CN103782303B - 对于恶意过程的基于非签名的检测的系统和方法 - Google Patents
对于恶意过程的基于非签名的检测的系统和方法 Download PDFInfo
- Publication number
- CN103782303B CN103782303B CN201280032823.1A CN201280032823A CN103782303B CN 103782303 B CN103782303 B CN 103782303B CN 201280032823 A CN201280032823 A CN 201280032823A CN 103782303 B CN103782303 B CN 103782303B
- Authority
- CN
- China
- Prior art keywords
- feature
- procedure
- class
- malice
- fraction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
- G06F16/24578—Query processing with adaptation to user needs using ranking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16B—BIOINFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR GENETIC OR PROTEIN-RELATED DATA PROCESSING IN COMPUTATIONAL MOLECULAR BIOLOGY
- G16B40/00—ICT specially adapted for biostatistics; ICT specially adapted for bioinformatics-related machine learning or data mining, e.g. knowledge discovery or pattern finding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
公开了用于采用基于非签名的方式检测恶意过程的系统和方法。该系统和方法可包括聚集在电子设备上运行的过程的特征、将规则集应用于这些特征以及将统计分析应用于规则应用的结果来确定过程是否应归类到多个过程类别中的一个或多个中。
Description
技术领域
本公开大体上涉及信息安全,并且更特定地涉及以基于非签名的方式检测恶意软件。
背景技术
随着数字存储的数据的普遍性和重要性持续上升,使该数据保持安全的重要性相应地上升。尽管公司和个人试图保护他们的数据,其他个人、组织和企业试图利用安全漏洞以便访问该数据和/或对计算机系统本身造成严重破坏。大体上,试图利用安全漏洞的不同类型的软件可以称作“恶意软件”,并且可归类成包括病毒、蠕虫、广告软件、间谍软件和其他的组。
许多不同的产品尝试保护计算机系统和它们关联的数据以免被恶意软件攻击。一个这样的方法是使用例如McAfee AntiVirus、McAfee Internet Security和McAfee TotalProtection等反恶意软件程序。一些反恶意软件程序依赖使用恶意软件签名用于检测。这些签名可基于之前识别的恶意软件的身份或恶意软件文件的一些哈希或其他结构标识符。用于识别恶意软件的另一个方法基于文件的行为。例如,反恶意软件的软件可对于尝试访问存储器的受限部分的过程来监测电子设备。
然而,这些方法依赖静态签名和/或大量的处理能力来跟踪过程行为。另外,签名数据库可能因为识别越来越多的恶意软件而变得非常大。另外,因为略微修改的恶意软件文件的哈希可与原始哈希不同,对恶意软件文件的小的改变可战胜使签名数据库的大小降低的尝试。硬件问题还可因为需要一致网络连接来确保恶意软件签名的最新版本可用而出现。最后,对签名的依赖可以使系统易受瞬时攻击-由之前未识别的恶意软件的攻击。
发明内容
根据本公开的教导,与检测电子设备上的服务攻击的拒绝关联的劣势和问题可改进、减少或消除。
根据本公开的一个实施例,描述用于将多个过程归类到多个过程类别内的方法。该方法可包括:收集该过程的多个特征;将多个归类规则应用于该多个特征来产生多个加权的威胁分数,其中该多个归类规则中的每个对应于多个过程类别中的一个或多个;将多个加权的威胁分数与多个阈值比较,其中该多个阈值中的每个对应于多个过程类别中的一个;以及至少基于多个加权的威胁分数与多个预定阈值的比较将过程归类到一个或多个过程类别中。
根据本公开的另一个实施例,描述用于将多个过程归类到多个过程类别内的系统。该系统可包括处理器,其配置成收集过程的多个特征;将多个归类规则应用于该多个特征来产生多个加权的威胁分数,其中该多个归类规则中的每个对应于多个过程类别中的一个或多个;将多个加权的威胁分数与多个阈值比较,其中该多个阈值中的每个对应于多个过程类别中的一个;以及至少基于多个加权的威胁分数与多个预定阈值的比较将过程归类到一个或多个过程类别中。
附图说明
本实施例及其优势的更完整的理解可通过参考结合附图(其中类似的标号指示类似的特征)来看的下面的描述而获得,并且其中:
图1图示根据本公开的某些实施例用于检测在电子设备上运行的恶意过程的电子设备的高级图;
图2图示根据本公开的某些实施例用于检测在电子设备上运行的恶意过程的电子设备的备选高级图;以及
图3图示根据本公开的某些实施例用于检测在电子设备上运行的恶意过程的示例方法的流程图。
具体实施方式
优选实施例和它们的优势通过参照图1至3而最好地理解,其中类似的数字用于指示类似且对应的部件。
为了该公开的目的,电子设备系统可包括能够存储、处理、发送、接收、使用或处理采用数字形式存储的数据的任何设备、子设备或设备和/子设备的组合,该数据包括存储在计算机可读介质上的数据。计算机可读介质可包括配置成存储数字数据的任何设备、子设备或设备和/或子设备的组合,其无限制地包括硬盘驱动器、闪速存储器、只读存储器、随机存取存储器、光学存储器、固态存储器或用于存储数字数据的任何其他类型的可移动和/或固定介质。
图1图示根据本公开的某些实施例用于检测在电子设备100上运行的恶意过程的电子设备100的高级图。电子设备100可配置成运行多个过程。一般,过程可以是当前在电子设备100上执行的计算机程序的实例。电子设备可同步运行任何数量的过程。作为说明性示例,过程可以是字处理程序、web浏览器、操作系统过程(例如打印后台处理器或任务管理器、网络活动监测器)的当前执行部分,或当前在电子设备100上执行的计算机程序的任何其他实例。在一些实施例中,这些过程可归类到一个或多个过程类别内。这些类别可包括善意过程和恶意过程。善意过程可以是在用户或系统操作者知情和/或具有用户或系统操作者权限的情况下在电子设备100上运行的那些过程。恶意过程可以是在用户或系统操作者不知情和/或没有用户或系统操作者权限的情况下在电子设备100上运行的过程,或可以是具有对电子设备100或电子设备100的用户或操作者有害的一些行为的过程。在一些配置中,这些恶意过程可大体上称为“恶意软件”。
电子设备100可以是任何类型的电子设备,其包括膝上型计算机、桌上型计算机和/或蜂窝电话。在一些实施例中,电子设备100还可以是服务器、服务器群集、虚拟机或配置成在硬件和/或固件上运行的其他计算硬件、固件和/或软件。
在一些实施例中,电子设备100可包括处理器202和计算机可读介质208。处理器202可以是配置成执行对于电子设备的指令的任何适合的微处理器。作为说明性示例,处理器202可以是个人计算机处理器(例如,Intel Core 2 Duo、Intel Core i3或AMD Turion处理器),或蜂窝电话处理器(例如,三星S5PC110)或任何其他适合的微处理器。
处理器202可通信地耦合于计算机可读介质208。计算机可读介质208可包括任何适合的计算机可读介质,其包括硬盘驱动器、RAM、ROM、光学介质、网络存储设备、分布式存储设备、群集的存储设备、虚拟盘或任何其他适合的计算机可读介质。
在一些实施例中,电子设备100可包括实现为硬件部件或存储在计算机可读介质208上并且能由处理器202执行的一个或多个模块,其包括特征收集模块102、特征分析引擎104和数据库106。在图1的图示实施例中,特征收集模块102、特征分析引擎104和数据库106描绘为存储在计算机可读介质208中。然而,在一些实施例中,模块可存储在相同或不同的计算机可读介质208上、在相同或不同的电子设备100上,或在硬件、固件或其的一些组合中实现。
在一些实施例中,特征收集模块102可配置成收集关于在电子设备100上运行的过程的特征。作为说明性示例,过程的特征可以是它是否与Windows操作系统中的开始菜单关联。特征分析引擎104大体上可配置成分析由特征收集模块102收集的特征以便确定在分析中的过程是恶意还是善意的,和/或进一步将过程归类到恶意过程的一个或多个子类别内。
尽管特征收集模块102、特征分析引擎104和数据库106图示为驻存在相同的电子设备100内,在一些实施例中,它们可在一个或多个相同或不同的电子设备100中存在。例如,数据库106可在中央服务器上存在,而特征收集模块102和特征分析引擎104可在本地客户机上存在。作为另一个示例,数据库106可在驻存在电子设备上的管理程序中存在,其中数据库106可服务于多个特征收集模块102和多个特征分析引擎104,其可在通信地耦合于管理程序的多个客操作系统中存在。作为再另一个示例,特征收集模块102、特征分析引擎104和数据库106可以是能在计算机可读介质上执行的集成软件程序的部分,或可以是独立软件程序和/或独立部件、功能,或能在计算机可读介质上执行的较大软件程序的例程。
在一些实施例中,特征收集模块102可大体上能操作成收集在电子设备100上运行的过程集的多个特征以便将过程归类为恶意或善意的,如在下文参照图2-3更详细描述的。大体上,过程特征是描述行为、状态、文件大小、文件类型的属性,或在电子设备100上执行的过程的其他属性。例如,特征可包括过程是否与电子设备100的操作系统的开始菜单关联、是否与操作系统的任务栏关联、隐藏还是不可见、签名的还是未签名的和/或是否请求开放网络端口。
特征分析引擎104可大体上能操作成分析收集的特征。在一些实施例中,这可包括将多个归类规则214应用于收集的特征。这些规则214可包括对收集的特征分配权重、进行加权总数的统计分析以及对每个过程产生加权的威胁分数,如在下文参照图2-3更详细描述的。在一些实施例中,特征分析引擎104可进一步能操作成将加权的威胁分数与存储在数据库106中的预定阈值集比较以便将过程归类为恶意或善意的。在相同或不同的实施例中,特征分析引擎104可进一步能操作成至少基于一个或多个加权的威胁分数将过程归类到一个或多个恶意软件系列内,如在下文参照图2-3更详细描述的。
在操作中,电子设备100大体上可配置成将多个过程归类到一个或多个过程类别内。过程可以是当前在电子设备100上运行的计算机程序的实例。电子设备可同步运行任何数量的过程。作为说明性示例,过程可以是字处理程序、web浏览器、操作系统过程(例如打印后台处理器或任务管理器、网络活动监测器)的当前执行部分,或当前在电子设备100上执行的计算机程序的任何其他实例。在一些实施例中,这些过程可能归类到一个或多个过程类别内。这些类别可包括善意过程和恶意过程。善意过程可以是在用户或系统操作者知情和/或具有用户或系统操作者权限的情况下在电子设备100上运行的那些过程。恶意过程可以是在用户或系统操作者不知情和/或没有用户或系统操作者权限的情况下在电子设备100上运行的过程,或可以是具有对电子设备100或电子设备100的用户或操作者有害的一些行为的过程。在一些配置中,这些恶意过程可大体上称为“恶意软件”。
在相同或其他实施例中,恶意过程可进一步归类到子类别内。如在下文参照图2-3更详细描述的。这些子类别可包括某些类型的恶意软件,例如后门过程、伪警报过程和下载器过程。更多、更少或其他类别的恶意过程可在给定配置中实现而不偏离本公开的范围。
如在下文参照图2-3更详细描述的,电子设备100大体上可配置成通过创建在所述归类中有用的规则214集、从在电子设备100上运行的每个过程收集特征、将该规则214集应用于收集的特征、适当地对该应用的结果加权以及将加权的结果与阈值集比较而将过程归类到一个或多个过程类别内。
在一些实施例中,电子设备100大体上可配置成通过聚集关于来自各种硬件、固件、软件或硬件、固件和/或软件(其是电子设备100的部分或通信地耦合于电子设备100)的一些组合的那些过程的数据而从在电子设备100上运行的过程收集特征。
图2根据本公开的某些实施例更详细地图示图1的电子设备100。在一些实施例中,电子设备100可包括处理器202,其通信地耦合于操作系统204、反恶意软件部件206、计算机可读介质208和网络接口212。如在上文参照图1和在下文参照图3更详细描述的,电子设备100可包括计算机可读介质208,其存储特征收集模块102、特征分析引擎104和数据库106,全部通信地耦合于彼此。计算机可读介质208还可包括过程信息模块220,其通信地耦合于特征收集模块102。在相同或备选实施例中,电子设备100可包括处理器202,其配置成执行由特征收集模块102、特征分析引擎104和/或数据库提供的指令。
在一些实施例中,处理器202可配置成运行多个过程210。大体上,过程210可以是当前在电子设备100上执行的计算机程序的实例。电子设备可同步运行任何数量的过程210。作为说明性实例,示出处理器202运行五个过程210,为了便于描述而标记为过程210A、210B、210C、210D和210E。尽管描绘五个过程210,更多、更少或不同的过程可以在给定配置中存在而不偏离本公开的范围。
处理器202可配置成从操作系统204、反恶意软件部件206、计算机可读介质208和/或网络接口212检索数据。在一些实施例中,操作系统204可以是在电子设备100或另一个电子设备100的处理器202或另一个处理器202上执行的任何操作系统。作为说明性示例,操作系统204可以是Windows XP、Windows 7、Linux、UNIX、Mac OS的实际或虚拟实例,或配置成在电子设备100上运行的任何其他操作系统。操作系统204可配置成具有在操作系统204上运行的某些程序、例程或子例程,其可对过程210作为恶意或善意的归类提供有价值的信息。例如,操作系统204可包括“开始菜单”,其配置成对终端用户提供对一些应用的容易访问。在电子设备100上运行的一些过程210可与开始菜单关联,而其他可不关联。在图2的图示示例中,过程210A、210B、210D、210E与开始菜单关联。例如,过程210可以是字处理应用(Microsoft Word)的当前执行实例。在一些配置中,应用可具有包括在开始菜单中的关联的快捷方式。因为与恶意过程关联的应用可不太可能包括在开始菜单中,关于过程与开始菜单的关联性的信息在将过程归类为恶意或善意方面可是有用的。
另外,操作系统204可包括“任务栏”,其配置成提供在电子设备100上运行的某些过程210的状态。在图2的图示示例中,过程210A、210C、210D、210E与任务栏关联。例如,过程210可是例如由Windows操作系统使用的等网络状态应用的当前执行实例。因为某些类型的恶意过程尝试利用任务栏来鼓励终端用户参与恶意过程,关于过程与任务栏的关联性的信息在将过程归类为恶意或善意方面可是有用的。然而,许多类型的善意程序(例如网络状态应用)还利用状态栏。如在下文参照图3更详细描述的,在一起考虑过程的特征比单独考虑某些类型的行为通常更有用。
尽管“开始菜单”和“任务栏”的说明性示例描绘为在操作系统204内运行的例程,更多、更少或不同的例程可在操作系统204内运行和/或分析,如在下文参照图3更详细描述的。
在一些实施例中,电子设备100还可包括反恶意软件部件206,其通信地耦合于处理器202。反恶意软件部件可以是存储在计算机可读介质上并且能由硬件和/或固件或其任何组合执行的任何硬件、固件、软件。在一些实施例中,反恶意软件部件206可以是在操作系统204内运行的应用。在其他实施例中,反恶意软件部件206可以是在操作系统外部204运行的应用,例如在开机前环境中。在再另外的示例中,反恶意软件部件206可包括多个子部件,其中一些子部件在操作系统204内部运行并且一些子部件在操作系统204外部运行。作为说明性示例,反恶意软件部件206可包括以下中的一些或全部:在操作系统204内部运行的代理和在操作系统204外部运行的分析引擎。
在一些实施例中,反恶意软件部件206可配置成存储多个规则214。规则214可包括对于过程210的每个类别的规则214集。例如,恶意过程、后门过程、伪警报过程、下载器过程和善意过程可每个具有它们自己的规则集。在一些实施例中,这些规则系列可描述某些特征或要测试的特征集合以便将过程210归类到一个或多个类别内。在一些实施例中,特征分析引擎104可配置成为了将那些过程210归类为恶意或善意而对收集的特征应用规则214。在其他实施例中,特征分析引擎的功能性中的一些或全部可由反恶意软件部件206执行。例如,在其中反恶意软件部件206全部存储在计算机可读介质208上的配置中,反恶意软件部件206可配置成存储规则214,以及将它们应用于过程210。
在一些实施例中,应用这些规则214的结果可被加权并且与预定阈值218集相比较。在一些实施例中,要应用于规则214的权重216可由反恶意软件部件206存储并且被特征分析引擎104应用。在相同或其他实施例中,权重216可存储在计算机可读介质208的数据库106中。在再其他实施例中,权重216可由反恶意软件部件206应用于规则214。
如在下文参照图3更详细描述的,过程的每个类别的每个规则214可具有分配给它的权重216。在对规则的应用的结果加权后,可由特征分析引擎104进行统计分析来确定总加权的威胁分数,如在下文参照图3更详细描述的。例如,“后门”过程可具有用于将过程210归类到该类别内的规则集。与该规则集关联的每个规则214可具有关联的权重216。作为示例统计分析,特征分析引擎104可将该规则集应用于过程210的加权结果加起来以确定该过程210是否应归类为后门过程。在其他实施例中,反恶意软件部件206可进行统计分析。
在对规则的应用的结果加权后,加权的结果可通过特征分析引擎104而与阈值218集相比较。这些阈值218可每个对应于特定类别的过程210。作为说明性示例,这些阈值218可包括恶意软件过程阈值、“后门”恶意软件阈值、“伪警报”恶意软件阈值和/或“下载器”恶意软件阈值。这些和其他说明性示例在下文参照图3更详细描述。在其他实施例中,反恶意软件部件206可将加权的结果与该阈值218集相比较。
电子设备100还可包括计算机可读介质208。计算机可读介质208可包括任何适合的计算机可读介质,其包括硬盘驱动器、RAM、ROM、光学介质、网络存储设备、分布式存储设备、群集的存储设备、虚拟盘或任何其他适合的计算机可读介质。电子设备100可包括计算机可读介质208的一个或多个实例。在一些实施例中,计算机可读介质208可包括特征收集模块102、特征分析引擎104和数据库106,如在上文参照图2更详细描述的。
在一些实施例中,计算机可读介质208还可包括过程信息模块220。过程信息模块220可包括代表在电子设备100上运行的过程210的某些特征的数据。在图2的图示示例中,过程信息模块220包括代表过程210的两个特征的数据。第一说明性特征是隐藏特征222。隐藏特征222可指示过程210是否对终端用户和/或操作系统204隐藏。第二说明性特征是签名特征224。签名特征224可指示过程210是被过程210的构造和/或分配器签名还是未签名。例如,过程210A可被隐藏并且签名,过程210B可是可见的并且被签名,过程210C可是可见的并且未被签名,等。尽管五个过程210示出为与计算机可读介质208关联,更多、更少或不同的过程210可在任何给定时间处运行。在一些实施例中,仅主动过程210的子集可被分析,并且因此可收集仅关于该子集的信息。如在下文参照图3更详细描述的,与在分析中的过程210中的每个关联的属性值可用于将每个过程210归类为恶意或善意的和/或将过程210归类为一个或多个类别的恶意过程。
在一些实施例中,电子设备100可包括网络接口212,其通信地耦合于处理器202。网络接口212可以是存储在计算机可读介质上并且能由硬件和/或固件或其任何组合执行的任何硬件、固件、软件。在一些实施例中,网络接口212可以是与网络接口卡(“NIC”)关联并且配置成监测与所述NIC关联的一些或全部数据的应用。在其他实施例中,网络接口212可以是与NIC关联并且配置成传送与所述NIC关联的一些或全部数据的硬件和/或固件的一些部分。在再另外的实施例中,网络接口212可包括多个子部件,其中一些子部件作为存储在计算机可读介质上并且能由硬件和/或固件执行的软件而在操作系统204内部运行,一些子部件作为存储在计算机可读介质上并且能由硬件和/或固件执行的软件和/或与NIC设备自身关联的硬件和/或固件而在操作系统204外部运行。作为说明性示例,网络接口212可以是以下中的一些或全部:在操作系统204内运行、配置成监测网络业务的代理、在操作系统204外部(例如,在开机前环境中)运行、配置成监测网络业务的代理,以及当前安装在NIC设备上的固件。
在一些实施例中,网络接口212可配置成传送与在电子设备100上运行的某些过程210关联的数据。例如,网络接口212可配置成传送网络特征226。网络特征226可指示给定过程210是否具有开放网络端口。在图2的说明性示例中,网络接口212可传达过程210A、210B、210C、210E具有开发网络端口,而过程210D则未这样。如在下文参照图3更详细描述的,这样的信息在确定某些过程210是归类为恶意还是善意方面和/或在确定过程210可属于哪个类别的恶意过程210方面可是有用的。尽管五个过程210示出为与网络接口212关联,更多或更少的过程210可在任何给定时间处运行。在一些实施例中,仅主动过程210的子集可被分析,并且因此可收集仅关于该子集的信息。
图3图示根据本公开的某些实施例用于检测在电子设备100上运行的恶意过程的示例方法300的流程图。方法300包括收集对于某些过程的特征、基于那些特征的分析对过程归类以及针对任何识别的恶意过程采取动作。
根据一个实施例,方法300优选地在步骤302处开始。本公开的教导可在电子设备100的多种配置中实现。如此,对于方法300的优选初始化点以及包括方法300的步骤302-314的顺序可取决于选择的实现。
在步骤302处,电子设备100可识别当前在电子设备100上运行的所有过程。在一些配置中,当前运行的过程的数量可是在一到几千之间。在识别所有当前运行的过程后,方法300可行进到步骤304。
在步骤304处,电子设备100的特征收集模块102可收集描述选择的过程210的特征。如在上文参照图2更详细描述的,这在一些实施例中可包括从操作系统204、反恶意软件部件206、计算机可读介质208和/或网络接口212聚集数据。如下文描述的,这可包括给定过程210是与操作系统204的开始菜单还是任务栏关联、过程210是隐藏还是不可见的、被签名还是未签名和/或过程210是否具有开放网络端口。如在下文更详细描述的,可聚集更多、更少或不同的数据。
在一些实施例中,收集的特征可包括对于分析的过程的行为以及结构属性。收集的特征在一些实施例中可表示为特征向量,其包括代表某些特征的存在或缺乏的一系列二进制值。例如,特征收集模块102可分析一百个过程。对于每个过程,特征收集模块102可收集八个特征。每个过程然后可具有八位特征向量。在其他示例中,可分析更多或更少的过程和/或可收集更多或更少的特征。作为说明性示例,收集的特征可包括以下:(A)列入黑名单的节名,其是已知在恶意软件中发现的节名列表(“ContainsBlackListSectionNames”),(B)过程是否具有可视窗口(“IsWindowInvisible”),(C)过程是否是开放网络端口(“NetworkUsage”),(D)过程在系统盘中是否具有图标(“IsInSystemTrayIcon”),(E)过程是否具有对于对应于API的导入表条目(“IsDebuggerPresent”),(F)过程图像是否被签名(“Is Signed”),(G)过程是否在开始菜单中具有快捷方式(“IsInStartMenuEntry”),以及(H)过程图像是否被打包(“IsPacked”)。在这样的说明性示例中,其中特征收集模块102已经收集对于过程的这些特征,对于该过程的特征向量可看起来像:<11110011>。这样的特征向量可代表包含列入黑名单的节名、是不可见的、具有开放网络端口、在系统盘中具有图标、不具有存在的调试器、未被签名、在开始菜单中并且被打包的过程。如在上文参照图1-2更详细描述的,电子设备100可从各种源收集数据以便收集这些特征。在从选择的过程收集相关特征后,方法300然后可行进到步骤308。
在步骤308处,方法300可将过程归类为恶意或善意的。在一些实施例中,特征分析引擎104可将统计分析应用于由电子设备100的特征收集模块102收集的特征。重要地是,特征分析引擎104可立刻将统计分析应用于特征组以便最佳地确定给定过程是恶意还是善意的。在一些实施例中,特征分析引擎104可配置成创建规则214集,其中每个规则214具有关联的权重216。规则214可通过将逆降维算法应用于大的潜在可应用特征集而创建,以便创建较小的特征组的集用于分析。例如,这样的算法可应用于测试数据集,其可包括属于多个类别的恶意过程的数据样本。
在一些实施例中,恶意过程类别可包括一个或多个规则214,其中每个规则214与权重216关联。在一些配置中,权重216可基于对恶意过程类别归类的经验而分配。在其他配置中,权重216可通过使用应用于样本数据的机器学习技术而建立。除一个或多个规则214外,恶意过程类别可具有关联的阈值218。在一些实施例中,阈值218可基于对恶意过程类别归类的经验而分配。在其他配置中,阈值218可通过使用应用于样本数据的机器学习技术而建立。作为说明性示例,支持向量机技术可用于对给定类别建立阈值218。
由特征分析引擎104运行的归类算法的说明性示例在下式1-2中再现。式1说明由特征分析引擎104运行来计算给定过程属于特定类别的恶意过程的置信度水平的示例算法。式2说明由特征分析引擎104运行用于将过程归类到类别内的示例算法。式1-2说明为伪代码并且不应被当作限制式1-2所应用的配置。另外,式1-2仅作为说明性示例而提供,并且可使用其他算法而不偏离本公开的范围。
式1
input:p,其中p是对于给定过程的过程标识
对于恶意过程类别X的规则214集,RX
对于系列X的阈值218,TX
分配给RX的给定规则214 Rj的权重216,wj
output:对于过程p的置信度,Cp
begin
k,其中k是特征向量中特征的数量;
Fp,其中Fp是对于过程p的特征向量;
foreach规则Rj X,其中j是RX中规则214的计数
do
过程p中规则214Rj X的存在, ;
end
对于过程p的权重216,
对于过程p的置信度,;
returnCp;
end
如上文的伪代码所指示的,示例算法可计算对于在分析中的每个过程的置信度值。这样的置信度值可以是将对于过程的总加权的威胁分数与对于过程类别(对于其的过程正被考虑纳入)的阈值218比较的结果。如在下文更详细描述的,这些过程类别可包括后门、伪警报和/或下载器恶意过程,以及善意过程。总加权的威胁分数可通过将对于类别规则214的统计分析的多个权重216应用于过程的特征向量而计算。在一些实施例中,对于给定过程类别的每个规则214可具有它自己的权重,如在下文更详细描述的。在一些配置中,一旦确定置信度值,式2的示例算法可被调用来确定过程类别。
式2
input:p,其中p是对于给定过程的过程标识
对于恶意过程类别X的规则214集,RX
对于系列X的阈值218,TX
对于过程p的置信度,Cp
output:对于过程p的类别
begin
系列;
置信度;
foreach类别,Xdo
RX 对于系列X的规则214;
TX 对于系列X的阈值218;
Cp X=根据式1计算的置信度
if置信度<Cp X then
系列X;
置信度Cp X;
end
end
return系列;
end
再次参照方法300的步骤308,在一些实施例中,恶意过程类别可具有用于将过程归类到该类别内的一个或多个规则214。每个规则214可具有分配给它的权重216。通过使加权的规则214组合,方法300可将过程归类到恶意过程的一个或多个类别内。上文的式1-2描述用于完成这样的归类的一个潜在算法。另外的简化说明性示例可有助于理解。
在一些配置中,恶意过程类别可包括“后门”过程。大体上,后门过程可以是允许访问正常验证规程外部的某些系统资源的过程。为了测试对于归类为后门过程的过程,可收集下面的特征:(A)是文件隐藏的,(B)是过程窗口不可见的,(C)是过程ID隐藏的,(D)是从临时存储器位置运行的过程,(E)过程确实包含黑名单节名,(F)是使用网络端口的过程,以及(G)是过程被数字签名的。该说明被简化并且测试可根据实现而包括更多、更少或不同的特征。
使用该说明性示例,下文的表1描绘在电子设备100上运行的三个示例过程的示例数据。示例数据使用值“1”来指示特征的存在和值“0”来指示特征的缺乏。例如,表1将示例过程1示出为:未隐藏的(0),不可见的(1),具有隐藏过程ID(1),从临时存储器位置运行的(1),未包含黑名单节名(0),使用网络端口(1)以及未被数字签名(0)。尽管描绘七个特征和三个过程,可使用更多、更少或不同的特征和/或过程。另外,可使用指示某些特征的存在和/或缺乏的不同系统。如在上文参照步骤306更详细描述的,对于这样的示例数据的特征向量可看起来像<0111010>。相似地,对于示例过程2-5的特征向量可看起来像以下:过程2<1011001>,过程3<1111111>。
表1
特征A | 特征B | 特征C | 特征D | 特征E | 特征F | 特征G | |
过程1 | 0 | 1 | 1 | 1 | 0 | 1 | 0 |
过程2 | 1 | 0 | 1 | 1 | 0 | 0 | 1 |
过程3 | 1 | 1 | 1 | 1 | 1 | 1 | 1 |
使用这些特征,可应用下面的规则214:(A)是隐藏的并且是过程窗口不可见的;(B)是过程ID隐藏的;(C)是过程窗口不可见并且是从临时存储器位置运行的过程;(D)是过程窗口不可见并且过程确实包含黑名单节名;以及(E)是过程窗口不可见、是使用网络端口的过程,以及是被数字签名的过程。如该示例示出的,规则214可一次检查一个或多个特征。这可因为单独特征独自可不能指示恶意行为或可不能以足够高的置信度地指示恶意行为。另一方面,多个特征当在一起考虑时可以足够高的置信度地指示恶意行为。
在一些实施例中,该规则214组可应用于特征向量来生成威胁分数集。这些威胁分数还可具有对应的权重216。例如,可对规则214(A)分配15的权重216,对规则214(B)分配15的权重216,对规则214(C)分配2的权重216,对规则214(D)分配3的权重216,以及对规则214(E)分配3的权重216。如果规则214的应用的总权重216超出预定阈值,这可指示考虑中的过程是恶意的并且属于后门类别。另外,越高于阈值,归类中的置信度越高。可基于规则214的应用对每个过程分配总加权的威胁分数。使用上文的示例数据,对于示例过程1的加权威胁分数可以是:[15(分配给规则214 A的权重216)*0(过程1不满足规则214 A)]+[15(分配给规则214 B的权重216)*1(过程1满足规则214 B)]+[2(分配给规则214 C的权重216)*1(过程1满足规则214 C)]+[3(分配给规则214 D的权重216)*1(过程1满足规则214 D)]+[3(分配给规则214 E的权重216)*0(过程1不满足规则214 E)] =20。
在一些实施例中,该加权的威胁分数可进一步和与每个过程类别关联的阈值218相比较。在一些实施例(其包括本文使用的说明性示例)中,加权的威胁分数必须超出阈值218。在其他实施例中,加权的威胁分数可只需要满足或超出阈值218。例如,如果对于在当前示例中归类为后门过程的阈值218是20,则上文提到的加权规则214的应用可确定过程在下面的情形中是否是后门过程,如在下文在表2中详述的。
表2
示例 | 规则214A(15) | 规则214B(15) | 规则214C(2) | 规则214D(3) | 规则214E(3) | 总数 | 后门? |
1 | 0 | 15 | 2 | 3 | 0 | 20 | 否 |
2 | 0 | 15 | 0 | 0 | 0 | 15 | 否 |
3 | 15 | 15 | 2 | 3 | 3 | 38 | 是 |
作为另外的示例,在一些配置中,恶意过程类别可包括“伪警报”过程。大体上,伪警报过程可以是对用户产生假警报以便激起用户动作(例如购买危险产品)的过程。为了测试对于归类为伪警报过程的过程,可收集下面的特征:(A)过程确实不包含白名单节名,(B)过程被打包的,(C)在过程存储器中存在恶意字,(D)是现有过程的父母,(E)过程窗口不可见的,(F)系统盘中的过程,以及(G)过程文件隐藏的。该说明被简化并且测试可根据实现包括更多、更少或不同的特征。值得注意的是,某些特征可以与用于将过程归类为其他类别的恶意过程的特征相同或不同。
使用该说明性示例,下文的表3描绘在电子设备100上运行的三个示例过程的示例数据。例如,表3将示例过程1示出为:不包含白名单节名(0)、被打包(1)、在过程存储器中具有恶意字(1)、是现有过程的父母(1)、非不可见的(0)、在系统盘中(1)以及未隐藏的(0)。尽管描绘七个特征和三个过程,可使用更多、更少或不同的特征。另外,可使用指示某些特征的存在和/或缺乏的不同系统。如在上文参照步骤306更详细描述的,对于这样的示例数据的特征向量可看起来像<0111010>。相似地,对于示例过程2-3的特征向量可看起来像以下:过程2<1011001>,过程3<1111111>。
表3
特征A | 特征B | 特征C | 特征D | 特征E | 特征F | 特征G | |
过程1 | 0 | 1 | 1 | 1 | 0 | 1 | 0 |
过程2 | 1 | 0 | 1 | 1 | 0 | 0 | 1 |
过程3 | 1 | 0 | 1 | 1 | 1 | 1 | 0 |
使用这些特征,可应用下面的规则214:(A)过程确实未包含白名单节名并且过程未被打包的,(B)过程确实在过程存储器中具有恶意字并且父母不存在的,(C)过程窗口不可见的并且是系统盘中的过程并且过程确实在过程存储器中具有恶意字,以及(D)是系统盘中的过程并且是文件隐藏的。如该示例示出的,规则214可一次检查一个或多个特征。这可因为单独特征独自可不能指示恶意行为或可不能以足够高的置信度地指示恶意行为。另一方面,多个特征当在一起考虑时可以足够高的置信度地指示恶意行为。
在一些实施例中,该规则214组可应用于特征向量来生成威胁分数集。这些威胁分数还可具有对应的权重216。例如,可对规则214(A)分配10的权重216,对规则214(B)分配5的权重216,对规则214(C)分配15的权重216,以及对规则214(D)分配5的权重216。如果规则214的应用的总权重216超出预定阈值,这可指示考虑中的过程是恶意的并且属于后门类别。另外,越高于阈值,归类中的置信度越高。可基于规则214的应用对每个过程分配总加权的威胁分数。使用上文的示例数据,对于示例过程1的加权威胁分数可以是:[10(分配给规则214 A的权重216)*0(过程1不满足规则214 A)]+[5(分配给规则214 B的权重216)*1(过程1满足规则214 B)]+[15(分配给规则214 C的权重216)*0(过程1不满足规则214 C)]+[5(分配给规则214 D的权重216)*0(过程1不满足规则214 D)] =5。
在一些实施例中,该加权的威胁分数可进一步和与每个过程类别关联的阈值218相比较。例如,如果对于在当前示例中归类为伪警报过程的阈值218是20,则上文提到的加权规则214的应用可确定过程在下面的情形中是否是伪警报过程,如在下文在表4中详述的。
表4
示例 | 规则214A(10) | 规则214B(5) | 规则214C(15) | 规则214D(5) | 总数 | 伪警报? |
1 | 0 | 5 | 0 | 0 | 5 | 否 |
2 | 0 | 5 | 0 | 0 | 5 | 否 |
3 | 0 | 5 | 15 | 5 | 25 | 是 |
作为另外的示例,在一些配置中,恶意过程类别可包括“下载器”过程。大体上,下载器过程可以在用户不知情和/或没有用户允许的情况下对电子设备下载软件的过程。为了测试对于归类为下载器过程的过程,可收集下面的特征:(A)过程确实包含黑名单节名,(B)是使用网络端口的过程,(C)父母不存在的,(D)过程未从程序文件执行,(E)文件是隐藏的,以及(F)过程窗口是不可见的。该说明被简化并且测试可根据实现包括更多、更少或不同的特征。值得注意的是,某些特征可以与用于将过程归类为其他类别的恶意过程的特征相同或不同。
使用该说明性示例,下文的表5描绘在电子设备100上运行的三个示例过程的示例数据。例如,表5将示例过程1示出为:不包含黑名单节名(0)、使用网络端口(1)、具有不存在的父母(1)、未从程序文件执行(1)、非隐藏的(0)以及不可见的(1)。尽管描绘六个特征和三个过程,可使用更多、更少或不同的特征。另外,可使用指示某些特征的存在和/或缺乏的不同系统。如在上文参照步骤306更详细描述的,对于这样的示例数据的特征向量可看起来像<011101>。相似地,对于示例过程2-3的特征向量可看起来像以下:过程2<101100>,过程3<111111>。
表5
特征A | 特征B | 特征C | 特征D | 特征E | 特征F | |
过程1 | 0 | 1 | 1 | 1 | 0 | 1 |
过程2 | 1 | 0 | 1 | 1 | 0 | 0 |
过程3 | 1 | 0 | 1 | 1 | 1 | 1 |
使用这些特征,可应用下面的规则214:(A)过程确实包含黑名单节名并且使用网络端口,(B)父母不存在,过程未从程序文件执行,并且文件是隐藏的,以及(C)父母不存在并且过程使用网络端口并且过程窗口是不可见的。如该示例示出的,规则214可一次检查一个或多个特征。这可因为单独特征独自可不能指示恶意行为或可不能以足够高的置信度地指示恶意行为。另一方面,多个特征当在一起考虑时可以足够高的置信度地指示恶意行为。
在一些实施例中,该规则214组可应用于特征向量来生成威胁分数集。这些威胁分数还可具有对应的权重216。例如,可对规则214(A)分配1的权重216,对规则214(B)分配15的权重216,以及对规则214(C)分配10的权重216。如果规则214的应用的总权重216超出预定阈值,这可指示考虑中的过程是恶意的并且属于后门类别。另外,越高于阈值,归类中的置信度越高。可基于规则214的应用对每个过程分配总加权威胁分数。使用上文的示例数据,对于示例过程1的加权威胁分数可以是:[1(分配给规则214 A的权重216)*0(过程1不满足规则214 A)]+[15(分配给规则214 B的权重216)*0(过程1不满足规则214 B)]+[10(分配给规则214 C的权重216)*1(过程1满足规则214 C)] =10。
在一些实施例中,该加权的威胁分数可进一步和与每个过程类别关联的阈值218相比较。例如,如果对于在当前示例中归类为下载器过程的阈值218是10,则上文提到的加权规则214的应用可确定过程在下面的情形中是否是下载器过程,如在下文在表6中详述的。
表6
示例 | 规则214A(1) | 规则214B(15) | 规则214C(10) | 总数 | 下载器? |
1 | 0 | 0 | 10 | 10 | 否 |
2 | 0 | 0 | 0 | 0 | 否 |
3 | 1 | 15 | 10 | 26 | 是 |
作为最后的示例,在一些配置中,方法300还可将过程归类为善意的。即,过程可不是恶意的。为了测试对于归类为善意过程的过程,可收集下面的特征:(A)过程被签名的,(B)在“添加/去除程序”中的过程,(C)过程窗口可见的,以及(D)不存在悬挂线程。在该说明性示例中,“添加/去除程序”可以是允许用户添加和/或去除新程序的Windows操作系统的特征。该说明被简化并且测试可根据实现包括更多、更少或不同的特征。值得注意的是,某些特征可以与用于将过程归类到其他类别的恶意过程内的特征相同或不同。
使用该说明性示例,下文的表7描绘在电子设备100上运行的三个示例过程的示例数据。例如,表7将示例过程1示出为:未被签名(0)、在添加/去除程序中(1)、可见的(1)以及不具有悬挂的线程(1)。尽管描绘四个特征和三个过程,可使用更多、更少或不同的特征。另外,可使用指示某些特征的存在和/或缺乏的不同系统。如在上文参照步骤306更详细描述的,对于这样的示例数据的特征向量可看起来像<0111>。相似地,对于示例过程2-3的特征向量可看起来像以下:过程2<1011>,过程3<1111>。
表7
特征A | 特征B | 特征C | 特征D | |
过程1 | 0 | 1 | 1 | 1 |
过程2 | 1 | 0 | 1 | 1 |
过程3 | 1 | 1 | 1 | 1 |
使用这些特征,可应用下面的规则214:(A)过程被签名的,(B)过程被签名的并且过程是在添加/去除程序中,(C)过程被签名的并且过程窗口是可见的,并且不存在悬挂的线程。如该示例示出的,规则214可一次检查一个或多个特征。这可因为单独特征独自可不能指示恶意行为或可不能以足够高的置信度地指示恶意行为。另一方面,多个特征当在一起考虑时可以足够高的置信度地指示恶意行为。
在一些实施例中,该规则214组可应用于特征向量来生成威胁分数集。这些威胁分数还可具有对应的权重216。例如,可对规则214(A)分配30的权重216,对规则214(B)分配15的权重216,以及对规则214(C)分配15的权重216。如果规则214的应用的总权重216超出预定阈值,这可指示考虑中的过程是恶意的并且属于后门类别。另外,越高于阈值,归类中的置信度越高。可基于规则214的应用对每个过程分配总加权威胁分数。使用上文的示例数据,对于示例过程1的加权威胁分数可以是:[30(分配给规则214 A的权重216)*0(过程1不满足规则214 A)]+[15(分配给规则214 B的权重216)*0(过程1不满足规则214 B)]+[15(分配给规则214 C的权重216)*0(过程1不满足规则214 C)] =0。
在一些实施例中,该加权的威胁分数可进一步和与每个过程类别关联的阈值218相比较。例如,如果对于在当前示例中归类为善意过程的阈值218是30,则上文提到的加权规则214的应用可确定过程在下面的情形中是否是善意过程,如在下文在表8中详述的。
表8
示例 | 规则214A(30) | 规则214B(15) | 规则214C(15) | 总数 | 下载器? |
1 | 0 | 0 | 0 | 0 | 否 |
2 | 30 | 0 | 15 | 45 | 是 |
3 | 30 | 15 | 15 | 60 | 是 |
再次参照图3,在步骤308处对过程归类后,方法300可行进到步骤310。在步骤310处,方法300可确定在步骤308处的归类是否识别为可疑过程。在一些实施例中,该确定可包括确定过程是否归类到恶意过程的一个或多个类别内。在其他实施例中,该确定可包括上文的确定,以及识别被识别为在归类中具有低置信度水平的过程。如在上文参照步骤308描述的,归类过程可包括置信度值的确定。作为说明性示例,置信度值可通过取规则214的应用于特征向量的加权总数与对于那些规则214的预定阈值218之间的差而计算。置信度值越高,过程越可能属于该类别的恶意过程。
在一些实施例中,如果置信度值足够高,可仅进行过程的归类。作为说明性示例,必要的置信度值可限定为预定阈值的百分比。例如,置信度值可必须是阈值218的25%以便行进到归类。在其他实施例中,只要置信度值是正的,可进行过程的归类。即,只要规则214的应用的加权总数高于预定阈值,过程可归类到一个或多个类别的恶意过程内。在再其他实施例中,只要置信度值是非负的,可对过程归类。这样的确定可高度取决于给定配置并且可取决于例如对于假阳性归类的给定配置的容差。在一些配置中,可实现这些可能性中的一个或多个。即,给定配置可识别潜在恶意过程的层次,其包括例如明确属于特定类别(即,置信度值>阈值218的25%)的过程、可能属于特定类别(即,置信度值>阈值218,但置信度值≤ 阈值218的25%)的过程以及可属于特定类别(即,置信度值=0)的过程。
如果在步骤310处,方法300确定存在可疑过程,方法300可行进到步骤312。在步骤312处,电子设备100可针对识别的恶意过程采取一些动作。这样的动作范围可从标记过程用于进一步分析到使过程处于隔离中、停止系统执行直到用户手动确定如何应对恶意过程。一旦已经采取动作,方法300可行进到步骤314。另外,如果确定过程不是可疑的,方法300可行进到步骤314。
在步骤314处,方法300可确定是否存在需要归类的另一个过程。如果存在这样的过程,方法300可返回步骤308,其中该过程可经历归类规程。如果不存在这样的过程,方法300可返回步骤302,其中可识别所有运行的过程。
尽管图3公开要关于方法300采取的特定数量的步骤,方法300可以比在图3中描绘的那些要更多或更少的步骤来执行。另外,尽管图3公开包括方法300的步骤的某一顺序,包括方法300的步骤可采用任何适合的顺序完成。例如,在示出的方法300的实施例中,过程作为恶意的归类示出为相继的,从一个过程到另一个。然而,在一些配置中,同时分析多个(如果不是全部的话)过程,这可是必要或可取的。另外,如在上文参照步骤310更详细描述的,可存在在确定是否将过程识别为可疑以及如何将过程识别为可疑方面包括的额外步骤。此外,尽管步骤312示出发生的单个动作,电子设备100的多个部件可需要多个动作来应对识别的可疑过程。
使用本文公开的方法和系统,与以基于非签名的方式检测恶意过程关联的某些问题可改进、减少或消除。例如,本文公开的方法和系统允许基于特征(其可基于签名和/或行为)的组合来检测恶意过程。
尽管已经详细描述本公开,应该理解可对其做出各种改变、替代和更改而不偏离如附上的权利要求限定的本公开的精神和范围。
Claims (18)
1.一种用于检测恶意过程的系统,所述系统包括运行多个过程的处理器,所述处理器配置成对于每个过程:
收集所述过程的多个特征;
将多个归类规则应用于所述多个特征来产生多个加权的威胁分数,其中所述多个归类规则中的每个对应于多个过程类别中的一个或多个;
将所述多个加权的威胁分数与多个阈值比较,其中所述多个阈值中的每个对应于所述多个过程类别中的一个;以及
至少基于所述多个加权的威胁分数与多个预定阈值的比较将过程归类到所述一个或多个过程类别中,
其中,将所述多个加权的威胁分数与多个阈值比较包括至少基于所述加权的威胁分数与所述阈值之间的差对所述多个加权的威胁分数中的每个分配置信度水平。
2.如权利要求1所述的系统,其中,所述多个过程类别包括多个恶意过程类别。
3.如权利要求2所述的系统,其中,所述多个恶意过程类别包括后门恶意软件。
4.如权利要求3所述的系统,其中,所述多个恶意过程类别包括伪警报恶意软件。
5.如权利要求3所述的系统,其中,所述多个恶意过程类别包括下载器恶意软件。
6.如权利要求1所述的系统,其中,所述多个特征包括识别所述过程是否是不可见的。
7.如权利要求1所述的系统,其中,所述多个特征包括指示与所述过程关联的网络使用行为的特征。
8.如权利要求1所述的系统,其中,所述多个特征包括指示与所述过程关联的系统盘行为的特征。
9.如权利要求1所述的系统,其中,所述多个特征包括指示与所述过程关联的签名的证书行为的特征。
10.一种用于将多个过程归类到多个过程类别内的方法,所述方法包括对于所述多个过程中的每个:
收集所述过程的多个特征;
将多个归类规则应用于所述多个特征来产生多个加权的威胁分数,其中所述多个归类规则中的每个对应于所述多个过程类别中的一个或多个;
将所述多个加权的威胁分数与多个阈值比较,其中所述多个阈值中的每个对应于所述多个过程类别中的一个;以及
至少基于所述多个加权的威胁分数与多个预定阈值的比较将过程归类到所述一个或多个过程类别中,
其中,将所述多个加权的威胁分数与多个阈值比较包括至少基于所述加权的威胁分数与所述阈值之间的差对所述多个加权的威胁分数中的每个分配置信度水平。
11.如权利要求10所述的方法,其中,所述多个过程类别包括多个恶意过程类别。
12.如权利要求11所述的方法,其中,所述多个恶意过程类别包括后门恶意软件。
13.如权利要求11所述的方法,其中,所述多个恶意过程类别包括伪警报恶意软件。
14.如权利要求13所述的方法,其中,所述多个恶意过程类别包括下载器恶意软件。
15.如权利要求10所述的方法,其中,所述多个特征包括识别所述过程是否是不可见的特征。
16.如权利要求10所述的方法,其中,所述多个特征包括指示与所述过程关联的网络使用行为的特征。
17.如权利要求10所述的方法,其中,所述多个特征包括指示与所述过程关联的系统盘行为的特征。
18.如权利要求10所述的方法,其中,所述多个特征包括指示与所述过程关联的签名的证书行为的特征。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/151,173 US9323928B2 (en) | 2011-06-01 | 2011-06-01 | System and method for non-signature based detection of malicious processes |
US13/151173 | 2011-06-01 | ||
PCT/US2012/040428 WO2012167056A2 (en) | 2011-06-01 | 2012-06-01 | System and method for non-signature based detection of malicious processes |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103782303A CN103782303A (zh) | 2014-05-07 |
CN103782303B true CN103782303B (zh) | 2016-11-09 |
Family
ID=47260372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280032823.1A Active CN103782303B (zh) | 2011-06-01 | 2012-06-01 | 对于恶意过程的基于非签名的检测的系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9323928B2 (zh) |
EP (1) | EP2715596A4 (zh) |
JP (1) | JP5713478B2 (zh) |
KR (1) | KR101654099B1 (zh) |
CN (1) | CN103782303B (zh) |
WO (1) | WO2012167056A2 (zh) |
Families Citing this family (121)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9038176B2 (en) | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
US9317690B2 (en) | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
US9032525B2 (en) | 2011-03-29 | 2015-05-12 | Mcafee, Inc. | System and method for below-operating system trapping of driver filter attachment |
US9262246B2 (en) | 2011-03-31 | 2016-02-16 | Mcafee, Inc. | System and method for securing memory and storage of an electronic device with a below-operating system security agent |
US9323928B2 (en) | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
IL219499B (en) * | 2012-04-30 | 2019-02-28 | Verint Systems Ltd | A system and method for detecting malicious software |
US9202047B2 (en) | 2012-05-14 | 2015-12-01 | Qualcomm Incorporated | System, apparatus, and method for adaptive observation of mobile device behavior |
US9298494B2 (en) | 2012-05-14 | 2016-03-29 | Qualcomm Incorporated | Collaborative learning for efficient behavioral analysis in networked mobile device |
US9690635B2 (en) | 2012-05-14 | 2017-06-27 | Qualcomm Incorporated | Communicating behavior information in a mobile computing device |
US9609456B2 (en) | 2012-05-14 | 2017-03-28 | Qualcomm Incorporated | Methods, devices, and systems for communicating behavioral analysis information |
US9324034B2 (en) | 2012-05-14 | 2016-04-26 | Qualcomm Incorporated | On-device real-time behavior analyzer |
US20130333027A1 (en) * | 2012-06-08 | 2013-12-12 | Forty1 Technologies Inc. | Dynamic rights assignment |
US20150161385A1 (en) * | 2012-08-10 | 2015-06-11 | Concurix Corporation | Memory Management Parameters Derived from System Modeling |
US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
US9319897B2 (en) | 2012-08-15 | 2016-04-19 | Qualcomm Incorporated | Secure behavior analysis over trusted execution environment |
US9495537B2 (en) | 2012-08-15 | 2016-11-15 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
US9330257B2 (en) | 2012-08-15 | 2016-05-03 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
WO2014052756A2 (en) | 2012-09-28 | 2014-04-03 | Level 3 Communications, Llc | Apparatus, system and method for identifying and mitigating malicious network threats |
US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
US9386028B2 (en) * | 2012-10-23 | 2016-07-05 | Verint Systems Ltd. | System and method for malware detection using multidimensional feature clustering |
US9686023B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors |
US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
US9684870B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors |
US9742559B2 (en) | 2013-01-22 | 2017-08-22 | Qualcomm Incorporated | Inter-module authentication for securing application execution integrity within a computing device |
IL224482B (en) | 2013-01-29 | 2018-08-30 | Verint Systems Ltd | System and method for keyword spotting using representative dictionary |
US9491187B2 (en) | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
US9916449B2 (en) | 2013-03-08 | 2018-03-13 | The Trustees Of Columbia University In The City Of New York | Identification of backdoors and backdoor triggers |
US10409987B2 (en) | 2013-03-31 | 2019-09-10 | AO Kaspersky Lab | System and method for adaptive modification of antivirus databases |
CN103226583B (zh) * | 2013-04-08 | 2017-07-28 | 北京奇虎科技有限公司 | 一种广告插件识别的方法和装置 |
IL226057A (en) | 2013-04-28 | 2017-07-31 | Verint Systems Ltd | System and method for automatic configuration of intrusion detection systems |
IL226747B (en) | 2013-06-04 | 2019-01-31 | Verint Systems Ltd | A system and method for studying malware detection |
US8943592B1 (en) | 2013-07-15 | 2015-01-27 | Eset, Spol. S.R.O. | Methods of detection of software exploitation |
US9355268B2 (en) | 2013-09-06 | 2016-05-31 | Microsoft Technology Licensing, Llc | Managing access by applications to perceptual information |
US9413784B2 (en) | 2013-09-06 | 2016-08-09 | Microsoft Technology Licensing, Llc | World-driven access control |
US9424239B2 (en) | 2013-09-06 | 2016-08-23 | Microsoft Technology Licensing, Llc | Managing shared state information produced by applications |
US9697365B2 (en) * | 2013-09-06 | 2017-07-04 | Microsoft Technology Licensing, Llc | World-driven access control using trusted certificates |
US9323931B2 (en) | 2013-10-04 | 2016-04-26 | Bitdefender IPR Management Ltd. | Complex scoring for malware detection |
US9489514B2 (en) | 2013-10-11 | 2016-11-08 | Verisign, Inc. | Classifying malware by order of network behavior artifacts |
US9652362B2 (en) | 2013-12-06 | 2017-05-16 | Qualcomm Incorporated | Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors |
US9237161B2 (en) * | 2013-12-16 | 2016-01-12 | Morphick, Inc. | Malware detection and identification |
US9398034B2 (en) * | 2013-12-19 | 2016-07-19 | Microsoft Technology Licensing, Llc | Matrix factorization for automated malware detection |
US9292686B2 (en) | 2014-01-16 | 2016-03-22 | Fireeye, Inc. | Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment |
US9769189B2 (en) * | 2014-02-21 | 2017-09-19 | Verisign, Inc. | Systems and methods for behavior-based automated malware analysis and classification |
US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US9942262B1 (en) | 2014-03-19 | 2018-04-10 | University Of Virginia Patent Foundation | Cyber-physical system defense |
US9769198B1 (en) * | 2014-03-31 | 2017-09-19 | Juniper Networks, Inc. | Malware detection using internal and/or external malware detection operations |
US9378367B2 (en) * | 2014-03-31 | 2016-06-28 | Symantec Corporation | Systems and methods for identifying a source of a suspect event |
US9118714B1 (en) * | 2014-07-23 | 2015-08-25 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a cyber threat visualization and editing user interface |
IL233776B (en) | 2014-07-24 | 2019-02-28 | Verint Systems Ltd | A system and method for adjusting domains |
JP6025125B2 (ja) * | 2014-08-07 | 2016-11-16 | パナソニックIpマネジメント株式会社 | 決済処理装置 |
US9754106B2 (en) * | 2014-10-14 | 2017-09-05 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
US9870468B1 (en) * | 2014-11-13 | 2018-01-16 | Marvell International Ltd. | System and method for segregating data in a dynamic programming language |
US9479531B1 (en) * | 2014-12-12 | 2016-10-25 | Symantec Corporation | Systems and methods for accelerating malware analyses in automated execution environments |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US10560842B2 (en) | 2015-01-28 | 2020-02-11 | Verint Systems Ltd. | System and method for combined network-side and off-air monitoring of wireless networks |
CN107209684B (zh) | 2015-02-27 | 2020-11-20 | 惠普发展公司有限责任合伙企业 | 有助于对被保护资源的扫描 |
US9819689B2 (en) * | 2015-03-13 | 2017-11-14 | Microsoft Technology Licensing, Llc | Large scale malicious process detection |
IL238001B (en) | 2015-03-29 | 2020-05-31 | Verint Systems Ltd | System and method for identifying communication conversation participants based on communication traffic patterns |
US9646159B2 (en) | 2015-03-31 | 2017-05-09 | Juniper Networks, Inc. | Multi-file malware analysis |
US9912681B1 (en) | 2015-03-31 | 2018-03-06 | Fireeye, Inc. | Injection of content processing delay in an endpoint |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
CN107835982B (zh) * | 2015-05-04 | 2022-01-25 | 赛义德·卡姆兰·哈桑 | 用于在计算机网络中管理安全性的方法和设备 |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
RU2618947C2 (ru) * | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10395029B1 (en) | 2015-06-30 | 2019-08-27 | Fireeye, Inc. | Virtual system and method with threat protection |
US10216927B1 (en) | 2015-06-30 | 2019-02-26 | Fireeye, Inc. | System and method for protecting memory pages associated with a process using a virtualization layer |
US10089465B2 (en) * | 2015-07-24 | 2018-10-02 | Bitdefender IPR Management Ltd. | Systems and methods for tracking malicious behavior across multiple software entities |
US10033759B1 (en) | 2015-09-28 | 2018-07-24 | Fireeye, Inc. | System and method of threat detection under hypervisor control |
WO2017058142A1 (en) * | 2015-09-28 | 2017-04-06 | Hewlett Packard Enterprise Development Lp | Threat score determination |
IL242219B (en) | 2015-10-22 | 2020-11-30 | Verint Systems Ltd | System and method for keyword searching using both static and dynamic dictionaries |
IL242218B (en) | 2015-10-22 | 2020-11-30 | Verint Systems Ltd | A system and method for maintaining a dynamic dictionary |
EP3374871B1 (en) * | 2015-11-09 | 2020-10-14 | Cyphort, Inc. | System and method for detecting lateral movement and data exfiltration |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US9800588B1 (en) * | 2015-12-16 | 2017-10-24 | Symantec Corporation | Automated analysis pipeline determination in a malware analysis environment |
US10192058B1 (en) * | 2016-01-22 | 2019-01-29 | Symantec Corporation | System and method for determining an aggregate threat score |
IL245299B (en) | 2016-04-25 | 2021-05-31 | Verint Systems Ltd | A system and method for decoding communication transmitted in a wireless local communication network |
RU2625053C1 (ru) | 2016-07-29 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Устранение ложных срабатываний антивирусных записей |
WO2018039792A1 (en) * | 2016-08-31 | 2018-03-08 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
US10191861B1 (en) | 2016-09-06 | 2019-01-29 | Fireeye, Inc. | Technique for implementing memory views using a layered virtualization architecture |
US10887324B2 (en) * | 2016-09-19 | 2021-01-05 | Ntt Research, Inc. | Threat scoring system and method |
IL248306B (en) | 2016-10-10 | 2019-12-31 | Verint Systems Ltd | System and method for creating data sets for learning to recognize user actions |
US10354173B2 (en) * | 2016-11-21 | 2019-07-16 | Cylance Inc. | Icon based malware detection |
US11757857B2 (en) | 2017-01-23 | 2023-09-12 | Ntt Research, Inc. | Digital credential issuing system and method |
IL252037B (en) | 2017-04-30 | 2021-12-01 | Verint Systems Ltd | System and method for identifying relationships between computer application users |
IL252041B (en) | 2017-04-30 | 2020-09-30 | Verint Systems Ltd | System and method for tracking computer application users |
RU2666644C1 (ru) | 2017-08-10 | 2018-09-11 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами |
US10983602B2 (en) * | 2017-09-05 | 2021-04-20 | Microsoft Technology Licensing, Llc | Identifying an input device |
US20190156024A1 (en) * | 2017-11-20 | 2019-05-23 | Somansa Co., Ltd. | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information |
KR102036847B1 (ko) * | 2017-12-18 | 2019-10-25 | (주)케이사인 | 런타임 특징 프로파일링 방법 |
IL256690B (en) | 2018-01-01 | 2022-02-01 | Cognyte Tech Israel Ltd | System and method for identifying pairs of related application users |
US11010233B1 (en) * | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
US11609984B2 (en) * | 2018-02-14 | 2023-03-21 | Digital Guardian Llc | Systems and methods for determining a likelihood of an existence of malware on an executable |
US11494491B2 (en) * | 2018-03-16 | 2022-11-08 | Acronis International Gmbh | Systems and methods for protecting against malware code injections in trusted processes by a multi-target injector |
US11416612B2 (en) * | 2018-03-16 | 2022-08-16 | Acronis International Gmbh | Protecting against malware code injections in trusted processes |
IL260986B (en) | 2018-08-05 | 2021-09-30 | Verint Systems Ltd | A system and method for using a user action log to study encrypted traffic classification |
US11003766B2 (en) * | 2018-08-20 | 2021-05-11 | Microsoft Technology Licensing, Llc | Enhancing cybersecurity and operational monitoring with alert confidence assignments |
EP3942740A1 (en) | 2019-03-20 | 2022-01-26 | Verint Systems Ltd. | System and method for de-anonymizing actions and messages on networks |
CN110619214A (zh) * | 2019-08-15 | 2019-12-27 | 苏州浪潮智能科技有限公司 | 一种监控软件正常运行的方法和装置 |
WO2021084439A1 (en) | 2019-11-03 | 2021-05-06 | Verint Systems Ltd. | System and method for identifying exchanges of encrypted communication traffic |
US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
US11341236B2 (en) * | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
US11645162B2 (en) | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
US11657155B2 (en) | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
US20210336973A1 (en) * | 2020-04-27 | 2021-10-28 | Check Point Software Technologies Ltd. | Method and system for detecting malicious or suspicious activity by baselining host behavior |
KR102393913B1 (ko) * | 2020-04-27 | 2022-05-03 | (주)세이퍼존 | 이상행위 탐지 장치, 방법 및 이를 포함하는 시스템 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1737722A (zh) * | 2005-08-03 | 2006-02-22 | 珠海金山软件股份有限公司 | 一种检测和防御计算机恶意程序的系统和方法 |
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7234168B2 (en) * | 2001-06-13 | 2007-06-19 | Mcafee, Inc. | Hierarchy-based method and apparatus for detecting attacks on a computer system |
US7832011B2 (en) | 2002-08-30 | 2010-11-09 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
US7748039B2 (en) | 2002-08-30 | 2010-06-29 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
US7748038B2 (en) | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
US20060149821A1 (en) * | 2005-01-04 | 2006-07-06 | International Business Machines Corporation | Detecting spam email using multiple spam classifiers |
JP2008021274A (ja) | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
US20080016339A1 (en) | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
US8201244B2 (en) * | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
JP2008129707A (ja) | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
US9246938B2 (en) * | 2007-04-23 | 2016-01-26 | Mcafee, Inc. | System and method for detecting malicious mobile program code |
US20090013405A1 (en) * | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
US8763071B2 (en) * | 2008-07-24 | 2014-06-24 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
US9258217B2 (en) * | 2008-12-16 | 2016-02-09 | At&T Intellectual Property I, L.P. | Systems and methods for rule-based anomaly detection on IP network flow |
US8635694B2 (en) | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
WO2010141826A2 (en) * | 2009-06-05 | 2010-12-09 | The Regents Of The University Of Michigan | System and method for detecting energy consumption anomalies and mobile malware variants |
JP5613000B2 (ja) | 2010-10-08 | 2014-10-22 | Kddi株式会社 | アプリケーション特性解析装置およびプログラム |
US8875286B2 (en) * | 2010-12-01 | 2014-10-28 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using machine learning techniques |
US9130988B2 (en) * | 2010-12-21 | 2015-09-08 | Microsoft Technology Licensing, Llc | Scareware detection |
US20120167218A1 (en) * | 2010-12-23 | 2012-06-28 | Rajesh Poornachandran | Signature-independent, system behavior-based malware detection |
US9323928B2 (en) | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
-
2011
- 2011-06-01 US US13/151,173 patent/US9323928B2/en active Active
-
2012
- 2012-06-01 JP JP2014513736A patent/JP5713478B2/ja active Active
- 2012-06-01 WO PCT/US2012/040428 patent/WO2012167056A2/en active Application Filing
- 2012-06-01 EP EP20120793684 patent/EP2715596A4/en not_active Withdrawn
- 2012-06-01 KR KR1020137033571A patent/KR101654099B1/ko active IP Right Grant
- 2012-06-01 CN CN201280032823.1A patent/CN103782303B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1737722A (zh) * | 2005-08-03 | 2006-02-22 | 珠海金山软件股份有限公司 | 一种检测和防御计算机恶意程序的系统和方法 |
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
Also Published As
Publication number | Publication date |
---|---|
KR101654099B1 (ko) | 2016-09-05 |
JP2014515538A (ja) | 2014-06-30 |
EP2715596A2 (en) | 2014-04-09 |
WO2012167056A3 (en) | 2013-02-28 |
JP5713478B2 (ja) | 2015-05-07 |
WO2012167056A2 (en) | 2012-12-06 |
CN103782303A (zh) | 2014-05-07 |
US9323928B2 (en) | 2016-04-26 |
US20120311708A1 (en) | 2012-12-06 |
EP2715596A4 (en) | 2015-03-11 |
KR20140033145A (ko) | 2014-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103782303B (zh) | 对于恶意过程的基于非签名的检测的系统和方法 | |
US11856021B2 (en) | Detecting and mitigating poison attacks using data provenance | |
US7832011B2 (en) | Method and apparatus for detecting malicious code in an information handling system | |
CN106716958A (zh) | 横向移动检测 | |
CN108292414A (zh) | 数据中心中的部署的自动推荐 | |
Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
CN110266723A (zh) | 一种云服务安全风险评估方法 | |
Kim et al. | Differential effects of prior experience on the malware resolution process | |
CN107403094A (zh) | 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法 | |
Bahrololum et al. | Anomaly intrusion detection design using hybrid of unsupervised and supervised neural network | |
CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
Goseva-Popstojanova et al. | Using multiclass machine learning methods to classify malicious behaviors aimed at web systems | |
CN114553596A (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
Eldos et al. | On the KDD'99 Dataset: Statistical Analysis for Feature Selection | |
Machado et al. | A hybrid artificial immune and mobile agent intrusion detection based model for computer network operations | |
CN109344042A (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
Sabhnani et al. | KDD Feature Set Complaint Heuristic Rules for R2L Attack Detection. | |
RU2761542C1 (ru) | Система и способ формирования системы ресурсов-ловушек | |
Sabri et al. | Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system | |
Villaluna et al. | Information security technology for computer networks through classification of cyber-attacks using soft computing algorithms | |
Al-Jarrah et al. | Hierarchical detection of insider attacks in cloud computing systems | |
Wagner et al. | Quantitative analysis of the mission impact for host-level cyber defensive mitigations. | |
Leu et al. | A host-based real-time intrusion detection system with data mining and forensic techniques | |
Farooq et al. | Role of Logistic Regression in Malware Detection: A Systematic Literature Review | |
Li et al. | Real-Time Ransomware Detection Method Based on TextGCN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |