RU2444056C1 - Система и способ ускорения решения проблем за счет накопления статистической информации - Google Patents
Система и способ ускорения решения проблем за счет накопления статистической информации Download PDFInfo
- Publication number
- RU2444056C1 RU2444056C1 RU2010144590/08A RU2010144590A RU2444056C1 RU 2444056 C1 RU2444056 C1 RU 2444056C1 RU 2010144590/08 A RU2010144590/08 A RU 2010144590/08A RU 2010144590 A RU2010144590 A RU 2010144590A RU 2444056 C1 RU2444056 C1 RU 2444056C1
- Authority
- RU
- Russia
- Prior art keywords
- information
- objects
- data
- data storage
- designed
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 21
- 238000013500 data storage Methods 0.000 claims abstract description 32
- 238000004458 analytical method Methods 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 10
- 238000009825 accumulation Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 7
- 238000011160 research Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 6
- 238000011835 investigation Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 5
- 239000000126 substance Substances 0.000 abstract 1
- 230000003993 interaction Effects 0.000 description 10
- 238000001514 detection method Methods 0.000 description 8
- 230000002155 anti-virotic effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 239000012634 fragment Substances 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Изобретение относится к антивирусным системам, в частности системам ускорения решения проблем за счет накопления статистической информации. Технический результат заключается в увеличении скорости реагирования на возникающие проблемы за счет создания системы, которая сохраняет информацию обо всех найденных объектах в едином средстве хранения данных, обеспечивая доступ к представленному средству для аналитических модулей, находящихся как внутри системы, так и за ее пределами. Система содержит: средство управления, предназначенное для получения и последующей передачи информации о потенциальных угрозах от компьютеров пользователей, средство хранения данных, предназначенное для получения данных об объектах, представляющих потенциальную угрозу, средство интерпретации, предназначенное для получения данных об исследуемых объектах от средства хранения данных и предоставления этих данных аналитическим модулям с помощью единого формата представления данных, а также аналитические модули. 2 н. и 7 з.п. ф-лы, 11 ил.
Description
Область техники
Изобретение относится к антивирусным системам, в частности системам и способам ускорения решения проблем за счет накопления статистической информации.
Уровень техники
В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а вследствие этого увеличивается вред, который данное ПО приносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении уже известных угроз. Однако новые угрозы появляются все чаще и чаще, и поэтому становятся необходимыми методы распознавания неизвестных угроз. С ростом коммуникационных сетей, таких как Интернет, увеличивается потребность в обмене данными, включая все более растущее использование почтовых сообщений. Поэтому заражение компьютеров посредством передачи данных через коммуникационные каналы или обмен файлами является важной задачей. Заражения могут принимать различные формы, но в основном они бывают в виде компьютерных вирусов, троянских программ.
События, связанные с почтовыми атаками, имеют серьезные последствия как для поставщиков интернет-услуг (ISP), так и для множества компаний. Следовательно, существует необходимость в улучшении стратегии обнаружения вредоносных атак.
Для обнаружения вредоносных программ применяются различные методы обнаружения. Такими методами могут быть сигнатурное детектирование, которое использует шаблоны кода, полученные из известных вредоносных программ для сканирования объектов на наличие в коде данных шаблонов, технологии проверки целостности информации, использующие код уже известных доверенных (чистых) программ и создающие на их основе экземпляр чистого кода программы для последующего сравнения с приложениями, системы проверки целостности информации, создающие длинные списки модифицированных файлов после обновлений операционной системы, системы наблюдения контрольной суммы, основанные на генерации значения циклического кода избыточности (CRC) для каждого программного файла, и т.д.
Одновременно в защитном комплексе могут применяться разные виды обнаружения для увеличения точности обнаружения вредоносных программ. Представленные методы реализованы зачастую в аналитических модулях, которые собирают информацию о вредоносных или чистых объектах, проводят некоторые исследования и на их основе делают вывод о вредоносности того или иного объекта. Следует также отметить, что очень часто аналитические модули реализуются независимо друг от друга, а соответственно используют свои источники информации, свои исследования накапливают в своих средствах хранения. Такие аналитические модули редко предоставляют накопленную информацию другим модулям, т.к. для интеграции модулей требуются большие технические затраты из-за разной реализации модулей, разного представления одних и тех же объектов. Поэтому, если для исследования одному модулю требуется информация, которой нет в средстве хранения этого модуля, то получить ее от других модулей защитного комплекса сложно и еще более трудозатратно, чем, нежели попытаться найти эту информацию.
Одной из целей представленного изобретения является увеличение скорости реагирования на возникающие проблемы, связанные с определением вредоносного программного обеспечения на компьютерах пользователей.
В текущем уровне компоненты защитного комплекса строятся разрозненно друг от друга, имеют свои базы данных о вредоносных и чистых объектах.
Такие системы создания единого средства хранения данных для всего комплекса программ представлены, например, в патентной заявке US 20100076793 A1. В данной заявке раскрывается идея создания автоматической системы анализа компьютера, созданной для обнаружения вредоносного кода. Система создает и последовательно анализирует шаблон поведения для каждой программы, установленной на компьютере. Шаблон поведения создается с помощью виртуальной машины.
В патенте US 7239998 используется унифицированная интерпретация запросов от внешних и внутренних модулей к средству хранения данных. В патенте описывается технология обработки фразы на одном языке и ее перевода на другой язык, основываясь на множестве возможных лингвистических шаблонов. В патенте US 7424701 описывается аналогичное использование технологии представления знаний.
Для унифицированной передачи данных хорошо зарекомендовал себя язык XML. Например, в патенте US 6564321 описывается система, подключаемая к общей телефонной сети, и которая использует для передачи данных язык XML. Это позволяет унифицировать формат передаваемой информации, однако приведенная система не направлена на накопление информации и ее последующего анализа с целью определения дальнейших действий, что не позволяет усовершенствовать и оптимизировать работу системы.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему для ускорения решения проблем за счет накопления статистической информации. Результат данной системы предоставляется в виде системы для универсального взаимодействия компонент и их доступа к общим ресурсам.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в ускорении решения проблем за счет накопления статистической информации за счет создания системы для универсального взаимодействия компонент и их доступа к общим ресурсам.
В одном из вариантов реализации предоставляется система решения проблем за счет накопления статистической информации, которая включает в себя: средство управления, предназначенное для получения статистической информации о проблеме в виде объектов, представляющих потенциальную угрозу, от компьютеров пользователей и ее передачи средству хранения данных; упомянутое средство хранения данных, предназначенное для получения и хранения данных об объектах, представляющих потенциальную угрозу, связанное со средством интерпретации; упомянутое средство интерпретации, предназначенное для получения данных об исследуемых объектах от средства хранения данных и предоставления этих данных аналитическим модулям с помощью единого формата представления данных для описания объектов и их параметров; упомянутые аналитические модули, предназначенные для получения описания объектов и их параметров с помощью единого формата представления данных от средства интерпретации и их анализа на наличие вредоносного поведения, а также последующей передачи описания объектов и их параметров об исследовании средству интерпретации; при этом упомянутые аналитические модули получают информацию об объекте и его параметрах в виде единого формата представления данных, которые сохраняются в каждом аналитическом модуле для дальнейшего накопления и использования в процессе поиска решений проблем с помощью аналитического модуля, при этом в случае нахождения решения на основании накопленной информации упомянутые аналитические модули передают информацию о решении проблемы средству интерпретации, которое затем передает информацию о решении проблемы средству управления, которое, в свою очередь, сообщает информацию о решении проблемы компьютеру пользователя.
В одном из частных вариантов реализации средство управления также предназначено для получения запроса от компьютера пользователя на исследование.
В еще одном из частных вариантов реализации средство управления также предназначено для отслеживания появления данных от аналитических модулей в ответ на запрос пользователей.
Также в одном из частных вариантов реализации средство управления также предназначено для передачи данных в ответ на запрос пользователя.
В другом из частных вариантов реализации средство хранения данных также предназначено для хранения данных обо всех объектах, с которыми работают компоненты системы, как внешние, так и внутренние.
В одном из частных вариантов реализации средство интерпретации также предназначено для выполнения запросов аналитических модулей к средству хранения данных.
Дополнительно в одном из частных вариантов реализации средство интерпретации также для выполнения запросов к средству хранения данных использует язык разметки, такой как XML.
В еще одном из частных вариантов реализации средство хранения данных также предназначено для сбора данных следующего типа: файл; URL; учетная запись систем мгновенного обмена сообщениями; имя хоста; IP адрес; доменное имя; электронное сообщение.
В другом варианте реализации предоставляется способ решения проблем за счет накопления статистической информации, который включает: получение информации об объектах, представляющих потенциальную угрозу, от компьютеров пользователей; сохранение полученной от компьютеров пользователей информации; интерпретация полученной от компьютеров пользователей информации с помощью единого формата представления данных для описания объектов и их параметров; передача интерпретированной информации об объектах на аналитические модули; анализ интерпретированной информации с помощью аналитических модулей для получения решения, связанного с объектами, представляющими потенциальную угрозу; выдача решения от аналитических модулей при накоплении интерпретированной информации, достаточной для получения решения, по крайней мере, одним из аналитических модулей.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг.1а показывает примерный вариант реализации структуры взаимодействия компонент аналогичной системы предыдущего уровня техники.
Фиг.1б показывает примерный вариант реализации структуры взаимодействия компонент системы представленного изобретения.
На фиг.2 изображен примерный вариант реализации представленного изобретения.
Фиг.3а показывает примерный вариант реализации структуры объекта.
Фиг.3б показывает примерный вариант реализации объединения объектов по имени файла.
Фиг.3в показывает примерный вариант реализации объединения объектов по MD5-сумме.
Фиг.4 показывает примерный вариант реализации блок-схемы создания нового класса событий.
Фиг.5 показывает примерный вариант реализации блок-схемы процесса автоматического проведения частотного анализа.
Фиг.6 показывает примерный вариант реализации структуры класса объекта.
На фиг.7 приведен пример фрагмента справочника.
Фиг.8 иллюстрирует способ реализации настоящего изобретения.
Описание вариантов осуществления изобретения
Далее будут описаны примерные варианты реализации настоящего изобретения со ссылкой на сопровождающие чертежи. Объекты и признаки настоящего изобретения станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящее изобретение не ограничивается примерными вариантами реализации, раскрытыми ниже, она может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Настоящее изобретение используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).
Базовая система ввода-вывода (BIOS) содержит основные программы, которые помогают передавать информацию между элементами компьютерной системы, и сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с/записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.
Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.
Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.
Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows™ 2000). Компьютер включает в себя также файловую систему, связанную с/включенную в операционную систему, такую как Windows NT™ File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).
Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того, компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.
Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.
Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединен с системной шиной через интерфейс последовательного порта.
Настоящее изобретение описывает систему, которая сохраняет информацию обо всех найденных объектах в едином средстве хранения данных, обеспечивая доступ к представленному средству для аналитических модулей, находящихся как внутри системы, так и снаружи.
В существующих системах защиты компьютера пользователя, предусмотрены различные варианты приложений, как для домашних пользователей, так и для корпоративных сетей. Все приложения защитного комплекса помогают организовать и контролировать централизованную защиту компьютеров в корпоративной сети, объединяющую в единую систему разные уровни защиты: рабочие компьютеры, серверы, работающие под управлением различных операционных систем, а также мобильных устройств, почтовых серверов и интернет-шлюзов. Однако на данный момент каждое из приложений комплекса защиты имеет обособленные друг от друга средства хранения данных. Также существуют аналитические модули, которые исследуют различные подозрительные объекты на компьютере пользователя, и при этом данные собираются в различных средствах хранения. При отсутствии общей интеграции между представленными средствами хранения возможна ситуация, когда одно средство хранения может содержать неполную информацию обо всех известных защитному комплексу вредоносных угрозах.
В одном варианте реализации предлагается система, которая предназначена для объединения средств хранения данных защитного комплекса, а также для предоставления доступа к этому средству хранения всем приложениям. В соответствии с вариантом реализации в средствах хранения данных защитного комплекса представлены события различного рода, а именно сведения об обнаруженных и уничтоженных вредоносных программах, обновлениях баз данных приложений (в том числе и антивирусного приложения), проблемах в работе приложений (например, того же антивирусного приложения), списков групп и компьютеров в них и т.п. При предоставлении доступа к данной информации появляется возможность создания системы обработки и визуализации данных любого типа. Данные системы могут быть разработаны не только одной компанией, но сразу несколькими, которые выпускают различные приложения, связанные с компьютерной безопасностью. Также компоненты антивирусного приложения, работающие со средством хранения данных, могут находиться на разных персональных компьютерах или серверах. Со средством хранения данных смогут работать средства, работающие под разными операционными системами (например, Windows, UNIX, Mac OS и т.д.).
С помощью представленного варианта реализации настоящего изобретения предоставляется возможность более гибкой настройки в работе различных приложений. Например, для настройки правил безопасности при обнаружении на компьютере вирусов класса «Trojan-PSW» или «Backdoor» можно задать настройку, которая отключает доступ к сети Интернет и электронной почте. В случае работы без доступа к средству хранения данных доступ отключается до выяснения обстоятельств об опасности обнаруженных приложений. Но в соответствии с вариантом реализации возникает возможность быстрее реагировать на событие, а именно увеличивать скорость распознавания объектов как чистых или вредоносных, таким образом, создать автоматический блокиратор. Регистрация всех инцидентов осуществляется в едином средстве хранения данных (такими инцидентами могут быть, например, данные о вирусах).
Фиг.1а показывает примерный вариант реализации структуры взаимодействия компонент аналогичной системы предыдущего уровня техники. При запросе от персонального компьютера пользователя 110 проходит достаточно большое количество времени, прежде чем будет получен ответ от средства 120 поддержки. Это связано с тем, что в рамках данной системы требуется большое количество времени при ожидании отклика средством 120 поддержки от средства 130 анализа, т.к. в большинстве случаев они взаимодействуют с помощью электронной почты и требуют вмешательства специалистов, которые обслуживают средство 120 поддержки и средство 130 анализа.
Фиг.1б показывает примерный вариант реализации структуры взаимодействия компонент системы представленного изобретения. Между средством поддержки 120 добавляется средство 140 универсального взаимодействия компонент, которое призвано ускорить взаимодействие между средством 120 поддержки и средством 130 анализа.
На фиг.2 изображен примерный вариант реализации представленного изобретения. Система 200 универсального взаимодействия компонент и их доступа к общим ресурсам состоит из средства 210 управления, предназначенного для получения информации от клиентских компьютеров 110 (обозначены как персональные компьютеры (ПК), которые формируют поток данных 1), ее обработки и контроля над выполнением запроса от компьютера пользователя. Полученная от клиентских компьютеров 210 информация может содержать в себе описание проблемной ситуации, а также подозрительные файлы или почтовые сообщения, ссылки и т.д. Таким образом, данная информация передается средству 210 управления, которое в свою очередь обрабатывает полученные данные и отправляет их средству 230 хранения данных (поток данных 2). Средство 240 интерпретации, предназначенное для передачи данных об исследуемых объектах (поток данных 3) между средством хранения данных и внешними аналитическими модулями, которые могут использовать различные протоколы (например, HTTP или HTTPS) для передачи данных вышеупомянутому средству 240. На фиг.2 показано, что к средству 240 интерпретации обращаются (показано как поток данных 4) аналитические модули 250 и 260, выполняющие обработку и классификацию событий, а также их анализ и экспертную оценку. При этом данные модули 250 и 260 могут работать как в рамках системы 200 универсального взаимодействия компонент (как модуль 250), так и за ее пределами (как модуль 260). К средству 240 интерпретации также подключен сервер 270 сторонней компании (поток данных 5). Сервер 270 сторонней компании может использоваться как частная экспертная система для обработки данных (например, от средства 240 интерпретации), так и служить еще одним источником информации о проблемных ситуациях пользователей, включая данные о подозрительных файлах или почтовых сообщениях. В частном варианте реализации средство 240 интерпретации для передачи информации использует средства языка разметки XML.
Таким образом, для всех сервисов и компонент защитного комплекса осуществляется единое средство 230 хранения данных. При создании нового аналитического модуля, который исследует и анализирует какие-либо объекты (например, файлы), являясь, таким образом, источником полезной информации, заводится новый класс событий. С помощью созданного класса аналитический модуль посылает всю найденную информацию средству 240 интерпретации, которое затем сохраняет эти данные в средстве 230 хранения данных. После этого информация накапливается в средстве хранения данных 230, а средство 210 управления позволяет оценивать важность и значимость накапливаемой информации. Аналогичным образом возможна интеграция в защитный комплекс любой новой разработки, которая может предоставлять полезную информацию.
Представленная система передает информацию о различных объектах в виде классов. На фиг.3а изображено, что вся информация о параметрах класса условно делится на две части - на базовую информацию 310 и дополнительную информацию 320. Базовая информация 310 может содержать, например, информацию о типе объекта (файл или ссылка), источнике объекта, о том, где и когда объект был создан, кому он адресовался, и т.д. Вся остальная информация, описывающая этот объект, составляет дополнительную информацию 320 и зачастую с приемной стороны не обрабатывается, но накапливается. Данная информация может использоваться при появлении новых задач или проблем, а также областей, в которых можно применить дополнительную информацию. Если впоследствии создается новый класс событий, то в накопленных данных для уже имеющихся событий можно найти информацию, которая может быть использована в созданном классе. Если система получает новый поток событий или новые метаданные, то она принимает решение, считать ли эти данные новым событием, игнорировать их, или предпринять другое действие. Существует возможность создания объектов, у которых часть полей совпадает, а часть полей - нет. Например, один и тот же вредоносный файл может быть найден разными модулями, по нему может быть проставлено разное количество полей в разных случаях, а иногда и разная информация в одних и тех же полях. Эти объекты можно группировать по совпадающим параметрам для того, чтоб получать все варианты использования не совпадающих параметров. Например, файлы 330 и 340 можно группировать по имени и получать все MD5-суммы для объектов с одинаковым именем, как показано на фиг.3б. Аналогично, можно группировать объекты 350 и 360 по MD5-сумме, и получать все варианты наименования в системах пользователей (под разными именами, в разных местоположениях), как показано на фиг.3в. В зависимости от группировки по атрибуту, можно получать разные группы объектов и находить разные зависимости.
На фиг.4 изображена последовательность действий при возникновении нового класса объектов. На шаге 410 аналитический модуль, нашедший в ходе анализа новый вид объектов для исследования, (далее «отправляющий») реализует новую форму анализа данных. В связи с этим на шаге 420 отправляющий аналитический модуль передает средству 240 интерпретации новый вид объектов для их добавления в средство 230 хранения данных. На шаге 430 принимающий аналитический модуль принимает данные, но он ничего не знает об этих объектах. Поэтому на шаге 440 принимающий аналитический модуль накапливает информацию на случай, если в дальнейшем эта информация потребуется. Принимающая сторона может также отфильтровывать количество полей при получении объектов от средства 240 интерпретации, но в связи с этим могут возникнуть трудности, т.к. принимающий аналитический модуль не знает о том, какие это поля. Обработку полей модуль может начинать только после того, как получит информацию о том, какую информацию новые поля содержат. Поэтому на шаге 450 принимающий модуль запрашивает у средства 240 интерпретации информацию о неизвестных ему новых объектах или полях в уже существующих объектах. Если на шаге 460 средство 240 интерпретации предоставило принимающему модулю запрашиваемую информацию, то на шаге 470 принимающий модуль принимает решение о необходимости использования данных объектов (либо неизвестных ранее полей уже известных объектов). Если на шаге 460 средство 240 интерпретации сообщило о том, что оно не может предоставить запрашиваемую информацию, то на шаге 480 принимающий аналитический модуль начинает проведение частотного анализа, который заключается в определении того, как часто встречается новый показатель, как по нему кластеризуются данные. На шаге 490 завершается обработка новых объектов (полей в уже существующих объектах). Следует также отметить, что отправляющий аналитический модуль имеет возможность предоставить объяснение и документацию к вводимым полям объектов или объектам, т.к. для принимающей стороны автоматически невозможно принять решение о том, является ли новый параметр важным или нет. Однако средство интерпретации 240 может автоматически предоставлять информацию о том, что появились новые виды параметров.
На фиг.5 изображен частный вариант реализации процесса автоматического проведения частотного анализа. На шаге 510 аналитический модуль проводит анализ на предмет выявления вредоносных объектов на компьютерах пользователей. На шаге 520 аналитический модуль отправляет средству 240 интерпретации результаты анализа. На шаге 530 средство 210 управления проводит частотный анализ и пытается выявить закономерность. В случае если закономерность между новыми объектами или новыми полями уже существующих объектов найдена на шаге 540, то на шаге 550 проверяется, позволяет ли найденная закономерность делать выводы автоматически. Например, если для ссылок, ведущих на вредоносный веб-сайт, новый общий показатель выше ста, т.е. четко просматривается кластер по данному признаку, а у легитимных ссылок (ссылок, которые либо не были найдены в черном списке (т.е. списке ссылок, представляющих опасность) либо обозначены в белом списке (т.е. списке проверенных ссылок, не представляющих угрозы)) этот же показатель четко ниже пятидесяти, то можно сделать вывод о том, что возможно новый показатель следует использовать в дальнейшем. В случае положительного ответа, на шаге 560 результат анализа сохраняется. Если на шагах 540 или 550 ответы были отрицательными, то остается возможность отобразить найденную информацию эксперту на шаге 570. На шаге 580 аналитический модуль завершает работу по проведению частотного анализа.
Фиг.8 иллюстрирует способ реализации настоящего изобретения. На этапе 810 происходит получение информации об объектах, представляющих угрозу. Данный этап осуществляет средство 210 управления, которое получает информацию от ПК 110. Затем на этапе 820 полученная информация отправляется на сохранение в средстве 230 хранения данных. Сразу после этого средство 240 интерпретации на этапе 830 обрабатывает полученную информацию с целью ее предоставления аналитическим модулям 250 и 260 на этапе 840. Получив информацию об объектах, представляющих угрозу, каждый из аналитических модулей при наличии достаточного количества информации предоставляет решение, что проверяется на этапе 860. Если один из аналитических модулей предоставляет решение, то алгоритм заканчивается на этапе 870, в противном случае накопление информации продолжается, начиная с этапа 810. Таким образом, при накоплении достаточного количества информации хотя бы одним из аналитических модулей уже будет получено решение, связанное с объектами, представляющими угрозу.
На фиг.6 изображена древовидная структура предоставления информации в виде единого формата представления данных об объекте средством 240 интерпретации. Модуль Case 610 имеет информацию о параметрах 620 (базовых и дополнительных) и функциях 630, которые предоставляют некоторый набор действий для доступа к параметрам объекта. Применяя формат XML для описания объектов средства 230 хранения данных, составляется документация описания полей и функций объектов. Ниже приведен пример для описания модуля Case:
Функция «CaseLoad» 640 загружает список дел в зависимости от параметров и прав пользователя.
Параметры, которые функция возвращает, следующие:
case_id: integer - номер дела.
user_id: integer - номер пользователя создавшего дело (расшифровывается с помощью модуля User).
date_open: datetime - дата и время создания дела.
date_lastop: datetime - дата и время последнего обновления дела.
current_status: integer - текущий статус (расшифровывается с помощью модуля CaseStatus).
iteration: integer - номер итерации.
helper_id: integer - номер пользователя (helper′a), которому назначено это дело (расшифровывается с помощью модуля User).
compl_level: integer - уровень сложности дела
browser: integer - идентификатор браузера (расшифровывается с помощью модуля CaseBrowser).
firewall: integer - идентификатор фаервола (расшифровывается с помощью модуля CaseFirewall).
antivirus: integer - идентификатор антивируса (расшифровывается с помощью модуля CaseAntivirus).
date_notify: datetime - дата и время последнего уведомления почтой.
Возвращаемое значение: в случае успеха возвращает список дел, соответствующих заданным критериям, код ошибки в случае неудачи.
Пример:
В данном примере загружается список дел с идентификатором пользователя 1, открытых начиная с 12 часов 6 мая 2009 года:
Функция «CaseInsert» 650: добавляет новое дело, и автоматически добавляет к нему первый шаг (CaseSteps) со статусом (CaseStatus) 1 (открытие).
Параметры:
problem: string - описание проблемы.
Возвращаемое значение: код результата и номер нового дела в случае успеха.
Пример:
В данном примере создается новое дело от имени текущего пользователя.
Функция «CaseUpdate» 660 модифицирует данные дела.
Параметры:
case_id: integer - номер дела.
current_status: integer - текущий статус (расшифровывается с помощью модуля CaseStatus). При установке этого параметра автоматически добавляет к делу "шаг" (CaseStep).
iteration: integer - номер итерации.
helper_id: integer - номер пользователя (helper′a), которому назначено это дело (расшифровывается с помощью модуля User).
prim: string - пометка хелпера (оперативный блокнот).
problem: string - описание проблемы.
compl_level: integer - уровень сложности дела.
Возвращаемое значение: код результата.
Пример:
В данном примере устанавливается уровень сложности для дела с идентификатором 2.
Функция «CaseClose» 670 закрывает дело.
Параметры:
case_id: integer - номер дела.
Возвращаемое значение: код результата.
Пример:
В данном примере закрывается дело с номером «2».
Следует также отметить, что для упрощения интеграции объектов от разных аналитических модулей предусмотрено создание глобального справочника. В справочнике могут быть четко определены названия параметров для таких свойств объекта, как, например, имя файла (”filename”) или MD5-сумма (”MD5”). Также могут быть четко определены значения для передаваемых параметров. Это позволяет стандартизировать общие атрибуты (т.е. создать единый формат представления данных), а следовательно, и идентифицировать файл и узнать о нем общую информацию, описанную в справочнике, даже не имея информации о том, что это за файл, что он делает и для чего создан. На фиг.7 приведен пример фрагмента справочника 710. Данный фрагмент описывает параметры классов «File» 720 и «Link» 730. Класс «File» 720 содержит параметры: имя файла, размер файла, дата создания файла, дата последней модификации файла, источник файла, MD5-сумма файла и т.д. Класс «Link» 730 содержит параметры: ссылка, имя хоста, источник, по которому найдена ссылка.
Ниже приведен пример запроса, в котором идет авторизация (параметры Login и Password) и есть переключатель Base64, управляющий режимом передачи текстовых полей (в виде строк и иногда в виде Base64 кодирования, если в строке есть символы, недопустимые в XML). Далее следуют запросы, а именно запрашиваются свежие события по ПК с IP=”172.20.97.28". Запросы выполнены по объектно-ориентированной архитектуре, то есть любой запрос - это вызов заданного метода заданного класса с возможностью установки каких-то свойств. В данном случае вызывается класс PCEvents и его метод Get. У PCEvent устанавливается свойство “PCEvents.IP”=”172.20.97.28”. Параметр QID - это уникальный идентификатор, чтобы изучая ответ можно было четко связать запросы и ответы:
Пример ответа на запрос, описанный выше:
В ответе дублируются класс и метод, возвращается QID (и по нему можно определить, на какой запрос этот ответ в случае, если похожих запросов одновременно идет много). Параметр «Status=0» является кодом статуса, а значение «0» говорит о том, что запрошенный вызов выполнен без ошибок, если значение больше 0, то оно означает коды ошибки или специальные коды, например, ошибка 99 - это «вызов успешен, но по заданным параметрам нет данных». Вызовы методов могут как возвращать записи из средства хранения данных, так и вносить их туда. В примере существует класс Incidents с методами Get (запрос инцидентов по ПК) и Add (добавление инцидента по ПК). Т.е. запросы будут следующего вида:
Описанные выше запросы добавят в средство хранения данных запись об инциденте по заданному ПК.
В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенный формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (9)
1. Система решения проблем за счет накопления статистической информации, которая включает в себя:
средство управления, предназначенное для получения статистической информации о проблеме в виде объектов, представляющих потенциальную угрозу, от компьютеров пользователей и ее передачи средству хранения данных;
упомянутое средство хранения данных, предназначенное для получения и хранения данных об объектах, представляющих потенциальную угрозу, связанное со средством интерпретации;
упомянутое средство интерпретации, предназначенное для получения данных об исследуемых объектах от средства хранения данных и предоставления этих данных аналитическим модулям с помощью единого формата представления данных для описания объектов и их параметров;
упомянутые аналитические модули, предназначенные для получения описания объектов и их параметров с помощью единого формата представления данных от средства интерпретации и их анализа на наличие вредоносного поведения, а также последующей передачи описания объектов и их параметров об исследовании средству интерпретации;
при этом упомянутые аналитические модули получают информацию об объекте и его параметрах в виде единого формата представления данных, которые сохраняются в каждом аналитическом модуле для дальнейшего накопления и использования в процессе поиска решений проблем с помощью аналитического модуля, при этом в случае нахождения решения на основании накопленной информации упомянутые аналитические модули передают информацию о решении проблемы средству интерпретации, которое затем передает информацию о решении проблемы средству управления, которое, в свою очередь, сообщает информацию о решении проблемы компьютеру пользователя.
средство управления, предназначенное для получения статистической информации о проблеме в виде объектов, представляющих потенциальную угрозу, от компьютеров пользователей и ее передачи средству хранения данных;
упомянутое средство хранения данных, предназначенное для получения и хранения данных об объектах, представляющих потенциальную угрозу, связанное со средством интерпретации;
упомянутое средство интерпретации, предназначенное для получения данных об исследуемых объектах от средства хранения данных и предоставления этих данных аналитическим модулям с помощью единого формата представления данных для описания объектов и их параметров;
упомянутые аналитические модули, предназначенные для получения описания объектов и их параметров с помощью единого формата представления данных от средства интерпретации и их анализа на наличие вредоносного поведения, а также последующей передачи описания объектов и их параметров об исследовании средству интерпретации;
при этом упомянутые аналитические модули получают информацию об объекте и его параметрах в виде единого формата представления данных, которые сохраняются в каждом аналитическом модуле для дальнейшего накопления и использования в процессе поиска решений проблем с помощью аналитического модуля, при этом в случае нахождения решения на основании накопленной информации упомянутые аналитические модули передают информацию о решении проблемы средству интерпретации, которое затем передает информацию о решении проблемы средству управления, которое, в свою очередь, сообщает информацию о решении проблемы компьютеру пользователя.
2. Система по п.1, в которой средство управления также предназначено для получения запроса от компьютера пользователя на исследование.
3. Система по п.1, в которой средство управления также предназначено для отслеживания появления данных от аналитических модулей в ответ на запрос пользователей.
4. Система по п.1, в которой средство управления также предназначено для передачи данных в ответ на запрос пользователя.
5. Система по п.1, в которой средство хранения данных также предназначено для хранения данных обо всех объектах, с которыми работают компоненты системы как внешние, так и внутренние.
6. Система по п.1, в которой средство интерпретации также предназначено для выполнения запросов аналитических модулей к средству хранения данных.
7. Система по п.6, в которой средство интерпретации также для выполнения запросов к средству хранения данных использует язык разметки, такой как XML.
8. Система по п.1, в которой средство хранения данных также предназначено для сбора данных следующего типа:
файл;
URL;
учетная запись систем мгновенного обмена сообщениями;
имя хоста;
IP адрес;
доменное имя;
электронное сообщение.
файл;
URL;
учетная запись систем мгновенного обмена сообщениями;
имя хоста;
IP адрес;
доменное имя;
электронное сообщение.
9. Способ решения проблем за счет накопления статистической информации, который включает:
получение информации об объектах, представляющих потенциальную угрозу, от компьютеров пользователей;
сохранение полученной от компьютеров пользователей информации;
интерпретация полученной от компьютеров пользователей информации с помощью единого формата представления данных для описания объектов и их параметров;
передача интерпретированной информации об объектах на аналитические модули;
анализ интерпретированной информации с помощью аналитических модулей для получения решения, связанного с объектами, представляющими потенциальную угрозу;
выдача решения от аналитических модулей при накоплении интерпретированной информации, достаточной для получения решения, по крайней мере, одним из аналитических модулей.
получение информации об объектах, представляющих потенциальную угрозу, от компьютеров пользователей;
сохранение полученной от компьютеров пользователей информации;
интерпретация полученной от компьютеров пользователей информации с помощью единого формата представления данных для описания объектов и их параметров;
передача интерпретированной информации об объектах на аналитические модули;
анализ интерпретированной информации с помощью аналитических модулей для получения решения, связанного с объектами, представляющими потенциальную угрозу;
выдача решения от аналитических модулей при накоплении интерпретированной информации, достаточной для получения решения, по крайней мере, одним из аналитических модулей.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010144590/08A RU2444056C1 (ru) | 2010-11-01 | 2010-11-01 | Система и способ ускорения решения проблем за счет накопления статистической информации |
| US13/074,185 US8056136B1 (en) | 2010-11-01 | 2011-03-29 | System and method for detection of malware and management of malware-related information |
| EP11181345.7A EP2447877B1 (en) | 2010-11-01 | 2011-09-15 | System and method for detection of malware and management of malware-related information |
| CN201110339787.0A CN102332072B (zh) | 2010-11-01 | 2011-11-01 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010144590/08A RU2444056C1 (ru) | 2010-11-01 | 2010-11-01 | Система и способ ускорения решения проблем за счет накопления статистической информации |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2444056C1 true RU2444056C1 (ru) | 2012-02-27 |
Family
ID=44719377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2010144590/08A RU2444056C1 (ru) | 2010-11-01 | 2010-11-01 | Система и способ ускорения решения проблем за счет накопления статистической информации |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8056136B1 (ru) |
| EP (1) | EP2447877B1 (ru) |
| CN (1) | CN102332072B (ru) |
| RU (1) | RU2444056C1 (ru) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2488880C1 (ru) * | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
| RU2622626C2 (ru) * | 2015-09-30 | 2017-06-16 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения фишинговых сценариев |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7305700B2 (en) | 2002-01-08 | 2007-12-04 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
| US10210162B1 (en) | 2010-03-29 | 2019-02-19 | Carbonite, Inc. | Log file management |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| EP2599003B1 (en) | 2010-07-26 | 2018-07-11 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| US8955133B2 (en) * | 2011-06-09 | 2015-02-10 | Microsoft Corporation | Applying antimalware logic without revealing the antimalware logic to adversaries |
| WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
| CN102411687B (zh) * | 2011-11-22 | 2014-04-23 | 华北电力大学 | 未知恶意代码的深度学习检测方法 |
| WO2013086225A1 (en) | 2011-12-06 | 2013-06-13 | Seven Networks, Inc. | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
| EP2788889A4 (en) | 2011-12-07 | 2015-08-12 | Seven Networks Inc | FLEXIBLE AND DYNAMIC INTEGRATION SCHEMES OF A TRAFFIC MANAGEMENT SYSTEM WITH VARIOUS NETWORK OPERATORS TO REDUCE NETWORK TRAFFIC |
| RU2472215C1 (ru) | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки |
| US9060017B2 (en) | 2012-02-21 | 2015-06-16 | Logos Technologies Llc | System for detecting, analyzing, and controlling infiltration of computer and network systems |
| US9832211B2 (en) * | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
| CN103368987B (zh) * | 2012-03-27 | 2017-02-08 | 百度在线网络技术(北京)有限公司 | 云服务器、应用程序的审核认证及管理系统和方法 |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| US20130303118A1 (en) * | 2012-05-11 | 2013-11-14 | T-Mobile Usa, Inc. | Mobile device security |
| US9715325B1 (en) | 2012-06-21 | 2017-07-25 | Open Text Corporation | Activity stream based interaction |
| US10607007B2 (en) | 2012-07-03 | 2020-03-31 | Hewlett-Packard Development Company, L.P. | Micro-virtual machine forensics and detection |
| US9922192B1 (en) * | 2012-12-07 | 2018-03-20 | Bromium, Inc. | Micro-virtual machine forensics and detection |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
| US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| KR101480903B1 (ko) * | 2013-09-03 | 2015-01-13 | 한국전자통신연구원 | 모바일 악성코드 다중 점검 방법 |
| US10114960B1 (en) * | 2014-03-20 | 2018-10-30 | Amazon Technologies, Inc. | Identifying sensitive data writes to data stores |
| US9825987B2 (en) * | 2014-04-30 | 2017-11-21 | Twitter, Inc. | Application graph builder |
| WO2015200211A1 (en) | 2014-06-22 | 2015-12-30 | Webroot Inc. | Network threat prediction and blocking |
| CN104363201B (zh) * | 2014-10-11 | 2017-10-20 | 中国农业银行股份有限公司 | 一种服务器投产变更方法和系统 |
| CN106161373B (zh) * | 2015-04-10 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 一种安全防护信息提示方法、安全监控装置以及系统 |
| CN106295333B (zh) * | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
| US10289686B1 (en) | 2015-06-30 | 2019-05-14 | Open Text Corporation | Method and system for using dynamic content types |
| RU2606564C1 (ru) * | 2015-09-30 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ блокировки выполнения сценариев |
| ES2762988T3 (es) * | 2015-12-19 | 2020-05-26 | Bitdefender Ipr Man Ltd | Autoanálisis de memoria dual para asegurar múltiples puntos finales de red |
| US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10303448B2 (en) * | 2016-05-15 | 2019-05-28 | Synopsys, Inc. | Systems and methods for graph-based analysis of software |
| US11153083B2 (en) * | 2017-06-16 | 2021-10-19 | Motorola Mobility Llc | Rogue unit detection information |
| CN108073808B (zh) * | 2017-12-21 | 2021-10-15 | 安天科技集团股份有限公司 | 基于pdb调试信息生成攻击者画像的方法及系统 |
| US11271955B2 (en) * | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| US11240275B1 (en) * | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| TWI657681B (zh) * | 2018-02-13 | 2019-04-21 | 愛迪爾資訊有限公司 | 網路流分析方法及其相關系統 |
| US10728034B2 (en) | 2018-02-23 | 2020-07-28 | Webroot Inc. | Security privilege escalation exploit detection and mitigation |
| US11050772B2 (en) * | 2018-12-05 | 2021-06-29 | Bank Of America Corporation | Method and system for identification and prevention of profiling attacks in electronic authorization systems |
| GB201820853D0 (en) * | 2018-12-20 | 2019-02-06 | Palantir Technologies Inc | Detection of vulnerabilities in a computer network |
| CN109766391B (zh) * | 2019-01-21 | 2024-01-23 | 武汉易万科技有限公司 | 检测系统、检测方法以及计算机可读介质 |
| US11233816B2 (en) * | 2019-02-15 | 2022-01-25 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
| US11314863B2 (en) | 2019-03-27 | 2022-04-26 | Webroot, Inc. | Behavioral threat detection definition and compilation |
| CN111224942B (zh) * | 2019-11-20 | 2021-11-16 | 重庆邮电大学 | 基于三元关联图检测的恶意软件传播控制方法及装置 |
| CN111835757B (zh) * | 2020-07-10 | 2021-04-09 | 北京靠谱云科技有限公司 | 一种基于遗传算法的混合兼容式sql注入检测方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674558A (zh) * | 2004-03-25 | 2005-09-28 | 株式会社日立制作所 | 信息中继装置和数据流统计信息收集方法 |
| RU91213U1 (ru) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6564321B2 (en) | 1995-04-28 | 2003-05-13 | Bobo Ii Charles R | Systems and methods for storing, delivering, and managing messages |
| US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
| GB2353372B (en) * | 1999-12-24 | 2001-08-22 | F Secure Oyj | Remote computer virus scanning |
| US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US7636945B2 (en) | 2000-07-14 | 2009-12-22 | Computer Associates Think, Inc. | Detection of polymorphic script language viruses by data driven lexical analysis |
| US7346928B1 (en) * | 2000-12-01 | 2008-03-18 | Network Appliance, Inc. | Decentralized appliance virus scanning |
| US6990439B2 (en) | 2001-01-10 | 2006-01-24 | Microsoft Corporation | Method and apparatus for performing machine translation using a unified language model and translation model |
| US7043757B2 (en) * | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
| US6944775B2 (en) * | 2001-07-26 | 2005-09-13 | Networks Associates Technology, Inc. | Scanner API for executing multiple scanning engines |
| US7058857B2 (en) | 2001-10-10 | 2006-06-06 | International Business Machines Corporation | Method and system for testing a software product |
| US7093002B2 (en) * | 2001-12-06 | 2006-08-15 | Mcafee, Inc. | Handling of malware scanning of files stored within a file storage device of a computer network |
| US7415726B2 (en) * | 2001-12-28 | 2008-08-19 | Mcafee, Inc. | Controlling access to suspicious files |
| US7395436B1 (en) * | 2002-01-31 | 2008-07-01 | Kerry Nemovicher | Methods, software programs, and systems for electronic information security |
| US7424701B2 (en) | 2002-02-12 | 2008-09-09 | Sandpiper Software, Inc. | Method and apparatus for frame-based knowledge representation in the unified modeling language (UML) |
| US7284273B1 (en) * | 2003-05-29 | 2007-10-16 | Symantec Corporation | Fuzzy scanning system and method |
| US7593936B2 (en) | 2003-08-11 | 2009-09-22 | Triumfant, Inc. | Systems and methods for automated computer support |
| US7472422B1 (en) * | 2003-09-10 | 2008-12-30 | Symantec Corporation | Security management system including feedback and control |
| JP2007535723A (ja) | 2003-11-04 | 2007-12-06 | キンバリー クラーク ワールドワイド インコーポレイテッド | 複合ソフトウエアシステムを実施して検証するための自動多次元追跡可能性行列を含む試験ツール |
| US7490352B2 (en) | 2005-04-07 | 2009-02-10 | Microsoft Corporation | Systems and methods for verifying trust of executable files |
| US7577661B2 (en) | 2005-06-30 | 2009-08-18 | Microsoft Corporation | Extensible and automatically replicating server farm configuration management infrastructure |
| CA2513022A1 (en) | 2005-07-22 | 2007-01-22 | Research In Motion Limited | System and method for communicating state management between a browser user-agent and a mobile data server |
| US7631357B1 (en) | 2005-10-05 | 2009-12-08 | Symantec Corporation | Detecting and removing rootkits from within an infected computing system |
| GB2432934B (en) * | 2006-03-14 | 2007-12-19 | Streamshield Networks Ltd | A method and apparatus for providing network security |
| US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| US8307443B2 (en) * | 2007-09-28 | 2012-11-06 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US7971258B1 (en) * | 2007-09-28 | 2011-06-28 | Trend Micro Incorporated | Methods and arrangement for efficiently detecting and removing malware |
| KR100954355B1 (ko) | 2008-01-18 | 2010-04-21 | 주식회사 안철수연구소 | 악성코드 진단 및 치료 장치 |
| CN101340434B (zh) * | 2008-05-15 | 2011-09-07 | 王瑞 | 网站恶意内容检测与认证方法及系统 |
| US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
| US7530106B1 (en) | 2008-07-02 | 2009-05-05 | Kaspersky Lab, Zao | System and method for security rating of computer processes |
| KR101078641B1 (ko) | 2008-07-14 | 2011-11-01 | 명지대학교 산학협력단 | 감각 재생 장치에 관계된 메타데이터를 이용한 멀티미디어 응용 시스템 및 방법 |
| US7540030B1 (en) * | 2008-09-15 | 2009-05-26 | Kaspersky Lab, Zao | Method and system for automatic cure against malware |
| US9129291B2 (en) | 2008-09-22 | 2015-09-08 | Personics Holdings, Llc | Personalized sound management and method |
| US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
| KR101493076B1 (ko) * | 2009-04-07 | 2015-02-12 | 삼성전자 주식회사 | 버퍼 오버플로우 관리를 통한 바이러스 코드 실행방지장치 및 그 방법 |
| US9087188B2 (en) * | 2009-10-30 | 2015-07-21 | Intel Corporation | Providing authenticated anti-virus agents a direct access to scan memory |
-
2010
- 2010-11-01 RU RU2010144590/08A patent/RU2444056C1/ru active
-
2011
- 2011-03-29 US US13/074,185 patent/US8056136B1/en not_active Expired - Fee Related
- 2011-09-15 EP EP11181345.7A patent/EP2447877B1/en active Active
- 2011-11-01 CN CN201110339787.0A patent/CN102332072B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674558A (zh) * | 2004-03-25 | 2005-09-28 | 株式会社日立制作所 | 信息中继装置和数据流统计信息收集方法 |
| RU91213U1 (ru) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2488880C1 (ru) * | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
| RU2622626C2 (ru) * | 2015-09-30 | 2017-06-16 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения фишинговых сценариев |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102332072A (zh) | 2012-01-25 |
| CN102332072B (zh) | 2015-03-25 |
| US8056136B1 (en) | 2011-11-08 |
| EP2447877B1 (en) | 2015-05-27 |
| EP2447877A1 (en) | 2012-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2444056C1 (ru) | Система и способ ускорения решения проблем за счет накопления статистической информации | |
| US8667583B2 (en) | Collecting and analyzing malware data | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| CN101517570B (zh) | 分析网络内容的系统和方法 | |
| US8776241B2 (en) | Automatic analysis of security related incidents in computer networks | |
| JP2023506168A (ja) | システム・イベントの自動意味論的モデリング | |
| CN109074454B (zh) | 基于赝象对恶意软件自动分组 | |
| RU91202U1 (ru) | Система обнаружения неизвестных вредоносных программ | |
| CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| KR20070065306A (ko) | 엔드 유저 위험 관리 | |
| CN101558384A (zh) | 软件漏洞利用防护 | |
| CN103679031A (zh) | 一种文件病毒免疫的方法和装置 | |
| RU2697958C1 (ru) | Система и способ обнаружения вредоносной активности на компьютерной системе | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| Zhang et al. | Malicious package detection in NPM and pypi using a single model of malicious behavior sequence | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| US20240054215A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| WO2017077847A1 (ja) | 解析装置、解析方法、および、解析プログラム | |
| RU2449360C1 (ru) | Система и способ формирования антивирусных баз в соответствии с параметрами персонального компьютера | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| Small et al. | To Catch a Predator: A Natural Language Approach for Eliciting Malicious Payloads. | |
| RU2747514C2 (ru) | Система и способ категоризации приложения на вычислительном устройстве | |
| RU2587424C1 (ru) | Способ контроля приложений | |
| CN110110524A (zh) | 一种面向计算设备系统的漏洞扫描与维护方法 | |
| Meenakshi et al. | Literature survey on log-based anomaly detection framework in cloud |