[发明专利]基于行为增量标识躲避的恶意对象在审
申请号: | 201810164929.6 | 申请日: | 2015-03-27 |
公开(公告)号: | CN108268771A | 公开(公告)日: | 2018-07-10 |
发明(设计)人: | K·亚当斯;D·J·奎因兰 | 申请(专利权)人: | 瞻博网络公司 |
主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56;G06F11/36 |
代理公司: | 北京市金杜律师事务所 11256 | 代理人: | 王茂华;辛鸣 |
地址: | 美国加利*** | 国省代码: | 美国;US |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 行为集合 安全设备 恶意对象 关联 测试行为 实际行为 增量标识 标识对象 测试对象 测试环境 真实环境 申请 | ||
1.一种设备,包括
一个或者多个处理器,用以:
接收对象;
在测试环境中执行所述对象;
执行对所述对象的静态分析,包括以下各项中的至少一项:
利用反病毒软件扫描所述对象,
执行对所述对象的字符串搜索,或者
对所述对象反汇编;
基于在所述测试环境中执行所述对象以及执行对所述对象的所述静态分析,来确定与所述对象相关联的测试行为信息,
所述测试行为信息标识与在所述测试环境中测试所述对象相关联的第一行为;
确定与所述对象相关联的实际行为信息,
所述实际行为信息标识当所述对象在用户设备上被打开或者执行时,由所述对象展现的第二行为;
基于所述实际行为信息不同于所述测试行为信息,来确定所述对象是恶意对象;以及
基于确定所述对象是所述恶意对象,来提供所述对象是所述恶意对象的指示。
2.根据权利要求1所述的设备,其中所述一个或者多个处理器当接收所述对象时,用以:
基于针对从所述用户设备被发送的所述对象的请求,来接收所述对象。
3.根据权利要求1所述的设备,其中所述一个或者多个处理器还用以:
在运行虚拟机的操作系统内实现所述测试环境。
4.根据权利要求1所述的设备,其中所述用户设备是第一用户设备;并且
其中所述一个或者多个处理器还用以:
存储所述指示;以及
基于第二用户设备接收所述对象,来取回所述指示。
5.根据权利要求1所述的设备,其中所述一个或者多个处理器还用以:
标识与执行所述对象相关联的恶意行为,
所述恶意行为包括以下各项中的至少一项:
文件的创建,
文件的编辑,
注册表项的创建,
注册表项的删除,
自动化任务的调度,或者
网络连接的建立。
6.根据权利要求1所述的设备,其中所述一个或者多个处理器还用以:
基于所述测试行为信息,来确定所述对象不是所述恶意对象;以及
基于确定所述对象不是所述恶意对象,来允许所述对象被提供给所述用户设备。
7.根据权利要求1所述的设备,其中所述一个或者多个处理器还用以:
向所述用户设备提供所述测试行为信息;以及
基于所述第二行为不同于所述第一行为,来从所述用户设备接收所述实际行为信息。
8.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或者多个指令,所述一个或者多个指令当由一个或者多个处理器执行时,使得所述一个或者多个处理器:
接收对象;
在测试环境中执行所述对象;
执行对所述对象的静态分析,包括以下各项中的至少一项:
利用反病毒软件扫描所述对象,
执行对所述对象的字符串搜索,或者
对所述对象反汇编;
基于在所述测试环境中执行所述对象以及执行对所述对象的所述静态分析,来生成与所述对象相关联的测试行为信息,
所述测试行为信息标识与在所述测试环境中测试所述对象相关联的第一行为;
接收与所述对象相关联的实际行为信息,
所述实际行为信息标识当所述对象在用户设备上被安装、打开或者执行时,由所述对象展现的第二行为;
基于所述实际行为信息不同于所述测试行为信息,来确定所述对象是恶意对象;以及
基于确定所述对象是所述恶意对象,来提供所述对象是所述恶意对象的指示。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于瞻博网络公司,未经瞻博网络公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810164929.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种栈溢出检测系统及方法
- 下一篇:恶意样本的筛选方法及系统