用于檢測(cè)嵌入在任意位置的文件并且判定文件的信譽(yù)的系統(tǒng)和方法
【專利摘要】在一個(gè)示例實(shí)施例中提供了一種方法�����,其包括:識(shí)別與文件的開(kāi)始相關(guān)聯(lián)的文件格式標(biāo)識(shí)符���,基于文件格式標(biāo)識(shí)符解析文件直到識(shí)別出文件的結(jié)束,以及計(jì)算從文件的開(kāi)始到文件的結(jié)束的散列���。所述方法還可以包括:發(fā)送散列到信譽(yù)系統(tǒng)���,并且基于從信譽(yù)系統(tǒng)接收到的散列的信譽(yù)而采取策略動(dòng)作。
【專利說(shuō)明】用于檢測(cè)嵌入在任意位置的文件并且判定文件的信譽(yù)的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]概括地說(shuō)���,本說(shuō)明書涉及網(wǎng)絡(luò)安全領(lǐng)域�����,更具體地說(shuō)��,涉及用于檢測(cè)嵌入在任意位置的文件并且判定文件的信譽(yù)的系統(tǒng)和方法�����。
【背景技術(shù)】
[0002]在今天的社會(huì)中網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)變得越來(lái)越重要����。互聯(lián)網(wǎng)已經(jīng)可以使全世界的不同計(jì)算機(jī)網(wǎng)絡(luò)能夠互聯(lián)����。然而,有效地保護(hù)和維持穩(wěn)定的計(jì)算機(jī)和系統(tǒng)的能力對(duì)于部件制造商���、系統(tǒng)設(shè)計(jì)者和網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)說(shuō)�����,存在顯著的阻礙�����。通過(guò)由惡意操作者實(shí)現(xiàn)的不斷演進(jìn)的系列策略��,這個(gè)阻礙變得甚至更加復(fù)雜�。如果某類型的惡意軟件可以感染主機(jī)計(jì)算機(jī),那么它也能夠執(zhí)行任何數(shù)量的惡意動(dòng)作��,例如從主機(jī)計(jì)算機(jī)發(fā)送出垃圾郵件或者惡意電子郵件����、從與主機(jī)計(jì)算機(jī)相關(guān)聯(lián)的商業(yè)或者個(gè)人竊取敏感信息、傳播到其他主機(jī)計(jì)算機(jī)�、和/或協(xié)助分布式拒絕服務(wù)攻擊。此外���,惡意操作者可以將訪問(wèn)權(quán)出售或者給予給其他惡意操作者����,從而逐步升級(jí)對(duì)這些主機(jī)計(jì)算機(jī)的利用�。因此�,對(duì)于開(kāi)發(fā)創(chuàng)新工具以與允許惡意操作者利用計(jì)算機(jī)的策略而言仍然保有顯著的挑戰(zhàn)。
【專利附圖】
【附圖說(shuō)明】
[0003]為了提供對(duì)本公開(kāi)和其特征和優(yōu)點(diǎn)的更加完整的理解����,結(jié)合附圖對(duì)以下的描述進(jìn)行參考���,其中相似的參考數(shù)字代表相似的部分,其中:
[0004]圖1是示出了按照本說(shuō)明書的用于檢測(cè)嵌入任意位置的文件的網(wǎng)絡(luò)環(huán)境的示例實(shí)施例的簡(jiǎn)化框圖�����;
[0005]圖2是示出了可能與網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的額外細(xì)節(jié)的簡(jiǎn)化框圖�����;
[0006]圖3是示出了可能與網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的潛在操作的簡(jiǎn)化流程圖�;
[0007]圖4A-4B是示出了可能與網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的潛在操作的偽C代碼算法列表;以及
[0008]圖5A-5B提供了可能嵌入網(wǎng)絡(luò)流的任意位置的示例文件的十六進(jìn)制視圖����。
【具體實(shí)施方式】
[0009]在一個(gè)示例實(shí)施例中提供了一種方法,其包括:識(shí)別與文件的開(kāi)始相關(guān)聯(lián)的文件格式標(biāo)識(shí)符���,基于文件格式標(biāo)識(shí)符解析文件直到識(shí)別出文件的結(jié)束����,以及從文件的開(kāi)始到文件的結(jié)束計(jì)算散列。該方法還包括發(fā)送所述散列到信譽(yù)系統(tǒng)���,并且基于從信譽(yù)系統(tǒng)接收到的散列的信譽(yù)而采取策略動(dòng)作����。
[0010]在更具體的實(shí)施例中���,文件可以是可執(zhí)行文件��,并且格式標(biāo)識(shí)符可以包括表明特定操作系統(tǒng)的可執(zhí)行文件格式的“MZ”字符串�。解析文件可以包括解析文件中的報(bào)頭以判定文件的尺寸����,其可以被用于定位文件的結(jié)束。
[0011]示例實(shí)施例
[0012]轉(zhuǎn)到圖1�,圖1是網(wǎng)絡(luò)環(huán)境100的示例實(shí)施例的簡(jiǎn)化的框圖,在網(wǎng)絡(luò)環(huán)境100中可以檢測(cè)到嵌入在任意位置的文件����。網(wǎng)絡(luò)環(huán)境100可以包括節(jié)點(diǎn)(例如主機(jī)IlOa-1lOd)的局域網(wǎng)105,其可以通過(guò)具有嵌入的文件檢測(cè)模塊122的另一個(gè)節(jié)點(diǎn)(例如傳感器120)連接到互聯(lián)網(wǎng)115����。傳感器120還可以連接到信譽(yù)系統(tǒng)124�,其在一些實(shí)施例中可以是遠(yuǎn)程的�����、
基于云的信譽(yù)系統(tǒng)����。
[0013]通常����,節(jié)點(diǎn)是能夠在網(wǎng)絡(luò)上發(fā)送、接收���、或者傳送數(shù)據(jù)的任何系統(tǒng)�����、機(jī)器����、設(shè)備�、網(wǎng)絡(luò)元件、客戶端��、服務(wù)器、對(duì)等層���、服務(wù)�、應(yīng)用��、或者其他對(duì)象�����。網(wǎng)絡(luò)環(huán)境100中的節(jié)點(diǎn)之間的鏈路代表兩個(gè)節(jié)點(diǎn)可以通過(guò)其通信的任何介質(zhì)�。介質(zhì)可以是有形介質(zhì)(例如電纜或者光纖線纜)或者無(wú)形介質(zhì)(例如用于無(wú)線通信的無(wú)線電波)。
[0014]因此��,每個(gè)主機(jī)IlOa-1lOd可以相互通信����,并且與鏈接到互聯(lián)網(wǎng)115的遠(yuǎn)程節(jié)點(diǎn)(例如傳感器120、網(wǎng)絡(luò)服務(wù)器125��、郵件服務(wù)器130����、和/或即時(shí)消息傳送服務(wù)器135)通信。主機(jī)IlOa-1lOd還可以例如通過(guò)郵件服務(wù)器130與遠(yuǎn)程主機(jī)140交換電子郵件消息�。通常�,主機(jī)IlOa-1lOd可以是能夠運(yùn)行程序的任何類型的節(jié)點(diǎn)����。按照最通常的理解���,主機(jī)可以是通用目的的計(jì)算機(jī)���,例如臺(tái)式計(jì)算機(jī)、工作站計(jì)算機(jī)��、服務(wù)器��、膝上計(jì)算機(jī)��、平板計(jì)算機(jī)(例如iPad)����、或者移動(dòng)電話(例如iPhone)。例如集線器��、路由器��、交換機(jī)�、傳感器以及打印機(jī)的其他設(shè)備也可以是主機(jī)�,但是在某些上下文中也可以區(qū)別于其他類型的主機(jī)���,因?yàn)樗鼈兺ǔ1慌渲脼樘囟康牡挠?jì)算機(jī)�����。
[0015]圖1中的每個(gè)元件可以通過(guò)簡(jiǎn)單網(wǎng)絡(luò)接口或者通過(guò)任何其他合適的連接(有線的或者無(wú)線的)彼此耦合��,所述連接提供了網(wǎng)絡(luò)通信的可行路徑����。此外���,這些元件中的任何一個(gè)或多個(gè)可以基于特定配置需要而被合并或者從架構(gòu)移除���。網(wǎng)絡(luò)環(huán)境100可以包括能夠傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)通信的配置,用于在網(wǎng)絡(luò)中傳送或者接收分組���。網(wǎng)絡(luò)環(huán)境100還可以在合適時(shí)和基于特定需而連同用戶數(shù)據(jù)報(bào)協(xié)議/IP (UDP/IP)或者任何其他合適的協(xié)議一起進(jìn)行操作����。
[0016]為了解釋用于檢測(cè)嵌入在網(wǎng)絡(luò)環(huán)境的任意位置的文件的系統(tǒng)和方法的技術(shù)的目的�,理解發(fā)生在給定網(wǎng)絡(luò)內(nèi)的某些活動(dòng)是重要的�。以下的基本信息可以被視為可以合理解釋本公開(kāi)的基礎(chǔ)���。這樣的信息被認(rèn)真地提供����,僅僅是為了解釋的目的����,因此�����,不應(yīng)當(dāng)以任何方式解釋為限制本公開(kāi)的寬泛范圍和它的潛在應(yīng)用�����。
[0017]典型的網(wǎng)絡(luò)環(huán)境提供與其他網(wǎng)絡(luò)電通信的能力���。例如�,互聯(lián)網(wǎng)可以被用于訪問(wèn)以遠(yuǎn)程服務(wù)器為主機(jī)的網(wǎng)頁(yè)�����,以發(fā)送或者接收電子郵件(即電子郵件)消息、或者交換文件���。然而�,用于干擾正常操作或者獲取對(duì)機(jī)密信息的訪問(wèn)的新戰(zhàn)術(shù)持續(xù)涌現(xiàn)�����。例如��,威脅包括能夠通過(guò)對(duì)計(jì)算機(jī)����、網(wǎng)絡(luò)和/或數(shù)據(jù)的未授權(quán)訪問(wèn),對(duì)數(shù)據(jù)的未授權(quán)的銷毀���、公開(kāi)��、和/或修改�,和/或拒絕服務(wù)而干擾計(jì)算機(jī)或者網(wǎng)絡(luò)的正常操作的任何活動(dòng)�。
[0018]惡意軟件尤其代表了對(duì)于計(jì)算機(jī)安全的持續(xù)威脅?�!皭阂廛浖蓖ǔS米鲗?duì)任何敵意的���、入侵的或者煩人的軟件的標(biāo)簽��,例如計(jì)算機(jī)病毒�����、木馬�����、蠕蟲�����、bot�、間諜軟件�����、廣告軟件等�,但是也可以包括其他惡意軟件。惡意軟件通常還可以包括一個(gè)或多個(gè)傳播向量����,使它能夠在網(wǎng)絡(luò)中或者跨越其他網(wǎng)絡(luò)進(jìn)行散布����,并且在許多情況下�,可以采用包括公知的和新的弱點(diǎn)的組合的復(fù)雜攻擊方案。通常的傳播向量包括利用在本地網(wǎng)絡(luò)內(nèi)的主機(jī)上已知的弱點(diǎn)���,并且發(fā)送附有惡意程序的惡意電子郵件或者在電子郵件之內(nèi)提供惡意鏈接���。但是用于部署和利用惡意軟件的新戰(zhàn)術(shù)繼續(xù)呈現(xiàn)。例如��,惡意軟件可以被嵌入在其他類型的數(shù)據(jù)之內(nèi)����,如可攜式文檔格式(HF)文件、文字處理文檔�����、圖像文件����、網(wǎng)頁(yè)或者電子郵件消息附件。[0019]反病毒軟件已經(jīng)被用于阻止和移除許多類型的惡意軟件,并且已經(jīng)通常地采用了各種策略����。例如,基于簽名的檢測(cè)通常涉及在可執(zhí)行代碼之內(nèi)搜索數(shù)據(jù)的已知模式�����。然而��,基于簽名的檢測(cè)對(duì)于尚不知道簽名的新惡意軟件可能是低效率的����。反病毒軟件可能還具有其他缺點(diǎn),例如損害計(jì)算機(jī)的性能�����。用戶還可能在與反病毒軟件交互時(shí)遇到困難���,而用戶的不正確決定可能導(dǎo)致安全缺口。此外����,反病毒軟件通常在高新人級(jí)別的操作系統(tǒng)內(nèi)運(yùn)行,這可能產(chǎn)生額外的弱點(diǎn)。
[0020]一些信譽(yù)系統(tǒng)也可以針對(duì)一些類型的惡意軟件提供可行防御�。通常,信譽(yù)系統(tǒng)可以監(jiān)控活動(dòng)并且基于過(guò)去的行為分配信譽(yù)值或者分?jǐn)?shù)����。信譽(yù)值可以指示從良性的到惡意的范圍的不同級(jí)別的可信度。例如�����,文件信譽(yù)系統(tǒng)可以保持與文件相關(guān)聯(lián)的信譽(yù)值(例如最小風(fēng)險(xiǎn)���、未驗(yàn)證的�、高風(fēng)險(xiǎn)的等)��、或者更加通常是與文件的散列值相關(guān)聯(lián)的信譽(yù)值��。在這里以寬泛的含義使用的術(shù)語(yǔ)“文件”以包括任何單元的數(shù)據(jù)�,包括相關(guān)數(shù)據(jù)或者程序指令的任何集合,并且以通常的意義���,“散列值”是由散列函數(shù)返回的任何值�,其映射一個(gè)數(shù)據(jù)集(例如文件的內(nèi)容)到更小的數(shù)據(jù)集(例如固定尺寸的位字符串)����。例如�����,如果文件散列值具有不可接受的信譽(yù)(例如不可接受的信譽(yù)指示了文件散列已知或者可能關(guān)聯(lián)于惡意活動(dòng))���,則文件信譽(yù)系統(tǒng)可以被用于彈出附加在電子郵件或者從網(wǎng)絡(luò)服務(wù)器下載的文件。
[0021]然而���,反病毒軟件和信譽(yù)系統(tǒng)兩者都通常僅僅在文件可以被識(shí)別時(shí)有效�,而如果它嵌入在網(wǎng)絡(luò)流或者另一個(gè)類型的文件之中�,那么這可能是不可能的。網(wǎng)絡(luò)傳感器�����,例如防火墻和其他網(wǎng)絡(luò)入侵阻止技術(shù)����,可能不能夠識(shí)別嵌入在網(wǎng)絡(luò)流中的許多類型的文件。例如�,一些網(wǎng)絡(luò)傳感器可以被設(shè)計(jì)用于通過(guò)在網(wǎng)絡(luò)流的特定位置查找可執(zhí)行文件(例如超文本傳輸協(xié)議(HTTP)回應(yīng)附件���、電子郵件附件等等)來(lái)發(fā)現(xiàn)嵌入的惡意軟件�,但如果惡意軟件嵌入在沒(méi)有想到的位置(例如在圖像、電影或者可攜式文檔格式(HF)文件中)�����,或者在沒(méi)有解析的協(xié)議中(例如即時(shí)消息文件共享協(xié)議)��,那么它可能不能被發(fā)現(xiàn)����。這樣的弱點(diǎn)顯而易見(jiàn)但是在沒(méi)有想到的位置或者具有沒(méi)有解析的協(xié)議的密寫(steganographically)嵌入的惡意軟件利用。此外�,即使惡意文件可以由一些傳感器檢測(cè)到,它們可能不能夠檢測(cè)到文件的開(kāi)始和結(jié)束�,因此不能夠使用反病毒軟件或者信譽(yù)系統(tǒng)來(lái)判定文件是否可疑或者已知是惡意的。例如���,PDF允許資源或者對(duì)象嵌入在文件中���,當(dāng)查看文件時(shí)可以使用或者顯示所述資源或?qū)ο蟆R虼?�,惡意可?zhí)行的可以被嵌入在另外的合法的PDF文件之內(nèi)����。盡管一般理解和記錄HF��,但是沒(méi)有很好的理解或者記錄嵌入資源的開(kāi)始和結(jié)束的位置���,因此潛在地限制了評(píng)估這樣的資源的信譽(yù)的能力。
[0022]其他關(guān)注于阻止未授權(quán)的程序文件執(zhí)行的安全技術(shù)可能具有不期望的副作用����。例如,管理員可能負(fù)責(zé)制作關(guān)于商業(yè)活動(dòng)所有方面的廣泛策略����,以使雇員能夠從期望的和信任的網(wǎng)絡(luò)資源處得到軟件和其他電子數(shù)據(jù)。沒(méi)有適當(dāng)?shù)膹V泛策略��,雇員可能被阻止從沒(méi)有被特別授權(quán)的網(wǎng)絡(luò)資源處下載軟件和其他電子數(shù)據(jù)�,即使這樣的軟件和其他數(shù)據(jù)促進(jìn)合法的和必要的商業(yè)活動(dòng)。此外��,這樣的系統(tǒng)可能是太約束性�����,以致如果找到未授權(quán)的軟件��,則任何活動(dòng)可能被暫停�����,等待網(wǎng)絡(luò)管理員介入����。對(duì)于商業(yè)而言,這種類型的系統(tǒng)可能干擾合法的和必要的商業(yè)活動(dòng)����,造成雇員停工、損失收益�、顯著信息技術(shù)開(kāi)銷等等。
[0023]按照在這里公開(kāi)的實(shí)施例����,網(wǎng)絡(luò)環(huán)境100能夠通過(guò)檢測(cè)在任意位置嵌入的文件而克服這些不足(和其他的)。例如��,在更具體的實(shí)施例中���,通過(guò)在網(wǎng)絡(luò)流的分組(即從源到目的地的一系列的分組)中搜索文件格式標(biāo)識(shí)符��,可以在任意協(xié)議中檢測(cè)到文件的開(kāi)始�����,所述文件格式標(biāo)識(shí)符可以是能夠用于識(shí)別或者驗(yàn)證文件內(nèi)容和/或格式的任何數(shù)據(jù)�����,例如幻數(shù)或者文件簽名�。然后可以解析文件直到定位了文件的結(jié)束。文件的散列可以被計(jì)算并且發(fā)送到信譽(yù)系統(tǒng)以判定文件的信譽(yù)��??梢曰谖募男抛u(yù)采取適當(dāng)?shù)牟呗詣?dòng)作,例如終止或者阻斷網(wǎng)絡(luò)連接����、隔離文件、和/或改變用戶和/或管理員�。在文件被嵌入在網(wǎng)絡(luò)流內(nèi)的示例實(shí)施例中,可以不需要來(lái)自主機(jī)協(xié)議的任何支持(例如��,沒(méi)有HTTP內(nèi)容長(zhǎng)度支持)而定位文件的結(jié)束并且計(jì)算散列��。
[0024]網(wǎng)絡(luò)環(huán)境100可以特別有利于檢測(cè)嵌入在任意位置(例如在PDF文件中)的二進(jìn)制可執(zhí)行文件�,其可以被存儲(chǔ)在存儲(chǔ)器中或者可以被編碼到網(wǎng)絡(luò)流的一個(gè)或多個(gè)分組中。大多數(shù)操作系統(tǒng)要求二進(jìn)制可執(zhí)行文件(即包含程序指令的文件)遵從特定的格式���,以便加載器可以解析并且執(zhí)行指令���。這樣的格式可以被操作系統(tǒng)供應(yīng)商很好的記錄���,并且通常被軟件開(kāi)發(fā)者熟知并且理解����。例如,WINDOWS可攜可執(zhí)行(PE)文件通常包括可以被用于識(shí)別在另外的任意數(shù)據(jù)流中的文件的開(kāi)始的特定模式�。更具體的說(shuō),WINDOWS PE文件應(yīng)當(dāng)包括文件格式標(biāo)識(shí)符“MZ”和“ΡΕ00”����,其可以被加載器用來(lái)從其他文件類型中區(qū)分出有效的可執(zhí)行文件。因此��,例如可以通過(guò)在網(wǎng)絡(luò)流中定位這些字符串��,來(lái)檢測(cè)WINDOWS可執(zhí)行文件的開(kāi)始��。這個(gè)位置可以作為在網(wǎng)絡(luò)流中的偏移使用����,散列算法可以從其開(kāi)始��?����?蓤?zhí)行文件報(bào)頭和文件的個(gè)別部分報(bào)頭可以被解析(不需要解析容器的協(xié)議或者格式)以判定文件的尺寸�,其可以被用于定位文件的結(jié)尾�,而沒(méi)有來(lái)自容器協(xié)議(例如HTTP)或者文件(例如HF)的任何支持?��!皥?bào)頭”通常指被放置在數(shù)據(jù)或者代碼塊的開(kāi)始處的數(shù)據(jù)�。散列算法可以在文件的結(jié)束處停止��,并且散列可以被發(fā)送到信譽(yù)系統(tǒng)或者威脅智能系統(tǒng)來(lái)以接近零的誤報(bào)率判定那些可執(zhí)行 的信譽(yù)(例如骯臟)����。
[0025]轉(zhuǎn)到圖2,圖2是示出了可以與傳感器120的一個(gè)潛在實(shí)施例相關(guān)聯(lián)的額外細(xì)節(jié)的簡(jiǎn)化框圖����。傳感器120可以包括處理器205、存儲(chǔ)器元件210����、以及各種硬件和/或軟件元件�����。更特別的�,傳感器120可以包括嵌入式文件檢測(cè)模塊122�、散列模塊215、以及信譽(yù)查詢模塊220�。傳感器120可以進(jìn)一步包括各種數(shù)據(jù)元件,包括文件格式標(biāo)識(shí)符225��。
[0026]傳感器120可以在適當(dāng)處且基于特定需求而將信息保持在任何合適的存儲(chǔ)器元件(例如隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)����、只讀存儲(chǔ)器(ROM)��、可擦除可編程ROM (EPROM)���、電可擦除可編程ROM(EEPROM)��、專用集成電路(ASIC)等)���、軟件、硬件中、或者在任何其他合適的部件�����、設(shè)備��、元件���、或者對(duì)象中�����。在這里討論的任何存儲(chǔ)器項(xiàng)目(例如存儲(chǔ)器210)應(yīng)當(dāng)被理解為包含在寬泛的術(shù)語(yǔ)“存儲(chǔ)器元件”內(nèi)����。數(shù)據(jù)元件(例如文件格式標(biāo)識(shí)符225)可以設(shè)置在任何數(shù)據(jù)庫(kù)�����、寄存器�、隊(duì)列、表格�����、控制列表、或者其他存儲(chǔ)結(jié)構(gòu)中��,其所有都可以在任何合適的時(shí)間表處參考�����。任何這樣的存儲(chǔ)選項(xiàng)也可以像在這里所使用的那樣被包括在寬泛的術(shù)語(yǔ)“存儲(chǔ)器元件”內(nèi)�。
[0027]在某些示例實(shí)現(xiàn)中,在這里概述的功能可以由邏輯實(shí)現(xiàn)�����,所述邏輯被編碼在一個(gè)或多個(gè)有形介質(zhì)中(例如�����,在ASIC中提供的嵌入式邏輯�����、數(shù)字信號(hào)處理器(DSP)指令����、將由處理器或其它類似機(jī)器執(zhí)行的軟件(潛在包括對(duì)象代碼和源代碼)等)��,其可能包括非瞬態(tài)介質(zhì)。在這些實(shí)例的一些中��,存儲(chǔ)器元件(如圖2所顯示的)可以存儲(chǔ)用于在這里描述的操作的數(shù)據(jù)��。這包括可以存儲(chǔ)以下各項(xiàng)的存儲(chǔ)器元件:被執(zhí)行以實(shí)施在這里描述的活動(dòng)的軟件���、邏輯�、代碼�����、或者處理器指令���。
[0028]處理器可以執(zhí)行與數(shù)據(jù)相關(guān)聯(lián)的任何類型的指令�,以實(shí)現(xiàn)在這里詳細(xì)描述的操作���。在一個(gè)示例中����,處理器(如圖2所示)可以將元件或者物件(例如數(shù)據(jù))從一種狀態(tài)或者事物轉(zhuǎn)換到另一種狀態(tài)或者事物����。在另一個(gè)示例中�����,在這里概述的活動(dòng)可以借助固定邏輯或者可編程邏輯(例如由處理器執(zhí)行的軟件/計(jì)算機(jī)指令)實(shí)現(xiàn)����,在這里識(shí)別出的元件可以是一些類型的可編程處理器���、可編程數(shù)字邏輯(例如現(xiàn)場(chǎng)可編程門陣列(FPGA)�����、EPROM���、EEPROM)或者包括數(shù)字邏輯、軟件�、代碼、電子指令�、或者其中任何合適的組合的ASIC0在這里描述的任何潛在的處理元件�����、模塊�、以及機(jī)器應(yīng)當(dāng)被解釋為被包含在寬泛的術(shù)語(yǔ)“處理器”之內(nèi)�����。
[0029]在某些示例實(shí)現(xiàn)中��,傳感器120是網(wǎng)絡(luò)元件�����,其代表了任何網(wǎng)絡(luò)裝置���、服務(wù)器、路由器�����、交換機(jī)��、網(wǎng)關(guān)���、橋���、負(fù)載均衡器、防火墻���、入侵阻止系統(tǒng)�、處理器、模塊��、或者任何其他合適的設(shè)備���、部件����、元件��、或者可操作以在網(wǎng)絡(luò)環(huán)境中交換信息的對(duì)象���。網(wǎng)絡(luò)元件可以包括促進(jìn)其操作的任何合適的硬件����、軟件����、部件、模塊����、接口、或者對(duì)象��。這可能包括允許有效地交換數(shù)據(jù)或者信息的適當(dāng)算法和通信協(xié)議�。
[0030]在某些示例實(shí)現(xiàn)中,傳感器120可以包括如在這里概述的軟件(例如嵌入式文件檢測(cè)模塊122)以實(shí)現(xiàn)或者培養(yǎng)操作�。在其他實(shí)施例中,這樣的操作可以由硬件實(shí)施����,在這些元件外部實(shí)現(xiàn),或者包括在一些其他網(wǎng)絡(luò)設(shè)備中以實(shí)現(xiàn)意圖的功能���?��;蛘呷缭谶@里概述的,這些元件可以包括為了實(shí)現(xiàn)操作而協(xié)調(diào)的軟件(或者往復(fù)的軟件)���。在其他實(shí)施例中���,一個(gè)或者所有這些設(shè)備可以包括促進(jìn)其操作的任何合適的算法、硬件�����、軟件、部件���、模塊�、接口����、或者對(duì)象。
[0031]圖3是簡(jiǎn)化的流程圖300���,示出了可能與網(wǎng)絡(luò)環(huán)境100的某些示例實(shí)施例相關(guān)聯(lián)的潛在操作�。在一些實(shí)施例中���,這樣的操作可以由傳感器120實(shí)現(xiàn)(例如嵌入式文件檢測(cè)模塊122等)����,用來(lái)識(shí)別嵌入在網(wǎng)絡(luò)流的任意位置的文件���。
[0032]可以在305處檢測(cè)到新的網(wǎng)絡(luò)連接��。例如����,TCP通常通過(guò)握手打開(kāi)新的連接一主機(jī)發(fā)送具有一個(gè)被設(shè)定以指示正在進(jìn)行三次握手的TCP標(biāo)志位(即SYN位)的分組。因此通過(guò)識(shí)別SYN分組(即設(shè)定了 SYN位的分組)可以檢測(cè)到新的TCP連接�����。然而����,“連接”不限于使用可靠協(xié)議(例如TCP)的通信�����;連接還可以包括使用不可靠的協(xié)議(例如UDP或者IP)的通信����。在這樣的實(shí)施例中,可以追蹤網(wǎng)絡(luò)流以檢測(cè)新的網(wǎng)絡(luò)流�。在310處,對(duì)于在網(wǎng)絡(luò)流中的每個(gè)分組����,可以在分組中檢查文件格式標(biāo)識(shí)符,其可以例如被存儲(chǔ)在文件格式標(biāo)識(shí)符255中����。在315處���,如果找到了文件格式標(biāo)識(shí)符,那么可以指示文件的開(kāi)始��,并且在320處可以開(kāi)始散列算法�。在325處,對(duì)于通過(guò)網(wǎng)絡(luò)連接傳輸?shù)拿總€(gè)后續(xù)分組�����,可以檢查分組以識(shí)別文件的結(jié)束�。例如,可以識(shí)別標(biāo)記了文件的結(jié)束的第二文件格式標(biāo)識(shí)符�,或者文件報(bào)頭可以指示文件的尺寸。在后一情況中�,在分組中的每個(gè)文件部分的尺寸可以被增加直到識(shí)別到具有最后字節(jié)的分組。在330處�,如果識(shí)別出文件的結(jié)束,則散列算法可以在335處結(jié)束����。在340處,散列可以被發(fā)送到信譽(yù)系統(tǒng)��,并且在345處,可以基于來(lái)自信譽(yù)系統(tǒng)的回應(yīng)采取適當(dāng)?shù)牟呗詣?dòng)作���。
[0033]圖4A-4B提供示出了可以與網(wǎng)絡(luò)環(huán)境100的更具體的實(shí)施例相關(guān)聯(lián)的潛在操作的偽代碼的列表400�。在一些實(shí)施例中���,這樣的操作可以由傳感器120(例如嵌入式文件檢測(cè)模塊122等)實(shí)現(xiàn),以識(shí)別嵌入在網(wǎng)絡(luò)連接的任意位置的文件���。
[0034]在圖4A-4B中的偽代碼通常是算法的壓縮和非正式的高級(jí)別描述���。列表400包括基于C編程語(yǔ)言的結(jié)構(gòu)約定,但是可能省略某些細(xì)節(jié)以促進(jìn)理解算法的某些原理���。例如����,變量聲明���、特定系統(tǒng)代碼�����、以及子程序通常被省略���。偽代碼被用細(xì)節(jié)的自然語(yǔ)言描述增大�����,其通常嵌入在/*和*/對(duì)之間或者在Il之后�����。
[0035]圖5A-5B提供可能嵌入在網(wǎng)絡(luò)流的任意位置的示例WINDOWS PE文件500的十六進(jìn)制的視圖(即“十六進(jìn)制轉(zhuǎn)儲(chǔ)”)���。在圖5A-5B中的第一列代表對(duì)于每一行中的第一字節(jié)的存儲(chǔ)器地址偏移(以十六進(jìn)制記法),而最后一列提供每一行的明文翻譯���。示例文件500的這一視圖被提供僅僅作為權(quán)宜工具�,用于進(jìn)一步解釋參考列表400描述的某些操作�。
[0036]在圖4A-4B的示例實(shí)施例中,操作可以被用于識(shí)別和解析嵌入在網(wǎng)絡(luò)流的任意位置的WINDOWS可執(zhí)行文件�����。在圖4A的示例列表中的行402處�����,指針(“ptr”)可以被設(shè)定到網(wǎng)絡(luò)流(“流”)的開(kāi)始。因此�,網(wǎng)絡(luò)流的第一字節(jié)可以被指針“ptr[0]”代表、第二字節(jié)被“ptr [I] ”代表��、第三字節(jié)被“ptr [2] ”代表����,等等。在包含示例文件500的流中�����,變量“ptr”可以指向十六進(jìn)制地址00000000�。應(yīng)當(dāng)注意選擇這個(gè)地址僅僅是為了簡(jiǎn)化圖示����;實(shí)際上,地址可以顯著不同�。由于WINDOWS可執(zhí) 行文件通常在最先的兩個(gè)字節(jié)由“MZ”開(kāi)始,因此在ptr [O]和ptr [I]的值可以被評(píng)估并與這一字符串進(jìn)行比較����。如果在行404處第一字節(jié)(即Ptr [O])不是“M”(由十六進(jìn)制記法0x4D代表)��、在行406處第二字節(jié)(即ptr [I])不是“Z”(由十六進(jìn)制記法0x5A代表)���、并且在行408處具有某些位被掩碼的第四字節(jié)(即由OxFE掩碼的ptr [3])不是零,那么在行401處可能不需要進(jìn)一步的評(píng)估并且算法可以終止(例如退出)���。這三個(gè)條件分別在示例文件500中的504�、506����、以及508處得到滿足。
[0037]如果滿足全部三個(gè)條件����,則可以為與WINDOWS可執(zhí)行文件格式模式的一致性而評(píng)估額外的字節(jié),以減少誤報(bào)識(shí)別���。例如��,在行412處通過(guò)將指針設(shè)定到第五字節(jié)(即流+4)可以評(píng)估流中接下來(lái)的四個(gè)字節(jié)����。如果在流中分別在行414�����、416和418處的第六(ptr[l])、第七(被OxEO掩碼的ptr [2])���、以及第八(ptr [3])字節(jié)不全是零���,那么算法可以在行420處終止。示例文件500分別在514����、516以及518處匹配這個(gè)全零模式。接下來(lái)的四個(gè)字節(jié)也通常在WINDOWS可執(zhí)行文件中展現(xiàn)一致模式�,因此在行422處指針可以被設(shè)定到第九字節(jié)(即流+8)。如果分別在行424�����、426以及428處的第九(由OxCO掩碼的ptr[0])����、第十(ptr [I])��、以及第十二(由OxFE掩碼的ptr [3])字節(jié)不全是零,那么在行430處算法可以終止��。示例文件500分別在524、526以及528處匹配這個(gè)全零的模式���。
[0038]如果最先的四個(gè)字節(jié)匹配“MZ”模式(并且可選的��,接下來(lái)的八個(gè)字節(jié)也匹配上面描述的模式)���,則在行432處散列函數(shù)可以從流的開(kāi)始并行地開(kāi)始散列字節(jié)。
[0039]可以解析后續(xù)的文件結(jié)構(gòu)以定位文件的結(jié)束����。例如,圖形環(huán)境的WINDOWS可執(zhí)行二進(jìn)制文件可以在偏移0x3C處指定另一格式標(biāo)識(shí)符“ΡΕ00”的位置�����。因此��,通過(guò)檢查從流的開(kāi)始偏移0x3C的四個(gè)字節(jié)字���,可以在行434處判定期望的位置�。例如���,在示例文件500中在0x3C偏移534指示字符串(以及“PE報(bào)頭”的開(kāi)始)應(yīng)當(dāng)被在OOOOOOfO處發(fā)現(xiàn)(注意���,在示例文件500中的四字節(jié)字是小字節(jié)序格式)����。在示例文件500中���,字符串“ΡΕ00”的十六進(jìn)制等同物是在536處��,在地址OOOOOOfO處開(kāi)始���。如果在行436處在期望的位置沒(méi)有找到字符串“ΡΕ00”,那么在行438處算法可以終止�。
[0040]WINDOWS可執(zhí)行二進(jìn)制文件還可以包括可選的報(bào)頭和一個(gè)或多個(gè)部分,例如數(shù)據(jù)部分�����、資源部分等�����?��?蛇x的報(bào)頭的尺寸可以被指定在從PE報(bào)頭開(kāi)始的20字節(jié)的偏移處(例如在示例文件500的540處)�,其可以在行440處取回�����,并且在442處�,可以從PE報(bào)頭開(kāi)始的6字節(jié)的偏移處(例如在示例文件500的542處)取回部分的數(shù)量。每個(gè)部分可以包括40字節(jié)長(zhǎng)的部分報(bào)頭(例如報(bào)頭543a-543c)�����,而且每個(gè)部分報(bào)頭可以包括8字節(jié)的部分名稱以及4字節(jié)的虛擬尺寸���。因此��,在最后部分報(bào)頭內(nèi)的位置可以在行444處判定����。
[0041]可執(zhí)行二進(jìn)制文件還可以包括附在文件的證書或者其他部件對(duì)象�。例如在行446處,在WINDOWS PE文件中�,例如證書通常可以在從PE報(bào)頭開(kāi)始的152字節(jié)偏移處識(shí)別出��。證書通常是固定長(zhǎng)度,且證書的尺寸可以在行448處判定��。如果沒(méi)有識(shí)別到證書����,則可以在行450處將尺寸設(shè)定為零。
[0042]可以在最后部分的報(bào)頭中指定最后部分的尺寸�����,例如在示例文件500的552處�����,并且在行452處取回�����。從PE報(bào)頭的開(kāi)始的原始數(shù)據(jù)的偏移也可以在最后部分報(bào)頭中識(shí)別出�����,例如在示例文件500中的554處�,并且在行454處取回。通過(guò)對(duì)(如果有的話)原始數(shù)據(jù)偏移值���、原始數(shù)據(jù)的尺寸以及證書的尺寸進(jìn)行加和�,可以在行456處計(jì)算文件的總共尺寸�。
[0043]如果處理過(guò)的字節(jié)的數(shù)量等于在行456處判定的文件的總共尺寸,那么可以在行458處停止散列函數(shù)����,并且在行460處散列值可以被發(fā)送到信譽(yù)系統(tǒng),以評(píng)估文件的信譽(yù)�����。在462處����,可以基于來(lái)自信譽(yù)系統(tǒng)的回應(yīng),采取適當(dāng)?shù)牟呗詣?dòng)作�。
[0044]通常,通過(guò)平衡不正確的散列計(jì)算率與散列碰撞率�����,可以選擇應(yīng)用到文件的散列函數(shù)以最小化與在信譽(yù)系統(tǒng)中的散列值的誤報(bào)匹配���。例如�����,可以以小于1%誤差來(lái)計(jì)算MD5散列�����,并且由于MD5碰撞通常非常稀少�����,因此不太可能這些錯(cuò)誤的散列會(huì)匹配信譽(yù)系統(tǒng)已知的惡意軟件��。因此���,網(wǎng)絡(luò)環(huán)境100可以顯著增加發(fā)現(xiàn)文件并且查詢信譽(yù)系統(tǒng)的機(jī)會(huì)����,同時(shí)還確保極少的誤報(bào)率��。
[0045]網(wǎng)絡(luò)環(huán)境100可以提供顯著的優(yōu)點(diǎn)�,其中一些已經(jīng)被討論過(guò)了。例如��,在典型的企業(yè)場(chǎng)景中�����,嵌入在任意網(wǎng)絡(luò)位置(例如,即時(shí)消息傳送文件傳輸���、在圖像文件中,等)的可執(zhí)行文件可以被檢測(cè)到����,而不考慮操作系統(tǒng)或者協(xié)議。由于容器協(xié)議和文件不需要被解析��,即網(wǎng)絡(luò)環(huán)境100不需要解析HTTP�、SMTP、FTP���、PDF等以檢測(cè)嵌入的文件��,所以網(wǎng)絡(luò)環(huán)境100也可以實(shí)質(zhì)上減少處理周期和存儲(chǔ)器使用��。并且雖然已經(jīng)參考特定類型的文件(即WINDOWSPE文件)描述了網(wǎng)絡(luò)環(huán)境100的一些潛在操作�����,但這樣的操作容易擴(kuò)展到其他文件類型�����,例如包括具有文件格式標(biāo)識(shí)符和已知的或者可以被反向工程的格式的文件類型��。
[0046]在上面提供的示例中����,還有許多其他潛在示例中,可以以兩個(gè)��、三個(gè)或者四個(gè)網(wǎng)絡(luò)元件描述交互�����。然而����,這僅僅是出于清晰和示例的目的進(jìn)行的。在某些情況下�,通過(guò)僅僅參考有限數(shù)量的網(wǎng)絡(luò)元件,可以更容易地描述給定操作集的一個(gè)或多個(gè)功能��。應(yīng)當(dāng)理解�,網(wǎng)絡(luò)環(huán)境100是容易擴(kuò)展的并且可以容納大量的部件,還有更復(fù)雜的/精細(xì)的布置和配置�。因此��,當(dāng)潛在地應(yīng)用于無(wú)數(shù)其他架構(gòu)時(shí)��,所提供的示例不應(yīng)當(dāng)限制網(wǎng)絡(luò)環(huán)境100的范圍或者禁止網(wǎng)絡(luò)環(huán)境100的寬泛教導(dǎo)��。此外���,盡管參考特定的場(chǎng)景進(jìn)行了描述�,其中特定的模塊被提供在網(wǎng)絡(luò)元件之內(nèi),但這些模塊可以被外部提供��,或者以任何合適的方式整合和/或組合����。在某些實(shí)例中,這樣的模塊可以設(shè)置在單個(gè)專屬單元中�。
[0047]注意到以下也是重要的:在附圖中的步驟僅僅示出可以被網(wǎng)絡(luò)環(huán)境100執(zhí)行或者在網(wǎng)絡(luò)環(huán)境100之內(nèi)執(zhí)行的一些可能的場(chǎng)景和模式。這些步驟中的一些可以在適當(dāng)?shù)牡胤奖粍h除或者移除����,或者這些步驟可以做出大量修改或者改變而不偏離在這里提供的教導(dǎo)的范圍。此外����,若干這些操作已經(jīng)被描述為同時(shí)于或者并行于一個(gè)或多個(gè)額外的操作執(zhí)行�����。然而��,這些操作的正時(shí)可以被顯著變更���。為了示例和討論的目的,已經(jīng)給出了前面的操作流����。提供實(shí)質(zhì)的靈活性體現(xiàn)在:可以提供任何合適的布置、順序����、配置、以及正時(shí)機(jī)制����,而不偏離在這里提供的教導(dǎo)。
[0048]本領(lǐng)域的技術(shù)人員可以確定大量其他改變�����、替代、變化�����、變更以及修改�,并且本公開(kāi)旨在包含所有這樣的改變、替代�、變化、變更以及修改����,視為落在所附權(quán)利要求的范圍之內(nèi)。為了協(xié)助美國(guó)專利商標(biāo)局(USPTO)以及基于本申請(qǐng)發(fā)表的任何專利的任何讀者解釋所附于此的權(quán)利要求��, 申請(qǐng)人:希望指出 申請(qǐng)人::(a)不意圖任何所附的權(quán)利要求引用35U.S.C段落112的段落六(6)���,因?yàn)樗嬖谟谄溥f交日,除非詞語(yǔ)“用于…的模塊”或者“用于…的步驟”被特別用于特定的權(quán)利要求����;以及(b)不打算通過(guò)在說(shuō)明書中的任何陳述以不在所附權(quán)利要求中反映的任 何形式限制本公開(kāi)。
【權(quán)利要求】
1.一種方法���,包括: 識(shí)別與文件的開(kāi)始相關(guān)聯(lián)的文件格式標(biāo)識(shí)符�����; 基于所述文件格式標(biāo)識(shí)符來(lái)解析所述文件以識(shí)別所述文件的結(jié)束��;以及 計(jì)算從所述文件的開(kāi)始到所述文件的結(jié)束的散列值���。
2.如權(quán)利要求1所述的方法����,進(jìn)一步包括: 發(fā)送所述散列值到信譽(yù)系統(tǒng)����; 接收與所述散列值相關(guān)聯(lián)的信譽(yù)值;以及 基于所述信譽(yù)值采取策略動(dòng)作����。
3.如權(quán)利要求1所述的方法,其中所述文件是二進(jìn)制文件��。
4.如權(quán)利要求1所述的方法�,其中: 所述文件是可執(zhí)行文件;以及 所述文件格式標(biāo)識(shí)符是包括“MZ”的字符串���。
5.如權(quán)利要求1所述的方法�����,其中: 所述文件是可執(zhí)行文件����;以及 所述文件格式標(biāo)識(shí)符是包括“PEOO”的字符串。
6.如權(quán)利要求1所述的方法�����,其中解析所述文件包括:解析在所述文件中的報(bào)頭���,以判定所述文件的尺寸����。
7.如權(quán)利要求1所述的方法�,其中: 所述文件是可執(zhí)行文件���; 所述文件格式標(biāo)識(shí)符是包括“MZ”的字符串���;以及 解析所述文件包括解析在所述文件中的報(bào)頭以判定所述文件的尺寸。
8.如權(quán)利要求1所述的方法����,其中解析所述文件包括:解析在所述文件中的報(bào)頭�,以檢測(cè)與所述文件相關(guān)聯(lián)的證書�。
9.如權(quán)利要求1所述的方法,其中所述文件嵌入在網(wǎng)絡(luò)流中����。
10.如權(quán)利要求1所述的方法,其中所述文件借助容器嵌入在網(wǎng)絡(luò)流中���,并且所述文件被解析而所述容器不被解析����。
11.如權(quán)利要求1所述的方法�����,其中利用散列函數(shù)計(jì)算所述散列值�����,所述散列函數(shù)被選擇為在所述散列值不正確時(shí)最小化與惡意軟件的誤報(bào)匹配����。
12.—種被編碼在一個(gè)或多個(gè)非瞬態(tài)介質(zhì)中的邏輯��,所述邏輯包括用于執(zhí)行的代碼���,并且當(dāng)被一個(gè)或多個(gè)處理器執(zhí)行時(shí)所述邏輯能夠運(yùn)行以執(zhí)行包括以下步驟的操作: 識(shí)別與文件的開(kāi)始相關(guān)聯(lián)的文件格式標(biāo)識(shí)符; 基于所述文件格式標(biāo)識(shí)符解析所述文件以識(shí)別所述文件的結(jié)束����;以及 計(jì)算從所述文件的開(kāi)始到所述文件的結(jié)束的散列值。
13.如權(quán)利要求12所述的編碼的邏輯���,其中所述操作進(jìn)一步包括: 發(fā)送所述散列值到信譽(yù)系統(tǒng)���; 接收與所述散列值相關(guān)聯(lián)的信譽(yù)值;以及 基于所述信譽(yù)值采取策略動(dòng)作��。
14.如權(quán)利要求12所述的編碼的邏輯��,其中所述文件是二進(jìn)制文件�����。
15.如權(quán)利要求12所述的編碼的邏輯����,其中:所述文件是可執(zhí)行文件;以及 所述文件格式標(biāo)識(shí)符是包括“MZ”的字符串���。
16.如權(quán)利要求12所述的編碼的邏輯�����,其中: 所述文件是可執(zhí)行文件�����;以及 所述文件格式標(biāo)識(shí)符是包括“PEOO”的字符串����。
17.一種裝置�����,包括: 一個(gè)或多個(gè)處理器���,其能夠操作以執(zhí)行與文件檢測(cè)模塊相關(guān)聯(lián)的指令�,以便所述裝置被配置用于: 識(shí)別與文件的開(kāi)始相關(guān)聯(lián)的文件格式標(biāo)識(shí)符���; 基于所述文件格式標(biāo)識(shí)符解析所述文件以識(shí)別所述文件的結(jié)束����;以及 計(jì)算從所述文件的開(kāi)始到所述文件的結(jié)束的散列值。
18.如權(quán)利要求17所述的裝置�,其中所述裝置被進(jìn)一步配置用于: 發(fā)送所述散列 值到信譽(yù)系統(tǒng); 接收與所述散列值相關(guān)聯(lián)的信譽(yù)值�;以及 基于所述信譽(yù)值采取策略動(dòng)作。
19.如權(quán)利要求17所述的裝置���,其中所述文件是二進(jìn)制文件����。
20.如權(quán)利要求17所述的裝置��,其中: 所述文件是可執(zhí)行文件�;以及 所述文件格式標(biāo)識(shí)符是包括“MZ”的字符串。
【文檔編號(hào)】G06F21/30GK104025102SQ201280053542
【公開(kāi)日】2014年9月3日 申請(qǐng)日期:2012年10月16日 優(yōu)先權(quán)日:2011年10月18日
【發(fā)明者】D·L·H·馬, V·馬哈迪克, S·帕塔克 申請(qǐng)人:邁克菲公司