[发明专利]经由沙盒检测恶意文件感染

说明书

本公开的实施例涉及经由沙盒检测恶意文件感染。一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作、来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。

本申请是申请日为2015年09月24日、申请号为201510617441.0的发明专利申请的分案申请。

背景技术

恶意文件、诸如恶意软件(“恶意程序(malware)”)可以指用于破坏计算机操作、收集敏感信息、取得对私有计算机系统的访问等的任意软件。恶意文件可以包括多种类型的敌对或侵入软件，包括计算机病毒、蠕虫(worm)、特洛伊木马、勒索软件(ransomware)、间谍软件、广告软件、恐吓软件、或者其他恶意软件。

用户网络上的客户端设备可能在客户端设备的操作期间下载是恶意文件的文件。与安全设备相关联的恶意文件检测工具可以在该文件被下载到客户端设备时基于对该文件执行分析来确定该文件是恶意的。该文件可能在恶意文件检测工具完成对该文件的分析之前就在该客户端设备上被执行并且感染该客户端设备。该文件还可能感染用户网络上的其他客户端设备。

发明内容

根据一些可能的实施方式，一种设备可以接收触发以确定恶意文件是否正在客户端设备上进行操作。该设备可以基于接收该触发以确定恶意文件是否正在客户端设备上进行操作，来确定与恶意文件相关联的网络活动简档。网络活动简档可以包括如下的信息，该信息与当恶意文件在测试环境中被执行时关联于恶意文件的网络活动有关。该设备可以监测与客户端设备相关联的网络活动。该设备可以基于监测与客户端设备相关联的网络活动，来确定与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档。该设备可以提供指示与客户端设备相关联的网络活动匹配与恶意文件相关联的网络活动简档的信息。

根据一些可能的实施方式，一种方法可以包括由设备监测与客户端设备集合相关联的网络活动。与客户端设备集合相关联的网络活动可以包括与网络地址集合相关联的第一网络活动和与客户端设备集合的端口集合相关联的第二网络活动。该方法可以包括由该设备将与客户端设备集合相关联的网络活动和网络活动简档集合中的网络活动简档进行匹配。网络活动简档可以是当在沙盒环境中测试与网络活动简档相关联的恶意文件时观察到的特定网络活动。该方法可以包括由该设备基于将与客户端设备集合相关联的网络活动和网络活动简档进行匹配，来提供恶意文件正在客户端设备集合中的客户端设备上进行操作的通知。

在一些可能的实施方式中，该方法进一步包括接收恶意文件，在沙盒环境中执行恶意文件，在沙盒环境中执行恶意文件的同时监测与恶意文件相关联的网络活动，基于监测与恶意文件相关联的网络活动来生成网络活动简档，以及存储与网络活动简档相关联的信息。

在一些可能的实施方式中，匹配与客户端设备集合相关联的网络活动可以进一步包括确定针对网络活动简档集合中的每个网络活动简档的得分。该得分可以表示网络活动简档和与客户端设备集合相关联的网络活动之间的相似性的度量。该方法可以包括基于针对网络活动简档的得分来确定与客户端设备集合相关联的网络活动与网络活动简档相匹配。

在一些可能的实施方式中，监测与客户端设备集合相关联的网络活动可以进一步包括对客户端设备集合的特定客户端设备执行端口扫描。将与客户端设备集合相关联的网络活动和网络活动简档集合中的网络活动简档进行匹配可以进一步包括将对特定客户端设备的端口扫描的结果与在测试环境中测试恶意文件时执行的另一个端口扫描进行匹配。

在一些可能的实施方式中，该方法可以进一步包括基于确定与客户端设备集合相关联的网络活动匹配网络活动简档，促使补救动作在客户端设备上被执行。该补救动作与补救恶意文件相关联。