.com、badwebsite.0rg等)的链接和/或去往论坛对话(例如，“存在的最佳病毒？ ”和对该对话的50个回复的指示，以及“当心此病毒，Notatrojan.exe ! ”和10个回复的指示)的链接。
[0089]如图f5D中参考标号540所示，网络安全设备220可以分析因特网搜索结果。假设网络安全设备220基于规则集分析因特网搜索结果以确定与可执行对象相关的结论。如参考标号545所示，网络安全设备220可以确定因特网搜索结果和可执行对象相关的结论集(例如，可以确定顶部因特网搜索结果是恶意软件网站，可以确定与该可执行对象相关的论坛帖子指示该可执行对象是恶意软件，以及可以确定最近创建的因特网搜索结果指示该可执行对象是恶意软件)。如参考标号550所示，网络安全设备220可以确定可执行对象是恶意的。假设网络安全设备220基于结论并且以基于因特网的对象信息为基础确定该可执行对象是恶意的。如图进一步所示，网络安全设备220可以存储基于因特网的对象信息和结论。在某些实现方式中，网络安全设备220可以基于确定该可执行对象是恶意的执行一个或多个治疗动作。
[0090]如上所述，图5A至图f5D仅提供作为示例。其他示例也是有可能的并且可以与针对图5A至图所述的不同。
[0091]通过此方式，网络安全设备可以基于对象内容和对象元数据编译因特网搜索结果。因特网搜索结果可以提供由于年龄、模糊或其他原因可能在私有数据库中不可获得的信息。网络安全设备可以分析因特网搜索结果以确定基于因特网的对象信息，这可以在分类和/或监控对象方面辅助网络安全设备和/或提供网络安全设备的网络提供者。
[0092]以上公开内容提供了图解和描述，但是并不旨在于是穷举的或者将实现方式限于所公开的精确形式。参见以上公开内容，修改和变化是可能的，或者通过实现方式的实践来获得修改和变化。
[0093]如本文所使用的，术语部件旨在于被广义理解为硬件、固件和/或硬件和软件的组合。
[0094]容易理解，这里描述的系统和/或方法可以按硬件、固件和/或硬件和软件的组合的不同形式来实现。用来实现这些系统和/或方法的实际专用的控制硬件或软件代码并不限制实现方式。因此，在这里没有参照具体软件代码描述系统和/或方法的操作和行为一应当理解软件和硬件能够被设计为基于这里的描述来实现所述系统和/或方法。
[0095]即使在权利要求中记载和/或在说明书中公开了特征的特定组合，这些组合也不旨在于限制可能的实现方式的公开。实际上，许多这些特征可以按未在权利要求中具体记载和/或在说明书中具体公开的方式进行组合。虽然下面列出的每个从属权利要求可能直接从属于仅一个权利要求，但是可能的实现方式的公开内容包括每个从属权利要求与权利要求组中的其它各个权利要求进行结合。
[0096]这里使用的元件、动作或指令不应当被理解为关键或必要的，除非这样明确描述。另外，如这里使用的，冠词〃 一 〃和〃 一种〃旨在于包括一个或多个项目，并且可以与〃 一个或多个〃互换使用。此外，如这里使用的，术语〃组〃和〃集合〃旨在于一个或多个项目(例如，相关的项目、不相关的项目、相关的项目和不相关的项目的组合)，并且可以与"一个或多个〃互换使用。在意思是仅一个项目处，使用术语〃一个〃或者类似语言。另外，如这里使用的，术语〃具有〃、"有"、〃拥有〃等旨在于是开放的术语。此外，用于〃基于〃旨在于表示〃至少部分地基于〃，除非另外明确申明。
【主权项】
1.一种设备，包括: 用于接收对象的装置； 用于确定针对所述对象的对象信息的装置； 用于基于所述对象信息使得因特网搜索执行以确定因特网搜索结果的装置， 所述对象信息被提供为针对所述因特网搜索的一个或多个因特网搜索查询； 用于基于使得所述因特网搜索执行而接收所述因特网搜索结果的装置， 所述因特网搜索结果与所述对象信息相关； 用于分析所述因特网搜索结果以确定基于因特网的对象信息的装置；以及 用于存储或提供所述基于因特网的对象信息以允许确定所述对象是否为恶意的装置。2.根据权利要求1所述的设备，其中用于确定所述对象信息的装置进一步包括: 用于确定针对所述对象的对象内容的装置， 所述对象内容包括所述对象中包括的信息；以及 其中用于使得所述因特网搜索执行的装置进一步包括: 用于使得所述因特网搜索基于所述对象内容执行的装置， 所述对象内容被处理以生成所述一个或多个因特网搜索查询。3.根据权利要求1所述的设备，其中用于确定所述对象信息的装置进一步包括: 用于确定针对所述对象的对象元数据的装置， 所述对象元数据包括描述所述对象的信息；以及 其中用于使得所述因特网搜索执行的装置进一步包括: 用于使得所述因特网搜索基于所述对象元数据执行的装置， 用于所述对象元数据被处理以生成所述一个或多个因特网搜索查询的装置。4.根据权利要求1所述的设备，其中用于确定所述对象信息的装置进一步包括: 用于执行静态分析以确定所述对象信息的装置， 所述对象信息被确定而不需要打开或执行所述对象。5.根据权利要求1所述的设备，其中用于确定所述对象信息的装置进一步包括: 用于通过执行所述对象确定所述对象信息的装置， 所述执行使得所述对象提供所述对象信息。6.根据权利要求1所述的设备，进一步包括: 用于基于所述基于因特网的对象信息确定所述对象的分类的装置， 所述分类指示所述对象是安全还是不安全。7.根据权利要求1所述的设备，其中预测模型通过向已知对象以及与所述已知对象相关联的已知因特网搜索结果应用机器学习算法而生成；以及 其中用于分析所述因特网搜索结果的装置进一步包括: 用于基于所述预测模型分析与所述对象相关联的所述因特网搜索结果以确定所述基于因特网的对象信息的装置。8.一种方法，包括: 由设备接收对象用于处理以确定基于因特网的对象信息； 由所述设备确定针对所述对象的对象信息， 所述对象信息包括在所述对象中或描述所述对象； 由所述设备基于所述对象信息生成因特网搜索查询； 由所述设备基于所述因特网搜索查询使得因特网搜索执行以确定搜索结果； 由所述设备分析所述搜索结果以确定基于因特网的对象信息；以及 由所述设备基于所述基于因特网的对象信息确定所述对象是否恶意。9.根据权利要求8所述的方法，进一步包括: 确定针对所述对象的对象元数据， 所述对象元数据包括描述所述对象的信息；以及 其中使得所述因特网搜索执行进一步包括: 使得所述因特网搜索基于所述对象元数据执行。10.根据权利要求8所述的方法，其中预测模型通过向已知对象以及与所述已知对象相关联的已知因特网搜索结果应用机器学习算法而生成；以及 所述方法，进一步包括: 基于所述预测模型分析与所述对象相关联的所述因特网搜索结果以确定所述基于因特网的对象信息。11.根据权利要求8所述的方法，其中确定所述对象信息进一步包括: 执行静态分析以确定所述对象信息， 所述静态分析确定所述对象信息而不需要打开或执行所述对象。12.根据权利要求8所述的方法，其中确定所述对象信息进一步包括: 通过执行所述对象确定所述对象信息， 所述执行使得所述对象提供所述对象信息。13.根据权利要求8所述的方法，其中确定所述对象信息进一步包括: 确定针对所述对象的对象内容和对象元数据， 所述对象内容包括在所述对象中，并且 所述对象元数据描述所述对象；以及 其中生成所述因特网搜索查询进一步包括: 基于所述对象内容并且基于所述对象元数据生成所述因特网搜索查询。
【文档编号】G06F17/30GK106021252SQ201510617890
【公开日】2016年10月12日
【申请日】2015年9月24日
【发明人】J·A·兰顿, 詹臻新, D·J·奎因兰, K·亚当斯
【申请人】瞻博网络公司