CN101777062B - 场境感知的实时计算机保护系统和方法 - Google Patents
场境感知的实时计算机保护系统和方法 Download PDFInfo
- Publication number
- CN101777062B CN101777062B CN200910253763.6A CN200910253763A CN101777062B CN 101777062 B CN101777062 B CN 101777062B CN 200910253763 A CN200910253763 A CN 200910253763A CN 101777062 B CN101777062 B CN 101777062B
- Authority
- CN
- China
- Prior art keywords
- file
- interest
- application
- events
- border
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000004044 response Effects 0.000 claims abstract description 11
- 230000008569 process Effects 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 16
- 241000700605 Viruses Species 0.000 claims description 11
- 230000000694 effects Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 29
- 230000006399 behavior Effects 0.000 description 10
- 238000004590 computer program Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及场境感知的实时计算机保护系统和方法。一种计算机实现的方法,用于响应于感兴趣事件通过检查所述感兴趣事件的完整场境来确定是否执行实时文件扫描,可以包括1)检测感兴趣事件,2)识别与所述感兴趣事件相关的至少一个文件,3)访问与所述感兴趣事件相关的场境元数据,4)访问至少一个规则,该规则包含用于基于所述感兴趣事件和所述场境元数据来确定是否对所述文件执行安全扫描的标准,以及随后5)通过应用所述规则来确定是否对所述文件执行安全扫描。还公开了相应的系统和计算机可读介质。
Description
背景技术
性能是诸如实时文件扫描解决方案等实时安全产品供应商一直关心的问题。传统的实时文件扫描解决方案通常:1)在文件已被打开或修改时进行检测并随后2)通过扫描所涉文件来确定该文件是否已被损害。虽然单个文件扫描可能不会过度地占用计算系统的资源,但目前的操作系统执行的文件操作的数目可能需要更多次的文件扫描,而这又可能导致明显较慢的计算系统性能和用户厌烦。
虽然某些安全供应商已尝试通过基于文件的扩展名或基于文件是被打开还是关闭而跳过文件扫描来限制实时文件扫描解决方案的性能影响,但此类常规方法在有效性和可靠性方面受限制。例如,此类方法可能无法识别具有似乎合法的文件扩展名的恶意文件,此类方法可能将计算资源专用于扫描经修改的文件,即使存在该经修改的文件未受到安全威胁的高度可能性。类似地,本公开认识到用于改善传统实时文件扫描安全解决方案的性能的可靠性两者的需要。
发明内容
如下文更详细地描述的那样,本公开总体上涉及用于响应于感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)通过检查所述感兴趣事件的完整场境(context)来确定是否执行实时文件扫描的系统和方法。所述感兴趣事件的完整场境可以包括所涉文件的历史、访问所涉文件的应用的历史、以及用于所涉文件的已知可接受使用模式。在此所公开的系统和方法可以通过评估此信息而不是始终执行扫描在不显著降低由传统实时扫描解决方案提供的安全水平的情况下使实时扫描系统的性能影响最小化。
例如,一种系统可以通过以下步骤来确定是否执行实时文件扫描:1)检测感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时),2)识别与所述感兴趣事件相关的至少一个文件(诸如被打开或关闭的文件),3)访问描述或识别其中发生所述感兴趣事件的较大场境的信息(在此也称为“场境元数据”),4)访问至少一个规则,该规则包含用于基于所述感兴趣事件和所述场境元数据来确定是否对所述文件执行扫描的标准,以及随后5)通过应用所述规则来确定是否对所述文件执行扫描。
如果所述系统判定扫描文件,则该系统还可以基于所述场境元数据来确定在执行扫描时是提高还是降低将应用于文件的监查水平。所述系统还可以基于扫描的结果来确定是否阻止文件、隔离文件、删除文件、通知用户或安全供应商等。所述系统随后可以基于安全扫描的结果来更新所述场境元数据。
可以依照在此所述的一般原理将来自任何上述实施例的特征相互结合地使用。结合附图和权利要求来读取以下详细说明时将更全面地理解这些及其它实施例、特征、以及优点。
附图说明
附图示出许多示例性实施例,并且作为本说明书的一部分。这些附图连同以下说明一起说明并解释本公开的各种原理。
图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性系统的方框图。
图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性方法的流程图。
图3是能够实现在此所述和/或所示的一个或多个实施例的示例性计算系统的方框图。
图4是能够实现在此所述和/或所示的一个或多个实施例的示例性计算网络的方框图。
在所有附图中,相同的附图标记和说明指示类似但不一定必须相同的元件。虽然在此所述的示例性实施例可以有各种修改和替换形式,但在附图中已通过示例示出了特定的实施例并将在此进行详细地描述。然而,在此所述的示例性实施例并不意在局限于所公开的特定形式。相反,本公开涵盖落入所附权利要求的范围内的所有修改、等价物、以及替换物。
具体实施方式
如下文更详细地描述的那样,本公开总体上涉及用于响应于感兴趣事件通过检查感兴趣事件的完整场境来确定是否执行实时文件扫描的系统和方法。描述或识别其中发生所述感兴趣事件的较大场境的信息(在下文中称为“场境元数据”)可以包括但不限于关于所涉文件的信息(诸如文件名、文件创建日期、已被读取或修改的次数、已经读取或修改该文件的应用、用于该文件的典型使用行为、先前对该文件执行的安全扫描的结果等)或关于接触所涉文件的应用或与所涉文件相关的应用的信息(诸如该文件程序是否是门户、该应用是否产生网络活动、该应用是否包含已知的漏洞等)。
下面将参照图1来提供用于响应于感兴趣事件通过检查感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性系统的详细说明。还将结合图2来提供相应的示例性计算机实现方法的详细说明。另外,还将结合图3和4来提供能够实现在此所描述和/或所示的一个或多个实施例的示例性计算系统和网络架构的说明。
图1是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来执行实时文件扫描的示例性系统100的方框图。如此图所示,示例性系统100可以包括用于执行一个或多个任务的一个或多个模块102。例如,示例性系统100可以包括用于检测可能触发文件扫描的感兴趣事件(诸如当文件被打开或关闭时或当供应商提供的病毒定义集被更新时)的事件检测模块104。示例性系统100还可以包括用于访问并应用包含标准的规则的规则应用模块106,所述标准用于基于所检测的感兴趣事件和与该感兴趣事件相关的场境元数据来确定是否执行文件扫描。
另外,示例性系统100可以包括用于对文件执行安全扫描以确定该文件是否是恶意文件或是否引起安全风险的安全模块108。示例性系统100还可以包括用于基于文件的安全扫描结果来更新场境元数据的元数据更新模块110。虽然未在图1中示出,但示例性系统100还可以包括一个或多个附加模块。
在某些实施例中,图1中的一个或多个模块102可以表示在被计算设备执行时可以促使计算设备响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的一个或多个软件应用或程序。例如,如下文更详细地描述的那样,一个或多个模块102可以表示被配置为在一个或多个计算设备上运行的软件模块,所述计算设备诸如图3中的计算系统310和/或图4中的示例性网络架构400的部分。图1中的一个或多个模块102还可以表示被配置为执行一个或多个任务的一个或多个专用计算机中的全部或部分。
如图1所示,示例性系统100还可以包括一个或多个数据库120。数据库120可以表示单个数据库或计算设备或多个数据库或计算设备的部分。在一个实施例中,示例性系统100可以包括用于存储场境元数据的场境元数据数据库122,场境诸如关于作为用于扫描的候选的文件的信息和关于接触所述候选文件或与之相关的应用的信息。示例性系统100还可以包括用于存储包含标准的规则或规则集的规则数据库124,所述标准用于基于程序的特性来确定该程序是否包含垃圾邮件程序。
图1中的一个或多个数据库120可以表示一个或多个计算设备的一部分。例如,一个或多个数据库120可以表示图3中的计算系统310的一部分和/或图4中的示例性网络架构400的部分。可选地,图1中的一个或多个数据库120可以表示一个或多个物理上分离的能够由计算设备访问的设备,诸如图3中的计算系统310和/或图4中的示例性网络架构的部分。
图2是用于响应于感兴趣事件通过检查该感兴趣事件的完整场境来确定是否执行实时文件扫描的示例性计算机实现方法200的流程图。如此图所示,在步骤202,所述系统可以检测感兴趣事件。例如,图1中的事件检测模块104可以检测图3中的计算系统310上的感兴趣事件。
在此所使用的短语“感兴趣事件”通常指在计算系统上的可以触发文件扫描的任何事件。感兴趣事件的示例包括但不限于进程或应用打开文件的失败或成功尝试、进程或应用关闭文件的失败或成功尝试、对安全供应商提供的病毒定义集的更新、或可能引起对计算系统上的文件的可信赖性的怀疑的任何其它事件。
所述系统可以以多种方式来执行步骤202。在一个示例中,图1中的事件检测模块104可以通过挂到(hook)计算系统(诸如图3中的计算系统)的操作系统中并响应特定事件来检测感兴趣事件。
在步骤204,所述系统可以识别与在步骤202中检测到的与感兴趣事件相关的至少一个文件。所述系统可以以多种方式来识别与感兴趣事件相关的文件。例如,如果在步骤202中事件检测模块104识别到进程打开文件的成功尝试,则在步骤204,事件检测模块104可以识别被打开的文件。可选地,如果在步骤202中事件检测模块104检测到对供应商提供的病毒定义集的更新,则在步骤204,事件检测模块104可以识别受到此更新的影响或冲击的一个或多个文件。
在步骤206,所述系统可以访问与感兴趣事件相关的场境元数据。例如,图1中的规则应用模块106可以从图1中的场境元数据数据库112检索关于在步骤204中识别的文件的信息。
如上所述,短语“场境元数据”可以指的是关于其中发生感兴趣事件的大量的场境的信息。场境元数据的示例可以包括但不限于关于可疑的文件的信息和关于接触所涉文件或与之相关的一个或多个应用的信息。可以包括在场境元数据中的关于文件的信息类型的示例包括但不限于文件名、文件路径名、文件类型(诸如该文件是否是预读取文件、该文件是否是日志文件等)、文件创建日期、文件最后修改日期、文件的散列(hash)或数字签名、文件已被读取或修改的次数、读取或修改文件的应用、文件的使用行为(诸如该文件在启动序列期间是否通常被打开)、先前对文件执行的安全扫描的结果、或可用于确定是否对文件执行安全扫描的任何其它信息。
类似地,关于接触候选文件或与之相关的应用的示例性信息可以包括但不限于应用名、与该应用相关的进程、用于该应用的使用行为、该应用是否是门户、该应用是否产生网络活动、该应用是否包含已知的漏洞、或可用于确定是否对所涉文件执行安全扫描的任何其它信息。
在步骤208,所述系统可以访问包括标准的至少一个规则,所述标准用于基于感兴趣事件和场境元数据来确定是否对文件执行安全扫描。例如,图1中的规则应用模块106可以从规则数据库124中检索包括标准的至少一个规则,所述标准用于确定是否对在步骤204中识别的文件执行安全扫描。
如上所述,在步骤208中访问的规则可以包括用于确定感兴趣事件(诸如应用打开和修改文件的成功尝试)是否需要实时文件扫描。可以由规则用来确定是否对文件执行实时扫描的标准的示例包括但不限于所涉文件的名称、修改、读取或访问所涉文件的进程或应用的名称、所涉文件的路径名或位置、所涉文件的文件类型、所涉文件的创建日期或最后修改日期、所涉文件已被访问的次数、已访问所涉文件的应用或进程、用于所涉文件的可接受使用行为、用于尝试访问所涉文件的应用的可接受使用行为、先前对所涉文件执行的安全扫描的结果、尝试访问所涉文件的应用是否是门户、尝试访问所涉文件的应用是否产生网络活动、尝试访问所涉文件的应用是否包含已知的漏洞、或可以用来确定感兴趣事件是否需要文件的实时扫描的任何其它标准。
例如,规则可以规定只要由某些预先许可的应用或进程(例如通过进程名来识别)访问特定的文件(例如通过文件名或路径名来识别)、就不需要扫描该文件。类似地,规则可以规定每当某些敏感性或关键系统文件(例如通过其文件类型或路径名来识别)被具有已知漏洞的应用修改时,就必须扫描这些文件。
规则本质上可以是一般的或专用的。例如,可以写下一般规则以消除在无威胁的使用情况下的扫描。例如,规则可以规定在写操作之后文件已被关闭之后不需要扫描只被写入且从未被读取的文件(诸如日志文件)。类似地,一般规则可以规定如果在X天的过程中文件只被单个应用写入或读取,只要是由单个识别的应用访问该文件,则不需要扫描该文件。
可以对特定的文件类型书写规则。例如,规则可以规定如果进程或应用访问WINDOWS预读取文件,则只有该文件名与进程的名称不匹配时才应扫描该预读取文件。在本示例中,所述规则可以规定在以下情况下不应扫描预读取文件:1)文件名是“IEXPLORE.EXE-XXXXXX.PF”,2)文件正在被进程“IEXPLORE.EXE”读取,以及3)主进程刚刚启动。
规则在本质上可以是专用的。例如,可以为特定的应用创建这样的规则,即其规定不需要扫描在某些众所周知的位置上的由该应用创建的临时文件,因为这些临时文件在应用终止时将被删除。在上述示例中的每一个中,可以通过将与在那种情形下跳过或减少相关的安全风险与可以实现的性能改善相比较来制定规则。
在某些示例中,规则还可以包括用于基于与感兴趣事件相关的场境元数据来确定在执行安全扫描时应用于文件的安全水平的标准。例如,规则可以规定当文件被经预先许可的应用打开时,系统只需要对文件执行有限的安全扫描(例如通过确定文件的一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配)。可选地,如果系统确定文件被新的或未经许可的应用访问,则系统可以对该文件执行完全扫描(例如通过在虚拟或仿真的计算环境内执行文件来确定该文件是否包含恶意有效负荷)。
在步骤210,系统可以通过应用来自步骤208的规则来确定是否对文件执行安全扫描。例如,图1中的规则应用模块106可以将在步骤208中从规则数据库124检索的规则应用于在步骤204中识别的文件。当图2中的步骤210完成时,图2中的示例性方法200可以终止。
如果图1中的规则应用模块106在步骤210中确定系统应对文件执行安全扫描,则安全模块108可以对文件执行安全扫描。本文所使用的短语“安全扫描”通常指由计算系统对文件执行以便确定文件是否是恶意的或表示安全风险的任何分析。
图1中的安全模块108可以以多种方式来尝试确定文件是否是恶意的。例如,安全模块108可以:1)确定文件的至少一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配(例如通过将文件的散列与已知恶意文件的散列相比较),2)确定该文件是否触发由安全供应商提供的恶意件检测探试(例如,通过模式匹配),3)在虚拟或模拟计算环境执行文件以确定文件是否包含恶意有效载荷,或4)通过任何其它适当的方式来验证文件的合法性。
根据安全扫描的结果,安全模块108还可以对文件执行安全操作。在此所使用的短语“安全操作”通常指可以对已知恶意文件执行的任何安全操作。安全操作的示例包括但不限于删除文件、阻止访问文件、隔离文件、向用户或安全供应商发送将该文件识别为安全风险的通知、或可以对恶意文件或被认为将引起安全风险的文件执行的任何其它安全操作。
在某些实施例中,当完成安全扫描时,系统可以基于扫描的结果来更新在步骤206中访问的场境元数据。例如,图1中的元数据更新模块110可以用对文件执行的安全扫描的结果来更新存储在场境元数据数据库122中的场境元数据。
如上所述,通过制定并应用将感兴趣事件的较大范围的场境考虑在内的规则,在此所述的系统和方法可以在不显著牺牲提供的安全水平的情况下改善实时扫描系统的性能。类似地,在此所公开的系统和方法可以向实时计算机安全解决方案的用户提供各种可靠性和性能优点。
图3是能够实现在此所描述的和/或所示的一个或多个实施例的示例性计算系统310的方框图。计算系统310广泛地表示能够执行计算机可读指令的任何单个或多处理器计算设备或系统。计算系统310的示例包括但不限于工作站、膝上型计算机、客户端侧终端、服务器、分布式计算系统、手持式设备、或任何其它计算系统或设备。在其最基本的配置中,计算系统310可以包括至少一个处理器314和系统存储器316。
处理器314一般表示能够处理数据或解释并执行指令的任何类型或形式的处理单元。在某些实施例中,处理器314可以从软件应用或模块接收指令。这些指令可以促使处理器314执行在此所描述的和/或所示的一个或多个示例性实施例的功能。例如,处理器314可以执行在此所描述的检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独或与其它元件结合地执行在此所描述的检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。处理器314还可以执行在此所描述的和/或所示的任何其它步骤、方法、或过程和/或作为用于执行在此所描述的和/或所示的任何其它步骤、方法、或过程的装置。
系统存储器316一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器316的示例包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、闪速存储器、或任何其它适当的存储设备。虽然不需要,但在某些实施例中,计算系统310可以包括易失性存储单元(诸如,例如系统存储器316)和非易失性存储设备(诸如,例如如下文更详细地描述的主存储设备332)二者。
在某些实施例中,除处理器314和系统存储器316之外,示例性计算系统310还可以包括一个或多个组件或元件。例如,如图3所示,计算系统310可以包括存储控制器318、输入/输出(I/O)控制器320以及通信接口322,其中的每一个可以经由通信基础设施312互连。通信基础设施312一般表示能够便于计算设备的一个或多个组件之间的通信的任何类型或形式的基础设施。通信基础设施312的示例包括但不限于通信总线(诸如ISA、PCI、PCIe、或类似总线)和网络。
存储控制器318一般表示能够处理存储器或数据或控制计算系统310的一个或多个组件之间的通信的任何类型或形式的设备。例如,在某些实施例中,存储控制器318可以经由通信基础设施312来控制处理器314、系统存储器316和I/O控制器320之间的通信。在某些实施例中,存储控制器318可以执行在此所描述的和/或所示的一个或多个步骤或特征和/或作为用于单独地或与其它组件相结合地执行在此所描述的和/或所示的一个或多个步骤或特征的装置,所述步骤或特征诸如检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行。
I/O控制器320一般表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如,在某些实施例中,I/O控制器320可以控制或便于计算系统310之间的一个或多个元件之间的数据传送,所述元件诸如处理器314、系统存储器316、通信接口322、显示适配器326、输入接口330、以及存储在此所描述的检测、识别、访问、应用、打开、关闭、检索、执行、阻止、隔离、发送、更新、以及执行步骤。I/O控制器320还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。
通信接口322广泛地表示能够便于示例性计算系统310与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如,在某些实施例中,通信接口322可以便于计算系统310与包括附加计算系统的私有或公共网络之间的通信。通信接口322的示例包括但不限于有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器、或任何其它适当接口。在至少一个实施例中,通信接口322可以经由到诸如因特网的网络的直接链路来提供到远程服务器的直接连接。通信接口322还可以通过例如局域网(诸如以太网或无线IEEE 802.11网络)、个域网(诸如BLUETOOTH网络或IEEE 802.15网络)、电话或电缆网、蜂窝式电话连接、卫星数据连接、或任何其它适当连接来间接地提供此类连接。
在某些实施例中,通信接口322还可以表示被配置为经由外部总线或通信信道以便于计算系统310与一个或多个附加网络或存储设备之间的通信的主机适配器。主机适配器的示例包括但不限于SCSI主机适配器、USB主机适配器、IEEE 1394主机适配器、SATA和eSATA主机适配器、ATA和PATA主机适配器、光纤信道接口适配器、以太网适配器等。通信接口322还可以允许计算系统310参与分布式或远程计算。例如,通信接口322可以从远程设备接收指令或向远程设备发送用于执行的指令。在某些实施例中,通信接口322可以执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。通信接口322还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。
如图3所示,计算系统310还可以包括经由显示适配器326耦合到通信基础设施312的至少一个显示设备324。显示设备324一般表示能够在视觉上显示由显示适配器326转发的信息的任何类型或形式的设备。类似地,显示适配器326一般表示被配置为转发来自通信基础设施312(或来自如本领域中所已知的帧缓冲器)的用于在显示设备324上显示的图形、文本、及其它数据的任何类型或形式的设备。
如图3所示,示例性计算系统310还可以包括经由输入接口330耦合到通信基础设施312的至少一个输入设备328。输入设备328一般表示能够向示例性计算系统310提供计算机或人类生成的输入的任何类型或形式的输入设备。输入设备328的示例包括但不限于键盘、指示设备、语音识别设备、或任何其它设备。在至少一个实施例中,输入设备328可以执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。输入设备328还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。
如图3所示,示例性计算系统310还可以包括经由存储接口334耦合到通信基础设施312的主存储设备332和备份存储设备333。存储设备332和333一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。例如,存储设备332和333可以是磁盘驱动器(例如,所谓的硬盘驱动器)、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等。存储接口334一般表示用于在存储设备332和333与计算系统310的其它组件之间传送数据的任何类型或形式的接口或设备。
在某些实施例中,存储设备332和333可以被配置为从可移动存储单元读取和/或写入可移动存储单元,所述可移动存储单元被配置为存储计算机软件、数据、或其它计算机可读信息。适合的可移动存储单元的示例包括但不限于软盘、磁盘、光盘、闪速存储设备等。存储设备332和333还可以包括用于允许将计算机软件、数据、或其它计算机可读指令加载到计算系统310中的其它类似结构或设备。例如,存储设备332和333可以被配置为读取和写入软件、数据、或其它计算机可读信息。存储设备332和333可以是计算系统310的一部分或者可以是通过其它接口系统来访问的单独设备。
在某些实施例中,可以将在此所公开的示例性文件系统存储在主存储设备332上,同时可以将在此所公开的示例性文件系统备份存储在备份存储设备333上。存储设备332和333还可以用于执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用来例如单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。存储设备332和333还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。
可以将许多其它设备或子系统连接到计算系统310。相反,并不是图4所示的所有组件和设备都需要出现以实施本文所述和/或所示的实施例。以上参考的设备和子系统还可以以不同于图3所示的方式互连。计算系统310还可以采用任何数目的软件、固件、和/或硬件配置。例如,可以将在此所公开的一个或多个示例性实施例编码为计算机可读介质上的计算机程序(也称为计算机软件、软件应用、计算机可读指令、或计算机控制逻辑)。短语“计算机可读介质”通常指能够存储或承载计算机可读指令的任何形式的设备、载体、或介质。计算机可读介质的示例包括但不限于诸如载波的传输型介质、以及诸如磁存储介质(例如硬盘驱动器和软盘)、光学存储介质(例如CD或DVD-ROM)、电子存储介质(例如固态驱动器和闪速介质)的物理介质、及其它分布系统。
可以将包含计算机程序的计算机可读介质加载到计算系统310中。然后可以将存储在计算机可读介质上的所有或一部分计算机程序存储在系统存储器316和/或存储设备332和333的各部分中。当被处理器314执行时,被加载到计算系统310中的计算机程序可以使得处理器314执行在此所描述的和/或所示的一个或多个示例性实施例的功能和/或作为用于执行在此所描述的和/或所示的一个或多个示例性实施例的功能的装置。另外地或可替换地,可以以固件和/或硬件来实现在此所描述的和/或所示的一个或多个示例性实施例。例如,计算系统310可以被配置为适合于实现在此所公开的一个或多个示例性实施例的专用集成电路(ASIC)。
图4是其中客户端系统410、420、和430及服务器440和445可以被耦合到网络450的示例性网络架构400的方框图。客户端系统410、420、和430一般表示任何类型或形式的计算设备或系统,诸如图3所示的示例性计算系统310。类似地,服务器440和445一般表示诸如应用服务器或数据库服务器等的被配置为提供各种数据库服务和/或运行某些软件应用的计算设备或系统。网络450一般表示任何电信或计算机网络;包括例如企业内部网、广域网(WAN)、局域网(LAN)、个域网(PAN)、或因特网。
如图4所示,可以将一个或多个存储设备460(1)-(N)直接附连到服务器440。类似地,可以将一个或多个存储设备470(1)-(N)直接附连到服务器445。存储设备460(1)-(N)和存储设备470(1)-(N)一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。在某些实施例中,存储设备460(1)-(N)和存储设备470(1)-(N)可以表示被配置为使用诸如NFS、SMB、或CIFS等各种协议来与服务器440和445通信的网络连接存储(NAS)设备。
还可以将服务器440和445连接到存储区域网络(SAN)构架(fabric)480。SAN构架480一般表示能够便于多个存储设备之间的通信的任何类型或形式的计算机网络或架构。SAN构架480可以便于服务器440和445与多个存储设备490(1)-(N)和/或智能存储阵列495之间的通信。SAN构架480还可以经由网络450及服务器440和445以设备490(1)-(N)和阵列495表现为局部地附连到客户端系统410、420、和430的设备的方式来便于客户端系统410、420和430与存储设备490(1)-(N)和/或智能存储阵列495之间的通信。如同存储设备460(1)-(N)和存储设备470(1)-(N)一样,存储设备490(1)-(N)和智能存储阵列495一般表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。
在某些实施例中及参照图3的示例性计算系统310,可以使用诸如图3中的通信接口322的通信接口来提供每个客户端系统410、420、和430与网络450之间的连接。客户端系统410、420、和430能够使用例如网页浏览器或其它客户端软件来访问服务器440或445上的信息。此类软件可以允许客户端系统410、420、和430访问由服务器440、服务器445、存储设备460(1)-(N)、存储设备470(1)-(N)、存储设备490(1)-(N)、或智能存储阵列495操管(host)的数据。虽然图4描绘了使用网络(诸如因特网)来交换数据,但在此所描述和/或所示的实施例不限于因特网或任何特定的基于网络的环境。
在至少一个实施例中,可以将在此所公开的一个或多个示例性实施例中的全部或部分编码为计算机程序并加载到服务器440、服务器445、存储设备460(1)-(N)、存储设备470(1)-(N)、存储设备490(1)-(N)、智能存储阵列495、或其任何组合上并由其执行。还可以将在此所公开的一个或多个示例性实施例中的全部或部分编码为计算机程序、存储在服务器440中、由服务器445来运行、并通过网络450分发到客户端系统410、420、和430。因此,网络架构400可以执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个和/或作为用于单独地或与其它元件相结合地执行在此所公开的检测、识别、访问、应用、打开、关闭、检索、实行、阻止、隔离、发送、更新、以及执行步骤中的一个或多个的装置。网络架构400还可以用来执行本公开所阐述的其它步骤和特征和/或作为用于执行本公开所阐述的其它步骤和特征的装置。
如上所述,在此所述的一个或多个系统可以执行在此所描述的和/或所示的一个或多个示例性实施例和/或作为用于单独地或与其它元件相结合地执行在此所描述的和/或所示的一个或多个示例性实施例的装置。例如,在此所描述的系统可以执行用于基于与感兴趣事件相关的场境元数据来确定是否执行实时文件扫描的方法,包括1)检测感兴趣事件,2)识别与所述感兴趣事件相关的至少一个文件,3)访问与所述感兴趣事件相关的场境元数据,4)访问包括标准的至少一个规则,所述标准用于基于所述感兴趣事件和所述场境元数据来确定是否对文件执行安全扫描,以及随后5)通过应用所述规则来确定是否对文件执行安全扫描。
所述感兴趣事件可以表示打开文件的尝试、关闭文件的尝试、或对由安全供应商提供的病毒定义集的更新。另外,所述场境元数据可以包括关于文件的信息和/或关于与文件相关的至少一个应用的信息。
关于文件的信息可以包括识别文件名、文件路径名、文件类型、文件创建日期、文件最后修改日期、文件的散列、文件已被读取或修改的次数、已经读取或修改文件的应用、文件的使用行为、先前对文件执行的安全扫描的结果、或任何其它潜在的有用信息的信息。类似地,关于与文件相关的应用的信息可以包括应用名称、与应用相关的进程、应用的使用行为、应用是否是门户、应用是否产生网络活动、应用是否包含已知的漏洞、或任何其它可能有用的信息。
所述规则可以表示一般文件规则、一般应用规则、识别文件的可接受使用行为的文件类型专用规则、或识别与文件相关的应用的可接受使用行为的应用专用规则。所述规则还可以包括用于基于场境元数据来确定在执行安全扫描时要应用于文件的监查水平。
在某些实施例中,访问场境元数据可以包括从场境元数据数据库中检索场境元数据。类似地,访问规则可以包括从规则数据库检索规则。另外,所述方法可以进一步包括对文件执行安全扫描并随后基于安全扫描的结果来确定是否对文件执行安全操作。所述安全操作可以表示要阻止文件、隔离文件、删除文件、或者向用户或安全供应商发送将文件识别为安全风险的通知的操作。
在某些实施例中,所述方法可以进一步包括基于安全扫描的结果来更新场境元数据。在某些实施例中,对文件执行安全扫描可以包括确定文件的一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配、确定文件是否触发由安全供应商提供的恶意件检测探试(heuristic)、和/或在虚拟环境内执行文件。
虽然前述公开使用特定的方框图、流程图、以及示例阐述了各种实施例,但可以使用大范围的硬件、软件、或固件(或其任何组合)配置来单独地和/或共同地实现在此所描述的和/或所示的每个方框图组件、流程图步骤、操作、和/或组件。另外,应将包含在其它组件内的组件的任何公开视为本质上是示例性的,因为可以实现许多其它架构以达到相同的功能。
在此所描述的和/或所示的进程参数和步骤序列仅仅以示例的方式给出且可以根据需要而改变。例如,虽然按照特定的顺序示出或讨论了在此所示和/或所描述的步骤,但这些步骤不一定需要按照所示或所讨论的顺序来执行。在此所描述的和/或所示的各种示例性方法还可以省略在此所描述的或所示的一个或多个步骤或包括除那些公开的步骤之外的附加步骤。
此外,虽然在此已经在全功能计算系统的场境中描述和/或示出了各种实施例,但可以以各种形式将这些示例性实施例中的一个或多个作为程序产品来分发,而不管用来实际执行分发的计算机可读介质的特定类型如何。还可以使用执行某些任务的软件模块来实现在此所公开的实施例。这些软件模块可以包括可以存储在计算机可读存储介质上或计算系统中的脚本、程序组(batch)、或其它可执行文件。在某些实施例中,这些软件模块可以将计算系统配置为执行在此所公开的一个或多个示例性实施例。
已经提供了前述说明以使得本领域的其他技术人员能够最好地利用在此所公开的示例性实施例的各种方面。本示例性说明并不意在是排他性的或局限于所公开的任何精确形式。在不脱离本公开的精神和范围的情况下可以进行许多修改和变化。应从说明性而非限制性的方面来考虑在此所公开的实施例。确定本公开的范围时应对随附权利要求及其等价物进行参考。
除非另有说明,在本说明书和权利要求中不带数量词的项应被理解为意指“至少一个”项。另外,为了便于使用,本说明书和权利要求中使用的术语“包括”和“具有”可与词语“包含”互换使用并具有与之相同的意义。
Claims (16)
1.一种用于响应于感兴趣事件通过检查所述感兴趣事件的完整场境来确定是否执行实时文件扫描的计算机实现的方法,所述方法包括:
检测感兴趣事件;
识别被所述感兴趣事件影响的至少一个文件;
访问与所述感兴趣事件相关的场境元数据,所述场境元数据包括识别以下各项的信息:
所述文件的至少一个特征;
与所述文件相关的至少一个应用的至少一个特征;
访问包括标准的至少一个规则,所述标准识别文件和应用的可接受使用行为;
通过将所述规则应用到所述感兴趣事件以及所述场境元数据来确定所述感兴趣事件是否满足识别文件和应用的可接受使用行为的所述标准;
基于所述感兴趣事件是否满足识别文件和应用的可接受使用行为的所述标准,确定是否对所述文件执行安全扫描。
2.根据权利要求1所述的方法,其中,所述文件的所述特征包括以下至少一个:
所述文件的名称;
所述文件的路径名;
所述文件的类型;
所述文件的创建日期;
所述文件的最后修改日期;
所述文件的散列;
所述文件已被读取的次数;
所述文件已被修改的次数;
所述文件的历史使用行为;
先前对所述文件执行的安全扫描的结果。
3.根据权利要求1所述的方法,其中,关于与所述文件相关的所述应用的所述特征包括以下至少一个:
所述应用的名称;
与所述应用相关的进程;
所述应用的历史使用行为;
所述应用是否是门户;
所述应用是否产生网络活动;
所述应用是否包含已知的漏洞。
4.根据权利要求1所述的方法,其中,所述场境元数据进一步包括:和接触所述文件的应用或与所述文件相关的应用有关的信息。
5.根据权利要求1所述的方法,其中,所述规则进一步包括用于基于所述场境元数据来确定在执行安全扫描时要应用于所述文件的监查水平。
6.根据权利要求1所述的方法,其中,所述感兴趣事件包括以下各项中的至少一个:
打开所述文件的尝试;
关闭所述文件的尝试;
对由安全供应商提供的病毒定义集的更新。
7.根据权利要求1所述的方法,其中:
访问所述场境元数据包括从场境元数据数据库检索所述场境元数据;
访问所述规则包括从规则数据库检索所述规则。
8.根据权利要求1所述的方法,进一步包括:
对所述文件执行所述安全扫描;
基于所述安全扫描的结果来确定是否对所述文件执行安全操作。
9.根据权利要求8所述的方法,其中,所述安全操作包括以下各项中的至少一个:
阻止所述文件;
隔离所述文件;
发送将所述文件识别为安全风险的通知。
10.根据权利要求8所述的方法,进一步包括基于所述安全扫描的结果来更新所述场境元数据。
11.根据权利要求8所述的方法,其中,对所述文件执行所述安全扫描包括以下各项中的至少一个:
确定所述文件的一部分是否与由安全供应商提供的病毒定义集内的至少一个签名匹配;
确定所述文件是否触发由安全供应商提供的恶意件检测探试;
在虚拟环境内执行所述文件。
12.一种用于响应于感兴趣事件通过检查所述感兴趣事件的完整场境来确定是否执行实时文件扫描的系统,所述系统包括:
用于检测感兴趣事件的装置;
用于识别被所述感兴趣事件所影响的至少一个文件的装置;
用于访问与所述感兴趣事件相关的场境元数据的装置,所述场境元数据包括识别以下各项的信息:
所述文件的至少一个特征;
与所述文件相关的至少一个应用的至少一个特征;
用于访问包括标准的至少一个规则的装置,所述标准识别文件和应用的可接受使用行为;
用于通过将所述规则应用到所述感兴趣事件以及所述场境元数据来确定所述感兴趣事件是否满足识别文件和应用的可接受使用行为的所述标准的装置;
用于基于所述感兴趣事件是否满足识别文件和应用的可接受使用行为的所述标准,确定是否对所述文件执行安全扫描的装置。
13.根据权利要求12所述的系统,其中,所述场境元数据进一步包括:和接触所述文件的应用或与所述文件相关的应用有关的信息。
14.根据权利要求12所述的系统,其中,所述规则进一步包括用于基于所述场境元数据来确定在执行安全扫描时要应用于所述文件的监查水平。
15.根据权利要求12所述的系统,进一步包括:
用于执行安全扫描的装置;
用于基于所述安全扫描的结果来确定是否对所述文件执行安全操作的装置。
16.根据权利要求15所述的系统,进一步包括用于基于所述安全扫描的结果来更新所述场境元数据的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/336,959 US8161556B2 (en) | 2008-12-17 | 2008-12-17 | Context-aware real-time computer-protection systems and methods |
| US12/336,959 | 2008-12-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101777062A CN101777062A (zh) | 2010-07-14 |
| CN101777062B true CN101777062B (zh) | 2014-04-23 |
Family
ID=42027974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910253763.6A Active CN101777062B (zh) | 2008-12-17 | 2009-12-17 | 场境感知的实时计算机保护系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8161556B2 (zh) |
| EP (1) | EP2199939B1 (zh) |
| JP (1) | JP5586216B2 (zh) |
| CN (1) | CN101777062B (zh) |
Families Citing this family (177)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8392379B2 (en) * | 2009-03-17 | 2013-03-05 | Sophos Plc | Method and system for preemptive scanning of computer files |
| US8832829B2 (en) * | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US8850579B1 (en) * | 2009-11-13 | 2014-09-30 | SNS Soft LLC | Application of nested behavioral rules for anti-malware processing |
| US8082585B1 (en) * | 2010-09-13 | 2011-12-20 | Raymond R. Givonetti | Protecting computers from malware using a hardware solution that is not alterable by any software |
| US8832835B1 (en) * | 2010-10-28 | 2014-09-09 | Symantec Corporation | Detecting and remediating malware dropped by files |
| US8839374B1 (en) * | 2011-12-15 | 2014-09-16 | Symantec Corporation | Systems and methods for identifying security risks in downloads |
| US8281399B1 (en) * | 2012-03-28 | 2012-10-02 | Symantec Corporation | Systems and methods for using property tables to perform non-iterative malware scans |
| CN102799811B (zh) * | 2012-06-26 | 2014-04-16 | 腾讯科技(深圳)有限公司 | 扫描方法和装置 |
| CN103279708A (zh) * | 2012-12-28 | 2013-09-04 | 武汉安天信息技术有限责任公司 | 一种移动终端恶意代码行为监控和分析的方法及系统 |
| US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
| US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
| US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
| US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
| US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
| US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
| US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
| US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
| US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
| US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
| US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
| US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
| US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
| US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
| US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
| US10409987B2 (en) | 2013-03-31 | 2019-09-10 | AO Kaspersky Lab | System and method for adaptive modification of antivirus databases |
| US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
| US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
| US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
| US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
| US9104859B1 (en) * | 2013-06-24 | 2015-08-11 | Symantec Corporation | Systems and methods for scanning data stored on cloud computing platforms |
| US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| US9230106B2 (en) | 2013-06-28 | 2016-01-05 | Kaspersky Lab Ao | System and method for detecting malicious software using malware trigger scenarios in a modified computer environment |
| RU2653985C2 (ru) | 2013-06-28 | 2018-05-15 | Закрытое акционерное общество "Лаборатория Касперского" | Способ и система обнаружения вредоносного программного обеспечения путем контроля исполнения программного обеспечения запущенного по сценарию |
| US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
| US20160164893A1 (en) * | 2013-07-17 | 2016-06-09 | Hewlett-Packard Development Company, L.P. | Event management systems |
| US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
| US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
| US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
| US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
| US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
| US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
| US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
| US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
| US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US9760713B1 (en) * | 2014-02-27 | 2017-09-12 | Dell Software Inc. | System and method for content-independent determination of file-system-object risk of exposure |
| US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
| US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
| US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
| US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
| US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
| US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
| US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
| US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
| US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
| US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
| US9727727B2 (en) | 2014-09-26 | 2017-08-08 | Dropbox Inc. | Scanning content items based on user activity |
| US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
| US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US10346634B2 (en) | 2014-11-20 | 2019-07-09 | Lenovo (Singapore) Pte. Ltd. | Obscuring and deleting information from a messaging account |
| US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
| US10037432B2 (en) * | 2015-02-27 | 2018-07-31 | Lenovo (Singapore) Pte. Ltd. | Implementing file security settings based on context |
| US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
| US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
| US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
| US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
| US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| US9646159B2 (en) * | 2015-03-31 | 2017-05-09 | Juniper Networks, Inc. | Multi-file malware analysis |
| US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
| US9940362B2 (en) * | 2015-05-26 | 2018-04-10 | Google Llc | Predicting user needs for a particular context |
| US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
| US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
| US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
| US9697361B2 (en) * | 2015-07-06 | 2017-07-04 | AO Kaspersky Lab | System and method of controlling opening of files by vulnerable applications |
| US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
| US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
| US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
| US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
| US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
| US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
| US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
| US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
| CN105389509A (zh) * | 2015-11-16 | 2016-03-09 | 北京奇虎科技有限公司 | 文件扫描方法及装置 |
| US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
| US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
| US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
| US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
| US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
| US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
| US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
| US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
| US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
| US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
| US9841955B2 (en) | 2016-01-26 | 2017-12-12 | Enterpriseweb Llc | Unified operating system for distributed computing |
| US10339304B2 (en) * | 2016-03-15 | 2019-07-02 | Symantec Corporation | Systems and methods for generating tripwire files |
| US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
| US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
| US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
| US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
| US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
| US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
| US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
| US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
| US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
| US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
| US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
| US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
| US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
| US10554507B1 (en) | 2017-03-30 | 2020-02-04 | Fireeye, Inc. | Multi-level control for enhanced resource and object evaluation management of malware detection system |
| US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
| US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
| US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
| US10732634B2 (en) * | 2017-07-03 | 2020-08-04 | Baidu Us Llc | Centralized scheduling system using event loop for operating autonomous driving vehicles |
| US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
| US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
| US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
| US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
| US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| CN112384823A (zh) * | 2018-03-23 | 2021-02-19 | 艾克索纳科技公司 | 使用超宽带(uwb)雷达检测目标模式的系统和方法 |
| US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
| US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
| US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
| US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
| US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
| US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
| US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
| US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
| US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
| US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
| US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
| US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
| US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
| US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
| US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
| US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
| US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
| US10621346B1 (en) * | 2019-08-21 | 2020-04-14 | Netskope, Inc. | Efficient scanning for threat detection using in-doc markers |
| US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
| US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
| US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
| US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
| US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
| US11663332B2 (en) * | 2021-01-15 | 2023-05-30 | EMC IP Holding Company LLC | Tracking a virus footprint in data copies |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5956481A (en) * | 1997-02-06 | 1999-09-21 | Microsoft Corporation | Method and apparatus for protecting data files on a computer from virus infection |
| US8225408B2 (en) * | 1997-11-06 | 2012-07-17 | Finjan, Inc. | Method and system for adaptive rule-based content scanners |
| US7346928B1 (en) * | 2000-12-01 | 2008-03-18 | Network Appliance, Inc. | Decentralized appliance virus scanning |
| US7188367B1 (en) * | 2001-03-30 | 2007-03-06 | Moafee, Inc. | Virus scanning prioritization using pre-processor checking |
| US7266843B2 (en) * | 2001-12-26 | 2007-09-04 | Mcafee, Inc. | Malware scanning to create clean storage locations |
| US20040158730A1 (en) * | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
| JP2004265286A (ja) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理 |
| US7475427B2 (en) * | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
| GB0418066D0 (en) * | 2004-08-13 | 2004-09-15 | Ibm | A prioritization system |
| US20060095964A1 (en) * | 2004-10-29 | 2006-05-04 | Microsoft Corporation | Document stamping antivirus manifest |
| KR101201118B1 (ko) * | 2004-11-08 | 2012-11-13 | 마이크로소프트 코포레이션 | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 |
| CN1838668A (zh) * | 2005-03-22 | 2006-09-27 | 松下电器产业株式会社 | 侦测计算机病毒的方法及其应用 |
| US7676845B2 (en) * | 2005-03-24 | 2010-03-09 | Microsoft Corporation | System and method of selectively scanning a file on a computing device for malware |
| US7707620B2 (en) * | 2005-05-06 | 2010-04-27 | Cisco Technology, Inc. | Method to control and secure setuid/gid executables and processes |
| CN103984891A (zh) * | 2005-07-29 | 2014-08-13 | Bit9公司 | 网络安全系统和方法 |
| JP2007200102A (ja) * | 2006-01-27 | 2007-08-09 | Nec Corp | 不正コードおよび不正データのチェックシステム、プログラムおよび方法 |
| WO2007117585A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | System and method for managing malware protection on mobile devices |
-
2008
- 2008-12-17 US US12/336,959 patent/US8161556B2/en active Active
-
2009
- 2009-12-14 EP EP09179149.1A patent/EP2199939B1/en active Active
- 2009-12-15 JP JP2009284452A patent/JP5586216B2/ja active Active
- 2009-12-17 CN CN200910253763.6A patent/CN101777062B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP5586216B2 (ja) | 2014-09-10 |
| US20100154056A1 (en) | 2010-06-17 |
| CN101777062A (zh) | 2010-07-14 |
| EP2199939A1 (en) | 2010-06-23 |
| EP2199939B1 (en) | 2018-02-07 |
| US8161556B2 (en) | 2012-04-17 |
| JP2010160791A (ja) | 2010-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101777062B (zh) | 场境感知的实时计算机保护系统和方法 | |
| CN101809566B (zh) | 高效的文件散列标识符计算 | |
| US8561193B1 (en) | Systems and methods for analyzing malware | |
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| CN103354931A (zh) | 用于查找反恶意软件元数据的系统和方法 | |
| CN103065088B (zh) | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 | |
| CN102067148B (zh) | 用于确定文件分类的方法及系统 | |
| US10410158B1 (en) | Systems and methods for evaluating cybersecurity risk | |
| CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
| US10282546B1 (en) | Systems and methods for detecting malware based on event dependencies | |
| CN102054022B (zh) | 用于处理并管理与对象相关的数据以供多个应用程序使用的系统及方法 | |
| EP2790122B1 (en) | System and method for correcting antivirus records to minimize false malware detections | |
| CN102754104B (zh) | 在相关计算系统之间共享计算操作结果的系统和方法 | |
| US8336100B1 (en) | Systems and methods for using reputation data to detect packed malware | |
| US8561180B1 (en) | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises | |
| CN104769598B (zh) | 用于检测非法应用程序的系统和方法 | |
| CN107810504A (zh) | 基于用户行为确定恶意下载风险的系统和方法 | |
| CN112860484A (zh) | 容器运行时异常行为检测、模型训练方法及相关装置 | |
| CN101753570A (zh) | 用于检测恶意软件的方法和系统 | |
| CN107103238A (zh) | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 | |
| CN102323930B (zh) | 对数据库系统中的数据变更进行镜像 | |
| US9064120B2 (en) | Systems and methods for directing application updates | |
| CN103109295A (zh) | 创建在恶意软件检测中使用的定制化置信带的系统和方法 | |
| CN103631904A (zh) | 反病毒分析期间选择同或异步文件访问方法的系统和方法 | |
| CN109951553B (zh) | 数据处理方法、系统、电子设备以及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200102 Address after: California, USA Patentee after: CA,INC. Address before: California, USA Patentee before: Symantec Corporation |
|
| TR01 | Transfer of patent right |