分?jǐn)?shù)�,以及���,其中基于所述體質(zhì)分?jǐn)?shù)���,所述系統(tǒng)針對(duì)所述偵測(cè)器建立器選擇所述變種的至少一部份。12.如權(quán)利要求1所述的系統(tǒng)�����,其特征在于�����,所述評(píng)估器基于以下至少一項(xiàng)將變種分級(jí): (a)一惡毒等級(jí)判斷�����;以及 (b)一回避等級(jí)判斷�。13.如權(quán)利要求12所述的系統(tǒng),其特征在于����,所述惡毒等級(jí)判斷是至少部分基于所述變種是否展現(xiàn)至少部分所述惡意軟件標(biāo)本所展現(xiàn)的惡意的特性所做出。14.如權(quán)利要求12所述的系統(tǒng)�,其特征在于����,所述回避等級(jí)判斷是至少部分基于所述變種是否展現(xiàn)至少部分所述惡意軟件標(biāo)本所展現(xiàn)的回避的特性所做出��。15.如權(quán)利要求12所述的系統(tǒng)�����,其特征在于���,所述回避等級(jí)是至少部分通過(guò)提交所述惡意軟件標(biāo)本或變種給復(fù)數(shù)個(gè)惡意軟件偵測(cè)系統(tǒng)中的每一個(gè)所判斷出��。16.如權(quán)利要求3所述的系統(tǒng),其特征在于�,所述偵測(cè)器建立器是用于制作出一偵測(cè)器,透過(guò)處理以下組件的其中至少一者: (a)所述惡意軟件變種的可執(zhí)行二元����; (b)所述惡意軟件變種所發(fā)送或接收的網(wǎng)絡(luò)流量; (C)所述惡意軟件變種的系統(tǒng)呼叫����; (d)所述惡意軟件變種的API呼叫;以及 (e)所述惡意軟件變種的內(nèi)存腳印(memoryfootprint)與內(nèi)容�����。17.如權(quán)利要求16所述的系統(tǒng)�,其特征在于���,所述偵測(cè)器建立器制作至少一個(gè)偵測(cè)器,所述偵測(cè)器用以偵測(cè)以下至少一者: (a)網(wǎng)絡(luò)行為簽署��; (b)網(wǎng)絡(luò)行為類型���; (c)可執(zhí)行的簽署; (d)可執(zhí)行的類型�����; (e)系統(tǒng)呼叫簽署���; (f)系統(tǒng)呼叫類型�����; (g)CPU動(dòng)作簽署���; (h)CPU動(dòng)作類型; (i)API呼叫簽署�;以及 (j)API呼叫類型。18.如權(quán)利要求17所述的系統(tǒng)��,其特征在于,所述偵測(cè)器是被設(shè)置作為一平臺(tái)上的獨(dú)立偵測(cè)模塊,所述平臺(tái)是選自包含一終端點(diǎn)����、一網(wǎng)關(guān)、一網(wǎng)絡(luò)組件�、一網(wǎng)絡(luò)設(shè)備�,以及一整合的第三方偵測(cè)平臺(tái)的所述集合����。19.如權(quán)利要求11所述的系統(tǒng),其特征在于����,所述回避等級(jí)另通過(guò)運(yùn)行與權(quán)利要求3的所述偵測(cè)器建立器所建立的偵測(cè)器相抵觸的所述惡意軟件標(biāo)本或變種來(lái)判斷���。20.如權(quán)利要求13所述的系統(tǒng)�����,其特征在于�����,所述評(píng)估器另用于通過(guò)運(yùn)行所述變種在一虛擬機(jī)(VM)與一實(shí)體計(jì)算器其中的至少一者上,來(lái)評(píng)估所述惡毒等級(jí)�。21.一種用以影響惡意軟件上的進(jìn)化過(guò)程的方法,所述方法包含以下步驟: (a)接收一惡意軟件標(biāo)本���; (b)產(chǎn)生所述惡意軟件標(biāo)本的變種; (C)評(píng)估所述變種并給予每一所述變種一各別體質(zhì)分?jǐn)?shù)�����; (d)選擇具有至少一默認(rèn)的各別體質(zhì)分?jǐn)?shù)的所述變種�;以及 (e)使用所選擇的所述變種做為步驟(a)中的所述惡意軟件標(biāo)本�����,從步驟(a)產(chǎn)生所述變種的新一代�����。22.如權(quán)利要求21所述的方法���,其特征在于����,產(chǎn)生所述惡意軟件變種的所述步驟包含執(zhí)行從所述集合選擇的至少一動(dòng)作�����,所述集合包含:施加突變所述惡意軟件標(biāo)本的可執(zhí)行編碼�、施加突變至惡意軟件發(fā)送的網(wǎng)絡(luò)流量,以及交叉合并所述惡意軟件變種�����。23.如權(quán)利要求22所述的方法�����,其特征在于����,被施加于所述可執(zhí)行的編碼的所述突變是從由以下構(gòu)成的一集合所選出: (i)隨機(jī)突變; (ii)將一給定指令序列替換為另一功能相同的指令序列����; (iii)一選出的程序庫(kù)呼叫被替換為一功能相同的不同程序庫(kù)呼叫��; (iv)一選出的被使用的程序庫(kù)被替換為一功能相同的不同程序庫(kù)���; (v)增加被辨識(shí)為具有惡意功能的區(qū)域中的所述突變的各別概率; (vi)增加被辨識(shí)為不傾向阻止所述可執(zhí)行的編碼的適當(dāng)執(zhí)行的區(qū)域中的所述突變的各別概率���; (vii)增加安全產(chǎn)品所簽署的區(qū)域中的所述突變的概率��; (viii)增加所述突變導(dǎo)致所述體質(zhì)分?jǐn)?shù)增加的區(qū)域中的所述突變的概率��; (ix)針對(duì)已加入二元編碼的一區(qū)段重寫所述可執(zhí)行的編碼的標(biāo)頭�,造成所述區(qū)段的擴(kuò)張���; (χ)將所述可執(zhí)行的編碼與其他所述可執(zhí)行的編碼結(jié)合�����,以產(chǎn)出所合并的編碼����,以及重寫相關(guān)標(biāo)頭��,以允許所述結(jié)合編碼的適當(dāng)執(zhí)行�;以及 (Xi)修改所述可執(zhí)行的編碼的特定區(qū)段���,以將相關(guān)操作系統(tǒng)呼叫的動(dòng)態(tài)功能呼叫調(diào)用改變?yōu)殪o態(tài)調(diào)用�����。24.如權(quán)利要求22所述的方法�����,其特征在于����,施加所述突變至惡意軟件發(fā)送的網(wǎng)絡(luò)流量包含以下步驟: (i)將所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量從一攻擊機(jī)器寄送至一路由器; (ii)將所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量的組件變異�;以及 (iii)將所變異的所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量寄送至一受害機(jī)器。25.如權(quán)利要求24所述的方法����,其特征在于,另包含評(píng)估所變異的所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量�,所述評(píng)估步驟包含: (iv)紀(jì)錄(register)在所述受害機(jī)器上所變異的所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量的一結(jié)果;以及 (v)評(píng)估所述結(jié)果以判斷所述體質(zhì)分?jǐn)?shù)���。26.如權(quán)利要求21所述的方法��,其特征在于��,評(píng)估所述變種的所述步驟包含至少評(píng)估每一所述變種的回避與惡毒�����。27.如權(quán)利要求26所述的方法�����,其特征在于��,所述回避是經(jīng)由掃描具有安全系統(tǒng)的一所選擇集合的每一所述變種來(lái)量測(cè)���,并基于所述安全產(chǎn)品沒(méi)有偵測(cè)所述變種的能力��,來(lái)給予(award) —回避分?jǐn)?shù)�����。28.如權(quán)利要求27所述的方法���,其特征在于,對(duì)所述惡毒的量測(cè)是通過(guò)針對(duì)每一所述變種�,來(lái)判斷所述變種是否造成惡意的活動(dòng)�,并基于所述判斷給予惡毒分?jǐn)?shù)���。29.如權(quán)利要求28所述的方法�����,其特征在于,每一所述變種是被執(zhí)行于一虛擬機(jī)與一實(shí)體機(jī)器其中的至少一者上�����。30.如權(quán)利要求28所述的方法�����,其特征在于�����,對(duì)所述體質(zhì)分?jǐn)?shù)的計(jì)算是基于至少所述回避分?jǐn)?shù)與所述惡毒分?jǐn)?shù)��。31.如權(quán)利要求30所述的方法�,其特征在于,對(duì)所述體質(zhì)分?jǐn)?shù)的計(jì)算另基于來(lái)自所述惡意軟件標(biāo)本的所述變種的一發(fā)散程度����。32.如權(quán)利要求28所述的方法��,其特征在于�����,另包含以下步驟: (f)收集所述變種的蹤跡數(shù)據(jù)與良性的檔案或網(wǎng)絡(luò)流��;以及 (g)將所述蹤跡資料分類為以下范疇其中的至少一者:惡意的變種的蹤跡�����、良性檔案的蹤跡�����,以及在所述進(jìn)化過(guò)程期間失去惡意活動(dòng)的退化的惡意軟件變種的蹤跡�。33.如權(quán)利要求32所述的方法�����,其特征在于����,另包含以下步驟: (h)建立能夠偵測(cè)以及分辨所述惡意特性與非惡意特性的偵測(cè)器��。34.如權(quán)利要求33所述的方法�,其特征在于����,另包含以下步驟: (i)從所述偵測(cè)器中選擇,其中的至少一所述偵測(cè)器具有在一默認(rèn)等級(jí)之上的一分級(jí)���,所述分級(jí)是基于: (i)被正確地偵測(cè)的所述惡意特性的一數(shù)目; (?)被正確地偵測(cè)的所述非惡意特性的一數(shù)目���;以及 (iii)所述偵測(cè)器的不足����,是由以下項(xiàng)目其中的至少一者所判斷:長(zhǎng)度�����、內(nèi)存與計(jì)算的工作負(fù)荷��。35.一方法包含以下步驟: (a)接收一惡意軟件標(biāo)本���; (b)產(chǎn)生所述惡意軟件標(biāo)本的變種���; (C)掃描具有安全產(chǎn)品的一所選擇集合的每一所述變種�,并給予回避分?jǐn)?shù)�,基于所述安全產(chǎn)品沒(méi)有偵測(cè)所述變種能力。36.如權(quán)利要求35所述的方法����,其特征在于,另包含以下步驟: (d)基于偵測(cè)所述變種中成功的一等級(jí)��,來(lái)給予每一所述安全產(chǎn)品一分級(jí)����。37.如權(quán)利要求36所述的方法,其特征在于�,所述分級(jí)是基于相關(guān)于其他所述安全產(chǎn)品的成功的所述等級(jí)。38.一種用于訓(xùn)練針對(duì)一字節(jié)串流的一惡意軟件偵測(cè)器的方法����,所述方法包含以下步驟: (a)捕捉一網(wǎng)絡(luò)交談(sess1n)或任何其他二元數(shù)據(jù)的一字節(jié)串流;以及以一正整數(shù)的一線性向量來(lái)代表所述字節(jié)串流�����,其中所述字節(jié)串流包含惡意軟件變種、良性網(wǎng)絡(luò)活動(dòng)或檔案的一蹤跡���; (b)重整所述線性向量成為一正方矩陣�,從而接收一灰階圖像�����; (c)將所述灰階圖像進(jìn)行標(biāo)準(zhǔn)化(normalize)為統(tǒng)一分辨率��; (d)使用其中的至少一圖像處理技術(shù)來(lái)從所述標(biāo)準(zhǔn)化圖像取出特征��; (e)重復(fù)步驟(a)至(d)并儲(chǔ)存惡意的變種于一第一數(shù)據(jù)庫(kù)�,而良性的流量是儲(chǔ)存于一第二數(shù)據(jù)庫(kù); (f)訓(xùn)練一惡意軟件偵測(cè)器以分辨所述惡意軟件變種與所述良性流量��。39.如權(quán)利要求38所述的方法�,其特征在于�����,所述至少一圖像處理技術(shù)是選自所述集合��,所述集合包含=Gabor小波系數(shù)�,統(tǒng)計(jì)系數(shù)、主成分分析、線性判別分析�����、以及獨(dú)立成分分析����。40.如權(quán)利要求38所述的方法,其特征在于�,所述訓(xùn)練步驟是由一支持向量機(jī)所實(shí)行。41.一種用于從一惡意軟件標(biāo)本產(chǎn)生惡意軟件變種的方法�,所述方法包含以下步驟: 產(chǎn)生所述惡意軟件變種,通過(guò)執(zhí)行以下集合其中至少一動(dòng)作: 施加突變至所述惡意軟件標(biāo)本的可執(zhí)行編碼�����; 施加突變至惡意軟件發(fā)送的網(wǎng)絡(luò)流量��;以及 交叉合并所述惡意軟件變種���。42.如權(quán)利要求41所述的方法����,其特征在于�,將所述突變施加至所述可執(zhí)行編碼會(huì)受以下至少一者影響: (i)隨機(jī)突變�����; (ii)將一給定指令序列替換為另一功能相同的指令序列��; (iii)一選出的程序庫(kù)呼叫被替換為一功能相同的不同程序庫(kù)呼叫��; (iv)一選出的被使用的程序庫(kù)被替換為一功能相同的不同程序庫(kù)��; (v)增加被辨識(shí)為具有惡意功能的區(qū)域中的所述突變的各別概率�; (vi)增加被辨識(shí)為不傾向阻止所述可執(zhí)行的編碼的適當(dāng)執(zhí)行的區(qū)域中的所述突變的各別概率�; (vii)增加安全產(chǎn)品所簽署的區(qū)域中的所述突變的概率; (viii)增加所述突變導(dǎo)致所述體質(zhì)分?jǐn)?shù)增加的區(qū)域中的所述突變的概率�; (ix)針對(duì)已加入二元編碼的一區(qū)段重寫所述可執(zhí)行的編碼的標(biāo)頭,造成所述區(qū)段的擴(kuò)張��; (χ)將所述可執(zhí)行的編碼與其他所述可執(zhí)行的編碼結(jié)合��,以產(chǎn)出所合并的編碼�,以及重寫相關(guān)標(biāo)頭��,以允許所述結(jié)合編碼的適當(dāng)執(zhí)行�����;以及 (Xi)修改所述可執(zhí)行的編碼的特定區(qū)段,以改變對(duì)相關(guān)作業(yè)有系統(tǒng)地的靜態(tài)調(diào)用的的動(dòng)態(tài)功能呼叫���。43.如權(quán)利要求41所述的方法����,其特征在于��,施加所述突變至惡意軟件發(fā)送的網(wǎng)絡(luò)流量包含以下步驟: (i)將所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量從一攻擊機(jī)器寄送至一路由器�����; (?)將所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量的組件變異����;以及 (iii)將所變異的所述惡意軟件發(fā)送的網(wǎng)絡(luò)流量寄送至一受害機(jī)器。44.如權(quán)利要求29所述的方法��,其特征在于��,另包含以下步驟: 執(zhí)行所述變種在所述虛擬機(jī)(VM)與所述實(shí)體機(jī)器上����;以及 將在所述虛擬機(jī)上,與在所述實(shí)體機(jī)器上執(zhí)行的所述變種進(jìn)行比較���,以偵測(cè)所述結(jié)果之間的一差異�����。45.如權(quán)利要求44所述的方法�,其特征在于,如果發(fā)現(xiàn)所述差異��,只會(huì)以所述實(shí)體機(jī)器執(zhí)行所述變種在所述實(shí)體機(jī)器上的所述結(jié)果來(lái)評(píng)估所述變種�。46.如權(quán)利要求29所述的方法,其特征在于��,另包含以下步驟: 寄送其中的選自以下的至少一者:在執(zhí)行所述變種時(shí)的默認(rèn)系統(tǒng)信號(hào)����、通信數(shù)據(jù)、參數(shù)�,以抵銷整合的觸發(fā),其中所述至少一信號(hào)已被終端設(shè)備或網(wǎng)絡(luò)設(shè)備上的媒介架構(gòu)(代理)所捕捉��。47.如權(quán)利要求29所述的方法���,其特征在于��,另包含以下步驟: 監(jiān)控執(zhí)行所述變種時(shí)的編碼涵蓋����,以鑒別未被執(zhí)行的編碼區(qū)域�����,所述沒(méi)被執(zhí)行的編碼區(qū)域是指示所述變種中整合的觸發(fā)����。
【專利摘要】一種用于影響惡意軟件的進(jìn)化過(guò)程的方法、產(chǎn)品與計(jì)算器程序產(chǎn)品��,所述方法包含步驟有:(a)接收一惡意軟件標(biāo)本���;(b)產(chǎn)生所述惡意軟件標(biāo)本的變種�;(c)評(píng)估所述變種并給予每個(gè)變種一體質(zhì)分?jǐn)?shù)����;(d)選擇具有至少一默認(rèn)的體質(zhì)分?jǐn)?shù)的所述變種����;以及(e)使用所述選擇的變種當(dāng)作步驟(a)中的惡意軟件標(biāo)本����,以產(chǎn)生新一代變種����。
【IPC分類】G06F21/56
【公開號(hào)】CN105144187
【申請(qǐng)?zhí)枴緾N201480019991
【發(fā)明人】施洛米·波拿魯, 利蘭·坦客曼, 麥可·馬克宗
【申請(qǐng)人】配撥股份有限公司
【公開日】2015年12月9日
【申請(qǐng)日】2014年2月10日
【公告號(hào)】CA2900312A1, EP2954453A1, US20150150131, WO2014122662A1