[发明专利]恶意软件代理的行为检测

说明书

在示例中，检测引擎根据行为识别潜在的恶意软件对象。为了规避黑名单以及基于指纹的检测，恶意软件服务器可能频繁地更改域名，并且更改分布式恶意软件代理的指纹。恶意软件代理可能只进行初始DNS查找，并且此后使用所述服务器的原始IP地址经由“裸”HTTP分组与恶意软件命令与控制服务器进行通信。所述检测引擎通过这种行为识别恶意软件代理。在一个示例中，如果可执行对象在DNS查找“生存时间”已经期满后向地址作出重复的HTTP请求，则所述对象可以被标记为潜在的恶意软件。

相关申请的交叉引用

本申请要求2014年9月25日提交的题为“Behavioral Detection of MalwareAgents(恶意软件代理的行为检测)”的美国实用新型申请号14/496,158的优先权，所述申请通过引用结合在此。

技术领域

本申请涉及计算机安全领域，并且更具体地涉及恶意软件代理的行为检测。

背景技术

恶意软件代理是可以安装在最终用户的机器上来为在所谓的“僵尸网络”中使用或者为其他恶意目的而盗用机器的资源的恶意可执行对象。在一个示例中，僵尸网络是每个安装有恶意软件代理并且因此响应来自恶意软件命令和控制(CC)服务器的命令的“僵尸”机器的分布式网络。CC服务器进而可以被编程以执行任意数量的恶意功能。例如，僵尸网络可以被配置成用于执行对抗特定服务器的拒绝服务(DoS)攻击。在另一个示例中，僵尸网络可以用于发出批量电子邮件(“垃圾邮件”)。在又另一个示例中，僵尸网络可以被配置成用于为恶意动作者执行分布式计算任务，如挖掘所谓的“加密货币”、通过强攻击术视图破译加密密钥、或者执行恶意分布式动作。

当计算机已经被盗用作为僵尸网络上的僵尸，对于机器以及对于用户的各种不期望的后果可能随之而来。例如，僵尸网络代理可以在僵尸计算机上盗用用户自己的数据、盗用后来对于用户而言不可用的计算和网络资源、或者花费用户隐私、时间以及金钱。僵尸网络代理还可能试图跨其他在同一网络运行的机器进行自行传播，这可能引发企业安全方面的考虑。僵尸网络代理的这些消极影响仅通过示例的方式提供，并且应认识到，当网络已经被危害时可能会有其他消极影响。

其他种类的恶意软件代理还可能报告给CC服务器，并且可能导致其他类型的伤害。

附图说明

当与附图一起阅读时，将从以下详细描述中更好地理解本公开。强调的是，根据行业中的标准实践，不同特征未按比例绘制，并且仅用于说明性目的。实际上，为了讨论的清晰起见，可以任意地放大或者减小各种特征的尺寸。

图1是根据本说明书的一个或多个示例的安全使能网络的框图。

图2是根据本说明书的一个或多个示例的计算设备的框图。

图3是根据本说明书的一个或多个示例的安全服务器的框图。

图4A和图4B是根据本说明书的一个或多个示例的由客户端引擎执行的方法的流程图。

具体实施方式

概述

在示例中，检测引擎根据行为识别潜在的恶意软件对象。为了规避黑名单以及基于指纹的检测，恶意软件服务器可以频繁更改域名，和/或更改分布式恶意软件代理的指纹。恶意软件代理可能只进行初始DNS查找，并且此后使用所述服务器的原始IP地址经由“裸”HTTP分组与恶意软件命令与控制服务器进行通信。所述检测引擎通过这种行为识别恶意软件代理。在一个示例中，如果可执行对象在DNS查找“生存时间”已经期满后向地址作出重复的HTTP请求，则所述对象可以被标记为潜在的恶意软件。

本公开的示例实施例