多文件惡意軟件分析的制作方法
【專利摘要】本公開的實施例涉及多文件惡意軟件分析��。一種設(shè)備可以標(biāo)識多個文件以用于多文件惡意軟件分析����。所述設(shè)備可以在惡意軟件測試環(huán)境中執(zhí)行所述多個文件��。所述設(shè)備可以針對指示惡意軟件的行為監(jiān)視所述惡意軟件測試環(huán)境���。所述設(shè)備可以檢測所述指示惡意軟件的行為���。所述設(shè)備可以基于檢測到指示惡意軟件的行為來執(zhí)行第一多文件惡意軟件分析或第二多文件惡意軟件分析��。所述第一多文件惡意軟件分析可以包括將所述多個文件劃分成兩個或更多個文件段以標(biāo)識所述多個文件中所包括的���、包括惡意軟件的文件的分區(qū)技術(shù)����。所述第二多文件惡意軟件分析可以包括修改對應(yīng)于所述多個文件的多個惡意軟件得分以標(biāo)識所述多個文件中所包括的、包括惡意軟件的所述文件的評分技術(shù)����。
【專利說明】
多文件惡意軟件分析
【背景技術(shù)】
[0001]惡意軟件(“malware”)可以是指用于破壞計算機操作、收集敏感信息�����、獲得到私有計算機系統(tǒng)的訪問等的任何軟件�。惡意軟件可以是指各種類型的敵意軟件或侵入式軟件,包括計算機病毒���、蠕蟲��、特洛伊木馬�����、勒索軟件���、間諜軟件、廣告軟件���、恐嚇軟件或其他惡意軟件���。
[0002]沙箱環(huán)境可以是指可以用于測試惡意軟件的計算環(huán)境�����。例如�����,沙箱環(huán)境可以用于執(zhí)行未測試的代碼���、不受信任的軟件(例如,來自未驗證的第三方)等����。沙箱環(huán)境可以提供用于執(zhí)行軟件程序而不允許軟件程序損害托管沙箱環(huán)境的設(shè)備的嚴格控制的資源集。例如���,沙箱環(huán)境可以限制被提供給軟件程序的訪問(例如�,可以限制網(wǎng)絡(luò)訪問����、用于檢查主機系統(tǒng)的訪問��、讀和/或?qū)懺L問等)以防止對托管設(shè)備的損害。
【發(fā)明內(nèi)容】
[0003]根據(jù)一些可能的實施方式���,一種設(shè)備可以包括一個或多個處理器�,其用于:標(biāo)識多個文件以用于多文件惡意軟件分析��。所述設(shè)備可以在惡意軟件測試環(huán)境中執(zhí)行所述多個文件��。所述設(shè)備可以針對指示惡意軟件的行為監(jiān)視所述惡意軟件測試環(huán)境�。所述設(shè)備可以檢測所述指示惡意軟件的行為。所述設(shè)備可以基于檢測到指示惡意軟件的行為來執(zhí)行第一多文件惡意軟件分析或第二多文件惡意軟件分析�。所述第一多文件惡意軟件分析可以包括將所述多個文件劃分成兩個或更多個文件段以標(biāo)識所述多個文件中所包括的、包括惡意軟件的文件的劃分技術(shù)��。所述第二多文件惡意軟件分析可以包括修改對應(yīng)于所述多個文件的多個惡意軟件得分以標(biāo)識所述多個文件中所包括的����、包括惡意軟件的所述文件的評分技術(shù)。
[0004]根據(jù)一些可能的實施方式����,其中當(dāng)所述一個或多個處理器執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析時,還用于:執(zhí)行所述第一多文件惡意軟件分析����;其中當(dāng)所述一個或多個處理器執(zhí)行所述第一多文件惡意軟件分析時��,還用于:將所述多個文件劃分成所述兩個或更多個文件段����;分離地分析所述兩個或更多個文件段���;標(biāo)識所述兩個或更多個文件段中包括惡意軟件的文件段��;并且基于標(biāo)識包括惡意軟件的所述文件段來標(biāo)識包括惡意軟件的所述文件��,所述文件被包括在所述文件段中��。
[0005]根據(jù)一些可能的實施方式��,其中當(dāng)所述一個或多個處理器分離地分析所述兩個或更多個文件段時�,還用于:使用第一惡意軟件測試環(huán)境來分析所述兩個或更多個文件段中的第一文件段����;并且使用與所述第一惡意軟件測試環(huán)境不同的第二惡意軟件測試環(huán)境來分析所述兩個或更多個文件段中的第二文件段。
[0006]根據(jù)一些可能的實施方式����,其中當(dāng)所述一個或多個處理器分離地分析所述兩個或更多個文件段時,還用于:在第一時間段期間分析所述兩個或更多個文件段中的第一文件段;并且在與所述第一時間段不同的第二時間段期間分析所述兩個或更多個文件段中的第二文件段���。
[0007]根據(jù)一些可能的實施方式,其中當(dāng)所述一個或多個處理器執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析時�,還用于:執(zhí)行所述第二多文件惡意軟件分析;其中當(dāng)所述一個或多個處理器執(zhí)行所述第二多文件惡意軟件分析時�����,還用于:修改對應(yīng)于所述多個文件的所述多個惡意軟件得分�;在修改所述多個惡意軟件得分之后,確定所述多個惡意軟件得分的惡意軟件得分滿足閾值��;標(biāo)識與所述惡意軟件得分相關(guān)聯(lián)的特定文件���;針對惡意軟件分析所述特定文件�;并且基于針對惡意軟件分析所述特定文件來標(biāo)識包括惡意軟件的所述文件�����,所述特定文件和所述文件是相同的文件�。
[0008]根據(jù)一些可能的實施方式,其中當(dāng)所述一個或多個處理器執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析時����,還用于:執(zhí)行所述第二多文件惡意軟件分析��;其中當(dāng)所述一個或多個處理器執(zhí)行所述第二多文件惡意軟件分析時��,還用于:修改對應(yīng)于所述多個文件的所述多個惡意軟件得分����;標(biāo)識附加的多個文件以用于所述多文件惡意軟件分析����,所述附加的多個文件包括未被包括在所述多個文件中的至少一個文件;同時地針對惡意軟件分析所述附加的多個文件����;基于分析所述附加的多個文件來修改對應(yīng)于所述附加的多個文件的附加的多個惡意軟件得分;確定所述多個惡意軟件得分或所述附加的多個惡意軟件得分中的惡意軟件得分滿足閾值���;標(biāo)識與所述惡意軟件得分相關(guān)聯(lián)的特定文件�;針對惡意軟件分析所述特定文件���;并且基于針對惡意軟件分析所述特定文件來標(biāo)識包括惡意軟件的所述文件��,所述特定文件和所述文件是相同的文件��。
[0009]根據(jù)一些可能的實施方式��,其中當(dāng)所述一個或多個處理器執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析時����,還用于:執(zhí)行所述第一多文件惡意軟件分析����;并且執(zhí)行所述第二多文件惡意軟件分析。
[0010]根據(jù)一些可能的實施方式�����,一種計算機可讀介質(zhì)可以存儲一個或多個指令��,所述一個或多個指令當(dāng)由一個或多個處理器執(zhí)行時使得所述一個或多個處理器標(biāo)識文件組以用于多文件惡意文件分析���。所述一個或多個指令可以使得所述一個或多個處理器在測試環(huán)境中同時地執(zhí)行所述文件組����。所述一個或多個指令可以使得所述一個或多個處理器針對指示惡意軟件的行為監(jiān)視所述測試環(huán)境���。所述一個或多個指令可以使得所述一個或多個處理器檢測指示惡意軟件的行為���。所述一個或多個指令可以使得所述一個或多個處理器將所述文件組劃分成兩個或更多個文件段�����。所述一個或多個指令可以使得所述一個或多個處理器針對惡意軟件分離地分析所述兩個或更多個文件段����。所述一個或多個指令可以使得所述一個或多個處理器基于分析所述兩個或更多個文件段來確定所述兩個或更多個文件段中所包括的文件段包括惡意軟件����。所述一個或多個指令可以使得所述一個或多個處理器基于確定所述文件段包括惡意軟件來分析所述文件段中所包括的至少一個文件的惡意軟件。
[0011]根據(jù)一些可能的實施方式���,其中當(dāng)所述一個或多個指令由所述一個或多個處理器執(zhí)行時����,還使得所述一個或多個處理器:確定所述文件段包括單個文件�;并且其中使得所述一個或多個處理器分析所述至少一個文件的所述一個或多個指令還使得所述一個或多個處理器:基于確定所述文件段包括所述單個文件來針對惡意軟件分析所述單個文件。
[0012]根據(jù)一些可能的實施方式���,其中當(dāng)所述一個或多個指令由所述一個或多個處理器執(zhí)行時��,還使得所述一個或多個處理器:確定所述文件段包括多個文件�;基于確定所述文件段包括多個文件來將所述文件段劃分成兩個或更多個附加的文件段;針對惡意軟件分析所述兩個或更多個附加的文件段�;基于分析所述兩個或更多個文件段來確定所述兩個或更多個附加的文件段中包括的另一文件段包括惡意軟件;并且其中使得所述一個或多個處理器分析所述至少一個文件的所述一個或多個指令還使得所述一個或多個處理器:基于確定另一文件段包括惡意軟件來分析所述至少一個文件��,所述至少一個文件被包括在所述另一文件段中����。
[0013] 根據(jù)一些可能的實施方式,其中當(dāng)所述一個或多個指令由所述一個或多個處理器執(zhí)行時�,還使得所述一個或多個處理器:基于這樣的可能性來確定所述文件段的大小�����,所述可能性是在所述段是這種大小時所述文件段包括惡意軟件的可能性��;并且
[0014] 其中使得所述一個或多個處理器將所述文件組劃分成兩個或更多個文件段的所述一個或多個指令還使得所述一個或多個處理器:形成具有所述大小的所述文件段���。
[0015] 根據(jù)一些可能的實施方式��,其中使得所述一個或多個處理器分離地分析所述兩個或更多個文件段的所述一個或多個指令還使得所述一個或多個處理器:使用不同的惡意軟件分析會話來分析所述兩個或更多個文件段�����。
[0016] 根據(jù)一些可能的實施方式���,其中當(dāng)所述一個或多個指令由所述一個或多個處理器執(zhí)行時���,還使得所述一個或多個處理器:
[0017] 基于檢測到指示惡意軟件的所述行為來修改對應(yīng)于所述文件組的惡意軟件得分組;并且確定所述惡意軟件得分組中的兩個或更多個惡意軟件得分滿足閾值��;并且其中使得所述一個或多個處理器將所述文件組劃分成兩個或更多個文件段的所述一個或多個指令還使得所述一個或多個處理器:基于確定所述兩個或更多個惡意軟件得分滿足所述閾值來將所述文件組劃分成兩個或更多個文件段���,所述兩個或更多個文件段對應(yīng)于所述兩個或更多個惡意軟件得分�。
[0018] 根據(jù)一些可能的實施方式�,其中所述文件段是第一文件段;其中當(dāng)所述一個或多個指令由所述一個或多個處理器執(zhí)行時�,還使得所述一個或多個處理器:基于分析所述兩個或更多個文件段來確定所述兩個或更多個文件段中包括的第二文件段不包括惡意軟件; 并且基于確定所述第二文件段不包括惡意軟件來防止所述第二文件段經(jīng)歷進一步的惡意軟件分析��。
[0019] 根據(jù)一些可能的實施方式�����,一種方法可以包括通過設(shè)備來標(biāo)識文件組以用于多文件惡意軟件分析�。所述方法可以包括通過所述設(shè)備在測試環(huán)境中同時地執(zhí)行所述文件組。 所述方法可以包括通過所述設(shè)備針對指示惡意軟件的行為監(jiān)視所述測試環(huán)境��。所述方法可以包括通過所述設(shè)備來檢測指示惡意軟件的行為����。所述方法可以包括通過所述設(shè)備基于檢測到指示惡意軟件的行為來修改對應(yīng)于所述文件組的惡意軟件得分組����。所述方法可以包括通過所述設(shè)備來確定所述惡意軟件得分組的惡意軟件得分滿足閾值�����。所述惡意軟件得分可以與所述文件組中所包括的文件相關(guān)聯(lián)����。所述方法可以包括通過所述設(shè)備基于確定所述惡意軟件得分滿足所述閾值來針對惡意軟件分析所述文件。
[0020] 根據(jù)一些可能的實施方式��,其中修改所述惡意軟件得分還包括:基于檢測到指示惡意軟件的所述行為來遞增對應(yīng)于所述文件組的惡意軟件計數(shù)器組��,所述惡意軟件計數(shù)器組被用于所述惡意軟件得分組����。
[0021] 根據(jù)一些可能的實施方式���,其中所述惡意軟件得分基于針對惡意軟件測試為肯定的所述文件被包括在多文件組中的次數(shù)的數(shù)量�。
[0022] 根據(jù)一些可能的實施方式����,還包括:標(biāo)識附加的文件組����,所述附加的文件組包括所述文件����;針對惡意軟件分析所述附加的文件組;基于分析所述附加的文件組來修改對應(yīng)于所述附加的文件組的附加的惡意軟件得分組��,所述附加的惡意軟件得分組包括所述惡意軟件得分����;并且其中確定所述惡意軟件得分滿足所述閾值還包括:基于修改所述附加的惡意軟件得分組來確定所述惡意軟件得分滿足所述閾值。
[0023]根據(jù)一些可能的實施方式��,還包括:確定所述惡意軟件得分組中的惡意軟件得分集合滿足所述閾值���;基于確定所述惡意軟件得分集合滿足所述閾值來將所述文件組的文件集劃分成兩個或更多個文件段�,所述文件集對應(yīng)于所述惡意軟件得分集合����;并且其中針對惡意軟件分析所述文件還包括:基于將所述文件集劃分成兩個或更多個文件段來針對惡意軟件分析所述文件,所述文件被包括在所述兩個或更多個文件段中的段中。
[0024]根據(jù)一些可能的實施方式���,還包括:從包括所述文件組的總文件組選擇附加的文件組���,所述附加的文件組包括所述文件組中包括的所述文件和所述文件組中未包括的至少一個文件;針對惡意軟件分析所述附加的文件組�����;基于分析所述附加的文件組來修改對應(yīng)于所述附加的文件組的附加的惡意軟件得分組�����,所述附加的惡意軟件得分組包括與所述文件相關(guān)聯(lián)的所述惡意軟件得分��;并且其中確定所述惡意軟件得分滿足所述閾值還包括:基于修改所述附加的惡意軟件得分組來確定所述惡意軟件得分滿足所述閾值�。
[0025]根據(jù)一些可能的實施方式,一種設(shè)備包括:用于標(biāo)識多個文件以用于多文件惡意軟件分析的裝置�����;用于在惡意軟件測試環(huán)境中執(zhí)行所述多個文件的裝置�����;用于針對指示惡意軟件的行為監(jiān)視所述惡意軟件測試環(huán)境的裝置�����;用于檢測指示惡意軟件的所述行為的裝置����;以及用于基于檢測到指示惡意軟件的所述行為來執(zhí)行第一多文件惡意軟件分析或第二多文件惡意軟件分析的裝置,所述第一多文件惡意軟件分析包括將所述多個文件劃分成兩個或更多個文件段以標(biāo)識所述多個文件中包括的�、包括惡意軟件的文件的劃分技術(shù),所述第二多文件惡意軟件分析包括修改對應(yīng)于所述多個文件的多個惡意軟件得分以標(biāo)識所述多個文件中包括的����、包括惡意軟件的所述文件的評分技術(shù)。
[0026]根據(jù)一些可能的實施方式�,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第一多文件惡意軟件分析的裝置;其中用于執(zhí)行所述第一多文件惡意軟件分析的所述裝置包括:用于將所述多個文件劃分成所述兩個或更多個文件段的裝置�;用于分離地分析所述兩個或更多個文件段的裝置;用于標(biāo)識所述兩個或更多個文件段中包括惡意軟件的文件段的裝置�;以及用于基于標(biāo)識包括惡意軟件的所述文件段來標(biāo)識包括惡意軟件的所述文件的裝置,所述文件被包括在所述文件段中��。
[0027]根據(jù)一些可能的實施方式��,其中用于分離地分析所述兩個或更多個文件段的裝置包括:用于使用第一惡意軟件測試環(huán)境來分析所述兩個或更多個文件段中的第一文件段的裝置�����;以及用于使用與所述第一惡意軟件測試環(huán)境不同的第二惡意軟件測試環(huán)境來分析所述兩個或更多個文件段中的第二文件段的裝置。
[0028]根據(jù)一些可能的實施方式�����,其中用于分離地分析所述兩個或更多個文件段的裝置包括:用于在第一時間段期間分析所述兩個或更多個文件段中的第一文件段的裝置���;以及用于在與所述第一時間段不同的第二時間段期間分析所述兩個或更多個文件段中的第二文件段的裝置�����。
[0029]根據(jù)一些可能的實施方式��,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第二多文件惡意軟件分析的裝置����;其中用于執(zhí)行所述第二多文件惡意軟件分析的裝置包括:用于修改對應(yīng)于所述多個文件的所述多個惡意軟件得分的裝置�;用于在修改所述多個惡意軟件得分之后確定所述多個惡意軟件得分的惡意軟件得分滿足閾值的裝置;用于標(biāo)識與所述惡意軟件得分相關(guān)聯(lián)的特定文件的裝置�;用于針對惡意軟件分析所述特定文件的裝置;以及用于基于針對惡意軟件分析所述特定文件來標(biāo)識包括惡意軟件的所述文件的裝置��,所述特定文件和所述文件是相同的文件���。
[0030]根據(jù)一些可能的實施方式��,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第二多文件惡意軟件分析的裝置��;其中用于執(zhí)行所述第二多文件惡意軟件分析的裝置包括:用于修改對應(yīng)于所述多個文件的所述多個惡意軟件得分的裝置�;用于標(biāo)識附加的多個文件以用于所述多文件惡意軟件分析的裝置���,所述附加的多個文件包括未被包括在所述多個文件中的至少一個文件�;用于同時地針對惡意軟件分析所述附加的多個文件的裝置����;用于基于分析所述附加的多個文件來修改對應(yīng)于所述附加的多個文件的附加的多個惡意軟件得分的裝置;用于確定所述多個惡意軟件得分或所述附加的多個惡意軟件得分中的惡意軟件得分滿足閾值的裝置��;用于標(biāo)識與所述惡意軟件得分相關(guān)聯(lián)的特定文件的裝置��;用于針對惡意軟件分析所述特定文件的裝置�;以及用于基于針對惡意軟件分析所述特定文件來標(biāo)識包括惡意軟件的所述文件的裝置,所述特定文件和所述文件是相同的文件�。
[0031]根據(jù)一些可能的實施方式,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第一多文件惡意軟件分析的裝置��;以及用于執(zhí)行所述第二多文件惡意軟件分析的裝置����?����!靖綀D說明】
[0032]圖1是本文中描述的示例實施方式的概覽圖����;
[0033]圖2是本文中描述的系統(tǒng)和/或方法可以被實施在其中的示例環(huán)境圖����;
[0034]圖3是圖2的一個或多個設(shè)備的示例部件的圖;
[0035]圖4是用于執(zhí)行多文件惡意軟件分析的示例過程的流程圖��;
[0036]圖5A和5B是與圖4中示出的示例過程有關(guān)的示例實施方式的圖��;
[0037]圖6是用于執(zhí)行將文件組劃分成兩個或更多個段以標(biāo)識包括惡意軟件的文件的多文件惡意軟件分析的示例過程的流程圖����;
[0038]圖7A和7B是與圖6中示出的示例過程有關(guān)的示例實施方式的圖;
[0039]圖8是用于執(zhí)行修改對應(yīng)于文件組的惡意軟件得分組以標(biāo)識包括惡意軟件的文件的多文件惡意軟件分析的示例過程的流程圖�����;以及
[0040]圖9A-9C是與圖8中示出的示例過程有關(guān)的示例實施方式的圖���?��!揪唧w實施方式】
[0041]示例實施方式的下面的詳細描述引用附圖。在不同附圖中的相同參考標(biāo)記可以標(biāo)識相同或相似的元件��。
[0042]針對惡意軟件分析文件可能是計算代價高且耗時的過程����。例如,針對惡意軟件分析文件可能要求處理資源����、存儲資源以及時間。針對惡意軟件分析文件可能在單個地分析每個文件的惡意軟件時尤其代價高�。然而,同時分析文件組可能容易在標(biāo)識包括惡意軟件的特定文件時不準(zhǔn)確�。本文中描述的實施方式幫助準(zhǔn)確地對文件組進行分析以標(biāo)識包括惡意軟件的個體文件,由此節(jié)約計算資源�。
[0043]圖1是本文中描述的示例實施方式100的概覽圖。如圖1所示���,安全設(shè)備(例如�, 服務(wù)器�����、防火墻、路由器��、網(wǎng)關(guān)等)可以接收要使用多文件惡意軟件分析來分析惡意軟件的文件組����。而不是單個地針對惡意軟件分析每個文件,安全設(shè)備可以將所述文件作為組進行分析���。例如�����,安全設(shè)備可以在沙箱環(huán)境中執(zhí)行所述文件組����,并且可以針對指示惡意軟件的行為監(jiān)視沙箱環(huán)境����。安全設(shè)備可以執(zhí)行一種或多種多文件惡意軟件分析技術(shù)來標(biāo)識所述文件組中所包括的、作為惡意軟件的一個或多個文件����。在本文中的其他地方更詳細地描述這些多文件惡意軟件分析技術(shù)�。
[0044]作為示例��,如果安全設(shè)備在沙箱環(huán)境中執(zhí)行所述文件組之后(例如�,在經(jīng)過閾值時間量之后)沒有檢測到指示惡意軟件的行為,則安全設(shè)備可以指示所述文件組不包括惡意軟件�����。作為另一示例��,安全設(shè)備可以修改與所述文件組相關(guān)聯(lián)的惡意軟件得分����,并且可以使用惡意軟件得分來標(biāo)識要被分析惡意軟件的個體文件����。
[0045]在一些實施方式中,如果安全設(shè)備在沙箱環(huán)境中執(zhí)行所述文件組之后檢測到指示惡意軟件的行為�����,則安全設(shè)備可以通過將所述文件組劃分成兩個或更多個文件段來執(zhí)行劃分技術(shù)�����。安全設(shè)備可以針對惡意軟件分析所述段,并且可以繼續(xù)以這種方式分析文件直到已經(jīng)標(biāo)識出個體惡意軟件文件��。例如����,安全設(shè)備可以對與指示惡意軟件的行為相關(guān)聯(lián)的段進行進一步劃分直到個體文件已經(jīng)被標(biāo)識為惡意軟件。
[0046]附加地或備選地��,如果安全設(shè)備在沙箱環(huán)境中執(zhí)行所述文件組之后檢測到指示惡意軟件的行為���,則安全設(shè)備可以通過修改對應(yīng)于所述文件組的惡意軟件得分組來執(zhí)行評分技術(shù)��。安全設(shè)備可以選擇要被分析的附加的文件組(例如���,其可以包括來自先前分析的組的一個或多個文件),并且可以繼續(xù)以這種方式分析文件直到已經(jīng)標(biāo)識出個體惡意軟件文件�。例如,當(dāng)與個體文件相關(guān)聯(lián)的惡意軟件得分滿足閾值時��,安全設(shè)備可以針對惡意軟件分析個體文件����。
[0047]通過這種方式,安全設(shè)備可以通過將多個文件作為組來分析惡意軟件、而不是單個地分析每個文件的惡意軟件來節(jié)約計算資源����。
[0048]圖2是本文中描述的系統(tǒng)和/或方法可以被實施在其中的示例環(huán)境200的圖;如圖2所示��,環(huán)境200可以包括一個或多個客戶機設(shè)備210-1到210-N(N彡1)(下文共同地被稱為“客戶機設(shè)備210”并且單個地被稱為“客戶機設(shè)備210”)����、安全設(shè)備220、客戶網(wǎng)絡(luò) 230以及網(wǎng)絡(luò)240�。環(huán)境200的設(shè)備可以經(jīng)由有線連接���、無線連接����、或有線連接和無線連接的組合互相連接����。
[0049]客戶機設(shè)備210可以包括能夠執(zhí)行文件(例如,計算機文件)和/或?qū)ξ募?例如�����,計算機文件)進行分析的一個或多個設(shè)備。例如����,客戶機設(shè)備210可以包括臺式計算機、 筆記本計算機�、平板計算機、移動電話(例如���,智能電話����、無線電話等)��、服務(wù)器�����、或相似類型的設(shè)備�����。在一些實施方式中���,客戶機設(shè)備210可以能夠執(zhí)行包括惡意軟件的文件和/或?qū)Π◥阂廛浖奈募M行分析���,所述惡意軟件可以造成對客戶機設(shè)備210�、由客戶機設(shè)備210 存儲的信息�、客戶機設(shè)備210的用戶、和/或另一客戶機設(shè)備210的損害�。在一些實施方式中,客戶機設(shè)備210可以駐留在客戶網(wǎng)絡(luò)230上����。在一些實施方式中,客戶機設(shè)備210可以在客戶機設(shè)備210上執(zhí)行用于多文件惡意軟件分析的沙箱環(huán)境(例如���,代替或除了安全設(shè)備220在安全設(shè)備220上執(zhí)行用于多文件惡意軟件分析的沙箱環(huán)境)�����。例如,如在本文中其他地方更詳細描述的�,客戶機設(shè)備210可以對文件組進行分析以標(biāo)識包括惡意軟件的個體文件。
[0050]安全設(shè)備220可以包括能夠處理和/或傳送與客戶機設(shè)備210相關(guān)聯(lián)的網(wǎng)絡(luò)流量�、和/或能夠為客戶機設(shè)備210和/或客戶網(wǎng)絡(luò)230提供安全性服務(wù)(例如,惡意軟件檢測服務(wù))的一個或多個設(shè)備���。例如�,安全設(shè)備220可以包括網(wǎng)關(guān)、防火墻����、路由器、橋����、集線器、交換機��、負載平衡器�����、接入點���、反向代理�、服務(wù)器(例如����,代理服務(wù)器)、或相似類型的設(shè)備�。安全設(shè)備220可以與單個客戶機設(shè)備210或客戶機設(shè)備的組210 (例如,與專用網(wǎng)絡(luò)����、 數(shù)據(jù)中心等相關(guān)聯(lián)的客戶機設(shè)備210)結(jié)合使用����。在一些實施方式中��,通信可以被路由通過安全設(shè)備220以到達所述客戶機的組210�。例如,安全設(shè)備220可以被定位在網(wǎng)絡(luò)內(nèi)作為到包括所述客戶機設(shè)備的組210的客戶網(wǎng)絡(luò)230的網(wǎng)關(guān)���。附加地或備選地�����,來自客戶機設(shè)備 210的通信可以被編碼�����,使得通信在被路由到其他地方之前被路由到安全設(shè)備220����。
[0051]在一些實施方式中�����,安全設(shè)備220可以在安全設(shè)備220上執(zhí)行用于多文件惡意軟件分析的沙箱環(huán)境����。例如,如在本文中其他地方更詳細描述的��,安全設(shè)備220可以對文件組進行分析以標(biāo)識包括惡意軟件的個體文件��。在一些實施方式中��,安全設(shè)備220可以執(zhí)行多個沙箱環(huán)境�,以用于在執(zhí)行惡意軟件分析時對文件進行并行處理。例如�����,安全設(shè)備220可以加載和/或托管對應(yīng)于多個沙箱環(huán)境的多個虛擬機��。附加地或備選地����,環(huán)境200可以包括每個執(zhí)行沙箱環(huán)境的多個安全設(shè)備220,以用于在惡意軟件分析期間對文件進行并行處理。
[0052]客戶網(wǎng)絡(luò)230可以包括一個或多個有線網(wǎng)絡(luò)和/或無線網(wǎng)絡(luò)��。例如��,客戶網(wǎng)絡(luò)230 可以包括局域網(wǎng)(LAN)、專用網(wǎng)絡(luò)����、內(nèi)聯(lián)網(wǎng)、云計算網(wǎng)絡(luò)�����、蜂窩網(wǎng)絡(luò)(例如��,長期演進(LTE) 網(wǎng)絡(luò)�����、3G網(wǎng)絡(luò)�、碼分多址(CDMA)網(wǎng)絡(luò)等)、公共陸地移動網(wǎng)絡(luò)(PLMN)���、廣域網(wǎng)(WAN)�����、城域網(wǎng) (MAN)�、電話網(wǎng)絡(luò)(公共交換電話網(wǎng)絡(luò)(PSTN)��、自組織網(wǎng)絡(luò)�、因特網(wǎng)、基于光纖的網(wǎng)絡(luò)等�、和/ 或這些類型的網(wǎng)絡(luò)或其他類型的網(wǎng)絡(luò)的組合。在一些實施方式中��,客戶網(wǎng)絡(luò)230可以是與客戶機設(shè)備210相關(guān)聯(lián)的專用網(wǎng)絡(luò)�。
[0053]網(wǎng)絡(luò)240可以包括一個或多個有線網(wǎng)絡(luò)和/或無線網(wǎng)絡(luò)。例如����,網(wǎng)絡(luò)240可以包括蜂窩網(wǎng)絡(luò)、PLMN�����、LAN�����、WAN����、MAN、電話網(wǎng)絡(luò)(例如��,PSTN)、專用網(wǎng)絡(luò)����、自組織網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)����、因特網(wǎng)、基于光纖的網(wǎng)絡(luò)���、云計算網(wǎng)絡(luò)等���、和/或這些類型的網(wǎng)絡(luò)或其他類型的網(wǎng)絡(luò)的組合。 在一些實施方式中�,安全設(shè)備220可以執(zhí)行用于分析文件組的多文件惡意軟件分析,所述文件組由一個或多個客戶機設(shè)備210從與網(wǎng)絡(luò)240相關(guān)聯(lián)的一個或多個設(shè)備(例如�,一個或多個服務(wù)器)請求。附加地或備選地��,文件組可以被推送到(例如�����,從與網(wǎng)絡(luò)240相關(guān)聯(lián)的一個或多個設(shè)備的)一個或多個客戶機設(shè)備210,并且安全設(shè)備220可以執(zhí)行用于分析所述文件組的多文件惡意軟件分析。
[0054]圖2中示出的設(shè)備和網(wǎng)絡(luò)的數(shù)目和布置被提供作為示例�����。在實踐中��,與圖2中示出的設(shè)備和網(wǎng)絡(luò)相比����,可以存在附加的設(shè)備和/或網(wǎng)絡(luò)����、更少的設(shè)備和/或網(wǎng)絡(luò)、不同的設(shè)備和/或網(wǎng)絡(luò)�����、或不同布置的設(shè)備和/或網(wǎng)絡(luò)�����。另外���,圖2中示出的兩個或更多個設(shè)備可以被實施在單個設(shè)備內(nèi)�,或圖2中示出的單個設(shè)備可以被實施為多個分布式設(shè)備。附加地或備選地�,環(huán)境200的設(shè)備的集合(例如,一個或多個設(shè)備)可以執(zhí)行描述為由環(huán)境200的另一設(shè)備的集合執(zhí)行的一個或多個功能�。
[0055]圖3是設(shè)備的示例部件的圖;設(shè)備300可以對應(yīng)于客戶機設(shè)備210和/或安全設(shè)備220����。在一些實施方式中,客戶機設(shè)備210和/或安全設(shè)備220可以包括一個或多個設(shè)備 300和/或設(shè)備300的一個或多個部件�����。如圖3所示����,設(shè)備300可以包括總線310、處理器 320���、存儲器330�、存儲部件340��、輸入部件350����、輸出部件360�����、以及通信接口 370����。
[0056]總線310可以包括允許在設(shè)備300的部件之間進行通信的部件�����。處理器320被實施在硬件�����、固件���、或硬件和軟件的組合中。處理器320可以包括處理器(例如����,中央處理單元(CPU)、圖形處理單元(GPU)�����、加速處理單元(APU)等)、微處理器�����、和/或解釋和/或執(zhí)行指令的任何處理部件(例如�,可編程門陣列(FPGA)、專用集成電路(ASIC)等)��。存儲器330 可以包括隨機訪問存儲器(RAM)����、只讀存儲器(ROM)、和/或存儲由處理器320使用的信息和/或指令的任何類型的動態(tài)或靜態(tài)存儲設(shè)備(例如�,閃速存儲器、磁性存儲器����、光學(xué)存儲器等)。
[0057] 存儲部件340可以存儲與設(shè)備300的操作和使用有關(guān)的信息和/或軟件�。例如, 存儲部件340可以包括硬盤(例如�����,磁盤�����、光盤、磁光盤���、固態(tài)盤等)����、緊湊盤(CD)��、數(shù)字多用盤(DVD)�、軟盤、卡盒����、磁帶��、和/或任何類型的計算機可讀介質(zhì)以及對應(yīng)的驅(qū)動器�。
[0058] 輸入部件350可以包括允許設(shè)備300諸如經(jīng)由用戶輸入(例如,觸摸屏顯示器�����、鍵盤�����、小鍵盤、鼠標(biāo)��、按鈕����、開關(guān)、麥克風(fēng)等)接收信息��。附加地或備選地���,輸入部件350可以包括用于感測信息的傳感器(例如����,全球定位系統(tǒng)(GPS)部件���、加速度計��、陀螺儀���、致動器等)。 輸出部件360可以包括提供來自設(shè)備300的輸出信息的部件(例如�,顯不器�、揚聲器�����、一個或多個發(fā)光二極管(LED)等)��。
[0059] 通信接口 370可以包括使得設(shè)備300能夠諸如經(jīng)由有線連接�、無線連接、或有線連接和無線連接的組合與其他設(shè)備進行通信的收發(fā)器類部件(例如���,收發(fā)器���、分離的接收器和發(fā)射器等)。通信接口 370可以允許設(shè)備300從另一設(shè)備接收信息和/或向另一設(shè)備提供信息��。例如���,通信接口 370可以包括以太網(wǎng)接口、光學(xué)接口�����、同軸接口�����、紅外接口、射頻 (RF)接口��、通用串行總線(USB)接口����、W1-Fi接口、蜂窩網(wǎng)絡(luò)接口等��。
[0060]設(shè)備300可以執(zhí)行本文中描述的一個或多個過程�。設(shè)備300可以響應(yīng)于處理器 320執(zhí)行由計算機可讀介質(zhì)(諸如存儲器330和/或存儲部件340)存儲的軟件指令來執(zhí)行這些過程。計算機可讀介質(zhì)在本文中被定義為非瞬態(tài)存儲器設(shè)備��。存儲設(shè)備包括單個物理存儲設(shè)備內(nèi)的存儲器空間或跨多個物理存儲設(shè)備分布的存儲器空間�����。
[0061]軟件指令可以經(jīng)由通信接口 370從另一計算機可讀介質(zhì)或從另一設(shè)備被讀入到存儲器330和/或存儲部件340中��。當(dāng)被執(zhí)行時���,存儲在存儲器330和/或存儲部件340 中的軟件指令可以使得處理器320執(zhí)行本文中描述的一個或多個過程����。附加地或備選地, 硬件電路可以代替軟件指令或與軟件指令結(jié)合使用以執(zhí)行本文中描述的一個或多個過程�����。 因此���,本文中描述的實施方式不限于硬件電路和軟件的任何特定組合���。
[0062]圖3中示出的部件的數(shù)目和布置被提供作為示例。在實踐中��,與圖3中示出的部件相比�����,設(shè)備300可以包括附加的部件�����、更少的部件��、不同的部件����、或不同布置的部件。附加地或備選地���,設(shè)備300的部件的集合(例如��,一個或多個部件)可以執(zhí)行描述為由設(shè)備300 的另一部件的集合執(zhí)行的一個或多個功能���。
[0063]圖4是用于執(zhí)行多文件惡意軟件分析的示例過程400的流程圖。在一些實施方式中�����,圖4的一個或多個過程框可以由安全設(shè)備220執(zhí)行�。在一些實施方式中,圖4的一個或多個過程框可以由諸如客戶機設(shè)備210的另一設(shè)備或與安全設(shè)備220分尚或包括安全設(shè)備220的設(shè)備的集合執(zhí)行���。
[0064]如圖4所示����,過程400可以包括標(biāo)識文件組以用于多文件惡意軟件分析(框410)���。 例如�����,安全設(shè)備220可以標(biāo)識兩個或更多個文件組以用于多文件惡意軟件分析�。在一些實施方式中,所述文件組可以與一個或多個客戶機設(shè)備210相關(guān)聯(lián)(例如�,可以由(多個)客戶機設(shè)備210存儲、可以執(zhí)行在(多個)客戶機設(shè)備210上�����、可以由(多個)客戶機設(shè)備 210請求��、可以被發(fā)送到(多個)客戶機設(shè)備210等)�。例如,所述文件組可以包括由(例如����,與客戶網(wǎng)絡(luò)230相關(guān)聯(lián)的)(多個)客戶機設(shè)備210請求的一個或多個文件。作為另一示例�����,所述文件組可以包括被推送到(多個)客戶機設(shè)備210的一個或多個文件�����。文件可以包括例如可執(zhí)行文件、應(yīng)用��、程序�、文檔�����、驅(qū)動程序����、腳本等。
[0065]在一些實施方式中��,安全設(shè)備220可以從較大的總文件組中標(biāo)識(例如�����,選擇)所述文件組(例如�����,所述文件組可以是所述總文件組的子集)��。例如���,安全設(shè)備220可以從所述總文件組中隨機地選擇所述文件組�。在一些實施方式中,安全設(shè)備220可以選擇用于形成所述文件組的文件�����,使得所述組有可能包括是惡意軟件的單個文件和不是惡意軟件的剩余的文件集�����。例如�����,所述總文件組可以經(jīng)歷可以指示所述總組中所包括的個體文件是惡意軟件的可能性的諸如(例如�����,使用反病毒應(yīng)用的)病毒分析的初始分析����。安全設(shè)備220可以使用這些可能性(例如,通過選擇具有是惡意軟件的高可能性(例如�����,最高可能性)的一個文件,以及具有是惡意軟件的低可能性(例如��,最低可能性)的多個文件)來創(chuàng)建文件組�����。
[0066]所述文件組可以與提供所述組中所包括的一個或多個文件的一個或多個源設(shè)備 (例如���,一個或多個服務(wù)器)相關(guān)聯(lián)。例如�,文件可以由(例如,與網(wǎng)絡(luò)240相關(guān)聯(lián)的)單個源設(shè)備提供���。作為另一示例�,不同的文件可以由不同的源設(shè)備提供�����。在一些實施方式中�,所述文件組可以作為組(例如,同時地)被接收�。在一些實施方式中,所述文件組可以在不同的時間段期間被接收���。在一些實施方式中����,當(dāng)文件由安全設(shè)備220接收時,所述文件可以被添加到隊列(例如�����,包括所述總文件組的隊列)����。安全設(shè)備220可以標(biāo)識來自所述隊列的所述文件組。
[0067]在一些實施方式中���,安全設(shè)備220可以基于所述組包括作為惡意軟件的文件的可能性來確定針對所述文件組的大小����。附加地或備選地�,安全設(shè)備可以基于沙箱環(huán)境將在所述文件組中檢測到惡意軟件的可能性來確定針對所述文件組的大小。以這種方式����,安全設(shè)備220可以以減少和/或優(yōu)化執(zhí)行多文件惡意軟件分析需要的時間量和/或計算資源的方式來形成組。
[0068]在一些實施方式中��,所述文件組可以包括要求人機交互(例如,執(zhí)行)的文件��。例如�,所述文件組可以包括僅僅要求人機交互的文件。在一些實施方式中����,所述文件組可以包括不要求人機交互(例如,執(zhí)行)的文件��。例如�����,所述文件組可以包括僅僅不要求人機交互的文件�����。以這種方式��,安全設(shè)備220可以形成易于針對惡意軟件進行分析的文件組(例如��, 不要求人機交互來執(zhí)行的文件)��,并且可以形成難以針對惡意軟件進行分析的文件組(例如�,要求人機交互來執(zhí)行的文件)。在一些實施方式中����,安全設(shè)備220可以以不同的方式對這些組進行分析。
[0069]如還在圖4中示出的��,過程400可以包括針對惡意軟件對所述文件組進行分析 (框420)��,并且確定是否檢測到惡意軟件(框430)��。例如�,安全設(shè)備220可以對所述文件組進行分析以確定所述文件組中所包括的任何文件是否是惡意軟件。在一些實施方式中��,安全設(shè)備220可以在諸如沙箱環(huán)境的測試環(huán)境(例如�,惡意軟件測試環(huán)境)中對所述文件組進行分析。例如�����,測試環(huán)境可以包括執(zhí)行在一個或多個虛擬機上的虛擬計算環(huán)境����。
[0070] 安全設(shè)備220可以通過在測試環(huán)境中執(zhí)行所述文件組并且通過針對指示惡意軟件的行為監(jiān)視測試環(huán)境,來針對惡意軟件對所述文件組進行分析。例如�,安全設(shè)備220可以順序地或并行地執(zhí)行所述文件組中的每個文件。安全設(shè)備220可以然后針對指示惡意軟件的行為監(jiān)視測試環(huán)境閾值時間量��。安全設(shè)備220可以監(jiān)視測試環(huán)境來確定所述文件組是否包括惡意軟件(例如����,包括是惡意軟件的至少一個文件)。[0071 ] 如圖4中進一步示出的�����,如果未檢測到惡意軟件(框430-否)�,則過程400可以包括指示所述文件組不包括惡意軟件(框440)。例如�����,如果安全設(shè)備220 (例如���,在閾值時間量之后)未檢測到指示惡意軟件的行為,則安全設(shè)備220可以指示所述文件組不包括惡意軟件��。在一些實施方式中����,安全設(shè)備220可以通過(例如�,在數(shù)據(jù)結(jié)構(gòu)中)存儲所述文件組不包括惡意軟件(例如�,所述文件組中所包括的每個文件都不是惡意軟件)的指示來指示所述文件組不包括惡意軟件。附加地或備選地���,安全設(shè)備220可以防止所述文件組經(jīng)歷附加的惡意軟件分析���。
[0072]附加地或備選地,安全設(shè)備220可以向另一設(shè)備指示所述文件組不包括惡意軟件���。例如�,安全設(shè)備220可以(例如�,向客戶機設(shè)備210、向與網(wǎng)絡(luò)管理員相關(guān)聯(lián)的設(shè)備等) 提供所述文件組不包括惡意軟件的指示�。附加地或備選地,安全設(shè)備220可以(例如�����,基于所述文件組不包括惡意軟件的指示)允許一個或多個客戶機設(shè)備220訪問所述文件組中所包括的文件�。
[0073]附加地或備選地,如在本文中其他地方結(jié)合圖8更詳細地描述的��,安全設(shè)備220可以修改對應(yīng)于所述文件組的惡意軟件得分組。在一些實施方式中�,安全設(shè)備220可以修改惡意軟件得分以指示所述文件組中所包括的文件(例如,比由針對文件的先前惡意軟件得分指示的)不太可能包括惡意軟件����。
[0074]如圖4中進一步示出的,如果檢測到惡意軟件(框430-是)��,則過程400可以包括執(zhí)行第一多文件惡意軟件分析(框450)和/或執(zhí)行第二多文件惡意軟件分析(框460)����,其中,所述第一多文件惡意軟件分析將所述文件組劃分成兩個或更多個段以標(biāo)識所述文件組中的包括惡意軟件的文件�,所述第二多文件惡意軟件分析修改對應(yīng)于所述文件組的惡意軟件得分組以標(biāo)識所述文件組中的包括惡意軟件的文件。例如��,如果安全設(shè)備220檢測到指示惡意軟件的行為�,則安全設(shè)備220可以指示所述文件組包括惡意軟件。附加地或備選地���, 安全設(shè)備220可以使用第一多文件惡意軟件分析技術(shù)和/或第二多文件惡意軟件分析技術(shù)來對所述文件組進行進一步分析。
[0075]所述第一多文件惡意軟件分析技術(shù)可以包括劃分技術(shù)����。例如,安全設(shè)備220可以將包括惡意軟件的所述文件組劃分成兩個或更多個文件段。如下面結(jié)合圖6所描述的����,安全設(shè)備220可以針對惡意軟件對段進行分析。
[0076]所述第二多文件惡意軟件分析技術(shù)可以包括評分技術(shù)�。例如,安全設(shè)備220可以修改對應(yīng)于包括惡意軟件的所述文件組的惡意軟件得分組����。如下面結(jié)合圖8所描述的,安全設(shè)備220可以使用所述惡意軟件得分來標(biāo)識惡意軟件����。
[0077]在一些實施方式中,安全設(shè)備220可以使用所述劃分技術(shù)來標(biāo)識惡意軟件(例如���, 所述文件組中所包括的是惡意軟件的一個或多個文件)���。在一些實施方式中,安全設(shè)備220可以使用所述評分技術(shù)來標(biāo)識惡意軟件�����。在一些實施方式中��,安全設(shè)備220可以使用所述劃分技術(shù)和所述評分技術(shù)來標(biāo)識惡意軟件。例如���,安全設(shè)備220可以使用所述劃分技術(shù)來創(chuàng)建文件段�,并且可以使用所述評分技術(shù)對所述文件段進行分析�����。作為另一示例����,安全設(shè)備 220可以使用所述評分技術(shù)來標(biāo)識具有滿足閾值的惡意軟件得分的文件集,并且可以使用所述劃分技術(shù)對所述文件集進行分析�。本文中的其他地方更詳細地描述這些備選和其他備選。
[0078]通過同時地對文件組進行分析���,安全設(shè)備220可以節(jié)約在單個地對所述文件組中的每個文件進行分析的情況下花費的計算資源���。例如,安全設(shè)備220可以節(jié)約處理資源����、存儲器資源�����、計算時間等。
[0079]盡管圖4示出了過程400的示例框�,但是在一些實施方式中,與在圖4中描繪的框相比�,過程400可以包括附加的框、更少的框�、不同的框、或不同地布置的框�����。附加地或備選地����,過程400的框中的兩個或更多個可以并行執(zhí)行。
[0080]圖5A和5B是與圖4中示出的示例過程400有關(guān)的示例實施方式500的示意圖����。 圖5A和5B示出了執(zhí)行多文件惡意軟件分析的示例。
[0081] 如在圖5A中并由參考標(biāo)記505示出的�����,假設(shè)安全設(shè)備220接收文件組以用于多文件惡意軟件分析�����。如所示出的,假設(shè)被示出為“組A”的文件組包括被示出為“文件A”�����、“文件B”�、“文件C”、以及“文件D”的四個文件�。為了圖5A的目的,假設(shè)這些文件都不是惡意軟件�����。如由參考標(biāo)記510示出的��,假設(shè)安全設(shè)備220在沙箱環(huán)境中對所述文件組(組A)進行分析����,并且針對指示惡意軟件的行為監(jiān)視沙箱環(huán)境。如所示出的��,假設(shè)(例如����,在閾值時間量之后)未檢測到這樣的行為����。因此�,如由參考標(biāo)記515示出的��,安全設(shè)備220可以指示所述組中所包括的文件不包括惡意軟件�����。例如���,如由參考標(biāo)記520示出的�,安全設(shè)備220可以存儲文件A����、文件B、文件C�����、以及文件D不是惡意軟件的指示���。附加地或備選地���,安全設(shè)備 220可以允許另一設(shè)備(例如�,一個或多個客戶機設(shè)備210)訪問和/或執(zhí)行這些文件����。
[0082] 如在圖5B中并由參考標(biāo)記525示出的,假設(shè)安全設(shè)備220接收另一文件組以用于多文件惡意軟件分析���。如所示出的�����,假設(shè)被示出為“組B”的該文件組包括被示出為“文件 E”���、“文件F”、“文件G”�����、以及“文件H”的四個文件����。為了圖5B的目的,假設(shè)文件H是惡意軟件。如由參考標(biāo)記530示出的���,假設(shè)安全設(shè)備220在沙箱環(huán)境中對所述文件組(組B)進行分析�����,并且針對指示惡意軟件的行為監(jiān)視沙箱環(huán)境����。如所示出的���,假設(shè)檢測到這樣的行為。 因此����,如由參考標(biāo)記535示出的,安全設(shè)備220可以指示所述文件組包括惡意軟件����。基于該指示�,安全設(shè)備220可以如下面結(jié)合圖7A和7B所描述的執(zhí)行劃分技術(shù)以對所述文件組進行分析和/或可以如下面結(jié)合圖9A-9C所描述的執(zhí)行評分技術(shù)以對所述文件組進行分析。 以這種方式�,安全設(shè)備220可以(例如,如由圖5A所示的,通過指示整個文件組不要求進一步的惡意軟件分析和/或通過執(zhí)行多文件分析以將文件組細化為是惡意軟件的個體文件) 減少針對惡意軟件對文件進行分析需要的時間量和/或計算機資源����。
[0083] 如以上所指示的,圖5A和5B僅僅被提供作為示例����。其他示例也是可能的并且可以與關(guān)于圖5A和5B描述的示例不同。
[0084]圖6是用于執(zhí)行將文件組劃分成兩個或更多個段以標(biāo)識包括惡意軟件的文件的多文件惡意軟件分析的示例過程600的流程圖�����。在一些實施方式中����,圖6的一個或多個過程框可以由安全設(shè)備220執(zhí)行。在一些實施方式中���,圖6的一個或多個過程框可以由諸如客戶機設(shè)備210的另一設(shè)備或與安全設(shè)備220分離或包括安全設(shè)備220的設(shè)備的集合執(zhí)行����。
[0085]如圖6所示���,過程600可以包括將被指示為包括惡意軟件的文件組劃分成兩個或更多個文件段(框610)�����。例如�����,安全設(shè)備220可以確定文件組包括惡意軟件(例如��,包括是惡意軟件的一個或多個文件)���,如以上結(jié)合圖4所描述的�?���;谠摯_定���,安全設(shè)備220可以將所述文件組劃分成兩個或更多個文件段����。例如����,安全設(shè)備220可以將所述文件組劃分成兩個段、三個段、四個段等�����。文件段可以包括一個或多個文件���。
[0086]在一些實施方式中�����,安全設(shè)備220可以將所述文件組劃分成相等大小(包括相等數(shù)目的文件)的段����。在一些實施方式中����,安全設(shè)備220可以將所述文件組劃分成不等大小的段。在一些實施方式中�����,安全設(shè)備220可以以與以上結(jié)合圖4的框410針對文件組進行描述的相同的方式來確定段的大小�����、要被包括在所述段中的一個或多個文件等。
[0087]在一些實施方式中����,安全設(shè)備220可以確定對應(yīng)于所述文件組中所包括的一個或多個文件的一個或多個惡意軟件可能性。針對文件的惡意軟件可能性可以指示所述文件是惡意軟件的可能性���。在這種情況下���,安全設(shè)備220可以基于一個或多個惡意軟件可能性來創(chuàng)建所述段。安全設(shè)備220可以創(chuàng)建所述段以增大段包括是惡意軟件的單個文件同時剩余的文件不是惡意軟件的可能性����。這可以減少將所述單個文件標(biāo)識為惡意軟件需要的迭代的次數(shù),由此節(jié)約計算機資源��。
[0088]在一些實施方式中�����,安全設(shè)備220可以基于初始分析(例如�����,初始惡意軟件分析�、 初始反病毒分析等)來確定針對文件的惡意軟件可能性。在一些實施方式中���,安全設(shè)備220 可以通過使用訓(xùn)練文件集(例如��,其中的一些已知是惡意軟件并且其中的一些已知不是惡意軟件)(例如�,使用機器學(xué)習(xí))來訓(xùn)練概率模型來確定針對文件的惡意軟件可能性���。安全設(shè)備220可以通過將文件的特征與文件的訓(xùn)練集的特征進行比較并且基于所述比較標(biāo)識惡意軟件可能性�,來確定針對文件的惡意軟件可能性�����。
[0089]附加地或備選地���,安全設(shè)備220可以基于(例如����,在測試環(huán)境中)執(zhí)行文件的第一時間和(例如���,基于監(jiān)視測試環(huán)境)檢測到指示惡意軟件的行為的第二時間來確定惡意軟件可能性���。例如��,當(dāng)在執(zhí)行第一文件之后并且在執(zhí)行第二文件之前檢測到指示惡意軟件的行為時��,所述第一文件可以比所述第二文件更有可能是惡意軟件��。在這種情況下��,安全設(shè)備 220可以將所述第一文件與比所述第二文件更高的惡意軟件可能性相關(guān)聯(lián)�。
[0090]如圖6中進一步示出的�,過程600可以包括在不同的惡意軟件分析會話中對兩個或更多個文件段進行分析(框620)。例如��,安全設(shè)備220可以在第一惡意軟件分析會話中對第一文件段進行分析���,并且可以在第二(例如���,不同的)惡意軟件分析會話中對第二文件段進行分析。惡意軟件分析會話可以是指在其期間使用特定測試環(huán)境針對惡意軟件對一個或多個文件進行分析的特定時間段�����。因此��,安全設(shè)備220可以在不同的時間段(例如�����,完全分離的時間段����、重疊的時間段等)和/或使用(例如,執(zhí)行在不同的安全設(shè)備220上的��、執(zhí)行在單個安全設(shè)備220的不同虛擬機上的)不同的測試環(huán)境對不同的段進行分析�����。
[0091]在一些實施方式中�����,安全設(shè)備220可以使用相同的測試環(huán)境來在不同的時間段 (例如���,不重疊的時間段)對所述段進行分析�。例如�,第一惡意軟件分析會話可以在第一時間段期間并且使用第一測試環(huán)境針對惡意軟件對文件進行分析,并且第二惡意軟件分析會話可以在第二時間段期間并且使用所述第一測試環(huán)境針對惡意軟件對文件進行分析���。以這種方式�����,安全設(shè)備220可以使用單個測試環(huán)境來在不同的時間對所述段進行分析�����,由此與使用多個測試環(huán)境相比����,節(jié)約計算機資源。
[0092]在一些實施方式中�,安全設(shè)備220可以使用不同的測試環(huán)境來在重疊的時間段期間對所述段進行分析。例如�,第一惡意軟件分析會話可以在第一時間段期間并且使用第一測試環(huán)境針對惡意軟件對文件進行分析,并且第二惡意軟件分析會話可以在所述第一時間段期間并且使用第二測試環(huán)境針對惡意軟件對文件進行分析�。以這種方式,安全設(shè)備220 可以在與在不同的時間段使用單個測試環(huán)境相比更短的時間量中確定所述段是否包括惡意軟件����,從而通過使非惡意軟件文件在時間上更早地對用戶可用來改進用戶體驗。
[0093]在一些實施方式中�����,安全設(shè)備220可以使用不同的測試環(huán)境來在(例如���,不重疊的)不同的時間段對所述段進行分析���。例如,第一惡意軟件分析會話可以在第一時間段期間并且使用第一測試環(huán)境針對惡意軟件對文件進行分析�����,并且第二惡意軟件分析會話可以在第二時間段期間并且使用第二測試環(huán)境針對惡意軟件對文件進行分析���。以這種方式��,在針對惡意軟件對所述段進行分析時����,安全設(shè)備220可以靈活地使用可用的資源(例如���,計算資源�、時間等)�。
[0094]如圖6中進一步示出的,過程600可以包括確定在段中是否檢測到惡意軟件(框 630)���。例如����,安全設(shè)備220可以(例如,連續(xù)地��、并行地���、使用相同測試環(huán)境�、使用不同的測試環(huán)境等)對每個文件段進行分析����,以確定文件段中所包括的任何文件是否是惡意軟件。安全設(shè)備220可以通過在測試環(huán)境中執(zhí)行文件段并且通過針對指示惡意軟件的行為監(jiān)視測試環(huán)境��,來針對惡意軟件對所述文件段進行分析���。例如�����,安全設(shè)備220可以順序地或并行地執(zhí)行所述文件段中的每個文件����。安全設(shè)備220可以然后針對指示惡意軟件的行為監(jiān)視測試環(huán)境閾值時間量。
[0095]如圖6所示���,如果在所述段中未檢測到惡意軟件(框630-否)��,則過程600可以包括指示所述段不包括惡意軟件(框640)。例如���,如果安全設(shè)備220 (例如���,在閾值時間量之后)未檢測到指示惡意軟件的行為,則安全設(shè)備220可以指示所述文件段不包括惡意軟件�����。 在一些實施方式中���,安全設(shè)備220可以通過(例如����,在數(shù)據(jù)結(jié)構(gòu)中)存儲所述文件段不包括惡意軟件(例如����,所述文件組中所包括的每個文件都不是惡意軟件)的指示來指示所述文件段不包括惡意軟件�����。附加地或備選地����,安全設(shè)備220可以防止所述文件段經(jīng)歷附加的惡意軟件分析�。
[0096]附加地或備選地,安全設(shè)備220可以向另一設(shè)備指示所述文件段不包括惡意軟件����。例如,安全設(shè)備220可以(例如��,向客戶機設(shè)備210�、向與網(wǎng)絡(luò)管理員相關(guān)聯(lián)的設(shè)備等) 提供所述文件段不包括惡意軟件的指示。附加地或備選地�,安全設(shè)備220可以(例如,基于所述文件段不包括惡意軟件的指示)允許一個或多個客戶機設(shè)備220訪問所述文件組中所包括的文件�。
[0097]如圖6所示,如果在所述段中檢測到惡意軟件(框630-是)��,則過程600可以包括確定所述段是否包括多個文件(框650)����。例如�,如果安全設(shè)備220在執(zhí)行文件段之后檢測到指示惡意軟件的行為��,則安全設(shè)備220可以確定所述段是否包括多個文件�。在一些實施方式中,所述段可以包括單個文件����。在一些實施方式中,所述段可以包括多個文件�。安全設(shè)備220可以確定所述段是包括單個文件還是包括多個文件��。
[0098]如圖6中進一步示出的��,如果所述段不包括多個文件(框650-否)��,則過程600可以包括指示所述段中所包括的單個文件包括惡意軟件(框660)�。例如,如果安全設(shè)備220確定所述段包括單個文件(例如����,不包括多個文件),則安全設(shè)備220可以指示所述單個文件包括惡意軟件(例如�,所述單個文件是惡意軟件文件)。在一些實施方式中�,安全設(shè)備220 可以通過(例如�,在數(shù)據(jù)結(jié)構(gòu)中)存儲所述文件包括惡意軟件的指示來指示所述單個文件包括惡意軟件��。
[0099]附加地或備選地��,安全設(shè)備220可以向另一設(shè)備指示所述單個文件包括惡意軟件�。例如,安全設(shè)備220可以(例如����,向客戶機設(shè)備210、向與網(wǎng)絡(luò)管理員相關(guān)聯(lián)的設(shè)備等) 提供所述文件包括惡意軟件的指示����。附加地或備選地,安全設(shè)備220可以(例如����,基于所述文件包括惡意軟件的指示)防止一個或多個客戶機設(shè)備220訪問所述文件,可以使得一個或多個客戶機設(shè)備220采取補救動作來移除或消除惡意軟件的影響等�。以這種方式,安全設(shè)備220可以同時地對文件組進行分析����,并且可以對所述組進行劃分直到個體文件被標(biāo)識為惡意軟件,從而節(jié)約計算資源�����。
[0100]如圖6中進一步示出的,如果所述段包括多個文件(框650-是)�,則過程600可以包括將所述文件段劃分成兩個或更多個附加的文件段(框670)并返回到框620以針對惡意軟件對兩個或更多個附加的段進行分析。例如��,如果安全設(shè)備220確定所述段包括多個文件(例如��,包括多于單個文件)��,則安全設(shè)備220可以將所述段劃分成兩個或更多個附加的文件段����。安全設(shè)備220可以以如以上結(jié)合框610所描述的方式來創(chuàng)建所述兩個或更多個附加的段��。安全設(shè)備220可以以如結(jié)合框620-670中的一個或多個所描述的方式來對所述兩個或更多個附加的段進行分析�����。
[0101]換言之�����,安全設(shè)備220可以迭代地創(chuàng)建文件段�����,并且可以對所述段進行分析直到標(biāo)識出個體惡意軟件文件。以這種方式����,安全設(shè)備220可以節(jié)約在文件均單個地被分析的情況下花費的計算資源。
[0102]盡管圖6示出了過程600的示例框����,但是在一些實施方式中,與在圖6中描繪的框相比����,過程600可以包括附加的框、更少的框����、不同的框、或不同布置的框��。附加地或備選地����,過程600的框中的兩個或更多個框可以并行執(zhí)行。
[0103]圖7A和7B是與圖6中示出的示例過程600有關(guān)的示例實施方式700的示意圖。 圖7A和7B示出了執(zhí)行將文件組劃分成兩個或更多個段以標(biāo)識包括惡意軟件的文件的多文件惡意軟件分析的示例��;為了圖7A和7B的目的����,假設(shè)已經(jīng)執(zhí)行了本文中結(jié)合圖5B描述的操作。例如���,假設(shè)安全設(shè)備220已經(jīng)接收到被標(biāo)識為組B的文件組����,并且已經(jīng)確定組B包括惡意軟件�。
[0104]如在圖7A中并由參考標(biāo)記705示出的,假設(shè)安全設(shè)備220標(biāo)識文件組以用于多文件惡意軟件分析����。例如,并且如以上結(jié)合圖5B所描述的�,假設(shè)安全設(shè)備220標(biāo)識出包括文件E���、文件F����、文件G以及文件H的組B為包括惡意軟件的文件組(例如��,假設(shè)文件H是惡意軟件)。如由參考標(biāo)記710示出的�,基于確定組B包括惡意軟件,安全設(shè)備220將組B劃分成兩個文件段�����。如由參考標(biāo)記715示出的����,假設(shè)被示出為段1的第一段包括文件E和文件 F(例如,不包括惡意軟件)�����。如由參考標(biāo)記720示出的�����,假設(shè)被示出為段2的第二段包括文件G和文件H(例如��,包括惡意軟件)���。
[0105]如由參考標(biāo)記725示出的��,假設(shè)安全設(shè)備220在分離的沙箱環(huán)境中對所述兩個段進行分析��。如由參考標(biāo)記730示出的��,假設(shè)安全設(shè)備220確定段1不包括惡意軟件���。如由參考標(biāo)記735示出的�����,假設(shè)安全設(shè)備220確定段2包括惡意軟件��。在一些實施方式中����,安全設(shè)備220可以并行地對不同的段進行分析�,從而減少獲得惡意軟件裁定的時間量并增強用戶體驗(例如,通過比在單個地對文件進行分析的情況下更早地允許通過(多個)客戶機設(shè)備210訪問文件)��。
[0106]如圖7B所示���,基于確定段2包括惡意軟件,安全設(shè)備220可以將段2劃分成附加的段�����,如由參考標(biāo)記740示出的。在這種情況下���,段2包括兩個文件�����,所述附加的段可以均包括單個文件�,被示出為文件G和包括惡意軟件的文件H��。如由參考標(biāo)記745示出的���,假設(shè)安全設(shè)備220在分離的沙箱環(huán)境中對文件G和文件H進行分析����。如由參考標(biāo)記750示出的��, 假設(shè)安全設(shè)備220確定文件G不是惡意軟件�����。在這種情況下���,安全設(shè)備220可以指示文件 G不是惡意軟件���,和/或允許(多個)客戶機設(shè)備210訪問文件G��。如由參考標(biāo)記755示出的���,假設(shè)安全設(shè)備220確定文件H是惡意軟件。在這種情況下�,并且如由參考標(biāo)記760示出的,安全設(shè)備220可以執(zhí)行用于抵消被確定為是惡意軟件的文件H的動作���。例如�����,安全設(shè)備 220可以指示文件H是惡意軟件��,可以防止(多個)客戶機設(shè)備210訪問文件H��,可以向與管理員相關(guān)聯(lián)的設(shè)備通知文件H是惡意軟件等���。
[0107]通過諸如使用圖7A和7B中示出的劃分技術(shù)來執(zhí)行針對文件組的多文件惡意軟件分析,安全設(shè)備220可以節(jié)約在安全設(shè)備220單個地對所述文件組中所包括的每個文件進行分析的情況下花費的計算資源和時間����。
[0108]如以上所指示的,圖7A和7B僅僅被提供作為示例�。其他示例也是可能的并且可以與關(guān)于圖7A和7B描述的示例不同。
[0109]圖8是用于執(zhí)行修改對應(yīng)于文件組的惡意軟件得分組以標(biāo)識包括惡意軟件的文件的多文件惡意軟件分析的示例過程的流程圖����。在一些實施方式中,圖8的一個或多個過程框可以由安全設(shè)備220執(zhí)行�����。在一些實施方式中���,圖8的一個或多個過程框可以由諸如客戶機設(shè)備210的另一設(shè)備或與安全設(shè)備220分離或包括安全設(shè)備220的設(shè)備的集合執(zhí)行����。
[0110]如圖8所示��,過程800可以包括修改對應(yīng)于被指示為包括惡意軟件的文件組的惡意軟件得分組(框810)�。例如,安全設(shè)備220可以確定文件組包括惡意軟件(例如����,包括是惡意軟件的一個或多個文件)��,如以上結(jié)合圖4所描述的�?����;谠摯_定��,安全設(shè)備220可以修改對應(yīng)于所述文件組的惡意軟件得分組��。例如���,安全設(shè)備220可以將所述文件組中所包括的每個文件與惡意軟件得分相關(guān)聯(lián)��。在一些實施方式中��,安全設(shè)備220可以在數(shù)據(jù)結(jié)構(gòu)中(例如�����,使用文件名稱�����、基于所述文件生成的散列值等)存儲標(biāo)識文件的文件標(biāo)識符�����。安全設(shè)備220可以與所述文件標(biāo)識符關(guān)聯(lián)地存儲指示所述文件是惡意軟件的可能性���。
[0111]作為示例,所述惡意軟件得分可以包括惡意軟件計數(shù)器��。安全設(shè)備220可以將針對文件的惡意軟件計數(shù)器初始化為零����。安全設(shè)備220可以在每次安全設(shè)備220確定包括所述文件的文件組包括惡意軟件時遞增惡意軟件計數(shù)器(例如,增加一)���。在一些實施方式中��,安全設(shè)備220可以在每次安全設(shè)備220確定包括所述文件的文件組不包括惡意軟件時遞減惡意軟件計數(shù)器(例如�����,減少一)���。附加地或備選地,安全設(shè)備220可以在每次安全設(shè)備220確定包括文件的文件組不包括惡意軟件時遞減針對所述文件的非惡意軟件計數(shù)器 (例如����,增加一)�����。
[0112]在一些實施方式中����,安全設(shè)備220可以將惡意軟件得分初始化為指示與所述惡意軟件得分相關(guān)聯(lián)的文件很可能或較不可能是惡意軟件的值�。作為示例,安全設(shè)備220可以將惡意軟件計時器初始化為除了零以外的值(例如��,值為一��、值為二等)�����。安全設(shè)備220可以基于指示所述文件是惡意軟件的可能性的一個或多個因子(例如�,反病毒分析的結(jié)果、 與已知惡意軟件文件的數(shù)據(jù)庫的比較�、與非惡意軟件的數(shù)據(jù)庫的比較、文件的大小���、文件的類型��、文件是否是可執(zhí)行的等)來初始化惡意軟件得分����。
[0113]如圖8中進一步示出的,過程800可以包括確定針對一個或多個文件的一個或多個惡意軟件得分滿足閾值(框820)�。例如,安全設(shè)備220可以分析對應(yīng)于一個或多個文件的一個或多個惡意軟件得分以確定一個或多個惡意軟件得分滿足閾值���。例如,安全設(shè)備220 可以將針對分析的文件的惡意軟件得分與閾值進行比較�。在一些實施方式中,安全設(shè)備220 可以基于用戶輸入�、基于默認閾值、基于已經(jīng)被分析的文件的數(shù)量�����、基于要分析的文件的總數(shù)量等來確定閾值���。
[0114]如圖8中進一步示出的�,如果針對一個或多個文件的一個或多個惡意軟件得分滿足閾值(框820-是)���,則過程800可以包括針對惡意軟件對(多個)文件進行分析(框 830)���。例如�����,如果安全設(shè)備220確定針對文件的惡意軟件得分滿足閾值����,則安全設(shè)備220可以針對惡意軟件(例如�����,單個地)對文件進行分析���。以這種方式�,安全設(shè)備220可以在文件具有是惡意軟件的較高可能性時(例如�,如由惡意軟件得分所指示的),針對惡意軟件單個地對文件進行分析�,從而節(jié)約在是惡意軟件的較低可能性的情況下對文件進行分析花費的計算資源。
[0115]在一些實施方式中�,多個惡意軟件得分可以滿足閾值。在這種情況下����,安全設(shè)備 220可以(例如����,順序地或并行地)針對惡意軟件分析對應(yīng)于多個惡意軟件得分的多個文件���。在一些實施方式中����,安全設(shè)備220可以單個地對多個文件中的每個文件進行分析�。附加地或備選地,安全設(shè)備220可以將多個文件作為組進行分析���。例如,安全設(shè)備220可以使用結(jié)合圖6描述的劃分技術(shù)(例如���,在如結(jié)合框610所描述的多個文件被劃分成兩個或更多個段的情況下)來對多個文件進行分析�����。
[0116]附加地或備選地����,如下面結(jié)合框840所描述的,安全設(shè)備220可以(例如����,在對與滿足閾值的(多個)惡意軟件得分相關(guān)聯(lián)的(多個)文件進行分析之后,與對與滿足閾值的(多個)惡意軟件得分相關(guān)聯(lián)的(多個)文件進行分析同時地等)標(biāo)識附加的文件組以用于多文件惡意軟件分析��。在一些實施方式中���,安全設(shè)備220可以標(biāo)識不包括與滿足閾值的(多個)惡意軟件得分相關(guān)聯(lián)的(多個)文件的附加的文件組�����。
[0117]如圖8中進一步示出的�,如果針對一個或多個文件的一個或多個惡意軟件得分不滿足閾值(框820-否)��,則過程800可以包括標(biāo)識附加的文件組以用于多文件惡意軟件分析(框840)���。例如����,安全設(shè)備220可以標(biāo)識附加的文件組以用于多文件惡意軟件分析��。所述附加的文件組可以與結(jié)合圖4的框410標(biāo)識的文件組不同�����。在一些實施方式中,所述附加的文件組可以與所述文件組完全不同(例如���,可以不包括任何的相同文件)�����。在一些實施方式中�,所述附加的文件組可以包括所述文件組中所包括的一個或多個文件以及所述文件組中未包括的一個或多個文件����。在一些實施方式中,安全設(shè)備220可以以與以上結(jié)合圖4 的框410針對文件組進行描述的相同的方式來確定附加組的大小��、要被包括在附加組中的一個或多個文件等�����。
[0118]在一些實施方式中���,安全設(shè)備220可以隨機地選擇用于包括在所述附加的文件組中的文件。例如�����,可以存在要針對惡意軟件被分析的總文件組。如結(jié)合圖4的框410所描述的所述文件組可以是所述總組的子集����。另外,所述附加的文件組可以是所述總組的子集(例如��,不同的子集)���。安全設(shè)備220可以通過從所述總文件組中隨機地選擇文件(例如���, 以形成特定大小的子集,所述大小可以是默認大小�、基于用戶輸入確定的大小、所述總組的大小的特定百百分比的大小等)���,來標(biāo)識所述文件組和/或所述附加的文件組���。
[0119]在一些實施方式中,安全設(shè)備220可以選擇已經(jīng)被分析的一個或多個文件以用于包括在所述附加組中����。例如���,安全設(shè)備220可以選擇與除了零以外的惡意軟件得分相關(guān)聯(lián)的一個或多個文件,可以選擇與滿足閾值的惡意軟件得分相關(guān)聯(lián)的一個或多個文件(例如�,與其他分析文件的惡意軟件得分相比具有(多個)最高惡意軟件得分的(多個)文件等。附加地或備選地���,安全設(shè)備220可以選擇尚未被分析的一個或多個文件以用于包括在所述附加組中�����。
[0120]通過對已經(jīng)被分析的一個或多個文件重新進行分析��,安全設(shè)備220可以細化可以是惡意軟件的文件的列表���。例如,如果文件被重復(fù)地包括在針對惡意軟件測試為肯定的文件組中(例如�,閾值次數(shù)),則安全設(shè)備220可以確定所述文件(例如�����,與其他文件相比)很可能是惡意軟件��,并且可以確定(例如��,如結(jié)合框830所描述的)針對惡意軟件單個地進行分析�。相反地,如果文件被包括在針對惡意軟件測試為否定的組中(例如�����,單次�����、閾值次數(shù)等)�,則安全設(shè)備220可以確定所述文件(例如,與其他文件相比)較不可能是惡意軟件�����,并且如下面結(jié)合框870所描述的���,可以指示所述文件不包括惡意軟件�����。
[0121]在一些實施方式中���,安全設(shè)備220可以使用針對文件的惡意軟件計數(shù)器�����。惡意軟件計數(shù)器可以指示文件已經(jīng)被包括在針對惡意軟件測試為肯定的文件組中的次數(shù)��。附加地或備選地���,安全設(shè)備220可以使用針對文件的非惡意軟件計數(shù)器。非惡意軟件計數(shù)器可以指示文件已經(jīng)被包括在針對惡意軟件測試為否定的文件組中的次數(shù)�。在一些實施方式中, 如果惡意軟件計數(shù)器滿足第一閾值�����,則安全設(shè)備220可以針對惡意軟件對文件進行分析�。 附加地或備選地,如果非惡意軟件計數(shù)器滿足第二閾值�,則安全設(shè)備220可以指示所述文件不是惡意軟件(例如,可以指示所述文件是干凈的)����。在一些實施方式中,所述第一閾值和所述第二閾值可以是不同的值�。在一些實施方式中,所述第一閾值和所述第二閾值可以是相同的值。
[0122]附加地或備選地��,安全設(shè)備220可以跟蹤文件已經(jīng)被分析的次數(shù)(例如��,文件已經(jīng)被包括在已經(jīng)被分析的組中的次數(shù))�����。在一些實施方式中����,如果文件已經(jīng)被分析的次數(shù)滿足閾值���,并且針對文件的惡意軟件得分不滿足閾值(例如��,不同的閾值)��,則安全設(shè)備220可以指示所述文件不是惡意軟件(例如��,可以指示所述文件是清潔的)��。以這種方式���,安全設(shè)備 220可以防止文件無限定地被分析。
[0123]如圖8中進一步示出的,過程800可以包括針對惡意軟件對所述附加的文件組進行分析(框850)���,并且確定在附加組中是否檢測到惡意軟件(框860)����。例如�,安全設(shè)備220 可以對所述附加的文件組進行分析以確定所述附加的文件組中所包括的任何文件是否是惡意軟件。在一些實施方式中����,安全設(shè)備220可以在諸如沙箱環(huán)境的測試環(huán)境中對所述附加的文件組進行分析。安全設(shè)備220可以通過在測試環(huán)境中執(zhí)行所述附加的文件組并且通過針對指示惡意軟件的行為監(jiān)視測試環(huán)境��,來針對惡意軟件對所述附加的文件組進行分析�。例如,安全設(shè)備220可以順序地或并行地執(zhí)行所述附加的文件組中的每個文件����。安全設(shè)備220可以然后針對指示惡意軟件的行為監(jiān)視測試環(huán)境閾值時間量。安全設(shè)備220可以監(jiān)視測試環(huán)境以確定所述附加的文件組是否包括惡意軟件(例如�,包括是惡意軟件的至少一個文件)。在一些實施方式中�����,安全設(shè)備220可以標(biāo)識多個附加組,并且可以同時地(例如�����,并行地)針對惡意軟件對所述多個附加組進行分析���。以這種方式,安全設(shè)備220可以減少獲得針對文件的惡意軟件裁定所需要的時間量���。
[0124]如圖8中進一步示出的����,如果在附加組中未檢測到惡意軟件(框860-否)���,則過程 800可以包括指示所述附加的文件組不包括惡意軟件或修改針對所述附加的文件組的惡意軟件得分(框870)�����,并且返回到框840��。例如���,如果安全設(shè)備220 (例如�,在監(jiān)視所述附加的文件組閾值時間量之后)確定所述附加的文件組不包括惡意軟件����,則安全設(shè)備220可以指示所述附加的文件組不包括惡意軟件。附加地或備選地���,安全設(shè)備220可以防止所述附加的文件組經(jīng)歷附加的惡意軟件分析�。在一些實施方式中�,安全設(shè)備220可以修改對應(yīng)于所述附加的文件組的惡意軟件得分組以反映所述附加的文件組不包括惡意軟件。
[0125]在一些實施方式中�����,安全設(shè)備220可以通過(例如�����,在數(shù)據(jù)結(jié)構(gòu)中)存儲所述附加的文件組不包括惡意軟件(例如����,所述附加的文件組中所包括的每個文件不是惡意軟件) 的指示來指示所述文件組不包括惡意軟件。附加地或備選地���,安全設(shè)備220可以向另一設(shè)備指示所述附加的文件組不包括惡意軟件�����。附加地或備選地��,安全設(shè)備220可以(例如����,基于所述附加的文件組不包括惡意軟件的指示)允許一個或多個客戶機設(shè)備220訪問所述附加的文件組中所包括的文件。
[0126]附加地或備選地�,安全設(shè)備220可以修改對應(yīng)于所述附加的文件組的惡意軟件得分組。例如�����,安全設(shè)備220可以生成和/或修改還沒有被分析的文件的惡意軟件得分�。作為另一示例��,安全設(shè)備220可以修改已經(jīng)被分析的文件的惡意軟件得分��。在一些實施方式�����, 安全設(shè)備220可以設(shè)定用于指示所述文件不是惡意軟件的惡意軟件得分�����。在一些實施方式中,安全設(shè)備220可以修改惡意軟件得分以指示所述文件(例如�����,與由針對文件的先前惡意軟件得分指示的相比)較不可能包括惡意軟件��。例如���,安全設(shè)備220可以遞減惡意軟件計數(shù)器��,并且可以遞增非惡意軟件計數(shù)器等�。
[0127]附加地或備選地����,安全設(shè)備220可以標(biāo)識附加的文件組以用于多文件分析(例如, 可以返回到框840)�����,并且可以如本文中所描述的針對惡意軟件對所述附加的文件組進行分析��。
[0128]如圖8中進一步示出的���,如果在附加組中檢測到惡意軟件(框860-是)��,則過程 800可以包括返回到框810��。例如���,如果安全設(shè)備220 (例如����,在監(jiān)視所述附加的文件組閾值時間量之后)確定所述附加的文件組包括惡意軟件���,則安全設(shè)備220可以修改對應(yīng)于所述附加的文件組的惡意軟件得分組�。
[0129]作為另一示例��,安全設(shè)備220可以生成和/或修改還沒有被分析的文件的惡意軟件得分���。作為另一示例,安全設(shè)備220可以修改已經(jīng)被分析的文件的惡意軟件得分�。在一些實施方式中,安全設(shè)備220可以設(shè)定惡意軟件得分以指示所述文件(例如��,與針對文件的先前惡意軟件得分相比)很可能是惡意軟件����。例如�,安全設(shè)備220可以遞增惡意軟件計數(shù)器�����,并且可以遞減非惡意軟件計數(shù)器等���。
[0130]安全設(shè)備220可以繼續(xù)選擇文件組����,針對惡意軟件對所述文件組進行分析�����,修改惡意軟件得分���,并且單個地對與滿足閾值的惡意軟件得分相關(guān)聯(lián)的文件進行分析�����。因此���,安全設(shè)備220可以針對惡意軟件將文件作為組進行分析�,可以單個地對(例如���,如由組分析�����、 多組分析等所指示的)很可能是惡意軟件的文件進行分析��,并且可以不單個地對(例如�,如由組分析��、多組分析等所指示的)較不可能是惡意軟件的文件進行分析����。以這種方式,安全設(shè)備220可以節(jié)約在文件單個地被分析的情況下花費的計算資源����。
[0131]盡管圖8示出了過程800的示例框���,但是在一些實施方式中��,與在圖8中描繪的框相比���,過程800可以包括附加的框�、更少的框��、不同的框�、或不同布置的框。附加地或備選地��,過程800的框中的兩個或更多個可以并行執(zhí)行����。
[0132]圖9A-9C是與圖8中示出的示例過程800有關(guān)的示例實施方式900的示意圖。圖 9A-9C示出了執(zhí)行修改對應(yīng)于文件組的惡意軟件得分組以標(biāo)識包括惡意軟件的文件的多文件惡意軟件分析的示例��。為了圖9A-9C的目的���,假設(shè)已經(jīng)執(zhí)行了本文中結(jié)合圖5B描述的操作�����。例如���,假設(shè)安全設(shè)備220已經(jīng)接收到被標(biāo)識為組B的文件組,并且已經(jīng)確定組B包括惡意軟件。
[0133]如在圖9A中并且由參考標(biāo)記905示出的��,基于確定組B包括惡意軟件�����,安全設(shè)備 220可以修改針對組B中所包括的文件的惡意軟件得分���,組B包括文件E�、文件F����、文件G以及文件H。如由參考標(biāo)記910示出的�����,假設(shè)安全設(shè)備220將與文件E�����、文件F�����、文件G以及文件H相關(guān)聯(lián)的惡意軟件計數(shù)器遞增到值一����。假設(shè)與要被分析的總文件組中的其他文件相關(guān)聯(lián)的惡意軟件計數(shù)器(例如,針對文件A��、文件B����、文件C以及文件D)被設(shè)定為零。如還示出的���,安全設(shè)備220可以存儲閾值(此處����,示出為三)�。當(dāng)針對文件的惡意軟件計數(shù)器達到閾值時,安全設(shè)備220可以單個地對該文件進行分析��。
[0134] 如由參考標(biāo)記915示出的���,假設(shè)安全設(shè)備220標(biāo)識出附加的文件組�����,被示出為組C�����, 以用于多文件惡意軟件分析����。例如,假設(shè)安全設(shè)備220包括在附加組中的之前尚未被分析的文件A和文件B�,并且包括在附加組中的之前(例如,關(guān)于組B)已經(jīng)被分析的文件F和文件H�����。如所示出的�����,假設(shè)安全設(shè)備220從包括文件A����、文件B、文件C���、文件D�、文件E、文件F�、 文件G以及文件H的總文件組中選擇這些文件。如由參考標(biāo)記920示出的�,假設(shè)安全設(shè)備 220在沙箱環(huán)境中對組C進行分析�����,并且確定組C包括是惡意軟件的文件(例如��,因為組C 中所包括的文件H是惡意軟件)��。
[0135]如在圖9B中并且由參考標(biāo)記925示出的�,基于確定組C包括惡意軟件,安全設(shè)備 220可以修改針對組C中所包括的文件的惡意軟件得分�����,組C包括文件A����、文件B、文件F以及文件H����。如由參考標(biāo)記930示出的�����,假設(shè)安全設(shè)備220將與文件A和文件B相關(guān)聯(lián)的惡意軟件計數(shù)器遞增到值一�����,并且將與文件F和文件H相關(guān)聯(lián)的惡意軟件計數(shù)器遞增到值二�。 安全設(shè)備220可以確定沒有惡意軟件計數(shù)器滿足閾值三�����,并且可以標(biāo)識附加的文件組(被示出為文件D)以用于惡意軟件分析�,如由參考標(biāo)記935示出的。
[0136] 如所示出的��,假設(shè)安全設(shè)備220包括在組D中的之前尚未被分析的文件C和文件 D���,并且包括在組D中的之前已經(jīng)被分析的文件E和文件H���。如由參考標(biāo)記940示出的,假設(shè)安全設(shè)備220在沙箱環(huán)境中對組D進行分析�����,并且確定組D包括是惡意軟件的文件(例如, 因為組D中所包括的文件H是惡意軟件)�。
[0137]如在圖9C中并且由參考標(biāo)記945示出的,基于確定組D包括惡意軟件���,安全設(shè)備 220可以修改針對組D中所包括的文件的惡意軟件得分�����,組D包括文件C、文件D��、文件E以及文件H����。如由參考標(biāo)記950示出的,假設(shè)安全設(shè)備220將與文件C和文件D相關(guān)聯(lián)的惡意軟件計數(shù)器遞增到值一��,將與文件E相關(guān)聯(lián)的惡意軟件計數(shù)器遞增到值二��,并且將與文件H 相關(guān)聯(lián)的惡意軟件計數(shù)器遞增到值三�����。如由參考標(biāo)記955示出的���,安全設(shè)備220可以確定針對文件H的惡意軟件計數(shù)器滿足閾值三(例如�,在這種情況下,等于閾值)�,并且可以選擇文件H以用于單個惡意軟件分析。
[0138]如由參考標(biāo)記960示出的���,假設(shè)安全設(shè)備220在沙箱環(huán)境中對文件H進行分析并確定文件H是惡意軟件�����?��;谠摯_定,并且如由參考標(biāo)記965示出的��,安全設(shè)備220可以執(zhí)行用于抵消(counteract)被確定為是惡意軟件的文件H的動作����。例如,安全設(shè)備220可以指示文件H是惡意軟件��,可以防止(多個)客戶機設(shè)備210訪問文件H����,可以向與管理員相關(guān)聯(lián)的設(shè)備通知文件H是惡意軟件等�����。
[0139]通過諸如使用圖9A-9C中示出的評分技術(shù)來執(zhí)行針對文件組的多文件惡意軟件分析�,安全設(shè)備220可以節(jié)約在安全設(shè)備220單個地對所述文件組中所包括的每個文件進行分析的情況下花費的計算資源和時間�。
[0140]如以上所指示的,圖9A-9C僅僅被提供作為示例���。其他示例也是可能的并且可以與關(guān)于圖9A-9C所描述的示例不同��。
[0141]本文中描述的實施方式幫助準(zhǔn)確地同時地對文件組進行分析�,而不是分離地對個體文件進行分析以標(biāo)識包括惡意軟件的個體文件�����,從而節(jié)約計算資源���。
[0142]前述公開內(nèi)容提供圖示和描述,但不旨在為窮舉的或?qū)嵤┓绞较抻诠_的精確形式����。能夠在鑒于以上公開內(nèi)容或者可以從實施方式的實踐中獲取修改和變型。
[0143]如本文中使用的,術(shù)語部件旨在寬泛地被解釋為硬件���、固件�����、和/或硬件和軟件的組合���。
[0144]本文中結(jié)合閾值來描述一些實施方式。如本文中使用的�,滿足閾值可以是指值大于所述閾值、超過所述閾值�、高于所述閾值、大于或等于所述閾值�����、小于所述閾值�����、少于所述閾值���、低于所述閾值��、小于或等于所述閾值����、等于所述閾值等。
[0145]將顯而易見的是�����,可以以硬件�����、固件��、或硬件和軟件的組合的不同形式來實施本文中描述的系統(tǒng)和/或方法��。用于實施這些系統(tǒng)和/或方法的實際專用控制硬件或軟件代碼不是對所述實施方式的限制����。因此����,在不引用專門的軟件代碼的情況下,本文描述了所述系統(tǒng)和/或方法的操作和行為���,應(yīng)當(dāng)理解���,軟件和硬件能夠被設(shè)計為基于本文中的描述來實施所述系統(tǒng)和/或方法���。
[0146]即使特征的特定組合被記載在權(quán)利要求書中和/或被公開在說明書中,這些組合也不旨在限制可能實施方式的公開內(nèi)容���。實際上�,這些特征中的許多可以以未專門記載在權(quán)利要求書中和/或未公開在說明書中的方式進行組合����。盡管所列出的每個從屬權(quán)利要求可以直接從屬于僅僅一個權(quán)利要求,但是可能實施方式的公開內(nèi)容包括每個從屬權(quán)利要求與權(quán)利要求集中的所有其他權(quán)利要求的組合��。
[0147]除非如此明確描述���,否則本文中使用的元件���、動作或指令不應(yīng)當(dāng)被解釋為關(guān)鍵的或必需的。此外���,如本文中使用的�,詞語“一”和“一個”旨在包括一個或多個項,并且可以與 “一個或多個”可互換地使用��。另外�,如本文中使用的,術(shù)語“組”和“集合”旨在包括一個或多個項(例如�,相關(guān)項、不相關(guān)項���、相關(guān)項和不相關(guān)項的組合等)��,并且可以與“一個或多個” 可互換地使用�。在僅僅想要一個項的情況下����,使用術(shù)語“一個”或類似的語言。此外�����,如本文中使用的��,術(shù)語“具有”��、“含有”��、“包括”等等旨在為開放式術(shù)語���。另外���,除非另有明確聲明,否則詞語“基于”旨在意指“至少部分地基于”���。
【主權(quán)項】
1.一種設(shè)備����,包括:用于標(biāo)識多個文件以用于多文件惡意軟件分析的裝置���;用于在惡意軟件測試環(huán)境中執(zhí)行所述多個文件的裝置��;用于針對指示惡意軟件的行為監(jiān)視所述惡意軟件測試環(huán)境的裝置���;用于檢測指示惡意軟件的所述行為的裝置;以及用于基于檢測到指示惡意軟件的所述行為來執(zhí)行第一多文件惡意軟件分析或第二多 文件惡意軟件分析的裝置����,所述第一多文件惡意軟件分析包括將所述多個文件劃分成兩個或更多個文件段以標(biāo) 識所述多個文件中包括的、包括惡意軟件的文件的劃分技術(shù)���,所述第二多文件惡意軟件分析包括修改對應(yīng)于所述多個文件的多個惡意軟件得分以 標(biāo)識所述多個文件中包括的��、包括惡意軟件的所述文件的評分技術(shù)���。2.根據(jù)權(quán)利要求1所述的設(shè)備�����,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第 二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第一多文件惡意軟件分析的裝置���;其中用于執(zhí)行所述第一多文件惡意軟件分析的所述裝置包括:用于將所述多個文件劃分成所述兩個或更多個文件段的裝置;用于分離地分析所述兩個或更多個文件段的裝置��;用于標(biāo)識所述兩個或更多個文件段中包括惡意軟件的文件段的裝置�;以及 用于基于標(biāo)識包括惡意軟件的所述文件段來標(biāo)識包括惡意軟件的所述文件的裝置, 所述文件被包括在所述文件段中�。3.根據(jù)權(quán)利要求2所述的設(shè)備,其中用于分離地分析所述兩個或更多個文件段的裝置 包括:用于使用第一惡意軟件測試環(huán)境來分析所述兩個或更多個文件段中的第一文件段的 裝置�;以及用于使用與所述第一惡意軟件測試環(huán)境不同的第二惡意軟件測試環(huán)境來分析所述兩 個或更多個文件段中的第二文件段的裝置。4.根據(jù)權(quán)利要求2所述的設(shè)備�,其中用于分離地分析所述兩個或更多個文件段的裝置 包括:用于在第一時間段期間分析所述兩個或更多個文件段中的第一文件段的裝置;以及 用于在與所述第一時間段不同的第二時間段期間分析所述兩個或更多個文件段中的 第二文件段的裝置���。5.根據(jù)權(quán)利要求1所述的設(shè)備����,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第 二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第二多文件惡意軟件分析的裝置���;其中用于執(zhí)行所述第二多文件惡意軟件分析的裝置包括:用于修改對應(yīng)于所述多個文件的所述多個惡意軟件得分的裝置�;用于在修改所述多個惡意軟件得分之后確定所述多個惡意軟件得分的惡意軟件得分 滿足閾值的裝置���;用于標(biāo)識與所述惡意軟件得分相關(guān)聯(lián)的特定文件的裝置���;用于針對惡意軟件分析所述特定文件的裝置;以及用于基于針對惡意軟件分析所述特定文件來標(biāo)識包括惡意軟件的所述文件的裝置�����, 所述特定文件和所述文件是相同的文件�����。6.根據(jù)權(quán)利要求1所述的設(shè)備����,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第 二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第二多文件惡意軟件分析的裝置;其中用于執(zhí)行所述第二多文件惡意軟件分析的裝置包括:用于修改對應(yīng)于所述多個文件的所述多個惡意軟件得分的裝置����;用于標(biāo)識附加的多個文件以用于所述多文件惡意軟件分析的裝置���,所述附加的多個文件包括未被包括在所述多個文件中的至少一個文件;用于同時地針對惡意軟件分析所述附加的多個文件的裝置����;用于基于分析所述附加的多個文件來修改對應(yīng)于所述附加的多個文件的附加的多個 惡意軟件得分的裝置;用于確定所述多個惡意軟件得分或所述附加的多個惡意軟件得分中的惡意軟件得分 滿足閾值的裝置�����;用于標(biāo)識與所述惡意軟件得分相關(guān)聯(lián)的特定文件的裝置����;用于針對惡意軟件分析所述特定文件的裝置;以及用于基于針對惡意軟件分析所述特定文件來標(biāo)識包括惡意軟件的所述文件的裝置��, 所述特定文件和所述文件是相同的文件���。7.根據(jù)權(quán)利要求1所述的設(shè)備��,其中用于執(zhí)行所述第一多文件惡意軟件分析或所述第 二多文件惡意軟件分析的裝置包括:用于執(zhí)行所述第一多文件惡意軟件分析的裝置�����;以及 用于執(zhí)行所述第二多文件惡意軟件分析的裝置���。8.一種方法�,包括:由設(shè)備標(biāo)識文件組以用于多文件惡意軟件分析�;由所述設(shè)備在測試環(huán)境中同時地執(zhí)行所述文件組�����;由所述設(shè)備針對指示惡意軟件的行為監(jiān)視所述測試環(huán)境����;由所述設(shè)備檢測指示惡意軟件的所述行為;由所述設(shè)備基于檢測到指示惡意軟件的所述行為來修改對應(yīng)于所述文件組的惡意軟 件得分組�����;由所述設(shè)備確定所述惡意軟件得分組中的惡意軟件得分滿足閾值����,所述惡意軟件得分與所述文件組中包括的文件相關(guān)聯(lián);以及 由所述設(shè)備基于確定所述惡意軟件得分滿足所述閾值來針對惡意軟件分析所述文件�。9.根據(jù)權(quán)利要求8所述的方法,其中修改所述惡意軟件得分還包括:基于檢測到指示惡意軟件的所述行為來遞增對應(yīng)于所述文件組的惡意軟件計數(shù)器組, 所述惡意軟件計數(shù)器組被用于所述惡意軟件得分組���。10.根據(jù)權(quán)利要求8所述的方法�����,其中所述惡意軟件得分基于針對惡意軟件測試為肯 定的所述文件被包括在多文件組中的次數(shù)的數(shù)量�����。11.根據(jù)權(quán)利要求8所述的方法�,還包括:標(biāo)識附加的文件組��,所述附加的文件組包括所述文件����;針對惡意軟件分析所述附加的文件組;基于分析所述附加的文件組來修改對應(yīng)于所述附加的文件組的附加的惡意軟件得分 組����,所述附加的惡意軟件得分組包括所述惡意軟件得分;并且 其中確定所述惡意軟件得分滿足所述閾值還包括:基于修改所述附加的惡意軟件得分組來確定所述惡意軟件得分滿足所述閾值��。12.根據(jù)權(quán)利要求8所述的方法�����,還包括:確定所述惡意軟件得分組中的惡意軟件得分集合滿足所述閾值;基于確定所述惡意軟件得分集合滿足所述閾值來將所述文件組的文件集劃分成兩個 或更多個文件段��,所述文件集對應(yīng)于所述惡意軟件得分集合����;并且 其中針對惡意軟件分析所述文件還包括:基于將所述文件集劃分成兩個或更多個文件段來針對惡意軟件分析所述文件,所述文件被包括在所述兩個或更多個文件段中的段中���。13.根據(jù)權(quán)利要求8所述的方法,還包括:從包括所述文件組的總文件組選擇附加的文件組�,所述附加的文件組包括所述文件組中包括的所述文件和所述文件組中未包括的至少 一個文件;針對惡意軟件分析所述附加的文件組�����;基于分析所述附加的文件組來修改對應(yīng)于所述附加的文件組的附加的惡意軟件得分 組��,所述附加的惡意軟件得分組包括與所述文件相關(guān)聯(lián)的所述惡意軟件得分�����;并且 其中確定所述惡意軟件得分滿足所述閾值還包括:基于修改所述附加的惡意軟件得分組來確定所述惡意軟件得分滿足所述閾值�����。
【文檔編號】G06F21/56GK106022123SQ201510629661
【公開日】2016年10月12日
【申請日】2015年9月28日
【發(fā)明人】J·A·朗頓, D·J·奎因蘭, K·亞當(dāng)斯, D·康隆
【申請人】瞻博網(wǎng)絡(luò)公司