針對惡意軟件分析受口令保護(hù)的文件的制作方法
【專利摘要】一種設(shè)備可以接收將被訪問用于分析的受口令保護(hù)的文件�����。該設(shè)備可以識(shí)別將被使用作為用以嘗試訪問受口令保護(hù)的文件的口令的����、與受口令保護(hù)的文件相關(guān)聯(lián)的上下文項(xiàng)。該上下文項(xiàng)可以基于以下各項(xiàng)中的至少一項(xiàng)而被識(shí)別:與受口令保護(hù)的文件相關(guān)聯(lián)的元數(shù)據(jù)��,與受口令保護(hù)的文件從其被接收的源相關(guān)聯(lián)的元數(shù)據(jù)���,或者與受口令保護(hù)的文件從其被接收的源相關(guān)聯(lián)的文本���。該設(shè)備可以應(yīng)用該上下文項(xiàng)作為用以嘗試訪問受口令保護(hù)的文件的口令��。
【專利說明】
針對惡意軟件分析受口令保護(hù)的文件
【背景技術(shù)】
[0001]惡意軟件(“malware”)可以指代用來擾亂計(jì)算機(jī)操作��、收集敏感信息�����、取得對私有計(jì)算機(jī)系統(tǒng)的訪問等的任何軟件����。惡意軟件可以指代各種類型的敵對性或者侵入性軟件���,包括計(jì)算機(jī)病毒、蠕蟲�����、特洛伊木馬��、勒索軟件����、間諜軟件�����、廣告軟件��、恐嚇軟件�����、或者其他惡意軟件�。
【發(fā)明內(nèi)容】
[0002]根據(jù)一些可能的實(shí)施方式���,一種設(shè)備可以接收將被訪問用于分析的受口令保護(hù)的文件��。該設(shè)備可以識(shí)別將被使用作為用以嘗試訪問該受口令保護(hù)的文件的口令的���、與該受口令保護(hù)的文件相關(guān)聯(lián)的上下文項(xiàng)。該上下文項(xiàng)可以基于以下各項(xiàng)中的至少一項(xiàng)而被識(shí)另IJ:與該受口令保護(hù)的文件相關(guān)聯(lián)的元數(shù)據(jù)�,與該受口令保護(hù)的文件從其被接收的源相關(guān)聯(lián)的元數(shù)據(jù),或者與該受口令保護(hù)的文件從其被接收的源相關(guān)聯(lián)的文本�����。該設(shè)備可以應(yīng)用該上下文項(xiàng)作為用以嘗試訪問該受口令保護(hù)的文件的口令�。
[0003]根據(jù)一些可能的實(shí)施方式����,一種計(jì)算機(jī)可讀介質(zhì)可以存儲(chǔ)一個(gè)或多個(gè)指令���,該一個(gè)或多個(gè)指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)促使該一個(gè)或多個(gè)處理器接收受口令保護(hù)的文件�����。該一個(gè)或多個(gè)指令可以促使該一個(gè)或多個(gè)處理器識(shí)別將被使用作為用以嘗試訪問該受口令保護(hù)的文件的口令的����、與該受口令保護(hù)的文件相關(guān)聯(lián)的上下文項(xiàng)�。該上下文項(xiàng)可以基于以下各項(xiàng)中的至少一項(xiàng)而被識(shí)別:與該受口令保護(hù)的文件相關(guān)聯(lián)的第一未加密文本, 與該受口令保護(hù)的文件從其被接收的源相關(guān)聯(lián)的第二未加密文本���,或者與另一文件相關(guān)聯(lián)的第三未加密文本���,該另一文件與該受口令保護(hù)的文件共享一定程度的相似性����。該一個(gè)或多個(gè)指令可以促使該一個(gè)或多個(gè)處理器應(yīng)用該上下文項(xiàng)作為用以嘗試訪問該受口令保護(hù)的文件的口令。
[0004]根據(jù)一些可能的實(shí)施方式�,一種方法可以包括:由設(shè)備接收將被訪問用于分析的受口令保護(hù)的文件����。該方法可以包括:由該設(shè)備識(shí)別將被使用作為用以嘗試訪問該受口令保護(hù)的文件的口令的����、與該受口令保護(hù)的文件相關(guān)聯(lián)的上下文項(xiàng)。該上下文項(xiàng)可以基于以下各項(xiàng)中的至少一項(xiàng)而被識(shí)別:與該受口令保護(hù)的文件相關(guān)聯(lián)的第一文本����,或者與該受口令保護(hù)的文件從其被獲得的源相關(guān)聯(lián)的第二文本。該方法可以包括:由該設(shè)備應(yīng)用該上下文項(xiàng)作為用以嘗試訪問該受口令保護(hù)的文件的口令�����。該方法可以包括:由該設(shè)備基于應(yīng)用該上下文項(xiàng)或者非上下文項(xiàng)作為口令���,來確定該受口令保護(hù)的文件已經(jīng)成功地被訪問����。該方法可以包括:由該設(shè)備訪問該受口令保護(hù)的文件用于分析���?!靖綀D說明】
[0005]圖1是本文所描述的一種示例實(shí)施方式的概覽的示圖��;
[0006]圖2是本文所描述的系統(tǒng)和/或方法可以在其中被實(shí)施的示例環(huán)境的示圖;
[0007]圖3是圖2的一個(gè)或多個(gè)設(shè)備的示例組件的示圖��;
[0008]圖4是用于訪問受口令保護(hù)的文件從而可以針對惡意軟件來分析該受口令保護(hù)的文件的示例過程的流程圖���;以及
[0009]圖5A-5E是與圖4中所示出的示例過程有關(guān)的一種示例實(shí)施方式的示圖��?!揪唧w實(shí)施方式】
[0010]對多種示例實(shí)施方式的以下詳細(xì)描述參考了附圖�����。不同附圖中的相同參考標(biāo)號(hào)可以識(shí)別相同或相似的元件�。[〇〇11] 反惡意軟件的應(yīng)用可以能夠分析文件(例如,二進(jìn)制文件)以確定該文件是否為惡意軟件�����。然而�����,惡意用戶可以使用口令來保護(hù)惡意軟件文件�����,由此防止反惡意軟件的應(yīng)用分析該文件����,因?yàn)榉磹阂廛浖膽?yīng)用可能不具有訪問該文件的口令。本文所描述的實(shí)施方式可以協(xié)助訪問受口令保護(hù)的文件���,以針對惡意軟件來分析該文件�。
[0012]圖1是本文所描述的一種示例實(shí)施方式100的概覽的示圖���。如圖1中所示出的�, 安全設(shè)備(例如�,服務(wù)器、防火墻���、網(wǎng)關(guān)等)可以接收將針對惡意軟件而被分析的受口令保護(hù)的文件��。如進(jìn)一步所示出的���,安全設(shè)備可以識(shí)別將被使用作為用以嘗試訪問該文件的口令的、與該文件相關(guān)聯(lián)的上下文項(xiàng)��。例如,安全設(shè)備可以分析包括該文件的電子郵件�、可以分析托管該文件的網(wǎng)站、可以分析文件元數(shù)據(jù)等等�����,以識(shí)別上下文項(xiàng)����。本文的其他地方更詳細(xì)地描述了用于識(shí)別上下文項(xiàng)的其他技術(shù)。
[0013]如圖1中進(jìn)一步所示出的����,安全設(shè)備可以將上下文項(xiàng)存儲(chǔ)在口令字典中,并且可以將非上下文項(xiàng)存儲(chǔ)在該口令字典中�����。在一些實(shí)施方式中����,安全設(shè)備可以對口令字典中的這些項(xiàng)進(jìn)行優(yōu)先級(jí)化,并且可以給予上下文項(xiàng)比非上下文項(xiàng)更高的優(yōu)先級(jí)��。安全設(shè)備然后可以使用經(jīng)優(yōu)先級(jí)化的項(xiàng)作為用以嘗試訪問該文件的口令���,從而可以針對惡意軟件來分析該文件���。通過對上下文項(xiàng)進(jìn)行優(yōu)先級(jí)化,安全設(shè)備可以確保上下文項(xiàng)(它們比非上下文項(xiàng)更有可能是用于該文件的口令)在非上下文項(xiàng)之前被應(yīng)用作為口令����。以這種方式,安全設(shè)備可以節(jié)約處理資源����。此外,在受口令保護(hù)的文件是被能夠基于該文件的上下文(例如�,基于包括該文件的電子郵件消息、包括該文件的網(wǎng)站等中所包括的文本)來確定的口令所保護(hù)時(shí)��,安全設(shè)備可以允許受口令保護(hù)的文件針對惡意軟件而被分析�。
[0014]圖2是本文所描述的系統(tǒng)和/或方法可以在其中被實(shí)施的示例環(huán)境200的示圖。 如圖2中所示出的����,環(huán)境200可以包括一個(gè)或多個(gè)客戶端設(shè)備210-1至210-N(N彡1)(下文統(tǒng)稱為“多個(gè)客戶端設(shè)備210”,并且個(gè)體地稱為“客戶端設(shè)備210”)�、安全設(shè)備220、客戶網(wǎng)絡(luò)230和網(wǎng)絡(luò)240���。環(huán)境200的設(shè)備可以經(jīng)由有線連接�、無線連接、或者有線連接和無線連接的組合進(jìn)行互連���。
[0015]客戶端設(shè)備210可以包括能夠訪問和/或執(zhí)行文件的一個(gè)或多個(gè)設(shè)備�����。例如��,客戶端設(shè)備210可以包括臺(tái)式計(jì)算機(jī)�����、膝上型計(jì)算機(jī)��、平板計(jì)算機(jī)�����、移動(dòng)電話(例如���,智能電話、無線電電話等)���、服務(wù)器����、或者類似類型的設(shè)備。在一些實(shí)施方式中����,客戶端設(shè)備210可能是惡意軟件攻擊的目標(biāo)�����,并且可能接收到包括惡意軟件的文件��。當(dāng)被執(zhí)行時(shí)����,惡意軟件可能對客戶端設(shè)備210和/或由客戶端設(shè)備210存儲(chǔ)的信息是有害的。在一些實(shí)施方式中��, 客戶端設(shè)備210可以位于客戶網(wǎng)絡(luò)230���。
[0016] 安全設(shè)備220可以包括一個(gè)或多個(gè)如下的設(shè)備�����,這些設(shè)備能夠處理和/或傳送與客戶端設(shè)備210相關(guān)聯(lián)的網(wǎng)絡(luò)流量�����,和/或能夠?yàn)榭蛻舳嗽O(shè)備210和/或客戶網(wǎng)絡(luò)230提供安全服務(wù)(例如����,惡意軟件檢測服務(wù))。例如����,安全設(shè)備220可以包括網(wǎng)關(guān)、防火墻�、路由器、橋接器����、集線器、交換機(jī)�����、負(fù)載平衡器�、反向代理、接入點(diǎn)�、服務(wù)器(例如��,代理服務(wù)器)��、或者類似類型的設(shè)備���。安全設(shè)備220可以被使用在與單個(gè)客戶端設(shè)備210或者一組客戶端設(shè)備 210(例如,與私有網(wǎng)絡(luò)��、數(shù)據(jù)中心等相關(guān)聯(lián)的客戶端設(shè)備210)的連接中�。在一些實(shí)施方式中,通信可以通過安全設(shè)備220而被路由�����,以到達(dá)該組客戶端設(shè)備210�����。例如��,安全設(shè)備220 可以被定位在網(wǎng)絡(luò)內(nèi)��,作為通向包括該組客戶端設(shè)備210的客戶網(wǎng)絡(luò)230的網(wǎng)關(guān)����。附加地或替換地,來自客戶端設(shè)備210的通信可以被編碼�,以使得通信在被路由到其他地方之前被路由至安全設(shè)備220。
[0017]在一些實(shí)施方式中����,安全設(shè)備220可以接收受口令保護(hù)的文件,可以識(shí)別與該文件相關(guān)聯(lián)的上下文項(xiàng)����,并且可以將上下文項(xiàng)存儲(chǔ)在口令字典中。安全設(shè)備220可以使用口令字典來嘗試訪問受口令保護(hù)的文件���。附加地或替換地���,安全設(shè)備220可以執(zhí)行反惡意軟件的檢測應(yīng)用,以確定該文件是否為惡意軟件(例如�,在使用口令字典中的項(xiàng)已經(jīng)訪問了該文件之后)。作為示例��,安全設(shè)備220可以訪問和/或分析由客戶端設(shè)備210請求的和/ 或被提供至客戶端設(shè)備210的受口令保護(hù)的文件(例如���,在該文件被提供至客戶端設(shè)備210 之前��,在該文件被提供至客戶端設(shè)備210之后��,等等)����。在一些實(shí)施方式中,安全設(shè)備220可以在沙盒環(huán)境中訪問和/或分析該文件�����。
[0018]客戶網(wǎng)絡(luò)230可以包括一個(gè)或多個(gè)有線網(wǎng)絡(luò)和/或無線網(wǎng)絡(luò)����。例如,客戶網(wǎng)絡(luò)230 可以包括局域網(wǎng)(LAN)�����、私有網(wǎng)絡(luò)���、內(nèi)聯(lián)網(wǎng)、云計(jì)算網(wǎng)絡(luò)���、蜂窩網(wǎng)絡(luò)(例如�,長期演進(jìn)(LTE) 網(wǎng)絡(luò)�����、3G網(wǎng)絡(luò)、碼分多址(CDMA)網(wǎng)絡(luò)等)�、公共陸地移動(dòng)網(wǎng)絡(luò)(PLMN)、廣域網(wǎng)(WAN)����、城域網(wǎng) (MAN)、電話網(wǎng)絡(luò)(例如���,公共交換電話網(wǎng)絡(luò)(PSTN))��、自組織(ad hoc)網(wǎng)絡(luò)�����、互聯(lián)網(wǎng)�、基于光纖的網(wǎng)絡(luò)等等����、和/或這些或其他類型的網(wǎng)絡(luò)的組合。在一些實(shí)施方式中���,客戶網(wǎng)絡(luò)230可以是與客戶端設(shè)備210相關(guān)聯(lián)的私有網(wǎng)絡(luò)�����。
[0019]網(wǎng)絡(luò)240可以包括一個(gè)或多個(gè)有線網(wǎng)絡(luò)和/或無線網(wǎng)絡(luò)�����。例如����,網(wǎng)絡(luò)240可以包括蜂窩網(wǎng)絡(luò)、PLMN�����、LAN��、WAN���、MAN��、電話網(wǎng)絡(luò)(例如,PSTN)��、私有網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)��、內(nèi)聯(lián)網(wǎng)�、 互聯(lián)網(wǎng)、基于光纖的網(wǎng)絡(luò)�、云計(jì)算網(wǎng)絡(luò)等等、和/或這些或其他類型的網(wǎng)絡(luò)的組合��。在一些實(shí)施方式中���,安全設(shè)備220可以嘗試訪問和/或分析由客戶端設(shè)備210從與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備(例如�,服務(wù)器)請求的受口令保護(hù)的文件��,以確定該文件是否為惡意軟件���。附加地或替換地�,受口令保護(hù)的文件可以被推送至客戶端設(shè)備210 (例如����,從與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備),并且安全設(shè)備220可以嘗試訪問和/或分析受口令保護(hù)的文件�����,以確定該文件是否為惡意軟件。
[0020]圖2中所示出的設(shè)備和網(wǎng)絡(luò)的數(shù)目和布置被提供作為一個(gè)示例�����。在實(shí)踐中��,可以存在另外的設(shè)備和/或網(wǎng)絡(luò)���,更少的設(shè)備和/或網(wǎng)絡(luò)��,不同的設(shè)備和/或網(wǎng)絡(luò)�����,或者與圖2 中所示出的這些設(shè)備和/或網(wǎng)絡(luò)不同地進(jìn)行布置的設(shè)備和/或網(wǎng)絡(luò)��。此外�����,圖2中所示出的兩個(gè)或更多設(shè)備可以被實(shí)施在單個(gè)設(shè)備內(nèi)��,或者圖2中所示出的單個(gè)設(shè)備可以被實(shí)施為多個(gè)分布式設(shè)備��。附加地或替換地�����,環(huán)境200的設(shè)備集合(例如�����,一個(gè)或多個(gè)設(shè)備)可以執(zhí)行被描述為由環(huán)境200的另一設(shè)備集合所執(zhí)行的一個(gè)或多個(gè)功能�。
[0021]圖3是設(shè)備300的示例組件的示圖���。設(shè)備300可以對應(yīng)于客戶端設(shè)備210和/或安全設(shè)備220����。在一些實(shí)施方式中��,客戶端設(shè)備210和/或安全設(shè)備220可以包括一個(gè)或多個(gè)設(shè)備300��、和/或設(shè)備300的一個(gè)或多個(gè)組件����。如圖3中所示出的,設(shè)備300可以包括總線310���、處理器320���、存儲(chǔ)器330��、存儲(chǔ)組件340���、輸入組件350、輸出組件360���、以及通信接口370〇
[0022]總線310可以包括允許在設(shè)備300的組件之間的通信的組件���。處理器320以硬件、固件�����、或者硬件和軟件的組合來實(shí)施����。處理器320可以包括處理器(例如,中央處理單元(CPU)���、圖形處理單元(GPU)�����、加速處理單元(APU)等)���、微處理器�、和/或解譯和/或執(zhí)行指令的任何處理組件(例如�,現(xiàn)場可編程門陣列(FPGA)����、專用集成電路(ASIC)等)。存儲(chǔ)器330可以包括隨機(jī)訪問存儲(chǔ)器(RAM)���、只讀存儲(chǔ)器(ROM)�、和/或存儲(chǔ)用于由處理器320 使用的信息和/或指令的另一類型的動(dòng)態(tài)或靜態(tài)存儲(chǔ)設(shè)備(例如�����,閃存�����、磁存儲(chǔ)器����、光存儲(chǔ)器等)�。
[0023]存儲(chǔ)組件340可以存儲(chǔ)與設(shè)備300的操作和使用有關(guān)的信息和/或軟件����。例如, 存儲(chǔ)組件340可以包括與對應(yīng)的驅(qū)動(dòng)器一起的硬盤(例如����,磁盤、光盤�����、磁光盤����、固態(tài)盤等)、 壓縮盤(CD)����、數(shù)字化通用磁盤(DVD)、軟盤�����、磁帶盒(cartridge)、磁帶�、和/或另一類型的計(jì)算機(jī)可讀介質(zhì)。
[0024]輸入組件350可以包括允許設(shè)備300諸如經(jīng)由用戶輸入(例如����,觸摸屏顯示器、鍵盤�、小鍵盤(keypad)、鼠標(biāo)��、按鈕�、開關(guān)�����、麥克風(fēng)等)來接收信息的組件��。附加地或替換地���, 輸入組件350可以包括用于感測信息的傳感器(例如���,全球定位系統(tǒng)(GPS)組件、加速計(jì)�、 陀螺儀、致動(dòng)器等)。輸出組件360可以包括從設(shè)備300提供輸出信息的組件(例如�,顯示器、揚(yáng)聲器���、一個(gè)或多個(gè)發(fā)光二極管(LED)等)��。
[0025]通信接口 370可以包括使得設(shè)備300能夠諸如經(jīng)由有線連接���、無線連接、或者有線連接和無線連接的組合來與其他設(shè)備進(jìn)行通信的類似于收發(fā)器的組件(例如��,收發(fā)器�����、分離的接收器和發(fā)射器等)��。通信接口 370可以允許設(shè)備300從另一設(shè)備接收信息和/或向另一設(shè)備提供信息����。例如,通信接口 370可以包括以太網(wǎng)接口��、光接口�、同軸接口、紅外接口、射頻(RF)接口���、通用串行總線(USB)接口���、W1-Fi接口、蜂窩網(wǎng)絡(luò)接口��,等等�。
[0026]設(shè)備300可以執(zhí)行本文所描述的一個(gè)或多個(gè)過程。設(shè)備300可以響應(yīng)于處理器 320執(zhí)行由計(jì)算機(jī)可讀介質(zhì)(諸如存儲(chǔ)器330和/或存儲(chǔ)組件340)所存儲(chǔ)的軟件指令來執(zhí)行這些過程��。計(jì)算機(jī)可讀介質(zhì)在本文中被定義為非瞬態(tài)存儲(chǔ)器設(shè)備����。存儲(chǔ)器設(shè)備包括單個(gè)物理存儲(chǔ)設(shè)備內(nèi)的存儲(chǔ)器空間或者跨越多個(gè)物理存儲(chǔ)設(shè)備而擴(kuò)展的存儲(chǔ)器空間��。
[0027]軟件指令可以經(jīng)由通信接口 370從另一計(jì)算機(jī)可讀介質(zhì)或者從另一設(shè)備被讀取到存儲(chǔ)器330和/或存儲(chǔ)組件340中�����。在被執(zhí)行時(shí)�����,存儲(chǔ)器330和/或存儲(chǔ)組件340中存儲(chǔ)的軟件指令可以促使處理器320執(zhí)行本文所描述的一個(gè)或多個(gè)過程。附加地或替換地�, 硬接線電路可以取代軟件指令或者與軟件指令結(jié)合在一起用以執(zhí)行本文所描述的一個(gè)或多個(gè)過程。因此�,本文所描述的實(shí)施方式不限于硬件電路和軟件的任何特定組合。
[0028]圖3中所示出的組件的數(shù)目和布置被提供為一個(gè)示例�。在實(shí)踐中,設(shè)備300可以包括另外的組件���,更少的組件�,不同的組件�����,或者與圖3中所示出的這些組件不同地進(jìn)行布置的組件��。附加地或替換地���,設(shè)備300的組件的集合(例如����,一個(gè)或多個(gè)組件)可以執(zhí)行被描述為由設(shè)備300的組件的另一集合所執(zhí)行的一個(gè)或多個(gè)功能�。
[0029]圖4是用于訪問受口令保護(hù)的文件從而可以針對惡意軟件來分析該受口令保護(hù)的文件的示例過程400的流程圖。在一些實(shí)施方式中����,圖4的一個(gè)或多個(gè)過程框可以由安全設(shè)備220來執(zhí)行��。在一些實(shí)施方式中�,圖4的一個(gè)或多個(gè)過程框可以由與安全設(shè)備220 分離或者包括安全設(shè)備220的另一設(shè)備或者設(shè)備的集合(諸如客戶端設(shè)備210)來執(zhí)行�。
[0030]如圖4中所示出的,過程400可以包括接收將針對惡意軟件而被分析的受口令保護(hù)的文件(框410)�����。例如��,安全設(shè)備220可以接收(例如����,一個(gè)或多個(gè))受口令保護(hù)的文件的集合(例如,受一個(gè)口令保護(hù)的單個(gè)文件��,受一個(gè)口令保護(hù)的多個(gè)文件�,受多個(gè)口令保護(hù)的單個(gè)文件��,受多個(gè)口令保護(hù)的多個(gè)文件�,等等)。在一些實(shí)施方式中���,該文件可以是檔案文件��,檔案文件包括文件集合以及與該檔案文件和/或文件集合相關(guān)聯(lián)的元數(shù)據(jù)���。該文件集合可以受口令保護(hù)�,從而該文件集合不使用口令就不可以被訪問�����。
[0031]在一些實(shí)施方式中�����,文件集合可能包括惡意軟件�,并且安全設(shè)備220和/或另一設(shè)備可以包括反惡意軟件的應(yīng)用,以針對惡意軟件來分析該文件集合��。然而�,如果該文件集合是受口令保護(hù)的,則反惡意軟件的應(yīng)用可能不能訪問該文件集合用于分析�����。本文所描述的實(shí)施方式可以允許安全設(shè)備220 (和/或另一設(shè)備)通過使用與該文件集合相關(guān)聯(lián)的上下文信息來識(shí)別用于該文件集合的口令�,以訪問該受口令保護(hù)的文件集合用于分析���。
[0032]在一些實(shí)施方式中,受口令保護(hù)的文件集合可以與客戶端設(shè)備210相關(guān)聯(lián)���。例如��, 該文件集合可以由客戶端設(shè)備210存儲(chǔ)���,可以在客戶端設(shè)備210上被執(zhí)行或被訪問,可以由客戶端設(shè)備210請求��,等等�����。在一些實(shí)施方式中�����,客戶端設(shè)備210可以從與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備(例如�����,web服務(wù)器�、主機(jī)服務(wù)器等)請求該文件集合。在這種情況下�,安全設(shè)備220 可以接收該請求、可以從該設(shè)備請求該文件集合����、可以從該設(shè)備接收該文件集合、可以訪問該受口令保護(hù)的文件集合���、并且可以在向客戶端設(shè)備210發(fā)送該文件集合之前確定該文件集合是否包括惡意軟件�。如果安全設(shè)備220(例如���,基于執(zhí)行本文所描述的操作中的一個(gè)或多個(gè)操作)確定該文件集合包括惡意軟件���,則安全設(shè)備220可以防止該文件集合被提供至客戶端設(shè)備210。如果安全設(shè)備220確定該文件集合不包括惡意軟件����,則安全設(shè)備220可以將該文件集合提供至客戶端設(shè)備210。
[0033]附加地或替換地�,受口令保護(hù)的文件集合可以由與網(wǎng)絡(luò)240相關(guān)聯(lián)的設(shè)備推送至客戶端設(shè)備210。在這種情況下��,安全設(shè)備220可以接收該受口令保護(hù)的文件集合(例如���,可以在該文件集合由客戶端設(shè)備210接收之前攔截該文件集合��,可以在該文件集合由客戶端設(shè)備210接收之后獲得該文件集合�����,等等)�����,可以訪問該受口令保護(hù)的文件集合����,并且可以在向客戶端設(shè)備210發(fā)送該文件集合之前確定該文件集合是否包括惡意軟件。如果安全設(shè)備220 (例如����,基于執(zhí)行本文所描述的操作中的一個(gè)或多個(gè)操作)確定該文件集合包括惡意軟件,則安全設(shè)備220可以防止該文件集合被提供至客戶端設(shè)備210���。如果安全設(shè)備220確定該文件集合不包括惡意軟件��,則安全設(shè)備220可以將該文件集合提供至客戶端設(shè)備210���。 附加地或替換地��,安全設(shè)備220可以向客戶端設(shè)備210提供關(guān)于該文件集合是否包括惡意軟件的通知。
[0034]如圖4中進(jìn)一步所示出的��,過程400可以包括識(shí)別與該文件相關(guān)聯(lián)的上下文項(xiàng) (框420)���。例如�����,安全設(shè)備220可以識(shí)別與文件集合相關(guān)聯(lián)的一個(gè)或多個(gè)上下文項(xiàng)�����。上下文項(xiàng)可以包括與該文件集合相關(guān)聯(lián)的項(xiàng)�����、與包括該文件集合的檔案文件相關(guān)聯(lián)的項(xiàng)�����、與該文件集合從其被訪問的源(例如��,該文件集合從其被訪問的電子郵件�����,該文件集合從其被訪問的網(wǎng)站��,該文件集合從其被訪問的文本消息等)相關(guān)聯(lián)的項(xiàng)��,等等�����。如本文中所使用的�����, 項(xiàng)可以指代字符的特定組合��,諸如一個(gè)詞���、多個(gè)詞(例如�,詞組�、句子等)、一個(gè)字符����、多個(gè)字符(例如��,字符串)等�����。
[0035]在一些實(shí)施方式中,安全設(shè)備220可以識(shí)別與文件集合相關(guān)聯(lián)的上下文項(xiàng)��。例如��,上下文項(xiàng)可以是與該文件集合中包括的一個(gè)或多個(gè)文件相關(guān)聯(lián)的元數(shù)據(jù)(例如����,文件的文件名、文件的文件屬性��、文件的文件類型����、與文件相關(guān)聯(lián)的公司名、與文件相關(guān)聯(lián)的產(chǎn)品名��、 與文件相關(guān)的用戶名��、與文件相關(guān)聯(lián)的注釋等等)中包括的項(xiàng)。在一些實(shí)施方式中�����,安全設(shè)備220可以基于與該文件集合相關(guān)聯(lián)的未加密信息(例如���,未加密的元數(shù)據(jù))來識(shí)別上下文項(xiàng)���。
[0036]附加地或替換地,安全設(shè)備220可以識(shí)別與包括該文件集合的檔案文件相關(guān)聯(lián)的上下文項(xiàng)����。例如,上下文項(xiàng)可以是與該檔案文件相關(guān)聯(lián)的元數(shù)據(jù)(例如�,檔案文件的檔案名、檔案文件的檔案屬性��、檔案文件的檔案類型�、與檔案文件相關(guān)聯(lián)的公司名、與檔案文件相關(guān)聯(lián)的產(chǎn)品名�、與檔案文件相關(guān)聯(lián)的用戶名、與檔案文件相關(guān)聯(lián)的注釋等等)中包括的項(xiàng)����。在一些實(shí)施方式中�,安全設(shè)備220可以基于與該檔案文件相關(guān)聯(lián)的未加密信息(例如����, 未加密的元數(shù)據(jù))來識(shí)別上下文項(xiàng)。
[0037]附加地或替換地���,安全設(shè)備220可以識(shí)別與文件集合從其被訪問(例如����,被接收���、 被獲得、被下載���、被加載等)的源相關(guān)聯(lián)的上下文項(xiàng)�。該源可以包括例如電子郵件消息�、網(wǎng)站、文本消息(例如���,短消息服務(wù)(SMS)文本消息�����、多媒體消息傳送服務(wù)(MMS)文本消息等)���、社交媒體消息等�。在一些實(shí)施方式中��,上下文項(xiàng)可以是與該源相關(guān)聯(lián)的元數(shù)據(jù)(例如��, 與該源相關(guān)聯(lián)的源名稱�,諸如網(wǎng)站名;該源的源屬性��,諸如與該源相關(guān)聯(lián)的文本的語言���;與該源相關(guān)聯(lián)的源類型����;與該源相關(guān)聯(lián)的公司名�;與該源相關(guān)聯(lián)的產(chǎn)品名;與該源相關(guān)聯(lián)的用戶名��,諸如發(fā)布該文件的用戶的用戶名�、下載該文件的用戶的用戶名等;與用于從該源訪問該文件集合的應(yīng)用相關(guān)聯(lián)的信息��,諸如應(yīng)用名稱、瀏覽器名稱���、電子郵件應(yīng)用名稱�����、文本消息應(yīng)用名稱等�����;等等)中包括的項(xiàng)��。
[0038]在一些實(shí)施方式中�����,該源可以與文本相關(guān)聯(lián),諸如電子郵件消息中包括的文本�����、網(wǎng)站中包括的文本(例如���,該網(wǎng)站的網(wǎng)頁中包括的文本)��、文本消息中包括的文本�、社交媒體消息中包括的文本,等等�。安全設(shè)備220可以分析該文本以識(shí)別上下文項(xiàng)。例如�,安全設(shè)備 220可以(例如,使用詞法分析)對文本進(jìn)行標(biāo)記化(tokenize)以形成上下文項(xiàng)(例如����,通過將該文本分割成上下文項(xiàng))。
[0039]附加地或替換地�����,該源可以與識(shí)別資源的鏈接相關(guān)聯(lián)�����,諸如統(tǒng)一資源識(shí)別符 (URL)����。例如,電子郵件消息可以包括通向資源(例如����,網(wǎng)站)的鏈接��,網(wǎng)站可以包括通向資源(例如��,另一網(wǎng)站)的鏈接�����,文本消息可以包括通向資源(例如����,網(wǎng)站)的鏈接�����,社交媒體消息可以包括通向資源(例如����,網(wǎng)站)的鏈接,等等����。在這種情況下����,安全設(shè)備220可以(例如�����,通過跟隨該鏈接)訪問該資源����,并且可以基于訪問該資源來識(shí)別上下文項(xiàng)����。例如,該資源可以包括網(wǎng)站���,并且安全設(shè)備220可以確定與該網(wǎng)站相關(guān)聯(lián)的一個(gè)或多個(gè)上下文項(xiàng)(例如���,基于與該網(wǎng)站相關(guān)聯(lián)的元數(shù)據(jù),基于對該網(wǎng)站的文本中包括的項(xiàng)進(jìn)行標(biāo)記化����,等等)。
[0040]在一些實(shí)施方式中����,安全設(shè)備220可以分析受口令保護(hù)的文件集合(例如,受口令保護(hù)的檔案文件),以識(shí)別先前(例如�,由安全設(shè)備220)分析的類似的文件集合。例如���,安全設(shè)備220可以確定與第一文件集合相關(guān)聯(lián)的元數(shù)據(jù)和與第二的先前分析的文件集合相關(guān)聯(lián)的元數(shù)據(jù)之間的差異滿足一個(gè)閾值(例如���,該差異小于一個(gè)閾值)?���;谶@個(gè)確定,安全設(shè)備220可以基于被使用用于第二文件集合的口令字典中包括的上下文項(xiàng)和/或項(xiàng)來針對第一文件集合而識(shí)別上下文項(xiàng)����。在一些實(shí)施方式中,第二文件集合可以與第一文件集合共享一定程度的相似性��。
[0041]在一些實(shí)施方式中���,安全設(shè)備220可以對上下文項(xiàng)應(yīng)用一個(gè)或多個(gè)變換技術(shù)以識(shí)別一個(gè)或多個(gè)另外的上下文項(xiàng)��。例如�,安全設(shè)備220可以改變一個(gè)或多個(gè)字符的順序(例如���,以創(chuàng)建上下文項(xiàng)的排列)��,可以改變上下文項(xiàng)的格(case)(例如�,可以將字符改變?yōu)榇髮懽帜傅淖址?�,可以將字符改變?yōu)樾懽帜傅淖址?���,可以?zhí)行數(shù)學(xué)運(yùn)算等),等等���。
[0042]如圖4中進(jìn)一步所示出的�,過程400可以包括將上下文項(xiàng)存儲(chǔ)在口令字典中(框 430)���。例如�,安全設(shè)備220可以將如上面所描述的那樣被識(shí)別的一個(gè)或多個(gè)上下文項(xiàng)存儲(chǔ)在口令字典中����。口令字典可以指代可以被用來嘗試訪問受口令保護(hù)的文件集合的項(xiàng)的集合 (例如����,一個(gè)或多個(gè)項(xiàng)的列表)����。例如�,口令字典中包括的項(xiàng)可以依次地被應(yīng)用作為用以訪問受口令保護(hù)的文件的口令,直至成功的口令被用來成功地訪問文件集合����,和/或直至口令字典中包括的所有項(xiàng)已經(jīng)被應(yīng)用。
[0043]在一些實(shí)施方式中��,安全設(shè)備220可以將一個(gè)或多個(gè)非上下文項(xiàng)存儲(chǔ)在口令字典中(例如���,除了上下文項(xiàng)之外的一個(gè)或多個(gè)項(xiàng))�。例如��,口令字典可以包括基于所存儲(chǔ)的字典(例如����,標(biāo)準(zhǔn)字典、默認(rèn)字典等)而識(shí)別的非上下文項(xiàng)��。
[0044]如圖4中進(jìn)一步所示出的���,過程400可以包括對口令字典中包括的上下文項(xiàng)和/ 或非上下文項(xiàng)進(jìn)行優(yōu)先級(jí)化���,以形成經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合(框440)����。例如���,安全設(shè)備220 可以對口令字典中包括的項(xiàng)(例如,上下文項(xiàng)和/或非上下文項(xiàng))進(jìn)行優(yōu)先級(jí)化�����,以形成經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合����。經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中的經(jīng)優(yōu)先級(jí)化的項(xiàng)可以與如下的優(yōu)先級(jí)相關(guān)聯(lián),該優(yōu)先級(jí)確定了經(jīng)優(yōu)先級(jí)化的項(xiàng)將被應(yīng)用作為用以嘗試訪問受口令保護(hù)的文件集合的口令的順序(例如���,相對于經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中包括的其他經(jīng)優(yōu)先級(jí)化的項(xiàng)而言的順序)����。例如��,具有較高優(yōu)先級(jí)的項(xiàng)可以在具有較低優(yōu)先級(jí)的項(xiàng)之前被應(yīng)用��。
[0045]在一些實(shí)施方式中,相比于非上下文項(xiàng)����,安全設(shè)備220可以向上下文項(xiàng)指配更高的優(yōu)先級(jí)。類似地����,相比于上下文項(xiàng),安全設(shè)備220可以向非上下文項(xiàng)指配更低的優(yōu)先級(jí)���。 附加地或替換地��,安全設(shè)備220可以基于上下文項(xiàng)被識(shí)別的方式來向上下文項(xiàng)指配不同的優(yōu)先級(jí)����。例如�����,從與文件集合相關(guān)聯(lián)的元數(shù)據(jù)中識(shí)別的上下文項(xiàng)可以被指配第一優(yōu)先級(jí) (例如�����,高于�����、低于、或者與另一優(yōu)先級(jí)相同)�����,從與檔案文件相關(guān)聯(lián)的元數(shù)據(jù)中識(shí)別的上下文項(xiàng)可以被指配第二優(yōu)先級(jí)(例如��,高于����、低于���、或者與另一優(yōu)先級(jí)相同)�,從與文件集合從其被訪問的源相關(guān)聯(lián)的元數(shù)據(jù)中識(shí)別的上下文項(xiàng)可以被指配第三優(yōu)先級(jí)(例如�����,高于���、低于��、或者與另一優(yōu)先級(jí)相同)����,基于對源中包括的文本進(jìn)行標(biāo)記化而識(shí)別的上下文項(xiàng)可以被指配第四優(yōu)先級(jí)(例如,高于�、低于、或者與另一優(yōu)先級(jí)相同)���,基于類似文件而識(shí)別的上下文項(xiàng)可以被指配第五優(yōu)先級(jí)(例如�,高于��、低于�����、或者與另一優(yōu)先級(jí)相同)����,等等。
[0046]在一些實(shí)施方式中����,安全設(shè)備220可以基于口令詞典中包括的項(xiàng)在過去是否被使用作為用以訪問受口令保護(hù)的文件集合的成功口令,來對該項(xiàng)進(jìn)行優(yōu)先級(jí)化���。例如�����,相比尚未被識(shí)別為成功口令的項(xiàng)而言�����,(例如�,基于在過去成功地應(yīng)用該項(xiàng)來訪問受口令保護(hù)的文件集合)已經(jīng)被識(shí)別為成功口令的第一項(xiàng)可以被指配更高的優(yōu)先級(jí)。以這種方式����,安全設(shè)備220通過在應(yīng)用較不可能是口令的項(xiàng)之前應(yīng)用更可能是口令的項(xiàng)�����,可以節(jié)約處理資源�����。 在一些實(shí)施方式中�����,安全設(shè)備220可以基于配置信息來指配一個(gè)或多個(gè)優(yōu)先級(jí)��,配置信息可以由用戶輸入。
[0047]在一些實(shí)施方式中����,如果一個(gè)項(xiàng)多次被包括在口令字典中,則安全設(shè)備220可以移除該項(xiàng)的除了一個(gè)實(shí)例之外的所有實(shí)例�����。例如���,如果上下文項(xiàng)也被包括在標(biāo)準(zhǔn)字典中�,則安全設(shè)備220可以從標(biāo)準(zhǔn)字典中移除該項(xiàng)��,并且在將項(xiàng)存儲(chǔ)在口令字典中時(shí)可以將該項(xiàng)保持為上下文項(xiàng)��。
[0048] 如圖4中進(jìn)一步所示出的�����,過程400可以包括應(yīng)用經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中的經(jīng)優(yōu)先級(jí)化的項(xiàng)作為口令以用于嘗試訪問受口令保護(hù)的文件(框450)�����,以及確定該經(jīng)優(yōu)先級(jí)化的項(xiàng)是否成功地被使用作為口令(框460)。例如���,安全設(shè)備220可以按優(yōu)先級(jí)順序應(yīng)用來自經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中的經(jīng)優(yōu)先級(jí)化的項(xiàng)作為口令來嘗試訪問受口令保護(hù)的文件集合��。安全設(shè)備220可以應(yīng)用一個(gè)項(xiàng)作為口令�,并且可以確定該項(xiàng)是否曾經(jīng)成功地被使用作為用以訪問受口令保護(hù)的文件集合的口令�����。在一些實(shí)施方式中���,安全設(shè)備220和/或多個(gè)安全設(shè)備220可以(例如����,使用并行處理技術(shù)��、使用GPU�����、使用FPGA�、使用專用硬件�����,等等) 并行地應(yīng)用多個(gè)項(xiàng)。
[0049] 在一些實(shí)施方式中����,安全設(shè)備220可以通過確定與一個(gè)或多個(gè)文件相關(guān)聯(lián)的校驗(yàn)和是否為有效的,來確定該項(xiàng)是否曾經(jīng)成功地被使用作為口令�。附加地或替換地,安全設(shè)備 220可以通過確定一個(gè)或多個(gè)文件是否曾經(jīng)成功地被訪問(例如�,被提取),來確定該項(xiàng)是否曾經(jīng)成功地被使用作為口令�。附加地或替換地,安全設(shè)備220可以通過確定一個(gè)或多個(gè)文件是否根據(jù)可辨識(shí)的文件結(jié)構(gòu)而被組織�,來確定該項(xiàng)是否曾經(jīng)成功地被使用作為口令。 附加地或替換地��,安全設(shè)備220可以通過使用文件識(shí)別符應(yīng)用來確定一個(gè)或多個(gè)文件是否具有特定文件類型(例如��,.exe��、.dll���、.doc等)����,以確定該項(xiàng)是否曾經(jīng)成功地被使用作為口令。例如����,安全設(shè)備220可以確定在應(yīng)用該項(xiàng)作為口令之后識(shí)別的被訪問的信息是表示任意二進(jìn)制數(shù)據(jù)還是可辨識(shí)的文件類型。
[0050] 如圖4中進(jìn)一步所示出的��,如果經(jīng)優(yōu)先級(jí)化的項(xiàng)未成功地被使用作為口令(框 460—否)�����,則過程400可以包括返回到框450�。例如,如果第一項(xiàng)未成功地被使用作為用以訪問(例如���,提取)文件集合的口令����,則安全設(shè)備220可以返回到框450來應(yīng)用經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中(例如����,具有比第一項(xiàng)低的優(yōu)先級(jí))的第二項(xiàng)作為用于嘗試訪問受口令保護(hù)的文件集合的口令�����。在一些實(shí)施方式中,如果安全設(shè)備220已經(jīng)應(yīng)用了經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中的每個(gè)項(xiàng)而沒有識(shí)別出成功的口令����,則安全設(shè)備220可以防止受口令保護(hù)的文件集合被(例如,客戶端設(shè)備210)訪問����。在一些實(shí)施方式中,如果安全設(shè)備220已經(jīng)應(yīng)用了經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中的每個(gè)項(xiàng)而沒有識(shí)別出成功的口令��,則安全設(shè)備220可以允許(例如��,安全設(shè)備210)訪問受口令保護(hù)的文件集合�。
[0051] 如圖4中進(jìn)一步所示出的,如果經(jīng)優(yōu)先級(jí)化的項(xiàng)成功地被使用作為口令(框460— 是)���,則過程400可以包括在經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中更新被使用作為用以訪問受口令保護(hù)的文件的成功口令的經(jīng)優(yōu)先級(jí)化的項(xiàng)的優(yōu)先級(jí)(框470)�����。例如��,如果安全設(shè)備220成功地應(yīng)用一個(gè)項(xiàng)作為用以訪問受口令保護(hù)的文件集合的口令����,則安全設(shè)備220可以更新該項(xiàng)的優(yōu)先級(jí)。在一些實(shí)施方式中����,相比先前與該項(xiàng)相關(guān)聯(lián)的優(yōu)先級(jí)而言,安全設(shè)備220可以將該項(xiàng)與更高的優(yōu)先級(jí)相關(guān)聯(lián)���。附加地或替換地�,安全設(shè)備220在后來的時(shí)間嘗試訪問受口令保護(hù)的文件集合時(shí)���,可以重新使用上下文項(xiàng)���、非上下文項(xiàng)、口令字典��、經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合����、和/或成功地被使用的項(xiàng)。以這種方式�,曾經(jīng)成功地被使用作為口令的項(xiàng)可以更早地被嘗試,由此減少了處理時(shí)間并且節(jié)約了計(jì)算資源���。
[0052] 如圖4中進(jìn)一步所示出的�,過程400可以包括訪問和/或分析受口令保護(hù)的文件 (框480)��。例如���,安全設(shè)備220可以基于成功地應(yīng)用一個(gè)項(xiàng)作為口令來訪問(例如�,提取)受口令保護(hù)的文件集合����。在一些實(shí)施方式中,安全設(shè)備220可以針對惡意軟件來分析該文件集合�。附加地或替換地,安全設(shè)備220可以向另一設(shè)備提供該文件集合以用于惡意軟件分析�����。以這種方式���,安全設(shè)備220可以允許受口令保護(hù)的文件針對惡意軟件而被分析�,由此增加了數(shù)據(jù)安全性��。
[0053]盡管多種技術(shù)在本文中被描述為可應(yīng)用于訪問由單個(gè)口令保護(hù)的受口令保護(hù)的文件集合��,但是這些技術(shù)可以被應(yīng)用于訪問由多個(gè)口令保護(hù)���、由用戶名和口令保護(hù)��、或者由憑證的某種其他組合保護(hù)的受口令保護(hù)的文件集合���。在這種情況下�,在一些實(shí)施方式中��,安全設(shè)備220可以針對不同的憑證使用相同的上下文項(xiàng)�、非上下文項(xiàng)、口令字典��、經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合�,等等。在一些實(shí)施方式中��,安全設(shè)備220可以針對不同的憑證使用不同的上下文項(xiàng)���、非上下文項(xiàng)�����、口令字典�����、經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合���,等等��。
[0054]盡管圖4示出了過程400的示例框,但是在一些實(shí)施方式中��,過程400可以包括另外的框�����、更少的框��、不同的框����、或者與圖4中所描繪的這些框不同地被布置的框。附加地或替換地����,過程400的兩個(gè)或更多框可以并行地被執(zhí)行。
[0055]圖5A-5E是與圖4中所示出的示例過程400有關(guān)的一種示例實(shí)施方式500的示圖���。圖5A-5E示出了訪問受口令保護(hù)的文件從而該受口令保護(hù)的文件可以針對惡意軟件而被分析的示例����。
[0056]如圖5A所示出的,假設(shè)用戶與客戶端設(shè)備210進(jìn)行交互��,以請求被包括作為該用戶所接收的電子郵件的附件的檔案文件�����。進(jìn)一步假設(shè)該檔案文件(被示出為 “PFinanceFile.archive”)受口令保護(hù)����。如由參考標(biāo)號(hào)502所示出的,假設(shè)安全設(shè)備220 在檔案文件被提供給客戶端設(shè)備210之前接收到該檔案文件����,并且在該檔案文件被提供給客戶端設(shè)備210之前嘗試訪問該檔案文件并且針對惡意軟件來分析該檔案文件。如由參考標(biāo)號(hào)504所示出的����,假設(shè)安全設(shè)備220識(shí)別來自該電子郵件的上下文項(xiàng)并且將它們存儲(chǔ)在口令字典中。
[0057]例如�����,并且如由參考標(biāo)號(hào)506所示出的,假設(shè)安全設(shè)備220識(shí)別并且存儲(chǔ)與電子郵件消息的發(fā)送方相關(guān)聯(lián)的上下文項(xiàng)(例如�,發(fā)送方的電子郵件地址中包括的文本)。作為另一示例����,并且如由參考標(biāo)號(hào)508所示出的,假設(shè)安全設(shè)備220識(shí)別并且存儲(chǔ)與電子郵件消息的接收方相關(guān)聯(lián)的上下文項(xiàng)(例如���,接收方的電子郵件地址中包括的文本)��。作為另一示例,并且如由參考標(biāo)號(hào)510所示出的��,假設(shè)安全設(shè)備220識(shí)別并且存儲(chǔ)與電子郵件消息的主題相關(guān)聯(lián)的上下文項(xiàng)(例如�����,該電子郵件消息的主題行中包括的文本)�。作為另一示例,并且如由參考標(biāo)號(hào)512所示出的���,假設(shè)安全設(shè)備220識(shí)別并且存儲(chǔ)與電子郵件消息的正文相關(guān)聯(lián)的上下文項(xiàng)(例如�,該電子郵件消息的正文中包括的文本)��。作為另一示例,并且如參考標(biāo)號(hào)514所示出的����,假設(shè)安全設(shè)備220識(shí)別并且存儲(chǔ)與電子郵件消息的附件相關(guān)聯(lián)的上下文項(xiàng)(例如,附件或者正在被分析的檔案文件的文件名中包括的文本)���。進(jìn)一步地�����,假設(shè)該電子郵件消息包括通向網(wǎng)站的鏈接�����,示出為“胃w.password, com”����。
[0058]如在圖5B中并且由參考標(biāo)號(hào)516所示出的�����,假設(shè)安全設(shè)備220從電子郵件消息中識(shí)別出網(wǎng)站(例如�,www.password, com)。如由參考標(biāo)號(hào)518所示出的�����,假設(shè)安全設(shè)備220 從該網(wǎng)站中識(shí)別出上行文項(xiàng)并且將它們存儲(chǔ)在口令字典中。作為一個(gè)示例���,并且如由參考標(biāo)號(hào)520所示出的��,假設(shè)安全設(shè)備220識(shí)別并且存儲(chǔ)來自該網(wǎng)站的web地址中包括的文本��、 該網(wǎng)站中包括的文本等等的上下文項(xiàng)���。
[0059]如在圖5C中并且由參考標(biāo)號(hào)522所示出的,假設(shè)安全設(shè)備220對口令字典中包括的項(xiàng)進(jìn)行優(yōu)先級(jí)化�����,以形成經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合�����。作為一個(gè)示例���,并且如由參考標(biāo)號(hào)524 所示出的,假設(shè)安全設(shè)備220向基于網(wǎng)站確定的上下文項(xiàng)指配第一優(yōu)先級(jí)(例如���,高優(yōu)先級(jí))��。作為另一示例�,并且如由參考標(biāo)號(hào)526所示出的,假設(shè)安全設(shè)備220向基于電子郵件確定的上下文項(xiàng)指配第二優(yōu)先級(jí)(例如��,中等優(yōu)先級(jí))��。作為另一示例�����,并且如由參考標(biāo)號(hào) 528所示出的�����,假設(shè)安全設(shè)備220向非上下文項(xiàng)(例如����,來自標(biāo)準(zhǔn)字典的項(xiàng))指配第三優(yōu)先級(jí)(例如,低優(yōu)先級(jí))���。
[0060]如進(jìn)一步所示出的���,安全設(shè)備220可以進(jìn)一步對基于電子郵件確定的上下文項(xiàng)進(jìn)行優(yōu)先級(jí)化���。作為一個(gè)示例,并且如由參考標(biāo)號(hào)530所示出的��,假設(shè)安全設(shè)備220向基于電子郵件的正文確定的上下文項(xiàng)指配第四優(yōu)先級(jí)(例如��,中高優(yōu)先級(jí))���。作為另一示例���,并且如由參考標(biāo)號(hào)532所示出的,假設(shè)安全設(shè)備220向基于電子郵件的接收方確定的上下文項(xiàng)指配第五優(yōu)先級(jí)(例如���,中中優(yōu)先級(jí))��。作為另一示例�����,并且如由參考標(biāo)號(hào)534所示出的, 假設(shè)安全設(shè)備220向基于電子郵件確定的其他上下文項(xiàng)指配第六優(yōu)先級(jí)(例如�,中低優(yōu)先級(jí))。
[0061]如在圖?中并且由參考標(biāo)號(hào)536所示出的����,安全設(shè)備220可以應(yīng)用經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合作為用于檔案文件“PFinanceFile.archive”的口令���。作為一個(gè)示例,并且如由參考標(biāo)號(hào)538所示出的����,安全設(shè)備220可以首先應(yīng)用具有最高優(yōu)先級(jí)的項(xiàng),被示出為“www.password, com”�����。如所示出的���,假設(shè)這個(gè)項(xiàng)未成功地作為用于訪問檔案文件的口令�����。作為另一示例�,并且如由參考標(biāo)號(hào)540所示出的���,安全設(shè)備220接下來可以應(yīng)用具有次高優(yōu)先級(jí)的項(xiàng)�,被示出為“open”���。如所示出的���,假設(shè)這個(gè)項(xiàng)未成功地作為用于訪問檔案文件的口令���。安全設(shè)備220可以繼續(xù)以這種方式來應(yīng)用項(xiàng),直至檔案文件被訪問����。例如,并且如由參考標(biāo)號(hào) 542所示出的�����,安全設(shè)備220可以對檔案文件應(yīng)用被示出為“xyzl23”的項(xiàng)�。如所示出的,假設(shè)這個(gè)項(xiàng)成功地作為用于訪問檔案文件的口令�����。
[0062]如在圖5E中并且由參考標(biāo)號(hào)544所示出的��,基于使用口令“xyzl23”成功地訪問檔案文件�,安全設(shè)備220可以針對惡意軟件來分析文件檔案中包括的一個(gè)或多個(gè)文件����。此夕卜�,如由參考標(biāo)號(hào)546所示出的�,安全設(shè)備220可以將成功地被使用作為口令的項(xiàng)“xyzl23” 的優(yōu)先級(jí)更新為在口令字典中(例如,在經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合中)具有最高優(yōu)先級(jí)���。安全設(shè)備220可以在后來的時(shí)間使用這個(gè)口令字典來嘗試訪問另一受口令保護(hù)的文件���。以這種方式,安全設(shè)備220可以允許對以其他方式不可訪問的文件的惡意軟件分析��,由此增加了數(shù)據(jù)安全性��。此外��,通過對將被應(yīng)用作為口令的項(xiàng)進(jìn)行優(yōu)先級(jí)化,安全設(shè)備220可以節(jié)約計(jì)算資源(例如���,存儲(chǔ)器、處理能力等)�����。
[0063]如上面所指出的,圖5A-5E被提供僅作為示例����。其他示例是可能的并且可以不同于關(guān)于圖5A-5E所描述的示例。
[0064]前述公開內(nèi)容提供了說明和描述��,但是并非意圖為窮盡性的或者將實(shí)施方式限制為所公開的精確形式�。根據(jù)上述公開內(nèi)容,修改和變化是可能的或者可以從實(shí)施方式的實(shí)踐來獲取�。
[0065]如本文中所使用的,術(shù)語組件意圖為寬泛地被解釋為硬件�����、固件���、和/或硬件和軟件的組合����。
[0066]—些實(shí)施方式在本文中與閾值有關(guān)地被描述��。如本文中所使用的����,滿足一個(gè)閾值可以是指一個(gè)值比該閾值大�����、比該閾值多、比該閾值高�、大于或等于該閾值、比該閾值小�����、比該閾值少�、比該閾值低、小于或等于該閾值���、等于該閾值�����,等等��。
[0067]將明顯的是����,本文所描述的系統(tǒng)和/或方法可以采用不同形式的硬件���、固件��、或硬件和軟件的組合來實(shí)施�����。用于實(shí)施這些系統(tǒng)和/或方法的實(shí)際的專門控制硬件或軟件代碼并非是對實(shí)施方式的限制��。因此�,本文在沒有參考具體軟件代碼的情況下描述了這些系統(tǒng)和/或方法的操作和行為一所理解的是,基于本文中的描述�,能夠設(shè)計(jì)軟件和硬件來實(shí)施這些系統(tǒng)和/或方法。
[0068]即使在權(quán)利要求書中記載了和/或在說明書中公開了特征的特定組合�,但是這些組合不意圖為限制可能的實(shí)施方式的公開內(nèi)容。事實(shí)上���,這些特征中的許多特征可以按沒有在權(quán)利要求書中具體記載和/或在說明書中具體公開的方式進(jìn)行組合����。盡管下面所列出的每個(gè)從屬權(quán)利要求可以直接地從屬于僅一個(gè)權(quán)利要求�����,但是可能的實(shí)施方式的公開內(nèi)容包括每個(gè)從屬權(quán)利要求與權(quán)利要求集合中的每個(gè)其他權(quán)利要求的組合�。
[0069]本文中使用的元件���、動(dòng)作或指令不應(yīng)當(dāng)被解釋為是關(guān)鍵的或者是必不可少的,除非明確地如此描述�����。此外���,如本文中所使用的,冠詞“一”和“一種”意圖為包括一個(gè)或多個(gè)項(xiàng)目�,并且可以與“一個(gè)或多個(gè)”可互換地使用。此外���,如本文中所使用的����,術(shù)語“組”和“集合”意圖為包括一個(gè)或多個(gè)項(xiàng)目(例如����,相關(guān)的項(xiàng)目、不相關(guān)的項(xiàng)目���、相關(guān)項(xiàng)目和不相關(guān)項(xiàng)目的組合���,等等)�����,并且可以與“一個(gè)或多個(gè)”可互換地使用�。在意圖為僅一個(gè)項(xiàng)目的場合�,使用術(shù)語“一個(gè)”或者類似的語言。此外��,如本文中所使用的�����,術(shù)語“有”���、“具有”��、“具有的”等意圖為是開放性術(shù)語��。進(jìn)一步地�����,短語“基于”意圖為意指“至少部分地基于”����,除非明確地另外陳述。
【主權(quán)項(xiàng)】
1.一種設(shè)備���,包括:用于接收將被訪問用于分析的受口令保護(hù)的文件的裝置����;用于識(shí)別將被使用作為用以嘗試訪問所述受口令保護(hù)的文件的口令的��、與所述受口令 保護(hù)的文件相關(guān)聯(lián)的上下文項(xiàng)的裝置���,所述上下文項(xiàng)基于以下各項(xiàng)中的至少一項(xiàng)而被識(shí)別:與所述受口令保護(hù)的文件相關(guān)聯(lián)的元數(shù)據(jù),與所述受口令保護(hù)的文件從其被接收的源相關(guān)聯(lián)的元數(shù)據(jù)���,或者與所述受口令保護(hù)的文件從其被接收的所述源相關(guān)聯(lián)的文本��;以及用于應(yīng)用所述上下文項(xiàng)作為用以嘗試訪問所述受口令保護(hù)的文件的所述口令的裝置�。2.根據(jù)權(quán)利要求1所述的設(shè)備��,進(jìn)一步包括:用于對上下文項(xiàng)的集合進(jìn)行優(yōu)先級(jí)化以形成經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合的裝置�,所述上下 文項(xiàng)的集合包括所述上下文項(xiàng),所述上下文項(xiàng)與如下優(yōu)先級(jí)相關(guān)聯(lián):所述優(yōu)先級(jí)指示所述上下文項(xiàng)相對于所述經(jīng)優(yōu)先 級(jí)化的項(xiàng)的集合中包括的其他上下文項(xiàng)而言將被應(yīng)用作為所述口令的順序����;并且 其中用于應(yīng)用所述上下文項(xiàng)作為所述口令的所述裝置包括:用于基于所述優(yōu)先級(jí)來應(yīng)用所述上下文項(xiàng)作為所述口令的裝置�����。3.根據(jù)權(quán)利要求2所述的設(shè)備���,進(jìn)一步包括:用于確定所述上下文項(xiàng)曾經(jīng)成功地被應(yīng)用作為用以訪問所述受口令保護(hù)的文件的所 述口令的裝置;以及用于基于確定所述上下文項(xiàng)曾經(jīng)成功地被應(yīng)用作為所述口令來更新與所述上下文項(xiàng) 相關(guān)聯(lián)的所述優(yōu)先級(jí)以改變?nèi)缦马樞虻难b置:所述上下文項(xiàng)將以所述順序被應(yīng)用作為用以 嘗試訪問另一受口令保護(hù)的文件的另一 口令�����。4.根據(jù)權(quán)利要求1所述的設(shè)備����,進(jìn)一步包括:用于確定所述上下文項(xiàng)曾經(jīng)成功地被應(yīng)用作為用以訪問所述受口令保護(hù)的文件的所 述口令的裝置;以及用于提供所述受口令保護(hù)的文件以基于確定所述上下文項(xiàng)曾經(jīng)成功地被應(yīng)用作為所 述口令來確定所述受口令保護(hù)的文件是否包括惡意軟件的裝置���。5.根據(jù)權(quán)利要求1所述的設(shè)備����,其中用于識(shí)別所述上下文項(xiàng)的所述裝置包括:用于基于與所述受口令保護(hù)的文件相關(guān)聯(lián)的所述元數(shù)據(jù)來識(shí)別所述上下文項(xiàng)的裝置�����, 所述元數(shù)據(jù)包括未加密的文本。6.根據(jù)權(quán)利要求1所述的設(shè)備��,其中用于識(shí)別所述上下文項(xiàng)的所述裝置包括:用于基于與所述受口令保護(hù)的文件從其被接收的所述源相關(guān)聯(lián)的所述元數(shù)據(jù)來識(shí)別所述上下文項(xiàng)的裝置�,所述元數(shù)據(jù)包括未加密的文本。7.根據(jù)權(quán)利要求1所述的設(shè)備��,其中用于識(shí)別所述上下文項(xiàng)的裝置包括:用于基于與所述受口令保護(hù)的文件從其被接收的所述源相關(guān)聯(lián)的所述文本來識(shí)別所 述上下文項(xiàng)的裝置��,所述源包括以下各項(xiàng)中的至少一項(xiàng):電子郵件消息����,網(wǎng)站,文本消息����,或者 社交媒體消息����。8.一種方法,包括:由設(shè)備接收將被訪問用于分析的受口令保護(hù)的文件����;由所述設(shè)備識(shí)別將被使用作為用以嘗試訪問所述受口令保護(hù)的文件的口令的、與所述 受口令保護(hù)的文件相關(guān)聯(lián)的上下文項(xiàng)�����,所述上下文項(xiàng)基于以下各項(xiàng)中的至少一項(xiàng)而被識(shí)別:與所述受口令保護(hù)的文件相關(guān)聯(lián)的第一文本,或者與所述受口令保護(hù)的文件從其被獲得的源相關(guān)聯(lián)的第二文本�����;由所述設(shè)備應(yīng)用所述上下文項(xiàng)作為用以嘗試訪問所述受口令保護(hù)的文件的所述口 令�����;由所述設(shè)備基于應(yīng)用所述上下文項(xiàng)或者非上下文項(xiàng)作為所述口令來確定所述受口令 保護(hù)的文件已經(jīng)成功地被訪問��;以及由所述設(shè)備訪問所述受口令保護(hù)的文件以用于所述分析�。9.根據(jù)權(quán)利要求8所述的方法,進(jìn)一步包括:對所述上下文項(xiàng)和所述非上下文項(xiàng)進(jìn)行優(yōu)先級(jí)化以形成經(jīng)優(yōu)先級(jí)化的項(xiàng)的集合���, 所述非上下文項(xiàng)基于項(xiàng)的字典而被識(shí)別�,所述上下文項(xiàng)與第一優(yōu)先級(jí)相關(guān)聯(lián)�,所述第一優(yōu)先級(jí)高于與所述非上下文項(xiàng)相關(guān)聯(lián)的 第二優(yōu)先級(jí),從而指示所述上下文項(xiàng)將在所述非上下文項(xiàng)之前被應(yīng)用作為所述口令�;并且 其中應(yīng)用所述上下文項(xiàng)作為所述口令進(jìn)一步包括:基于所述上下文項(xiàng)與高于所述第二優(yōu)先級(jí)的所述第一優(yōu)先級(jí)相關(guān)聯(lián),在應(yīng)用所述非上 下文項(xiàng)作為所述口令之前應(yīng)用所述上下文項(xiàng)作為所述口令�。10.根據(jù)權(quán)利要求9所述的方法,進(jìn)一步包括:確定所述上下文項(xiàng)曾經(jīng)成功地被應(yīng)用作為用以訪問所述受口令保護(hù)的文件的所述口 令;以及基于確定所述上下文項(xiàng)曾經(jīng)成功地被應(yīng)用作為所述口令來更新與所述上下文項(xiàng)相關(guān) 聯(lián)的所述第一優(yōu)先級(jí)以改變?nèi)缦马樞?所述上下文項(xiàng)將以所述順序被應(yīng)用作為用以嘗試訪 問另一受口令保護(hù)的文件的另一 口令�����。11.根據(jù)權(quán)利要求8所述的方法��,進(jìn)一步包括:分析用于惡意軟件的所述受口令保護(hù)的文件��。12.根據(jù)權(quán)利要求8所述的方法��,其中識(shí)別所述上下文項(xiàng)進(jìn)一步包括:對與所述受口令保護(hù)的文件從其被獲得的所述源相關(guān)聯(lián)的所述第二文本進(jìn)行標(biāo)記化 以形成經(jīng)標(biāo)記化的文本����;以及從所述經(jīng)標(biāo)記化的文本中識(shí)別所述上下文項(xiàng)。13.根據(jù)權(quán)利要求8所述的方法�����,其中所述源包括以下各項(xiàng)中的至少一項(xiàng):所述文件從其被獲得的電子郵件����,所述文件從其被獲得的網(wǎng)站���,所述文件從其被獲得的社交媒體消息���,或者所述文件從其被獲得的文本消息��。
【文檔編號(hào)】G06F21/56GK106022124SQ201510634688
【公開日】2016年10月12日
【申請日】2015年9月29日
【發(fā)明人】K·亞當(dāng)斯, J·A·蘭頓, D·J·奎因蘭
【申請人】瞻博網(wǎng)絡(luò)公司