本發(fā)明涉及基于行為增量標(biāo)識(shí)躲避的(evasive)惡意對(duì)象。

背景技術(shù)：

安全設(shè)備可以被放置在用戶設(shè)備和服務(wù)器設(shè)備(例如，與網(wǎng)站相關(guān)聯(lián)的服務(wù)器設(shè)備)之間。安全設(shè)備可以被配置為檢測(例如，使用URL名譽(yù)、黑名單、反病毒掃描、反惡意軟件技術(shù)等)由服務(wù)器設(shè)備提供的惡意對(duì)象(例如，木馬、蠕蟲、間諜程序、包含漏洞利用的文件等)，并且可以被配置為阻止惡意對(duì)象被用戶設(shè)備接收。

技術(shù)實(shí)現(xiàn)要素：

根據(jù)一些可能的實(shí)現(xiàn)方式，一種安全設(shè)備可以包括一個(gè)或者多個(gè)處理器以：接收與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息，其中實(shí)際行為信息可以標(biāo)識(shí)與在真實(shí)環(huán)境(live environment)中執(zhí)行對(duì)象相關(guān)聯(lián)的第一行為集合；確定與對(duì)象相關(guān)聯(lián)的測試行為信息，其中測試行為信息可以標(biāo)識(shí)與在測試環(huán)境中測試對(duì)象相關(guān)聯(lián)的第二行為集合；比較第一行為集合和第二行為集合以確定在第一行為集合和第二行為集合之間的差別；基于在第一行為集合和第二行為集合之間的差別標(biāo)識(shí)對(duì)象是否為躲避的惡意對(duì)象；以及提供對(duì)象是否為躲避的惡意對(duì)象的指示。

根據(jù)一些可能的實(shí)現(xiàn)方式，一種計(jì)算機(jī)可讀介質(zhì)可以存儲(chǔ)一條或者多條指令，該一條或者多條指令當(dāng)由一個(gè)或者多個(gè)處理器執(zhí)行時(shí)，致使該一個(gè)或者多個(gè)處理器：確定與對(duì)象相關(guān)聯(lián)的測試行為信息，其中測試行為信息可以標(biāo)識(shí)與在測試環(huán)境中測試對(duì)象相關(guān)聯(lián)的測試行為集合；獲得與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息，其中實(shí)際行為信息可以標(biāo)識(shí)與在真實(shí)環(huán)境中執(zhí)行或者安裝對(duì)象相關(guān)聯(lián)的實(shí)際行為集合；比較 實(shí)際行為集合和測試行為集合以確定在實(shí)際行為集合和測試行為集合之間的差別；基于在實(shí)際行為集合和測試行為集合之間的差別確定對(duì)象是否為躲避的惡意對(duì)象；以及提供指示對(duì)象是否為躲避的惡意對(duì)象的信息。

根據(jù)一些可能的實(shí)現(xiàn)方式，一種方法可以包括：由安全設(shè)備接收與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息，其中實(shí)際行為信息可以標(biāo)識(shí)與在用戶設(shè)備上執(zhí)行對(duì)象相關(guān)聯(lián)的第一行為組；由安全設(shè)備確定與對(duì)象相關(guān)聯(lián)的測試行為信息，其中測試行為信息可以標(biāo)識(shí)與在用戶設(shè)備上測試對(duì)象相關(guān)聯(lián)的第二行為組；由安全設(shè)備確定在第一行為組和第二行為組之間的差別；由安全設(shè)備基于在第一行為組和第二行為組之間的差別將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象；以及由安全設(shè)備提供與將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象相關(guān)聯(lián)的信息。

附圖說明

圖1是在此描述的示例實(shí)現(xiàn)方式的概述的示圖；

圖2是在其中可以實(shí)現(xiàn)在此描述的系統(tǒng)和/或方法的示例環(huán)境的示圖；

圖3是圖2的一個(gè)或者多個(gè)設(shè)備的示例組件的示圖；

圖4是用于確定與對(duì)象相關(guān)聯(lián)的測試行為信息以及存儲(chǔ)與對(duì)象相關(guān)聯(lián)的測試行為信息的示例過程的流程圖；

圖5是與在圖4中所示的示例過程有關(guān)的示例實(shí)現(xiàn)方式的示圖；

圖6是用于確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息以及提供實(shí)際行為信息的示例過程的流程圖；

圖7是與在圖6中所示的示例過程有關(guān)的示例實(shí)現(xiàn)方式的示圖；

圖8是用于基于比較與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息和與對(duì)象相關(guān)聯(lián)的測試行為信息來將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象的示例過程的流程圖；

圖9是與在圖8中所示的示例過程有關(guān)的示例實(shí)現(xiàn)方式的示圖。

具體實(shí)施方式

示例實(shí)現(xiàn)方式的以下詳細(xì)的描述參考附圖。在不同附圖中的相同的標(biāo)號(hào)可以標(biāo)識(shí)相同的或者相似的元素。

安全設(shè)備可以試圖檢測正被向用戶設(shè)備提供的惡意對(duì)象(例如，包括惡意軟件、病毒或者另一類型的惡意代碼的對(duì)象)。然而，如果惡意對(duì)象已經(jīng)被設(shè)計(jì)為躲避檢測，則安全設(shè)備可能不能檢測惡意對(duì)象。一種這樣的躲避策略涉及如果惡意對(duì)象確定它正在仿真環(huán)境、沙盒環(huán)境中等被測試，則阻止惡意對(duì)象展現(xiàn)任何惡意行為。例如，安全設(shè)備可以實(shí)現(xiàn)沙盒以測試(例如，分析、執(zhí)行、檢查等)運(yùn)行在虛擬機(jī)(VM)上的完整的操作系統(tǒng)內(nèi)的對(duì)象。可以概括對(duì)象的測試行為并且可以應(yīng)用啟發(fā)以便確定對(duì)象是否是躲避的。然而，惡意對(duì)象可以被設(shè)計(jì)為檢測惡意對(duì)象是否正在沙盒中被測試，并且可以在這樣的檢測時(shí)避免展現(xiàn)惡意行為。這樣，安全設(shè)備可能不正確地確定對(duì)象不是惡意的，并且可能向用戶設(shè)備提供惡意對(duì)象。需要一種解決方案，該解決方案允許安全設(shè)備確定當(dāng)對(duì)象在用戶設(shè)備上被執(zhí)行時(shí)與當(dāng)對(duì)象由安全設(shè)備測試時(shí)相比，對(duì)象表現(xiàn)不同(例如，實(shí)際行為和測試行為之間的差別可以指示對(duì)象是躲避的惡意對(duì)象)。

在此所述的實(shí)現(xiàn)方式允許安全設(shè)備基于比較與對(duì)象相關(guān)聯(lián)、并且由用戶設(shè)備確定的實(shí)際行為信息和與對(duì)象相關(guān)聯(lián)、并且由安全設(shè)備確定的測試行為信息來將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。

圖1是在此描述的示例實(shí)現(xiàn)方式100的概述的示圖。為了示例實(shí)現(xiàn)方式100的目的，假設(shè)對(duì)象正由服務(wù)器設(shè)備向用戶設(shè)備提供(例如，基于由用戶設(shè)備提出的請(qǐng)求)。進(jìn)一步地，假設(shè)安全設(shè)備被放置在用戶設(shè)備和服務(wù)器設(shè)備之間，并且安全設(shè)備被配置為檢測正被向用戶設(shè)備提供的對(duì)象是否為惡意對(duì)象。

如在圖1中以及由標(biāo)號(hào)105所示，安全設(shè)備可以接收由服務(wù)器設(shè)備提供的對(duì)象。如由標(biāo)號(hào)110所示，安全設(shè)備可以接下來測試(例如，執(zhí)行、分析、檢查等)對(duì)象以便確定與對(duì)象相關(guān)聯(lián)的測試行為信息。如由標(biāo)號(hào)115所示，安全設(shè)備可以向用戶設(shè)備提供對(duì)象。如由標(biāo)號(hào)120 所示，用戶可以確定(例如，通過執(zhí)行對(duì)象、打開對(duì)象、運(yùn)行對(duì)象、安裝對(duì)象等)與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。如由標(biāo)號(hào)125所示，用戶設(shè)備可以向安全設(shè)備提供與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。

如由標(biāo)號(hào)130所示，安全設(shè)備可以接收實(shí)際行為信息，并且可以比較實(shí)際行為信息和測試行為信息。如由標(biāo)號(hào)135所示，基于比較實(shí)際行為信息和測試行為信息，安全設(shè)備可以確定實(shí)際行為信息與測試行為信息不同(例如，實(shí)際行為信息示出了在測試行為信息中沒有示出的行為)。如由標(biāo)號(hào)140所示，基于確定實(shí)際行為信息與測試行為信息不同，安全設(shè)備可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象(例如，通過進(jìn)行對(duì)象的附加分析；通過將與實(shí)際行為相關(guān)聯(lián)的信息、與測試行為相關(guān)聯(lián)的信息和/或具有在實(shí)際行為和測試行為之間的差別的信息輸入到機(jī)器學(xué)習(xí)模型中，該機(jī)器學(xué)習(xí)模型被訓(xùn)練為將對(duì)象分類為惡意的或者善意的；等)，并且可以相應(yīng)地動(dòng)作(例如，通過通知用戶設(shè)備的用戶等)。

以這種方式，基于比較對(duì)象相關(guān)聯(lián)的(例如，由用戶設(shè)備確定的)實(shí)際行為信息和與對(duì)象相關(guān)聯(lián)的(例如，由安全設(shè)備確定的)測試行為信息，安全設(shè)備可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。

圖2是其中可以實(shí)現(xiàn)在此描述的系統(tǒng)和/或方法的示例環(huán)境200的示圖。如在圖2中所示，環(huán)境200可以包括用戶設(shè)備210、安全設(shè)備220、服務(wù)器設(shè)備230和網(wǎng)絡(luò)240。環(huán)境200的設(shè)備可以經(jīng)由有線連接、無線連接或者有線和無線連接的結(jié)合來互連。

用戶設(shè)備210可以包括能夠經(jīng)由網(wǎng)絡(luò)(例如，網(wǎng)絡(luò)240)與其他設(shè)備(例如，服務(wù)器設(shè)備230)通信和/或能夠接收由另一設(shè)備(例如，服務(wù)器設(shè)備230)提供的信息的一個(gè)或者多個(gè)設(shè)備。例如，用戶設(shè)備210可以包括計(jì)算設(shè)備，諸如膝上型計(jì)算機(jī)、平板計(jì)算機(jī)、手持計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)、移動(dòng)電話(例如，智能電話、無線電話等)、個(gè)人數(shù)字助理或者類似的設(shè)備。在一些實(shí)現(xiàn)方式中，用戶設(shè)備210可以主控被配置為確定由用戶設(shè)備210接收的與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息的安全客戶端。附加地或者備選地，用戶設(shè)備210可以能夠向安全設(shè) 備220提供實(shí)際行為信息。

安全設(shè)備220可以包括能夠接收、生成、確定、提供和/或存儲(chǔ)與對(duì)象相關(guān)聯(lián)的行為信息(例如，測試行為信息或者實(shí)際行為信息)的一個(gè)或者多個(gè)設(shè)備。例如，安全設(shè)備220可以包括計(jì)算設(shè)備，諸如服務(wù)器。在一些實(shí)現(xiàn)中，安全設(shè)備220可以能夠確定與對(duì)象相關(guān)聯(lián)的測試行為信息。例如，安全設(shè)備220可以主控沙盒環(huán)境，該沙盒環(huán)境允許安全設(shè)備220執(zhí)行對(duì)象、分析對(duì)象、運(yùn)行對(duì)象、安裝對(duì)象等以便確定與對(duì)象相關(guān)聯(lián)的測試行為信息。附加地或者備選地，安全設(shè)備220可以能夠以另一方式確定測試行為信息。

在一些實(shí)現(xiàn)中，基于與對(duì)象相關(guān)聯(lián)的測試行為信息和與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息，安全設(shè)備220可以能夠標(biāo)識(shí)對(duì)象是否為躲避的惡意對(duì)象。附加地或者備選地，安全設(shè)備220可以包括能夠處理和/或傳送在用戶設(shè)備210和服務(wù)器設(shè)備230之間的通信(例如，請(qǐng)求、響應(yīng)等)的一個(gè)或者多個(gè)設(shè)備。例如，安全設(shè)備220可以包括網(wǎng)絡(luò)設(shè)備，諸如反向代理、服務(wù)器(例如，代理服務(wù)器)、流量轉(zhuǎn)移設(shè)備、防火墻、路由器、負(fù)載均衡器等。

安全設(shè)備220可以與單個(gè)服務(wù)器設(shè)備230或者服務(wù)器設(shè)備230的組(例如，數(shù)據(jù)中心)結(jié)合而被使用。通信可以通過安全設(shè)備220被路由以到達(dá)一個(gè)或者多個(gè)服務(wù)器設(shè)備230。例如，安全設(shè)備220可以被放置在網(wǎng)絡(luò)內(nèi)作為去往包括一個(gè)或者多個(gè)服務(wù)器設(shè)備230的私有網(wǎng)絡(luò)的網(wǎng)關(guān)。附加地或者備選地，安全設(shè)備220可以與單個(gè)用戶設(shè)備210或者用戶設(shè)備210的組結(jié)合而被使用。通信可以通過安全設(shè)備220被路由以到達(dá)一個(gè)或者多個(gè)用戶設(shè)備210。例如，安全設(shè)備220可以被放置在網(wǎng)絡(luò)內(nèi)作為去往包括一個(gè)或者多個(gè)用戶設(shè)備210的私有網(wǎng)絡(luò)的網(wǎng)關(guān)。

服務(wù)器設(shè)備230可以包括能夠接收、提供、生成、存儲(chǔ)和/或處理與對(duì)象相關(guān)聯(lián)的信息的一個(gè)或者多個(gè)設(shè)備。例如，服務(wù)器設(shè)備230可包括計(jì)算設(shè)備，諸如服務(wù)器(例如，應(yīng)用服務(wù)器、內(nèi)容服務(wù)器、主機(jī)服務(wù)器、web服務(wù)器等)。

網(wǎng)絡(luò)240可以包括一個(gè)或者多個(gè)有線和/或無線網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)240可以包括無線局域網(wǎng)(WLAN)、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、城域網(wǎng)(MAN)、電話網(wǎng)(例如，公共交換電話網(wǎng)(PSTN))、蜂窩網(wǎng)絡(luò)、公眾陸地移動(dòng)電話網(wǎng)(PLMN)、自組網(wǎng)、內(nèi)聯(lián)網(wǎng)、因特網(wǎng)、基于光纖的網(wǎng)絡(luò)或者這些或者其他類型的網(wǎng)絡(luò)的結(jié)合。在一些實(shí)現(xiàn)方式中，網(wǎng)絡(luò)250可以允許在諸如用戶設(shè)備210、服務(wù)器設(shè)備230和/或安全設(shè)備220的設(shè)備之間的通信。

在圖2中所示的設(shè)備和網(wǎng)絡(luò)的數(shù)目和布置作為示例被提供。在實(shí)踐中，與在圖2中所示的那些設(shè)備和/或網(wǎng)絡(luò)相比，可以存在附加的設(shè)備和/或網(wǎng)絡(luò)、更少的設(shè)備和/或網(wǎng)絡(luò)、不同的設(shè)備和/或網(wǎng)絡(luò)或者被不同地布置的設(shè)備和/或網(wǎng)絡(luò)。此外，在圖2中所示的兩個(gè)或者更多個(gè)設(shè)備可以在單個(gè)設(shè)備內(nèi)被實(shí)現(xiàn)，或者在圖2中所示的單個(gè)設(shè)備可以被實(shí)現(xiàn)為多個(gè)、分布式的設(shè)備。附加地或者備選地，環(huán)境200的設(shè)備的集合(例如，一個(gè)或者多個(gè)設(shè)備)可以執(zhí)行如正由環(huán)境200的設(shè)備的另一集合執(zhí)行的描述的一個(gè)或者多個(gè)功能。

圖3是設(shè)備300的示例組件的示圖。設(shè)備300可以與用戶設(shè)備210、安全設(shè)備220和/或服務(wù)器設(shè)備230相對(duì)應(yīng)。在一些實(shí)現(xiàn)方式中，用戶設(shè)備210、安全設(shè)備220和/或服務(wù)器設(shè)備230可以包括一個(gè)或者多個(gè)設(shè)備300和/或設(shè)備300的一個(gè)或者多個(gè)組件。如在圖3中所示，設(shè)備300可以包括總線310、處理器320、存儲(chǔ)器330、存儲(chǔ)組件340、輸入組件350、輸出組件360和通信接口370。

總線310可以包括允許設(shè)備300的組件之中的通信的組件。處理器320可以包括處理器(例如，中央處理單元(CPU)、圖形處理單元(GPU)、加速處理單元(APU)等)、微處理器和/或解譯和/或執(zhí)行指令的任何處理組件(例如，現(xiàn)場可編程門陣列(FPGA)、專用集成電路(ASIC)等)。存儲(chǔ)器330可以包括隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)和/或存儲(chǔ)信息和/或指令以用于被處理器320使用的其他類型的動(dòng)態(tài)或者靜態(tài)存儲(chǔ)設(shè)備(例如，閃存、磁存儲(chǔ)器、光存儲(chǔ)器等)。

存儲(chǔ)組件340可以存儲(chǔ)與設(shè)備300的操作和使用有關(guān)的信息和/或軟件。例如，存儲(chǔ)組件340可以包括硬盤(例如，磁盤、光盤、磁光盤、固態(tài)硬盤等)、光盤(CD)、數(shù)字通用磁盤(DVD)、軟盤、盒式磁盤、磁帶和/或其他類型的計(jì)算機(jī)可讀介質(zhì)，連同對(duì)應(yīng)的驅(qū)動(dòng)。

輸入組件350可以包括允許設(shè)備300諸如經(jīng)由用戶輸入(例如，觸摸屏顯示、鍵盤、鍵區(qū)、鼠標(biāo)、按鈕、開關(guān)、麥克風(fēng)等)接收信息的組件。附加地或者備選地，輸入組件350可以包括用于感測信息的傳感器(例如，全球定位系統(tǒng)(GPS)組件、加速計(jì)、陀螺儀、行器等)。輸出組件360可以包括提供來自設(shè)備300的輸出信息的組件(例如，顯示器、揚(yáng)聲器、一個(gè)或者多個(gè)發(fā)光二極管(LED)等)。

通信接口370可以包括使得設(shè)備300能夠與其他設(shè)備諸如經(jīng)由有線連接、無線連接或者有線和無線連接的結(jié)合進(jìn)行通信的類似收發(fā)器的組件(例如，收發(fā)器、單獨(dú)的接收器和發(fā)射器等)。通信接口370可以允許設(shè)備300接收來自另一設(shè)備的信息和/或向另一設(shè)備提供信息。例如，通信接口370可以包括以太網(wǎng)接口、光接口、同軸接口、紅外接口、射頻(RF)接口、通用串行總線(USB)接口、Wi-Fi接口、蜂窩網(wǎng)絡(luò)接口等。

設(shè)備300可以執(zhí)行在此描述的一個(gè)或者多個(gè)過程。設(shè)備300可以響應(yīng)于處理器320執(zhí)行由諸如存儲(chǔ)器330和/或存儲(chǔ)組件340的計(jì)算機(jī)可讀介質(zhì)存儲(chǔ)的軟件指令來執(zhí)行這些過程。計(jì)算機(jī)可讀介質(zhì)在此被定義為非瞬態(tài)存儲(chǔ)器設(shè)備。存儲(chǔ)器設(shè)備包括單個(gè)物理存儲(chǔ)設(shè)備內(nèi)的存儲(chǔ)空間或者遍布多個(gè)物理存儲(chǔ)設(shè)備的存儲(chǔ)空間。

可以經(jīng)由通信接口370從另一計(jì)算機(jī)可讀介質(zhì)或者從另一設(shè)備將軟件指令讀入存儲(chǔ)器330和/或存儲(chǔ)器組件340中。在存儲(chǔ)器330和/或存儲(chǔ)器組件340中存儲(chǔ)的軟件指令當(dāng)被執(zhí)行時(shí)，可以致使處理器320執(zhí)行在此描述的一個(gè)或者多個(gè)過程。附加地或者備選地，硬接線的電路可以被用于替代軟件指令或者與軟件指令結(jié)以來執(zhí)行在此描述的一個(gè)或者多個(gè)過程。因此，在此描述的實(shí)現(xiàn)方式不被限制于硬件電路和軟件的任何特定結(jié)合。

在圖3中所示的組件的數(shù)目和布置作為示例被提供。在實(shí)踐中，與在圖3中所示的那些組件相比，設(shè)備300可以包括附加的組件、更少的組件、不同的組件或者被不同地布置的組件。附加地或者備選地，設(shè)備300的組件的集合(例如，一個(gè)或者多個(gè)組件)可以執(zhí)行如正由設(shè)備300的組件的另一集合執(zhí)行的描述的一個(gè)或者多個(gè)功能。

圖4是用于確定與對(duì)象相關(guān)聯(lián)的測試行為信息以及存儲(chǔ)與對(duì)象相關(guān)聯(lián)的測試行為信息的示例過程的流程圖。在一些實(shí)現(xiàn)方式中，圖4的一個(gè)或者多個(gè)過程框可以由安全設(shè)備220來執(zhí)行。在一些實(shí)現(xiàn)中，圖4的一個(gè)或者多個(gè)過程框可以由另一設(shè)備或者與安全設(shè)備220分離的或者包括安全設(shè)備220的設(shè)備的集合(諸如用戶設(shè)備210)來執(zhí)行。

如在圖4中所示，過程400可以包括接收與用戶設(shè)備相關(guān)聯(lián)的對(duì)象(框410)。例如，安全設(shè)備220可以接收與用戶設(shè)備210相關(guān)聯(lián)的對(duì)象。在一些實(shí)現(xiàn)方式中，當(dāng)服務(wù)器設(shè)備230提供用于向用戶設(shè)備210傳輸?shù)膶?duì)象時(shí)(例如，當(dāng)放置安全設(shè)備220以接收向用戶設(shè)備210提供的對(duì)象時(shí))，安全設(shè)備220可以接收對(duì)象。附加地或者備選地，當(dāng)另一設(shè)備(諸如用戶設(shè)備210或者在網(wǎng)絡(luò)240中包括的設(shè)備)向安全設(shè)備220提供對(duì)象時(shí)，安全設(shè)備220可以接收對(duì)象。

對(duì)象可以包括可執(zhí)行對(duì)象(例如，Windows可執(zhí)行文件(EXE)、Windows腳本文件(WSF)等)、網(wǎng)頁對(duì)象(例如，超文本標(biāo)記語言(HTML)文檔等)、文本對(duì)象(例如，微軟Word文檔(DOC)、純文本文件(TXT))、頁面布局對(duì)象(例如，可移植文檔格式文件(PDF)、圖片文件(PCT))、壓縮的對(duì)象(例如，壓縮文件(ZIP)、WinRAR壓縮的檔案(RAR)等)或者另一類型的對(duì)象。

在一些實(shí)現(xiàn)方式中，基于由用戶設(shè)備210提供的請(qǐng)求，安全設(shè)備220可以接收對(duì)象。例如，用戶設(shè)備210的用戶可以提供(例如，經(jīng)由用戶設(shè)備210的輸入機(jī)制)指示用戶設(shè)備210將接收對(duì)象的信息，并且用戶設(shè)備210可以向服務(wù)器設(shè)備230發(fā)送請(qǐng)求(例如，當(dāng)服務(wù)器設(shè)備230存儲(chǔ)對(duì)象時(shí))。在這一示例中，服務(wù)器設(shè)備230可以接收請(qǐng)求，并且可以向安全設(shè)備220提供對(duì)象(例如，當(dāng)放置安全設(shè)備220 以在對(duì)象被發(fā)送至用戶設(shè)備210之前接收該對(duì)象時(shí))。在一些實(shí)現(xiàn)方式中，用戶可能不知道用戶設(shè)備210已經(jīng)發(fā)送了對(duì)于對(duì)象的請(qǐng)求(例如，當(dāng)運(yùn)行在用戶設(shè)備210上的程序被配置為自動(dòng)地使得用戶設(shè)備210請(qǐng)求對(duì)象時(shí)，等)。在一些實(shí)現(xiàn)方式中，基于正由服務(wù)器設(shè)備230提供的對(duì)象，安全設(shè)備220可以接收對(duì)象。例如，服務(wù)器設(shè)備230可以將對(duì)象發(fā)送至用戶設(shè)備210(例如，在用戶設(shè)備210沒有請(qǐng)求該對(duì)象的情況下)，并且安全設(shè)備220可以接收來自服務(wù)器設(shè)備230的對(duì)象。

附加地或者備選地，安全設(shè)備220可以接收來自用戶設(shè)備210的對(duì)象。例如，如下所述，用戶設(shè)備210可以接收來自服務(wù)器設(shè)備230的對(duì)象，并且可以確定與該對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。在這一示例中，用戶設(shè)備210可以向安全設(shè)備210提供對(duì)象連同實(shí)際行為信息(例如，以便允許安全設(shè)備220確定與對(duì)象相關(guān)聯(lián)的測試行為信息)。

如在圖4中進(jìn)一步示出的，過程400可以包括確定與對(duì)象相關(guān)聯(lián)的測試行為信息(框420)。例如，安全設(shè)備220可以確定與對(duì)象相關(guān)聯(lián)的測試行為信息。在一些實(shí)現(xiàn)方式中，在安全設(shè)備220接收對(duì)象以后，安全設(shè)備220可以確定測試行為信息。附加地或者備選地，當(dāng)安全設(shè)備220接收安全設(shè)備220將確定測試行為信息的指示時(shí)，安全設(shè)備220可以確定測試行為信息。

測試行為信息可以包括標(biāo)識(shí)與在測試環(huán)境(例如，沙盒環(huán)境、仿真環(huán)境、由VM主控的環(huán)境等)中測試對(duì)象相關(guān)聯(lián)的一種或者多種行為的信息。在一些實(shí)現(xiàn)方式中，如下所述，測試行為信息可以被與實(shí)際行為信息比較以便將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。在一些實(shí)現(xiàn)中，基于在仿真環(huán)境中執(zhí)行對(duì)象，安全設(shè)備220可以確定測試行為信息。例如，安全設(shè)備220可以實(shí)現(xiàn)運(yùn)行在VM上的完整的操作系統(tǒng)內(nèi)的沙盒環(huán)境。在此，安全設(shè)備220可以在沙盒環(huán)境中執(zhí)行對(duì)象以便確定測試行為信息。在測試環(huán)境中測試對(duì)象可以允許安全設(shè)備220執(zhí)行對(duì)象的動(dòng)態(tài)分析(例如，以便確定對(duì)象是否為惡意對(duì)象)，而不冒在用戶設(shè)備210上發(fā)生任何惡意活動(dòng)的風(fēng)險(xiǎn)。

附加地或者備選地，安全設(shè)備220可以通過執(zhí)行對(duì)象的靜態(tài)分析(諸如使用反病毒軟件掃描對(duì)象)、執(zhí)行對(duì)象的字符串搜索、對(duì)對(duì)象進(jìn)行反匯編等來確定測試行為。附加地或者備選地，安全設(shè)備220可以以與分析對(duì)象、執(zhí)行對(duì)象、檢查對(duì)象、運(yùn)行對(duì)象、安裝對(duì)象或者以其他方式測試對(duì)象相關(guān)聯(lián)的另一方式確定測試行為信息。

附加地或者備選地，基于與另一用戶設(shè)備210相關(guān)聯(lián)的信息，安全設(shè)備220可以確定測試行為。例如，第一用戶設(shè)備210可以在較早的時(shí)間向安全設(shè)備220提供與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息(例如，當(dāng)?shù)谝挥脩粼O(shè)備210在較早的時(shí)間接收該對(duì)象時(shí))。在這一示例中，安全設(shè)備220可以確定(例如，基于實(shí)際行為信息以及基于由安全設(shè)備220確定的測試行為信息)對(duì)象是躲避的惡意對(duì)象。安全設(shè)備220可以存儲(chǔ)對(duì)象是躲避的惡意對(duì)象的指示和/或可以存儲(chǔ)與對(duì)象相關(guān)聯(lián)的測試行為信息。在此，當(dāng)安全設(shè)備220將基于第二用戶設(shè)備210接收對(duì)象(例如，在較晚的時(shí)間)來確定測試行為信息時(shí)，安全設(shè)備220可以取回指示和/或測試行為信息。以這一方式，安全設(shè)備220可以使用之前確定的測試行為信息和/或可以基于存儲(chǔ)的與對(duì)象相關(guān)聯(lián)的指示將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。

在一些實(shí)現(xiàn)方式中，測試行為信息可以指示對(duì)象是惡意對(duì)象。例如，安全設(shè)備220可以在沙盒環(huán)境內(nèi)執(zhí)行對(duì)象，并且可以標(biāo)識(shí)與執(zhí)行對(duì)象相關(guān)聯(lián)的一個(gè)或者多個(gè)惡意的和/或可疑的行為，諸如文件的創(chuàng)建、文件的編輯、注冊(cè)表項(xiàng)的創(chuàng)建、注冊(cè)表項(xiàng)的編輯、注冊(cè)表項(xiàng)的刪除、自動(dòng)化任務(wù)的調(diào)度、網(wǎng)絡(luò)連接的建立等。在這一示例中，基于測試行為信息和/或基于執(zhí)行對(duì)象的附加分析(例如，使用另一種惡意軟件檢測技術(shù)、病毒檢測技術(shù)、間諜軟件檢測技術(shù)、勒索軟件檢測技術(shù)等)，安全設(shè)備220可以確定對(duì)象是惡意對(duì)象。在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以不允許向用戶設(shè)備210提供對(duì)象(例如，當(dāng)測試行為信息足夠允許安全設(shè)備220結(jié)論性地(具有特定程度的確定性)確定該對(duì)象是惡意的時(shí))。備選地，即使當(dāng)安全設(shè)備220標(biāo)識(shí)一個(gè)或者多個(gè)惡意的和/或可疑的行為時(shí)(例如，當(dāng)測試行為信息不足以允許安 全設(shè)備220確定對(duì)象是惡意的時(shí))，安全設(shè)備220可以允許向用戶設(shè)備210提供對(duì)象。

備選地，測試行為信息可以指示對(duì)象不是惡意的對(duì)象。例如，安全設(shè)備220可以在沙盒環(huán)境內(nèi)執(zhí)行對(duì)象，并且可以不標(biāo)識(shí)與執(zhí)行對(duì)象相關(guān)聯(lián)的惡意的和/或可疑的對(duì)象(即，對(duì)象可以不使得任何可疑的和/或惡意的行為被展示)。在此，安全設(shè)備220可以確定測試行為信息，該測試行為信息標(biāo)識(shí)一個(gè)或者多個(gè)正常的行為(例如，非惡意行為、非可疑行為、典型行為、預(yù)期行為等)。在這一示例中，基于測試行為信息和/或基于執(zhí)行對(duì)象的附加分析(例如，使用另一種惡意軟件檢測技術(shù)、病毒檢測技術(shù)、間諜軟件檢測技術(shù)、勒索軟件檢測技術(shù)等)，安全設(shè)備220可以確定對(duì)象不是惡意對(duì)象，并且可以允許向用戶設(shè)備210提供該對(duì)象。在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以向用戶設(shè)備210提供對(duì)象(例如，在安全設(shè)備220確定測試行為信息之后、在安全設(shè)備220確定測試行為信息之前、在安全設(shè)備220確定測試行為信息的同時(shí)等)。附加地或者備選地，安全設(shè)備220可以提供指示用戶設(shè)備210將確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息的信息，并且向安全設(shè)備220提供實(shí)際行為信息。

在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以向用戶設(shè)備210提供與對(duì)象相關(guān)聯(lián)的測試行為信息(例如，如下所述，以使得用戶設(shè)備210可以確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息何時(shí)偏離測試行為信息)。

如在圖4中進(jìn)一步示出的，過程400可以包括存儲(chǔ)與對(duì)象相關(guān)聯(lián)的測試行為信息(框430)。例如，安全設(shè)備220可以存儲(chǔ)與對(duì)象相關(guān)聯(lián)的測試行為信息。在一些實(shí)現(xiàn)方式中，當(dāng)安全設(shè)備220確定測試行為信息時(shí)(例如，在安全設(shè)備220確定測試行為信息之后)，安全設(shè)備220可以存儲(chǔ)測試行為信息。附加地或者備選地，基于接收安全設(shè)備220將存儲(chǔ)測試行為信息的指示，安全設(shè)備220可以存儲(chǔ)測試行為信息。

在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以在安全設(shè)備220的存儲(chǔ)器位置(例如，RAM、ROM、緩存、硬盤等)中存儲(chǔ)測試行為信息。 在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以在由安全設(shè)備220存儲(chǔ)或者可訪問的測試行為信息數(shù)據(jù)結(jié)構(gòu)中存儲(chǔ)測試行為信息。附加地或者備選地，安全設(shè)備220可以向另一設(shè)備提供測試行為信息以用于存儲(chǔ)。

在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以存儲(chǔ)測試行為信息，以使得安全設(shè)備220可以在較晚的時(shí)間取回測試行為信息。在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以存儲(chǔ)關(guān)于用戶設(shè)備210的測試行為信息。附加地或者備選地，安全設(shè)備220可以存儲(chǔ)關(guān)于對(duì)象的測試行為信息。

盡管圖4示出了過程400的示例框，但是在一些實(shí)現(xiàn)方式中，與在圖4中描繪的那些框相比，過程400可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地或者備選地，過程400的框中的兩個(gè)或者更多個(gè)框可以被并行地執(zhí)行。

圖5是關(guān)于在圖4中所示的示例過程400的示例實(shí)現(xiàn)方式500的示圖。為了圖5的目的，假設(shè)安全設(shè)備220(例如，SD1)被放置在用戶設(shè)備210(例如，UD1)和服務(wù)器設(shè)備230(例如，站點(diǎn)X服務(wù)器)之間。進(jìn)一步地，假設(shè)SD1被配置為確定與將向UD1提供的對(duì)象相關(guān)聯(lián)的測試行為信息。

如在圖5中以及由標(biāo)號(hào)505所示，UD1可以經(jīng)由SD1向站點(diǎn)X服務(wù)器發(fā)送對(duì)于由站點(diǎn)X服務(wù)器存儲(chǔ)的對(duì)象(例如，game.exe)的請(qǐng)求。如由標(biāo)號(hào)510所示，基于由UD1提供的請(qǐng)求，站點(diǎn)X服務(wù)器可以向SD1提供對(duì)象。如由標(biāo)號(hào)515所示，SD1可以接收對(duì)象并且可以在由SD1主控的沙盒環(huán)境中執(zhí)行該對(duì)象。如由標(biāo)號(hào)520所示，基于執(zhí)行對(duì)象(例如，與game.exe相關(guān)聯(lián)的游戲文件夾的創(chuàng)建以及與game.exe相關(guān)聯(lián)的圖像文件的下載)，SD1可以標(biāo)識(shí)兩種行為。如由標(biāo)號(hào)525所示，SD1可以確定兩種行為為正常的行為(例如，非惡意的、非可疑的等)，對(duì)象不是惡意對(duì)象，并且SD1可以存儲(chǔ)與對(duì)象相關(guān)聯(lián)的測試行為信息。如由標(biāo)號(hào)530所示，SD1可以接下來向UD1提供該對(duì)象。

如上所述，圖5僅作為示例被提供。其他示例是有可能的并且可以與關(guān)于圖5而被描述的內(nèi)容不同。

圖6是用于確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息并且提供實(shí)際行為信息的示例過程600的流程圖。在一些實(shí)現(xiàn)方式中，圖6的一個(gè)或者多個(gè)過程框可以由用戶設(shè)備210執(zhí)行。在一些實(shí)現(xiàn)中，圖6的一個(gè)或者多個(gè)過程框可以由另一設(shè)備或者與用戶設(shè)備210分離的或者包括用戶設(shè)備210的設(shè)備的組(諸如安全設(shè)備220)來執(zhí)行。

如在圖6中所示，過程600可以包括接收對(duì)象(框610)。例如，用戶設(shè)備210可以接收對(duì)象。在一些實(shí)現(xiàn)方式中，當(dāng)安全設(shè)備220提供對(duì)象時(shí)，用戶設(shè)備210可以接收對(duì)象。附加地或者備選地，當(dāng)服務(wù)器設(shè)備230提供對(duì)象時(shí)(例如，基于來自用戶設(shè)備210的請(qǐng)求)，用戶設(shè)備210可以接收對(duì)象。附加地或者備選地，用戶設(shè)備210可以從另一設(shè)備和/或在另一時(shí)間接收對(duì)象。

在一些實(shí)現(xiàn)方式中，在安全設(shè)備220確定與對(duì)象相關(guān)聯(lián)的測試行為信息之后，用戶設(shè)備210可以接收對(duì)象。換言之，在過程400(如上所述)由安全設(shè)備220執(zhí)行之后(例如，當(dāng)安全設(shè)備220被配置為在用戶設(shè)備210接收對(duì)象之前確定測試行為信息時(shí))，用戶設(shè)備210可以接收對(duì)象。備選地，在安全設(shè)備220確定與對(duì)象相關(guān)聯(lián)的測試行為信息之前，用戶設(shè)備210可以接收對(duì)象。換言之，在過程400由安全設(shè)備220執(zhí)行之前(例如，當(dāng)安全設(shè)備220被配置為在用戶設(shè)備210接收對(duì)象和/或向安全設(shè)備220提供對(duì)象之后確定測試行為信息時(shí))，用戶設(shè)備210可以接收對(duì)象。備選地，在安全設(shè)備220確定與對(duì)象相關(guān)聯(lián)的測試行為信息的同時(shí)，用戶設(shè)備210可以接收對(duì)象。

如在圖6中進(jìn)一步示出的，過程600可以包括確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息(框620)。例如，用戶設(shè)備210可以確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。在一些實(shí)現(xiàn)方式中，在用戶設(shè)備210接收對(duì)象之后，用戶設(shè)備210可以確定實(shí)際行為信息。附加地或者備選地，當(dāng)用戶設(shè)備210接收?qǐng)?zhí)行對(duì)象、運(yùn)行對(duì)象、打開對(duì)象、安裝對(duì)象等的指示(例如，用戶輸入)時(shí)，用戶設(shè)備210可以確定實(shí)際行為信息。附加地或者備選地，當(dāng)用戶設(shè)備210接收用戶設(shè)備210將確定實(shí)際行為信息的指示時(shí)，用戶設(shè)備210可以確定實(shí)際行為信息。

實(shí)際行為信息可以包括標(biāo)識(shí)在真實(shí)環(huán)境內(nèi)(例如，當(dāng)對(duì)象在用戶設(shè)備210上被執(zhí)行、在用戶設(shè)備210上運(yùn)行、由用戶設(shè)備210打開、在用戶設(shè)備210上安裝時(shí)等)由對(duì)象展示的一種或者多種行為的信息。在一些實(shí)現(xiàn)方式中，用戶設(shè)備210可以通過在與用戶設(shè)備210相關(guān)聯(lián)的真實(shí)環(huán)境中執(zhí)行對(duì)象、運(yùn)行對(duì)象、打開對(duì)象等以及監(jiān)控對(duì)象的行為來確定實(shí)際行為信息。在一些實(shí)現(xiàn)方式中，如下所述，可以比較實(shí)際行為信息與測試行為信息以便將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。

在一些實(shí)現(xiàn)方式中，用戶設(shè)備210可以基于來自用戶的指示來確定實(shí)際行為信息。例如，當(dāng)用戶提供指示用戶設(shè)備210將執(zhí)行對(duì)象的指示時(shí)，用戶設(shè)備210可以被配置為(例如，自動(dòng)地)確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。

附加地或者備選地，用戶設(shè)備210可以基于用戶設(shè)備210的配置來確定實(shí)際行為信息。例如，用戶設(shè)備210可以被配置為(例如，基于由用戶設(shè)備210主控的安全應(yīng)用)當(dāng)用戶設(shè)備210執(zhí)行對(duì)象、運(yùn)行對(duì)象、打開對(duì)象、安裝對(duì)象等時(shí)確定實(shí)際行為信息。

附加地或者備選地，用戶設(shè)備210可以基于由安全設(shè)備220提供的指示來確定實(shí)際行為。例如，安全設(shè)備220可以向用戶設(shè)備210提供對(duì)象連同用戶設(shè)備210將確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息的指示(例如，如上所述)，并且用戶設(shè)備210可以因此確定實(shí)際行為信息。

如在圖6中進(jìn)一步示出的，過程600可以包括提供實(shí)際行為信息(框630)。例如，用戶設(shè)備210可以提供實(shí)際行為信息。在一些實(shí)現(xiàn)方式中，在用戶設(shè)備210確定實(shí)際行為信息之后，用戶設(shè)備210可以提供實(shí)際行為信息。附加地或者備選地，當(dāng)用戶設(shè)備210接收指示用戶設(shè)備210將提供實(shí)際行為信息的信息時(shí)，用戶設(shè)備210可以提供實(shí)際行為信息。

在一些實(shí)現(xiàn)方式中，用戶設(shè)備210可以基于閾值時(shí)間量來提供實(shí)際行為信息。例如，用戶設(shè)備210可以存儲(chǔ)信息，該信息指示用戶設(shè)備210將對(duì)于在用戶設(shè)備210開始執(zhí)行對(duì)象之后的閾值時(shí)間量(例如，30秒、5分鐘等)確定實(shí)際行為信息，并且用戶設(shè)備210可以因此確 定并且提供實(shí)際行為信息。附加地或者備選地，用戶設(shè)備210可以周期性地提供實(shí)際行為信息(例如，每隔1分鐘當(dāng)對(duì)象是打開時(shí)、每隔10分鐘當(dāng)對(duì)象正在運(yùn)行時(shí)等)。

在一些實(shí)現(xiàn)方式中，用戶設(shè)備210可以基于檢測從與對(duì)象相關(guān)聯(lián)的測試行為信息的偏差提供實(shí)際行為信息。例如，安全設(shè)備220可以向用戶設(shè)備210提供測試行為信息(例如，當(dāng)安全設(shè)備210被配置為在向用戶設(shè)備210提供對(duì)象之前確定測試行為信息時(shí))。在此，用戶設(shè)備210可以接收測試行為信息并且可以開始確定實(shí)際行為信息(例如，用戶設(shè)備210可以開始執(zhí)行對(duì)象并且監(jiān)控與執(zhí)行對(duì)象相關(guān)聯(lián)的行為)。在這一示例中，用戶設(shè)備210可以確定(例如，在用戶設(shè)備210開始執(zhí)行對(duì)象之后的時(shí)間)實(shí)際行為信息已經(jīng)偏離了測試行為信息(例如，當(dāng)用戶設(shè)備210在執(zhí)行期間0標(biāo)識(shí)在測試行為信息中沒有標(biāo)識(shí)的行為時(shí))，并且用戶設(shè)備210可以向安全設(shè)備220提供實(shí)際行為信息。

在一些實(shí)現(xiàn)方式中，用戶設(shè)備210可以提供對(duì)象連同實(shí)際行為信息。例如，在安全設(shè)備220確定與對(duì)象相關(guān)聯(lián)的測試行為信息之前，用戶設(shè)備210可以接收對(duì)象，并且用戶設(shè)備210可以執(zhí)行該對(duì)象。在此，用戶設(shè)備210可以向安全設(shè)備220提供實(shí)際行為信息連同對(duì)象(例如，以使得安全設(shè)備220可以在測試環(huán)境(例如，在沙盒環(huán)境、仿真環(huán)境、使用由安全設(shè)備220主控的VM等)中執(zhí)行對(duì)象以便確定與對(duì)象相關(guān)聯(lián)的測試行為信息)。

附加地或者備選地，用戶設(shè)備210可以提供與一個(gè)或者多個(gè)用戶動(dòng)作相關(guān)聯(lián)的信息，該一個(gè)或者多個(gè)用戶動(dòng)作與對(duì)象相關(guān)聯(lián)。例如，用戶設(shè)備210可以提供與用戶輸入(例如，用戶名、密碼、特定按鍵的選擇、用戶界面的特定區(qū)域的選擇等)相關(guān)聯(lián)的信息，該用戶輸入由用戶提供并且與對(duì)象相關(guān)聯(lián)(例如，以使得安全設(shè)備210可以重新創(chuàng)建該一個(gè)或者多個(gè)用戶動(dòng)作以便執(zhí)行與對(duì)象相關(guān)聯(lián)的附加測試)。附加地或者備選地，用戶設(shè)備210可以提供與對(duì)象相關(guān)聯(lián)的存儲(chǔ)器快照。例如，用戶設(shè)備210可以提供與在用戶設(shè)備210上運(yùn)行的過程的 存儲(chǔ)器空間相關(guān)聯(lián)的信息(例如，以使得安全設(shè)備220可以在沙盒環(huán)境內(nèi)重新建立匹配的存儲(chǔ)器空間以便執(zhí)行與對(duì)象相關(guān)聯(lián)的附加測試)。

盡管圖6示出了過程600的示例框，在一些實(shí)現(xiàn)方式中，與在圖6中描繪的那些框相比，過程600可以包括附加的框、更少的框、不同的框或者被不同地布置的框。附加地或者備選地，過程600的框中的兩個(gè)或者更多個(gè)框可以被并行地執(zhí)行。

圖7是與在圖6中所示的示例過程600有關(guān)的示例實(shí)現(xiàn)方式700的示圖。為了圖7的目的，假設(shè)用戶設(shè)備210(例如，UD1)已經(jīng)從服務(wù)器設(shè)備230(例如，站點(diǎn)X服務(wù)器)請(qǐng)求了對(duì)象(例如，game.exe)。進(jìn)一步地，假設(shè)被放置在UD1和站點(diǎn)X服務(wù)器之間的安全設(shè)備220(例如，SD1)已經(jīng)接收了對(duì)象、確定并存儲(chǔ)了與對(duì)象相關(guān)聯(lián)的測試行為信息，并且已經(jīng)確定了(例如，基于測試行為信息)UD1可以接收對(duì)象。最后，假設(shè)UD1被配置為確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息，以及向SD1提供實(shí)際行為信息。

如在圖7中以及由標(biāo)號(hào)705所示，SD1可以向UD1提供對(duì)象。如由標(biāo)號(hào)710所示，UD1可以接收對(duì)象，并且可以(例如，基于來自用戶的指示)執(zhí)行對(duì)象。如由標(biāo)號(hào)715所示，在UD1開始執(zhí)行對(duì)象后的一分鐘時(shí)間段期間，UD1可以確定與對(duì)象相關(guān)聯(lián)的實(shí)際行為對(duì)象(例如，假設(shè)UD1被配置為在開始對(duì)象的執(zhí)行以后的一分鐘提供實(shí)際行為信息)。如所示，UD1可以確定實(shí)際行為信息，該實(shí)際行為信息標(biāo)識(shí)與執(zhí)行對(duì)象相關(guān)聯(lián)的三種行為(例如，與game.exe相關(guān)聯(lián)的游戲文件夾的創(chuàng)建、注冊(cè)表項(xiàng)Y的編輯以及任務(wù)X的調(diào)度)。如由標(biāo)號(hào)720所示，UD1可以向SD1提供與對(duì)象相關(guān)聯(lián)并且由UD1確定的實(shí)際行為信息。

如上所述，圖7僅作為示例被提供。其他示例是有可能的并且可以與關(guān)于圖7而被描述的內(nèi)容不同。

圖8是用于基于比較與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息和與對(duì)象相關(guān)聯(lián)的測試行為信息將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象的示例過程800的流 程圖。在一些實(shí)現(xiàn)方式中，圖8的一個(gè)或者多個(gè)過程框可以由安全設(shè)備220執(zhí)行。在一些實(shí)現(xiàn)方式中，圖8的一個(gè)或者多個(gè)過程框可以由另一設(shè)備或者與安全設(shè)備220分離的或者包括安全設(shè)備220的設(shè)備(諸如用戶設(shè)備210)的集合來執(zhí)行。

如在圖8中所示，過程800可以包括接收與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息(框810)。例如，安全設(shè)備220可以接收與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。在一些實(shí)現(xiàn)方式中，如以上關(guān)于過程600所描述的，當(dāng)用戶設(shè)備210提供實(shí)際行為信息時(shí)，安全設(shè)備220可以接收與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。

在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以基于用戶設(shè)備210的配置(例如，當(dāng)用戶設(shè)備被配置為在特定時(shí)間、以特定時(shí)間間隔等提供實(shí)際行為信息時(shí))接收實(shí)際行為信息。附加地或者備選地，安全設(shè)備220可以基于由安全設(shè)備220提供的請(qǐng)求(例如，當(dāng)安全設(shè)備220從用戶設(shè)備210請(qǐng)求實(shí)際行為信息時(shí))，接收實(shí)際行為信息。附加地或者備選地，安全設(shè)備220可以在另一時(shí)間接收實(shí)際行為信息。

如在圖8中進(jìn)一步示出的，過程800可以包括與對(duì)象相關(guān)聯(lián)的測試行為信息(框820)。例如，安全設(shè)備220可以確定與對(duì)象相關(guān)聯(lián)的測試行為信息。在一些實(shí)現(xiàn)方式中，在安全設(shè)備220接收實(shí)際行為信息之后，安全設(shè)備220可以確定測試行為信息。附加地或者備選地，當(dāng)安全設(shè)備220接收對(duì)象時(shí)(例如，如上所述)，安全設(shè)備220可以確定測試行為信息。附加地或者備選地，當(dāng)安全設(shè)別220接收指示安全設(shè)備220將確定測試行為信息的信息時(shí)，安全設(shè)備220可以確定測試行為信息。

在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以基于由安全設(shè)備220存儲(chǔ)的信息確定與對(duì)象相關(guān)聯(lián)的測試行為信息。例如，如以上關(guān)于過程400所描述的，安全設(shè)備220可以確定和存儲(chǔ)測試行為信息，并且可以基于存儲(chǔ)的信息確定測試行為信息。

附加地或者備選地，安全設(shè)別220可以基于測試對(duì)象來確定測試行為信息(例如，當(dāng)在用戶設(shè)備210接收對(duì)象之前安全設(shè)備220沒有 測試對(duì)象時(shí))。換言之，在用戶設(shè)備210提供與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息之后，安全設(shè)備220可以執(zhí)行過程400。

如在圖8中進(jìn)一步示出的，過程800可以包括比較實(shí)際行為信息和測試行為信息(框830)。例如，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息。在一些實(shí)現(xiàn)方式中，在安全設(shè)備220確定測試行為信息之后，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息。附加地或者備選地，在安全設(shè)備220接收實(shí)際行為信息之后，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息。附加地或者備選地，在安全設(shè)備220接收指示安全設(shè)備220將比較實(shí)際行為信息和測試行為信息的信息之后，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息。

在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息以便確定當(dāng)對(duì)象由安全設(shè)備220測試時(shí)與對(duì)象由用戶設(shè)備210執(zhí)行、運(yùn)行、打開、安裝等相比，對(duì)象是否表現(xiàn)不同(例如，在實(shí)際行為信息和測試行為信息之間的差別可以指示對(duì)象是躲避的惡意對(duì)象)。在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以基于比較實(shí)際行為信息和測試行為信息標(biāo)識(shí)在實(shí)際行為信息和測試行為信息之間的差別。例如，安全設(shè)備220可以確定實(shí)際行為信息標(biāo)識(shí)了在測試行為信息中沒有標(biāo)識(shí)的行為、測試行為信息標(biāo)識(shí)了在實(shí)際行為信息中沒有標(biāo)識(shí)的行為、實(shí)際行為信息標(biāo)識(shí)了與在測試行為信息中標(biāo)識(shí)的行為相比不同的行為等。在一些實(shí)現(xiàn)方式中，安全設(shè)備220可以標(biāo)識(shí)在實(shí)際行為信息和測試行為信息之間的一個(gè)或者多個(gè)差別。

如在圖8中進(jìn)一步示出的，過程800可以包括基于比較實(shí)際行為信息和測試行為信息將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象(框840)。例如，安全設(shè)備220可以基于比較實(shí)際行為信息和測試行為信息將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。在一些實(shí)現(xiàn)方式中，在安全設(shè)備220比較實(shí)際行為信息和測試行為信息之后，安全設(shè)備220可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。在一些實(shí)現(xiàn)方式中，當(dāng)安全設(shè)備220接收指示安全設(shè)備220要將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象的信息時(shí)，安全設(shè)備220可以將對(duì)象 標(biāo)識(shí)為躲避的惡意對(duì)象。

在一些實(shí)現(xiàn)方式中，基于比較實(shí)際行為信息和測試行為信息，安全設(shè)備220可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。例如，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息，并且可以確定對(duì)象在用戶設(shè)備210上展示了一種或者多種惡意行為，以及對(duì)象在安全設(shè)備220上沒有展示一種或者多種惡意行為(例如，在沙盒環(huán)境中該對(duì)象的測試期間)。在這一示例中，安全設(shè)備220可以基于確定對(duì)象在用戶設(shè)備210上展示了一種或者多個(gè)惡意行為將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象(例如，當(dāng)安全設(shè)備220被配置為當(dāng)對(duì)象在用戶設(shè)備210上展示一種或者多種惡意行為，但在安全設(shè)備220上沒有展示該一種或者多種惡意行為時(shí)將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象時(shí))。

附加地或者備選地，安全設(shè)備220可以基于與對(duì)象相關(guān)聯(lián)的附加測試將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。例如，安全設(shè)備220可以比較實(shí)際行為信息和測試行為信息，并且可以確定對(duì)象在用戶設(shè)備210上展示了惡意行為，以及對(duì)象在安全設(shè)備220上沒有展示惡意行為。在這一示例中，假設(shè)安全設(shè)備220已經(jīng)從用戶設(shè)備210接收了與一個(gè)或者多個(gè)用戶動(dòng)作相關(guān)聯(lián)的信息，該一個(gè)或者多個(gè)用戶動(dòng)作與執(zhí)行對(duì)象相關(guān)聯(lián)。在此，安全設(shè)備220可以使用與該一個(gè)或者多個(gè)用戶動(dòng)作相關(guān)聯(lián)的信息以便在用戶設(shè)備上重新創(chuàng)建對(duì)象的執(zhí)行，并且安全設(shè)備220可以執(zhí)行對(duì)象的附加測試(例如，使用另一種惡意軟件檢測技術(shù)、病毒檢測技術(shù)、間諜軟件檢測技術(shù)、勒索軟件檢測技術(shù)等)以便確定對(duì)象是否為躲避的惡意對(duì)象。

附加地或者備選地，安全設(shè)備220可以基于實(shí)際行為信息區(qū)別于測試行為信息的方式將對(duì)象標(biāo)識(shí)為惡意對(duì)象。例如，如果對(duì)象在客戶端設(shè)備210上展示了包括第一特征(例如，在回收站中的文件的創(chuàng)建)和相關(guān)聯(lián)的第二特征(例如，致使文件被自動(dòng)地執(zhí)行)的行為，并且在安全設(shè)備220上沒有展示第一特征或者第二特征，則安全設(shè)備220可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象。換言之，可以將展示的行為分解成特征，并且安全設(shè)備220可以確定(例如，基于由安全設(shè)備220存 儲(chǔ)的靜態(tài)規(guī)則、基于由安全設(shè)備220使用機(jī)器學(xué)習(xí)技術(shù)確定的動(dòng)態(tài)規(guī)則等)對(duì)象是否為躲避的惡意對(duì)象。

在一些實(shí)現(xiàn)方式中，在將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象之后，安全設(shè)備220可以提供指示。例如，安全設(shè)備220可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象，并且安全設(shè)備220可以提供(例如，向與用戶設(shè)備210相關(guān)聯(lián)的管理員設(shè)備、向用戶設(shè)備210等)用戶設(shè)備210已經(jīng)接收了躲避的惡意對(duì)象的通知。作為另一示例，安全設(shè)備220可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象，并且可以從網(wǎng)絡(luò)240移除用戶設(shè)備210(例如，以使得用戶設(shè)備210不能將躲避的惡意對(duì)象傳染給其他的用戶設(shè)備210)。作為又一示例，安全設(shè)備220可以使得躲避的惡意對(duì)象從用戶設(shè)備210被移除。附加地或者備選地，安全設(shè)備220可以采取與對(duì)象和/或用戶設(shè)備210相關(guān)聯(lián)的另一種類型的糾正動(dòng)作。例如，安全設(shè)備220可以通知防火墻過濾與該對(duì)象類似的對(duì)象，可以向黑名單添加與該對(duì)象相關(guān)聯(lián)的信息等。

盡管圖8示出了過程800的示例框，在一些實(shí)現(xiàn)方式中，與在圖8中描繪的那些框相比，過程800可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地或者備選地，過程800的框中的兩個(gè)或者更多個(gè)框可以被并行地執(zhí)行。

圖9是與在圖8中所示的示例過程900有關(guān)的示例實(shí)現(xiàn)方式的示圖。為了圖9的目的，假設(shè)安全設(shè)備220(例如，SD1)已經(jīng)確定并存儲(chǔ)了與對(duì)象(例如，game.exe)相關(guān)聯(lián)的測試行為信息，該測試行為信息標(biāo)識(shí)了與在測試環(huán)境(例如，沙盒環(huán)境)中測試對(duì)象相關(guān)聯(lián)的兩種行為(例如，游戲文件夾的創(chuàng)建和游戲圖像的下載)。進(jìn)一步地，假設(shè)用戶設(shè)備210(例如，UD1)已經(jīng)接收了對(duì)象并且確定了與對(duì)象相關(guān)聯(lián)的實(shí)際行為，該實(shí)際行為標(biāo)識(shí)了與在UD1上執(zhí)行對(duì)象相關(guān)聯(lián)的三種行為(例如，游戲文件夾的創(chuàng)建、注冊(cè)表項(xiàng)X的編輯和任務(wù)Y的調(diào)度)。

如在圖9中以及由標(biāo)號(hào)905所示，UD1可以向SD1提供與對(duì)象相關(guān)聯(lián)的實(shí)際行為信息。如由標(biāo)號(hào)910所示，SD1可以接收實(shí)際行為 信息，并且可以確定(例如，基于由SD1存儲(chǔ)的信息)與對(duì)象相關(guān)聯(lián)的測試行為信息。如由標(biāo)號(hào)915所示，SD1可以比較實(shí)際行為信息和測試行為信息，并且如由標(biāo)號(hào)920所示，可以確定實(shí)際行為信息與測試行為信息不同(例如，因?yàn)闇y試行為信息沒有標(biāo)識(shí)與編輯注冊(cè)表項(xiàng)X或者調(diào)度任務(wù)Y相關(guān)聯(lián)的行為，并且因?yàn)闇y試行為信息沒有標(biāo)識(shí)與下載游戲圖像文件相關(guān)聯(lián)的行為)。為了示例實(shí)現(xiàn)方式900的目的，假設(shè)SD1被配置為將注冊(cè)表項(xiàng)的編輯標(biāo)識(shí)為惡意行為以及將任務(wù)的調(diào)度標(biāo)識(shí)為惡意行為。如由標(biāo)號(hào)925所示，SD1可以將對(duì)象標(biāo)識(shí)為躲避的惡意對(duì)象(例如，因?yàn)閷?shí)際行為信息標(biāo)識(shí)了在測試行為信息中沒有包括的兩種惡意行為)。如由標(biāo)號(hào)930所示，SD1可以向UD1提供對(duì)象是躲避的惡意對(duì)象的指示(例如，以使得用戶可以刪除該對(duì)象、停止執(zhí)行該對(duì)象等)。

如上所述，圖9僅作為示例被提供。其他示例是有可能的并且可以與關(guān)于圖9而被描述的內(nèi)容不同。

在此所述的實(shí)現(xiàn)方式可以允許安全設(shè)備基于比較與對(duì)象相關(guān)聯(lián)的并且由用戶設(shè)備確定的實(shí)際行為信息和與對(duì)象相關(guān)聯(lián)的并且由安全設(shè)備確定的測試行為信息來確定對(duì)象是否為躲避的惡意對(duì)象。

前述公開內(nèi)容提供了說明和描述，但是并未旨在于為窮盡或者將實(shí)現(xiàn)方式限制于所公開的精確形式。根據(jù)上述公開內(nèi)容的修改和變化是有可能的或者修改和變化可以從實(shí)現(xiàn)方式的實(shí)踐中被獲取。

如在此使用的，術(shù)語“組件”旨在于被廣泛地解釋為硬件、固件和/或硬件和軟件的結(jié)合。

一些實(shí)現(xiàn)在此結(jié)合閾值而被描述。如在此使用的，滿足閾值可以指代值大于閾值、多于閾值、高于閾值、大于或等于閾值、小于閾值、少于閾值、低于閾值、小于或者等于閾值、等于閾值等。

在此所述的系統(tǒng)和/或方法可以按照硬件、固件或者硬件和軟件的結(jié)合的不同形式而被實(shí)現(xiàn)將是明顯的。用于實(shí)現(xiàn)這些系統(tǒng)和/或方法的實(shí)際的具體化的控制硬件或者軟件代碼不限于本實(shí)現(xiàn)方式。因此，系統(tǒng)和/或方法的操作和行為在此沒有參考具體的軟件代碼而被描 述——應(yīng)當(dāng)理解，基于在此的描述能夠設(shè)計(jì)軟件和硬件以實(shí)現(xiàn)系統(tǒng)和/或方法。

盡管特征的特定組合被記載在權(quán)利要求中和/或被公開在說明書中，這些組合并未旨在于限制可能的實(shí)現(xiàn)方式的公開內(nèi)容。事實(shí)上，這些特征中的許多特征可以按照在權(quán)利要求中未被具體記載的方式和/或在說明書中未被具體公開的方式結(jié)合。盡管以下列出的每個(gè)從屬權(quán)利要求可以直接地依賴于僅一個(gè)權(quán)利要求，可能的實(shí)現(xiàn)方式的公開內(nèi)容包括每個(gè)從屬權(quán)利要求與在權(quán)利要求集合中的每個(gè)其他權(quán)利要求相結(jié)合。

在此使用的元素、動(dòng)作或者指令均不應(yīng)被解釋為關(guān)鍵的或者必不可少的，除非如此明確地描述。并且，如在此使用的，冠詞“一個(gè)”和“一種”旨在于包括一個(gè)或者多個(gè)項(xiàng)目，并且可以與“一個(gè)或者多個(gè)”可交替地使用。此外，如在此使用的，術(shù)語“集合”旨在于包括一個(gè)或者多個(gè)項(xiàng)目，并且可以與“一個(gè)或者多個(gè)”可交替地使用。當(dāng)僅指一個(gè)項(xiàng)目時(shí)，使用術(shù)語“一個(gè)”或者類似的語言。并且，如在此使用的，術(shù)語“有”、“具有”、“含有”等旨在于為開放的術(shù)語。進(jìn)一步地，短語“基于”旨在于表示“至少部分基于”的意思，除非另外明確地說明。