CN114091046A - 识别对计算机系统的文件进行编码的加密器的系统和方法 - Google Patents

识别对计算机系统的文件进行编码的加密器的系统和方法 Download PDF

Info

Publication number
CN114091046A
CN114091046A CN202110685763.4A CN202110685763A CN114091046A CN 114091046 A CN114091046 A CN 114091046A CN 202110685763 A CN202110685763 A CN 202110685763A CN 114091046 A CN114091046 A CN 114091046A
Authority
CN
China
Prior art keywords
file
identifying
identified
files
suspicious process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110685763.4A
Other languages
English (en)
Inventor
叶夫根尼·I·洛帕廷
德米特里·A·康德拉泰耶夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from RU2020128090A external-priority patent/RU2770570C2/ru
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN114091046A publication Critical patent/CN114091046A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请涉及识别对计算机系统的文件进行编码的加密器的系统和方法。示例性方法包括:识别由可疑进程执行了数据输入的一个或多个文件;针对每个识别出的文件,确定所述识别出的文件的特性;使用经训练的机器学习模型和所述识别出的文件的相应特性,识别文件修改的类别;基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及保护所述计算机系统免受所述加密器的影响。

Description

识别对计算机系统的文件进行编码的加密器的系统和方法
技术领域
本发明涉及数据安全领域。具体而言,涉及用于识别对计算机系统的文件进行编码的加密器的系统和方法。
背景技术
近年来计算机技术的快速发展以及计算设备(个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛分布,强烈刺激了这些设备在各种活动领域和针对大量任务的使用(从私人照片的处理和存储到银行转账和电子文档管理)。计算设备和在这些设备中运行的软件数量的增长伴随着有害软件量的快速增长。
当前存在许多不同类型的有害软件,其中绝大多数旨在为其创建者谋利。一种有害软件会从用户的设备中窃取用户的个人和机密数据(例如登录名和密码、银行账户详细信息、电子文档等)。另一种有害软件从用户的设备形成所谓的僵尸网络,以攻击其他计算机、计算机网络或Web(网络)资源(例如,通过“拒绝服务”攻击或“暴力”攻击)。第三类有害软件通过持续广告、付费订阅、向付费号码发送短信等方式向用户提供付费内容。
一种有害软件包括以勒索为目的的有害软件程序(称为勒索软件)。当这些勒索程序出现在用户的设备上时,它们会使设备无法运行(例如,通过阻止输入设备、破坏数据、限制对界面元素的访问等)。通常会敦促受害者为恢复对他/她的文件的访问付费,但是,即使这样做了,恶意方也不总是将数据或设备的控制权恢复给其合法所有者。最危险的勒索程序包括对文件进行加密的有害软件(加密器)。他们的有害动作包括破坏对用户有价值的数据(例如数据库、Microsoft Office文档、照片、视频文件等)。数据因加密、重命名或隐藏包含这些数据的文件而损坏。由于数据的机密性和完整性通常都受到高度重视,因此保护数据是一项重要任务。
对抗上述威胁的一种方法是及时检测用户设备上的有害应用程序,然后将其停用,从而保护数据免遭未经批准的修改,同时还定期创建数据备份副本,以便数据即使在未经批准的修改的情况下也可以恢复。然而,新形式的加密器不断被创建。由于新形式的加密器的出现,必须定期编写新的签名以识别它们。各种大量的计算资源被消耗在更新签名的任务上。然而,在某些情况下,加密器在使用独特的解压缩器进行启动后对自己解密——从而增加了确保计算安全免受此类攻击所需的基于签名的检测的复杂性。
另一种方法是基于行为检测。与签名检测相比,行为检测提供了更灵活的方法。这主要是因为基于行为的检测是基于对加密器分布的特性特征的监控。这为检测大量文件的出现或修改提供了机会。然而,这些方法也有缺点。
首先,加密器的区别特征是它们拒绝对硬盘上的许多或甚至所有给定类型的文件(图像、财务文档等)的访问。当检测到这种行为时,一些数据将被加密。为了对抗加密器的操作,可能会使用受影响文件的备份复制,但这需要进一步的资源消耗,因此会减慢合法软件的运行速度。
其次,有许多程序的行为也表现出与文件系统中的如下动作相关联的特征,这些特征呈现加密器特性。例如,存档器(archiver)应用程序具有许多呈现加密器特性的行为特性。例如,两种类型的软件都可能会快速修改大量用户文件,并且用户文件执行后产生的文件具有许多相似的特征。使用确定的规则或分析算法很难找到加密器和存档器应用程序之间的任何区别。这可能会导致将存档类型的程序错误地归类为有害的。换句话说,II类错误(假阴性)可能会增加。然而,由有害软件安装的文件与合法用户文件呈现出一定差异,并且已经提出应该根据这些差异搜索加密文件,以检测木马加密器的活动。
然而,现有的大多数检测加密器的方法都没有利用有害加密软件的关键特征,即在计算机上创建牺牲文件,其中信息未经恶意方解密就无法被用户读取。这对于识别对计算机系统的文件进行加密的有害软件产生了高水平的I类错误(假阳性)和II类错误的技术问题。
因此,需要一种使用最新的机器学习方法来检测加密器的更优化和更有效的方式。换言之,需要一种识别对计算机系统的文件进行编码的加密器的系统和方法。
发明内容
本发明的各方面涉及数据安全,更具体地,涉及识别对计算机系统的文件进行编码的加密器的系统和方法。
在一个示例性方面,提供了一种用于识别对计算机系统的文件进行编码的加密器的方法,该方法包括:识别由可疑进程执行了数据输入的一个或多个文件;针对每个识别出的文件,确定识别出的文件的特性;使用经训练的机器学习模型和识别出的文件的相应特性,识别文件修改的类别;以及基于识别出的文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及保护所述计算机系统免受所述加密器的影响。
在一方面,该方法还包括:通过顺序检查计算机系统的所有进程来检测有害软件,其中所述顺序检查包括将被检查的进程识别为可疑进程。
在一方面,可疑进程与预定进程的可更新列表相关联。
在一方面,文件修改的类别包括至少一种由加密器做出的文件修改的类别和至少一种其他的由合法软件做出的文件修改的类别。
在一方面,计算机系统的保护包括以下中的至少一者:停止可疑进程以及与可疑进程相关联的所有流和其他进程;删除或隔离启动可疑进程的文件;从备份副本恢复由可疑进程执行了数据输入的所述一个或多个文件,其中所述一个或多个文件的备份副本是在发生由可疑进程将数据输入到所述一个或多个文件之前创建和存储的;以及更新防病毒数据库并启动防病毒软件以执行按需扫描。
在一方面,针对每个识别出的文件,机器学习模型确定文件的修改属于文件修改的类别之一的概率。
在一方面,该方法还包括:由分析器确定加密器对文件进行修改的概率超过第一阈值的一个或多个文件的数量;以及当对文件进行修改的概率超过第一阈值的一个或多个文件的确定的数量大于第二阈值时,将可疑进程识别为与加密器相关联。
在一方面,将可疑进程识别为与加密器相关联是使用经训练的第二机器学习模型来执行的,该经训练的第二机器学习模型接收识别出的文件修改的类别作为输入数据。
在一方面,经训练的第二机器学习模型还接收识别出的可疑进程的特性作为输入数据。
在一方面,经训练的第二机器学习模型包括基于以下中的至少一者训练的机器学习模型:神经网络、决策树、随机森林、支持向量机、k-最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。
在一方面,识别执行了数据输入的一个或多个文件基于对使用流和/或写入流的操作的系统调用的处理。
在一方面,识别所述一个或多个文件包括识别每个识别出的文件的特性,所述特性包括以下中的至少一者:文件的至少一部分的熵、文件的元数据、文件的所述至少一部分的元数据、关于已将数据输入文件的应用程序或进程的信息。
在一个方面,用于识别文件修改的类别的经训练的机器学习模型包括基于以下中的至少一者的第一机器学习模型:神经网络、决策树、随机森林、支持向量机、k-最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。
在一方面,将可疑进程识别为与加密器相关联还包括:识别可疑进程的特性,所述特性至少包括可疑进程的标识符和上下文;以及识别与可疑进程相关联的事件,所述事件包括以下中的一者或多者:防病毒程序的判定、对自动启动列表的更改、互联网访问、以及关于系统的信息。
根据本发明的一个方面,提供了一种用于识别对计算机系统的文件进行编码的加密器的系统,该系统包括硬件处理器,该硬件处理器被配置为:识别由可疑进程执行了数据输入的一个或多个文件;针对每个识别出的文件,确定识别出的文件的特性;使用经训练的机器学习模型和识别出的文件的相应特性,识别文件修改的类别;以及基于识别出的文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及保护所述计算机系统免受所述加密器的影响。
在一个示例性方面,提供了一种非暂时性计算机可读介质,在该非暂时性计算机可读介质上存储有用于识别对计算机系统的文件进行编码的加密器的指令集,其中该指令集包括用于以下操作的指令:识别由可疑进程执行了数据输入的一个或多个文件;针对每个识别出的文件,确定识别出的文件的特性;使用经训练的机器学习模型和识别出的文件的相应特性,识别文件修改的类别;以及基于识别出的文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及保护计算机系统免受所述加密器的影响。
本发明的方法和系统旨在以更优化和更有效的方式提供数据安全性,并识别对计算机系统的文件进行编码的有害软件。第一个技术结果是通过使用经训练的机器学习模型将可疑进程识别为与加密器相关联,从而提高了保护计算机系统文件免受加密器影响的水平。机器学习模型接收由可疑进程创建或修改的文件的特性作为其输入数据。第二个技术结果是减少了使用经训练的机器学习模型识别与加密器相关联的可疑进程时的I类错误和II类错误。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
图1示出了用于识别加密器的系统。
图2a示出了在由加密器操作之后的计算机目录的第一示例。
图2b示出了在由加密器操作之后的计算机目录的第二示例。
图2c示出了在由加密器操作之后的计算机目录的第三示例。
图2d示出了在由加密器操作之后的计算机目录的第四示例。
图3示出了计算机系统的示例性保护器。
图4示出了用于识别与对计算机系统的文件进行编码的有害软件相关联的进程的示例性方法。
图5呈现了可以在其上实现本发明的各方面的通用计算机系统的示例。
具体实施方式
本文在根据本发明的各方面的用于识别与对计算机系统的文件进行编码的有害软件相关联的进程的系统、方法和计算机程序的上下文中描述示例性方面。本领域的普通技术人员将认识到,以下描述仅仅是说明性的,而不旨在以任何方式进行限制。其他方面将很容易将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目
本发明的系统和方法能够识别通过对计算机系统的文件进行编码来对计算机系统造成损害的软件。该系统和方法还使用经训练的机器学习模型减少了与加密器相关联的可疑进程的识别中的第I类和第II类错误。
图1示出了用于识别加密器的示例性系统100。系统100在计算系统(例如,计算机)上实现,该计算系统100包括现实世界的设备、系统、部件以及部件组合,这些现实世界的设备、系统、部件以及部件组合使用诸如集成微电路(专用集成电路,ASIC)或现场可编程门阵列(FPGA)的硬件实现、或者例如以软件和硬件组合的形式(例如微处理器系统和程序指令集)实现、以及还在神经突触芯片上实现。所述系统的这些模块的功能可以仅通过硬件来实现,并且也可以以组合的形式来实现,其中系统模块的一些功能通过软件来实现,并且一些功能通过硬件来实现。在某些方面,部件、系统等中的一些或全部可以在通用计算机(诸如图5所示的计算机)的处理器上执行。此外,系统部件可以在单个计算设备内实现,或者也可以分散在多个互连的计算设备之间。因此,系统100可以使用适当的硬件部件和/或软件模块来实现,这些硬件部件和/或软件模块可以布置在一起或者可以驻留在多个位置或多个设备上。系统的部件和/或系统的模块然后可以通过一条或多条无线通信线路、有线通信线路、蜂窝通信、客户端/服务器架构、对等架构等交互或交换数据。
系统100包括文件处理器103,文件处理器103被设计成识别由可疑进程101向其输入了数据的至少一个文件102(也称被修改文件)。基于系统调用、特别是对可疑进程101(例如WinAPI CreateFile函数)使用的文件的操作的系统调用的处理来识别文件102。在一方面,还监控对使用流、写入流等的操作的系统调用。文件处理器103还被设计成识别每个识别出的文件102的特性。在一方面,文件102的特性包括以下中的至少一者:文件102的至少一部分的熵(信息熵)、文件102的元数据(例如,文件扩展名、类型、标题等)和文件102的所述部分。在另一方面,文件102的特性包括关于已将数据输入文件102的应用程序或进程的信息。下面会描述文件102的特性的其他示例。
系统100还包括分析器104,分析器104与文件处理器103相关联并且被设计成识别每个文件102的一个或多个修改类别,文件102被识别为被修改文件。使用经训练的第一机器学习模型106来执行修改类别的识别,经训练的第一机器学习模型106接收文件102的上述特性作为其输入数据。在一方面,文件102的修改类别至少包括以下类别:由加密器做出的修改、以及由合法软件做出的修改。对于每个上述文件102,分析器104还被设计成基于识别出的文件102的修改类别将可疑进程101识别为与加密器相关联。
系统100还包括训练器105,训练器105被设计成用于在训练样本的数据上训练第一机器学习模型106,该训练样本包括由至少一个已知进程创建或修改并与至少一个已知加密器相关联的文件的特性。
在一方面,第一机器学习模型106是以下类型之一:
a)神经网络;
b)决策树;
c)随机森林;
d)支持向量机;
e)k-最近邻方法;
f)逻辑回归;
g)线性回归;
h)贝叶斯分类;和
i)梯度提升。
应当注意,在一方面,训练样本仅包括由与至少一个已知加密器相关联的至少一个已知进程创建或修改的文件的特性。也就是说,初始文件的特性,在它们被与加密器相关联的进程修改之前,将不会用于训练第一机器学习模型106。这种方法具有许多优点。特别地,在上述训练样本上训练的第一机器学习模型106将具有在加密器分类中的高分类质量和低数量的的第I类和第II类错误,因为文件在其被加密器修改之前无法识别文件的状态。
然而,在另一方面,训练样本还包括由合法文件(应用程序)启动的至少一个已知进程创建或修改的文件的特性。
第一机器学习模型106识别文件的修改是否属于两个修改类别中的一个。在一方面,用于该目的的第一机器学习模型106是对上述两个类别进行操作的分类(监督学习)模型。在另一方面,使用的第一机器学习模型是聚类模型或异常检测(非监督学习)模型。
在一方面,第一机器学习模型106包括基于完全连接神经网络的学习模型。在一方面,选择神经网络的参数,例如内部层和神经元的数量、激活函数等,以提供最佳分类质量和最少数量的I类和II类错误。在一方面,可以使用以下函数作为激活函数:ReLU(整流线性单元)、softmax、逻辑函数、Heaviside函数等。
当异常检测模型用于第一机器学习模型106的分类时,可以使用由单个类别组成的训练样本。也就是说,训练样本将包括由合法软件或加密器创建或修改的文件的特性。每个组相对于另一个都可以被检查为异常。因此,异常检测将对应于一个类别,而没有异常将对应于另一个类别。
在一方面,训练样本包含由已知加密器创建或修改的文件。在这种情况下,由先前未知的加密器创建或修改的文件也将被系统100检测以将加密器识别为机器学习模型的训练属性。因此,计算机系统文件将获得更高水平的保护,不仅防御已知的加密器,还防御先前未知的加密器。通过使用本发明的方法,可以减少识别与加密器相关联的可疑进程101时的第I类和第II类错误。在另一方面,训练样本包括由合法软件创建或修改的文件的特性。
在又一方面,训练器105还被设计成用于:在测试数据上测试经训练的第一机器学习模型106,以及验证样本。测试经训练的第一机器学习模型包括测试由至少一个已知进程创建或修改并与至少一个已知加密器相关联的文件的特性,其中测试中的文件不在训练样本中。类似地,所述验证针对由至少一个已知进程创建或修改并且与至少一个已知加密器相关联的文件的特性,其中验证样本不在训练样本中。
在一方面,针对每个识别出的文件102,第一机器学习模型106还确定文件的修改属于修改类别之一的概率。
在一方面,分析器104确定(在所识别的文件102中)加密器对文件修改的概率超过第一阈值(例如,0.5)的文件的数量。然后,当所确定的文件数量超过第二阈值(例如,3)时,分析器104将可疑进程101识别为与加密器相关联。例如,如果加密器对文件修改的概率超过0.5的文件数量大于3,则可疑进程101将被识别为与加密器相关联。
与根据指定规则检查一个文件的修改的签名和启发式方法相比,上述方法可以减少假阳性的数量。当使用签名和启发式方法时,如果一个文件被合法软件(例如存档器)修改,并且包含加密器的修改特性,则可疑进程101可能被识别为加密器,即使它实际上是合法进程。
在一方面,如上所述,本发明使用可以由分析器104使用的独特参数和特征来识别加密器。下面给出了各种独特参数和特征的一些示例,这些参数和特征是由加密器创建或修改的文件的特性。
在一方面,下面提到的文件参数和特征也可以用作待由分析器104使用的文件特性。
一种文件特性是熵(信息熵)。信息熵可以通过相关领域已知的任何公式计算,特别是如下:
Figure BDA0003124585430000101
其中,H是信息熵,p(i)是值为i的符号出现的概率。
加密器使用诸如AES、RSA、RC4等加密算法来进行操作。评估加密算法的质量有多种标准,例如熵值的比较。熵值可用于被加密数据或随机数据的识别,具体的熵值是各种文件格式的特性。然而,仅基于文件熵值识别由加密器修改的文件将出现I类错误。这是因为存档格式“rar”、“zip”、“7z”等与由有害加密器创建的文件具有相似的熵(如果它们具有相似的压缩水平的话),但通过存在特定文件结构来区分,文件可以通过该特定文件结构被解压缩。必须特别注意诸如“docx”之类的格式,因为它们也包含数据存档(archive),被广泛使用并且需要加密。还必须记住,存在大量广为人知的文件格式,并且公司可能会创建特殊格式供内部使用。因此,将程序创建的文件与一组已知格式进行比较作为识别有害活动和加密器的手段是无效的。
另外的困难是由不修改整个文件而仅加密文件的一部分的加密器引起的。对于这种情况,可以计算文件的各个部分的熵。例如,可以将文件分成大小相等的多个部分,然后可以计算文件的每个部分的熵(以下称为分段熵)。在许多数据存档中,文件的一部分被分离以保留原始文件名,但这很少发生在加密器中。因此,最小分段熵可以用作另一个文件特性。
熵值受文件大小影响;因此,文件大小也可以用作文件特性。
在很多情况下,由加密器创建的文件的特性特征是被加密文件的特定名称。因此,文件名也可以作为文件特性之一。
图2a示出了在由加密器操作之后的计算机目录的第一示例。在某些情况下,恶意方的电子邮件地址通常出现在文件名中。例如,在图2a中,示出了Trojan-Ransom.Win32.Crysis加密器操作后的目录的示例。因此,关于是否存在与RFC 5322邮箱格式对应的名称的字符串的信息可以用作另一个文件特性。
图2b示出了在由加密器操作之后的计算机目录的第二示例。在图2b中,示出了另一种类型的加密器操作之后的目录的示例,其中加密器修改了文件名,修改后的文件名由一串十六进制字符组成。因此,符合或不符合格式可用作系统的分析部分的输入。在另一方面,可以使用诸如符号范围的参数,可以使用具有文件扩展名或句点符号的名称等。这些其他特征通常不是合法文件的特性特征,而是在由加密器加密的文件中遇到的,因此,可以识别具有这些非典型特征的文件并将其放置在单独的组中。还可以检查是否存在在合法文件名中很少遇到但在加密文件名中存在的特殊符号,例如“[”、“]”、“{”、“}”、“@”、算术运算符号等。图2c示出了在加密器操作之后遇到特殊符号的计算机目录的第三示例。所有上述参数和特征都可以被分析器104用作文件特性。
在可执行文件、数据存档和“docx”及“pdf”格式中,存在可以被解释为给定长度的字符串的字节序列。然而,在被加密文件中,字符串长度极短,并且它们采用随机符号序列的形式,这在合法文件中很少遇到。可以选择字符串的数量、字符串的最长的长度和平均字符串长度作为文件特性。
在大多数情况下,加密器将文件扩展名交换为不存在的文件扩展名,因此也可以将文件扩展名对应于不存在的格式这一特性用作文件特性。图2d示出了在由加密器(例如,快速加密器)操作之后的计算机目录的第四示例。在这种情况下,文件扩展名很长,这不是合法文件的典型特性。
被加密文件的又一独特属性是特定词的存在,例如“lol”、“fox”、“ransom”等。当使用基于签名的检测方法时,需要创建允许文件扩展名的“白名单”或禁止扩展名的“黑名单”。也就是说,已经创建了大量具有这种扩展名的文件的软件将被认为是有害的。然而,创建这样的白名单和黑名单是一项极其费力的任务,并且名单必须始终包含关于合法软件和有害软件两者中使用的所有扩展名的最新信息,但这是不可能的。此外,存在有害软件可能会模仿合法软件的情况,在这些情况下,加密器将不会被检测到。因此,上述方法本身并不完整。然而,这种类型的列表可以作为文件特性被添加到第一机器学习模型106。在这种情况下,文件扩展名将与一种尺度进行比较,例如,零表示可信扩展名,而更大的值分配给具有更可疑扩展名的组。通过考虑第一机器学习模型106的其他文件特性和参数,可以提高加密器检测水平。
在一方面,如果被分类为被加密器修改的文件的数量超过第二阈值,则分析器104将可疑进程101识别为与加密器相关联(也就是说,修改的类别对应于由加密器做出的修改)。在一优选方面,当分析器104为每个识别出的文件102识别修改类别时,不必须确定属于某一修改类别的概率。
在一方面,分析器104还用于通过使用经训练的第二机器学习模型107将可疑进程识别为与加密器相关联。第二机器学习模型107接收每个识别出的文件102的识别出的修改类别作为其输入数据;也就是说,第二机器学习模型接收第一机器学习模型106的使用结果。
在又一方面,文件处理器103还识别:
a)可疑进程101的特性,特别是可疑进程的标识符和可疑进程的上下文;
b)保护器108(例如,防病毒系统)中与被检查进程相关联的事件,特别是防病毒程序和防病毒系统的各个模块的判定、自动启动列表的更改、互联网访问等;和
c)关于系统的信息。
在一方面,第二机器学习模型107还接收可疑进程的所识别的特性、上述防病毒事件和系统信息作为输入数据。上述防病毒事件和系统信息可以由文件处理器103自己确定,或者借助于保护器108确定。
在一方面,第二机器学习模型107包括基于以下中的至少一者训练的机器学习模型:
a)神经网络;
b)决策树;
c)随机森林;
d)支持向量机;
e)k-最近邻方法;
f)逻辑回归;
g)线性回归;
h)贝叶斯分类;和
i)梯度提升。
在又一方面,训练器105被设计成在来自第二训练样本的数据上训练第二机器学习模型107,第二训练样本包括由与至少一个已知加密器相关联的至少一个已知进程创建或修改的文件的修改类别。
在一方面,第二训练样本包括由与至少一个已知合法软件片段相关联的至少一个已知合法进程创建或修改的文件的修改类别。
在另一方面,训练器105还被设计成用于测试和验证经训练的第二机器学习模型107。在一方面,该测试在第二测试的数据上执行,该第二测试的数据包括由至少一个已知进程创建或修改且与至少一个已知加密器相关联的文件的特性,其中第二测试中的文件不在第二训练样本中。类似地,该验证在验证样本上执行,该验证样本包括由至少一个已知进程创建或修改且与至少一个已知加密器相关联的文件的特性,其中第二验证样本不在第二训练样本中。还应当注意,上文关于第一机器学习模型106描述的其他特定实现方式也可以用于第二机器学习模型107。
图3示出了计算机系统的示例性保护器,例如计算机20的保护器108。保护器108(设备的防病毒程序或其他形式的保护)可以包含被设计成确保设备的安全性的模块。在一个示例中,保护器108包括以下中的至少一者:按访问扫描器、按需扫描器、电子邮件防病毒软件、网络防病毒软件、主动保护模块、HIPS(主机入侵防御系统)模块、DLP(数据丢失防护)模块、漏洞扫描器、模拟器、防火墙等。在一方面,上述模块可以是保护器108的组成部分。在另一方面,这些模块可以以单独的软件组件的形式实现。
按访问扫描器包含用于识别用户的计算机系统中所有可打开、可执行和可存储文件中的有害活动的功能。
按需扫描器与按访问扫描器的不同之处在于它扫描用户指定的文件和目录,例如,应用户的请求进行扫描。
电子邮件防病毒软件对于控制传入和传出的电子邮件是必要的。电子邮件防病毒软件会检查传入和传出的电子邮件,以确定该电子邮件是否包含有害软件。
网络防病毒软件用于防止可能存在于用户访问的网站上的有害代码的执行,并用于阻止打开此类网站。
HIPS模块用于在执行时识别程序的任何不期望的和有害的活动并阻止该程序。
DLP模块用于识别和防止机密数据泄漏到计算机或网络的边界之外。
漏洞扫描器对于识别设备中的漏洞是必要的(例如,如果保护器108的某些组件被关闭、如果病毒数据库不是最新的、如果网络端口被关闭等)。
防火墙用于根据指定规则控制和过滤网络流量。
模拟器通过在执行文件指令期间在模拟器中模仿客户系统来操作,并获得随后将详细检查的结果。
主动保护模块使用行为签名来识别可执行文件的行为及其按置信水平的分类。应当注意,保护器108还可以包括用于实现图1中描述的功能的其他模块。
图4示出了用于识别加密器的示例性方法400。例如,方法400识别与对计算机系统的文件进行编码的有害软件(例如加密器)相关联的进程。当执行未知文件时,(例如通过WinAPI CreateProcess函数)创建具有新进程标识符(PID)的新进程。本发明的方法将该新进程作为可疑进程进行检查。还应注意,本发明的方法还允许当进程被信任(例如系统进程)但以与加密器相同的方式创建或修改文件时将进程识别为与加密器相关联。这种情况可能发生在使用无文件有害软件(无文件恶意软件)的情况下。例如,此有害软件可能会使用受信任的PowerShell软件来执行有害命令。有害代码不以文件的形式存储在磁盘上,而只包含在随机存取存储器中,并因此无法通过扫描计算机系统中的文件来检测到。
因此,在一方面,本发明的方法通过将计算机系统的所有进程作为可疑进程进行检查来检测无文件有害软件。在另一方面,该方法仅扫描在指定的可更新列表上的那些进程,而不是将所有进程作为可疑进程进行扫描。该可更新列表可以包括可疑系统进程和加密器最常用的那些进程。在一方面,用于识别加密器的方法400在计算设备(例如,如图5所示)中实现。如果检测到新的可疑进程或加密器最常用的新进程,则可以手动或自动更新该可更新列表。
在步骤401中,方法400通过文件处理器103识别由可疑进程101对其执行数据输入的一个或多个文件102。数据输入包括创建新文件以及修改现有文件中的至少一者。在一方面,基于对可疑进程101使用的文件操作的系统调用的处理来识别至少一个文件102。
在步骤402中,方法400通过文件处理器103针对一个或多个文件中的每个识别出的文件102确定识别出的文件102的特性。
在步骤403中,方法400通过分析器104针对每个识别出的文件识别文件修改的类别。使用经训练的第一机器学习模型106和识别出的文件的相应特性来执行文件修改类别的识别。因此,在一方面,第一机器学习模型106接收识别出的文件102的上述特性作为其输入数据。
在一方面,文件修改的类别包括至少一种由加密器做出的文件修改的类别和至少一种其他的由合法软件做出的文件修改的类别。
在步骤404中,方法400通过分析器104针对每个识别出的文件,基于每个文件102的识别出的文件修改的类别,将可疑进程101识别为与加密器相关联。
在步骤405中,方法400通过保护器108保护计算机系统免受加密器的影响。因此,在将可疑进程101识别为与加密器相关联之后,保护器108保护计算机系统免受加密器的动作的影响。
在一方面,对计算机系统的保护包括以下中的至少一者:
a)停止可疑进程以及与可疑进程相关联的所有流和其他进程;
b)删除或隔离启动可疑进程的文件;
c)从备份副本中恢复由可疑进程对其执行数据输入的一个或多个文件,其中一个或多个文件的备份副本是在发生由可疑进程将数据输入到所述一个或多个文件之前创建和存储的;和
d)更新防病毒数据库并启动防病毒软件以执行按需扫描。
在一方面,对于每个识别出的文件,机器学习模型确定文件的修改属于文件修改类别之一的概率。
在一方面,该方法还包括:由分析器确定加密器对文件修改的概率超过第一阈值的一个或多个文件的数量;以及当确定的对文件修改的概率超过第一阈值的一个或多个文件的数量大于第二阈值时,将可疑进程识别为与加密器相关联。
在根据图1的系统中描述的实施方式的特定示例也适用于根据图4的方法。因此,所要求保护的系统和方法能够识别与有害软件(例如,对计算机系统的文件进行加密的软件)相关联的进程。通过以下操作来提高保护计算机系统文件免受加密器的影响的水平:将可疑进程识别为与加密器相关联,以及使用经训练的机器学习模型,该经训练的机器学习模型接收由可疑进程创建或更改的文件的特性作为其输入。另外,对于识别与加密器相关联的可疑进程,实现了I类和II类错误的减少。错误的减少是通过使用经训练的机器学习模型来实现的,该模型接收由可疑进程创建或修改的文件的特性作为其输入数据。
图5是示出在其上可以实现用于识别对计算机系统的文件进行编码的加密器的系统和方法的各方面的计算机系统20的框图。计算机系统20可以是多个计算设备的形式,也可以是单个计算设备的形式,例如台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、主机、嵌入式设备和其他形式的计算设备。
如图所示,计算机系统20包括中央处理单元(Central Processing Unit,CPU)21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其他的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传输TM(HyperTransportTM)、无限带宽TM(InfiniBandTM)、串行ATA、I2C、和其他合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。系统存储器22可以为用于存储本文中所使用的数据和/或可由处理器21执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory,RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory,ROM)24、闪存等)或其任意组合。基本输入/输出系统(Basic Input/Output System,BIOS)26可以存储用于在计算机系统20的元件之间传送信息的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除存储设备27、一个或多个不可移除存储设备28、或其组合。所述一个或多个可移除存储设备27和一个或多个不可移除存储设备28借助于存储器接口32连接到系统总线23。在一方面,存储设备和相应的计算机可读存储介质为用于存储计算机指令、数据结构、程序模块、和计算机系统20的其他数据的电源独立的模块。系统存储器22、可移除存储设备27和不可移除存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括:机器存储器,诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM;闪存或其他存储技术,诸如在固态驱动器(Solid State Drive,SSD)或闪存驱动器中;磁带盒、磁带、和磁盘存储器,诸如在硬盘驱动器或软盘中;光学存储器,诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk,DVD)中;以及可用于存储期望数据且可被计算机系统20访问的任何其他介质。
计算机系统20的系统存储器22、可移除存储设备27和不可移除存储设备28可以用于存储操作系统35、附加应用程序37、其他程序模块38和程序数据39。计算机系统20可以包括用于传送来自输入设备40的数据的外围接口46,所述输入设备40诸如键盘、鼠标、手写笔、游戏控制器、语音输入设备、触摸输入设备、或其他外围设备,诸如借助于一个或多个I/O端口的打印机或扫描仪,该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal Serial Bus,USB)、或其他外围接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显示设备47之外,计算机系统20还可以装配有其他外围输出设备(未示出),诸如扬声器和其他视听设备。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。所述一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括前面在描述计算机系统20的性质时所述的元件中的大多数元件或全部元件。其他设备也可以存在于计算机网络中,诸如但不限于路由器、网络工作站、对等设备或其他网络节点。计算机系统20可以包括用于借助于一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器,该一个或多个网络诸如计算机局域网(Local-Area Network,LAN)50、计算机广域网(Wide-Area Network,WAN)、内联网、和互联网。网络接口51的示例可以包括以太网接口、帧中继接口、SONET(同步光纤网)接口、和无线接口。
本发明的各个方面可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质,该计算机可读存储介质上具有用于使处理器执行本发明的各方面的计算机可读程序指令。
计算机可读存储介质可以为有形设备,该有形设备可以保持且存储指令或数据结构的形式的程序代码,该程序代码可以被计算设备(诸如计算机系统20)的处理器访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适的组合。作为示例,这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备,诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的,计算机可读存储介质不应被视为暂时性信号本身,暂时性信号诸如无线电波或其他自由传播的电磁波、通过波导或传输介质传播的电磁波、或通过电线传输的电信号。
可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或借助于网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令,用以存储在相应的计算设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任何组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机,或可以进行与外部计算机的连接(例如通过互联网)。在一些方面,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array,PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令,以使该电子电路个性化,从而执行本发明的各方面。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。如本文中所使用的术语“模块”指的是例如现实世界的设备、部件、或使用硬件(例如通过专用集成电路(ASIC)或FPGA)实现的部件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。模块还可以被实施为以上两者的组合,其中某些功能仅通过硬件实现,而其他功能通过硬件和软件的组合实现。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以在计算机系统(诸如上面图5中更详细描述的计算机系统)的处理器上运行。因此,每个模块可以以各种适合的配置来实现,而不应受限于本文中所例示的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合(一个或多个)相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将明显的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。

Claims (20)

1.一种用于识别对计算机系统的文件进行编码的加密器的方法,所述方法包括:
由文件处理器识别由可疑进程执行了数据输入的一个或多个文件;
针对每个识别出的文件,由所述文件处理器确定所述识别出的文件的特性;
针对每个识别出的文件,由分析器使用经训练的机器学习模型和所述识别出的文件的相应特性,识别文件修改的类别;以及
针对每个识别出的文件,由所述分析器基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及
保护所述计算机系统免受所述加密器的影响。
2.如权利要求1所述的方法,还包括:
通过顺序检查所述计算机系统的所有进程来检测有害软件,其中,所述顺序检查包括将被检查的进程识别为所述可疑进程。
3.如权利要求1所述的方法,其中,所述可疑进程与预定进程的可更新列表相关联。
4.如权利要求1所述的方法,其中,所述文件修改的类别包括至少一种由加密器做出的文件修改的类别和至少一种其他的由合法软件做出的文件修改的类别。
5.如权利要求1所述的方法,其中,所述计算机系统的保护包括以下中的至少一者:
停止所述可疑进程以及与所述可疑进程相关联的所有流和其他进程;
删除或隔离启动所述可疑进程的文件;
从备份副本恢复由所述可疑进程执行了数据输入的所述一个或多个文件,其中,所述一个或多个文件的所述备份副本是在发生由所述可疑进程将数据输入到所述一个或多个文件之前创建和存储的;以及
更新防病毒数据库并启动防病毒软件以执行按需扫描。
6.如权利要求1所述的方法,其中,针对每个识别出的文件,所述机器学习模型确定所述文件的修改属于所述文件修改的类别之一的概率。
7.如权利要求6所述的方法,还包括:
由所述分析器确定所述加密器对文件进行修改的所述概率超过第一阈值的所述一个或多个文件的数量;以及
当对文件进行修改的所述概率超过所述第一阈值的所述一个或多个文件的确定的数量大于第二阈值时,将所述可疑进程识别为与所述加密器相关联。
8.如权利要求7所述的方法,其中,将所述可疑进程识别为与所述加密器相关联是使用经训练的第二机器学习模型来执行的,所述经训练的第二机器学习模型接收识别出的所述文件的文件修改的类别作为输入数据。
9.如权利要求8所述的方法,其中,所述经训练的第二机器学习模型还接收识别出的所述可疑进程的特性作为输入数据。
10.如权利要求8所述的方法,其中,所述经训练的第二机器学习模型包括基于以下中的至少一者训练的机器学习模型:神经网络、决策树、随机森林、支持向量机、k-最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。
11.如权利要求1所述的方法,其中,识别执行了数据输入的所述一个或多个文件基于对使用流和/或写入流的操作的系统调用的处理。
12.如权利要求1所述的方法,其中,识别所述一个或多个文件包括识别每个识别出的文件的特性,所述特性包括以下中的至少一者:所述文件的至少一部分的熵、所述文件的元数据、所述文件的所述至少一部分的元数据、关于已将数据输入所述文件的应用程序或进程的信息。
13.如权利要求1所述的方法,其中,用于识别所述文件修改的类别的所述经训练的机器学习模型包括基于以下中的至少一者的第一机器学习模型:神经网络、决策树、随机森林、支持向量机、k-最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。
14.如权利要求1所述的方法,其中,将所述可疑进程识别为与所述加密器相关联还包括:
识别所述可疑进程的特性,所述特性至少包括所述可疑进程的标识符和上下文;以及
识别与所述可疑进程相关联的事件,所述事件包括以下中的一者或多者:防病毒程序的判定、对自动启动列表的更改、互联网访问、以及关于所述系统的信息。
15.一种用于识别对计算机系统的文件进行编码的加密器的系统,包括:
至少一个处理器,所述至少一个处理器被配置为:
由文件处理器识别由可疑进程执行了数据输入的一个或多个文件;
针对每个识别出的文件,由所述文件处理器确定所述识别出的文件的特性;
针对每个识别出的文件,由分析器使用经训练的机器学习模型和所述识别出的文件的相应特性,识别文件修改的类别;
针对每个识别出的文件,由所述分析器基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及
保护所述计算机系统免受所述加密器的影响。
16.如权利要求15所述的系统,其中,所述处理器还被配置为:
通过顺序检查所述计算机系统的所有进程来检测有害软件,其中,所述顺序检查包括将被检查的进程识别为所述可疑进程。
17.如权利要求15所述的系统,其中,所述可疑进程与预定进程的可更新列表相关联。
18.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于识别对计算机系统的文件进行编码的加密器的计算机可执行指令,所述计算机可执行指令包括用于以下操作的指令:
由文件处理器识别由可疑进程执行了数据输入的一个或多个文件;
针对每个识别出的文件,由所述文件处理器确定所述识别出的文件的特性;
针对每个识别出的文件,由分析器使用经训练的机器学习模型和所述识别出的文件的相应特性,识别文件修改的类别;
针对每个识别出的文件,由所述分析器基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及
保护所述计算机系统免受所述加密器的影响。
19.如权利要求18所述的非暂时性计算机可读介质,其中,所述计算机可执行指令还包括用于以下操作的指令:
通过顺序检查所述计算机系统的所有进程来检测有害软件,其中,所述顺序检查包括将被检查的进程识别为所述可疑进程。
20.如权利要求18所述的非暂时性计算机可读介质,其中,所述可疑进程与预定进程的可更新列表相关联。
CN202110685763.4A 2020-08-24 2021-06-21 识别对计算机系统的文件进行编码的加密器的系统和方法 Pending CN114091046A (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2020128090 2020-08-24
RU2020128090A RU2770570C2 (ru) 2020-08-24 2020-08-24 Система и способ определения процесса, связанного с вредоносным программным обеспечением, шифрующим файлы компьютерной системы
US17/320,362 2021-05-14
US17/320,362 US20220058261A1 (en) 2020-08-24 2021-05-14 System and method for identifying a cryptor that encodes files of a computer system

Publications (1)

Publication Number Publication Date
CN114091046A true CN114091046A (zh) 2022-02-25

Family

ID=76305827

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110685763.4A Pending CN114091046A (zh) 2020-08-24 2021-06-21 识别对计算机系统的文件进行编码的加密器的系统和方法

Country Status (2)

Country Link
EP (1) EP3961449B1 (zh)
CN (1) CN114091046A (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180248896A1 (en) * 2017-02-24 2018-08-30 Zitovault Software, Inc. System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
US11494491B2 (en) * 2018-03-16 2022-11-08 Acronis International Gmbh Systems and methods for protecting against malware code injections in trusted processes by a multi-target injector
US10795994B2 (en) * 2018-09-26 2020-10-06 Mcafee, Llc Detecting ransomware

Also Published As

Publication number Publication date
EP3961449B1 (en) 2023-08-16
EP3961449A1 (en) 2022-03-02

Similar Documents

Publication Publication Date Title
US11924233B2 (en) Server-supported malware detection and protection
Gopinath et al. A comprehensive survey on deep learning based malware detection techniques
Roy et al. Deepran: Attention-based bilstm and crf for ransomware early detection and classification
EP2310974B1 (en) Intelligent hashes for centralized malware detection
JP5961183B2 (ja) 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法
CN109074452B (zh) 用于生成绊网文件的系统和方法
CN110659483A (zh) 使用在一个恶意文件上训练的学习模型识别多个恶意文件的系统和方法
US9317679B1 (en) Systems and methods for detecting malicious documents based on component-object reuse
US20110185417A1 (en) Memory Whitelisting
US10735468B1 (en) Systems and methods for evaluating security services
US20210097177A1 (en) System and method for detection of malicious files
US20200257811A1 (en) System and method for performing a task based on access rights determined from a danger level of the task
US11487868B2 (en) System, method, and apparatus for computer security
Tchakounté et al. LimonDroid: a system coupling three signature-based schemes for profiling Android malware
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
Cen et al. Ransomware early detection: A survey
Zakaria et al. Early detection of windows cryptographic ransomware based on pre-attack api calls features and machine learning
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
JP7320462B2 (ja) アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法
Mohata et al. Mobile malware detection techniques
US20220058261A1 (en) System and method for identifying a cryptor that encodes files of a computer system
CN112149126A (zh) 确定文件的信任级别的系统和方法
CN112580044A (zh) 用于检测恶意文件的系统和方法
EP3961449B1 (en) System and method for identifying a cryptor that encodes files of a computer system
CN116611058A (zh) 一种勒索病毒检测方法及相关系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination