[发明专利]检测并阻止网络上早期传送的恶意文件

说明书

本公开的实施例涉及检测并阻止网络上早期传送的恶意文件。设备可以接收与网络设备的网络相关联的恶意文件，并且可以标识与恶意文件相关联的文件类型和文件特性。设备可以基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则，并且可以将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名。设备可以向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名。部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。

技术领域

本公开的实施例涉及网络安全领域，更具体地涉及应对网络攻击和恶意文件。

背景技术

标识恶意行为(例如，网络攻击、恶意软件等)对于网络安全小组通常是耗时的过程。存在许多尝试引诱或捕捉不良行为者(例如，网络入侵者)暴露他们自身的产品，并且这些产品触发来自网络的各种行为(例如，阻止网络入侵者、停止恶意软件和/或网络攻击等)。

发明内容

本文所描述的一些实现涉及一种方法。该方法可以包括接收与网络设备的网络相关联的恶意文件，并且标识与该恶意文件相关联的文件类型和文件特性。该方法可以包括基于与恶意文件相关联的文件类型和文件特性确定应用于恶意文件的一个或多个规则，并且将一个或多个规则应用于恶意文件，以生成针对恶意文件的部分文件签名。该方法可以包括向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名，其中部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。

本文所描述的一些实现涉及设备。该设备可以包括一个或多个存储器和一个或多个处理器。该一个或多个处理器可以被配置为接收由与网络设备的网络相关联的遭破解的(compromised)终端设备生成的恶意文件，并且标识与恶意文件相关联的文件类型和文件特性。一个或多个处理器可以被配置为基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则，并且将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名。一个或多个处理器可以被配置为向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名，其中部分文件签名可以使网络设备中的一个或多个网络设备阻止恶意文件。

本文所描述的一些实现涉及存储针对设备的指令集的非瞬态计算机可读介质。当(例如，其中“当”意味着“如果”或“在其中”并且不意味着“同时”)指令集由设备的一个或多个处理器执行时，指令集可以使设备接收与网络设备的网络相关联的恶意文件，并且标识与恶意文件相关联的文件类型和文件特性。当指令集被设备的一个或多个处理器执行时，指令集可以使设备基于与恶意文件相关联的文件类型和文件特性来确定应用于恶意文件的一个或多个规则，并且将一个或多个规则应用于恶意文件以生成针对恶意文件的部分文件签名。当指令集被设备的一个或多个处理器执行时，指令集可以使设备向网络的网络设备中的一个或多个网络设备提供针对恶意文件的部分文件签名，其中部分文件签名使网络设备中的一个或多个网络设备阻止恶意文件，并且传送除了恶意文件之外的文件。

附图说明

图1A-图1F是与检测并阻止网络上早期传送的恶意文件相关联的示例的示图。

图2是其中本文所描述的系统和/或方法可以被实现的示例环境的示图。

图3和图4是图2的一个或多个设备的示例组件的示图。

图5是用于检测并且阻止网络上早期传送的恶意文件的示例过程的流程图。

具体实施方式

示例参考附图实现以下具体实施方式。不同附图中相同的附图标记可以标识相同或相似的元素。