CN102203791A - 用于恶意软件检测的系统和方法 - Google Patents

用于恶意软件检测的系统和方法 Download PDF

Info

Publication number
CN102203791A
CN102203791A CN2009801429308A CN200980142930A CN102203791A CN 102203791 A CN102203791 A CN 102203791A CN 2009801429308 A CN2009801429308 A CN 2009801429308A CN 200980142930 A CN200980142930 A CN 200980142930A CN 102203791 A CN102203791 A CN 102203791A
Authority
CN
China
Prior art keywords
instruction sequence
knowledge base
sequence
expert system
described instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2009801429308A
Other languages
English (en)
Inventor
R·希克斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVG Technologies CZ sro
Original Assignee
AVG Technologies CZ sro
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVG Technologies CZ sro filed Critical AVG Technologies CZ sro
Publication of CN102203791A publication Critical patent/CN102203791A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Stored Programmes (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Machine Translation (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为有威胁的,可以发送信息到代码分析部件并可以通知使用者所述二进制文件包含恶意软件。所述信息可以包括以下内容中的一项或更多项:所述指令序列;标签,所述标签包括这样的指示,即所述指令序列是有威胁的;以及针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求。

Description

用于恶意软件检测的系统和方法
相关申请的交叉引用:本申请要求2009年8月28日递交的美国专利申请No.12/550,025的递交日的权益,该美国专利申请No.12/550,025要求2008年8月29日递交的美国临时专利申请No.61/092,848的优先权。
背景
二进制文件时常在很多计算设备之间进行传送。接收二进制文件的计算设备通常不知道该文件的来源或者其接收的代码是否安全。为了确保计算设备的安全性,可以对二进制文件进行反汇编来确定该文件是否包含诸如病毒、蠕虫、特洛伊木马和/或类似的恶意软件。
通常,反汇编器将二进制文件从机器语言翻译为汇编语言。一些反汇编器是交互式的,并且允许熟练程序员对于反汇编器如何分析文件做出注解、修正、阐述或者决定。例如,反汇编器可以在出现新的函数或者特定代码段时发出信号。当所标识的动作发生时,可以对该代码的特定段加标签以供今后参考。然而,对未知的可执行文件(executable)进行分析可能是一个耗时的过程,其通常是由特殊训练的人员来手动进行的,或者通过使用统计方法自动进行。
发明内容
在描述本方法之前,应当理解本发明并不限于所描述的特定系统、方法或协议,因为它们可以改变。本文所使用的术语仅用于描述特定实施方案的目的,并且其并不意图限制本公开的范围。
必须注意,如本文及所附权利要求书中所使用的,除非上下文另外明确指出,否则单数形式“一”(“a”和“an”)和“所述”包括复数指称。除非另外定义,否则本文使用的所有技术和科学术语具有本领域普通技术人员所普遍理解的含义。使用在这里,术语“包括”意味着“包括但不限于”。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为有威胁的,可以发送信息到代码分析部件并可以通知使用者所述二进制文件包含恶意软件。所述信息可以包括以下内容中的一项或更多项:所述指令序列;标签,所述标签包括这样的指示,即所述指令序列是有威胁的;以及针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为无威胁的,可以发送信息到代码分析部件并可以请求第二指令序列。所述信息可以包括以下内容中的一项或更多项:所述指令序列;以及标签,所述标签包括这样的指示,即所述指令序列是无威胁的。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过专家系统知识库接收来自二进制文件的汇编语言序列;识别来自所述接收的汇编语言序列的指令序列;以及通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行。如果所述指令序列被归类为不可归类的,所述方法可以包括发送重新分析所述汇编语言序列的请求到代码分析部件请求;接收新指令序列,所述新指令序列对应于所述重新分析的汇编语言序列;以及归类所述新指令序列为有威胁的、无威胁的或不可归类的。
在一实施方案中,一种自动识别恶意软件的方法可以包括:通过代码分析部件分析二进制文件来生成汇编语言序列和相应的指令序列;发送所述指令序列到专家系统知识库;以及从所述专家系统知识库接收与所述指令序列相关联的归类信息。如果所述归类信息将所述指令序列标识为有威胁的,所述方法可以包括从所述二进制文件识别一个或更多个其他汇编语言序列,所示二进制文件包括所述指令序列的至少一部分,以及发送所述已识别的汇编语言序列的至少一个到所述专家系统知识库。如果所述归类信息将所述指令序列识别为无威胁的,所述方法可以包括发送第二指令序列到所述专家系统知识库。如果所述归类信息将所述指令序列识别为不可归类的,所述方法可以包括重新分析所述汇编语言序列来产生新指令序列,以及发送所述新指令序列到所述专家系统知识库。
在一实施方案中,一种用于自动识别恶意软件的系统可以包括:代码分析部件,所述代码分析部件被配置为从二进制文件识别汇编语言序列,其中所述汇编语言序列包括一个或更多个指令序列;以及专家系统知识库,所述专家系统知识库与所述代码分析部件通信。所述专家系统知识库可以被配置为使用一个或更多个规则来归类所述指令序列为有威胁的、无威胁的或不可归类的。
附图说明
参照以下描述和附图,将清楚本发明的方面、特征、益处和优点,在附图中:
图1图示根据一实施方案的示例性恶意软件检测系统。
图2图示根据一实施方案的示例性专家系统知识库。
图3图示根据一实施方案的用于检测和分析恶意软件的示例性方法的流程图。
图4图示根据一实施方案、可以用于包含或实现程序指令的示例性系统的框图。
图5和图6图示根据一实施方案的示例性指令序列。
具体实施方式
在描述本方法之前,应当理解本发明并不限于所描述的特定系统、方法或协议,因为它们可以改变。本文所使用的术语仅用于描述特定实施方案的目的,并且其并不意图限制本公开的范围。
如本文及所附权利要求书中所使用的,除非上下文另外明确指出,否则单数形式“一”(“a”和“an”)和“所述”包括复数指称。除非另外定义,否则本文使用的所有技术和科学术语具有本领域普通技术人员所普遍理解的含义。使用在这里,术语“包括”意味着“包括但不限于”。
为了以下描述的目的,“节点”指汇编语言序列内处理器所执行的指令序列。
“汇编语言”指一种计算机编程语言,其实现数字机器码的符号表示。
“汇编语言序列”指以汇编语言所编写的节点序列。
“二进制文件”指包括以二进制格式编码的数据的计算机文件。可执行文件是一类二进制文件。
“恶意软件”是设计来干扰、潜入或损害计算机系统的有恶意的软件。恶意软件的例子包括病毒、蠕虫、特洛伊木马、广告软件、间谍软件、后门和/或类似软件。
“专家系统”是一种人工智能软件和/或固件,其被设计来在特定问题领域模拟人们的决策过程。
图1图示根据一实施方案的恶意软件检测系统。恶意软件检测系统可以包括代码分析部件100、专家系统知识库200和/或连接器逻辑部件150。在一实施方案中,代码分析部件100、专家系统知识库200和/或连接器逻辑部件150可以使用软件、硬件或软件和硬件的组合来实现。在一实施方案中,代码分析部件100、专家系统知识库200和/或连接器逻辑部件150可以驻留在同一计算设备上。可替换地,代码分析部件100、专家系统知识库200和/或连接器逻辑部件150可以以彼此通信的方式驻留在不同计算设备上。
在一实施方案中,代码分析部件100可以分析例如但不限于可执行文件的二进制文件。在一实施方案中,代码分析部件100可以以静态或者动态方式分析二进制文件。静态分析可以包括分析并非当前正在执行的二进制文件。相比之下,动态分析可以包括在二进制文件正在执行时分析该二进制文件。
在一实施方案中,代码分析部件可以使用硬件、软件或硬件和软件的组合来实现。在一实施方案中,代码分析部件100可以包括反汇编器、调试器、解编译器和/或类似部件。例如,代码分析部件100可以是诸如IDA Pro的反汇编器。
代码分析部件可以分析二进制文件来创建一汇编语言序列。在一实施方案中,汇编语言序列可以包括二进制文件的人类可读表示。代码分析部件100可以包括可以用来从二进制文件创建汇编语言序列的内部规则和/或操作。代码分析部件100可以分析汇编语言序列来确定一指令序列。
在一实施方案中,代码分析部件100可以与外部设备交互来分析二进制文件。例如,如下讨论的,代码分析部件100可以与专家系统知识库200通信。
如图1所图示的,恶意软件检测系统可以包括专家系统知识库200。在一实施方案中,专家系统知识库200可以包括人类在特定领域中的专业知识的表征。例如,专家系统知识库200可以包括信息、数据、规则等来对经验丰富的计算机分析师的知识和实践进行建模。
在一实施方案中,专家系统知识库200可以使用C语言集成生产系统(“CLIPS”)来实现——CLIPS是一种可以用于创建专家系统的编程语言和软件工具。
图2图示根据一实施方案的专家系统知识库。专家系统知识库200可以包括内部规则和/或操作。在一实施方案中,这些内部规则和/或操作可以被应用到来自汇编语言序列的指令序列,以确定所述汇编语言序列是否包含恶意软件。在一实施方案中,所述内部规则和/或操作可以表示人类专业知识的编码。
在一实施方案中,领域专家205可以填入到(populate)专家系统知识库200。领域专家可以为,但不限于,具有分析恶意软件的专业知识的人。在一实施方案中,领域专家205可以是这样的计算设备,其被配置来为专家系统知识库200提供可以表示人类专业知识的编码的内部规则和/或操作。例如,一计算设备可以自动地为专家系统知识库200提供对一条或更多条内部规则和/或操作的更新、改进等。
在一实施方案中,专家系统知识库200可以填入有二进制文件结构210。二进制文件结构可以是这样的模板,其描绘二进制文件的一个或更多个部分,,和/或描绘二进制文件中多个部分的序列。二进制文件结构210可以用于分析文件结构是否恰当。例如,可以分析二进制文件结构210来确定该文件上的头部是否符合一协议。
在一实施方案中,专家系统知识库200可以填入有蠕虫界定操作215。蠕虫界定操作215可以识别这样的指令序列:所述指令序列复制汇编语言序列。
在一实施方案中,专家系统知识库200可以填入有特洛伊木马界定操作220。特洛伊木马界定操作220可以识别汇编语言序列中这样的指令序列:所述指令序列与一个或更多个特洛伊木马相关联。
在一实施方案中,专家系统知识库可以填入有病毒界定操作225。病毒界定操作225可以识别汇编语言序列中的自我复制的指令序列。专家系统知识库200可以包括可附加和/或可替换的操作。
回头参照图1,恶意软件检测系统可以包括连接器逻辑部件150。连接器逻辑部件150可以使能(enable)代码分析部件100和专家系统知识库200之间的通信。
在一实施方案中,从代码分析部件100发送的汇编语言序列可以呈专家系统知识库200不能直接处理的格式。代码分析部件100可以将该汇编语言序列传送到连接器逻辑部件150。连接器逻辑部件150可以将指令序列转换为专家系统知识库200可以处理的格式。连接器逻辑部件150可以将新近转换的指令序列发送到专家系统知识库200。
类似地,连接器逻辑部件可以从专家系统知识库200获得信息。连接器逻辑部件可以将来自专家系统知识库200的信息转换为代码分析部件100可读的格式,并且将经转换的信息传输到代码分析部件。
图3描绘根据一实施方案、用于检测和分析恶意软件的方法的流程图。二进制文件可以被代码分析部件接收。代码分析部件可以分析该文件来获得汇编语言序列和指令序列。代码分析部件可以经由连接器逻辑部件将所述汇编语言序列连同所述指令序列发送到专家系统知识库。
专家系统知识库可以接收300所述汇编语言序列。在一实施方案中,专家系统知识库可以从所述汇编语言序列识别305所述指令序列。
专家系统知识库可以应用内部操作和/或规则来对所述指令序列进行归类315。在一实施方案中,归类可以被用来确定该指令序列是否包含恶意软件。例如,在一实施方案中,专家系统知识库可以将所述指令序列归类为无威胁的315、有威胁的330或者不可归类的345。在本公开的范围内可以使用附加和/或可替换的归类。
在一实施方案中,专家系统知识库可以使用一条或更多条内部规则和/或操作来遍历所接收指令序列的节点和分支。在一实施方案中,专家系统知识库向所接收的指令序列应用一组优先规则(precedential rule)。优先规则集中的每条规则可以具有相对于该集合中其他优先规则的排序。在一实施方案中,所述规则可以基于每条规则与指令序列之间的匹配次数来排序。例如,与一规则的匹配准则最类似的指令序列可以导致该规则被赋予针对给定遍历的最高优先级(priority)。可替换地,与一规则的匹配准则最不类似的指令序列可以导致该规则被赋予针对给定遍历的最低优先级。
CLIPS提供诸如复杂度策略和简单度策略的冲突解决策略,所述复杂度策略和简单度策略分别向最多和最少次特定匹配赋予优先权(precedence)。在一实施方案中,这样的策略可以被采用来对与指令序列最特定匹配的那些规则进行排序。
在一实施方案中,专家系统知识库可以向指令序列应用与最高优先权相关联的规则。在一实施方案中,来自所述规则组的一条或更多条额外的优先规则可以按照它们的优先权次序应用到指令序列,直到所述指令序列被归类或者直到已经应用了所有优先规则。
在应用一条或多条规则时,如果专家系统知识库从头到尾遍历指令序列,则该指令序列可以被归类为无威胁的315。例如,图5图示根据一实施方案的示例性指令序列。如果专家系统知识库能够从头(指令1 505)到尾(指令8 510)遍历整个指令序列500,则该指令序列500可以被归类为无威胁的。
在一实施方案中,专家系统知识库可以向代码分析部件传输320信息,所述信息表明所述指令序列是无威胁的。在一实施方案中,所述信息可以包括附于所述指令序列、指示所述指令序列为无威胁的标签。
在一实施方案中,响应于将指令序列归类为无威胁的,专家系统知识库可以从代码分析部件请求325具有新指令序列的新汇编序列来进行分析。
在一实施方案中,如果专家系统知识库不能遍历指令序列的每条指令,则专家系统知识库可以将该指令序列归类为有威胁的330。例如,专家系统知识库可以通过遍历指令序列的指令来分析该指令序列,以确定是否存在恶意软件。例如,循环可能是恶意软件的指示标志(indicator)。如果在遍历期间专家系统知识库到达一其已经分析过的指令,则专家系统知识库可以确定该指令序列形成循环。在一实施方案中,专家系统知识库可以将具有一个或更多个循环的指令序列归类为有威胁的。图6图示出根据一实施方案的示例性指令序列。如图6所图示的,指令序列600可以被归类为有威胁的,因为它包括从指令6 605到指令4 610的循环。
在一实施方案中,可以指示恶意软件或其他恶性行为的其他活动可以包括加密/解密例程、复制代码、按键记录、独立发起网络通信、与已知恶意方或可疑网络主机通信等等。这样,包括这些活动之一或更多的指令序列可以被归类为有威胁的。在本公开的范围内,附加和/或可替换的活动可以来指示恶意软件。
在一实施方案中,专家系统知识库可以向代码分析部件传输335信息,所述信息表明所述指令序列是有威胁的。所述信息可以经由连接器逻辑部件发送到代码分析部件,所述连接器逻辑部件可以将所述信息翻译为代码分析部件可读的形式。在一实施方案中,所述信息可以包括附于所述指令序列、指示所述指令序列为有威胁的标签。
在一实施方案中,所述信息可以包括对其他汇编语言序列进行搜索来查找之前曾分析340过的指令序列的至少一部分的请求。例如,代码分析部件可以对其他汇编语言序列进行搜索来查找在前一实施例中讨论的循环。在一实施方案中,代码分析部件可以使用其内部操作和/或规则来翻译和/或分析所述信息,以确定指令序列的至少一部分是否存在于汇编语言序列内部。如果代码分析部件找到相同的指令序列或者指令序列的一部分,则代码分析部件可以将相关的汇编语言序列和指令序列发送给专家系统知识库。
在一实施方案中,专家系统知识库可以确定345指令序列是否是不可归类的。如果专家系统知识库不能确定指令序列是否是有威胁的,则该指令序列可以被标识为不可归类的。例如,创建了二进制文件的程序员可能曾故意使用方法来模糊该文件的功用,妨碍代码分析部件发出正确的指令序列。这样,代码分析部件可能经由连接器逻辑部件向专家系统知识库发送非完整或者荒谬的指令序列。
专家系统知识库可以使用其内部规则和/或操作分析指令序列的每个节点。基于其分析,专家系统知识库可以向代码分析部件传输350请求来重新解释特定节点或者一系列节点。例如,专家系统知识库可以请求代码分析部件针对特定节点生成新的指令序列。
在一实施方案中,所述请求可以包括针对代码分析部件的在分析汇编序列时可替换的考量因素。例如,在某些情况下,代码分析部件可能不能够恰当地分析汇编序列。这样,专家系统知识库可能有必要向代码分析部件提供允许分析继续下去的信息。例如,专家系统知识库可以检测出一非正确的指令序列应当被更改或忽略以允许分析继续下去。在一实施方案中,该信息可以被包括在给代码分析部件的请求中。
在一实施方案中,代码分析部件可以使用其内部规则和/或操作来分析汇编语言序列和指令序列。专家系统知识库可以经由连接器逻辑部件从代码分析部件接收345经分析的汇编语言序列和新的指令序列。专家系统知识库可以遍历该新的指令序列来确定其归类。
图4描绘根据一实施方案、可以用于包含或者实现程序指令的示例性系统的框图。参照图4,总线400充当将硬件其他图示组件进行互连的主信息通道。CPU 405可以是系统的中央处理单元,进行执行程序所需的运算和逻辑操作。只读存储器(ROM)410和随机访问存储器(RAM)415可以构成示例性存储器设备或储存介质。
控制器420将一个或更多个可选的盘驱动接口到系统总线400。这些盘驱动可以包括例如外部或内部DVD驱动425、CD ROM驱动430或硬盘驱动435。如之前指示的,这些各种盘驱动和盘控制器是可选的设备。
程序指令可以储存在ROM 410和/或RAM 415中。可选地,程序指令可以储存在例如应驱动、致密盘、数字盘、存储器的计算机可读储存介质或任何其他实体记录介质上。
可选显示接口面440可以允许来自总线400的信息以音频、图形或者字母数字形式显示在显示器445上。可以使用各种通信端口450进行与外部设备的通信。
除了标准的计算机型部件外,所述硬件还可以包括接口455,该接口455允许从诸如键盘460的输入设备或者诸如鼠标、遥控器、触摸板或触摸屏、指点设备和/或游戏杆的其他输入设备465接收数据。
应当意识到,上述公开的各种和其他特征以及功能或者其替换方案可以合乎期望地组合成很多其他不同的系统或应用。还有,本领域技术人员可以后续作出各种当前未预见或者未料想到的替换方案、修改、改动或其改进,所附实施方案也意图包括这些替换方案、修改、改动或其改进。

Claims (22)

1.一种自动识别恶意软件的方法,所述方法包括:
通过专家系统知识库接收来自二进制文件的汇编语言序列;
识别来自所述接收的汇编语言序列的指令序列;
通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行;
如果所述指令序列被归类为有威胁的,发送信息到代码分析部件,其中所述信息包括以下内容中的一项或更多项:
所述指令序列;
标签,所述标签包括这样的指示,即所述指令序列是有威胁的;以及
针对所述指令序列的至少一部分对来自所述二进制文件中的一个或更多个其他汇编语言序列进行搜索的请求;以及
通知使用者所述二进制文件包含恶意软件。
2.如权利要求1的方法,其中应用一个或更多个规则的操作包括应用由C语言集成生产系统语言写成的一个或更多个规则。
3.如权利要求1的方法,其中归类所述指令序列的操作包括以下内容中的一项或更多项:
应用一个或更多个规则到所述指令序列来判定所述二进制文件的二进制文件结构是否恰当;
应用一个或更多个蠕虫界定操作来判定所述指令序列是否包括复制所述汇编语言序列中的一个或更多个指令;
应用一个或更多个特洛伊木马界定操作来判定所述指令序列是否包括与一个或更多个特洛伊木马相关联的一个或更多个指令;以及
应用一个或更多个病毒界定操作来判定所述指令序列是否包括一个或更多个自我复制指令。
4.如权利要求1的方法,其中应用一个或更多个规则的操作包括:
应用优先规则的集合到所述指令序列,其中所述优先规则的集合包括多个优先规则,其中每个优先规则与相对于所述集合中其他优先规则的优先权相关联。
5.如权利要求4的方法,其中应用优先规则的集合的操作包括按优先权顺序应用所述优先规则到所述指令序列,直至所述指令序列被归类或每个优先规则都已经被应用。
6.如权利要求4的方法,其中应用优先规则的集合的操作包括:通过将优先权给予具有匹配于所述指令序列的更高次数的规则,来排序所述优先规则。
7.如权利要求1的方法,其中归类所述指令序列的操作包括:如果所述指令序列不能被从头到尾遍历,则归类所述指令序列为有威胁的。
8.如权利要求1的方法,其中,针对所述指令序列中每个节点,归类所述指令序列的操作包括:
遍历所述节点;
判定所述节点是否在先前已经被遍历;以及
如果所述节点在先前已被遍历,归类所述指令序列为有威胁的。
9.如权利要求1的方法,其中归类所述指令序列的操作包括:如果所述指令序列包含以下内容中的一项或更多项,归类所述指令序列为有威胁的:
加密例程;
解密例程;以及
用于复制所述指令序列的至少一部分的一个或更多个指令。
10.一种自动识别恶意软件的方法,所述方法包括:
通过专家系统知识库接收来自二进制文件的汇编语言序列;
识别来自所述接收的汇编语言序列的指令序列;
通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行;
如果所述指令序列被归类为无威胁的,发送信息到代码分析部件,其中所述信息包括以下内容中的一项或更多项:
所述指令序列;以及
标签,所述标签包括这样的指示,即所述指令序列是无威胁的;以及
请求第二指令序列。
11.如权利要求10的方法,其中归类所述指令序列的操作包括:如果所述专家系统遍历所述指令序列全体,则归类所述指令序列为无威胁的。
12.一种自动识别恶意软件的方法,所述方法包括:
通过专家系统知识库接收来自二进制文件的汇编语言序列;
识别来自所述接收的汇编语言序列的指令序列;
通过所述专家系统知识库将所述指令序列归类为有威胁的、无威胁的或不可归类的,所述归类操作通过应用所述专家系统知识库中的一个或更多个规则到所述指令序列来进行;以及,
如果所述指令序列被归类为不可归类的:
发送重新分析所述汇编语言序列的请求到代码分析部件请求;
接收新指令序列,所述新指令序列对应于所述重新分析的汇编语言序列;以及
归类所述新指令序列为有威胁的、无威胁的或不可归类的。
13.一种自动识别恶意软件的方法,所述方法包括:
通过代码分析部件分析二进制文件来生成汇编语言序列和相应的指令序列;
发送所述指令序列到专家系统知识库;
从所述专家系统知识库接收与所述指令序列相关联的归类信息;
如果所述归类信息将所述指令序列标识为有威胁的:
从所述二进制文件识别一个或更多个其他汇编语言序列,所示二进制文件包括所述指令序列的至少一部分,以及
发送所述已识别的汇编语言序列的至少一个到所述专家系统知识库;
如果所述归类信息将所述指令序列识别为无威胁的,发送第二指令序列到所述专家系统知识库;以及
如果所述归类信息将所述指令序列识别为不可归类的:
重新分析所述汇编语言序列来产生新指令序列,以及
发送所述新指令序列到所述专家系统知识库。
14.如权利要求13的系统,其中分析二进制文件的操作包括静态分析所述二进制文件和动态分析所述二进制文件中的一个或更多个。
15.一种用于自动识别恶意软件的系统,所述系统包括:
代码分析部件,所述代码分析部件被配置为从二进制文件识别汇编语言序列,其中所述汇编语言序列包括一个或更多个指令序列;以及
专家系统知识库,所述专家系统知识库与所述代码分析部件通信,其中所述专家系统知识库被配置为使用一个或更多个规则来归类所述指令序列为有威胁的、无威胁的或不可归类的。
16.如权利要求15的系统,进一步包括连接器逻辑部件,所述连接器逻辑部件与所述代码分析部件和所述专家系统知识库通信,其中所述连接器逻辑部件被配置来使所述代码分析部件和所述专家系统知识库之间能够通信。
17.如权利要求16的系统,其中所述连接器逻辑部件被配置为实现以下内容中的一项或更多项:
转换所述指令序列到所述专家系统知识库可处理的格式;以及
转换从所述专家系统知识库接收的信息到所述代码分析部件可处理的格式。
18.如权利要求14的系统,其中所述专家系统知识库被填入以下内容中的一项或更多项:
C语言集成生产系统规则;
二进制文件结构;
蠕虫界定操作;
特洛伊木马界定操作;以及
病毒界定操作。
19.如权利要求14的系统,其中所述专家系统知识库被配置来通过以下内容中的一项或更多项来归类所述指令序列:
应用一个或更多个规则到所述指令序列来判定所述二进制文件的二进制文件结构是否恰当;
应用一个或更多个蠕虫界定操作来判定所述指令序列是否包括复制所述汇编语言序列中的一个或更多个指令;
应用一个或更多个特洛伊木马界定操作来判定所述指令序列是否包括与一个或更多个特洛伊木马相关的一个或更多个指令;以及
应用一个或更多个病毒界定操作来判定所述指令序列是否包括一个或更多个自我复制指令。
20.如权利要求14的系统,其中所述专家系统知识库被配置为应用优先规则的集合到所述指令序列,其中所述优先规则的集合包括多个优先规则,其中每个优先规则与相对于所述集合中其他优先规则的优先权相关联。
21.如权利要求20的系统,其中所述专家系统知识库进一步被配置为按优先权顺序应用所述优先规则到所述指令序列,直至所述指令序列被归类或每个优先规则都已经被应用。
22.如权利要求20的系统,其中所述专家系统知识库进一步被配置为:通过将优先权给予具有匹配于所述指令序列的更高次数的规则,来排序所述优先规则。
CN2009801429308A 2008-08-29 2009-08-31 用于恶意软件检测的系统和方法 Pending CN102203791A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US9284808P 2008-08-29 2008-08-29
US61/092,848 2008-08-29
US12/550,025 US20100058474A1 (en) 2008-08-29 2009-08-28 System and method for the detection of malware
US12/550,025 2009-08-28
PCT/US2009/055524 WO2010025453A1 (en) 2008-08-29 2009-08-31 System and method for detection of malware

Publications (1)

Publication Number Publication Date
CN102203791A true CN102203791A (zh) 2011-09-28

Family

ID=41721978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009801429308A Pending CN102203791A (zh) 2008-08-29 2009-08-31 用于恶意软件检测的系统和方法

Country Status (12)

Country Link
US (2) US20100058474A1 (zh)
EP (1) EP2340488A4 (zh)
JP (1) JP5562961B2 (zh)
CN (1) CN102203791A (zh)
AU (1) AU2009287433B2 (zh)
BR (1) BRPI0913145A2 (zh)
CA (1) CA2735600C (zh)
MY (1) MY165418A (zh)
RU (1) RU2497189C2 (zh)
SG (1) SG193808A1 (zh)
WO (1) WO2010025453A1 (zh)
ZA (1) ZA201101745B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103065088A (zh) * 2011-09-20 2013-04-24 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法
CN106663003A (zh) * 2014-06-13 2017-05-10 查尔斯斯塔克德拉珀实验室公司 用于软件分析的系统和方法
CN110704068A (zh) * 2019-10-18 2020-01-17 安徽中科国创高可信软件有限公司 基于数据库进行跨文件协同程序分析的处理方法及系统

Families Citing this family (174)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7051322B2 (en) 2002-12-06 2006-05-23 @Stake, Inc. Software analysis framework
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8793787B2 (en) * 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8613080B2 (en) 2007-02-16 2013-12-17 Veracode, Inc. Assessment and analysis of software security flaws in virtual machines
US8732455B2 (en) * 2008-07-25 2014-05-20 Infotect Security Pte Ltd Method and system for securing against leakage of source code
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
EP2610776B1 (en) 2011-09-16 2019-08-21 Veracode, Inc. Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
US8533836B2 (en) * 2012-01-13 2013-09-10 Accessdata Group, Llc Identifying software execution behavior
US9286063B2 (en) 2012-02-22 2016-03-15 Veracode, Inc. Methods and systems for providing feedback and suggested programming methods
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
CN102663281B (zh) * 2012-03-16 2015-03-18 华为数字技术(成都)有限公司 检测恶意软件的方法和装置
CN103065090B (zh) * 2012-12-20 2016-03-23 广东欧珀移动通信有限公司 一种应用程序恶意广告拦截方法及装置
TWI461952B (zh) * 2012-12-26 2014-11-21 Univ Nat Taiwan Science Tech 惡意程式偵測方法與系統
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
RU2531861C1 (ru) * 2013-04-26 2014-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US10360378B2 (en) 2014-08-22 2019-07-23 Nec Corporation Analysis device, analysis method and computer-readable recording medium
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9197665B1 (en) * 2014-10-31 2015-11-24 Cyberpoint International Llc Similarity search and malware prioritization
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
EP3278157B1 (en) * 2015-03-31 2021-11-17 Dow Global Technologies LLC Flooding compounds for telecommunication cables
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9516055B1 (en) * 2015-05-29 2016-12-06 Trend Micro Incorporated Automatic malware signature extraction from runtime information
CN104869170B (zh) * 2015-05-29 2018-11-13 四川效率源信息安全技术股份有限公司 针对uc浏览器加密数据文件的解密方法
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
RU2613535C1 (ru) * 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
AU2018316966B2 (en) * 2017-08-18 2021-10-07 Nippon Telegraph And Telephone Corporation Intrusion prevention device, intrusion prevention method, and program
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
WO2021046811A1 (zh) * 2019-09-12 2021-03-18 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
CN114301725B (zh) * 2021-12-24 2022-11-11 珠海格力电器股份有限公司 设备控制方法、装置、电子设备及存储介质
CN114884686B (zh) * 2022-03-17 2024-03-08 新华三信息安全技术有限公司 一种php威胁识别方法及装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
RU22718U1 (ru) * 2001-12-28 2002-04-20 Кулик Сергей Дмитриевич Устройство для реализации и моделирования компьютерного вируса мутанта
US7392543B2 (en) * 2003-06-30 2008-06-24 Symantec Corporation Signature extraction system and method
RU2248608C1 (ru) * 2003-07-22 2005-03-20 Павлов Владимир Павлович Процессор
US20050086526A1 (en) * 2003-10-17 2005-04-21 Panda Software S.L. (Sociedad Unipersonal) Computer implemented method providing software virus infection information in real time
US8528086B1 (en) * 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
RU2271613C1 (ru) * 2004-09-15 2006-03-10 Военный университет связи Способ защиты вычислительных сетей от несанкционированных воздействий
WO2006036763A2 (en) * 2004-09-22 2006-04-06 Cyberdefender Corporation System for distributing information using a secure peer-to-peer network
US7636856B2 (en) * 2004-12-06 2009-12-22 Microsoft Corporation Proactive computer malware protection through dynamic translation
JP2006201845A (ja) * 2005-01-18 2006-08-03 Hitachi Software Eng Co Ltd ウィルス感染及び機密情報漏洩防止対策コンピュータ
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US20070094734A1 (en) * 2005-09-29 2007-04-26 Mangione-Smith William H Malware mutation detector
US20090271867A1 (en) * 2005-12-30 2009-10-29 Peng Zhang Virtual machine to detect malicious code
WO2007117574A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Non-signature malware detection system and method for mobile platforms
US8261344B2 (en) * 2006-06-30 2012-09-04 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
JP2008129714A (ja) * 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
IL181426A (en) * 2007-02-19 2011-06-30 Deutsche Telekom Ag Automatic removal of signatures for malware

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103065088A (zh) * 2011-09-20 2013-04-24 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法
CN103065088B (zh) * 2011-09-20 2016-03-30 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法
CN106663003A (zh) * 2014-06-13 2017-05-10 查尔斯斯塔克德拉珀实验室公司 用于软件分析的系统和方法
CN110704068A (zh) * 2019-10-18 2020-01-17 安徽中科国创高可信软件有限公司 基于数据库进行跨文件协同程序分析的处理方法及系统
CN110704068B (zh) * 2019-10-18 2023-02-17 安徽中科国创高可信软件有限公司 基于数据库进行跨文件协同程序分析的处理方法及系统

Also Published As

Publication number Publication date
WO2010025453A1 (en) 2010-03-04
EP2340488A4 (en) 2012-07-11
AU2009287433B2 (en) 2014-06-05
CA2735600C (en) 2018-08-21
JP2012501504A (ja) 2012-01-19
JP5562961B2 (ja) 2014-07-30
SG193808A1 (en) 2013-10-30
MY165418A (en) 2018-03-21
RU2497189C2 (ru) 2013-10-27
CA2735600A1 (en) 2010-03-04
US20100058474A1 (en) 2010-03-04
US20160012225A1 (en) 2016-01-14
EP2340488A1 (en) 2011-07-06
RU2011111719A (ru) 2012-10-10
AU2009287433A1 (en) 2010-03-04
ZA201101745B (en) 2012-01-25
BRPI0913145A2 (pt) 2019-09-24

Similar Documents

Publication Publication Date Title
CN102203791A (zh) 用于恶意软件检测的系统和方法
EP3323075B1 (en) Malware detection
Meinicke UProC: tools for ultra-fast protein domain classification
Zhu et al. HGTector: an automated method facilitating genome-wide discovery of putative horizontal gene transfers
CN111971698A (zh) 在神经网络中使用梯度来检测后门
CN112686036B (zh) 风险文本识别方法、装置、计算机设备及存储介质
CN102479298A (zh) 基于机器学习的程序识别方法及装置
CN102567661A (zh) 基于机器学习的程序识别方法及装置
Tran et al. Using 16S rRNA gene as marker to detect unknown bacteria in microbial communities
Kawulok et al. Environmental metagenome classification for constructing a microbiome fingerprint
Bai et al. Identification of bacteriophage genome sequences with representation learning
Yingtaweesittikul et al. CalmBelt: rapid SARS-CoV-2 genome characterization for outbreak tracking
CN109564613A (zh) 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统
Zhou et al. ViWrap: A modular pipeline to identify, bin, classify, and predict viral–host relationships for viruses from metagenomes
CN113609008A (zh) 测试结果分析方法、装置和电子设备
Tong et al. GenePiper, a graphical user interface tool for microbiome sequence data mining
CN111259623A (zh) 一种基于深度学习的pdf文档段落自动提取系统及装置
CN107229609A (zh) 用于分割文本的方法和设备
Maruyama et al. SAG-QC: quality control of single amplified genome information by subtracting non-target sequences based on sequence compositions
Hegarty et al. Benchmarking informatics approaches for virus discovery: caution is needed when combining in silico identification methods
David et al. Revealing general patterns of microbiomes that transcend systems: potential and challenges of deep transfer learning
Zhang et al. Zero-shot-capable identification of phage–host relationships with whole-genome sequence representation by contrastive learning
Dormuth et al. Logical segmentation of source code
CN117668499B (zh) 一种基于机器学习的海洋公益诉讼线索研判方法、系统、设备及介质
US11269626B2 (en) Quality analysis of source code

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1162708

Country of ref document: HK

C05 Deemed withdrawal (patent law before 1993)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20110928