[go: up one dir, main page]

RU2013153768A - Система и способ оценки надежности правила категоризации - Google Patents

Система и способ оценки надежности правила категоризации Download PDF

Info

Publication number
RU2013153768A
RU2013153768A RU2013153768/08A RU2013153768A RU2013153768A RU 2013153768 A RU2013153768 A RU 2013153768A RU 2013153768/08 A RU2013153768/08 A RU 2013153768/08A RU 2013153768 A RU2013153768 A RU 2013153768A RU 2013153768 A RU2013153768 A RU 2013153768A
Authority
RU
Russia
Prior art keywords
file
rule
files
categorization
statistics
Prior art date
Application number
RU2013153768/08A
Other languages
English (en)
Other versions
RU2587429C2 (ru
Inventor
Алексей Евгеньевич Антонов
Алексей Михайлович Романенко
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2013153768/08A priority Critical patent/RU2587429C2/ru
Priority to US14/496,848 priority patent/US9501742B2/en
Priority to EP14189981.5A priority patent/EP2881884B1/en
Priority to CN201410738744.3A priority patent/CN104504334B/zh
Publication of RU2013153768A publication Critical patent/RU2013153768A/ru
Application granted granted Critical
Publication of RU2587429C2 publication Critical patent/RU2587429C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • G06N5/025Extracting rules from data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

1. Способ признания правила категоризации надежным, в котором:а) создают при помощи средства создания правила категоризации правило категоризации, применение которого к файлу позволяет определить принадлежность рассматриваемого файла к одной из определенных в рамках правила категорий файлов;б) собирают при помощи средства сбора статистики статистку использования, по меньшей мере, одного созданного правила категоризации, при этомстатистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, которые определены в рамках упомянутого правила категоризации;в) определяют при помощи средства определения надежности степень надежности правила категоризации на основании статистики использования правила категоризации с использованием, по меньшей мере, одного алгоритма интеллектуального анализа данных;г) признают при помощи средства определения надежности правило категоризации надежным, если комбинация степеней надежности правила, определенных на этапе в), превышает установленный числовой порог.2. Способ по п.1, в котором правило категоризации применяют к результатам обработки файла.3. Способ по п.2, в котором обработкой файла является эмуляция процесса выполнения файла.4. Способ по п.2, в котором обработкой файла является вычисление свертки файла.5. Способ по п.1, в котором правилом категоризации является правило для обнаружения вредоносного программного обеспечения.6. Способ по п.1, в котором правилом категоризации является свертка файла, которая определяет, входил ли файл в категорию файлов с совпадающим значением свертки.7. Способ по п.1, в

Claims (28)

1. Способ признания правила категоризации надежным, в котором:
а) создают при помощи средства создания правила категоризации правило категоризации, применение которого к файлу позволяет определить принадлежность рассматриваемого файла к одной из определенных в рамках правила категорий файлов;
б) собирают при помощи средства сбора статистики статистку использования, по меньшей мере, одного созданного правила категоризации, при этом
статистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, которые определены в рамках упомянутого правила категоризации;
в) определяют при помощи средства определения надежности степень надежности правила категоризации на основании статистики использования правила категоризации с использованием, по меньшей мере, одного алгоритма интеллектуального анализа данных;
г) признают при помощи средства определения надежности правило категоризации надежным, если комбинация степеней надежности правила, определенных на этапе в), превышает установленный числовой порог.
2. Способ по п.1, в котором правило категоризации применяют к результатам обработки файла.
3. Способ по п.2, в котором обработкой файла является эмуляция процесса выполнения файла.
4. Способ по п.2, в котором обработкой файла является вычисление свертки файла.
5. Способ по п.1, в котором правилом категоризации является правило для обнаружения вредоносного программного обеспечения.
6. Способ по п.1, в котором правилом категоризации является свертка файла, которая определяет, входил ли файл в категорию файлов с совпадающим значением свертки.
7. Способ по п.1, в котором предварительно осуществляется обучение алгоритмов интеллектуального анализа данных.
8. Способ по п.7, в котором для обучения используется множество файлов для обучения, а также статистика использования правил, применение которых к множеству файлов для обучения разбивает указанное множество файлов на категории таким образом, что хотя бы одна категория файлов в соответствии с правилом категоризации представляла собой однородное множество файлов, которое состоит только из похожих файлов.
9. Способ по п.8, в котором похожими файлами считают файлы, степень сходства между которыми превышает заранее установленный порог.
10. Способ по п.9, в котором степень сходства между файлами определяют на основании степени сходства данных, хранящихся в файлах.
11. Способ по п.9, в котором степень сходства между файлами определяют на основании степени сходства функционала файлов.
12. Способ по п.11, в котором в качестве функционала файла используют журнал вызовов API-функций операционной системы при эмуляции исполнения файла.
13.Способ по п.9, в котором степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара, Дайса.
14. Способ по п.1, в котором в качестве алгоритма интеллектуального анализа данных используется один из алгоритмов иерархической кластеризации, нечеткой кластеризации, алгоритм минимально покрывающего дерева.
15. Система признания правила категоризации надежным, которая содержит:
а) средство создания правила категоризации, предназначенное для создания правил категоризации; применение правила категоризации к файлу позволяет определить принадлежность рассматриваемого файла к одной из определенных в рамках правила категорий файлов;
б) средство сбора статистики, связанное со средством создания правил категоризации и предназначенное для сбора статистики использования, по меньшей мере, одного правила категоризации, при этом
статистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, определенных в рамках упомянутого правила категоризации;
в) базу данных файлов, связанную со средством сбора статистики и предназначенную для хранения файлов, которые использует средство сбора статистики для получения статистики использования правил категоризации;
г) средство определения надежности, связанное со средством сбора статистики и предназначенное для определения степени надежности правила категоризации на основании статистики использования правила категоризации, полученной от средства сбора статистики,
при помощи, по меньшей мере, одного алгоритма интеллектуального анализа данных, а также признания правила категоризации надежным, если комбинация указанных степеней надежности, превышает установленный числовой порог.
16. Система по п.15, в которой средство сбора статистики применяет правило категоризации к результатам обработки файла.
17. Система по п.16, в которой обработкой файла является эмуляция процесса выполнения файла.
18. Система по п.16, в которой обработкой файла является вычисление свертка файла.
19. Система по п.15, в которой правилом категоризации является правило для обнаружения вредоносного программного обеспечения.
20. Система по п.15, в которой правилом категоризации является свертка файла, которая определяет, входил ли файл в категорию файлов с совпадающим значением свертки.
21. Система по п.15, в которой дополнительно используется средство обучения алгоритмов, связанное со средством определения надежности и предназначенное для обучения алгоритмов интеллектуального анализа данных, используемых средством определения надежности.
22. Система по п.21, в которой для обучения алгоритмов интеллектуального анализа данных используется множество файлов для обучения, а также статистика использования правил, применение которых к множеству файлов для обучения разбивает указанное множество файлов на категории таким образом, что хотя бы одна категория файлов в соответствии с правилом категоризации представляла собой однородное множество файлов, которое состоит только из похожих файлов.
23. Система по п.22, в которой похожими файлами считают файлы, степень сходства между которыми превышает заранее установленный порог.
24. Система по п.23, в которой степень сходства между файлами определяют на основании степени сходства данных, хранящихся в файлах.
25. Система по п.23, в которой степень сходства между файлами определяют на основании степени сходства функционала файлов.
26. Система по п.25, в которой в качестве функционала файла используют журнал вызовов API-функций операционной системы при эмуляции исполнения файла.
27. Система по п.23, в которой степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара, Дайса.
28. Система по п.15, в которой средство определения надежности для определения степени надежности правила категоризации использует алгоритмы иерархической кластеризации, нечеткой кластеризации, алгоритм минимально покрывающего дерева.
RU2013153768/08A 2013-12-05 2013-12-05 Система и способ оценки надежности правила категоризации RU2587429C2 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2013153768/08A RU2587429C2 (ru) 2013-12-05 2013-12-05 Система и способ оценки надежности правила категоризации
US14/496,848 US9501742B2 (en) 2013-12-05 2014-09-25 System and method for assessing categorization rule selectivity
EP14189981.5A EP2881884B1 (en) 2013-12-05 2014-10-23 System and method for assessing categorization rule selectivity
CN201410738744.3A CN104504334B (zh) 2013-12-05 2014-12-05 用于评估分类规则选择性的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013153768/08A RU2587429C2 (ru) 2013-12-05 2013-12-05 Система и способ оценки надежности правила категоризации

Publications (2)

Publication Number Publication Date
RU2013153768A true RU2013153768A (ru) 2015-06-10
RU2587429C2 RU2587429C2 (ru) 2016-06-20

Family

ID=52945730

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013153768/08A RU2587429C2 (ru) 2013-12-05 2013-12-05 Система и способ оценки надежности правила категоризации

Country Status (3)

Country Link
US (1) US9501742B2 (ru)
CN (1) CN104504334B (ru)
RU (1) RU2587429C2 (ru)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6462328B2 (ja) * 2014-11-18 2019-01-30 日立オートモティブシステムズ株式会社 走行制御システム
US10703340B2 (en) * 2018-02-02 2020-07-07 Ford Global Technologies, Llc Sensor cleaning system
RU2697955C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обучения модели обнаружения вредоносных контейнеров
CN112149122B (zh) * 2019-06-28 2025-05-30 卡巴斯基实验室股份制公司 对计算设备上的应用进行分类的系统和方法
RU2757408C1 (ru) * 2020-09-24 2021-10-15 Акционерное общество "Лаборатория Касперского" Система и способ формирования правила проверки файла на вредоносность
CN113935031B (zh) * 2020-12-03 2022-07-05 奇安信网神信息技术(北京)股份有限公司 文件特征提取范围配置及静态恶意软件识别的方法、系统
CN113254510B (zh) * 2021-07-06 2021-09-28 平安科技(深圳)有限公司 业务风险客群的识别方法、装置、设备及存储介质
CN118586369B (zh) * 2024-06-07 2025-01-07 广东永锢电子机械科技有限公司 一种五金产品报表数据处理方法、系统、设备及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7487544B2 (en) 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US7937349B2 (en) 2006-11-09 2011-05-03 Pucher Max J Method for training a system to specifically react on a specific input
US8239948B1 (en) * 2008-12-19 2012-08-07 Symantec Corporation Selecting malware signatures to reduce false-positive detections
JP5264470B2 (ja) * 2008-12-26 2013-08-14 三菱電機株式会社 攻撃判定装置及びプログラム
US8280830B2 (en) * 2009-08-31 2012-10-02 Symantec Corporation Systems and methods for using multiple in-line heuristics to reduce false positives
US8356354B2 (en) 2009-11-23 2013-01-15 Kaspersky Lab, Zao Silent-mode signature testing in anti-malware processing
CN102479298B (zh) * 2010-11-29 2014-03-12 北京奇虎科技有限公司 基于机器学习的程序识别方法及装置
US8640245B2 (en) 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
JP5552448B2 (ja) 2011-01-28 2014-07-16 株式会社日立製作所 検索式生成装置、検索システム、検索式生成方法
CN102142068A (zh) * 2011-03-29 2011-08-03 华北电力大学 一种未知恶意代码的检测方法
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки
US8955133B2 (en) * 2011-06-09 2015-02-10 Microsoft Corporation Applying antimalware logic without revealing the antimalware logic to adversaries
RU2477520C1 (ru) * 2012-03-14 2013-03-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства
CN102664875B (zh) * 2012-03-31 2014-12-17 华中科技大学 基于云模式的恶意代码类别检测方法

Also Published As

Publication number Publication date
RU2587429C2 (ru) 2016-06-20
US20150161523A1 (en) 2015-06-11
US9501742B2 (en) 2016-11-22
CN104504334A (zh) 2015-04-08
CN104504334B (zh) 2018-08-10

Similar Documents

Publication Publication Date Title
RU2013153768A (ru) Система и способ оценки надежности правила категоризации
CN109753801B (zh) 基于系统调用的智能终端恶意软件动态检测方法
Choudhury et al. Comparative analysis of machine learning algorithms along with classifiers for network intrusion detection
Raffel et al. MIR_EVAL: A Transparent Implementation of Common MIR Metrics.
TWI553503B (zh) 產生候選鈎點以偵測惡意程式之方法及其系統
CN110225055B (zh) 一种基于knn半监督学习模型的网络流量异常检测方法与系统
CN103488941B (zh) 硬件木马检测方法及系统
US20120284793A1 (en) Intrusion detection using mdl clustering
Al-Azzoa et al. Human related-health actions detection using Android Camera based on TensorFlow Object Detection API
CN111782460A (zh) 大规模日志数据的异常检测方法、装置和存储介质
Shah et al. Virus detection using artificial neural networks
SG11201810380VA (en) Method, device, and apparatus for detecting disease probability, and computer-readable storage medium
RU2009136238A (ru) Система и способ сравнения файлов на основе шаблонов функциональности
RU2013125979A (ru) Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов
CN105183642B (zh) 基于插桩的程序行为获取及结构分析方法
JP2020013532A5 (ru)
CN105095381B (zh) 新词识别方法和装置
KR20200109677A (ko) Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
Blokhin et al. Malware similarity identification using call graph based system call subsequence features
Aldhaln et al. Improving knowledge extraction of Hadith classifier using decision tree algorithm
JP2014092967A5 (ru)
Lin et al. Cvssa: Cross-architecture vulnerability search in firmware based on support vector machine and attributed control flow graph
Saha et al. gcad: A near-miss clone genealogy extractor to support clone evolution analysis
CN104424435A (zh) 一种获取病毒特征码的方法及装置
RU2019125454A (ru) Способ и система для автоматизированного определения критериев включения или исключения

Legal Events

Date Code Title Description
HE9A Changing address for correspondence with an applicant