提供预测的安全产品以及评分现有安全产品的方法与产品的利记博彩app
【技术领域】
[0001]本发明是关于网络安全(Cyber security),更确切地,是关于一种提供一预测的安全产品的方法与产品,以及评分现有安全系统的方法与产品。
【背景技术】
[0002]网络安全供货商与黑客之间持续着猫抓老鼠的竞赛:当供货商发出静与动态签署以及侦测类型来辨识恶意软件时,所有黑客需要做的只有在已被鉴别与认证恶意软件中执行微小的改变,因此有系统地回避了这些侦测方法。这是广泛且一般的现象:99%以上的新恶意软件,至少部分,实际上是伴随着微小改变的再生恶意软件。
[0003]为了提供了能保护个人与公司网络免于不同恶意软件与意外入侵危害的恶意软件侦测套件,现今已有不同的尝试。全部所知的恶意软件侦测器是使用互动方式与相关技术来防范已知的计算器病毒、攻击方法、恶意软件行为、恶意软件类型、漏洞、可利用的部分等等。尚未有能以预测以及主动的方式来防范未知恶意软件的技术的供货商、产品或包装。另外,更困难的是以客观的方式与经验决定出较好的安全产品。
[0004]能用于预测未知恶意软件以及防范这种恶意软件的方法、计算器程序与系统是很有用处的。能评估并衡量安全产品能力的方法也对进行抗衡有很大好处。
[0005]定义
[0006]术语「恶意软件」指的是来自以编码、可执行内容、脚本、主动内容、以及其他软件形式以及输入/输出潜在串流,像是能造成攻击的网络封包串流,为形式的恶意软件。恶意软件包含病毒、exploits病毒、木马程序、臭虫,rootkits病毒、间谍软件等等,但不限于这止匕
~、O
[0007]术语「恶意软件标本」指的是用于进化过程的恶意软件片段,如下详述,所述恶意软件片段一般是被所提供系统或第三方系统、方法或处理所不定时取得或纪录。一些标本是在被感染的/污染的计算器上找到,或是被存于特殊数据库。在进化过程中,恶意软件标本是被用在所提供处理的后续阶段中(以下有更清楚说明)。
[0008]术语「变种」是借自生物的辞库,是关于进化且指的是恶意软件标本的版本或「突变」,所述恶意软件标本的版本或「突变」能被以随机、部分随机、假随机的刻意方法来变换或变异。变种可通过在恶意软件编码上执行「突变」、合并两个或更多组编码、或是熟习技艺者所知的遗传程序的任何其他形式所产生。
[0009]术语「突变」,在此使用也是借自生物的辞库且指的是对恶意软件标本的编码所做的改变。举例来说,突变会包含增加或移除程序码行、重组程序码行、复制程序码行、改变参数、替换给第三方编码的呼叫、改变端口、改变所使用的程序库等。
[0010]术语「恶意变种」在此使用于意指仍有恶意的恶意软件标本的一改变版本。失去恶意特性的变种在此被指为「无恶意变种」。
[0011]术语「回避变种」在此使用于意指恶意软件标本的一改变版本,且所述恶意软件标本的改变版本仍有与标本的回避等级可相比的回避等级(例如,像是原本恶意软件标本,被相同或更少数目的恶意软件侦测系统所侦测)。已失去回避特性的变种(例如,相比于原本标本较不会回避)在此被指为「无回避变种」。
[0012]—般来说,除非特定,否则,术语「恶意特性」指的是恶意编码(例如,用于执行的指令组)、恶意行为(例如,当分开执行时不一定是恶意,但在特定方式一起执行时会有恶意意图的动作/指令)或两者的结合。
[0013]侦测器是用于侦测的计算器程序产品,并在一些状况中抵抗在目标系统或网络上的恶意软件。侦测器也会采用被使用一或多个侦测方法的第三方产品所使用,并为熟习技艺者所知的定义形式,以侦测可疑恶意软件。
[0014]术语「脚印」、「踪迹」或「攻击踪迹」等是关于档案或其他恶意的编码(举例来说,像是连续的网络封包)所遗留的所有类型的脚印/证据,包含:网络流量、二元编码、操作系统与API呼叫、CPU活动、内存脚印(memory footprint),上述的任何内容与结合。所述术语脚印/踪迹可附带不同的修饰语。
[0015]术语「遗传运算符」指的是使恶意软件变种变异与合并/交叉的运算符。
【发明内容】
[0016]本发明提供用以基于进化原则并防止这样的恶意组件与其他相似组件的产品、方法与系统。
[0017]依据本发明提供了一系统,包含(a) —恶意软件进化引擎,用于产生恶意标本的恶意软件变种;以及(b) —评估器,被配置用于基于一恶毒等级和一回避等级的其中至少一者,来评估所述恶意软件变种。以及在一些实施例中的(C) 一恶意软件提取器,用于在从知识库、生产系统,与第三方产品所组成的集合中所选出的至少一来源,收集恶意软件标本给所述进化引擎;以及/或是(C) 一侦测器建立器,用于基于所述进化引擎所产生与所述评估器所评估的所述恶意软件变种来产生一侦测器机制。
[0018]依据以下描述的本发明的另外特征,或在一方法中,所述进化引擎是被设制成用于通过执行从施加突变至所述恶意软件标本的可执行编码、施加突变至恶意软件发送的网络流量、施加突变至来源编码、施加突变至汇编语言编码,以及交叉合并所述恶意软件变种所组成的所述集合中选出的至少一动作,来产生所述恶意软件变种。又依据其他特征,或在一方法中,所述突变是从由以下构成的一集合所选出:(i)随机突变;(ii)将一给定指令序列替换为另一功能相同的指令序列一选出的程序库呼叫被替换为一功能相同的不同程序库呼叫;(iv) —选出的被使用的程序库被替换为一功能相同的不同程序库;(V)增加被辨识为具有恶意功能的区域中的所述突变的各别概率;(vi)增加被辨识为不倾向阻止所述可执行的编码的适当执行的区域中的所述突变的各别概率;(vii)增加安全产品所签署的区域中的所述突变的概率;(viii)增加所述突变导致所述体质分数增加的区域中的所述突变的概率;(ix)针对已加入二元编码的一区段重写所述可执行的编码的标头,造成所述区段的扩张;(X)将所述可执行的编码与其他所述可执行的编码结合,以产出所合并的编码,以及重写相关标头,以允许所述结合编码的适当执行;(xi)修改所述可执行的编码的特定区段,以改变对相关作业有系统地的静态调用的的动态功能呼叫。
[0019]又依据其他特征或一平行方法,一攻击机器是被设制成用于寄送所述恶意软件发送的网络流量至所述进化引擎,所述进化引擎另被设置于施加所述突变至所述恶意软件发送的网络流量并寄送所述变异的恶意软件发送的网络流量至受害机器,其中所述变异的恶意软件发送的网络流量在所述受害机器上造成的结果是由所述评估器评估,以判断所述恶毒等级。
[0020]又依据其他特征,被施加至所述恶意软件发送的网络流量的所述突变包含修正CRC/校验和值字段,或是在不同协议中的一网络封包的任何其他字段,以在所述封包的载荷中或标头的各种突变之后,使所述CRC/校验和值或是其他字段。
[0021]又依据其他特征,在一安全频道中,通过包住含有所述恶意软件发送的网络流量的网络通讯,或使用加密与编码,导致所述恶意软件发送的网络流量被混淆。
[0022]依据另一实施例,提供了一种用以影响恶意软件上的进化过程的方法,所述方法包含以下步骤:(a)接收一恶意软件标本;(b)产生所述恶意软件标本的变种;(C)评估所述变种并给予每一所述变种一各别体质分数;(d)选择具有至少一默认的各别体质分数的所述变种;以及(e)使用所选择的所述变种做为步骤(a)中的所述恶意软件标本,从步骤(a)产生所述变种的新一代。
[0023]在一些实施例中,所述方法另包含以下步骤:(f)收集所述变种的踪迹数据与良性的档案或网络流;以及(g)将所述踪迹数据分类为以下范畴其中的至少一者:恶意的变种的踪迹、良性档案的踪迹,以及在所述进化过程期间失去恶意活动的退化的恶意软件变种的踪迹。以及(h)建立能够侦测以及分辨所述恶意特性与非恶意特性的侦测器。
[0024]在其他特征中,所述方法另包含以下步骤:(i)从所述侦测器中选择,其中的至少一所述侦测器具有在一默认等级之上的一分级,所述分级是基于:(i)被正确地侦测的所述恶意特性的一数目;(ii)被正确地侦测的所述非恶意特性的一数目;以及(iii)被正确地侦测的恶意特性的不足,其中会给予较短恶意特性的侦测一较高分级。
[0025]又依据其他特征,所述方法另包含以下步骤:执行所述变种在所述虚拟机(VM)与所述实体机器上;以及将在所述虚拟机上,与在所述实体机器上执行的所述变种进行比较,以侦测所述结果之间的一差异,其中当发现所述差异时,只会以所述实体机器执行所述变种在所述实体机器上的所述结果来评估所述变种。
[0026]又依据其他特征所述方法另包含以下步骤:寄送其中的选自以下的至少一者:在执行所述变种时的默认系统信号、通信数据、参数,以抵销整合的触发。
[0027]又依据其他特征所述方法另包含以下步骤:监控执行所述变种时的编码涵盖,以鉴别未被执行的编码区域,所述没被执行的编码区域是指示所述变种中整合的触发。
[0028]依据另一实施例,提供一种用于训练针对一字节串流的一恶意软件侦测器的方法,所述方法包含以下步骤:(a)捕捉一网络交谈(sess1n)或任何其他二元数据的一字节串流;以及以一正整数的一线性向量来代表所述字节串流,其中所述字节串流包含恶意软件变种、良性网络活动或档案的一踪迹;(b)重整所述线性向量成为一正方矩阵,从而接收一灰阶图像;(c)将所述灰阶图像进行标准化(normalize)为统一分辨率;(d)使用其中的至少一图像处理技术来从所述标准化图像取出特征;(e)重复步骤(a)至(d)并储存恶意的变种于一第一数据库,而良性的流量是储存于一第二数据库;(f)训练一恶意软件侦测器以分辨所述恶意软件变种与所述良性流量。
[0029]依据其他特征,所述至少一图像处理技术是选自所述集合,所述集合包含:Gabor小波系数,统计系数、主成分分析、线性判别分析、以及独立成分分析。依据其他特征,所述训练步骤是由一支持向量机所实行。
[0030]依据另一实施例,提供一种用于从一恶意软件标本产生恶意软件变种的方法,所述方法包含以下步骤:产生所述恶意软件变种,通过执行以下集合其中至少一动作:施加突变至所述恶意软件标本的可执行编码;施加突变至恶意软件发送的网络流量;以及交叉合并所述恶意软件变种。
[0031]依据另一实施例,提供一种方法,所述方法包含以下步骤:(a)接收一恶意软件标本;(b)产生所述恶意软件标本的变种;(C)扫描具有安全产品的一所选择集合的每一所述变种,并给予回避分数,基于所述安全产品没有侦测所述变种能力。依据其他特征,所述方法包含以下步骤:(d)基于侦测所述变种中成功的一等级,来给予每一所述安全产品一分级。以及在一些实施例中,所述分级是基于相关于其他所述安全产品的成功的所述等级。
【附图说明】
[0032]本发明在本文中的描述仅作为示例,并参照附图所示,其中:
[0033]图1是防毒引擎扫描恶意软件的一对示范性结果;
[0034]图2A-C是一示范性侦测器产生过程的阶段;
[0035]图3是本发明的所述进化过程的流程图;
[0036]图4是建立一侦测器的一过程的流程图;
[0037]图5是评估回避并给定所选择安全产品评分与标准的所述过程的流程图;