CN1841397A - 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 - Google Patents
聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 Download PDFInfo
- Publication number
- CN1841397A CN1841397A CNA2006100515520A CN200610051552A CN1841397A CN 1841397 A CN1841397 A CN 1841397A CN A2006100515520 A CNA2006100515520 A CN A2006100515520A CN 200610051552 A CN200610051552 A CN 200610051552A CN 1841397 A CN1841397 A CN 1841397A
- Authority
- CN
- China
- Prior art keywords
- malware
- computing machine
- event
- service
- suspicious event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Abstract
根据本发明,提供了一种系统、方法和计算机可读媒体,用于聚合多个安全服务或其它事件收集系统的知识库以保护计算机免受恶意软件侵害。本发明的一个方面是主动保护计算机免受恶意软件侵害的方法。更具体地,该方法包括:使用反恶意软件服务或其它事件收集系统来观察潜在地指示恶意软件的可疑事件;确定这些可疑事件是否满足预定阈值;且如果所述可疑事件满足预定阈值,则实行被设计用于防止恶意软件传播的限制性安全策略。
Description
发明领域
本发明涉及计算机,尤其涉及动态保护计算机免受恶意软件侵害。
发明背景
随着越来越多的计算机和其它计算装置通过诸如因特网的各种网络互连,计算机安全已变得越发重要,特别是免受网络上或信息流上传递的入侵或攻击。如本领域的熟练技术人员和其它人员将认识到的,这些攻击采取不同形式,包括但绝不限于计算机病毒、计算机蠕虫、系统组件替换、拒绝服务攻击、信息盗窃、甚至合法计算机系统特征的误用/滥用一所有这些都利用一个或多个计算机系统的脆弱性用于非法用途。虽然本领域的熟练技术人员将理解各种计算机攻击在技术上彼此截然不同,但对本发明来说且为了简化描述,所有这些攻击以下将通称为计算机恶意软件,或者更简单地称作恶意软件。
当计算机系统受到计算机恶意软件的攻击或“感染”时,负面结果是各式各样的,包括禁用计算机装置;擦除或破坏固件、应用程序或数据文件;将潜在的敏感数据发送到网络上的另一位置;关闭计算机系统;或者使得计算机系统崩溃。许多虽非全部计算机恶意软件的另一有害方面在于被感染的计算机系统被用于感染其它计算机系统。
图1是展示其上分布计算机恶意软件的示例连网环境100的示图。如图1所示,典型的示例性连网环境100包括多个计算机102-108,它们全部经由诸如内联网的通信网络110或者经由包括诸如常称作因特网的全球TCP/IP网络的较大通信网络互连。出于某种原因,与网络110相连的计算机,诸如计算机102上的恶意方,开发一计算机恶意软件112并将其发布到网络110上。被发布的计算机恶意软件112由诸如计算机104的一个或多个计算机接收并将它们感染,如箭头114所示。许多计算机恶意软件的典型情况是,计算机104一旦被感染就被用于感染其它计算机,诸如计算机106,如箭头116所示,后者接着感染另一计算机,诸如计算机108,如箭头118所示。
在反病毒软件在识别数千种计算机恶意软件方面变得更加复杂和有效的同时,计算机恶意软件也变得更加复杂。例如,许多新近的计算机恶意软件现在是多形态的,或者换句话说,它们没有可以在传送中由反病毒软件进行识别的可识别模式或者“签名”。这些多形态恶意软件常常是反病毒软件不可识别的,因为它们在传播到另一计算机系统之前自身进行了修改。
由于脆弱性在操作系统或诸如设备驱动程序和软件应用程序的其它计算机系统组件中被识别并解决,操作系统提供商通常将发布软件更新以修正该脆弱性。常称作补丁的这些更新应在计算机系统上安装以保护计算机系统免于所识别的脆弱性。但,这些更新本质上是对操作系统、设备驱动程序或软件应用程序的组件的代码改变。这样,它们不可能与来自反病毒软件提供商的反病毒更新一样快速和自由地发布。因为这些更新的代码改变,所以软件更新需要在向公众发布之前的实质性内部测试。
在现在的识别恶意软件并解决脆弱性的系统下,在某些情况下计算机易受恶意软件的攻击。例如,计算机用户可能不安装补丁和/或对反病毒软件的更新。在这种实例中,恶意软件会在未针对该恶意软件进行足够保护的计算机之间的网络上传播。然而,即使在用户定期更新计算机时,也存在以下被称作脆弱性窗口的一段时间,该时间段存在于在网络上发布新的计算机恶意软件的时候和操作系统组件上的反病毒软件被更新以保护计算机系统免受该恶意软件的时候之间。顾名思义,在该脆弱性窗口期间计算机系统对于新的计算机恶意软件来说是脆弱的或暴露的。
图2是示出脆弱性窗口的示例性时间线的框图。关于以上讨论,重要的时间或事件将被识别并称作关于时间线的事件。虽然现今发布的多数恶意软件都基于已知的脆弱性,但偶尔地在网络110上会有利用先前未知的脆弱性的计算机恶意软件发布。图2示出了这种情形下关于时间线200的脆弱性窗口204。因此,如时间线200上所示,在事件202处,恶意软件作者发布一新计算机恶意软件。由于这是新的计算机恶意软件,没有可用的操作系统补丁和反病毒更新以保护脆弱的计算机系统免受该恶意软件的侵害。相应地,脆弱性窗口204是打开的。
在新的计算机恶意软件在网络110上传播后的某一点处,操作系统提供商和/或反病毒软件提供商检测到该新的计算机恶意软件,如事件206所指示的。通常,本领域的熟练技术人员将理解:操作系统提供商和反病毒软件提供商两者在约几小时内检测到新计算机恶意软件的存在。
一旦检测到该计算机恶意软件,则反病毒软件提供商会开始其处理以识别一模式或“签名”,通过该模式或“签名”使得反病毒软件能识别该计算机恶意软件。类似地,操作系统提供商开始其处理以分析该计算机恶意软件,确定操作系统必须被打补丁以保护它免受该计算机恶意软件侵害。作为这些平行努力的结果,在事件208处,操作系统提供商和/或反病毒软件提供商发布一应对该计算机恶意软件的更新,即操作系统或反病毒软件的软件补丁。随后,在事件210处,将该更新安装于用户的计算机系统上,从而保护该计算机系统并使脆弱性窗口204关闭。
如从上述示例中可了解的一其仅作为其中计算机恶意软件造成对计算机系统的安全威胁的所有可能情形的代表一脆弱性窗口204存在于在网络110上发布计算机恶意软件112的事件和将相应更新安装于用户的计算机系统上的时候之间。不幸地,不论脆弱性窗口104是大还是小,受感染的计算机都会花费计算机所有人大量的金钱用于“清除”和维修。在应对具有附着到网络110上的几千或几百个装置的大公司或实体时,该成本是巨大的。由于恶意软件可能篡改或破坏用户数据,这种成本被进一步扩大,所有这些都会是极难或不可能跟踪和修复的。
为了反击恶意软件所呈现的威胁,更多数量的反恶意软件服务和其它事件检测系统已被开发用于监控用于不同类型恶意软件的入口点和/或数据流。例如,在反恶意软件服务的上下文中,除了常规反病毒软件之外,许多计算机现在还采用防火墙、行为阻断器和反间谍软件系统以保护计算机。本领域的熟练技术人员和其它人员将理解:反恶意软件服务通常能识别(1)已知是恶意软件特征的代码和/或活动,以及(2)是“可疑的”或具有潜在的恶意软件特征的代码和/或活动。当已知是恶意软件特征的代码和/或活动被识别,恶意软件处理例程将被用于“清除”或从计算机中去除该恶意软件。但是,在识别可疑的代码和/或活动时的实例中,该反恶意软件服务可能没有足够的信息来充分准确地声明该代码和/或活动实际上是恶意软件的特征。此外,对于许多不同用途,已开发了其它事件检测系统来监控入口点、数据流、计算机属性和/或活动。例如,一些操作系统跟踪中央处理单元(CPU)的处理量以及在主动保护计算机免受恶意软件侵害时有用的与计算机有关的某些重要“事件”。
发明内容
通过本发明的原理克服现有技术情况下的前述问题,本发明涉及一种用于聚合多个反恶意软件服务和其它事件检测系统的知识库以主动保护计算机免受恶意软件侵害的系统、方法和计算机可读媒体。
本发明的一个方面在于一种用于保护维护多个反恶意软件服务和/或事件检测系统的孤立计算机免受恶意软件侵害的方法。更具体地,该方法包括(1)使用所述反恶意软件服务和其它事件检测系统来观察潜在地指示恶意软件的可疑事件;(2)确定所述可疑事件是否满足预定阈值;以及(3)如果所述可疑事件满足所述预定阈值,则将限制性安全策略应用于所述计算机。在一些实例中,可以调用采取一般安全措施的安全策略,诸如阻断如果多数(不是全部)输入和输出网络通信量。在其它实例中,限制性安全策略可限制一实体可用的资源,以使计算机免受恶意软件侵害再次感染。
本发明的另一方面在于一种软件系统,它聚合多个反恶意软件服务和/或事件检测系统的知识库以保护计算机免受恶意软件侵害。在本发明的一个实施例中,该软件系统包括数据收集器组件、数据分析器模块和策略实现器。数据收集器组件用于从计算机上安装的不同反恶意软件系统和/或事件检测系统收集数据。在该实施例中,所收集的数据描述潜在地指示恶意软件的可疑事件。在各种时候,数据分析器模块可就由数据收集器组件所收集的数据作为一整体是否指示恶意软件进行判断。如果数据分析器模块以足够的确定性判定恶意软件存在,则策略实现器可实行限制对计算机资源的访问的限制性安全策略。
在再一个实施例中,计算机可读媒体具备内容,即程序,它使得计算机根据这里所述的方法进行操作。
附图说明
在通过参考以下详细描述并结合附图更好地理解本发明时,本发明的前述方面和许多附随优点将变成更易于理解,其中:
图1是示出其上通常分布恶意软件的常规连网环境的示图。
图2是示出说明现有技术中如何会出现脆弱性窗口的示例性时间线的框图。
图3是示出根据本发明的能聚合不同反恶意软件服务和/或计算机上安装的其它事件收集系统的知识库以主动保护计算机免受恶意软件侵害的计算机的组件的框图。
图4是示出根据本发明的保护计算机免受恶意软件侵害的计算机中实现的一种方法的一个实施例的流程图。
具体实施方式
根据本发明,提供了一种用于聚合多个安全服务和/或其它事件检测系统的知识库以保护计算机免受恶意软件侵害的系统、方法和计算机可读媒体。尽管本发明主要将在使用不同的反恶意软件服务来保护计算机免受恶意软件侵害的上下文中进行描述,但相关领域的熟练技术人员以及其它人士将理解:本发明也可应用于不同于所述那些的其它软件系统。例如,本发明的各方面可被配置成使用当前可用或仍在开发中的任何一种事件检测系统。以下描述首先提供了其中可实现本发明的软件系统的各方面的概况。随后,描述实现本发明的方法。这里提供的说明性示例并非旨在穷尽或将本发明限制于所揭示的精确形式。类似地,这里描述的任何步骤都可与其它步骤或步骤的组合互换,以实现相同的结果。
现在参考图3,将描述能实现本发明各方面的计算机300的组件。计算机300可以是各种装置中的任一种,包括但不限于个人计算装置、基于服务器的计算装置、个人数字助理、蜂窝电话、具有某种类型的存储器的其它电子装置等等。为便于说明且因为它对于本发明的理解不重要,图3没有示出许多计算机的典型组件,诸如CPU、键盘、鼠标、打印机或其它I/O装置、显示器等。但是,图3中描述的计算机300包括反病毒软件302、防火墙应用程序304、行为阻断器306、反间谍软件308和度量系统309。此外,计算机300在聚合例程310中实现本发明的各方面,该例程包括数据收集器组件312、数据分析器模块314以及策略实现器316。
本领域的熟练技术人员和其它人士将认识到:正使得更多数量的反恶意软件安全服务可用,以便在计算机上的各种入口点或数据流处得到保护以免受所有不同类型的恶意软件的侵害。例如,现今用于保护计算机免受恶意软件侵害的一个防卫措施是反病毒软件302。一般来说,传统反病毒软件302在从诸如盘的输入/输出(I/O)装置访问的数据中查找作为恶意软件特征的“签名”。此外,越来越多的反病毒软件202进行启发式恶意软件检测技术,这些技术被设计用于测量作为恶意软件特征的活动。
现今在针对计算机恶意软件的保护中普通的另一项防卫措施是防火墙应用程序304。本领域的熟练技术人员将认识到:防火墙应用程序304是一反恶意软件系统,它通过控制内部网络和外部网络之间的信息流来保护内部网络免受源自外部网络的未授权访问。源自内部网络之外的所有通信都经过防火墙应用程序304传送,它检查通信并确定它是否安全或者是否可允许接受通信。
当前可用的另一反恶意软件服务是行为阻断器306,它实现被设计成在调度了与策略相反的活动时允许在调解的同时出现良性活动的策略。通常,行为阻断器306实现一“沙箱“,在该沙箱中由恶意软件潜在感染的代码被分析以确定该代码是否执行不可接受的行为。例如,不可接受的行为可采取生成分发给用户的地址簿中找到的实体的大量电子邮件的形式。类似地,不可接受的行为可定义成对如系统注册表的重要数据库中的多个条目进行改变。无论如何,行为阻断器306分析程序并执行被设计成防止不可接受行为的策略。
越来越多的其它类型的反恶意软件服务正被开发以从计算机中识别和“清除”不同类型的恶意软件。例如,反间谍软件308被设计用于识别跟踪用户执行的动作的程序。虽然间谍软件不会像其它类型的恶意软件那样对计算机300造成破坏,但一些用户发现使他们的动作被跟踪并被报告给未知实体是侵犯性的。在这种实例中,用户可以安装从计算机中识别和清除这种类型的恶意软件的反间谍软件308。
本领域的熟练技术人员以及其它人士将认识到:某些事件检测系统可监控计算机入口点、数据流和/或计算机事件和活动。通常,事件检测系统不仅提供用于识别计算机上出现的事件的逻辑,还维护数据库、事件日志和用于获得关于观察到的事件的数据的其它类型的资源。例如,如图3所示,计算机300维护被设计用于观察和记录计算机300的各种性能度量的度量系统309。在这点上,度量系统309可监控CPU使用、页面错误的出现、进程终止和计算机300的其它性能特征。如以下更详细地描述的,计算机300的性能特征中的模式以及计算机上出现的其它事件可指示恶意软件。虽然在描述中说明了特定的事件检测系统(例如,度量系统309),但本领域的熟练技术人员以及其它人士将认识到:其它类型的事件检测系统也可包含于计算机300内而不背离本发明的范围。
本领域的熟练技术人员以及其它人士将认识到:以上参考图3描述的反恶意软件系统302、304、306、308和事件检测系统309应解释为说明性而非本发明的限制。例如,本发明可以通过所谓的入侵检测系统来实现而不背离本发明的范围,其中该系统尝试通过检查可从网络获得的日志或其它信息来检测对计算机300的未授权访问。此外,可以使用与所示和所述的那些不同的反恶意软件系统和其它事件检测系统来实现本发明的各方面。此外,本发明的各方面可协同任何数量的反恶意软件服务和事件检测系统而实现。例如,反间谍软件308用虚线表示以表明在计算机300仅包括反病毒软件302、防火墙应用程序304、行为阻断器306和度量系统309而不包括反间谍软件308的情况下也可使用本发明。因此,在本发明的其它实施例中,可以在计算机300中添加或去除附加或更少的反恶意软件服务和事件检测系统。
虽然改善了反恶意软件在检测日益复杂的恶意软件时的精度,现有的反恶意软件服务仍被限制于检测特定领域中的恶意软件。结果,这些孤立的反病毒服务具有固有的限制。例如,防火墙应用程序304通过监控输入和输出的网络活动来检测恶意软件便受网络上的数据传输方式限制。本领域的熟练技术人员以及其它人士将认识到:在从基于服务器的计算机获得数据时基于客户机的计算机通常请求一个或多个文件。在该实例中,现代网络组件将文件分成较小的单元(分组),以便在有限带宽网络连接上传送这些分组。分组在网络上传送并在它们到达基于客户机的计算机时由防火墙应用程序304单独扫描以查找恶意软件。因此,在分组中扫描恶意软件时防火墙应用程序304可能没有完整的文件,结果不能肯定地在一切情况下检测恶意软件。
尽管防火墙应用程序304不能肯定地在一切情况下检测恶意软件,但防火墙应用程序304可收集,或被容易地配置为收集,作为恶意软件感染的较强启发式指示的数据。例如,防火墙应用程序通常监控网络活动,这可包括可能是恶意软件特征的可疑数据的分组内容的“深度”监控。此外,许多防火墙应用程序维护关于计算机上出现的网络活动量的统计。当检测到网络活动明显增加时,存在可从防火墙应用程序304所维护的统计中导出的恶意软件尝试感染计算机的较强启发式指示。网络活动增加自身并不一定指示恶意软件。相反,存在计算机为何发送或接收增加的数据量的正当原因(例如,用户开始在网络上下载较大的多媒体文件)。如果这种类型的事件由防火墙应用程序304用于肯定地识别恶意软件感染,则将出现错误识别恶意软件时的较高数量的“错误肯定”或实例。
其它反恶意软件服务和事件检测系统也观察计算机由恶意软件感染或者恶意软件尝试感染计算机的启发式指示。例如,被称作间谍软件的特定类型的恶意软件需要在计算机上总是活动的,以跟踪用户的动作。为了在计算机启动时被激活,间谍软件将用诸如服务控制管理器(SCM)或注册表项的一个或多个操作系统的“可扩展点”进行注册。类似于以上提供的示例,在操作系统的可扩展点处注册一程序本身不是该程序是恶意软件的肯定指示。但是,用可扩展点进行注册是指示恶意软件的“可疑”事件。本发明针对收集和充分利用这些类型的可疑事件提供的知识以提供免受恶意软件侵害的主动保护。
如上所述,计算机300维护一聚合例程310,它包括数据收集器组件312、数据分析器模块314和策略实现器316。在描述本发明一个实施例的一般方面,数据收集器组件312从计算机300上安装的反恶意软件服务和事件检测系统(例如,反病毒软件302、防火墙应用程序304、行为阻断器306、反间谍软件308以及度量系统309)中获得关于“可疑”事件的数据。如以下参考图4更详细地描述的,所收集的数据可仅仅是来自于反恶意软件服务或事件检测系统的出现可疑事件的指示。此外,数据收集器组件312可从反恶意软件服务或事件检测系统获得描述可疑事件属性的元数据。在任一情况中,数据收集器组件312用作与计算机300上安装的反恶意软件服务和事件检测系统的接口,用于报告和/或获得关于可疑事件的数据。
如图3所示,聚合例程310还包括数据分析器模块314,它确定被报告给数据收集器组件312或者由它收集的可疑事件是否满足预定阈值。如以下参考图4更详细地描述的,当满足该阈值时,一实体(例如,计算机、文件、进程等)将由数据分析器模块314“标记”为恶意软件。在一些实例中,在确定是否满足阈值时,数据分析器模块314确定给定时间范围的可疑事件数量是否明显大于正常或高于特定量。此外,如以下参考图4更详细地描述的,数据分析器模块314可以分析由反恶意软件服务302、304、306、308和度量系统309所生成的元数据以确定是否满足阈值。在该实例中,数据分析器组件314通常将具有改良的上下文用于更精确地确定反恶意软件服务所观察到的可疑事件是否是恶意软件的特征。
聚合例程310还包括策略实现器316,它实现被设计成在与计算机300相关联的实体被“标记”为恶意软件时保护计算机300的策略。如前所述,数据分析器模块314确定被报告给数据收集器组件312的可疑事件是否满足阈值。在一些实例中,在满足阈值时,可以实现保护计算机300免受恶意软件侵害的限制性策略。一般来说,策略实现器316提升计算机300的安全等级来主动保护计算机免受恶意软件侵害。在提供缺省策略时,用户或系统管理员可选择要实现的策略。例如,用户可使用高限制性策略,该策略除了从计算机300中去除恶意软件所需的网络传输之外不允许计算机300发送或接收任何网络传输。但是,其它保护安全措施可以在策略中定义并在策略实现器316中实现,包括但不限于阻断特定通信端口和地址上的网络通信量;阻断与诸如电子邮件或Web浏览器应用程序的某些网络相关应用程序的通信;终止某些应用程序,以及阻断对计算机300上的特殊硬件和软件组件的访问。
根据本发明的一个实施例,策略实现器316被配置成与计算机300上安装的一个或多个反恶意软件服务302、304、306和308进行通信,以限制被“标记”为恶意软件的实体可用的资源。例如,行为阻断软件306可被配置为阻止被“标记”为恶意软件的进程访问操作系统可扩展点。策略实现器316可被配置为与行为阻断软件306通信并使得反间谍软件308阻断该进程执行这类活动。
本发明可用在许多不同上下文中实现,其中以下上下文只是一些示例。现有的反恶意软件服务能识别作为恶意软件的肯定指示的事件以及可能是恶意软件特征的可疑事件。如果与可疑事件相关联的实体被“标记”为恶意软件,则会出现过量的错误肯定或者实体被错误识别为恶意软件时的实例。然而,当主动保护计算机免受恶意软件侵害时,使实体与被反恶意软件服务或事件检测系统识别为可疑的事件相关联的知识是有帮助的。本发明可以在这种类型的现有基础结构中实现以聚合不同反恶意软件服务和事件检测系统的知识。更具体地,不同类型的反恶意软件服务(例如,反病毒软件302、防火墙应用程序304、行为阻断器306和反间谍软件308)和事件检测系统(例如,度量系统309)可被配置为向实现本发明各方面的软件模块(例如,聚合例程310)报告可疑事件。如果反恶意软件服务或事件检测系统观察到的可疑事件的数量或类型满足阈值,则聚合例程310将把与这些事件相关联的实体“标记”为恶意软件。
本领域的熟练技术人员和其它人士将认识到:图3是能执行本发明实现的功能的一个计算机300的简化示例。计算机300的实际实施例将具有图3或以下文本中未描述的附加组件。此外,图3示出了用于主动保护计算机300免受恶意软件侵害的示例性组件架构,但其它组件架构也是可能的。
现在参考图4,将描述图3所示的聚合例程310的示例性实施例,它确定反恶意软件服务或其它事件检测系统所识别的可疑事件是否是恶意软件的特征。
如图4所示,聚合例程310在框400处开始,其中例程310保持空闲直到反恶意软件服务或其它事件检测系统观察到可疑事件。根据包括反恶意软件服务的本发明的一个实施例,服务中的逻辑定义恶意软件感染的肯定指示和可能是恶意软件特征的可疑事件。如果识别出恶意软件感染的肯定指示,则不执行聚合例程310所实现的软件例程。但,在一些实例中,当识别出可疑事件时,报告该事件并进行分析以确定与该可疑事件相关联的实体是否应被“标记”为恶意软件。例如,本领域的熟练技术人员以及其它人士将认识到:多数恶意软件被加密以避免在传送中被检测出并将在执行前被解密。类似于以上参考图3提供的示例,例如,当反恶意软件服务遇到加密文件时,其本身不是该文件包含恶意软件的肯定指示。但是,遇到加密文件是被报告给本发明各方面的“可疑”事件。
在框402处,框400处识别的可疑事件被报告给聚合例程310。应理解,本发明可以在许多不同实施例中实现,其中以下的仅仅是一些示例。在一个实施例中,聚合例程310在由单个软件提供商创建的集成软件系统中实现。例如,图3所示的反病毒软件302、防火墙应用程序304、行为阻断器306、反间谍软件308和度量系统309可以与聚合例程310集成在一起。在该实例中,反恶意软件服务302、304、306、308和事件检测系统309可被配置成在框402处使用本领域公知的方法直接传递描述可疑事件属性的数据。在本发明的可选实施例中,聚合例程310维护允许第三方提供商报告可疑事件的应用程序接口(API)。在该实例中,第三方创建的反恶意软件服务或其它事件检测系统可“插入”聚合例程310并通过发出一个或多个API调用来报告可疑事件。根据再一个可选实施例,聚合例程310主动地从计算机上的一个或多个资源获得描述可疑事件的数据。例如,如之前参考图3所述的,事件检测系统(例如,度量系统309)可观察并记录计算机上出现的不同事件。通常,事件检测系统将不仅提供用于识别计算机上出现的事件的逻辑,还维护数据库、事件日志和其它软件模块上可用的其它类型的资源。在该实例中,聚合例程310可用从事件检测系统所维护的资源中获得描述可疑事件的数据。
如图4中进一步描述的,在框404处,聚合例程310对从反恶意软件服务接收或从诸如事件检测系统的其它源收集的描述可疑事件的数据进行分析。所进行的分析被设计成确定向聚合例程310报告或由它获得的可疑事件是否满足一预定阈值,该阈值指示恶意软件尝试感染计算机或已感染了该计算机。例如,恶意软件作者发布利用先前未知脆弱性的一新的恶意软件。该恶意软件(1)使用偶尔用于访问计算机的网络端口,(2)当存储于诸如盘的存储媒体上时包含在加密文件中;(3)尝试访问操作系统可扩展点,以及(4)使得大量数据被发送到其它网络可访问计算机,同时造成CPU使用的相应增加。如前所述,在本发明的一个实施例中,从反恶意软件服务或其它事件检测系统收集的数据可能仅仅是识别可疑事件的指示。在该实施例中,诸如防火墙应用程序304的反恶意软件服务可被配置成报告在偶尔使用的网络端口被访问时出现可疑事件。此外,由于恶意软件使得大量数据被发送到其它网络可访问计算机,防火墙应用程序304可确定网络活动的增加也是一可疑事件。随后,诸如反间谍软件308的另一反恶意软件服务可以在操作系统的可扩展点被访问时报告可疑事件的出现。仅仅接收到三个可疑事件报告不会满足预定的阈值。但是,度量系统309随后会在事件日志中记录CPU使用急剧增加。在这种情况中,数据收集器组件312可被配置成监控该事件日志并作为CPU使用增加的结果确定可疑事件出现。在该实例中,当在特定时间范围中出现四个可疑事件时,满足了聚合例程310所应用的预定阈值。但是,本领域的熟练技术人员以及其它人士将认识到:四个可疑事件足以满足预定阈值的以上提供的实例仅仅是用于说明目的的一个示例而不被解释为对于本发明的限制。
在本发明的另一实施例中,聚合例程310所收集的数据包括元数据,它帮助确定与计算机相关联的实体是否是恶意软件。本领域的熟练技术人员和其它人士将认识到:一些可疑事件将比其它可疑事件更可能与恶意软件相关联。在本发明的一个实施例中,计算机上的反恶意软件服务被配置成计算一值,该值表示一个或多个可疑事件与恶意软件相关联的概率。在以上提供的示例中,网络活动量的增加可由防火墙应用程序304分配一较高的值,这表示存在恶意软件正尝试感染计算机、感染其它计算机、攻击其它计算机或泄漏信息的较高概率。相反,在存储媒体上保存加密文件较不可能与恶意软件相关,因此将被分配到较低的值。根据本发明的一个实施例,向聚合例程310报告元数据,该元数据表示可疑事件是恶意软件特征的概率。在该实例中,例如当用指示出现恶意软件攻击的较高概率的元数据报告一个或多个可疑事件时,会满足预定阈值。
应理解,反恶意软件服务所报告的可疑事件可与不同的实体相关联。例如,用户可能从网络下载加密文件。如前所述,由于加密了文件,反恶意软件服务将向聚合例程310报告文件的下载,作为一可疑事件。此外,反恶意软件服务可使元数据与文件相关联,该元数据表示用恶意软件感染文件的概率。在本发明的一个实施例中,在框404处,聚合例程310使用预定阈值来确定是否将文件分类为被恶意软件感染。但在其它实施例中,聚合例程340使用预定阈值来确定其它类型的实体是否被恶意软件感染。例如,聚合例程310可以将整个计算机、进程、活动“标记”为与恶意软件相关联。
在本发明的再一个实施例中,由反恶意软件服务报告给聚合例程310的元数据可由其它反恶意软件服务用于表征一实体。例如,在以上提供的示例中,防火墙应用程序304向聚合例程310报告从网络下载一个加密文件。在该实例中,元数据可与该文件相关联,指示防火墙应用程序304将该文件“标记”为可疑的理由(例如,该文件被加密)。例如,如果该文件稍后与访问操作系统的可扩展点的尝试相关联,行为阻断器306可以发出一查询并获得与该文件相关联的元数据。在该实例中,行为阻断器306可使用元数据来更准确地表征该文件。例如,分析恶意软件的经验可指示被加密和访问操作系统可扩展点两者的组合可结合地作为高度可疑的事件。结果,行为阻断器306随后可以将该文件识别为受恶意软件感染。
在判断框406处,聚合例程310确定框404处分析的可疑事件是否满足预定阈值。如果满足预定阈值,则实体(例如,计算机、文件、进程等)被“标记”为与恶意软件相关联。在该实例中,聚合例程310进行到以下描述的框408。相反,如果不满足预定阈值,则聚合例程310回到框400且重复框400到406直到满足该阈值。
如图4所示,在判断框408处,聚合例程310确定是否任何注册的反恶意软件服务都能从计算机中去除该恶意软件。如前所述,聚合例程310允许反恶意软件服务注册并创建一概要,该概要识别所述服务能从计算机中去除的恶意软件的类型。如果达到框410,则恶意软件可能已感染了计算机且注册的反恶意软件服务能从该计算机中去除该恶意软件。在该实例中,聚合例程310所收集的元数据可用于识别恶意软件以及能从计算机中去除该恶意软件的反恶意软件服务。如果识别出合适的反恶意软件服务,则在框410处聚合例程310使得该反恶意软件服务利用本领域已知的方法去除该恶意软件。随后,聚合例程310进行到框412。相反,如果该恶意软件仅尝试感染计算机或者反恶意软件服务不能从计算机中去除该恶意软件,则聚合例程310跳过框410且直接进行到框412。
在框412处,聚合例程310实施被设计成防止恶意软件的传播或其感染的限制性安全策略。如果达到框414,则识别出恶意软件且计算机可能仍受该恶意软件感染或未受其感染。在计算机被感染的一些实例中,通常实行被设计用于防止恶意软件传播的一般限制性安全策略。例如,实现一般安全策略通常包括在资源上应用多个限制,诸如但不限于限制来自该计算机的网络传输;阻断特定通信端口和地址上的网络通信量;阻断与诸如电子邮件或Web浏览器应用程序的某些网络相关应用程序的通信;终止某些应用程序,和阻断对计算机上的特殊硬件和软件组件的访问。在其它实例中,聚合例程310可能已从计算机去除了恶意软件,使得它不再被感染。通常,在该实例中,将实行限制性低一些的安全策略且这被设计成防止计算机被该恶意软件再次感染。随后,聚合例程310进行到框414,在这里终止。
应理解,如果做出了实体不是恶意软件的判断,可以容易地解除框414处实行的限制性安全策略。例如,系统管理员或用户可以确定被标识为包含恶意软件的文件实际上是友善的。在该实例中,可以通过从用户、系统管理员处生成的或者作为将来学习的结果而生成的命令解除该限制性安全策略。
虽然已说明和描述了本发明的较佳实施例,但应理解:其中可以进行各种变化而不背离本发明的精神和范围。
Claims (20)
1.一种计算机实现的方法,该方法收集本地机器事件并聚合反恶意软件服务和其它事件检测系统的知识库以主动保护计算机免受恶意软件侵害,该方法包括:
(a)使用所述反恶意软件服务和其它事件检测系统来观察潜在地指示恶意软件的可疑事件;
(b)确定所述可疑事件是否满足预定阈值;以及
(c)如果所述可疑事件满足所述预定阈值,则将限制性安全策略应用于所述计算机。
2.如权利要求1所述的方法,其特征在于,使用所述反恶意软件服务和其它事件检测系统来观察潜在地指示恶意软件的可疑事件包括接收描述可疑事件的元数据。
3.如权利要求2所述的方法,其特征在于,所述描述可疑事件的元数据可由反恶意软件服务访问以用于表征实体。
4.如权利要求2所述的方法,其特征在于,所述被接收并描述可疑事件的元数据包括:
(a)由反恶意软件服务生成的加权值,该加权值量化所述可疑事件指示恶意软件的概率;以及
(b)所述事件被识别为可疑的理由。
5.如权利要求1所述的方法,其特征在于,确定所述可疑事件是否满足阈值包括确定给定时间范围内的事件数是否高于给定值。
6.如权利要求1所述的方法,其特征在于,确定所述事件是否满足指示恶意软件的阈值,包括:
(a)为每个可疑事件生成一加权值,该加权值量化所述可疑事件指示恶意软件的概率;以及
(b)确定对于所述可疑事件的加权值的总和是否高于给定值。
7.如权利要求1所述的方法,其特征在于,所述限制性安全策略防止与所观察到的可疑事件相关联的实体按与所述策略相反的方式执行动作和访问计算机上的资源。
8.如权利要求1所述的方法,其特征在于,将限制性安全策略应用于所述计算机,包括:
(a)确定所述实体是否能从所述计算机上被去除;
(b)如果所述实体能从所述计算机上被去除,则使得反恶意软件服务从计算机上去除所述实体;
(c)相反,如果所述实体不能被去除,则应用被设计成防止恶意软件传播的一般限制性安全策略。
9.如权利要求8所述的方法,其特征在于,使得反恶意软件服务从计算机中去除实体包括应用被设计成防止所述恶意软件随后感染所述计算机的限制性安全策略。
10.如权利要求8所述的方法,其特征在于,使得反恶意软件服务去除实体包括允许所述反恶意软件服务注册并识别所述反恶意软件服务被配置成从计算机中去除的恶意软件的类型。
11.如权利要求8所述的方法,其特征在于,实行限制性安全策略包括限制计算机访问网络上的数据的能力。
12.如权利要求11所述的方法,其特征在于,限制计算机访问网络上的数据的能力,包括:
(a)阻断特定通信端口上的网络通信量;
(b)阻断来自某些基于网络的应用程序的通信;
(c)阻断对所述计算机上的硬件和软件组件的访问;以及
(d)阻断特定通信端口和地址上的网络通信量。
13.一种主动保护计算机免受恶意软件侵害的软件系统,该软件系统包括:
(a)用于确定与所述计算机相关联的实体是否是恶意软件的聚合例程,其中该聚合例程包括:
(i)数据收集器组件,它用于收集识别潜在指示恶意软件的可疑事件的数据;
(ii)数据分析器模块,它分析由所述数据收集器组件收集的数据以确定是否满足阈值;以及
(iii)策略实现器,它用于在所述数据分析器组件模块确定满足阈值时实行限制性安全策略;以及
14.如权利要求13所述的软件系统,其特征在于,还包括反恶意软件服务,用于识别和报告潜在地指示恶意软件的可疑事件给所述数据收集器组件。
15.如权利要求14所述的软件系统,其特征在于,所述反恶意软件服务还被配置成识别与所述可疑事件相关联的实体。
16.如权利要求13所述的软件系统,其特征在于,还包括用于识别计算机上出现的事件并将所述事件记录于可由所述聚合例程访问的数据存储中的事件收集系统。
17.如权利要求13所述的软件系统,其特征在于,所述聚合例程还被配置成:
(a)允许所述反恶意软件服务进行注册以识别所述服务能从计算机中去除的恶意软件;以及
(b)当所述数据分析器模块确定已满足所述阈值时,从所述注册数据中确定所述反恶意软件服务是否能从计算机中去除所述恶意软件。
18.如权利要求13所述的软件系统,其特征在于,所述数据收集器组件被配置成接收并存储元数据,它:
(a)描述了可疑事件是恶意软件特征的概率;以及
(b)识别所述反恶意软件服务将事件标记为可疑的理由。
19.一种承载计算机可执行指令的计算机可读媒体,这些指令在包括反恶意软件服务的计算机上执行时使得该计算机:
(a)使用所述反恶意软件服务来观察潜在地指示恶意软件的可疑事件;
(b)从所述反恶意软件服务接收描述所述可疑事件的数据;
(c)确定所观察到的可疑事件是否指示恶意软件;以及
(c)如果所述可疑事件指示恶意软件,则实行限制性安全策略,该策略限制与可疑事件相关联的实体不能在计算机上执行动作。
20.如权利要求19所述的计算机可读媒体,其特征在于,所述计算机还被配置成:
(a)确定是否存在恶意软件感染;以及
(b)如果存在恶意软件感染,则阻止所述计算机将数据传送到与所述计算机通信连接的计算机。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/096,490 | 2005-03-31 | ||
| US11/096,490 US8516583B2 (en) | 2005-03-31 | 2005-03-31 | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1841397A true CN1841397A (zh) | 2006-10-04 |
| CN1841397B CN1841397B (zh) | 2010-06-02 |
Family
ID=36636655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100515520A Active CN1841397B (zh) | 2005-03-31 | 2006-02-28 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8516583B2 (zh) |
| EP (1) | EP1708114B1 (zh) |
| JP (1) | JP4961153B2 (zh) |
| KR (1) | KR101292501B1 (zh) |
| CN (1) | CN1841397B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101965571A (zh) * | 2008-03-11 | 2011-02-02 | 温科尼克斯多夫国际有限公司 | 用于防御对具有即插即用功能的系统的攻击的方法和设备 |
| CN102195992A (zh) * | 2010-11-01 | 2011-09-21 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
| CN103843002A (zh) * | 2011-09-07 | 2014-06-04 | 迈可菲公司 | 使用云技术对恶意软件的动态清理 |
| CN103988198A (zh) * | 2011-10-11 | 2014-08-13 | 谷歌公司 | 应用市场管理控件 |
| CN102047260B (zh) * | 2008-05-28 | 2015-08-05 | 赛门铁克公司 | 用于集中式恶意软件检测的智能散列 |
| CN105393255A (zh) * | 2013-07-05 | 2016-03-09 | 比特梵德知识产权管理有限公司 | 用于虚拟机中的恶意软件检测的过程评估 |
| CN101965571B (zh) * | 2008-03-11 | 2016-11-30 | 温科尼克斯多夫国际有限公司 | 用于防御对具有即插即用功能的系统的攻击的方法和设备 |
| CN106462705A (zh) * | 2014-05-20 | 2017-02-22 | 微软技术许可有限责任公司 | 基于在已知的恶意环境中的出现标识可疑的恶意软件文件和站点 |
| CN106911675A (zh) * | 2017-02-09 | 2017-06-30 | 中国移动通信集团设计院有限公司 | 一种手机恶意软件预警方法和装置 |
| CN108370325A (zh) * | 2015-12-09 | 2018-08-03 | 华为技术有限公司 | 一种通过连接跟踪对网络的管理 |
| CN109997139A (zh) * | 2016-09-30 | 2019-07-09 | 爱维士软件有限责任公司 | 利用基于散列的指纹检测恶意软件 |
| CN111886841A (zh) * | 2018-03-25 | 2020-11-03 | 英国电讯有限公司 | 恶意软件屏障 |
| US11533333B2 (en) | 2018-03-25 | 2022-12-20 | British Telecommunications Public Limited Company | Malware infection prediction |
Families Citing this family (105)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
| AU2003209194A1 (en) | 2002-01-08 | 2003-07-24 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US8516583B2 (en) | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| US7562293B2 (en) * | 2005-05-27 | 2009-07-14 | International Business Machines Corporation | Method and apparatus for processing a parseable document |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US8255998B2 (en) * | 2005-08-16 | 2012-08-28 | Emc Corporation | Information protection method and system |
| US8468604B2 (en) * | 2005-08-16 | 2013-06-18 | Emc Corporation | Method and system for detecting malware |
| US20070169192A1 (en) * | 2005-12-23 | 2007-07-19 | Reflex Security, Inc. | Detection of system compromise by per-process network modeling |
| JP5018774B2 (ja) * | 2006-06-05 | 2012-09-05 | 日本電気株式会社 | 監視装置、監視システム、監視方法およびプログラム |
| US20070294767A1 (en) * | 2006-06-20 | 2007-12-20 | Paul Piccard | Method and system for accurate detection and removal of pestware |
| US8136162B2 (en) * | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
| US20080083031A1 (en) * | 2006-12-20 | 2008-04-03 | Microsoft Corporation | Secure service computation |
| US8955105B2 (en) * | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
| US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
| US8413247B2 (en) * | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
| US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
| US20080244742A1 (en) * | 2007-04-02 | 2008-10-02 | Microsoft Corporation | Detecting adversaries by correlating detected malware with web access logs |
| US8079074B2 (en) * | 2007-04-17 | 2011-12-13 | Microsoft Corporation | Dynamic security shielding through a network resource |
| CN101059829A (zh) * | 2007-05-16 | 2007-10-24 | 珠海金山软件股份有限公司 | 一种自动分析进程风险等级的装置和方法 |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| US8713680B2 (en) | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
| US9009828B1 (en) * | 2007-09-28 | 2015-04-14 | Dell SecureWorks, Inc. | System and method for identification and blocking of unwanted network traffic |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US9648039B1 (en) * | 2008-01-24 | 2017-05-09 | RazorThreat, Inc. | System and method for securing a network |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| US9465937B1 (en) * | 2008-05-30 | 2016-10-11 | Symantec Corporation | Methods and systems for securely managing file-attribute information for files in a file system |
| KR101011456B1 (ko) * | 2008-06-30 | 2011-02-01 | 주식회사 이너버스 | 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템 |
| US7530106B1 (en) * | 2008-07-02 | 2009-05-05 | Kaspersky Lab, Zao | System and method for security rating of computer processes |
| CN101645125B (zh) * | 2008-08-05 | 2011-07-20 | 珠海金山软件有限公司 | 过滤以及监控程序的行为的方法 |
| US8667583B2 (en) * | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US9450960B1 (en) * | 2008-11-05 | 2016-09-20 | Symantec Corporation | Virtual machine file system restriction system and method |
| TWI401582B (zh) * | 2008-11-17 | 2013-07-11 | Inst Information Industry | 用於一硬體之監控裝置、監控方法及其電腦程式產品 |
| US8825940B1 (en) | 2008-12-02 | 2014-09-02 | Siliconsystems, Inc. | Architecture for optimizing execution of storage access commands |
| US8631485B2 (en) | 2009-01-19 | 2014-01-14 | International Business Machines Corporation | Identification of malicious activities through non-logged-in host usage |
| US8181251B2 (en) * | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
| US9176859B2 (en) * | 2009-01-07 | 2015-11-03 | Siliconsystems, Inc. | Systems and methods for improving the performance of non-volatile memory operations |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| US8321935B1 (en) * | 2009-02-26 | 2012-11-27 | Symantec Corporation | Identifying originators of malware |
| US10079048B2 (en) * | 2009-03-24 | 2018-09-18 | Western Digital Technologies, Inc. | Adjusting access of non-volatile semiconductor memory based on access time |
| US8381290B2 (en) * | 2009-07-17 | 2013-02-19 | Exelis Inc. | Intrusion detection systems and methods |
| US7743419B1 (en) | 2009-10-01 | 2010-06-22 | Kaspersky Lab, Zao | Method and system for detection and prediction of computer virus-related epidemics |
| US8572740B2 (en) * | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
| EP3651028A1 (en) | 2010-07-26 | 2020-05-13 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| EP2626803B1 (en) | 2010-10-04 | 2017-07-05 | Panasonic Intellectual Property Management Co., Ltd. | Information processing device and method for preventing unauthorized application cooperation |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| JP5779334B2 (ja) * | 2010-11-09 | 2015-09-16 | デジタルア−ツ株式会社 | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
| US9465657B2 (en) | 2011-07-19 | 2016-10-11 | Elwha Llc | Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority |
| US9443085B2 (en) | 2011-07-19 | 2016-09-13 | Elwha Llc | Intrusion detection using taint accumulation |
| US20150128262A1 (en) * | 2011-10-28 | 2015-05-07 | Andrew F. Glew | Taint vector locations and granularity |
| US9460290B2 (en) | 2011-07-19 | 2016-10-04 | Elwha Llc | Conditional security response using taint vector monitoring |
| US9170843B2 (en) | 2011-09-24 | 2015-10-27 | Elwha Llc | Data handling apparatus adapted for scheduling operations according to resource allocation based on entitlement |
| US9575903B2 (en) | 2011-08-04 | 2017-02-21 | Elwha Llc | Security perimeter |
| US9298918B2 (en) | 2011-11-30 | 2016-03-29 | Elwha Llc | Taint injection and tracking |
| US9098608B2 (en) | 2011-10-28 | 2015-08-04 | Elwha Llc | Processor configured to allocate resources using an entitlement vector |
| US9471373B2 (en) | 2011-09-24 | 2016-10-18 | Elwha Llc | Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority |
| US9798873B2 (en) | 2011-08-04 | 2017-10-24 | Elwha Llc | Processor operable to ensure code integrity |
| US9558034B2 (en) | 2011-07-19 | 2017-01-31 | Elwha Llc | Entitlement vector for managing resource allocation |
| WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
| US8839435B1 (en) * | 2011-11-04 | 2014-09-16 | Cisco Technology, Inc. | Event-based attack detection |
| US8868753B2 (en) | 2011-12-06 | 2014-10-21 | Seven Networks, Inc. | System of redundantly clustered machines to provide failover mechanisms for mobile traffic management and network resource conservation |
| WO2013086455A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
| US8774761B2 (en) * | 2012-01-27 | 2014-07-08 | Qualcomm Incorporated | Mobile device to detect unexpected behaviour |
| US9519782B2 (en) * | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| US20140053267A1 (en) * | 2012-08-20 | 2014-02-20 | Trusteer Ltd. | Method for identifying malicious executables |
| US9104864B2 (en) * | 2012-10-24 | 2015-08-11 | Sophos Limited | Threat detection through the accumulated detection of threat characteristics |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
| US9280369B1 (en) | 2013-07-12 | 2016-03-08 | The Boeing Company | Systems and methods of analyzing a software component |
| US9852290B1 (en) | 2013-07-12 | 2017-12-26 | The Boeing Company | Systems and methods of analyzing a software component |
| US9336025B2 (en) | 2013-07-12 | 2016-05-10 | The Boeing Company | Systems and methods of analyzing a software component |
| US9396082B2 (en) | 2013-07-12 | 2016-07-19 | The Boeing Company | Systems and methods of analyzing a software component |
| US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| US20150052614A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Virtual machine trust isolation in a cloud environment |
| US10305929B2 (en) | 2013-09-27 | 2019-05-28 | Mcafee, Llc | Managed software remediation |
| US9479521B2 (en) | 2013-09-30 | 2016-10-25 | The Boeing Company | Software network behavior analysis and identification system |
| US10223530B2 (en) | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
| US20150135316A1 (en) * | 2013-11-13 | 2015-05-14 | NetCitadel Inc. | System and method of protecting client computers |
| WO2015142755A1 (en) * | 2014-03-17 | 2015-09-24 | Proofpoint, Inc. | Behavior profiling for malware detection |
| US9769198B1 (en) * | 2014-03-31 | 2017-09-19 | Juniper Networks, Inc. | Malware detection using internal and/or external malware detection operations |
| US9659176B1 (en) * | 2014-07-17 | 2017-05-23 | Symantec Corporation | Systems and methods for generating repair scripts that facilitate remediation of malware side-effects |
| US10360378B2 (en) | 2014-08-22 | 2019-07-23 | Nec Corporation | Analysis device, analysis method and computer-readable recording medium |
| JP6402577B2 (ja) * | 2014-10-16 | 2018-10-10 | 株式会社リコー | 情報処理システム、情報処理装置、設定判断方法およびプログラム |
| US10091214B2 (en) * | 2015-05-11 | 2018-10-02 | Finjan Mobile, Inc. | Malware warning |
| US10103964B2 (en) * | 2016-06-17 | 2018-10-16 | At&T Intellectual Property I, L.P. | Managing large volumes of event data records |
| US10503899B2 (en) * | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10826931B1 (en) * | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| WO2020204927A1 (en) * | 2019-04-04 | 2020-10-08 | Hewlett-Packard Development Company, L.P. | Determining whether received data is required by an analytic |
| US11886390B2 (en) | 2019-04-30 | 2024-01-30 | JFrog Ltd. | Data file partition and replication |
| US11386233B2 (en) | 2019-04-30 | 2022-07-12 | JFrog, Ltd. | Data bundle generation and deployment |
| US11340894B2 (en) | 2019-04-30 | 2022-05-24 | JFrog, Ltd. | Data file partition and replication |
| WO2021014326A2 (en) | 2019-07-19 | 2021-01-28 | JFrog Ltd. | Software release verification |
| US20220060488A1 (en) * | 2020-08-18 | 2022-02-24 | Cloud Storage Security | Methods for providing malware protection for cloud storage and devices thereof |
| US11860680B2 (en) | 2020-11-24 | 2024-01-02 | JFrog Ltd. | Software pipeline and release validation |
| US11716310B2 (en) * | 2020-12-31 | 2023-08-01 | Proofpoint, Inc. | Systems and methods for in-process URL condemnation |
| US20220318377A1 (en) * | 2021-03-31 | 2022-10-06 | Mcafee, Llc | Responsible parent process identification |
| CN115001831B (zh) * | 2022-06-09 | 2023-04-07 | 北京交通大学 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
| US20240031391A1 (en) * | 2022-07-22 | 2024-01-25 | Semperis Technologies Inc. (US) | Attack path monitoring and risk mitigation in identity systems |
Family Cites Families (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5533123A (en) | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
| US5951698A (en) | 1996-10-02 | 1999-09-14 | Trend Micro, Incorporated | System, apparatus and method for the detection and removal of viruses in macros |
| US6453345B2 (en) | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| JP3437065B2 (ja) | 1997-09-05 | 2003-08-18 | 富士通株式会社 | ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体 |
| GB2333864B (en) | 1998-01-28 | 2003-05-07 | Ibm | Distribution of software updates via a computer network |
| US6208720B1 (en) * | 1998-04-23 | 2001-03-27 | Mci Communications Corporation | System, method and computer program product for a dynamic rules-based threshold engine |
| US6275942B1 (en) | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| US6338141B1 (en) | 1998-09-30 | 2002-01-08 | Cybersoft, Inc. | Method and apparatus for computer virus detection, analysis, and removal in real time |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US20020040439A1 (en) | 1998-11-24 | 2002-04-04 | Kellum Charles W. | Processes systems and networks for secure exchange of information and quality of service maintenance using computer hardware |
| US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
| AU2001262958A1 (en) * | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| US6976251B2 (en) | 2001-05-30 | 2005-12-13 | International Business Machines Corporation | Intelligent update agent |
| US20020194490A1 (en) | 2001-06-18 | 2002-12-19 | Avner Halperin | System and method of virus containment in computer networks |
| US6928549B2 (en) * | 2001-07-09 | 2005-08-09 | International Business Machines Corporation | Dynamic intrusion detection for computer systems |
| US7370358B2 (en) * | 2001-09-28 | 2008-05-06 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
| US6907430B2 (en) | 2001-10-04 | 2005-06-14 | Booz-Allen Hamilton, Inc. | Method and system for assessing attacks on computer networks using Bayesian networks |
| JP2003150748A (ja) * | 2001-11-09 | 2003-05-23 | Asgent Inc | リスク評価方法 |
| KR100466214B1 (ko) | 2001-12-21 | 2005-01-14 | 한국전자통신연구원 | 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체 |
| KR20030056652A (ko) * | 2001-12-28 | 2003-07-04 | 한국전자통신연구원 | 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 |
| US7269851B2 (en) * | 2002-01-07 | 2007-09-11 | Mcafee, Inc. | Managing malware protection upon a computer network |
| JP2003233521A (ja) | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
| US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
| US7171689B2 (en) | 2002-02-25 | 2007-01-30 | Symantec Corporation | System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis |
| US7254634B1 (en) | 2002-03-08 | 2007-08-07 | Akamai Technologies, Inc. | Managing web tier session state objects in a content delivery network (CDN) |
| US6941467B2 (en) * | 2002-03-08 | 2005-09-06 | Ciphertrust, Inc. | Systems and methods for adaptive message interrogation through multiple queues |
| US7487543B2 (en) | 2002-07-23 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for the automatic determination of potentially worm-like behavior of a program |
| US20050033989A1 (en) | 2002-11-04 | 2005-02-10 | Poletto Massimiliano Antonio | Detection of scanning attacks |
| US7461404B2 (en) * | 2002-11-04 | 2008-12-02 | Mazu Networks, Inc. | Detection of unauthorized access in a network |
| US8990723B1 (en) * | 2002-12-13 | 2015-03-24 | Mcafee, Inc. | System, method, and computer program product for managing a plurality of applications via a single interface |
| US20040143749A1 (en) | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
| CN100466510C (zh) | 2003-04-30 | 2009-03-04 | 华为技术有限公司 | 一种防止网络用户对网络地址转换(nat)设备攻击的方法 |
| EP1625687A4 (en) | 2003-05-17 | 2011-11-23 | Microsoft Corp | SECURITY RISK ASSESSMENT SYSTEM |
| JP3971353B2 (ja) | 2003-07-03 | 2007-09-05 | 富士通株式会社 | ウィルス隔離システム |
| US20050050337A1 (en) | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Anti-virus security policy enforcement |
| US20050071432A1 (en) * | 2003-09-29 | 2005-03-31 | Royston Clifton W. | Probabilistic email intrusion identification methods and systems |
| US7194769B2 (en) * | 2003-12-11 | 2007-03-20 | Massachusetts Institute Of Technology | Network security planning architecture |
| US7603714B2 (en) | 2004-03-08 | 2009-10-13 | International Business Machines Corporation | Method, system and computer program product for computer system vulnerability analysis and fortification |
| US8543710B2 (en) | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
| KR100602597B1 (ko) * | 2004-03-10 | 2006-07-19 | 주식회사 이에프엠네트웍스 | 네트워크 상에서 사용되는 네트워크 자원 사용량을감지하여 사용자에게 바이러스 감염 가능성을 경고하는인터넷 공유기의 동작 방법 및 이를 위한 인터넷 공유기 |
| US7084760B2 (en) | 2004-05-04 | 2006-08-01 | International Business Machines Corporation | System, method, and program product for managing an intrusion detection system |
| US20060069909A1 (en) | 2004-09-23 | 2006-03-30 | Roth Steven T | Kernel registry write operations |
| FI20041681A0 (fi) * | 2004-12-29 | 2004-12-29 | Nokia Corp | Liikenteen rajoittaminen kommunikaatiojärjestelmissä |
| US8516583B2 (en) | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
| US20060259967A1 (en) * | 2005-05-13 | 2006-11-16 | Microsoft Corporation | Proactively protecting computers in a networking environment from malware |
-
2005
- 2005-03-31 US US11/096,490 patent/US8516583B2/en active Active
-
2006
- 2006-02-27 KR KR1020060018812A patent/KR101292501B1/ko active IP Right Grant
- 2006-02-28 CN CN2006100515520A patent/CN1841397B/zh active Active
- 2006-03-15 EP EP06111186.0A patent/EP1708114B1/en active Active
- 2006-03-16 JP JP2006073364A patent/JP4961153B2/ja active Active
-
2013
- 2013-08-14 US US13/967,221 patent/US9043869B2/en active Active
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101965571A (zh) * | 2008-03-11 | 2011-02-02 | 温科尼克斯多夫国际有限公司 | 用于防御对具有即插即用功能的系统的攻击的方法和设备 |
| CN101965571B (zh) * | 2008-03-11 | 2016-11-30 | 温科尼克斯多夫国际有限公司 | 用于防御对具有即插即用功能的系统的攻击的方法和设备 |
| CN102047260B (zh) * | 2008-05-28 | 2015-08-05 | 赛门铁克公司 | 用于集中式恶意软件检测的智能散列 |
| CN102195992A (zh) * | 2010-11-01 | 2011-09-21 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
| CN102195992B (zh) * | 2010-11-01 | 2014-08-06 | 卡巴斯基实验室封闭式股份公司 | 用于对从网络下载的数据进行反病毒扫描的系统及方法 |
| CN103843002A (zh) * | 2011-09-07 | 2014-06-04 | 迈可菲公司 | 使用云技术对恶意软件的动态清理 |
| CN103843002B (zh) * | 2011-09-07 | 2017-02-15 | 迈可菲公司 | 使用云技术对恶意软件的动态清理 |
| US9721074B2 (en) | 2011-10-11 | 2017-08-01 | Google Inc. | Application marketplace administrative controls |
| CN103988198A (zh) * | 2011-10-11 | 2014-08-13 | 谷歌公司 | 应用市场管理控件 |
| US9898592B2 (en) | 2011-10-11 | 2018-02-20 | Google Llc | Application marketplace administrative controls |
| CN103988198B (zh) * | 2011-10-11 | 2017-08-15 | 谷歌公司 | 应用市场管理控件 |
| CN105393255A (zh) * | 2013-07-05 | 2016-03-09 | 比特梵德知识产权管理有限公司 | 用于虚拟机中的恶意软件检测的过程评估 |
| CN105393255B (zh) * | 2013-07-05 | 2019-07-12 | 比特梵德知识产权管理有限公司 | 用于虚拟机中的恶意软件检测的过程评估 |
| CN106462705A (zh) * | 2014-05-20 | 2017-02-22 | 微软技术许可有限责任公司 | 基于在已知的恶意环境中的出现标识可疑的恶意软件文件和站点 |
| US10282544B2 (en) | 2014-05-20 | 2019-05-07 | Microsoft Technology Licensing, Llc | Identifying suspected malware files and sites based on presence in known malicious environment |
| CN106462705B (zh) * | 2014-05-20 | 2019-06-25 | 微软技术许可有限责任公司 | 用于标识可疑的恶意软件文件和站点的方法和系统 |
| CN108370325A (zh) * | 2015-12-09 | 2018-08-03 | 华为技术有限公司 | 一种通过连接跟踪对网络的管理 |
| CN108370325B (zh) * | 2015-12-09 | 2021-05-07 | 华为技术有限公司 | 一种通过连接跟踪对网络的管理 |
| CN109997139A (zh) * | 2016-09-30 | 2019-07-09 | 爱维士软件有限责任公司 | 利用基于散列的指纹检测恶意软件 |
| CN109997139B (zh) * | 2016-09-30 | 2023-05-09 | 爱维士软件有限责任公司 | 利用基于散列的指纹检测恶意软件 |
| CN106911675A (zh) * | 2017-02-09 | 2017-06-30 | 中国移动通信集团设计院有限公司 | 一种手机恶意软件预警方法和装置 |
| CN106911675B (zh) * | 2017-02-09 | 2019-02-26 | 中国移动通信集团设计院有限公司 | 一种手机恶意软件预警方法和装置 |
| CN111886841A (zh) * | 2018-03-25 | 2020-11-03 | 英国电讯有限公司 | 恶意软件屏障 |
| CN111886841B (zh) * | 2018-03-25 | 2022-10-14 | 英国电讯有限公司 | 保护计算机网络的一部分免受恶意软件攻击的方法,可读存储介质 |
| US11533333B2 (en) | 2018-03-25 | 2022-12-20 | British Telecommunications Public Limited Company | Malware infection prediction |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101292501B1 (ko) | 2013-08-01 |
| EP1708114B1 (en) | 2017-09-13 |
| US20060236392A1 (en) | 2006-10-19 |
| JP2006285983A (ja) | 2006-10-19 |
| EP1708114A3 (en) | 2009-12-30 |
| US8516583B2 (en) | 2013-08-20 |
| KR20060106655A (ko) | 2006-10-12 |
| US9043869B2 (en) | 2015-05-26 |
| US20130332988A1 (en) | 2013-12-12 |
| JP4961153B2 (ja) | 2012-06-27 |
| EP1708114A2 (en) | 2006-10-04 |
| CN1841397B (zh) | 2010-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1841397B (zh) | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 | |
| US9148442B2 (en) | Methods and apparatus providing automatic signature generation and enforcement | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
| US9286469B2 (en) | Methods and apparatus providing computer and network security utilizing probabilistic signature generation | |
| US7084760B2 (en) | System, method, and program product for managing an intrusion detection system | |
| US8255995B2 (en) | Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing | |
| US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| US20060259967A1 (en) | Proactively protecting computers in a networking environment from malware | |
| EP3356985A1 (en) | Detection of security incidents with low confidence security events | |
| CA2545916A1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| US20080201722A1 (en) | Method and System For Unsafe Content Tracking | |
| CN1647483A (zh) | 检测和反击企业网络中的恶意代码 | |
| CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| Kondo et al. | Botnet traffic detection techniques by C&C session classification using SVM | |
| Thomas | Improving intrusion detection for imbalanced network traffic | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| Leita et al. | Exploiting diverse observation perspectives to get insights on the malware landscape | |
| Coulibaly | An overview of intrusion detection and prevention systems | |
| EP1751651B1 (en) | Method and systems for computer security | |
| GB2594157A (en) | Method and apparatus for detecting irregularities on device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150505 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150505 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |