CN101986323A - 用于检测先前未知的恶意软件的***和方法 - Google Patents

用于检测先前未知的恶意软件的***和方法 Download PDF

Info

Publication number
CN101986323A
CN101986323A CN2010102261760A CN201010226176A CN101986323A CN 101986323 A CN101986323 A CN 101986323A CN 2010102261760 A CN2010102261760 A CN 2010102261760A CN 201010226176 A CN201010226176 A CN 201010226176A CN 101986323 A CN101986323 A CN 101986323A
Authority
CN
China
Prior art keywords
file
malware
event information
risk assessment
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010102261760A
Other languages
English (en)
Other versions
CN101986323B (zh
Inventor
尤里V·马斯艾维斯基
尤里V·纳梅斯尼科夫
尼古拉V·丹尼斯切卡
帕维尔A·泽伦斯基
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN101986323A publication Critical patent/CN101986323A/zh
Application granted granted Critical
Publication of CN101986323B publication Critical patent/CN101986323B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种用于检测先前未知的恶意软件的***、方法和计算机程序产品,所述方法包括:(a)从远程计算机接收事件信息和文件元数据;(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在;(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在,则过滤所述事件信息和所述文件元数据;(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在;以及(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括文件的“父类-子类”分级结构,并且其中,对父类评定的风险是基于与子类相关联的风险。

Description

用于检测先前未知的恶意软件的***和方法
相关申请的交叉引用
本申请要求于2009年10月1日提交的第2009136233号俄罗斯专利申请的优先权,在此通过援引的方式将该申请全文并入本申请中。
技术领域
本发明涉及反恶意软件技术,且更具体地,涉及基于实时自动事件检测未知恶意软件威胁以及分析对象的行为模式。
背景技术
恶意程序的持续繁殖对世界范围内的计算机产生了相当大的损害。给独立个人计算机和企业网络提供保护的现有方法主要集中于处理已经知道的计算机威胁。
一般而言,自20世纪80年代末以来存在的反病毒程序以下述两种方式检测病毒和相关的敌意软件:(1)针对匹配那些已知病毒(“病毒签名(signature)”)的二进制代码串扫描文件;和(2)针对已知的像病毒一样的代码扫描文件(“启发式扫描”)。其它技术包含阻止类病毒的行为(“行为阻止”)或针对某些修改校验文件(“完整性校验”)。
第6,016,546号美国专利披露了一种检测该数据串中存在任何第一组已知数据特性(trait)的概率的方法,其使用第二组一般特征和第三组签名,并且其中一般特征和签名是第一组数据特性的典型特征。
第6,338,141号美国专利披露了一种可以实时地在独立的计算机***上或者在联网的机器上执行的方法。该方法使用有关数据的集合来检测计算机文件中的计算机病毒。该有关数据的集合包括由病毒生成的各种有关特征对象。使正在针对病毒而被校验的计算机文件经历生成有关特征对象的过程。在作为文件扫描的结果而生成了特征对象之后,将它们与有关数据的集合相检查,并且依据结果,可认为该文件是被感染的并阻止其在***上运行。
然而,该处理病毒的方法只可以在恶意对象已经进入计算机***或网络上的一个节点之后识别恶意对象,并且其对带有新的未知特征的未知威胁或者对表现出未知行为模式的计算机病毒是无效的。
据此,在本领域内需要一种***和方法,用于在未知病毒进入所保护的计算机***或计算机网络之前检测未知计算机威胁的更为有效而主动的途径。
发明内容
本发明旨在提供一种基于各种标准进行风险分析和风险评估的检测未知恶意软件的方法和***,其基本上避免了一个或多个现有技术的缺点。
本发明的一个方面提供一种用于检测先前未知的恶意软件的***、方法和计算机程序产品,所述方法包括:(a)从远程计算机接收事件信息和文件元数据;(b)识别所述事件信息或所述文件元数据是表示已知恶意软件、还是表示未知恶意软件、亦或是表示恶意软件不存在;(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在,则过滤所述事件信息和所述文件元数据;(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在;以及(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括基于文件的调用的“父类-子类”分级结构的构造,并且其中,对父类评估的风险是基于与子类相关联的风险。
文件元数据可以是文件名、文件扩展名、文件大小、文件链接状态、不论文件是否被数字签名、是否为下载的实体程序、是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口中的任一项。
被分析的事件信息可以包括有关对象的行为模式的信息或、与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性以及与事件的类型有关的信息,所述事件的类型例如文件下载、文件投放和文件链接等等。
所述***能够实时地自动检测先前未知的恶意软件,或者可以与分析人员合作针对这类恶意软件的存在进行多级分析。
所述***维护已知或者被认为是安全的对象的所谓的白名单、以及已知或者被确定为恶意的对象的所谓的黑名单。
一旦文件被添加到黑名单中,安装在用户计算机上的反病毒软件就开始将对象检测为恶意的,并防御用户计算机不受该恶意对象侵害。该反病毒软件也阻止用户访问被放入黑名单的域和URL。对于域,该***还计算所谓的“声望(reputation)”参数,该参数示出了访问给定互联网资源的危险程度。
本发明的附加功能和优点将在如下的说明中阐述,还有部分通过描述是显而易见的,或由本发明的实践可以得知。通过在书面的描述、权利要求书和附图中特别指出的结构,将实现并获得本发明的优点
可以理解的是,无论是上述的总体描述还是如下的详细描述都是示例性和解释性的,并且旨在提供对所述的本发明进一步的解释。
附图说明
附图提供对本发明进一步的理解,并且并入此说明书中构成其中的一部分,这些附图示出了本发明的实施例并与描述一起用于解释本发明的原理。
附图中:
图1示出了本发明一个实施例的未知威胁检测的流程图。
图2示出了用于识别一类未知威胁而生成的示例性DS(下载启动器图)图。
图3示出了根据本发明一个实施例的作为各种标准的评估结果而生成的示例性权重系数树。
图4示出了根据本发明一个实施例的聚合权重计算的图示。
图5示出了根据本发明一个实施例的新标准的生成。
图6示出了本发明一个实施例的各种组件之间的数据流。
图7示出了在其上可以实施反恶意软件发明的示例性计算机***的示意图。
具体实施方式
现在,将根据本发明的优选实施例进行详细描述,其示例图示于附图中。
本发明旨在作为一种用于检测下列种类的先前未知的恶意软件的方法和***:
●恶意程序
●潜在不受欢迎的程序
●恶意网站
●流氓网站
●经由电子邮件、IM、公共网络等发送的包含恶意对象或其链接的讯息
●诸如基于互联网的攻击、不想要的标题(banner)、不想要的内容(与色情、赌博、吸毒和酗酒有关的广告)等其余类型的计算机威胁。
该***远程追踪在用户计算机上正在执行的各种应用程序所调用的文件,以针对恶意软件存在测试可执行文件,从而基本消除了相关现有技术的一个或多个缺点。
在本发明一个实施例中,提出了一种用于检测未知威胁的***和方法。示例性***可以包括由卡巴斯基实验室提供并维护的卡巴斯基安全网络(KSN)的一部分以及大量用户,所述用户在日常正常使用他们各自的计算机的过程中连接至KSN。
在连接至KSN之前,每个用户都在其计算机上安装了由卡巴斯基实验室提供在示例性实施例中的反病毒程序。该反病毒产品在后台运行,并且将会潜在伤害用户计算机***的任何活动报告给KSN。该活动可以是用户第一次访问或下载特定文件或在用户计算机上调用的可执行文件、或者用户连接至不熟悉的互联网资源,例如,会散播恶意文件的网站等。
由KSN收集的信息包括事件信息和对象信息。事件信息描述发生在远程用户的计算机上的特定类型的事件,例如,对象下载、对象投放(dropping)、文件链接、文件调用的情况。事件信息也可以包括与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性、与事件相关联的对象的活动和对象的某些行为模式。由KSN收集的对象信息包括描述特定文件的文件元数据,例如,文件名、文件扩展名、文件大小、文件链接状态、文件是否被数字签名、文件是否为可执行文件、下载的实体程序(utility)或文件是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口。关于所收集的信息,KSN维护已知为善意的或“干净的”或者被认为不可能为恶意的事件和对象的知识库(白名单、或WL)。KSN还维护已知为恶意的或者被认为可能为恶意的事件和对象的知识库(黑名单、或BL)。
该***也能够保护用户免于通过即时通讯(IM)发布给用户的恶意URL的链接。基于存储在KSN数据库中的信息,可以判断发布IM的某些触点(contact)为不值得信任的。该***检测通过IM从不值得信任的触点接收的超文本链接,并且该***对链接是否具有恶意特性做出判定,并将该链接目标放入黑名单。
图1中示出了描述从参与的用户接收的信息的处理的高级流程图。在第一级处理过程中,使用存储在WL和BL知识库中的信息来过滤由用户报告的关于各种事件和文件元数据的输入信息(步骤101)。过滤算法针对关于输入的事件信息和对象信息的任何数据的存在来校验WL和BL两者,并且滤除已知的事件信息和对象信息。
剩余信息由***处理,其为剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定事件和文件元数据是否表示先前未知的恶意软件存在。在步骤102中,实时地进行这些风险分析和风险评估。使用各种标准和各种技术来进行风险分析,以确定风险(例如,基于URL的分析为一个风险因素,文件大小分析为另一个因素,等等)。通过集合各种不同的规格(metrics)来进行风险评估,以判定例如风险为高、中等还是为低。在步骤103中,计算诸如活跃性、危险性、重要性这样的各种参数并将其用于生成下载启动器图(DS图)。
基于DS图的分析,***判定是否已经检测到恶意软件事件或对象。如果已经遇到恶意对象或事件,或者如果已经高度肯定其为该情形,则在步骤105A中用关于此先前未知的威胁的信息来更新BL。然而,如果事件信息或对象信息被确定为善意的,则在步骤105B中***相应地更新WL。
图2中示出了在图1的步骤103中生成的DS图的示例。近几年来,带有木马投放器(Trojan-Dropper)和木马下载器(Trojan-Downloader)类型的行为的恶意程序已广为散播。木马投放器用于在用户不知道的情况下将其它恶意软件安装在受害机器上。投放器在不显示任何通知或不显示错误的错误消息的情况下将其有效载荷(payload)安装在存档文件或操作***中。新的恶意软件被投放到本地磁盘上的指定位置,然后载入运行。投放器功能包含用以安装并执行全部有效载荷文件的代码。木马下载器将新的恶意软件或恶意广告软件下载并安装在受害机器上。然后,下载器运行新的恶意软件或者对其进行注册,使其能够根据本地操作***需求自动运行。这全部都是在用户不知道或未同意的情况下完成的。将要下载的恶意软件的名称和位置被编入木马中或者从指定网站或其它互联网位置下载。
考虑当用户调用浏览器并下载可执行文件Tubecodec934.exe时的示例。此事件被报告给KSN。当执行时,Tubecodec934.exe下载若干其它文件,并且这些事件也将报告给KSN。在此情形下,Tubecodec934.exe是下列五个文件的“父类”:SvchOst.exe、Ntkml.dll、Cale.exe、1.exe和Hosts.vbs,这五个文件是Tubecodec934.exe的“子类”文件。该***继续进行实时风险分析和风险评估,包括基于文件的调用次序构造“父类-子类(parent-child)”分级结构。对“父类”文件评估的风险是基于与该文件的“子类”或“子类们”相关联的风险。在此情形下,KSN数据库没有任何与这些文件的前三者(the first three)有关的信息,并且KSN的分析模块开始对这些文件进行分析,以便评估与这些文件相关联的危险性级别。为了检测由“父类”和“子类”表示的未知威胁,该***建立与图2中的一个图形表示相似的图形表示。
一旦建立该图形,***就对每一个“父类”计算所谓的X因素(X-factor)。X因素定义了给定“父类”的危险性级别并且基于与其“子类”相关的数据。X因素示出了给定对象趋于为下列何种类型的程序:例如,文件管理器或木马投放器、浏览器和合法下载或木马下载器。
用于评估给定可执行文件的危险性级别的另一方法是分析文件调用的恶意程序中的“干净的”比率。作为示例,对于本领域任何普通技术人员而言将显而易见的是,文件“explorer.exe”,即众所周知的浏览器的可执行文件,调用“干净的”文件而非恶意的文件,因此将会具有非常低的危险性级别。
该***还计算描述图中的每一个要素的活跃性级别、危险程度和重要性的参数。“重要性”参数是考虑了事件的活跃性级别和危险程度的函数,并且如下计算:重要性=(活跃性*危险性)。基于某一时间段内下载数目或给定对象被调用的次数相关的数据来计算“活跃性”参数。特定算法用以将该参数减小至便于分析的形式。
利用此算法,将对象的“活跃性”减小至特定形式的概率分布。这允许减小在很久以前发生的事件的重要性并揭示该参数的变化趋势。
“活跃性”参数如下来计算:活跃性=命中数*F(Δt),其中,“命中数(Hit)”是下载、程序开始、网络攻击尝试等的数目,并且Δt是自发生最近一次事件起的时间段。然而,因为还需要考虑活跃性的趋势,所以程序的高活跃性本身并不能必要地指示该程序是恶意的(参见以下表格1)。
表格1中提供了由***进行的“活跃性”计算的示例。
表格1.活跃性计算和趋势分析
  #   总命中数   增加   Δt,min   活跃性   趋势
  1   10   10   0   10   上升
  2   25   15   15   27,5   上升
  3   80   55   15   68,75   上升
  4   165   85   15   129,38   上升
  5   245   80   15   138,69   稳定
6 316 71 15 140 稳定
  7   336   20   15   92,7   下降
  8   351   15   15   61,4   下降
  9   352   1   105   19   下降
  10   353   1   175   1,73   下降
基于所谓的权重系数决策树来计算“危险性”参数,其大部分随知识数据库中所积累的信息而动态地变化。权重系数树是各种标准的测试结果,所述各种标准是在发明人的反病毒实验室中针对各种类型的检测对象而开发的。
下面,说明计算“危险性”的详细示例。
示例1
在图3中示出的该示例中,***接收通知报文,即,带有哈希值MD5=0x12A91C1CB575D154BAA9AAD1759F6EC8的可执行文件http:**soho.eom.server911.ch/us/usl.exejpg已被用户下载。在处理该报文时,作为风险分析和风险评估的一部分,***将由大量标准建立决策树,每个标准实现特定的逻辑。例如,来源于校验主机名并确定屏蔽存在的测试组的标准,将被赋值为最大权重100,这是因为主机名合并了来自白名单的主机,soho.com。针对双扩展名的存在进行校验的另一标准将被赋值为权重92,这是因为该可执行文件具有两个扩展名exe和jpg,并且伪装成通用的图像格式。
如果这两个文件扩展名被空格分开,则将会赋值最大权重。
对象的“危险性”在数值上等于决策树的权重系数的聚合(aggregate)。
示例2
***接收可执行文件已被下载的通知。如果这是参考该对象的第一讯息,则***将建立决策树。
现在考虑负责URL分析的标准的分支。假设收到的数据包的URL域(field)为URL=http:**yahoo.com.server911.ch/us/us^;2.exe.jpg。使用特定标准来分析该URL串的每个部分(域名、主机名、文件名、端口等),从而最终得到图4中所示的决策树。
剖析主机名(yahoo.com.server911.ch),***将识别出该URL试图伪装成来自白名单“yahoo.com”的域。标准3.1.1.1将被赋值为权重80。
该字符串的一部分Server911.ch并不匹配任何已知的域名,因此“与发音匹配算法(SoundEX-algorithm)的相似性”标准的权重将等于0。
“(屏蔽、伪装、伪饰、掩饰)名”标准的合成(resulting)权重W3.11=F(W3.1.1.1,W3.1.1.2)=80。
每当注册互联网资源或新的域名时,注册方都有责任提供某些信息,例如,电子邮件地址和附加强制性信息。KSN可以使用此注册信息来识别参与散播恶意软件的资源。***将校验是否存在与注册方的电子邮件地址相关联的散播恶意文件的任何历史。尽管在一些情形下电子邮件地址可以是虚构的,但大多数注册授权机关都要求在注册资源之前验证电子邮件地址。
***还将校验资源的使用期限。许多恶意软件的创作者利用注册授权机关所提供的免费试用期。他们同时注册许多网站,将尽可能多的通信量(traffic)重新定向到这些网站并散布尽可能多的恶意软件,直到免费试用期届满且网站自动关闭为止。
一些注册授权机关提供授权机关本身的代理域注册,并且“代理注册”被KSN用作指示该域可能与恶意网站有关联。
从服务WhoIs(或类似的)获得注册信息,***可以确定此域仅已存在6天,并且在此期间服务器的名称和IP地址被改变了三次。此类行为具有恶意网站的特性,因此,“名称服务器的稳定性”和“IP地址的稳定性”标准将分别被赋值为权重70和75。
“WhoIs信息”标准的合成权重等于W3.1.2=F(W3.1.2.2,W3.1.2.3)=87。然后,***为“主机名”计算聚合权重:W3.1=F(W3.1.1,W3.1.2)=93。
文件名“us^;2”无论是在恶意程序中还是在干净文件当中都不普及。因此,标准(3.1.1.2)对聚合权重将不会做出任何贡献。字符串“^;”存在于文件的名称中,这对于干净对象并不典型并且建议随机产生文件名。因此,标准3.2.2将被赋值为权重43。
用于测试伪装的扩展名的标准(3.2.3.1.1和3.2.3.1.2)之和将具有权重92。被校验的文件为可执行文件并具有两个扩展名(3.2.3.1.1)。此外第二扩展名jPg,指示试图将该文件掩饰为图像文件。如果用空格将两个扩展名分开,则将获得最大权重。对象具有扩展名,因而“遗漏的扩展名”标准的权重等于0。基于以上所述,评估文件名的全部标准的聚合权重为W3.2=95。
在此情形下,并未对端口进行规定,即,标准HTTP协议端口被使用并且不是可疑的。因此,“端口”标准的权重W3.3等于0。
“URL字符串的分析”标准合成的值W3=F(W3.1,W3.2,W3.3)=98指示此URL主办(host)恶意对象的概率为0.98或98%。
示例3
参照图4,考虑计算“危险性”的另一示例。***接收可执行文件被识别为木马下载器的通知报文。已从列入在白名单中的域下载了Win32.Agent.yyy。为了解决此冲突,***将建立决策树。
下面,对负责分析URL的标准的分支的附加细节进行描述。假设收到的数据包的URL区域为URL=http:**www.nokia.com/files/support/nseries/phones/software/Nokia_Lifeblog_2_5_224_en_uk.exe。使用特定标准来分析该URL字符串的每个部分(域名、主机名、文件名、端口等)。
剖析主机名http:**www.nokia.com,***将确定不存在任何试图将域伪装成白名单中的域。因此,标准3.1.1.1和3.1.1.2将具有权重0,从而导致“伪装名称”标准的聚合权重W3.1.1=F(W3.1.1.1,W3.1.1.2)=0。
从服务WhoIs获得注册信息,***将确定此域名已存在于过去18年,并且在此时间期间名称服务器从未改变,且IP地址在过去4年改变了一次。此类行为类型具有干净网站的特性,因此,“名称服务器的稳定性”和“IP地址的稳定性”标准将分别被赋值为权重0和1。
“WhoIs信息”标准的合成权重等于W3.1.2=F(W3.1.2.2,W3.1.2.3)=1。然后,***为“主机名”计算聚合权重:W3.1=F(W3.1.1,W3.1.2)=1。
文件名“Nokia_Lifeblog_2_5224_en_uk”在恶意程序当中并不普及。由此,标准(3.1.1.2)对聚合权重将不会做出任何贡献。
文件名包括未提出任何怀疑的字符。形成文件名的单词具有意义并且与“干净”程序中的名称相符。因此,标准3.2.2的权重将等于0。
用于测试伪装的扩展名的标准(3.2.3.1.1和3.2.3.1.2)的权重将赋值为0,这是因为正在被分析的文件是可执行的,并且具有用于可执行文件的典型扩展名,exe。因而,W3.2.3.1.1=0。对象具有扩展名,因而“遗漏的扩展名”标准的权重等于0。
基于以上所述,评估文件名的全部标准的聚合权重为W3.2=95。
并未对端口进行规定。这意味着使用不可疑的标准HTTP协议端口。因此,“端口”标准的权重W3.3等于0。
“URL字符串的分析”标准合成的值W3=F(W3.1,W3.2,W3.3)=1指示此URL主办恶意对象的概率小到可以被忽略。
显然,决策树的剩余标准也将具有最小值。此情形将被归为错误警报,并且***将自动校正反病毒知识数据库。
决策树可以通过增加新的标准容易地扩展,所述新的标准将提高由***做出的判决的充分性。本发明的此特征将在示例4中描述并示出在图5中。
示例4
已经完成用于收集统计信息的***的更新。***开始接收与***中的各种对象的行为相关的新信息。增加两个新标准“驱动器安装”和“对磁盘的直接写入”,将会导致对决策树进行修改,如图5中用圆角方框突出标出的。
在对决策树进行该修改之后,标准5.3的最大权重将不会改变。然而,此标准将变得更加丰富且精确,而这又将正面影响判决的质量。
下面是***用以分析输入信息的标准的几个示例:
1)由给定归档程序打包的被感染的文件中“干净的”比率。考虑到在通知报文流中,***收到由打包器X压缩的与200个被感染的文件和5个干净的文件相关的信息。做出支持子***的判决(DSS,”http://en.wikipedia.org/wiki/Decision_support_system”)得出将打包器X用以在大多数时间打包恶意文件的结论。***在用打包器X打包的输入流中接收到的文件受感染越多,则对用打包器X打包的文件赋值的危险性级别越高。应当注意的是,这也适用于没有被所述***检测的文件。***还考虑关于文件打包器的其它相关信息:开源或商业售卖、有声望的软件开发公司的数字签名或者未签名的客户开发的归档软件。
***足够智能从而不会自动将从其下载了一个或两个恶意程序的主机列入黑名单。重要的是在由特定主机发布的恶意文件中“干净的”比率。例如,***将不会在用户在许多其它“干净的”讯息当中收到其电子邮件中源自主机mail.***.com的病毒之后自动将该主机列入黑名单。另一方面,如果在从特定主机接收的恶意文件中“干净的”比率向恶意文件倾斜,则***得出结论,即,该主机主要运行用于发布恶意软件。
2)文件对象的名称中特定单词的出现的评估。***从文件的名称中提取最常在恶意对象中出现的单词。如果这些单词其中之一出现在文件对象的名称中,则相关标准将会被赋值适当的权重。
3)另一示例是具有若干扩展名的文件,文件名后的第一个扩展名是众所周知的非可执行但普及的扩展名,其后接着是一系列空格。这样的其中文件名标准将会被赋值最大权重的文件名示例为:“Sex Girls.avi.exe”。
4)用于检测恶意对象的一个有效标准是基于在大量不同名称下对相同文件的检测。当恶意对象的名称已随机产生时,这对于由***接收的这些对象而言是典型的。尽管进行了分析,但***从选择当中排除了临时文件,这是因为这样的行为具有临时***文件的特性。为了实现此排除,***以如下方式使用来自用户计算机的链接数据和文件生成数据:
●如果文件未驻留在临时目录中且经常具有不同名称,则此行为被认为是可疑的。
●不论文件所处的目录如何,如果文件的链接状态为“最近链接的”则也被认为是可疑的。链接日期是由obj文件生成exe文件的日期。链接数据是文件标题中的记录并且反病毒程序从文件标题收集该信息并将其转送至KSN。
5)文件是可执行的,但具有“伪装的”扩展名或者根本没有任何扩展名。在不同主机上存在未带有诸如jpg、bmp、avi、mp3、doc、xls、txt、css等非可执行文件扩展名或者根本没带任何扩展名的大量恶意程序。即使开启用户防火墙,在某一程序下载“图片”或“音乐”时也不会产生警报。一些由主机提供的服务(hosting service)禁止上传可执行文件,并且所述文件扩展名伪装术用以绕开这些限制。
6)恶意对象具有Windows***文件的名称(例如,explorer.exe),但不是从假定驻留在操作***中的文件夹中运行的。
针对由***分析的其它类型的对象已开发了类似的标准。全部危险事件都被转送至***,用于进一步分析。然后,***使用决策树,以便对于随后自动检测对象作出判决。
与活跃性高但危险性低的事件有关的信息被转送至白名单服务用于分析,以便补充存储在干净对象知识数据库中的数据。在白名单上意味着软件的来源或软件的类型是那种即使不进一步校验也不像是包含病毒的软件;在此情况下,剩余的反病毒扫描可以限于更为基本的种类。如果软件既不在黑名单上又不在白名单上,则应当建议用户利用全部可用技术进行扫描。
另一方面,在黑名单上意味着,因为软件的来源是先验的已知为恶意软件源或早前这类软件经常被感染,又或者由于其它原因,所以新下载的软件具有相对较高的包含病毒的概率。
***对其使用的全部风险评估标准的效率连续进行评估。在先前进行的风险评估上动态地调整风险评估标准的准确度,并且获得该准确度的经验性评估。在风险分析和评估过程中使用的其它技术为综合风险评估标准的生成和评估、统计分析以及各种启发式检测算法。在用于评估这些标准中的每一个标准的效率(这些标准中的哪一个应当更加被信任、这些标准中的哪一个需要校正调整等等)的多维数据库中对DSS***的判决进行常规处理。图6中示出了此处理以及循环通过***的主要组件的各种数据流,这些数据流示出了在事件流中的数据与专家***(推理引擎)中的数据之间一直维系的反馈。由防御模块601从用户收集的原始数据流602被指向实时处理数据库603。处理后的统计信息605被传递至延迟分析数据库604。延迟分析数据库604将附加信息处理标准606和校正信息607返回至实时处理数据库603。
在实时处理数据库603与白名单服务610之间存在双向信息流(流608和609)。与未知恶意对象613有关的信息被从实时处理数据库603转送至检测***612。检测***612执行自动信息处理或者熟练分析人员(分析员)的服务,以处理所收到的与未知恶意对象613有关的信息。将标准效率的合成的评估(流611)送至延迟分析数据库604,以增强其处理能力。检测***612将检测到的威胁的记录(流614)送至反病毒记录数据库615。从反病毒记录数据库615(黑名单服务),将反病毒模块记录616转送至防御模块601。根据给定标准的误报(False positive)被用于改进***的反馈,从而导致减小产生许多误报的标准的相对重要性。
知识数据库还产生用于复杂的综合标准中的附加信息,例如,对恶意互联网资源的预见性(前向)搜索。
以上示例清楚示出了本发明是如何消除现有技术的缺点的。现有的反病毒软件在已经造成损害之后或者在恶意软件已经被识别出并成为已知威胁之后分析恶意软件的内容。在专家有机会接收文件、分析其内容、生成校正方法以将其从已被感染的计算机删除并且将其发布给用户以保护尚未感染的计算机之前,恶意软件被释放的时间已经过去了数个时日。在此期间,恶意程序会散播到世界范围内的上百万计算机。
另一方面,由于与可执行文件有关的某些信息(例如,来源、文件名、文件扩展名、文件大小等)、互联网资源(例如,使用期限、活跃性等)或者相关事件,所以所提出的***可以自动且实时地对未知威胁进行检测。该***不仅基于文件的内容而且还基于从上百万用户收集的统计信息来识别未知威胁。应当注意的是,根据用户协定的条款,KSN不收集任何与用户有关的私人信息。
一旦文件被添加到黑名单中,安装在用户计算机上的反病毒软件就开始将对象检测为恶意的,并防御用户计算机不受该恶意对象侵害。反病毒程序通知用户检测到了恶意软件。反病毒软件也阻止用户访问被放入黑名单的域和URL。对于域,该***还计算所谓的“声望”参数,该参数向用户示出了与访问给定互联网资源相关联的危险程度。
本发明的***能够使分析多级化。作为自动机器分析的结果,将某些文件、事件和资源放入白名单和黑名单。可以利用分析人员的帮助,他/她的知识和经验,在随后第二级分析过程中分析剩余文件。将人工分析的结果添加至维护白和黑名单的专家***的知识数据库,并且机器分析和人工分析可以前后进行或者彼此互补进行,以便提高未知威胁检测的准确度。
将认识到的是,同样预期针对各种其它类型的病毒的其它形式的检测。例如,不仅可以基于行为而且还可以基于其在***中的位置、有无数字签名、有无被压缩等来检测延迟的活性病毒。对于这类情形,可以根据需要校正DS图。
一旦对象被放入黑名单,其就被各种反病毒/反垃圾邮件/反恶意软件产品认为是恶意的,并且会被删除或阻止(在URL的情形下)。用户会被告知在其计算机上发现恶意对象。一般而言,目的之一是增加恶意对象的校正检测数目并缩短用于识别恶意对象的时间。
参照图7,用于实施本发明的示例性***包括以个人计算机或服务器20等的形式的通用计算设备,其包括处理单元21、***存储器22和连接各种***组件包括将***存储器连接至处理单元21的***总线23。***总线23可以为数种类型的总线结构中的任何一种,包括存储总线或存储控制器、使用任一各种总线架构的***总线和本地总线。***存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。ROM 24中存储有基本输入/输出***26(BIOS),其包含帮助在个人计算机20内的元件之间例如在启动过程中传送信息的基本例程。
个人计算机20可以进一步包括用于从未示出的硬盘中读取和对其写入的硬盘驱动27、对可移动磁盘29中读取和对其写入的磁盘驱动28以及用于从可移除光盘31读取和对其写入的光盘驱动30,例如,CD-ROM、DVD-ROM或其它光学介质。硬盘驱动27、磁盘驱动28和光盘驱动30各自分别通过硬盘驱动接口32、磁盘驱动接口32和光盘驱动接口34连接至***总线23。这些驱动及相关联的计算机可读取介质为个人计算机20提供计算机可读取指令、数据结构、程序模块/子例程以及其它数据的非易失性存储,其中,在所述程序模块/子例程中,上述每个步骤都可以是单独的模块、或者数个步骤聚合到单个模块中。虽然这里所描述的示例性环境采用硬盘、可移除磁盘29和可移除光盘31,但本领域技术人员应当理解的是,可以存储可由计算机访问的数据的其它类型的计算机可读取介质,例如,盒式磁带、快闪式存储卡、数字视频磁盘、伯努利盒式磁带、随机存取存储器(RAM)、只读存储器(ROM)等也可以用于示例性操作环境中。
可以在硬盘、可移动磁盘29、光盘31、ROM 24或RAM 25上存储大量程序模块,包括操作***35。计算机20包括与操作***35相关联的或者被包括在其内的文件***36、一个或多个应用程序37、其它程序模块38和程序数据39。用户可以通过诸如键盘40和指示设备42这类输入设备将命令和信息输入到个人计算机20中。其它输入设备(未示出)可以包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。这些和其它输入设备通过连接***总线的串行接口46连接到处理单元21,并且可通过其它接口例如并行端口、游戏端口或通用串行总线(USB)连接。监视器47或其它类型的显示设备也经由接口例如视频适配器48连接到***总线23。除了监视器47之外,个人计算机通常还包括其它***输出设备(未示出),例如扬声器和打印机。
计算机20可以使用与一个或更多的远程计算机49的逻辑连接而运行在网络环境中。远程计算机49可由其它计算机、服务器、路由器、网络PC、对等设备(peer device)或其它公共网络节点代表,并且虽然仅示出了存储设备50,但通常包括对于计算机20所描述的多数或全部元件。逻辑连接包括局域网(LAN)51和广域网(WAN)52。这样的网络环境在办公室、企业范围内的计算机网络、内网和互联网上是普遍的。
当用于LAN局域网环境中时,计算机20通过网络接口或适配器53连接到本地网络51中。当用于WAN广域网环境中时,计算机20通常包括调制解调器54或其它用于在广域网52,例如互联网,上建立通信的装置。调制解调器54通过串行接口46连接到***总线23上,该调制解调器54可以既是内部的又是外部的。在网络环境中,对于计算机20所描绘的程序模块或其中的一部分,可能存储在远程存储器存储设备中。应该认识到,示出的网络连接是示例性的,也可以使用其它在计算机之间建立通信链接的方法。
已经结合优选实施例对本发明进行了描述,对于本领域的技术人员而言,所描述的方法和装置可以获得的某些优点应当是明显的。还应当理解的是,可以在本发明的精神和范围内对其做出各种修改、适应及替代实施例。本发明由如下的权利要求书进一步限定。

Claims (17)

1.一种由计算机实施的用于检测先前未知的恶意软件的方法,所述方法包括:
(a)从远程计算机接收事件信息和文件元数据;
(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在;
(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在,则过滤所述事件信息和所述文件元数据;
(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在;以及
(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括基于文件的调用次序的“父类-子类”分级结构的构造,并且其中,对父类评定的风险是基于与子类相关联的风险。
2.如权利要求1所述的方法,其中,所述文件元数据包括文件名、文件扩展名、文件大小、文件链接状态、文件是否被数字签名、文件是否为下载的实体程序、文件是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口中的任一项。
3.如权利要求1所述的方法,其中,所述事件信息包括与所述事件相关联的对象的行为模式中的任一种。
4.如权利要求1所述的方法,其中,进行风险分析和风险评估包括构造决策树。
5.如权利要求3所述的方法,其中,所述事件信息包括与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性中的任一项。
6.如权利要求3所述的方法,其中,所述事件信息包括与事件的类型有关的信息,所述事件的类型包括文件下载、文件投放和文件链接中的任一项。
7.如权利要求1所述的方法,其中,所述风险分析和风险评估是实时地自动执行的。
8.如权利要求1所述的方法,其中,检测先前未知的恶意软件包括启发式检测算法、统计分析、多维数据库处理、基于先前进行的风险评估动态地调整所述风险评估标准的准确度、以及经验评估所述风险评估标准、综合风险评估标准和多级风险评估的准确度。
9.一种在其上存储有计算机可执行程序逻辑的计算机可用存储介质,所述计算机可执行程序逻辑在处理器上执行,用于实施如权利要求1所述的步骤。
10.一种用于检测先前未知的恶意软件的计算机***,所述计算机***执行下述功能:
(a)从远程计算机接收事件信息和文件元数据;
(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在;
(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在,则过滤所述事件信息和所述文件元数据;
(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估,以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在;以及
(e)进行风险分析和风险评估,其中,所述风险分析和风险评估包括基于文件的调用次序的“父类-子类”分级结构的构造,并且其中,对父类评定的风险是基于与子类相关联的风险。
11.如权利要求10所述的计算机***,其中,所述文件元数据包括文件名、文件扩展名、文件大小、文件链接状态、文件是否被数字签名、文件是否为下载的实体程序、文件是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口中的任一项。
12.如权利要求10所述的计算机***,其中,所述事件信息包括与事件相关联的对象的行为模式中的任一种。
13.如权利要求10所述的计算机***,其中,进行风险分析和风险评估包括构造决策树。
14.如权利要求12所述的计算机***,其中,所述事件信息包括与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性。
15.如权利要求12所述的计算机***,其中,所述事件信息包括与事件的类型有关的信息,所述事件的类型包括文件下载、文件投放和文件链接中的任一项。
16.如权利要求10所述的计算机***,其中,所述风险分析和风险评估是实时地自动执行的。
17.如权利要求10所述的计算机***,其中,检测先前未知的恶意软件包括启发式检测算法、统计分析、多维数据库处理、基于先前进行的风险评估动态地调整所述风险评估标准的准确度、以及经验评估所述风险评估标准、综合风险评估标准和多级风险评估的准确度。
CN2010102261760A 2009-10-01 2010-07-14 用于检测先前未知的恶意软件的***和方法 Active CN101986323B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2009136233 2009-10-01
RU2009136233 2009-10-01

Publications (2)

Publication Number Publication Date
CN101986323A true CN101986323A (zh) 2011-03-16
CN101986323B CN101986323B (zh) 2013-11-20

Family

ID=43710670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102261760A Active CN101986323B (zh) 2009-10-01 2010-07-14 用于检测先前未知的恶意软件的***和方法

Country Status (4)

Country Link
US (1) US8572740B2 (zh)
EP (1) EP2306357A3 (zh)
CN (1) CN101986323B (zh)
DE (1) DE202010018642U1 (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102289582A (zh) * 2011-08-10 2011-12-21 中国电力科学研究院 一种配电网风险状态辨识方法
CN103067391A (zh) * 2012-12-28 2013-04-24 广东欧珀移动通信有限公司 一种恶意权限的检测方法、***及设备
CN103077344A (zh) * 2011-08-24 2013-05-01 株式会社泛泰 终端和使用该终端提供应用的风险的方法
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN103839003A (zh) * 2012-11-22 2014-06-04 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN106357689A (zh) * 2016-11-07 2017-01-25 北京奇虎科技有限公司 威胁数据的处理方法及***
CN106560831A (zh) * 2015-12-31 2017-04-12 哈尔滨安天科技股份有限公司 一种恶意代码绕过主动防御的发现方法及***
CN107145780A (zh) * 2017-03-31 2017-09-08 腾讯科技(深圳)有限公司 恶意软件检测方法及装置
CN107690645A (zh) * 2015-06-12 2018-02-13 比特梵德知识产权管理有限公司 使用解释器虚拟机的行为恶意软件检测
CN107810504A (zh) * 2015-06-15 2018-03-16 赛门铁克公司 基于用户行为确定恶意下载风险的***和方法
CN108885662A (zh) * 2016-04-22 2018-11-23 高通股份有限公司 用于智能地检测客户端计算装置和公司网络上的恶意软件和攻击的方法和***
CN113704764A (zh) * 2021-09-09 2021-11-26 安全邦(北京)信息技术有限公司 面向工业控制***安全的智能检测设备和方法

Families Citing this family (104)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US8839422B2 (en) 2009-06-30 2014-09-16 George Mason Research Foundation, Inc. Virtual browsing environment
US8769685B1 (en) * 2010-02-03 2014-07-01 Symantec Corporation Systems and methods for using file paths to identify potentially malicious computer files
US8850584B2 (en) * 2010-02-08 2014-09-30 Mcafee, Inc. Systems and methods for malware detection
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
EP2577552A4 (en) * 2010-06-02 2014-03-12 Hewlett Packard Development Co DYNAMIC MULTIDIMENSIONAL SCHEMES USED FOR MONITORING EVENTS
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
CN101924761B (zh) * 2010-08-18 2013-11-06 北京奇虎科技有限公司 一种依据白名单进行恶意程序检测的方法
US8413235B1 (en) * 2010-09-10 2013-04-02 Symantec Corporation Malware detection using file heritage data
US20120102569A1 (en) * 2010-10-21 2012-04-26 F-Secure Corporation Computer system analysis method and apparatus
US8756691B2 (en) * 2010-11-10 2014-06-17 Symantec Corporation IP-based blocking of malware
KR20120072120A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
US9111094B2 (en) * 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
JP5655191B2 (ja) * 2011-06-28 2015-01-21 日本電信電話株式会社 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
US8893278B1 (en) 2011-07-12 2014-11-18 Trustwave Holdings, Inc. Detecting malware communication on an infected computing device
EP2584488B1 (en) * 2011-09-20 2016-02-10 Kaspersky Lab, ZAO System and method for detecting computer security threats based on verdicts of computer users
RU2011138462A (ru) * 2011-09-20 2013-04-10 Закрытое акционерное общество "Лаборатория Касперского" Использование решений пользователей для обнаружения неизвестных компьютерных угроз
US8875293B2 (en) * 2011-09-22 2014-10-28 Raytheon Company System, method, and logic for classifying communications
US9177142B2 (en) * 2011-10-14 2015-11-03 Trustwave Holdings, Inc. Identification of electronic documents that are likely to contain embedded malware
US9832221B1 (en) * 2011-11-08 2017-11-28 Symantec Corporation Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US9081959B2 (en) * 2011-12-02 2015-07-14 Invincea, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
US20130152196A1 (en) * 2011-12-08 2013-06-13 Microsoft Corporation Throttling of rogue entities to push notification servers
US8631498B1 (en) * 2011-12-23 2014-01-14 Symantec Corporation Techniques for identifying potential malware domain names
CN103632088A (zh) 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
CN102833258B (zh) * 2012-08-31 2015-09-23 北京奇虎科技有限公司 网址访问方法及***
US8732834B2 (en) 2012-09-05 2014-05-20 Symantec Corporation Systems and methods for detecting illegitimate applications
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
CN103778113B (zh) * 2012-10-17 2017-04-19 腾讯科技(深圳)有限公司 终端、服务器及终端、服务器的网页处理方法
US8914886B2 (en) * 2012-10-29 2014-12-16 Mcafee, Inc. Dynamic quarantining for malware detection
KR101401949B1 (ko) * 2012-11-06 2014-05-30 한국인터넷진흥원 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법
RU2536663C2 (ru) 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты от нелегального использования облачных инфраструктур
US9313217B2 (en) * 2013-03-07 2016-04-12 Inquest, Llc Integrated network threat analysis
US10659480B2 (en) 2013-03-07 2020-05-19 Inquest, Llc Integrated network threat analysis
US8943594B1 (en) 2013-06-24 2015-01-27 Haystack Security LLC Cyber attack disruption through multiple detonations of received payloads
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US8752178B2 (en) * 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events
EP3044718A4 (en) * 2013-09-10 2017-05-17 Symantec Corporation Systems and methods for using event-correlation graphs to detect attacks on computing systems
US9166997B1 (en) * 2013-09-19 2015-10-20 Symantec Corporation Systems and methods for reducing false positives when using event-correlation graphs to detect attacks on computing systems
US9148441B1 (en) 2013-12-23 2015-09-29 Symantec Corporation Systems and methods for adjusting suspiciousness scores in event-correlation graphs
US10169583B2 (en) * 2014-02-17 2019-01-01 International Business Machines Corporation Malware dropper discovery method and system
US9953163B2 (en) 2014-02-23 2018-04-24 Cyphort Inc. System and method for detection of malicious hypertext transfer protocol chains
US10360271B2 (en) 2014-02-25 2019-07-23 Sap Se Mining security vulnerabilities available from social media
US9760713B1 (en) * 2014-02-27 2017-09-12 Dell Software Inc. System and method for content-independent determination of file-system-object risk of exposure
EP2922265B1 (en) 2014-03-20 2016-05-04 Kaspersky Lab, ZAO System and methods for detection of fraudulent online transactions
US9256739B1 (en) 2014-03-21 2016-02-09 Symantec Corporation Systems and methods for using event-correlation graphs to generate remediation procedures
RU2583711C2 (ru) * 2014-06-20 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Способ отложенного устранения вредоносного кода
US10432720B1 (en) 2014-06-25 2019-10-01 Symantec Corporation Systems and methods for strong information about transmission control protocol connections
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US10158664B2 (en) 2014-07-22 2018-12-18 Verisign, Inc. Malicious code detection
US9843594B1 (en) 2014-10-28 2017-12-12 Symantec Corporation Systems and methods for detecting anomalous messages in automobile networks
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US10146893B1 (en) 2015-03-27 2018-12-04 Symantec Corporation Systems and methods for evaluating electronic control units within vehicle emulations
US10104106B2 (en) * 2015-03-31 2018-10-16 Juniper Networks, Inc. Determining internet-based object information using public internet search
US20160352762A1 (en) * 2015-05-26 2016-12-01 International Business Machines Corporation Probabilistically Detecting Low Intensity Threat Events
US9825986B1 (en) 2015-06-29 2017-11-21 Symantec Corporation Systems and methods for generating contextually meaningful animated visualizations of computer security events
US10127385B2 (en) 2015-09-02 2018-11-13 Sap Se Automated security vulnerability exploit tracking on social media
WO2017086992A1 (en) * 2015-11-20 2017-05-26 Hewlett Packard Enterprise Development Lp Malicious web content discovery through graphical model inference
US9967274B2 (en) 2015-11-25 2018-05-08 Symantec Corporation Systems and methods for identifying compromised devices within industrial control systems
US11552923B2 (en) * 2015-12-30 2023-01-10 Donuts, Inc. Whitelist domain name registry
US10104100B1 (en) 2016-03-03 2018-10-16 Symantec Corporation Systems and methods for detecting anomalies that are potentially indicative of malicious attacks
US10572663B1 (en) * 2016-03-09 2020-02-25 Symantec Corporation Systems and methods for identifying malicious file droppers
US10193903B1 (en) 2016-04-29 2019-01-29 Symantec Corporation Systems and methods for detecting suspicious microcontroller messages
US10091077B1 (en) 2016-06-27 2018-10-02 Symantec Corporation Systems and methods for detecting transactional message sequences that are obscured in multicast communications
US10733301B2 (en) * 2016-08-24 2020-08-04 Microsoft Technology Licensing, Llc Computing device protection based on device attributes and device risk factor
KR101857575B1 (ko) * 2016-09-02 2018-05-14 주식회사 안랩 악성코드탐지시스템 및 악성코드 탐지 방법
US10200259B1 (en) 2016-09-21 2019-02-05 Symantec Corporation Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences
US9906545B1 (en) 2016-11-22 2018-02-27 Symantec Corporation Systems and methods for identifying message payload bit fields in electronic communications
US10326788B1 (en) 2017-05-05 2019-06-18 Symantec Corporation Systems and methods for identifying suspicious controller area network messages
JP2018200641A (ja) * 2017-05-29 2018-12-20 富士通株式会社 異常検知プログラム、異常検知方法および情報処理装置
JP2018200642A (ja) * 2017-05-29 2018-12-20 富士通株式会社 脅威検出プログラム、脅威検出方法および情報処理装置
GB201709812D0 (en) 2017-06-20 2017-08-02 Ibm Identification of software components based on filtering of corresponding events
US10873588B2 (en) * 2017-08-01 2020-12-22 Pc Matic, Inc. System, method, and apparatus for computer security
US20190266323A1 (en) * 2018-02-23 2019-08-29 Crowdstrike, Inc. Identification process for suspicious activity patterns based on ancestry relationship
US11050764B2 (en) 2018-02-23 2021-06-29 Crowdstrike, Inc. Cardinality-based activity pattern detection
EP3531325B1 (en) 2018-02-23 2021-06-23 Crowdstrike, Inc. Computer security event analysis
US11194903B2 (en) 2018-02-23 2021-12-07 Crowd Strike, Inc. Cross-machine detection techniques
US20190311136A1 (en) * 2018-04-05 2019-10-10 Symantec Corporation Systems and methods for utilizing an information trail to enforce data loss prevention policies on potentially malicious file activity
CA3041871A1 (en) 2018-05-01 2019-11-01 Royal Bank Of Canada System and method for monitoring security attack chains
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US20200117802A1 (en) 2018-10-15 2020-04-16 Mcafee, Llc Systems, methods, and media for identifying and responding to malicious files having similar features
US10958677B2 (en) 2018-12-18 2021-03-23 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
RU2747474C2 (ru) * 2019-03-29 2021-05-05 Акционерное общество "Лаборатория Касперского" Способ асинхронного выбора совместимых продуктов
US11238154B2 (en) * 2019-07-05 2022-02-01 Mcafee, Llc Multi-lateral process trees for malware remediation
US11058953B2 (en) 2019-07-26 2021-07-13 Roblox Corporation Detection of malicious games
US11144315B2 (en) * 2019-09-06 2021-10-12 Roblox Corporation Determining quality of an electronic game based on developer engagement metrics
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
RU2743974C1 (ru) 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
CN111147518B (zh) * 2019-12-30 2021-08-13 论客科技(广州)有限公司 一种基于攻防对抗的电子邮件***安全评价方法及装置
WO2021141510A1 (ru) * 2020-01-09 2021-07-15 Марк Александрович НЕЧАЕВ Система управления и отбора входящих вызовов
RU2722693C1 (ru) * 2020-01-27 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
CN111460446B (zh) * 2020-03-06 2023-04-11 奇安信科技集团股份有限公司 基于模型的恶意文件检测方法及装置
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
US11436330B1 (en) * 2021-07-14 2022-09-06 Soos Llc System for automated malicious software detection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7152164B1 (en) * 2000-12-06 2006-12-19 Pasi Into Loukas Network anti-virus system
US20080027891A1 (en) * 2006-07-28 2008-01-31 Rolf Repasi Threat identification
CN101360023A (zh) * 2008-09-09 2009-02-04 成都市华为赛门铁克科技有限公司 一种异常检测方法、装置及***
US20090083852A1 (en) * 2007-09-26 2009-03-26 Microsoft Corporation Whitelist and Blacklist Identification Data

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5801702A (en) * 1995-03-09 1998-09-01 Terrabyte Technology System and method for adding network links in a displayed hierarchy
US6021438A (en) 1997-06-18 2000-02-01 Wyatt River Software, Inc. License management system using daemons and aliasing
US6016546A (en) 1997-07-10 2000-01-18 International Business Machines Corporation Efficient detection of computer viruses and other data traits
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US20020095387A1 (en) 1999-08-27 2002-07-18 Bertrand Sosa Online content portal system
US6789088B1 (en) 2000-10-19 2004-09-07 Lg Electronics Inc. Multimedia description scheme having weight information and method for displaying multimedia
US7269851B2 (en) * 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
AU2003230606B2 (en) 2002-03-08 2009-04-30 Mcafee, Llc Systems and methods for enhancing electronic communication security
US20080196099A1 (en) 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US6980927B2 (en) 2002-11-27 2005-12-27 Telos Corporation Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment
AU2003283322A1 (en) * 2002-11-28 2004-06-18 International Business Machines Corporation Method and systems for hyperlinking files
US7483972B2 (en) 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US7424530B2 (en) 2004-05-06 2008-09-09 International Business Machines Corporation Method for visualizing results of root cause analysis on transaction performance data
US20060212852A1 (en) * 2005-03-16 2006-09-21 Jinwoo Hwang Methods, systems and computer program products for detecting memory leaks
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
WO2007016478A2 (en) 2005-07-29 2007-02-08 Bit9, Inc. Network security systems and methods
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
TW200723101A (en) 2005-12-01 2007-06-16 Inventec Corp Method and system for automatically activating and controlling computer program recovery mode
US20070180509A1 (en) 2005-12-07 2007-08-02 Swartz Alon R Practical platform for high risk applications
US7849143B2 (en) 2005-12-29 2010-12-07 Research In Motion Limited System and method of dynamic management of spam
US7624448B2 (en) 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US7856411B2 (en) 2006-03-21 2010-12-21 21St Century Technologies, Inc. Social network aware pattern detection
WO2008008046A1 (en) 2006-07-11 2008-01-17 Agency For Science, Technology And Research Method and system for multi-object tracking
WO2008036381A2 (en) 2006-09-20 2008-03-27 Spadac Inc. Method and system for global consolidated risk, threat and opportunity assessment
US8881276B2 (en) 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US7933946B2 (en) 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
US8347286B2 (en) 2007-07-16 2013-01-01 International Business Machines Corporation Method, system and program product for managing download requests received to download files from a server
US8099787B2 (en) * 2007-08-15 2012-01-17 Bank Of America Corporation Knowledge-based and collaborative system for security assessment of web applications
US7392544B1 (en) * 2007-12-18 2008-06-24 Kaspersky Lab, Zao Method and system for anti-malware scanning with variable scan settings
US7472420B1 (en) * 2008-04-23 2008-12-30 Kaspersky Lab, Zao Method and system for detection of previously unknown malware components
US8484727B2 (en) * 2008-11-26 2013-07-09 Kaspersky Lab Zao System and method for computer malware detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7152164B1 (en) * 2000-12-06 2006-12-19 Pasi Into Loukas Network anti-virus system
US20080027891A1 (en) * 2006-07-28 2008-01-31 Rolf Repasi Threat identification
US20090083852A1 (en) * 2007-09-26 2009-03-26 Microsoft Corporation Whitelist and Blacklist Identification Data
CN101360023A (zh) * 2008-09-09 2009-02-04 成都市华为赛门铁克科技有限公司 一种异常检测方法、装置及***

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102289582A (zh) * 2011-08-10 2011-12-21 中国电力科学研究院 一种配电网风险状态辨识方法
CN103077344A (zh) * 2011-08-24 2013-05-01 株式会社泛泰 终端和使用该终端提供应用的风险的方法
CN103839003B (zh) * 2012-11-22 2018-01-30 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN103839003A (zh) * 2012-11-22 2014-06-04 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN103067391A (zh) * 2012-12-28 2013-04-24 广东欧珀移动通信有限公司 一种恶意权限的检测方法、***及设备
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN107690645A (zh) * 2015-06-12 2018-02-13 比特梵德知识产权管理有限公司 使用解释器虚拟机的行为恶意软件检测
CN107810504A (zh) * 2015-06-15 2018-03-16 赛门铁克公司 基于用户行为确定恶意下载风险的***和方法
CN106560831A (zh) * 2015-12-31 2017-04-12 哈尔滨安天科技股份有限公司 一种恶意代码绕过主动防御的发现方法及***
CN108885662A (zh) * 2016-04-22 2018-11-23 高通股份有限公司 用于智能地检测客户端计算装置和公司网络上的恶意软件和攻击的方法和***
CN106357689A (zh) * 2016-11-07 2017-01-25 北京奇虎科技有限公司 威胁数据的处理方法及***
CN106357689B (zh) * 2016-11-07 2019-07-09 北京奇虎科技有限公司 威胁数据的处理方法及***
CN107145780A (zh) * 2017-03-31 2017-09-08 腾讯科技(深圳)有限公司 恶意软件检测方法及装置
CN107145780B (zh) * 2017-03-31 2021-07-27 腾讯科技(深圳)有限公司 恶意软件检测方法及装置
CN113704764A (zh) * 2021-09-09 2021-11-26 安全邦(北京)信息技术有限公司 面向工业控制***安全的智能检测设备和方法
CN113704764B (zh) * 2021-09-09 2024-06-28 安全邦(北京)信息技术有限公司 面向工业控制***安全的智能检测设备和方法

Also Published As

Publication number Publication date
DE202010018642U1 (de) 2020-03-23
CN101986323B (zh) 2013-11-20
EP2306357A3 (en) 2011-05-18
EP2306357A2 (en) 2011-04-06
US20110083180A1 (en) 2011-04-07
US8572740B2 (en) 2013-10-29

Similar Documents

Publication Publication Date Title
CN101986323B (zh) 用于检测先前未知的恶意软件的***和方法
US11483343B2 (en) Phishing detection system and method of use
US8359651B1 (en) Discovering malicious locations in a public computer network
Canali et al. Prophiler: a fast filter for the large-scale detection of malicious web pages
US9985978B2 (en) Method and system for misuse detection
US8239944B1 (en) Reducing malware signature set size through server-side processing
US7716340B2 (en) Restricting access to a shared resource
Borgolte et al. Delta: automatic identification of unknown web-based infection campaigns
US9680866B2 (en) System and method for analyzing web content
US8850584B2 (en) Systems and methods for malware detection
US8732825B2 (en) Intelligent hashes for centralized malware detection
US8850570B1 (en) Filter-based identification of malicious websites
Li et al. Knowing your enemy: understanding and detecting malicious web advertising
US8056136B1 (en) System and method for detection of malware and management of malware-related information
US7640589B1 (en) Detection and minimization of false positives in anti-malware processing
US8683584B1 (en) Risk assessment
US8800030B2 (en) Individualized time-to-live for reputation scores of computer files
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
US20160285894A1 (en) Measuring, categorizing, and/or mitigating malware distribution paths
US8312537B1 (en) Reputation based identification of false positive malware detections
RU91202U1 (ru) Система обнаружения неизвестных вредоносных программ
US20080201722A1 (en) Method and System For Unsafe Content Tracking
WO2009023315A2 (en) Anti-content spoofing (acs)
US20160012223A1 (en) Social engineering protection appliance
US8201247B1 (en) Method and apparatus for providing a computer security service via instant messaging

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant