专利名称:在装置间使用关于恶意应用程序行为的信息的设备和方法
技术领域:
根据本发明的设备和方法涉及防止恶意应用程序行为,更具体地讲,涉 及在装置间使用关于恶意应用程序行为的信息。
背景技术:
行为建模(profiling) /监控引擎应用程序(通常称为防病毒软件)监控 应用程序的执行,并记录日志。基于行为的防病毒软件基于应用程序行为来 监控恶意应用程序。WholeSecurity、 Finjan Software和Proofpoint是4是供基于 行为的解决方案的公司。这些解决方案通过根据算法确定处理是否为恶意并 通过提供用于阻止应用程序等级行为或机器学习和人工智能的引擎,来防止 恶意应用程序。
在现有技术中,应用程序安全漏洞描述语言(AVDL)、企业安全漏洞描 述语言(EVDL)和开放安全漏洞评估语言(OVAL)描述恶意应用程序行为。 AVDL通过交换关于网络中的已知安全漏洞的信息来设置标准。AVDL提出 使用超文本传输协议(HTTP)的客户机和网关/代理之间的安全漏洞,并执 行攻击。EVDL形成已知的数据格式,以指示web应用程序的安全漏洞。另 外,EVDL是安全标记语言,并提供对最初危险的指导和风险的概率。OVAL 是确定计算机系统的安全漏洞和设置问题的语言。OVAL是基于国际信息安 全共同体的标准,其提供关于如何检查计算机系统的安全漏洞以及设置是否 已经被设置的信息。
现今的大多数计算机系统安装有由不同厂商提供的防病毒软件,每种防 病毒软件包括不同的病毒签名/补丁格式。另外,许多不同种类的恶意软件攻 击导致对不同平台中不同的应用程序的损坏。操作系统、系统软件或应用程 序软件组件的安全漏洞易受开发的影响。因此,需重要考虑互搡作性。
AVDL说明应用程序的堆栈或组件的"已知安全漏洞"(例如,操作系统 类型、操作系统版本、应用程序服务器类型、web服务器类型和数据库类型)。 这里,AVDL说明关于目录结构、超文本标记语言(HTML)结构、合法访
问点和合法响应参数的信息。EVDL方案包括元素,例如包含基本信息的 元数据;概述(profile),将应用程序的安全漏洞分类;分析,包含关于源代 码安全漏洞的信息;检测信息,检测应用程序的安全漏洞;和保护信息,在 应用程序运行时保护应用程序。
前面提到的语言共享已知的安全漏洞。然而,语言标准委员会无法保证 必定以可扩展标记语言(XML )格式说明安全漏洞。
大量恶意软件(例如,病毒)被有规律地创建。因此,需要一种如图1 所示的用于产生防病毒程序的补丁的处理。
图1示出现有技术的防病毒处理的实现。在操作1中,病毒攻击用户计 算机系统的已知安全漏洞。在操作2,用户计算机系统将攻击的特性报告给 厂商。在操作3,将病毒代码发送防病毒程序厂商。防病毒程序厂商分析样 本病毒代码,并产生补丁或签名。 一旦操作3完成,在操作3,,厂商就更新 已知安全漏洞的数据库。
在操作4,防病毒程序厂商将补丁或签名发送给客户端计算机,从而客 户端计算机可更新防病毒程序签名。另外,在操作4',产生基于前面提到的 AVDL、 EVDL和OVAL的文档。在操作5,用户计算机下载防病毒软件,并 防止未认证的或恶意的应用程序运行。
图2是示出产生的文档是否保护已知安全漏洞的示图。图2示出恶意软 件或病毒攻击认证的应用程序的安全漏洞。客户才几2可询问公共安全漏洞和 暴露(CVE )的安全漏洞存在于哪里。客户机2可接收AVDL、 OVAL或EVDL 文档,并与客户才几1共享所述文档
发明内容
技术问题
然而,使用AVDL、 OVAL或EVDL的XML文档中详述的安全漏洞是"已 知"安全漏洞,因此,不说明恶意行为。即,难以保护使用"零小时保护" 方案的系统。零小时保护立即阻止对系统造成威胁的恶意软件。前面提到的 安全漏洞描述语言说明"已知安全漏洞",但没有说明恶意应用程序"行为"。 另外,当共享已知安全漏洞时,可应用所述语言,但所述语言对防止恶意应 用程序传播无效。
现有技术的描述语言无法检查安全漏洞是否存在。另一缺点是产生的
5
XML文档專交大。
因此,当交换、共享和解析所述语言的文档时,此类文档可导致网络负 栽,对具有有限计算能力和少量资源的嵌入式系统而言是个问题。因此,需 要针对前面提到的问题的解决方案。
发明内容
本发明提供了 一种交换和使用关于恶意应用程序行为的信息的设备和方法。
本发明还提供了 一种对彼此通信的装置进行认证并监控其中的恶意应用 程序行为的设备和方法。
根据本发明的一方面,提供了一种使用关于恶意应用程序行为的信息的 装置,所述装置包括性能监控单元,监控应用程序性能;行为监控单元, 监控应用程序行为;mBDL产生单元,以说明应用程序性能和应用程序行为 的形式语言产生文档;控制单元,使用所述形式语言控制应用程序的执行。
根据本发明的另 一方面,提供了 一种使用关于恶意应用程序行为的信息 的方法,所述方法包括监控应用程序行为或应用程序性能;以说明监控的 应用程序性能或应用程序行为的形式语言产生文档;使用产生的形式语言控 制应用程序的执行。
通过参照附图对本发明示例性实施例的详细描述,本发明的以上和其他
特征和方面将变得清楚,其中
图1示出现有技术的防病毒软件的实现;
图2是示出产生的文档是否保护已知安全漏洞的示图3示出根据本发明示例性实施例的计算机系统的结构;
图4示出根据本发明的示例性实施例的说明恶意行为文档的XML文档
的结构;
图5示出根据本发明的示例性实施例的基于图4的分类说明性能和行为 所需的数据单元800;
图6示出根据本发明示例性实施例的产生mBDL并在两个装置和协议之 间交换niBDL的方法;
图7示出根据本发明示例性实施例的在多个装置中产生并共享mBDL的
处理;
图8示出根据本发明的示例性实施例的行为监控应用程序的配置。
具体实施方式
将参照附图详细描述本发明的示例性实施例。
通过参照下面对示例性实施例和附图的详细描述,可更容易理解本发明 的方面和特征和用于实现本发明的方法。然而,本发明可以以许多不同的形
供这些示例性实施例,以使本公开是彻底的和完整的,并将本发明的构思全 面传达给本领域的技术人员,本发明仅由权利要求限定。贯穿说明书,相同 的标号表示相同的部件。
以下,参照根据本发明示例性实施例的用户接口、方法和计算机程序产 品的流程图来描述本发明。
应该理解,流程图的每一个方框和在流程图中的多个方框的组合可由计 算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算 机、或者其他可编程数据处理设备的处理器以产生机器,从而经计算机或者 其他可编程数据处理设备的处理器执行的指令创建用于实现在一个流程图方 框或多个流程图方框中描述的功能的装置。
这些计算机程序指令还可被存储在可指导计算机或者其他可编程数据处 理设备以特定方式工作的计算机可用或计算机可读存储器中,以便存储在计 算机可用或计算机可读存储器中的指令生产包括执行在一个流程图方框或多 个流程图方框中描述的功能的指令装置的产品。计算机程序指令还可被载入 计算机或其他可编程数据处理设备以使得一系列操作步骤在计算机或其他可
编程设备上被执行以产生计算机4丸行的过程,从而在计算机或其他可编程设 备上执行的指令提供用于实现在一个流程图方框或多个流程图方框中描述的
功能的步骤。
另外,流程图的每个方框可表示模块、代码段或代码的一部分,其包括 一个或多个用于实现特定逻辑功能的可执行指令。还应该注意,在一些可选 择的实现中,在方框中提到的功能可以以不同于所示的顺序出现。例如,根 据所涉及的功能,连续显示的两个方框实际上可能基本上同时发生,或者所
述方框有时可能以相反的顺序被执行。
这里的恶意代码表示具有有害功能的恶意软件,并包括病毒、黑客程序 和间谍软件。所述有害功能包括性能下降、数据擦除、数据改变和数据暴露。
图3示出根据本发明示例性实施例的计算机系统的结构。 除了计算机系统和膝上型计算机之外,图3中的系统500还可被应用于 嵌入式系统以及移动电话、MP3播放器、个人数字助手(PDA)和便携式媒 体播放器(MPP)。尽管在图3中没有示出,但可包括硬件结构(例如,CPU、 RAM、 ROM和高速缓沖存储器)以运行应用程序。此外,可提供库、驱动 程序和4妻口 。
可以以软件或硬件来实现在说明书中提出的行为监控应用程序200。系 统500中的可信赖应用程序110下载内容。在这种情况下,如果下载的内容 是未认证的应用程序或恶意应用程序120,则行为监控应用程序200可监控 并报告该应用程序,或阻止该应用程序运行。稍后描述行为监控应用程序200 的详细执行处理。
网络管理单元160下载应用程序,将监控结果发送到其他厂商或装置, 或接收监控应用程序行为所需的数据。操作系统150负责系统500的操作, 并可包括嵌入式操作系统(OS)或实时OS。所述系统可另外具有输入/输出功能,并可根据其特征和主要目的而变化。
在图3的系统500中下载未认证的恶意应用程序120。行为监控应用程 序200监控恶意应用程序120运行时的行为。以作为基于XML的冲莫板语言 的恶意行为描述语言(mBDL)格式对应用程序运行时的行为文档化。mBDL 说明恶意应用程序行为。将描述其主要组件。
图4示出根据本发明的示例性实施例的说明恶意行为文档的XML文档 的结构。
为了描述恶意行为,可将XML分成性能和行为。图4中示出的mBDL 包括性能700和行为760。
性能元素说明应用程序的功能性性能,例如,应用程序是否产生或擦除 进程或线程。性能元素700包括文件访问710、网络720、存储器730和进程 /线程740。文件访问710说明特定应用程序能够对文件进行操作的性能,例 如,产生、擦除、读取、写或运行文件。例如,当应用程序提供读取文件A
和擦除文件B的功能时,文件访问710可对其进行说明。
网络720说明应用程序通过通信功能可以执行什么操作,例如,无在线 通信中应该使用哪个通信端口 ( COM、并行或IrDA )或应该选择什么。此外, 网络720说明是否执行通常使用的功能(监听、发送、接收或连接),例如, 应用程序使用10936端口,并使用该端口传输数据。
存储器730说明是否执行用于分配存储器和恢复存储器的命令(例如, malloc、 realloc、 alloca、 calloc、 heapmin或free )。 进程/线禾呈740说明应用程 序是否产生、打开、终止或覆写进程。例如,如果应用程序产生或擦除进程 A,则进程/线程740可对此进行说明。
行为760表示在其元素中什么类型的操作被执行。即,行为760说明在 应用程序运行时执行的应用程序行为(例如,动作或事件)。下级元素包括组 件770、硬件、软件780和事件流790。组件770包括;更件或软件,并说明硬 件或软件的执行行为。硬件、软件780说明关于事件流790的信息,并说明 在硬件或软件中怎样执行事件。事件流790说明在恶意代码运行时发生的事 件。
图5示出根据本发明的示例性实施例的基于图4的分类说明性能和行为 所需的数据单元800。
第一字段是概述标识符810,并可被随机产生。第二字段是指示是否说 明性能或行为的概述类型820,例如,当分配1比特并且值变成0时,第二 字段说明性能。当值为1时,第二字段说明行为。第三字段包含关于行为或 性能的详细信息。图5选择在形式语言的大多数系统中使用的XML文档。
图6示出根据本发明示例性实施例的产生mBDL并在两个装置和协议之 间交换mBDL的方法。
图6中的计算装置是一个示例性实施例,并可被应用于如上所述的膝上 型计算机、PDA或移动电话。计算装置1 901和计算装置2 902被认证并可 信赖。认证处理可使用可信赖的计算组。
计算装置2 902监控恶意应用程序行为,并产生mBDL文档(SllO)。可 产生两个mBDL文档(例如,性能概述和行为概述)。首先,计算装置2 902 产生性能概述(S112),并将其发送到计算装置1 901,以进行共享(S114)。 性能概述提供关于恶意应用程序在相应的平台中进行什么操作的信息。此类 信息对于其他计算装置至关重要。性能概述可具有与图5中示出的格式相同 的格式。
在性能概述的示例性实施例中,设置处理器标识符810和概述类型(如 果性能概述为0),并撰写用于说明恶意应用程序的性能(malcap)的XML 文档。稍后描述XML文档的构造。
计算装置1 901关于接收到的性能概述发送ACK(S120)。计算装置1 901 解析包含接收到的性能概述的mBDL文档,将其存储在策略表或策略数据库 中,并对其进行解析(S122)。如果策略表或策略数据库的内容与解析的结果 不同,则计算装置1 901提出异议,并可请求计算装置2 902停止应用程序 (S124 )。可通过发送包含相应概述标识符的数据单元来进行以上处理。
当从计算装置1901接收到响应时,计算装置2 902发送恶意应用程序行 为(S130)。将被发送的行为概述可具有与图5中的数据单元相同的结构。稍 后描述XML文档的构造。计算装置1 901发送ACK (S140),并使用内部工 具评价接收到的行为概述。
图7示出根据本发明示例性实施例的产生mBDL并在多个装置间共享 mBDL的处理。
具有比装置904、 906和908更强的计算能力的装置910安装有具有更强 功能的防病毒软件。装置910可使用安装的软件监控恶意应用程序行为。一 旦执行了监控,niBDL文件就被产生,并被发送到装置904、 906和908。装 置904、 906和908具有比装置910差的计算能力,并可具有用于解析接收到 的mBDL文件的功能,或提供用作用于防止恶意应用程序运行的防病毒程序 的功能。因此,装置904、 906和908可通过在特定装置中产生说明性能和行 为的mBDL文档并与其他装置共享该mBDL文档来防止恶意应用程序运行。
参照图2A描述的术语"模块"涉及,但不限于,软件和硬件组件,诸 如执行某任务的现场可编程门阵列(FPGA)或专用集成电路(ASIC)。模块可以 被配置以驻留在可寻址的存储介质上,并且可被配置以在一个或多个处理器 上执行。因此,举例来说,模块可以包括诸如软件组件、面向对象的软件 组件、类组件和任务组件的组件、进程、函数、属性、过程、子程序、程序 代码段、驱动程序、固件、微码、电路、数据、数据库、数据结构、表、数 组和变量。在组件和模块中提供的功能可被组合为更少的组件和模块,或者 可进一步被分离成另外的组件和模块。
以下,将参照图4至图8详细描述根据本发明示例性实施例的过滤接口
提供方法。
图8示出根据本发明的示例性实施例的行为监控应用程序的配置。 性能监控单元210监控恶意应用程序性能,即,访问的文件或执行的工 作。行为监控单元220监控恶意应用程序行为,即,检查行为是基于硬件还 是基于软件。mBDL产生单元根据性能监控单元210和行为监控单元220的 监控结果产生XML文档。可以与其他装置共享该文档。控制单元240使用 产生的XML文档确定应用程序是否包含恶意代码,并控制应用程序的执行。 图9示出 一旦性能监控单元监控到恶意应用程序就产生的mBDL文档的构造。
标号1010表示探究mBDL性能的元素。元素"文件访问"、"网络"、"存 储器"和"进程"说明前面提到的性能。标号1012示出根据在标号1010中 列出的元素创建的mBDL文档的示例。
图10示出一旦性能监控单元监控到恶意应用程序就产生的mBDL文档
的构造。
在1020中,示出了进入mBDL性能的元素。在1020中,监控恶意应用 程序的事件流,并说明使用HW和SW标签的硬件和软件。在1022中,示出 了根据在标号1020中列出的元素创建的mBDL文档的示例。
可通过前面提到的mBDL在具有不同平台的厂商或装置之间通过公共文 档形式共享关于恶意应用程序的信息。另外,由于可使用性能元素提前评价 可疑应用程序行为,所以可节省报告恶意行为所需的时间。此外,可在可信 赖的装置间共享恶意应用程序的概述,并可由具有较小计算能力的装置评价 应用程序行为,只要所述装置具有监控或解析XML文档的功能即可。因此, 不必安装全部的行为监控应用程序。
产业上的可利用性 如上所述,根据用于在装置间使用恶意应用程序行为的信息的设备和方 法,可期望如下效果。
首先,可在由不同厂商制造的不同装置之间共享关于恶意应用程序的信息。
其次,具有解析功能的装置可防止恶意应用程序运行。
已参照附图解释了本发明的示例性实施例,但本领域的技术人员清楚的
是,在不脱离本发明的范围和精神的情况下,可对其做出各种修改和改变。 即,存储广播内容的数字装置根据本发明的示例性实施例作为过滤接口的示 例被描述。然而,当菜单根据用户喜好被过滤并被显示在存储数字内容的数
字装置(例如,计算机、PDA、 PMP、移动电话和数字广播接收机)中时,
过滤接口提供方法可被应用。因此,应该理解,以上示例性实施例在所有方 面都不是限制性的,而是说明性的。
权利要求
1、一种使用关于恶意应用程序行为的装置,所述装置包括:性能监控单元,监控应用程序性能;行为监控单元,监控应用程序行为;mBDL产生单元,以说明应用程序性能和应用程序行为的形式语言产生文档;控制单元,使用所述形式语言控制应用程序的执行。
2、 如权利要求l所述的装置,其中,应用程序性能表示利用或控制装置的资源。
3、 如权利要求2所述的装置,其中,装置的资源包括文件、网络、存储 器和进程中的至少一个。
4、 如权利要求l所述的装置,其中,应用程序行为包括关于由装置中的 应用程序执行的工作的信息。
5、 如权利要求4所述的装置,其中,关于工作的信息包括关于装置的组 件、硬件和软件之一的执行的信息。
6、 如权利要求l所述的装置,其中,通过使用可扩展标记语言(XML) 来产生形式语言。
7、 如权利要求1所述的装置,还包括网络管理单元,将在mBDL产 生单元中产生的形式语言的文档发送到其他装置。
8、 一种在装置中使用关于恶意应用程序行为的信息的方法,所述方法包括监控应用程序行为和应用程序性能中的至少 一个;以说明监控的应用程序性能和应用程序行为中的所述至少一个的形式语 言产生文档;使用产生的形式语言控制应用程序的执行。
9、 如权利要求8所述的方法,其中,应用程序性能包括应用程序利用或 控制装置的资源的性能。
10、 如权利要求9所述的方法,其中,装置的资源包括文件、网络、存 储器和进程中的至少一个。
11、 如权利要求8所述的方法,其中,应用程序行为包括关于由装置中 的应用程序执行的工作的信息。
12、 如权利要求8所述的方法,其中,关于工作的信息包括关于装置的组件、硬件和软件之一的执行的信息。
13、 如权利要求8所述的方法,其中,通过使用可扩展标记语言(XML)来产生形式语言。
14、 如权利要求8所述的方法,还包括将产生的形式语言发送到其他装置。
15、 一种在装置中使用关于恶意应用程序行为的信息的方法,所述方法包括接收包含形式语言的文档的数据, 一旦应用程序监控到应用程序性能和 应用程序行为中的至少一个,就创建所述文档;通过解析接收到的数据提取关于应用程序性能和应用程序行为中的所述 至少一个的信息;根据提取的信息控制应用程序的执行。
16、 如权利要求15所述的方法,其中,应用程序性能包括应用程序利用 或控制装置的资源的性能。
17、 如权利要求16所述的方法,其中,装置的资源包括文件、网络、存 储器和进程中的至少一个。
18、 如权利要求15所述的方法,其中,应用程序行为包括关于由装置中 的应用程序执行的工作的信息。
19、 如权利要求18所述的方法,其中,关于工作的信息包括关于装置的 组件、硬件和软件之一的执行的信息。
全文摘要
提供了一种用于使用关于恶意应用程序行为的信息的装置。所述装置包括性能监控单元,监控应用程序性能;行为监控单元,监控应用程序行为;mBDL产生单元,以说明应用程序性能和应用程序行为的形式语言产生文档;控制单元,使用所述形式语言控制应用程序的执行。
文档编号G06F15/00GK101385012SQ200780005130
公开日2009年3月11日 申请日期2007年2月8日 优先权日2006年2月10日
发明者奇兰帕尔·萨高, 郑勍任 申请人:三星电子株式会社