專利名稱:檢測和反擊企業(yè)網(wǎng)絡(luò)中的惡意代碼的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機病毒和其他惡意計算機代碼��。本發(fā)明尤其涉及檢測和反擊一個企業(yè)計算環(huán)境中的病毒和其他惡意代碼����。
背景技術(shù):
在當(dāng)今的信息時代,計算機和其他信息技術(shù)(IT)在幾乎所有企業(yè)(例如����,法人實體、商行�����、公司��、機構(gòu)���、一個公共和政府團體��、部門���、代理處����、慈善團體�、其他組織等)的運轉(zhuǎn)中都扮演著相當(dāng)重要的角色。在許多情況下�,企業(yè)開放其(至少一部分)計算機網(wǎng)絡(luò)和信息系統(tǒng),以便供應(yīng)商���、伙伴�����、成員、顧客和其他組織訪問�,從而促進數(shù)據(jù)和信息的交換。一個企業(yè)網(wǎng)絡(luò)可被配置為以下網(wǎng)絡(luò)中的一個或這些網(wǎng)絡(luò)的組合一個局域網(wǎng)(LAN)���、一個廣域網(wǎng)(WAN)�����、一個內(nèi)聯(lián)網(wǎng)����、一個通過遠程訪問的虛擬個人網(wǎng)絡(luò)(VPN)、一個互聯(lián)網(wǎng)或Internet等�����。此外�����,企業(yè)用戶通常被提供有調(diào)制解調(diào)器或?qū)σ粋€外部網(wǎng)絡(luò)的寬帶訪問(可能通過其企業(yè)網(wǎng)絡(luò))����,以便從他人獲取數(shù)據(jù)/信息。
由于一個企業(yè)網(wǎng)絡(luò)通?����?商峁┮粋€開放環(huán)境�����,惡意軟件(例如病毒���、特洛伊��、蠕蟲和其他惡意計算機代碼)的攻擊是對計算機和企業(yè)信息系統(tǒng)的其他元件的一個持續(xù)和增長的威脅�。一個企業(yè)計算環(huán)境中的用戶除非被系統(tǒng)警告感染,否則通常不知道其計算機被惡意代碼感染了��。因此�����,當(dāng)企業(yè)環(huán)境中的一臺計算機被惡意代碼攻擊時�,感染通常迅速在整個企業(yè)網(wǎng)絡(luò)內(nèi)擴散,到達其他計算機和企業(yè)資源�����。在大多數(shù)情況下�����,一個惡意代碼感染一個網(wǎng)絡(luò)環(huán)境的時間越長����,越難將感染從該環(huán)境根除��。
已知存在多種類型的計算機病毒����。駐留內(nèi)存的病毒通常將其自身附著在可執(zhí)行文件上����,并在可執(zhí)行文件運行時加載到一臺計算機的內(nèi)存中����。一旦到了內(nèi)存中,則病毒可接管計算機的操作系統(tǒng)����,從而獲取對受限資源(例如安全措施)的訪問權(quán)限。
引導(dǎo)扇區(qū)病毒用病毒代碼覆蓋包含了系統(tǒng)引導(dǎo)時執(zhí)行的代碼一臺計算機的硬盤的一個引導(dǎo)扇區(qū)��,以使得計算機引導(dǎo)(例如��,計算機啟動/重機啟動時)病毒總被加載到計算機的內(nèi)存中�。一旦存在于計算機的內(nèi)存中,則病毒可迅速在計算機內(nèi)擴散����。
某些病毒躲藏在一臺計算機的文件系統(tǒng)中,并通過在一個被感染的程序運行時感染其他程序/文件而在文件系統(tǒng)中復(fù)制自身����。某些文件病毒可將自身復(fù)制到基本的系統(tǒng)文件����,從而獲取對被保護資源的訪問權(quán)限���,并使自己更難被刪除��。
其他類型的病毒被寫入到特定計算機程序(例如���,字處理程序、電子數(shù)據(jù)表程序等)的宏語言中����,并且在程序運行、通過程序訪問一個文檔或者當(dāng)一個用戶在程序內(nèi)執(zhí)行一個預(yù)定的操作(例如一個特定的鍵擊或菜單選擇時)被觸發(fā)����。
某些病毒時多形態(tài)的(例如,周期性地更改其簽名)以便它們能夠逃避掃描病毒簽名的簽名掃描檢測方法��?��;旌匣蚨喾讲《揪哂卸喾N類型的惡意代碼的特征。
某些惡意代碼具有類特洛伊的特征��。與傳說中的木馬一樣,特洛伊通過假裝是某種它不是的東西來運行�����。通常�,特洛伊偽裝成有用的或娛樂軟件,同時攜帶在為運行程序的用戶提供的權(quán)限下在目標(biāo)計算機上執(zhí)行的病毒或惡意代碼����。特洛伊通常不直接攻擊主機,但是卻為隨后的更嚴(yán)重的攻擊提供了一個后門����。
一個蠕蟲是一段軟件,它通常在沒有任何人為干預(yù)(例如打開一個文件�、運行一個程序等)的情況下,在計算機網(wǎng)絡(luò)中傳播自身���。通常��,它通過利用在目標(biāo)計算機上運行的一般使用的網(wǎng)絡(luò)軟件中的缺陷或被忽略的特征來感染一個網(wǎng)絡(luò)�。
常規(guī)安全工具通常針對已知的惡意代碼���,但是對于不斷增長的新病毒和其他惡意代碼流卻無能為力�����。這種安全工具通常忙于追逐應(yīng)對新惡意代碼的繁殖����。大多數(shù)常規(guī)安全工具需要例如通過二進制補丁和/或算法優(yōu)化,來重新調(diào)整或重新配置����,以便增強工具檢測和應(yīng)對新的安全威脅的能力。除非工具被更新以對付一個新的威脅���,否則工具都是不稱職的����,會將企業(yè)網(wǎng)絡(luò)暴露在威脅所引起的混亂之中�����。
從新安全威脅的多量性和不斷更改的特征來看���,需要先發(fā)制人的安全工具��,它在一個安全漏洞發(fā)生之前就處于運行中�。
先發(fā)制人的安全性包括識別一個潛在的威脅。大多數(shù)常規(guī)的安全機制依賴檢測固定的�����、已知的病毒簽名或頻繁使用的用于攻擊安全缺陷的技術(shù)�����。這種檢測機制使用病毒簽名文件和/或固定安全策略規(guī)則��。但是��,在可檢測新的惡意代碼之前必須適當(dāng)更新簽名文件和/或策略規(guī)則����。
常規(guī)安全措施將惡意代碼視為一個設(shè)計為針對一臺特定機器的原子執(zhí)行模塊���。但是���,正如上文建議的,大多數(shù)惡意代碼是被設(shè)計為從一臺目標(biāo)機器傳播到另一臺��,并且許多惡意代碼是自傳播的由于惡意代碼通常不是一個原子單元,如果一個軟件病毒已經(jīng)滲透到了企業(yè)環(huán)境中�����,則它應(yīng)該在幾臺機器上進行相似的操作���。因此��,將檢測機制本地化到一臺機器是不夠的����。此外����,大多數(shù)常規(guī)的安全工具具有一個處理延時,這使得只能在攻擊已在企業(yè)環(huán)境中充分傳播以后才能進行對一個惡意攻擊的檢測和干預(yù)����。
雖然某些企業(yè)安全工具能夠同步整個企業(yè)網(wǎng)絡(luò)中的安全策略和/或收集客戶反饋,但是它們不會同步從客戶機接收到的數(shù)據(jù)以監(jiān)控大規(guī)?���?蛻粜袨椋@可以是診斷整個網(wǎng)絡(luò)環(huán)境中大規(guī)模的可疑行為的一個有用的安全信息源���。
預(yù)防����、阻止和隔離惡意攻擊也是一個先發(fā)制人的安全制度的一部分。常規(guī)的阻止程序通常依賴于提供對一個危機情況的有限即時解決方案的固定方法���。此外,一個網(wǎng)絡(luò)環(huán)境中的這些措施通常依賴于一個固定的遠程管理協(xié)議���,因此如果一個未預(yù)期到的攻擊要求協(xié)議不能執(zhí)行的操作�����,則嚴(yán)重限制了功能���。
因此,需要新的�、更靈活的標(biāo)識和反擊新的計算機病毒和惡意代碼的方法。
發(fā)明內(nèi)容
本發(fā)明提供了一種系統(tǒng)�����,用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的已知和未知的惡意代碼��。在一個實施方式中,本系統(tǒng)包括一臺服務(wù)器和通過企業(yè)網(wǎng)絡(luò)連接到服務(wù)器的多臺本地機���。每臺本地機包括一個模式識別處理器����,它監(jiān)控本地操作�,以檢測非常規(guī)的本地行為模式,并且在檢測到非常規(guī)的本地行為模式后生成一個警報���。服務(wù)器監(jiān)控并分析來自多個本地機的非常規(guī)行為警報�����。如果在一個相應(yīng)的時間段中�,從至少一個閾值數(shù)目臺本地機接收到相似的警報��,則服務(wù)器根據(jù)對非常規(guī)行為警報的分析選擇一個或多個對策操作��,并將選中的將由本地機執(zhí)行的對策操作通信給本地機����。
本發(fā)明還提供了一種檢測和反擊一個具有一個服務(wù)器和多個本地機的企業(yè)網(wǎng)絡(luò)系統(tǒng)中的惡意代碼的方法。在一個實施方式中�,本方法包括(a)監(jiān)控每臺本地機上的本地操作�,以檢測非常規(guī)的本地行為模式����,并且如果在本地機檢測到非常規(guī)的本地行為模式,則從本地機生成一個非常規(guī)行為警報到服務(wù)器��,以及(b)在服務(wù)器處分析來自本地機的非常規(guī)行為警報���,并且����,如果在一個相應(yīng)的時間段中從至少一個閾值數(shù)目臺本地機接收到相似的警報����,則根據(jù)對非常規(guī)行為警報的分析選擇一個或多個對策操作���,并且將選中的對策操作通信給本地機�����。
從以下參照附圖的詳細說明中將更容易理解本發(fā)明的特征����,附圖中圖1A顯示了根據(jù)本發(fā)明的一個實施方式的一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡n意代碼的系統(tǒng)的框圖。
圖1B顯示了根據(jù)本發(fā)明的另一個實施方式的一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的系統(tǒng)的框圖�。
圖2A顯示了根據(jù)本發(fā)明的另一個實施方式的本地機群的示意圖示。
圖2B顯示了在對應(yīng)于圖2A的實施方式中的一個本地機群中的時序的示意圖示�����。
圖3顯示了根據(jù)本發(fā)明的一個實施方式的一種檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的方法的流程圖����;以及圖4顯示了根據(jù)本發(fā)明的另一個實施方式的一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的框圖。
具體實施例方式
本申請?zhí)峁┝藱z測和反擊一個企業(yè)網(wǎng)絡(luò)中的已知和未知惡意代碼的系統(tǒng)和方法形式的工具�。檢測惡意代碼可通過監(jiān)控整個企業(yè)內(nèi)的非常規(guī)操作完成,其中非常規(guī)操作在某些情況下可能歸結(jié)于新的未標(biāo)識的代碼在運行��。工具可實施在存儲在一個計算機可讀介質(zhì)上和/或通過一個計算機網(wǎng)絡(luò)或其他傳輸介質(zhì)傳輸?shù)囊粋€或多個計算機程序�����。
工具可與例如企業(yè)管理軟件集成�����,以便更有效地檢測對全企業(yè)的安全性的危及����。企業(yè)工作站/計算機(這里也稱為“本地機”)通常配置相似(例如可由企業(yè)政策指定)���。大多數(shù)企業(yè)用戶使用相似的工具集合,并且具有相似的軟件使用習(xí)慣��。企業(yè)用戶通常分組成邏輯集合����,例如提供相同的功能(例如,管理��、市場�����、支持等)�。邏輯分組使它們彼此更加不同�。由于彼此不同,因此每個群組可以自適應(yīng)一個不同的配置文件�,以被一個模式識別處理器訓(xùn)練,如下所述���。當(dāng)幾個工作站偏離其正常操作路徑時�����,則可推斷出在整個企業(yè)環(huán)境中發(fā)生了某些非常規(guī)的事���。
圖1A中顯示了根據(jù)一個實施方式的一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的系統(tǒng)��。系統(tǒng)1包括一臺服務(wù)器3和本地機2-1至2-N����,它們通過網(wǎng)絡(luò)5連接到服務(wù)器���。每臺本地機(2-1至2-N)包括一個模式識別處理器2a����。模式識別處理器監(jiān)控本地操作�,以檢測非常規(guī)本地行為模式,并且在檢測到一個非常規(guī)本地行為模式后生成一個警報���。服務(wù)器3監(jiān)控和分析來自本地機(2-1至2-N)的非常規(guī)行為警報���。如果在一個相應(yīng)的時間段中,從至少一個閾值數(shù)目臺本地機接收到相似的警報�,則服務(wù)器根據(jù)對非常規(guī)行為警報的分析選擇一個或多個對策操作,并將選中的將由本地機執(zhí)行的對策操作通信給本地機。
一個企業(yè)環(huán)境中的未知性質(zhì)的(即沒有已知簽名或行為模式的)惡意代碼配置可通過模式識別技術(shù)(例如神經(jīng)網(wǎng)絡(luò)��、群集技術(shù)����、判決樹技術(shù)等)檢測。例如����,本地機上的本地模式之外行為被連續(xù)或以短時間區(qū)間周期性地監(jiān)控,來自通過企業(yè)網(wǎng)絡(luò)連接的多個本地機的結(jié)果被同步�,以便識別大規(guī)模的非常規(guī)行為模式。
例如����,模式識別處理器可監(jiān)控對本地操作系統(tǒng)的調(diào)用??商峁┮粋€信號監(jiān)控器以保存一個本地操作系統(tǒng)調(diào)用日志。
每臺本地機進一步包括一個遠程控制核心�,它包括一個用于與服務(wù)器通信的網(wǎng)絡(luò)中繼。非常規(guī)行為警報通過網(wǎng)絡(luò)中繼從本地機通信給服務(wù)器��。雖然在一個本地機檢測到非常規(guī)行為將觸發(fā)向網(wǎng)絡(luò)發(fā)布一個警報�����,但對非常規(guī)行為的附加確認(rèn)將觸發(fā)整個網(wǎng)絡(luò)中的干預(yù)措施�。在確定檢測到惡意代碼后,一個抽象�,遠程控制核心可被用于迅速配置更改、補丁或者任何可能的處理本地機處的威脅需要的操作���。遠程控制指令可由本地機通過網(wǎng)絡(luò)中繼接收�。
系統(tǒng)可進一步包括一個群集管理器�����。非常規(guī)行為警報通過群集管理器從多個本地機通信到服務(wù)器��。
服務(wù)器可以是一個用于監(jiān)控企業(yè)網(wǎng)絡(luò)中的可疑活動的專用系統(tǒng)�����。對策操作可包括通知企業(yè)內(nèi)的管理工具�,指示本地機關(guān)閉一個或多個與非常規(guī)行為警報有關(guān)的功能,和/或通過電子郵件警告用戶���。從服務(wù)器傳輸?shù)奖镜貦C的一個對策操作可由庫名稱和函數(shù)調(diào)用或者由工具名稱標(biāo)識����。
圖1B中顯示了根據(jù)一個客戶機-服務(wù)器范例的一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的系統(tǒng)。但是應(yīng)理解的�,本申請的工具不限于一個客戶機-服務(wù)器程序模型,而是可用于對等網(wǎng)絡(luò)系統(tǒng)��、消息傳輸系統(tǒng)以及其他程序模型��。
系統(tǒng)10包括一臺服務(wù)器14和位于多個本地機11-1至11-N上的客戶機12�����,這些本地機通過網(wǎng)絡(luò)15連接到服務(wù)器���。每個客戶機12可包括一個模式識別處理器12a���,并且可選地包括一個操作系統(tǒng)信號監(jiān)控器12b和一個遠程控制核心12c。包括模式識別處理器��、信號監(jiān)控器和遠程控制核心的客戶機12���,可以是存儲在相應(yīng)的本地機(11-1...11-N)上或者通過一個計算機網(wǎng)絡(luò)或其他傳輸介質(zhì)傳輸?shù)奖镜貦C的一個計算機可讀介質(zhì)上的計算機程序�����。例如���,客戶機可以是對一個操作系統(tǒng)內(nèi)核的緊密擴展。
模式識別處理器2a或12a監(jiān)控相應(yīng)的本地機上的操作���,例如對本地操作系統(tǒng)13的調(diào)用��。模式識別處理器可采用神經(jīng)網(wǎng)絡(luò)或其他人工智能技術(shù)來檢測本地機內(nèi)的非常規(guī)行為模式��。例如���,該方法可包括神經(jīng)網(wǎng)絡(luò)、基于規(guī)則和狀態(tài)分析技術(shù)的一個組合�,例如共有美國專利5796942、5734796���、6134537����、6212509和6327550號���,以及共有的待審的標(biāo)題為“處理混合的數(shù)值和/或非數(shù)值數(shù)據(jù)”的美國專利申請60/374064�、標(biāo)題為“自動神經(jīng)網(wǎng)絡(luò)模型生成和維護”的美國專利申請60/374020��、標(biāo)題為“通過分級成像查看多維數(shù)據(jù)”的申請60/374024、標(biāo)題為“用于發(fā)現(xiàn)一個系統(tǒng)內(nèi)的進化改變的方法和設(shè)備”的申請60/374041�、標(biāo)題為“通過本地網(wǎng)絡(luò)進行的自動模型維護”的申請60/373977,以及標(biāo)題為“將神經(jīng)網(wǎng)絡(luò)用于數(shù)據(jù)采掘”的申請60/373780�,這些專利申請在此處被完全包含進來作為參考。
模式識別處理器可連續(xù)監(jiān)控本地行為模式�,或者按照時間周期地操作,其中最好每個時間區(qū)間不多于幾分鐘���。在時間區(qū)間末尾�����,模式檢測處理器分析區(qū)間內(nèi)的行為模式����,并且如果檢測到一個非常規(guī)模式��,則將警報發(fā)送給遠程控制核心���,其中包含最新發(fā)現(xiàn)���。分析還可包括考慮先前的時間區(qū)間記錄的行為模式。
在一個模式識別處理器監(jiān)控對本地操作系統(tǒng)13的調(diào)用的實施方式中�����,信號監(jiān)控器12b可以進入本地機上的操作系統(tǒng),以旁聽操作系統(tǒng)調(diào)用(例如�,文件輸入-輸出�、網(wǎng)絡(luò)輸入-輸出,內(nèi)存管理等)��。信號監(jiān)控器模塊可以緊密融合到操作系統(tǒng)中����,例如,可作為操作系統(tǒng)內(nèi)核的一個擴展�����。通過對操作系統(tǒng)的這種聯(lián)系�,信號監(jiān)控器模塊監(jiān)控和記錄無害的或惡意的操作系統(tǒng)調(diào)用活動。模式識別處理器12a周期性地分析操作系統(tǒng)調(diào)用記錄以檢測任何非常規(guī)模式��。
模式識別處理器可被訓(xùn)練為適用于檢測其他非常規(guī)和/或惡意或病毒行為模式�����。非常規(guī)行為模式可對應(yīng)于���,例如����,已知或未知病毒、特洛伊��、蠕蟲或其他惡意代碼(例如具有內(nèi)h存駐留�����、文件和/或宏病毒特征的)����。模式識別處理器還可以檢測內(nèi)部惡意操作,例如對幾臺企業(yè)機的疏忽性的或直接攻擊性的“刪除”操作���。
除模式識別技術(shù)外���,模式識別處理器可使用多種檢測方法,例如完整性檢查(例如��,校驗或檢測一個程序的文件大小的改變)��、多態(tài)代碼檢測、中斷監(jiān)控(監(jiān)控對受限系統(tǒng)資源的訪問)��、統(tǒng)計分析����、簽名和/或啟發(fā)式掃描等。某些示例性的病毒/惡意代碼檢測方法在2001年7月14日提出申請的美國專利申請09/905342��、09/905340����、09/905533�����、09/905341�、90/905532和09/905343、于2001年3月30日提出申請的09/823673以及于2001年11月30日提出申請的60/334420中描述�����,這些專利申請在此處均被包含進來作為參考�。
遠程控制核心12c提供了一個網(wǎng)絡(luò)中繼,用于將本地訪問的信息傳輸?shù)椒?wù)器���,并且用于從服務(wù)器接收指令����,用于本地工作站的遠程管理。遠程控制進程可包括一個管理協(xié)議�����,用于本地安全措施�����。本地保護性的(或干預(yù)性的)安全措施可包括����,例如,阻止對選中文件的任何訪問�、對一個可疑文件設(shè)置一個隔離以防止復(fù)制可疑文件(到一臺服務(wù)器、另一個存儲介質(zhì)����、另一個域等)、防止從一臺本地機到其他機器的文件傳輸和/或其他通信�����,對一個特定用戶設(shè)置一個隔離以限制用戶對本地和/或企業(yè)資源(例如,文件系統(tǒng))的訪問權(quán)限��、補救一個受感染的文件等�����。
最好提供一個抽象控制機制��,它符合系統(tǒng)的軟件特征(例如��,操作系統(tǒng)�、應(yīng)用軟件、工具���、動態(tài)鏈接庫等的安裝的代碼的任何要求),以便實現(xiàn)可遠程調(diào)用的阻止和/或干預(yù)功能����。另外最好控制機制不被通信協(xié)議所限,以便最小化通信開銷�����。遠程管理可由服務(wù)器通過指定要執(zhí)行的操作(例如��,庫名稱和函數(shù)調(diào)用、工具名稱�����、參數(shù)等)來執(zhí)行����。然后遠程客戶機動態(tài)地執(zhí)行操作。抽象遠程管理核心使得能夠遠程指定系統(tǒng)支持的操作�����。從而��,可最小化在遠程控制核心處的固定協(xié)議限制�����。
實際上可指定和實現(xiàn)任何遠程操作����,以便在展開更常規(guī)的安全策略之前關(guān)閉一個安全缺口。例如����,如果一臺服務(wù)器從一個群集中的預(yù)定數(shù)目臺(例如三臺)或更多臺本地機接收到關(guān)于對一個限制訪問的系統(tǒng)資源的可疑的操作系統(tǒng)調(diào)用的警報��,則服務(wù)器可向群集中的每臺機器廣播����,以通過其遠程控制核心指示機器(a)在一個指定的時間段中禁止對目標(biāo)系統(tǒng)資源的訪問����,(b)同時在仿真模式中運行以標(biāo)識在所述時間段期間操作系統(tǒng)調(diào)用的源(和其他細節(jié))。
通過群集一個局域網(wǎng)(LAN)中的幾臺本地機�����,客戶機可以容易地分組成一個同步網(wǎng)絡(luò)�����?�?蛇f歸使用一個或多個群集管理器以便將可疑行為模式流發(fā)送給服務(wù)器14(圖2A和2B)����。一個群集管理器可駐留在一臺本地機上�����。本地機可將其最新發(fā)現(xiàn)的一個壓縮簽名作為一個警報發(fā)送給群集管理器。
一臺本地機可以是任何已知的計算平臺(例如�,一臺IBM兼容的或Macintosh個人計算機、一臺工作站��、一臺手持計算機或計算設(shè)備���,具有一個嵌入式處理器和操作系統(tǒng)的其他設(shè)備等)��。LAN可以是常規(guī)的電纜連接的或無線的(例如�,遵循IEEE802.11b標(biāo)準(zhǔn))��。
一臺專用機器可用作服務(wù)器14���。通過收集整個企業(yè)內(nèi)的警報�����,服務(wù)器能夠監(jiān)控全局可疑活動�。服務(wù)器可使用一個基于規(guī)則的方法(和/或其他人工智能)��,以確定何時在本地機上采取對策操作��,以及當(dāng)遇見特定閾值個相似的警報時采取的對策��。
例如,服務(wù)器可進行一個或多個以下操作通知整個企業(yè)內(nèi)(用戶和資源)的管理工具�,例如,限制用戶和/或資源訪問�;通過電子郵件(或廣播)向所有用戶發(fā)布一個警告;指示每臺(可能)受感染的機器關(guān)閉���;查明惡意代碼通過網(wǎng)絡(luò)的確切流動����;以及通過經(jīng)由其遠程控制核心向客戶機廣播來提供一個關(guān)于如何防衛(wèi)以便威脅侵害的迅速的解決方案(例如�,禁用一個目標(biāo)軟件,例如一個電子郵件程序或一個文字處理程序����,或者關(guān)閉一個特定的TCP/IP端口)。
參考圖1-3說明了根據(jù)本發(fā)明的一個實施方式的一個檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的方法����。一臺本地機2或11的模式識別處理器2a或12a監(jiān)控本地操作,例如對本地操作系統(tǒng)的調(diào)用�����,以檢測本地機處的非常規(guī)行為模式(步驟S31)��?�?蛇x地����,信號監(jiān)控器12b可記錄本地機處的操作系統(tǒng)調(diào)用(例如,文件輸入-輸出調(diào)用�����、網(wǎng)絡(luò)輸入-輸出調(diào)用����、內(nèi)存管理調(diào)用等)以維持一個本地操作系統(tǒng)調(diào)用記錄。在任何情況下�,如果模式識別處理器檢測到非常規(guī)的本地行為模式(步驟S32),則處理器生成一個非常規(guī)行為警報(步驟S33)��。警報通過一個遠程控制核心12c的網(wǎng)絡(luò)中繼以及可選地一個群集管理器從本地機傳輸?shù)椒?wù)器3或14����。同時,服務(wù)器分析來自本地機的非常規(guī)行為警報(步驟S34)����。服務(wù)器可以是一個專用系統(tǒng)�,它被分配了監(jiān)控企業(yè)網(wǎng)絡(luò)中的可疑活動的任務(wù)����。如果在一個相應(yīng)的時間段中相似警報的數(shù)目超過一個閾值數(shù)目(例如,5分鐘內(nèi)5個警報�,10分鐘內(nèi)12個警報等)[步驟S35],則服務(wù)器根據(jù)警報的性質(zhì)選擇一個或多個對策操作��,并且將對策操作通信給客戶機(步驟S36)�����。對策操作可包括通知整個企業(yè)內(nèi)的管理工具���,指示關(guān)閉一個或多個本地功能和/或通過電子郵件警告用戶��。對策操作可由庫名稱和函數(shù)調(diào)用���、工具調(diào)用等標(biāo)識。
對未知惡意代碼(例如���,病毒����、蠕蟲�����、特洛伊����、嵌入的腳本或任何其他行為的軟件病毒)的先發(fā)制人的檢測和反擊可通過利用模式識別方法(例如神經(jīng)網(wǎng)絡(luò)和其他人工智能)緊密跟蹤非常規(guī)系統(tǒng)行為來獲得。在上述實施方式中���,數(shù)據(jù)可在網(wǎng)絡(luò)化的企業(yè)工作站(這些工作站可能是群集的)上同步以檢測任何可能意味著一個新病毒的分布廣泛的非常規(guī)行為����。如果檢測到類似病毒的非常規(guī)行為��,則一個集成的抽象的遠程管理核心可被用來執(zhí)行不工作的對策�,以阻止病毒,以及進行防護以免其進一步傳染����。
根據(jù)另一個實施方式(圖4),數(shù)據(jù)可從本地機(42-1至42-N)被收集����,并且被一個中央位置(服務(wù)器41)中的一個模式識別處理器41a處理����。在一個中央位置進行數(shù)據(jù)的收集和處理可增加網(wǎng)絡(luò)流量��。但是��,可通過使用一個簡化的檢測配置(例如��,通過減小客戶機數(shù)據(jù)收集的規(guī)模)來減輕增加的流量�。
雖然最好上述實施方式中的服務(wù)器是一個專用站,但是一個具有其他功能和職責(zé)的站也可用作企業(yè)監(jiān)控器�。此外,企業(yè)網(wǎng)絡(luò)中的每臺機器可具有服務(wù)器的功能�����,以及客戶機的功能����。警報可作為一條消息從一臺機器(分組地或獨立地)傳遞到下一臺。當(dāng)一臺機器接收到一條包含閾值數(shù)目個警報的消息時���,它可調(diào)用服務(wù)器功能�,以分析警報,并且向本地機廣播一條指令���,以執(zhí)行本地機遠程控制核心上可用的一個或多個對策��。
此外�����,可在不背離發(fā)明精神或附錄的權(quán)利要求書的范圍的情況下,在示例性的實施方式上引入許多其他變體�。不同的描述性實施方式的元件和/或特征可在本發(fā)明和附錄的權(quán)利要求書的范圍內(nèi)彼此結(jié)合和/或彼此替換。
例如���,模式識別處理器不必限于檢測非常規(guī)操作系統(tǒng)調(diào)用�����??梢詾槊總€安全缺口而不是每個非常規(guī)安全缺口生成一個警報����。這種檢測方案容易實現(xiàn)得多。但是���,會產(chǎn)生更多虛假警報�。
在閱讀了2002年4月17日提出申請的美國臨時申請60/373135后,具有本領(lǐng)域一般技術(shù)者可很容易了解到其他變體�����,該申請在此處被完全結(jié)合進來作為參考�����。
權(quán)利要求
1.一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的系統(tǒng)�,包括一臺服務(wù)器;以及多臺通過企業(yè)網(wǎng)絡(luò)連接到所述服務(wù)器的本地機�,每臺本地機包括一個模式識別處理器,模式識別處理器監(jiān)控本地操作�,以檢測非常規(guī)的本地行為模式,并且在檢測到一個非常規(guī)本地行為模式后生成一個警報����,其中服務(wù)器監(jiān)控和分析來自多臺本地機的非常規(guī)行為警報,并且�,如果在一個相應(yīng)的時間段中,從至少一個閾值數(shù)目臺本地機接收到相似的警報����,則服務(wù)器根據(jù)對非常規(guī)行為警報的分析選擇一個或多個對策操作�,并將選中的將由本地機執(zhí)行的對策操作傳輸給所述多個本地機�����。
2.權(quán)利要求1的系統(tǒng)���,其中模式識別處理器監(jiān)控對本地操作系統(tǒng)的調(diào)用����。
3.權(quán)利要求2的系統(tǒng)�����,其中每臺本地機進一步包括一個信號監(jiān)控器�����,并且信號監(jiān)控器保存一個本地操作系統(tǒng)調(diào)用日志�。
4.權(quán)利要求1的系統(tǒng)�����,其中每臺本地機進一步包括一個遠程控制核�����,其包括一個用于與服務(wù)器通信的網(wǎng)絡(luò)中繼,非常規(guī)行為警報通過網(wǎng)絡(luò)中繼從本地機傳輸給服務(wù)器����,并且遠程控制指令通過網(wǎng)絡(luò)中繼被本地機接收。
5.權(quán)利要求1的系統(tǒng)進一步包括一個群集管理器��,其中非常規(guī)行為警報通過群集管理器從多個本地機通信到服務(wù)器�����。
6.權(quán)利要求1的系統(tǒng)�,其中服務(wù)器是一個用于監(jiān)控企業(yè)網(wǎng)絡(luò)中的可疑活動的專用系統(tǒng)。
7.權(quán)利要求1的系統(tǒng)���,其中對策操作包括通知整個企業(yè)的管理工具�����。
8.權(quán)利要求1的系統(tǒng)���,其中對策操作包括指示所述多個本地機關(guān)閉一個或多個與非常規(guī)行為警報有關(guān)的功能。
9.權(quán)利要求1的系統(tǒng)���,其中被服務(wù)器傳輸給所述多個本地機的一個對策操作是由庫名稱和函數(shù)調(diào)用標(biāo)識的�����。
10.權(quán)利要求1的系統(tǒng)�����,其中被服務(wù)器傳輸給所述多個本地機的一個對策操作是由工具名稱標(biāo)識的�����。
11.一種用于檢測和反擊一個具有一臺服務(wù)器和多臺本地機的企業(yè)網(wǎng)絡(luò)中的惡意代碼的方法��,包括監(jiān)控每臺本地機上的本地操作���,以檢測非常規(guī)本地行為模式,并且如果在本地機處檢測到一個非常規(guī)本地行為模式���,則從本地機向服務(wù)器生成一個非常規(guī)行為警報����;以及在服務(wù)器處分析來自多個本地機的非常規(guī)行為警報�,并且��,如果在一個相應(yīng)的時間段中�����,從至少一個閾值數(shù)目臺本地機接收到相似的警報�����,則根據(jù)對非常規(guī)行為警報的分析選擇一個或多個對策操作�,并將選中的對策操作通信給所述多個本地機���。
12.權(quán)利要求11的方法進一步包括監(jiān)控對本地操作系統(tǒng)的調(diào)用���。
13.權(quán)利要求12的方法進一步包括保存一個本地操作系統(tǒng)調(diào)用日志。
14.權(quán)利要求11的方法����,其中對策操作包括通知整個企業(yè)的管理工具。
15.權(quán)利要求11的方法����,其中對策操作包括指示所述多個本地機關(guān)閉一個或多個與非常規(guī)行為警報有關(guān)的功能。
16.權(quán)利要求11的方法����,其中被服務(wù)器傳輸給所述多個本地機的一個對策操作是由庫名稱和函數(shù)調(diào)用標(biāo)識的�����。
17.權(quán)利要求11的方法�,其中被服務(wù)器傳輸給所述多個本地機的一個對策操作是由工具名稱標(biāo)識的��。
18.一個系統(tǒng)包括一個處理器�����;以及一個可由系統(tǒng)讀取的程序存儲設(shè)備����,它有形地實現(xiàn)一個可由機器執(zhí)行以執(zhí)行權(quán)利要求11的方法的指令的程序。
19.一個可由一臺機器讀取的程序存儲設(shè)備��,它有形地實現(xiàn)一個可由機器執(zhí)行以執(zhí)行權(quán)利要求11的方法的指令的程序���。
20.實現(xiàn)在一個傳輸介質(zhì)中的一個計算機數(shù)據(jù)信號,它實現(xiàn)了可由一臺計算機執(zhí)行以執(zhí)行權(quán)利要求11的方法的指令的程序�。
全文摘要
提供了一個用于檢測和反擊一個企業(yè)網(wǎng)絡(luò)中的惡意代碼的系統(tǒng)。一個模式識別處理器監(jiān)控通過一個企業(yè)網(wǎng)絡(luò)連接的多臺本地機上的本地操作以檢測非常規(guī)本地行為模式�。在檢測到一臺本地機上的一個非常規(guī)本地行為模式后生成一個警報���。來自多臺本地機的非常規(guī)行為警報被分析。如果在一個相應(yīng)的時間段中����,從至少閾值數(shù)目臺本地機接收到相似的警報,則根據(jù)對非常規(guī)行為警報的分析選擇一個或多個對策操作�。選中的對策操作被通信給本地機并被本地機執(zhí)行。
文檔編號H04L12/66GK1647483SQ03808403
公開日2005年7月27日 申請日期2003年4月15日 優(yōu)先權(quán)日2002年4月17日
發(fā)明者雅隆·克卓恩 申請人:計算機聯(lián)合思想公司