专利名称:使用文件流行程度通知行为试探的攻击性的制作方法
技术领域:
本披露总体上涉及计算机安全,并且更具体地涉及使用文件的流行程度来通知相 应的行为试探性恶意软件检测的攻击性。
背景技术:
系统用来检测(及因此消除)恶意软件(例如病毒、蠕虫、特洛伊木马、间谍软件 等)。这种恶意软件检测系统典型地通过使用静态位签名和/或试探对恶意软件进行来工 作。基于静态位签名的恶意软件检测涉及对已知恶意软件中的特定位级模式(签名)进行 识别。然后对文件进行扫描以确定它们是否包含该签名。当使用静态文件签名识别恶意软 件时,判罪的确定性较高。然而,通过改变内容可以规避基于签名的检测。签名的作用变得 越来越小,因为恶意软件的作者在操纵他们的恶意软件上变得更精通以避免基于签名的检 测。试探性恶意软件检测涉及通过应用多种基于决定的规则或权衡方法确定一个给 定的文件是恶意软件的可能性。试探性分析在许多情况下可以产生有用的结果,但没有其 正确性的数学证据。在静态文件试探中,文件的内容是试探性地分析的。在基于行为的试 探中,程序的行为是试探性地分析的。两种方法都涉及用一组样本恶意软件训练一个试探 性分析器并且清洁文件,以便其对相互关联的内容的类型或行为进行总结。通过定义,使用 试探性分析对被怀疑的恶意软件进行识别从来都不是完全确定的,因为试探性分析仅确定 文件是清洁或恶意的可能性。基于试探的文件判罪的信心进一步面临以下事实训练设置 难于定义并且总是不同于真实世界设置。基于行为的恶意软件检测的一个主要缺点是误报。由于试探性分析中的固有不确 定性,存在将以疑似恶意的方式作用的非恶意文件判罪的可能。错误地将清洁的文件列为 恶意是有问题的,因为其常常导致合法的、可能重要的内容被阻断。为解决该问题,常常拒 绝使用的试探的攻击性,以便降低误报率。遗憾地是,降低试探的攻击性伴随地促使被检测 的正报率也下降。换言之,通过使用较弱的试探,恶意文件更可能被错误地分类为清洁的并 且传递给用户。追踪电子数据从其中产生的来源的声誉是用来识别恶意软件的另一种技术。例 如,可以追踪电子邮件地址和域名的声誉来识别可信赖与潜在恶意的电子邮件地址发送者 和文件签名。当特定的文件的来源是众所周知时,基于声誉的文件分类会是有效的。随着 时间的推移,在起源于一个来源的很多电子内容中,该来源的声誉可以被秘密地评估并用 来屏蔽或传递内容。遗憾地是,基于声誉的文件分类在低流行范围内评估来源具有困难。解决这些问题是令人期望的。
发明内容
一种试探性攻击性管理系统基于目标文件的流行率来调节在基于行为的试探性 恶意软件检测中使用的攻击性级别。例如,基于来自一个声誉追踪或恶意软件检测系统的输入,确定一个有待接受基于行为的试探性分析的文件的流行率。响应于所确定的文件的流行率,调节在该文件的基于行为的试探性分析的中使用的攻击性级别。更具体地,对于较低流行性的文件将攻击性级别设定到一个更高的级别,而对于较高流行性的文件则设定到一个更低的级别。在一个实施方案中,对不同的流行率的文件设定误报容忍级别,并且基于接受者操作特征的分析用来设定对应的攻击性级别。使用该设定的攻击性级别,将基于行为的试探性分析应用到该文件。例如,响应于正在使用的攻击性级别,这会涉及在文件的基于行为的试探性分析过程中改变文件属性的处理和/或测量不同的文件属性。除了设定攻击性级别之外,在一些实施方案中,试探性分析还包括将较低流行性的文件动态地权衡为更可能是恶意的,以及将较高流行性的文件动态地权衡为更可能是合法的。根据所应用的基于行为的试探性分析,确定该文件是否包括恶意软件。若确定该文件不包括恶意软件,则允许正常的文件处理按期望进行。另一方面,若确定该文件包括恶意软件,则采取附加的步骤,如阻断该文件、删除该文件、隔离该文件和/或对该文件杀毒。在本概述中以及在以下的详细说明中说明的这些特征及优点并不是包揽无遗的,并且具体地讲,通过参看本发明的附图、说明书、以及权利要求书,很多额外的特征和优点对相关领域的普通技术人员将变得清楚。另外,应该注意到本说明书中所使用的语言的选 择主要是为了易读性和指导性的目的,并且也许不是被选用为描绘或限制本发明的主题,对于确定这种发明主题必须求助于权利要求书。
图I是根据一些实施方案的一种示例性网络架构的框图,其中可以实施一种试探性攻击性管理系统。图2是根据一些实施方案适用于实施一种试探性攻击性管理系统的计算机系统的框图。图3是根据一些实施方案的一种试探性攻击性管理系统的操作的框图。这些图示仅为展示的目的描绘了多个实施方案。本领域的普通技术人员将容易地从以下说明中认识至IJ,可以使用在此所展示的这些结构以及方法的替代实施方案而不背离在此说明的原理。
具体实施例方式图I是一个框图,示出了一种示例性网络架构100,其中可以实施一种试探性攻击性管理系统101。该示出的网络架构100包括多个客户端103A、103B和103N,以及多个服务器105A和105N。在图I中,试探性攻击性管理系统101如图所示驻存在客户端103A上。应理解这仅是一个示例,在多种实施方案中该系统101的多种功能可以在客户端103、服务器105上实例化,或可以分布在多个客户端103和/或服务器105之间。如在图2中所示和下文描述的计算机系统210可以用来实施客户端103和服务器105。例如通过下文结合图2描述的网络接口 248或调制解调器247,客户端103和服务器105可以通信性地连接到网络107上。客户端103例如可以使用网页浏览器或其他的客户端软件(未示出)访问服务器105上的申请者和/或数据。尽管图I示出了三个客户端和两个服务器作为一个示例,在实践中可以部署更多个客户端103和/或服务器105。在一个实施方案中,网络107是互联网的形式。在其他的实施方案中可以使用其他的网络107或基于网络的环境。图2是一个框图,展示了一种适用于实施试探性攻击性管理系统101的计算机系统210。可以用这种形式的计算机系统210实施客户端103和服务器105。如图所示,计算机系统210的一个组件是总线212。总线212通信性地连接到计算机系统210的其他组件上,如至少一个处理器214、系统存储器217 (例如随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器)、输入/输出(I/O)控制器218 ;通信性地连接到外部音频装置如扬声器系统220的音频输出接口 222上;通信性地连接到外部视频输出装置如显示屏224的显示适配器226、一个或多个接口如串行端口 230、通用串行总线(USB)插口 230、并行端口(未示出)等等上;通信性地连接到键盘232的键盘控制器233上;通信性地连接到至少一个硬盘244 (或其他形式)的存储接口 234、配置为接收软盘238的软盘驱动237、配置为连接光纤通道(FC)网络290的主机总线适配器(HBA)接口卡235A、配置为连接到SCSI总线239的HBA接口卡235B、配置为接收光盘242的光盘驱动240、例如通过USB插口 228连接到总线212的鼠标246 (或其他的指点装置)、例如通过串行端口 230连接到总线212的调制解调器247、及直接连接到总线212的网络接口 248上。 其他的组件(未示出)能够以类似的方式连接(例如,文件扫描仪、数码相机、打印机等)。相反,图2中所示的所有组件不需要出现。这些组件和子系统能够以不同于图2中示出的方式互相连接。总线212允许在处理器214和系统存储器217之间的数据通信,这如上所述可以包括ROM和/或闪存存储器以及RAM。RAM典型地是加载操作系统和应用程序的主存储器。ROM和/或闪存存储器可以包括(除其他的代码以外)控制特定基本硬件操作的基本输入输出(BIOS)系统。应用程序可以存储在本地计算机可读媒质上(例如硬盘244、光盘242)并加载到系统存储器217中并由处理器214执行。应用程序还可以例如通过网络接口 248或调制解调器247从远程位置(即远程定位的计算机系统210)加载到系统存储器217中。在图2中,试探性攻击性管理系统101如图所示驻存在系统存储器217中。以下将结合图3更详细地描述试探性攻击性管理系统101的工作。存储接口 234连接到一个或多个硬盘244 (和/或其他的标准存储媒质)上。硬盘244可以是计算机系统210的一部分或者可以是物理上分离的并且通过其他接口系统可访问的。网络接口 248和/或调制解调器247可以直接或间接通信性地连接到网络107(如互联网)上。这种连接可以是有线或无线的。 图3示出了根据一些实施方案驻存在计算机系统210的系统存储器217中的一个试探性攻击性管理系统101的操作。如上所述,试探性攻击性管理系统101的功能可以驻存在客户端103、服务器105中或可以分布在多个计算机系统210之间,包括在基于云的计算环境内,其中试探性攻击性管理系统101的功能被提供为网络107上的一种服务。应理解尽管试探性攻击性管理系统101如图3所示作为一个单一的实体,所示的试探性攻击性管理系统101代表一组功能,如所希望的这可以作为单个或多个模块实例化(试探性攻击性管理系统101的多个特定模块的实例化如图3所示)。应理解试探性攻击性管理系统101的这些模块可以在任何计算机系统210的系统存储器217 (例如RAM、ROM、闪存存储器)内实例化(例如作为目标代码或可执行的图片),以便当计算机系统210的处理器214处理一个模块时,计算机系统210执行相关的功能。如本文中使用,术语“计算机系统”、“计算机”、“客户端”、“客户端计算机”、“服务器”、“服务器计算机”及“计算装置”是指配置和/或编程为执行所描述的功能的一个或多个计算机。此外,实施试探性攻击性管理系统101的功能的程序代码可以存储在计算机可读存储媒质上。任何形式的有形的计算机可读媒质可在此背景下使用,例如磁性的或光学存储媒质。如在此所使用的,术语“计算机可读存储媒质”不意味着电气信号与底层物理媒质分离。如在图3中所示,试探性攻击性管理系统101的攻击性调节模块301调节滑动的行为试探攻击性级别303,作为正在检查的目标文件305的场内流行率309的一个功能。总之,高度流行的恶意软件321倾向于在适当的时候被检测到。换言之,一旦一个特定的恶意软件305广泛分布,恶意软件检测系统倾向于对其进行识别。一旦广泛分布的 恶意软件321被识别到,恶意软件检测系统可以创建并使用一个对应的签名以便识别并且阻断它。低流行度恶意软件321较少可能被识别和签名,因此更加依赖其他的检测方法,如基于行为的试探性分析。对于这些原因,如在下文详细描述,攻击性调节模块301增加攻击性级别303,以其在较低流行性的文件305上进行基于行为的试探性分析,并且降低对较高流行性的文件305的攻击性级别303。如图3中所示,流行度确定模块307确定根据有待接受用于软件321的检测的基于行为的试探性分析的文件305的流行率309。在一个实施方案中,如图所示,流行度确定模块307从一个声誉追踪模块311收集该信息。典型地,与恶意软件检测系统相关联的声誉追踪模块311使用声誉追踪,并且因此能够访问声誉追踪数据313的一个广泛基础以及识别多个文件305的场内流行率309的信息。在其他的实施方案中,流行度确定模块307基于来自不同来源的输入确定流行率309,如具有从分布在场景中的多个客户端代理(未示出)编写的数据的一个中央恶意软件检测系统库(未示出)。应理解流行度确定模块307具体地并且试探性攻击性管理系统101和基于行为的试探性分析总体上可以但不需要是也利用其他技术(例如基于签名的分析、声誉追踪)来检测并管理恶意软件的较大的恶意软件检测系统的一部分。如通过流行度确定模块307确定,攻击性调节模块301调节攻击性级别303,以其基于它们关联的流行率309对单个文件305进行基于行为的试探性分析。攻击性303的最高级别用于单个文件305(例如流行度确定模块307以前未见过的文件305)。如上所解释,攻击性303的更高的级别导致更高的正报率,由于在检测它们的潜在的恶意的其他方式中的困难,这对于较低流行性的文件305是令人期望的。攻击性303的更高的级别倾向于导致更高的误报率。因此,由于文件305的流行率309增加,攻击性调节模块301相应地降低攻击性303的级别以使用。应理解改变攻击性303的级别可以影响在基于行为的试探性分析中如何处理文件属性的特定的组合,以及潜在地测量哪些属性。本领域普通技术人员应知道在攻击性303的不同的级别进行基于行为的试探性分析的实施结构,并且本领域技术人员根据本公开将更容易理解它们在描述的实施方案中的内容内的使用。一旦攻击性调节模块301设定攻击性303的级别基于其流行率309用于一个特定的文件305,一个基于行为的试探性分析模块315使用该攻击性级别303应用基于行为的试探性分析以确定该文件是否包括恶意软件321。应理解基于哪个特定的文件流行率309应用攻击性303的什么特定的级别是一个可变的设计参数。策划误报率与正报率的传统的接受者操作特征(ROC)可以测量恶意软件321的基于试探性行为的检测。假设误报率被认为是可容忍的,基于传统的ROC分析可以用来计算一个对应的正报率。在一个实施方案中,容忍级别设定模块323对在不同流行率309的文件305设定误报容忍级别325,并且一个ROC分析模块317确定对应的攻击性级别303,该攻击性调节模块301将用于这些文件305的攻击性303的级别设定到此。应理解通过容忍级别设定模块323设定的误报容忍级别325可以是可变的设计参数。假定对误报的一致容忍,其中攻击性调节模块301基于流行率309调节攻击性级别303,ROC在每个流行率309上是不同的,因此在不同的流行率309上导致不同的正报率。如上所解释的,因为较低流行性的文件305更可能是恶意的,因此所检测的对应的正报较少可能是误报。因此,实际的正报率在低流行范围中更高。一个流行度权衡模块319也可以将低流行度文件305动态地权衡为被分类为恶意的。换言之,该流行度权衡模块319可以调节在特定文件305的基于行为的试探性分析中 的使用的一个动态属性以便促使具有更高流行率309的文件305更倾向于被认为是非恶意的以及具有更低流行率309的文件305更倾向于被认为是恶意的,与使用的硬性限制相反。总之,基于行为的试探性分析模块315分析单个文件305以确定它们是否包括使用根据每个分析的文件305的流行率309调节的攻击性级别303的恶意软件321。如上所述,基于行为的试探性分析模块315也可以使用将较低流行性的文件305权衡到被分类为恶意的试探性属性。这些技术提高了在低流行恶意软件321的更困难的领域中的检测,并且提供了在不同的文件305的不同流行率309下在误报率和正报率之间的平衡。应理解被判断为合法327对文件305可以由计算机系统210按照期望处理,而确定为恶意软件321的文件可以被阻断、隔离、杀毒或根据传统的反恶意软件功能处理。如熟悉本领域技术的人们将会理解的,本发明能够以多种其他具体的形式来实施而不背离其精神或本质性特征。同样,这些部分、模块、代理器、管理器、部件、功能、过程、动作、层、特征、属性、方法以及其他方面的特定的命名以及划分不是强制性的或有重要意义的,并且实施本发明或其特征的机理可以具有不同的名称、划分和/或形式。为了解释的目的,已经参照具体实施方案对前述说明作出了描述。但是,这些示意性的说明并不旨在穷举或者将本发明限制在所披露的准确形式。鉴于以上传授内容,许多修改与变形都是可能的。为了最好地解释本发明的原理及其实际应用,选择并说明了这些实施方案,从而使得本领域的其他技术人员能够最好地在作出或不作出可能适用于预期的具体用途的各种修改情况下利用不同实施方案。
权利要求
1.一种计算机实施的方法,该方法用于依据目标文件的流行率来调节攻击性级别以便用在基于行为的试探性恶意软件检测之中,该方法包括以下步骤 通过一个计算机来确定一个有待接受基于行为的试探性分析的文件的流行率,以便确定该文件是否包括恶意软件; 通过一个计算机响应于对该文件所确定的流行率来调节在该文件的基于行为的试探性分析的中使用的攻击性级别; 通过一个计算机使用该攻击性级别来对该文件应用基于行为的试探性分析;并且 通过一个计算机依据所应用的基于行为的试探性分析来确定该文件是否包括恶意软件。
2.如权利要求I所述的方法,其中通过一个计算机来确定一个有待接受基于行为的试探性分析的文件的流行率以便确定该文件是否包括恶意软件进一步包括 通过一个计算机基于与一个声誉追踪系统相关联的数据来确定该文件的流行率。
3.如权利要求I所述的方法,其中通过一个计算机来确定一个有待接受基于行为的试探性分析的文件的流行率以便确定该文件是否包括恶意软件进一步包括 通过一个计算机基于与一个恶意软件检测系统相关联的数据来确定该文件的流行率。
4.如权利要求I所述的方法,其中通过一个计算机来调节在该文件的基于行为的试探性分析的中使用的攻击性级别进一步包括 通过一个计算机对较低流行性的文件将该攻击性级别设定到一个更高的级别,而对于较高流行性的文件则设定到一个更低的级别。
5.如权利要求I所述的方法,其中通过一个计算机来调节在该文件的基于行为的试探性分析中使用的攻击性级别进一步包括 通过一个计算机对处于不同流行率的多个文件设定多个误报容忍级别;并且 通过一个计算机使用基于接受者操作特征的分析对具有不同的设定的误报容忍级别的多个文件来设定多个对应的攻击性级别。
6.如权利要求I所述的方法,其中通过一个计算机使用该攻击性级别来对该文件应用基于行为的试探性分析进一步包括 通过一个计算机响应于该攻击性级别在该文件的基于行为的试探性分析过程中来改变至少一些文件属性的处理。
7.如权利要求I所述的方法,其中通过一个计算机使用该攻击性级别对该文件应用基于行为的试探性分析进一步包括 通过一个计算机响应于该攻击性级别来确定在该文件的基于行为的试探性分析的过程中要测量哪些文件属性。
8.如权利要求I所述的方法,进一步包括 通过一个计算机将较低流行性的文件动态地权衡为更可能是恶意的并将较高流行性的文件动态地权衡为更可能是合法的。
9.如权利要求I所述的方法,其中通过一个计算机依据所应用的基于行为的试探性分析来确定该文件是否包括恶意软件进一步包括 通过一个计算机来确定该文件是合法的;并且 响应于确定该文件是合法的,通过一个计算机来允许该文件的标准处理。
10.如权利要求I所述的方法,其中通过一个计算机依据所应用的基于行为的试探性分析来确定该文件是否包括恶意软件进一步包括 通过一个计算机来确定该文件包括恶意软件;并且 响应于确定了该文件包括恶意软件,通过一个计算机来执行一组步骤中的至少一个附加的步骤,该组步骤由以下各项组成 阻断该文件 删除该文件; 隔离该文件;以及 对该文件杀毒。
11.至少一种计算机可读存储媒介,包含一个计算机程序产品,该计算机程序产品基于目标文件的流行率用于调节一个攻击性级别以便用在基于行为的试探性恶意软件检测之中,该计算机程序产品包括 用于确定一个有待接受基于行为的试探性分析的文件的流行率以确定该文件是否包括恶意软件的程序代码; 响应于该文件所确定的流行率用于调节在该文件的基于行为的试探性分析的中使用的攻击性级别的程序代码; 使用该攻击性级别用于对该文件应用基于行为的试探性分析的程序代码;以及 依据所应用的基于行为的试探性分析用于确定该文件是否包括恶意软件的程序代码。
12.如权利要求11所述的计算机程序产品,其中用于确定一个有待接受基于行为的试探性分析的文件的流行率以确定该文件是否包括恶意软件的程序代码进一步包括 基于与一个声誉追踪系统相关联的数据用于确定该文件的流行率的程序代码。
13.如权利要求11所述的计算机程序产品,其中用于确定一个有待接受基于行为的试探性分析的文件的流行率以确定该文件是否包括恶意软件的程序代码进一步包括 基于与一个恶意软件检测系统相关联的数据用于确定该文件的流行率的程序代码。
14.如权利要求11所述的计算机程序产品,其中用于调节在该文件的基于行为的试探性分析的中使用的攻击性级别的程序代码进一步包括 用于对较低流行性的文件将该攻击性级别设定到一个更高级别而对于较高流行性的文件设定到一个更低级别的程序代码。
15.一种计算机系统,该计算机系统基于目标文件的流行率用于调节一个攻击性级别来用在基于行为的试探性恶意软件检测中,该计算机系统包括 一个处理器; 计算机存储器 用于确定一个有待接受基于行为的试探性分析的文件的流行率以确定该文件是否包括恶意软件的装置; 响应于该文件所确定的流行率用于调节攻击性级别而用在对该文件的基于行为的试探性分析中的装置; 使用该攻击性级别用于对该文件应用基于行为的试探性分析的装置;以及 依据所应用的基于行为的试探性分析用于确定该文件是否包括恶意软件的装置。
全文摘要
在此确定了一个有待接受基于行为的试探性分析的文件的流行率,并且响应于这个流行率对在该分析中使用的攻击性级别进行调节。对于较低流行性的文件将这种攻击性设定为更高的级别,而对于较高流行性的文件则设定到更低的级别。使用所设定的攻击性级别,将基于行为的试探性分析应用于该文件。除了设定攻击性级别之外,这种试探性分析还可以包括将较低流行性的文件动态地权衡为更可能是恶意的,而将较高流行性的文件动态地权衡为这种可能较小的。基于所应用的基于行为的试探性分析,确定了该文件是否包括恶意软件。若确定该文件包括恶意软件,可以采取适当的步骤,如对该文件进行阻断、删除、隔离和/或杀毒。
文档编号G06F11/00GK102713853SQ201080045700
公开日2012年10月3日 申请日期2010年10月26日 优先权日2009年10月26日
发明者J·陈, R·康拉德 申请人:赛门铁克公司