[发明专利]恶意软件分析系统

说明书

背景技术

防火墙通常在准许授权的通信穿过防火墙的同时保护网络免于未授权的访问。防火墙通常是设备或设备集合、或者提供针对网络访问的防火墙功能的在设备（诸如，计算机）上执行的软件。例如，防火墙能够被集成到设备（例如，计算机、智能电话或其他类型的有网络通信能力的设备）的操作系统中。防火墙还能够被集成到计算机服务器、网关、网络/路由设备（例如，网络路由器）、或者数据装置（例如，安全装置或其他类型的专用设备）中或者作为软件在其上执行。

防火墙通常基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如，防火墙能够通过应用规则集或策略来过滤入站（inbound）业务。防火墙还能够通过应用规则集或策略来过滤出站（outbound）业务。防火墙还可能能够执行基本路由功能。

附图说明

本发明的各种实施例在下面的具体实施方式和附图中公开。

图1是根据一些实施例的恶意软件分析系统的功能图。

图2是图示根据一些实施例的恶意软件分析系统的架构的框图。

图3是根据一些实施例的恶意软件分析系统的数据装置的硬件组件的功能图。

图4是根据一些实施例的恶意软件分析系统的数据装置的逻辑组件的功能图。

图5是根据一些实施例的恶意软件分析系统的流程图。

图6是根据一些实施例的恶意软件分析系统的另一个流程图。

图7是根据一些实施例的恶意软件分析系统的另一个流程图。

图8是根据一些实施例的恶意软件分析系统的另一个流程图。

图9是根据一些实施例的恶意软件分析系统的另一个流程图。

图10是根据一些实施例的恶意软件分析系统的另一个流程图。

具体实施方式

本发明可以以多种方式实现，包括被实现为：过程；设备；系统；物质组成；体现在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中，这些实施方式或本发明可采用的任何其他形式可以被称为技术。一般来说，公开过程的步骤的顺序可以在本发明的范围内变更。除非以其他方式声明，诸如被描述为被配置成执行任务的处理器或存储器之类的组件可以被实现为在给定时间被临时配置为执行任务的一般组件或被制造为执行任务的具体组件。如在本文中使用的那样，术语“处理器”指代一个或多个设备、电路、和/或被配置为处理数据（诸如计算机程序指令）的处理核心。

下面与图示本发明原理的附图一起提供了本发明的一个或多个实施例的详细描述。结合这些实施例描述了本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求限定，并且本发明包含多个替换、修改和等同物。在下面的描述中阐述了多个特定细节以提供对本发明的透彻理解。出于示例的目的提供了这些细节，并且在不具有一些或所有这些特定细节的情况下可以根据权利要求来实践本发明。为了清楚的目的，没有详细描述与本发明有关的技术领域中已知的技术材料，使得不会不必要地使本发明模糊。

防火墙通常在准许授权的通信穿过防火墙的同时保护网络免于未授权的访问。防火墙通常是设备、设备集合、或者提供针对网络访问的防火墙功能的在设备上执行的软件。例如，防火墙能够被集成到设备（例如，计算机、智能电话或其他类型的有网络通信能力的设备）的操作系统中。防火墙还能够被集成到诸如计算机服务器、网关、网络/路由设备（例如，网络路由器）、或者数据装置（例如，安全装置或其他类型的专用设备）之类的各种类型的设备中或者作为软件应用在其上执行。

防火墙通常基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如，防火墙能够通过应用规则集或策略来过滤入站业务以防止不期望的外部业务到达受保护的设备。防火墙还能够通过应用规则集或策略（例如，在防火墙规则或防火墙策略中能够规定允许、阻塞、监测、通知或记入日志、和/或其他动作，所述防火墙规则或防火墙策略能够基于诸如本文所述的各种准则而被触发）来过滤出站业务。防火墙还可能能够执行基本路由功能。

基本分组过滤防火墙通过检查通过网络传输的各个分组来过滤网络通信业务（例如，分组过滤防火墙或第一代防火墙，其为无状态（stateless）分组过滤防火墙）。无状态分组过滤防火墙通常检查各个分组本身并基于检查过的分组来应用规则（例如，使用分组的源和目的地地址信息、协议信息和端口号的组合）。