述變種從所述評估器接收的不同的參數(shù)/分數(shù)所述變種來計算一體質(zhì)分數(shù)��,當(dāng)中最重要的是所述惡毒與回避分數(shù)����。變種通過所述選擇過程并接收所述體質(zhì)分數(shù)��。視被處理的變種與所述系統(tǒng)的目標(biāo)可使用不同的選擇方法��。不同時間可使用不同方法(就算是相同進化過程)����,且所述方法在所述過程中會自己改變。一變種在所述選擇過程中存活的可能性一般與所述體質(zhì)分數(shù)直接相關(guān)����。在一些實施例中,如果所述體質(zhì)分數(shù)高于一默認等級��,則所述變種會存活在所述選擇過程中(如前所述�����,所述體質(zhì)分數(shù)會由一動態(tài)評估器達到���,結(jié)果會有一動態(tài)體質(zhì)參數(shù))��。在其他實施例中���,所述選擇過程會是競爭的選擇過程�����,其中最適合的變種會被選擇在一「擊倒制」腳本中���。又在其他實施例中,所述選擇過程會是一導(dǎo)引過程���,其中特定特性會被選擇而生存��。所述選擇過程會是兩或更多的方法所結(jié)合�����,或沒提到的現(xiàn)有技術(shù)中所知的其他方法���。
[0078]在一些實施例中,已顯示能完成或補足所述進化過程的一特定特性的變種會被選擇于更進一步的傳播����。例如�,顯示回避一特定偵測器的能力����,或是更會回避的一變種,而另一方面較無惡意的或不再有惡意的����,縱使不是惡意的仍可被選擇于傳播�����。在下一排列/世代中�,相同變種可被合并于一惡意的變種以制作具有已被發(fā)現(xiàn)/顯示的所述特定回避特性的惡意變種。
[0079]無論使用哪個選擇過程�,所選擇的變種會被送回所述進化引擎當(dāng)作新的惡意軟件標(biāo)本,以進行所述進化過程的更進一步排列���。在一些實施例中����,所述系統(tǒng)紀(jì)錄所述惡意的編碼�、腳本、數(shù)據(jù)等等,以及惡意變種的惡意的行為(例如所述變種的蹤跡數(shù)據(jù))�����。在一些實施例中�,所述系統(tǒng)也會記錄所述無惡意的或被拒的變種的所述蹤跡資料。這些紀(jì)錄會被傳至所述偵測器建立器以做更進一步的處理與分析�����。
[0080]綜上所述���,所述預(yù)測引擎使用所述生物的進化模型為創(chuàng)造未來會被黑客創(chuàng)造的所述惡意軟件標(biāo)本的大量變種群的樣板�����。所述進化模型指示自然選擇的一些形勢發(fā)生����,以制作最適變種或多個變種�。為此,具有足夠高的體質(zhì)分數(shù)的所述變種會被選擇以制作下一代的變種����。所述高評分變種會被送回所述進化引擎�����,而所述低評分變種會從所述變種池中移除��。所述高評分變種現(xiàn)在會當(dāng)作新變種開始產(chǎn)生的所述基本標(biāo)本�。所述過程可無限延續(xù)����,直到達到一所要的/默認的目標(biāo),或是直到?jīng)]有變種顯示惡毒或足夠的回避等等����。
[0081]所述系統(tǒng)會令使用高評分或變種的其他�����,以制作能夠偵測并較佳地能抵銷所述惡意的變種的偵測器�����??v使一黑客沒創(chuàng)造所述預(yù)測引擎所提供的相同變種,而只是相似的產(chǎn)物���,所述系統(tǒng)仍可以偵測所述黑客所創(chuàng)造的所述件惡意軟件��,基于相似變種的所分享特性/腳印�����。所述偵測器建立器執(zhí)行此功能��。
[0082]偵測器建立器
[0083]所述偵測器建立器是��,接收所有所述編碼與關(guān)于所述變種的所記錄行為/蹤跡數(shù)據(jù)的所述系統(tǒng)的所述組件����。在一些實施例中,所述偵測器建立器接收同時來自/關(guān)于所述惡意與無惡意變種的資料����。在其他實施例中,所述偵測器建立器只從所述新產(chǎn)生的變種接收資料�����,所述新產(chǎn)生的變種顯示所述最佳「潛能」(例如���,具有比所述基本標(biāo)本更好的回避等級����,其中新產(chǎn)生的變種是從所述基本標(biāo)本所「演進」且維持或增加惡毒等級,或維持回避等級但具有更好的惡毒等級)并創(chuàng)造能偵測所述新變種的偵測器����。在一些實施例中,所述建立器會從所述進化引擎所產(chǎn)生的所述變種收集全部所述蹤跡����,或腳印(如所述定義區(qū)段中所定義)。所述建立器所產(chǎn)生的所述偵測器會被配置所記錄的蹤跡��。所述數(shù)據(jù)會被非類為多個范圍��,所述范圍是來自:惡意的變種(「惡意的蹤跡」)����;已經(jīng)退化的變種(「退化蹤跡」)�����,在所述意思中���,所述變種已經(jīng)在所述進化過程中喪失全部惡意特性��,并不再顯示惡意的特性(例如-不再與其作業(yè)器通信的一遠程訪問工具)���;以及良性檔案或一般網(wǎng)絡(luò)數(shù)據(jù)(「良性蹤跡」)O
[0084]所述偵測器建立器會使用一或多個被監(jiān)督學(xué)習(xí)算法來訓(xùn)練能將良性從惡意的腳印中分出的一分類器�。所述偵測器建立器會使用所述惡意的與良性的蹤跡�����,以及在一些實施例中��,也會使用退化的蹤跡�,當(dāng)作是所述被監(jiān)督學(xué)習(xí)的訓(xùn)練數(shù)據(jù)。在其他實施例中����,所述偵測器建立器也會使用不被監(jiān)督學(xué)習(xí)算法。
[0085]所述偵測器會被訓(xùn)練于與所述惡意軟件變種一同進化(例如所述偵測器建立器接收惡意的蹤跡并產(chǎn)生能偵測這些蹤跡的偵測器)���,或是一次進化����,當(dāng)所述進化過程已停止時(后進化)�����。在所述一同進化腳本中,所述偵測器會是所述進化過程的部分�,特別是在所述選擇過程期間。所述變種會被包含至少一些所產(chǎn)生的偵測器的安全機制所掃描�����。在所述腳本中���,所述偵測器是被創(chuàng)造后進化�����,所述進化過程中所收集的所述蹤跡資料是被用于訓(xùn)練所述偵測器去分出良性的與惡意的蹤跡資料���。
[0086]在一示范性實施例中,所述偵測器建立器是使用句法學(xué)習(xí)/文法感應(yīng)��。
[0087]在此實施例中���,所述偵測器建立器會代表使用一組符號(「字母」)的所述惡意的蹤跡。較佳地�����,當(dāng)忽略較不相關(guān)參數(shù)時,所述建立器只代表所述文法中的相關(guān)參數(shù)���。
[0088]另外以及/或是替代地�,所述建立器也會照所述蹤跡的方法去使用所述蹤跡(且所述「字母」會參照使用于所述蹤跡中的所述原本符號)�����。
[0089]之后�����,所述建立器使用一文法感應(yīng)算法來創(chuàng)造一規(guī)則�,或一文法(例如像是一正規(guī)的敘述),所述文法會地句法���,所述句法會從良性的蹤跡中分辨出惡意的蹤跡(例如�,在組成所述蹤跡的字母中只有惡意的蹤跡會被認為有效字符串)����。
[0090]在本發(fā)明一實施例中,所述偵測器建立器會找尋盡可能接收多一點惡意蹤跡的最短正規(guī)敘述��,所述最短正規(guī)敘述同時會接受盡可能少一點的良性與退化的蹤跡。達到此目的的一方法是使用一進化算法去創(chuàng)造一文法���。示范性地��,正規(guī)敘述的一第一世代是隨機創(chuàng)造的�,每一正規(guī)敘述會依據(jù)下列參數(shù)被分級����、評分或給分(為所述選擇過程):
[0091]I)偵測/辨識一惡意變種的所獎勵點數(shù);
[0092]2)偵測一無惡意的變種或正規(guī)檔案的所減損點數(shù)�;以及
[0093]3)長度不足的所獎勵點數(shù)。
[0094]所述系統(tǒng)接著選擇最好的正規(guī)敘述以繼續(xù)所述進化過程�����,重復(fù)地被變異�����、評分����、以及選擇。
[0095]圖2是使用所述偵測器建立器來創(chuàng)造與純化/訓(xùn)練一偵測器/分類器的三個不同的可能階段的代表��。在此例子中���,所述偵測器會被訓(xùn)練在基于被稱為「毒藤女」的惡意軟件所創(chuàng)造的變種的WindowsAPI呼叫上���。所述偵測器是被寫作對于所述系統(tǒng)是唯一的一字母(符號組)上的一正規(guī)敘述。圖2a是所述WindowsAPI呼叫的一取出���。每一行是一不同的API呼叫���。圖2b是被翻譯為所述「字母」的一取出的一代表。圖2c是一示范性編碼-從所述充足代表匯出的取出(以及其他變種的其他代表)�����。通過上述選擇過程����,所描述的取出已被匯出。理想地���,所述短編碼-取出是最惡意的蹤跡中所發(fā)現(xiàn)或相匹配的最短的正規(guī)敘述�����,以及可能的最不良性的以及/或是退化的蹤跡����。
[0096]一旦所述蹤跡數(shù)據(jù)已經(jīng)被選擇地減小為最小形式,包含所述短編碼-取出或特性的任何相似的編碼或行為�,會被所述新偵測器辨識為惡意的。因此�,縱使黑客不創(chuàng)造與所述預(yù)測引擎產(chǎn)生的所述變種其中之一完全相同的惡意軟件的新配置,所述相似的惡意軟件仍會被偵測�,只要所述惡意軟件包含所述文法所代表的所述短編碼-取出或是顯示行為。在此方法中�����,所述偵測器將可以偵測/辨識所述新惡意軟件是惡意的�����。
[0097]在另一實施例中���,所述偵測器使用圖像處理算法去訓(xùn)練分類器以分辨良性的與惡意的蹤跡���。圖7描述圖像處理算法700的一流程圖。舉例來說��,所述學(xué)習(xí)算法會執(zhí)行以下過程:
[0098]在所述過程的步驟702中,一字節(jié)串流(來自一網(wǎng)絡(luò)交談(會議)的一二元檔案或任何其他編碼)會被捕捉并代表為正整數(shù)(O至255)的一向量���。
[0099]在所述過程的步驟704中���,所述向量被重整為一正方(或其他形狀)矩陣(例如:10000字節(jié)會變成一 100x100矩陣)�。所述正方矩陣提供一灰階圖像。
[0100]在所述過程的步驟706中���,所述圖像/矩陣會被標(biāo)準(zhǔn)化以統(tǒng)一分辨率����。
[0101]在所述過程的步驟708中��,使用不同技術(shù)從圖像中取出多個特征�����,例如=Gabor小波系數(shù)���;統(tǒng)計系數(shù)_{平均����、標(biāo)準(zhǔn)偏差、偏態(tài)���、峰值};主成分分析�����;線性判別分析�;獨立成分分析I���。
[0102]在所述過程的步驟710中��,步驟702-708會被重復(fù)于惡意的與良性的蹤跡上����,且此過程的所述產(chǎn)物會基于其原本(惡意的對比于良性的����,或退化的蹤跡)被分別成兩個所標(biāo)記的數(shù)據(jù)庫。
[0103]在所述過程的步驟712中�����,從步驟5所述標(biāo)記數(shù)據(jù)庫用于訓(xùn)練的統(tǒng)計模型(例如使用支持向量機)��,將用于作為偵測器來區(qū)分惡意的與良性的追蹤。
[0104]設(shè)置實施例
[0105]在一些實施例中�,所述偵測器會被創(chuàng)造以及/或是儲存于所述云端上。所述偵測器會被配置去調(diào)查「蹤跡」�����,像是網(wǎng)絡(luò)流量���、二元編碼、操作系統(tǒng)與API呼叫����,CPU活動與內(nèi)存腳印以及/或是內(nèi)容(例如任何前述的結(jié)合)。所述偵測器可存在于網(wǎng)絡(luò)設(shè)備(接收流量的防火墻����、網(wǎng)關(guān)、機器等等����。),所述網(wǎng)絡(luò)設(shè)備是在媒介架構(gòu)(代理)以及/或是第三方系統(tǒng)中��。在一些實施例中�����,所述設(shè)備會接收從所述媒介架構(gòu)(代理)以及/或是第三方系統(tǒng)端點所取出的數(shù)據(jù)。在又其他實施例中�,所述設(shè)備會發(fā)送查詢、更新����、分析與偵測結(jié)果等等給所述媒介架構(gòu)(代理)。
[0106]在本發(fā)明一實施例中�����,所述偵測器被創(chuàng)造于所述系統(tǒng)云端���,并且針對所述預(yù)測引擎所預(yù)測的未來攻擊而被訓(xùn)練����。所述偵測器接著被設(shè)置在所述客戶系統(tǒng)/網(wǎng)絡(luò)上(例如一般企業(yè)網(wǎng)絡(luò)���、SCADA設(shè)備�、嵌入裝置等等)�����。
[0107]以下詳述針對所調(diào)查資料所決定的所述偵測器的所述設(shè)置的三個示范性腳本:
[0108]1.使用網(wǎng)絡(luò)數(shù)據(jù)防范未來惡意軟件
[0109]圖6a描述針對客戶端設(shè)置的第一示范性腳本。網(wǎng)絡(luò)流從一開關(guān)或防火墻裝置被鏡射�,并在一網(wǎng)絡(luò)設(shè)備中被處理。所述設(shè)備是直接從所述云端被更新�,(替換地以及/或是另外地,所述設(shè)備會通過手動下載更新來被脫機更新)�����。
[0110]2.使用端點數(shù)據(jù)防范未來惡意軟件
[0111]圖6b描述針對客戶端設(shè)置的第二示范性腳本�。蹤跡數(shù)據(jù)是從端點裝置上的媒介架構(gòu)(代理)所取出。所述媒介架構(gòu)(代理)使用在所述云端上所訓(xùn)練的所述偵測器來偵測并防堵惡意的行為��。所述設(shè)備管理并更新所述偵測器���,給予網(wǎng)絡(luò)(cyber)威脅的組織規(guī)模的預(yù)測,并傳送建議樣本至所述云端�。在一些實施例中,所述端點媒介架構(gòu)(代理)可直接被連接至所述云端�����。
[0112]3.同時使用網(wǎng)絡(luò)與端點數(shù)據(jù)防范未來惡意軟件
[0113]圖6c描述針對客戶端設(shè)置的第三示范性腳本�����。蹤跡數(shù)據(jù)是從端點裝置上的媒介架構(gòu)(代理)取出,以及示范性地從所鏡射網(wǎng)絡(luò)流中取出���。
[0114]偵測與防范是被同時施加于網(wǎng)絡(luò)流(在所述設(shè)備中)與端點行為中行為(例如����,對所述設(shè)備報告的使用媒介架構(gòu)(代理))����。所述設(shè)備會管理與更新所述偵測器,給予網(wǎng)絡(luò)(cyber)威脅的組織規(guī)模的預(yù)測�,并傳送建議樣本至所述云端。
[0115]方法
[0116]圖3描述所述進化過程300的一流程圖���。在所述進化過程的步驟302中����,所述進化引擎接收一惡意軟件標(biāo)本���。在步驟304中��,所述進化引擎產(chǎn)生所述惡意軟件標(biāo)本的變種���。每個變種是所述原始標(biāo)本的后代�����,其中所述惡意軟件的所述蹤跡的至少一部分已被變異����。所述突變可以是隨機突變�、半隨機突變或任意隨機突變。所述突變會是非隨機突變��。突變的例子包含:增加程