CN101901314A - 反恶意软件处理中误报的检测和最小化 - Google Patents
反恶意软件处理中误报的检测和最小化 Download PDFInfo
- Publication number
- CN101901314A CN101901314A CN2010102030338A CN201010203033A CN101901314A CN 101901314 A CN101901314 A CN 101901314A CN 2010102030338 A CN2010102030338 A CN 2010102030338A CN 201010203033 A CN201010203033 A CN 201010203033A CN 101901314 A CN101901314 A CN 101901314A
- Authority
- CN
- China
- Prior art keywords
- white list
- wrong report
- blacklist
- record
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供一种用于检测发生在执行反恶意软件应用程序过程中的误报的系统、方法和计算机程序产品。误报的检测和校正分为两个阶段,在创建新的反病毒数据库(即,恶意软件黑名单)之前或在创建新的白名单之前,以及在建成反病毒数据库或新的白名单并检测到新的误报之后。系统计算某些潜在恶意软件对象的检测概率。基于此概率,系统决定是校正白名单(即,已知的干净对象的集合)还是更新黑名单(即,已知的恶意软件对象的集合)。处理过程被分为几个步骤:创建并更新(或校正)白名单;创建并更新黑名单;检测这些名单之间的冲突,并且基于检测到的冲突校正黑名单或白名单。
Description
技术领域
本发明涉及反恶意软件技术领域,更具体地,涉及发生在反恶意软件处理期间的误报的检测和最小化。
背景技术
病毒和恶意软件的检测已经成为贯穿整个个人计算机时代需要考虑的事情。随着例如互联网等通信网络的增长和数据交换的日益增加,包括用于通信的电子邮件的使用的迅速增长,计算机通过通信或文件交换的传染是一个日益重要的考虑因素。传染采取各种形式,但是一般和计算机病毒、木马程序或其它形式的恶意代码(例如,恶意软件)相关。
近来,以电子邮件为媒介导致的病毒攻击事件,无论在传播的速度还是破坏的程度上都是巨大的,并且互联网服务提供商(ISP)和企业遭受着服务的问题和电子邮件性能的损失。在许多情况下,试图充分地防止文件交换或以电子邮件为媒介导致的传染给计算机用户带来了严重的不便。因此,期望出现用于检测和应对病毒攻击的改进的策略。
一种用于检测病毒的常规方法是签名(signature)扫描。签名扫描系统使用从已知的恶意软件代码中提取的样本代码模式,并且在其它程序代码中扫描这些模式的出现。签名扫描方法的主要限制在于仅能检测已知恶意代码,也就是说,只有和已存储的已知恶意代码的样本签名相匹配的代码才能被识别为受到传染。以前没有识别出的所有的病毒或恶意代码、以及在最近更新签名数据库的日期之后创建的所有的病毒或恶意代码都不会被检测出来。
此外,如果签名没有以预期的方式排列在代码中,那么签名分析技术无法识别病毒的存在。替代地,病毒的作者可能通过操作码置换,或将伪代码(dummy code)或随机代码插入到病毒功能中来模糊病毒的识别。无意义的代码将病毒的签名改变成足以使签名扫描程序无法检测到病毒的存在,但并没有减少病毒传播和输送其有效载荷的能力。
另一种病毒检测策略是完整性校验。完整性检测系统从已知的、良性的应用程序代码中提取代码样本。代码样本和来自程序文件的信息,例如可执行程序的首部和文件长度以及样本的日期和时间戳,一同储存。每隔一定间隔,程序文件就对此数据库进行校验,以确保程序文件未被修改。
当用户升级计算机的操作系统或者安装或升级应用软件的时候,完整性校验程序生成修改的文件的长列表。基于完整性校验的病毒检测的主要缺点在于,每当执行应用程序的任何修改就会发出大量病毒活动警告。当警告可能表示对计算机系统的合法的攻击时,对用户来说变得难以决策。
校验和监视系统(通常,控制和或哈希监视系统)通过为每个程序文件生成循环冗余校验(CRC)值来检测病毒。通过CRC值中的差别检测程序文件的修改。校验和监视器基于恶意代码很难击败监视这一事实而改进了完整性校验系统。另一方面,校验和监视器和完整性校验系统表现出相同的限制,即发出太多错误警告,并且确定哪些警告代表实际的病毒或传染变得困难。
一种有效的常规方法是使用所谓的白名单,即已知“干净(clean)”的软件组件、链接、程序库和其它干净的对象的列表。可以使用哈希值将可疑对象和白名单进行比较。例如,在WO/2007066333中披露了哈希值的使用,其中,白名单由已知干净应用程序的哈希值组成。在WO/2007066333中,计算校验和,并将其和已知的校验和相比较。
为达到高效的目的,必须经常升级和披露白名单,例如,在US 2008/0168558中,使用ISP用于更新白名单。在US 2008/0104186中,使用由消息的内容得出的某些信息来更新白名单。此外,在US 2007/0083757中,决定白名单是否需要被校正,如果需要校正,则检索白名单的最新版本。
当使用白名单时,不可避免地会做出某些误报(false positive)的确定。因为误报会引起可能和恶意软件一样多的危害,所以必须检测出它们。例如,AV(Anti-Virus,反病毒)软件会将一个合法的组件“认为”是恶意软件,从而导致AV软件厂商的信誉受到严重的破坏,并且给许多用户带来麻烦并浪费其时间。发生的另一种情况为,恶意软件被误认为是一个“干净”的组件而危害系统。目前,主动错误信息和校正白名单由人工检测。由于这一过程达到很大程度上的人工,需要分析师的参与,所以这会花费相当长的时间,经常几个小时,有时会长达一到两天,从而对许多用户来说,在更新和分布白名单之前不能防止同一误报的出现。
在US 2008/0168558中披露了误报的检测,其中通过比较各种威胁报告来检测误报。在WO/03077071中披露了将误报值考虑在内的安全系统。
然而,常规系统并不能提供基于检测到的误报进行有效和可靠的白名单的更新。例如,在US 2006/0206935中,对使风险误报最小化进行了讨论,但是没有建议如何校正白名单。
在WO/9909507中,神经网络被用于使误报最小化。然而,此对比文件并没有涉及白名单的校正。在US 2007/0220043中,例如厂商、产品版本和产品名称的参数被用于评估潜在的威胁。然而,这些参数没有被用于白名单的校正。其它常规系统使用软件许可证信息,用于把软件包含在白名单中。
在其它系统中,数字签名被用于将对象放置到白或黑(即,恶意软件)名单中。例如,在WO/2007143394中,数字签名被包含在白名单中。然而,也没有披露如何校正和更新白名单。
显然,期望为维护、校正和更新白名单和黑名单的改进的技术。因此,本领域中需要一种系统和方法用来满足检测和最小化发生在反恶意软件处理过程中的误报的需求。
发明内容
本发明旨在提供一种用于检测和最小化发生在反恶意软件处理期间的误报的方法和系统,其基本上避免了一个或多个现有技术的缺点。
本发明的一个方面提供一种用于检测发生在执行反恶意软件应用程序中的误报的系统、方法和计算机程序产品。根据示例性实施例,误报的检测和校正分为两个阶段实施:在创建新的反病毒数据库(即,恶意软件黑名单)之前,以及在建成反病毒数据库并检测到新的误报之后。
系统计算潜在的恶意软件对象的检测概率。基于此概率,系统决定是校正白名单(即,已知干净对象的集合)还是更新黑名单(即,已知恶意软件对象的集合)。
在一个实施例中,处理过程能被分为几个步骤:创建并更新或校正白名单;创建并更新黑名单;检测这些名单之间的冲突,并且基于冲突校正白名单和黑名单。
本发明额外的功能和优点将在如下的说明中阐述,还有部分通过描述是显而易见的,或由本发明的实践可以得知。通过在书面的描述、权利要求书和附图中一同指出的结构,将实现并获得本发明的优点
可以理解的是,无论是上述的总体描述还是如下的详细描述都是示例性和解释性的,并且旨在提供对要求权利的本发明进一步的解释。
附图说明
附图提供对本发明进一步的理解,并且并入此说明书中并构成其中的一部分,这些附图示出了本发明的实施例并与描述一起用于解释本发明的原理。
附图中:
图1示出了根据示例性实施例的用于基于不同的条件将对象放置到白名单中的方法;
图2示出了根据示例性实施例的基于语境的判断的生成;
图3示出了根据示例性实施例的在白名单和黑名单的各种对象之间的多种可能的冲突;
图4示出了根据示例性实施例的恶意软件防御系统;
图5示出了根据示例性实施例的用于检测生成的误报记录的体系结构。
图6A示出了根据示例性实施例的用于使白名单中误报记录最小化的体系结构。
图6B示出了根据示例性实施例的用于使黑名单中误报记录最小化的体系结构。
图7A示出了根据示例性实施例的用于校正白名单和黑名单的方法,其中试图修改黑名单。
图7B示出了根据示例性实施例的用于校正白名单和黑名单的方法,其中试图修改白名单。
图8示出了根据示例性实施例的示例性权重系数树。
图9示出了图8中的树的具体示例。
图10示出了可以实施本发明的示例性计算机系统的示意图。
具体实施方式
现在,将根据本发明的优选实施例进行详细描述,其示例图示于附图中。
根据示例性实施例,提供一种用于检测误报以及校正白名单的系统、方法和计算机程序产品。所提议的方法和系统也提供用于黑名单(即,AV数据库)的及时更新。
本发明的一个方面提供一种用于检测发生在执行反恶意软件应用程序过程中检测误报的系统、方法和计算机程序产品。根据示例性实施例,检测和校正误报分为两个阶段实施:在创建新的反病毒数据库(即,恶意软件黑名单)之前,以及在建成反病毒数据库并检测到新的误报之后。系统计算某个潜在的恶意软件对象的检测概率。基于此概率,系统决定是校正白名单(即,已知干净对象的集合)还是更新黑名单(即,已知恶意软件对象的集合)。
在一个实施例中,处理过程分为几个步骤:创建并更新或校正白名单;创建并更新黑名单;检测这些名单之间的冲突,并且基于检测到的冲突校正白名单。示例性实施例的统计系统提供冲突分析并校正白名单和黑名单。
在一个实施例中,提供一种用于创建白名单的方法。在另一个实施例中,提供一种用于基于各种参数将应用程序(或可执行组件)添加到白名单中的方法。根据示例性实施例,采用基于哈希值、应用程序的许可证协议、数字签名、对象的语境、用户的统计和其它标准的若干方法来创建白名单。
为文件对象、链接、邮件信息和它们的发送者以及其它对象,例如即时通讯账户、运行日志和地址、主机名、IP地址、域名、广告商的标识符(例如,Google Adsense),创建白名单。在图1中列出填写白名单的方法。这些方法允许通过分析已经发布(release)的干净对象(例如,应用程序)100来逐步填写白名单。然而,由于整个干净信息流具有巨大的容量,所以这些方法不能对其进行分析。
特别地,由于哈希值随着已发布的应用程序的每一个新版本而变化,所以使用哈希值计算110来分析应用程序是困难的。因为许可证协议140不一定总是可用的,并且开发人员是以不同的方式处理它,所以使用许可证协议140也是有问题的。注意到,虽然通常使用MD5算法计算哈希值110,但是也可以使用任意哈希函数,例如MD4、SHA1、SHA2、SHA256等,来计算哈希值。
用户统计150可以有助于填写白名单。例如,如果一个未知的对象100(即,应用程序或可执行组件)已经被大部分用户标记为“干净的”,那么它可以至少暂时地被认为是干净的并添加到白名单中。
在系统内也可以基于对象的行为160而将其添加到白名单中。例如,当检测到执行文件“photoshop.exe”时,由于它从C:\ProgramFiles\AdobePhotoshop处运行,使用URL白名单创建到服务器的链接并且没有显示任何恶意软件属性,所以系统可以将文件标识符数据添加到白名单的列表文件中。
也可以基于图2中示出的对象的语境120而将其放置到白名单中。该对象可以基于它的名字210而为白名单。也可以基于它的厂商220或产品版本230而被放置到白名单中。在做出白名单判断260时,可以将操作系统240和环境变量250考虑在内。使用整个语境120来做出最全面的白名单判断260。
例如,假如MS Internet Explorer的以前的版本被放置到白名单中,那么在这种情况下,其最新发布的版本也可以被放置到白名单中。要认识到,该判定实质上是概率性的,通常基于几个标准,例如以前的版本是否在白名单中、语境、厂商名称、文件源、环境变量和其它因素。
另一个使用语境120的示例性实施例可以依据关于对象的分布源的信息而将该对象放置到白名单中。例如,它可以被应用于从信任的互联网节点(URL白名单)下载软件。
另一个示例性实施例是针对检测白名单和黑名单之间的冲突。例如,对象被确定为恶意软件组件并且随后被列入到黑名单中。然而,该对象以前被放置到白名单中。如果确定该对象被过早或错误地放入黑名单中(该对象事实上是“干净的”),则该事实被认为是误报并进行相应的处理。
图3中示出了在白名单和黑名单的各种对象之间的多种可能的冲突。冲突可以发生在所有类型的对象例如文件、链接(URL)、电子邮件讯息、电子邮件发送者等之间。
图4示出了根据本发明实施例的恶意软件防御系统。防御模块410被用于阻挡对象400。同时,如果白名单列表组件430已经确定对象400是干净的对象,则误报检测系统420会检测到冲突。白名单列表组件430在对象数据425的基础上做出决定。然后,根据白名单列表组件430的可靠性,可以使用HIPS(主机入侵防御系统)逻辑440。
根据示例性实施例,有两种类型的冲突:生成误报记录之前,和生成误报记录之后。因此,可以生成误报记录,并且可以对白名单或黑名单做出适当的校正。替代地,可以使误报的可能性最小化,因此没有生成误报记录。在处理输入的统计数据过程中,对误报记录进行检测。分析人员将新的记录添加到白或黑名单的任何尝试,都会生成误报记录。
图5中示出了一种用于检测生成的误报记录的体系结构。AV系统的防御模块410发送原始数据(即,统计数据)。为了检测并校正所记录的误报,由原始数据得出大量检测对象的记录并将其存储在数据库520中。这些记录(即,检测统计数据)传给误报检测模块530,在该模块中,将检测记录和存储在白名单数据库540中的干净对象的记录相比较。图1中描绘的不同的比较算法被用于检测冲突。
在此情况下,当由防御模块410检测的对象存在于白名单中时,发生冲突。将所有的可疑对象(或对象的原始数据)和与它们相应的数据库560中的AV记录都提供给误报校正模块550。模块550计算防御模块410的错误的概率以及包含到白名单中的恶意软件对象的概率。一旦分析这些概率,误报校正模块550就对是校正白名单数据库540中的记录还是校正包含已知恶意软件对象的黑名单的AV数据库560提出判断。在某些复杂情况下,做出最终的判断需要有专家级分析人员的人为干涉。
图6A中示出了一种用于使误报记录生成最小化的体系结构。该体系结构用于通过在将记录添加到白或黑名单的数据库中时对误报进行检测和校正,来提供误报的可能性的最小化。由检测系统610生成记录。检测系统可以具有自动系统(即,机器人)、其它模块和分析人员。将记录提供给主动错误检测模块530。然后,将所有检测的对象(或对象的原始数据)和与它们相应的AV记录560都送到误报校正模块550。
图6B示出了除替代白名单而校正黑名单之外其余都类似的处理过程。
在主动错误校正模块550中,计算检测系统610的错误概率和被包含在白名单540中的恶意软件对象的概率。在分析这些概率时,误报校正模块550对是校正白名单数据库540中的记录还是校正包含已知恶意软件对象的黑名单的AV数据库560提出判断。
在某些复杂情况下,专家级分析人员的干涉对做出判断决定是非常重要的。因此,校正数据库540和560,并且防御模块410可以参考已经更新的AV数据库560。
图7A示出了根据示例性实施例的用于校正白名单和黑名单的方法。在步骤720中创建一个新的AV记录。在步骤710中收集检测到的和可疑对象相关的信息。在步骤730中将在步骤710、720处产生的数据和白名单做比较。然后,在步骤740中,检测冲突。在步骤750中,如果确定冲突不是误报,那么在步骤760中校正白名单。在步骤750中,如果确定冲突是误报事件,那么校正AV记录(即,黑名单)。
图7B示出了用于校正白名单和黑名单的类似的处理过程,其中尝试首先修改白名单。
根据示例性实施例,当检测到冲突时,系统生成权重系数树。在图8中描绘了示例性权重系数树。每个权重代表基于特定标准的误报的概率。聚合权重(Aggregate Weight)代表用于判断决定的误报的概率。聚合权重是从0到100的数字,其中,0表示发送到白名单的干净对象,100表示恶意软件(即,放置在AV数据库中的黑名单对象)。之间的任何数字代表一个相对的概率。在权重50的区域内的边界情况由专家级分析人员决定。为每个冲突(即,可疑的误报)创建权重系数树。基于特定的标准计算权重系数。例如,可执行文件(即,对象)已经由系统下载。如果是该对象的首次出现,则由系统生成图9中所示的权重系数树。
然后,例如,权重3代表由主机名(权重3.1)、文件名(权重3.2)和端口(权重3.3)之和计算的URL分析。由掩蔽名称(权重3.1.1)和whois信息(权重3.1.2)计算基于主机名标准的权重3概率。而又在域名的语法相似性(权重3.1.1.1)和发音匹配算法(SoundEX-algorighm)的相似性(权重3.1.1.2)的基础上,计算掩蔽名称概率。
根据名称服务器稳定性标准(权重3.1.2.2)和IP稳定性(权重3.1.2.3)来计算whois信息。由文件名称普及因素(未知因素)(权重3.2.1)和文件名称语法分析(权重3.2.2)和文件扩展名(权重3.2.3)之和,获得文件名称(权重3.2)。文件扩展名是掩蔽的扩展名(权重3.2.3.1)和遗漏的扩展名(权重3.2.3.2)之和。而掩蔽的扩展名又由双倍(三倍等)扩展名(权重3.2.3.1.1)和用于可执行文件的非可执行文件的扩展名(权重3.2.3.1.2)之和生成。
由用于协议的非典型端口的使用概率(权重3.3.1)来计算出端口(权重3.3)。因此,由为每个标准计算的概率之和来获得聚合权重。基于这样的综合参数,可以生成关于下载的可执行文件的准确判断。图9示出了图8中的树的具体示例。
参照图10,一种用于实施本发明的示例性系统包括通用计算设备,该通用计算设备以计算机或服务器20等的形式,其包括处理单元21、系统存储器22和系统总线23,所述系统总线23连接各种系统组件,包括系统存储器到处理单元21。系统总线23可以是任何类型的总线结构,包括使用任何总线结构的局域总线、外围总线和存储控制器或存储总线。系统存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统26(BIOS)被存储在ROM 24中,其包含例如在启动过程中有助于在计算机20内元件之间传输信息的基本例行程序。
计算机20可进一步包括从硬盘(未示出)中读取和对其写入的硬盘驱动27、从可移动磁盘29中读取或对其写入的磁盘驱动28、以及从可移动光盘31例如CD-ROM、DVD-ROM等中读取或对其写入的光盘驱动30。硬盘驱动27、磁盘驱动28和光盘驱动30分别通过硬盘驱动接口32、磁盘驱动接口33和光盘驱动接口34连接到系统总线23上。这些驱动和与它们相关联的计算机可读取媒介为计算机20提供了计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。
虽然本文描述的示例性环境采用了硬盘、可移动磁盘29和可移动光盘31,但所属领域的技术人员应该认识到,可以存储可由计算机存取的数据的其它类型的计算机可读取媒介,例如,盒式磁带、闪存卡、数字视频磁盘、伯努利盒式磁盘、随机存取存储器(RAM)、只读存储器(ROM)等也可以用于示例性操作环境中。
在硬盘、可移动磁盘29、光盘31、ROM 24或RAM 25上可存储大量程序模块,包括操作系统35。计算机20包括和操作系统35相联或被包含在其中的文件系统36、一个或多个应用程序37、其它程序模块38和程序数据39。用户可以通过输入设备例如键盘40和鼠标42将命令信息输入到计算机20中。其它输入设备(未示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。
这些和其它输入设备通过连接系统总线的串行接口46连接到处理单元21,并且可通过其它接口例如并行端口、游戏端口(game port)或通用串行总线(USB)连接。监视器47或其它类型的显示设备也经由接口例如视频适配器48连接到系统总线23。除了监视器47之外,个人计算机通常还包括其它外围输出设备(未示出),例如扬声器和打印机。
计算机20可以使用与一个或更多的远程计算机49的逻辑连接而运行在联网环境中。远程计算机49可由其它计算机、服务器、路由器、网络PC、对等设备(peer device)或其它公共网络节点代表,并且虽然仅示出了存储设备50,但通常包括对于计算机20所描述的多数或全部元件。逻辑连接包括局域网(LAN)51和广域网(WAN)52。这样的联网环境在办公室、企业范围内的计算机网络、内联网和互联网上是普遍的。
当用于LAN联网环境中时,计算机20通过网络接口或适配器53连接到本地网络51中。当用于WAN联网环境中时,计算机20通常包括调制解调器54或其它用于在广域网52例如互联网上建立通信的装置。调制解调器54通过串行接口46连接到系统总线23上,该调制解调器54可以既是内部的又是外部的。在联网环境中,对于计算机20所描绘的程序模块或其中的一部分,可能存储在远程存储器存储设备中。应该认识到,示出的网络连接是示例性的,也可以使用其它在计算机之间建立通信链接的方法。
已经结合优选实施例对本发明进行了描述,对于本领域的技术人员而言,描述的方法和已经完成的设备的某些优点应当是明显的。特别是,本领域的技术人员应该认识到,提出的系统和方法用于有效检测和最小化发生在反恶意软件处理过程中的误报。还应当理解的是,可以在本发明的精神和范围内做出各种修改、适应及其替代实施例。本发明由如下的权利要求书进一步限定。
Claims (11)
1.一种用于防御恶意软件以及校正白名单的方法,所述方法包括:
(a)创建干净对象的白名单和恶意软件对象的黑名单;
(b)收集与可疑对象相关的数据;
(c)将新的与恶意软件相关的记录添加到黑名单中,或添加新的白名单记录;
(d)将所述数据和所述与恶意软件相关的记录与所述白名单做比较,或将所述数据和新的白名单记录与所述黑名单做比较;
(e)检测冲突;
(f)分析所述冲突,如果冲突是误报事件,则校正所述黑名单,并且如果冲突是漏报事件,则校正所述白名单。
2.如权利要求1所述的方法,其中,基于对象的下列任一参数创建所述白名单:
哈希值;
语境;
签名;
许可证;
用户统计;和
行为。
3.如权利要求1所述的方法,其中,所述对象是下列任一项目:
文件;
URL;
即时通讯账户;
主机名;
IP地址;
域名;和
电子邮件讯息。
4.如权利要求1所述的方法,进一步包括在冲突检测时创建权重系数树。
5.如权利要求4所述的方法,其中,所述权重系数树包括根据不同标准计算的所述误报的多个概率。
6.如权利要求1所述的方法,其中,所述白名单的校正包括基于黑名单判断从所述白名单中删除对象。
7.如权利要求1所述的方法,其中,所述黑名单的校正包括基于白名单判断从所述黑名单中删除对象。
8.如权利要求2所述的方法,其中,所述对象语境包括:
软件名称;
厂商信息;
产品版本;
使用的操作系统;和
环境变量。
9.一种用于使在反恶意软件处理过程中的误报记录的生成最小化的方法,所述方法包括;
创建干净对象的白名单和已知恶意软件对象的黑名单;
生成关于可疑对象检测的记录;
从所述黑名单或从所述白名单中检索对应于所述可疑对象的记录;
将所述记录提供给误报校正模块;
由所述误报校正模块计算误报检测的概率;和
生成误报判断,其中:
如果所述可疑对象被认为是恶意的,那么在所述白名单中做出校正;并且
如果所述可疑对象被认为是非恶意的,那么在所述黑名单中做出校正。
10.一种用于使在反恶意软件处理过程中的误报记录的生成最小化的系统,包括:
检测系统;
接口到所述检测系统的误报检测模块;
误报校正模块;
防御模块;
可由所述误报检测模块和所述误报校正模块访问的白名单数据库;
连接到所述防御模块的反病毒记录数据库,所述反病毒记录数据库可由所述误报检测模块和所述误报校正模块访问,其中:
所述检测系统生成关于所述可疑对象检测的记录,并且所述记录被提供给所述误报检测模块;并且
由所述误报校正模块使用由所述误报检测模块提供的所述白名单或所述黑名单,计算误报检测的概率;
由所述误报校正模块基于所述概率而生成误报判断,其中:
如果所述可疑对象被认为是恶意的,那么在所述白名单数据库
中做出校正;并且
如果所述可疑对象被认为是非恶意的,那么在所述反病毒记录
数据库中做出校正;并且
其中,所述防御模块继续使用已校正的反病毒记录数据库,用于防御恶意软件。
11.如权利要求10所述的系统,其中,所述概率用权重系数树来计算。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/487,713 | 2009-06-19 | ||
| US12/487,713 US7640589B1 (en) | 2009-06-19 | 2009-06-19 | Detection and minimization of false positives in anti-malware processing |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101901314A true CN101901314A (zh) | 2010-12-01 |
| CN101901314B CN101901314B (zh) | 2013-07-17 |
Family
ID=41433144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010203033.8A Active CN101901314B (zh) | 2009-06-19 | 2010-06-18 | 反恶意软件处理中误报的检测和最小化 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7640589B1 (zh) |
| EP (1) | EP2278516A1 (zh) |
| CN (1) | CN101901314B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581185A (zh) * | 2013-11-01 | 2014-02-12 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
| CN103780589A (zh) * | 2012-10-24 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 病毒提示方法、客户端设备和服务器 |
| CN104052807A (zh) * | 2014-06-13 | 2014-09-17 | 珠海市君天电子科技有限公司 | 一种基于云端的信息处理方法及装置 |
| CN104980407A (zh) * | 2014-04-11 | 2015-10-14 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
| CN105468975A (zh) * | 2015-11-30 | 2016-04-06 | 北京奇虎科技有限公司 | 恶意代码误报的追踪方法、装置及系统 |
| CN108351942A (zh) * | 2015-10-26 | 2018-07-31 | 赛门铁克公司 | 用于自动应用程序分析的技术 |
| CN108494728A (zh) * | 2018-02-07 | 2018-09-04 | 平安普惠企业管理有限公司 | 防止流量劫持的黑名单库创建方法、装置、设备及介质 |
| CN108898019A (zh) * | 2018-08-17 | 2018-11-27 | 广州瀚华建筑设计有限公司 | Cad病毒查杀方法、系统、计算机设备和可读存储介质 |
| CN110008693A (zh) * | 2019-04-12 | 2019-07-12 | 深圳市趣创科技有限公司 | 安全应用程序加密保证方法及装置与系统和存储介质 |
Families Citing this family (69)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8291497B1 (en) * | 2009-03-20 | 2012-10-16 | Symantec Corporation | Systems and methods for byte-level context diversity-based automatic malware signature generation |
| US8539583B2 (en) | 2009-11-03 | 2013-09-17 | Mcafee, Inc. | Rollback feature |
| US9009820B1 (en) | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
| US8468602B2 (en) * | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
| SG177015A1 (en) * | 2010-06-07 | 2012-01-30 | Boxsentry Pte Ltd | In situ correction of false-positive errors in messaging security systems (lagotto) |
| CN103501294B (zh) * | 2010-08-18 | 2017-03-08 | 北京奇虎科技有限公司 | 判断程序是否恶意的方法 |
| CN101924761B (zh) * | 2010-08-18 | 2013-11-06 | 北京奇虎科技有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN103475671B (zh) * | 2010-08-18 | 2017-12-29 | 北京奇虎科技有限公司 | 恶意程序检测方法 |
| CN101984692B (zh) * | 2010-11-15 | 2017-07-28 | 中兴通讯股份有限公司 | 一种防止恶意软件发送数据的方法及装置 |
| CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
| US8640245B2 (en) * | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
| US9294306B2 (en) | 2011-03-11 | 2016-03-22 | Shutterfly, Inc. | Intelligent prevention of spam emails at share sites |
| US8839434B2 (en) * | 2011-04-15 | 2014-09-16 | Raytheon Company | Multi-nodal malware analysis |
| US8151341B1 (en) | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| US9858415B2 (en) | 2011-06-16 | 2018-01-02 | Microsoft Technology Licensing, Llc | Cloud malware false positive recovery |
| US8635079B2 (en) | 2011-06-27 | 2014-01-21 | Raytheon Company | System and method for sharing malware analysis results |
| US20130055369A1 (en) * | 2011-08-24 | 2013-02-28 | Mcafee, Inc. | System and method for day-zero authentication of activex controls |
| US8214904B1 (en) | 2011-12-21 | 2012-07-03 | Kaspersky Lab Zao | System and method for detecting computer security threats based on verdicts of computer users |
| EP2584488B1 (en) | 2011-09-20 | 2016-02-10 | Kaspersky Lab, ZAO | System and method for detecting computer security threats based on verdicts of computer users |
| US8646089B2 (en) * | 2011-10-18 | 2014-02-04 | Mcafee, Inc. | System and method for transitioning to a whitelist mode during a malware attack in a network environment |
| US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
| RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
| US8214905B1 (en) | 2011-12-21 | 2012-07-03 | Kaspersky Lab Zao | System and method for dynamically allocating computing resources for processing security information |
| US8209758B1 (en) | 2011-12-21 | 2012-06-26 | Kaspersky Lab Zao | System and method for classifying users of antivirus software based on their level of expertise in the field of computer security |
| US9032527B2 (en) | 2012-01-11 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Inferring a state of behavior through marginal probability estimation |
| KR101277623B1 (ko) * | 2012-01-27 | 2013-06-21 | 주식회사 안랩 | 화이트리스트 동기화 서버 및 클라이언트 장치 |
| US10171396B2 (en) | 2012-02-27 | 2019-01-01 | Shutterfly, Inc. | Intelligent prevention of spam emails at share sites |
| CA2874489A1 (en) * | 2012-05-09 | 2013-11-14 | SunStone Information Defense Inc. | Methods and apparatus for identifying and removing malicious applications |
| RU2536663C2 (ru) | 2012-12-25 | 2014-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ защиты от нелегального использования облачных инфраструктур |
| RU2535506C2 (ru) | 2012-12-25 | 2014-12-10 | Закрытое акционерное обшество "Лаборатория Касперского" | Система и способ формирования сценариев модели поведения приложений |
| RU2546585C2 (ru) | 2013-08-07 | 2015-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ предоставления прав доступа приложениям к файлам компьютера |
| EP2835758B1 (en) | 2013-08-07 | 2016-11-02 | Kaspersky Lab, ZAO | System and method for controlling access to encrypted files |
| CN103729594B (zh) * | 2013-12-31 | 2016-05-18 | 山东中创软件商用中间件股份有限公司 | 一种防护规则生成方法及装置 |
| EP2922265B1 (en) | 2014-03-20 | 2016-05-04 | Kaspersky Lab, ZAO | System and methods for detection of fraudulent online transactions |
| US20180007071A1 (en) * | 2015-01-30 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Collaborative investigation of security indicators |
| EP3251292A1 (en) | 2015-01-30 | 2017-12-06 | Entit Software LLC | Collaborative security lists |
| US10075454B1 (en) * | 2015-03-31 | 2018-09-11 | Symantec Corporation | Using telemetry data to detect false positives |
| US10129291B2 (en) | 2015-06-27 | 2018-11-13 | Mcafee, Llc | Anomaly detection to identify malware |
| US9667657B2 (en) | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
| RU2636640C2 (ru) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак |
| US10614219B2 (en) | 2016-06-03 | 2020-04-07 | Honeywell International Inc. | Apparatus and method for locking and unlocking removable media for use inside and outside protected systems |
| US10402577B2 (en) * | 2016-06-03 | 2019-09-03 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
| US10402559B2 (en) | 2016-06-03 | 2019-09-03 | Honeywell International Inc. | System and method supporting secure data transfer into and out of protected systems using removable media |
| US10205726B2 (en) | 2016-06-03 | 2019-02-12 | Honeywell International Inc. | Apparatus and method for preventing file access by nodes of a protected system |
| US10643007B2 (en) | 2016-06-03 | 2020-05-05 | Honeywell International Inc. | System and method for auditing file access to secure media by nodes of a protected system |
| US10812517B2 (en) | 2016-06-03 | 2020-10-20 | Honeywell International Inc. | System and method for bridging cyber-security threat intelligence into a protected system using secure media |
| CN107563195A (zh) * | 2016-07-01 | 2018-01-09 | 中国电信股份有限公司 | 降低app重打包识别系统误报率的方法和装置 |
| US11120106B2 (en) | 2016-07-30 | 2021-09-14 | Endgame, Inc. | Hardware—assisted system and method for detecting and analyzing system calls made to an operating system kernel |
| US10855635B2 (en) | 2016-11-14 | 2020-12-01 | Microsoft Technology Licensing, Llc | Electronic mail (e-mail) system support for messages with different traffic types |
| US10885188B1 (en) | 2016-12-30 | 2021-01-05 | Comodo Security Solutions, Inc. | Reducing false positive rate of statistical malware detection systems |
| GB2561177B (en) * | 2017-04-03 | 2021-06-30 | Cyan Forensics Ltd | Method for identification of digital content |
| US11151251B2 (en) | 2017-07-13 | 2021-10-19 | Endgame, Inc. | System and method for validating in-memory integrity of executable files to identify malicious activity |
| US11151247B2 (en) | 2017-07-13 | 2021-10-19 | Endgame, Inc. | System and method for detecting malware injected into memory of a computing device |
| US11611574B2 (en) * | 2017-08-02 | 2023-03-21 | Code42 Software, Inc. | User behavior analytics for insider threat detection |
| US10432648B1 (en) | 2017-08-28 | 2019-10-01 | Palo Alto Networks, Inc. | Automated malware family signature generation |
| CN108668002B (zh) * | 2017-10-12 | 2020-04-24 | 湖南微算互联信息技术有限公司 | 一种云手机的应用下载方法 |
| US10990671B2 (en) | 2018-01-12 | 2021-04-27 | Honeywell International Inc. | System and method for implementing secure media exchange on a single board computer |
| JP6857627B2 (ja) * | 2018-03-07 | 2021-04-14 | 株式会社日立製作所 | ホワイトリスト管理システム |
| US11184379B1 (en) * | 2018-03-16 | 2021-11-23 | United Services Automobile Association (Usaa) | File scanner to detect malicious electronic files |
| US11425170B2 (en) | 2018-10-11 | 2022-08-23 | Honeywell International Inc. | System and method for deploying and configuring cyber-security protection solution using portable storage device |
| DE112019006487B4 (de) * | 2018-12-28 | 2023-12-28 | Panasonic Intellectual Property Management Co., Ltd. | Elektronische Steuereinheit, elektronisches Steuersystem und Programm |
| CN109684788A (zh) * | 2018-12-29 | 2019-04-26 | 上海上讯信息技术股份有限公司 | 一种基于互联网的移动应用渠道监测系统及方法 |
| RU2750628C2 (ru) | 2019-06-28 | 2021-06-30 | Акционерное общество "Лаборатория Касперского" | Система и способ определения уровня доверия файла |
| RU2763115C1 (ru) * | 2020-06-19 | 2021-12-27 | Акционерное общество "Лаборатория Касперского" | Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности |
| RU2762528C1 (ru) * | 2020-06-19 | 2021-12-21 | Акционерное общество "Лаборатория Касперского" | Способ обработки событий информационной безопасности перед передачей на анализ |
| US11711393B2 (en) | 2020-10-19 | 2023-07-25 | Saudi Arabian Oil Company | Methods and systems for managing website access through machine learning |
| CN112417495A (zh) * | 2020-10-28 | 2021-02-26 | 北京八分量信息科技有限公司 | —种基于深度学习来更新白名单的方法 |
| CN115051986B (zh) * | 2022-05-25 | 2024-02-20 | 度小满科技(北京)有限公司 | 一种Redis集群进行鉴权的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005119488A2 (en) * | 2004-05-28 | 2005-12-15 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
| CN1766778A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 用户可修改文件的有效白名单 |
| CN101035128A (zh) * | 2007-04-18 | 2007-09-12 | 大连理工大学 | 基于中文标点符号的三重网页文本内容识别及过滤方法 |
| CN101184259A (zh) * | 2007-11-01 | 2008-05-21 | 浙江大学 | 垃圾短信中的关键词自动学习及更新方法 |
| CN101213555A (zh) * | 2005-06-30 | 2008-07-02 | 普瑞维克斯有限公司 | 用于处理恶意软件的方法和装置 |
| US20080256622A1 (en) * | 2007-04-16 | 2008-10-16 | Microsoft Corporation | Reduction of false positive reputations through collection of overrides from customer deployments |
Family Cites Families (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4464675A (en) * | 1982-08-04 | 1984-08-07 | Rca Corporation | Low frequency digital comb filter system |
| US4500912A (en) * | 1982-08-04 | 1985-02-19 | Rca Corporation | FIR Chrominance bandpass sampled data filter with internal decimation |
| US4456922A (en) * | 1982-08-04 | 1984-06-26 | Rca Corporation | Reduced data rate comb filter system |
| JP2985505B2 (ja) * | 1991-07-08 | 1999-12-06 | 株式会社日立製作所 | 品質情報収集診断システム及びその方法 |
| US6678669B2 (en) | 1996-02-09 | 2004-01-13 | Adeza Biomedical Corporation | Method for selecting medical and biochemical diagnostic tests using neural network-related applications |
| WO1999060526A1 (fr) * | 1998-05-20 | 1999-11-25 | Sega Enterprises, Ltd. | Processeur d'image, machine de distraction, procede de traitement d'image et support d'enregistrement |
| US6535553B1 (en) * | 1998-06-19 | 2003-03-18 | Samsung Electronics Co., Ltd. | Passband equalizers with filter coefficients calculated from modulated carrier signals |
| US9311499B2 (en) * | 2000-11-13 | 2016-04-12 | Ron M. Redlich | Data security system and with territorial, geographic and triggering event protocol |
| US20030033260A1 (en) * | 2001-04-20 | 2003-02-13 | Tatsuo Yashiro | Method and apparatus for facilitating the repair of malfunctioning or inoperable products |
| EP1488316B1 (en) | 2002-03-08 | 2017-10-04 | McAfee, LLC | Systems and methods for enhancing electronic communication security |
| US6898528B2 (en) * | 2002-07-23 | 2005-05-24 | Ford Global Technologies, Llc | Collision and injury mitigation system using fuzzy cluster tracking |
| US7603472B2 (en) * | 2003-02-19 | 2009-10-13 | Google Inc. | Zero-minute virus and spam detection |
| US7320020B2 (en) * | 2003-04-17 | 2008-01-15 | The Go Daddy Group, Inc. | Mail server probability spam filter |
| US7653698B2 (en) | 2003-05-29 | 2010-01-26 | Sonicwall, Inc. | Identifying e-mail messages from allowed senders |
| WO2005010728A2 (en) * | 2003-07-23 | 2005-02-03 | Findbase Llc | Method and system for determining the probability of origin of an email |
| WO2005052802A1 (ja) | 2003-11-25 | 2005-06-09 | Matsushita Electric Industrial Co.,Ltd. | 認証システム |
| US7373451B2 (en) * | 2003-12-08 | 2008-05-13 | The Board Of Trustees Of The Leland Stanford Junior University | Cache-based system management architecture with virtual appliances, network repositories, and virtual appliance transceivers |
| US20050197542A1 (en) * | 2004-01-29 | 2005-09-08 | L'oreal | Method and a system for determining a physical condition, in particular the apparent age, of at least one region of the body or the face of an individual |
| US7698369B2 (en) * | 2004-05-27 | 2010-04-13 | Strongmail Systems, Inc. | Email delivery system using metadata on emails to manage virtual storage |
| US7694340B2 (en) * | 2004-06-21 | 2010-04-06 | Microsoft Corporation | Anti virus for an item store |
| US20070204026A1 (en) * | 2004-07-27 | 2007-08-30 | U.S. Telecom Inc. | Method For Blocking Unwanted E-Mail Based On Proximity Detection |
| EP1854019A4 (en) * | 2004-09-22 | 2010-12-22 | Cyberdefender Corp | NETWORK FOR PROTECTION AGAINST THREATS |
| US7386417B1 (en) * | 2004-09-29 | 2008-06-10 | Sun Microsystems, Inc. | Method and apparatus for clustering telemetry signals to facilitate computer system monitoring |
| GB0424243D0 (en) * | 2004-11-02 | 2004-12-01 | Rand Ricky C | A method and system for regulating electronic mail |
| US7673341B2 (en) * | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
| US20060153459A1 (en) * | 2005-01-10 | 2006-07-13 | Yan Zhang | Object classification method for a collision warning system |
| US7882561B2 (en) * | 2005-01-31 | 2011-02-01 | Microsoft Corporation | System and method of caching decisions on when to scan for malware |
| KR100628328B1 (ko) | 2005-03-10 | 2006-09-27 | 한국전자통신연구원 | 적응적 침해 방지 장치 및 방법 |
| US7587761B2 (en) * | 2005-06-10 | 2009-09-08 | At&T Corp. | Adaptive defense against various network attacks |
| US7870205B2 (en) * | 2005-07-01 | 2011-01-11 | 0733660 B.C. Ltd. | Electronic mail system with pre-message-retrieval display of message metadata |
| WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
| WO2007025279A2 (en) * | 2005-08-25 | 2007-03-01 | Fortify Software, Inc. | Apparatus and method for analyzing and supplementing a program to provide security |
| US20070124235A1 (en) * | 2005-11-29 | 2007-05-31 | Anindya Chakraborty | Method and system for income estimation |
| US20070180509A1 (en) | 2005-12-07 | 2007-08-02 | Swartz Alon R | Practical platform for high risk applications |
| US20070162975A1 (en) * | 2006-01-06 | 2007-07-12 | Microssoft Corporation | Efficient collection of data |
| JP2007183883A (ja) * | 2006-01-10 | 2007-07-19 | Fujitsu Ltd | 資源計画作成プログラム、該プログラムを記録した記録媒体、資源計画作成装置、および資源計画作成方法 |
| US7926111B2 (en) | 2006-03-17 | 2011-04-12 | Symantec Corporation | Determination of related entities |
| US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
| US8739278B2 (en) * | 2006-04-28 | 2014-05-27 | Oracle International Corporation | Techniques for fraud monitoring and detection using application fingerprinting |
| WO2007143394A2 (en) | 2006-06-02 | 2007-12-13 | Nielsen Media Research, Inc. | Digital rights management systems and methods for audience measurement |
| US8392996B2 (en) * | 2006-08-08 | 2013-03-05 | Symantec Corporation | Malicious software detection |
| US20080059198A1 (en) * | 2006-09-01 | 2008-03-06 | Pudding Ltd. | Apparatus and method for detecting and reporting online predators |
| US8468244B2 (en) * | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
| US9015301B2 (en) * | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
| US8881276B2 (en) | 2007-01-09 | 2014-11-04 | Cisco Technology, Inc. | Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality |
| US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
| US8413247B2 (en) * | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
| US20080259867A1 (en) * | 2007-04-22 | 2008-10-23 | Chuanxiong Guo | Method and system for scheduling packets from different flows to provide fair bandwidth sharing |
| US20080270549A1 (en) * | 2007-04-26 | 2008-10-30 | Microsoft Corporation | Extracting link spam using random walks and spam seeds |
| US8621610B2 (en) * | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
| US8104087B2 (en) * | 2008-01-08 | 2012-01-24 | Triumfant, Inc. | Systems and methods for automated data anomaly correction in a computer network |
-
2009
- 2009-06-19 US US12/487,713 patent/US7640589B1/en active Active
-
2010
- 2010-05-19 EP EP10163207A patent/EP2278516A1/en not_active Ceased
- 2010-06-18 CN CN201010203033.8A patent/CN101901314B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005119488A2 (en) * | 2004-05-28 | 2005-12-15 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
| CN1766778A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 用户可修改文件的有效白名单 |
| CN101213555A (zh) * | 2005-06-30 | 2008-07-02 | 普瑞维克斯有限公司 | 用于处理恶意软件的方法和装置 |
| US20080256622A1 (en) * | 2007-04-16 | 2008-10-16 | Microsoft Corporation | Reduction of false positive reputations through collection of overrides from customer deployments |
| CN101035128A (zh) * | 2007-04-18 | 2007-09-12 | 大连理工大学 | 基于中文标点符号的三重网页文本内容识别及过滤方法 |
| CN101184259A (zh) * | 2007-11-01 | 2008-05-21 | 浙江大学 | 垃圾短信中的关键词自动学习及更新方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《ACM/IEEE ANCS 2007》 20071204 Sheng-Ya Lin,Cheng-Chung Tan,Jyh-Charn Liu,Michael Oehler high-speed detection of unsolicited bulk emails , * |
| SHENG-YA LIN,CHENG-CHUNG TAN,JYH-CHARN LIU,MICHAEL OEHLER: "high-speed detection of unsolicited bulk emails", 《ACM/IEEE ANCS 2007》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9692783B2 (en) | 2012-10-24 | 2017-06-27 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for reporting a virus |
| CN103780589A (zh) * | 2012-10-24 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 病毒提示方法、客户端设备和服务器 |
| CN103581185B (zh) * | 2013-11-01 | 2016-12-07 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
| WO2015062541A1 (zh) * | 2013-11-01 | 2015-05-07 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
| CN103581185A (zh) * | 2013-11-01 | 2014-02-12 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
| CN104980407A (zh) * | 2014-04-11 | 2015-10-14 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
| CN104052807A (zh) * | 2014-06-13 | 2014-09-17 | 珠海市君天电子科技有限公司 | 一种基于云端的信息处理方法及装置 |
| CN104052807B (zh) * | 2014-06-13 | 2018-05-08 | 珠海市君天电子科技有限公司 | 一种基于云端的信息处理方法及装置 |
| CN108351942A (zh) * | 2015-10-26 | 2018-07-31 | 赛门铁克公司 | 用于自动应用程序分析的技术 |
| CN108351942B (zh) * | 2015-10-26 | 2022-07-01 | Ca公司 | 用于自动应用程序分析的技术 |
| CN105468975A (zh) * | 2015-11-30 | 2016-04-06 | 北京奇虎科技有限公司 | 恶意代码误报的追踪方法、装置及系统 |
| CN108494728A (zh) * | 2018-02-07 | 2018-09-04 | 平安普惠企业管理有限公司 | 防止流量劫持的黑名单库创建方法、装置、设备及介质 |
| CN108898019A (zh) * | 2018-08-17 | 2018-11-27 | 广州瀚华建筑设计有限公司 | Cad病毒查杀方法、系统、计算机设备和可读存储介质 |
| CN110008693A (zh) * | 2019-04-12 | 2019-07-12 | 深圳市趣创科技有限公司 | 安全应用程序加密保证方法及装置与系统和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2278516A1 (en) | 2011-01-26 |
| CN101901314B (zh) | 2013-07-17 |
| US7640589B1 (en) | 2009-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101901314B (zh) | 反恶意软件处理中误报的检测和最小化 | |
| CN101986324B (zh) | 用于恶意软件检测的事件的异步处理 | |
| CN101986323B (zh) | 用于检测先前未知的恶意软件的系统和方法 | |
| US8356354B2 (en) | Silent-mode signature testing in anti-malware processing | |
| CN101213555B (zh) | 用于处理恶意软件的方法和装置 | |
| RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
| US7818802B2 (en) | Refining behavioral detections for early blocking of malicious code | |
| CN102651061B (zh) | 用于检测复杂恶意软件的系统和方法 | |
| US8261344B2 (en) | Method and system for classification of software using characteristics and combinations of such characteristics | |
| CN103065088B (zh) | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 | |
| EP2310974B1 (en) | Intelligent hashes for centralized malware detection | |
| US10043008B2 (en) | Efficient white listing of user-modifiable files | |
| EP2469445B1 (en) | Optimization of anti-malware processing by automated correction of detection rules | |
| CN101968836B (zh) | 用于检测及预测与计算机病毒相关的蔓延的系统和方法 | |
| US7934261B1 (en) | On-demand cleanup system | |
| CN101373502B (zh) | 基于Win32平台下病毒行为的自动化分析系统 | |
| US20080201722A1 (en) | Method and System For Unsafe Content Tracking | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| CN102160048A (zh) | 收集和分析恶意软件数据 | |
| GB2469308A (en) | Disinfecting an electronic file by replacing all or part of it with a clean version | |
| US20090113548A1 (en) | Executable Download Tracking System | |
| CN102629310A (zh) | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 | |
| CN118312959A (zh) | 一种现网主机设备异常挂马资产的快速排查方法以及装置 | |
| Mishra | Finding and Solving Contradictions of False Positives in Virus Scanning | |
| CN114091046A (zh) | 识别对计算机系统的文件进行编码的加密器的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |