本申請的各實施方式涉及基于行為增量標識躲避的惡意對象。一種安全設備可以接收與對象相關聯的實際行為信息。實際行為信息可以標識與在真實環境中執行對象相關聯的第一行為集合。安全設備確定與對象相關聯的測試行為信息。測試行為信息可以標識與在測試環境中測試對象相關聯的第二行為集合。安全設備可以比較第一行為集合和第二行為集合以確定在第一行為集合和第二行為集合之間的差別。安全設備可以基于在第一行為集合和第二行為集合之間的差別標識對象是否為躲避的惡意對象。安全設備可以提供對象是否為躲避的惡意對象的指示。

分案申請說明

本申請是申請日為2015年3月27日、申請號為201510142620.3、名稱為“基于行為增量標識躲避的惡意對象”的中國發明專利申請的分案申請。

技術領域

本發明涉及基于行為增量標識躲避的(evasive)惡意對象。

背景技術

安全設備可以被放置在用戶設備和服務器設備(例如，與網站相關聯的服務器設備)之間。安全設備可以被配置為檢測(例如，使用URL名譽、黑名單、反病毒掃描、反惡意軟件技術等)由服務器設備提供的惡意對象(例如，木馬、蠕蟲、間諜程序、包含漏洞利用的文件等)，并且可以被配置為阻止惡意對象被用戶設備接收。

發明內容

根據一些可能的實現方式，一種安全設備可以包括一個或者多個處理器以：接收與對象相關聯的實際行為信息，其中實際行為信息可以標識與在真實環境(liveenvironment)中執行對象相關聯的第一行為集合；確定與對象相關聯的測試行為信息，其中測試行為信息可以標識與在測試環境中測試對象相關聯的第二行為集合；比較第一行為集合和第二行為集合以確定在第一行為集合和第二行為集合之間的差別；基于在第一行為集合和第二行為集合之間的差別標識對象是否為躲避的惡意對象；以及提供對象是否為躲避的惡意對象的指示。

根據一些可能的實現方式，一種計算機可讀介質可以存儲一條或者多條指令，該一條或者多條指令當由一個或者多個處理器執行時，致使該一個或者多個處理器：確定與對象相關聯的測試行為信息，其中測試行為信息可以標識與在測試環境中測試對象相關聯的測試行為集合；獲得與對象相關聯的實際行為信息，其中實際行為信息可以標識與在真實環境中執行或者安裝對象相關聯的實際行為集合；比較實際行為集合和測試行為集合以確定在實際行為集合和測試行為集合之間的差別；基于在實際行為集合和測試行為集合之間的差別確定對象是否為躲避的惡意對象；以及提供指示對象是否為躲避的惡意對象的信息。

根據一些可能的實現方式，一種方法可以包括：由安全設備接收與對象相關聯的實際行為信息，其中實際行為信息可以標識與在用戶設備上執行對象相關聯的第一行為組；由安全設備確定與對象相關聯的測試行為信息，其中測試行為信息可以標識與在用戶設備上測試對象相關聯的第二行為組；由安全設備確定在第一行為組和第二行為組之間的差別；由安全設備基于在第一行為組和第二行為組之間的差別將對象標識為躲避的惡意對象；以及由安全設備提供與將對象標識為躲避的惡意對象相關聯的信息。

附圖說明

圖1是在此描述的示例實現方式的概述的示圖；

圖2是在其中可以實現在此描述的系統和/或方法的示例環境的示圖；

圖3是圖2的一個或者多個設備的示例組件的示圖；

圖4是用于確定與對象相關聯的測試行為信息以及存儲與對象相關聯的測試行為信息的示例過程的流程圖；

圖5是與在圖4中所示的示例過程有關的示例實現方式的示圖；

圖6是用于確定與對象相關聯的實際行為信息以及提供實際行為信息的示例過程的流程圖；

圖7是與在圖6中所示的示例過程有關的示例實現方式的示圖；