CN102203791A - 用于恶意软件检测的系统和方法 - Google Patents
用于恶意软件检测的系统和方法 Download PDFInfo
- Publication number
- CN102203791A CN102203791A CN2009801429308A CN200980142930A CN102203791A CN 102203791 A CN102203791 A CN 102203791A CN 2009801429308 A CN2009801429308 A CN 2009801429308A CN 200980142930 A CN200980142930 A CN 200980142930A CN 102203791 A CN102203791 A CN 102203791A
- Authority
- CN
- China
- Prior art keywords
- instruction sequence
- knowledge base
- sequence
- expert system
- described instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Machine Translation (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为有威胁的,可以发送信息到代码分析部件并可以通知使用者所述二进制文件包含恶意软件。所述信息可以包括以下内容中的一项或更多项:所述指令序列;标签,所述标签包括这样的指示,即所述指令序列是有威胁的;以及针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求。
Description
相关申请的交叉引用:本申请要求2009年8月28日递交的美国专利申请No.12/550,025的递交日的权益,该美国专利申请No.12/550,025要求2008年8月29日递交的美国临时专利申请No.61/092,848的优先权。
背景
二进制文件时常在很多计算设备之间进行传送。接收二进制文件的计算设备通常不知道该文件的来源或者其接收的代码是否安全。为了确保计算设备的安全性,可以对二进制文件进行反汇编来确定该文件是否包含诸如病毒、蠕虫、特洛伊木马和/或类似的恶意软件。
通常,反汇编器将二进制文件从机器语言翻译为汇编语言。一些反汇编器是交互式的,并且允许熟练程序员对于反汇编器如何分析文件做出注解、修正、阐述或者决定。例如,反汇编器可以在出现新的函数或者特定代码段时发出信号。当所标识的动作发生时,可以对该代码的特定段加标签以供今后参考。然而,对未知的可执行文件(executable)进行分析可能是一个耗时的过程,其通常是由特殊训练的人员来手动进行的,或者通过使用统计方法自动进行。
发明内容
在描述本方法之前,应当理解本发明并不限于所描述的特定系统、方法或协议,因为它们可以改变。本文所使用的术语仅用于描述特定实施方案的目的,并且其并不意图限制本公开的范围。
必须注意,如本文及所附权利要求书中所使用的,除非上下文另外明确指出,否则单数形式“一”(“a”和“an”)和“所述”包括复数指称。除非另外定义,否则本文使用的所有技术和科学术语具有本领域普通技术人员所普遍理解的含义。使用在这里,术语“包括”意味着“包括但不限于”。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为有威胁的,可以发送信息到代码分析部件并可以通知使用者所述二进制文件包含恶意软件。所述信息可以包括以下内容中的一项或更多项:所述指令序列;标签,所述标签包括这样的指示,即所述指令序列是有威胁的;以及针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为无威胁的,可以发送信息到代码分析部件并可以请求第二指令序列。所述信息可以包括以下内容中的一项或更多项:所述指令序列;以及标签,所述标签包括这样的指示,即所述指令序列是无威胁的。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为不可归类的,所述方法可以包括发送重新分析所述汇编语言序列的请求到代码分析部件请求;接收新指令序列,所述新指令序列对应于所述重新分析的汇编语言序列;以及归类所述新指令序列为有威胁的、无威胁的或不可归类的。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过代码分析部件分析二进制文件来生成汇编语言序列和相应的指令序列;发送所述指令序列到专家系统知识库;以及从所述专家系统知识库接收与所述指令序列相关联的归类信息。如果所述归类信息将所述指令序列标识为有威胁的,所述方法可以包括从所述二进制文件识别一个或更多个其他汇编语言序列,所示二进制文件包括所述指令序列的至少一部分,以及发送所述已识别的汇编语言序列的至少一个到所述专家系统知识库。如果所述归类信息将所述指令序列识别为无威胁的,所述方法可以包括发送第二指令序列到所述专家系统知识库。如果所述归类信息将所述指令序列识别为不可归类的,所述方法可以包括重新分析所述汇编语言序列来产生新指令序列,以及发送所述新指令序列到所述专家系统知识库。
在一实施方案中,一种用于自动识别恶意软件的系统可以包括:代码分析部件,所述代码分析部件被配置为从二进制文件识别汇编语言序列,其中所述汇编语言序列包括一个或更多个指令序列;以及专家系统知识库,所述专家系统知识库与所述代码分析部件通信。所述专家系统知识库可以被配置为使用一个或更多个规则来归类所述指令序列为有威胁的、无威胁的或不可归类的。
附图说明
参照以下描述和附图,将清楚本发明的方面、特征、益处和优点,在附图中:
图1图示根据一实施方案的示例性恶意软件检测系统。
图2图示根据一实施方案的示例性专家系统知识库。
图3图示根据一实施方案的用于检测和分析恶意软件的示例性方法的流程图。
图4图示根据一实施方案、可以用于包含或实现程序指令的示例性系统的框图。
图5和图6图示根据一实施方案的示例性指令序列。
具体实施方式
在描述本方法之前,应当理解本发明并不限于所描述的特定系统、方法或协议,因为它们可以改变。本文所使用的术语仅用于描述特定实施方案的目的,并且其并不意图限制本公开的范围。
如本文及所附权利要求书中所使用的,除非上下文另外明确指出,否则单数形式“一”(“a”和“an”)和“所述”包括复数指称。除非另外定义,否则本文使用的所有技术和科学术语具有本领域普通技术人员所普遍理解的含义。使用在这里,术语“包括”意味着“包括但不限于”。
为了以下描述的目的,“节点”指汇编语言序列内处理器所执行的指令序列。
“汇编语言”指一种计算机编程语言,其实现数字机器码的符号表示。
“汇编语言序列”指以汇编语言所编写的节点序列。
“二进制文件”指包括以二进制格式编码的数据的计算机文件。可执行文件是一类二进制文件。
“恶意软件”是设计来干扰、潜入或损害计算机系统的有恶意的软件。恶意软件的例子包括病毒、蠕虫、特洛伊木马、广告软件、间谍软件、后门和/或类似软件。
“专家系统”是一种人工智能软件和/或固件,其被设计来在特定问题领域模拟人们的决策过程。
图1图示根据一实施方案的恶意软件检测系统。恶意软件检测系统可以包括代码分析部件100、专家系统知识库200和/或连接器逻辑部件150。在一实施方案中,代码分析部件100、专家系统知识库200和/或连接器逻辑部件150可以使用软件、硬件或软件和硬件的组合来实现。在一实施方案中,代码分析部件100、专家系统知识库200和/或连接器逻辑部件150可以驻留在同一计算设备上。可替换地,代码分析部件100、专家系统知识库200和/或连接器逻辑部件150可以以彼此通信的方式驻留在不同计算设备上。
在一实施方案中,代码分析部件100可以分析例如但不限于可执行文件的二进制文件。在一实施方案中,代码分析部件100可以以静态或者动态方式分析二进制文件。静态分析可以包括分析并非当前正在执行的二进制文件。相比之下,动态分析可以包括在二进制文件正在执行时分析该二进制文件。
在一实施方案中,代码分析部件可以使用硬件、软件或硬件和软件的组合来实现。在一实施方案中,代码分析部件100可以包括反汇编器、调试器、解编译器和/或类似部件。例如,代码分析部件100可以是诸如IDA Pro的反汇编器。
代码分析部件可以分析二进制文件来创建一汇编语言序列。在一实施方案中,汇编语言序列可以包括二进制文件的人类可读表示。代码分析部件100可以包括可以用来从二进制文件创建汇编语言序列的内部规则和/或操作。代码分析部件100可以分析汇编语言序列来确定一指令序列。
在一实施方案中,代码分析部件100可以与外部设备交互来分析二进制文件。例如,如下讨论的,代码分析部件100可以与专家系统知识库200通信。
如图1所图示的,恶意软件检测系统可以包括专家系统知识库200。在一实施方案中,专家系统知识库200可以包括人类在特定领域中的专业知识的表征。例如,专家系统知识库200可以包括信息、数据、规则等来对经验丰富的计算机分析师的知识和实践进行建模。
在一实施方案中,专家系统知识库200可以使用C语言集成生产系统(“CLIPS”)来实现——CLIPS是一种可以用于创建专家系统的编程语言和软件工具。
图2图示根据一实施方案的专家系统知识库。专家系统知识库200可以包括内部规则和/或操作。在一实施方案中,这些内部规则和/或操作可以被应用到来自汇编语言序列的指令序列,以确定所述汇编语言序列是否包含恶意软件。在一实施方案中,所述内部规则和/或操作可以表示人类专业知识的编码。
在一实施方案中,领域专家205可以填入到(populate)专家系统知识库200。领域专家可以为,但不限于,具有分析恶意软件的专业知识的人。在一实施方案中,领域专家205可以是这样的计算设备,其被配置来为专家系统知识库200提供可以表示人类专业知识的编码的内部规则和/或操作。例如,一计算设备可以自动地为专家系统知识库200提供对一条或更多条内部规则和/或操作的更新、改进等。
在一实施方案中,专家系统知识库200可以填入有二进制文件结构210。二进制文件结构可以是这样的模板,其描绘二进制文件的一个或更多个部分,,和/或描绘二进制文件中多个部分的序列。二进制文件结构210可以用于分析文件结构是否恰当。例如,可以分析二进制文件结构210来确定该文件上的头部是否符合一协议。
在一实施方案中,专家系统知识库200可以填入有蠕虫界定操作215。蠕虫界定操作215可以识别这样的指令序列:所述指令序列复制汇编语言序列。
在一实施方案中,专家系统知识库200可以填入有特洛伊木马界定操作220。特洛伊木马界定操作220可以识别汇编语言序列中这样的指令序列:所述指令序列与一个或更多个特洛伊木马相关联。
在一实施方案中,专家系统知识库可以填入有病毒界定操作225。病毒界定操作225可以识别汇编语言序列中的自我复制的指令序列。专家系统知识库200可以包括可附加和/或可替换的操作。
回头参照图1,恶意软件检测系统可以包括连接器逻辑部件150。连接器逻辑部件150可以使能(enable)代码分析部件100和专家系统知识库200之间的通信。
在一实施方案中,从代码分析部件100发送的汇编语言序列可以呈专家系统知识库200不能直接处理的格式。代码分析部件100可以将该汇编语言序列传送到连接器逻辑部件150。连接器逻辑部件150可以将指令序列转换为专家系统知识库200可以处理的格式。连接器逻辑部件150可以将新近转换的指令序列发送到专家系统知识库200。
类似地,连接器逻辑部件可以从专家系统知识库200获得信息。连接器逻辑部件可以将来自专家系统知识库200的信息转换为代码分析部件100可读的格式,并且将经转换的信息传输到代码分析部件。
图3描绘根据一实施方案、用于检测和分析恶意软件的方法的流程图。二进制文件可以被代码分析部件接收。代码分析部件可以分析该文件来获得汇编语言序列和指令序列。代码分析部件可以经由连接器逻辑部件将所述汇编语言序列连同所述指令序列发送到专家系统知识库。
专家系统知识库可以接收300所述汇编语言序列。在一实施方案中,专家系统知识库可以从所述汇编语言序列识别305所述指令序列。
专家系统知识库可以应用内部操作和/或规则来对所述指令序列进行归类315。在一实施方案中,归类可以被用来确定该指令序列是否包含恶意软件。例如,在一实施方案中,专家系统知识库可以将所述指令序列归类为无威胁的315、有威胁的330或者不可归类的345。在本公开的范围内可以使用附加和/或可替换的归类。
在一实施方案中,专家系统知识库可以使用一条或更多条内部规则和/或操作来遍历所接收指令序列的节点和分支。在一实施方案中,专家系统知识库向所接收的指令序列应用一组优先规则(precedential rule)。优先规则集中的每条规则可以具有相对于该集合中其他优先规则的排序。在一实施方案中,所述规则可以基于每条规则与指令序列之间的匹配次数来排序。例如,与一规则的匹配准则最类似的指令序列可以导致该规则被赋予针对给定遍历的最高优先级(priority)。可替换地,与一规则的匹配准则最不类似的指令序列可以导致该规则被赋予针对给定遍历的最低优先级。
CLIPS提供诸如复杂度策略和简单度策略的冲突解决策略,所述复杂度策略和简单度策略分别向最多和最少次特定匹配赋予优先权(precedence)。在一实施方案中,这样的策略可以被采用来对与指令序列最特定匹配的那些规则进行排序。
在一实施方案中,专家系统知识库可以向指令序列应用与最高优先权相关联的规则。在一实施方案中,来自所述规则组的一条或更多条额外的优先规则可以按照它们的优先权次序应用到指令序列,直到所述指令序列被归类或者直到已经应用了所有优先规则。
在应用一条或多条规则时,如果专家系统知识库从头到尾遍历指令序列,则该指令序列可以被归类为无威胁的315。例如,图5图示根据一实施方案的示例性指令序列。如果专家系统知识库能够从头(指令1 505)到尾(指令8 510)遍历整个指令序列500,则该指令序列500可以被归类为无威胁的。
在一实施方案中,专家系统知识库可以向代码分析部件传输320信息,所述信息表明所述指令序列是无威胁的。在一实施方案中,所述信息可以包括附于所述指令序列、指示所述指令序列为无威胁的标签。
在一实施方案中,响应于将指令序列归类为无威胁的,专家系统知识库可以从代码分析部件请求325具有新指令序列的新汇编序列来进行分析。
在一实施方案中,如果专家系统知识库不能遍历指令序列的每条指令,则专家系统知识库可以将该指令序列归类为有威胁的330。例如,专家系统知识库可以通过遍历指令序列的指令来分析该指令序列,以确定是否存在恶意软件。例如,循环可能是恶意软件的指示标志(indicator)。如果在遍历期间专家系统知识库到达一其已经分析过的指令,则专家系统知识库可以确定该指令序列形成循环。在一实施方案中,专家系统知识库可以将具有一个或更多个循环的指令序列归类为有威胁的。图6图示出根据一实施方案的示例性指令序列。如图6所图示的,指令序列600可以被归类为有威胁的,因为它包括从指令6 605到指令4 610的循环。
在一实施方案中,可以指示恶意软件或其他恶性行为的其他活动可以包括加密/解密例程、复制代码、按键记录、独立发起网络通信、与已知恶意方或可疑网络主机通信等等。这样,包括这些活动之一或更多的指令序列可以被归类为有威胁的。在本公开的范围内,附加和/或可替换的活动可以来指示恶意软件。
在一实施方案中,专家系统知识库可以向代码分析部件传输335信息,所述信息表明所述指令序列是有威胁的。所述信息可以经由连接器逻辑部件发送到代码分析部件,所述连接器逻辑部件可以将所述信息翻译为代码分析部件可读的形式。在一实施方案中,所述信息可以包括附于所述指令序列、指示所述指令序列为有威胁的标签。
在一实施方案中,所述信息可以包括对其他汇编语言序列进行搜索来查找之前曾分析340过的指令序列的至少一部分的请求。例如,代码分析部件可以对其他汇编语言序列进行搜索来查找在前一实施例中讨论的循环。在一实施方案中,代码分析部件可以使用其内部操作和/或规则来翻译和/或分析所述信息,以确定指令序列的至少一部分是否存在于汇编语言序列内部。如果代码分析部件找到相同的指令序列或者指令序列的一部分,则代码分析部件可以将相关的汇编语言序列和指令序列发送给专家系统知识库。
在一实施方案中,专家系统知识库可以确定345指令序列是否是不可归类的。如果专家系统知识库不能确定指令序列是否是有威胁的,则该指令序列可以被标识为不可归类的。例如,创建了二进制文件的程序员可能曾故意使用方法来模糊该文件的功用,妨碍代码分析部件发出正确的指令序列。这样,代码分析部件可能经由连接器逻辑部件向专家系统知识库发送非完整或者荒谬的指令序列。
专家系统知识库可以使用其内部规则和/或操作分析指令序列的每个节点。基于其分析,专家系统知识库可以向代码分析部件传输350请求来重新解释特定节点或者一系列节点。例如,专家系统知识库可以请求代码分析部件针对特定节点生成新的指令序列。
在一实施方案中,所述请求可以包括针对代码分析部件的在分析汇编序列时可替换的考量因素。例如,在某些情况下,代码分析部件可能不能够恰当地分析汇编序列。这样,专家系统知识库可能有必要向代码分析部件提供允许分析继续下去的信息。例如,专家系统知识库可以检测出一非正确的指令序列应当被更改或忽略以允许分析继续下去。在一实施方案中,该信息可以被包括在给代码分析部件的请求中。
在一实施方案中,代码分析部件可以使用其内部规则和/或操作来分析汇编语言序列和指令序列。专家系统知识库可以经由连接器逻辑部件从代码分析部件接收345经分析的汇编语言序列和新的指令序列。专家系统知识库可以遍历该新的指令序列来确定其归类。
图4描绘根据一实施方案、可以用于包含或者实现程序指令的示例性系统的框图。参照图4,总线400充当将硬件其他图示组件进行互连的主信息通道。CPU 405可以是系统的中央处理单元,进行执行程序所需的运算和逻辑操作。只读存储器(ROM)410和随机访问存储器(RAM)415可以构成示例性存储器设备或储存介质。
控制器420将一个或更多个可选的盘驱动接口到系统总线400。这些盘驱动可以包括例如外部或内部DVD驱动425、CD ROM驱动430或硬盘驱动435。如之前指示的,这些各种盘驱动和盘控制器是可选的设备。
程序指令可以储存在ROM 410和/或RAM 415中。可选地,程序指令可以储存在例如应驱动、致密盘、数字盘、存储器的计算机可读储存介质或任何其他实体记录介质上。
可选显示接口面440可以允许来自总线400的信息以音频、图形或者字母数字形式显示在显示器445上。可以使用各种通信端口450进行与外部设备的通信。
除了标准的计算机型部件外,所述硬件还可以包括接口455,该接口455允许从诸如键盘460的输入设备或者诸如鼠标、遥控器、触摸板或触摸屏、指点设备和/或游戏杆的其他输入设备465接收数据。
应当意识到,上述公开的各种和其他特征以及功能或者其替换方案可以合乎期望地组合成很多其他不同的系统或应用。还有,本领域技术人员可以后续作出各种当前未预见或者未料想到的替换方案、修改、改动或其改进,所附实施方案也意图包括这些替换方案、修改、改动或其改进。
Claims (22)
1.一种自动识别恶意软件的方法,所述方法包括:
通过专家系统知识库接收来自二进制文件的汇编语言序列;
识别来自所述接收的汇编语言序列的指令序列;
通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行;
如果所述指令序列被归类为有威胁的,发送信息到代码分析部件,其中所述信息包括以下内容中的一项或更多项:
所述指令序列;
标签,所述标签包括这样的指示,即所述指令序列是有威胁的;以及
针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求;以及
通知使用者所述二进制文件包含恶意软件。
2.如权利要求1的方法,其中应用一个或更多个规则的操作包括应用由C语言集成生产系统语言写成的一个或更多个规则。
3.如权利要求1的方法,其中归类所述指令序列的操作包括以下内容中的一项或更多项:
应用一个或更多个规则到所述指令序列来判定所述二进制文件的二进制文件结构是否恰当;
应用一个或更多个蠕虫界定操作来判定所述指令序列是否包括复制所述汇编语言序列中的一个或更多个指令;
应用一个或更多个特洛伊木马界定操作来判定所述指令序列是否包括与一个或更多个特洛伊木马相关联的一个或更多个指令;以及
应用一个或更多个病毒界定操作来判定所述指令序列是否包括一个或更多个自我复制指令。
4.如权利要求1的方法,其中应用一个或更多个规则的操作包括:
应用优先规则的集合到所述指令序列,其中所述优先规则的集合包括多个优先规则,其中每个优先规则与相对于所述集合中其他优先规则的优先权相关联。
5.如权利要求4的方法,其中应用优先规则的集合的操作包括按优先权顺序应用所述优先规则到所述指令序列,直至所述指令序列被归类或每个优先规则都已经被应用。
6.如权利要求4的方法,其中应用优先规则的集合的操作包括:通过将优先权给予具有匹配于所述指令序列的更高次数的规则,来排序所述优先规则。
7.如权利要求1的方法,其中归类所述指令序列的操作包括:如果所述指令序列不能被从头到尾遍历,则归类所述指令序列为有威胁的。
8.如权利要求1的方法,其中,针对所述指令序列中每个节点,归类所述指令序列的操作包括:
遍历所述节点;
判定所述节点是否在先前已经被遍历;以及
如果所述节点在先前已被遍历,归类所述指令序列为有威胁的。
9.如权利要求1的方法,其中归类所述指令序列的操作包括:如果所述指令序列包含以下内容中的一项或更多项,归类所述指令序列为有威胁的:
加密例程;
解密例程;以及
用于复制所述指令序列的至少一部分的一个或更多个指令。
10.一种自动识别恶意软件的方法,所述方法包括:
通过专家系统知识库接收来自二进制文件的汇编语言序列;
识别来自所述接收的汇编语言序列的指令序列;
通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行;
如果所述指令序列被归类为无威胁的,发送信息到代码分析部件,其中所述信息包括以下内容中的一项或更多项:
所述指令序列;以及
标签,所述标签包括这样的指示,即所述指令序列是无威胁的;以及
请求第二指令序列。
11.如权利要求10的方法,其中归类所述指令序列的操作包括:如果所述专家系统遍历所述指令序列全体,则归类所述指令序列为无威胁的。
12.一种自动识别恶意软件的方法,所述方法包括:
通过专家系统知识库接收来自二进制文件的汇编语言序列;
识别来自所述接收的汇编语言序列的指令序列;
通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行;以及,
如果所述指令序列被归类为不可归类的:
发送重新分析所述汇编语言序列的请求到代码分析部件请求;
接收新指令序列,所述新指令序列对应于所述重新分析的汇编语言序列;以及
归类所述新指令序列为有威胁的、无威胁的或不可归类的。
13.一种自动识别恶意软件的方法,所述方法包括:
通过代码分析部件分析二进制文件来生成汇编语言序列和相应的指令序列;
发送所述指令序列到专家系统知识库;
从所述专家系统知识库接收与所述指令序列相关联的归类信息;
如果所述归类信息将所述指令序列标识为有威胁的:
从所述二进制文件识别一个或更多个其他汇编语言序列,所示二进制文件包括所述指令序列的至少一部分,以及
发送所述已识别的汇编语言序列的至少一个到所述专家系统知识库;
如果所述归类信息将所述指令序列识别为无威胁的,发送第二指令序列到所述专家系统知识库;以及
如果所述归类信息将所述指令序列识别为不可归类的:
重新分析所述汇编语言序列来产生新指令序列,以及
发送所述新指令序列到所述专家系统知识库。
14.如权利要求13的系统,其中分析二进制文件的操作包括静态分析所述二进制文件和动态分析所述二进制文件中的一个或更多个。
15.一种用于自动识别恶意软件的系统,所述系统包括:
代码分析部件,所述代码分析部件被配置为从二进制文件识别汇编语言序列,其中所述汇编语言序列包括一个或更多个指令序列;以及
专家系统知识库,所述专家系统知识库与所述代码分析部件通信,其中所述专家系统知识库被配置为使用一个或更多个规则来归类所述指令序列为有威胁的、无威胁的或不可归类的。
16.如权利要求15的系统,进一步包括连接器逻辑部件,所述连接器逻辑部件与所述代码分析部件和所述专家系统知识库通信,其中所述连接器逻辑部件被配置来使所述代码分析部件和所述专家系统知识库之间能够通信。
17.如权利要求16的系统,其中所述连接器逻辑部件被配置为实现以下内容中的一项或更多项:
转换所述指令序列到所述专家系统知识库可处理的格式;以及
转换从所述专家系统知识库接收的信息到所述代码分析部件可处理的格式。
18.如权利要求14的系统,其中所述专家系统知识库被填入以下内容中的一项或更多项:
C语言集成生产系统规则;
二进制文件结构;
蠕虫界定操作;
特洛伊木马界定操作;以及
病毒界定操作。
19.如权利要求14的系统,其中所述专家系统知识库被配置来通过以下内容中的一项或更多项来归类所述指令序列:
应用一个或更多个规则到所述指令序列来判定所述二进制文件的二进制文件结构是否恰当;
应用一个或更多个蠕虫界定操作来判定所述指令序列是否包括复制所述汇编语言序列中的一个或更多个指令;
应用一个或更多个特洛伊木马界定操作来判定所述指令序列是否包括与一个或更多个特洛伊木马相关的一个或更多个指令;以及
应用一个或更多个病毒界定操作来判定所述指令序列是否包括一个或更多个自我复制指令。
20.如权利要求14的系统,其中所述专家系统知识库被配置为应用优先规则的集合到所述指令序列,其中所述优先规则的集合包括多个优先规则,其中每个优先规则与相对于所述集合中其他优先规则的优先权相关联。
21.如权利要求20的系统,其中所述专家系统知识库进一步被配置为按优先权顺序应用所述优先规则到所述指令序列,直至所述指令序列被归类或每个优先规则都已经被应用。
22.如权利要求20的系统,其中所述专家系统知识库进一步被配置为:通过将优先权给予具有匹配于所述指令序列的更高次数的规则,来排序所述优先规则。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US9284808P | 2008-08-29 | 2008-08-29 | |
US61/092,848 | 2008-08-29 | ||
US12/550,025 US20100058474A1 (en) | 2008-08-29 | 2009-08-28 | System and method for the detection of malware |
US12/550,025 | 2009-08-28 | ||
PCT/US2009/055524 WO2010025453A1 (en) | 2008-08-29 | 2009-08-31 | System and method for detection of malware |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102203791A true CN102203791A (zh) | 2011-09-28 |
Family
ID=41721978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009801429308A Pending CN102203791A (zh) | 2008-08-29 | 2009-08-31 | 用于恶意软件检测的系统和方法 |
Country Status (12)
Country | Link |
---|---|
US (2) | US20100058474A1 (zh) |
EP (1) | EP2340488A4 (zh) |
JP (1) | JP5562961B2 (zh) |
CN (1) | CN102203791A (zh) |
AU (1) | AU2009287433B2 (zh) |
BR (1) | BRPI0913145A2 (zh) |
CA (1) | CA2735600C (zh) |
MY (1) | MY165418A (zh) |
RU (1) | RU2497189C2 (zh) |
SG (1) | SG193808A1 (zh) |
WO (1) | WO2010025453A1 (zh) |
ZA (1) | ZA201101745B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103065088A (zh) * | 2011-09-20 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 |
CN106663003A (zh) * | 2014-06-13 | 2017-05-10 | 查尔斯斯塔克德拉珀实验室公司 | 用于软件分析的系统和方法 |
CN110704068A (zh) * | 2019-10-18 | 2020-01-17 | 安徽中科国创高可信软件有限公司 | 基于数据库进行跨文件协同程序分析的处理方法及系统 |
Families Citing this family (174)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7051322B2 (en) | 2002-12-06 | 2006-05-23 | @Stake, Inc. | Software analysis framework |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8793787B2 (en) * | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8613080B2 (en) | 2007-02-16 | 2013-12-17 | Veracode, Inc. | Assessment and analysis of software security flaws in virtual machines |
US8732455B2 (en) * | 2008-07-25 | 2014-05-20 | Infotect Security Pte Ltd | Method and system for securing against leakage of source code |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8832829B2 (en) * | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
EP2610776B1 (en) | 2011-09-16 | 2019-08-21 | Veracode, Inc. | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security |
US8533836B2 (en) * | 2012-01-13 | 2013-09-10 | Accessdata Group, Llc | Identifying software execution behavior |
US9286063B2 (en) | 2012-02-22 | 2016-03-15 | Veracode, Inc. | Methods and systems for providing feedback and suggested programming methods |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
CN102663281B (zh) * | 2012-03-16 | 2015-03-18 | 华为数字技术(成都)有限公司 | 检测恶意软件的方法和装置 |
CN103065090B (zh) * | 2012-12-20 | 2016-03-23 | 广东欧珀移动通信有限公司 | 一种应用程序恶意广告拦截方法及装置 |
TWI461952B (zh) * | 2012-12-26 | 2014-11-21 | Univ Nat Taiwan Science Tech | 惡意程式偵測方法與系統 |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US10360378B2 (en) | 2014-08-22 | 2019-07-23 | Nec Corporation | Analysis device, analysis method and computer-readable recording medium |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US9197665B1 (en) * | 2014-10-31 | 2015-11-24 | Cyberpoint International Llc | Similarity search and malware prioritization |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
EP3278157B1 (en) * | 2015-03-31 | 2021-11-17 | Dow Global Technologies LLC | Flooding compounds for telecommunication cables |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US9516055B1 (en) * | 2015-05-29 | 2016-12-06 | Trend Micro Incorporated | Automatic malware signature extraction from runtime information |
CN104869170B (zh) * | 2015-05-29 | 2018-11-13 | 四川效率源信息安全技术股份有限公司 | 针对uc浏览器加密数据文件的解密方法 |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
RU2613535C1 (ru) * | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
AU2018316966B2 (en) * | 2017-08-18 | 2021-10-07 | Nippon Telegraph And Telephone Corporation | Intrusion prevention device, intrusion prevention method, and program |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
WO2021046811A1 (zh) * | 2019-09-12 | 2021-03-18 | 奇安信安全技术(珠海)有限公司 | 一种攻击行为的判定方法、装置及计算机存储介质 |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
CN114301725B (zh) * | 2021-12-24 | 2022-11-11 | 珠海格力电器股份有限公司 | 设备控制方法、装置、电子设备及存储介质 |
CN114884686B (zh) * | 2022-03-17 | 2024-03-08 | 新华三信息安全技术有限公司 | 一种php威胁识别方法及装置 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
RU22718U1 (ru) * | 2001-12-28 | 2002-04-20 | Кулик Сергей Дмитриевич | Устройство для реализации и моделирования компьютерного вируса мутанта |
US7392543B2 (en) * | 2003-06-30 | 2008-06-24 | Symantec Corporation | Signature extraction system and method |
RU2248608C1 (ru) * | 2003-07-22 | 2005-03-20 | Павлов Владимир Павлович | Процессор |
US20050086526A1 (en) * | 2003-10-17 | 2005-04-21 | Panda Software S.L. (Sociedad Unipersonal) | Computer implemented method providing software virus infection information in real time |
US8528086B1 (en) * | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
RU2271613C1 (ru) * | 2004-09-15 | 2006-03-10 | Военный университет связи | Способ защиты вычислительных сетей от несанкционированных воздействий |
WO2006036763A2 (en) * | 2004-09-22 | 2006-04-06 | Cyberdefender Corporation | System for distributing information using a secure peer-to-peer network |
US7636856B2 (en) * | 2004-12-06 | 2009-12-22 | Microsoft Corporation | Proactive computer malware protection through dynamic translation |
JP2006201845A (ja) * | 2005-01-18 | 2006-08-03 | Hitachi Software Eng Co Ltd | ウィルス感染及び機密情報漏洩防止対策コンピュータ |
GB0513375D0 (en) * | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US20070094734A1 (en) * | 2005-09-29 | 2007-04-26 | Mangione-Smith William H | Malware mutation detector |
US20090271867A1 (en) * | 2005-12-30 | 2009-10-29 | Peng Zhang | Virtual machine to detect malicious code |
WO2007117574A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Non-signature malware detection system and method for mobile platforms |
US8261344B2 (en) * | 2006-06-30 | 2012-09-04 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
JP2008129714A (ja) * | 2006-11-17 | 2008-06-05 | Univ Of Tsukuba | 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法 |
IL181426A (en) * | 2007-02-19 | 2011-06-30 | Deutsche Telekom Ag | Automatic removal of signatures for malware |
-
2009
- 2009-08-28 US US12/550,025 patent/US20100058474A1/en not_active Abandoned
- 2009-08-31 AU AU2009287433A patent/AU2009287433B2/en not_active Ceased
- 2009-08-31 BR BRPI0913145A patent/BRPI0913145A2/pt not_active IP Right Cessation
- 2009-08-31 RU RU2011111719/08A patent/RU2497189C2/ru active
- 2009-08-31 WO PCT/US2009/055524 patent/WO2010025453A1/en active Application Filing
- 2009-08-31 CA CA2735600A patent/CA2735600C/en active Active
- 2009-08-31 SG SG2013063151A patent/SG193808A1/en unknown
- 2009-08-31 EP EP09810716A patent/EP2340488A4/en not_active Withdrawn
- 2009-08-31 CN CN2009801429308A patent/CN102203791A/zh active Pending
- 2009-08-31 MY MYPI2011000836A patent/MY165418A/en unknown
- 2009-08-31 JP JP2011525271A patent/JP5562961B2/ja active Active
-
2011
- 2011-03-07 ZA ZA2011/01745A patent/ZA201101745B/en unknown
-
2015
- 2015-09-23 US US14/862,570 patent/US20160012225A1/en not_active Abandoned
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103065088A (zh) * | 2011-09-20 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 |
CN103065088B (zh) * | 2011-09-20 | 2016-03-30 | 卡巴斯基实验室封闭式股份公司 | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 |
CN106663003A (zh) * | 2014-06-13 | 2017-05-10 | 查尔斯斯塔克德拉珀实验室公司 | 用于软件分析的系统和方法 |
CN110704068A (zh) * | 2019-10-18 | 2020-01-17 | 安徽中科国创高可信软件有限公司 | 基于数据库进行跨文件协同程序分析的处理方法及系统 |
CN110704068B (zh) * | 2019-10-18 | 2023-02-17 | 安徽中科国创高可信软件有限公司 | 基于数据库进行跨文件协同程序分析的处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2010025453A1 (en) | 2010-03-04 |
EP2340488A4 (en) | 2012-07-11 |
AU2009287433B2 (en) | 2014-06-05 |
CA2735600C (en) | 2018-08-21 |
JP2012501504A (ja) | 2012-01-19 |
JP5562961B2 (ja) | 2014-07-30 |
SG193808A1 (en) | 2013-10-30 |
MY165418A (en) | 2018-03-21 |
RU2497189C2 (ru) | 2013-10-27 |
CA2735600A1 (en) | 2010-03-04 |
US20100058474A1 (en) | 2010-03-04 |
US20160012225A1 (en) | 2016-01-14 |
EP2340488A1 (en) | 2011-07-06 |
RU2011111719A (ru) | 2012-10-10 |
AU2009287433A1 (en) | 2010-03-04 |
ZA201101745B (en) | 2012-01-25 |
BRPI0913145A2 (pt) | 2019-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102203791A (zh) | 用于恶意软件检测的系统和方法 | |
EP3323075B1 (en) | Malware detection | |
Meinicke | UProC: tools for ultra-fast protein domain classification | |
Zhu et al. | HGTector: an automated method facilitating genome-wide discovery of putative horizontal gene transfers | |
CN111971698A (zh) | 在神经网络中使用梯度来检测后门 | |
CN112686036B (zh) | 风险文本识别方法、装置、计算机设备及存储介质 | |
CN102479298A (zh) | 基于机器学习的程序识别方法及装置 | |
CN102567661A (zh) | 基于机器学习的程序识别方法及装置 | |
Tran et al. | Using 16S rRNA gene as marker to detect unknown bacteria in microbial communities | |
Kawulok et al. | Environmental metagenome classification for constructing a microbiome fingerprint | |
Bai et al. | Identification of bacteriophage genome sequences with representation learning | |
Yingtaweesittikul et al. | CalmBelt: rapid SARS-CoV-2 genome characterization for outbreak tracking | |
CN109564613A (zh) | 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统 | |
Zhou et al. | ViWrap: A modular pipeline to identify, bin, classify, and predict viral–host relationships for viruses from metagenomes | |
CN113609008A (zh) | 测试结果分析方法、装置和电子设备 | |
Tong et al. | GenePiper, a graphical user interface tool for microbiome sequence data mining | |
CN111259623A (zh) | 一种基于深度学习的pdf文档段落自动提取系统及装置 | |
CN107229609A (zh) | 用于分割文本的方法和设备 | |
Maruyama et al. | SAG-QC: quality control of single amplified genome information by subtracting non-target sequences based on sequence compositions | |
Hegarty et al. | Benchmarking informatics approaches for virus discovery: caution is needed when combining in silico identification methods | |
David et al. | Revealing general patterns of microbiomes that transcend systems: potential and challenges of deep transfer learning | |
Zhang et al. | Zero-shot-capable identification of phage–host relationships with whole-genome sequence representation by contrastive learning | |
Dormuth et al. | Logical segmentation of source code | |
CN117668499B (zh) | 一种基于机器学习的海洋公益诉讼线索研判方法、系统、设备及介质 | |
US11269626B2 (en) | Quality analysis of source code |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1162708 Country of ref document: HK |
|
C05 | Deemed withdrawal (patent law before 1993) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110928 |