DLL模块可能潜在地变成威胁。在这种情况下,终端主机130可以使用一个或多个试探算法来判断特定的DLL模块是否被感染。
[0066]在另一场景下,当网络安全设备150不能获取威胁情报声誉分值(例如,威胁情报服务器停机),并且最初在404处端点声誉分值未与元数据一起发送,则动作信息可以指示TI声誉分值是未知的。在这种情况下,终端主机130可以使用一个或多个试探算法来判断一个或多个DLL模块是否对于与网络通信量相关联的特定的应用是否是合适/所需的。
[0067]如果终端主机130确定了DLL模块被感染或以其他方式成为威胁,则终端主机130可以将端点声誉分值分配给此应用,此端点声誉分值指示,基于由进程调用的一个或多个DLL模块,此应用已被分类为“恶意的”。在至少一个实施例中,端点声誉分值可以是根据试探算法来表示应用和/或DLL模块的恶意或关键性程度的数值。在416处,终端主机130可以将端点声誉分值连同应用和DLL模块的散列一起发送到网络安全设备150。
[0068]在418处,网络安全设备150可以使用此端点声誉分值以基于例如来自本地网络策略服务器154的本地网络策略来确定将采取的动作。策略可以设置应用的端点声誉分值的特定阈值极限。可以基于特定的阈值极限和正在被评估的实际的端点声誉分值来确定动作。
[0069]在420处,网络安全设备150可以将响应发送到终端主机130。响应可包括应用和/或DLL模块的散列(或多个散列)以及指示将采取的动作的新动作信息。动作可包括但不仅限于,阻止此应用、阻止一个或多个DLL模块、允许此应用、隔离此应用、隔离一个或多个DLL模块、阻止正在进行的通信量,等等。如果基于端点声誉分值策略违反已发生,并且将采取的动作是阻止动作,则网络安全设备150可以例如经由动作信息来通知终端主机130创建基于应用散列来阻止应用进行未来的网络连接,或基于一个或多个DLL模块的散列来阻止这一个或多个DLL模块的规则。终端主机130可以根据来自网络安全设备150的动作信息来创建阻止特定的应用或DLL模块的规则。
[0070]如果网络安全设备150是带外设备,则网络安全设备150也可以例如经由新动作信息来通知终端主机130,基于连接信息的元组和应用散列来阻止正在进行的通信量。然而,如果网络安全设备150是直联式设备,则它可能不一定通知终端主机130丢弃正在进行的通信量,因为网络安全设备150自身可以基于连接信息的元组来丢弃正在进行的通信量。
[0071]网络安全设备150也可以发出警告以通知网络管理员,哪个终端主机上的哪个应用和/或DLL模块已发起特定的网络连接。可以在警告中连同其他所期望的元数据一起来提供发送到终端主机130的端点声誉分值和/或新动作信息。此信息可以帮助管理员立即准确定位被感染的应用、进程和/或DLL模块。
[0072]转向图5,简化的交互图示示出根据至少一个实施例的、可在计算系统100中在终端主机130、网络安全设备150与威胁情报服务器170之间发生的可能的通信的一种场景。图5的情况示出当终端主机130上的应用正在尝试将恶意软件下载到终端主机130上时此应用被阻止时可能发生的潜在的交互和活动。在至少一个实施例中,端点情报代理132可以执行与终端主机130相关联的一个或多个交互和活动,而端点情报服务器152可以执行与网络安全设备150相关联的一个或多个交互和活动。图5的示例仅是潜在的交互的示例,并且不限制权利要求的范围。例如,模块的数量可以变化,组件的数量可以变化,特定的交互可以变化,交互的顺序可以变化,等等。
[0073]在图5的502、508、506、508和510处指示的交互和活动总体上与参照302、304、306、308和310示出并描述的图3的交互和活动相同。相应地,可以参照在图3的302、304、306、308和310处指示的交互和活动的描述和说明来理解在图5的502、504、506、508和510处指示的交互和活动。
[0074]在512处,网络安全设备150可以将响应发送到终端主机130。响应可包括TI声誉分值(或多分值)、对应的散列(或多个散列)以及指示将采取的动作的动作信息。在图5的示例场景下,应用和任何DLL模块不违反任何策略。相应地,在512处被发送到终端主机130的动作信息指示,将采取的动作是允许由与应用和DLL模块(如果有)相关联的进程建立的网络会话继续。
[0075]在网络会话期间,网络设备150可以将来自从终端主机130接收到的元数据的连接信息的元组关联至它接收到的网络通信量。这使网络设备150能够标识与此网络通信量相关联的终端主机和应用。网络设备150也可以配置成对此网络通信量执行任何恶意软件检测功能(例如,病毒扫描、入侵保护技术,等等)。相应地,在514处,网络设备150可以检测正在进行的会话的网络通信量中的恶意软件。网络通信量可以与连接信息的元组相关联,从而允许标识与此网络通信量相关联的终端主机130和特定的应用。
[0076]在516处,网络安全设备150可以基于检测到的恶意软件和例如来自本地网络策略服务器154的本地网络策略来确定将采取的动作。取决于发生什么类型的恶意软件检测,策略可以设置将采取的特定动作。
[0077]在518处,网络安全设备150可以将响应发送到终端主机130。响应可包括应用和/或DLL模块(如果有)的散列(或多个散列)以及指示将采取的动作的新动作信息。如果基于由网络安全设备150检测到的恶意软件发生了策略违反,并且将采取的动作是阻止动作,则网络安全设备150可以例如经由动作信息以通知终端主机130创建基于应用散列来阻止此应用进行未来网络连接,或基于一个或多个DLL模块散列来阻止这一个或多个DLL模块的规贝1J。终端主机130可以根据来自网络安全设备150的动作信息来创建阻止特定的应用或DLL模块的规则。
[0078]如果网络安全设备150是带外设备,则网络安全设备150也可以例如经由新动作信息以通知终端主机130基于连接信息的元组和应用散列来阻止正在进行的通信量。然而,如果网络安全设备150是直联式设备,则它可能不一定通知终端主机130丢弃正在进行的通信量,因为网络安全设备150自身可以基于连接信息的元组来丢弃正在进行的通信量。网络安全设备150也可以发出警告以通知网络管理员关于检测到的恶意软件和/或发送到终端主机130的新动作信息的情况。
[0079]图6A-6B示出流程600的简化流程图,流程600示出根据实施例的、与在计算系统100中的终端主机上阻止恶意应用相关联的活动。一组操作可以对应于图6A-6B的活动。在实施例中,终端主机130的端点情报代理132可以执行这些操作中的至少一些操作。
[0080]最初,对应于终端主机130上的应用(例如,应用133中的应用)的进程可例如通过启动web浏览器来触发网络通信量。在602处,终端主机130可以拦截访问网络的尝试(例如,将电子邮件消息发送到目的地节点的尝试,连接到目的地节点以下载文件的尝试,通过打开web浏览器、经由因特网而访问远程节点(例如,web服务器)的尝试,等等)。连接可以保持不导致会话超时的一段时间。
[0081]在604处,当连接正在被保持时,终端主机130可以尝试确定应用的端点声誉分值。终端主机130可以执行一个或多个试探算法以确定合适的端点声誉分值。在至少一个实施例中,可以使用试探算法来判断一个或多个DLL模块对于与网络通信量相关联的特定的应用是否是合适的和/或所需的。具体而言,可以判断正在被调用的DLL模块是否与其他应用或与系统DLL模块相关。例如,操作系统DLL模块的使用可以指示,应用正在尝试进行未授权的修改或尝试经由网络连接来与其他设备进行通信。
[0082]如果成功地计算出端点声誉分值,则可以在合适的情况下应用本地配置的策略。例如,对于某些端点声誉分值(例如,指示某种程度的恶意),可以配置本地主机策略(例如,在主机策略服务器140中)供阻止当前的网络访问请求并阻止应用进行任何未来的网络连接。本地主机策略也可以或替代地可以阻止与此应用相关联的一个或多个DLL模块。当网络安全设备150不可由终端主机130访问或不可以其他方式由终端主机130达到时,本地主机策略应用可以是特别有利的。
[0083]如本文中先前所述,在606处,终端主机130将与终端主机130上的进程和网络访问尝试相关联的元数据发送到网络安全设备150。元数据包括连接信息的元组、与进程相关联的应用的散列以及由进程加载的动态链接库模块(如果有)的散列。元数据还可以包括下列各项中的一项或多项:安全标识符(SID)、用户名/标识符、域、应用名称和文件路径(AppPath)、端点应用声誉(AppReputat1n)、动态链接库(DLL)声誉(DLLReputat1n)、应用类别、进程名称、父进程名称等等。如果在604成功地计算出了端点声誉分值(MD5ConfidenceScore),则也可以将它包括在元数据中。此外,如果端点声誉分值被成功地计算出,并且导致根据本地主机策略采取了动作(例如,阻止或隔离应用和/或DLL模块),则也可以将采取的特定动作报告给网络安全设备150。
[0084]如果由网络安全设备150在先前的网络访问尝试期间确定了应用的TI声誉分值,则终端主机130先前可能接收到此TI声誉分值,此分值可以被高速缓存或以其他方式可以由终端主机130访问。如果用于高速缓存TI声誉分值的预定的时间段还未期满,则终端主机130可以将经高速缓存的TI声誉分值添加到元数据中,以发送到网络安全设备150。然而,如果预定的时间段已经期满,则可能无法将经高速缓存的TI声誉分值发送到网络安全设备150。在这种情况下,在608处,终端主机130可以从网络安全设备150请求应用的新TI声誉分值(以及任何相关联的DLL模块的TI分值)。在至少一个实施例中,此请求可与将元数据发送到网络安全设备150整合。例如,如果在元数据中什么都没有接收到,则网络安全设备150可以配置成获取新TI声誉分值。
[0085]在610处,终端主机130可以释放连接,并且发起与所期望的目的地节点之间的网络会话。可以发起会话以避免终端主机130上的会话超时。在612处,终端主机130接收TI声誉分值和应用的散列。终端主机130也可以接收TI声誉分值和DLL模块(如果有)的散列。在614处,终端主机130确定由接收到的动作信息指示的将采取的动作。终端主机130也可以高速缓存应用和DLL模块(如果有)的TI声誉分值,并且重新启动用于评估允许用于高速缓存TI声誉分值的预定的时间段的定时器。
[0086]如果如在616处所指示将采取的动作是允许动作,则如在618处所指示,终端主机103允许所建立的网络会话继续。如果如在620处所指示,网络会话在没有检测到任何恶意软件的情况下网结束,则流程600结束。
[0087]然而,如在620处所指示,在网络会话期间,可能在至少两个不同的场景中检测到恶意软件。首先,可以例如在网络会话中在网络安全设备150处接收到的正在进行的网络通信量中检测到恶意软件。如果在网络安全设备150处检测到恶意软件,则在622处,终端主机130从网络安全设备150接收包括新动作信息和应用的散列(以及可能的DLL模块(如果有)的散列)的响应。
[0088]在第二场景中,由正在执行的进程加载的一个或多个DLL模块可以被确定为是恶意的。终端主机130可以使用一个或多个试探算法来判断特定的DLL模块是否是恶意的。例如,试探算法可以评估DLL模块是否感染了恶意软件,或DLL模块对于与网络会话相关联的特定的应用是否是合适的和/或所需的。如果终端主机130确定了DLL模块是恶意的,则在624,终端主机130可以将此应用分类为恶意的,并且将基于此恶意的DLL模块的端点声誉分值分配给应用。
[0089]在至少一个实施例中,当端点声誉分值已被分配给终端主机130上的应用时,可配置(例如,在主机策略服务器140中)本地主机策略,供阻止网络会话的正在进行的网络通信量和/或阻止由应用作出的未来的网络连接。可以基于本地主机策略的阈值极限与端点声誉分值的比较来确定此类动作。当网络安全设备150无法由终端主机130访问或无法以其他方式由终端主机130达到,并且在612处没有在响应中接收到TI声誉分值时,本地主机策略应用可以是特别有利的。
[0090]在626处,终端主机130可以将端点声誉分值和应用的散列发送到网络安全设备150。此外,如果端点声誉分值导致根据本地主机策略而在终端主机130上采取了动作(例如,阻止或隔离应用和/或DLL模块),则也可以采取的特定动作报告给网路安全设备150。在628处,终端主机130接收包括新动作信息的响应,此新动作信息指示将采取的动作以及动作应用于的应用或DLL模块的散列(或多个散列)。可以由网络安全设备150基于端点声誉分值、本地网络策略以及可能的是否基于终端主机的本地主机策略而已在此终端主机上采取了动作来确定将采取的动作。
[0091]一旦终端主机130在622或628处接收到新动作信息,或如果在先前在612处接收到的动作信息中指示的动作不是允许动作(如在616处所指示),则流程可以转到630。在630处,如果网络安全设备150是带外的,则终端主机130可以接收阻止网络会话的正在进行的通信的通知。可以例如从新动作信息(例如,622,628)或从来自网络安全设备150的响应中的第一动作信息(例如,612)接收此通知。在其他实施例中,此通知可以与响应分开地发送。在632处,如果接收到阻止正在进行的通信的通知,则终端主机130阻止网络会话的正在进行的通信。
[0092]在634处,终端主机130可以基于在来自网络安全设备150的最近的响应中接收到的特定的动作信息和散列(或多个散列)来创建规则。例如,如果动作信息指示了阻止动作,则可创建阻止应用或一个或多个DLL模块从终端主机130进行未来的网络连接的规则。在至少一个实施例中,阻止应用或DLL模块的规则可以配置成基于应用或DLL模块的散列来防止此应用或DLL模块执行。在另一示例中,如果动作信息指示了隔离动作,则可创建隔离应用或DLL模块的规则。在至少一个实施例中,隔离应用或DLL模块的规则可以配置成基于接收到的散列来允许应用或DLL模块执行,但防止此应用或DLL模块建立网络会话。此外,当与指示了将对多个DLL模块采取的动作的动作信息一起接收到多个散列时,在一些实例中,可以为多个DLL模块创建这些规则。此外,当应用被阻止时,也连同此应用一起来防止其相关联的DLL模块执行。当应用被隔离时,此应用的相关联的DLL模块当由从此应用调用的进程加载时也被隔离。在又一实施例中,本地网络策略可以配置成即使策略被违反(例如,差的TI声誉分值、差的端点声誉分值、检测到恶意软件)也允许应用。在这些场景中,假定策略不变化,则应用不被阻止也不被隔离,并切被允许建立未来的网络连接。
[0093]图7A-7B示出流程700的简化流程图,流程700示出根据实施例的与在计算系统100中的终端主机上阻止恶意应用相关联的活动。一组操作可以对应于图7A-7B的活动。在实施例中,网络安全设备150的端点情报服务器152可以执行这些操作中的至少一些操作。
[0094]在702处,网络安全设备150接收与在终端主机130上发起网络访问尝试的进程相关联的元数据。此进程是终端主机130上的正在执行的应用(例如,应用133中的应用)的一个实例。元数据可包括与网络访问尝试相关的信息,诸如,连接信息的元组。元数据也可以包括与对应的应用相关的信息,诸如,应用的散列以及由进程加载的动态链接库模块(如果有)的散列。元数据还可以包括下列各项中的一项或多项:安全标识符(SID)、用户名/标识符、域、应用名称和文件路径(AppPath)、端点应用声誉(AppReputat1n)、动态链接库(DLL)声誉(DLLReputat1n)、应用类别、进程名称、父进程名称,等等。如果终端主机130成功地计算出端点声誉分值(105&3]1;^(161^63(30^),则此端点声誉分值也可被包括在元数据中。
[0095]在704处,作出关于是否由终端主机130请求了TI声誉分值的判断。当先前未由网络安全设备150为终端主机130确定TI声誉分值中的任何一个时,可以请求应用以及其DLL模块的TI声誉分值。当用于高速缓存TI声誉分值的预定的时间段已期满时,也可以请求TI声誉分值。在至少一个实施例中,可以通过不将TI声誉分值包括在发送到网络安全设备150的元数据中来请求它们。
[0096]如果未由终端主机130请求TI声誉分值,则在712处,可以从元数据中检索TI分值。然而,TI声誉分值被请求,则在706处,网络安全设备150基于应用的散列来向本地威胁情报服务器170查询此应用的TI声誉分值。网络安全设备150也可以基于DLL模块(如果有)的散列来向本地威胁情报服务器170查询此DLL模块的TI声誉分值。取决于特定的实现,对应用和一个或多个DLL模块的TI声誉分值的查询和响应可以是组合的或分开的。如果本地威胁情报服务器170不能提供TI声誉分值(例如,散列未知,或服务器不可用),则在至少一个实施例中,网络安全设备150或威胁情报服务器170可以查询另一源(诸如,云威胁情报服务器120)。
[0097]如果在708处确定了未从本地威胁情报服务器170(或从任何其他源)接收到TI声誉分值或多个分值,则在710处,可以从元数据中检索端点声誉分值(如果可用)。在获取了一个或多个TI声誉分值或端点声誉分值之后,随后在714处,网络安全设备150可以使用特定的声誉分值(或多个分值)以基于本地网络策略来确定将采取的动作。可以基于对应于正在被评估的特定的声誉分值或分值的组合的应用(或DLL模块)的散列,例如在本地网络策略服务器154中标识策略。为了评估TI声誉分值,策略可以为应用、每一个DLL模块或它们的任何所需的组合的TI声誉分值设置特定的阈值极限。为了评估端点声誉分值,策略可以为端点声誉分值设置特定的阈值极限。可以基于此特定的阈值极限和正在被评估的实际的TI声誉分值或端点声誉分值来确定动作。例如,当TI声誉分值(或端点声誉分值)表示由策略作为应用的阈值极限而设置的至少某种程度的恶意时,可以为应用选择阻止动作。在另一个示例中,当TI声誉分值(或端点声誉分值)不表示由策略作为应用的阈值极限而设置的某种程度的恶意时,可以选择允许动作。
[0098]在至少一个实施例中,特定的应用或DLL模块的管理员白名单或黑名单分类可优先于TI声誉分值或端点声誉分值。例如,可以作出关于应用或DLL模块的散列是否在管理员白名单或黑名单上的校验。如果在管理员白名单上发现应用或DLL模块的散列,则特定的应用或DLL模块可以被分类(为例如,白、良性、好的,安全的,等等)以指示已知它无恶意软件。在此实例中,可允许白名单应用或DLL模块运行,无论其声誉分值如何。然而,如果在管理员黑名单上发现应用或DLL模块的散列,则此应用或DLL模块可以被分类(为例如,黑、差的、恶意等等)以指示它是已知的恶意软件。在此实例中,可阻止黑名单应用或DLL模块,而无论其声誉分值如何。此外,如果基于管理员黑名单,DLL模块被分类为恶意的,则在至少一些实施例中,其相关联的应用也可以被分类为恶意的。可以将动作信息发送到终端主机130,并且流程可以转到718。
[0099]在716处,网络安全设备150可以将响应发送到终端主机