專利名稱:用于自動確定程序的潛在蠕蟲樣行為的方法與裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及用于分析如那些稱為蠕蟲的不希望的軟件實體的方法和裝置�,更具體而言,涉及用于自動識別軟件程序中潛在的蠕蟲樣行為的方法與裝置����。
背景技術(shù):
計算機病毒可以定義為在計算機上以可能修改的方式而無需人介入地傳播的自復(fù)制程序或軟件例程。計算機蠕蟲可以定義為暗中在計算機網(wǎng)絡(luò)的計算機之間發(fā)送其自己的拷貝的程序�,而且它利用網(wǎng)絡(luò)服務(wù)進行復(fù)制。
在計算機病毒自動檢測與分析領(lǐng)域��,經(jīng)常需要預(yù)測程序?qū)@示什么類型的行為����,由此程序可以在最適合程序的環(huán)境中被復(fù)制與分析。
軟件可以被動態(tài)分析����,以識別潛在的重要行為(如蠕蟲樣行為)。這種行為有可能只有當軟件在軟件能或看起來能訪問生產(chǎn)網(wǎng)絡(luò)和/或全球因特網(wǎng)的環(huán)境中執(zhí)行時才顯示��。軟件可以在實際的或包括監(jiān)視組件和仿真組件的仿真網(wǎng)絡(luò)環(huán)境中執(zhí)行。監(jiān)視組件用于捕捉和/或記錄由軟件和/或系統(tǒng)其它組件顯示的行為�,而仿真組件給被分析的軟件一種它在訪問生產(chǎn)網(wǎng)絡(luò)和/或全球因特網(wǎng)的情況下執(zhí)行的印象。被分析的軟件被有效地限制于分析網(wǎng)絡(luò)環(huán)境���,實際上不能從任何生產(chǎn)網(wǎng)絡(luò)或全球因特網(wǎng)讀信息或改變在任何生產(chǎn)網(wǎng)絡(luò)或全球因特網(wǎng)上的任何信息��。
期望提供一種在這種環(huán)境以外指出計算機蠕蟲身份的能力���。盡管有可能利用這種環(huán)境來復(fù)制計算機軟件病毒與蠕蟲,但是由于蠕蟲復(fù)制環(huán)境假定實際或仿真網(wǎng)絡(luò)的存在�����,而實際中這實現(xiàn)起來很昂貴��,因此是低效的����。
因此,在網(wǎng)絡(luò)環(huán)境以外預(yù)測軟件樣本是否是潛在蠕蟲的能力將減少發(fā)送到蠕蟲復(fù)制環(huán)境的樣本數(shù)�,并導(dǎo)致自動復(fù)制與分析系統(tǒng)效率的顯著提高����。
發(fā)明內(nèi)容
因此,本發(fā)明提供用于自動確定懷疑具有蠕蟲樣特征的程序的行為簡檔的方法與裝置。在第一方面��,方法包括分析程序所需的數(shù)據(jù)處理系統(tǒng)資源�����,如果所需資源不表示該程序具有蠕蟲樣特征���,則在受控的非網(wǎng)絡(luò)環(huán)境中運行該程序�,同時監(jiān)視并注冊對系統(tǒng)資源的訪問�����,以確定程序在非網(wǎng)絡(luò)環(huán)境中的行為�。分析所觀察行為的注冊記錄,來確定其行為是否表示程序具有蠕蟲樣特征���。非網(wǎng)絡(luò)環(huán)境可以向程序仿真網(wǎng)絡(luò)的出現(xiàn)���,但不仿真網(wǎng)絡(luò)的實際操作。
現(xiàn)在參考附圖�����,僅作為例子來描述本發(fā)明的優(yōu)選實施方式,其中圖1是本發(fā)明優(yōu)選實施方式中數(shù)據(jù)處理系統(tǒng)的方框圖��;圖2是本發(fā)明優(yōu)選實施方式中控制器單元的方框圖�����;圖3是本發(fā)明優(yōu)選實施方式中說明圖2資源分析器組件運行的邏輯流程圖��;圖4A和4B��,統(tǒng)稱為圖4����,示出了本發(fā)明優(yōu)選實施方式中說明圖2復(fù)制器單元運行的邏輯流程圖和說明圖2行為模式分析器組件運行的邏輯流程圖。
具體實施例方式
在此所公開的方法基于蠕蟲程序能將其向其它計算機傳播的特征��。這些特征包括但不限于以下一個或多個特征(a)利用來自動態(tài)鏈接庫(dll)的應(yīng)用程序接口(API)向其它機器發(fā)電子郵件��;(b)通用郵件程序的自動化����,該郵件程序例如但不限于MicrosoftOutlookTM和Outlook ExpressTM;(c)使用地址本���、系統(tǒng)注冊表和其它系統(tǒng)資源確定蠕蟲的潛在接收者和/或郵件程序的位置;(d)用蠕蟲代碼重寫或代替系統(tǒng)庫中的網(wǎng)絡(luò)API,該蠕蟲代碼如果執(zhí)行�����,則將使得在所有從該機器發(fā)送的郵件中包含蠕蟲代碼作為附件或作為單獨的郵件消息�;(e)企圖訪問遠程驅(qū)動器上的資源;及(f)刪除將在系統(tǒng)重新啟動后運行���、并利用前面所述的一種方法使蠕蟲代碼發(fā)送到其它機器的程序��。
蠕蟲的一種簡檔是顯示那些表示使用了上面提到的一種或多種方法的特征的簡檔��。例如����,蠕蟲簡檔可以包括從網(wǎng)絡(luò)dll導(dǎo)入發(fā)送方法或改變網(wǎng)絡(luò)資源����,或企圖訪問系統(tǒng)注冊表來獲得描述任何所安裝的電子郵件程序的信息。
可疑程序(懷疑具有蠕蟲樣行為���、特征或?qū)傩缘某绦?的行為簡檔的確定是分兩個階段執(zhí)行的����。
在第一階段,確定程序所需的資源���。表示潛在蠕蟲樣行為的資源的例子包括但不限于(a)用于網(wǎng)絡(luò)訪問的動態(tài)鏈接庫�;(b)從這些庫導(dǎo)入的表示可能企圖發(fā)送電子郵件的方法����;及(c)表示現(xiàn)有郵件程序自動化的動態(tài)鏈接庫和方法,如OLE或DDE���。
在第二階段�,可疑程序在受控非網(wǎng)絡(luò)環(huán)境中運行一次或多次����,其中對系統(tǒng)資源的訪問,有可能是全部訪問���,被監(jiān)視并注冊��。為了縮小結(jié)果并減少誤檢的個數(shù)����,該非網(wǎng)絡(luò)環(huán)境可以配置成看起來象具有一些網(wǎng)絡(luò)能力�。例如��,如果可疑蠕蟲企圖訪問地址本或檢查電子郵件程序的存在��,那么為了得到更具體的蠕蟲樣響應(yīng),該環(huán)境將提供期望的信息���。在有些情況下����,為了方便對企圖訪問電子郵件程序的可疑程序的積極響應(yīng)��,在系統(tǒng)上安裝電子郵件程序可能是有利的���。
在完成一次或多次程序運行后�����,基于對系統(tǒng)所作的修改�,例如但僅僅作為例子�,對任何網(wǎng)絡(luò)dll的修改及訪問如包含郵件程序或地址本位置的注冊表的特定資源的企圖,創(chuàng)建該程序的行為簡檔�。
本發(fā)明的一種優(yōu)選實施方式運行在圖1所示的一個或多個計算機系統(tǒng)100上,圖1示出了可以實現(xiàn)本發(fā)明該優(yōu)選實施方式的典型計算機系統(tǒng)100的方框圖����。計算機系統(tǒng)100包括具有硬件單元103的計算機平臺102���、在此也稱為控制器101的實現(xiàn)下面所公開方法的軟件分析程序(SAP)101。SAP 101運行在計算機平臺102和硬件單元103之上���。硬件單元103一般包括一個或多個中央處理單元(CPU)104����、可以包括隨機訪問存儲器(RAM)的存儲器105及輸入/輸出(I/O)接口106�����。微指令碼�,如精簡指令集,也可以包括在平臺102中����。各種外圍組件130可以連接到計算機平臺102。一般提供的外圍組件130包括顯示器109�、存儲該優(yōu)選實施方式所使用數(shù)據(jù)及駐留蠕蟲資源簡檔205(見圖2)的外部數(shù)據(jù)存儲設(shè)備(如磁帶或磁盤)110,還有打印機111����。還可以包括鏈路112�,將系統(tǒng)100連接到一個或多個其它簡單示為塊113的類似計算機系統(tǒng)�。鏈路112用于在計算機100和113之間發(fā)送數(shù)字信息。鏈路112還可以提供對全球因特網(wǎng)113a的訪問���。操作系統(tǒng)(OS)114協(xié)調(diào)計算機系統(tǒng)100各種組件的運行����,還負責管理各種對象和文件�、用于記錄關(guān)于該對象和文件的特定信息���,如最后修改日期和時間�、文件長度等�����。以傳統(tǒng)方式與OS 114關(guān)聯(lián)的是注冊表114A及系統(tǒng)初始化文件(SYS_INIT_FILES)和其它文件����,如dll114B,其中注冊表114A的使用在下面描述�。位于OS 114之上的是包含例如編譯器、解釋器和其它軟件工具的軟件工具層114A��。層116中的解釋器、編譯器和其它工具運行在操作系統(tǒng)114之上����,并使得可以利用本領(lǐng)域已知的方法執(zhí)行程序。
計算機系統(tǒng)100一種合適且不限制的例子是IBMIntelliStationTM(國際商用機器公司的商標)���。合適的CPU例子是PentiumTMIII處理器(Intel公司的商標)���;操作系統(tǒng)的例子是微軟Windows 2000(微軟公司的商標)和GNU/Linux的Redhat build;解釋器和編譯器的例子是Perl解釋器和C++編譯器����。本領(lǐng)域技術(shù)人員應(yīng)當認識到對于上面提到這些,可以替換成其它計算機系統(tǒng)�����、操作系統(tǒng)和工具的例子����。
SAP或控制器101根據(jù)本發(fā)明的教義運行,確定從執(zhí)行可疑的惡意程序或不期望軟件實體���,在此通稱為樣本115��,得到的可能蠕蟲樣行為���。
SAP或控制器101一種目前優(yōu)選但不限制的實施方式利用一個或多個計算機用于實現(xiàn)在圖2中示出的控制器子系統(tǒng)或單元200和復(fù)制器子系統(tǒng)或單元201�。構(gòu)成控制器200一部分的蠕蟲樣行為分析器202利用一些目前存在的工具114A�,以確定可疑程序或樣本115使用的dll和導(dǎo)入。
圖2是本發(fā)明優(yōu)選實施方式中控制器單元200和復(fù)制器單元201的具體方框圖���,并示出了蠕蟲樣行為分析器202和該實施方式運行的環(huán)境�。該環(huán)境包括幾個計算系統(tǒng)��,一個是控制器200�,另一個是復(fù)制器201���。
應(yīng)當指出��,盡管在此單元201稱為復(fù)制器��,但其主要功能不是復(fù)制蠕蟲��,即提供蠕蟲另外的實例���。相反,其主要目的是創(chuàng)建一種系統(tǒng)環(huán)境�����,更精確地說是仿真系統(tǒng)環(huán)境��,其中以一種或多種途徑演習(xí)樣本115一次或多次����,從而確定樣本115適合且使系統(tǒng)環(huán)境狀態(tài)產(chǎn)生變化的行為��,并獲得樣本115在(仿真)系統(tǒng)環(huán)境中運行時活動的記錄或注冊��。系統(tǒng)狀態(tài)的任何變化及所執(zhí)行樣本115的活動注冊都同已知的與蠕蟲樣行為關(guān)聯(lián)的系統(tǒng)狀態(tài)變化和活動進行比較��,如果出現(xiàn)匹配����,則認為樣本115顯示蠕蟲樣行為。在這一點����,可能期望嘗試復(fù)制該可疑蠕蟲以活動其更多實例進行分析及后續(xù)識別。
對于本發(fā)明��,以多種“途徑”演習(xí)樣本115意味著通過不同的系統(tǒng)API(例如,系統(tǒng)和/或創(chuàng)建處理)運行該樣本出現(xiàn)一次或幾次��,如果程序有GUI���,還演習(xí)GUI��。以多種途徑演習(xí)樣本115還可以通過運行該樣本程序���,然后重新啟動系統(tǒng)并再次運行該程序來實現(xiàn)。這些技術(shù)并不是可以演習(xí)樣本115的全部“途徑”���。
蠕蟲樣行為分析器202包括在此也稱為靜態(tài)分析器或靜態(tài)確定單元的資源分析器203��,及在此也稱為動態(tài)分析器或動態(tài)確定單元的行為模式分析器204�。行為模式分析器204使用分別確定樣本115所需的動態(tài)鏈接庫114B列表及從動態(tài)鏈接庫114B導(dǎo)入的方法的工具206和207�����。能用于確定哪個動態(tài)鏈接庫114B是程序所需的工具206����、207的例子被認為是微軟DEPENDS.EXE��,在微軟系統(tǒng)期刊發(fā)行的于1997年2月由Matt Pietrek所寫的文章“Under the Hood”中描述,可以通過微軟開發(fā)者網(wǎng)絡(luò)活動�����。能用于確定樣本程序215導(dǎo)入的工具206��、207的例子被認為是DUMPBIN.EXE�����,它構(gòu)成微軟開發(fā)者StudioTM版本6.0的一部分��。其它用于執(zhí)行相同或類似功能的工具可以由本領(lǐng)域技術(shù)人員找到或?qū)懗觥?br>
資源分析器203(靜態(tài)確定)利用這些工具創(chuàng)建由可疑程序或樣本115所使用的資源簡檔����,并將結(jié)果與蠕蟲資源簡檔205的內(nèi)容進行比較。典型的蠕蟲資源簡檔205可以包括網(wǎng)絡(luò)dll 114B��,例如但不限于WSOCK32.DLL��、INETMIB1.DLL�、WINSOCK.DLL、MSWSOCK.DLL��、WININET.DLL���、MAPI32.DLL��、MAPI.DLL和WS2_32.DLL���,及表示使用OLE自動化的DLL��,如OLE32.DLL�����,還有從這些動態(tài)鏈接庫導(dǎo)入的方法列表���。這些導(dǎo)入的方法包括但不限于從WSOCK32.DLL導(dǎo)入的“send”、“sendto”和WSAsend方法����,從OLE32.DLL導(dǎo)入的CoCreateInstance和CoCreateInstanceEx方法,或者從USER32.DLL導(dǎo)入的DDEConnect方法���。
行為模式分析器204(動態(tài)確定)利用樣本115在復(fù)制器201上的運行結(jié)果創(chuàng)建可疑程序的行為簡檔,并將這些結(jié)果與蠕蟲行為簡檔208進行比較��。典型的蠕蟲行為簡檔208包括一系列對系統(tǒng)的改變和/或表示蠕蟲樣行為的對文件和注冊表訪問的企圖���。蠕蟲行為簡檔208列表可以包括但不限于以下元素(a)對一個或多個網(wǎng)絡(luò)dll的改變����,但不改變非網(wǎng)絡(luò)dll;(b)一個或多個帶VBS后綴的文件的創(chuàng)建���;(c)任何新文件的創(chuàng)建及將導(dǎo)致任何網(wǎng)絡(luò)dll被新文件代替的對系統(tǒng)初始化文件114B的相應(yīng)改變/創(chuàng)建�。這后一種情形的例子是Windows系統(tǒng)中Windows目錄下文件wininit.ini的創(chuàng)建��,其中所創(chuàng)建的wininit.int文件包含如“WSOCK32.DLL=SOME.FILE”的指令�,而SOME.FILE是由程序創(chuàng)建的新文件。蠕蟲行為簡檔208列表還可以包括(d)企圖訪問地址本或/和對應(yīng)于電子郵件程序位置的注冊表鍵值的記錄�����。
蠕蟲資源簡檔205和蠕蟲行為簡檔208優(yōu)選地本質(zhì)上都是靜態(tài)的��,優(yōu)選地在樣本115在復(fù)制器201上運行之前創(chuàng)建�����。
復(fù)制器201在上面所討論的行為模式分析操作之前被控制器200調(diào)用����。復(fù)制器201包括復(fù)制控制器(RC)209���、行為監(jiān)視器210及可選的網(wǎng)絡(luò)行為仿真器211。
網(wǎng)絡(luò)行為仿真器211與行為監(jiān)視器210一起運行�����,創(chuàng)建網(wǎng)絡(luò)樣行為的表象�����,從而得到樣本115確定的蠕蟲樣行為�����。例如���,當行為監(jiān)視器210檢測到樣本115對IP地址的請求時�����,網(wǎng)絡(luò)行為仿真器211就運行����,向樣本215提供錯誤的網(wǎng)絡(luò)地址,如錯誤的IP地址����。在這種情況下����,樣本115可能在顯示蠕蟲樣行為之前請求本地IP地址,以確定該系統(tǒng)是否具有網(wǎng)絡(luò)能力����,因此可以向樣本115提供本地IP地址,作為使樣本115顯示蠕蟲樣行為的誘餌�����。
以類似的方式�����,其中樣本115運行的環(huán)境可以建成顯示實際上不存在的系統(tǒng)資源和/或?qū)ο蟮拇嬖?��。例如�,樣?15可能請求關(guān)于特定文件的信息�,并且然后它可以有利于環(huán)境響應(yīng)請求信息,就好像該文件存在一樣,或者在它返回到樣本115之前創(chuàng)建該文件作為樣本顯示蠕蟲樣行為的誘餌����。即,已知的非網(wǎng)絡(luò)環(huán)境可以建成向程序顯示至少一種不存在的本地網(wǎng)絡(luò)相關(guān)資源和本地網(wǎng)絡(luò)相關(guān)對象��。
圖3和圖4說明了在控制器200和復(fù)制器201執(zhí)行過程中的總體控制流程�����。在圖3中�,樣本115首先在步驟301傳送到控制器200,然后控制器200在步驟302將樣本115傳送到資源分析器203��。資源分析器203在步驟303確定哪些動態(tài)鏈接庫114B是樣本115所訪問的��,并將被訪問的dll與蠕蟲資源簡檔205中的那些進行比較(步驟304)�����。
如果dll的使用與蠕蟲資源簡檔205匹配����,則在步驟305確定從這些dll導(dǎo)入的方法。如果這些方法與包含在蠕蟲資源簡檔205中的那些匹配(步驟306)��,則樣本115被歸為潛在的蠕蟲。如果dll的使用或?qū)氲姆椒ǘ疾慌c蠕蟲資源簡檔205匹配��,如在步驟304和306任一個中由No指示所指示的�����,則樣本被傳遞到圖4A所示的復(fù)制器201����,用于復(fù)制和后續(xù)行為模式確定�����。
圖4說明了通過復(fù)制器201(圖4A)和行為模式分析器(圖4B)的控制流程��。在復(fù)制環(huán)境在步驟401初始化以后����,樣本在步驟402發(fā)送到復(fù)制器201并在步驟403執(zhí)行。然后控制傳遞到行為模式分析器204(圖4B)����,在步驟404檢查對系統(tǒng)的任何改變,在步驟405比較檢測出的結(jié)果和蠕蟲行為簡檔208中的那些�。如果存在匹配,則樣本115被稱為潛在的蠕蟲,否則��,行為模式分析器204在步驟406分析由行為監(jiān)視器210報告的活動��,并在步驟407試圖匹配報告的樣本行為與蠕蟲行為簡檔208中列出的活動模式(蠕蟲樣行為模式)�。
如果在步驟404分析的對系統(tǒng)的改變或在步驟406由行為監(jiān)視器報告的活動包含任何在蠕蟲行為簡檔208中列出的模式,則樣本被歸為潛在的蠕蟲���,否則�,樣本115被歸為不是蠕蟲����。如果在步驟407歸為蠕蟲,則樣本115A可以提供給蠕蟲復(fù)制與分析系統(tǒng)�����,用于進一步特征化���。
上述方法可以在計算機可讀介質(zhì)���,如磁盤110,上體現(xiàn)����,用于實現(xiàn)自動確定懷疑具有蠕蟲樣特征的樣本程序115的行為簡檔�。計算機程序的執(zhí)行使得計算機100�����、200可以分析樣本程序115所需的計算機系統(tǒng)資源�,如果所需資源不表示樣本程序115具有蠕蟲樣特征,則計算機程序的進一步執(zhí)行使得計算機100����、200和201在受控的非網(wǎng)絡(luò)環(huán)境中運行程序���,同樣監(jiān)視并注冊對系統(tǒng)資源的訪問����,以確定程序在非網(wǎng)絡(luò)環(huán)境中的行為�����。計算機程序的進一步執(zhí)行可以使計算機向樣本程序仿真網(wǎng)絡(luò)的出現(xiàn)�,而不仿真網(wǎng)絡(luò)的操作。
應(yīng)當指出��,前面的描述意味著只有如果樣本的系統(tǒng)資源需求不表示潛在的蠕蟲(靜態(tài)確定),復(fù)制器201才運行(動態(tài)確定)�����。由于靜態(tài)確定處理一般比動態(tài)確定處理在計算方面便宜得多���,而且一般執(zhí)行得更快�����,因此目前的優(yōu)選實施方式是這種情況�����。但是�����,當潛在的蠕蟲由第一處理或子系統(tǒng)表示時���,兩個處理或子系統(tǒng)都執(zhí)行也是可能的,第二處理或子系統(tǒng)用于驗證第一處理或子系統(tǒng)的結(jié)果�����。還應(yīng)當指出,在有些情況下�,由于可能會產(chǎn)生錯誤的負面結(jié)果,因此不期望需要靜態(tài)和動態(tài)確定處理都得出關(guān)于特定樣本115蠕蟲樣本質(zhì)的相同結(jié)論����。因此,現(xiàn)在依賴靜態(tài)或動態(tài)處理中的一種宣布特定樣本是蠕蟲樣的是優(yōu)選的���,使得如果沒有指明蠕蟲樣行為����,則系統(tǒng)切換到作為潛在病毒來處理該樣本�。
如上面所指出的�����,對于由資源分析器203執(zhí)行的靜態(tài)確定(在仿真環(huán)境之外)通常比由行為模式分析器204執(zhí)行的動態(tài)確定能更快地處理樣本115���。
權(quán)利要求
1.一種用于自動確定程序的潛在蠕蟲樣行為的方法���,包括在不仿真網(wǎng)絡(luò)操作的環(huán)境中確定程序的行為簡檔;比較所確定的行為簡檔與表示蠕蟲樣行為的簡檔�;及基于比較的結(jié)果提供潛在蠕蟲樣行為的指示����。
2.如權(quán)利要求1所述的方法��,其中行為簡檔是通過確定程序需要什么系統(tǒng)資源來確定的��。
3.如權(quán)利要求1所述的方法�,其中行為簡檔是通過確定程序引用什么系統(tǒng)資源來確定的。
4.如權(quán)利要求1所述的方法���,其中行為簡檔的確定包括在至少一種已知的非網(wǎng)絡(luò)環(huán)境中執(zhí)行該程序�����,利用自動化方法檢查環(huán)境��,并且如果有變化的話就確定在環(huán)境中出現(xiàn)了什么變化��;及記錄任何所確定的變化作為所述行為簡檔�。
5.如權(quán)利要求4所述的方法�,其中已知的非網(wǎng)絡(luò)環(huán)境具有看起來能顯示與網(wǎng)絡(luò)相關(guān)的功能的能力。
6.如權(quán)利要求5所述的方法�,對企圖確定環(huán)境是否具有網(wǎng)絡(luò)功能的程序作出響應(yīng),向該程序提供網(wǎng)絡(luò)地址���,作為該程序顯示蠕蟲樣行為的誘餌�����。
7.如權(quán)利要求4所述的方法����,其中已知的非網(wǎng)絡(luò)環(huán)境向該程序顯示不存在的本地與網(wǎng)絡(luò)相關(guān)的資源和本地與網(wǎng)絡(luò)相關(guān)的對象中的至少一種。
8.如權(quán)利要求4所述的方法�,對企圖確定關(guān)于文件的信息的程序作出響應(yīng),作出該文件好像存在的響應(yīng)����,作為該程序顯示蠕蟲樣行為的誘餌。
9.如權(quán)利要求4所述的方法����,對企圖確定關(guān)于文件的信息的程序作出響應(yīng)�,在該文件返回該程序之前創(chuàng)建該文件,作為該程序顯示蠕蟲樣行為的誘餌����。
10.如權(quán)利要求4所述的方法,對企圖確定關(guān)于電子郵件程序的信息的程序作出響應(yīng)��,向該程序返回該信息,作為該程序顯示蠕蟲樣行為的誘餌����。
11.如權(quán)利要求4所述的方法,對企圖確定關(guān)于電子郵件地址本的信息的程序作出響應(yīng)�,向該程序返回該信息,作為該程序顯示蠕蟲樣行為的誘餌����。
12.如權(quán)利要求1所述的方法,其中確定程序的行為簡檔包括以多種方式演習(xí)該程序�。
13.如權(quán)利要求1所述的方法,其中確定程序的行為簡檔包括確定程序的動態(tài)鏈接庫使用���。
14.如權(quán)利要求1所述的方法����,其中確定程序的行為簡檔包括確定該程序從庫中導(dǎo)入的方法的身份���。
15.如權(quán)利要求1所述的方法����,其中確定程序的行為簡檔包括確定該程序請求什么資源。
16.如權(quán)利要求15所述的方法�,其中所述資源包括用于網(wǎng)絡(luò)訪問的動態(tài)鏈接庫、從表示可能企圖發(fā)送電子郵件的動態(tài)鏈接庫導(dǎo)入的方法及表示電子郵件程序自動化的動態(tài)鏈接庫和方法中的至少一種���。
17.如權(quán)利要求1所述的方法��,其中確定程序的行為簡檔包括確定該程序請求的系統(tǒng)資源是否與特定的預(yù)定系統(tǒng)資源匹配����,如果匹配����,則在受控環(huán)境中執(zhí)行該程序,確定該程序執(zhí)行過程中作出的系統(tǒng)變化是否與特定的預(yù)定系統(tǒng)變化匹配���,如果匹配���,則宣布該程序是可能的蠕蟲,如果不匹配��,則確定由程序行為監(jiān)視器報告的行為是否與特定的預(yù)定行為匹配��,如果匹配����,則宣布該程序是可能的蠕蟲。
18.數(shù)據(jù)處理系統(tǒng)����,包括至少一臺計算機,該至少一臺計算機用于執(zhí)行所存儲的程序����,來自動確定一種程序的潛在蠕蟲樣行為,該系統(tǒng)包括用于在不仿真網(wǎng)絡(luò)操作的環(huán)境中確定程序行為簡檔的裝置��;用于比較所確定的行為簡檔與表示蠕蟲樣行為的存儲簡檔的裝置���;及用于基于比較結(jié)果提供潛在蠕蟲樣行為的指示的裝置�����。
19.一種計算機程序產(chǎn)品�,包括當在具有非易失性存儲設(shè)備的數(shù)據(jù)處理系統(tǒng)上執(zhí)行時使所述系統(tǒng)執(zhí)行如權(quán)利要求1至17任何一項所述的方法的指令����。
全文摘要
用于自動確定懷疑具有蠕蟲樣特征的程序的行為簡檔的方法和系統(tǒng),包括分析該程序所需的數(shù)據(jù)處理系統(tǒng)資源���,如果所需資源不表示該程序具有蠕蟲樣特征�,則在受控的非網(wǎng)絡(luò)環(huán)境中運行該程序,同時監(jiān)視并注冊對系統(tǒng)資源的訪問�,從而確定該程序在非網(wǎng)絡(luò)環(huán)境中的行為。分析所觀察行為的日志記錄���,確定該行為是否表示程序具有蠕蟲樣特征��。該非網(wǎng)絡(luò)環(huán)境可以向程序仿真網(wǎng)絡(luò)的表象�����,但不仿真網(wǎng)絡(luò)的操作�。
文檔編號G06F21/22GK1672111SQ03817429
公開日2005年9月21日 申請日期2003年7月17日 優(yōu)先權(quán)日2002年7月23日
發(fā)明者威廉·卡里斯利·阿諾爾德, 戴維·邁克爾·切斯, 約翰·弗雷德里克·莫拉爾, 阿拉·西格爾, 伊恩·尼古拉斯·沃利, 斯蒂夫·理查德·懷特 申請人:國際商業(yè)機器公司