[发明专利]用于检测域产生算法(DGA)恶意软件的系统及方法

说明书

通过拦截由潜在域产生算法DGA恶意软件主机发送的外部时间请求及以被设计成触发时间相依DGA活动的加速(未来)真实时间替代所接收真实时间而检测DGA恶意软件。所述拦截及替代是在物理或虚拟DGA主机以外在例如不同外部物理服务器或路由器等不同物理或虚拟系统或者于相同物理系统上运行的不同管理程序或虚拟机上执行，以便降低所述DGA恶意软件识别出时间替换的风险。接着，使用仅在未来时间触发的失败的DGA恶意软件外部接入请求来识别由所述DGA恶意软件产生的域名，从而允许做出主动防范措施。

背景技术

本发明涉及用于保护计算机系统免受恶意软件破坏的系统及方法，且特定来说涉及用于检测采用域产生算法(DGA)的恶意软件的系统及方法。

恶意软件(还称为恶意软件(malware))影响全世界的大量计算机系统。在其许多形式中(例如计算机病毒、蠕虫、隐匿程序(rootkit)及间谍软件)，恶意软件给数百万计算机用户呈现严重风险，使其易受数据及敏感信息丢失、身份盗用及生产力损失等等。

安全软件可用于检测感染用户的计算机系统的恶意软件，且另外用于移除或停止此类恶意软件的执行。所属领域中已知数种恶意软件检测技术。一些技术依赖于将恶意软件代理的代码片段与恶意软件指示性特征库进行匹配。其它常规方法检测恶意软件代理的一组恶意软件指示性行为。

恶意僵尸网络形成特别有害类型的恶意软件威胁。在一种攻击情境中，众多计算机系统感染有经配置以连接到远程资源且下载恶意有效负载或其它信息(例如，发动拒绝服务攻击的目标的指示符)的代理。所述代理可经配置以使用域产生算法(DGA)来产生域名且尝试连接到所述域。此类域名通常未提前向域名注册局注册，且因此绝大多数连接尝试失败。当恶意软件创建者决定发动攻击时，其向域名注册局注册这些域名中的一者且在线放置有效负载。突然，由僵尸网络成员做出的连接到相应域的尝试成功，且发动攻击。

由于域名产生是使用未知算法执行，因此防止此类攻击可为困难的。安全应用程序可看到连接到一些域名的零星失败尝试，但此类尝试通常淹没于连接到外部站点的众多合法失败尝试中。

研究人员具有识别受感染代理及对域产生算法进行逆向工程设计的复杂且繁琐的任务。此类算法使用各种方法，所述方法中的一者是使用当前时间作为对伪随机产生算法的输入。在传统检测方法中，研究人员必须拆分代码以便确定DGA及所创建的域名。

发明内容

根据一个方面，一种计算机系统包括至少一个存储器及至少一个相关联微处理器，所述至少一个相关联微处理器经配置以在潜在域产生算法(DGA)恶意软件主机外部执行以下步骤：拦截对第一外部接入请求的原始应答，其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点；剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者以确定对所述第一外部接入请求的所述原始应答是否包括真实时间；将经修改应答发送到所述潜在DGA恶意软件主机，所述经修改应答是从所述原始应答通过以在所述原始应答中所包含的原始真实时间之后的加速真实时间替代所述原始真实时间而产生；响应于由所述潜在DGA恶意软件主机发送的第二外部接入请求，拦截指示所述第二接入请求不成功的应答，其中所述第二外部接入请求是在发送所述第一外部接入请求之后发送；及响应于拦截到指示所述第二接入请求不成功的所述应答，确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。