CN107463841B - 检测恶意计算机***的***和方法 - Google Patents
检测恶意计算机***的***和方法 Download PDFInfo
- Publication number
- CN107463841B CN107463841B CN201611054559.8A CN201611054559A CN107463841B CN 107463841 B CN107463841 B CN 107463841B CN 201611054559 A CN201611054559 A CN 201611054559A CN 107463841 B CN107463841 B CN 107463841B
- Authority
- CN
- China
- Prior art keywords
- computer system
- computer
- state
- malicious
- features
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了用于检测恶意计算机***的***和方法。一种示例性方法包括:通过处理器收集计算机***的特征;确定所收集的所述计算机***的特征之间的关系;基于所确定的关系确定所述计算机***的至少一种状态的时间相关性;至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态;以及结合所选择的表示合法计算机***或恶意计算机***的模式,对所述计算机***的所述至少一种状态进行分析,以确定所述计算机***的危害程度。
Description
技术领域
本发明总体涉及防病毒技术,更具体地涉及检测恶意计算机***的***和方法。
背景技术
计算机技术近十年的快速发展以及各种计算设备(个人计算机、笔记本、平板电脑、智能手机等等)的广泛使用已经成为对于这些设备在各种领域的活动中的使用以及解决巨大量的问题(从因特网冲浪到银行转帐和电子文件流转)的强大激励。与计算设备以及在这些设备上运行的软件的数量的增长并行,恶意程序的数量也已迅速增长。
目前,存在巨大量的种类的恶意程序。一些恶意程序从用户的设备窃取个人机密的用户数据(诸如登录名和密码、银行信息、电子文件)。其它恶意程序将用户的设备转变成所谓的僵尸网络进行攻击(诸如拒绝服务(DDOS)攻击),或者在其它计算机或计算机网络上利用蛮力攻击法捡出密码。另外的其它恶意程序通过侵入广告、付费订阅、向付费号码发送SMS等向用户推荐付费内容。
专门的程序或防病毒应用程序用于处理恶意程序,即,用于检测恶意程序、预防感染并修复被恶意程序感染的计算机***。防病毒程序采用不用的技术来检测一系列的恶意程序,诸如:
·签名分析—搜索正被分析的程序的特定的代码段与来自恶意程序的签名数据库的已知代码(签名)的对应性;
·启发式分析—仿真正被分析的程序的工作,创建仿真日志(包含关于API函数调用的数据、发送的参数、正被分析的程序的代码段等等),以及搜索来自这样创建的日志的数据与来自恶意程序的仿真数据库的数据的对应性;
·白名单和黑名单—在恶意程序的校验和的数据库(黑名单)中或在合法程序的校验和的数据库(白名单)中搜索正被分析的程序(或者其一部分)的计算的校验和;以及
·主动防御—拦截正被分析且在***中运行的程序的应用程序编程接口(API)函数调用,创建关于正被分析的程序的工作的日志(包含关于API函数调用的数据、发送的参数、正被分析的程序的代码段等等),以及搜索来自这样创建的日志的数据与来自恶意程序的调用数据库的数据的对应性。
响应于这些防病毒应用程序,恶意程序正在越来越多地使用方法来阻碍防病毒程序检测它们在感染的计算机***上的存在,诸如:
·代码混淆以击败签名分析—将程序的原始文本(诸如JavaScript脚本)或可执行代码转换成保留它们的功能、但阻碍分析、工作算法的理解和在反编译期间的修改的形式;
·行为的复杂化以击败启发式分析—使用大量的不影响程序I/O工作结果的API函数调用或操作,仍然干扰通过防病毒程序对其的仿真;以及
·追踪外来程序的行为以击败主动防御—不断地追踪操作***中的外来程序的行为,搜索防病毒程序并阻碍它们,例如自身的代码针对分析的隐藏或替换。
通过利用诸如代码生成器(能够自动地创建恶意程序、具有由黑客指定的功能的构造程序)、混淆器(能够改变程序的可执行代码、由此使它们的分析复杂化而不改变其功能的程序、加壳器(packers)(嵌入到程序中、对程序的可执行代码加密并在启动该程序时对其解密的程序模块)等等的各种源,黑客能够快速且容易地创建并传播大量的他们的通过防病毒程序不能检测到的恶意程序的新版本。
因此,即使安装了防病毒程序,由于对所有安装在用户的计算机上的应用程序的行为或结构进行追踪的防病毒程序可能不能检测恶意应用程序的新修改或新的种类,因而用户的计算机也可能受到感染。在尝试隐藏其在用户的计算机上的存在时,恶意程序继续执行它们的恶意活动,即使恶意活动被隐藏但也存在于计算机上并留下痕迹。基于留下的踪迹,并且通过各个应用程序的非典型特征的行为和作为整体的整个的计算机***,可以识别恶意应用程序。
在执行有针对性的网络攻击(高级持续性威胁,APT)时,其中,有针对性的网络攻击是一种攻击所选择的计算机***(各大企业的内部网络、总公司数据库、以集中方式存储的非常多的用户的个人数据,诸如银行或护照数据,等等)的技术,黑客必须拥有现代水平的专门知识和大量资源,允许他们创建通过各种攻击媒介(诸如信息媒介、物理媒介和欺骗)实现他们的目标的方法。这些目标通常包括在目标组织的计算机技术基础设施内部安装它们并传播它们的存在以实现提取信息、破坏、或创建对任务、项目或正提供的服务的重要方面的干扰的目的,或者占据允许将来执行这些目的的适当位置。有针对性的网络攻击(诸如“高级持续性威胁”)在长时间段的过程中多于一次地完成了其目的;适应于防御者对威胁呈现抵抗所做的努力;并且旨在保持其渗透在目标基础设施中的水平,该水平必是完成其目的所必需的。
例如,为了破坏企业的工作、降低其信息***的工作效力或完全停止信息***,黑客必须知道那些计算机***如何工作、它们正在使用什么硬件、哪一些应用程序正在硬件上运行、正使用哪些防御手段、以及它们拥有什么强项和弱项。利用这种信息准备,黑客可能能够创建对于运行在正被攻击的计算机***上的防病毒应用程序将是不可见的恶意程序,并采用将所创建的恶意程序引入而不留下这种引入的任何痕迹的方法。
检测这种有针对性的网络攻击的基本原理可以包括检测在受保护的计算机***上正在执行的恶意活动。
已知的技术可以处理检测已知的恶意应用程序(在结构和行为方面)以及新的恶意应用程序(但其具有已经已知的行为)的任务。这些已知的技术可能不能充分地处理检测以下这样的应用程序的任务,该应用程序掩饰其自身并绝不显示存在且被设计成击败已知的防御手段。
因此,存在以下需求:即使在恶意活动的源保持隐藏时,并且恶意应用程序本身对已知防御手段呈现主动对抗措施的情况下,也能解决检测恶意计算机***(即,其上正在发生恶意活动的***)的问题。
发明内容
本文公开了用于检测恶意计算机***的***和方法。一种示例性方法包括:通过计算装置的处理器收集计算机***的特征;确定所收集的所述计算机***的特征之间的关系;基于所确定的关系确定所述计算机***的至少一种状态的时间相关性;至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态;以及结合所选择的表示合法计算机***或恶意计算机***的模式,对所述计算机***的所述至少一种状态进行分析,以确定所述计算机***的危害程度。
在一个示例性方面中,收集计算机***的特征包括收集以下至少一种的特征:所述计算机***的计算资源的特征、运行在所述计算机***上的软件的特征和正在所述计算机***上处理的数据的特征。
在一个示例性方面中,计算机***的计算资源的特征包括以下至少一种:所述计算机***的主存储器的特征、所述计算机***的性能和与所述计算机***相关联的网络环境的特征。
在一个示例性方面中,运行在所述计算机***上的软件的特征包括以下至少一种:在所述计算机***中运行的一个或多个应用程序的标识符以及与所述一个或多个应用程序相关联的文件的特征、来自在所述计算机***中运行的所述一个或多个应用程序的配置文件的记录、和所述一个或多个应用程序之间的关系。
在一个示例性方面中,正在所述计算机***上处理的数据的特征包括以下至少一种:所述数据的源的标识符和所述数据的接收者的标识符、所述数据的类型、和数据传输方法。
在一个示例性方面中,根据另一特征的值变化时的一个特征的值的变化来配置关系,并且确定所收集的所述计算机***的特征之间的关系包括:使用用于表示所收集的特征的值的多维空间,以及至少基于所选择的特征在所述多维空间中的投影确定所述计算机***的所述至少一种状态。
在一个示例性方面中,基于所确定的关系确定所述计算机***的所述至少一种状态的时间相关性包括确定用于描述所述计算机***的所述至少一种状态的特征的值根据时间的变化的规则。
在一个示例性方面中,至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态包括:根据对所确定的时间相关性和所述特征的值的变化的分析,识别所述计算机***的非标准行为。
在一个示例性方面中,所选择的表示合法计算机***或恶意计算机***的模式被配置成从模式的至少一个数据库来被检索,每一个模式对应于用于所述计算机***的特征变化的先前触发的规则。
在一个示例性方面中,该方法还包括:相比于所选择的阈值评估所述计算机***的所述危害程度,以确定所述计算机***是合法的还是恶意的。
一个用于检测至少一个恶意计算机***的示例性***包括:计算装置的至少一个处理器,所述至少一个处理器被配置成:收集计算机***的特征;确定所收集的所述计算机***的特征之间的关系;基于所确定的关系确定所述计算机***的至少一种状态的时间相关性;至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态;以及结合所选择的表示合法计算机***或恶意计算机***的模式,对所述计算机***的所述至少一种状态进行分析,以确定所述计算机***的危害程度。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
图1示出根据本发明的各个方面的用于检测恶意计算机***的***的结构图。
图2示出根据本发明的各个方面的用于检测恶意计算机***的方法的结构图。
图3示出用于实现本发明的各个方面的计算机***、个人计算机或服务器的示例。
具体实施方式
本文中在用于检测恶意计算机***的***、方法和计算机程序产品的上下文中描述了示例性方面。本领域的普通技术人员将认识到,以下描述仅仅是说明性的,而不旨在以任何方式进行限制。其它方面将容易地将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目。
下面介绍多个定义和概念以用于描述本发明的各个方面。
恶意应用程序(恶意软件、恶意的软件)可以包括被设计为获得对计算机***的计算资源或存储在计算机***上的信息的非授权访问的任何软件,其目的是非授权使用计算机***的资源或者通过复制、扭曲、删除或替换该信息来对信息的所有者和/或计算机***的所有者造成危害(造成损害)。
恶意活动可以包括由恶意应用程序在其执行期间所进行的动作。
恶意计算机***可以包括恶意活动正在其上执行的计算机***。
合法计算机***可以包括没有恶意活动正在其上执行的计算机***。
计算机***特征可以包括确定正在由计算机***执行的动作中的一者的计算机***的各种性能的集合。
例如,根据本发明的各个方面,计算机***的特征可以包括计算机***的操作速度,意味着计算机***将花费多少时间来执行某个预定的动作。计算机***的操作速度可以至少包括以下一组性质:
·中央处理单元的性能(以操作量/秒进行测量);
·与主存储器交换数据的速度(以字节/秒进行测量);以及
·与外部存储介质交换数据的速度(以字节/秒进行测量),并且它是相对于参考计算机***的操作速度而归一化的无量纲量。
计算机***的另一特征可以是在计算机***中同时工作的应用程序的数目。与前面的示例不同,该特征可以仅由计算机***的一个性质来描述,即可用的主存储器(以字节来测量)。
计算机***状态可以包括能够根据该计算机***的可用的计算资源并针对一组给定的数据描述运行在计算机***上的应用程序的动作的一组计算机***的特征。
计算机***状态的模式可以包括已知计算机***的特征的一部分的事先准备的集合,其足以描述运行在该计算机***上的应用程序的该组动作。
图1示出了根据本发明的各个方面的用于检测恶意计算机***的***的结构图。如图所示,该***除了其它特征,可以包括用于收集特征的模块101、用于构造关系空间的模块102、识别模块103、分析模块104、关系存储器111和模式存储器112。
在一个示例性方面中,用于收集特征的模块101可被配置成:
·收集计算机***的特征;以及
·将所收集的特征发送到用于构造关系空间的模块102。
计算机***的特征可以包括但不限于:
·计算机***的计算资源的特征;
·运行在计算机***上的软件的特征;以及
·正在计算机***上处理的数据的特征。
计算机***的计算资源的特征可以包括但并不限于以下:
·计算机***的主存储器;
·计算机***的性能;以及
·网络环境的特征。
运行在计算机***上的软件的特征可以包括但不限于以下:
·在计算机***中运行的应用程序的标识符,以及与所标识的应用程序相关联的文件的标识符(诸如名称、到可执行文件的完整的路径或可执行文件的校验和);
·来自在计算机***中运行的应用程序的配置文件的记录(诸如注册表中的条目或ini文件中的条目);以及
·应用程序之间的关系,其表征哪些应用程序交换数据以及如何交换数据。
正在计算机***上进行处理的数据的特征可以包括但不限于以下:
·数据源的标识符和数据接收者的标识符(例如,在其之间发生数据交换的应用程序的名称);
·数据类型(例如数据库文件、图像等等);以及
·数据传输方法(例如,通过计算机网络传输数据或者利用进程间通信的方法从一个应用程序到另一个应用程序传输数据)。
例如,根据本发明的各个方面,银行员工可以使用个人计算机来与在该个人计算机上所存储的具有客户个人数据的数据库来一起工作。个人计算机可以在其上安装操作***“Windows 10”、用于与数据库一起工作的应用程序“SQL Server Management Studio”、“Internet Edge”浏览器、“Microsoft Office”应用程序包和一组来自各种开发商的附加实用程序。用于收集特征的模块101可以被配置成收集以下特征:
·用户的计算机***的各种计算资源的特征:
o可用的主存储器的容量(例如8GB);
o本地磁盘和网络磁盘的容量(例如,磁盘驱动器С:120GB,磁盘驱动器D:500GB,磁盘驱动器Z:10TB);
o计算机***的中央处理单元的性能(例如10GFLOP);
o计算机网络的吞吐量(例如,100Мbit/s);
·在用户的计算机***上运行的软件的特征(关于“Internet Edge”的示例):
o应用程序的安装路径(例如C:\Program Files\Internet Edge\edge.exe等等);
o安装的应用程序的启动频率和操作时间(例如一个工作段(session)30次:8:30:17至8:34:05,8:46:56至9:01:30,等等);
o所执行的安装的应用程序的功能的统计(例如,写文件(WriteFile):13757,读文件(ReadFile):76446,创建套接(CreateSocket):5561等等);以及
o由安装的应用程序对计算机***的计算资源的使用的统计,包括但不限于:
■使用的主存储器的容量(例如,1034MB);
■计算机***的中央处理单元的工作负载水平(例如,7.56%);
■网络地址,数据交换通过该网络地址来发生(例如,192.168.17.1、192.168.34.56等等);以及
■正从存储介质读取的数据量或正写入存储介质的数据量(例如,数据输入:5641MB,数据输出:675MB);
·网络环境的特征可以包括:
o网络地址,数据交换通过该网络地址来发生(例如,192.168.17.1、192.168.34.56等等);以及
o在该网络地址处的数据交换的速度(例如,192.168.17.1:30MB/s,192.168.34.56:15MB/s);
·用户活动可以包括:
o哪些应用程序由用户启动(例如SQL Server Management Studio);以及
o安装的应用程序的图形界面的哪些元素已被使用(例如,对话框:ID=12145,按钮:ID=17,87)。
例如,用于收集特征的模块101在任何给定时刻可以收集唯一定义或指示计算机***的当前状态的特征,即,模块101可以确定所有安装的应用程序、与这些应用程序相关联的文件、以及在这些应用程序的工作期间已经发生的进程。
用于构造关系空间的模块102可被配置成:
·确定获得的计算机***的特征之间的关系,其中关系可以是一个特征的值响应于另一个特征的值变化而发生变化的函数;
·至少基于对确定的关系的分析,确定计算机***的状态的时间相关性,其中计算机***的状态可以由确定的关系组来表征,并且计算机***的状态的时间相关性包括规则,该规则描述以下内容:描述计算机***的状态的特征的值根据时间的变化;以及
·向识别模块103发送所确定的计算机***的状态的时间相关性。
当确定计算机***的状态的时间相关性时,获得的计算机***的特征之间的先前所确定的关系的分析可以包括但不限于以下:
·识别在计算机***的状态的描述中涉及的一个特征的值的变化的时间相关性,这通过使用该特征对于其它特征(其中,对于所述其它特征,已经建立了时间相关性)的已知相关性来进行;以及
·根据提到的特征的值的所识别的时间相关性,构成用于提到的特征的值的变化的规则。
所确定的关系可以用从关系存储器111获得的关系来补充,并且所确定的关系还可以被保存在关系存储器111中,以在下一次(例如,在计算机***的状态变化时)确定关系期间使用存储的关系。
例如,可以以上述方式保存合法的计算机***的关系并将其与恶意计算机***的关系相比较。
由模块101所收集的所有的特征的值可以以多维空间的点的形式来表示,其中每一个维度表示一个特征。在这种情况下,这些点的集合可以限定某一表面。通过选择一个或多个特征,可以从该表面获得所选择的特征在空间中的投影。如果这种投影可以表征作为整体的计算机***的状态,则所获得的投影可以表征该***根据所选择的特征的状态变化。
例如,所选择的特征可以包括但不限于:a)主存储器的容量,和b)应用程序在计算机***中工作的开始次序。每一个根据b)启动的应用程序可以利用a)的主存储器的某一容量,从而可用的主存储器的容量随着每一个新的应用程序启动而降低。为了构造主存储器的可用容量依赖于运行在计算机***中的应用程序的数目的二维函数,可以获得如下这种特征递减函数
其中M为可用的主存储器的容量,N为运行在计算机***中的应用程序的数目,以及
为运行在计算机***中的应用程序的平均数目,计算机***可以利用该函数操作。如果计算机***没有变化(例如没有安装新的应用程序)或者如果计算机***稍有变化(安装了不经常使用的应用程序或者对计算机***的工作有很小影响的应用程序),则所获得的函数可变化不大。
所收集的每一个特征可以具有依赖于计算机***的操作时间的数个值。这样确定的特征之间的关系还可以随时间而变化。
例如,主存储器的容量可以根本不依赖于正在由计算机***的处理器执行的操作的数目,直到图像处理或密码猜测应用程序在计算机***上启动的时候。但是在这种应用程序启动之后,主存储器的容量对于正在由处理器执行的操作的数目的相关性可以变成倒数(
其中N为执行的操作的数目)。
根据本发明的一个示例性方面,时间相关性的分析可以使得能够识别计算机***的非标准行为,该非标准行为可以指示恶意软件正在该***中运行。例如,在特定的时刻之前的主存储器的容量变化可以由低周期振荡表征(例如经运行的应用程序的请求,操作***相对很少地分配或空出主存储器的多个大的容量),但是随后这些振荡变成高周期振荡(例如经运行的应用程序的请求,操作***经常开始分配或空出主存储器的多个小的容量)。这可以指示应用程序已经开始在计算机***中运行,该计算机***利用存储器执行少数量的操作并且之后立刻将操作的结果发送至另一应用程序或者发送至将结果保存至硬盘的不同的应用程序,这不是区别于合法的应用程序的行为。然而,这种行为可以区别于某些种类的恶意应用程序,这些恶意应用程序诸如所谓的木马间谍—在从用户的计算机收集机密数据中涉及的恶意程序。
在一个示例性方面中,识别模块103可被配置成:
·至少基于所获得的计算机***的状态的时间相关性的分析来确定计算机***的状态;
·从模式存储器112选择计算机***的状态的模式,这些模式可以表示:
o合法计算机***的状态;以及
o恶意计算机***的状态;
·将所确定的计算机***的状态与所选择的模式比较;以及
·将比较结果发送到分析模块104。
计算机***的状态可以如下来确定:
·在触发用于计算机***的变化的多个规则时:
o应用程序已经开始运行;
o应用程序已经完成运行;以及
o已经调用先前所选择的API函数;以及
·在已建立的时间点周期性地。
在一个示例性方面中,模式存储器112可以保存计算机***的状态的模式,其包括表征先前所选择的计算机***的行为的计算机***的状态。
例如,计算机***的状态的模式可以仅包括定义应用程序的网络活动的特征,从而该计算机***的状态可以仅表征在计算机网络中交换数据时的该计算机***的行为。
计算机***的状态的模式可以根据先前由于计算机***的变化而触发的规则来从模式存储器112来选择。
例如,在应用程序已经开始在计算机***中运行时的情况下,可以选择计算机***的状态的模式,该计算机***的状态的模式包括规定应用程序在该操作***中初始化的特征。
计算机***的状态的比较结果可以是从0(如果当计算机***的这些特征的值对于计算机***的两种状态相等时,计算机***的这两种状态为计算机***的相同的特征的组)到1(如果计算机***的一种状态为计算机***的一组特征,该组特征不同于包括计算机***的第二种状态的特征)的数值。
例如,计算机***的每一种状态可被表示为多维向量,该多维向量包括作为计算机***的特征且指定该计算机***的状态的分量。在这一情况下,计算机***的两种状态的比较可以包括计算两个多维向量的标积,每一个多维向量可以表示计算机***的一种状态,并且该比较结果可以为指示一个向量区别于另一个向量多大程度的数值(0—计算机***的状态相同,±π—计算机***的状态最大程度不同)。
分析模块104可被配置成:
·至少基于计算机***的状态与所选择的模式的所获得的比较结果的分析确定计算机***的危害程度;以及
·基于计算机***的所确定的危害程度与所选择的阈值的比较结果做出将计算机***识别为恶意的结论。
计算机***的危害程度可以是由于计算机***的状态的比较结果而获得的数值,其表征:
·不同于先前确定的合法计算机***的程度;以及
·类似于先前确定的恶意计算机***的程度。
例如,作为计算机***的特定状态与合法计算机***(新的软件安装在该合法计算机***上)的先前指定的状态的比较的结果,计算出0.01的危害程度(例如该计算机***有高的可能性是合法的);但在另一方面,作为与恶意计算机***(恶意应用程序在该恶意计算机***上运行并且提供对受害者的计算机的远程控制(后门))的先前指定的状态的比较的结果,计算出0.5的危害程度(高指示符,但不足以确定该计算机***为恶意的),其与在该计算机***上正发生软件安装的事实结合在一起,得出0.9的危害程度,这意味着正被分析的计算机***可能被确定为恶意的。
关系存储器111可被配置成:
·存储由用于收集特征的模块101聚集的计算机***的特征之间的关系;以及
·向用于构造关系空间的模块102提供所述所收集的关系。
模式存储器112可被配置成:
·存储先前所确定的模式:
o合法计算机***的状态;以及
o恶意计算机***的状态;
·向识别模块103提供所述模式。
模式可以包括:
·基于所选择的安全性策略而预先从计算机***的状态所选择的模式(例如在该计算机***上允许进行的以及如何进行的模式);
·基于用户的计算机的防病毒扫描的结果而预先从用户的计算机***的状态所选择的模式(从被认为正感染有恶意应用程序的计算机,获得恶意计算机***的状态;以及从被认可为合法的计算机,获得合法计算机***的状态);以及
·预先被确定为正被分析的计算机***的先前所获得的状态的模式(例如,如果对于计算机***持续长时间没有做出变化,或者做出的变化是可以忽略的)。
在一个示例性方面中,可以基于分析一计算机***来检测恶意计算机***,在该计算机***上用户#1已经工作了很长时间、处理Microsoft Word文档,而在给定的时刻,用户#2(黑客)已经开始远程地在该计算机***上工作、除了其它之外访问恶意网站和下载并运行设计成窃取私人用户数据的恶意应用程序。
起初,该计算机***是合法的,即没有恶意活动正在其上进行。在用户#1在该计算机***中对Microsoft Word文档进行工作期间,可能定期收集计算机***的特征,这些特征诸如正在使用的主存储器的容量、中央处理单元依赖于用户在计算机***上的活动的工作负载水平、网络连接的性质、通过其进行数据交换的网络地址、通过该计算机网络发送的数据的性质(容量、类型、结构等等)。从这些收集的计算机***的特征,选择描述由用户#1执行的动作的特征,即,与Microsoft Word文档的处理相关的特征(诸如这样的特征,针对该特征的值的改变依赖于指定Microsoft Word的工作的特征的值的变化,诸如由Microsoft Word向网络磁盘传输的数据量,正在由用户访问的网络地址、由用户下载的Microsoft Word文档等等),选择描述由Microsoft Word应用程序本身的工作所执行的动作的特征(例如,下载Microsoft Word更新的网络地址)。随着时间的过去,基于所收集的数据来确定合法计算机***的状态,其为计算机***的一组所选择的特征。
所有在给定时间点处获得的所选择的特征的值可以表示为一组位于多维空间中的点,其中如上所讨论的,每一个所选择的特征可以包括该空间的一个维度。这一组点可以形成封闭表面(其可被称为“计算机***状态的表面”),该封闭表面包围其点表征计算机***的一个合法状态的空间的区域(其可被称为“计算机***的合法状态的区域”),即在用户#1的工作期间所获得的计算机***的状态;而由所提到的表面所包围的该区域外部的点可以包括其活动不同于由用户#1所执行的活动的计算机***的状态。用户#1在该计算机***中的任何动作可导致所选择的特征的值变化,这反过来反映在“计算机***状态的表面”中。因此,可以通过“计算机***状态的表面”#t1.1获得并描述计算机***的旧状态,并且可以通过“计算机***状态的表面”#t1.2获得并描述计算机***的新状态。在一个示例性方面中,“计算机***状态的表面”#t2与“合法计算机***状态的表面”t1的不同程度可以表征该计算机***在时刻t1.2处的危害程度。
可替选地,当用户#1正在计算机***中工作时,该计算机***的状态与合法计算机***的状态的模式的比较结果可以产生等于0.05的计算机***的危害程度,与恶意计算机***的状态的模式的比较可以产生0.01的危害程度。因此,可以确定其中用户#1正在工作的计算机***为合法的。
在用户#2正在该计算机***中工作时的情况下,他可能定期地访问恶意网站,并从那些网站下载并运行恶意应用程序。用户的行为变化也可以反映在计算机***的行为中,这是由于额外的功能开始用于利用远程定位的文件来工作,例如启动浏览器、进入恶意网站等等。在某一时间,可以从其中一个网络地址将恶意应用程序下载到计算机***、安装并启动以及开始收集私人数据并通过计算机网络发送该私人数据。这种活动会导致该计算机***的许多特征的值变化,这反过来强烈地反映在该计算机***的结果状态中。如果所有的特征的值以多维空间的点的形式来表示,其中在维度是计算机***的特征,如上所述,由在前面提到的恶意应用程序正在该计算机***中工作的时刻的点所形成的表面(“计算机***当前状态的表面”)显著不同于在计算机***是合法的时刻的点所形成的表面(“计算机***合法状态的表面”)。该差异可以反映在以下事实中:“计算机***合法状态的区域”和“计算机***当前状态的区域”具有一个与它们的全部体积相比、较小体积的共同区域。
作为计算机***的状态与合法计算机***的状态的模式的比较结果,可以确定并计算出等于0.50的计算机***的危害程度,与恶意计算机***的状态的模式的比较可以产生0.80的危害程度。因此,可以确定其中用户#2正在工作的计算机***为恶意的。
图2示出了根据本发明的一个示例性方面的检测恶意计算机***的方法的结构图。该检测恶意计算机***的方法的结构图可以开始于步骤201,在步骤201中可以识别并收集计算机***的特征,在步骤202中可以确定计算机***的特征之间的关系,在步骤203中可以确定计算机***的状态的时间相关性,在步骤204中可以确定计算机***的状态,在步骤205中可以比较计算机***的特征,在步骤206中可以确定计算机***的危害程度,以及在步骤207中可以做出结论。
更具体地,参照图2,在步骤201中,可以识别并收集计算机***的特征。
计算机***的特征可以包括但不限于以下:
·计算机***的计算资源的特征;
·运行在计算机***上的软件的特征;以及
·正在计算机***上处理的数据的特征。
计算机***的计算资源的特征可以包括但并不限于以下:
·计算机***的主存储器;
·计算机***的性能;以及
·网络环境的特征。
运行在计算机***上的软件的特征可以包括但不限于以下:
·在计算机***中运行的应用程序的标识符,以及与所标识的应用程序相关联的文件的标识符(诸如名称、到可执行文件的完整的路径或可执行文件的校验和);
·来自在计算机***中运行的应用程序的配置文件的记录(诸如注册表中的条目或ini文件中的条目);以及
·应用程序之间的关系,其表征哪些应用程序交换数据以及如何交换数据。
正在计算机***上进行处理的数据的特征可以包括但不限于以下:
·数据源的标识符和数据接收者的标识符(例如,在其之间发生数据交换的应用程序的名称);
·数据类型(例如数据库文件、图像等等);
·数据传输方法(例如,通过计算机网络传输数据或者利用进程间通信的方法从一个应用程序到另一个应用程序传输数据)。
在步骤202中,可以确定在步骤201中所收集的计算机***的特征之间的关系,其中关系可以包括一个特征的值变化对另一个特征的值变化的相关性。
当确定计算机***的状态的时间相关性时,在步骤201中所收集的计算机***的特征之间的先前所确定的关系的分析可以包括:
·识别在计算机***的状态的描述中涉及的一个特征的值的变化的时间相关性,这通过使用该特征对于其它特征(其中,对于所述其它特征,已经建立了时间相关性)的已知相关性来进行;以及
·通过提到的特征的值的所识别的时间相关性,构成用于提到的特征的值的变化的规则。
所确定的关系可以用从关系存储器111获得的关系来补充,并且所确定的关系可以被存储在关系存储器111中,使得在下一次(例如,在计算机***的状态变化时)确定关系期间可以使用存储的关系。
在步骤201中所收集的所有特征的值可以以多维空间的点的形式来表示,其中每一个维度可以表示表示一个特征。在这种情况下,所提到的点的集合可以指定某一表面。通过选择必要的特征,可以从该指定的表面获得所选择的特征在空间中的投影。如果所描述的投影表征作为整体的计算机***的状态,则所获得的投影可以表征该***对于所选择的特征的状态变化。
在步骤201中所收集的每一个特征可以具有依赖于计算机***的操作时间的数个值。这样确定的特征之间的关系还可以随时间而变化。
在步骤203中,可以基于对在步骤202中所确定的关系的分析来确定计算机***的状态的时间相关性,其中计算机***的状态可以用这样确定的关系组来表征,并且计算机***的状态的时间相关性可以包括规则,该规则描述以下内容:描述计算机***的状态的特征的值根据时间的变化。
对时间相关性的分析可以使得能够确定并追踪计算机***的非标准行为,该非标准行为可以指示恶意软件正在***中运行。
在步骤204中,可以基于对如在步骤203中所确定的计算机***的状态的时间相关性的分析来确定计算机***的状态。
计算机***的状态可以如下来来确定:
·在触发用于计算机***的变化的多个规则时:
o应用程序已经开始运行;
o应用程序已经完成运行;以及
o已经调用先前所选择的API函数;以及
·在已建立的时刻周期性地。
在步骤205中,可以比较计算机***的特征。更具体地:
·可以从模式存储器112选择计算机***的状态的模式,其可以表示:
o合法计算机***的状态;以及
o恶意计算机***的状态;
·可以将在步骤204中所确定的计算机***的状态与所选择的模式进行比较。
模式可以包括:
·基于所选择的安全性策略而预先从计算机***的状态所选择的模式(例如在该计算机***上允许进行的以及如何进行的模式);
·基于用户的计算机的防病毒扫描的结果而预先从用户的计算机***的状态所选择的模式(从被认为正感染有恶意应用程序的计算机,获得恶意计算机***的状态;以及从被认可为合法的计算机,获得合法计算机***的状态);
·预先被确定为正被分析的计算机***的先前所获得的状态的模式(例如,如果对于计算机***持续长时间没有做出变化,或者做出的变化是可以忽略的)。
在一个示例性方面中,可以将计算机***的状态的模式存储在模式存储器112中,所述计算机***的状态的模式表示包括先前所选择的计算机***的行为的计算机***的状态。
也可以根据针对计算机***的变化而先前触发的规则,从模式存储器112选择计算机***的状态的模式。
计算机***的状态的比较结果可以是从0(如果当计算机***的提到的特征的值对于计算机***的两种状态相等时,计算机***的这两种状态为计算机***的相同的特征的组)到1(如果计算机***的一种状态为计算机***的一组特征,该组特征不同于构成计算机***的第二种状态的特征的组)的数值。
在步骤206中,可以基于对在步骤205中所获得的计算机***的状态的比较结果的分析来确定计算机***的危害程度。
计算机***的危害程度可以包括由于计算机***的状态的比较结果而获得的数值,其包括但不限于以下:
·不同于先前确定的合法计算机***的程度;以及
·类似于先前确定的恶意计算机***的程度。
在步骤207中,可以基于在步骤206中所确定的计算机***的危害程度与所选择的阈值的比较结果确定并作出将计算机***识别为恶意的结论。
图3示出了计算机***或计算设备的示例,所公开的***和方法可以在该计算机***或计算设备上实现。如图所示,该计算机***包括中央处理单元21、***存储器22和连接各种***部件的***总线23,各种***部件包括与中央处理单元21相关联的存储器。***总线23像现有技术已知的任何总线结构一样来实现,该任何总线结构依次包括总线存储器或总线存储器控制器、***总线和本地总线,能够与任何其它的总线架构交互。***存储器包括永久存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出***(basic input/output system,BIOS)26包括确保在个人计算机20的元件之间的信息传输的基本程序,例如在使用ROM 24加载操作***时的那些基本程序。
然后,个人计算机20包括用于数据的读取和写入的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28和用于在可移动光盘31(例如CD-ROM、DVD-ROM和其它的光学信息介质)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28、和光盘驱动器30分别经过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到***总线23。驱动器和对应的计算机信息介质为用于存储个人计算机20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
本发明提供了使用硬盘27、可移动磁盘29和可移动光盘31的***的实现方式,但是应当理解的是,可以采用能够存储以计算机可读的形式的数据的其它类型的计算机信息介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等),该其它类型的计算机信息介质56经由控制器55连接到***总线23。
计算机20具有保留记录的操作***35的文件***36、以及另外的程序应用37、其它的程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20中。可以使用其它的输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等等。这样的输入设备通常通过串行端口46而插接到计算机***20中,该串行端口46转而连接至***总线,但这样的输入设备可以以其它方式(例如借助并行端口、游戏端口或通用串行总线(USB))被连接。监控器47或其它类型的显示设备也经过接口(诸如视频适配器48)连接至***总线23。除了监控器47外,个人计算机还可以配备有其它的***输出设备(未示出),诸如扬声器、打印机等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接,在网络环境中操作。一个或多个远程计算机49也是个人计算机或服务器,其具有在描述个人计算机20的性质时使用的上述元件中的大多数元件或全部元件。其它的设备也可以存在于计算机网络中,例如路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(Local-Area computer Network,LAN)50和广域计算机网络(Wide-Area computer Network,WAN)。这种网络用在企业计算机网络和公司内部网络中,并且它们通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或其它的用于提供与广域计算机网络(例如因特网)的通信的模块。作为内部设备或外部设备的调制解调器54通过串行端口46连接至***总线23。应当注意的是,网络连接仅仅是示例并且不需要描述网络的准确配置,即实际上具有通过技术通信模块建立一个计算机到另一个计算机的连接的其它方式。
在各个方面中,本文所描述的***和方法可以在硬件、软件、固件或它们的任何组合中实施。如果在软件中实施,则该方法可以被存储为在永久性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或任何其它介质,该任何其它介质可用来承载或存储以指令或数据结构形式的所期望的程序代码并可以被通用计算机的处理器访问。
在各个方面中,本发明中所描述的***和方法可以按照模块来处理。本文所使用的术语“模块”指的是:现实世界的设备;部件;或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,FPGA))实施的部件的布置;或硬件和软件的组合,例如通过微处理器***和实现模块功能的指令组,该指令组(在被执行时)将微处理器***转换成专用设备。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分、以及在某些情况下模块的全部可以被执行在用户计算机或计算设备的处理器上,这些模块诸如在上文图1和图2中更详细描述的用于收集特性的模块101、用于构造关系空间的模块102、识别模块103和分析模块104。因此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所示例化的任何特定的实现方式。
为了清楚起见,本文没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力可能是复杂且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文所公开的各个方面包括本文以说明性方式所提到的已知模块的现在和未来知道的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的内容更多的修改是可行的,而不脱离本文所公开的发明构思。
Claims (17)
1.一种用于检测恶意计算机***的计算机实现的方法,其特征在于,所述方法包括:
通过处理器收集计算机***的特征,其中,所述计算机***的特征的值表示为多维空间的点,在所述多维空间中,每一个维度表示一个特征;
确定所收集的所述计算机***的特征之间的关系;
基于所确定的关系确定所述计算机***的至少一种状态的时间相关性;
至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态,其中,所述计算机***的状态表示为所述多维空间中的封闭表面,所述封闭表面包围其点表征所述计算机***的合法状态的空间区域;以及
基于结合所选择的表示合法计算机***或恶意计算机***的模式对所述计算机***的所述至少一种状态进行分析,确定所述计算机***的危害程度。
2.根据权利要求1所述的计算机实现的方法,其中,收集所述计算机***的特征包括收集以下特征中的至少一种:所述计算机***的计算资源的特征、运行在所述计算机***上的软件的特征和正在所述计算机***上处理的数据的特征。
3.根据权利要求2所述的计算机实现的方法,其中,所述计算机***的计算资源的特征包括以下特征中的至少一种:所述计算机***的主存储器的特征、所述计算机***的性能和与所述计算机***相关联的网络环境的特征。
4.根据权利要求2所述的计算机实现的方法,其中,所述运行在所述计算机***上的软件的特征包括以下特征中的至少一种:在所述计算机***中运行的一个或多个应用程序的标识符以及与所述一个或多个应用程序相关联的文件的特征、来自在所述计算机***中运行的所述一个或多个应用程序的配置文件的记录、和所述一个或多个应用程序之间的关系。
5.根据权利要求2所述的计算机实现的方法,其中,所述正在所述计算机***上处理的数据的特征包括以下特征中的至少一种:所述数据的源的标识符和所述数据的接收者的标识符、所述数据的类型、和数据传输方法。
6.根据权利要求1所述的计算机实现的方法,其中,根据另一特征的值变化时的一个特征的值的变化来配置关系,其中确定所收集的所述计算机***的特征之间的关系包括:至少基于所选择的特征在所述多维空间中的投影确定所述计算机***的所述至少一种状态。
7.根据权利要求6所述的计算机实现的方法,其中,基于所确定的关系确定所述计算机***的所述至少一种状态的时间相关性包括:确定用于描述所述计算机***的所述至少一种状态的特征的值根据时间的变化的规则。
8.根据权利要求7所述的计算机实现的方法,其中,至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态包括:根据对所确定的时间相关性和所述特征的值的变化的分析,识别所述计算机***的非标准行为。
9.根据权利要求1所述的计算机实现的方法,其中,所选择的表示合法计算机***或恶意计算机***的模式被配置成从模式的至少一个数据库来被检索,每一个模式对应于用于所述计算机***的特征变化的先前触发的规则。
10.根据权利要求1所述的计算机实现的方法,还包括:相比于所选择的阈值评估所述计算机***的所述危害程度,以确定所述计算机***是合法的还是恶意的。
11.一种用于检测恶意计算机***的***,其特征在于,所述***包括:
至少一个硬件处理器,所述至少一个硬件处理器被配置成:
收集计算机***的特征,其中,所述计算机***的特征的值表示为多维空间的点,在所述多维空间中,每一个维度表示一个特征;
确定所收集的所述计算机***的特征之间的关系;
基于所确定的关系确定所述计算机***的至少一种状态的时间相关性;
至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态,其中,所述计算机***的状态表示为所述多维空间中的封闭表面,所述封闭表面包围其点表征所述计算机***的合法状态的空间区域;以及
基于结合所选择的表示合法计算机***或恶意计算机***的模式对所述计算机***的所述至少一种状态进行分析,确定所述计算机***的危害程度。
12.根据权利要求11所述的用于检测恶意计算机***的***,其中,为了收集所述计算机***的特征,所述至少一个处理器还被配置成收集以下特征中的至少一种:所述计算机***的计算资源的特征、运行在所述计算机***上的软件的特征和正在所述计算机***上处理的数据的特征。
13.根据权利要求12所述的用于检测恶意计算机***的***,
其中,所述计算机***的计算资源的特征包括以下特征中的至少一种:所述计算机***的主存储器的特征、所述计算机***的性能和与所述计算机***相关联的网络环境的特征;
其中,所述运行在所述计算机***上的软件的特征包括以下特征中的至少一种:在所述计算机***中运行的一个或多个应用程序的标识符以及与所述一个或多个应用程序相关联的文件的特征、来自在所述计算机***中运行的所述一个或多个应用程序的配置文件的记录、和所述一个或多个应用程序之间的关系;以及
其中,所述正在所述计算机***上处理的数据的特征包括以下特征中的至少一种:所述数据的源的标识符和所述数据的接收者的标识符、所述数据的类型、和数据传输方法。
14.根据权利要求11所述的用于检测恶意计算机***的***,其中,根据另一特征的值变化时的一个特征的值的变化来配置关系,
其中,所选择的表示合法计算机***或恶意计算机***的模式被配置成从模式的至少一个数据库来被检索,每一个模式对应于用于所述计算机***的特征变化的先前触发的规则;以及
其中,为了确定所收集的所述计算机***的特征之间的所述关系,所述至少一个处理器还被配置成:至少基于所选择的特征在所述多维空间中的投影确定所述计算机***的所述至少一种状态。
15.根据权利要求14所述的用于检测恶意计算机***的***,其中,为了基于所确定的关系确定所述计算机***的所述至少一种状态的时间相关性,所述至少一个处理器还被配置成确定用于描述所述计算机***的所述至少一种状态的特征的值根据时间的变化的规则。
16.根据权利要求15所述的用于检测恶意计算机***的***,其中,为了至少基于所确定的时间相关性确定所述计算机***的所述至少一种状态,所述至少一个处理器还被配置成根据对所确定的时间相关性和所述特征的值的变化的分析,识别所述计算机***的非标准行为。
17.根据权利要求11所述的用于检测恶意计算机***的***,其中,所述至少一个处理器还被配置成相比于所选择的阈值评估所述计算机***的所述危害程度,以确定所述计算机***是合法的还是恶意的。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016121877 | 2016-06-02 | ||
| RU2016121877A RU2634181C1 (ru) | 2016-06-02 | 2016-06-02 | Система и способ обнаружения вредоносных компьютерных систем |
| US15/215,116 | 2016-07-20 | ||
| US15/215,116 US10372907B2 (en) | 2016-06-02 | 2016-07-20 | System and method of detecting malicious computer systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107463841A CN107463841A (zh) | 2017-12-12 |
| CN107463841B true CN107463841B (zh) | 2020-12-04 |
Family
ID=60154053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611054559.8A Active CN107463841B (zh) | 2016-06-02 | 2016-11-25 | 检测恶意计算机***的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10372907B2 (zh) |
| JP (1) | JP6341964B2 (zh) |
| CN (1) | CN107463841B (zh) |
| RU (1) | RU2634181C1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10681073B2 (en) * | 2018-01-02 | 2020-06-09 | International Business Machines Corporation | Detecting unauthorized user actions |
| RU2724710C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ классификации объектов вычислительной системы |
| RU2739866C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения совместимых средств для систем с аномалиями |
| RU2724800C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения источника вредоносной активности на компьютерной системе |
| US11108790B1 (en) * | 2019-04-30 | 2021-08-31 | Rapid7, Inc. | Attack signature generation |
| KR102244128B1 (ko) * | 2020-10-19 | 2021-04-23 | (주)시큐레이어 | 컴퓨팅 리소스 수용량에 기반한 네트워크 공격 강도 측정 기법을 사용하는 네트워크 호스트 공격 탐지 방법 및 장치 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5090415B2 (ja) | 2003-10-10 | 2012-12-05 | シャープ株式会社 | 再生装置、ビデオデータの再生方法、制御プログラム、及びコンテンツ記録媒体 |
| US7673341B2 (en) | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
| CN1988541A (zh) * | 2005-12-19 | 2007-06-27 | 国际商业机器公司 | 确定恶意工作负荷模式的方法和装置 |
| US8065728B2 (en) * | 2007-09-10 | 2011-11-22 | Wisconsin Alumni Research Foundation | Malware prevention system monitoring kernel events |
| EP2081356A1 (en) | 2008-01-18 | 2009-07-22 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Method of and telecommunication apparatus for SIP anomaly detection in IP networks |
| JP5009244B2 (ja) * | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| EP2157526B1 (en) * | 2008-08-14 | 2014-04-30 | Assa Abloy Ab | RFID reader with embedded attack detection heuristics |
| JP5413010B2 (ja) * | 2009-07-17 | 2014-02-12 | 日本電気株式会社 | 分析装置、分析方法およびプログラム |
| US8566943B2 (en) * | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
| JP5329451B2 (ja) | 2010-01-27 | 2013-10-30 | 三洋電機株式会社 | 非水系二次電池 |
| RU2420793C1 (ru) * | 2010-03-02 | 2011-06-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения потенциально вредоносных программ на основе контроля целостности файлов с использованием временных отметок |
| US8925101B2 (en) * | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US9094291B1 (en) * | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
| RU2486588C1 (ru) * | 2012-03-14 | 2013-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы |
| US20140053267A1 (en) * | 2012-08-20 | 2014-02-20 | Trusteer Ltd. | Method for identifying malicious executables |
| WO2014128284A1 (en) * | 2013-02-22 | 2014-08-28 | Adaptive Mobile Limited | Dynamic traffic steering system and method in a network |
| EP2785009A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
| US9213807B2 (en) * | 2013-09-04 | 2015-12-15 | Raytheon Cyber Products, Llc | Detection of code injection attacks |
| US9607146B2 (en) | 2013-09-18 | 2017-03-28 | Qualcomm Incorporated | Data flow based behavioral analysis on mobile devices |
| AU2014346390B2 (en) * | 2013-11-11 | 2018-06-21 | Adallom, Inc. | Cloud service security broker and proxy |
| RU2571723C2 (ru) | 2013-12-05 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения |
| US20150039513A1 (en) * | 2014-02-14 | 2015-02-05 | Brighterion, Inc. | User device profiling in transaction authentications |
| DK3123868T3 (en) * | 2015-07-25 | 2018-12-10 | Dmk Deutsches Milchkontor Gmbh | PROCEDURE FOR MANUFACTURING MILK PRODUCTS WITH DEFINED LACTOSE CONTENT |
| US11848940B2 (en) * | 2015-08-28 | 2023-12-19 | The Boeing Company | Cumulative trajectory of cyber reconnaissance indicators |
| US10097581B1 (en) * | 2015-12-28 | 2018-10-09 | Amazon Technologies, Inc. | Honeypot computing services that include simulated computing resources |
-
2016
- 2016-06-02 RU RU2016121877A patent/RU2634181C1/ru active
- 2016-07-20 US US15/215,116 patent/US10372907B2/en active Active
- 2016-09-13 JP JP2016178478A patent/JP6341964B2/ja active Active
- 2016-11-25 CN CN201611054559.8A patent/CN107463841B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| RU2634181C1 (ru) | 2017-10-24 |
| JP2017220195A (ja) | 2017-12-14 |
| US10372907B2 (en) | 2019-08-06 |
| CN107463841A (zh) | 2017-12-12 |
| US20170351859A1 (en) | 2017-12-07 |
| JP6341964B2 (ja) | 2018-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109684832B (zh) | 检测恶意文件的***和方法 | |
| AU2018217323B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| CN107463841B (zh) | 检测恶意计算机***的***和方法 | |
| US11582256B2 (en) | Determining multiple ways for compromising a network node in a penetration testing campaign | |
| CN110659483B (zh) | 使用在一个恶意文件上训练的学习模型识别多个恶意文件的***和方法 | |
| Alazab et al. | Cybercrime: the case of obfuscated malware | |
| CN107066883B (zh) | 用于阻断脚本执行的***和方法 | |
| CN106687971B (zh) | 用来减少软件的攻击面的自动代码锁定 | |
| RU2646352C2 (ru) | Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ | |
| US8479296B2 (en) | System and method for detecting unknown malware | |
| US20190141075A1 (en) | Method and system for a protection mechanism to improve server security | |
| US8474040B2 (en) | Environmental imaging | |
| JP7068294B2 (ja) | コンピュータセキュリティ動作を最適化するための動的評判インジケータ | |
| Shan et al. | Growing grapes in your computer to defend against malware | |
| EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
| Le Jamtel | Swimming in the Monero pools | |
| US11693961B2 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
| US7840958B1 (en) | Preventing spyware installation | |
| EP3252645B1 (en) | System and method of detecting malicious computer systems | |
| Choi et al. | PhantomFS-v2: Dare you to avoid this trap | |
| CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| Gupta et al. | Developing a blockchain-based and distributed database-oriented multi-malware detection engine | |
| JP7238987B2 (ja) | セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム | |
| Ahmed | Behaviour Anomaly on Linux Systems to Detect Zero-day Malware Attacks | |
| Emmah et al. | Review of malware and techniques for combating zero-day attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |