[发明专利]用于检测域产生算法(DGA)恶意软件的系统及方法

权利要求书

1.一种第一计算机系统，其包括至少一个存储器及至少一个相关联微处理器，所述至少一个相关联微处理器经配置以在潜在域产生算法DGA恶意软件主机外部执行以下步骤：

拦截对第一外部接入请求的原始应答，其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点；

剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者以确定对所述第一外部接入请求的所述原始应答是否包括指示所述原始应答的当前时间的真实时间；

将经修改应答发送到所述潜在DGA恶意软件主机，所述经修改应答是从所述原始应答通过以在所述原始应答中所包含的所述真实时间之后的加速真实时间替代所述真实时间而产生；

响应于由所述潜在DGA恶意软件主机发送的第二外部接入请求，拦截指示所述第二接入请求不成功的应答，其中所述第二外部接入请求是在发送所述第一外部接入请求之后发送；及

响应于拦截到指示所述第二接入请求不成功的所述应答，确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。

2.根据权利要求1所述的第一计算机系统，其中剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者包括：在所述第一外部接入请求的地址字段中识别时间服务器的地址。

3.根据权利要求1所述的第一计算机系统，其中剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者包括：剖析对所述第一外部接入请求的所述原始应答以从对所述第一外部接入请求的所述原始应答的多个字段识别真实时间字段。

4.根据权利要求3所述的第一计算机系统，其中识别所述真实时间字段包括：将所述真实时间字段的内容与由所述第一计算机系统确定的独立真实时间值进行比较。

5.根据权利要求1所述的第一计算机系统，其中所述潜在DGA恶意软件主机是物理上不同于所述第一计算机系统的第二计算机系统。

6.根据权利要求1所述的第一计算机系统，其中所述潜在DGA恶意软件主机是由所述第一计算机系统托管的虚拟机。

7.根据权利要求1所述的第一计算机系统，其中所述至少一个相关联微处理器进一步经配置以：确定通过所述域产生算法产生的域名，及根据所述域名而识别被怀疑执行所述域产生算法的多个计算机系统。

8.根据权利要求1所述的第一计算机系统，其中所述至少一个相关联微处理器进一步经配置以：响应于确定所述潜在DGA恶意软件主机包含执行所述域产生算法的恶意软件，将通过所述域产生算法产生的域名添加到安全应用程序黑名单。

9.一种第一计算机系统，其包括至少一个存储器及至少一个相关联微处理器，所述至少一个相关联微处理器经配置以在潜在域产生算法DGA恶意软件主机外部执行以下步骤：

剖析第一外部接入请求以确定所述第一外部接入请求是否包括指示所述第一外部接入请求的当前时间的真实时间，其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点；

剖析对所述第一外部接入请求的第一原始应答以确定所述第一原始应答是否包括指示所述真实时间不准确的第一信息；

将经修改应答发送到所述潜在DGA恶意软件主机，所述经修改应答是从所述第一原始应答通过以指示所述真实时间准确的第二信息替代所述第一信息而产生；

响应于由所述潜在DGA恶意软件主机发送到第二外部站点的第二外部接入请求，拦截指示所述第二接入请求不成功的第二原始应答；及

响应于拦截到所述第二应答，确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。