RU2012141478A - Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов - Google Patents
Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов Download PDFInfo
- Publication number
- RU2012141478A RU2012141478A RU2012141478/08A RU2012141478A RU2012141478A RU 2012141478 A RU2012141478 A RU 2012141478A RU 2012141478/08 A RU2012141478/08 A RU 2012141478/08A RU 2012141478 A RU2012141478 A RU 2012141478A RU 2012141478 A RU2012141478 A RU 2012141478A
- Authority
- RU
- Russia
- Prior art keywords
- rules
- determining
- rating
- rule
- hazard rating
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
1. Способ пополнения антивирусных баз правил определения рейтинга опасности состоит из этапов:получают в средстве обработки отчетов на стороне сервера статистику проверки приложения, не менее чем на одном, персональном компьютере пользователя;выполняют сравнение статистики проверки приложения со списком хранения безопасных объектов, выявляют известные безопасные объекты, у которых был рассчитан высокий рейтинг опасности;исследуют характерные особенности работы известных безопасных объектов и формируют новое правило определения рейтинга опасности;новое правило определения рейтинга опасности имеет приоритет перед правилами, которые были использованы при расчете высокого рейтинга безопасного объекта;выполняют пополнение антивирусной базы правил новым правилом определения рейтинга опасности на стороне персонального компьютера пользователя.2. Способ по п.1 формулы, в котором статистика проверки приложения содержит идентификатор приложения и данные проверки правил определения рейтинга опасности на данном приложении.3. Способ по п.1 формулы, в котором средство анализа при формировании базы определения порядка проверки правил учитывает приоритет выполнения правил, и приоритет правил обусловлен порядком следования номеров правил в первом поле базы определения порядка проверки правил.4. Способ по п.1 формулы, в котором средство анализа при формировании базы определения правил добавляет новое правило, при этом новое правило содержит характерное поведение безопасного объекта, пониженные значения для начисления рейтинга.5. Способ по п.1 формулы, в котором упомянутое средство хранения списка безопасных
Claims (18)
1. Способ пополнения антивирусных баз правил определения рейтинга опасности состоит из этапов:
получают в средстве обработки отчетов на стороне сервера статистику проверки приложения, не менее чем на одном, персональном компьютере пользователя;
выполняют сравнение статистики проверки приложения со списком хранения безопасных объектов, выявляют известные безопасные объекты, у которых был рассчитан высокий рейтинг опасности;
исследуют характерные особенности работы известных безопасных объектов и формируют новое правило определения рейтинга опасности;
новое правило определения рейтинга опасности имеет приоритет перед правилами, которые были использованы при расчете высокого рейтинга безопасного объекта;
выполняют пополнение антивирусной базы правил новым правилом определения рейтинга опасности на стороне персонального компьютера пользователя.
2. Способ по п.1 формулы, в котором статистика проверки приложения содержит идентификатор приложения и данные проверки правил определения рейтинга опасности на данном приложении.
3. Способ по п.1 формулы, в котором средство анализа при формировании базы определения порядка проверки правил учитывает приоритет выполнения правил, и приоритет правил обусловлен порядком следования номеров правил в первом поле базы определения порядка проверки правил.
4. Способ по п.1 формулы, в котором средство анализа при формировании базы определения правил добавляет новое правило, при этом новое правило содержит характерное поведение безопасного объекта, пониженные значения для начисления рейтинга.
5. Способ по п.1 формулы, в котором упомянутое средство хранения списка безопасных объектов содержит контрольные суммы известных безопасных объектов.
6. Способ по п.1 формулы, в котором характерной особенностью работы известных безопасных объектов является вызываемая API-функция и аргументы API-функции.
7. Способ по п.1 формулы, в котором новое правило определения рейтинга опасности имеет более высокий приоритет в соответствии с очередью выполнения правил.
8. Способ по п.1 формулы, в котором новое правило определения рейтинга безопасности содержит триггер уточняющего правила, для которого приоритет состоит в выявлении совокупности аналогичных правил определения рейтинга опасности.
9. Способ по п.8 формулы, в котором рассчитывают рейтинг исследуемого процесса в соответствии со значениями каждого правила определения рейтинга опасности из выявленной совокупности аналогичных правил, при этом значение рейтинга каждого правила уменьшают в несколько раз.
10. Система пополнения антивирусных баз правил определения рейтинга опасности на персональном компьютере пользователя реализованная на антивирусном сервере, связанном через вычислительную сеть, по крайней мере, с одним персональным компьютером пользователя, в которой персональный компьютер пользователя передает статистику анализа работы приложений правилами определения рейтинга опасности в средство формирования отчетов;
средство формирования отчетов регистрирует и сохраняет в средство хранения информации статистику работы правил при анализе запущенных процессов приложений;
статистику работы правил определения рейтинга опасности сравнивают с результатами анализа известных безопасных объектов;
средство анализа выявляет характерные особенности поведения известных безопасных приложений и формирует новое правило определения рейтинга опасности и формирует приоритет выполнения правил определения рейтинга опасности;
новое правило определения рейтинга опасности и приоритет выполнения правил определения рейтинга опасности передают в средство обновления на стороне антивирусного сервера;
средство обновления на стороне персонального компьютера пользователя загружает новые правила определения рейтинга опасности и производит обновление антивирусных баз правил определения рейтинга опасности в персональном компьютере пользователя.
11. Система по п.10 формулы, в которой статистика работы правил приложения содержит идентификатор приложения и данные работы правил определения рейтинга опасности на данном приложении.
12. Система по п.10 формулы, в которой средство анализа при формировании базы определения порядка работы правил учитывает приоритет выполнения правил, и приоритет правил обусловлен порядком следования номеров правил в первом поле базы определения порядка работы правил правил.
13. Система по п.10 формулы, в которой средство анализа при формировании базы определения правил добавляет новое правило, при этом новое правило содержит характерное поведение безопасного объекта, пониженные значения для начисления рейтинга.
14. Система по п.10 формулы, в которой упомянутый список хранения безопасных объектов содержит контрольные суммы известных безопасных объектов.
15. Система по п.10 формулы, в которой характерной особенностью работы известных безопасных объектов является вызываемая API-функция и аргументы API-функции.
16. Система по п.10 формулы, в которой новое правило определения рейтинга опасности имеет более высокий приоритет в соответствии с очередью выполнения правил.
17. Система по п.10 формулы, в которой новое правило определения рейтинга безопасности содержит триггер уточняющего правила, для которого приоритет состоит в выявлении совокупности аналогичных правил определения рейтинга опасности.
18. Система по п.17 формулы, в которой рассчитывают рейтинг исследуемого процесса в соответствии со значениями каждого правила определения рейтинга опасности из выявленной совокупности аналогичных правил, при этом значение рейтинга каждого правила уменьшают в несколько раз.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012141478/08A RU2514140C1 (ru) | 2012-09-28 | 2012-09-28 | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
US13/705,282 US9021584B2 (en) | 2012-09-28 | 2012-12-05 | System and method for assessing danger of software using prioritized rules |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012141478/08A RU2514140C1 (ru) | 2012-09-28 | 2012-09-28 | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2012141478A true RU2012141478A (ru) | 2014-04-27 |
RU2514140C1 RU2514140C1 (ru) | 2014-04-27 |
Family
ID=50386580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2012141478/08A RU2514140C1 (ru) | 2012-09-28 | 2012-09-28 | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
Country Status (2)
Country | Link |
---|---|
US (1) | US9021584B2 (ru) |
RU (1) | RU2514140C1 (ru) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079525B (zh) * | 2013-03-25 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 一种防止外挂的方法和服务器 |
RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
US9294501B2 (en) * | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) * | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9652631B2 (en) | 2014-05-05 | 2017-05-16 | Microsoft Technology Licensing, Llc | Secure transport of encrypted virtual machines with continuous owner access |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9727736B1 (en) * | 2014-10-17 | 2017-08-08 | Amazon Technologies, Inc. | Tracking developer behavior with respect to software analysis tools |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
EP3232360B1 (en) * | 2015-01-28 | 2020-01-15 | Nippon Telegraph and Telephone Corporation | Malware analysis system, malware analysis method, and malware analysis program |
US10083298B1 (en) * | 2015-03-09 | 2018-09-25 | Symantec Corporation | Static approach to identify junk APIs in a malware |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9690937B1 (en) * | 2015-03-30 | 2017-06-27 | EMC IP Holding Company LLC | Recommending a set of malicious activity detection rules in an automated, data-driven manner |
RU2589862C1 (ru) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносного кода в оперативной памяти |
RU2624552C2 (ru) * | 2015-06-30 | 2017-07-04 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
RU2634173C1 (ru) | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
RU2652448C1 (ru) * | 2017-08-10 | 2018-04-26 | Акционерное общество "Лаборатория Касперского" | Система и способ адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей |
RU2665909C1 (ru) * | 2017-08-10 | 2018-09-04 | Акционерное общество "Лаборатория Касперского" | Способ избирательного использования шаблонов опасного поведения программ |
US10783138B2 (en) * | 2017-10-23 | 2020-09-22 | Google Llc | Verifying structured data |
US20190156024A1 (en) * | 2017-11-20 | 2019-05-23 | Somansa Co., Ltd. | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information |
US11030302B2 (en) | 2018-04-12 | 2021-06-08 | Webroot Inc. | Restricting access to application programming interfaces (APIs) |
CN109815697B (zh) * | 2018-12-29 | 2021-04-27 | 360企业安全技术(珠海)有限公司 | 误报行为处理方法及装置 |
US20220058264A1 (en) * | 2020-08-18 | 2022-02-24 | Micro Focus Llc | Thread-based malware detection |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7210168B2 (en) * | 2001-10-15 | 2007-04-24 | Mcafee, Inc. | Updating malware definition data for mobile data processing devices |
US7237008B1 (en) * | 2002-05-10 | 2007-06-26 | Mcafee, Inc. | Detecting malware carried by an e-mail message |
US8627458B2 (en) * | 2004-01-13 | 2014-01-07 | Mcafee, Inc. | Detecting malicious computer program activity using external program calls with dynamic rule sets |
US7890996B1 (en) * | 2004-02-18 | 2011-02-15 | Teros, Inc. | Using statistical analysis to generate exception rules that allow legitimate messages to pass through application proxies and gateways |
EP1877904B1 (en) * | 2005-05-05 | 2015-12-30 | Cisco IronPort Systems LLC | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources |
US7530106B1 (en) * | 2008-07-02 | 2009-05-05 | Kaspersky Lab, Zao | System and method for security rating of computer processes |
US8161552B1 (en) * | 2009-09-23 | 2012-04-17 | Trend Micro, Inc. | White list creation in behavior monitoring system |
RU101229U1 (ru) * | 2010-03-02 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система обновления, основанная на различиях версий |
RU96267U1 (ru) * | 2010-03-02 | 2010-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система пополнения антивирусных баз при обнаружении неизвестных вредоносных компонент |
-
2012
- 2012-09-28 RU RU2012141478/08A patent/RU2514140C1/ru active
- 2012-12-05 US US13/705,282 patent/US9021584B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US9021584B2 (en) | 2015-04-28 |
US20140096184A1 (en) | 2014-04-03 |
RU2514140C1 (ru) | 2014-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2012141478A (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
CN106484606B (zh) | 一种代码提交方法和设备 | |
US10678673B2 (en) | Software program fault localization | |
CN106557747B (zh) | 识别保险单号码的方法及装置 | |
CN106453438B (zh) | 一种网络攻击的识别方法及装置 | |
RU2015136264A (ru) | Способ ведения базы данных и соответствующий сервер | |
WO2017101301A1 (zh) | 数据信息处理方法及装置 | |
RU2015125969A (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
RU2014115456A (ru) | Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети | |
RU2012156446A (ru) | Система и способ формирования сценариев модели поведения приложений | |
CN112733146B (zh) | 基于机器学习的渗透测试方法、装置、设备及存储介质 | |
US9811447B2 (en) | Generating a fingerprint representing a response of an application to a simulation of a fault of an external service | |
RU2019120012A (ru) | Системы и способы генерирования и выбора правил доступа | |
JP6419667B2 (ja) | テストdbデータ生成方法及び装置 | |
CN111158926B (zh) | 业务请求分析方法、装置及设备 | |
CN110413596A (zh) | 字段处理方法及装置、存储介质、电子装置 | |
Guerra-Manzanares et al. | Time-frame analysis of system calls behavior in machine learning-based mobile malware detection | |
US9929921B2 (en) | Techniques for workload toxic mapping | |
Asad et al. | Impact of similarity on repairing small programs: A case study on QuixBugs benchmark | |
Huang et al. | Scalably detecting third-party Android libraries with two-stage bloom filtering | |
JP2023053925A (ja) | ビッグデータ管理システムに対してストレステストを最適に実行するコンピュータ実装方法、コンピュータプログラム及びシステム(ビッグデータ管理システムの最適なストレステストのためのワークロード生成) | |
CN113542200B (zh) | 风险控制方法、装置和存储介质 | |
Kwon et al. | Prioritizing browser environments for web application test execution | |
CN104572791A (zh) | 搜索提示***的评估方法及装置 | |
CN108881272B (zh) | 一种适用于冗余信息***的攻击面建模方法及装置 |