RU2015125974A - Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины - Google Patents
Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины Download PDFInfo
- Publication number
- RU2015125974A RU2015125974A RU2015125974A RU2015125974A RU2015125974A RU 2015125974 A RU2015125974 A RU 2015125974A RU 2015125974 A RU2015125974 A RU 2015125974A RU 2015125974 A RU2015125974 A RU 2015125974A RU 2015125974 A RU2015125974 A RU 2015125974A
- Authority
- RU
- Russia
- Prior art keywords
- cluster
- section
- data
- function
- virtual machine
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/188—Virtual file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
- Detection And Correction Of Errors (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Claims (48)
1. Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины, в которой все операнды выполняемых функций размещаются лишь в одной структуре данных, в качестве которой выступает стек виртуальной машины, в котором
а) выделяют данные по меньшей мере из одного файла, исполняемого с помощью стековой виртуальной машины;
б) осуществляют поиск по меньшей мере одного кластера в базе кластеров безопасных файлов по данным, выделенным на этапе а);
в) выделяют данные по меньшей мере из одного найденного на этапе б) кластера;
г) создают по меньшей мере один кластер из выделенных на этапах а) и в) данных при помощи правил кластеризации;
д) вычисляют контрольную сумму по меньшей мере одного созданного кластера;
е) осуществляют поиск вычисленной контрольной суммы в базе контрольных сумм кластеров вредоносных файлов;
ж) выносят вердикт об обнаружении по меньшей мере одного вредоносного файла в случае обнаружения в результате поиска, осуществленного на этапе е), в базе контрольных сумм кластеров вредоносных файлов вычисленной контрольной суммы.
2. Способ по п. 1, в котором в качестве данных, выделяемых из файла, исполняемого с помощью стековой виртуальной машины, выступают по меньшей мере:
параметры секции файла, такие как
код секции,
название секции,
тип заголовка секции,
смещение на данные в секции,
размер данных секции;
параметры функции, выполняемой с помощью стековой виртуальной машины, такие как
индекс тела функции,
позиция и длина кода функции в секции,
индекс описателя функции,
максимальная глубина стека при исполнении функции,
количество используемых функцией локальных переменных,
название функции,
количество операндов,
возвращаемый тип данных.
3. Способ по п. 1, в котором в качестве данных, выделяемых из кластера, найденного в базе кластеров безопасных файлов, выступают по меньшей мере
параметры секции файла, такие как:
код секции,
название секции,
тип заголовка секции,
смещение на данные в секции, размер данных секции;
параметры функции, выполняемой с помощью стековой виртуальной машины, такие как:
индекс тела функции,
позиция и длина кода функции в секции,
индекс описателя функции,
максимальная глубина стека при исполнении функции,
количество используемых функцией локальных переменных,
название функции,
количество операндов,
возвращаемый тип данных.
4. Способ по п. 1, в котором осуществляется поиск в базе кластеров безопасных файлов по данным, выделенным из файла, исполняемого с помощью стековой виртуальной машины, кластера, содержащего по меньшей мере
значение одного из параметров секций файла, превышающего заданный порог;
значение одного из параметра функций, выполняемых с помощью стековой виртуальной машины, превышающего заданный порог.
5. Способ по п. 1, в котором в качестве правил кластеризации, при помощи которых создают кластер из данных, собранных из файла, исполняемого с помощью стековой виртуальной машины, выступает по меньшей мере правило, по которому
собранные данные размещаются в кластере последовательно в порядке их выделения из файла;
параметры секции файла не участвуют в формировании кластера в случае, когда размер данных секции файла равен нулю;
параметры функции, выполняемой с помощью стековой виртуальной машины, не участвуют в формировании кластера в случае, когда количество используемых функцией локальных переменных равно нулю;
данные, выделенные из кластера, найденного в базе кластеров безопасных файлов, не участвуют в формировании кластера.
6. Способ по п. 1, в котором в качестве контрольной суммы, вычисленной по созданному кластеру, выступает нечеткая контрольная сумма от созданного кластера.
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015125974A RU2624552C2 (ru) | 2015-06-30 | 2015-06-30 | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
| US14/833,620 US9396334B1 (en) | 2015-06-30 | 2015-08-24 | System and method for detecting harmful files executable on a virtual stack machine |
| EP15184122.8A EP3136276B8 (en) | 2015-06-30 | 2015-09-07 | System and method for detecting harmful files executable on a virtual stack machine |
| CN201610113527.4A CN106326737B (zh) | 2015-06-30 | 2016-02-29 | 用于检测可在虚拟堆栈机上执行的有害文件的***和方法 |
| JP2016093094A JP6277224B2 (ja) | 2015-06-30 | 2016-05-06 | 仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法 |
| US15/182,083 US10013555B2 (en) | 2015-06-30 | 2016-06-14 | System and method for detecting harmful files executable on a virtual stack machine based on parameters of the files and the virtual stack machine |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015125974A RU2624552C2 (ru) | 2015-06-30 | 2015-06-30 | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2015125974A true RU2015125974A (ru) | 2017-01-11 |
| RU2624552C2 RU2624552C2 (ru) | 2017-07-04 |
Family
ID=56381665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2015125974A RU2624552C2 (ru) | 2015-06-30 | 2015-06-30 | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9396334B1 (ru) |
| EP (1) | EP3136276B8 (ru) |
| JP (1) | JP6277224B2 (ru) |
| CN (1) | CN106326737B (ru) |
| RU (1) | RU2624552C2 (ru) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
| US10873590B2 (en) | 2017-09-29 | 2020-12-22 | AO Kaspersky Lab | System and method of cloud detection, investigation and elimination of targeted attacks |
| RU2708355C1 (ru) * | 2018-06-29 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде |
| EP3940529A4 (en) | 2019-03-12 | 2022-05-04 | Nec Corporation | WHITELIST GENERATION DEVICE, CONTROL METHOD AND PROGRAM |
| US11374946B2 (en) * | 2019-07-19 | 2022-06-28 | Palo Alto Networks, Inc. | Inline malware detection |
| US11636208B2 (en) * | 2019-07-19 | 2023-04-25 | Palo Alto Networks, Inc. | Generating models for performing inline malware detection |
| US11537523B2 (en) * | 2019-07-31 | 2022-12-27 | Red Hat, Inc. | Command result caching for building application container images |
| US11469942B2 (en) | 2019-08-15 | 2022-10-11 | At&T Intellectual Property I, L.P. | System and method for SDN orchestration validation |
| US11409868B2 (en) * | 2019-09-26 | 2022-08-09 | At&T Intellectual Property I, L.P. | Ransomware detection and mitigation |
| RU2757408C1 (ru) * | 2020-09-24 | 2021-10-15 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования правила проверки файла на вредоносность |
| US20230350782A1 (en) * | 2022-04-28 | 2023-11-02 | Twilio Inc. | Data logging for api usage analytics |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6618737B2 (en) * | 2000-03-09 | 2003-09-09 | International Business Machines Corporation | Speculative caching of individual fields in a distributed object system |
| EP1154356A1 (en) * | 2000-05-09 | 2001-11-14 | Alcatel | Caching of files during loading from a distributed file system |
| US7870610B1 (en) * | 2007-03-16 | 2011-01-11 | The Board Of Directors Of The Leland Stanford Junior University | Detection of malicious programs |
| US8813222B1 (en) | 2009-01-21 | 2014-08-19 | Bitdefender IPR Management Ltd. | Collaborative malware scanning |
| US8621636B2 (en) * | 2009-12-17 | 2013-12-31 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
| US8468602B2 (en) * | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| US8683216B2 (en) * | 2010-07-13 | 2014-03-25 | F-Secure Corporation | Identifying polymorphic malware |
| CN103180862B (zh) * | 2010-08-25 | 2016-03-02 | 前景公司 | 用于服务器耦合的恶意软件防止的***和方法 |
| JP5961183B2 (ja) * | 2010-12-01 | 2016-08-02 | シスコ テクノロジー,インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
| US9454658B2 (en) * | 2010-12-14 | 2016-09-27 | F-Secure Corporation | Malware detection using feature analysis |
| RU107621U1 (ru) * | 2011-04-25 | 2011-08-20 | Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" | Система для контроля хода выполнения программ |
| EP2729895B1 (en) * | 2011-07-08 | 2016-07-06 | The UAB Research Foundation | Syntactical fingerprinting |
| CN102930206B (zh) | 2011-08-09 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 病毒文件的聚类划分处理方法和装置 |
| DE102011056502A1 (de) * | 2011-12-15 | 2013-06-20 | Avira Holding GmbH | Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen |
| CN102664875B (zh) * | 2012-03-31 | 2014-12-17 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
| CN102810138B (zh) * | 2012-06-19 | 2015-12-02 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和*** |
| US9146767B2 (en) | 2012-06-19 | 2015-09-29 | Raytheon Company | Secure cloud hypervisor monitor |
| WO2014012106A2 (en) * | 2012-07-13 | 2014-01-16 | Sourcefire, Inc. | Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning |
| EP2688007A1 (en) * | 2012-07-15 | 2014-01-22 | Eberhard Karls Universität Tübingen | Method of automatically extracting features from a computer readable file |
| KR101246623B1 (ko) * | 2012-09-03 | 2013-03-25 | 주식회사 안랩 | 악성 애플리케이션 진단 장치 및 방법 |
| RU2514140C1 (ru) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
| CN102902925B (zh) * | 2012-09-29 | 2016-08-03 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和*** |
| RU2523112C1 (ru) * | 2012-12-25 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу |
| US9317548B2 (en) * | 2013-01-30 | 2016-04-19 | International Business Machines Corporation | Reducing collisions within a hash table |
| EP2819054B1 (en) | 2013-06-28 | 2018-10-31 | AO Kaspersky Lab | Flexible fingerprint for detection of malware |
| US9058488B2 (en) * | 2013-08-14 | 2015-06-16 | Bank Of America Corporation | Malware detection and computer monitoring methods |
| US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
-
2015
- 2015-06-30 RU RU2015125974A patent/RU2624552C2/ru active
- 2015-08-24 US US14/833,620 patent/US9396334B1/en active Active
- 2015-09-07 EP EP15184122.8A patent/EP3136276B8/en active Active
-
2016
- 2016-02-29 CN CN201610113527.4A patent/CN106326737B/zh active Active
- 2016-05-06 JP JP2016093094A patent/JP6277224B2/ja active Active
- 2016-06-14 US US15/182,083 patent/US10013555B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3136276A1 (en) | 2017-03-01 |
| CN106326737A (zh) | 2017-01-11 |
| CN106326737B (zh) | 2019-05-21 |
| US9396334B1 (en) | 2016-07-19 |
| US20170004310A1 (en) | 2017-01-05 |
| JP6277224B2 (ja) | 2018-02-07 |
| EP3136276B1 (en) | 2017-10-25 |
| EP3136276B8 (en) | 2018-03-07 |
| US10013555B2 (en) | 2018-07-03 |
| RU2624552C2 (ru) | 2017-07-04 |
| JP2017021777A (ja) | 2017-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2015125974A (ru) | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины | |
| JP2017509962A5 (ru) | ||
| RU2015125969A (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
| JP2021514497A5 (ru) | ||
| RU2013129552A (ru) | Система и способ создания гибкой свертки для обнаружения вредоносных программ | |
| JP2013182338A5 (ru) | ||
| KR101303643B1 (ko) | 침입 코드 탐지 장치 및 그 방법 | |
| RU2013143770A (ru) | Способ и система анализа работы правил обнаружения программного обеспечения | |
| RU2013125979A (ru) | Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов | |
| RU2017126201A (ru) | Способы для понимания неполного запроса на естественном языке | |
| RU2016152191A (ru) | Понимание таблиц для поиска | |
| RU2015141552A (ru) | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя | |
| BR112014026626A8 (pt) | criação de grupos de rede social | |
| RU2012156434A (ru) | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу | |
| WO2016202308A3 (zh) | 一种文件名称识别及文件清理方法及装置 | |
| JP2018128996A5 (ru) | ||
| BR112016029297A2 (pt) | método para monitorização de desempenho de uma bomba submersível elétrica, sistema para monitorização de desempenho de uma bomba submersível elétrica, e meio legível por computador não transitório | |
| JP2015106300A5 (ru) | ||
| JP2014149848A5 (ru) | ||
| RU2018138509A (ru) | Система определения допустимого предела корреляции с использованием итеративной перекрестной валидации и способ ее выполнения | |
| JP2014092967A5 (ru) | ||
| RU2014103152A (ru) | Способы и системы эффективного автоматического распознавания символов | |
| RU2016136226A (ru) | Способы обнаружения аномальных элементов веб-страниц | |
| RU2015141542A (ru) | Система и способ настройки антивирусной проверки | |
| RU2019122428A (ru) | Способ обнаружения вредоносных файлов на основании фрагментов файлов |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| HE9A | Changing address for correspondence with an applicant |