[发明专利]恶意软件分析系统

权利要求书

1.一种恶意软件分析系统，包括：

处理器，被配置成：

从防火墙接收可能的恶意软件样本，其中可能的恶意软件样本是通过对网络业务进行解密来生成的；

将与可能的恶意软件样本相关的日志信息发送到虚拟机，其中日志信息包括会话信息、应用识别信息、URL类别信息和脆弱性警报信息中的一个或多个；

通过将网络业务的被监测且被分类的行为进行相关并基于被监测且被分类的可疑行为计算恶意软件得分，使用虚拟机来分析可能的恶意软件样本；

使用虚拟机以使用日志信息来在可能的恶意软件样本上执行事后分析，以确定可能的恶意软件样本是否是恶意软件；以及

如果可能的恶意软件样本被确定为恶意软件，则自动生成签名；以及

存储器，耦合到所述处理器并被配置成给所述处理器提供指令。

2.根据权利要求1所述的系统，其中可能的恶意软件样本不匹配于预先存在的签名。

3.根据权利要求1所述的系统，其中可能的恶意软件样本不匹配于预先存在的签名，且所述恶意软件是零日攻击。

4.根据权利要求1所述的系统，其中防火墙在第一设备上执行，且虚拟机由第二设备执行。

5.根据权利要求1所述的系统，其中防火墙由安全装置实现，且虚拟机由虚拟机装置实现。

6.根据权利要求1所述的系统，其中防火墙是在第一设备上执行的基于主机的防火墙，且虚拟机由虚拟机装置实现。

7.根据权利要求1所述的系统，其中虚拟机由安全云服务实现。

8.根据权利要求1所述的系统，其中防火墙对网络业务流进行解密以生成可能的恶意软件样本，以用于使用虚拟机而分析。

9.根据权利要求1所述的系统，其中所述处理器进一步被配置成：

将签名发送到防火墙，其中防火墙将签名包括在一个或多个防火墙策略中。

10.根据权利要求1所述的系统，其中所述处理器进一步被配置成：

将签名发送到防火墙，其中防火墙被实现在网关安全设备、安全装置、网络路由设备或执行基于主机的防火墙的通用计算机中。

11.根据权利要求1所述的系统，其中所述处理器进一步被配置成：

将签名发送到云安全服务。

12.根据权利要求1所述的系统，其中所述处理器进一步被配置成：

在模拟期间使用虚拟机来监测可能的恶意软件样本的行为，以基于启发法来识别恶意软件。

13.根据权利要求1所述的系统，其中所述存储器进一步被配置成给所述处理器提供指令，所述指令在被执行时使所述处理器执行下述操作：

在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件，其中指示可能的恶意软件的被监测的行为包括下述各项中的一个或多个：连接到用于HTTP业务的非标准HTTP端口、拜访不存在的域、下载具有非标准可执行文件扩展名的可执行文件、执行对电子邮件服务器的DNS查询、使用具有比常用长度更短的长度的HTTP报头进行通信、使用HTTP业务中的投递方法进行通信、连接到用于IRC业务的非标准IRC端口、使用入侵防御系统规避技术进行通信、以及通过HTTP端口传送未分类的业务。

14.根据权利要求1所述的系统，其中所述存储器进一步被配置成给所述处理器提供指令，所述指令在被执行时使所述处理器执行下述操作：

在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件，其中指示可能的恶意软件的被监测的行为包括下述各项中的一个或多个：拜访具有比常用域名长度更长的域名的域、拜访动态DNS域、拜访快速变动域、以及拜访最近创建的域。

15.根据权利要求1所述的系统，其中所述存储器进一步被配置成给所述处理器提供指令，所述指令在被执行时使所述处理器执行下述操作：

在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意的域，其中被监测的被拜访域相关行为基于下述各项中的一个或多个来指示可能恶意的域：被拜访域的超过阈值的域名长度、被拜访域是否是动态DNS域、被拜访域是否是快速变动域、以及被拜访域是否是最近创建的域。