提供預(yù)測的安全產(chǎn)品以及評分現(xiàn)有安全產(chǎn)品的方法與產(chǎn)品的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于網(wǎng)絡(luò)安全(Cyber security),更確切地�,是關(guān)于一種提供一預(yù)測的安全產(chǎn)品的方法與產(chǎn)品��,以及評分現(xiàn)有安全系統(tǒng)的方法與產(chǎn)品����。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)安全供貨商與黑客之間持續(xù)著貓抓老鼠的競賽:當(dāng)供貨商發(fā)出靜與動態(tài)簽署以及偵測類型來辨識惡意軟件時�����,所有黑客需要做的只有在已被鑒別與認(rèn)證惡意軟件中執(zhí)行微小的改變�,因此有系統(tǒng)地回避了這些偵測方法。這是廣泛且一般的現(xiàn)象:99%以上的新惡意軟件�,至少部分,實際上是伴隨著微小改變的再生惡意軟件���。
[0003]為了提供了能保護(hù)個人與公司網(wǎng)絡(luò)免于不同惡意軟件與意外入侵危害的惡意軟件偵測套件�����,現(xiàn)今已有不同的嘗試。全部所知的惡意軟件偵測器是使用互動方式與相關(guān)技術(shù)來防范已知的計算器病毒���、攻擊方法����、惡意軟件行為、惡意軟件類型�、漏洞、可利用的部分等等�。尚未有能以預(yù)測以及主動的方式來防范未知惡意軟件的技術(shù)的供貨商、產(chǎn)品或包裝���。另外��,更困難的是以客觀的方式與經(jīng)驗決定出較好的安全產(chǎn)品���。
[0004]能用于預(yù)測未知惡意軟件以及防范這種惡意軟件的方法、計算器程序與系統(tǒng)是很有用處的���。能評估并衡量安全產(chǎn)品能力的方法也對進(jìn)行抗衡有很大好處����。
[0005]定義
[0006]術(shù)語「惡意軟件」指的是來自以編碼����、可執(zhí)行內(nèi)容、腳本����、主動內(nèi)容���、以及其他軟件形式以及輸入/輸出潛在串流,像是能造成攻擊的網(wǎng)絡(luò)封包串流����,為形式的惡意軟件。惡意軟件包含病毒�����、exploits病毒�����、木馬程序�����、臭蟲����,rootkits病毒、間諜軟件等等���,但不限于這止匕
~��、O
[0007]術(shù)語「惡意軟件標(biāo)本」指的是用于進(jìn)化過程的惡意軟件片段���,如下詳述,所述惡意軟件片段一般是被所提供系統(tǒng)或第三方系統(tǒng)����、方法或處理所不定時取得或紀(jì)錄。一些標(biāo)本是在被感染的/污染的計算器上找到��,或是被存于特殊數(shù)據(jù)庫��。在進(jìn)化過程中���,惡意軟件標(biāo)本是被用在所提供處理的后續(xù)階段中(以下有更清楚說明)��。
[0008]術(shù)語「變種」是借自生物的辭庫�����,是關(guān)于進(jìn)化且指的是惡意軟件標(biāo)本的版本或「突變」����,所述惡意軟件標(biāo)本的版本或「突變」能被以隨機(jī)、部分隨機(jī)��、假隨機(jī)的刻意方法來變換或變異����。變種可通過在惡意軟件編碼上執(zhí)行「突變」、合并兩個或更多組編碼�、或是熟習(xí)技藝者所知的遺傳程序的任何其他形式所產(chǎn)生。
[0009]術(shù)語「突變」��,在此使用也是借自生物的辭庫且指的是對惡意軟件標(biāo)本的編碼所做的改變�����。舉例來說�����,突變會包含增加或移除程序碼行�����、重組程序碼行�����、復(fù)制程序碼行、改變參數(shù)����、替換給第三方編碼的呼叫�、改變端口、改變所使用的程序庫等�。
[0010]術(shù)語「惡意變種」在此使用于意指仍有惡意的惡意軟件標(biāo)本的一改變版本。失去惡意特性的變種在此被指為「無惡意變種」�。
[0011]術(shù)語「回避變種」在此使用于意指惡意軟件標(biāo)本的一改變版本,且所述惡意軟件標(biāo)本的改變版本仍有與標(biāo)本的回避等級可相比的回避等級(例如�����,像是原本惡意軟件標(biāo)本�����,被相同或更少數(shù)目的惡意軟件偵測系統(tǒng)所偵測)����。已失去回避特性的變種(例如,相比于原本標(biāo)本較不會回避)在此被指為「無回避變種」���。
[0012]—般來說����,除非特定,否則�,術(shù)語「惡意特性」指的是惡意編碼(例如,用于執(zhí)行的指令組)���、惡意行為(例如���,當(dāng)分開執(zhí)行時不一定是惡意,但在特定方式一起執(zhí)行時會有惡意意圖的動作/指令)或兩者的結(jié)合��。
[0013]偵測器是用于偵測的計算器程序產(chǎn)品���,并在一些狀況中抵抗在目標(biāo)系統(tǒng)或網(wǎng)絡(luò)上的惡意軟件�。偵測器也會采用被使用一或多個偵測方法的第三方產(chǎn)品所使用���,并為熟習(xí)技藝者所知的定義形式�����,以偵測可疑惡意軟件����。
[0014]術(shù)語「腳印」、「蹤跡」或「攻擊蹤跡」等是關(guān)于檔案或其他惡意的編碼(舉例來說���,像是連續(xù)的網(wǎng)絡(luò)封包)所遺留的所有類型的腳印/證據(jù)����,包含:網(wǎng)絡(luò)流量��、二元編碼��、操作系統(tǒng)與API呼叫����、CPU活動��、內(nèi)存腳印(memory footprint)��,上述的任何內(nèi)容與結(jié)合��。所述術(shù)語腳印/蹤跡可附帶不同的修飾語�����。
[0015]術(shù)語「遺傳運(yùn)算符」指的是使惡意軟件變種變異與合并/交叉的運(yùn)算符��。
【發(fā)明內(nèi)容】
[0016]本發(fā)明提供用以基于進(jìn)化原則并防止這樣的惡意組件與其他相似組件的產(chǎn)品、方法與系統(tǒng)�����。
[0017]依據(jù)本發(fā)明提供了一系統(tǒng)�����,包含(a) —惡意軟件進(jìn)化引擎��,用于產(chǎn)生惡意標(biāo)本的惡意軟件變種����;以及(b) —評估器,被配置用于基于一惡毒等級和一回避等級的其中至少一者���,來評估所述惡意軟件變種�。以及在一些實施例中的(C) 一惡意軟件提取器���,用于在從知識庫�����、生產(chǎn)系統(tǒng)�����,與第三方產(chǎn)品所組成的集合中所選出的至少一來源��,收集惡意軟件標(biāo)本給所述進(jìn)化引擎�;以及/或是(C) 一偵測器建立器,用于基于所述進(jìn)化引擎所產(chǎn)生與所述評估器所評估的所述惡意軟件變種來產(chǎn)生一偵測器機(jī)制��。
[0018]依據(jù)以下描述的本發(fā)明的另外特征����,或在一方法中���,所述進(jìn)化引擎是被設(shè)制成用于通過執(zhí)行從施加突變至所述惡意軟件標(biāo)本的可執(zhí)行編碼���、施加突變至惡意軟件發(fā)送的網(wǎng)絡(luò)流量、施加突變至來源編碼���、施加突變至匯編語言編碼�,以及交叉合并所述惡意軟件變種所組成的所述集合中選出的至少一動作���,來產(chǎn)生所述惡意軟件變種��。又依據(jù)其他特征���,或在一方法中����,所述突變是從由以下構(gòu)成的一集合所選出:(i)隨機(jī)突變����;(ii)將一給定指令序列替換為另一功能相同的指令序列一選出的程序庫呼叫被替換為一功能相同的不同程序庫呼叫;(iv) —選出的被使用的程序庫被替換為一功能相同的不同程序庫����;(V)增加被辨識為具有惡意功能的區(qū)域中的所述突變的各別概率;(vi)增加被辨識為不傾向阻止所述可執(zhí)行的編碼的適當(dāng)執(zhí)行的區(qū)域中的所述突變的各別概率��;(vii)增加安全產(chǎn)品所簽署的區(qū)域中的所述突變的概率��;(viii)增加所述突變導(dǎo)致所述體質(zhì)分?jǐn)?shù)增加的區(qū)域中的所述突變的概率��;(ix)針對已加入二元編碼的一區(qū)段重寫所述可執(zhí)行的編碼的標(biāo)頭���,造成所述區(qū)段的擴(kuò)張��;(X)將所述可執(zhí)行的編碼與其他所述可執(zhí)行的編碼結(jié)合��,以產(chǎn)出所合并的編碼��,以及重寫相關(guān)標(biāo)頭���,以允許所述結(jié)合編碼的適當(dāng)執(zhí)行��;(xi)修改所述可執(zhí)行的編碼的特定區(qū)段����,以改變對相關(guān)作業(yè)有系統(tǒng)地的靜態(tài)調(diào)用的的動態(tài)功能呼叫����。
[0019]又依據(jù)其他特征或一平行方法,一攻擊機(jī)器是被設(shè)制成用于寄送所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量至所述進(jìn)化引擎���,所述進(jìn)化引擎另被設(shè)置于施加所述突變至所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量并寄送所述變異的惡意軟件發(fā)送的網(wǎng)絡(luò)流量至受害機(jī)器,其中所述變異的惡意軟件發(fā)送的網(wǎng)絡(luò)流量在所述受害機(jī)器上造成的結(jié)果是由所述評估器評估����,以判斷所述惡毒等級。
[0020]又依據(jù)其他特征�����,被施加至所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量的所述突變包含修正CRC/校驗和值字段,或是在不同協(xié)議中的一網(wǎng)絡(luò)封包的任何其他字段�,以在所述封包的載荷中或標(biāo)頭的各種突變之后,使所述CRC/校驗和值或是其他字段��。
[0021]又依據(jù)其他特征����,在一安全頻道中,通過包住含有所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量的網(wǎng)絡(luò)通訊����,或使用加密與編碼,導(dǎo)致所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量被混淆��。
[0022]依據(jù)另一實施例�,提供了一種用以影響惡意軟件上的進(jìn)化過程的方法,所述方法包含以下步驟:(a)接收一惡意軟件標(biāo)本���;(b)產(chǎn)生所述惡意軟件標(biāo)本的變種����;(C)評估所述變種并給予每一所述變種一各別體質(zhì)分?jǐn)?shù)��;(d)選擇具有至少一默認(rèn)的各別體質(zhì)分?jǐn)?shù)的所述變種;以及(e)使用所選擇的所述變種做為步驟(a)中的所述惡意軟件標(biāo)本����,從步驟(a)產(chǎn)生所述變種的新一代。
[0023]在一些實施例中�,所述方法另包含以下步驟:(f)收集所述變種的蹤跡數(shù)據(jù)與良性的檔案或網(wǎng)絡(luò)流;以及(g)將所述蹤跡數(shù)據(jù)分類為以下范疇其中的至少一者:惡意的變種的蹤跡�、良性檔案的蹤跡,以及在所述進(jìn)化過程期間失去惡意活動的退化的惡意軟件變種的蹤跡�����。以及(h)建立能夠偵測以及分辨所述惡意特性與非惡意特性的偵測器�。
[0024]在其他特征中,所述方法另包含以下步驟:(i)從所述偵測器中選擇���,其中的至少一所述偵測器具有在一默認(rèn)等級之上的一分級����,所述分級是基于:(i)被正確地偵測的所述惡意特性的一數(shù)目�����;(ii)被正確地偵測的所述非惡意特性的一數(shù)目�;以及(iii)被正確地偵測的惡意特性的不足,其中會給予較短惡意特性的偵測一較高分級���。
[0025]又依據(jù)其他特征����,所述方法另包含以下步驟:執(zhí)行所述變種在所述虛擬機(jī)(VM)與所述實體機(jī)器上��;以及將在所述虛擬機(jī)上�,與在所述實體機(jī)器上執(zhí)行的所述變種進(jìn)行比較,以偵測所述結(jié)果之間的一差異�,其中當(dāng)發(fā)現(xiàn)所述差異時,只會以所述實體機(jī)器執(zhí)行所述變種在所述實體機(jī)器上的所述結(jié)果來評估所述變種����。
[0026]又依據(jù)其他特征所述方法另包含以下步驟:寄送其中的選自以下的至少一者:在執(zhí)行所述變種時的默認(rèn)系統(tǒng)信號、通信數(shù)據(jù)����、參數(shù),以抵銷整合的觸發(fā)����。
[0027]又依據(jù)其他特征所述方法另包含以下步驟:監(jiān)控執(zhí)行所述變種時的編碼涵蓋,以鑒別未被執(zhí)行的編碼區(qū)域���,所述沒被執(zhí)行的編碼區(qū)域是指示所述變種中整合的觸發(fā)��。
[0028]依據(jù)另一實施例���,提供一種用于訓(xùn)練針對一字節(jié)串流的一惡意軟件偵測器的方法�,所述方法包含以下步驟:(a)捕捉一網(wǎng)絡(luò)交談(sess1n)或任何其他二元數(shù)據(jù)的一字節(jié)串流�;以及以一正整數(shù)的一線性向量來代表所述字節(jié)串流,其中所述字節(jié)串流包含惡意軟件變種���、良性網(wǎng)絡(luò)活動或檔案的一蹤跡��;(b)重整所述線性向量成為一正方矩陣�,從而接收一灰階圖像��;(c)將所述灰階圖像進(jìn)行標(biāo)準(zhǔn)化(normalize)為統(tǒng)一分辨率���;(d)使用其中的至少一圖像處理技術(shù)來從所述標(biāo)準(zhǔn)化圖像取出特征���;(e)重復(fù)步驟(a)至(d)并儲存惡意的變種于一第一數(shù)據(jù)庫,而良性的流量是儲存于一第二數(shù)據(jù)庫���;(f)訓(xùn)練一惡意軟件偵測器以分辨所述惡意軟件變種與所述良性流量�。
[0029]依據(jù)其他特征�,所述至少一圖像處理技術(shù)是選自所述集合,所述集合包含:Gabor小波系數(shù)��,統(tǒng)計系數(shù)��、主成分分析���、線性判別分析���、以及獨(dú)立成分分析。依據(jù)其他特征�,所述訓(xùn)練步驟是由一支持向量機(jī)所實行。
[0030]依據(jù)另一實施例�����,提供一種用于從一惡意軟件標(biāo)本產(chǎn)生惡意軟件變種的方法�����,所述方法包含以下步驟:產(chǎn)生所述惡意軟件變種���,通過執(zhí)行以下集合其中至少一動作:施加突變至所述惡意軟件標(biāo)本的可執(zhí)行編碼��;施加突變至惡意軟件發(fā)送的網(wǎng)絡(luò)流量�����;以及交叉合并所述惡意軟件變種����。
[0031]依據(jù)另一實施例,提供一種方法��,所述方法包含以下步驟:(a)接收一惡意軟件標(biāo)本���;(b)產(chǎn)生所述惡意軟件標(biāo)本的變種�;(C)掃描具有安全產(chǎn)品的一所選擇集合的每一所述變種�����,并給予回避分?jǐn)?shù)����,基于所述安全產(chǎn)品沒有偵測所述變種能力。依據(jù)其他特征��,所述方法包含以下步驟:(d)基于偵測所述變種中成功的一等級��,來給予每一所述安全產(chǎn)品一分級。以及在一些實施例中��,所述分級是基于相關(guān)于其他所述安全產(chǎn)品的成功的所述等級����。
【附圖說明】
[0032]本發(fā)明在本文中的描述僅作為示例����,并參照附圖所示,其中:
[0033]圖1是防毒引擎掃描惡意軟件的一對示范性結(jié)果�;
[0034]圖2A-C是一示范性偵測器產(chǎn)生過程的階段;
[0035]圖3是本發(fā)明的所述進(jìn)化過程的流程圖���;
[0036]圖4是建立一偵測器的一過程的流程圖�;
[0037]圖5是評估回避并給定所選擇安全產(chǎn)品評分與標(biāo)準(zhǔn)的所述過程的流程圖�;