CN102542198A - 预测减轻恶意软件威胁 - Google Patents
预测减轻恶意软件威胁 Download PDFInfo
- Publication number
- CN102542198A CN102542198A CN2011104164952A CN201110416495A CN102542198A CN 102542198 A CN102542198 A CN 102542198A CN 2011104164952 A CN2011104164952 A CN 2011104164952A CN 201110416495 A CN201110416495 A CN 201110416495A CN 102542198 A CN102542198 A CN 102542198A
- Authority
- CN
- China
- Prior art keywords
- user
- malware
- data
- machine
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及预测减轻恶意软件威胁。本发明涉及通过对于对应于恶意软件被激活的可能性的用户风险级别分类,来针对恶意软件进行保护。为了进行分类,收集表示遭遇恶意软件的概率、用户激活该恶意软件的概率以及恶意软件激活对机器的影响的数据。分类映射到保护级别,其可以是动态可调整的,例如基于当前风险状况。保护级别确定了减轻可能的损害的方式,诸如通过将程序作为虚拟化程序运行、运行虚拟化操作系统或使进程沙箱化。
Description
技术领域
本发明涉及针对恶意软件的保护。
背景技术
经由因特网,具有恶意企图的个人和组织开发了损坏计算机系统和/或用于窃取用户个人信息(包括个人用户或诸如公司之类的实体)的软件。这样的恶意的软件经常利用代码漏洞和/或通过欺骗用户采取某种动作来使代码漏洞被安装在用户的计算机系统上。
防范恶意软件的一种方式是经由反恶意软件的软件。当代反恶意软件的软件使用多种机制来捕捉和隔离恶意软件。在大多数情况下,使用签名、行为监视和过滤驱动器保护用户来免于受到否则将损坏计算机的软件的损害。
当前的反恶意软件技术导致了其中恶意软件作者试图比反恶意软件开发者更聪明并且反之亦然的循环。有时恶意软件作者至少一段时间内获胜,因为针对恶意利用(exploit)的保护还没有被发现。也有用户仅仅是没有更新他或她的机器来检测最新的恶意软件的情况,有时是因为用户疏忽或并不了解计算机。
其他时候,用户偏好不运行反恶意软件产品来给他们的机器施加负担,至少不达到其全部能力。更具体地,许多最终用户抱怨任何反恶意软件应用程序都是侵入性的,造成了性能瓶颈,占用了应用程序CPU周期,并且有时锁定了某些文件而不能使用。结果,众所周知的事实是最终用户以将某些进程、文件夹和/或文件类型从实时反恶意软件扫描中排除而告终。
所需要的是保护用户以免于受到恶意软件损害的另一种方式。这包括从安全观点来看有意地不完全顺应的用户,以及天真地点击或以其他方式采取动作来安装受感染的可执行文件而没有意识到其动作的后果的用户。
发明内容
提供本发明内容以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表性概念。本发明内容不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在以限制所要求保护的主题的范围的任何方式来使用。
简言之,此处所描述主题的各方面针对于一种技术,通过该技术来计算表示恶意软件在计算设备上被激活的风险/可能性的分数(例如,概率值)。基于该分数,可以采取保护动作以减轻否则如果恶意软件被激活可能造成的损坏。例如,用户可被分类至对应于该分数的风险类别,高风险用户受到更多的保护,例如,通过使可激活恶意软件的程序(例如,浏览器)作为虚拟化程序来运行,或者作为虚拟化操作系统来运行操作系统。其他时候,为减轻损坏所采取的动作可以是在沙箱中运行进程。保护级别是动态可变的,诸如基于当前威胁状况和/或用户正试图所做的事情。
在一个方面,至少部分基于过往用户行为数据、机器状态数据和/或遭遇恶意软件的可能性来计算分数。例如,恶意软件相关的输入可以基于与用户相关联的文件类型数据(例如,因特网高速缓存中的文件)、与用户相关联的URL数据(例如,诸如具有差声誉的访问的站点)、先前对用户检测的恶意软件和/或与用户相关联的行为数据(例如,点击电子邮件链接和运行因特网程序)。恶意软件相关的输入可以基于机器状态,诸如机器更新数据、补丁数据、机器上的用户特权数据(例如,是否管理员)和/或反恶意软件扫描数据(例如,上次是何时扫描的、有多彻底等)。恶意软件相关的输入还可以指示遭遇恶意软件的可能性,诸如基于从行业源收集的数据、更新数据、由用户提交的诊断数据和/或由用户提交的恶意软件数据。
在一个方面,保护级别是基于当前威胁状况动态可变的。可以在受管理的环境内在网络层减轻风险,诸如通过增加目的主机上的保护、增加审核,和/或对用户和/或机器减少网络访问。
结合附图阅读以下详细描述,本发明的其他优点会变得显而易见。
附图说明
作为示例而非限制,在附图中示出了本发明,附图中相同的附图标记指示相同或相似的元素,附图中:
图1是表示基于各种输入数据对用户进行分类并基于分类为用户确定和应用保护级别的组件的框图/数据流图。
图2是表示提供关于用户/机器遭遇恶意软件的概率的信息的从各种源收集的数据的图。
图3是表示提供关于机器受恶意软件影响的概率的信息的机器状态数据的图。
图4是表示提供关于用户激活恶意软件的概率的信息的用户行为和其他用户相关数据的图。
图5是表示其中可实现在本文中所述的各实施例的示例性、非限制性联网环境的框图。
图6是表示其中可实现在本文中所述的各实施例的一个或多个方面的示例性、非限制性计算系统或操作环境的框图。
具体实施方式
本文所描述技术的各方面一般针对基于用户简档和/或历史行为提供对于恶意软件的变化的保护级别。如将理解的,这样的变化的保护级别允许基于用户倾向对于针对恶意软件进行保护的反恶意软件产品进行动态强度调整,其改进了针对威胁的整体保护,即使从安全观点来看并非完全顺应。
还如将理解的,本文所描述的技术基于各种数据剖析用户习惯和机器漏洞,该数据可包括遥测、商业智能、从系统反常收集的数据以及从人工导致的异常收集的数据。然后可基于数学模型和模式根据简档对每一用户分类,可以从其计算出(在运行时)漏洞分数和保护机制。还描述了对反恶意软件扫描器所使用的试探性签名规定阈值级别的能力,以及基于用户分类和/或机器分类在网络层减轻威胁的能力。
应当理解,此处的任何示例都是非限制性的。对于一个,描述了各种概率模型作为示例,然而可以另选地开发和使用其他这样的模型。如此,本发明不限于此处所描述的任何特定实施例、方面、概念、结构、功能或示例。相反,此处所描述的实施例、方面、概念、结构、功能或示例中的任一个都是非限制性的,并且本发明一般能够以在针对恶意软件的保护方面提供好处和优点的各种方式来使用。
图1示出了预测减轻恶意软件威胁系统的示例组件,其可以运行在用户的计算机上、云服务器中、分布式计算环境中等,或其某种组合中。一般而言,在剖析和分类引擎104处接收恶意软件相关的输入数据102,剖析和分类引擎104基于该数据102为用户计算类并且还提供属性106,如下所述。各种类型的数据对于输入都是可行的,包括关于当前正导致问题的是什么恶意软件的数据、关于用户的机器的状态的数据以及关于用户的数据。以下参考附图2-4描述了输入数据的更具体的示例,并且一般而言这些数据提供可用于确定用户遭遇恶意软件的概率(图2)、用户的机器被恶意软件影响的概率(图3)以及用户激活恶意软件的概率(图4)的信息。
在一个实现中,基于数据102,分类引擎104计算风险级别或预测分数,其指示了用户的计算机相对于其他计算机/用户有多容易受恶意软件感染。如可容易理解的,在计算中可以使用遥测、商业智能和计算随机事件概率的数学模型。
分类可以定期更新,诸如每当用户执行会改变用户分数的某个动作时。此外,即使分数没改变,类属性以及由此关于该分类的保护动作也可以改变。例如,如果一特别糟糕的病毒正在扩散,通常使用户成为低风险用户的分数可以将用户映射至不同的类别,由此可以采取不同的减轻动作(描述如下)直至威胁降低。注意,本文所描述的任何这样的信息和/或组件更新都可推送和/或拉出自诸如云服务的网络连接,使得最新的保护是可用的;诸如引擎104和108的任何组件都可类似地本地或远程驻留,或者部分本地和远程驻留。
基于此分数和其他可用信息,决策引擎108操作以保护用户的计算机。更具体地,在一个实现中,决策引擎108利用风险、类和属性信息并基于用户想要执行的动作决定适当的方式来扩展用户的保护。这可以通过定义为的条件概率来确定,其中事件X的概率随已知事件Y而改变。
图2示出了用于计算用户经由网站、电子邮件或嵌入在文件中而遭遇恶意软件的概率Pε的模型中的信息的示例流。Pε的值是从所收集的各种源的数据确定的,并可以提供信息/统计数据,诸如已知的活动恶意软件网站数量、电子邮件病毒和欺诈,以及易受到嵌入的恶意内容攻击的文件和文件格式。这样的数据的示例源221-226包括行业恶意软件数据、
更新数据、许多用户的诊断(例如,Dr.Watson)数据、用户提交的反病毒数据和SpyNet数据;框226表示可被使用的这样的信息的其他源。注意,各种组织都可以收集这样的数据,他们可以共享该数据。
使用该信息,包括相关联的威胁增长率,系统可计算指示可能暴露于威胁(一般威胁或特定威胁)的分数。在一个实现中,计算机制228(诸如基于已知数据训练以确定每一源的相对权重)可以将分数输出为恶意软件遭遇概率Pε值230。例如,可以以正在进行的方式收集进一步的训练数据并定期用于重新调整权重。
图3提供了用于确定用户的机器漏洞的示例数据流。该模型考虑了属性和关于用户机器的使其更容易或更不容易受恶意利用或感染影响的其他状态数据。机器评估机制330读取各种机器相关的状态数据以获得信息,诸如最近Windows更新(在
机器上)331、机器的补丁级别332、用户是否是管理员333(其可以是表示指示用户可对机器进行多少伤害的特权级别的值)以及关于最近所执行的恶意软件扫描的数据333。该数据的新鲜度也可以是一种因素。框335表示可以使用的其他内部机器源,例如,执行系统还原的最后时间、机器是共享的还是个人机器等。除了该数据,还可以使用其他外部和/或内部信息336,诸如关于与其他类似机器相比用户的特定机器的配置(其可以从诸如Dr.Watson之类的数据库中的遥测数据获得)。
计算机制338(例如,基于已知数据训练以确定每一源331-336的相对权重)计算关于机器漏洞的分数。在一个实现中,分数包括指示用户的机器被认为有多容易受攻击的机器漏洞概率Pv值340。注意从此过程,除了漏洞分数,还可以获得关于机器的某些属性,其可由如上所述的决策引擎108(图1)转发和使用。
图4中例示出了促进整个预测恶意软件保护模型的另一输入集合,即针对用户行为建模的输入。提供对用户的计算/行为模式的洞察的源的示例包括所执行文件的类型(例如,维护在因特网高速缓存中)441、所访问网站的类型(例如,所维护的URL的声誉/类别)442、诸如电子邮件交互(例如,是否点击消息正文中的链接、是否运行下载的可执行文件)之类的用户典型动作等。该数据的新鲜度也可以是一种因素。框444和445表示了其他内部和外部的信息源。示例包括用户先前是如何被分类的,以使用户不会从先前是高风险用户突然变为低风险用户(例如,由于用户做了像清空因特网高速缓存和历史的某些事情)等。其他示例可包括在过去先前为该用户补救(清除、移除、隔离)过什么恶意软件、该用户与有恶意软件问题的其他用户相比如何等。
该用户漏洞模型(例如,对应于经训练的计算机制448)提供反映用户有多大可能将激活恶意软件的分数。在一个实现中,该分数包括概率值Pα(框450)。
转向图1,这些计算的数据点230、340和450(以及可能的其他数据点)关于用户使他或她的机器受恶意软件感染的可能性,提供用于整体风险计算的基础,例如,R=Pv*Pε*Pα*…Pn。注意,这些值可以诸如由机器学习来单独加权,从而每一因素不需要向风险计算给出相等的权重。
应该注意,图1至图4仅描述了风险确定的一个示例,其将可用数据分成恶意软件相关数据、机器相关数据和用户相关数据以用于计算相应概率。具有其他数据划分或完全不划分也是可行的,例如,全部可用数据可作为特征数据输入至经训练的模型,诸如具有学习的特征权重,其提供单个模型(而非将由多个模型计算的概率组合)。
不管如何计算和/或分类,计算机系统可以以各种方式使用风险确定。例如,决策引擎108可以检查用户希望采取的动作,并应用对应于计算的风险的保护量;对于高风险用户,更加注意以防该用户对计算机造成损害和/或以防机密信息受损。用于基于决策引擎108的输出减轻潜在威胁的一些实时策略的示例包括防止损害的已知方式,诸如将程序作为虚拟化程序运行(框110)、运行如果被损害则可回复的虚拟化操作系统(框111)、在沙箱中运行进程(框112)或其他受限制的方式等。另一减轻类型可以是改变程序的(例如,浏览器的)安全设置。取决于分类,一些用户可受到关于待决动作的警告,而其他用户被阻止采取该动作,例如,没有覆盖(override)能力。风险级别可与试探性签名的阈值级别比较,从而在许多实例中可避免在机器上扫描每个传入和传出文件的负担。此外,可基于计算的结果调整反病毒/反恶意软件扫描引擎中的定义规则中的阈值,例如对于较高风险用户可以增大试探性阈值,和/或可使用更多规则来改变阈值从而在非安全环境中更多文件被认为是可疑的并被更彻底地扫描。
作为示例,考虑有时偶然导航至可能是恶意的随机URL的第一用户先前点击了随机弹出框,已感染了恶意软件,并使用没有最新安全补丁的机器。剖析和分类引擎104将该用户评为“高风险”并使用该评级来决定如何提供适当的保护以避免进一步的麻烦。基于高风险确定,当浏览Web时,决策引擎虚拟化web浏览器程序(例如,操作系统组件),由此浏览器助手对象或某个其他利用被包含至程序的虚拟化实例。任何下载的软件都增加可疑级别以使它们更可能被标记为恶意的,需要扫描和/或被发送至web服务以供进一步检查。
考虑有经验的第二计算机用户,该用户通常使用最新的安全补丁和签名来使她的机器保持更新。可确定该用户低于高风险,尽管不一定是低风险,诸如由于有时从不可信站点下载电影或音频。从这样的站点下载的电影可在已被沙箱的媒体播放器实例中启动,以防止任何潜在的恶意内容引起问题。
考虑有经验的(第三)计算机用户,该用户的个人计算机是完全更新的并以这样的方式被保护:剖析和分类引擎104提供允许自由浏览、下载和执行文件的“低风险”评级。如果该用户从已遭黑客攻击的朋友处接收电子邮件,例如,该电子邮件具有附件,该附件是包含新的JPG利用变型的JPG文件,从而该文件可被下载而没有检测签名。然而,尽管这将感染该机器,但遥测被发送至数据仓库使得相同反恶意软件的软件的其他用户可以被保护,直至产生完全分析和签名。
作为第四示例,考虑在其受IT管理的台式机上从供应商接收电子邮件的用户。该用户被评为“低风险”,因为除工作外他不使用他的计算机做任何事情,而且该计算机是受管的台式机。如果他从他认为可信但实际上其电子邮件已被欺诈的发送者接收包含病毒的文档,则存在潜在问题,因为他的评级允许该文档被打开。然而,因为该文件来自欺诈电子邮件地址,可疑级别被提升,由此该文档被扫描,并且通过其签名识别出病毒。不仅该威胁被检测到,而且从此事件学习的数据可用于下次在更高层捕捉该威胁。
本文所描述的打分方法也可以用于在受管环境内在网络层减轻风险,其中网络管理系统可跨企业系统监视用户和/或机器的活动。如果机器试图感染其他机器、试图攻击企业网络和/或展示某些不规则行为,则可怀疑该机器为受损害的。,如果用户试图发送感染的电子邮件、试图访问受限资源或试图向网络外发送敏感数据,则可怀疑该用户是受损害的。在这样的情形下,将有更高的概率发现导致更高风险分数的恶意软件。结果,网络管理系统可使用该输入来进一步减轻威胁,例如,通过增加目的主机上的保护、增加审核,或对用户和/或机器减少网络访问。
利用本文描述的技术的反恶意软件产品由此为用户添加了深度防御策略,并减少了恶意软件的扩散。这可以帮助减少创作恶意软件的尝试,由于经由遥测反馈,对恶意软件的标识和减轻可快速实现,使其较不成功。
如可看到的,提供了使用各种信息来提供能够通过采用各种机制动态和预测性地减轻风险来保护用户的软件的技术。该技术使用关于已知威胁的行业数据以及关于用户机器的数据、类似机器的知识和关于用户的信息来理解存在于因特网上的风险。该模型基于此信息对用户进行分类并为用户分配属性,这进而允许作出保护用户的预测动作的决定。这可以针对没有传统恶意软件保护或者以某种方式受限的用户,以及针对具有完全的传统恶意软件保护的用户,使用附加的安全层次由此改进整体的用户保护。
示例性联网和分布式环境
本领域普通技术人员可以理解,此处所描述的各实施例和方法可以结合任何计算机或其它客户机或服务器设备来实现,该任何计算机或其它客户机或服务器设备可作为计算机网络的一部分或者是在分布式计算环境中,并且可以连接到任何种类的数据存储。在这点上,此处所述的各实施例可在具有任意数量的存储器或存储单元以及出现在任意数量的存储单元上的任意数量的应用程序和进程的任何计算机系统和环境中实现。这包括但不限于具有部署在具有远程或本地存储的网络环境或分布式计算环境中的服务器计算机和客户计算机的环境。
分布式计算通过计算设备和系统之间的通信交换来提供计算机资源和服务的共享。这些资源和服务包括信息的交换、对于诸如文件之类的对象的高速缓存存储和盘存储。这些资源和服务还包括多个处理单元之间的处理能力共享以便进行负载平衡、资源扩展、处理专门化等等。分布式计算利用网络连接,从而允许客户机利用其集体力量来使整个企业受益。就此,各种设备可具有可如参考本发明的各实施例描述地参与资源管理机制的应用程序、对象或资源。
图5提供了示例性的联网或分布式计算环境的示意图。该分布式计算环境包括计算对象510、512等以及计算对象或设备520、522、524、526、528等,这些计算对象或设备可包括如由示例应用程序530、532、534、536、538表示的程序、方法、数据存储、可编程逻辑等。可以理解,计算对象510、512等以及计算对象或设备520、522、524、526、528等可包括不同的设备,诸如个人数字助理(PDA)、音频/视频设备、移动电话、MP3播放器、个人计算机、膝上型计算机等。
每个计算对象510、512等以及计算对象或设备520、522、524、526、528等可经由通信网络540直接或间接地与一个或多个其他计算对象510、512等以及计算对象或设备520、522、524、526、528等通信。尽管在图5中被示为单个元件,但通信网络540可包括向图5的系统提供服务的其他计算对象或计算设备和/或可表示未示出的多个互连网络。每个计算对象510、512等或计算对象或设备520、522、524、526、528等还可以包含应用程序,诸如可以利用API或其他对象、软件、固件和/或硬件的、适于根据本发明的各实施例所提供的应用程序实现与其进行通信的应用程序530、532、534、536、538。
存在支持分布式计算环境的各种系统、组件和网络配置。例如,计算系统可由有线或无线系统、本地网络或广泛分布的网络连接在一起。当前,许多网络被耦合至因特网,后者为广泛分布的计算提供了基础结构并包含许多不同的网络,但任何网络基础结构都可用于便于与如各实施例中所描述的系统的示例性通信。
由此,可使用诸如客户机/服务器、对等、或混合体系结构之类的网络拓扑结构和网络基础结构的主机。“客户机”是使用与其无关的另一类或组的服务的一类或组中的成员。客户机可以是进程,例如,大致上是请求另一程序或进程所提供的服务的一组指令或任务。客户机进程使用所请求的服务,而无需“知道”关于其他程序或服务本身的任何工作细节。
在客户机/服务器体系结构中,尤其在联网系统中,客户机通常是访问另一计算机(例如,服务器)所提供的共享网络资源的计算机。在图5的图示中,作为非限制性示例,计算对象或设备520、522、524、526、528等可被认为是客户机而计算对象510、512等可被认为是服务器,其中计算对象510、512等作为提供数据服务的服务器,诸如从客户机计算对象或设备520、522、524、526、528等接收数据、存储数据、处理数据、向客户机计算对象或设备520、522、524、526、528等发送数据,但任何计算机都可取决于环境而被认为是客户机、服务器、或两者。
服务器通常是可通过诸如因特网或无线网络基础架构之类的远程网络或本地网络访问的远程计算机系统。客户机进程可在第一计算机系统中活动,而服务器进程可在第二计算机系统中活动,它们通过通信介质相互通信,由此提供分布式功能并允许多个客户机利用服务器的信息收集能力。
在通信网络540或总线是因特网的网络环境中,例如,计算对象510、512等可以是其他计算对象或设备520、522、524、526、528等经由诸如超文本传输协议(HTTP)之类的多种已知协议中的任一种与其通信的Web服务器。计算对象510、512等作为服务器还可用作例如计算对象或设备520、522、524、526、528的客户机,这可以是如分布式计算环境的特性。
示例性计算设备
如上所述,有利地,本文所描述的技术可应用于任何设备。因此,应当理解,构想了结合各实施例使用的所有种类的手持式、便携式和其它计算设备和计算对象。因此,以下在图6中所述的通用远程计算机只是计算设备的一个示例。
尽管并非所需,但各实施例可部分地经由操作系统来实现,以供设备或对象的服务开发者使用和/或被包括在用于执行此处所述的各实施例的一个或多个功能方面的应用软件内。软件可以在由诸如客户机工作站、服务器或其它设备等一个或多个计算机执行的诸如程序模块等计算机可执行指令的通用上下文中描述。本领域的技术人员可以理解,计算机系统具有可用于传递数据的各种配置和协议,并且由此没有特定配置或协议应当被认为是限制性的。
图6由此示出了其中可实现本文所述的各实施例的一个或多个方面的合适的计算系统环境600的一个示例,尽管如上所述,计算系统环境600仅为合适的计算环境的一个示例,并非对使用范围或功能提出任何限制。此外,也不应当将计算系统环境600解释为对在示例性计算系统环境600中所示的组件中的任何一个或其组合有任何依赖。
参考图6,用于实现一个或多个实施例的示例性远程设备包括计算机610形式的通用计算设备。计算机610的组件可以包括,但不仅限于,处理单元620、系统存储器630,以及将包括系统存储器的各种系统组件耦合到处理单元620的系统总线622。
计算机610通常包括各种计算机可读介质,并且可以是可由计算机610访问的任何可用介质。系统存储器630可包括诸如只读存储器(ROM)和/或随机存取存储器(RAM)之类的易失性和/或非易失性存储器形式的计算机存储介质。作为示例而非限制,系统存储器630还可包括操作系统、应用程序、其他程序模块、以及程序数据。
用户可通过输入设备640向计算机610输入命令和信息。监视器或其他类型的显示设备也经由诸如输出接口650之类的接口连接到系统总线622。除监视器以外,计算机还可包括诸如扬声器和打印机之类的其他外围输出设备,它们可通过输出接口650连接。
计算机610可使用到一个或多个其他远程计算机(诸如远程计算机670)的逻辑连接在联网或分布式环境中操作。远程计算机670可以是个人计算机、服务器、路由器、网络PC、对等设备或其他常见网络节点、或者任何其他远程媒体消费或传输设备,并且可包括以上关于计算机610所述的任何或全部元件。图6所示的逻辑连接包括诸如局域网(LAN)或广域网(WAN)之类的网络672,但也可包括其他网络/总线。这些联网环境在家庭、办公室、企业范围的计算机网络、内联网和因特网中是常见的。
如上所述,尽管结合各种计算设备和网络体系结构描述了各示例性实施例,但基本概念可被应用于其中期望改进资源使用的效率的任何网络系统和任何计算设备或系统。
而且,存在实现相同或相似功能的多种方法,例如适当的API、工具箱、驱动程序代码、操作系统、控件、独立或可下载软件对象等,它们使得应用和服务能够使用此处提供的技术。由此,此处的各实施例从API(或其他软件对象)的观点以及从实现如此处描述的一个或多个实施例的软件或硬件对象构想。由此,此处所述的各实施例可具有完全采用硬件、部分采用硬件并且部分采用软件、以及采用软件的方面。
本文中所使用的词语“示例性”意味着用作示例、实例、或说明。为避免疑惑,本文所公开的主题不限于这些示例。另外,本文中作为“示例性”所述的任何方面或设计不一定被解释为比其他方面或设计更优选或有利,它也不意味着排除本领域普通技术人员已知的等效示例性结构和技术。此外,在使用术语“包括”、“具有”、“包含”和其他类似词语的程度上,为避免疑惑,这些术语旨在以类似于术语“包括”作为开放的过渡词的方式是包含性的而在用于权利要求时不排除任何附加或其他元素。
如所述的,此处所述的各种技术可结合硬件或软件,或在适当时以两者的组合来实现。如此处所使用的,术语“组件”、“模块”、“系统”等同样旨在指计算机相关实体,或者是硬件、硬件和软件的组合、软件或者是执行中的软件。例如,组件可以是,但不限于,在处理器上运行的进程、处理器、对象、可执行码、执行的线程、程序和/或计算机。作为说明,在计算机上运行的应用程序和计算机都可以是组件。一个或多个组件可驻留在进程和/或执行的线程内,并且组件可位于一个计算机上和/或分布在两个或更多的计算机之间。
如前所述的系统已经参考若干组件之间的交互来描述。可以理解,这些系统和组件可包括组件或指定的子组件、某些指定的组件或子组件和/或附加的组件,并且根据上述内容的各种置换和组合。子组件还可作为通信地耦合到其他组件的组件来实现,而不是被包括在父组件内(层次性)。另外,应注意到一个或多个组件可被组合成提供聚集功能的单个组件,或被分成若干单独的子组件,且诸如管理层等任何一个或多个中间层可被设置成通信耦合到这样的子组件以便提供集成功能。此处所述的任何组件也可与一个或多个此处未专门描述的但本领域技术人员一般已知的其他组件进行交互。
鉴于本文所述的示例性系统,可根据参考各附图的流程图还可理解根据所述的主题来实现方法。尽管为了说明简洁起见,作为一系列框示出和描述的方法,但是应当理解,各实施例不仅仅限于框的次序,因为一些框可以与此处所描绘和描述的框不同的次序发生和/或与其他框并发地发生。尽管经由流程图示出了非顺序或分支的流程,但可以理解,可实现达到相同或类似结果的各种其他分支、流程路径和框的次序。此外,某些示出的框在实现下文所述的方法中是可选的。
结论
尽管本发明易于作出各种修改和替换构造,但其某些说明性实施例在附图中示出并在上面被详细地描述。然而应当了解,这不旨在将本发明限于所公开的具体形式,而是相反地,旨在覆盖落入本发明的精神和范围之内的所有修改、替换构造和等效方案。
除此处所述的各实施例以外,应当理解,可使用其他类似实施例,或者可对所述实施例作出修改和添加以便执行对应实施例的相同或等效功能而不背离这些实施例。此外,多个处理芯片或多个设备可共享此处所述的一个或多个功能的性能,并且类似地,存储可跨多个设备实现。因此,本发明不应限于任何单个实施例,而是应当根据所附权利要求书的广度、精神和范围来解释。
Claims (10)
1.一种在计算环境中、至少部分地在至少一个处理器上执行的方法,包括:
计算指示恶意软件在计算设备上被激活的可能性的分数(230);以及
基于所述分数,采取保护动作(110-112)以减轻否则如果所述恶意软件被激活能够造成的损害。
2.如权利要求1所述的方法,其特征在于,计算所述分数包括:至少部分基于过往用户行为数据确定一概率值,至少部分基于机器状态数据确定一概率值,或者至少部分基于遭遇恶意软件的可能性确定一概率值,或者至少部分基于过往用户行为数据确定一概率值、至少部分基于机器状态数据确定一概率值或至少部分基于遭遇恶意软件的可能性确定一概率值的任何组合。
3.如权利要求1所述的方法,其特征在于,计算所述分数包括:确定分类并将所述分类映射至对应于可能的保护动作的保护级别,其中所述保护级别是基于当前威胁状况动态可变的。
4.如权利要求1所述的方法,其特征在于,采取动作以减轻损害包括:调整一个或多个试探性阈值,调整对于所述一个或多个试探性阈值评估的风险级别,将程序作为虚拟化程序运行,将操作系统作为虚拟化操作系统运行或在沙箱中运行进程,或者调整对于所述一个或多个试探性阈值评估的风险级别、将程序作为虚拟化程序运行、将操作系统作为虚拟化操作系统运行或在沙箱中运行进程的任何组合。
5.如权利要求1所述的方法,其特征在于,采取动作减轻损害包括:在受管环境内在网络层减轻风险,包括增加目的主机上的保护,增加审核或减少所述用户或机器或用户和机器两者对网络访问,或者增加目的主机上的保护、增加审核或减少所述用户或机器或用户和机器两者对网络访问的任何组合。
6.一种在计算环境中的系统,包括:
分类引擎(104),被配置为接收对应于多个数据源(221-226)的恶意软件相关输入(102),并确定对应于用户在计算设备上激活恶意软件的风险的分类(106);以及
决策引擎(108),被配置为参考可用的保护动作评估所述分类,确定所述用户是否需要保护动作,并且如果需要则对于激活恶意软件采取动作保护所述用户。
7.如权利要求6所述的系统,其特征在于,所述恶意软件相关的输入基于与用户相关联的文件类型数据;与用户相关联的URL数据;先前为用户检测的恶意软件;与用户相关联的行为数据;与机器相关联的更新数据;与机器相关联的补丁数据;与机器相关联的用户特权数据;与机器相关联的反恶意软件扫描数据;基于从行业源、更新数据、诊断数据或用户提交的恶意软件数据收集的数据的遭遇恶意软件的可能性;或者基于与用户相关联的文件类型数据,与用户相关联的URL数据,先前为用户检测的恶意软件,与用户相关联的行为数据,与机器相关联的更新数据,与机器相关联的补丁数据,与机器相关联的用户特权数据,与机器相关联的反恶意软件扫描数据,基于从行业源、更新数据、诊断数据或用户提交的恶意软件数据收集的数据的遭遇恶意软件的可能性的任何组合。
8.如权利要求6所述的系统,其特征在于,所述决策引擎被配置为采取动作以保护所述用户,包括通过将程序作为虚拟化程序运行,将操作系统作为虚拟化操作系统运行,在沙箱中运行进程或基于所述分类确定是否对签名扫描,或者将程序作为虚拟化程序运行、将操作系统作为虚拟化操作系统运行、在沙箱中运行进行或基于所述分类确定是否对签名扫描的任何组合。
9.一个或多个具有计算机可执行指令的计算机可读介质,所述计算机可执行指令在被执行时执行以下步骤,包括:
提供对应于遭遇恶意软件的概率(230)、用户激活恶意软件的概率(450)以及如果恶意软件被激活则机器被其感染的概率(340)的数据;以及
对于激活恶意软件,使用所述数据为用户或机器或用户和机器两者确定保护级别(110-112)。
10.如权利要求9所述的一个或多个计算机可读介质,其特征在于,使用所述数据确定保护级别包括:将所述用户分类至一类中并基于所述类和当前威胁数据将所述用户映射至动态保护级别。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/959,949 US9015843B2 (en) | 2010-12-03 | 2010-12-03 | Predictive malware threat mitigation |
| US12/959,949 | 2010-12-03 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102542198A true CN102542198A (zh) | 2012-07-04 |
| CN102542198B CN102542198B (zh) | 2015-05-20 |
Family
ID=46163558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110416495.2A Active CN102542198B (zh) | 2010-12-03 | 2011-12-05 | 预测减轻恶意软件威胁 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9015843B2 (zh) |
| CN (1) | CN102542198B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103886384A (zh) * | 2012-12-20 | 2014-06-25 | 伊姆西公司 | 用于数据保护的方法和系统 |
| CN104254845A (zh) * | 2012-07-24 | 2014-12-31 | 惠普发展公司,有限责任合伙企业 | 通过访问网络站点接收更新模块 |
| CN106357689A (zh) * | 2016-11-07 | 2017-01-25 | 北京奇虎科技有限公司 | 威胁数据的处理方法及系统 |
| CN106656941A (zh) * | 2015-11-03 | 2017-05-10 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN106790211A (zh) * | 2017-01-06 | 2017-05-31 | 浙江中都信息技术有限公司 | 一种预测恶意软件感染的统计预测系统和方法 |
| CN107729748A (zh) * | 2017-09-20 | 2018-02-23 | 杭州安恒信息技术有限公司 | 一种描述文件在沙箱中运行轨迹图的方法 |
| CN107787574A (zh) * | 2015-04-24 | 2018-03-09 | 诺基亚通信公司 | 移动通信网络中的恶意软件的减轻 |
| CN107810504A (zh) * | 2015-06-15 | 2018-03-16 | 赛门铁克公司 | 基于用户行为确定恶意下载风险的系统和方法 |
| CN109726557A (zh) * | 2018-12-14 | 2019-05-07 | 麒麟合盛网络技术股份有限公司 | 一种病毒预防方法及装置 |
| CN111382434A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 用于检测恶意文件的系统和方法 |
| CN113312626A (zh) * | 2020-02-26 | 2021-08-27 | 卡巴斯基实验室股份制公司 | 评估软件对工业自动化和控制系统的影响的系统和方法 |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| US20120330959A1 (en) * | 2011-06-27 | 2012-12-27 | Raytheon Company | Method and Apparatus for Assessing a Person's Security Risk |
| US8875223B1 (en) | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| US9141805B2 (en) * | 2011-09-16 | 2015-09-22 | Rapid7 LLC | Methods and systems for improved risk scoring of vulnerabilities |
| US9215245B1 (en) * | 2011-11-10 | 2015-12-15 | Google Inc. | Exploration system and method for analyzing behavior of binary executable programs |
| US20130340086A1 (en) * | 2012-06-13 | 2013-12-19 | Nokia Corporation | Method and apparatus for providing contextual data privacy |
| US9330256B2 (en) * | 2013-02-01 | 2016-05-03 | Qualcomm Incorporated | Location based process-monitoring |
| US9104519B1 (en) * | 2013-06-17 | 2015-08-11 | Symantec Corporation | Provisioning partner aware apps on sandboxed operating systems |
| US9661023B1 (en) * | 2013-07-12 | 2017-05-23 | Symantec Corporation | Systems and methods for automatic endpoint protection and policy management |
| US10284570B2 (en) * | 2013-07-24 | 2019-05-07 | Wells Fargo Bank, National Association | System and method to detect threats to computer based devices and systems |
| US10084817B2 (en) * | 2013-09-11 | 2018-09-25 | NSS Labs, Inc. | Malware and exploit campaign detection system and method |
| CN103561035A (zh) * | 2013-11-11 | 2014-02-05 | 中国联合网络通信集团有限公司 | 一种移动用户安全防护方法和系统 |
| RU2645265C2 (ru) * | 2013-12-05 | 2018-02-19 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ блокировки элементов интерфейса приложения |
| US10146934B2 (en) * | 2014-03-14 | 2018-12-04 | International Business Machines Corporation | Security information sharing between applications |
| CN105204825B (zh) | 2014-06-05 | 2020-07-14 | 腾讯科技(深圳)有限公司 | 终端系统安全监控的方法和装置 |
| US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
| US9118714B1 (en) * | 2014-07-23 | 2015-08-25 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a cyber threat visualization and editing user interface |
| US10341375B2 (en) * | 2014-12-05 | 2019-07-02 | At&T Intellectual Property I, L.P. | Resolving customer communication security vulnerabilities |
| US9679140B2 (en) * | 2014-12-27 | 2017-06-13 | Mcafee, Inc. | Outbreak pathology inference |
| US9787719B2 (en) | 2015-02-26 | 2017-10-10 | Symantec Corporation | Trusted third party broker for collection and private sharing of successful computer security practices |
| US9794290B2 (en) * | 2015-02-26 | 2017-10-17 | Symantec Corporation | Quantitative security improvement system based on crowdsourcing |
| US9749353B1 (en) | 2015-03-16 | 2017-08-29 | Wells Fargo Bank, N.A. | Predictive modeling for anti-malware solutions |
| US9794265B1 (en) | 2015-03-16 | 2017-10-17 | Wells Fargo Bank, N.A. | Authentication and authorization without the use of supplicants |
| US10007784B2 (en) * | 2015-03-27 | 2018-06-26 | Intel Corporation | Technologies for control flow exploit mitigation using processor trace |
| US9390268B1 (en) * | 2015-08-04 | 2016-07-12 | Iboss, Inc. | Software program identification based on program behavior |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10148678B2 (en) * | 2015-10-01 | 2018-12-04 | The Boeing Company | Cybersecurity system with differentiated capacity to deal with complex cyber attacks |
| US9838405B1 (en) * | 2015-11-20 | 2017-12-05 | Symantec Corporation | Systems and methods for determining types of malware infections on computing devices |
| US9836603B2 (en) | 2015-12-30 | 2017-12-05 | Symantec Corporation | Systems and methods for automated generation of generic signatures used to detect polymorphic malware |
| US11356484B2 (en) | 2016-02-12 | 2022-06-07 | Micro Focus Llc | Strength of associations among data records in a security information sharing platform |
| US10116680B1 (en) * | 2016-06-21 | 2018-10-30 | Symantec Corporation | Systems and methods for evaluating infection risks based on profiled user behaviors |
| CN107644340A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 风险识别方法、客户端设备及风险识别系统 |
| US10733301B2 (en) * | 2016-08-24 | 2020-08-04 | Microsoft Technology Licensing, Llc | Computing device protection based on device attributes and device risk factor |
| US10277625B1 (en) * | 2016-09-28 | 2019-04-30 | Symantec Corporation | Systems and methods for securing computing systems on private networks |
| US10277624B1 (en) * | 2016-09-28 | 2019-04-30 | Symantec Corporation | Systems and methods for reducing infection risk of computing systems |
| JP6666475B2 (ja) * | 2017-01-11 | 2020-03-13 | 日本電信電話株式会社 | 解析装置、解析方法及び解析プログラム |
| US10205735B2 (en) | 2017-01-30 | 2019-02-12 | Splunk Inc. | Graph-based network security threat detection across time and entities |
| US9978067B1 (en) * | 2017-07-17 | 2018-05-22 | Sift Science, Inc. | System and methods for dynamic digital threat mitigation |
| US11431748B2 (en) | 2017-12-20 | 2022-08-30 | Mounir Talal NSOULI | Predictive crowdsourcing-based endpoint protection system |
| US11063967B2 (en) | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
| US11671435B2 (en) * | 2020-01-02 | 2023-06-06 | Code42 Software, Inc. | Process for automated investigation of flagged users based upon previously collected data and automated observation on a go-forward basis |
| US11082446B1 (en) * | 2021-01-27 | 2021-08-03 | Malwarebytes Inc. | Malware infection prediction and prevention |
| US11714893B2 (en) * | 2021-04-06 | 2023-08-01 | EMC IP Holding Company LLC | Escalated authentication system to perform an integrity-check based on behavior patterns |
| US12047405B2 (en) * | 2021-10-12 | 2024-07-23 | International Business Machines Corporation | Dynamically throttling snapshot capture rates |
| US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040250115A1 (en) * | 2003-04-21 | 2004-12-09 | Trend Micro Incorporated. | Self-contained mechanism for deploying and controlling data security services via a web browser platform |
| WO2007100915A2 (en) * | 2006-02-28 | 2007-09-07 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based on anomaly detection |
| US7356736B2 (en) * | 2001-09-25 | 2008-04-08 | Norman Asa | Simulated computer system for monitoring of software performance |
| CN101443736A (zh) * | 2004-11-05 | 2009-05-27 | 安全计算公司 | 消息评估系统及方法 |
| US20100125912A1 (en) * | 2008-11-19 | 2010-05-20 | Microsoft Corporation | Estimating and visualizing security risk in information technology systems |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7424489B1 (en) | 2004-01-23 | 2008-09-09 | At&T Corp. | Methods and apparatus for space efficient adaptive detection of multidimensional hierarchical heavy hitters |
| US8079080B2 (en) | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
| US8667583B2 (en) | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US8266698B1 (en) * | 2009-03-09 | 2012-09-11 | Symantec Corporation | Using machine infection characteristics for behavior-based detection of malware |
| WO2010123586A2 (en) * | 2009-04-24 | 2010-10-28 | Allgress, Inc. | Enterprise information security management software for prediction modeling with interactive graphs |
| US8468606B2 (en) * | 2009-12-08 | 2013-06-18 | Verizon Patent And Licensing Inc. | Security handling based on risk management |
-
2010
- 2010-12-03 US US12/959,949 patent/US9015843B2/en active Active
-
2011
- 2011-12-05 CN CN201110416495.2A patent/CN102542198B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7356736B2 (en) * | 2001-09-25 | 2008-04-08 | Norman Asa | Simulated computer system for monitoring of software performance |
| US20040250115A1 (en) * | 2003-04-21 | 2004-12-09 | Trend Micro Incorporated. | Self-contained mechanism for deploying and controlling data security services via a web browser platform |
| CN101443736A (zh) * | 2004-11-05 | 2009-05-27 | 安全计算公司 | 消息评估系统及方法 |
| WO2007100915A2 (en) * | 2006-02-28 | 2007-09-07 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based on anomaly detection |
| US20090193293A1 (en) * | 2006-02-28 | 2009-07-30 | Stolfo Salvatore J | Systems, Methods, and Media for Outputting Data Based Upon Anomaly Detection |
| US20100125912A1 (en) * | 2008-11-19 | 2010-05-20 | Microsoft Corporation | Estimating and visualizing security risk in information technology systems |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104254845A (zh) * | 2012-07-24 | 2014-12-31 | 惠普发展公司,有限责任合伙企业 | 通过访问网络站点接收更新模块 |
| US9405613B2 (en) | 2012-07-24 | 2016-08-02 | Hewlett-Packard Development Company, L.P. | Receiving an update module by accessing a network site |
| TWI556097B (zh) * | 2012-07-24 | 2016-11-01 | 惠普發展公司有限責任合夥企業 | 藉由存取一網路位置接收更新模組之技術 |
| US9864651B2 (en) | 2012-07-24 | 2018-01-09 | Hewlett-Packard Development Company, L.P. | Receiving an update code prior to completion of a boot procedure |
| CN103886384A (zh) * | 2012-12-20 | 2014-06-25 | 伊姆西公司 | 用于数据保护的方法和系统 |
| CN103886384B (zh) * | 2012-12-20 | 2018-10-19 | 伊姆西公司 | 用于数据保护的方法和系统 |
| CN107787574A (zh) * | 2015-04-24 | 2018-03-09 | 诺基亚通信公司 | 移动通信网络中的恶意软件的减轻 |
| CN107810504B (zh) * | 2015-06-15 | 2021-08-13 | 诺顿卫复客公司 | 基于用户行为确定恶意下载风险的系统和方法 |
| CN107810504A (zh) * | 2015-06-15 | 2018-03-16 | 赛门铁克公司 | 基于用户行为确定恶意下载风险的系统和方法 |
| CN106656941A (zh) * | 2015-11-03 | 2017-05-10 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN106656941B (zh) * | 2015-11-03 | 2020-02-07 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN106357689B (zh) * | 2016-11-07 | 2019-07-09 | 北京奇虎科技有限公司 | 威胁数据的处理方法及系统 |
| CN106357689A (zh) * | 2016-11-07 | 2017-01-25 | 北京奇虎科技有限公司 | 威胁数据的处理方法及系统 |
| CN106790211B (zh) * | 2017-01-06 | 2018-06-01 | 浙江中都信息技术有限公司 | 一种预测恶意软件感染的统计预测系统和方法 |
| CN106790211A (zh) * | 2017-01-06 | 2017-05-31 | 浙江中都信息技术有限公司 | 一种预测恶意软件感染的统计预测系统和方法 |
| CN107729748A (zh) * | 2017-09-20 | 2018-02-23 | 杭州安恒信息技术有限公司 | 一种描述文件在沙箱中运行轨迹图的方法 |
| CN107729748B (zh) * | 2017-09-20 | 2019-11-08 | 杭州安恒信息技术股份有限公司 | 一种描述文件在沙箱中运行轨迹图的方法 |
| CN109726557A (zh) * | 2018-12-14 | 2019-05-07 | 麒麟合盛网络技术股份有限公司 | 一种病毒预防方法及装置 |
| CN109726557B (zh) * | 2018-12-14 | 2021-02-26 | 麒麟合盛网络技术股份有限公司 | 一种病毒预防方法及装置 |
| CN111382434A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 用于检测恶意文件的系统和方法 |
| CN111382434B (zh) * | 2018-12-28 | 2023-08-01 | 卡巴斯基实验室股份制公司 | 用于检测恶意文件的系统和方法 |
| CN113312626A (zh) * | 2020-02-26 | 2021-08-27 | 卡巴斯基实验室股份制公司 | 评估软件对工业自动化和控制系统的影响的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120144492A1 (en) | 2012-06-07 |
| CN102542198B (zh) | 2015-05-20 |
| US9015843B2 (en) | 2015-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102542198B (zh) | 预测减轻恶意软件威胁 | |
| Shaukat et al. | A survey on machine learning techniques for cyber security in the last decade | |
| Yadav et al. | Malware analysis in IoT & android systems with defensive mechanism | |
| US10412111B2 (en) | System and method for determining network security threats | |
| Sarker et al. | Cybersecurity data science: an overview from machine learning perspective | |
| Sun et al. | Data-driven cybersecurity incident prediction: A survey | |
| Islam et al. | A multi-vocal review of security orchestration | |
| US10762206B2 (en) | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
| Kumar et al. | A robust intelligent zero-day cyber-attack detection technique | |
| CN103180862B (zh) | 用于服务器耦合的恶意软件防止的系统和方法 | |
| Tahboub et al. | Data leakage/loss prevention systems (DLP) | |
| EP2529321B1 (en) | Url filtering based on user browser history | |
| US8595282B2 (en) | Simplified communication of a reputation score for an entity | |
| US9245124B2 (en) | Application selection using current detection intelligence | |
| Nissim et al. | ALDROID: efficient update of Android anti-virus software using designated active learning methods | |
| Nguyen Duc et al. | Identifying security risks of digital transformation-an engineering perspective | |
| CN105324778A (zh) | 用于端点安全与网络安全服务之间的协调的框架 | |
| Al-Hawawreh et al. | Securing the Industrial Internet of Things against ransomware attacks: A comprehensive analysis of the emerging threat landscape and detection mechanisms | |
| Bhardwaj et al. | ISF: Security analysis and assessment of smart home IoT-based firmware | |
| Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
| Thakral et al. | Cybersecurity and ethics for IoT system: A massive analysis | |
| Patel et al. | Internet of Behavior in cybersecurity: opportunities and challenges | |
| Sinha et al. | Development of lightweight intrusion model in Industrial Internet of Things using deep learning technique | |
| Gupta et al. | Developing a blockchain-based and distributed database-oriented multi-malware detection engine | |
| Singhal | Analysis and Categorization of Drive-By Download Malware Using Sandboxing and Yara Ruleset |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150717 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150717 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |