RU2012141478A - Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов - Google Patents

Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов Download PDF

Info

Publication number
RU2012141478A
RU2012141478A RU2012141478/08A RU2012141478A RU2012141478A RU 2012141478 A RU2012141478 A RU 2012141478A RU 2012141478/08 A RU2012141478/08 A RU 2012141478/08A RU 2012141478 A RU2012141478 A RU 2012141478A RU 2012141478 A RU2012141478 A RU 2012141478A
Authority
RU
Russia
Prior art keywords
rules
determining
rating
rule
hazard rating
Prior art date
Application number
RU2012141478/08A
Other languages
English (en)
Other versions
RU2514140C1 (ru
Inventor
Олег Владимирович Зайцев
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2012141478/08A priority Critical patent/RU2514140C1/ru
Priority to US13/705,282 priority patent/US9021584B2/en
Application granted granted Critical
Publication of RU2012141478A publication Critical patent/RU2012141478A/ru
Publication of RU2514140C1 publication Critical patent/RU2514140C1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

1. Способ пополнения антивирусных баз правил определения рейтинга опасности состоит из этапов:получают в средстве обработки отчетов на стороне сервера статистику проверки приложения, не менее чем на одном, персональном компьютере пользователя;выполняют сравнение статистики проверки приложения со списком хранения безопасных объектов, выявляют известные безопасные объекты, у которых был рассчитан высокий рейтинг опасности;исследуют характерные особенности работы известных безопасных объектов и формируют новое правило определения рейтинга опасности;новое правило определения рейтинга опасности имеет приоритет перед правилами, которые были использованы при расчете высокого рейтинга безопасного объекта;выполняют пополнение антивирусной базы правил новым правилом определения рейтинга опасности на стороне персонального компьютера пользователя.2. Способ по п.1 формулы, в котором статистика проверки приложения содержит идентификатор приложения и данные проверки правил определения рейтинга опасности на данном приложении.3. Способ по п.1 формулы, в котором средство анализа при формировании базы определения порядка проверки правил учитывает приоритет выполнения правил, и приоритет правил обусловлен порядком следования номеров правил в первом поле базы определения порядка проверки правил.4. Способ по п.1 формулы, в котором средство анализа при формировании базы определения правил добавляет новое правило, при этом новое правило содержит характерное поведение безопасного объекта, пониженные значения для начисления рейтинга.5. Способ по п.1 формулы, в котором упомянутое средство хранения списка безопасных

Claims (18)

1. Способ пополнения антивирусных баз правил определения рейтинга опасности состоит из этапов:
получают в средстве обработки отчетов на стороне сервера статистику проверки приложения, не менее чем на одном, персональном компьютере пользователя;
выполняют сравнение статистики проверки приложения со списком хранения безопасных объектов, выявляют известные безопасные объекты, у которых был рассчитан высокий рейтинг опасности;
исследуют характерные особенности работы известных безопасных объектов и формируют новое правило определения рейтинга опасности;
новое правило определения рейтинга опасности имеет приоритет перед правилами, которые были использованы при расчете высокого рейтинга безопасного объекта;
выполняют пополнение антивирусной базы правил новым правилом определения рейтинга опасности на стороне персонального компьютера пользователя.
2. Способ по п.1 формулы, в котором статистика проверки приложения содержит идентификатор приложения и данные проверки правил определения рейтинга опасности на данном приложении.
3. Способ по п.1 формулы, в котором средство анализа при формировании базы определения порядка проверки правил учитывает приоритет выполнения правил, и приоритет правил обусловлен порядком следования номеров правил в первом поле базы определения порядка проверки правил.
4. Способ по п.1 формулы, в котором средство анализа при формировании базы определения правил добавляет новое правило, при этом новое правило содержит характерное поведение безопасного объекта, пониженные значения для начисления рейтинга.
5. Способ по п.1 формулы, в котором упомянутое средство хранения списка безопасных объектов содержит контрольные суммы известных безопасных объектов.
6. Способ по п.1 формулы, в котором характерной особенностью работы известных безопасных объектов является вызываемая API-функция и аргументы API-функции.
7. Способ по п.1 формулы, в котором новое правило определения рейтинга опасности имеет более высокий приоритет в соответствии с очередью выполнения правил.
8. Способ по п.1 формулы, в котором новое правило определения рейтинга безопасности содержит триггер уточняющего правила, для которого приоритет состоит в выявлении совокупности аналогичных правил определения рейтинга опасности.
9. Способ по п.8 формулы, в котором рассчитывают рейтинг исследуемого процесса в соответствии со значениями каждого правила определения рейтинга опасности из выявленной совокупности аналогичных правил, при этом значение рейтинга каждого правила уменьшают в несколько раз.
10. Система пополнения антивирусных баз правил определения рейтинга опасности на персональном компьютере пользователя реализованная на антивирусном сервере, связанном через вычислительную сеть, по крайней мере, с одним персональным компьютером пользователя, в которой персональный компьютер пользователя передает статистику анализа работы приложений правилами определения рейтинга опасности в средство формирования отчетов;
средство формирования отчетов регистрирует и сохраняет в средство хранения информации статистику работы правил при анализе запущенных процессов приложений;
статистику работы правил определения рейтинга опасности сравнивают с результатами анализа известных безопасных объектов;
средство анализа выявляет характерные особенности поведения известных безопасных приложений и формирует новое правило определения рейтинга опасности и формирует приоритет выполнения правил определения рейтинга опасности;
новое правило определения рейтинга опасности и приоритет выполнения правил определения рейтинга опасности передают в средство обновления на стороне антивирусного сервера;
средство обновления на стороне персонального компьютера пользователя загружает новые правила определения рейтинга опасности и производит обновление антивирусных баз правил определения рейтинга опасности в персональном компьютере пользователя.
11. Система по п.10 формулы, в которой статистика работы правил приложения содержит идентификатор приложения и данные работы правил определения рейтинга опасности на данном приложении.
12. Система по п.10 формулы, в которой средство анализа при формировании базы определения порядка работы правил учитывает приоритет выполнения правил, и приоритет правил обусловлен порядком следования номеров правил в первом поле базы определения порядка работы правил правил.
13. Система по п.10 формулы, в которой средство анализа при формировании базы определения правил добавляет новое правило, при этом новое правило содержит характерное поведение безопасного объекта, пониженные значения для начисления рейтинга.
14. Система по п.10 формулы, в которой упомянутый список хранения безопасных объектов содержит контрольные суммы известных безопасных объектов.
15. Система по п.10 формулы, в которой характерной особенностью работы известных безопасных объектов является вызываемая API-функция и аргументы API-функции.
16. Система по п.10 формулы, в которой новое правило определения рейтинга опасности имеет более высокий приоритет в соответствии с очередью выполнения правил.
17. Система по п.10 формулы, в которой новое правило определения рейтинга безопасности содержит триггер уточняющего правила, для которого приоритет состоит в выявлении совокупности аналогичных правил определения рейтинга опасности.
18. Система по п.17 формулы, в которой рассчитывают рейтинг исследуемого процесса в соответствии со значениями каждого правила определения рейтинга опасности из выявленной совокупности аналогичных правил, при этом значение рейтинга каждого правила уменьшают в несколько раз.
RU2012141478/08A 2012-09-28 2012-09-28 Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов RU2514140C1 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2012141478/08A RU2514140C1 (ru) 2012-09-28 2012-09-28 Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
US13/705,282 US9021584B2 (en) 2012-09-28 2012-12-05 System and method for assessing danger of software using prioritized rules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012141478/08A RU2514140C1 (ru) 2012-09-28 2012-09-28 Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов

Publications (2)

Publication Number Publication Date
RU2012141478A true RU2012141478A (ru) 2014-04-27
RU2514140C1 RU2514140C1 (ru) 2014-04-27

Family

ID=50386580

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012141478/08A RU2514140C1 (ru) 2012-09-28 2012-09-28 Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов

Country Status (2)

Country Link
US (1) US9021584B2 (ru)
RU (1) RU2514140C1 (ru)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104079525B (zh) * 2013-03-25 2015-11-11 腾讯科技(深圳)有限公司 一种防止外挂的方法和服务器
RU2531861C1 (ru) * 2013-04-26 2014-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US9294501B2 (en) * 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) * 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9652631B2 (en) 2014-05-05 2017-05-16 Microsoft Technology Licensing, Llc Secure transport of encrypted virtual machines with continuous owner access
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9727736B1 (en) * 2014-10-17 2017-08-08 Amazon Technologies, Inc. Tracking developer behavior with respect to software analysis tools
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
EP3232360B1 (en) * 2015-01-28 2020-01-15 Nippon Telegraph and Telephone Corporation Malware analysis system, malware analysis method, and malware analysis program
US10083298B1 (en) * 2015-03-09 2018-09-25 Symantec Corporation Static approach to identify junk APIs in a malware
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690937B1 (en) * 2015-03-30 2017-06-27 EMC IP Holding Company LLC Recommending a set of malicious activity detection rules in an automated, data-driven manner
RU2589862C1 (ru) * 2015-06-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного кода в оперативной памяти
RU2624552C2 (ru) * 2015-06-30 2017-07-04 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
RU2634173C1 (ru) 2016-06-24 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения приложения удалённого администрирования
RU2652448C1 (ru) * 2017-08-10 2018-04-26 Акционерное общество "Лаборатория Касперского" Система и способ адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей
RU2665909C1 (ru) * 2017-08-10 2018-09-04 Акционерное общество "Лаборатория Касперского" Способ избирательного использования шаблонов опасного поведения программ
US10783138B2 (en) * 2017-10-23 2020-09-22 Google Llc Verifying structured data
US20190156024A1 (en) * 2017-11-20 2019-05-23 Somansa Co., Ltd. Method and apparatus for automatically classifying malignant code on basis of malignant behavior information
US11030302B2 (en) 2018-04-12 2021-06-08 Webroot Inc. Restricting access to application programming interfaces (APIs)
CN109815697B (zh) * 2018-12-29 2021-04-27 360企业安全技术(珠海)有限公司 误报行为处理方法及装置
US20220058264A1 (en) * 2020-08-18 2022-02-24 Micro Focus Llc Thread-based malware detection

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7210168B2 (en) * 2001-10-15 2007-04-24 Mcafee, Inc. Updating malware definition data for mobile data processing devices
US7237008B1 (en) * 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US8627458B2 (en) * 2004-01-13 2014-01-07 Mcafee, Inc. Detecting malicious computer program activity using external program calls with dynamic rule sets
US7890996B1 (en) * 2004-02-18 2011-02-15 Teros, Inc. Using statistical analysis to generate exception rules that allow legitimate messages to pass through application proxies and gateways
EP1877904B1 (en) * 2005-05-05 2015-12-30 Cisco IronPort Systems LLC Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US7530106B1 (en) * 2008-07-02 2009-05-05 Kaspersky Lab, Zao System and method for security rating of computer processes
US8161552B1 (en) * 2009-09-23 2012-04-17 Trend Micro, Inc. White list creation in behavior monitoring system
RU101229U1 (ru) * 2010-03-02 2011-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система обновления, основанная на различиях версий
RU96267U1 (ru) * 2010-03-02 2010-07-20 Закрытое акционерное общество "Лаборатория Касперского" Система пополнения антивирусных баз при обнаружении неизвестных вредоносных компонент

Also Published As

Publication number Publication date
US9021584B2 (en) 2015-04-28
US20140096184A1 (en) 2014-04-03
RU2514140C1 (ru) 2014-04-27

Similar Documents

Publication Publication Date Title
RU2012141478A (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
CN106484606B (zh) 一种代码提交方法和设备
US10678673B2 (en) Software program fault localization
CN106557747B (zh) 识别保险单号码的方法及装置
CN106453438B (zh) 一种网络攻击的识别方法及装置
RU2015136264A (ru) Способ ведения базы данных и соответствующий сервер
WO2017101301A1 (zh) 数据信息处理方法及装置
RU2015125969A (ru) Система и способ обнаружения вредоносных файлов на мобильных устройствах
RU2014115456A (ru) Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети
RU2012156446A (ru) Система и способ формирования сценариев модели поведения приложений
CN112733146B (zh) 基于机器学习的渗透测试方法、装置、设备及存储介质
US9811447B2 (en) Generating a fingerprint representing a response of an application to a simulation of a fault of an external service
RU2019120012A (ru) Системы и способы генерирования и выбора правил доступа
JP6419667B2 (ja) テストdbデータ生成方法及び装置
CN111158926B (zh) 业务请求分析方法、装置及设备
CN110413596A (zh) 字段处理方法及装置、存储介质、电子装置
Guerra-Manzanares et al. Time-frame analysis of system calls behavior in machine learning-based mobile malware detection
US9929921B2 (en) Techniques for workload toxic mapping
Asad et al. Impact of similarity on repairing small programs: A case study on QuixBugs benchmark
Huang et al. Scalably detecting third-party Android libraries with two-stage bloom filtering
JP2023053925A (ja) ビッグデータ管理システムに対してストレステストを最適に実行するコンピュータ実装方法、コンピュータプログラム及びシステム(ビッグデータ管理システムの最適なストレステストのためのワークロード生成)
CN113542200B (zh) 风险控制方法、装置和存储介质
Kwon et al. Prioritizing browser environments for web application test execution
CN104572791A (zh) 搜索提示***的评估方法及装置
CN108881272B (zh) 一种适用于冗余信息***的攻击面建模方法及装置