[发明专利]基于端点遥测的样本特定的沙箱配置

说明书

本发明描述了一种用于确定用于恶意软件分析的沙箱配置的方法。在一个实施方案中，方法可包括：接收多个文件，从多个文件中的至少一个文件提取至少一个元素，识别与端点相关联的一个或多个属性，确定至少一个提取的元素与端点的一个或多个属性之间的相关性，以及至少部分地基于所确定的相关性来确定一个或多个沙箱配置。在一些情况下，端点与多个文件中的至少一个文件相关。

背景技术

计算机系统和计算机相关技术的使用继续高速增长。计算机系统使用的这种增长影响了计算机相关技术的进展。计算机系统已日益成为商业领域和个人消费者活动密不可分的一部分。计算机系统可用于进行若干商业、工业和学术活动。

计算机和移动设备的广泛使用已经导致存在更多的恶意程序，诸如黑客程序、间谍软件、木马病毒等。恶意软件程序设计者不断适应恶意软件检测技术的进步，这形成了恶意软件技术适应恶意软件检测技术进步的持续循环。沙箱是一个虚拟空间，其中可安全地运行新的或未经测试的软件。虽然沙箱配置是通用的，但是没有一种通用配置会允许运行所有需要特殊环境来运行的文件，特别是目标文件。

发明内容

根据至少一个实施方案，描述了一种用于确定用于恶意软件分析的沙箱配置的方法。在一个实方案中，该方法可包括：接收多个文件，从多个文件中的至少一个文件提取至少一个元素，识别与端点相关联的一个或多个属性，确定至少一个提取的元素与端点的一个或多个属性之间的相关性，以及至少部分地基于所确定的相关性来确定一个或多个沙箱配置。在一些情况下，端点可与多个文件中的至少一个文件相关。

在一些情况下，该方法可包括识别与端点上的多个文件中的至少一个文件相关的成功执行，以及至少部分地基于成功执行来识别与端点相关联的一个或多个属性。在一些情况下，该方法可包括使用至少一个提取的元素作为分类特征来对多个文件进行分类。

在一些实施方案中，该方法可包括接收新文件，从该新文件提取一个或多个元素，以及基于对一个或多个提取元素的分析来执行安全动作。在一些示例中，执行安全动作可包括在一个或多个沙箱配置中识别新文件的沙箱配置。在一些情况下，新文件的沙箱配置至少部分地基于预先确定的相关性。

在一些实施方案中，该方法可包括识别一个或多个提取元素的分类，以及至少部分地基于所识别的分类来识别预先确定的相关性。在一些实施方案中，该方法可包括确定新文件在所识别的沙箱配置中被执行时是否显示出预定义的最小行为，并且响应于确定新文件在所识别的沙箱配置中被执行时显示出预定义的最小行为而增加与预先确定的相关性相关联的置信度分数。

在一些实施方案中，该方法可包括响应于确定新文件在所识别的沙箱配置中被执行时未能显示出预定义的最小行为而降低与预先确定的相关性相关联的置信度分数。

在一些实施方案中，该方法可包括接收新文件，从新文件提取一个或多个元素，以及确定从新文件提取的一个或多个元素是否与多个集群中的至少一个集群相关联。

在一些实施方案中，响应于确定一个或多个提取的元素与多个集群不相关，该方法可包括生成包括新文件的集群，该集群至少部分地基于从新文件提取的一个或多个元素生成，以及识别与端点相关联的一个或多个属性。在一些情况下，新文件在端点上被执行时可显示出预定义的最小行为。

在一些实施方案中，该方法可包括将生成的集群添加到多个集群，以及更新多个集群与端点的一个或多个属性之间的相关性。在一些实施方案中，响应于确定一个或多个提取的元素与多个集群相关，该方法可包括识别与新文件相关联的预先存在的集群，至少部分地基于预先存在的集群识别预先确定的相关性，以及在一个或多个沙箱配置中识别新文件的沙箱配置。在一些情况下，新文件的沙箱配置至少部分地基于预先确定的相关性。