CN109948335B - 用于检测计算机系统中的恶意活动的系统和方法 - Google Patents
用于检测计算机系统中的恶意活动的系统和方法 Download PDFInfo
- Publication number
- CN109948335B CN109948335B CN201910082307.3A CN201910082307A CN109948335B CN 109948335 B CN109948335 B CN 109948335B CN 201910082307 A CN201910082307 A CN 201910082307A CN 109948335 B CN109948335 B CN 109948335B
- Authority
- CN
- China
- Prior art keywords
- graph
- computer system
- objects
- relationships
- tool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000694 effects Effects 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004458 analytical method Methods 0.000 claims description 44
- 238000010276 construction Methods 0.000 claims description 24
- 238000012549 training Methods 0.000 claims description 6
- 230000026676 system process Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 6
- 230000001419 dependent effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 4
- 230000009471 action Effects 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000004659 sterilization and disinfection Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
用于检测计算机系统中的恶意活动的系统和方法。可以基于关于计算机系统的信息对象和信息对象之间的关系来生成一个或更多个图形,其中信息对象是图形中的顶点,并且关系是图形中的边。生成的图形与现有图形的比较可以确定恶意活动的可能性。
Description
相关申请
本申请要求2018年6月29日提交的俄罗斯申请No.2018123685的权益,其通过引用全部并入本文。
技术领域
实施例总地涉及信息安全保证技术,并且更具体地,涉及检测计算机系统中的恶意活动。
背景技术
在过去十年中计算机技术的快速发展,以及各种计算设备(个人计算机、笔记本电脑、平板电脑、智能电话等)的广泛传播已成为在各种活动领域中使用此类设备和将其用于大量任务(从上网冲浪到银行转账和电子文件/记录保存)的强大动力。随着计算机设备数量和在这些设备上运行的软件数量的增长,利用这些设备和技术的恶意程序的数量也迅速增长。
目前,存在许多不同类型的恶意程序。某些程序从用户设备窃取个人数据和机密数据(例如登录和密码、银行信息、电子文档)。其他程序利用用户设备构建所谓的僵尸网络,以便执行诸如DDoS-分布式拒绝服务之类的攻击,或者通过转移到其他计算机或计算机网络来彻底破解密码(暴力破解)。还有其他程序通过侵入式广告、付费订阅、发信息至收费号码等为用户提供付费内容。
已经设计了一些杀毒程序来对抗上述威胁。但是,在某些情况下,杀毒程序无效。例如,在以计算机系统上的网络攻击(APT-高级持续性威胁)为目标中心的情况下,以及在系统被感染时杀毒程序不能在计算机系统中运行(例如,未安装或被禁用)的情况,杀毒程序可能无效。
在某些情况下,确定计算机系统是否被感染需要对计算机系统的状态进行资源消耗分析,分析计算机系统行为日志,分析在计算机网络上发送和接收的数据,分析用户动作等。通常,上述工作是手动完成的,这是耗时且劳动密集的。
美国专利No.8,225,041描述了一种性能历史管理方法和系统。例如,分析计算机系统的操作特征,并且结果用于在计算机系统中的数据之间构建链接。基于构建的链接,恢复计算机系统的性能历史。美国专利No.8,225,041成功地处理了恢复和链接在计算机系统中收集的分散数据,但是不能处理基于检测到的数据之间的链接来分析计算机系统的状态。通常,由诸如美国专利No.8,225,041的方法和系统创建的图形中的对象被视为仅显示对象的方向或序列的简单对象。不考虑数学运算。这样的系统不足以检测恶意活动,因为这种任务的复杂性随着对象数量的增加以非线性方式增长。
因此,需要在任何时刻或在执行的任何时刻使用计算机系统的状态的确定来更有效地检测计算机系统中的恶意活动。
发明内容
在一实施例中,一种用于检测计算机系统中的恶意活动的系统包括:计算平台,该计算平台包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件;以及指令,当在所述计算平台上执行所述指令时,使所述计算平台实现:收集工具,配置为收集关于所述计算机系统的多个信息对象,以及确定所述多个信息对象之间的多个关系,图形构建工具,配置为基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形,其中所述第一中间图形和第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成,以及基于至少第一中间图形和第二中间图形构建最终图形,其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点,以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边,搜索工具,配置为基于相似度阈值从图形数据库中选择与最终图形相似的至少一个预先存在的图形,所述至少一个预先存在的图形被指派恶意活动率,分析工具,被配置为基于所述至少一个预先存在的图形确定恶意活动。
在一实施例中,一种用于检测计算机系统中的恶意活动的方法包括:收集关于所述计算机系统的多个信息对象;确定所述多个信息对象之间的多个关系;基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形,其中所述第一中间图形和第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成;基于所述至少第一中间图形和第二中间图形构建最终图形,其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边;基于相似度阈值从图形数据库中选择与最终图形相似的至少一个预先存在的图形,所述至少一个预先存在的图形被指派恶意活动率;以及基于所述至少一个预先存在的图形确定恶意活动。
在一实施例中,一种用于确定计算机系统的特性的系统包括:计算平台,该计算平台包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件;以及指令,当在所述计算平台上执行所述指令时,使所述计算平台实现:图形构建工具,配置为接收关于所述计算机系统的多个信息对象和所述多个信息对象之间的多个关系,构建第一图形,包括所述多个信息对象中的至少两个作为顶点以及所述多个关系中的至少一个作为边,构建第二图形,包括所述多个信息对象中的至少两个,基于所述第一图形和所述第二图形构建统一图形,其中所述统一图形包括在所述第一图形和所述第二图形之间共享的所有相同信息对象,以及分析工具,配置为基于所述统一图形确定所述计算机系统的特征。
以上概述不旨在描述每个所示实施例或本主题的每个实现方式。下面的附图和详细描述更具体地例证了各种实施例。
附图说明
考虑到以下结合附图对各种实施例的详细描述,可以更全面地理解本发明的主题,其中:
图1是根据实施例的用于检测计算机系统中的恶意活动的系统的框图。
图2是根据实施例的用于检测计算机系统中的恶意活动的方法的流程图。
图3是根据实施例的基于对计算机系统的对象之间的链接的分析而构建的图形的示例性框图。
图4是被配置为实现实施例的计算机系统的框图。
虽然各种实施例可以进行各种修改和替换形式,但是其细节已经通过附图中的示例示出并且将被详细描述。然而,应该理解,其目的不是将要求保护的发明限制于所描述的特定实施例。相反,其目的是涵盖落入由权利要求限定的主题的精神和范围内的所有修改、等同物和替代物。
具体实施方式
在一实施例中,函数关系意味着对象之间的关联(关系)的类型,其中每个对象的改变是彼此并发的。在函数关系中,缺乏因果关系的主要指标,特别是生产力(对象不相互产生),时间不对称(对象共存、其中一个不领先于另一个)和不可逆性。
参照图1,描绘了根据实施例的用于检测计算机系统中的恶意活动的系统100的框图。在一实施例中,系统100通常包括收集工具110、经训练的选择模型112、图形构建工具120、图形数据库131、搜索工具130和分析工具140。可选地,系统100可以包括重新训练工具150。如将要描述的,系统100对计算机系统对象111进行操作,并且将包括一个或更多个判定141。
收集工具110被配置用于收集关于计算机系统对象111的信息(在下文中,分别是“关于对象的信息”和“对象”),并且基于对收集的信息的分析来确定对象111之间的关系。在一实施例中,每个关系与关系的可靠度相匹配。在一实施例中,收集工具110还被配置用于将关于所收集的对象111的信息和关于所确定的关系的信息发送到图形构建工具120。
例如,由收集工具110收集或搜集关于计算机系统对象的信息可以使用安装在计算机系统中的专用驱动程序并通过确保拦截进程之间、在网络上传输的数据来执行。
在一实施例中,对象111可以包括:文件;网络分组;网站;随机存取存储器的页面,包括物理的和虚拟的;进程和与进程相关的操作系统对象;操作系统事件;操作系统日志或应用程序日志中的条目;MFΤ(主文件表)中的条目;或操作系统注册表中的条目。
例如,充当对象111的网站可以是地址,例如,“http://google.com”或“http://files.downloads.com/chrome.exe”。
在又一示例中,“system.evtx”操作系统日志包含以下条目作为对象111:
“system.evtx”操作系统日志包括描述系统事件的“密钥”-“值”对的组合。
在一实施例中,关于对象111的信息表示可以唯一地表征对象111的数据,并且可以用作得出关于对象111与另一对象111之间存在关系的结论的基础。
以下示例说明了关于对象111的信息。在示例中,关于文件的信息可包括文件名、文件路径或文件大小。在另一示例中,关于进程的信息可包括进程ID、父进程的ID和子进程的ID,或创建进程的应用程序的名称。在另一示例中,关于网络分组的信息可以包括网络分组接收或发送地址,网络分组大小,网络分组中包含的数据的类型、大小或卷积,或者接收或发送网络分组的应用程序的名称。在另一示例中,随机存取存储器页可包括随机存取存储器页的类型、大小或标志,随机存取存储器页中的数据的大小、位置、类型或卷积,或者进程的ID和与指定的随机存取存储器页中的数据一起工作或操作该数据的应用程序的名称。在另一示例中,操作系统日志中的条目可以包括密钥(诸如值),其中参数的名称作为密钥,并且参数的值充当值。
例如,操作系统注册表(可以将其视为操作系统日志之一)可以包含以下条目:
ImagePath REG_EXPAND_SZ%systemroot%\KtknjRrl.exe |
在该示例中,“ImagePath(图像路径)”字段名称作为密钥,并且值对“field type(字段类型)”-“REG_EXPAND_SZ%”,“field value(字段值)”-“systemroot%\KtknjRrl.exe”作为密钥的值。
在又一实施例中,对象111之间的关系是逻辑关系或函数关系。在一个特定实施例中,例如,对象之间的关系可以是二进制关系。当两个对象111一起使用时可能发生逻辑关系,然而可能彼此不相关(例如,网络分组和操作系统事件“将文件写入盘”)。当一个对象111用于分析另一个对象111(例如,网站和网络分组)时,可以发生函数关系。
在又一实施例中,如果在至少第一对象处理由第二对象提供的数据时满足条件,则建立两个对象111之间的关系。例如,在进程间通信(IPC)中,在其中一种情况下,第一进程从第二进程的存储器中读取数据,第一对象使用第二对象,例如当程序使用用于其自身操作的DLL库时。在另一个示例中,其中第一对象和第二对象由第三对象使用,例如,如果程序使用两个独立的DLL库(即,其中一个库的函数不使用另一个库的函数的DLL库)。在另一示例中,前述对象可具有表征它们的至少一个相同参数,例如充当参数的文件名。
继续该示例,当创建服务时,执行以下操作:首先,将“KtknjRrl.exe”文件写入硬盘驱动器;有关它的信息写入MFT:
inode 3751MACB 09/03/2016 18:42:05Size 56320 |
此外,有关所执行操作的数据被写入事件日志:
此外,关于所创建的服务的数据被写入注册表:
所有三个条目由“KtknjRrl.exe”文件名统一,其用作MFT、事件日志和注册表的公共参数。
在又一示例中,使用“chrome.exe”浏览器的用户从“http://files.com”网站下载“drivers.zip”存档。然后,用户从存档文件中使用WinZip应用程序检索driver.sys文件。在此示例中,可以确定“driver.sys”文件与“drivers.zip”文件直接相关并且间接与“chrome.exe”浏览器相关。因此,以下是对象111:对象1:“chrome.exe”浏览器;对象2:“drivers.zip”存档;对象3:“driver.sys”文件;对象4:“http://files.com”网站。
通常,在上述示例中可以识别以下关系:
在又一示例中示出了对象111之间的关系,Windows操作系统的各种服务以下列格式将关于其操作的数据写入“system.evtx”操作系统日志:“[条目id][时间][进程][事件][参数]”。因此,操作系统日志可以包含以下条目:
在这种情况下,系统的实施例可以确定“hsayy.exe”进程与“explorer.exe”进程相关,因为满足连接两个不同对象111的预定条件;具体地,写入和读取相同的“data.dat”文件,差异为30秒。
在又一实施例中,两个对象111之间的关系的可靠程度可以表征对象111中的一个与对象111中的另一个具有逻辑关系或函数关系的概率。在一实施例中,可靠程度可以包括数值。
例如,关系的可靠程度可以是范围从0.0到1.0的有效数值,其中0.0值意味着对象111肯定不相关,而1.0保证上述对象111之间存在关系。
因此,如果对象111之间的关系的可靠程度不是最大可能值(例如,在上述示例中不是1.0),则对象111之间的关系的确定是概率性的,并且关系通常不是严格地确定,而是基于关于上述对象111之间的关系的累积经验和统计数据。在一示例中,即使在0.1秒差异内创建的两个对象111彼此相关的陈述(例如在软件安装期间创建的)是一种假设,基于关于操作系统函数和各种软件安装的累积统计数据量,它具有高可靠程度。
在又一实施例中,仅当所确定的所收集的对象111之间的关系的可靠程度超过预定的阈值时,才进行从收集工具110到图形构建工具120的关于所收集的对象111的信息的传送,并完成确定的关系。
在又一实施例中,使用经训练的选择模型112来选择对象111,收集工具110收集关于对象111的信息并且确定其之间的关系。经训练的选择模型112可以使用机器训练方法并且基于包括其行为事先已知的(恶意的或安全的)计算机系统的训练样本预先构建。因此,所选择的对象111的数量被最小化,并且由分析工具140基于对关于对象111的信息的分析以及它们之间的关系所做出的判定的准确性被最大化。该方法允许减少检测计算机系统中的恶意活动所需的计算资源(存储器、处理器时间等)的消耗,同时保持正在做出的判定的准确性。
随后,由于对象111本身(关于对象的信息)和对象111之间的关系两者被用于检测计算机系统中的恶意活动,因此将多个识别的对象111和识别的对象111之间的多个识别的关系表示为图形的元素是方便的。在一实施例中,图形是数学对象,其可以使用专门开发的外延的多函数理论(图形的理论)来处理,同时减少分析以解决数学问题。
图形是抽象的数学对象,其可以包括图形顶点和一组边(即顶点对之间的连接)的阵列。例如,顶点阵列可以由多个对象111表示,而该组边可以由所识别的对象111之间的多个逻辑关系和函数关系表示。
对于不同的应用领域,图形类型可以在方向、关系数量的限制以及关于顶点或边的附加数据方面变化。对数学和信息科学具有实际意义的许多结构可以用图形来表示。例如,可以使用有向图来模拟计算机系统,其中如上所述,顶点表示对象111(用参数的组合描述,参数是关于对象111的信息),而边(有向边)是对象111之间的逻辑关系和函数关系。在某些实施例中,可以为每个边(关系)指派权重(关系的可靠程度),使得可以构建加权有向图。
因此,图形构建工具120被配置用于基于关于所获得的关系的信息来构建至少两个图形。在实施例中,一个或更多个图形直径可以小于指定参数。在某些实施例中,这些被命名为中间图形。在一实施例中,对象111表示图形的顶点,而所识别的关系表示图形的边。图形构建工具120还被配置用于基于中间图形构建最终图形,使得最终图形包括来自第一图形和第二图形两者的至少一个顶点以及连接所述顶点的一个边。图形构建工具120还被配置用于将构建的最终图形发送到搜索工具130和/或分析工具140。
例如,在被定义为客户端的分布式系统的计算机系统中,然后,基于从每个客户端收集的对象111以及这些对象111之间的所识别的关系,为每个客户端构建图形。然后,优化构建的最终图形以便减少图形边的数量(即,对象111之间的关系)。
例如,当优化图形时,可以从图形中消除某些组件,包括具有预定属性的顶点(例如,具有指定参数的指定类型的对象),具有预定属性的边(例如,基于对象创建时间的对象之间的关系)或重复边。
在又一实施例中,最终图形的边之间的交点的数量被最小化,其中图形边之间的交点的数量(图形交点的数量)是图形的表示中作为有限集之间的交点图形的元素的最低数量,或等效地,覆盖所有图形的边所需的最低点击次数。
在替代实施例中,图形构建工具120被配置用于基于关于所获得的关系的信息来构建图形,其中图形顶点由对象111表示,并且图形边由所识别的关系表示,使得图形的直径小于预定参数,并且图形包含来自第一图形和第二图形的至少一个顶点以及连接顶点的一个边。图形构建工具120还被配置用于将构建的最终图形发送到搜索工具130和/或分析工具140。
在又一实施例中,图形构建工具120被配置为基于多个中间图形(即,至少三个)构建多个最终图形(即,至少两个)。在实施例中,可以指定或预定最终图形的数量。
例如,在分析作为分布式系统的计算机系统(例如,分组到局域网中的个人计算机)期间,为每个计算机(实际上,计算机系统的独立元件)构建多个图形。然后,基于为每个计算机构建的图形,为每个计算机构建一个最终图形,并且将全部构建的最终图形发送到搜索工具130。
在又一示例中,在作为分布式系统的计算机系统中,可以基于关于计算机系统的对象111的信息来构建图形。在实施例中,可以使用用户名及其相应的IP地址,其包括在“security.evtx”操作系统日志的条目中。因此,例如,会发生以下动作字符串(有向图):
User#1created a file on Computer#1→…
…→User#1passed authentication from Computer#2→…
…→on Computer#2,User#1impersonalized from User#2→…
…→User#2passed authentication from Computer#3,依此类推。
因此,通过对图形对象及其关系进行上述操作和处理,解决了将图形对象视为仅具有如由现有系统所描述的对象的方向或序列的简单对象的问题。此外,系统和方法通过上述优化解决了资源使用的问题(随着对象数量的增加,图形复杂度以非线性方式增加)。
搜索工具130被配置用于从图形数据库131中挑选或选择与所获得的图形的相似度超过预定水平的至少一个图形。在这样的实施例中,计算机系统的活动的预先构建的图形可以存储在图形数据库131中,其中基于对活动的分析为每个图形指派恶意活动率。搜索工具130还被配置用于将所挑选或选择的图形发送到分析工具140。
在一个实施例中,图形数据库131预先用基于从计算机系统中选择的对象111构建的具有已知恶意活动的图形补充。在这种情况下,使用上述收集工具110和图形构建工具120来构建这样的图形。
在又一个实施例中,图形数据库131用基于从计算机系统中选择的包括在用于选择模型112的机器训练的训练样本中的对象111构建的图形进行补充。
在又一个实施例中,图形数据库131不存储如上所述构建的图形,而是存储图形的函数、操作或卷积,或两者。在这种情况下,搜索工具130基于从图形构建工具120接收的图形附加地计算函数,并通过将该图形的计算函数与存储在数据库中的图形函数进行比较来在图形数据库131中执行搜索。在一实施例中,模糊散列用作图形的计算函数。
在又一个实施例中,图形构建工具120被配置为确定图形的同构程度并基于同构程度确定图形之间的相似度。
分析工具140被配置用于基于从图形构建工具120和从搜索工具130接收的图形的分析结果,对计算机系统中的恶意活动的识别做出判定141。
在一个实施例中,关于识别计算机系统中的恶意活动的判定141是通过分析在图形数据库中找到的至少一个图形的恶意率和该图形与所构建的图形的相似度来进行的。例如,可以使用以下公式计算正在分析的计算机系统的最终恶意率:
其中:
w是被分析的计算机系统的恶意率;
wj是从图形数据库131中选择的图形j的恶意率;
c{i,j}是所构建的图形i和从图形数据库131中选择的图形j之间的相似度;
N是为正在分析的计算机系统构建的图形数量;
M是从图形数据库131中选择的图形的数量。
在另一示例中,所分析的计算机系统的恶意率w的范围可以从0.0(在计算机系统中没有发生恶意活动)到1.0(在计算机系统中确实发生恶意活动)。如果上述恶意率wm超过预定值(例如,0.75),则分析工具140可以判定在所分析的计算机系统中检测到恶意活动。
在又一实施例中,基于对所构建的图形的分析,分析工具140被配置为识别作为计算机系统中的恶意活动的源的对象111。
可选的重新训练工具150被配置用于基于由分析工具140做出的判定141来重新训练选择模型112。在一实施例中,在对同一计算机系统针对恶意的下一次分析期间,由图形构建工具120基于对由收集工具110选择的对象111的分析构建图形进行优化。例如,所选择的对象111的数量被最小化,而由分析工具140基于对关于对象111的信息和对象111之间的关系的分析做出的判定的准确性被最大化。在另一示例中,用于由图形构建工具120构建图形的计算资源的消耗(例如,在分析工具140的第二实例中)低于当使用非重新训练模型进行选择时的计算资源消耗(例如,在分析工具140的第一实例中)。
在操作中,系统100可用于采用以下示例检测计算机系统中的恶意活动。用户执行以下顺序操作:首先,用户在输入密码时连接到远程计算机。然后,用户创建一个新服务,进而在计算机系统中引起以下变化:服务的创建修改了注册表;该服务启动Powershell;以及Powershell创建一个文件。
然后,收集工具110收集关于计算机系统的对象111的信息:
·对象#1-日志中的条目;
·对象#2-日志中的条目;
·对象#3-注册表中的密钥;
·对象#4-日志中的条目;
·对象#5-在文件系统中创建文件。
基于所收集的对象111,图形构建工具120使用以下数据构建关系:
对象#1(日志中的条目)→[用户名的关系]→...
...→对象#2(注册表中的密钥)→[服务名的关系]→...
...→对象#3(注册表中的密钥)→[注册表密钥中文件名的关系]→...
...→对象#4(日志中的条目)→[日志中文件名的关系]→...
...→对象#5(在文件系统中创建文件)。
参照图2,描绘了根据实施例的用于检测计算机系统中的恶意活动的方法200的流程图。方法200包括阶段210,在该阶段收集关于计算机系统的对象的信息;阶段220,在该阶段识别对象之间的关系;阶段230,在该阶段构建图形;阶段240,在该阶段构建最终图形;阶段250,在该阶段选择图形;阶段260,在该阶段做出关于恶意活动的判定;以及阶段270,在该阶段重新训练选择模型。
更具体地,在阶段210,收集关于计算机系统的对象111的信息。在一实施例中,使用经训练的选择模型112来进行对象111的选择。
在阶段220,基于对收集的信息的分析来确定对象111之间的关系。在某些实施例中,每个关系与可靠程度相匹配。在特定实施例中,其关系的可靠程度低于预定阈值的对象111被排除在对恶意的进一步分析之外。这允许减少用于针对恶意分析计算机系统的计算资源。
在阶段230,基于所识别的关系(包括使用关系的确定的可靠程度)来构建至少两个(中间)图形。在一实施例中,一个或更多中间图形直径可以小于指定参数。对象111表示为图形的顶点,而识别的关系表示图形的边。
在阶段240,基于先前构建的中间图形来构建最终图形。在一实施例中,最终图形包括来自第一图形和第二图形两者的至少一个顶点以及连接顶点的一个边。
在阶段250,从图形数据库131中选择至少一个图形,其与所构建的最终图形的相似度超过预定水平。每个预先构建的图形可以包括基于对计算机系统的所述活动的分析并存储在图形数据库131中的指派的恶意活动率。
在阶段260,基于构建图形和所选图形的分析结果做出关于在计算机系统中检测恶意活动的判定。
在阶段270,基于在阶段260做出的判定141重新训练所训练的选择模型112,使得在针对恶意活动对同一计算机系统进行随后分析时,基于在阶段210中对选择的对象111的分析,在阶段230至少会发生以下情况以构建图形:被选择的对象111的数量被最小化,而在阶段260基于对关于对象111的信息和它们之间的关系的分析做出的判定的准确性最大化;和/或用于在阶段230构建图形的计算资源的消耗低于使用在使用非重新训练的模型时选择的对象111构建图形的计算资源消耗。
参照图3,根据实施例,描绘了基于对计算机系统的对象之间的链接的分析而构建的图形的示例性框图。用于基于对计算机系统对象111之间的关系的分析来构建图形的示意图包括初始构建的图形310和320、统一图形330和优化图形340。在每个图形中,计算机系统对象301、302、303充当图形的顶点。
在这种情况下,对象301可以被视为不同的对象(为方便起见,它们被分组在单个索引下,而实质上是不同的),而对象302和303是相同的。基于所收集的对象301、302、303以及它们之间所识别的关系的分析构建初始图形310和320。
在图3中,实线边表示对象111之间的函数关系,虚线边表示逻辑关系,箭头表示链接对象和被链接对象(即箭头从创建关系的第一对象111到与第一对象111相关的第二对象111)。例如,如果从存档中选择文件,则箭头将显示从存档到所选文件的函数关系。
如本文所述,收集工具110用于收集关于计算机系统111的对象的信息。在一实施例中,其中计算机系统由多个独立组件(例如,客户端和服务器)组成,从不同的独立组件收集的对象111也可以被认为是独立的。可以以这种方式构建多个初始图形。
在另一示例中,其中计算机系统是单一的(仅包含一个独立组件),所有收集的对象111可以被认为是依赖的。然而,收集的对象111也可以被分成多个相对独立的组(具有少量关系),可以针对其构建多个初始图形(每个组一个图形)。
在运行允许对计算机系统进行远程(“后门”)控制的恶意程序的计算机系统中,从“所有者”接收命令的恶意程序可以采取恶意或未授权的动作。例如,恶意程序可以接收两个不同的命令,“加密文档”和“获取密码”。这两个动作都是独立的,可以由恶意程序的不同模块执行。在分析这样的计算机系统期间,可以构建两个独立的图形。在第一图形中,对象111主要由文件(文档)表示。在第二图形中,对象111由操作系统日志中的条目表示。无论如何,可以通过网络活动(也将反映在操作系统日志中)、活动源(恶意程序模块)、活动开始时间、网络分组等跟踪两个图形之间的关系。
图形构建工具120构建初始图形310和320,使得图形310和320包含(作为它们的顶点)至少两个相同或相似的对象111(相似对象是其中至少一个参数相差的值不超过指定的一个值的对象)。例如,初始图形310包含两个相同的对象303。
基于先前构建的初始图形310和320构建统一图形330。图形构建工具120构建统一图形330,使得其包括存在于用作构建统一图形330的基础的所有初始图形中的所有相同或相似的对象111。例如,统一图形330包括初始图形310和320中存在的所有对象302和303。
统一图形330可以被认为是搜索工具130可以对其执行后续分析的最终图形。然而,为了确保用于检测计算机系统中的恶意活动的系统在计算机资源(图形数据库中的空间,用于构建、搜索和分析图形的计算资源等)方面要求较低,在某些实施例中,图形构建工具120执行统一图形330的优化并构建优化图形340。
基于先前构建的统一图形330构建优化图形340。图形构建工具120构建优化图形340以包括存在于所有初始图形和统一图形中的所有相同或相似的对象111。例如,优化图形340包括存在于初始图形310和320以及统一图形330中的所有对象302和303。在这种情况下,与上述对象111无关的所有对象和关系(顶点和边)可以从优化图形340中删除(它们被标记为未填充的圆)。因此,在优化之后,除了上述对象302和303之外,还可以检测对象304,建立对象304之间的关系,该关系在初始图形310和320的构建(或分析)期间早期检测不到。如图所示,优化图形340比统一图形330更紧凑,因此优化图形的后续工作优于初始图形310和320或统一图形330。
参照图4,描绘了根据各种实施例的更详细地示出计算机系统400的示意图,在该计算机系统400上可以实现如本文所述的本发明的各方面。
计算机系统400可以包括计算设备,例如个人计算机420,其包括一个或更多个处理单元421、系统存储器422和系统总线423,其包含各种系统组件,包括与一个或更多个处理单元421连接的存储器。在各种实施例中,处理单元421可以包括能够处理存储在计算机可读介质上的信息的多个逻辑核。系统总线423被实现为在相关技术层面已知的任何总线结构,其又包含总线存储器或总线存储器控制器、外围总线和本地总线,其能够与任何其他总线架构交互。系统存储器可以包括非易失性存储器(诸如只读存储器(ROM)424)或易失性存储器(诸如随机存取存储器(RAM)425)。基本输入/输出系统(BIOS)426包含确保在个人计算机420的元件之间传输信息的基本过程,例如,在使用ROM 424的操作系统引导期间。
个人计算机420又具有用于数据读取和写入的硬盘驱动器427,用于在可移除磁盘429上读取和写入的磁盘驱动器428,以及用于在可移除光盘431上读取和写入的光盘驱动器430,例如CD-ROM、DVD-ROM和其他光学介质。硬盘驱动器427、磁盘驱动器428和光盘驱动器430分别通过硬盘驱动器接口432、磁盘驱动器接口433和光盘驱动器接口434与系统总线423连接。驱动器和相应的计算机信息介质代表用于在个人计算机420上存储计算机指令、数据结构、程序模块和其他数据的能量独立装置。
所描绘的系统包括硬盘驱动器427、可移除磁盘驱动器429和可移除光盘驱动器430,但是应该理解,可以使用能够以计算机可读形式(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等)存储数据的其他类型的计算机介质,其通过控制器455连接到系统总线423。
计算机420包括文件系统436,其中存储记录的操作系统435,以及附加程序应用程序437、其他程序引擎438和程序数据439。用户可以使用输入设备(键盘440、鼠标442)将命令和信息输入到个人计算机420中。也可以使用其他输入设备(未示出),例如:麦克风、操纵杆、游戏机、扫描仪等。这种输入设备通常通过串行端口446连接到计算机系统420,又连接到系统总线,但它们也可以以不同的方式连接-例如,使用并行端口、游戏端口或通用串行总线(USB)。监视器447或另一种类型的显示设备还通过接口(诸如视频适配器448)连接到系统总线423。除了监视器447之外,个人计算机420还可以配备有其他外围输出设备(未示出),例如作为扬声器、打印机等。
个人计算机420能够在网络环境中工作;在这种情况下,它使用与一个或几个其他远程计算机449的网络连接。一个或更多个远程计算机449是相似的个人计算机或服务器,其具有上述元素中的大部分或全部,在描述图4中所示的个人计算机420的实质时前面已经提到过。计算网络还可以具有其他设备,例如路由器、网络站、对等设备或其他网络节点。
网络连接可以构成局域网(LAN)450和广域网(WAN)。这种网络用于公司计算机网络或公司内部网,并且通常可以访问互联网。在LAN或WAN网络中,个人计算机420通过网络适配器或网络接口451连接到局域网450。当使用网络时,个人计算机420可以使用调制解调器454或其他装置连接到广域网,比如互联网。调制解调器454(其是内部设备或外部设备)通过串行端口446连接到系统总线423。应该澄清的是,这些网络连接仅是示例,并不一定反映精确的网络配置,即实际上还有其他使用计算机之间通信的技术手段建立连接的方法。
本文已经描述了系统、设备和方法的各种实施例。这些实施例仅作为示例给出,并不旨在限制所要求保护的发明的范围。此外,应当理解,已经描述的实施例的各种特征可以以各种方式组合以产生许多另外的实施例。此外,虽然已经描述了各种材料、尺寸、形状、配置和位置等以用于所公开的实施例,但是可以使用除了所公开的那些之外的其他实施例,而不超出所要求保护的发明的范围。
相关领域的普通技术人员将认识到,本文的主题可包括比上述任何单独实施例中所示的更少的特征。本文描述的实施例并不意味着可以组合本发明主题的各种特征的方式的穷尽表示。因此,实施例不是相互排斥的特征组合;相反,如本领域普通技术人员所理解的,各种实施例可包括选自不同单独实施例的不同单独特征的组合。此外,除非另有说明,否则即使在这些实施例中没有描述,也可以在其他实施例中实现关于一个实施例描述的元件。
虽然从属权利要求可以在权利要求中提及与一个或更多个其他权利要求的特定组合,但是其他实施例还可以包括从属权利要求与每个其他从属权利要求的主题的组合或者与其他从属或独立权利要求的一个或更多个特征的组合。除非声明不意味着特定组合,否则本文提出了这样的组合。
通过引用以上文档的任何并入是有限的,使得不包含与本文的明确公开相反的主题。通过引用上述文档的任何并入进一步限制,使得文档中包括的任何权利要求均不通过引用并入本文。通过引用上述文档的任何并入进一步限制,使得除非明确包括在本文中,否则文档中提供的任何定义不通过引用并入本文。
出于解释权利要求的目的,明确意图是不得援引35U.S.C.§112(f)的规定,除非在权利要求中叙述了特定术语“用于......的装置”或“用于......的步骤”。
Claims (14)
1.一种用于检测计算机系统中的恶意活动的系统,所述系统包括:
计算平台,包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件;以及
指令,当在所述计算平台上执行所述指令时,使所述计算平台实现:
收集工具,被配置为:
收集针对多个计算机系统对象的关于所述计算机系统的信息,其中使用经训练的选择模型选择所述多个计算机系统对象,所述经训练的选择模型先前由具有已知恶意的训练样本来训练,以及
确定所述多个计算机系统对象之间的多个关系,
图形构建工具,被配置为:
基于所述多个计算机系统对象和所述多个关系构建至少第一中间图形和第二中间图形,其中所述第一中间图形和所述第二中间图形以所述多个计算机系统对象作为顶点并且所述多个关系作为边来形成,以及
基于至少所述第一中间图形和第二中间图形构建最终图形,
其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点,以及将来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点连接的至少一个边,
搜索工具,被配置为:
基于相似度阈值从包括多个预先存在的图形的图形数据库中选择与所述最终图形相似的至少一个特定预先存在的图形,所述至少一个特定预先存在的图形被指派恶意活动率,
分析工具,被配置为基于所述至少一个特定预先存在的图形确定恶意活动;以及
重新训练工具,被配置为基于所述恶意活动的确定通过以下步骤来重新训练所述经训练的选择模型:
将由所述收集工具针对其收集信息的所述多个计算机系统对象从所述收集工具的第一实例减少到所述收集工具的第二实例,以及
将针对所述图形构建工具的资源消耗从所述收集工具的第一实例减少到所述收集工具的第二实例。
2.如权利要求1所述的系统,其中所述多个计算机系统对象是文件、网络分组、网站、随机存取存储器(RAM)页、系统进程、操作系统对象、操作系统事件、操作系统日志中的条目、应用程序日志中的条目、主文件表(MFT)中的条目或操作系统注册表中的条目中的至少一个。
3.如权利要求1所述的系统,其中所述收集工具还被配置为通过确定所述多个计算机系统对象中的两个之间的关系的可靠程度来确定多个关系中的至少一个,作为表征所述多个计算机系统对象中的两个中的第一个与所述多个计算机系统对象中的两个中的第二个具有逻辑关系或函数关系的概率的数值。
4.如权利要求3所述的系统,其中所述收集工具还被配置为当所述可靠程度超过可靠性阈值时,将针对所述多个计算机系统对象的关于所述计算机系统的信息和所述多个关系发送到所述图形构建工具。
5.如权利要求1所述的系统,其中所述图形构建工具还被配置为通过至少减少计算机系统对象之间的关系、消除具有预定义对象特征的计算机系统对象、消除具有预定义关系特征的关系、消除重复关系或最小化关系线之间的交点数量来优化所述最终图形。
6.如权利要求1所述的系统,其中基于所述多个计算机系统对象和已知恶意活动用图形来填充所述图形数据库。
7.如权利要求1所述的系统,其中所述分析工具被配置为通过分析所述至少一个特定预先存在的图形的所述恶意活动率和所述至少一个特定预先存在的图形与所述最终图形的相似性来确定所述恶意活动。
8.如权利要求7所述的系统,其中所述恶意活动率根据以下公式计算:
其中w是所分析的计算机系统的恶意活动率;
wj是从所述图形数据库中选择的图形j的恶意活动率;
c{i,j}是从所述图形数据库中选择的图形i和图形j之间的相似度,
N是为所分析的计算机系统构建的图形的数量;以及
M是从所述图形数据库中选择的图形的数量。
9.如权利要求1所述的系统,其中所述第一中间图形和所述第二中间图形根据小于指定直径的图形直径形成。
10.一种用于检测计算机系统中的恶意活动的方法,所述方法包括:
使用收集工具收集针对多个计算机系统对象的关于所述计算机系统的信息,其中使用经训练的选择模型选择所述多个计算机系统对象,所述经训练的选择模型先前由具有已知恶意的训练样本来训练;
确定所述多个计算机系统对象之间的多个关系;
使用图形构建工具基于所述多个计算机系统对象和所述多个关系构建至少第一中间图形和第二中间图形,其中所述第一中间图形和所述第二中间图形以所述多个计算机系统对象作为顶点并且所述多个关系作为边来形成;
使用图形构建工具基于至少所述第一中间图形和第二中间图形构建最终图形,其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点以及将来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点连接的至少一个边;
基于相似度阈值从包括多个预先存在的图形的图形数据库中选择与所述最终图形相似的至少一个特定预先存在的图形,所述至少一个特定预先存在的图形被指派恶意活动率;
基于所述至少一个特定预先存在的图形确定恶意活动;
基于所述恶意活动的确定通过以下步骤来重新训练所述经训练的选择模型:
将由所述收集工具针对其收集信息的所述多个计算机系统对象从所述收集工具的第一实例减少到所述收集工具的第二实例,以及
将针对所述图形构建工具的资源消耗从所述收集工具的第一实例减少到所述收集工具的第二实例。
11.如权利要求10所述的方法,其中确定多个关系中的至少一个包括:确定所述多个计算机系统对象中的两个之间的关系的可靠程度,作为表征所述多个计算机系统对象中的两个中的第一个与所述多个计算机系统对象中的两个中的第二个具有逻辑关系或函数关系的概率的数值。
12.如权利要求10所述的方法,还包括:
通过至少减少计算机系统对象之间的关系、消除具有预定义对象特征的计算机系统对象、消除具有预定义关系特征的关系、消除重复关系或最小化关系线之间的交点数量来优化所述最终图形。
13.如权利要求10所述的方法,其中确定所述恶意活动包括分析所述至少一个特定预先存在的图形的所述恶意活动率和所述至少一个特定预先存在的图形与所述最终图形的相似性。
14.如权利要求10所述的方法,其中根据小于指定直径的图形直径形成所述第一中间图形和所述第二中间图形。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018123685A RU2697958C1 (ru) | 2018-06-29 | 2018-06-29 | Система и способ обнаружения вредоносной активности на компьютерной системе |
RU2018123685 | 2018-06-29 | ||
US16/146,142 US11163881B2 (en) | 2018-06-29 | 2018-09-28 | Systems and methods for detecting malicious activity in a computer system |
US16/146,142 | 2018-09-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109948335A CN109948335A (zh) | 2019-06-28 |
CN109948335B true CN109948335B (zh) | 2024-02-23 |
Family
ID=64331920
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910082307.3A Active CN109948335B (zh) | 2018-06-29 | 2019-01-28 | 用于检测计算机系统中的恶意活动的系统和方法 |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP3588348A1 (zh) |
CN (1) | CN109948335B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI717831B (zh) | 2019-09-11 | 2021-02-01 | 財團法人資訊工業策進會 | 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 |
US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
US20210286879A1 (en) * | 2020-03-13 | 2021-09-16 | International Business Machines Corporation | Displaying Cyber Threat Data in a Narrative |
CN114296809B (zh) * | 2021-12-24 | 2023-05-05 | 深圳航天科技创新研究院 | 一种基于操作系统的对象模型构建方法及其系统调用接口 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2012113255A (ru) * | 2012-04-06 | 2013-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
CN105653956A (zh) * | 2016-03-02 | 2016-06-08 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
RU2615317C1 (ru) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований |
US9635049B1 (en) * | 2014-05-09 | 2017-04-25 | EMC IP Holding Company LLC | Detection of suspicious domains through graph inference algorithm processing of host-domain contacts |
CN106796635A (zh) * | 2014-10-14 | 2017-05-31 | 日本电信电话株式会社 | 确定装置、确定方法及确定程序 |
CN107229951A (zh) * | 2017-05-31 | 2017-10-03 | 北京知道创宇信息技术有限公司 | 预测用户是否存在恶意行为的方法和计算设备 |
CN108027860A (zh) * | 2015-05-08 | 2018-05-11 | 迈克菲有限公司 | 用于进行异常检测的硬化事件计数器 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5123641B2 (ja) | 2007-10-31 | 2013-01-23 | 株式会社日立製作所 | 性能履歴の管理方法および性能履歴の管理システム |
WO2015140842A1 (ja) * | 2014-03-20 | 2015-09-24 | 日本電気株式会社 | システムを監視する情報処理装置及び監視方法 |
US20170068816A1 (en) * | 2015-09-04 | 2017-03-09 | University Of Delaware | Malware analysis and detection using graph-based characterization and machine learning |
US9928366B2 (en) * | 2016-04-15 | 2018-03-27 | Sophos Limited | Endpoint malware detection using an event graph |
-
2018
- 2018-11-16 EP EP18206739.7A patent/EP3588348A1/en not_active Withdrawn
-
2019
- 2019-01-28 CN CN201910082307.3A patent/CN109948335B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2012113255A (ru) * | 2012-04-06 | 2013-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
US9635049B1 (en) * | 2014-05-09 | 2017-04-25 | EMC IP Holding Company LLC | Detection of suspicious domains through graph inference algorithm processing of host-domain contacts |
CN106796635A (zh) * | 2014-10-14 | 2017-05-31 | 日本电信电话株式会社 | 确定装置、确定方法及确定程序 |
CN108027860A (zh) * | 2015-05-08 | 2018-05-11 | 迈克菲有限公司 | 用于进行异常检测的硬化事件计数器 |
RU2615317C1 (ru) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований |
CN105653956A (zh) * | 2016-03-02 | 2016-06-08 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
CN107229951A (zh) * | 2017-05-31 | 2017-10-03 | 北京知道创宇信息技术有限公司 | 预测用户是否存在恶意行为的方法和计算设备 |
Non-Patent Citations (4)
Title |
---|
"Exploiting sub-graph isomorphism and probabilistic neural networks for the detection of hardware Trojans at RTL";Florenc Demrozi等;《2017 IEEE International High Level Design Validation and Test Workshop (HLDVT)》;20171207;第1-4页 * |
"Malicious Software Classification Using Transfer Learning of ResNet-50 Deep Neural Network";Edmar Rezende等;《 2017 16th IEEE International Conference on Machine Learning and Applications (ICMLA)》;第1-4页 * |
"基于数据关系图的恶意假数据注入攻击检测";张林鹏等;《上海电力学院学报》;20171031;第480-486页 * |
"基于模型检测的程序恶意行为识别方法";张一弛等;《计算机工程》;第107-110页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109948335A (zh) | 2019-06-28 |
EP3588348A1 (en) | 2020-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111382430B (zh) | 用于对计算机系统的对象进行分类的系统和方法 | |
US11403396B2 (en) | System and method of allocating computer resources for detection of malicious files | |
CN109948335B (zh) | 用于检测计算机系统中的恶意活动的系统和方法 | |
US10878090B2 (en) | System and method of detecting malicious files using a trained machine learning model | |
US11880455B2 (en) | Selecting a detection model for detection of a malicious file | |
US8856937B1 (en) | Methods and systems for identifying fraudulent websites | |
EP3622402A1 (en) | Real time detection of cyber threats using behavioral analytics | |
EP3474175B1 (en) | System and method of managing computing resources for detection of malicious files based on machine learning model | |
US20220035917A1 (en) | Detecting malicious activity in a computer system using computer system objects | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
CN110855649A (zh) | 一种检测服务器中异常进程的方法与装置 | |
TWI610196B (zh) | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 | |
RU2724800C1 (ru) | Система и способ обнаружения источника вредоносной активности на компьютерной системе | |
RU2673708C1 (ru) | Система и способ машинного обучения модели обнаружения вредоносных файлов | |
TWI617939B (zh) | 攻擊節點偵測裝置、方法及其電腦程式產品 | |
Dumitrasc et al. | User Behavior Analysis for Malware Detection | |
EP3252645A1 (en) | System and method of detecting malicious computer systems | |
RU2776926C1 (ru) | Способ изменения правила обнаружения вредоносного кода | |
EP3674943A1 (en) | System and method of detecting a source of malicious activity in a computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |