專利名稱:收集和分析惡意軟件數(shù)據(jù)的制作方法
收集和分析惡意軟件數(shù)據(jù)
背景技術(shù):
反病毒���、反間諜軟件、以及其他反惡意軟件應(yīng)用程序通過標(biāo)識(shí)有害應(yīng)用程序或其他可執(zhí)行代碼并且移除或至少中立化該有害代碼來設(shè)法保護(hù)客戶機(jī)計(jì)算機(jī)�。當(dāng)前反惡意軟件應(yīng)用程序(例如���,微軟Windows Defender、微軟Forefront Client kcurity�����、微軟 OneCare��、微軟Exchange服務(wù)器的forefront服務(wù)器等等)使用基于簽名的方法來檢測(cè)病毒����、蠕蟲、以及間諜軟件����。基于簽名的方法依賴于惡意軟件的一個(gè)或多個(gè)區(qū)別特征以提供肯定標(biāo)識(shí)�,使得反惡意軟件應(yīng)用程序可以移除它。例如����,特定惡意軟件應(yīng)用程序可以具有特定文件名、將特定值寫入操作系統(tǒng)配置數(shù)據(jù)庫(例如��,微軟Windows Registry)�,或包含具有特定字節(jié)的可執(zhí)行代碼(例如��,使用CRC�、密碼散列���、或其他簽名算法標(biāo)識(shí)的)基于簽名的方法更多地取決于本領(lǐng)域的技術(shù)人員對(duì)現(xiàn)有惡意軟件的分析以及該分析的質(zhì)量。通常�����,技術(shù)人員接收新威脅的樣本��、或已知威脅的變體��。例如����,用戶可以將該威脅以一個(gè)或多個(gè)文件的形式用電子郵件發(fā)送到電子郵件地址用于報(bào)告惡意軟件。該技術(shù)人員隨后開始調(diào)查��。在調(diào)查期間�����,該技術(shù)人員可以在諸如即使惡意軟件影響計(jì)算機(jī)系統(tǒng)但對(duì)其他計(jì)算機(jī)系統(tǒng)也不能造成危害的沙箱計(jì)算機(jī)系統(tǒng)等虛擬環(huán)境中執(zhí)行惡意軟件���。如果惡意軟件樣本在虛擬環(huán)境中成功地運(yùn)行并且產(chǎn)生足夠信息�,則該技術(shù)人員分析執(zhí)行歷史、所創(chuàng)建的/所刪除的文件的內(nèi)容�、注冊(cè)表項(xiàng)、網(wǎng)絡(luò)活動(dòng)��、以及惡意軟件的其他活動(dòng)����,并且創(chuàng)建刪除簽名和移除指令。例如��,如果惡意軟件在特定目錄中創(chuàng)建文件virus, exe,則該簽名可以標(biāo)識(shí)該文件����,并且移除腳本可以指定在其典型的位置刪除該文件。出于若干原因���,這種類型的分析是有問題的����。首先���,該過程涉及人類分析���,并且由此因?yàn)榭捎眉夹g(shù)人員要審閱新威脅而變慢并且發(fā)生瓶頸�����。新威脅的速率一直在增加����,并且可用技術(shù)人員常常比創(chuàng)建新惡意軟件的惡意軟件作者更少����。其次����,技術(shù)人員可能不能夠在虛擬環(huán)境中成功地運(yùn)行惡意軟件,并且由此可能不能夠理解惡意軟件如何表現(xiàn)的完整模型�����。這可以導(dǎo)致例如不能檢測(cè)具有某些變體形式的惡意軟件��、或?qū)阂廛浖牟煌耆瞥?惡意軟件可能無法在虛擬環(huán)境中運(yùn)行的原因的示例是惡意軟件將技術(shù)人員的域名檢測(cè)為反惡意軟件供應(yīng)商的域名���、在操作系統(tǒng)版本或安裝的應(yīng)用程序不是惡意軟件作者所期望的時(shí)惡意軟件運(yùn)行失敗等等�����。有時(shí)從顧客計(jì)算機(jī)接收的樣本可能包含不足夠的關(guān)于威脅的信息��。例如����,報(bào)告可以僅包括驅(qū)動(dòng)程序以及幾個(gè)其他文件,而沒有足夠信息供技術(shù)人員理解如何運(yùn)行惡意軟件�����。這一情況通常以影響顧客體驗(yàn)的不完整的檢測(cè)/移除而告終��。當(dāng)用戶訪問網(wǎng)站并且允許安裝“未知軟件”(通常�,用戶認(rèn)為他們正安裝良好的軟件)時(shí),客戶機(jī)計(jì)算機(jī)常常被感染����。用戶所訪問的原始URL常常不包含二進(jìn)制代碼,而是重新定向到另一“短生存周期”的統(tǒng)一資源定位符(URL)���。一旦技術(shù)人員接收原始URL并且開始調(diào)查�,則該“短生存周期”URL可以不再包含惡意軟件。技術(shù)人員可能永遠(yuǎn)不會(huì)接收足夠信息來捕捉真正的罪犯�、或檢測(cè)具有其最早形式的惡意軟件。此外�,某些樣本可以暫時(shí)規(guī)避分析,因?yàn)榧夹g(shù)人員或早期威脅分析將它們的優(yōu)先級(jí)確定為低�����。例如��,威脅可以接收到有限數(shù)量的報(bào)告�,這可僅僅因?yàn)榉磹阂廛浖€不是固有地檢測(cè)威脅(即,虛假否定)����。另一問題是對(duì)其中由技術(shù)人員產(chǎn)生的移除腳本不清理新變體的先前所標(biāo)識(shí)的惡意軟件的新變體的誤標(biāo)識(shí)�。這可以來自用關(guān)于惡意軟件家族中的當(dāng)前改變的最新信息來更新反惡意軟件應(yīng)用程序的緩慢。技術(shù)人員還可能沒有接收被分析的惡意軟件的完整畫面�����, 因?yàn)閻阂廛浖谕麑S铆h(huán)境���、或在技術(shù)人員的環(huán)境中不明顯或不存在的用戶動(dòng)作的結(jié)合��。 例如����,在惡意軟件執(zhí)行之前,可以期望用戶訪問特定網(wǎng)站���。當(dāng)用戶訪問該網(wǎng)站之后����,惡意軟件可以用屬于通過間諜軟件網(wǎng)站對(duì)用戶的web瀏覽器通信重新定向并且監(jiān)視用戶的瀏覽習(xí)慣的惡意軟件的一個(gè)證書來替換用戶的安全證書��,���。如果技術(shù)人員永遠(yuǎn)沒有訪問該網(wǎng)站���, 則惡意軟件將不產(chǎn)生足夠信息供技術(shù)人員理解惡意軟件的損壞行為。
發(fā)明內(nèi)容
描述了提供關(guān)于客戶機(jī)計(jì)算機(jī)上的惡意軟件執(zhí)行歷史的信息�����、并且允許用于對(duì)標(biāo)識(shí)簽名和移除命令的較快創(chuàng)建的自動(dòng)化后端分析的一惡意軟件分析系統(tǒng)���。該惡意軟件分析系統(tǒng)收集客戶機(jī)計(jì)算機(jī)上的威脅信息����,并且將該威脅信息發(fā)送給后端分析組件以供自動(dòng)化分析。該后端分析組件通過將該威脅信息與關(guān)于已知威脅的信息作比較來分析該威脅信息�����。該系統(tǒng)建立用于標(biāo)識(shí)威脅家族的簽名�、以及用于中立化該威脅的減輕腳本。該系統(tǒng)將簽名和減輕數(shù)據(jù)發(fā)送給使用該信息來減輕威脅的客戶機(jī)計(jì)算機(jī)���。由此��,該惡意軟件分析系統(tǒng)通過減少對(duì)技術(shù)人員手動(dòng)地創(chuàng)建用于再現(xiàn)威脅的環(huán)境以及手動(dòng)地分析威脅行為的負(fù)擔(dān)����, 而比先前系統(tǒng)更快速地檢測(cè)并且減輕威脅����。提供本發(fā)明內(nèi)容以便以簡化形式介紹將在以下的具體實(shí)施方式
中進(jìn)一步描述的一些概念�。本概述并不旨在標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在用于限定所要求保護(hù)的主題的范圍��。
圖1是示出在一個(gè)實(shí)施例中的惡意軟件分析系統(tǒng)的各組件的框圖�����。圖2是示出在一個(gè)實(shí)施例中的惡意軟件分析系統(tǒng)的典型操作環(huán)境的框圖。圖3是示出一個(gè)實(shí)施例中的由惡意軟件分析系統(tǒng)在客戶機(jī)計(jì)算機(jī)上進(jìn)行的處理的流程圖��。圖4是示出一個(gè)實(shí)施例中的用于分析和減輕潛在威脅的惡意軟件分析系統(tǒng)的后端服務(wù)的處理的流程圖�。
具體實(shí)施例方式概覽描述了提供關(guān)于客戶機(jī)計(jì)算機(jī)上的惡意軟件執(zhí)行歷史的信息、并且允許用于對(duì)標(biāo)識(shí)簽名和移除指令的較快創(chuàng)建的自動(dòng)化后端分析的一惡意軟件分析系統(tǒng)��。該惡意軟件分析系統(tǒng)收集客戶機(jī)計(jì)算機(jī)上的威脅信息�,并且將該威脅信息發(fā)送給后端分析組件以供自動(dòng)化分析。例如���,系統(tǒng)可以收集所訪問的URL��、所執(zhí)行的用戶動(dòng)作��、所訪問的文件���、以及關(guān)于由惡意軟件造成的潛在威脅的其他信息。當(dāng)特定事件發(fā)生時(shí)��,諸如當(dāng)應(yīng)用程序嘗試訪問網(wǎng)站時(shí)�����, 該系統(tǒng)可以觸發(fā)對(duì)威脅信息的收集。該后端分析組件通過將該威脅信息與關(guān)于已知威脅的信息作比較來分析該威脅信息�。例如,后端分析組件可以基于威脅信息來標(biāo)識(shí)相似的先前威脅���,并且將新威脅分類到威脅家族����。該系統(tǒng)建立用于標(biāo)識(shí)威脅家族的簽名���、以及用于中立化該威脅的減輕腳本��。例如���,簽名可以標(biāo)識(shí)威脅家族所共有的文件,并且減輕腳本可以刪除由惡意軟件安裝的文件�����。該系統(tǒng)將簽名和減輕數(shù)據(jù)發(fā)送給減輕威脅的客戶機(jī)計(jì)算機(jī)�。由此�,該惡意軟件分析系統(tǒng)通過減少對(duì)技術(shù)人員手動(dòng)地創(chuàng)建用于再現(xiàn)威脅的環(huán)境以及手動(dòng)地分析威脅行為的負(fù)擔(dān),而比先前系統(tǒng)更快速地檢測(cè)并且減輕威脅�����。反惡意軟件供應(yīng)商隨后可以將有限的技術(shù)人員資源定位在最相關(guān)的且最難減輕的威脅上。圖1是示出在一個(gè)實(shí)施例中的惡意軟件分析系統(tǒng)的各組件的框圖�。惡意軟件分析系統(tǒng)100包括威脅分析組件110、信息收集組件120�、通信組件130、威脅數(shù)據(jù)存儲(chǔ)140�����、威脅分析組件150��、簽名建立器組件160��、減輕組件170���、反饋組件180���、以及用戶接口組件190。 可以在一個(gè)或多個(gè)客戶機(jī)計(jì)算機(jī)和運(yùn)行在一個(gè)或多個(gè)服務(wù)器上的后端服務(wù)之間對(duì)這些組件進(jìn)行劃分�。這些組件中的每一個(gè)都在此處進(jìn)一步詳細(xì)討論。威脅檢測(cè)組件110檢測(cè)指示潛在威脅的客戶機(jī)計(jì)算機(jī)上的事件���,并且發(fā)信號(hào)通知信息收集組件120以跟蹤關(guān)于威脅的信息��。這些事件可以由系統(tǒng)來預(yù)定義��、或隨著客戶機(jī)計(jì)算機(jī)從后端服務(wù)接收新威脅簽名而動(dòng)態(tài)地更新�����。威脅檢測(cè)組件110可以包括在操作系統(tǒng)的低級(jí)執(zhí)行的內(nèi)核模式驅(qū)動(dòng)程序來檢測(cè)各種類型的威脅�。信息收集組件120收集關(guān)于在客戶機(jī)計(jì)算機(jī)處的潛在威脅的信息。例如���,信息收集組件120可以存儲(chǔ)關(guān)于文件��、目錄�、注冊(cè)表項(xiàng)����、URL、以及由應(yīng)用程序訪問的其他資源的信息���。組件120還可以存儲(chǔ)指示代碼的潛在惡意片段如何發(fā)起每次動(dòng)作的歷史的和分層的數(shù)據(jù)�����。例如��,如果用戶訪問了網(wǎng)站���、下載了惡意應(yīng)用程序,并且該應(yīng)用程序聯(lián)系了另一網(wǎng)站�����,則該數(shù)據(jù)可以指示這些事件的順序以及它們之間的關(guān)系�����。通信組件130在客戶機(jī)計(jì)算機(jī)和后端服務(wù)之間傳送信息����。例如,客戶機(jī)計(jì)算機(jī)使用通信組件130來將威脅信息發(fā)送給后端服務(wù)�。后端服務(wù)通過通信組件130將已更新的簽名和減輕指令發(fā)送給客戶機(jī)計(jì)算機(jī)。通信組件130可以通過因特網(wǎng)����、局域網(wǎng)(LAN)、或其他通信介質(zhì)來操作�。威脅數(shù)據(jù)存儲(chǔ)140存儲(chǔ)由客戶機(jī)設(shè)備報(bào)告的關(guān)于所遇到的威脅的信息、等待分析的威脅隊(duì)列、已知威脅的家族及其特征�、用于檢測(cè)威脅的簽名、以及用于移除所檢測(cè)到的威脅的減輕指令�����。威脅數(shù)據(jù)存儲(chǔ)140擔(dān)當(dāng)威脅信息的儲(chǔ)存庫���,并且該系統(tǒng)可以挖掘威脅數(shù)據(jù)存儲(chǔ)140來標(biāo)識(shí)威脅之間的共同性����、諸如特定威脅的發(fā)生速率等統(tǒng)計(jì)量等等����。威脅分析組件150為所接收的威脅報(bào)告配置執(zhí)行環(huán)境,執(zhí)行威脅��,并且嘗試基于先前所遇到的威脅家族來對(duì)威脅進(jìn)行分類��。例如�����,威脅分析組件150可以檢查威脅報(bào)告來確定操作系統(tǒng)和提交報(bào)告的客戶機(jī)計(jì)算機(jī)的配置���,在虛擬或沙箱環(huán)境中配置相似的計(jì)算機(jī)��,并且實(shí)施威脅報(bào)告中指示的用戶或其他動(dòng)作來觀察與該威脅相關(guān)聯(lián)的惡意軟件的行為�����。簽名建立器組件160檢查由威脅分析組件150配置的執(zhí)行環(huán)境來確定標(biāo)識(shí)該威脅的特征����。例如���,該威脅可以下載特定文件���、訪問特定URL、或?qū)⑿畔⒋鎯?chǔ)在指示將該威脅與其他安全操作相區(qū)別的行為的特定注冊(cè)表項(xiàng)中���。簽名建立器組件160基于區(qū)別行為來創(chuàng)建用于檢測(cè)威脅的實(shí)例的簽名�。減輕組件170應(yīng)用簽名和減輕指令來標(biāo)識(shí)已知威脅�����,并且響應(yīng)于所標(biāo)識(shí)的威脅實(shí)例來執(zhí)行動(dòng)作���。例如���,減輕組件170可以從后端服務(wù)接收簽名更新�,并且掃描客戶機(jī)計(jì)算機(jī)尋找從該服務(wù)接收的每一簽名��,以便確定客戶機(jī)計(jì)算機(jī)上是否存在任何威脅實(shí)例�����。如果客戶機(jī)計(jì)算機(jī)上存在威脅實(shí)例����,則減輕組件170執(zhí)行與簽名相關(guān)聯(lián)的且從后端服務(wù)接收的動(dòng)作。例如�����,這些動(dòng)作可以指定要?jiǎng)h除的文件��、要聚集并且發(fā)送給后端服務(wù)的附加信息等等���。 減輕組件170將威脅惡意軟件從客戶機(jī)計(jì)算機(jī)中移除�,并且聚集后端服務(wù)的信息不足以消除的威脅的附加信息(如此處將進(jìn)一步描述的)�。反饋組件180基于特定準(zhǔn)則來分析威脅檢測(cè)評(píng)級(jí)并且對(duì)威脅報(bào)告區(qū)分優(yōu)先級(jí)����。例如����,反饋組件180可以對(duì)與特定已知威脅家族相匹配的威脅相比于其他威脅區(qū)分較高的優(yōu)先級(jí)。組件180還監(jiān)視后端服務(wù)部署到客戶機(jī)計(jì)算機(jī)的新簽名更新來確定威脅的檢測(cè)速率是否增加�����。增加的檢測(cè)速率可以指示先前的虛假肯定�,并且導(dǎo)致系統(tǒng)增加先前較低優(yōu)先級(jí)的威脅的優(yōu)先級(jí)����。反饋組件180在正在進(jìn)行的基礎(chǔ)上通過將威脅分析資源聚焦于最困難的威脅來改進(jìn)威脅檢測(cè)。用戶接口組件190為技術(shù)人員和系統(tǒng)管理員指導(dǎo)和調(diào)諧系統(tǒng)提供接口�。例如,技術(shù)人員可以標(biāo)識(shí)威脅家族����、向報(bào)告特定威脅的客戶機(jī)計(jì)算機(jī)請(qǐng)求附加信息等等。用戶接口 190向技術(shù)人員提供一種方式�,該方式用于查看威脅信息并且分析威脅信息以便處理沒有技術(shù)人員的干預(yù)則系統(tǒng)100無法減輕的威脅。在其上實(shí)現(xiàn)該系統(tǒng)的計(jì)算設(shè)備可包括中央處理單元�����、存儲(chǔ)器、輸入設(shè)備(例如����,鍵盤和定點(diǎn)設(shè)備)、輸出設(shè)備(例如����,顯示設(shè)備)和存儲(chǔ)設(shè)備(例如,盤驅(qū)動(dòng)器)��。存儲(chǔ)器和存儲(chǔ)設(shè)備是可以用實(shí)現(xiàn)該系統(tǒng)的計(jì)算機(jī)可執(zhí)行指令來編碼的計(jì)算機(jī)可讀介質(zhì)�����,這表示包含該指令的計(jì)算機(jī)可讀介質(zhì)�。此外,數(shù)據(jù)結(jié)構(gòu)和消息結(jié)構(gòu)可被存儲(chǔ)或經(jīng)由諸如通信鏈路上的信號(hào)等數(shù)據(jù)傳送介質(zhì)發(fā)送��?����?梢允褂酶鞣N通信鏈路�,諸如因特網(wǎng)��、局域網(wǎng)�、廣域網(wǎng)�、點(diǎn)對(duì)點(diǎn)撥號(hào)連接、蜂窩電話網(wǎng)絡(luò)等���。該系統(tǒng)的實(shí)施例可以在各種操作環(huán)境中實(shí)現(xiàn)����,這些操作環(huán)境包括個(gè)人計(jì)算機(jī)���、服務(wù)器計(jì)算機(jī)、手持式或膝上型設(shè)備���、多處理器系統(tǒng)����、基于微處理器的系統(tǒng)��、可編程消費(fèi)電子產(chǎn)品���、數(shù)碼照相機(jī)�����、網(wǎng)絡(luò)PC�����、小型計(jì)算機(jī)�����、大型計(jì)算機(jī)���、包括任何上述系統(tǒng)或設(shè)備中任一種的分布式計(jì)算環(huán)境等����。計(jì)算機(jī)系統(tǒng)可以是蜂窩電話��、個(gè)人數(shù)字助理��、智能電話��、個(gè)人計(jì)算機(jī)�、可編程消費(fèi)電子設(shè)備、數(shù)碼相機(jī)等。該系統(tǒng)可以在由一個(gè)或多個(gè)計(jì)算機(jī)或其他設(shè)備執(zhí)行的諸如程序模塊等計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述����。一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程����、程序、對(duì)象�����、組件�����、數(shù)據(jù)結(jié)構(gòu)等等�。通常,程序模塊的功能可以在各個(gè)實(shí)施例中按需進(jìn)行組合或分布����。圖2是示出在一個(gè)實(shí)施例中的惡意軟件分析系統(tǒng)的典型操作環(huán)境的框圖�。一個(gè)或多個(gè)客戶機(jī)計(jì)算機(jī)210通過網(wǎng)絡(luò)240被連接到后端服務(wù)沈0。每一客戶機(jī)計(jì)算機(jī)210包括惡意軟件分析系統(tǒng)的客戶機(jī)側(cè)組件230�����,這些客戶機(jī)則組件230檢測(cè)并且分析關(guān)于客戶機(jī)計(jì)算機(jī)210上的威脅的信息?��?蛻魴C(jī)側(cè)組件230將關(guān)于潛在威脅的執(zhí)行歷史的信息提供給后端服務(wù)沈0以供進(jìn)一步分析��。后端服務(wù)260包括惡意軟件分析系統(tǒng)的服務(wù)器側(cè)組件270��。 客戶機(jī)側(cè)組件230和服務(wù)器側(cè)組件270可以包括例如圖1中描述的一個(gè)或多個(gè)組件���。本領(lǐng)域的普通技術(shù)人員將認(rèn)識(shí)到,客戶機(jī)和服務(wù)器上的操作組件的許多配置基于諸如可伸縮性�����、可靠性���、以及安全性等要求來提供此處描述的優(yōu)點(diǎn)是可能的�。由此��,基于這些和其他考慮����,這些組件可以在客戶機(jī)計(jì)算機(jī)210或后端服務(wù)260上操作。后端服務(wù)可以包括用于再現(xiàn)所檢測(cè)到的威脅的執(zhí)行和行為的執(zhí)行環(huán)境觀0。在惡意軟件的執(zhí)行期間�����,客戶機(jī)計(jì)算機(jī)210和執(zhí)行環(huán)境280兩者都連接到惡意軟件提供者250�����。 例如���,惡意軟件可以導(dǎo)致客戶機(jī)計(jì)算機(jī)210連接到并且將數(shù)據(jù)提供給惡意軟件提供者250����。 后端服務(wù)260觀察惡意軟件在執(zhí)行環(huán)境280中的執(zhí)行�����,并且如此處進(jìn)一步描述地提供簽名和減輕信息�。客戶機(jī)數(shù)據(jù)收集 惡意軟件分析系統(tǒng)通過在威脅的生存期的早期開始信息的收集�、保存除先前可用的之外的關(guān)于威脅的附加信息、并且向后端提供更完整的威脅模型��,來改進(jìn)對(duì)技術(shù)人員和自動(dòng)化補(bǔ)救工具可用的威脅信息����。先前,用戶提交被感染的樣本以供分析�����,該被感染的樣本通常包含對(duì)成功的后端分析可能不足夠的單個(gè)文件和有限的元數(shù)據(jù)���。為了提高后端威脅分析的質(zhì)量和成功率���,惡意軟件分析系統(tǒng)從被感染的計(jì)算機(jī)收集更多的元數(shù)據(jù)。這一數(shù)據(jù)例如可以描述惡意軟件的執(zhí)行歷史��、與惡意軟件的執(zhí)行有關(guān)的用戶動(dòng)作��、瀏覽歷史��、惡意軟件束安裝軌跡�����、以及其他細(xì)節(jié)����。在某些實(shí)施例中��,惡意軟件分析系統(tǒng)對(duì)客戶機(jī)側(cè)執(zhí)行初始威脅分析�,而不是在后端創(chuàng)建各種執(zhí)行環(huán)境配置(例如�����,多個(gè)操作系統(tǒng))并且提供昂貴的手動(dòng)分析���。例如��,惡意軟件分析系統(tǒng)可以在客戶機(jī)計(jì)算機(jī)上安裝執(zhí)行以下內(nèi)容的內(nèi)核模式的可配置組件�����。第一�����,該組件是可配置的��,并且可以通過配置來啟用和禁用�。當(dāng)該組件被禁用時(shí)�,它保留在存儲(chǔ)器中,但僅僅使用少量客戶機(jī)資源�。它可以僅僅執(zhí)行周期性的自審核以防止損害該組件的代碼注入���。第二����,該組件監(jiān)視注冊(cè)表項(xiàng)的創(chuàng)建、修改��、刪除��、以及其他修改�����。當(dāng)該組件檢測(cè)這些修改時(shí)���,它標(biāo)識(shí)負(fù)責(zé)改變的過程��,并且將這一信息存儲(chǔ)在威脅日志中���。該組件可以對(duì)文件、 目錄��、以及其他客戶機(jī)元素執(zhí)行類似的監(jiān)視和日志記錄���。第三�����,該組件監(jiān)視內(nèi)核存儲(chǔ)器(例如���,Service Description Table (服務(wù)描述表)���、EPR0CESS結(jié)構(gòu))中的改變,并且在已經(jīng)執(zhí)行了修改該文件的一文件之后檢測(cè)改變�。如果該組件檢測(cè)改變,則它將事件與負(fù)責(zé)該事件的過程相關(guān)����,并且將這一信息添加到威脅日志中。第四�����,該組件監(jiān)視TCP/UDP連接的創(chuàng)建�, 并且用日志記錄相關(guān)信息。該組件還可以分析打開的端口的利用頻率以及并將過程與利用活動(dòng)相關(guān)��。在某些實(shí)施例中���,惡意軟件分析系統(tǒng)截取并且用日志記錄用戶驅(qū)動(dòng)的事件�����。例如�, 該系統(tǒng)可以跟蹤用戶的瀏覽歷史����,諸如用戶在web瀏覽器中訪問的web地址。該系統(tǒng)可以用移除敏感的用戶信息以保護(hù)該用戶的隱私的規(guī)范化形式來存儲(chǔ)URL�����。該系統(tǒng)還可以跟蹤由用戶安裝的軟件����。例如,如果用戶安裝來自因特網(wǎng)的軟件�����,則該系統(tǒng)記錄目標(biāo)URL以及在安裝期間打開的其他URL��。很可能惡意軟件不位于用戶開始安裝軟件的相同的網(wǎng)站上��,因此該系統(tǒng)為了成功的分析而聚集更多關(guān)于惡意軟件網(wǎng)絡(luò)配置的信息。該系統(tǒng)還可以跟蹤并且用日志記錄在客戶機(jī)計(jì)算機(jī)上執(zhí)行的應(yīng)用程序的歷史����。這一歷史可以包括應(yīng)用程序之間的關(guān)系,諸如啟動(dòng)其他可執(zhí)行文件的可執(zhí)行文件�。如果該系統(tǒng)稍后將可執(zhí)行文件標(biāo)識(shí)為惡意軟件,則該系統(tǒng)可以確定對(duì)啟動(dòng)該可執(zhí)行文件負(fù)責(zé)的應(yīng)用程序是否也是惡意軟件��,并且將它們標(biāo)記為潛在地惡意以供技術(shù)人員進(jìn)一步調(diào)查����。在某些實(shí)施例中,惡意軟件分析系統(tǒng)自動(dòng)地將來自威脅日志的威脅信息提交給后端服務(wù)或其他分析授權(quán)機(jī)構(gòu)(例如���,反惡意軟件應(yīng)用程序的服務(wù)器組件)���。例如,如果該系統(tǒng)接收客戶機(jī)計(jì)算機(jī)上存儲(chǔ)被感染的文件的證據(jù)��,則該系統(tǒng)可以自動(dòng)地提交威脅日志信息�����。被感染的文件可以通過反惡意軟件應(yīng)用程序、操作系統(tǒng)報(bào)警告��、第三方檢測(cè)警告�����、用戶的按需動(dòng)作(例如����,將文件標(biāo)記為惡意的)等等來檢測(cè)。作為另一示例�,系統(tǒng)的小型過濾器驅(qū)動(dòng)程序可以檢測(cè)對(duì)一般對(duì)用戶模式的應(yīng)用程序隱藏的文件對(duì)象的FILE_OPEN請(qǐng)求��。以下是一示例場景���。用戶懷疑惡意軟件已經(jīng)感染了他的客戶機(jī)計(jì)算機(jī)����,因?yàn)樵撚?jì)算機(jī)運(yùn)行得太慢�。用戶運(yùn)行反惡意軟件應(yīng)用程序,但該程序報(bào)告沒有惡意軟件���。用戶請(qǐng)求惡意軟件分析提供進(jìn)一步調(diào)查��。用戶的動(dòng)作可以導(dǎo)致惡意軟件分析系統(tǒng)選擇將有助于從威脅日志中調(diào)查的數(shù)據(jù)(例如��,最近的安裝數(shù)據(jù)���、內(nèi)核模式的修改歷史����、網(wǎng)絡(luò)頻率和利用等等)����, 并且將該數(shù)據(jù)發(fā)送給后端服務(wù)以供進(jìn)一步分析。如果后端服務(wù)標(biāo)識(shí)惡意軟件���,則該服務(wù)可以將已更新的補(bǔ)救信息發(fā)送給客戶機(jī)計(jì)算機(jī)并且自動(dòng)地移除該惡意軟件����。 圖3是示出一個(gè)實(shí)施例中的由惡意軟件分析系統(tǒng)在客戶機(jī)計(jì)算機(jī)上進(jìn)行的處理的流程圖����。在框310中,系統(tǒng)檢測(cè)潛在威脅或惡意軟件應(yīng)用程序�����。例如,用戶可以嘗試訪問已知的惡意URL���,或應(yīng)用程序可以請(qǐng)求對(duì)不常見的文件的訪問��。在框320�,系統(tǒng)收集關(guān)于潛在威脅的信息��。例如�����,系統(tǒng)可以收集對(duì)潛在惡意軟件應(yīng)用程序訪問的資源中的每一個(gè)的描述���,包括文件��、注冊(cè)表項(xiàng)等等。作為另一示例���,系統(tǒng)可以收集由潛在惡意軟件應(yīng)用程序發(fā)起的網(wǎng)絡(luò)通信量�,諸如訪問的URL����、打開的端口等等。在框330中,系統(tǒng)將威脅信息提交給后端服務(wù)以供進(jìn)一步分析�。在框340中,系統(tǒng)從后端服務(wù)接收檢測(cè)由后端服務(wù)所確認(rèn)的威脅的威脅簽名和減輕信息�����。例如�����,簽名可以標(biāo)識(shí)保護(hù)惡意的可執(zhí)行代碼的特定文件���。在框350中��,對(duì)于所檢測(cè)到的威脅����,系統(tǒng)應(yīng)用由所接收的減輕信息指定的減輕動(dòng)作�。例如,減輕信息可以指定要?jiǎng)h除的特定文件或要修改的注冊(cè)表項(xiàng)���,以便中立化來自所標(biāo)識(shí)的惡意軟件應(yīng)用程序的威脅��。在框360�,系統(tǒng)可任選地將在客戶機(jī)計(jì)算機(jī)上關(guān)于經(jīng)由簽名所檢測(cè)到的威脅的信息提供給后端服務(wù),使得后端可以收集關(guān)于特定威脅的發(fā)生的統(tǒng)計(jì)信息���,以便改進(jìn)威脅減輕過程���。在框 360之后,這些步驟結(jié)束��。后端分析客戶機(jī)計(jì)算機(jī)將樣本提交給后端以供分析��。例如�����,當(dāng)指示潛在威脅的事件發(fā)生或用戶懷疑文件是惡意的時(shí)候���,客戶機(jī)計(jì)算機(jī)提交文件和描述用戶的動(dòng)作的數(shù)據(jù)以及與樣本有關(guān)的系統(tǒng)改變(例如�,所創(chuàng)建的文件�����、注冊(cè)表項(xiàng)���、打開的因特網(wǎng)連接�����、URL等等)�����。后端服務(wù)接收所提交的樣本�����,并且對(duì)樣本執(zhí)行自動(dòng)化分析����。例如��,后端服務(wù)可以使用關(guān)于存儲(chǔ)在所接收的威脅信息中的原始處理過程的信息來自動(dòng)地配置用于再現(xiàn)威脅的處理環(huán)境�����。當(dāng)可疑代碼執(zhí)行時(shí)���,惡意軟件分析系統(tǒng)記錄威脅的行為(例如�����,文件��、注冊(cè)表項(xiàng)���、威脅訪問或修改的其他項(xiàng)目)����,并且驗(yàn)證后端上記錄的行為與從客戶機(jī)計(jì)算機(jī)報(bào)告的數(shù)據(jù)相匹配���。該環(huán)境可以從威脅信息中描述的URL下載惡意軟件�����,模仿類似于在威脅信息中它被如何描述的用戶動(dòng)作等等�。系統(tǒng)還可以隨時(shí)間(例如�,接著6-12個(gè)月)監(jiān)視威脅信息中的URL,以便跟蹤威脅和潛在變體�。當(dāng)系統(tǒng)已經(jīng)驗(yàn)證該行為時(shí),系統(tǒng)調(diào)用樣本分組過程�。分組過程將系統(tǒng)當(dāng)前正在分析的威脅的行為與先前所分析的威脅的行為(例如,存儲(chǔ)在數(shù)據(jù)存儲(chǔ)中)作比較�����,以便標(biāo)識(shí)相關(guān)威脅以及當(dāng)前威脅可能屬于的家族���。例如����,相同惡意軟件的若干變體可以修改客戶機(jī)計(jì)算機(jī)的相同文件和注冊(cè)表項(xiàng)��。當(dāng)系統(tǒng)標(biāo)識(shí)該家族之后�,簽名建立器創(chuàng)建整個(gè)家族的或變體專用檢測(cè)的通用檢測(cè) 簽名。最后�����,系統(tǒng)將簽名釋放到客戶機(jī)計(jì)算機(jī)�����,諸如通過常規(guī)更新過程���?���?蛻魴C(jī)計(jì)算機(jī)上的減輕組件使用簽名來將威脅從客戶機(jī)計(jì)算機(jī)上移除���,諸如通過刪除文件����、卸載應(yīng)用程序等等。在某些實(shí)施例中��,惡意軟件分析系統(tǒng)按優(yōu)先級(jí)對(duì)所接收的威脅進(jìn)行排序����。例如,系統(tǒng)可以將高優(yōu)先級(jí)分配給來自許多客戶機(jī)計(jì)算機(jī)的產(chǎn)生大量樣本的威脅�����。然而�,這并非始終是合乎需要的,因?yàn)榈蛨?bào)告不一定與低威脅等級(jí)相關(guān)�����。低報(bào)告可以僅僅意味著在許多情況下一廣泛的威脅正回避檢測(cè)��。這樣的威脅可以是系統(tǒng)應(yīng)給予增加的優(yōu)先級(jí)的新威脅���。因此�,當(dāng)系統(tǒng)分析威脅并且部署減輕簽名和指令時(shí),系統(tǒng)測(cè)量以反饋環(huán)路類型的周期的執(zhí)行�。 例如����,如果在系統(tǒng)釋放威脅的新簽名之后(例如,在前幾天中)��,先前很少報(bào)告的威脅導(dǎo)致大量移除或減輕動(dòng)作�,則系統(tǒng)重新評(píng)估分配給該家族的優(yōu)先級(jí),使得未來相似的威脅被給予較高優(yōu)先級(jí)�����。優(yōu)先級(jí)加權(quán)促進(jìn)了技術(shù)人員或自動(dòng)化分析的更及時(shí)的檢查�,由此更有效地利用有限的分析資源。惡意軟件分析系統(tǒng)在客戶機(jī)和服務(wù)器之間提供了持續(xù)細(xì)化學(xué)習(xí)并且有效地減輕威脅的過程的端對(duì)端的環(huán)路�。由此,即使隨著惡意軟件作者創(chuàng)建更多的惡意軟件而等待分析的威脅的積壓(backlog)持續(xù)增長����,但在對(duì)要分析哪個(gè)惡意軟件區(qū)分優(yōu)先級(jí)以及迭代地調(diào)諧檢測(cè)和減輕過程方面,該系統(tǒng)仍然比現(xiàn)有系統(tǒng)更有效���。如此處描述的�,惡意軟件檢測(cè)系統(tǒng)創(chuàng)建反饋環(huán)路,其中客戶機(jī)計(jì)算機(jī)將威脅信息饋入后端服務(wù)以供更多上下文相關(guān)的分析��,并且后端服務(wù)進(jìn)而提供更及時(shí)且完整的簽名更新�����,使得利用這些簽名的已更新的客戶機(jī)可以更準(zhǔn)確地檢測(cè)惡意軟件(最小化部分檢測(cè)和虛假否定)����。由此,當(dāng)虛假肯定或誤分類發(fā)生時(shí)�,系統(tǒng)可以消耗這些“異常”并且實(shí)現(xiàn)自校正�����,以便防止未來發(fā)生相似錯(cuò)誤��。在某些實(shí)施例中�����,惡意軟件檢測(cè)系統(tǒng)還允許技術(shù)人員干預(yù)該過程�,并且從客戶機(jī)計(jì)算機(jī)請(qǐng)求更多信息�����。例如���,如果技術(shù)人員不能完整地分析威脅,則該技術(shù)人員可能仍然能夠提供威脅的更新簽名并且當(dāng)系統(tǒng)檢測(cè)該威脅的實(shí)例時(shí)創(chuàng)建聚集附加信息以供進(jìn)一步分析的腳本���。系統(tǒng)從報(bào)告該威脅的原始客戶機(jī)以及遇到相同威脅的其他客戶機(jī)獲取附加的所請(qǐng)求的信息。下一次遇到該威脅時(shí)��,客戶機(jī)計(jì)算機(jī)提交任何所請(qǐng)求的文件���、注冊(cè)表項(xiàng)�、以及致力于完成關(guān)于該威脅的完整畫面的技術(shù)人員所請(qǐng)求的其他遙測(cè)�����。雖然反惡意軟件供應(yīng)商之前已經(jīng)提供了包括簽名更新在內(nèi)的服務(wù)組件����,但此處描述的迭代能力提供了先前不可用的新等級(jí)的威脅分析和減輕,當(dāng)下一次遇到威脅時(shí)該迭代能力允許技術(shù)人員或后端服務(wù)更深地挖掘客戶機(jī)計(jì)算機(jī)上所檢測(cè)到的威脅��。圖4是示出一個(gè)實(shí)施例中的用于分析和減輕潛在威脅的惡意軟件分析系統(tǒng)的后端服務(wù)的處理的流程圖。在框410中�,系統(tǒng)從客戶機(jī)計(jì)算機(jī)接收威脅報(bào)告。例如�,客戶機(jī)計(jì)算機(jī)可以檢測(cè)與后端服務(wù)先前所提供的簽名相匹配的惡意軟件或可疑行為。報(bào)告包括關(guān)于該威脅的執(zhí)行歷史的詳細(xì)信息�。在框420中,系統(tǒng)嘗試基于先前所分析的威脅標(biāo)識(shí)該威脅并且對(duì)其分組�。例如,威脅信息可以區(qū)分該威脅���,并且將其與先前所檢測(cè)到的具有相似行為的威脅相關(guān)��。系統(tǒng)還可以配置執(zhí)行環(huán)境來再現(xiàn)該威脅并且在那里執(zhí)行該威脅����,以便聚集用于標(biāo)識(shí)該威脅的附加信息�����。在框430中�����,系統(tǒng)建立用于檢測(cè)該威脅的簽名��。例如,在客戶機(jī)系統(tǒng)上執(zhí)行或安裝威脅的早先時(shí)候�����,簽名可以檢測(cè)家族中的威脅或特定威脅變體�。在框440中,系統(tǒng)確定如何減輕威脅并且產(chǎn)生減輕腳本或動(dòng)作�。例如,系統(tǒng)可以確定刪除由威脅安裝的文件將使該威脅中立化�。在框450中,系統(tǒng)將簽名和減輕腳本提供給客戶機(jī)計(jì)算機(jī)����。例如���,客戶機(jī)計(jì)算機(jī)可以周期性地向后端服務(wù)查詢新的減輕信息����。在框460中��,系統(tǒng)從客戶機(jī)計(jì)算機(jī)接收指示由客戶機(jī)計(jì)算機(jī)基于從后端服務(wù)接收的簽名檢測(cè)到的威脅的反饋信息�。例如,基于檢測(cè)到客戶機(jī)計(jì)算機(jī)上的威脅的簽名���,反饋信息可以包含標(biāo)識(shí)特定威脅家族或變體的標(biāo)識(shí)符�。用戶使用反饋信息來對(duì)威脅區(qū)分優(yōu)先級(jí)并且改進(jìn)威脅檢測(cè)。在框460之后����,這些步驟結(jié)束。
從上文將會(huì)認(rèn)識(shí)到����,雖然在此已出于說明目的描述了惡意軟件分析系統(tǒng)的特定實(shí)施例,但是可以做出各種修改而不 背離本發(fā)明的精神和范圍�。例如,盡管已經(jīng)描述了惡意軟件應(yīng)用程序����,但還可以使用該系統(tǒng)來檢測(cè)使用相似技術(shù)的惡意文檔、電子郵件��、釣魚欺詐等等�。因此,本發(fā)明只受所附權(quán)利要求限制����。
權(quán)利要求
1.一種用于在客戶計(jì)算機(jī)上跟蹤惡意軟件的執(zhí)行的計(jì)算機(jī)實(shí)現(xiàn)的方法,所述方法包括在客戶機(jī)計(jì)算機(jī)處檢測(cè)310潛在惡意軟件應(yīng)用程序��;收集320關(guān)于所述潛在惡意軟件應(yīng)用程序的威脅信息,其中所述威脅信息包括標(biāo)識(shí)由所述惡意軟件應(yīng)用程序訪問的客戶計(jì)算機(jī)的至少一個(gè)資源的信息�; 將所述威脅信息提交330給后端服務(wù)以供進(jìn)一步分析;從所述后端服務(wù)接收340威脅簽名和減輕信息�,其中所述簽名包括用于檢測(cè)由所述后端服務(wù)確認(rèn)的威脅的數(shù)據(jù);以及基于從所述后端服務(wù)接收的簽名���,將一個(gè)或多個(gè)減輕動(dòng)作應(yīng)用350于所檢測(cè)到的潛在惡意軟件應(yīng)用程序�。
2.如權(quán)利要求1所述的方法�,其特征在于,檢測(cè)潛在惡意軟件應(yīng)用程序包括檢測(cè)對(duì)連接到已知惡意URL的請(qǐng)求�����。
3.如權(quán)利要求1所述的方法�,其特征在于,檢測(cè)潛在惡意軟件應(yīng)用程序包括檢測(cè)對(duì)訪問操作系統(tǒng)文件的嘗試����。
4.如權(quán)利要求1所述的方法��,其特征在于��,收集威脅信息包括收集關(guān)于以下至少一項(xiàng)的信息文件�����、目錄、注冊(cè)表項(xiàng)�、以及由所述潛在惡意軟件應(yīng)用程序訪問的網(wǎng)絡(luò)端口。
5.如權(quán)利要求1所述的方法����,其特征在于,所述威脅簽名標(biāo)識(shí)與所述惡意軟件應(yīng)用程序相關(guān)聯(lián)的特定文件�。
6.如權(quán)利要求1所述的方法,其特征在于����,所述減輕動(dòng)作包括從所述客戶機(jī)計(jì)算機(jī)上刪除與所述潛在惡意軟件應(yīng)用程序相關(guān)聯(lián)的文件。
7.如權(quán)利要求1所述的方法�,其特征在于,還包括將關(guān)于基于所接收的簽名來檢測(cè)到的威脅的信息提供給所述后端服務(wù)�����,使得所述后端能夠收集關(guān)于特定威脅的發(fā)生的統(tǒng)計(jì)信息�����,以便改進(jìn)威脅減輕過程。
8.一種用于檢測(cè)和移除惡意應(yīng)用程序的計(jì)算機(jī)系統(tǒng)�,所述系統(tǒng)包括威脅檢測(cè)組件110,所述威脅檢測(cè)組件110被配置成檢測(cè)客戶機(jī)計(jì)算機(jī)上的指示潛在惡意應(yīng)用程序的事件��;信息收集組件120����,所述信息收集組件120被配置成在所述客戶機(jī)處收集關(guān)于所述潛在惡意應(yīng)用程序的信息;通信組件130���,所述通信組件130被配置成將威脅報(bào)告從所述客戶機(jī)計(jì)算機(jī)傳送給后端服務(wù)��,并且將用于檢測(cè)惡意應(yīng)用程序的簽名從所述后端服務(wù)傳送給所述客戶機(jī)計(jì)算機(jī)�����;威脅數(shù)據(jù)存儲(chǔ)140�����,所述威脅數(shù)據(jù)存儲(chǔ)140被配置成存儲(chǔ)關(guān)于由客戶機(jī)計(jì)算機(jī)報(bào)告的潛在惡意應(yīng)用程序的信息���、等待分析的潛在惡意應(yīng)用程序的隊(duì)列��、用于檢測(cè)惡意應(yīng)用程序的簽名�、以及用于將惡意應(yīng)用程序從客戶機(jī)計(jì)算機(jī)上移除的減輕指令����;威脅分析組件150�����,所述威脅分析組件150被配置成分析所接收的報(bào)告�����; 簽名建立器組件160����,所述簽名建立器組件160被配置成從所述威脅分析組件接收關(guān)于所分析的威脅的信息,并且創(chuàng)建用于檢測(cè)所述威脅的實(shí)例的簽名�;以及減輕組件170,所述減輕組件被配置成應(yīng)用簽名和減輕指令來標(biāo)識(shí)已知威脅���,并且響應(yīng)于所標(biāo)識(shí)的威脅實(shí)例來執(zhí)行減輕動(dòng)作�。
9.如權(quán)利要求8所述的系統(tǒng)��,其特征在于���,所述威脅檢測(cè)組件包括收集關(guān)于所述潛在惡意應(yīng)用程序的執(zhí)行的信息的內(nèi)核模式驅(qū)動(dòng)程序����。
10.如權(quán)利要求8所述的系統(tǒng),其特征在于���,所述信息收集組件存儲(chǔ)所述客戶機(jī)計(jì)算機(jī)的用戶的瀏覽歷史�����。
11.如權(quán)利要求8所述的系統(tǒng)����,其特征在于�����,所述威脅分析組件還被配置成再現(xiàn)所接收的威脅報(bào)告的執(zhí)行環(huán)境��,執(zhí)行所接收的潛在惡意應(yīng)用程序�,并且對(duì)所述潛在惡意應(yīng)用程序分類。
12.如權(quán)利要求8所述的系統(tǒng)�����,其特征在于,所述減輕組件還被配置成從所述后端服務(wù)接收簽名更新��,為所接收的每一個(gè)簽名掃描所述客戶機(jī)計(jì)算機(jī)�����,并且為任何所檢測(cè)到的威脅執(zhí)行減輕動(dòng)作�。
13.如權(quán)利要求8所述的系統(tǒng)��,其特征在于�����,所述減輕組件還被配置成基于從所述后端服務(wù)接收的請(qǐng)求來聚集關(guān)于所述潛在惡意應(yīng)用程序的附加信息�。
14.如權(quán)利要求8所述的系統(tǒng),其特征在于�,還包括反饋組件,所述反饋組件被配置成將來自所述客戶機(jī)計(jì)算機(jī)的威脅檢測(cè)信息提供給所述后端服務(wù)�����,并且對(duì)所述后端服務(wù)上的威脅報(bào)告分析區(qū)分優(yōu)先級(jí)��。
15.如權(quán)利要求8所述的系統(tǒng)�����,其特征在于,還包括用戶接口組件�����,所述用戶接口組件被配置成為技術(shù)人員提供接口以指導(dǎo)威脅分析����。
16.一種用指令來編碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述指令用于通過一種方法來控制提供后端服務(wù)的計(jì)算機(jī)系統(tǒng)以收集和分析由客戶機(jī)計(jì)算機(jī)報(bào)告的惡意軟件威脅���,所述方法包括從客戶機(jī)計(jì)算機(jī)接收410標(biāo)識(shí)惡意軟件威脅的威脅報(bào)告�����; 基于先前所分析的威脅對(duì)所述惡意軟件威脅分類420 ���; 建立430簽名用于檢測(cè)所述惡意軟件威脅;確定440減輕動(dòng)作用于中立化所述惡意軟件威脅�����,并且基于所述減輕動(dòng)作來再現(xiàn)減輕腳本�;以及將所述簽名和減輕腳本提供450給所述客戶機(jī)計(jì)算機(jī)����。
17.如權(quán)利要求16所述的計(jì)算機(jī)可讀介質(zhì)����,其特征在于��,所接收的威脅報(bào)告包括與所述惡意軟件威脅有關(guān)的歷史執(zhí)行信息�����。
18.如權(quán)利要求16所述的計(jì)算機(jī)可讀介質(zhì)���,其特征在于�����,還包括配置執(zhí)行環(huán)境以再現(xiàn)所述惡意軟件威脅��,并且執(zhí)行所述惡意軟件威脅以聚集關(guān)于所述惡意軟件威脅的附加信肩�、ο
19.如權(quán)利要求16所述的計(jì)算機(jī)可讀介質(zhì)����,其特征在于�����,對(duì)所述惡意軟件威脅分類包括標(biāo)識(shí)包含具有與所述惡意軟件威脅相匹配的特征的惡意軟件的惡意軟件家族�����。
20.如權(quán)利要求16所述的計(jì)算機(jī)可讀介質(zhì)����,其特征在于��,將所述簽名和減輕腳本提供給所述客戶機(jī)計(jì)算機(jī)包括對(duì)所述客戶機(jī)計(jì)算機(jī)對(duì)已更新的簽名信息的周期性請(qǐng)求作出響應(yīng)��。
全文摘要
描述了提供關(guān)于客戶機(jī)計(jì)算機(jī)上的惡意軟件執(zhí)行歷史的信息�����、并且允許用于對(duì)標(biāo)識(shí)簽名和移除指令的較快創(chuàng)建的自動(dòng)化后端分析的一惡意軟件分析系統(tǒng)���。該惡意軟件分析系統(tǒng)收集客戶機(jī)計(jì)算機(jī)上的威脅信息�,并且將該威脅信息發(fā)送給后端分析組件以供自動(dòng)化分析�����。該后端分析組件通過將該威脅信息與關(guān)于已知威脅的信息作比較來分析該威脅信息。該系統(tǒng)建立用于標(biāo)識(shí)威脅家族的簽名����、以及用于中立化該威脅的減輕腳本。該系統(tǒng)將簽名和減輕數(shù)據(jù)發(fā)送給使用該信息來減輕威脅的客戶機(jī)計(jì)算機(jī)�����。由此��,該惡意軟件分析系統(tǒng)通過減少對(duì)技術(shù)人員手動(dòng)地創(chuàng)建用于再現(xiàn)威脅的環(huán)境以及手動(dòng)地分析威脅行為的負(fù)擔(dān)�,而比先前系統(tǒng)更快速地檢測(cè)并且減輕威脅����。
文檔編號(hào)G06F21/00GK102160048SQ200980138004
公開日2011年8月17日 申請(qǐng)日期2009年8月13日 優(yōu)先權(quán)日2008年9月22日
發(fā)明者A·波利亞科夫, C·褚, J·J·莫迪, M·圣菲爾德, N·孫, T·李 申請(qǐng)人:微軟公司