[发明专利]在隔离的环境中检测阻止分析的恶意文件的方法有效
| 申请号: | 201910420001.4 | 申请日: | 2019-05-20 |
| 公开(公告)号: | CN110659478B | 公开(公告)日: | 2023-08-15 |
| 发明(设计)人: | 德米特里·V·卡拉索夫斯基;阿列克谢·S·舒尔米恩;丹尼斯·Y·科比切夫 | 申请(专利权)人: | 卡巴斯基实验室股份制公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京同达信恒知识产权代理有限公司 11291 | 代理人: | 黄志华;何月华 |
| 地址: | 俄罗斯*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 隔离 环境 检测 阻止 分析 恶意 文件 方法 | ||
1.一种用于将文件识别为恶意的方法,包括:
拦截在用户的计算设备处接收的分析用文件;
在用于安全执行的环境中打开所述分析用文件;
生成存储在所述用于安全执行的环境中打开所述分析用文件期间发生的一部分信息的日志;
分析所述日志以从所述部分信息识别第一组安全相关事件;
基于所述第一组安全相关事件形成行为模版,其中所述行为模版包括所述日志的紧凑变型;
基于来自所述行为模版的事件计算正在分析的所述文件的危险系数;
当在所述计算设备上打开所述分析用文件时,跟踪第二组安全相关事件;
将所述第二组安全相关事件与所述第一组安全相关事件相比较以识别差异;
针对在所述第二组安全相关事件中发现的、在所述第一组安全相关事件中未发现的每个事件增加所述危险系数;以及
当所述危险系数超过阈值时,将正在分析的所述文件识别为恶意的。
2.如权利要求1所述的方法,其中,所述部分信息包括所述第一组安全相关事件和所述用于安全执行的环境的上下文。
3.如权利要求2所述的方法,其中,所述安全相关事件包括如下项中的一者或多者:
由打开所述分析用文件使用的进程的线程对API函数的调用;
从API函数的返回;
系统调用;
从系统调用的返回;以及
操作系统消息。
4.如权利要求2所述的方法,其中,所述用于安全执行的环境为虚拟机。
5.如权利要求1所述的方法,其中,所述打开所述分析用文件包括:
确定所述文件是否为可执行的,如果是,则执行所述文件;以及
否则通过应用读取所述文件。
6.如权利要求1所述的方法,其中,在与所述打开所述分析用文件有关的所有线程和进程的执行期间,还执行所述日志的生成。
7.如权利要求1所述的方法,其中,识别所述差异包括:确定所述第二组安全相关事件包含在所述第一组安全相关事件中未发现的事件。
8.如权利要求1所述的方法,还包括:
停止在所述计算设备上打开所述分析用文件期间创建的进程的所有线程的执行。
9.如权利要求8所述的方法,还包括:
删除或隔离所述分析用文件。
10.一种用于将文件识别为恶意的系统,包括:
硬件处理器,所述硬件处理器配置成:
拦截在用户的计算设备处接收的分析用文件;
在用于安全执行的环境中打开所述分析用文件;
生成存储在所述用于安全执行的环境中打开所述分析用文件期间发生的一部分信息的日志;
分析所述日志以从所述部分信息识别第一组安全相关事件;
基于所述第一组安全相关事件形成行为模版,其中所述行为模版包括所述日志的紧凑变型;
基于来自所述行为模版的事件计算正在分析的所述文件的危险系数;
当在所述计算设备上打开所述分析用文件时,跟踪第二组安全相关事件;
将所述第二组安全相关事件与所述第一组安全相关事件相比较以识别差异;
针对在所述第二组安全相关事件中发现的、在所述第一组安全相关事件中未发现的每个事件增加所述危险系数;以及
当所述危险系数超过阈值时,将正在分析的所述文件识别为恶意的。
11.如权利要求10所述的系统,其中,所述部分信息包括所述第一组安全相关事件和所述用于安全执行的环境的上下文。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于卡巴斯基实验室股份制公司,未经卡巴斯基实验室股份制公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910420001.4/1.html,转载请声明来源钻瓜专利网。
