配置用于惡意件測試的沙箱環(huán)境的制作方法
【專利摘要】本發(fā)明的各實施方式總體上涉及配置用于惡意件測試的沙箱環(huán)境��。具體地��,設(shè)備可以接收要在沙箱環(huán)境中分析的文件�����,并且可以確定用于配置沙箱環(huán)境的配置信息�。配置信息可以基于以下項中的至少一項來確定:與待分析的文件相關(guān)聯(lián)的文件信息�,或者與文件所針對的客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息�。設(shè)備可以使用配置信息來配置沙箱環(huán)境。配置信息可以標識用于沙箱環(huán)境的系統(tǒng)配置����。基于使用配置信息來配置沙箱環(huán)境����,設(shè)備可以在沙箱環(huán)境中分析文件。
【專利說明】
配置用于惡意件測試的沙箱環(huán)境
技術(shù)領(lǐng)域
[0001]本發(fā)明的各實施方式總體上涉及計算機領(lǐng)域�,具體地涉及配置用于惡意件測試的沙箱環(huán)境。
【背景技術(shù)】
[0002]惡意軟件(“惡意件”)可以指代用于破壞計算機操作����、收集敏感信息、取得訪問私人計算機系統(tǒng)等的任何軟件���。惡意件可以指代各種類型的敵意或侵入軟件����,包括計算機病毒�、蠕蟲、特洛伊木馬��、勒索軟件、間諜軟件���、廣告軟件��、偽安全軟件����、或其它惡意軟件�。
[0003]沙箱環(huán)境可以指代其可以用于針對惡意件進行測試的計算環(huán)境��。例如�����,沙箱環(huán)境可以用于執(zhí)行未經(jīng)測試的代碼��、不受信任的軟件(例如�����,來自未經(jīng)驗證的第三方)等��。沙箱環(huán)境可以提供用于執(zhí)行軟件程序的嚴密控制的資源集�����,而不許可軟件程序損害托管沙箱環(huán)境的設(shè)備。例如����,沙箱環(huán)境可以限制向軟件程序提供的訪問(例如,可以限制網(wǎng)絡(luò)訪問�����、監(jiān)測主機系統(tǒng)的訪問�、讀和/或?qū)懺L問等)以阻止對主機設(shè)備的損害。
【發(fā)明內(nèi)容】
[0004]設(shè)備可以接收要在沙箱環(huán)境中分析的文件����,并且可以確定用于配置沙箱環(huán)境的配置信息。配置信息可以基于以下項中的至少一項來確定:與待分析的文件相關(guān)聯(lián)的文件信息���,或者與文件所針對的客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息��。設(shè)備可以使用配置信息來配置沙箱環(huán)境�。配置信息可以標識用于沙箱環(huán)境的系統(tǒng)配置�。基于使用配置信息來配置沙箱環(huán)境�,設(shè)備可以在沙箱環(huán)境中分析文件�����。
[0005]本發(fā)明的一方面涉及一種設(shè)備��,包括:用于接收要在沙箱環(huán)境中分析的文件的裝置��;用于確定用于配置所述沙箱環(huán)境的配置信息的裝置�,所述配置信息基于以下項中的至少一項來確定:與待分析的所述文件相關(guān)聯(lián)的文件信息��,或者與所述文件所針對的客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息����;用于使用所述配置信息來配置所述沙箱環(huán)境的裝置��,所述配置信息標識用于所述沙箱環(huán)境的系統(tǒng)配置���;以及用于基于使用所述配置信息來配置所述沙箱環(huán)境來在所述沙箱環(huán)境中分析所述文件的裝置��。
[0006]在一個示例性實施方式中����,所述設(shè)備進一步包括:用于分析所述文件以確定所述文件信息的裝置�;以及其中用于確定所述配置信息的裝置包括:用于基于分析所述文件以確定所述文件信息而使用所述文件信息來確定所述配置信息的裝置�。
[0007]在一個示例性實施方式中�,其中所述文件信息標識以下項中的至少一項:能夠在其上執(zhí)行所述文件的操作系統(tǒng),或者能夠執(zhí)行所述文件的應(yīng)用����;其中用于確定所述配置信息的裝置包括:用于基于所述操作系統(tǒng)或所述應(yīng)用來確定所述配置信息的裝置;以及其中用于配置所述沙箱環(huán)境的裝置包括:用于配置所述沙箱環(huán)境以包括所述操作系統(tǒng)或所述應(yīng)用的裝置��。
[0008]在一個示例性實施方式中�����,所述設(shè)備進一步包括:用于接收所述客戶端設(shè)備信息的裝置���;以及其中用于確定所述配置信息的裝置包括:用于基于接收所述客戶端設(shè)備信息而使用所述客戶端設(shè)備信息來確定所述配置信息的裝置����。
[0009]在一個示例性實施方式中����,其中所述客戶端設(shè)備信息標識以下項中的至少一項:在所述客戶端設(shè)備上執(zhí)行的操作系統(tǒng),或者在所述客戶端設(shè)備上安裝的應(yīng)用����;其中用于確定所述配置信息的裝置包括:用于基于所述操作系統(tǒng)或所述應(yīng)用來確定所述配置信息的裝置���;以及其中用于配置所述沙箱環(huán)境的裝置包括:用于配置所述沙箱環(huán)境以包括所述操作系統(tǒng)或所述應(yīng)用的裝置。
[0010]在一個示例性實施方式中����,其中用于確定所述配置信息的裝置包括:用于基于所述文件信息和所述客戶端設(shè)備信息來確定所述配置信息的裝置。
[0011]在一個示例性實施方式中��,其中用于確定所述配置信息的裝置包括:用于檢測在基于所述文件信息標識的第一配置信息和基于所述客戶端設(shè)備信息標識的第二配置信息之間的沖突的裝置��;用于基于檢測所述沖突來選擇所述第一配置信息或所述第二配置信息的裝置����;以及用于基于選擇所述第一配置信息或所述第二配置信息來確定所述配置信息的
目.0
[0012]在一個示例性實施方式中,所述設(shè)備進一步包括:用于確定當使用所述配置信息來配置時所述沙箱環(huán)境會將所述文件標識為惡意件的第一似然的裝置���;用于確定當使用其他配置信息來配置時所述沙箱環(huán)境會將所述文件標識為惡意件的第二似然的裝置��;用于基于所述第一似然和所述第二似然來選擇所述配置信息的裝置;以及其中用于使用所述配置信息來配置所述沙箱環(huán)境的裝置包括:用于基于選擇所述系統(tǒng)配置來配置所述沙箱環(huán)境的
目.ο
[0013]計算機可讀介質(zhì)可以存儲一個或多個指令�,當由一個或多個處理器執(zhí)行時,一個或多個指令使得一個或多個處理器接收要使用沙箱環(huán)境針對惡意件分析的文件����。一個或多個指令可以使得一個或多個處理器確定用于配置沙箱環(huán)境的系統(tǒng)配置的配置信息���。配置信息可以基于以下項中的至少一項來確定:與要針對惡意件進行分析的文件相關(guān)聯(lián)的文件信息�����,或者與文件所針對的客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息�。一個或多個指令可以使得一個或多個處理器使用配置信息來配置沙箱環(huán)境的系統(tǒng)配置。一個或多個指令可以使得一個或多個處理器基于使用配置信息來配置沙箱環(huán)境的系統(tǒng)配置�,使用沙箱環(huán)境針對惡意件分析文件。
[0014]在一個示例性實施方式中�����,其中使得所述一個或多個處理器確定所述配置信息的所述一個或多個指令進一步使得所述一個或多個處理器:基于所述文件信息��,而非基于所述客戶端設(shè)備信息,確定所述配置信息�����。
[0015]在一個示例性實施方式中,其中使得所述一個或多個處理器確定所述配置信息的所述一個或多個指令進一步使得所述一個或多個處理器:基于所述客戶端設(shè)備信息�����,而非基于所述文件信息�,確定所述配置信息��。
[0016]在一個示例性實施方式中��,其中所述配置信息標識以下項中的至少一項:要用于所述沙箱環(huán)境的所述系統(tǒng)配置的操作系統(tǒng);要用于所述沙箱環(huán)境的所述系統(tǒng)配置的應(yīng)用�����;或者要用于所述沙箱環(huán)境的所述系統(tǒng)配置的處理器架構(gòu)��。
[0017]在一個示例性實施方式中,其中當配置所述沙箱環(huán)境的所述系統(tǒng)配置時����,所述一個或多個指令進一步用于:從多個系統(tǒng)配置中標識所述系統(tǒng)配置;以及在所述沙箱環(huán)境中加載所述系統(tǒng)配置�����。
[0018]在一個示例性實施方式中�����,其中當由所述一個或多個處理器執(zhí)行時,所述一個或多個指令進一步使得所述一個或多個處理器:確定當使用所述系統(tǒng)配置來配置時�����,所述沙箱環(huán)境將會將所述文件標識為惡意件的第一似然;確定當使用另一系統(tǒng)配置來配置時���,所述沙箱環(huán)境將會將所述文件標識為惡意件的第二似然;基于所述第一似然和所述第二似然�����,從包括所述系統(tǒng)配置和所述另一系統(tǒng)配置的多個系統(tǒng)配置中�,選擇所述系統(tǒng)配置;以及其中使得所述一個或多個處理器配置所述沙箱環(huán)境的所述系統(tǒng)配置的所述一個或多個指令進一步使得所述一個或多個處理器:基于選擇所述系統(tǒng)配置���,配置所述沙箱環(huán)境的所述系統(tǒng)配置���。
[0019]在一個示例性實施方式中,其中當由所述一個或多個處理器執(zhí)行時�����,所述一個或多個指令進一步使得所述一個或多個處理器:確定當使用所述系統(tǒng)配置來配置時���,所述沙箱環(huán)境將準確地標識所述文件是否包括惡意件的第一似然����;確定當使用另一系統(tǒng)配置來配置時�,所述沙箱環(huán)境將準確地標識所述文件是否包括惡意件的第二似然;基于所述第一似然和所述第二似然����,從包括所述系統(tǒng)配置和所述另一系統(tǒng)配置的多個系統(tǒng)配置中,選擇所述系統(tǒng)配置����;以及其中使得所述一個或多個處理器配置所述沙箱環(huán)境的所述系統(tǒng)配置的所述一個或多個指令進一步使得所述一個或多個處理器:基于選擇所述系統(tǒng)配置,配置所述沙箱環(huán)境的所述系統(tǒng)配置�。
[0020]方法可以包括由設(shè)備接收要在計算環(huán)境中分析的文件。方法可以包括由設(shè)備確定用于配置計算環(huán)境的配置信息���。配置信息可以基于以下項中的至少一項來確定:待分析的文件�����,或者文件所針對的客戶端設(shè)備�。方法可以包括由設(shè)備使用配置信息來配置計算環(huán)境��。配置信息可以標識用于計算環(huán)境的系統(tǒng)配置。方法可以包括由設(shè)備基于使用配置信息來配置計算環(huán)境����,在計算環(huán)境中分析文件。
[0021]在一個示例性實施方式中��,其中確定所述配置信息進一步包括:確定與待分析的所述文件相關(guān)聯(lián)的文件信息�;以及基于所述文件信息,確定所述配置信息����。
[0022]在一個示例性實施方式中,其中所述文件信息標識以下項中的至少一項:能夠在其上執(zhí)行所述文件的操作系統(tǒng)�����,用于獲得所述文件的第一應(yīng)用�����,用于執(zhí)行所述文件的第二應(yīng)用�����,或者能夠執(zhí)行所述文件的處理器架構(gòu)�����;以及其中確定所述配置信息進一步包括:基于以下項中的至少一項,確定所述配置信息:所述操作系統(tǒng)��,所述第一應(yīng)用���,所述第二應(yīng)用,或者所述處理器架構(gòu)���。
[0023]在一個示例性實施方式中����,其中確定所述配置信息進一步包括:確定與所述文件所針對的所述客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息�;以及基于所述客戶端設(shè)備信息,確定所述配置信息��。
[0024]在一個示例性實施方式中����,其中所述客戶端設(shè)備信息標識以下項中的至少一項:在所述客戶端設(shè)備上執(zhí)行的操作系統(tǒng),在所述客戶端設(shè)備上安裝的應(yīng)用集���,在所述客戶端設(shè)備上的用于執(zhí)行特定類型的文件的默認應(yīng)用集����,或者所述客戶端設(shè)備的處理器架構(gòu);以及其中確定所述配置信息進一步包括:基于以下項中的至少一項����,確定所述配置信息:所述操作系統(tǒng),所述應(yīng)用集��,所述默認應(yīng)用集�,或者所述處理器架構(gòu)。
[0025]在一個示例性實施方式中�����,所述方法進一步包括:基于以下項中的至少一項�����,執(zhí)行概率分析:與所述文件相關(guān)聯(lián)的文件信息�,或者與所述客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息;以及其中確定所述配置信息進一步包括:基于執(zhí)行所述概率分析�����,確定所述配置信息。
【附圖說明】
[0026]圖1是本文中描述的示例實施方式的概覽的圖�����;
[0027]圖2是其中可以實現(xiàn)本文中描述的系統(tǒng)和/或方法的示例環(huán)境的圖�����;
[0028]圖3是圖2的一個或多個設(shè)備的示例部件的圖���;
[0029]圖4是用于配置用于惡意件測試的沙箱環(huán)境的示例處理的流程圖����;以及
[0030]圖5A至圖5F是與圖4所示示例處理有關(guān)的示例實施方式的圖��。
【具體實施方式】
[0031 ] 以下對示例實施方式的詳細描述參照附圖����。不同附圖中的相同附圖標記可以標識相同或相似元件�����。
[0032]安全設(shè)備(例如��,防火墻、服務(wù)器等)可以使用沙箱環(huán)境來針對惡意件測試文件����,諸如通過在沙箱環(huán)境中執(zhí)行文件并且監(jiān)控文件是惡意件的指示。不同惡意件可被設(shè)計成利用不同系統(tǒng)配置的漏洞(例如�,不同操作系統(tǒng)、不同類型的設(shè)備����、不同應(yīng)用等)。此外���,安全設(shè)備可以使用沙箱環(huán)境來保護具有不同系統(tǒng)配置的不同類型的客戶端設(shè)備�����。從而����,不論針對惡意件正被測試的文件或者正被保護免受惡意件影響的客戶端設(shè)備���,使用標準沙箱環(huán)境(例如�����,基于諸如公司操作系統(tǒng)映像之類的默認系統(tǒng)配置)比起配置自定義沙箱環(huán)境對于針對惡意件進行測試來說可能不太有效����。本文中描述的實施方式可以幫助基于正被測試的文件和/或正被保護的客戶端設(shè)備來配置用于惡意件測試的沙箱環(huán)境,由此增加惡意件測試的有效性和改善計算機安全性��。
[0033]圖1是本文中描述的示例實施方式100的概覽的圖���。如圖1所示��,安全設(shè)備可以接收文件以用于惡意件分析�����。如進一步所示����,安全設(shè)備可以分析文件以確定用于配置用于惡意件分析的沙箱環(huán)境的文件信息��。例如�����,安全設(shè)備可以分析文件以確定操作系統(tǒng)類型(例如���,能夠執(zhí)行文件的操作系統(tǒng)�、易受文件攻擊的操作系統(tǒng)等)��、從其獲得文件的源統(tǒng)一資源標識符(URI)(例如���,其可以指示瀏覽器配置等)��、與文件相關(guān)聯(lián)的文件元數(shù)據(jù)等��。文件信息可以指示當配置沙箱環(huán)境時要使用的系統(tǒng)配置�。如示出的�����,安全設(shè)備可以基于文件信息來配置沙箱環(huán)境�����,以用于針對惡意件測試文件��。以這種方式��,比起默認沙箱環(huán)境被用于針對惡意件分析文件的情況��,沙箱環(huán)境可以被配置和/或自定義為更有效地針對惡意件分析文件。
[0034]在一些實施方式中�����,安全設(shè)備可以標識文件所針對的客戶端設(shè)備(例如���,請求文件的客戶端設(shè)備�����、文件被推送到的客戶端設(shè)備等)�。如進一步所示����,安全設(shè)備可以確定客戶端設(shè)備信息以用于配置用于惡意件分析的沙箱環(huán)境。例如���,安全設(shè)備可以確定客戶端設(shè)備上執(zhí)行的操作系統(tǒng)�、與客戶端設(shè)備相關(guān)聯(lián)的默認瀏覽器��、客戶端設(shè)備上安裝的一個或多個應(yīng)用等��?���?蛻舳嗽O(shè)備信息可以指示當配置沙箱環(huán)境時要使用的系統(tǒng)配置,使得沙箱環(huán)境可以密切表示客戶端設(shè)備的系統(tǒng)配置��。如示出的�,安全設(shè)備可以基于客戶端設(shè)備信息來配置沙箱環(huán)境,以用于針對惡意件測試文件�。以這種方式,當保護特定客戶端設(shè)備時��,比起默認沙箱環(huán)境用于針對惡意件分析文件的情況��,沙箱環(huán)境可以被配置和/或自定義為更有效地針對惡意件分析文件����。
[0035]通過配置和/或自定義用于針對惡意件測試文件的沙箱環(huán)境,本文中描述的實施方式可以幫助安全設(shè)備�。在一些實施方式中,安全設(shè)備可以基于與要針對惡意件進行分析的文件相關(guān)聯(lián)的文件信息來配置沙箱環(huán)境���。另外����,或備選地���,安全設(shè)備可以基于與文件所針對的客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息來配置沙箱環(huán)境����。本文中其它地方更詳細地描述文件信息和客戶端設(shè)備信息。在一些實施方式中���,如本文中其它地方更詳細地描述的�����,安全設(shè)備可以使用概率分析(例如��,機器學(xué)習(xí))來配置沙箱環(huán)境���。以這種方式,安全設(shè)備可以使用最適合于分析的沙箱環(huán)境來針對惡意件分析文件��。
[0036]圖2是其中可以實現(xiàn)本文中描述的系統(tǒng)和/或方法的示例環(huán)境200的圖����。如圖2所示,環(huán)境200可以包括一個或多個客戶端設(shè)備210-1至210-N(N彡I)(下文中統(tǒng)稱為“客戶端設(shè)備210”�,并且單獨稱為“客戶端設(shè)備210”)、安全設(shè)備220���、客戶網(wǎng)絡(luò)230和網(wǎng)絡(luò)240�。環(huán)境200的設(shè)備可以經(jīng)由有線連接��、無線連接���、或者有線和無線連接的組合而互連����。
[0037]客戶端設(shè)備210可以包括與系統(tǒng)配置相關(guān)聯(lián)的一個或多個設(shè)備��。例如�����,客戶端設(shè)備210可以包括臺式計算機����、膝上型計算機、平板計算機����、移動電話(例如,智能電話��、無線電話等)、服務(wù)器�、或相似類型的設(shè)備。在一些實施方式中��,不同客戶端設(shè)備210可以具有不同系統(tǒng)配置�,并且可以以不同方式受到惡意件的影響。在一些實施方式中����,客戶端設(shè)備210可以能夠執(zhí)行包括惡意件的文件,這會造成對客戶端設(shè)備210����、客戶端設(shè)備210存儲的信息、客戶端設(shè)備210的用戶�����、和/或另一客戶端設(shè)備210的損害��。在一些實施方式中�����,客戶端設(shè)備210可以駐留在客戶網(wǎng)絡(luò)230上。在一些實施方式中�,客戶端設(shè)備210可以配置和/或執(zhí)行客戶端設(shè)備210上的用于惡意件測試的沙箱環(huán)境(例如,代替或除了安全設(shè)備220配置和/或執(zhí)行安全設(shè)備220上的用于惡意件測試的沙箱環(huán)境)���。
[0038]安全設(shè)備220可以包括能夠處理和/或傳送與客戶端設(shè)備210相關(guān)聯(lián)的網(wǎng)絡(luò)流量、和/或能夠為客戶端設(shè)備210和/或客戶網(wǎng)絡(luò)230提供安全服務(wù)(例如����,惡意件檢測服務(wù))的一個或多個設(shè)備。例如���,安全設(shè)備220可以包括網(wǎng)關(guān)��、防火墻���、路由器、橋接器����、集線器、交換機�����、負載平衡器、接入點�、反向代理、服務(wù)器(例如����,代理服務(wù)器)、或者相似類型的設(shè)備���。安全設(shè)備220可以與單個客戶端設(shè)備210或者客戶端設(shè)備210組(例如���,與私人網(wǎng)絡(luò)、數(shù)據(jù)中心等相關(guān)聯(lián)的客戶端設(shè)備210)結(jié)合使用�����。在一些實施方式中�����,通信可以被路由通過安全設(shè)備220���,以到達客戶端設(shè)備210組�。例如����,安全設(shè)備220可以位于網(wǎng)絡(luò)內(nèi)作為包括客戶端設(shè)備210組的客戶網(wǎng)絡(luò)230的網(wǎng)關(guān)��。另外���,或備選地,來自客戶端設(shè)備210的通信可以被編碼����,使得通信在被路由到別處之前被路由到安全設(shè)備220�。
[0039]在一些實施方式中,安全設(shè)備220可以配置和/或執(zhí)行其可以用于針對惡意件分析文件的沙箱環(huán)境��。例如�,安全設(shè)備220可以配置和/或使用沙箱環(huán)境來監(jiān)控客戶端設(shè)備210請求的和/或向客戶端設(shè)備210提供的文件(例如,在向客戶端設(shè)備210提供文件之前�����、在向客戶端設(shè)備210提供文件之后等)���,以檢測文件是否包括惡意件�。在一些實施方式中�,基于文件信息(例如,與針對惡意件待測試的文件相關(guān)聯(lián))、客戶端設(shè)備信息(例如�,與文件所針對的客戶端設(shè)備210相關(guān)聯(lián))等,安全設(shè)備220可以確定配置信息��,配置信息標識用于配置沙箱環(huán)境的系統(tǒng)配置�����。安全設(shè)備220可以基于配置信息來配置沙箱環(huán)境�,并且可以在配置的沙箱環(huán)境中執(zhí)行文件以檢測文件是否包括惡意件。
[0040]客戶網(wǎng)絡(luò)230可以包括一個或多個有線和/或無線網(wǎng)絡(luò)���。例如���,客戶網(wǎng)絡(luò)230可以包括局域網(wǎng)(LAN)、私人網(wǎng)絡(luò)����、內(nèi)聯(lián)網(wǎng)、云計算網(wǎng)絡(luò)�、蜂窩網(wǎng)絡(luò)(例如,長期演進(LTE)網(wǎng)絡(luò)�����、3G網(wǎng)絡(luò)、碼分多址(CDMA)網(wǎng)絡(luò)等)���、公共陸地移動網(wǎng)絡(luò)(PLMN)�����、廣域網(wǎng)(WAN)���、城域網(wǎng)(MAN)、電話網(wǎng)絡(luò)(例如�����,公共交換電話網(wǎng)(PSTN))�����、自組織網(wǎng)絡(luò)��、因特網(wǎng)�、基于光纖的網(wǎng)絡(luò)等�����、和/或這些或其他類型的網(wǎng)絡(luò)的組合。在一些實施方式中�����,客戶網(wǎng)絡(luò)230可以是與客戶端設(shè)備210相關(guān)聯(lián)的私人網(wǎng)絡(luò)�。
[0041]網(wǎng)絡(luò)240可以包括一個或多個有線和/或無線網(wǎng)絡(luò)。例如���,網(wǎng)絡(luò)240可以包括蜂窩網(wǎng)絡(luò)���、PLMN、LAN����、WAN、MAN���、電話網(wǎng)絡(luò)(例如����,PSTN)�����、私人網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)�����、內(nèi)聯(lián)網(wǎng)��、因特網(wǎng)�����、基于光纖的網(wǎng)絡(luò)����、云計算網(wǎng)絡(luò)等、和/或這些或其他類型的網(wǎng)絡(luò)的組合�。在一些實施方式中,安全設(shè)備220可以配置用于文件(由客戶端設(shè)備210從與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備(例如����,服務(wù)器)請求的)的惡意件測試的沙箱環(huán)境���,以確定文件是否包括惡意件��。另外��,或備選地�����,文件可以被推送到客戶端設(shè)備210 (例如�����,從與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備)�,并且安全設(shè)備220可以配置沙箱環(huán)境,以用于分析文件以確定文件是否包括惡意件���。
[0042]圖2所示的設(shè)備和網(wǎng)絡(luò)的數(shù)目和布置被提供作為示例�����。在實踐中�����,可以存在附加的設(shè)備和/或網(wǎng)絡(luò)����、更少的設(shè)備和/或網(wǎng)絡(luò)���、不同的設(shè)備和/或網(wǎng)絡(luò)�、或者與圖2所示的那些不同布置的設(shè)備和/或網(wǎng)絡(luò)。此外��,圖2所示的兩個或更多設(shè)備可以實現(xiàn)在單個設(shè)備內(nèi)��,或者圖2所示的單個設(shè)備可以實現(xiàn)為多個分布式設(shè)備���。例如�,在一些實施方式中���,客戶端設(shè)備210和安全設(shè)備220可以實現(xiàn)為單個設(shè)備�����。另外�,或備選地���,環(huán)境200的設(shè)備集(例如,一個或多個設(shè)備)可以執(zhí)行被描述為由環(huán)境200的另一設(shè)備集執(zhí)行的一個或多個功能�����。例如,客戶端設(shè)備210可以執(zhí)行本文中描述為由安全設(shè)備220執(zhí)行的一個或多個操作��。
[0043]圖3是設(shè)備300的示例部件的圖���。設(shè)備300可以對應(yīng)于客戶端設(shè)備210和/或安全設(shè)備220��。在一些實施方式中�����,客戶端設(shè)備210和/或安全設(shè)備220可以包括一個或多個設(shè)備300和/或設(shè)備300的一個或多個部件��。如圖3所示����,設(shè)備300可以包括總線310�����、處理器320�����、存儲器330、存儲部件340����、輸入部件350、輸出部件360和通信接口 370��。
[0044]總線310可以包括許可設(shè)備300的部件之間的通信的部件�。處理器320以硬件、固件�����、或者硬件和軟件的組合來實現(xiàn)��。處理器320可以包括處理器(例如�,中央處理單元(CPU)、圖形處理單元(GPU)�����、加速處理單元(APU)等)�����、微處理器�����、和/或解譯和/或執(zhí)行指令的任何處理部件(例如�����,現(xiàn)場可編程門陣列(FPGA)�、專用集成電路(ASIC)等)。存儲器330可以包括隨機存取存儲器(RAM)��、只讀存儲器(ROM)�����、和/或存儲用于處理器320使用的信息和/或指令的另一類型的動態(tài)或靜態(tài)存儲設(shè)備(例如���,閃速存儲器�����、磁存儲器����、光存儲器等)O
[0045]存儲部件340可以存儲與設(shè)備300的操作和使用有關(guān)的信息和/或軟件�。例如�,存儲部件340可以包括連同對應(yīng)驅(qū)動的硬盤(例如���,磁盤�、光盤����、磁光盤、固態(tài)盤等)����、緊湊盤(CD)、數(shù)字多功能盤(DVD)��、軟盤���、磁片盒����、磁帶�、和/或另一類型的計算機可讀介質(zhì)。
[0046]輸入部件350可以包括許可設(shè)備300接收信息的部件����,諸如經(jīng)由用戶輸入(例如��,觸摸屏顯示器���、鍵盤、小鍵盤����、鼠標����、按鈕、開關(guān)����、麥克風(fēng)等)。另外����,或備選地,輸入部件350可以包括用于感測信息的傳感器(例如���,全球定位系統(tǒng)(GPS)部件�、加速計�、陀螺儀����、致動器等)�。輸出部件360可以包括提供來自設(shè)備300的輸出信息的部件(例如,顯示器���、揚聲器�、一個或多個發(fā)光二極管(LED)等)���。
[0047]通信接口 370可以包括像收發(fā)器那樣的部件(例如�����,收發(fā)器��、分立的接收器和發(fā)射器等)��,其使得設(shè)備300能夠諸如經(jīng)由有線連接���、無線連接、或有線和無線連接的組合與其它設(shè)備通信�。通信接口 370可以許可設(shè)備300從另一設(shè)備接收信息和/或向另一設(shè)備提供信息。例如�����,通信接口 370可以包括以太網(wǎng)接口、光學(xué)接口�、同軸接口、紅外線接口�、射頻(RF)接口、通用串行總線(USB)接口����、W1-Fi接口�、蜂窩網(wǎng)絡(luò)接口等。
[0048]設(shè)備300可以執(zhí)行本文中描述的一個或多個處理����。響應(yīng)于處理器320執(zhí)行由諸如存儲器330和/或存儲部件340之類的計算機可讀介質(zhì)存儲的軟件指令,設(shè)備300可以執(zhí)行這些處理���。計算機可讀介質(zhì)在本文中限定為非瞬態(tài)存儲器設(shè)備���。存儲器設(shè)備包括單個物理存儲設(shè)備內(nèi)的存儲器空間或者跨多個物理存儲設(shè)備散布的存儲器空間。
[0049]軟件指令可以經(jīng)由通信接口 370從另一計算機可讀介質(zhì)或者從另一設(shè)備讀取到存儲器330和/或存儲部件340中�����。當被執(zhí)行時,存儲器330和/或存儲部件340中存儲的軟件指令可以使得處理器320執(zhí)行本文中描述的一個或多個處理���。另外����,或備選地�����,硬接線電路可以代替軟件指令或者與軟件指令組合用于執(zhí)行本文中描述的一個或多個處理�����。從而���,本文中描述的實施方式不限于硬件電路和軟件的任何特定組合����。
[0050]圖3所示部件的數(shù)目和布置被提供作為示例�。在實踐中,設(shè)備300可以包括附加的部件����、更少的部件����、不同的部件�、或者與圖3所示的那些不同布置的部件。另外����,或備選地,設(shè)備300的部件集(例如��,一個或多個部件)可以執(zhí)行被描述為由設(shè)備300的另一部件集執(zhí)行的一個或多個功能�。
[0051]圖4是用于配置用于惡意件測試的沙箱環(huán)境的示例處理400的流程圖。在一些實施方式中�,圖4的一個或多個處理塊可以由安全設(shè)備220來執(zhí)行��。在一些實施方式中���,圖4的一個或多個處理塊可以由與安全設(shè)備220分離或包括安全設(shè)備220的另一設(shè)備或設(shè)備集(諸如客戶端設(shè)備210)來執(zhí)行�。
[0052]如圖4所示�����,處理400可以包括接收要在沙箱環(huán)境中進行分析的文件(塊410)�。例如����,安全設(shè)備220可以接收要在沙箱環(huán)境中進行分析的文件(例如���,可執(zhí)行文件�����、應(yīng)用�����、程序等)�����。在一些實施方式中����,文件可以與客戶端設(shè)備210相關(guān)聯(lián)(例如�����,可以由客戶端設(shè)備210存儲,可以在客戶端設(shè)備210上執(zhí)行��,可以由客戶端設(shè)備210請求�����,可以被發(fā)送到客戶端設(shè)備210等)����。作為示例,客戶端設(shè)備210可以請求文件(例如�,從網(wǎng)站,經(jīng)由電子郵件鏈接等)���,并且安全設(shè)備220可以接收文件�����,和/或在向客戶端設(shè)備210提供文件之前對文件進行分析����。作為另一示例����,文件可以被推送到客戶端設(shè)備210,并且安全設(shè)備220可以接收文件(例如��,可以在客戶端設(shè)備210接收文件之前攔截文件�,可以在客戶端設(shè)備210接收文件之后獲得文件等)。
[0053]在一些實施方式中����,安全設(shè)備220可以在沙箱環(huán)境中分析文件。沙箱環(huán)境可以包括用于針對惡意件測試文件的計算環(huán)境��,并且可以與特定系統(tǒng)配置相關(guān)聯(lián)�����。例如���,沙箱環(huán)境可以包括具有特定系統(tǒng)配置的虛擬機上執(zhí)行的虛擬計算環(huán)境�。安全設(shè)備220可以自定義沙箱環(huán)境的系統(tǒng)配置�����,以提供比起沙箱環(huán)境使用標準或默認系統(tǒng)配置的情況更有效的文件分析�����,如本文中其它地方更詳細描述的。
[0054]如圖4進一步所示���,處理400可以包括基于文件和/或文件所針對的客戶端設(shè)備�,來確定用于配置沙箱環(huán)境的配置信息(塊420)��。例如��,安全設(shè)備220可以確定標識用于配置沙箱環(huán)境的系統(tǒng)配置的配置信息�����。在一些實施方式中����,安全設(shè)備210可以基于文件信息、客戶端設(shè)備信息等來確定配置信息�����。在一些實施方式中�����,文件信息可以包括基于要針對惡意件進行分析的文件所確定的信息(例如��,基于分析文件所確定的文件信息)�。在一些實施方式中,客戶端設(shè)備信息可以包括基于文件所針對的客戶端設(shè)備210 (例如���,請求文件的客戶端設(shè)備210�����、文件被推送向的客戶端設(shè)備210���、接收文件的客戶端設(shè)備210、文件去往的客戶端設(shè)備210等)所確定的信息�����。在針對惡意件測試文件之前�,安全設(shè)備220可以使用配置信息來配置沙箱環(huán)境。
[0055]配置信息可以標識系統(tǒng)配置���,諸如沙箱環(huán)境要使用的操作系統(tǒng)(例如�,操作系統(tǒng)類型和 / 或版本���,諸如 Windows XP�����、Windows Vista�、Windows 7、Windows 8�、Android、1S�、OS X等)、要在沙箱環(huán)境上安裝的和/或沙箱環(huán)境要使用的應(yīng)用集(例如��,諸如InternetExplorer����、Chrome、Firefox�����、Safari等之類的瀏覽器應(yīng)用��;文檔處理機��;文字處理器�;電子表格應(yīng)用;便攜式文檔格式(Pdf)處理機�����;視頻播放器�����;Flash播放器�;安全應(yīng)用;防火墻�;防病毒程序;等)����、要在沙箱環(huán)境上安裝的和/或沙箱環(huán)境要使用的應(yīng)用的版本(例如,Internet Explorer版本7�����、8�、9、10��、11等)����、沙箱環(huán)境要使用的處理器(例如���,CPU)架構(gòu)(例如,ARM架構(gòu)�����、x86架構(gòu)�、32位架構(gòu)、64位架構(gòu)等)���、沙箱環(huán)境要使用的編譯器和/或解譯器(例如����,要用于編譯和/或解譯Java代碼的Java虛擬機)�����、要在沙箱環(huán)境中使用的文件結(jié)構(gòu)����、沙箱環(huán)境要使用的網(wǎng)絡(luò)配置(例如,用于與其它設(shè)備通信的通信協(xié)議����、用于端口集的端口配置等)等���。
[0056]在一些實施方式中,安全設(shè)備220可以基于與文件相關(guān)聯(lián)的文件信息來確定配置信息�����。文件信息可以標識系統(tǒng)配置���,諸如能夠在其上執(zhí)行文件的操作系統(tǒng)、用于獲得文件的應(yīng)用和/或應(yīng)用版本(例如����,瀏覽器和/或用于下載文件的其它應(yīng)用)、用于執(zhí)行文件的應(yīng)用和/或應(yīng)用版本(例如����,瀏覽器、文檔處理機�、文字處理器、電子表格應(yīng)用����、Pdf處理機、視頻播放器、Flash播放器等)��、能夠執(zhí)行文件的處理器架構(gòu)�����、能夠編譯文件的編譯器�、能夠解譯文件的解譯器、與文件相關(guān)聯(lián)的網(wǎng)絡(luò)配置(例如�����,由文件用于通信的通信協(xié)議)等��。
[0057]在一些實施方式中���,安全設(shè)備220可以通過針對文件指示符分析文件來確定文件信息��,文件指示符指示將用于文件的配置信息��。例如����,文件指示符可以包括:文件中包括的文本串(例如��,文件的二進制樣本)、從其獲得文件的源(例如��,用于獲得文件的統(tǒng)一資源標識符(URI)�����、用于獲得文件的網(wǎng)站�、用于獲得文件的應(yīng)用、用于獲得文件的電子郵件等)��、文件元數(shù)據(jù)(例如�����,諸如文件中包括的信息大小��、文件中包括的信息的熵或隨機性等之類的靜態(tài)文件信息)等�����。
[0058]另外����,或備選地����,安全設(shè)備220可以基于與文件所針對的客戶端設(shè)備210相關(guān)聯(lián)的客戶端設(shè)備信息����,來確定配置信息���?���?蛻舳嗽O(shè)備信息可以標識系統(tǒng)配置�,諸如客戶端設(shè)備210上執(zhí)行的操作系統(tǒng)(例如,操作系統(tǒng)類型和/或版本)�����、客戶端設(shè)備210上安裝和/或執(zhí)行的應(yīng)用集和/或一個或多個應(yīng)用的一個或多個版本(例如�,瀏覽器和/或用于下載文件的其它應(yīng)用)、客戶端設(shè)備210上用于執(zhí)行特定類型的文件的默認應(yīng)用集(例如��,默認瀏覽器�����、默認文檔處理機應(yīng)用�、默認文字處理器�����、默認電子表格應(yīng)用��、默認Pdf處理機應(yīng)用��、默認視頻播放器��、默認Flash播放器等)����、客戶端設(shè)備210使用的運行時庫和/或運行時系統(tǒng)�、客戶端設(shè)備210的處理器架構(gòu)、客戶端設(shè)備210使用的編譯器���、客戶端設(shè)備210使用的解譯器、與客戶端設(shè)備210相關(guān)聯(lián)的文件結(jié)構(gòu)�����、客戶端設(shè)備210的網(wǎng)絡(luò)配置等����。
[0059]在一些實施方式中����,安全設(shè)備220可以通過分析客戶端設(shè)備210和/或接收來自客戶端設(shè)備210和/或另一設(shè)備的客戶端設(shè)備信息��,來確定客戶端設(shè)備信息����。作為示例,安全設(shè)備220可以請求和/或接收來自客戶端設(shè)備210和/或另一設(shè)備的客戶端設(shè)備信息����,該另一設(shè)備存儲客戶端設(shè)備信息和/或針對客戶端設(shè)備信息對客戶端設(shè)備210進行分析。在一些實施方式中�����,安全設(shè)備220可以使用用于管理客戶端設(shè)備210的端點代理�、遠程管理代理等來確定客戶端設(shè)備信息。另外��,或備選地�����,安全設(shè)備220可以使用與客戶端設(shè)備210相關(guān)聯(lián)的指紋識別技術(shù)(例如�����,操作系統(tǒng)指紋識別)來確定客戶端設(shè)備信息。另外�,或備選地,安全設(shè)備220可以通過分析與客戶端設(shè)備210相關(guān)聯(lián)的網(wǎng)絡(luò)流量(例如����,通過分析歷史網(wǎng)絡(luò)流量)來確定客戶端設(shè)備信息。
[0060]另外����,或備選地,安全設(shè)備220可以從數(shù)據(jù)結(jié)構(gòu)加載客戶端設(shè)備信息����。例如,安全設(shè)備220 (或另一設(shè)備)可以存儲數(shù)據(jù)結(jié)構(gòu)�,數(shù)據(jù)結(jié)構(gòu)指示在特定客戶端設(shè)備210 (例如,使用諸如網(wǎng)絡(luò)地址���、因特網(wǎng)協(xié)議(IP)地址、介質(zhì)訪問控制(MAC)地址���、設(shè)備名稱等之類的客戶端設(shè)備標識符)和與該特定客戶端設(shè)備210相關(guān)聯(lián)的客戶端設(shè)備信息(例如�����,客戶端設(shè)備210的系統(tǒng)配置)之間的關(guān)系���。通過使用客戶端設(shè)備標識符來針對客戶端設(shè)備信息搜索數(shù)據(jù)結(jié)構(gòu)�,安全設(shè)備220可以標識與客戶端設(shè)備210相關(guān)聯(lián)的客戶端設(shè)備信息���。
[0061]在一些實施方式中�����,安全設(shè)備220可以基于文件信息(例如�,基于文件信息指示的操作系統(tǒng)����、應(yīng)用集等)來確定配置信息。在一些實施方式中���,安全設(shè)備220可以基于客戶端設(shè)備信息(例如��,基于客戶端設(shè)備信息指示的操作系統(tǒng)����、應(yīng)用集等)來確定配置信息。在一些實施方式中�����,安全設(shè)備220可以基于文件信息和客戶端設(shè)備信息兩者來確定配置信息���。
[0062]在一些實施方式中����,對于不同類型的配置信息�����,文件信息和客戶端設(shè)備信息可以指示沖突(例如���,不同)的系統(tǒng)配置(例如��,可以指示不同操作系統(tǒng)��、不同應(yīng)用等)����。在這種情況下�����,安全設(shè)備220可以選擇文件信息指示的配置信息或者客戶端設(shè)備信息指示的配置信息來解決沖突(例如�,基于用戶偏好、基于規(guī)則集等)����。
[0063]在一些實施方式中,安全設(shè)備220可以配置具有不同系統(tǒng)配置的多個沙箱環(huán)境����,并且可以在該多個沙箱環(huán)境中的每個沙箱環(huán)境中對文件進行分析。例如�,安全設(shè)備220可以基于文件信息來配置第一沙箱環(huán)境,可以基于客戶端設(shè)備信息來配置第二沙箱環(huán)境�����,并且可以使用第一沙箱環(huán)境和第二沙箱環(huán)境來對文件進行分析�。
[0064]在一些實施方式中,安全設(shè)備220可以執(zhí)行對文件的概率分析(例如�,基于文件信息)以確定配置信息。例如�����,安全設(shè)備220可以確定不同系統(tǒng)配置(例如,使用不同配置信息配置的)將會將文件標識為惡意件的似然(likelihood)����。在這種情況下,對于沙箱環(huán)境����,安全設(shè)備220可以選擇與最有可能將文件標識為惡意件(例如,相比于其它系統(tǒng)配置)的系統(tǒng)配置相關(guān)聯(lián)的配置信息����。另外,或備選地�����,安全設(shè)備220可以確定不同系統(tǒng)配置將準確地標識文件是否包括惡意件的似然��。在這種情況下����,對于沙箱環(huán)境,安全設(shè)備220可以選擇與最有可能準確地標識文件是否是惡意件(例如����,相比于其它系統(tǒng)配置)的系統(tǒng)配置相關(guān)聯(lián)的配置信息��。
[0065]當安全設(shè)備220使用概率分析來確定配置信息時�,安全設(shè)備220可以通過使用文件訓(xùn)練集(例如�,其中一些已知是惡意件并且其中一些已知不是惡意件)來訓(xùn)練(例如���,使用機器學(xué)習(xí))不同系統(tǒng)配置而生成概率模型����。以這種方式�����,安全設(shè)備220可以訓(xùn)練概率模型��,以指示基于與文件相關(guān)聯(lián)的文件信息����,特定系統(tǒng)配置將會將文件標識為惡意件的似然、特定系統(tǒng)配置將準確地標識文件是否是惡意件的似然等���。然后�,當配置沙箱環(huán)境時,安全設(shè)備220可以使用與待測試文件相關(guān)聯(lián)的文件信息�����,來確定這些似然中的一個或多個����。
[0066]在一些實施方式中,安全設(shè)備220可以基于文件信息確定第一類型的配置信息�����,可以基于客戶端設(shè)備信息確定第二類型的配置信息��,和/或可以基于概率分析確定第三類型的配置信息��?�;谟脩羝?例如��,基于用戶輸入接收的)�、基于規(guī)則集、基于啟發(fā)(heuristics)集等��,安全設(shè)備220可以確定配置信息的類型�����,以確定使用這些不同的技術(shù)。
[0067]在一些實施方式中�����,安全設(shè)備220可以基于文件信息和/或客戶端設(shè)備信息確定第一類型的配置信息��,但是可能不能夠基于文件信息和/或客戶端設(shè)備信息確定第二類型的配置信息�,因為文件信息和/或客戶端設(shè)備信息不指示第二類型的配置信息�����。在這種情況下����,安全設(shè)備220可以使用概率分析來確定第二類型的配置信息。
[0068]如圖4進一步所示��,處理400可以包括基于配置信息來配置沙箱環(huán)境(塊430)�。例如,安全設(shè)備220可以使用配置信息來配置沙箱環(huán)境���。配置信息可以標識用于沙箱環(huán)境的系統(tǒng)配置����,并且安全設(shè)備220可以利用標識的系統(tǒng)配置來加載和/或配置沙箱環(huán)境。在一些實施方式中����,安全設(shè)備220可以存儲與用于沙箱環(huán)境的不同系統(tǒng)配置相關(guān)聯(lián)的沙箱簡檔,并且可以加載與確定的配置信息匹配(例如��,在閾值相似度內(nèi))的特定沙箱簡檔���。
[0069]例如����,安全設(shè)備220可以利用特定操作系統(tǒng)�、沙箱環(huán)境中安裝的特定應(yīng)用、用于在沙箱環(huán)境中執(zhí)行特定文件類型的特定默認應(yīng)用等來配置和/或加載沙箱環(huán)境����。在一些實施方式中,安全設(shè)備220可以利用不同系統(tǒng)配置來配置和/或加載多個沙箱環(huán)境����。
[0070]如圖4進一步所示,處理400可以包括基于配置沙箱環(huán)境而在沙箱環(huán)境中對文件進行分析(塊440)�����,以及確定文件是否包括惡意件(塊450)。例如�,安全設(shè)備220可以在沙箱環(huán)境中針對惡意件分析文件。在一些實施方式中����,通過在沙箱環(huán)境中執(zhí)行文件,并且通過針對指示惡意件的行為監(jiān)控文件和/或沙箱環(huán)境�,安全設(shè)備220可以分析文件。通過在自定義沙箱環(huán)境而不是標準沙箱環(huán)境中分析文件�����,安全設(shè)備220可以增加沙箱環(huán)境正確地標識文件是否是惡意件的似然����,由此改善信息安全性�。
[0071]如圖4進一步所示,如果文件不包括惡意件(塊450—一否)�,則處理400可以包括許可文件被訪問(塊460)。例如�,如果安全設(shè)備220無法確定文件包括惡意件(例如,在沙箱環(huán)境中監(jiān)控文件閾值時間量之后)����,然后安全設(shè)備220可以執(zhí)行動作以許可文件被訪問�����。在一些實施方式中���,安全設(shè)備220可以通過將文件標識為不可疑來許可文件被訪問。在這種情況下���,安全設(shè)備220可以存儲指示文件不可疑(例如���,不是惡意件)的與文件相關(guān)聯(lián)的惡意件指不符。
[0072]作為另一示例���,假定客戶端設(shè)備210請求來自與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備(例如���,web服務(wù)器、主機服務(wù)器等)的文件���。在這種情況下�����,安全設(shè)備220可以接收請求��,可以請求來自設(shè)備的文件�����,可以接收來自設(shè)備的文件����,并且可以在向客戶端設(shè)備210發(fā)送文件之前在配置的沙箱環(huán)境中對文件進行測試。另外���,或備選地����,假定與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備向客戶端設(shè)備210推送文件����。在這種情況下�����,安全設(shè)備220可以接收文件���,并且可以在向客戶端設(shè)備210發(fā)送文件之前在配置的沙箱環(huán)境中對文件進行分析����。如果安全設(shè)備220確定文件不包括惡意件,則安全設(shè)備220可以通過向客戶端設(shè)備210提供文件而許可文件被訪問����。以這種方式,安全設(shè)備220可以保護客戶網(wǎng)絡(luò)230的客戶端設(shè)備210免受安全威脅�����。
[0073]如圖4進一步所示��,如果文件包括惡意件(塊450——是)����,則處理400可以包括執(zhí)行動作以抵抗惡意件(塊470)。例如��,如果安全設(shè)備220確定文件包括惡意件��,則安全設(shè)備220可以執(zhí)行動作以抵抗惡意件��。在一些實施方式中,安全設(shè)備220可以通過將文件標識為可疑的而抵抗惡意件��。在這種情況下���,安全設(shè)備220可以存儲指示文件可疑(例如���,是惡意件)的與文件相關(guān)聯(lián)的惡意件指示符。以這種方式��,安全設(shè)備220和/或另一設(shè)備可以使用惡意件指示符來將文件標識為惡意件����,并且可以執(zhí)行動作以抵抗惡意件。
[0074]另外�����,或備選地���,安全設(shè)備220可以通過標識文件(例如����,在存儲器中)并且從存儲器刪除文件來抵抗惡意件����。以這種方式,安全設(shè)備220可以阻止文件損害安全設(shè)備220和/或客戶端設(shè)備210����。
[0075]作為另一示例,假定客戶端設(shè)備210請求來自與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備的文件(例如��,web服務(wù)器���、主機服務(wù)器等)����。在這種情況下�����,安全設(shè)備220可以接收請求��,可以請求來自設(shè)備的文件�,可以接收來自設(shè)備的文件,并且可以在向客戶端設(shè)備210發(fā)送文件之前在配置的沙箱環(huán)境中對文件進行測試���。另外��,或備選地�����,假定與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備向客戶端設(shè)備210推送文件�����。在這種情況下��,安全設(shè)備220可以接收文件���,并且可以在向客戶端設(shè)備210發(fā)送文件之前在配置的沙箱環(huán)境中對文件進行分析���。如果安全設(shè)備220確定文件包括惡意件,則安全設(shè)備220可以通過阻止向客戶端設(shè)備210提供文件來執(zhí)行動作以抵抗惡意件�。以這種方式,安全設(shè)備220可以保護客戶網(wǎng)絡(luò)230的客戶端設(shè)備210免受安全威脅���。
[0076]在一些實施方式中�,如果安全設(shè)備220確定文件包括惡意件����,則通過監(jiān)控文件(例如�,通過監(jiān)控文件發(fā)送的通信)以標識文件與其通信的設(shè)備(例如��,以標識命令和控制服務(wù)器)����,安全設(shè)備220可以抵抗惡意件��。在這種情況下�����,安全設(shè)備220可以阻擋與設(shè)備相關(guān)聯(lián)的通信���,可以向客戶端設(shè)備210和/或與客戶網(wǎng)絡(luò)230相關(guān)聯(lián)的另一設(shè)備(例如�����,防火墻���、路由器、網(wǎng)關(guān)等)提供指令以阻擋與設(shè)備相關(guān)聯(lián)的通信(例如����,以阻擋去向和/或來自設(shè)備的通信)等���。以這種方式,安全設(shè)備220可以阻止惡意文件損害客戶端設(shè)備210�����。
[0077]另外��,或備選地����,安全設(shè)備220可以提供通知,通知標識正與設(shè)備(例如�����,命令和控制服務(wù)器)通信的客戶端設(shè)備210��,以標識和保護這些客戶端設(shè)備210�����。以這種方式�,安全設(shè)備220可以保護客戶網(wǎng)絡(luò)230的客戶端設(shè)備210免受安全威脅。
[0078]通過基于配置信息(例如���,與要針對惡意件測試的文件相關(guān)聯(lián)的文件信息����、與文件所針對的客戶端設(shè)備210相關(guān)聯(lián)的客戶端設(shè)備信息等)配置沙箱環(huán)境,安全設(shè)備220可以改善針對旨在客戶端設(shè)備210的文件的惡意件測試的有效性����。例如�,安全設(shè)備220可以減少基于測試生成的假陽性結(jié)果和/或假陰性結(jié)果,由此提供更準確的惡意件測試結(jié)果并且改善客戶端設(shè)備210的信息安全性����。
[0079]雖然圖4示出處理400的示例塊,但是在一些實施方式中��,處理400可以包括附加的塊�、更少的塊、不同的塊���、或者與圖4中描繪的那些不同布置的塊����。另外�,或備選地����,處理400的塊中的兩個或更多塊可以并行執(zhí)行����。
[0080]圖5A至圖5F是與圖4所示示例處理400有關(guān)的示例實施方式500的圖。圖5A至圖5F示出配置用于惡意件測試的沙箱環(huán)境的示例����。
[0081]如圖5A所示,并且如附圖標記505所示����,假定用戶與客戶端設(shè)備210交互以使用瀏覽器導(dǎo)航到網(wǎng)站,并且以請求示為“badfile.exe”的文件��。如附圖標記510所示�����,假定請求在被路由到與網(wǎng)站相關(guān)聯(lián)的web服務(wù)器之前�,從客戶端設(shè)備210被路由到安全設(shè)備220。如附圖標記515所示�����,假定在向客戶端設(shè)備210提供文件之前,安全設(shè)備220接收(例如���,攔截)文件以待分析��。
[0082]圖5B至圖示出經(jīng)由其安全設(shè)備220可以確定用于配置用于分析文件(例如����,badfile.exe)的沙箱環(huán)境的配置信息的不同選項�。圖5B示出其中安全設(shè)備220基于文件信息確定配置信息的示例�����。圖5C示出其中安全設(shè)備220基于客戶端設(shè)備信息確定配置信息的示例�。圖示出其中安全設(shè)備220基于文件信息和客戶端設(shè)備信息確定配置信息的示例。
[0083]如圖5B所示����,并且如附圖標記520所示,在一些實施方式中��,安全設(shè)備220可以確定與待分析文件(例如�,badfile.exe)相關(guān)聯(lián)的文件信息。例如,且如示出的����,安全設(shè)備220可以分析文件以確定:文件旨在于在Windows操作系統(tǒng)中執(zhí)行,并且旨在于由瀏覽器A執(zhí)行�。如附圖標記525所示,基于這一文件信息���,安全設(shè)備220可以加載和/或配置沙箱環(huán)境�����,沙箱環(huán)境包括Windows操作系統(tǒng)�����,其中瀏覽器A安裝和/或用作默認瀏覽器����。
[0084]如圖5C所示����,并且如附圖標記530所示,在一些實施方式中���,安全設(shè)備220可以確定與請求文件的客戶端設(shè)備210相關(guān)聯(lián)的客戶端設(shè)備信息����。例如,且如示出的���,安全設(shè)備220可以接收客戶端設(shè)備信息�,客戶端設(shè)備信息指示客戶端設(shè)備210正在執(zhí)行Mac操作系統(tǒng)���,并且具有安裝的應(yīng)用B���。如附圖標記535所示,基于這一客戶端設(shè)備信息��,安全設(shè)備220可以加載和/或配置沙箱環(huán)境�,沙箱環(huán)境包括Mac操作系統(tǒng)����,其中應(yīng)用B安裝和/或用作用于處理特定類型的文件(例如,諸如badfile.exe之類的可執(zhí)行文件)的默認應(yīng)用�。
[0085]如圖所示,并且如附圖標記540所示��,在一些實施方式中,安全設(shè)備220可以確定與待測試文件相關(guān)聯(lián)的文件信息���、以及與請求文件的客戶端設(shè)備210相關(guān)聯(lián)的客戶端設(shè)備信息��。例如�����,且如示出的�����,安全設(shè)備220可以接收文件信息�,文件信息指示文件能夠使用Windows操作系統(tǒng)來執(zhí)行�,以及使用瀏覽器C來請求。如進一步所示���,安全設(shè)備220可以接收客戶端設(shè)備信息�,客戶端設(shè)備信息指示客戶端設(shè)備210正在執(zhí)行Windows操作系統(tǒng)����,并且使用了瀏覽器C來請求文件。假定安全設(shè)備220使用這一文件信息和客戶端設(shè)備信息來配置和/或加載沙箱環(huán)境�����,沙箱環(huán)境包括Windows操作系統(tǒng)和瀏覽器C。
[0086]如圖5E所示����,并且如附圖標記545所示,假定安全設(shè)備220可以在用于配置沙箱環(huán)境的Windows操作系統(tǒng)的多個版本(示為Windows版本A����、Windows版本B和Windows版本C)之中選擇。如進一步所示����,假定安全設(shè)備220已經(jīng)使用訓(xùn)練數(shù)據(jù)來生成概率模型,并且已經(jīng)將badfile.exe的文件信息應(yīng)用于概率模型以確定:Windows版本A具有將badfile.exe標識為惡意件的30%似然����,Windows版本B具有將badfile.exe標識為惡意件的60%似然,以及Windows版本C具有將badfile.exe標識為惡意件的90%似然�����。如附圖標記550所示�����,假定安全設(shè)備220選擇Windows版本C以用于配置沙箱環(huán)境��,因為Windows版本C具有將badfile.exe標識為惡意件的最高似然(例如�����,相比于Windows版本A和Windows版本B)���。例如����,假定安全設(shè)備220加載和/或配置包括Windows版本C的沙箱環(huán)境���。
[0087]如圖5F所示����,并且如附圖標記555所示�,假定安全設(shè)備220在包括Windows版本C的沙箱環(huán)境中對badfile.exe進行分析,并且確定badfile.exe是惡意件�。如果附圖標記560所示,基于這一確定���,假定安全設(shè)備220執(zhí)行動作來抵抗惡意件���。例如����,并且如附圖標記565所示���,假定安全設(shè)備220阻止向請求badfile.exe的客戶端設(shè)備210提供badfile.exe ο
[0088]以這種方式���,基于正被分析的文件、基于請求文件的客戶端設(shè)備等�����,安全設(shè)備220可以配置自定義沙箱環(huán)境以增加惡意件檢測的有效性�����。以這種方式�����,安全設(shè)備220可以改善信息安全性����。
[0089]如上所示,提供圖5A至圖5F僅作為示例��。其它示例是可能的�����,并且可以不同于關(guān)于圖5A至圖5F描述的內(nèi)容����。
[0090]本文中描述的實施方式可以幫助基于正被測試的文件和/或正被保護的客戶端設(shè)備來配置用于惡意件測試的沙箱環(huán)境,由此增加惡意件測試的有效性和改善計算機安全性����。
[0091]前述公開內(nèi)容提供了說明和描述,但并非旨在是窮舉式的或?qū)嵤┓绞较抻谒_的精確形式�����。根據(jù)上述公開內(nèi)容��,修改和變化是可能的����,或者可以從實施方式的實踐中獲取。
[0092]如本文中使用的�,術(shù)語部件旨在于被廣義地解釋為硬件�����、固件�、和/或硬件和軟件的組合���。
[0093]本文中結(jié)合閾值描述一些實施方式���。如本文中使用的,滿足閾值可以指代值大于閾值��、多于閾值�、高于閾值、大于或等于閾值��、小于閾值�、少于閾值、低于閾值�、小于或等于閾值、等于閾值等�����。
[0094]應(yīng)當理解,本文中描述的系統(tǒng)和/或方法可以以硬件��、固件�����、或硬件和軟件的組合的不同形式來實現(xiàn)�����。用于實現(xiàn)這些系統(tǒng)和/或方法的實際專用控制硬件或軟件代碼不是對實施方式的限制��。從而����,系統(tǒng)和/或方法的操作和行為被描述于此�����,而未參照特定軟件代碼一一要理解的是�,軟件和硬件可以被設(shè)計為實現(xiàn)基于本文中描述的系統(tǒng)和/或方法。
[0095]雖然特定特征組合被記載在權(quán)利要求書中和/或公開在說明書中�����,但是這些組合并非旨在限制可能實施方式的公開內(nèi)容。實際上�����,這些特征中的許多特征可以以未具體記載在權(quán)利要求書中和/或公開在說明書中的方式組合�。雖然下面列出的每項從屬權(quán)利要求可直接從屬于僅一項權(quán)利要求,但是可能實施方式的公開內(nèi)容包括每項從屬權(quán)利要求與權(quán)利要求集中的每項其它權(quán)利要求的組合���。
[0096]本文中使用的元件��、動作或指令不應(yīng)被解釋為關(guān)鍵或必不可少的����,除非明確如此描述�。而且,如本文中使用的�����,冠詞“一(a)”和“一個(an)”旨在于包括一個或多個項���,并且可以與“一個或多個”互換使用��。此外���,如本文中使用的��,術(shù)語“組”和“集”旨在于包括一個或多個項(例如���,相關(guān)項、無關(guān)項�����、相關(guān)項和無關(guān)項的組合等)��,并且可以與“一個或多個”互換使用��。在旨在僅一個項的情況下�,使用術(shù)語“一個”或類似語言����。而且,如本文中使用的�,術(shù)語“有”、“擁有”����、“具有”等旨在于是開放式術(shù)語。進一步地,短語“基于”旨在于意指“至少部分地基于”���,除非另外明確聲明����。
【主權(quán)項】
1.一種設(shè)備����,包括: 用于接收要在沙箱環(huán)境中分析的文件的裝置; 用于確定用于配置所述沙箱環(huán)境的配置信息的裝置����,所述配置信息基于以下項中的至少一項來確定: 與待分析的所述文件相關(guān)聯(lián)的文件信息,或者 與所述文件所針對的客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息�����; 用于使用所述配置信息來配置所述沙箱環(huán)境的裝置���, 所述配置信息標識用于所述沙箱環(huán)境的系統(tǒng)配置�;以及 用于基于使用所述配置信息來配置所述沙箱環(huán)境來在所述沙箱環(huán)境中分析所述文件的裝置�����。2.根據(jù)權(quán)利要求1所述的設(shè)備,進一步包括: 用于分析所述文件以確定所述文件信息的裝置�;以及 其中用于確定所述配置信息的裝置包括: 用于基于分析所述文件以確定所述文件信息而使用所述文件信息來確定所述配置信息的裝置。3.根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述文件信息標識以下項中的至少一項: 能夠在其上執(zhí)行所述文件的操作系統(tǒng)��,或者 能夠執(zhí)行所述文件的應(yīng)用���; 其中用于確定所述配置信息的裝置包括: 用于基于所述操作系統(tǒng)或所述應(yīng)用來確定所述配置信息的裝置�����;以及 其中用于配置所述沙箱環(huán)境的裝置包括: 用于配置所述沙箱環(huán)境以包括所述操作系統(tǒng)或所述應(yīng)用的裝置。4.根據(jù)權(quán)利要求1所述的設(shè)備���,進一步包括: 用于接收所述客戶端設(shè)備信息的裝置�����;以及 其中用于確定所述配置信息的裝置包括: 用于基于接收所述客戶端設(shè)備信息而使用所述客戶端設(shè)備信息來確定所述配置信息的裝置�����。5.根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述客戶端設(shè)備信息標識以下項中的至少一項: 在所述客戶端設(shè)備上執(zhí)行的操作系統(tǒng)��,或者 在所述客戶端設(shè)備上安裝的應(yīng)用�; 其中用于確定所述配置信息的裝置包括: 用于基于所述操作系統(tǒng)或所述應(yīng)用來確定所述配置信息的裝置;以及 其中用于配置所述沙箱環(huán)境的裝置包括: 用于配置所述沙箱環(huán)境以包括所述操作系統(tǒng)或所述應(yīng)用的裝置�����。6.根據(jù)權(quán)利要求1所述的設(shè)備��,其中用于確定所述配置信息的裝置包括: 用于基于所述文件信息和所述客戶端設(shè)備信息來確定所述配置信息的裝置��。7.根據(jù)權(quán)利要求1所述的設(shè)備�,其中用于確定所述配置信息的裝置包括: 用于檢測在基于所述文件信息標識的第一配置信息和基于所述客戶端設(shè)備信息標識的第二配置信息之間的沖突的裝置; 用于基于檢測所述沖突來選擇所述第一配置信息或所述第二配置信息的裝置�;以及 用于基于選擇所述第一配置信息或所述第二配置信息來確定所述配置信息的裝置。8.根據(jù)權(quán)利要求1所述的設(shè)備�,進一步包括: 用于確定當使用所述配置信息來配置時所述沙箱環(huán)境會將所述文件標識為惡意件的第一似然的裝置; 用于確定當使用其他配置信息來配置時所述沙箱環(huán)境會將所述文件標識為惡意件的第二似然的裝置�����; 用于基于所述第一似然和所述第二似然來選擇所述配置信息的裝置���;以及 其中用于使用所述配置信息來配置所述沙箱環(huán)境的裝置包括: 用于基于選擇所述系統(tǒng)配置來配置所述沙箱環(huán)境的裝置����。9.一種方法,包括: 由設(shè)備接收要在計算環(huán)境中分析的文件�; 由所述設(shè)備確定用于配置所述計算環(huán)境的配置信息,所述配置信息基于以下項中的至少一項來確定: 待分析的所述文件�,或者 所述文件所針對的客戶端設(shè)備; 由所述設(shè)備使用所述配置信息來配置所述計算環(huán)境����, 所述配置信息標識用于所述計算環(huán)境的系統(tǒng)配置;以及 由所述設(shè)備基于使用所述配置信息來配置所述計算環(huán)境�����,在所述計算環(huán)境中分析所述文件��。10.根據(jù)權(quán)利要求9所述的方法�����,其中確定所述配置信息進一步包括: 確定與待分析的所述文件相關(guān)聯(lián)的文件信息��;以及 基于所述文件信息��,確定所述配置信息����。11.根據(jù)權(quán)利要求10所述的方法,其中所述文件信息標識以下項中的至少一項: 能夠在其上執(zhí)行所述文件的操作系統(tǒng)�, 用于獲得所述文件的第一應(yīng)用, 用于執(zhí)行所述文件的第二應(yīng)用�����,或者 能夠執(zhí)行所述文件的處理器架構(gòu)��;以及 其中確定所述配置信息進一步包括: 基于以下項中的至少一項����,確定所述配置信息: 所述操作系統(tǒng), 所述第一應(yīng)用�����, 所述第二應(yīng)用��,或者 所述處理器架構(gòu)���。12.根據(jù)權(quán)利要求9所述的方法��,其中確定所述配置信息進一步包括: 確定與所述文件所針對的所述客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息���;以及 基于所述客戶端設(shè)備信息���,確定所述配置信息。13.根據(jù)權(quán)利要求12所述的方法��,其中所述客戶端設(shè)備信息標識以下項中的至少一項:在所述客戶端設(shè)備上執(zhí)行的操作系統(tǒng)����,在所述客戶端設(shè)備上安裝的應(yīng)用集,在所述客戶端設(shè)備上的用于執(zhí)行特定類型的文件的默認應(yīng)用集���,或者所述客戶端設(shè)備的處理器架構(gòu)���;以及其中確定所述配置信息進一步包括:基于以下項中的至少一項,確定所述配置信息:所述操作系統(tǒng)�����,所述應(yīng)用集�,所述默認應(yīng)用集����,或者所述處理器架構(gòu)�。14.根據(jù)權(quán)利要求9所述的方法�����,進一步包括:基于以下項中的至少一項���,執(zhí)行概率分析:與所述文件相關(guān)聯(lián)的文件信息�,或者與所述客戶端設(shè)備相關(guān)聯(lián)的客戶端設(shè)備信息����;以及其中確定所述配置信息進一步包括:基于執(zhí)行所述概率分析,確定所述配置信息���。
【文檔編號】G06F21/53GK106022112SQ201510454389
【公開日】2016年10月12日
【申請日】2015年7月29日
【發(fā)明人】J·A·蘭頓, K·亞當斯, D·J·奎因蘭, 詹臻新
【申請人】瞻博網(wǎng)絡(luò)公司