用于行为沙箱化的系统和方法技术方案

技术编号:7901715 阅读:225 留言:0更新日期:2012-10-23 13:35
描述了行为沙箱化的方法和系统。在一个实施例中,用于行为沙箱化的系统可以包括网络和计算机。网络通信地耦合于可执行的应用的源。计算机通信地耦合于该网络并且包括行为分析模块和多个执行环境。该行为分析模块被配置为对经由该网络下载的可执行的应用执行行为分析。多个执行环境包括标准执行环境和受保护的执行环境。该行为分析模块被配置为在该可执行的应用的执行之前评估该可执行的应用的多个行为特性,以确定是否应该在该受保护的执行环境之内执行该可执行的应用。该行为分析模块还监视该可执行的应用的执行以确定是否能够改变执行环境。

【技术实现步骤摘要】
【国外来华专利技术】
各种实施例一般涉及计算机安全的领域,且特别地但并非限制地,涉及用于可执行的应用的行为沙箱化(sandboxing)的系统和方法。
技术介绍
增长的对互联网的访问具有增加了不经用户通知同意就抓取用户个人信息(“Spyware”)或不经用户知晓或通知同意就破坏计算机(“Malware”)的软件程序的范围的非预期影响。此外,小作坊产业已经出现在当使用应用的时候自动下载并显示广告的软件中。这种程序,当安装在用户的计算机上时,可以窃听该用户,收集敏感信息并且在一些情况下控制该用户的计算机。在一些情况下,这些软件程序发送消息出去给其它计算机或服务器,提供用于潜在敏感信息的传递的管道。通过使用插入式组件或其它对诸如浏览器之类的应用的附加类型扩展,软件应用也逐渐变得片段化。互联网为这些附加组件提供了极好的分布机制。然而,即使不是不可能,也很难从这些附加组件的不可信源确定是可信的。另外,普通用户可能请求、下载且安装附加组件,而甚至不知道他们正在做这件事。
技术实现思路
除了其他方面以外,本专利技术人已经认识到对分析所下载的应用和组件、在操作期间监视该应用和组件并防止任何可疑操作危害主机系统的系统和方法的需要。示例I描述了可以包括一系统的主题。该系统可以包含通信地耦合于可执行的应用的源的网络。可以包括计算机,且可以配置计算机经由网络通信。计算机可以包括行为分析模块和多个执行环境。可以配置行为分析模块对经由网络下载的可执行的应用执行行为分析。多个执行环境可以包括标准执行环境和受保护的执行环境。可以配置受保护的执行环境以提供保护计算机不受由可执行的应用执行的恶意操作的危害的自包含的执行环境。行为分析模块可以评估可执行的应用的多个行为特性,以确定是否应该在受保护的执行环境之内在可执行的应用执行之前执行可执行的应用。另外,行为分析可以监视可执行的应用的执行以确定是否可以改变执行环境。在示例2中,示例I的主题可以可选地包括被配置为评估与可执行的应用有关的特性的行为分析模块。特性可以提供关于是否可以信赖可执行的应用的源的指示。在示例3中,示例1-2中的任何一个的主题可以可选地包括行为分析模块,被配置为评估与可执行的应用有关的包括以下两个或更多个的多个特性从其接收可执行的应用的网络地址;请求可执行的应用的进程的信赖级别;来自可信源的签名证书;以及可疑的或策略活动以外的先前性能。在示例4中,示例1-3中的任何一个的主题可以可选地包括被配置为在可执行的应用的执行之前分析可执行的应用将在其上操作的资源的行为分析模块。在示例5中,示例1-4中的任何一个的主题可以可选地包括被配置为确定受保护的执行环境将使用的来控制可执行的应用执行的限制范围的行为分析模块。 在示例6中,示例1-5中的任何一个的主题可以可选地包括被配置为确定在受保护的执行环境之内应该包含什么类型的活动的行为分析模块。在示例7中,示例1-6中的任何一个的主题可以可选地包括被配置为在确定沙箱环境使用的限制范围时应用安全策略的行为分析模块。在示例8中,示例1-7中的任何一个的主题可以可选地包括被配置为对于在受保护的执行环境之内由可执行的应用执行的操作确定处置的行为分析模块。在示例9中,示例1-8中的任何一个的主题可以可选地包括被配置为检测潜在恶意的活动的行为分析模块,潜在恶意的活动包括打开资源文件;加载插件;由其它进程操纵;操纵其它进程;以及访问互联网。在示例10中,示例1-9中的任何一个的主题可以可选地包括被配置为在评估可执行的应用的多个行为特性来确定是否应该在受保护的执行环境之内执行可执行的应用时应用安全策略的行为分析模块。在示例11中,示例1-10中的任何一个的主题可以可选地包括被配置为确定将要在受保护的执行环境之内执行的可执行的应用的一部分的行为分析模块。在示例12中,示例1-11中的任何一个的主题可以可选地包括被配置为确定可执行的应用的一部分的行为分析模块,其中该部分可以包括纤程,线程,进程,动态链接库,脚本或插件组件,等等。在示例13中,可以可选地配置或执行示例1-12中的任何一个的主题,以使得可以经由网络连接接收可执行的应用。可以在可执行的应用执行之前对可执行的应用执行行为分析。执行环境可以确定为行为分析的函数。可执行的应用可以在沙箱(受保护的)执行环境之内启动,如果行为分析如此指示的话。替代地,如果行为分析指示可执行的应用在受保护的环境之外执行是安全的,则可执行的应用可以在第一执行环境之内启动(执行)。在可执行的应用的执行期间实时地收集可执行的应用的行为特性并执行行为分析,以确定在执行期间是否可以改变执行位置(环境)。在示例14中,可以可选地配置或执行示例1-13中的任何一个的主题,以使得可以在可执行的应用的执行之前执行行为分析并且行为分析可以包括评估与可执行的应用有关的提供关于可执行的应用的起源的指示的一个或更多个特性。在示例15中,可以可选地配置或执行示例1-14中的任何一个的主题,以使得可以在可执行的应用的执行之前执行行为分析,并且行为分析可以包括可执行的应用将在其上操作的资源的分析。在示例16中,可以可选地配置或执行示例1-15中的任何一个的主题,以使得行为分析可以包括评估一个或更多个特性,包括从其中接收可执行的应用的网络地址,请求可执行的应用的进程的信 赖级别,来自可信源的签名证书(与可执行的应用有关),以及可疑的或策略活动以外的先前性能。在示例17中,可以可选地配置或执行示例1-16中的任何一个的主题,以使得在沙箱(受保护的)执行环境之内启动可执行的应用的执行包括在可执行的应用的执行之前确定应用于沙箱(受保护的)执行环境的限制范围。在示例18中,可以可选地配置或执行示例1-17中的任何一个的主题,以使得确定执行环境的限制范围可以包括确定什么类型的活动应该包含在沙箱(受保护的)执行环境之内。在示例19中,可以可选地配置或执行示例1-18中的任何一个的主题,以使得确定执行环境的限制范围可以包括确定对于在沙箱(受保护的)执行环境之内由可执行的应用执行的操作的处置。在示例20中,可以可选地配置或执行示例1-19中的任何一个的主题,以使得收集动态特性可以包括检测潜在恶意的活动,潜在恶意的活动包括打开资源文件,加载插件,由其它进程操纵,操纵其它进程和访问互联网。在示例21中,可以可选地配置或执行示例1-20中的任何一个的主题,以使得确定在其中执行可执行的应用的执行环境可以包括应用安全策略。在示例22中,可以可选地配置或执行示例1-21中的任何一个的主题,以使得确定在其中执行可执行的应用的执行环境可以包括确定将在沙箱执行环境之内执行的可执行的应用的一部分。在示例23中,可以可选地配置或执行任何一个示例1-22中的任何一个的主题,以使得确定在其中执行可执行的应用的执行环境可以包括确定将在沙箱执行环境之内执行的可执行的应用的一部分,其中一部分可以包括纤程,进程,动态链接库,脚本或插件组件。在示例24中可以包括,或者可以可选地与示例1-23中的任何一个中组合以包括,机器可读(计算机可读)介质。机器可读介质可以包括当由计算机执行时致使计算机执行以下操作的指令,包括经由网络连接接收可执行的应用;在可执行的应用的执行之前对可执行的应用执行行为分析;在执行行为分析的基础上,确本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员:G·W·达尔彻J·D·特帝
申请(专利权)人:迈克菲股份有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1