CN106557697A - 生成杀毒记录集合的系统和方法 - Google Patents
生成杀毒记录集合的系统和方法 Download PDFInfo
- Publication number
- CN106557697A CN106557697A CN201610622203.3A CN201610622203A CN106557697A CN 106557697 A CN106557697 A CN 106557697A CN 201610622203 A CN201610622203 A CN 201610622203A CN 106557697 A CN106557697 A CN 106557697A
- Authority
- CN
- China
- Prior art keywords
- antivirus
- record
- file
- malicious file
- antivirus record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002155 anti-virotic effect Effects 0.000 title claims abstract description 298
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000001514 detection method Methods 0.000 claims description 20
- 230000035945 sensitivity Effects 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims 3
- 238000005284 basis set Methods 0.000 claims 1
- 238000004458 analytical method Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 19
- 241000700605 Viruses Species 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 11
- 230000003287 optical effect Effects 0.000 description 8
- 238000013500 data storage Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 239000004615 ingredient Substances 0.000 description 4
- 239000002574 poison Substances 0.000 description 4
- 231100000614 poison Toxicity 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 208000027418 Wounds and injury Diseases 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 208000014674 injury Diseases 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005039 memory span Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
公开了生成杀毒记录集合的系统和方法。示例性方法包括:由服务器维持恶意文件的数据库;由服务器为每一个恶意文件生成至少一个杀毒记录;通过确定使用每一个杀毒记录检测到多少个不同的恶意文件,计算每一个杀毒记录的有效性;生成最有效的杀毒记录集合;以及由服务器将最有效的杀毒记录集合传输到客户端设备。
Description
技术领域
本发明总体涉及计算机安全领域,并且更具体地,涉及生成用于检测用户的计算设备上的恶意文件的杀毒记录集合的系统和方法。
背景技术
用于用户的计算设备,诸如个人计算机、膝上型电脑、平板电脑、智能电话等的不同的软件应用程序的数量以极大的速度增长。在大量应用程序之中,有一群能够对用户设备或者用户的数据造成伤害的恶意程序,诸如:网络蠕虫、按键记录器以及计算机病毒。已开发了许多不同的技术用于提供计算机安全,诸如杀毒软件,其被设计成检测用户设备上的恶意程序并且阻挡它们的运行能力(例如,将它们隔离放置或者将它们从用户设备中删除)。
杀毒软件可以使用多种不同的方法检测操作系统(OS)的恶意软件、恶意处理、其他恶意对象以及到它们的链路,诸如URI(统一资源标识符,诸如file://***.exe)。最流行的恶意软件检测方法是签名分析(找到被分析的程序的代码的具体片段与恶意程序的签名的数据库中的己知代码或者签名之间的对应关系的技术),启发式分析(该技术包括模拟被分析的程序的工作、创建API(应用程序编程接口)函数调用日志、以及找到所创建的API函数调用日志中的数据与恶意程序的仿真的数据库中的数据之间的对应关系),以及主动分析(该技术包括拦截在被分析的程序的系统中发起的API函数调用、创建API函数调用日志、以及找到所创建的日志中的数据与恶意程序的API函数的调用的数据库中的数据之间的对应关系)。
在操作中,前述方法中的每一个需要数据用于检测恶意对象,例如,在签名分析的情况下这种数据可以是签名,对于启发式分析这种数据可以是启发式规则。尽管事实是,例如,当使用单个签名时,杀毒软件可以在它们的结构中或者在所引起的伤害中检测相似的恶意对象的整个阵列。因此,可以给用户的数据或计算机造成伤害的数量不断增加的恶意对象,需要相应增加的数据容量用于检测恶意对象。在大多数情况下,所述数据存储在用户的计算机上作为杀毒库的一部分——杀毒软件的组成部分。因此,增加用于检测的数据的容量,可以导致在用户设备的硬盘驱动器上的可用空间减少。
虽然有已知的办法,旨在优化(减少)由用于检测恶意对象的数据占据的硬盘驱动器上的空间,但是他们并不能解决选择数据用于检测恶意对象的问题,即生成这样一种数据集合用于检测恶意对象,该数据集合不需要大的存储器容量用于存储但提供对用户设备的可靠保护,否则它们不能足够有效地解决这个问题。因此,针对选择数据用于检测恶意对象的问题,需要更有效的解决方案。
发明内容
公开了生成杀毒记录集合用于检测用户的计算设备上的恶意文件的系统和方法。示例性方法包括:由服务器维持恶意文件数据库;由所述服务器针对每一个恶意文件生成至少一个杀毒记录;由所述服务器通过确定使用每一个杀毒记录检测到多少个不同的恶意文件,来计算每一个杀毒记录的有效性;由所述服务器生成最有效的杀毒记录的集合,包括:对于每一个己知的恶意文件,选择在所述恶意文件的检测中使用的最有效的杀毒记录,其中,用来检测更多的恶意文件的杀毒记录比用来检测更少的恶意文件的杀毒记录更有效;确定所选择的杀毒记录是否已经在所述集合中;以及如果所选择的杀毒记录不在所述集合中,将所述记录添加到所述集合;以及由所述服务器将最有效的杀毒记录的所述集合传输到客户端设备。
在一个示例性方面中,所述杀毒记录包括以下中的一项或多项:所述恶意文件的签名;用于在恶意文件的仿真期间检测所述恶意文件的启发式规则;用于在主动检测期间检测恶意文件的启发式规则;以及恶意文件的局部敏感哈希。
在一个示例性方面中,通过确定使用每一个杀毒记录检测到多少个恶意文件计算每一个杀毒记录的有效性,包括:由在服务器上运行的杀毒应用程序收集关于由所述杀毒应用程序使用每一个杀毒记录检测到的恶意文件的数量的统计数据。
在一个示例性方面中,所述杀毒记录的有效性根据使用所述杀毒记录检测到的不同的恶意文件的数量计算。
在一个示例性方面中,所述杀毒记录的有效性根据由所述杀毒记录检测到的不同的恶意文件的数量以及由所述杀毒记录检测到的误报的数量计算。
在一个示例性方面中,所述杀毒记录的有效性根据由所述杀毒记录检测到的不同的恶意文件的数量以及所检测到的恶意文件中的每一个所属的类别计算,所述类别包括信任的、不信任的以及恶意的中的一个。
在一个示例性方面中,所述杀毒记录的有效性进一步根据在客户端设备上检测到的每一个恶意文件的流行度计算。
生成杀毒记录集合的示例性系统包括:具有硬件处理器的服务器,被配置为:维持恶意文件的数据库;针对每一个恶意文件生成至少一个杀毒记录;通过确定使用每一个杀毒记录检测到多少个不同的恶意文件,来计算每一个杀毒记录的有效性;生成最有效的杀毒记录集合,包括:对于每一个己知的恶意文件,选择在所述恶意文件的检测中使用的最有效的杀毒记录,其中,用来检测更多的恶意文件的杀毒记录比用来检测更少的恶意文件的杀毒记录更有效;确定所选择的杀毒记录是否已经在所述集合中;以及如果所选择的杀毒记录不在所述集合中,将所述记录添加到所述集合;以及将最有效的杀毒记录的所述集合传输到客户端设备。
以上本发明的实例方面的简单总结用来提供对本发明的基本了解。该总结不是所有考虑的方面的广泛的概述,并且既不旨在确定所有方面的重要或者关键要素,也不旨在勾画本发明的任何或所有方面的范围。其唯一目的在于以简化的形式呈现一个或多个方面作为以下本发明的更详细描述的序言。为实现上述目的,本发明的一个或多个方面包括所描述的以及在权利要求中特别地指出的特征。
附图说明
附图结合为并且构成本说明书的一部分,示出本发明的一个或多个实例方面,并且连同详细描述一起用来解释它们的原理和实现。
图1示出生成杀毒记录集合用于检测用户设备上的恶意文件的示例性系统的示图。
图2示出生成杀毒记录集合用于检测用户设备上的恶意文件的示例性方法的流程图。
图3示出通用计算机系统的实例,通过该系统可以实现所公开的系统和方法的方面。
具体实施方式
在生成用于检测用户的计算设备上的恶意文件的杀毒记录集合的系统、方法以及计算机程序产品的背景下,本文中描述了本发明的实例方面,。本领域内的普通技术人员将认识到,以下描述仅是示意性的并不旨在以任何方式限制。对于受益于本公开的本领域内的普通技术人员,将很容易受到其他方面的启示。现在将详细参考如附图中示出的实例方面的实现。贯穿附图及以下说明,相同的参考指示符将尽可能用于指示相同或相似的元件。
首先,将在以下提供用于描述本发明的各个示例性方面的一些术语的定义。
恶意应用程序可以包括能够对计算机或者计算机用户的数据造成伤害的应用程序,例如网络蠕虫、按键记录器、计算机病毒。造成的伤害可以是出于盗窃的目的对计算机资源(包括储存在计算机上的数据)的非法访问;以及还有对资源(包括数据存储、计算的性能等)的非法使用。
信任的应用程序可以包括不会对计算机或它的用户造成伤害的应用程序。信任的应用程序可以是由信任的软件厂商开发、从信任的来源(诸如在信任的站点的数据库中列出的站点)下载的应用程序,或者是其标识符(诸如应用程序文件的MD5)存储在信任的应用程序的数据库中的应用程序。制造商的标识符(诸如数字证书)也可以存储在信任的应用程序的数据库中。
不信任的应用程序可以包括不信任、但也不(例如由杀毒应用程序)认为是恶意的应用程序。
恶意文件可以包括恶意应用程序中的组成部分,诸如可执行文件、配置文件以及在应用程序执行过程中由其使用的其他文件。
不信任文件可以包括是不信任的应用程序中的组成部分的文件。
信任文件可以包括是信任的应用程序中的组成部分的文件。
签名分析可以包括为了检测恶意程序,找到程序代码中的具体片段与来自恶意程序的签名的数据库中的已知代码—签名之间的对应关系的技术。应当注意,该技术可以用于检测恶意程序的文件以及检测计算设备的RAM中的恶意代码两者。
启发式分析可以包括如下技术,包括模拟程序的执行(对于适合于使用特定硬件和软件执行的程序代码,通过利用不同于前者的其他硬件和软件来执行),创建API函数调用日志,以及找到所创建的API函数调用日志中的数据与恶意程序的仿真的数据库中的数据之间的对应关系,以便检测恶意程序。
主动分析可以包括如下技术,包括拦截在程序的操作系统中发起的API函数调用,创建API函数调用日志,以及找到来自所创建的日志中的数据与来自恶意程序的API函数调用的数据库中的数据之间的对应关系,以便检测恶意程序。
杀毒记录可以包括杀毒应用程序检测恶意文件所需的信息。例如,其可以是签名、启发式规则(例如,其可以由启发式分析和主动分析使用)、校验和或者文件的哈希(hash)(包括灵活哈希或者局部敏感哈希—相对于微小的文件改变不发生变化的文件哈希)。
关于杀毒记录的使用的统计数据可以包括由使用杀毒记录的杀毒应用程序检测到的恶意文件的数量的信息,以及还有在杀毒记录的帮助下检测到的每一个文件的标识符(例如,根据算法:MD5、SHA-1、SHA-2或者字符串—文件名中的一项所计算的校验和(checksum))。可以通过杀毒应用程序使用杀毒记录完成统计数据的收集,用于恶意文件的检测(在检测恶意文件期间)。
杀毒记录的有效性可以是数值;其越大,由使用该杀毒记录的杀毒应用程序在文件数据库中的文件之中检测到的恶意文件就越多。
图1示出根据本发明的一个方面的生成用于在用户的计算机上检测恶意文件的杀毒记录集合的示例性系统的示图。在用户的计算机100上,安装有杀毒应用程序101,其被配置为在计算机100上检测恶意文件。杀毒应用程序101使用存储在杀毒记录数据库102中的杀毒记录,数据库102同样可以驻留在用户的计算机100上。用户的计算机100经由网络110(在一个示例性方面中,互联网或者局域网LAN)连接到远程服务器120。在一个示例性方面中,远程服务器120可以是单个计算设备。在另一个示例性方面中,远程服务器120可以是执行(用于执行本文中公开的系统和方法的功能的)分布式计算(在该计算中,计算的总量诸如代码的执行,被分解为几部分并且分布在几个计算设备之中)的一组连接的计算设备。
在一个示例性方面中,远程服务器120可以包括杀毒应用程序121、创建杀毒记录的模块125、生成杀毒记录集合的模块126、评估杀毒记录的有效性的模块127、杀毒记录数据库122、文件数据库123以及统计数据数据库124。
应当注意,在本发明的一个示例性方面中,杀毒应用程序101和杀毒应用程序121在检测恶意对象和收集统计数据中可以执行类似的功能,其将在以下描述。
在一个示例性方面中,文件数据库123被配置为存储文件(诸如恶意文件、信任文件或者不信任文件)以及关于所存储的文件是否是恶意的、信任的或者不信任的信息。在一个示例性方面中,由计算机安全专家将文件连同有关该文件是否是恶意的、信任的或者不信任的信息(指示)一起添加到文件数据库123中。在又一个示例性方面中,除了前述文件之外,文件标识符可以存储在文件数据库123中(例如,根据算法:MD5、SHA-1、SHA-2或者字符串——文件名中的一项所计算的文件的校验和)。
在一个示例性方面中,杀毒应用程序121被配置为检测恶意文件。为了检测恶意文件,杀毒应用程序121利用来自杀毒记录数据库122中的(至少一个)杀毒记录,杀毒记录数据库122被配置为存储杀毒记录。在执行签名分析、启发式分析或者主动分析的过程中,杀毒应用程序121可以使用杀毒记录。
在一个示例性方面中,杀毒记录可以包含灵活哈希(局部敏感哈希)。灵活哈希也被称为“灵活卷积”,其构成从文件属性的集合所计算的哈希和(哈希),该哈希和抵抗文件中的轻微改变(例如,从文件所计算的哈希和将与从文件(在该文件中,属性之一例如具有不同值)所计算的哈希和一致)。在杀毒记录包含恶意文件的灵活哈希的这种情况下,在文件的分析期间为了检测恶意文件,杀毒应用程序121将(从文件属性的集合)计算被分析的文件的灵活哈希,并且将其与来自杀毒记录的灵活哈希进行比较。如果所计算的灵活哈希与来自杀毒记录的灵活哈希匹配,那么杀毒应用程序121将所分析的文件识别为恶意的。在一个示例性方面中,除了灵活哈希以外,杀毒记录可以包含有关计算哈希的方法的信息(诸如字符标识符),在文件的分析期间杀毒应用程序121需要使用该信息。应当注意,以上描述的(使用包含灵活哈希的杀毒记录)检测恶意文件的方法也可以由驻留在用户的计算机100中的杀毒应用程序101使用。
在一个示例性方面中,创建杀毒记录的模块125被配置为创建杀毒记录并且将其存储在杀毒记录数据库122中。为了创建杀毒记录,模块125使用文件(需要在杀毒记录的帮助下检测该文件)以及以下创建杀毒记录的方法中的一个。
在一个示例性方面中,创建杀毒记录的模块125创建杀毒记录用于检测恶意文件,所述记录包含所指示的文件的签名(文件的字节的序列),使得如果文件包含来自杀毒记录的签名,那么杀毒应用程序121将该文件识别为恶意的。
在另一个示例性方面中,创建杀毒记录的模块125创建杀毒记录用于检测恶意文件,所述记录包含启发式规则,使得杀毒应用程序121根据启发式规则的逻辑识别所述文件是恶意的,启发式规则应用于API函数调用日志,该API函数调用日志在文件的启发式分析期间在程序的模拟执行(如果文件是可执行的)期间生成。在一个示例性方面中,在共同所有的美国专利9147073中描述的技术(其通过引证结合于此)可以用于创建这种杀毒记录。
在又一个示例性方面中,创建杀毒记录的模块125创建杀毒记录用于检测恶意文件,所述记录包含启发式规则,使得杀毒应用程序121根据启发式规则的逻辑将所述文件识别为恶意的,启发式规则应用于API函数调用日志,该API函数调用日志在文件的主动分析期间拦截在程序的操作系统(如果文件是可执行的)中发起的API函数调用时生成。在共同所有的美国专利8566943中描述了该技术的实例,其通过引证结合于此。
在再一个示例性实施方式中,创建杀毒记录的模块125创建杀毒记录用于检测恶意文件,所述记录包含文件的灵活哈希,使得如果所计算的文件的灵活哈希与来自杀毒记录中的灵活哈希匹配,那么杀毒应用程序121将所述文件识别为恶意的。
在又一个示例性方面中,创建杀毒记录的模块125被配置为针对同一恶意文件创建几个杀毒记录,通过该记录可以由杀毒应用程序121(例如,通过使用创建杀毒记录的几个前述方法)识别所述文件是恶意的。在一个示例性方面中,创建杀毒记录的模块125能够创建包含不同的灵活哈希的杀毒记录用于检测一个文件或相同文件(我们假设使用不同的创建杀毒记录的方法创建这种杀毒记录)。通过使用其自身计算哈希的方法(例如以下列出的方法中的一个)创建这些杀毒记录中的每一个。在一个示例性方面中,创建杀毒记录的模块125可以使用如共同所有的美国专利8955120中所描述的算法计算灵活哈希用于创建杀毒记录,其通过引证结合于此。在计算灵活哈希中使用的文件属性的集合可以是不同的:
例如,为了计算灵活哈希,可以使用以下文件属性的集合:文件大小、文件图像大小、文件节的数量、文件节的RVA(相关虚拟地址)、进入点的RVA、子系统的类型、来自COFF(通用对象文件格式)报头的文件特性、目录表中的对象的相互设置、由文件节对目录表中的对象的布置、用于创建文件的编译器的类型、字符(包括印刷字符)的频率特性—遇到文件中的字符、文件中的行的集合以及它们的编号的频率。每一个文件节的文件属性集合包括以下属性:文件节的开始和结束的信息熵、文件节的开始和结束的非零字节的平均数、文件节的虚拟大小、文件节的物理大小。
在另一个实例中,为了计算灵活哈希,可以使用以下文件属性的集合:文件大小、文件图像大小、文件节的数量、文件节的RVA、进入点的RVA、子系统的类型、来自COFF报头的文件特性。用于创建文件的编译器的类型。
在又一个实例中,为了计算灵活哈希,可以使用以下文件属性的集合:文件大小、文件图像大小、子系统的类型、字符的频率特性(遇到文件中的字符、文件中的行的集合以及它们的编号的频率)。
在再一个实例中,为了计算灵活哈希,可以使用以下文件属性的集合:文件大小、文件图像大小、文件节的数量、文件节的RVA、进入点的RVA、子系统的类型、来自COFF报头的文件特性、目录表中的对象的相互设置、在文件节之中的目录表中的对象的布置、用于创建文件的编译器的类型、字符的频率特性。每一个文件节的文件属性的集合可以包括以下属性:文件节的开始和结束的信息熵、文件节的开始和结束的非零字节的平均数、文件节的虚拟大小、文件节的物理大小。
在又一个实例中,为了计算灵活哈希,可以使用以下文件属性的集合:文件大小、文件图像大小、子系统的类型、来自COFF报头的文件特性、用于创建文件的编译器的类型、字符的频率特性。
在另一个实施方式中,为了计算灵活哈希,可以使用前述属性的各种其他组合。
在再一个示例性方面中,创建杀毒记录的模块125允许计算机安全专家(例如,经由用户的界面)创建杀毒记录用于前述的检测方法(例如,签名分析、启发式分析以及其他)中的一个。
在一个示例性方面中,创建杀毒记录的模块125将创建的杀毒记录存储在杀毒记录数据库122中。
在一个示例性方面中,创建杀毒记录的模块125使用来自文件数据库123中的恶意文件,分别使用前述方法中的一个或多个来创建一个或多个杀毒记录,在杀毒记录的帮助下,杀毒应用程序121可以将来自文件数据库123中的前述文件识别为恶意的。
在一个示例性方面中,杀毒应用程序121被配置为收集关于要被用于检测恶意文件的杀毒记录的使用的统计数据。使用文件数据库123以及杀毒记录数据库122(具体地当通过使用来自杀毒记录数据库122中的杀毒记录在文件数据库123的文件之中检测恶意文件时)收集关于杀毒记录的使用的统计数据。杀毒应用程序121将收集的关于杀毒记录的使用的统计数据发送给统计数据数据库124用于存储。应当注意,杀毒应用程序121使用杀毒记录不仅可以将己知的恶意文件(诸如来自文件数据库123中的恶意文件)识别为恶意的,而且还可以将来自文件数据库123中的信任文件(考虑其检测的“假警报”或者“误报”)或者不信任文件识别为恶意的。
在一个示例性方面中,统计数据数据库124被配置为保存由杀毒应用程序121收集的关于杀毒记录的使用的统计数据。
在一个示例性方面中,评估杀毒记录的有效性的模块127被配置为确定(计算)至少一个杀毒记录的有效性。模块127计算来自杀毒记录数据库122中的每一个杀毒记录的有效性,针对该有效性,杀毒应用程序121已收集关于杀毒记录的使用的统计数据并且将关于杀毒记录的使用的统计数据保存在统计数据数据库124中。在一个示例性方面中,杀毒记录的有效性可以通过使用以下公式计算:
K=U
其中,K是杀毒记录的有效性,并且U是已由杀毒应用程序121使用前述杀毒记录识别为恶意的文件(一个示例性方面,来自文件数据库123)的数量。
在又一个示例性方面中,杀毒记录的有效性可以通过使用以下公式计算:
K=f*U
其中,K是杀毒记录的有效性,U是已由杀毒应用程序121使用前述杀毒记录识别为恶意的文件(一个示例性方面,来自文件数据库123)的数量,以及f是系数,如果已由杀毒应用程序121使用前述杀毒记录识别为恶意的文件之中有信任文件,那么f取值0,并且否则f取值1。
在再一个示例性方面中,杀毒记录的有效性可以通过使用以下公式计算:
其中,K是杀毒记录的有效性,n是使用所述杀毒记录已识别为恶意的文件的总数,以及ai是系数,例如,其可以取以下值(对于第i个文件):
·对于恶意文件,值“2”;
·对于信任文件,值“-1000”;
·对于不信任文件,值“0.5”。
关于在以上公式中使用的有关文件是恶意的、信任的或者不信任的信息,可以使用来自关于杀毒记录的使用的统计数据中的文件标识符,从文件数据库123中获得。
在又一个示例性方面中,除了每一个文件之外,文件数据库123可以存储文件的权重因子p——流行度(在其计算机上发现这种文件的用户的数量)。在一个示例性方面中,可以由计算机安全专家将每一个文件的该权重因子添加至文件数据库123。在这种情况下,杀毒记录的有效性可以通过使用以下公式计算:
其中,K是杀毒记录的有效性,n是通过使用所述杀毒记录已识别为恶意的文件的总数,pi是第i个文件的流行度,以及ai是系数,其可以取以下值(对于第i个文件):
·对于恶意文件,值“1”;
·对于信任文件,值“-100”;
·对于不信任文件,值“0”。
在以上公式中使用的有关文件是恶意的、信任的或者不信任的信息,还有对于每一个文件的系数pi,可以由来自关于杀毒记录的使用的统计数据中的文件标识符,从文件数据库123中获得。
在一个示例性方面中,生成杀毒记录集合的模块126被配置为生成杀毒记录集合,以将所述杀毒记录集合传输给用户计算机100,具体地传输给杀毒记录数据库102。为了生成杀毒记录集合,模块126可以利用来自杀毒记录数据库122中的杀毒记录,以及由模块127从杀毒记录数据库122提供的每一个前述杀毒记录的有效性。生成杀毒记录集合的目的是,生成杀毒记录集合使得在杀毒应用程序121的帮助下,利用前述杀毒记录集合可以检测来自文件数据库123中的所有的恶意文件。该杀毒记录集合包括最少数量的杀毒记录,其减小了由存储在杀毒记录数据库102中的杀毒记录占据的以及由杀毒应用程序101使用的用户计算机100的硬盘驱动器上的存储器的数量。
在一个示例性方面中,生成杀毒记录集合的模块126可以生成如下杀毒记录集合:对于来自文件数据库123中的恶意文件,从杀毒记录数据库122中的那些杀毒记录之中选择具有最高有效性的杀毒记录。使用这些记录,杀毒应用程序121(根据由杀毒应用程序121先前收集的关于杀毒记录的使用的统计数据)将所述文件识别为恶意的。由生成杀毒记录集合的模块126将所选择的记录添加至杀毒记录集合。对于来自文件数据库123中的下一个文件,以类似的方式从杀毒记录数据库122中的那些杀毒记录之中选择具有最高有效性的杀毒记录。使用这些记录,杀毒应用程序121将所提到的文件识别为恶意的,而如果所选择的杀毒记录已经存在于由模块126生成的杀毒记录集合中,那么将不再次添加杀毒记录(以排除集合中的杀毒记录的重复)。但是如果所选择的杀毒记录不存在于杀毒记录集合中,那么由模块126将所提到的杀毒记录添加至杀毒记录集合。生成杀毒记录集合的模块126对于来自文件数据库123中的每一个恶意文件执行前述动作。由模块126将以此方式生成的杀毒记录集合发送给用户的计算机100,具体地发送给杀毒记录数据库102,以便由杀毒程序101后续使用来自传输的杀毒记录集合中的杀毒记录,以便检测用户的计算机100上的恶意文件。
图2示出根据本发明的一个方面的生成杀毒记录集合用于检测用户的计算机上的恶意文件的示例性方法。在步骤201中,创建杀毒记录的模块125对来自文件数据库123中的每一个恶意文件创建杀毒记录集合,可以使用上述创建杀毒记录的方法之一创建集合中的杀毒记录中的每一个。所创建的杀毒记录由模块125保存在杀毒记录数据库122中。在步骤202中,杀毒应用程序121收集关于来自杀毒记录数据库122中的杀毒记录的使用的统计数据。杀毒应用程序121使用来自杀毒记录数据库122中的杀毒记录,检测来自文件数据库123的文件(所有文件,不仅恶意的文件)之中的恶意文件(由杀毒应用程序121检测恶意文件表示,根据由杀毒应用程序121使用的杀毒记录将文件识别为恶意的)。所收集的关于杀毒记录的使用的统计数据由杀毒应用程序121保存在统计数据数据库124中。接下来,在步骤203中,评估杀毒记录的有效性的模块127基于关于杀毒记录的使用的统计数据,计算来自杀毒记录数据库122中的每一个杀毒记录的有效性,其中统计数据包含在统计数据数据库124内。由模块127将计算的每一个杀毒记录的有效性发送给生成杀毒记录集合的模块126。在步骤204中,模块126生成杀毒记录集合,使得对于来自文件数据库123中的每一个恶意文件,从所有的杀毒记录之中选择具有最高有效性的杀毒记录。杀毒应用程序121使用该记录识别该文件为恶意的。由生成杀毒记录集合的模块126将所选择的杀毒记录添加至前述(生成的)杀毒记录集合中。关于哪个文件被杀毒应用程序121使用杀毒记录识别为恶意的信息以及关于哪个信息是生成杀毒记录集合的模块126生成杀毒记录集合所需要的信息,存储在统计数据数据库124中——对于每一个杀毒记录,统计数据的数据库保存被杀毒应用程序121通过使用所述杀毒记录识别为恶意的每一个文件的标识符。使用来自文件数据库123中的每一个恶意文件的标识符,生成杀毒记录集合的模块126确定来自杀毒记录数据库122中的所有杀毒记录,杀毒应用程序121使用该杀毒记录将该文件识别为恶意的。由生成杀毒记录集合的模块126将在步骤205中生成的杀毒记录集合,发送给驻留在用户的计算机100上的杀毒记录数据库102,以便由杀毒应用程序101稍后使用来自该集合的杀毒记录以检测用户的计算机100上的恶意文件。
图3示出可以实现所公开的系统和方法的通用计算机系统的实例(其可以是个人计算机或者服务器)。如所示,计算机系统包括中央处理单元21、系统存储器22以及连接各种系统部件的系统总线23,其中系统部件包括与中央处理单元21相关联的存储器。系统总线23实现为类似从现有技术己知的任何总线结构,依次包含总线存储器或者总线存储器控制器、外围总线以及局部总线,其能够与任何其他总线架构交互。系统存储器包括永久性存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(BIOS)26包括确保个人计算机20的元件之间的信息的转移的基本程序,诸如通过使用ROM24在加载操作系统的时候的那些基本程序。
个人计算机20依次包括用于数据的读取和写入的硬盘27、用于在可移除磁盘29上读取和写入的磁盘驱动器28,以及用于在可移除光盘31上读取和写入的光学驱动器30,诸如CD-ROM、DVD-ROM以及其他光学信息介质。硬盘27、磁盘驱动器28以及光学驱动器30分别跨接硬盘接口32、磁盘接口33以及光学驱动器接口34,连接至系统总线23。驱动器和相应的计算机信息介质是有效性独立模块,用于存储个人计算机20的计算机指令、数据结构、程序模块以及其他数据。
本公开提供了使用硬盘27、可移除磁盘29以及可移除光盘31的系统的实现,但是应当理解,可以采用能够通过计算机以可读形式存储数据的其他类型的计算机信息介质56(固态驱动器、闪存卡、数字光盘、随机存取存储器(RAM)等),其经由控制器55连接至系统总线23。
计算机20具有文件系统36,并且还有额外的程序应用37、其他程序模块38以及程序数据39,其中文件系统36存储记录的操作系统35。用户能够使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20里。可以使用其他输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描仪等。这种输入设备通常通过串行端口46插入到计算机系统20里,依次连接至系统总线,但是它们可以以其他方式连接,例如利用并行端口、游戏端口或者通用串行总线(USB)的辅助。监视器47或者其他类型的显示设备也跨接接口(诸如视频适配器48)连接到系统总线23。除了监视器47之外,个人计算机可以配备有其他外围输出设备(未示出),诸如扬声器、打印机等。
个人计算机20能够使用网络连接到一个或多个远程计算机49,在网络环境中运行。远程计算机(或者计算机)49也是个人计算机,或者是具有描述个人计算机20的性质中的大多数或者所有前述元件的服务器。其他设备也可以存在于计算机网络中,诸如路由器、网络站、同级设备或者其他网络节点。
网络连接可以形成局域计算机网络(LAN)50和广域计算机网络(WAN)。这种网络在企业计算机网络和内部公司网络中使用,并且它们通常可以访问互联网。在LAN或者WAN网络中,个人计算机20跨接网络适配器或者网络接口51连接至局域网50。当使用网络时,个人计算机20可以采用调制解调器54或者其他模块用于提供与广域计算机网络诸如互联网通信。调制解调器54是内部或者外部设备,通过串行端口46连接至系统总线23。应当注意,网络连接仅是实例而并不需要绘制网络的准确配置,即实际上有通过技术通信模块建立一个计算机与另一个计算机的连接的其他方法。
在各种方面中,本文中描述的系统和方法可以以硬件、软件、固件或者其任何组合实现。如果以软件实现,方法可以存储为在非瞬时性计算机可读介质上的一个或多个指令或者代码。计算机可读介质包括数据存储介质。通过举例而非限制的方式,这种计算机可读介质可以包括:可用于以指令或者数据结构的形式携带或者存储期望的程序代码并且可由通用计算机的处理器访问的RAM、ROM、EEPROM、CD-ROM、闪存或其他类型的电存储介质、磁存储介质或者光存储介质或者任意其他介质。
在各种方面中,本公开中描述的系统和方法可以依据模块处理。例如,如本文中使用的术语“模块”指使用硬件实现的真实世界设备、部件或者部件的设置(诸如通过专用集成电路(ASIC)或者现场可编程门阵列(FPGA)),或者作为硬件和软件的组合,诸如通过微处理器系统和实现模块的功能的指令集合,该指令(在被执行时)将微处理器系统转换为专用设备。模块还可以实现为二者的组合,具有由硬件单独帮助实现的某些功能,以及具有由硬件和软件的组合帮助实现的其他功能。在某些实施方式中,模块的至少一部分(并且在一些情况下模块的全部)可以在通用计算机(诸如以上在图3中更详细地描述的计算机)的处理器上执行。因此,每一个模块可以以各种合适的配置来实现,并且不应该限制于本文中举例说明的任何具体实现。
为了清晰起见,本文中并未公开该方面的所有常规特征。将理解,在开发本公开的任意实际实现时,必须做出很多特定于实现的决定,以便实现开发者的特定目标,并且这些特定目标将根据不同实现和不同开发者而改变。应当理解,这种开发努力可能是复杂的并且耗时的,但是对于从本公开中受益的普通技术人员来说,这仍是常规的工程工作。
此外,应当理解,本文中使用的语句或者术语是用于描述的目的而并非限制,使得本说明书中的术语或者语句由本领域内的技术人员根据本文中呈现的教导和引导,结合相关领域内的技术人员的知识来解释。此外,并非旨在将说明书或权利要求中的任何术语归因于不常见或特殊的含义,除非明确如此阐述。
本文公开的各个方面包括与本文中经由说明指出的已知模块的现在和将来的已知等同物。此外,尽管已经示出和描述了方面和应用,但是对于从本公开中受益的本领域内的技术人员来说,显而易见的是,在不偏离本文中公开的本发明构思的情况下,与以上提及的相比,更多变形是可能的。
Claims (14)
1.一种生成杀毒记录集合的方法,所述方法包括:
由服务器维持恶意文件数据库;
由所述服务器针对每一个恶意文件生成至少一个杀毒记录;
由所述服务器通过确定使用每一个杀毒记录检测到多少个不同的恶意文件,来计算每一个杀毒记录的有效性;
由所述服务器生成最有效的杀毒记录的集合,包括:
对于每一个己知的恶意文件,选择在所述恶意文件的检测中使用的最有效的杀毒记录,其中,用来检测更多的恶意文件的杀毒记录比用来检测更少的恶意文件的杀毒记录更有效;
确定所选择的杀毒记录是否已经在所述集合中;以及
如果所选择的杀毒记录不在所述集合中,将所述记录添加到所述集合;以及
由所述服务器将最有效的杀毒记录的所述集合传输到客户端设备。
2.根据权利要求1所述的方法,其中,所述杀毒记录包括以下中的一项或多项:所述恶意文件的签名;用于在恶意文件的仿真期间检测所述恶意文件的启发式规则;用于在主动检测期间检测恶意文件的启发式规则;以及恶意文件的局部敏感哈希。
3.根据权利要求1所述的方法,其中,通过确定使用每一个杀毒记录检测到多少个恶意文件计算每一个杀毒记录的有效性,包括:由在服务器上运行的杀毒应用程序收集关于由所述杀毒应用程序使用每一个杀毒记录检测到的恶意文件的数量的统计数据。
4.根据权利要求1所述的方法,其中,所述杀毒记录的有效性根据使用所述杀毒记录检测到的不同的恶意文件的数量计算。
5.根据权利要求1所述的方法,其中,所述杀毒记录的有效性根据由所述杀毒记录检测到的不同的恶意文件的数量以及由所述杀毒记录检测到的误报的数量计算。
6.根据权利要求1所述的方法,其中,所述杀毒记录的有效性根据由所述杀毒记录检测到的不同的恶意文件的数量以及所检测到的恶意文件中的每一个所属的类别计算,所述类别包括信任的、不信任的以及恶意的中的一个。
7.根据权利要求6所述的方法,其中,所述杀毒记录的有效性进一步根据在客户端设备上检测到的每一个恶意文件的流行度计算。
8.一种生成杀毒记录集合的系统,所述系统包括:
具有硬件处理器的服务器,被配置为:
维持恶意文件的数据库;
针对每一个恶意文件生成至少一个杀毒记录;
通过确定使用每一个杀毒记录检测到多少个不同的恶意文件,来计算每一个杀毒记录的有效性;
生成最有效的杀毒记录集合,包括:
对于每一个己知的恶意文件,选择在所述恶意文件的检测中使用的最有效的杀毒记录,其中,用来检测更多的恶意文件的杀毒记录比用来检测更少的恶意文件的杀毒记录更有效;
确定所选择的杀毒记录是否已经在所述集合中;以及
如果所选择的杀毒记录不在所述集合中,将所述记录添加到所述集合;以及
将最有效的杀毒记录的所述集合传输到客户端设备。
9.根据权利要求8所述的系统,其中,所述杀毒记录包括以下中的一项或多项:恶意文件的签名;用于在恶意文件的仿真期间检测所述恶意文件的启发式规则;用于在主动检测期间检测恶意文件的启发式规则;以及恶意文件的局部敏感哈希。
10.根据权利要求8所述的系统,其中,通过确定使用每一个杀毒记录检测到多少个恶意文件计算每一个杀毒记录的有效性,包括:由在所述服务器上运行的杀毒应用程序收集关于由所述杀毒应用程序使用每一个杀毒记录检测到的所述恶意文件的数量的统计数据。
11.根据权利要求8所述的系统,其中,所述杀毒记录的有效性根据使用所述杀毒记录检测到的不同的恶意文件的数量计算。
12.根据权利要求8所述的系统,其中,所述杀毒记录的有效性根据由所述杀毒记录检测到的不同的恶意文件的数量以及由所述杀毒记录检测到的误报的数量计算。
13.根据权利要求8所述的系统,其中,所述杀毒记录的有效性根据由所述杀毒记录检测到的不同的恶意文件的数量以及所检测到的恶意文件中的每一个所属的类别计算,所述类别包括信任的、不信任的以及恶意的中的一个。
14.根据权利要求13所述的系统,其中,所述杀毒记录的有效性进一步根据在客户端设备上检测到的每一个恶意文件的流行度计算。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015141552 | 2015-09-30 | ||
| RU2015141552A RU2617654C2 (ru) | 2015-09-30 | 2015-09-30 | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя |
| US15/044,435 | 2016-02-16 | ||
| US15/044,435 US9654486B2 (en) | 2015-09-30 | 2016-02-16 | System and method for generating sets of antivirus records for detection of malware on user devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106557697A true CN106557697A (zh) | 2017-04-05 |
| CN106557697B CN106557697B (zh) | 2020-08-18 |
Family
ID=58409433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610622203.3A Active CN106557697B (zh) | 2015-09-30 | 2016-08-01 | 生成杀毒记录集合的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9654486B2 (zh) |
| JP (1) | JP6353498B2 (zh) |
| CN (1) | CN106557697B (zh) |
| RU (1) | RU2617654C2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109460660A (zh) * | 2018-10-18 | 2019-03-12 | 广州市网欣计算机科技有限公司 | 一种移动设备安全管理系统 |
| CN110119619A (zh) * | 2018-02-06 | 2019-08-13 | 卡巴斯基实验室股份制公司 | 创建防病毒记录的系统和方法 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9860274B2 (en) | 2006-09-13 | 2018-01-02 | Sophos Limited | Policy management |
| US10546117B1 (en) * | 2016-11-15 | 2020-01-28 | Symantec Corporation | Systems and methods for managing security programs |
| US10997303B2 (en) | 2017-09-12 | 2021-05-04 | Sophos Limited | Managing untyped network traffic flows |
| EP3474175B1 (en) * | 2017-10-18 | 2020-10-14 | AO Kaspersky Lab | System and method of managing computing resources for detection of malicious files based on machine learning model |
| EP3522058B1 (en) * | 2018-02-06 | 2021-08-11 | AO Kaspersky Lab | System and method of creating antivirus records |
| JP7013297B2 (ja) * | 2018-03-22 | 2022-01-31 | 株式会社セキュアブレイン | 不正検知装置、不正検知ネットワークシステム、及び不正検知方法 |
| RU2702081C2 (ru) * | 2018-03-30 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения модификации веб-ресурса |
| US10893090B2 (en) | 2019-02-14 | 2021-01-12 | International Business Machines Corporation | Monitoring a process on an IoT device |
| RU2726878C1 (ru) * | 2019-04-15 | 2020-07-16 | Акционерное общество "Лаборатория Касперского" | Способ ускорения полной антивирусной проверки файлов на мобильном устройстве |
| US11425092B2 (en) * | 2020-05-26 | 2022-08-23 | Radware, Ltd. | System and method for analytics based WAF service configuration |
| JP7533058B2 (ja) * | 2020-09-17 | 2024-08-14 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| US20230179607A1 (en) * | 2021-12-03 | 2023-06-08 | Juniper Networks, Inc. | Blocking or allowing a file stream associated with a file based on an initial portion of the file |
| US20240152623A1 (en) * | 2022-11-03 | 2024-05-09 | Cisco Technology, Inc. | System and Method for Evaluating Penetration Testing Tools |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255915A (zh) * | 2011-07-20 | 2011-11-23 | 中兴通讯股份有限公司 | 一种互联网病毒检测方法、装置和系统 |
| CN103902897A (zh) * | 2012-12-26 | 2014-07-02 | 腾讯科技(深圳)有限公司 | 计算机病毒的判别方法及系统 |
| CN104243486A (zh) * | 2014-09-28 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
| EP2854065A1 (en) * | 2013-09-30 | 2015-04-01 | Kaspersky Lab, ZAO | A system and method for evaluating malware detection rules |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9013849D0 (en) | 1990-06-21 | 1990-08-15 | Furigas Uk Ltd | A gas burner |
| US5520536A (en) | 1995-05-05 | 1996-05-28 | Burner Systems International, Inc. | Premixed gas burner |
| US7392543B2 (en) * | 2003-06-30 | 2008-06-24 | Symantec Corporation | Signature extraction system and method |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
| US8201244B2 (en) * | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
| US8239944B1 (en) * | 2008-03-28 | 2012-08-07 | Symantec Corporation | Reducing malware signature set size through server-side processing |
| US8239948B1 (en) * | 2008-12-19 | 2012-08-07 | Symantec Corporation | Selecting malware signatures to reduce false-positive detections |
| US8321942B1 (en) * | 2009-03-12 | 2012-11-27 | Symantec Corporation | Selecting malware signatures based on malware diversity |
| US8566943B2 (en) | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
| US8875292B1 (en) * | 2010-04-05 | 2014-10-28 | Symantec Corporation | Systems and methods for managing malware signatures |
| US8776234B2 (en) | 2011-04-20 | 2014-07-08 | Kaspersky Lab, Zao | System and method for dynamic generation of anti-virus databases |
| RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
| US8925085B2 (en) * | 2012-11-15 | 2014-12-30 | Microsoft Corporation | Dynamic selection and loading of anti-malware signatures |
| US8826431B2 (en) * | 2012-11-20 | 2014-09-02 | Symantec Corporation | Using telemetry to reduce malware definition package size |
| US9147073B2 (en) | 2013-02-01 | 2015-09-29 | Kaspersky Lab, Zao | System and method for automatic generation of heuristic algorithms for malicious object identification |
| RU2580036C2 (ru) * | 2013-06-28 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ создания гибкой свертки для обнаружения вредоносных программ |
| RU2568285C2 (ru) * | 2013-09-30 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ и система анализа работы правил обнаружения программного обеспечения |
| US9251261B2 (en) * | 2013-09-30 | 2016-02-02 | Symantec Corporation | Method and system for metadata driven testing of malware signatures |
| US20150222667A1 (en) | 2013-12-02 | 2015-08-06 | Alex Nayshtut | Protection system including security rule evaluation |
-
2015
- 2015-09-30 RU RU2015141552A patent/RU2617654C2/ru active
-
2016
- 2016-02-16 US US15/044,435 patent/US9654486B2/en active Active
- 2016-08-01 CN CN201610622203.3A patent/CN106557697B/zh active Active
- 2016-08-29 JP JP2016166894A patent/JP6353498B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255915A (zh) * | 2011-07-20 | 2011-11-23 | 中兴通讯股份有限公司 | 一种互联网病毒检测方法、装置和系统 |
| CN103902897A (zh) * | 2012-12-26 | 2014-07-02 | 腾讯科技(深圳)有限公司 | 计算机病毒的判别方法及系统 |
| EP2854065A1 (en) * | 2013-09-30 | 2015-04-01 | Kaspersky Lab, ZAO | A system and method for evaluating malware detection rules |
| CN104243486A (zh) * | 2014-09-28 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110119619A (zh) * | 2018-02-06 | 2019-08-13 | 卡巴斯基实验室股份制公司 | 创建防病毒记录的系统和方法 |
| CN110119619B (zh) * | 2018-02-06 | 2023-08-04 | 卡巴斯基实验室股份制公司 | 创建防病毒记录的系统和方法 |
| CN109460660A (zh) * | 2018-10-18 | 2019-03-12 | 广州市网欣计算机科技有限公司 | 一种移动设备安全管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9654486B2 (en) | 2017-05-16 |
| JP2017123143A (ja) | 2017-07-13 |
| US20170093892A1 (en) | 2017-03-30 |
| CN106557697B (zh) | 2020-08-18 |
| RU2015141552A (ru) | 2017-04-05 |
| RU2617654C2 (ru) | 2017-04-25 |
| JP6353498B2 (ja) | 2018-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106557697A (zh) | 生成杀毒记录集合的系统和方法 | |
| Jia et al. | Proof-of-learning: Definitions and practice | |
| Ahmed et al. | A system call refinement-based enhanced Minimum Redundancy Maximum Relevance method for ransomware early detection | |
| CN109271780B (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
| Arp et al. | Drebin: Effective and explainable detection of android malware in your pocket. | |
| CN106326737B (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
| CN109684836B (zh) | 使用经训练的机器学习模型检测恶意文件的系统和方法 | |
| RU2739865C2 (ru) | Система и способ обнаружения вредоносного файла | |
| RU2491615C1 (ru) | Система и способ формирования записей для обнаружения программного обеспечения | |
| CN109684835A (zh) | 使用机器学习来检测恶意文件的系统和方法 | |
| CN110119620A (zh) | 训练用于检测恶意容器的机器学习模型的系统和方法 | |
| CN106355092B (zh) | 用于优化反病毒测定的系统和方法 | |
| JP7005936B2 (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN109684072A (zh) | 基于机器学习模型管理用于检测恶意文件的计算资源的系统和方法 | |
| Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
| US9838420B2 (en) | System and method for distributing most effective antivirus records to user devices | |
| CN105631336A (zh) | 检测移动装置上的恶意文件的系统及方法 | |
| EP3151150B1 (en) | System and method for detection of phishing scripts | |
| Holmes et al. | A framework for live host-based Bitcoin wallet forensics and triage | |
| Alam et al. | Malware detection in blockchain using CNN | |
| CN108256327A (zh) | 一种文件检测方法及装置 | |
| KR102091787B1 (ko) | 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치 | |
| Nigam et al. | PCP framework to expose malware in devices | |
| KR101893504B1 (ko) | 리눅스 환경에서 파일 무결성 검증 장치 및 방법 | |
| Bumanglag | An Application of Machine Learning to Analysis of Packed Mac Malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |