CN102822839A - 经由信誉系统的恶意软件检测 - Google Patents
经由信誉系统的恶意软件检测 Download PDFInfo
- Publication number
- CN102822839A CN102822839A CN2010800648211A CN201080064821A CN102822839A CN 102822839 A CN102822839 A CN 102822839A CN 2010800648211 A CN2010800648211 A CN 2010800648211A CN 201080064821 A CN201080064821 A CN 201080064821A CN 102822839 A CN102822839 A CN 102822839A
- Authority
- CN
- China
- Prior art keywords
- document
- file
- malice
- optimum
- confirm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种经由信誉系统的恶意软件检测的计算机网络设备和方法。计算机网络设备接收数字文件并从该文件中提取多个高级别特征。使用分类器评估该多个高级别特征以确定该文件是良性的还是恶意的。如果该文件被确定是良性的,则该文件被转发到请求计算机,以及如果该文件被确定是恶意的,则该文件被阻止。
Description
相关申请
本专利申请要求于2010年1月26日申请的名称为“MALWAREDETECTION VIA REPUTATION SYSTEM”的美国专利申请号12/693,765的优先权,该美国专利申请要求于2009年12月31日申请的名称为“MALWARE DETECTION VTA REPUTATIONSYSTEM”的美国临时专利申请号61/291,568的优先权,其全部内容通过引用合并于此。
技术领域
本发明一般涉及在计算机化系统中的恶意程序代码的检测,更具体地涉及经由信誉系统的恶意软件检测。
有限的版权放弃
本专利文件公开的一部分包括声明了版权保护的材料。由于该专利文件或专利公开出现在了美国专利商标局的文件或记录中,因此版权拥有者不会对任何人对该专利文件或专利公开的传真复制提出异议,但保留所有其他任意的权力。
背景技术
计算机是有价值的工具在很大程度上是由于其和其他计算机系统之间通信以及通过计算机网络获取信息的能力。网络典型地包括互联的计算机组,它们通过有线、光纤、无线电或其他数据传输手段连接,来为计算机提供从计算机到计算机传输信息的能力。因特网可能是最知名的计算机网络,使得数百万的人能够访问数百万的其他计算机,例如通过查看网页,发送电子邮件,或通过执行其他计算机到计算机的通信。
但是,由于因特网的规模如此之大以及因特网用户的兴趣如此多种多样,因此恶意的用户或罪犯试图以对其他用户造成危险的方式与其他用户的计算机通信不是罕见的。例如,黑客可能试图登录到公司的计算机来偷窃、删除或改变信息。计算机病毒或特洛伊木马程序被分布到其他计算机,或者被大量计算机用户没有察觉地下载或执行。并且,在一个诸如公司的组织中的计算机用户可能有时试图执行未被授权的网络通信,例如,执行文件共享程序或从公司网络内部传输公司机密到因特网。
由于这些以及其他原因,许多计算机系统采用多种安全防护意图保护计算机系统免受威胁。防火墙的设计是为了限制在网络上可能发生的通信种类,反病毒程序的设计是为了防止恶意代码被计算机系统加载或执行,恶意软件检测程序的设计是为了检测回邮器、键击记录器以及被设计用于执行诸如从计算机窃取信息或将计算机用作非预期的用途的不希望的操作的其他软件。多种其他的恶意软件,例如,广告软件、间谍软件以及特洛伊木马程序通常通过例如这些防护系统被检测并控制。
许多这种防护系统使用已知的恶意软件威胁的签名来检测并控制这些威胁。例如,反病毒软件典型地使用包括代码片段或其他识别信息的大的签名库来扫描诸如硬盘驱动器之类的存储器,并扫描正在执行的程序,从而在其可能造成损害前从计算机系统移出攻击性的代码。
检测新的威胁,或者能够重新排列它们的可执行代码来降低基于签名的检测的有效性的威胁,仍然是反恶意软件应用的一个挑战。考虑到新类型的恶意软件不断地发展,并经常被配置来避免检测,恶意软件的有效及准确的检测仍然是恶意软件检测软件持续面临的挑战。
发明内容
本发明的一些示例实施例包括计算机网络设备,其可操作以接收数字文件并从该文件提取多个高级别特征。使用分类器评估该多个高级别特征来确定该文件是良性的还是恶意的。如果该文件被确定是良性的,则该文件被转发到请求计算机,如果该文件被确定是恶意的,则该文件被阻止。本发明的元件可被采用在诸如防火墙之类的网关设备中或终端主机上,来防止访问恶意的文件。在进一步的示例中,后端恶意软件分析平台被采用来检测并追踪恶意文件。
附图说明
图1显示了与本发明的示例实施例一致的计算机网络。
图2是图示了与本发明的示例实施例一致的使用高级别文件特征和确定文件是否是恶意软件的决策树分类引擎的流程图。
具体实施方式
在下面的对本发明的示例实施例的详细描述中,通过附图和说明引用特定的示例。这些示例被足够详细地描述使得本领域技术人员能够实施本发明,并用来示出本发明怎样被应用到多种目的或实施例中。本发明的其他实施例存在并在本发明的范围中,并且逻辑的、机械的、电子的以及其他变动可被做出而不背离本发明的主题或范围。然而此处描述的本发明的多种实施例的特征或限制(对合并这些特征或限制的示例实施例是必要的)不限制本发明的整体,并且本发明的任意引用、它的元件、操作以及应用并不限制本发明的整体而是仅用作定义这些示例实施例。因此,下面的详细描述并不限制本发明的范围,其仅由附加的权利要求来定义。
本发明的一些示例实施例包括诸如可执行程序之类的电子二进制文件的分类,其使用文件的高级别特征以及决策树,产生关于文件是恶意软件的可能性的有效和准确的确定。
因为单独使用签名的恶意软件检测由于恶意软件生产者设计程序来避开检测而变的不够有效,所以其他方法被期望来改善执行不希望的功能的程序的检测速率。为了帮助促进恶意软件检测的速率,在本发明的一些实施例中应用的技术超越了包括恶意软件或被恶意软件感染的软件的签名或其他低级别特征。
在不同的实施例中,文件可被以至少三种不同的方式被处理或表示,包括使用文件本身、使用文件的散列、或使用文件的高级别特征。研究显示,高级别特征可被成功地使用来检测恶意的行为,在更详细的一般化的恶意软件检测系统的示例中,通过使用提取器程序来从二进制提取高级别特征。这些特征包括文件大小信息、熵、时间戳、动态链接库、以及其他这种高级别特征。虽然这些特征的每一个自身对二进制的恶意不是决定性的,但所有特征的组合可以产生准确的结果来标识特定的样本是干净的还是脏的。
在不同的实施例中,使用几项技术在恶意软件检测的不同关系下工作来提供对恶意软件的更为高效的以及有效的识别,包括对终端主机部署的紧凑快速的分类器,对网关部署的紧凑快速的分类器,对后端样本处理的复杂分类器,和适用于查询的实时分类的复杂快速的分类器。
使用提取器,二进制文件被分解为文件的不同的特征或属性,包括能被容易地提取的静态属性以及诸如网络活动或库或其他使用的资源之类的行为数据。同样地,特征可以是密集的(总是存在,例如文件大小)或稀疏的(很少出现,例如,条目点处的开头两个字节是xyzz)。
在多个实施例中,文件的高级别特征包括诸如文件大小、文件内的随机性、文件中的开始或结束代码串、以及文件几何。文件几何不仅包括大小,还包括其他特征,例如文件中的段的数量、段的组织、可执行代码段中的内含物和特征,等等。例如,一个具有五个段的文件,其最后一段是具有高熵或高随机性的可执行代码,这样的文件可被有理由猜测为隐藏在具有其他内容的文件中的恶意代码。
为了区分干净的二进制和恶意软件,干净的和脏的样本的数据集被创建。使用这些,机器学习算法被采用来在特征空间导出边界来分离干净的和脏的样本。各种实施方式包括使用诸如决策树之类的紧凑模型来评估数据并将稀疏特征转换为密集特征来形成端点、网关或后端分类系统。
在特定部署中,一个小的分类模型是合适的,例如在终端用户计算机系统或便携设备中的实施方式。标准技术会导致大的模型并因此不实用。在一个这样的示例中,一个小的模型文件被产生,带有适度的误判率。被检测为恶意软件的文件被在网络服务器中查找来确定它们是否实际上是恶意软件,以使得服务器做出最终的恶意软件决定。
当需要紧凑的模型时,我们使用决策树分类器,我们将其表示为一系列嵌套的条件(if)语句。我们修剪所有不导致恶意分类结果的路径,在这种情况下,默认是干净的/未知的。此外,我们将在输入数据中的所有的稀疏特征转换为密集特征,通过仅仅轻微地影响分类性能而大幅度地减小模型的大小。
稀疏特征到密集特征的转换使得在决策树中使用更少数量的决策。替代使用几千个单独的特征,我们使用特征id来查找多个密集特征。我们使用散列实施方式连同压缩的位掩码来以非常高效的方式存储散列数据,导致快速的查找以及小的存储器印迹。例如,开始比特、结束比特、以及文件的其他这种特征可被转换为一个或多个散列值,并与已知的坏文件的散列值做比较。
在另一个示例中,例如在终端主机或网关设备中采用适度大小的模型,其具有较低的误判率。被识别为潜在恶意的文件相对于已知的好文件的白名单被进行查询,来进一步减少误判率,该白名单存储在服务器中或在本地中缓存并更新。
在一些实施例中,更大的模型可以进一步减少误判率,例如通过使用本地的相对大的查找表,而不为了附加信息或确认来查询服务器。这种模型在足够的计算资源在终端主机上可用的情况下,或当联网的查找服务不可用或分散时是有用的。
这些模型可被用于端点、网关、后端或云分类。使用紧凑的模型和稀疏特征转换,模型被计算用于端点分类,例如在决策树中的具有数以万计的模型元素的模型。一般来说,误判率允许使用这一模型作为云或网络查找的查询选择器,但是更高的确信级别是可能的。该技术同样可以结合数据服务器提供的白名单使用,以用于积极地减少误判。最后,分类器可被偏置来避免击中普遍的文件,进一步包括在一些实施例中为了关于文件扩散的信息而使用数据服务器。
尽管使用看到大多数好文件的端点检测的小机器除了具有小且高效的分类模型之外还期望具有低误判率,然而在看到更高比例的恶意文件的网关或其他设备中,更高的误判率可以被容忍并是期望的以避免遗漏恶意文件。使用紧凑的模型和稀疏特征转换,一个示例的网关模型被计算为具有大约为0.1%的误判率,其作为网关分类器是合适的,但是可能高于端点分类所期望的。
更复杂的特征可被提取并且诸如稀疏特征之类的更高维度在后端分类中可以被容忍,其中诸如数据服务器之类的系统被用来评估未知的文件或者在其他分类点中符合特定标准的文件。大约数十或数百兆字节数据的更大的模型可被快速有效地应用到数据文件,使用在专用的后端系统中可用的附加的处理能力。
在云分类中,提供给后端数据服务器用于查找的数据可被用来对执行中的数据进行分类,因为特征被提取并发送到专用的服务器来分类。输入的特征与端点分类相似,但是模型文件更大。此外,我们可以结合附加的全局信息,例如基于IP地址的样本分布、扩散级别、查找串等等。最后,利用电子邮件或网络信誉查找巩固这一数据,允许我们在电子邮件以及网络中知道新的爆发并实时做出响应,类似于对于电子邮件和网络信誉如何处理网络欺诈电子邮件和URL。
图1显示了与本发明的示例实施例一致的联网的计算环境,包括在多个实施例中的高级别特征数据分类。此处,各种终端用户计算机系统101通过网关102与在103的诸如因特网之类的网络连接。计算机能够连接到外例如105点部计算机系统,外部计算机可提供良性的或是有害的内容。数据服务器104在一些进一步的实施例中被提供,提供后端或云分类以及信誉服务器功能。
在操作中,连接到因特网的诸如个人计算机或“智能”手机之类的计算机化设备101的用户从远程计算机系统105请求文件。请求的数据在到达最终用户前穿过因特网103和例如防火墙的网关102。对文件的特征,例如文件几何、随机性、大小、开始代码串以及其他这种特征,执行高级别分析。
在本发明的不同实施例中,文件良性或恶意的分类在不同的阶段被执行,例如,在最终用户分类的最终用户的计算机系统101处执行,以使得文件在其被执行或打开之前被扫描。如果它被确定是恶意的,则在网关102处的网关分类可以防止文件到达最终用户,并且网关或其他系统可以依赖数据服务器104来执行云分类,例如当文件是边界线时,或没有提供网关或最终用户分类时。云分类使用诸如多个服务器104之类的分布式计算机系统来提供分类,来更为有效地评估新的或是未知的威胁。在进一步的实施例中,对新的或未知的文件的后端分类被我们用来确定被分析的文件是恶意的,并提供诸如签名和散列数据之类的信息给网关102和云服务器104来帮助未来的威胁检测。
对图1的环境的更多详细的部署示例包括使用之前讨论的多个部署模型中的一个将恶意软件检测引擎部署到终端主机101上,部署在网关102上,使用信誉服务器104来分类由终端主机发送的特征,以及后端系统检测与随后的文件信息的特征化(例如签名产生)一起在大的本体(corpus)中检测恶意文件。在这些示例中,信誉服务器和后端系统检测的不同在于,存在信誉服务器以提供消费者查找响应,而后端检测系统被使用来获得对系统已知的文件体中的选中的文件的洞察。
图2是与本发明的示例实施例一致的、使用文件的高级别特征来确定其是良性或恶意的示例方法的流程图。在201,例如来自图1的计算机101的用户从远程计算机系统请求文件,例如通过从因特网网站下载可执行文件。在202,远程计算机接收文件请求并发送文件,文件在可以操作用于评估文件以确定文件是恶意的还是良性的网关或端点分类引擎中被接收。
在203,高级别文件特征被从文件中提取,并且在204,分类引擎使用这些高级别特征以及决策树规则,例如通过使用文件几何、随机性、大小、开始代码串数据、各种文件数据的散列值或者其他这种特征来在205确定文件是否与已知的恶意文件具有相似的特性。
如果被讨论的文件匹配指示它是恶意文件的决策树规则,则在206,文件被阻止。由于在一些实施例中,导致找到良性文件的规则被从决策树中截去,因此到达决策树分支的末端而没有被发现是恶意的文件被推测为良性的,并且在207,该文件被传递给请求用户。
这个使用提取的高级别特征应用到决策树的新的分类技术与传统的基于签名的检查方法相比具有很多优点。首先,该方法主动地工作,因为其对样本的高级别特性进行操作,和低级别描述形成对照,使得能够在详细的数据可用之前检测更多新的或者未知的威胁,提高了提供给用户的保护级别。第二,大量潜在的恶意软件文件能够以非常紧凑的方式表示,减少了定义数据文件的总的大小。第三,从恶意软件文件提取的特征可被用于收集恶意软件的全局情报,提高了后端数据分类系统的效率并且提高了分布到端点或网关的模型的效率。在一些实施例中,这一数据进一步与包括IP信誉数据的统一的服务器查找中的电子邮件或者网络数据相关联,这将进一步改善智能性能。第四,提出的技术是通用的并将会有益于所有级别的恶意软件检测(终端主机、网关、后端以及在线查询)。
尽管此处图示并描述了特定的实施例,但本领域普通技术人员可以理解任意的计划来达到相同目的的布置可以替代所示的特定的实施例。本申请意在覆盖本发明此处描述的示例实施例的任意改变或变形。本发明意在仅由权利要求及其等价物的全部范围所限定。
Claims (29)
1.一种在计算机化系统上过滤数字电子内容的方法,包括:
访问数字文件;
从该文件中提取多个高级别特征;以及
使用分类器评估该多个高级别特征以确定该文件是良性的还是恶意的。
2.根据权利要求1所述的过滤数字电子内容的方法,其中评估包括:在客户端系统上使用分类器来确定该文件是良性的还是恶意的,以及如果在客户端系统上确定该文件是恶意的,则该文件的散列被发送到信誉服务器以最终确定该文件是良性的还是恶意的。
3.根据权利要求2所述的过滤数字电子内容的方法,其中所述信誉服务器最终确定该文件是良性的还是恶意的包括下列中的至少一项:如果该散列匹配已知的恶意文件,则确定该文件是恶意的,以及如果该散列不匹配已知的良性文件,则确定该文件是恶意的。
4.根据权利要求1所述的过滤数字电子内容的方法,其中该分类器包括一个或多个决策树。
5.根据权利要求1所述的过滤数字电子内容的方法,其中该多个高级别特征包括文件大小、文件随机性、开始代码串以及文件几何中的至少一个。
6.根据权利要求1所述的过滤数字电子内容的方法,进一步包括:使用从该文件的运行时属性中提取的行为数据评估该二进制文件,以确定该文件是良性的还是恶意的。
7.根据权利要求1所述的过滤数字电子内容的方法,其中评估包括:确定由该文件使用的库或资源中的至少一个。
8.根据权利要求1所述的过滤数字电子内容的方法,其中提取和评估中的至少一个在客户端计算机、网关设备、后端服务器和实时云中分类系统中的一个或多个中实现。
9.根据权利要求1所述的过滤数字电子内容的方法,进一步包括:如果该文件被确定是良性的,则将该文件转发到请求计算机,以及如果该文件被确定是恶意的,则阻止文件的传递。
10.根据权利要求1所述的过滤数字电子内容的方法,其中评估包括:在本地系统上执行第一评估以识别至少一个可疑文件,将该可疑文件的高级别特征转发给信誉服务器以进行最终确定,从该信誉服务器接收对该可疑文件的最终确定,并仅仅阻止由该信誉服务器确定为恶意的那些文件。
11.根据权利要求10所述的过滤数字电子内容的方法,其中该客户端进一步将该文件的散列发送到该信誉服务器。
12.根据权利要求11所述的过滤数字电子内容的方法,其中该信誉服务器追踪该文件散列的一个或多个特征。
13.根据权利要求12所述的过滤数字电子内容的方法,其中追踪该文件散列的一个或多个特征包括以下中的一个或多个:每个散列的查询量、自从该散列第一次出现以来的时间、查询该散列的客户端的数目、以及查询该散列的客户端的分布。
14.一种计算机网络设备,包括:
网络连接,可操作以访问数字文件;以及
提取模块,可操作以从该文件中提取多个高级别特征;以及
评估模块,可操作以使用分类器来评估该多个高级别特征以确定该文件是良性的还是恶意的。
15.根据权利要求14所述的计算机网络设备,其中该分类器包括决策树。
16.根据权利要求14所述的计算机网络设备,其中该多个高级别特征包括文件大小、文件随机性、开始代码串以及文件几何的中的至少一个。
17.根据权利要求14所述的计算机网络设备,其中该评估模块进一步可操作以使用从该文件的运行时属性中提取的行为数据来评估该二进制文件,以确定该文件是良性的还是恶意的。
18.根据权利要求14所述的计算机网络设备,其中评估包括:确定由该文件使用的库或资源中的至少一个。
19.根据权利要求14所述的计算机网络设备,其中该设备包括客户端计算机、网关设备、后端服务器、以及实时云分类系统中的一个或多个。
20.根据权利要求14所述的计算机网络设备,其中该评估模块进一步可操作以如果该文件被确定是良性的,则将该文件转发到一个请求计算机,以及如果该文件被确定是恶意的,则阻止文件的传递。
21.根据权利要求14所述的计算机网络设备,其中评估包括:在该网络设备上执行第一评估以识别至少一个可疑文件,将该可疑文件转发给信誉服务器以进行最终确定,从该信誉服务器接收对该可疑文件的最终确定,并仅仅阻止由该信誉服务器确定为恶意的那些文件。
22.一种在其上存储有指令的机器可读介质,该指令在被执行时可操作以使得计算机化系统执行:
访问数字文件;
从该文件中提取多个高级别特征;以及
使用分类器评估该多个高级别特征以确定该文件是良性的还是恶意的。
23.根据权利要求22所述的机器可读介质,其中该分类器包括决策树。
24.根据权利要求22所述的机器可读介质,其中该多个高级别特征包括文件大小、文件随机性、开始代码串以及文件几何中的至少一个。
25.根据权利要求22所述的机器可读介质,当该指令被执行时进一步可操作以使用从该文件的运行时属性中提取的行为数据评估该二进制文件,以确定该文件是良性的还是恶意的。
26.根据权利要求22所述的机器可读介质,其中评估包括:确定由该文件使用的库或资源中的至少一个。
27.根据权利要求22所述的机器可读介质,其中提取和评估中的至少一个在客户端计算机、网关设备、后端服务器、以及实时云分类系统中的一个或多个中实现。
28.根据权利要求22所述的机器可读介质,当该指令被执行时进一步可操作以如果该文件被确定是良性的,则将该文件转发到一个请求计算机,以及如果该文件被确定是恶意的,则阻止文件的传递。
29.根据权利要求22所述的机器可读介质,其中评估该多个高级别特征包括:在本地系统上执行第一评估以识别至少一个可疑文件,将该可疑文件转发给信誉服务器以进行最终确定,从该信誉服务器接收对该可疑文件的最终确定,并仅仅阻止由该信誉服务器确定为恶意的那些文件。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US29156809P | 2009-12-31 | 2009-12-31 | |
| US61/291,568 | 2009-12-31 | ||
| US12/693,765 | 2010-01-26 | ||
| US12/693,765 US8719939B2 (en) | 2009-12-31 | 2010-01-26 | Malware detection via reputation system |
| PCT/US2010/061889 WO2011082084A2 (en) | 2009-12-31 | 2010-12-22 | Malware detection via reputation system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102822839A true CN102822839A (zh) | 2012-12-12 |
| CN102822839B CN102822839B (zh) | 2015-11-25 |
Family
ID=44189155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080064821.1A Active CN102822839B (zh) | 2009-12-31 | 2010-12-22 | 经由信誉系统的恶意软件检测 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8719939B2 (zh) |
| EP (1) | EP2519911A4 (zh) |
| KR (1) | KR101484023B1 (zh) |
| CN (1) | CN102822839B (zh) |
| AU (1) | AU2010336989B2 (zh) |
| WO (1) | WO2011082084A2 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239795A (zh) * | 2014-09-16 | 2014-12-24 | 百度在线网络技术(北京)有限公司 | 文件的扫描方法及装置 |
| CN104933059A (zh) * | 2014-03-18 | 2015-09-23 | 华为技术有限公司 | 文件信誉获取方法、网关设备和文件信誉服务器 |
| CN108470126A (zh) * | 2018-03-19 | 2018-08-31 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN109510800A (zh) * | 2017-09-14 | 2019-03-22 | 北京金山云网络技术有限公司 | 一种网络请求处理方法、装置、电子设备及存储介质 |
| CN110784438A (zh) * | 2018-07-27 | 2020-02-11 | 波音公司 | 跨域环境中的机器学习数据过滤 |
| CN112100619A (zh) * | 2019-06-18 | 2020-12-18 | 深信服科技股份有限公司 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
| CN112149126A (zh) * | 2019-06-28 | 2020-12-29 | 卡巴斯基实验室股份制公司 | 确定文件的信任级别的系统和方法 |
Families Citing this family (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9306796B1 (en) | 2008-03-18 | 2016-04-05 | Mcafee, Inc. | System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data |
| US8301904B1 (en) | 2008-06-24 | 2012-10-30 | Mcafee, Inc. | System, method, and computer program product for automatically identifying potentially unwanted data as unwanted |
| US8627461B2 (en) | 2009-03-04 | 2014-01-07 | Mcafee, Inc. | System, method, and computer program product for verifying an identification of program information as unwanted |
| CN101621801B (zh) * | 2009-08-11 | 2012-11-28 | 华为终端有限公司 | 无线局域网的认证方法、系统及服务器、终端 |
| US8719939B2 (en) | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
| US9038184B1 (en) * | 2010-02-17 | 2015-05-19 | Symantec Corporation | Detection of malicious script operations using statistical analysis |
| US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
| US8468602B2 (en) * | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| JP5135389B2 (ja) * | 2010-06-30 | 2013-02-06 | 株式会社日立情報システムズ | 情報漏えいファイル検知装置、及びその方法とプログラム |
| US9111094B2 (en) * | 2011-01-21 | 2015-08-18 | F-Secure Corporation | Malware detection |
| US8683585B1 (en) * | 2011-02-10 | 2014-03-25 | Symantec Corporation | Using file reputations to identify malicious file sources in real time |
| US10445528B2 (en) | 2011-09-07 | 2019-10-15 | Microsoft Technology Licensing, Llc | Content handling for applications |
| US9781151B1 (en) * | 2011-10-11 | 2017-10-03 | Symantec Corporation | Techniques for identifying malicious downloadable applications |
| US9558348B1 (en) * | 2012-03-01 | 2017-01-31 | Mcafee, Inc. | Ranking software applications by combining reputation and code similarity |
| US8856930B2 (en) * | 2012-03-30 | 2014-10-07 | F-Secure Corporation | Download control |
| CN102694820B (zh) | 2012-06-13 | 2015-01-21 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
| US9715325B1 (en) | 2012-06-21 | 2017-07-25 | Open Text Corporation | Activity stream based interaction |
| US9043920B2 (en) | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| CN102779249B (zh) * | 2012-06-28 | 2015-07-29 | 北京奇虎科技有限公司 | 恶意程序检测方法及扫描引擎 |
| US9088606B2 (en) | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN103117992A (zh) * | 2012-09-10 | 2013-05-22 | 微软公司 | 应用的内容处理 |
| US9292688B2 (en) | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
| US9274816B2 (en) | 2012-12-21 | 2016-03-01 | Mcafee, Inc. | User driven emulation of applications |
| US9495542B2 (en) | 2013-02-28 | 2016-11-15 | Trustees Of Boston University | Software inspection system |
| CN116440247A (zh) | 2013-03-01 | 2023-07-18 | 康德生物医疗有限公司 | 治疗线粒体疾病的方法 |
| WO2014134554A1 (en) | 2013-03-01 | 2014-09-04 | Stealth Peptides International, Inc. | Methods and compositions for the prevention or treatment of barth syndrome |
| WO2014137321A1 (en) * | 2013-03-05 | 2014-09-12 | Mcafee, Inc. | Modification of application store output |
| US9311480B2 (en) | 2013-03-15 | 2016-04-12 | Mcafee, Inc. | Server-assisted anti-malware client |
| US9467464B2 (en) | 2013-03-15 | 2016-10-11 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| US9143519B2 (en) | 2013-03-15 | 2015-09-22 | Mcafee, Inc. | Remote malware remediation |
| WO2014142986A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
| US9686304B1 (en) * | 2013-06-25 | 2017-06-20 | Symantec Corporation | Systems and methods for healing infected document files |
| CA2916977A1 (en) | 2013-06-26 | 2014-12-31 | Stealth Biotherapeutics Corp | Methods and compositions for detecting and diagnosing diseases and conditions |
| WO2015016901A1 (en) * | 2013-07-31 | 2015-02-05 | Hewlett-Packard Development Company, L.P. | Signal tokens indicative of malware |
| US9591003B2 (en) * | 2013-08-28 | 2017-03-07 | Amazon Technologies, Inc. | Dynamic application security verification |
| US9317695B2 (en) * | 2013-09-25 | 2016-04-19 | Veracode, Inc. | System and method for automated remedying of security vulnerabilities |
| EP3053074A4 (en) * | 2013-09-30 | 2017-04-05 | Hewlett-Packard Enterprise Development LP | Hierarchical threat intelligence |
| US9319382B2 (en) | 2014-07-14 | 2016-04-19 | Cautela Labs, Inc. | System, apparatus, and method for protecting a network using internet protocol reputation information |
| CN109889473B (zh) | 2014-08-08 | 2021-11-19 | 创新先进技术有限公司 | 实现信息推送的方法及第三方客户端 |
| US9398036B2 (en) | 2014-09-17 | 2016-07-19 | Microsoft Technology Licensing, Llc | Chunk-based file acquisition and file reputation evaluation |
| US10909086B2 (en) * | 2014-11-17 | 2021-02-02 | Red Hat, Inc. | File lookup in a distributed file system |
| EP3222024A1 (en) | 2014-11-21 | 2017-09-27 | Bluvector, Inc. | System and method for network data characterization |
| US9870420B2 (en) * | 2015-01-19 | 2018-01-16 | Google Llc | Classification and storage of documents |
| CN108804925B (zh) | 2015-05-27 | 2022-02-01 | 北京百度网讯科技有限公司 | 用于检测恶意代码的方法和系统 |
| US10248789B2 (en) * | 2015-11-11 | 2019-04-02 | AVAST Software s.r.o. | File clustering using filters working over file attributes |
| EP3370183B1 (en) * | 2017-03-02 | 2021-05-05 | X Development LLC | Characterizing malware files for similarity searching |
| US10546123B1 (en) * | 2017-06-23 | 2020-01-28 | Ca, Inc. | Systems and methods for identifying malicious computer files |
| US10878090B2 (en) * | 2017-10-18 | 2020-12-29 | AO Kaspersky Lab | System and method of detecting malicious files using a trained machine learning model |
| US20190207966A1 (en) * | 2017-12-28 | 2019-07-04 | Fireeye, Inc. | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store |
| US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| RU2708356C1 (ru) * | 2018-06-29 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Система и способ двухэтапной классификации файлов |
| US11451561B2 (en) * | 2018-09-14 | 2022-09-20 | Cisco Technology, Inc. | Automated creation of lightweight behavioral indicators of compromise (IOCS) |
| US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
| US11599635B2 (en) | 2020-06-30 | 2023-03-07 | Mcafee, Llc | Methods and apparatus to improve detection of malware based on ecosystem specific data |
| RU2770570C2 (ru) * | 2020-08-24 | 2022-04-18 | Акционерное общество "Лаборатория Касперского" | Система и способ определения процесса, связанного с вредоносным программным обеспечением, шифрующим файлы компьютерной системы |
| US11526612B2 (en) * | 2020-09-22 | 2022-12-13 | International Business Machines Corporation | Computer file metadata segmentation security system |
| US11757975B1 (en) * | 2022-12-09 | 2023-09-12 | Sophos Limited | Systems and methods for monitoring a file download |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1489048A (zh) * | 2002-10-10 | 2004-04-14 | �Ҵ���˾ | 抗病毒网络系统和方法 |
| US20060174345A1 (en) * | 2004-11-30 | 2006-08-03 | Sensory Networks, Inc. | Apparatus and method for acceleration of malware security applications through pre-filtering |
| CN101213555A (zh) * | 2005-06-30 | 2008-07-02 | 普瑞维克斯有限公司 | 用于处理恶意软件的方法和装置 |
| US20080313738A1 (en) * | 2007-06-15 | 2008-12-18 | Broadcom Corporation | Multi-Stage Deep Packet Inspection for Lightweight Devices |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6697948B1 (en) * | 1999-05-05 | 2004-02-24 | Michael O. Rabin | Methods and apparatus for protecting information |
| US6981155B1 (en) * | 1999-07-14 | 2005-12-27 | Symantec Corporation | System and method for computer security |
| US7095716B1 (en) * | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
| US7487544B2 (en) * | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
| US20080196099A1 (en) * | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
| US7512977B2 (en) * | 2003-06-11 | 2009-03-31 | Symantec Corporation | Intrustion protection system utilizing layers |
| US20040203589A1 (en) * | 2002-07-11 | 2004-10-14 | Wang Jiwei R. | Method and system for controlling messages in a communication network |
| US20040042416A1 (en) * | 2002-08-27 | 2004-03-04 | Ngo Chuong Ngoc | Virtual Local Area Network auto-discovery methods |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20040123117A1 (en) * | 2002-12-18 | 2004-06-24 | Symantec Corporation | Validation for behavior-blocking system |
| ES2409936T3 (es) * | 2003-01-31 | 2013-06-28 | Good Technology Corporation | Recuperación asíncrona de datos en tiempo real |
| US7409712B1 (en) * | 2003-07-16 | 2008-08-05 | Cisco Technology, Inc. | Methods and apparatus for network message traffic redirection |
| US20050015455A1 (en) * | 2003-07-18 | 2005-01-20 | Liu Gary G. | SPAM processing system and methods including shared information among plural SPAM filters |
| US7209908B2 (en) * | 2003-09-18 | 2007-04-24 | Microsoft Corporation | Data classification using stochastic key feature generation |
| US8060867B2 (en) * | 2004-05-20 | 2011-11-15 | Computer Associates Think, Inc. | Systems and methods for excluding user specified applications |
| US7660865B2 (en) * | 2004-08-12 | 2010-02-09 | Microsoft Corporation | Spam filtering with probabilistic secure hashes |
| US7434261B2 (en) * | 2004-09-27 | 2008-10-07 | Microsoft Corporation | System and method of identifying the source of an attack on a computer network |
| WO2006101549A2 (en) * | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
| US7752667B2 (en) * | 2004-12-28 | 2010-07-06 | Lenovo (Singapore) Pte Ltd. | Rapid virus scan using file signature created during file write |
| US8103868B2 (en) * | 2005-04-20 | 2012-01-24 | M-Qube, Inc. | Sender identification system and method |
| WO2006119509A2 (en) * | 2005-05-05 | 2006-11-09 | Ironport Systems, Inc. | Identifying threats in electronic messages |
| US8272058B2 (en) * | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
| US20070226804A1 (en) * | 2006-03-22 | 2007-09-27 | Method and system for preventing an unauthorized message | |
| US9064115B2 (en) * | 2006-04-06 | 2015-06-23 | Pulse Secure, Llc | Malware detection system and method for limited access mobile platforms |
| US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US20080126779A1 (en) * | 2006-09-19 | 2008-05-29 | Ned Smith | Methods and apparatus to perform secure boot |
| WO2008048665A2 (en) * | 2006-10-18 | 2008-04-24 | University Of Virginia Patent Foundation | Method, system, and computer program product for malware detection analysis, and response |
| US7797746B2 (en) * | 2006-12-12 | 2010-09-14 | Fortinet, Inc. | Detection of undesired computer files in archives |
| JP2008158686A (ja) * | 2006-12-21 | 2008-07-10 | Toshiba Corp | プログラム検証装置及び方法、プログラム検証に基づく署名システム |
| CN101232536A (zh) | 2007-01-22 | 2008-07-30 | 中兴通讯股份有限公司 | 恶意呼叫识别方法 |
| US7945787B2 (en) * | 2007-04-13 | 2011-05-17 | Computer Associates Think, Inc. | Method and system for detecting malware using a remote server |
| WO2009003059A1 (en) * | 2007-06-25 | 2008-12-31 | Google Inc. | Zero-hour quarantine of suspect electronic messages |
| US8621610B2 (en) * | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
| WO2009035674A1 (en) * | 2007-09-14 | 2009-03-19 | Security First Corporation | Systems and methods for managing cryptographic keys |
| US8150372B2 (en) * | 2007-09-28 | 2012-04-03 | Symbol Technologies, Inc. | Method and system for distributing data within a group of mobile units |
| US8171554B2 (en) * | 2008-02-04 | 2012-05-01 | Yuval Elovici | System that provides early detection, alert, and response to electronic threats |
| US7512911B1 (en) * | 2008-09-04 | 2009-03-31 | International Business Machines Corporation | Method for creating a parameterized cell library dual-layered rule system for rapid technology migration |
| US8627461B2 (en) * | 2009-03-04 | 2014-01-07 | Mcafee, Inc. | System, method, and computer program product for verifying an identification of program information as unwanted |
| US8353037B2 (en) * | 2009-12-03 | 2013-01-08 | International Business Machines Corporation | Mitigating malicious file propagation with progressive identifiers |
| US8719939B2 (en) | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
-
2010
- 2010-01-26 US US12/693,765 patent/US8719939B2/en active Active
- 2010-12-22 KR KR1020127020220A patent/KR101484023B1/ko active IP Right Grant
- 2010-12-22 WO PCT/US2010/061889 patent/WO2011082084A2/en active Application Filing
- 2010-12-22 AU AU2010336989A patent/AU2010336989B2/en active Active
- 2010-12-22 EP EP10841602.5A patent/EP2519911A4/en not_active Withdrawn
- 2010-12-22 CN CN201080064821.1A patent/CN102822839B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1489048A (zh) * | 2002-10-10 | 2004-04-14 | �Ҵ���˾ | 抗病毒网络系统和方法 |
| US20060174345A1 (en) * | 2004-11-30 | 2006-08-03 | Sensory Networks, Inc. | Apparatus and method for acceleration of malware security applications through pre-filtering |
| CN101213555A (zh) * | 2005-06-30 | 2008-07-02 | 普瑞维克斯有限公司 | 用于处理恶意软件的方法和装置 |
| US20080313738A1 (en) * | 2007-06-15 | 2008-12-18 | Broadcom Corporation | Multi-Stage Deep Packet Inspection for Lightweight Devices |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10355866B2 (en) | 2014-03-18 | 2019-07-16 | Huawei Technologies Co., Ltd. | File reputation acquiring method, gateway device, and file reputation server |
| CN104933059A (zh) * | 2014-03-18 | 2015-09-23 | 华为技术有限公司 | 文件信誉获取方法、网关设备和文件信誉服务器 |
| WO2015139569A1 (zh) * | 2014-03-18 | 2015-09-24 | 华为技术有限公司 | 文件信誉获取方法、网关设备和文件信誉服务器 |
| CN104239795B (zh) * | 2014-09-16 | 2017-11-24 | 百度在线网络技术(北京)有限公司 | 文件的扫描方法及装置 |
| CN104239795A (zh) * | 2014-09-16 | 2014-12-24 | 百度在线网络技术(北京)有限公司 | 文件的扫描方法及装置 |
| CN109510800A (zh) * | 2017-09-14 | 2019-03-22 | 北京金山云网络技术有限公司 | 一种网络请求处理方法、装置、电子设备及存储介质 |
| CN108470126A (zh) * | 2018-03-19 | 2018-08-31 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN108470126B (zh) * | 2018-03-19 | 2020-05-01 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN110784438A (zh) * | 2018-07-27 | 2020-02-11 | 波音公司 | 跨域环境中的机器学习数据过滤 |
| CN110784438B (zh) * | 2018-07-27 | 2023-06-27 | 波音公司 | 跨域环境中的机器学习数据过滤 |
| CN112100619A (zh) * | 2019-06-18 | 2020-12-18 | 深信服科技股份有限公司 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
| CN112100619B (zh) * | 2019-06-18 | 2024-01-05 | 深信服科技股份有限公司 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
| CN112149126A (zh) * | 2019-06-28 | 2020-12-29 | 卡巴斯基实验室股份制公司 | 确定文件的信任级别的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8719939B2 (en) | 2014-05-06 |
| WO2011082084A3 (en) | 2011-10-27 |
| US20110162070A1 (en) | 2011-06-30 |
| KR101484023B1 (ko) | 2015-01-19 |
| EP2519911A4 (en) | 2013-12-11 |
| AU2010336989A1 (en) | 2012-08-23 |
| AU2010336989B2 (en) | 2014-04-10 |
| WO2011082084A2 (en) | 2011-07-07 |
| CN102822839B (zh) | 2015-11-25 |
| KR20120112696A (ko) | 2012-10-11 |
| EP2519911A2 (en) | 2012-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102822839B (zh) | 经由信誉系统的恶意软件检测 | |
| Alam et al. | Phishing attacks detection using machine learning approach | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
| RU2601190C2 (ru) | Система и способы обнаружения спама с помощью частотных спектров строк символов | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
| Abutair et al. | CBR-PDS: a case-based reasoning phishing detection system | |
| CN104156490A (zh) | 基于文字识别检测可疑钓鱼网页的方法及装置 | |
| CN102047260A (zh) | 用于集中式恶意软件检测的智能散列 | |
| US8719352B2 (en) | Reputation management for network content classification | |
| Wardman et al. | High-performance content-based phishing attack detection | |
| CN107888606B (zh) | 一种域名信誉度评估方法及系统 | |
| US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| Le Page et al. | Domain classifier: Compromised machines versus malicious registrations | |
| CN108768934A (zh) | 恶意程序发布检测方法、装置以及介质 | |
| Casolare et al. | Dynamic Mobile Malware Detection through System Call-based Image representation. | |
| JP2011193343A (ja) | 通信ネットワーク監視システム | |
| CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
| Britt et al. | Clustering Potential Phishing Websites Using {DeepMD5} | |
| WO2018047027A1 (en) | A method for exploring traffic passive traces and grouping similar urls | |
| Kumar et al. | Detecting malicious URLs using lexical analysis and network activities | |
| Zawoad et al. | Phish-net: investigating phish clusters using drop email addresses | |
| Jain | Phishing websites detection using machine learning | |
| CN107332856B (zh) | 地址信息的检测方法、装置、存储介质和电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mcafee, Inc. |
|
| CP03 | Change of name, title or address |