经由沙盒检测恶意文件感染的制作方法

经由沙盒检测恶意文件感染的制作方法
【专利摘要】本发明涉及一种经由沙盒检测恶意文件感染。一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作、来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。
【专利说明】
经由沙盒检测恶意文件感染
【背景技术】
[0001]恶意文件、诸如恶意软件(“恶意程序(malware) ”)可以指用于破坏计算机操作、 收集敏感信息、取得对私有计算机系统的访问等的任意软件。恶意文件可以包括多种类型的敌对或侵入软件，包括计算机病毒、懦虫(worm)、特洛伊木马、勒索软件(ransomware)、 间谍软件、广告软件、恐吓软件、或者其他恶意软件。
[0002]用户网络上的客户端设备可能在客户端设备的操作期间下载是恶意文件的文件。 与安全设备相关联的恶意文件检测工具可以在该文件被下载到客户端设备时基于对该文件执行分析来确定该文件是恶意的。该文件可能在恶意文件检测工具完成对该文件的分析之前就在该客户端设备上被执行并且感染该客户端设备。该文件还可能感染用户网络上的其他客户端设备。
【发明内容】

[0003]根据一些可能的实施方式，一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作，来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。
[0004]根据一些可能的实施方式，一种方法可以包括由设备监测与客户端设备集合相关联的网络活动。与客户端设备集合相关联的网络活动可以包括与网络地址集合相关联的第一网络活动和与客户端设备集合的端口集合相关联的第二网络活动。该方法可以包括由该设备将与客户端设备集合相关联的网络活动和网络活动简档集合中的网络活动简档进行匹配。网络活动简档可以是当在沙盒环境中测试与网络活动简档相关联的恶意文件时观察到的特定网络活动。该方法可以包括由该设备基于将与客户端设备集合相关联的网络活动和网络活动简档进行匹配，来提供恶意文件正在客户端设备集合中的客户端设备上进行操作的通知。
[0005]在一些可能的实施方式中，该方法进一步包括接收恶意文件，在沙盒环境中执行恶意文件，在沙盒环境中执行恶意文件的同时监测与恶意文件相关联的网络活动，基于监测与恶意文件相关联的网络活动来生成网络活动简档，以及存储与网络活动简档相关联的fg息。
[0006]在一些可能的实施方式中，匹配与客户端设备集合相关联的网络活动可以进一步包括确定针对网络活动简档集合中的每个网络活动简档的得分。该得分可以表示网络活动简档和与客户端设备集合相关联的网络活动之间的相似性的度量。该方法可以包括基于针对网络活动简档的得分来确定与客户端设备集合相关联的网络活动与网络活动简档相匹配。
[0007]在一些可能的实施方式中，监测与客户端设备集合相关联的网络活动可以进一步包括对客户端设备集合的特定客户端设备执行端口扫描。将与客户端设备集合相关联的网络活动和网络活动简档集合中的网络活动简档进行匹配可以进一步包括将对特定客户端设备的端口扫描的结果与在测试环境中测试恶意文件时执行的另一个端口扫描进行匹配。
[0008]在一些可能的实施方式中，该方法可以进一步包括基于确定与客户端设备集合相关联的网络活动匹配网络活动简档，促使补救动作在客户端设备上被执行。该补救动作与补救恶意文件相关联。
[0009]在一些可能的实施方式中，该方法可以进一步包括获得白名单。该白名单可以与指定如下的网络活动相关联，网络活动与在恶意文件未在客户端设备上进行操作时客户端设备的操作相关联。监测与客户端设备集合相关联的网络活动可以进一步包括从与客户端设备集合相关联的网络活动中过滤掉与白名单相关联的网络活动。
[0010]根据一些可能的实施方式，一种计算机可读介质可以包括一个或多个指令，一个或多个指令促使一个或多个处理器确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。一个或多个指令可以促使一个或多个处理器监测与客户端设备相关联的网络活动。一个或多个指令可以促使一个或多个处理器基于监测与客户端设备相关联的网络活动，确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。一个或多个指令可以促使一个或多个处理器提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。
[0011]在一些可能的实施方式中，一个或多个指令可以进一步促使一个或多个处理器建立测试环境，促使恶意文件在测试环境中被执行，并且基于在促使恶意文件在测试环境中被执行时观察到的网络活动来标识与恶意文件相关联的网络活动。促使一个或多个处理器确定网络简档的一个或多个指令可以进一步促使一个或多个处理器基于标识与恶意文件相关联的网络活动来确定网络活动简档。
[0012]在一些可能的实施方式中，促使一个或多个处理器促使恶意文件在测试环境中被执行的一个或多个指令可以进一步促使一个或多个处理器在恶意文件在测试环境中执行时引发与恶意文件相关联的网络活动反应。促使一个或多个处理器监测与客户端设备相关联的网络活动的一个或多个指令可以进一步促使一个或多个处理器在监测与客户端设备相关联的网络活动时在客户端设备上引发与恶意文件相关联的网络活动反应，并且基于在客户端设备上引发与恶意文件相关联的网络活动反应来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。
[0013]在一些可能的实施方式中，测试环境可以是沙盒环境。
[0014]在一些可能的实施方式中，一个或多个指令可以进一步促使一个或多个处理器分析恶意文件以确定被标识在恶意文件中的一个或多个网络地址。促使一个或多个处理器确定网络活动简档的一个或多个指令可以进一步促使一个或多个处理器基于被标识在恶意文件中的一个或多个网络地址来确定网络活动简档。
[0015]在一些可能的实施方式中，一个或多个指令可以进一步促使一个或多个处理器确定恶意文件被存储在与客户端设备相关联的数据结构中。一个或多个指令可以进一步促使一个或多个处理器基于确定恶意文件被存储在与客户端设备相关联的数据结构中并且基于确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档、来确定恶意文件正在客户端设备上执行或者已经在客户端设备上执行。一个或多个指令可以进一步促使一个或多个处理器提供指示恶意文件正在客户端设备上进行执行或者已经在客户端设备上进行执行的信息。
[0016]在一些可能的实施方式中，上述客户端设备是第一客户端设备，并且一个或多个指令可以进一步促使一个或多个处理器确定被下载到第二客户端设备的文件是恶意文件。 第一客户端设备和第二客户端设备可以位于用户网络上。一个或多个指令可以进一步促使一个或多个处理器基于确定被下载到第二客户端设备的文件是恶意文件、来确定恶意文件是否正在第一客户端设备上进行操作。
[0017]根据一些可能的实施方式，一种设备包括一个或多个处理器，用于接收触发以确定恶意文件是否正在客户端设备上进行操作。一个或多个处理器可以用于基于接收该触发以确定恶意文件是否正在客户端设备上进行操作，来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。一个或多个处理器可以用于基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。一个或多个处理器可以用于提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。
[0018]在一些可能的实施方式中，该设备的一个或多个处理器可以进一步用于建立测试环境，促使恶意文件在测试环境中被执行，并且基于在促使恶意文件在测试环境中被执行时观察到的网络活动，来标识与恶意文件相关联的网络活动。在促使恶意文件在测试环境中被执行时观察到的网络活动包括与一个或多个网络地址相关联的第一网络活动和/或与一个或多个端口相关联的第二网络活动。一个或多个处理器在确定网络简档时可以进一步用于基于标识与恶意文件相关联的网络活动来确定网络简档。
[0019]在一些可能的实施方式中，测试环境可以是沙盒环境。
[0020]在一些可能的实施方式中，该设备的一个或多个处理器可以进一步用于分析恶意文件以确定被标识在恶意文件中的一个或多个网络地址。一个或多个处理器在确定网络简档时可以进一步用于基于被标识在恶意文件中的一个或多个网络地址和/或被标识在恶意文件中的一个或多个端口来确定网络简档。
[0021]在一些可能的实施方式中，该设备的一个或多个处理器可以进一步用于生成针对与客户端设备相关联的网络活动以及网络活动简档的网络活动得分。网络活动得分指示与客户端设备相关联的网络活动和网络活动简档之间的相似性的度量。一个或多个处理器在确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档时可以进一步用于基于网络活动得分来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。
[0022]在一些可能的实施方式中，一个或多个处理器在确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档时可以进一步用于基于网络活动得分满足一个阈值来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。
[0023]在一些可能的实施方式中，上述客户端设备是第一客户端设备，并且一个或多个处理器可以进一步用于确定被下载到第二客户端设备的文件是恶意文件。第一客户端设备和第二客户端设备可以位于用户网络上。一个或多个处理器在接收该触发以确定恶意文件是否正在第一客户端设备上进行操作时可以进一步用于基于确定被下载到第二客户端设备的文件是恶意文件，来确定该恶意文件正在第一客户端设备上进行操作。【附图说明】
[0024]图1是本文中所描述的示例实施方式的概览的图；
[0025]图2是本文中描述的系统和/或方法可以在其中被实施的示例环境的图；
[0026]图3是图2的一个或多个设备的示例组件的图；
[0027]图4是用于生成网络活动简档和标识受感染的客户端设备的示例过程的流程图； 以及
[0028]图5A-5D是与图4中示出的示例过程有关的示例实施方式的图。【具体实施方式】
[0029]示例实施方式的以下详细描述参照了附图。不同附图中的相同参考标号可以标识相同或相似元件。
[0030]恶意文件可以包括勒索文件、间谍文件等等。通常，恶意文件可能在用户想要下载正当文件(诸如软件程序、数据文件等)时被下载到客户端设备。例如，用户可能下载正当 (非恶意)文件并且可能在下载正当文件时无意地下载了恶意文件。恶意文件可以关联于将一个或多个网络源(例如，服务器、客户端设备等)接触到泄露(exfiltrate)数据，复制、混入另外的恶意文件等。恶意文件阻挡服务可以为常见恶意文件开发签名(例如，哈希)，这些签名可以被用于在特定客户端设备上标识恶意文件。然而，可能在针对恶意文件的签名被开发之前就在用户网络的客户端设备上遭遇到该恶意文件。本文中描述的实施方式可以利用测试环境来生成针对恶意文件的网络活动简档，并且监测客户端设备集合的网络活动以确定恶意文件是否正在客户设备集合中的客户端设备上进行操作。
[0031]图1是本文中所描述的示例实施方式的概览100的图。如图1所示，并且如参考标识符1，安全设备可以接收恶意文件，以确定恶意文件是否正在客户设备集合中的客户端设备上进行操作。例如，当监测到客户端设备集合正在下载或已下载文件，安全设备可以接收正在下载或已下载的文件的副本，并且可以确定客户端设备集合中的第一客户端设备下载特定文件，该特定文件是恶意文件。在这种情况下，安全设备可以确定恶意文件是否正在客户端设备集合中的该客户端设备上、另一客户端设备上等等进行操作。
[0032]如图1进一步所示，并且如参考标识符2,安全设备可以配置用于执行恶意文件的测试环境，诸如沙盒环境。如参考标识符3所示，安全设备可以促使恶意文件在测试环境中被执行，并且可以确定网络活动简档。网络活动简档可以指被确定为与在特定客户端设备 (即，受特定恶意文件感染的特定客户端设备)上进行操作的特定恶意文件相对应的网络活动。例如，安全设备可以确定在恶意文件的操作期间，分组企图被发送至已知与恶意文件相关联的特定网络地址。附加地或备选地，安全设备可以确定在恶意文件的操作期间特定端口被用于通信。附加地或备选地，安全设备可以在恶意文件正在测试环境中执行时引发 (provoke)网络活动反应，诸如通过将恶意文件正在其上执行的虚拟机脱离开网络、重设与该虚拟机相关联的互联网协议(IP)租用等等。如参考标识符4所示，安全设备可以接收在测试环境中执行恶意文件的结果。
[0033]如图1进一步所示，并且如参考标识符5,安全设备可以监测与往来于网络(例如，互联网)进行通信的客户端设备集合相关联的输入和输出网络流量。例如，安全设备可以操作用户网络(其包括客户端设备集合)与互联网之间的防火墙，并且可以监测通过防火墙进入/离开用户网络的分组。附加地或备选地，安全设备可以执行客户端设备集合的端口扫描，以确定与客户端设备集合的一个或多个端口相关联的网络活动。附加地或备选地，安全设备可以引发来自客户端设备的网络活动反应(例如，通过将客户端设备与网络断开、重设客户端设备的IP租用等等)。
[0034]安全设备可以确定(经由防火墙、端口扫描、引发网络活动反应等等而观察到的) 网络活动是否对应于针对恶意文件的网络活动简档。例如，安全设备可以确定特定客户端设备正在访问如下的同一网络地址，该网络地址在恶意文件于测试环境中被操作时被尝试访问。在另一个示例中，安全设备可以确定特定客户端设备正在经由如下的端口进行通信， 该端口在恶意文件于测试环境中被操作时被尝试与之进行通信并且该端口与先前检测的恶意文件相关联。在另一个示例中，安全设备可以响应于引发如下的网络活动反应来观察相同的网络活动反应(例如，接入网络地址、删除文件、修改文件等等)，该网络活动反应是当在测试环境中引发该网络活动反应时被观察到的。在这种情况下，安全设备可以确定该特定客户端设备与对应于网络活动简档的网络活动相关联。
[0035]如图1进一步所示，并且如参考标识符6,基于确定特定客户端设备与对应于网络活动简档的网络活动相关联，安全设备可以向管理者设备提供通知。例如，安全设备可以提供特定客户端设备被确定为正在操作恶意文件的指示，可以请求管理者设备对该客户端设备执行一个或多个补救动作，并且可以请求派遣信息技术(IT)代理商去修理该客户端设备等等。在另一个示例中，安全设备可以使用一个或多个补救技术来促使一个或多个补救动作在该客户端设备上被执行。
[0036]通过这种方式，安全设备可以利用使用测试环境所确定的网络活动简档来标识恶意文件是否正在用户网络中的客户端设备上进行操作。
[0037]图2是本文中描述的系统和/或方法可以在其中被实施的示例环境200的图。如图2所示出的，环境200可以包括一个或多个客户端设备210-1至210-N(N彡1)(下文中被统称为“客户端设备210”，并且被个体地称为“客户端设备210”)、安全设备220、用户网络230、网络240以及管理者设备250。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的组合进行互连。
[0038]客户端设备210可以包括与接收、生成、存储、处理和/或提供信息相关联的一个或多个设备。例如，客户端设备210可以包括台式计算机、膝上型计算机、平板计算机、移动电话(例如，智能电话、无线电话等)、服务器、或者类似类型的设备。在一些实施方式中，客户端设备210可以能够执行恶意文件，这可能对客户端设备210、由客户端设备210存储的信息、客户端设备210的用户和/或另一个客户端设备210造成损害。在一些示例实施例中，不同的客户端设备210可以具有不同的系统配置，并且可能以不同的方式受到恶意文件的影响。例如，第一客户端设备210可以接收恶意文件，并且该恶意文件可以执行和感染第一客户端设备210,而第二客户端设备210可以接收恶意文件但是恶意文件不可以执行。在一些实施例中，客户端设备210可以驻留在用户网络230上。
[0039] 安全设备220可以包括一个或多个如下的设备，这些设备能够处理和/或转移与客户端设备210相关联的网络流量，和/或能够监测针对客户端设备210和/或用户网络 230的网络流量。例如，安全设备220可以包括网关、防火墙、路由器、桥接器、集线器、交换机、负载均衡器、接入点、反向代理、服务器(例如，代理服务器)、或者类似类型的设备。安全设备220可以用在与单个客户端设备210或一组客户端设备210 (例如，与私有网络、数据中心等相关联的客户端设备210)的连接。在一些实施方式中，通信可以通过安全设备 220被路由到达该组客户端设备210。附加地或备选地，当通信被引导去往客户端设备210 时，这些通信可以被路由至安全设备220。
[0040] 在一些实施方式中，安全设备220可以确定恶意文件正在客户端设备210上进行操作。例如，安全设备220可以在测试环境(例如，沙盒环境)中执行恶意文件，并且可以基于来自测试环境的网络活动来确定网络活动简档。在这种情况下，基于匹配于网络活动简档的、与客户端设备210相关联的网络活动，安全设备220可以确定恶意文件正在客户端设备210上进行操作。
[0041] 用户网络230可以包括一个或多个有线和/或无线网络。例如，用户网络230可以包括局域网(LAN)、私有网络、内联网、云计算网络、蜂窝网络(例如，长期演进(LTE)网络、3G网络、码分多址(CDMA)网络等)、公共陆地移动网络(PLMN)、广域网(WAN)、城域网 (MAN)、电话网络(例如，公共交换电话网络(PSTN))、自组织(ad hoc)网络、互联网、基于光纤的网络等等，和/或这些或其他类型的网络的组合。在一些示例实施例中，用户网络230 可以是与客户端设备210相关联的私有网络。
[0042] 网络240可以包括一个或多个有线和/或无线网络。例如，网络240可以包括蜂窝网络、PLMN、LAN、WAN、MAN、电话网络(例如，PSTN)、私有网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等等，和/或这些或其他类型的网络的组合。
[0043] 管理者设备250可以包括一个或多个如下的设备，这些设备能够执行针对网络管理者、系统管理者、IT代理商等的监测。例如，管理者设备250可以包括计算机、服务器、移动设备(例如，智能电话、平板计算机等)之类的。管理者设备250可以接收指示恶意文件正在特定客户端设备210上进行操作的信息，并且可以促使向用户(例如，网络管理者、系统管理者、IT代理商等)显示告警。在一些实施方式中，管理者设备250可以促使特定补救动作要被执行、可以派遣IT代理商去补救恶意文件正在其上进行操作的客户端设备210 等等。
[0044]在图2中示出的设备和网络的数目和布置方式被提供为一个示例。在实践中，可以存在另外的设备和/或网络，更少的设备和/或网络，不同的设备和/或网络，或者以与图2中示出的这些设备和/或网络不同地进行布置的设备和/或网络。此外，图2中示出的两个或更多设备可以在单个设备内实现，或者图2中示出的单个设备可以被实现为多个分布式设备。附加地或备选地，环境200的设备集合(例如，一个或多个设备)可以执行被描述为由环境200的另一个设备集合所执行的一个或多个功能。
[0045]图3是设备300的示例组件的图。设备300可以对应于客户端设备210、安全设备220和/或管理者设备250。在一些实施方式中，客户端设备210、安全设备220和/或管理者设备250可以包括一个或多个设备300、和/或设备300的一个或多个组件。如图3所示，设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360以及通信组件370。
[0046]总线310可以包括允许在设备300的组件之中的通信的组件。处理器320以硬件、固件或者硬件和软件的组合来实现。处理器320可以包括处理器(例如，中央处理单元 (CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器、和/或解译和/或执行指令的任何处理组件(例如，现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。存储器 330可以包括随机访问存储器(RAM)、只读存储器(ROM)、和/或存储由处理器320使用的信息和/或指令的另一类型的动态或静态存储设备(例如，闪存、磁存储器、光存储器等)。
[0047]存储组件340可以存储与设备300的操作和使用有关的信息和/或软件。例如， 存储组件340可以包括与对应的驱动器一起的硬盘(例如，磁盘、光盘、磁光盘、固态盘等)、 压缩盘(CD)、数字化通用磁盘(DVD)、软盘、磁盘(cartridge)、磁带、和/或另一类型的计算机可读介质。
[0048]输入组件350可以包括允许设备300诸如经由用户输入来接收信息的组件(例如，触摸屏显示器、键盘、小键盘(keypad)、鼠标、按钮、开关、麦克风等)。附加地或备选地， 输入组件350可以包括用于感应信息的感应器(例如，全球定位系统(GPS)组件、加速器、 陀螺仪、致动器等)。输出组件360可以包括从设备300提供输出信息的组件(例如，显示器、扬声器、一个或多个发光二极管(LED)等)。
[0049]通信接口 370可以包括使得设备300能够经由诸如有线连接、无线连接、或者有线和无线连接的组合来与其他设备进行通信的类收发器的组件(例如，收发器、单独的接收器和发射器等)。通信接口 370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如，通信接口 370可以包括以太网接口、光接口、同轴接口、红外接口、射频 (RF)接口、通用串行总线(USB)接口、W1-Fi接口、蜂窝网络接口等等。
[0050]设备300可以执行本文中描述的一个或多个过程。设备300可以响应于处理器 300执行由计算机可读介质(诸如存储器330和/或存储组件340)所存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储设备。存储设备包括单个物理存储设备内的存储空间或者跨多个物理存储设备扩展的存储空间。
[0051]软件指令可以从另一个计算机可读介质或者经由通信接口 370而从另一个设备被读取到存储器330和/或存储组件340中。在被执行时，存储在存储器330和/或存储组件340中的软件指令可以促使计算机320执行本文中描述的一个或多个过程。附加地或备选地，硬接线电路可以取代软件指令或者与软件指令结合在一起用以执行本文中描述的一个或多个过程。因此，本文中描述的实施方式不限于硬件电路和软件的任何特定组合。
[0052]在图3中示出的组件的数目和布置方式被提供为一个示例。在实践中，设备300 可以包括另外的组件，更少的组件，不同的组件，或者以与图3中示出的这些组件不同地进行布置的组件。附加地或备选地，设备300的组件集合(例如，一个或多个组件)可以执行被描述为由设备300的另一个组件集合所执行的一个或多个功能。
[0053]图4是用于远程补救客户端设备上的恶意文件的示例过程400的流程图。在一些实施方式中，图4的一个或多个过程框可以由安全设备220执行。附加地或备选地，图4的一个或多个过程框可以由与安全设备200分离的另一个设备或者包括安全设备220的设备集合来执行，诸如客户端设备210和/或管理者设备250。
[0054]如图4所示，过程400可以包括接收触发以确定恶意文件是否正在客户端设备集合中的客户端设备上进行操作(框410)。例如，安全设备220可以接收触发以确定恶意文件是否正在客户端设备210的集合中的任何客户端设备210上进行操作(例如，执行)。在一些实施方式中，安全设备220可以基于监测与客户端设备210的集合相关联的网络活动来接收该触发。例如，当安全设备220监测与客户端设备210的集合相关联的网络活动时， 安全设备220可以确定由特定客户端设备210下载的文件是恶意文件。在这种情况下，安全设备220可以被触发为确定该恶意文件是否正在该特定客户端设备210上进行操作、该恶意文件是否正在其他客户端设备210上进行操作等等。
[0055]在一些实施方式中，安全设备220可以从另一个设备(例如，另一个安全设备220、 管理者设备250等)接收信息，指令安全设备220确定恶意文件是否正在特定客户端设备 210上进行操作。例如，另一个安全设备220可以执行对第一客户端设备210的恶意文件检测，可以检测出恶意文件存在于第一客户端设备210的数据结构中，并且可以指令安全设备220确定该恶意文件是否正在一个或多个第二客户端设备210上进行操作。
[0056]在一些实施方式中，安全设备220可以在接收到触发时或者在接收到触发之后获得恶意文件。例如，安全设备220可以在接收到触发时或者在接收到触发之后获得恶意文件的副本、恶意文件等等。附加地或备选地，安全设备220可以获得与定位该恶意文件相关联的信息，并且安全设备220可以使用与定位该恶意文件相关联的信息来定位恶意文件的副本。在一些实施方式中，安全设备220可以在接收到触发时或者在接收到触发之后获得与恶意文件有关的其他信息，诸如与恶意文件相关联的元数据、恶意文件的内容等等。例如，安全设备220可以从另一个安全设备220接收来自恶意文件数据结构的信息，该恶意文件数据结构与描述恶意文件的行为相关联。在一些实施方式中，安全设备可以获得与多个恶意文件有关的信息。例如，安全设备220可以针对客户端设备210的集合上的操作的检测，获得多个恶意文件。在这种情况下，该触发可以是用于将这些恶意文件中的任何恶意文件检测为正在客户端设备210的集合上进行操作的触发。
[0057]如图4进一步所示，过程400可以包括基于接收到触发以确定恶意文件是否正在客户端设备集合中的客户端设备上进行操作，来确定与恶意文件相关联的网络活动简档 (框420)。例如，安全设备220可以确定与恶意文件相关联的网络活动简档。网络活动简档可以指与如下的网络活动相关联的信息，该网络活动对应于正在特定客户端设备210上进行操作的恶意文件，该信息诸如所请求的网络地址、被发送/接收的分组的数量和/或分布、针对通信而被打开/利用的端口等等。
[0058]在一些实施方式中，安全设备220可以基于分析恶意文件来确定网络活动简档。 例如，安全设备220可以标识被包括在恶意文件二进制中的网络资源集合，诸如设备标识符、网络地址(例如，统一资源标识符(URL)、互联网协议(IP)地址等)等等。在一些实施方式中，安全设备220可以诸如基于白名单(例如，受信任的网络资源的列表)来对该网络资源集合进行过滤。例如，安全设备220可以确定针对搜素引擎的网络地址被包括在恶意文件中，并且可以基于该网络地址关联于对其他文件、程序、过程等而言是共有的良性目的，来从网络活动简档中过滤该网络地址。
[0059]附加地或备选地，安全设备220可以基于与其他恶意文件相关联的信息来确定网络活动简档。例如，安全设备220可以确定与类似于该恶意文件的恶意文件集合相关联的行为。在一些实施方式中，安全设备220可以分析该文件以确定与该恶意文件相关联的恶意文件集合。例如，安全设备220可以执行对该恶意文件的哈希、对该恶意文件的模糊哈希、对该恶意文件的统计分析等等。
[0060]在一些实施方式中，安全设备220可以基于与恶意文件相关联的元数据来确定网络活动简档。例如，安全设备220可以利用与恶意文件有关的元数据(例如，标识恶意文件的汇编语言、恶意文件的汇编日期等的信息)来在数据结构(例如，恶意文件数据库)、互联网等搜索指示恶意文件与哪类恶意目的相关联的信息，指示恶意文件可能接触哪些类型的网络资源的信息(例如，泄露数据、复制到另一个客户端设备210上、混入另外的恶意文件等)等等。
[0061]在一些实施方式中，安全设备220可以通过在测试环境(例如，沙盒环境)中操作恶意文件来确定网络活动简档。例如，安全设备220可以配置沙盒环境用于执行恶意文件， 以便在恶意文件进行操作时确定与恶意文件相关联的网络活动。在一些实施方式中，安全设备220可以提供对沙盒环境中的特定数量的文件和/或系统资源的访问，以便促进生成网络活动简档。例如，安全设备220可以建立存储伪(即，假的)用户信息的数据结构，用以确定恶意文件是否向与特定网络地址相关联的特定服务器泄露该伪用户信息。在一些实施方式中，安全设备220可以基于客户端设备210的配置来对测试环境进行配置。例如，安全设备220可以促使与客户端设备210相关联的一个或多个文件、外围设备等被包括在测试环境中。通过这种方式，安全设备220可以生成与如下相关联的网络活动简档:将特定网络活动相关于在特定客户端设备210上进行操作的恶意文件。
[0062]在一些实施方式中，当在测试环境中操作恶意文件时，安全设备220可以监测端口集合和/或执行端口扫描。例如，安全设备220可以确定特定端口是否被打开、可以执行对利用该特定端口的通信的分析、确定该特定端口是否与恶意目的相关联(例如，特定端口对应于已知的协议、已知的易损性(vulnerability)、已知的后门等)之类的。附加地或备选地，安全设备220可以确定与该特定端口相关联的行为是否是恶意行为，诸如通过将该行为与当恶意文件不进行操作时该端口的行为进行比较、利用机器学习技术、分析当该特定端口打开时被允许的许可的集合等等。
[0063]在一些实施方式中，当在测试环境中操作恶意文件时，安全设备220可以引发网络活动反应。例如，安全设备220可以在与测试环境相关联的虚拟机上促使网络适配器被禁用、重设IP租用(lease)等等，以便引发特定的网络活动反应(例如，促使恶意文件来促使虚拟机访问网络地址、删除文件、修改文件等等)。在这种情况下，安全设备220可以确定在客户端设备210上是否引发了相同和/或相似的网络活动反应。
[0064]在一些实施方式中，安全设备220可以生成针对恶意文件集合的网络活动简档集合。例如，对于被怀疑在客户端设备210上进行操作、由安全设备220遇到之类的恶意文件集合，安全设备220可以生成相应的网络活动简档。在这种情况下，安全设备220可以经由数据结构来存储网络活动简档集合，以供未来尝试在客户端设备210的集合上检测该恶意文件集合中的一个或多个恶意文件时使用。
[0065]在一些实施方式中，安全设备220可以基于在测试环境中操作恶意文件来确定一个或多个恶意行为。例如，安全设备220可以确定与其他(经确认的)恶意文件相关联的如下一个或多个IP地址，在操作测试环境时该一个或多个IP地址被尝试联系和/或已被联系。附加地或备选地，当在测试环境中操作恶意文件时，安全设备220可以分析当在测试环境中操作恶意文件时所生成的网络活动的属性。例如，安全设备220可以向所联系的网络地址的类型、该网络地址被联系的频率、对该网络地址进行联系的过程的数量等等应用机器学习技术。通过这种方式，安全设备220可以确定与在特定客户端设备210上进行操作的恶意文件相对应的异常行为(例如，联系未知的地址，对特定地址的如下查询、这些查询满足超过预期查询的一个阈值增长，等等)。
[0066]在一些实施方式中，安全设备220可以从网络活动简档中过滤良性行为，该良性行为触发假正类(false positive)结果。例如，安全设备220将网络活动与良性网络地址的白名单进行比较。在这种情况下，安全设备220可以执行频率分析以确定与良性网络地址相关联的网络活动是否满足代表正常网络活动的阈值。相反，安全设备220可以确定联系良性网络地址的请求的数量满足指示异常行为的另一个阈值，该异常行为诸如所尝试的拒绝服务(denial of service，DOS)攻击。附加地或备选地，安全设备220可以基于确定与如下端口相关联的网络活动是良性网络活动来从网络活动简档中移除该端口，该端口在恶意文件于测试环境中进行操作时被打开。通过这种方式，安全设备220可以从网络活动简档中移除导致假正类的信息，并且将导致真正类(true positive)的信息包括在网络活动简档中。
[0067]在一些实施方式中，安全设备220可以组合多个不同的信息源以确定网络活动简档。例如，安全设备220可以在生成网络活动简档时将如下各项进行组合:对恶意文件的分析、与恶意文件相关联的元数据、在测试环境中操作恶意文件的结果、对由恶意文件访问的网络地址的分析、对由恶意文件打开的端口的分析、响应于引发网络活动反应的网络活动反应等等。
[0068]如图4进一步所示，过程400可以包括监测客户端设备集合以确定针对客户端设备集合中的客户端设备的网络活动是否对应于网络活动简档(框430)。例如，安全设备 220可以监测与客户端设备210的集合相关联的网络活动(例如，所访问的网络地址、打开的端口等等)，以确定特定客户端设备210是否正表现出与网络活动简档对应的行为。附加地或备选地，安全设备220可以引发网络活动反应以确定所引发的网络活动反应是否对应于在测试环境中被引发的网络活动反应。在一些实施方式中，安全设备220可以监测特定客户端设备210。例如，安全设备220可以监测下载了恶意文件的特定客户端设备210。 在一些实施方式中，安全设备可以生成针对特定客户端设备210的网络活动的得分，以作为该网络活动与网络活动简档的相似性的度量。例如，安全设备220可以生成针对与客户端设备210相关联的网络活动的网络活动得分，并且可以确定该网络活动得分满足一个阈值。在这种情况下，安全设备220可以基于网络活动得分满足该阈值，来确定恶意文件正在客户端设备210上进行操作。在一些实施方式中，安全设备220可以基于恶意文件在客户端设备210上存在的信息，来确定恶意文件正在客户端设备210上进行操作。例如，安全设备220可以在确定客户端设备210是否受恶意文件感染时将客户端设备210是否下载了该恶意文件用作一个因素。
[0069]在一些实施方式中，安全设备220可以对网络活动应用机器学习，以确定该网络活动是否对应于网络活动简档。例如，安全设备220可以使用已知恶意文件正在其上进行操作或者已知恶意文件没有在其上进行操作的客户端设备210来生成训练数据集合，并且可以利用训练数据集合来与网络活动简档一起训练一个或多个机器学习算法，以便标识客户端设备210的集合中的、恶意文件正在其上进行操作的特定客户端设备210。附加地或备选地，安全设备220可以使用已经在训练数据集合上对其进行训练并且在被训练之后被提供给安全设备220的机器学习算法。
[0070]在一些实施方式中，安全设备220可以生成针对网络活动简档集合的得分。例如， 安全设备220可以将网络活动与网络活动简档集合进行比较，可以基于对网络活动的匹配来生成针对网络活动简档集合的得分，并且可以确定在一个或多个客户端设备210上进行操作的一个或多个恶意文件，这些恶意文件分别与满足一个阈值的一个或多个得分相关联。
[0071]如图4进一步所示，过程400可以包括提供如下信息，该信息与针对客户端设备集合中的客户端设备的网络活动是否对应于网络活动简档有关(框440)。例如，安全设备220 可以提供指示特定客户端设备210受到恶意文件感染(即，恶意文件正在该特定客户端设备210上进行操作)的信息。在一些实施方式中，安全设备220可以向管理者设备250提供该信息。例如，安全设备220可以促使在安全设备250上显示告警，该告警指示特定客户端设备210受到恶意文件感染。附加地或备选地，安全设备220可以向特定客户端设备210 提供该信息，以触发恶意文件补救程序激活、通知用户等等。
[0072]在一些实施方式中，客户端设备210可以提供与特定客户端设备210相关联的置信度得分，指示客户端设备210受到感染/未受到感染的置信度。例如，客户端设备210可以生成网络活动得分，指示特定客户端设备210的网络活动与网络活动简档匹配的程度。 在一些实施方式中，安全设备220可以向管理者设备250提供信息，指示客户端设备210的集合中没有客户端设备受到感染。例如，当安全设备220监测网络活动并且没有发现与网络活动简档的匹配(例如，阈值匹配)时，安全设备220可以指示恶意文件未在客户端设备 210的集合上进行操作。
[0073]在一些实施方式中，安全设备220可以基于确定特定客户端设备210受到感染而促使在特定客户端设备210上执行补救动作。例如，安全设备220可以促使特定客户端设备210被隔离、可以促使IT代理商被派遣去修理特定客户端设备210、可以促使补救软件在客户端设备210上被执行等等。在这种情况下，安全设备220可以包括与恶意文件补救相关联的模块，该模块通过确定恶意文件正在特定客户端设备210上进行操作而被触发。
[0074]在一些实施方式中，安全设备220可以提供指示如下的恶意文件的信息，这些恶意文件可能正在一个或多个客户端设备210上进行操作。例如，当安全设备220将网络活动与多个网络活动简档进行比较时，安全设备220可以向管理者设备250提供信息，指示与网络活动简档相关联的哪些恶意文件被确定为正在一个或多个客户端设备210上进行操作。
[0075]在一些实施方式中，安全设备220可以提供标识如下行为的信息，该行为关联于指示客户端设备210受到恶意文件感染。例如，安全设备220可以标识由客户端设备210 访问的一个或多个网络地址、由客户端设备210打开的一个或多个端口、由客户端设备210 打开的一个或多个端口的行为、在客户端设备210上被引发的网络活动反应等等。
[0076]尽管图4示出了过程400的示例框，在一些实施方式中，过程400可以包括另外的框、更少的框、不同的框、或者与图4中描绘的这些框不同地被布置的框。附加地或备选地， 过程400的两个或更多个框可以并行地被执行。
[0077] 尽管在本文中就确定网络活动简档和将网络活动简档与客户端设备210的网络活动进行匹配的方面来描述实施方式，本文中描述的实施方式还可以被利用来监测客户端设备210的网络活动，将网络活动与所存储的网络活动简档集合中的所存储的网络活动简档进行匹配，并且确定与所存储的网络活动简档相关联的恶意文件正在客户端设备210上进行操作。在这种情况下，安全设备220可以通知管理者设备250关于恶意文件标识为正在客户端设备210上进行操作。
[0078]图5A-?是涉及图4中示出的过程400的示例实施方式500的图。图5A-?示出了生成网络活动简档和标识受感染的客户端设备的示例。
[0079]如图5A所示，安全设备220可以操作防火墙505来监测进入/离开用户网络230 的网络流量。用户网络230包括客户端设备集合210-1至210-5。由客户端设备210-1从网络240并且经由防火墙505接收文件510 (例如，“Trojan, exe”)。如参考标号515所示， 安全设备220分析文件510以确定文件510是否是恶意文件。假设安全设备220确定文件 510是恶意文件并且安全设备220被触发以确定该恶意文件是否正在客户端设备210-1上和/或在用户网络230的一个或多个其他客户端设备210上进行操作。
[0080]如图5B所示出的，并且如参考标号520,安全设备220执行对文件510的分析以生成网络活动简档。如参考标号525所示，安全设备220生成特定的网络活动简档，该网络活动简档包括存在于文件510的程序代码中的URL集合(例如，“search, com”、“scam.net”、“theft.com”等)、在文件510的沙盒期间被访问的URL集合(例如，“files, net”、 “scam.net”、“virus.com”等)、以及与在执行对文件510的分析时所确定的可疑端口活动有关的信息(例如，被打开并且与已知的后门利用(backdoor exploit)相关联的特定端口 “1234”)。
[0081]URL集合中的一些ULR可能是良性的(例如，被包括以避免恶意文件检测，在沙盒期间由其他良性过程访问等等)。URL集合中的其他URL可能是常见的并且可能较差地对应于在特定客户端设备210上进行操作的恶意文件。例如，尽管“search, com”存在于每个 URL集合中，“search, com”可能由客户端设备210在正常(未受感染的)操作期间访问，并且可以提供关于客户端设备210受到感染的相对小的指示。相比较，另一个URL “virus, com”可以被确定为在正常操作期间相对少被访问，并且可以提供关于客户端设备210受到感染的相对强的指示。
[0082] 假设在确定特定客户端设备210是否受文件510感染时，安全设备220使用机器学习技术的集合(这些技术已经在训练数据集合上被训练，训练数据集合诸如与先前的恶意文件相关联的数据集合、正常(未受到感染的)网络活动等等)，来处理网络活动简档，以确定针对每个URL的相对权重、在端口扫描期间监测到的每个端口的相对权重等等。
[0083]如图5C所示出的，并且如参考标号530,安全设备220监测网络活动(例如，经由防火墙505)，以确定与网络活动简档的匹配。如参考标号535所示，一定数量的网络流量经由防火墙505进入/离开用户网络230。如参考标号540所示，在监测网络活动时，安全设备220对客户端设备210的集合执行端口扫描的集合，以确定与客户端设备210的集合中的每个客户端设备210的端口相关联的网络活动。
[0084]如图所示出的，并且如参考标号542,安全设备220基于监测网络活动来标识受感染的客户端设备210。如参考标号545所示，安全设备220为每个客户端设备210生成网络活动得分，该网络活动得分表示每个客户端设备210的网络活动与网络活动简档的相似性的度量。基于将网络活动得分与阈值(例如，75%匹配)相比较，安全设备220将客户端设备210-1、客户端设备210-4以及客户端设备210-5标识为受到文件510感染。如参考标号550所示，安全设备220向管理者设备250提供关于受感染的客户端设备210的通知，并且如参考标号555所示，该通知被显示为管理者设备250上的告警。
[0085]在另一个示例中，安全设备220可以监测客户端设备210的网络活动，并且可以将该网络活动与网络活动简档集合中的网络活动简档进行匹配，从而将与网络活动简档对应的恶意文件标识为正在客户端设备210上进行操作。
[0086]如以上所指示的，图5A-?仅仅被提供为一个示例。其他示例是可能的，并且可以区别于关于图5A-f5D所描述的示例。
[0087]通过这种方式，安全设备220可以基于分析恶意文件、将恶意文件进行沙盒之类的来生成针对恶意文件的网络活动简档。此外，安全设备220可以监测网络活动以确定针对特定客户端设备210的网络活动是否匹配网络活动简档，指示该特定客户端设备210受到恶意文件感染。
[0088]前述公开内容提供了解释说明和描述，但是并非旨在于是排他的或者是将实施方式限制为所公开的精确形式。根据上述公开内容，修改和变化是可能的或者可以根据实施方式的实践而获得。
[0089]如本文中所使用的，术语组件旨在于被广泛地理解为硬件、固件、和/或硬件和软件的组合。
[0090]在本文中一些实施方式结合阈值来进行描述。如本文中所使用的，满足一个阈值可以指的是一个值比该阈值更大、比该阈值更多、比该阈值更高、大于或等于该阈值、比该阈值更少、比该阈值更小、比该阈值更低、小于或等于该阈值、等于该阈值，等等。
[0091]将理解，本文中描述的系统和/或方法可以以不同形式的硬件、固件、或硬件和固件的组合来实现。用于实现这些系统和/或方法的实际的专用控制硬件或软件代码并非是对实施方式的限制。因此，在不参照具体软件代码的情况下在本文中描述了这些系统和 /或方法的操作和行为一一要理解的是，基于本文中的描述，可以设计软件和硬件来实现这些系统和/或方法。
[0092]尽管在权利要求书中记载了和/或在说明书中公开了特征的特定组合，这些组合不旨在于限制可能的实施方式的公开内容。事实上，这些特征中的许多特征可以以未在权利要求书中具体记载和/或未在说明书中具体公开的方式进行组合。尽管以下所列出的每个从属权利要求可以直接地从属于仅一个权利要求，可能的实施方式的公开内容包括每个从属权利要求与权利要求书中的每个其他权利要求的组合。
[0093]除非明确如此声明，本文中使用的元件、动作或指令不应当被认为是关键的或者是必不可少的。而且，如本文中所使用的，冠词旨在于包括一个或多个项，术语“组”和“集合”旨在于包括一个或多个项(例如，相关的项、不相关的项、相关和不相关的项的组合等等)，并且可以与“一个或多个”互换地使用。当旨在于说仅一个项时，使用术语“一个”或者类似的语言。而且，如本文中所使用的，术语“有”、“具有”、“具有的”之类的旨在于是开放性术语。进一步地，除非特别申明，词组“基于”旨在于表示“至少部分地基于”。
【主权项】
1.一种方法，包括: 由设备监测与客户端设备集合相关联的网络活动， 与所述客户端设备集合相关联的所述网络活动包括与网络地址集合相关联的第一网络活动和与所述客户端设备集合的端口集合相关联的第二网络活动； 由所述设备将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配， 所述网络活动简档是在沙盒环境中测试与所述网络活动简档相关联的恶意文件时观察到的特定网络活动；以及 由所述设备基于将与所述客户端设备集合相关联的所述网络活动和所述网络活动简档进行匹配，来提供所述恶意文件正在所述客户端设备集合中的客户端设备上进行操作的通知。2.根据权利要求1所述的方法，进一步包括: 接收所述恶意文件； 在所述沙盒环境中执行所述恶意文件； 在所述沙盒环境中执行所述恶意文件的同时，监测与所述恶意文件相关联的所述网络活动； 基于监测与所述恶意文件相关联的所述网络活动来生成所述网络活动简档；以及 存储与所述网络活动简档相关联的信息。3.根据权利要求1所述的方法，其中匹配与所述客户端设备集合相关联的所述网络活动进一步包括: 确定针对所述网络活动简档集合中的每个网络活动简档的得分， 所述得分表示所述网络活动简档和与所述客户端设备集合相关联的所述网络活动之间的相似性的度量；以及 基于针对所述网络活动简档的所述得分来确定与所述客户端设备集合相关联的所述网络活动与所述网络活动简档相匹配。4.根据权利要求1所述的方法，其中监测与所述客户端设备集合相关联的所述网络活动进一步包括: 对所述客户端设备集合的特定客户端设备执行端口扫描；并且其中将与所述客户端设备集合相关联的所述网络活动和网络活动简档集合中的网络活动简档进行匹配进一步包括: 将对所述特定客户端设备的所述端口扫描的结果与在所述测试环境中测试所述恶意文件时执行的另一个端口扫描进行匹配。5.根据权利要求1所述的方法，进一步包括: 基于确定与所述客户端设备集合相关联的所述网络活动匹配所述网络活动简档，促使补救动作在所述客户端设备上被执行， 所述补救动作与补救所述恶意文件相关联。6.根据权利要求1所述的方法，进一步包括: 获得白名单， 所述白名单与指定如下的网络活动相关联，所述网络活动与在所述恶意文件未在所述客户端设备上进行操作时所述客户端设备的操作相关联；以及 其中监测与所述客户端设备集合相关联的所述网络活动进一步包括: 从与所述客户端设备集合相关联的网络活动中过滤掉与所述白名单相关联的网络活动。7.一种用于提供信息的系统，所述信息指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档，所述系统包括: 用于确定与所述恶意文件相关联的所述网络活动简档的装置， 所述网络活动简档包括与当所述恶意文件在测试环境中被执行时关联于所述恶意文件的网络活动有关的信息； 用于监测与所述客户端设备相关联的网络活动的装置； 用于基于监测与所述客户端设备相关联的所述网络活动、来确定与所述客户端设备相关联的所述网络活动匹配与所述恶意文件相关联的所述网络活动简档的装置；以及 用于提供指示与所述客户端设备相关联的所述网络活动匹配与所述恶意文件相关联的所述网络活动简档的所述信息的装置。8.根据权利要求7所述的系统，进一步包括: 用于建立所述测试环境的装置； 用于促使所述恶意文件在所述测试环境中被执行的装置； 用于基于在促使所述恶意文件在所述测试环境中被执行时观察到的网络活动、来标识与所述恶意文件相关联的所述网络活动的装置；以及其中用于确定所述网络简档的所述装置包括: 用于基于标识与所述恶意文件相关联的所述网络活动、来确定所述网络活动简档的装置。9.根据权利要求8所述的系统，其中用于促使所述恶意文件在所述测试环境中被执行的所述装置包括: 用于在所述恶意文件在所述测试环境中被执行时引发与所述恶意文件相关联的网络活动反应的装置；以及 其中用于监测与所述客户端设备相关联的网络活动的所述装置包括: 用于在监测与所述客户端设备相关联的网络活动时、在所述客户端设备上引发与所述恶意文件相关联的所述网络活动反应的装置；以及 用于基于在所述客户端设备上引发与所述恶意文件相关联的所述网络活动反应、来确定与所述客户端设备相关联的所述网络活动匹配与所述恶意文件相关联的所述网络活动简档的装置。10.根据权利要求7所述的系统，其中所述测试环境是沙盒环境。11.根据权利要求7所述的系统，进一步包括: 用于分析所述恶意文件以确定在所述恶意文件中标识的一个或多个网络地址的装置；以及 其中用于确定所述网络活动简档的所述装置包括: 用于基于在所述恶意文件中标识的所述一个或多个网络地址来确定所述网络活动简档的装置。12.根据权利要求7所述的系统，进一步包括:用于确定所述恶意文件被存储在与所述客户端设备相关联的数据结构中的装置； 用于基于确定所述恶意文件被存储在与所述客户端设备相关联的数据结构中并且基 于确定与所述客户端设备相关联的所述网络活动匹配与所述恶意文件相关联的所述网络 活动简档、来确定所述恶意文件正在所述客户端设备上执行或者已经在所述客户端设备上 执行的装置；以及用于提供指示所述恶意文件正在所述客户端设备上进行执行或者已经在所述客户端 设备上进行执行的信息的装置。13.根据权利要求7所述的系统，其中所述客户端设备是第一客户端设备；并且 其中所述系统进一步包括:用于确定被下载到第二客户端设备的文件是所述恶意文件的装置，所述第一客户端设备和所述第二客户端设备位于用户网络上；以及 用于基于确定被下载到所述第二客户端设备的所述文件是所述恶意文件、来确定所述 恶意文件是否正在所述第一客户端设备上进行操作的装置。
【文档编号】G06F21/56GK106022113SQ201510617441
【公开日】2016年10月12日
【申请日】2015年9月24日
【发明人】J·A·兰顿, D·J·奎因兰, K·亚当斯, D·康隆
【申请人】瞻博网络公司