DE202010018642U1 - System zur Erfassung zuvor unbekannter Schadsoftware - Google Patents

System zur Erfassung zuvor unbekannter Schadsoftware Download PDF

Info

Publication number
DE202010018642U1
DE202010018642U1 DE202010018642.0U DE202010018642U DE202010018642U1 DE 202010018642 U1 DE202010018642 U1 DE 202010018642U1 DE 202010018642 U DE202010018642 U DE 202010018642U DE 202010018642 U1 DE202010018642 U1 DE 202010018642U1
Authority
DE
Germany
Prior art keywords
file
files
information
risk
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202010018642.0U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of DE202010018642U1 publication Critical patent/DE202010018642U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)

Abstract

System zum Erfassen unbekannter Schadsoftware, wobei das System umfasst:einen Prozessor, der für Folgendes konfiguriert ist:Empfangen von Metadaten-Informationen über Dateien, die auf einem entfernten Computer ausgeführt werden, und Informationen über Ausführungsereignisse der Dateien, einschließlich Informationen über an den Dateien durchgeführte Aktionen, wobei bekannte Metadaten-Informationen und bekannte Informationen über Ereignisse auf der Grundlage von Informationen, die in Whitelist- und Blacklist-Wissensdatenbanken gespeichert sind, herausgefiltert werden;wobei der Prozessor dadurch gekennzeichnet ist, dass er weiterhin für Folgendes konfiguriert ist:Bestimmen einer Aufrufabfolge der Dateien auf der Grundlage der Informationen über Ereignisse der Dateiausführung, einschließlich wenigstens von Ereignissen des Herunterladens, des Ablegens, der Verlinkung und des Aufrufs von Dateien;Konstruieren einer Eltern-Kind-Hierarchie auf der Grundlage der Aufrufabfolge der Dateien, wobei die Eltern-Kind-Hierarchie Eltern-Kind-Beziehungen zwischen den Dateien beschreibt;Durchführen einer Risikoanalyse der Dateien auf der Grundlage der empfangenen, nicht gefilterten Informationen und wenigstens teilweise auf der Grundlage eines der folgenden Kriterien: Statistik der Ausführungsereignisse jeder Datei, Namensstabilität der Dateiquelle, Adressstabilität der Dateiquelle, Aktivität der Datei und ein Verhaltensmuster der Datei;Durchführen einer Risikoanalyse der Dateien auf der Grundlage der Eltern-Kind-Hierarchie, um eine Gefahrenstufe der verwandten Dateien zu bestimmen, wobei ein Risiko, das einer Eltern-Datei zugeordnet wird, wenigstens teilweise auf dem Risiko beruht, das einem oder mehreren Kinder-Dateien der Eltern-Datei zugeordnet wird; undBestimmen, ob die Dateien schädlich sind, auf der Grundlage der Risikoanalyse und Risikobeurteilung,wobei die Risikoanalyse einer Datei auf der Berechnung einer Aktivitätsstufe der Datei („Aktivitäts“-Parameter), einer Gefahrenstufe der Datei („Gefahr“-Parameter) und einer Signifikanz für die Datei („Signifikanz“-Parameter) beruht, wobei der Signifikanz-Parameter als Signifikanz = (Aktivität · Gefahr) berechnet wird, und wobei der Gefahr-Parameter auf der Grundlage eines Entscheidungsbaums von Gewichtskoeffizienten berechnet wird, der für die bei der Risikoanalyse der Datei verwendeten Kriterien aufgebaut wird.

Description

  • Hintergrund der Erfindung
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft Anti-Schadsoftware-Technologie, und insbesondere ein System und ein Computerprogrammprodukt zum Erfassen unbekannter Schadsoftware-Bedrohungen auf der Grundlage automatischer Echtzeit-Ereignisse und der Analyse von Verhaltensmustern von Objekten.
  • Beschreibung des Stands der Technik
  • Die gegenwärtige Verbreitung schädlicher Programme verursacht weltweit wesentlichen Schaden an Computern. Die bestehende Methodik zum Schutz von Stand-Alone Personalcomputern sowie Firmennetzwerken konzentriert sich in erster Linie auf den Umgang mit bereits bekannten Computerbedrohungen.
  • Die seit den späten 1980er Jahren bestehenden Antivirus-Programme erfassen Viren und verwandte schädliche Software in herkömmlicher Weise auf zwei Arten: (1) Dateien werden auf Binärcode-Strings gescannt, die denen bekannter Viren entsprechen („Virussignaturen“), und (2) Dateien werden auf bekannten virusartigen Code gescannt („heuristisches Scannen“). Andere Techniken umfassen entweder das Blockieren virusartigen Verhaltens („Verhaltens-Blockierung“) oder das Überprüfen von Dateien auf einige Modifikationen („Integritätsprüfung“).
  • Die US 7,152,164 B1 offenbart ein netzwerkbasiertes Antivirus-System, bei dem, wenn ein Client-Computer Dateien oder anderen Web-Inhalt aus dem Netzwerk herunterlädt, deren Kennungen an einen Antivirus-Host-Computer gesendet werden, der sie mit einer Datenbank der Kennungen bekannter virusinfizierter Dateien oder anderem bekannten virusinfizierten Web-Inhalt vergleicht, wobei Sicherheitsmaßnahmen ergriffen werden, wenn eine gesendete Kennung eine hinreichend genaue Entsprechung in der Datenbank aufweist, wobei ein Antivirus-Host-Computer Anfragen von Client-Computern bearbeitet, um zu prüfen, ob diese Client-Computer in Gefahr sind, mit Computerviren infiziert zu werden.
  • Die US 2008/0027891 A1 offenbart ein Verfahren zum Identifizieren einer schädlichen Einheit in einem Verarbeitungssystem, wobei das Verfahren das Bestimmen eines Einheits-Bedrohungswerts für eine Einheit umfasst, wobei der Einheits-Bedrohungswert indikativ für eine Bedrohungsstufe ist, die die Einheit für das Verarbeitungssystem darstellt, wobei der Einheits-Bedrohungswert auf der Grundlage eines oder mehrerer kennzeichnender Merkmale der Einheit bestimmt wird, wobei ein Vergleich des Einheits-Bedrohungswerts mit einer Einheits-Bedrohungsschwelle gezogen wird, um festzustellen, ob die Einheit schädlich ist.
  • Das US-Patent 6,016,546 offenbart ein Verfahren zum Erfassen der Wahrscheinlichkeit des Vorhandenseins eines beliebigen eines ersten Satzes von bekannten Dateneigenschaften in dem Daten-String durch Verwendung eines zweiten Satzes generischer Eigenschaften und eines dritten Satzes von Signaturen, wobei die generischen Eigenschaften und die Signaturen typisch für den ersten Satz von Dateneigenschaften sind.
  • Das US-Patent 6,338,141 offenbart ein Verfahren, das an einem Stand-Alone-Computersystem in Echtzeit oder an einem vernetzten Gerät durchgeführt werden kann. Das Verfahren verwendet eine Sammlung von relationalen Daten, um Computerviren in den Computerdateien zu erfassen. Diese Sammlung von relationalen Daten umfasst verschiedene relationale Signaturobjekte, die durch Viren erzeugt werden. Computerdateien, die auf Viren geprüft werden, durchlaufen einen Prozess, der relationale Signaturobjekte erzeugt. Nachdem die Signaturobjekte als Ergebnis des Datei-Scans erzeugt wurden, werden sie anhand der Sammlung relationaler Daten geprüft, und abhängig von den Ergebnissen kann die Datei als infiziert betrachtet und ihre Ausführung in dem System verboten werden.
  • Dieser Ansatz zur Behandlung von Viren kann ein schädliches Objekt jedoch nur identifizieren, nachdem das schädliche Objekt bereits in das Computersystem oder einen der Knoten in dem Netzwerk eingedrungen ist, und ist unwirksam gegenüber unbekannten Bedrohungen mit neuen, unbekannten Signaturen oder gegenüber Computerviren, die unbekannte Verhaltensmuster zeigen.
  • Dementsprechend besteht auf diesem Gebiet Bedarf an einem System für einen wirksameren, proaktiven Ansatz zur Erfassung unbekannter Computerbedrohungen, bevor ein unbekannter Virus in das geschützte Computersystem oder Computernetzwerk eindringt und zu einem Problem wird.
  • Kurzer Abriss der Erfindung
  • Offenbart wird ein System zum Erfassen unbekannter Schadsoftware, das eine Risikoanalyse und eine Risikobeurteilung auf der Grundlage verschiedener Kriterien durchführt und das im Wesentlichen einen oder mehrere der Nachteile des Stands der Technik umgeht.
  • In einem Aspekt der Erfindung werden ein System und ein Computerprogrammprodukt zum Erfassen von zuvor unbekannter Schadsoftware zur Verfügung gestellt, wobei das System umfasst: Einen Prozessor, der dafür konfiguriert ist, Metadaten-Informationen über Dateien, die auf einem entfernten Computer ausgeführt werden, sowie Informationen über Ausführungsereignisse der Dateien zu empfangen, einschließlich Informationen über an den Dateien durchgeführte Aktionen, wobei bekannte Metadaten-Informationen und bekannte Informationen über Ereignisse auf der Grundlage von Informationen, die in Whitelist- und Blacklist-Wissensdatenbanken gespeichert sind, herausgefiltert werden; wobei der Prozessor sich dadurch auszeichnet, dass er weiterhin für Folgendes konfiguriert ist: Bestimmen einer Aufrufabfolge der Dateien auf der Grundlage der Informationen über Dateiausführungsereignisse, einschließlich wenigstens von Ereignissen des Herunterladens, Ablegens, Verlinkens und Aufrufens von Dateien; Konstruieren einer Eltern-Kind-Hierarchie auf der Grundlage der Aufrufabfolge der Dateien, wobei die Eltern-Kind-Hierarchie Eltern-Kind-Verhältnisse zwischen den Dateien beschreibt; Durchführen einer Risikoanalyse der Dateien auf der Grundlage der empfangenen, nicht gefilterten Informationen, und wenigstens teilweise auf der Grundlage eines der folgenden Kriterien: Statistiken der Ausführungsereignisse jeder Datei, Namensstabilität der Dateiquelle, Adressstabilität der Dateiquelle, Aktivität der Datei und ein Verhaltensmuster der Datei; Durchführen einer Risikobeurteilung der Dateien auf der Grundlage der Eltern-Kind-Hierarchie, um eine Gefahrenstufe der verwandten Dateien zu bestimmen, wobei ein Risiko, das einer Eltern-Datei zugeordnet wird, wenigstens teilweise auf dem Risiko beruht, das einer oder mehreren Kinder-Dateien der Eltern-Datei zugeordnet wird; und Bestimmen, ob die Dateien schädlich sind, auf der Grundlage der Risikoanalyse und Risikobeurteilung, wobei die Risikoanalyse einer Datei auf der Berechnung einer Aktivitätsstufe der Datei („Aktivitäts“-Parameter), eines Gefahrengrads der Datei („Gefahr“-Parameter) und einer Signifikanz für die Datei („Signifikanz“-Parameter) beruht, wobei der Signifikanz-Parameter berechnet wird als Signifikanz = (Aktivität · Gefahr), und wobei der Gefahr-Parameter auf der Grundlage eines Entscheidungsbaums von Gewichtskoeffizienten berechnet wird, der für die Kriterien aufgebaut wird, die bei der Risikoanalyse der Datei verwendet werden.
  • Die Datei-Metadaten können Beliebiges aus Folgendem sein: Dateiname, Dateierweiterung, Dateigröße, Dateiverlinkungsstatus, unabhängig davon, ob die Datei digital signiert, ein Download-Hilfsprogramm oder gepackt ist, Dateiquelle, Datei-Aufruffrequenz, Dateipfad, die URL, von der die Datei empfangen wurde, sowie ein Port, auf den die Datei zugreift.
  • Die analysierten Ereignisinformationen können Informationen über Verhaltensmuster eines Objekts oder statistische Daten im Zusammenhang mit dem Ereignis, Namensstabilität der Objektquelle, IP-Adressstabilität der Objektquelle, die Aktivität des Objekts sowie Informationen bezüglich der Art des Ereignisses wie das Herunterladen einer Datei, das Ablegen einer Datei und das Verlinken einer Datei usw. umfassen.
  • Das System ist in der Lage, eine automatisierte Erfassung der zuvor unbekannten Schadsoftware in Echtzeit durchzuführen, oder kann in Zusammenarbeit mit menschlichen Analysten eine mehrstufige Analyse auf das Vorhandensein solcher Schadsoftware durchführen.
  • Das System unterhält eine sogenannte Whitelist von Objekten, die als ungefährlich bekannt sind oder betrachtet werden, und eine sogenannte Blacklist von Objekten, die als schädlich bekannt sind oder definiert werden.
  • Sobald eine Datei zu der Blacklist hinzugefügt wurde, beginnt die auf dem Computer des Benutzers installierte Antivirus-Software, das Objekt als schädlich zu erfassen, und schützt den Computer des Benutzers vor dem schädlichen Objekt. Die Antivirus-Software blockiert auch den Zugriff des Benutzers auf Domains und URLs, die auf der Blacklist stehen. Bezüglich der Domains berechnet das System auch einen Parameter, der „Reputation“ genannt wird und der einen Grad der Gefahr darstellt, der einer bestimmten Internet-Ressource zugeordnet wird.
  • Ein entsprechendes Verfahren umfasst (a) Empfangen von Ereignisinformationen und Datei-Metadaten von einem entfernten Computer; (b) Identifizieren, ob die Ereignisinformationen oder die Datei-Metadaten indikativ für bekannte Schadsoftware, indikativ für unbekannte Schadsoftware oder indikativ für das Nichtvorhandensein von Schadsoftware sind; (c) wenn die Ereignisinformationen oder die Datei-Metadaten indikativ für bekannte Schadsoftware oder indikativ für das Nichtvorhandensein von Schadsoftware sind, Herausfiltern der Ereignisinformationen und der Datei-Metadaten; (d) Durchführen einer Risikoanalyse und Risikobeurteilung für die übrigen Ereignisinformationen und die übrigen Datei-Metadaten, um zu bestimmen, ob das Ereignis und die Datei-Metadaten indikativ für das Vorhandensein zuvor unbekannter Schadsoftware sind; und (e) Durchführen einer Risikoanalyse und Risikobeurteilung, wobei diese Risikoanalyse und Risikobeurteilung die Konstruktion einer „Eltern-Kind“-Hierarchie auf der Grundlage des Aufrufs der Dateien umfasst, wobei das dem Elternteil zugeordnete Risiko auf dem Risiko beruht, das dem Kind zugeordnet wird.
  • Zusätzliche Merkmale und Vorteile der Erfindung sind in der folgenden Beschreibung dargelegt und werden zum Teil aus der Beschreibung deutlich oder können durch die praktische Anwendung der Erfindung erfahren werden. Die Vorteile der Erfindung werden durch die Struktur verwirklicht und erzielt, die in der schriftlichen Beschreibung und den Ansprüchen sowie den beigefügten Zeichnungen besonders hervorgehoben ist.
  • Es ist klar, dass sowohl die obenstehende allgemeine Beschreibung und die folgende ausführliche Beschreibung beispielhaft und erklärend sind und eine weitere Erläuterung der beanspruchten Erfindung bieten sollen.
  • Figurenliste
  • Die beigefügten Zeichnungen, die für ein weiteres Verständnis der Erfindung angehängt sind, bilden einen Teil dieser Beschreibung, illustrieren Ausführungsformen der Erfindung und dienen zusammen mit der Beschreibung zur Erläuterung der Prinzipien der Erfindung.
  • In den Zeichnungen zeigen:
    • 1 ein Flussdiagramm der Erfassung unbekannter Bedrohungen gemäß einer Ausführungsform der Erfindung;
    • 2 ein beispielhaftes DS-Diagramm (Download-Starter-Diagramm), das zur Identifikation einer unbekannten Bedrohungsart erstellt wurde;
    • 3 einen Baum beispielhafter Gewichtskoeffizienten, der als Ergebnis der Auswertung verschiedener Kriterien gemäß einer Ausführungsform der Erfindung erstellt wurde;
    • 4 ein Diagramm einer aggregierten Gewichtskalkulation gemäß einer Ausführungsform der Erfindung;
    • 5 eine Erzeugung neuer Kriterien gemäß einer Ausführungsform der Erfindung;
    • 6 den Datenfluss zwischen den verschiedenen Komponenten einer Ausführungsform der Erfindung;
    • 7 ein Schema eines beispielhaften Computersystems, auf dem die Anti-Schadsoftware-Erfindung implementiert sein kann.
  • Ausführliche Beschreibung der bevorzugten Ausführungsformen
  • Im Folgenden wird detailliert auf die bevorzugten Ausführungsformen der Erfindung eingegangen, von denen Beispiele in den beigefügten Zeichnungen dargestellt sind.
  • Offenbart wird ein System zum Erfassen der folgenden Kategorien zuvor unbekannter Schadsoftware:
    • • Schädliche Programme
    • • potenziell unerwünschte Programme
    • • Schädliche Websites
    • • Betrügerische Websites
    • • Über E-Mail, IM, öffentliche Netzwerke usw. übertragene Nachrichten, die schädliche Objekte oder Links zu solchen enthalten
    • • Übrige Arten von Computerbedrohungen wie internetbasierte Angriffe, unerwünschte Banner, unerwünschter Inhalt (Pomografie, Glücksspiel, Werbung mit Bezug auf Drogen und Alkohol) usw.
  • Das System verfolgt aus der Entfernung die von verschiedenen Anwendungen aufgerufenen Dateien, die auf dem Computer eines Benutzers ausgeführt werden, um die ausführbaren Dateien auf die Anwesenheit von Schadsoftware zu prüfen, und umgeht dadurch im Wesentlichen einen oder mehrere Nachteile des einschlägigen Stands der Technik.
  • Bei einer Ausführungsform der Erfindung ist ein System zum Erfassen unbekannter Bedrohungen vorgeschlagen. Ein beispielhaftes System kann einen Teil des Kaspersky-Sicherheitsnetzwerks KSN umfassen, wie es von Kaspersky Lab zur Verfügung gestellt und unterhalten wird, und mehrere Benutzer, die während der üblichen täglichen Nutzung ihrer jeweiligen Computer mit dem KSN verbunden sind.
  • Vor dem Verbinden mit dem KSN installiert jeder Benutzer auf seinem Computer ein Antivirusprogramm, das in einem Ausführungsbeispiel von Kaspersky Lab zur Verfügung gestellt wird. Das Antivirusprodukt operiert im Hintergrund und berichtet an das KSN über jede Aktivität, die potenziell schädlich für das Computersystem des Benutzers sein könnte. Diese Aktivität könnte ein Benutzer sein, der zum ersten Mal auf eine bestimmte Datei zugreift oder diese herunterlädt, oder eine ausführbare Datei, die auf dem Computer eines Benutzers aufgerufen wird, oder ein Benutzer, der eine Verbindung zu einer kaum bekannten Internetressource herstellt, beispielsweise einer Website, die schädliche Dateien verbreiten könnte usw.
  • Die vom dem KSN gesammelten Informationen umfassen Ereignisinformationen und Objektinformationen. Ereignisinformationen beschreiben bestimmte Ereignisarten, die auf den Computern entfernter Benutzer stattfinden, wie Fälle des Herunterladens von Objekten, des Ablegens von Objekten, der Dateiverlinkung und des Dateiaufrufs. Ereignisinformationen können auch statistische Daten im Zusammenhang mit dem Ereignis, der Namensstabilität der Objektquelle, der IP-Adressstabilität der Objektquelle, der Aktivität des Objekts und einiger Verhaltensmuster des Objekts im Zusammenhang mit dem Ereignis enthalten. Die von dem KSN gesammelten Objektinformationen umfassen Datei-Metadaten, die eine bestimmte Datei beschreiben, wie Dateiname, Dateierweiterung, Dateigröße, Dateiverlinkungsstatus, ob die Datei digital signiert ist, ob die Datei eine ausführbare Datei oder ein Download-Hilfsprogramm ist oder ob die Datei gepackt ist, eine Dateiquelle, die Datei-Aufruffrequenz, den Dateipfad, die URL, von der die Datei empfangen wurde, sowie einen Port, auf den die Datei zugreift. Bezüglich der gesammelten Informationen unterhält das KSN eine Wissensdatenbank (Whitelist oder WL) von Ereignissen und Objekten, von denen bekannt ist, dass sie unschädlich oder „sauber“ sind, oder von denen angenommen wird, dass eine Schädlichkeit unwahrscheinlich ist. Das KSN unterhält auch eine Wissensdatenbank (Blacklist oder BL) von Ereignissen und Objekten, deren Schädlichkeit bekannt ist oder für wahrscheinlich gehalten wird.
  • Das System ist auch fähig, Benutzer vor Links zu schädlichen URLs zu schützen, die durch Instant Messenger (IM) an den Benutzer gesandt werden. Auf der Grundlage der in den Datenbanken des KSN gespeicherten Informationen können bestimmte Kontakte, die IMs versenden, als nicht vertrauenswürdig beurteilt werden. Hypertext-Links, die durch IMs von nicht vertrauenswürdigen Kontakten empfangen werden, werden von dem System erfasst, und das System entscheidet, ob der Link von schädlicher Art ist, und setzt das Ziel des Links auf die Blacklist.
  • Ein High-Level-Flussdiagramm, das die Verarbeitung von Informationen beschreibt, die von den teilnehmenden Benutzern empfangen werden, ist in 1 dargestellt. Während der ersten Verarbeitungsstufe werden die eingehenden Informationen bezüglich verschiedener Ereignisse und Datei-Metadaten, die von den Benutzern berichtet werden, unter Verwendung der in den WL- und BL-Wissensdatenbanken gespeicherten Informationen gefiltert (Schritt 101). Der Filteralgorithmus prüft sowohl die WL als auch die BL auf Vorhandensein von Daten bezüglich der eingehenden Ereignisinformationen und Objektinformationen und filtert die bekannten Ereignisinformationen und Objektinformationen heraus.
  • Die übrigen Informationen werden von dem System verarbeitet, das eine Risikoanalyse und Risikobeurteilung für die übrigen Ereignisinformationen und die übrigen Datei-Metadaten durchführt, um zu bestimmen, ob das Ereignis und die Datei-Metadaten indikativ für das Vorhandensein zuvor unbekannter Schadsoftware sind. Die Risikoanalyse und Risikobeurteilung werden in Schritt 102 in Echtzeit durchgeführt. Die Risikoanalyse wird unter Verwendung verschiedener Kriterien und verschiedener Techniken durchgeführt, um Risiken zu bestimmen (beispielsweise ist eine URL-basierte Analyse ein Risikofaktor, die Dateigrößenanalyse ist ein weiterer Faktor, und so weiter). Die Risikobeurteilung wird durchgeführt, indem verschiedene Metriken aggregiert werden, um beispielsweise zu bestimmen, ob das Risiko hoch, mittel oder gering ist. Verschiedene Parameter wie Aktivität, Gefahr, Signifikanz werden berechnet und bei der Erzeugung eines Download-Starter-Graphs (DS-Graphs) in Schritt 103 verwendet.
  • Auf der Grundlage der Analyse des DS-Graphs entscheidet das System, ob ein Schadsoftware-Ereignis oder -objekt erfasst wurde. Wenn ein schädliches Objekt oder Ereignis entdeckt wurde, oder wenn bestimmt wurde, dass dies mit einem hohen Grad an Sicherheit der Fall ist, wird in Schritt 105A die BL mit den Informationen über diese zuvor unbekannte Bedrohung aktualisiert. Wenn jedoch bestimmt wird, dass die Ereignisinformationen oder Objektinformationen unschädlich sind, aktualisiert das System in Schritt 105B die WL entsprechend.
  • Ein Beispiel für einen DS-Graph, der in Schritt 103 von 1 erstellt wurde, ist in 2 dargestellt. In den letzten Jahren haben sich schädliche Programme mit dem Verhalten der Art eines Trojan-Droppers und eines Trojan-Downloaders stark verbreitet. Trojan-Dropper werden verwendet, um ohne Wissen des Benutzers andere Schadsoftware auf Opfercomputern zu installieren. Dropper installieren ihre Payload entweder ohne eine Benachrichtigung anzuzeigen, oder sie zeigen eine falsche Nachricht über einen Fehler in einer archivierten Datei oder im Betriebssystem an. Die neue Schadsoftware wird an einem bestimmten Ort auf einer lokalen Festplatte abgelegt und anschließend gestartet. Die Funktion des Droppers enthält einen Code, um alle Payload-Dateien zu installieren und auszuführen. Ein Trojan-Downloader lädt eine neue Schadsoftware oder Adware auf den Opfercomputer herunter und installiert sie. Der Downloader startet dann entweder die neue Schadsoftware oder registriert sie, um eine automatische Ausführung entsprechend den Anforderungen des lokalen Betriebssystems zu ermöglichen. All dies geschieht ohne Wissen oder Zustimmung des Benutzers. Die Namen und Orte der herunterzuladenden Schadsoftware sind entweder in dem Trojaner codiert oder werden von einer bestimmten Website oder einem anderem Internet-Ort heruntergeladen.
  • In einem Beispiel ruft ein Benutzer einen Browser auf und lädt die ausführbare Datei Tubecodec934.exe herunter. Dieses Ereignis wird an das KSN berichtet. Bei der Ausführung lädt Tubecodec934.exe mehrere andere Dateien herunter, und diese Ereignisse werden ebenfalls dem KSN berichtet. In diesem Fall ist Tubecodec934.exe „Elternteil“ für fünf Dateien: Svch0st.exe, Ntkrnl.dll, Calc.exe, 1.exe und Hosts.vbs, die „Kind“-Dateien von Tubecodec934.exe sind. Das System fährt fort mit einer Echtzeit-Risikoanalyse und -risikobeurteilung, die die Konstruktion einer „Eltern-Kind-Hierachie“ auf der Grundlage der Aufrufabfolge der Dateien umfasst. Das der „Eltern“-Datei zugeordnete Risiko beruht auf dem Risiko, das dem „Kind“ oder den „Kindern“ dieser Datei zugeordnet wird. In diesem Fall haben die KSN-Datenbanken keine Informationen über die ersten drei dieser Dateien, und die Analysemodule des KSN beginnen die Durchführung der Analyse dieser Dateien, um eine Gefahrenstufe zu beurteilen, die diesen Dateien zugeordnet wird. Um die unbekannten Bedrohungen zu erfassen, die von „Eltern“ und „Kindern“ dargestellt werden, baut das System eine Graphendarstellung analog zu der in 2 gezeigten auf.
  • Sobald der Graph aufgebaut ist, berechnet das System für jeden „Elternteil“ einen so genannten X-Faktor. Der X-Faktor definiert die Gefahrenstufe eines gegebenen „Elternteils“ und beruht auf den Daten über dessen „Kinder“. Der X-Faktor zeigt, zu welcher Art von Programmen ein gegebenes Objekt tendiert: beispielsweise zu Dateimanagern oder einem Trojan-Dropper, zu Browsern und legitimen Downloads oder zu einem Trojan-Downloader.
  • Ein weiteres Verfahren zum Beurteilen einer Gefahrenstufe einer gegebenen ausführbaren Datei besteht darin, das Verhältnis von „sauberen“ zu schädlichen Programmen, die die Datei aufruft, zu analysieren. Zum Beispiel wäre es für den Durchschnittsfachmann offensichtlich, dass die Datei „explorer.exe“, eine ausführbare Datei eines bekannten Browsers, mehr „saubere“ als schädliche Dateien aufruft und daher eine sehr niedrige Gefahrenstufe hat.
  • Das System berechnet auch Parameter, die die Aktivitätsstufe, den Gefahrengrad und die Signifikanz für jedes Element des Graphen beschreiben. Der Parameter „Signifikanz“ ist eine Funktion, die die Aktivitätsstufe und den Gefahrengrad eines Ereignisses berücksichtigt und wie folgt berechnet wird: Signifikanz = (Aktivität · Gefahr). Der Parameter „Aktivität“ wird auf der Grundlage der Daten berechnet, die die Zahl der Downloads oder die Zahl von Malen, die ein gegebenes Objekt über einen bestimmten Zeitraum aufgerufen wird, betreffen. Ein bestimmter Algorithmus wird verwendet, um diesen Parameter auf eine Form zu reduzieren, die für die Analyse geeignet ist.
  • Unter Verwendung dieses Algorithmus wird die „Aktivität“ der Objekte auf eine bestimmte Form einer Wahrscheinlichkeitsverteilung reduziert. Das ermöglicht eine Reduzierung der Signifikanz von Ereignissen, die vor langer Zeit stattgefunden haben, und eine Offenlegung der Abweichungstrends dieses Parameters.
  • Der Parameter „Aktivität“ wird wie folgt berechnet: Aktivität = Treffer · F(Δt), wobei „Treffer“ die Zahl der Downloads, Programmstarts, versuchten Angriffe aus dem Netz usw. ist und Δt die Zeitspanne seit dem Auftreten des letzten Ereignisses ist. Jedoch ist eine starke Aktivität eines Programms für sich genommen nicht unbedingt ein Indikator, dass dieses Programm schädlich ist, da der Aktivitätstrend auch berücksichtigt werden kann (s. Tabelle 1 unten).
  • Beispiele für „Aktivitäts“-Berechnungen, die von dem System durchgeführt werden, sind in Tabelle 1 angeführt. Tabelle 1. Aktivitätsberechnung und Trendanalyse
    # Treffer gesamt Anstieg Δt, min. Aktivität Trend
    10 10 0 10 Aufwärts
    25 15 15 27,5 Aufwärts
    80 55 15 68,75 Aufwärts
    165 85 15 129,38 Aufwärts
    245 80 15 138,69 Stabil
    316 71 15 140 Stabil
    336 20 15 92,7 Abwärts
    351 15 15 61,4 Abwärts
    352 1 105 19 Abwärts
    0 353 1 175 1,73 Abwärts
  • Der Parameter „Gefahr“ wird auf der Grundlage des so genannten Entscheidungsbaums von Gewichtskoeffizienten berechnet, deren Mehrheit sich dynamisch ändert, abhängig von den akkumulierten Informationen in der Wissensdatenbank. Ein Baum von Gewichtskoeffizienten ist ein Ergebnis von Tests verschiedener Kriterien, die im AntiVirus-Labor des Erfinders für verschiedene Arten erfasster Objekte entwickelt wurden.
  • Detaillierte Beispiele der Berechnung von „Gefahr“ sind unten angeführt.
  • Beispiel 1
  • In diesem Beispiel, das in 3 dargestellt ist, erhält das System eine Benachrichtigung, dass eine ausführbare Datei http:**soho.com.server91l1ch/us/us1.exe.jpg mit einem Hashwert MD5=0x12A91C1CB575D154BAA9AAD1759F6EC8 von einem Benutzer heruntergeladen wurde. Beim Verarbeiten dieser Nachricht baut das System als Teil der Risikoanalyse und Risikobeurteilung einen Entscheidungsbaum aus einer Vielzahl von Kriterien auf, wobei jedes Kriterium eine bestimmte Logik implementiert. Beispielsweise wird einem Kriterium aus der Gruppe der Tests, bei denen der Host-Name geprüft und das Vorhandensein einer Maskierung erfasst wird, das maximale Gewicht von 100 zugeordnet, da der Name des Hosts den Host von der Whitelist soho.com umfasst. Einem weiteren Kriterium, das auf das Vorhandensein doppelter Erweiterungen prüft, wird das Gewicht 92 zugeordnet, da diese ausführbare Datei zwei Erweiterungen aufweist, exe und jpg, und sich als beliebtes Bildformat tarnt.
  • Das maximale Gewicht wäre vergeben worden, wenn diese beiden Dateierweiterungen durch ein Leerzeichen getrennt gewesen wären.
  • Die „Gefahr“ des Objekts ist numerisch gleich dem Aggregat der Gewichtskoeffizienten des Entscheidungsbaums.
  • Beispiel 2
  • Das System erhält eine Benachrichtigung, dass eine ausführbare Datei heruntergeladen worden ist. Wenn dies die erste Nachricht ist, die sich auf dieses Objekt bezieht, baut das System einen Entscheidungsbaum auf.
  • Betrachtet wird ein Zweig der Kriterien, die für die Analyse der URL verantwortlich sind. Es wird angenommen, dass das URL-Feld des empfangenen Datenpakets URL = http:**yahoo.com.server911.ch/us/us^;2.exe.jpg ist. Jeder Teil dieser URL-Zeichenfolge (Domainname, Host, Dateiname, Port usw.) wird unter Verwendung eines spezifischen Kriteriums analysiert, was zu dem in 4 gezeigten Entscheidungsbaum führt.
  • Bei der Aufschlüsselung des Host-Namens (yahoo.com.server911.ch) identifiziert das System einen Versuch der URL, sich als Domain von der Whitelist, „yahoo.com“ zu maskieren. Dem Kriterium 3.1.1.1 wird ein Gewicht von 80 zugeordnet.
  • Der Teil des Strings „Server911.ch“ stimmt mit keiner bekannten Domain überein, und daher ist das Gewicht des Kriteriums „Ähnlichkeit mit SoundEX-Algorithmus“ gleich 0.
  • Das resultierende Gewicht des Kriteriums „(Maskierender) Name“ W3.1.1 = F(w3.1.1.1, W3.1.1.2) = 80.
  • Jedesmal, wenn eine Internet-Ressource oder neue Domain registriert wird, ist der Registrierende verpflichtet, bestimmte Informationen zur Verfügung zu stellen, wie eine E-Mail-Adresse und zusätzliche Pflichtinformationen. Diese Registrierungsinformationen können von dem KSN verwendet werden, um die Ressourcen zu identifizieren, die Schadsoftware verbreiten. Das System prüft, ob es eine Geschichte der Verbreitung schädlicher Dateien im Zusammenhang mit der E-Mail-Adresse des Registrierenden gibt. Obgleich in einigen Fällen die E-Mail-Adressen fiktiv sein können, verlangen die meisten Registrierungsbehörden die Verifizierung der E-Mail-Adresse vor dem Registrieren der Ressource.
  • Das System prüft auch die Lebensdauer der Ressource. Viele Urheber schädlicher Software nutzen kostenlose Testzeiträume, die von Registrierungsbehörden angeboten werden. Sie registrieren viele Websites gleichzeitig, lenken so viel Verkehr wie möglich auf diese Websites um und verbreiten so viel Schadsoftware wie möglich, bis der kostenlose Testzeitraum endet und die Websites automatisch geschlossen werden.
  • Einige Registrierungsbehörden bieten eine Proxy-Domain-Registrierung durch die Behörde selbst an, und das KSN benutzt „Proxy-Registrierung“ als Indikator, dass die Domain mit schädlichen Websites in Zusammenhang stehen könnte.
  • Durch Erhalt der Registrierungsinformationen von dem Dienst WhoIs (oder ähnlichen Diensten) kann das System bestimmen, dass diese Domain erst seit 6 Tagen existiert und während dieser Zeit der Name des Servers und die IP-Adresse dreimal geändert wurden. Diese Art des Verhaltens ist charakteristisch für schädliche Websites, und dementsprechend werden den Kriterien „Stabilität des Nameservers“ und „Stabilität der IP-Adresse“ jeweils die Gewichte 70 und 75 zugeordnet.
  • Das resultierende Gewicht des Kriteriums „WhoIs-Information“ ist gleich W3.1.2 = F(w3.1.2.2, w3.1.2.3) = 87. Das System berechnet anschließend das aggregierte Gewicht für „Host-Name“: W3.1 = F(W3.1.1,W3.1.2) = 93.
  • Der Dateiname „us^;2“ ist nicht beliebt, weder bei schädlichen Programmen noch bei sauberen Dateien. Daher leistet das Kriterium (3.1.1.2) keinerlei Beitrag zu dem aggregierten Gewicht. Das Vorhandensein der Zeichenkette „^;“ im Namen der Datei ist nicht typisch für saubere Objekte und deutet auf eine zufällige Generierung eines Dateinamens hin. Daher wird dem Kriterium 3.2.2 ein Gewicht von 43 zugeordnet.
  • Die Summe der Kriterien für das Testen der maskierten Erweiterungen (3.2.3.1.1 und 3.2.3.1.2) hat ein Gewicht von 92. Die geprüfte Datei ist eine ausführbare Datei und weist zwei Erweiterungen auf (3.2.3.1.1). Weiterhin zeigt die zweite Erweiterung jpg einen Versuch an, die Datei als Bilddatei zu maskieren. Der maximale Gewichtswert würde erreicht, wenn die beiden Erweiterungen durch ein Leerzeichen getrennt wären. Das Objekt weist eine Erweiterung auf, und daher ist das Gewicht des Kriteriums „Fehlende Erweiterung“ gleich null. Auf der Grundlage des Obenstehenden ist das aggregierte Gewicht aller Kriterien, die den Dateinamen beurteilen, W3.2 = 95.
  • In diesem Fall ist der Port nicht spezifiziert, was bedeutet, dass ein Standard-http-Protokoll-Port verwendet wird, der nicht verdächtig ist. Daher ist das Gewicht W3.3 des Kriteriums „Port“ gleich null.
  • Der resultierende Wert für das Kriterium „Analyse der URL-Zeichenfolge“ W3 = F(w3.1, w3.2, w3.3) = 98 und zeigt an, dass die Wahrscheinlichkeit, dass diese URL ein schädliches Objekt aufweist, 0,98 oder 98% ist.
  • Beispiel 3
  • Unter Bezugnahme auf 4 wird ein weiteres Beispiel der Berechnung von „Gefahr“ betrachtet. Das System empfängt eine Benachrichtigung, dass eine ausführbare Datei, die als der Trojan-Downloader Win32.Agent.yyy identifiziert wurde, von einer Domain heruntergeladen wurde, die in der Whitelist gelistet ist. Um diesen Konflikt zu lösen, baut das System einen Entscheidungsbaum auf.
  • Im Folgenden werden zusätzliche Einzelheiten für einen Zweig der Kriterien beschrieben, die für die Analyse der URL verantwortlich sind. Angenommen, das URL-Feld des empfangenen Datenpakets ist URL = http:**www.nokia.com/files/support/nseries/phones/software/Nokia_Lifeblog-2_5_224-en-u k.exe. Jeder Teil dieser URL-Zeichenfolge (Domain-Name, Host-Name, Dateiname, Port usw.) wird unter Verwendung eines bestimmten Kriteriums analysiert.
  • Bei der Aufschlüsselung des Host-Namens http:**www.nokia.com bestimmt das System, dass kein Versuch vorliegt, die Domain als Domain der Whitelist zu maskieren. Daher haben die Kriterien 3.1.1.1 und 3.1.1.2 ein Gewicht von null, was zu einem aggregierten Gewicht für das Kriterium „maskierender Name“ von W3.1.1 = F(W3.1.1.1, W3.1.1.2) = 0 führt.
  • Bei Erhalt der Registrierungs-Informationen von dem Dienst Whols bestimmt das System, dass diese Domain seit 18 Jahren existiert und während dieser Zeit der Nameserver nie geändert wurde und die IP-Adresse einmal in den vergangenen 4 Jahren geändert wurde. Diese Art des Verhaltens ist charakteristisch für saubere Websites, und dementsprechend werden den Kriterien „Stabilität des Nameservers“ und „Stabilität der IP-Adresse“ jeweils die Gewichte 0 und 1 zugeordnet.
  • Das resultierende Gewicht des Kriteriums „Whols-Information“ ist gleich W3.1.2 = F(W3.1.2.2, W3.1.2.3) = 1. Das System berechnet anschließend das aggregierte Gewicht für „Host-Name“: W3.1 = F(W3.1.1, W3.1.2) = 1.
  • Der Dateiname „Nokia_Lifeblog_2_5_224_en_uk“ ist nicht beliebt bei schädlichen Programmen. Aus diesem Grund liefert das Kriterium (3.1.1.2) keinerlei Beitrag zu dem aggregierten Gewicht.
  • Der Dateiname umfasst Zeichen, die keinen Verdacht erregen. Die Wörter, die den Dateinamen bilden, haben eine Bedeutung und kommen in Namen „sauberer“ Programme vor. Daher ist das Gewicht des Kriteriums 3.2.2 gleich null.
  • Das aggregierte Gewicht der Kriterien für das Testen der maskierten Erweiterungen (3.2.3.1.1 und 3.2.3.1.2) hat einen Wert von 0, da die analysierte Datei ausführbar ist und eine typische Erweiterung hat - exe für ausführbare Dateien. Daher ist W3.2.3.1.1 = 0. Das Objekt weist eine Erweiterung auf, und daher ist das Gewicht des Kriteriums „Fehlende Erweiterung“ gleich null.
  • Auf der Grundlage des Obenstehenden ist das aggregierte Gewicht aller Kriterien zur Beurteilung des Dateinamens W3.2 = 0.
  • Der Port ist nicht spezifiziert. Das bedeutet, dass ein Standard-HTTP-Protokoll-Port verwendet wird, der nicht verdächtig ist. Daher ist das Gewicht W3.3 des Kriteriums „Port“ gleich null.
  • Das resultierende Gewicht für das Kriterium „Analyse der URL-Zeichenfolge“ W3 = F (W3.1, W3.2, W3.3) = 1 zeigt an, dass die Wahrscheinlichkeit, dass diese URL ein schädliches Objekt aufweist, zu vernachlässigen ist.
  • Es ist offensichtlich, dass die übrigen Kriterien des Entscheidungsbaums ebenfalls das minimale Gewicht haben. Die Situation wird als falscher Alarm eingestuft, und das System korrigiert automatisch die Antivirus-Wissensdatenbanken.
  • Der Entscheidungsbaum kann einfach durch Hinzufügen neuer Kriterien erweitert werden, die die Angemessenheit der von dem System getroffenen Entscheidungen verbessern. Dieses Merkmal der Erfindung ist in Beispiel 4 beschrieben und in 5 gezeigt.
  • Beispiel 4
  • Eine Aktualisierung des Systems zum Sammeln statistischer Informationen ist beendet. Das System beginnt, neue Informationen bezüglich des Verhaltens verschiedener Objekte in dem System zu empfangen. Eine Hinzufügung der beiden neuen Kriterien „Treiber-Installation“ und „Direktes Schreiben auf Platte“ führen zu einer Modifizierung des Entscheidungsbaums, hervorgehoben in 5.
  • Nach dieser Modifizierung des Entscheidungsbaums ändert sich das Maximalgewicht des Kriteriums 5.3 nicht. Dieses Kriterium wird jedoch informativer und präziser, was wiederum die Qualität der Entscheidungen positiv beeinflusst.
  • Das Folgende sind mehrere Beispiele der Kriterien, die das System zum Analysieren der eingehenden Informationen verwendet:
    1. 1) Verhältnis von sauberen zu infizierten Dateien, die von einem gegebenen Archivierungsprogramm gepackt werden. Es wird angenommen, dass in einem Strom von Benachrichtigungen das System die Information bezüglich 200 infizierter und 5 sauberer Dateien bekommt, die von einem Packer X komprimiert wurden. Das entscheidendungstreffende Unterstützungs-Subsystem (DSS, „http://en.wikipedia.org/wiki/Decision_support_system“) kommt zu dem Schluss, dass der Packer X meistens verwendet wird, um schädliche Dateien zu packen. Je infizierter Dateien sind, die das System in dem eingehenden Strom empfängt und die unter Verwendung des Packers X gepackt wurden, desto höher die Gefahrenstufe, die den Dateien zugeordnet wird, die unter Verwendung des Packers X gepackt wurden. Es ist zu beachten, dass dies auch für die Dateien gilt, die nicht von dem beschriebenen System erfasst werden. Das System berücksichtigt auch andere relevante Informationen über die Dateipacker: Open-Source oder kommerziell verkaufte, durch eine angesehene Software-Entwicklungsfirma digital signierte oder unsignierte, individuell entwickelte Archivierungssoftware. Das System ist intelligent genug, nicht automatisch einen Host auf die Blacklist zu setzen, von dem ein oder zwei schädliche Programme heruntergeladen wurden. Was zählt, ist das Verhältnis von „sauberen“ zu schädlichen Dateien, die von einem bestimmten Host verteilt werden. Beispielsweise setzt das System einen Host mail.google.com nicht automatisch auf die Blacklist, nachdem ein Benutzer in seiner E-Mail neben vielen anderen „sauberen“ Nachrichten einen Virus erhalten hat, der von diesem Host ausging. Wenn sich andererseits das Verhältnis von „sauberen“ zu schädlichen Dateien, die von einem bestimmten Host empfangen werden, zu der Seite der schädlichen Dateien neigt, schließt das System daraus, dass der Host hauptsächlich der Verteilung von Schadsoftware dient.
    2. 2) Schätzung des Auftretens bestimmter Wörter in den Namen der Dateiobjekte. Das System extrahiert aus den Namen der Dateien die Wörter, die bei schädlichen Objekten am häufigsten vorkommen. Wenn eines dieser Wörter in dem Namen eines Dateiobjekts vorkommt, wird dem zugehörigen Kriterium das entsprechende Gewicht zugeordnet.
    3. 3) Ein weiteres Beispiel ist eine Datei mit mehreren Erweiterungen, wobei die erste nach dem Dateinamen eine bekannte, nicht ausführbare, aber beliebte Erweiterung ist, gefolgt von einer Reihe von Leerzeichen. Dies ist ein Beispiel eines Dateinamens, wobei dem Kriterium des Dateinamens das maximale Gewicht zugeordnet wird: „Sex_Girls.avi .exe“.
    4. 4) Ein wirksames Kriterium zur Erfassung von schädlichen Objekten beruht auf der Erfassung derselben Datei unter einer Vielzahl unterschiedlicher Namen. Dies ist typisch für schädliche Objekte, die von dem System empfangen werden, wenn die Namen dieser Objekte zufällig generiert wurden. Bei der Durchführung der Analyse eliminiert das System die temporären Dateien aus der Auswahl, da ein solches Verhalten charakteristisch für temporäre Systemdateien ist. Um diese Eliminierung zu implementieren, verwendet das System die Verlinkungsdaten und Dateierstellungsdaten von dem Computer des Benutzers wie folgt:
      • • Wenn sich die Datei nicht in einem temporären Verzeichnis befindet und oft unterschiedliche Namen hat, wird dieses Verhalten als verdächtig eingestuft.
      • • Unabhängig von dem Verzeichnis, in dem sich die Datei befindet, wird es ebenfalls als verdächtig eingestuft, wenn der Verlinkungsstatus der Datei „kürzlich verlinkt“ ist. Das Verlinkungsdatum ist das Datum, an dem eine exe-Datei aus einer obj-Datei erstellt wurde. Das Verlinkungsdatum ist eine Aufzeichnung in dem Dateikopf, und das Antivirus-Programm sammelt diese Information aus dem Dateikopf und leitet sie an das KSN weiter.
    5. 5) Die Datei ist ausführbar, hat aber eine „maskierende“ Erweiterung oder gar keine Erweiterung. Es gibt eine Vielzahl schädlicher Programme, die mit nicht ausführbaren Dateierweiterungen wie jpg, bmp, avi, mp3, doc, xls, txt, css usw. oder ganz ohne Erweiterungen auf verschiedenen Hosts platziert werden. Selbst wenn die Firewall des Benutzers eingeschaltet ist, generiert sie keinen Alarm, während einige Programme ein „Bild“ oder „Musik“ herunterladen. Einige Hosting-Dienste verbieten das Hochladen ausführbarer Dateien, und die beschriebenen Tricks zur Maskierung der Dateierweiterung werden verwendet, um diese Restriktionen zu umgehen.
    6. 6) Ein schädliches Objekt trägt einen Namen einer Windows-Systemdatei (zum Beispiel explorer.exe), ist aber nicht aus dem Ordner gestartet worden, der sich in dem Betriebssystem befinden soll.
  • Ähnliche Kriterien wurden für andere Arten von Objekten entwickelt, die das System analysiert. Alle gefährlichen Ereignisse werden zur weiteren Analyse an das System weitergeleitet. Anschließend verwendet das System einen Entscheidungsbaum, um eine Entscheidung bezüglich der nachfolgenden automatischen Erfassung des Objekts zu treffen.
  • Die Informationen über Ereignisse mit hoher Aktivitätsstufe, aber niedriger Gefahrenstufe wird zur Analyse an den Whitelist-Dienst weitergeleitet, um die Daten zu ergänzen, die in der Wissensdatenbank über saubere Objekte gespeichert sind. Wenn sie sich auf der Whitelist befinden, kann das bedeuten, dass die Quelle der Software oder die Art der Software so ist, dass sie wahrscheinlich keinen Virus enthält, so dass keine weiteren Prüfungen nötig sind; in diesem Fall kann der Rest des Antivirus-Scans auf die einfachere Variante beschränkt werden. Wenn die Software weder auf der Blacklist noch auf der Whitelist steht, sollte dem Benutzer empfohlen werden, einen Scan mit allen verfügbaren Techniken durchzuführen.
  • Wenn sie sich auf einer Blacklist befindet, bedeutet das andererseits, dass die neu heruntergeladene Software mit relativ hoher Wahrscheinlichkeit einen Virus enthält, entweder weil die Quelle der Software a priori als Quelle von Schadsoftware bekannt ist, oder weil diese Software früher oft infiziert war, oder aus anderen Gründen.
  • Das System führt kontinuierlich eine Effizienzeinschätzung aller von ihm verwendeten Risikobeurteilungskriterien durch. Die Genauigkeit der Risikobeurteilungskriterien wird anhand der zuvor durchgeführten Risikobeurteilung und empirischen Auswertung der erreichten Genauigkeit dynamisch angepasst. Andere Techniken, die während der Risikoanalyse und -beurteilung verwendet werden, sind verschiedene heuristische Erfassungsalgorithmen, statistische Analyse und Erstellung und Auswertung von kombinierten Risikobeurteilungskriterien. Die Entscheidungen des DSS-Systems werden regelmäßig in einer multidimensionalen Datenbank zur Einschätzung der Effizienz jedes dieser Kriterien verarbeitet (welchen dieser Kriterien sollte stärker vertraut werden, welche dieser Kriterien brauchen korrigierende Einstellungen usw.) Dieses Verarbeiten und verschiedene Datenströme, die durch die Hauptkomponenten des Systems zirkulieren, was die Rückkopplung illustriert, die immer zwischen den Daten in einem Strom von Ereignissen und den Daten in dem Expertensystem (Inferenzmaschine) aufrechterhalten wird, sind in 6 gezeigt. Der Rohdatenstrom 602, der von den Benutzern durch die Schutzmodule 601 gesammelt wird, wird zu der Echtzeit-Verarbeitungsdatenbank 603 geleitet. Die verarbeiteten statistischen Informationen 605 werden an die Verzögerte-Analyse-Datenbank 604 geleitet. Die Verzögerte-Analyse-Datenbank 604 leitet die zusätzlichen Informationsverarbeitungskriterien 606 und die korrekten Informationen 607 an die Echtzeit-Verarbeitungsdatenbank 603 zurück.
  • Es existiert ein bidirektionaler Informationsfluss (Ströme 608 und 609) zwischen der Echtzeit-Verarbeitungsdatenbank 603 und dem Whitelist-Dienst 610. Die Informationen über unbekannte schädliche Objekte 613 werden von der Echtzeit-Verarbeitungsdatenbank 603 an das Erfassungssystem 612 weitergeleitet. Das Erfassungssystem 612 führt eine automatische Informationsverarbeitung oder die Dienste menschlicher Analysefachleute (Analysten) durch, um die Informationen zu verarbeiten, die über die unbekannten schädlichen Objekte 613 empfangen werden. Die resultierende Einschätzung der Wirksamkeit der Kriterien (Strom 611) wird an die Verzögerte-Analyse-Datenbank 604 weitergeleitet, um ihre Verarbeitungskapazitäten zu erhöhen. Das Erfassungssystem 612 leitet die Aufzeichnungen (Strom 614) erfasster Bedrohungen an die Antivirus-Aufzeichnungs-Datenbank 615 weiter. Von der Antivirus-Aufzeichnungs-Datenbank 615 (Blacklist-Dienst) werden die Antivirusmodul-Aufzeichnungen 616 an die Schutzmodule 601 weitergeleitet. Falsche Positive eines gegebenen Kriteriums werden als Rückmeldung zur Verbesserung des Systems verwendet und führen zu einer Reduzierung der relativen Signifikanz eines Kriteriums, das viele falsche Positive generiert.
  • Die Wissensdatenbanken erzeugen auch zusätzliche Informationen, die bei den komplexen kombinierten Kriterien verwendet werden, beispielsweise für eine antizipatorische (vorausschauende) Suche nach schädlichen Internetressourcen.
  • Die obenstehenden Beispiele zeigen deutlich, wie die Erfindung die Nachteile des bestehenden Stands der Technik umgeht. Die existierende Antivirus-Software analysiert den Inhalt schädlicher Software, nachdem der Schaden bereits entstanden ist, oder nachdem die Schadsoftware identifiziert wurde und zu einer bekannten Bedrohung geworden ist. Stunden oder Tage können von dem Zeitpunkt vergehen, an dem die Schadsoftware freigegeben wird, bis Fachleute eine Chance haben, eine Datei zu erhalten, ihren Inhalt zu analysieren, ein Gegenmittel zu erzeugen, um sie von bereits infizierten Computern zu entfernen, und dieses an Benutzer zu verteilen, um noch nicht infizierte Computer zu schützen. Während dieser Zeit kann sich das schädliche Programm auf Millionen von Computern weltweit verbreiten.
  • Andererseits führt das vorgeschlagene System eine Erfassung unbekannter Bedrohungen automatisch und in Echtzeit durch, aufgrund bestimmter Informationen über ausführbare Dateien (wie Herkunft, Dateiname, Dateierweiterung(en), Dateigröße usw.), Internetressourcen (wie Lebensdauer, Aktivität usw.) oder verwandte Ereignisse. Das System identifiziert die unbekannten Bedrohungen nicht nur anhand der Inhalte der Datei, sondern auch auf der Grundlage statistischer Informationen, die von Millionen von Benutzern gesammelt werden. Es ist zu beachten, dass das KSN keine privaten Informationen über den Benutzer sammelt, gemäß den Bestimmungen der Nutzungsvereinbarung.
  • Sobald eine Datei zu der Blacklist hinzugefügt wurde, beginnt die auf dem Computer des Benutzers installierte Antivirus-Software, das Objekt als schädlich zu erfassen und den Computer des Benutzers vor diesem schädlichen Objekt zu schützen. Der Benutzer wird von dem Antivirus-Programm benachrichtigt, dass schädliche Software erfasst wurde. Die Antivirus-Software blockiert auch den Zugang des Benutzers zu Domains und URLs, die auf die Blacklist gesetzt wurden. Bezüglich Domains berechnet das System auch einen Parameter mit Namen „Reputation“, der einem Benutzer einen Grad der Gefahr zeigt, die dem Zugriff auf eine gegebene Internetressource zugeordnet wird.
  • Das erfindungsgemäße System ist zu einer mehrstufigen Analyse fähig. Einige Dateien, Ereignisse und Ressourcen werden als Ergebnis der automatischen Maschinenanalyse auf die Whitelist und die Blacklist gesetzt. Die übrigen Dateien können während der nachfolgenden Analyse der zweiten Stufe mit Hilfe eines menschlichen Analysten, seines Wissens und seiner Erfahrung analysiert werden. Das Ergebnis der menschlichen Analyse wird zu der Expertensystem-Wissensdatenbank hinzugefügt, die Whitelists und Blacklists unterhält, und die Maschinenanalyse und die menschliche Analyse können zusammenwirken und einander ergänzen, um die Genauigkeit der Erfassung unbekannter Bedrohungen zu verbessern.
  • Es ist klar, dass andere Formen der Erfassung für verschiedene andere Arten von Viren ebenfalls in Betracht gezogen werden. Beispielsweise können Viren mit verzögerter Aktivierung nicht nur anhand des Verhaltens erfasst werden, sondern auch anhand ihres Standorts in dem System, des Vorhandenseins einer digitalen Signatur, des Vorhandenseins einer Verpackung usw. Für solche Fälle kann der DS-Graph korrigiert werden, falls erforderlich.
  • Sobald ein Objekt auf die Blacklist gesetzt wurde, wird es anschließend von verschiedenen Antivirus-/Antispam-/Antischadsoftware-Programmen als schädlich erkannt und kann entfernt oder blockiert werden (im Fall einer URL). Der Benutzer kann über die Entdeckung eines schädlichen Objekts auf seinem Computer informiert werden. Allgemein ist eines der Ziele, die Zahl der korrekten Erfassungen von schädlichen Objekten zu erhöhen und die Zeit zu reduzieren, die zur Erkennung schädlicher Objekte benötigt wird.
  • Wie in 7 gezeigt, umfasst ein beispielhaftes System zum Implementieren der Erfindung eine Mehrzweck-Recheneinrichtung in Form eines Personalcomputers oder Servers 20 oder Ähnlichem, umfassend eine Verarbeitungseinheit 21, einen Systemspeicher 22 und einen Systembus 23, der verschiedene Systemkomponenten miteinander verbindet, darunter den Systemspeicher mit der Verarbeitungseinheit 21. Der Systembus 23 kann eine von mehreren Arten von Busstrukturen sein, darunter ein Speicherbus oder ein Speicher-Controller, ein Peripheriebus und ein lokaler Bus, wobei eine beliebige aus einer Vielzahl von Busarchitekturen verwendet wird. Der Systemspeicher umfasst einen permanenten Speicher (ROM) 24 und einen Arbeitsspeicher (RAM) 25. Ein Eingabe-/Ausgabesystem 26 (BIOS), das die Grundroutinen enthält, die helfen, Informationen zwischen den Elementen innerhalb des Personalcomputers 20 zu übertragen, beispielsweise beim Hochfahren, ist in dem ROM 24 gespeichert.
  • Der Personalcomputer 20 kann weiterhin ein Festplattenlaufwerk 27 zum Lesen aus und Schreiben auf einer Festplatte, nicht gezeigt, ein Magnetplattenlaufwerk 28 zum Lesen aus oder Schreiben auf einer entfernbaren Magnetplatte 29 sowie ein optisches Laufwerk 30 zum Lesen aus oder Schreiben auf einer entfernbaren optischen Platte 31 wie einer CD-ROM, DVD-ROM oder anderen optischen Medien umfassen. Das Festplattenlaufwerk 27, das Magnetplattenlaufwerk 28 und das optische Laufwerk 30 sind jeweils über eine Festplattenschnittstelle 32, eine Magnetplattenschnittstelle 33 und eine Schnittstelle 34 des optischen Laufwerks mit dem Systembus 23 verbunden. Die Laufwerke und die damit zusammenhängenden computerlesbaren Medien bieten eine nichtflüchtige Speicherung von computerlesbaren Instruktionen, Datenstrukturen, Programmmodulen/Subroutinen, wobei jeder der oben beschriebenen Schritte ein separates Modul sein kann oder mehrere Schritte zu einem einzigen Modul zusammengefasst sein können, und anderen Daten für den Personalcomputer 20. Obgleich die hier beschriebene beispielhafte Umgebung eine Festplatte, eine entfernbare Magnetplatte 29 und eine entfernbare optische Platte 31 verwendet, wird dem Fachmann klar sein, dass andere Arten computerlesbarer Medien, die Daten speichern können, auf die ein Computer Zugriff hat, wie Magnetcassetten, Flash-Speicherkarten, digitale Videoplatten, Bernoulli-Laufwerke, Arbeitsspeicher (RAMs), permanente Speicher (ROMs) und Ähnliches auch in der beispielhaften Betriebsumgebung verwendet werden können.
  • Mehrere Programmmodule können auf der Festplatte, einer Magnetplatte 29, einer optischen Platte 31, einem ROM 24 oder einem RAM 25 gespeichert sein, darunter ein Betriebssystem 35. Der Computer 20 umfasst ein Dateisystem 36, das mit dem Betriebssystem 35 in Verbindung steht oder von diesem umfasst wird, ein oder mehrere Anwendungsprogramme 37, andere Programmmodule 38 und Programmdaten 39. Ein Benutzer kann durch Eingabeeinrichtungen wie eine Tastatur 40 und eine Zeigereinrichtung 42 Befehle und Informationen in den Personalcomputer 20 eingeben. Andere Eingabeeinrichtungen (nicht gezeigt) können ein Mikrofon, einen Joystick, eine Spielkonsole, eine Satellitenschüssel, einen Scanner oder Ähnliches umfassen. Diese und andere Eingabeeinrichtungen sind oft über eine serielle Schnittstelle 46, die mit dem Systembus verbunden ist, mit der Verarbeitungseinheit 21 verbunden, und können durch andere Schnittstellen wie einen parallelen Port, einen Gameport oder einen universellen seriellen Bus (USB) verbunden sein. Ein Monitor 47 oder eine andere Art Anzeigeeinrichtung ist ebenfalls über eine Schnittstelle wie einen Videoadapter 48 mit dem Systembus 23 verbunden. Zusätzlich zu dem Monitor 47 umfassen Personalcomputer typischerweise andere periphere Ausgabeeinrichtungen (nicht gezeigt), wie Lautsprecher und Drucker.
  • Der Personalcomputer 20 kann in einer vernetzten Umgebung operieren und logische Verbindungen zu einem oder mehreren entfernten Computern 49 nutzen. Der entfernte Computer (oder die entfernten Computer) 49 kann durch einen anderen Personalcomputer, einen Server, einen Router, einen Netzwerk-PC, ein Partnergerät oder einen anderen üblichen Netzwerkknoten repräsentiert sein und umfasst viele oder alle Elemente, die mit Bezug auf den Personalcomputer 20 beschrieben wurden, obwohl nur eine Speichereinrichtung 50 dargestellt ist. Die logischen Verbindungen umfassen ein lokales Netzwerk (LAN) 51 und ein Weitverkehrs-Netzwerk (WAN) 52. Solche Netzwerkumgebungen sind üblich in Büros, unternehmensweiten Computernetzwerken, Intranets und dem Internet.
  • Wenn er in einer LAN-Netzwerkumgebung verwendet wird, ist der Personalcomputer 20 durch eine Netzwerkschnittstelle oder einen Adapter 53 an das lokale Netzwerk 51 angeschlossen. In einer WAN-Netzwerkumgebung umfasst der Personalcomputer 20 typischerweise ein Modem 54 oder andere Mittel zum Herstellen von Kommunikation über ein Weitverkehrs-Netzwerk 52 wie das Internet. Das Modem 54, das entweder intern oder extern sein kann, ist über die serielle Schnittstelle 46 mit dem Systembus 23 verbunden. In einer vernetzten Umgebung können die Programmmodule, die mit Bezug auf den Personalcomputer 20 dargestellt sind, oder Abschnitte davon in der entfernten Speichereinrichtung gespeichert sein. Es ist klar, dass die gezeigten Netzwerkverbindungen beispielhaft sind und andere Mittel zum Herstellen einer Kommunikationsverbindung zwischen den Computern verwendet werden können.
  • Nach dieser Beschreibung einer bevorzugten Ausführungsform wird dem Fachmann klar sein, dass bestimmte Vorteile der beschriebenen Vorrichtung erzielt werden können.
  • Das erfindungsgemäße System zum Erfassen unbekannter Schadsoftware kann in den folgenden Verfahren angewandt werden:
    1. a) Computerimplementiertes Verfahren zum Erfassen unbekannter Schadsoftware, wobei das Verfahren umfasst:
      • (aa) Empfangen von Metadaten-Informationen über Dateien, die auf einem entfernten Computer ausgeführt werden, und Informationen über Ausführungsereignisse der Dateien, einschließlich Informationen über an den Dateien durchgeführte Aktionen;
      • (bb) Herausfiltern bekannter Metadaten-Informationen und bekannter Informationen über Ereignisse auf der Grundlage von Informationen, die in Whitelist- und Blacklist-Wissensdatenbanken gespeichert sind; gekennzeichnet durch
      • (cc) Bestimmen einer Aufrufabfolge der Dateien auf der Grundlage der Informationen über Ereignisse der Dateiausführung, einschließlich wenigstens von Ereignissen des Herunterladens, des Ablegens, der Verlinkung und des Aufrufs von Dateien;
      • (dd) Konstruieren einer Eltern-Kind-Hierarchie auf der Grundlage der Aufrufabfolge der Dateien, wobei die Eltern-Kind-Hierarchie Eltern-Kind-Beziehungen zwischen den Dateien beschreibt;
      • (ee) Durchführen einer Risikoanalyse der Dateien auf der Grundlage der empfangenen, nicht gefilterten Informationen und wenigstens teilweise auf der Grundlage eines der folgenden Kriterien: Statistik der Ausführungsereignisse jeder Datei, Namensstabilität der Dateiquelle, Adressstabilität der Dateiquelle, Aktivität der Datei und ein Verhaltensmuster der Datei;
      • (ff) Durchführen einer Risikoanalyse der Dateien auf der Grundlage der Eltern-Kind-Hierarchie, um eine Gefahrenstufe der verwandten Dateien zu bestimmen, wobei ein Risiko, das einer Eltern-Datei zugeordnet wird, wenigstens teilweise auf dem Risiko beruht, das einer oder mehreren Kinder-Dateien der Eltern-Datei zugeordnet wird; und (gg) Bestimmen, ob die Dateien schädlich sind, auf der Grundlage der Risikoanalyse und Risikobeurteilung, wobei die Risikoanalyse einer Datei auf der Berechnung einer Aktivitätssufe der Datei („Aktivitäts“-Parameter), einer Gefahrenstufe der Datei („Gefahr“-Parameter) und einer Signifikanz für die Datei („Signifikanz“-Parameter) beruht, wobei der Signifikanz-Parameter als Signifikanz = (Aktivität · Gefahr) berechnet wird, und wobei der Gefahr-Parameter auf der Grundlage eines Entscheidungsbaums von Gewichtskoeffizienten berechnet wird, der für die bei der Risikoanalyse der Datei verwendeten Kriterien aufgebaut wird.
    2. b) Verfahren nach Absatz a), wobei die Risikobeurteilung weiterhin das Aggregieren von Werten der berechneten Kriterien umfasst, um zu bestimmen, ob das Risiko der Datei hoch, mittel oder niedrig ist.
    3. c) Verfahren nach Absatz a), wobei das Durchführen der Risikobeurteilung einer Datei weiterhin das Bestimmen eines Verhältnisses von sauberen zu schädlichen Programmen, die die Datei aufruft, umfasst.
    4. d) Verfahren nach Absatz a), wobei eine Mehrheit der Gewichtskoeffizienten sich dynamisch ändert, abhängig von den akkumulierten Informationen in den Wissensdatenbanken.
    5. e) Verfahren nach Absatz a), wobei die folgenden weiteren Kriterien verwendet werden: Maskieren eines Namens, Maskieren einer Dateierweiterung, Fehlen einer Dateierweiterung, und/oder Syntax des Dateinamens.
    6. f) Verfahren nach Absatz a), wobei der Aktivitäts-Parameter auf der Grundlage einer Zahl von Downloads oder einer Zahl von Malen, die eine gegebene Datei über einen bestimmten Zeitraum aufgerufen wird, berechnet wird.
    7. g) Verfahren nach Absatz f), wobei der Aktivitäts-Parameter als Aktivität = Treffer · F(Δt) berechnet wird, wobei Treffer eine Zahl von Datei-Downloads, Programmstarts und versuchten Angriffen aus dem Netz ist, F eine Wahrscheinlichkeitsverteilungsfunktion ist und Δt der Zeitraum seit dem Auftreten eines letzten Ereignisses der Datei ist.
    8. h) Verfahren nach Absatz a), wobei der Gewichts-Entscheidungsbaum durch Hinzufügen neuer Kriterien erweiterbar ist, wobei ein maximales Gewicht eines Kriteriums, das einem Baumknoten einer höheren Ebene zugeordnet ist, nicht durch Gewichte hinzugefügter Kriterien in niedrigeren Baumknoten-Ebenen verändert wird.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 7152164 B1 [0004]
    • US 2008/0027891 A1 [0005]
    • US 6016546 [0006]
    • US 6338141 [0007]

Claims (9)

  1. System zum Erfassen unbekannter Schadsoftware, wobei das System umfasst: einen Prozessor, der für Folgendes konfiguriert ist: Empfangen von Metadaten-Informationen über Dateien, die auf einem entfernten Computer ausgeführt werden, und Informationen über Ausführungsereignisse der Dateien, einschließlich Informationen über an den Dateien durchgeführte Aktionen, wobei bekannte Metadaten-Informationen und bekannte Informationen über Ereignisse auf der Grundlage von Informationen, die in Whitelist- und Blacklist-Wissensdatenbanken gespeichert sind, herausgefiltert werden; wobei der Prozessor dadurch gekennzeichnet ist, dass er weiterhin für Folgendes konfiguriert ist: Bestimmen einer Aufrufabfolge der Dateien auf der Grundlage der Informationen über Ereignisse der Dateiausführung, einschließlich wenigstens von Ereignissen des Herunterladens, des Ablegens, der Verlinkung und des Aufrufs von Dateien; Konstruieren einer Eltern-Kind-Hierarchie auf der Grundlage der Aufrufabfolge der Dateien, wobei die Eltern-Kind-Hierarchie Eltern-Kind-Beziehungen zwischen den Dateien beschreibt; Durchführen einer Risikoanalyse der Dateien auf der Grundlage der empfangenen, nicht gefilterten Informationen und wenigstens teilweise auf der Grundlage eines der folgenden Kriterien: Statistik der Ausführungsereignisse jeder Datei, Namensstabilität der Dateiquelle, Adressstabilität der Dateiquelle, Aktivität der Datei und ein Verhaltensmuster der Datei; Durchführen einer Risikoanalyse der Dateien auf der Grundlage der Eltern-Kind-Hierarchie, um eine Gefahrenstufe der verwandten Dateien zu bestimmen, wobei ein Risiko, das einer Eltern-Datei zugeordnet wird, wenigstens teilweise auf dem Risiko beruht, das einem oder mehreren Kinder-Dateien der Eltern-Datei zugeordnet wird; und Bestimmen, ob die Dateien schädlich sind, auf der Grundlage der Risikoanalyse und Risikobeurteilung, wobei die Risikoanalyse einer Datei auf der Berechnung einer Aktivitätsstufe der Datei („Aktivitäts“-Parameter), einer Gefahrenstufe der Datei („Gefahr“-Parameter) und einer Signifikanz für die Datei („Signifikanz“-Parameter) beruht, wobei der Signifikanz-Parameter als Signifikanz = (Aktivität · Gefahr) berechnet wird, und wobei der Gefahr-Parameter auf der Grundlage eines Entscheidungsbaums von Gewichtskoeffizienten berechnet wird, der für die bei der Risikoanalyse der Datei verwendeten Kriterien aufgebaut wird.
  2. System nach Anspruch 1, wobei die Risikobeurteilung weiterhin das Aggregieren von Werten der berechneten Kriterien umfasst, um zu bestimmen, ob das Risiko der Datei hoch, mittel oder niedrig ist.
  3. System nach Anspruch 1 wobei das Durchführen der Risikobeurteilung einer Datei weiterhin das Bestimmen eines Verhältnisses von sauberen zu schädlichen Programmen, die die Datei aufruft, umfasst.
  4. System nach Anspruch 1, wobei eine Mehrheit der Gewichtskoeffizienten sich dynamisch ändert, abhängig von den akkumulierten Informationen in den Wissensdatenbanken.
  5. System nach Anspruch 1, wobei die folgenden weiteren Kriterien verwendet werden: Maskieren eines Namens, Maskieren einer Dateierweiterung, Fehlen einer Dateierweiterung, und/oder Syntax des Dateinamens.
  6. System nach Anspruch 1, wobei der Aktivitäts-Parameter auf der Grundlage einer Zahl von Downloads oder einer Zahl von Malen, die eine gegebene Datei über einen bestimmten Zeitraum aufgerufen wird, berechnet wird.
  7. System nach Anspruch 6, wobei der Aktivitäts-Parameter als Aktivität = Treffer · F(Δt) berechnet wird, wobei Treffer eine Zahl von Datei-Downloads, Programmstarts und versuchten Angriffen aus dem Netz ist, F eine Wahrscheinlichkeitsverteilungsfunktion ist und Δt der Zeitraum seit dem Auftreten eines letzten Ereignisses der Datei ist.
  8. System nach Anspruch 1, wobei der Gewichts-Entscheidungsbaum durch Hinzufügen neuer Kriterien erweiterbar ist, wobei ein maximales Gewicht eines Kriteriums, das einem Baumknoten einer höheren Ebene zugeordnet ist, nicht durch Gewichte hinzugefügter Kriterien in niedrigeren Baumknoten-Ebenen verändert wird.
  9. Computerprogrammprodukt, umfassend Programmcode zum Implementieren des Systems nach wenigstens einem der vorhergehenden Ansprüche, wenn das Computerprogrammprodukt auf einem Computergerät ausgeführt wird.
DE202010018642.0U 2009-10-01 2010-09-14 System zur Erfassung zuvor unbekannter Schadsoftware Expired - Lifetime DE202010018642U1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US645523 1991-01-24
RU2009136233 2009-10-01
RU2009136233 2009-10-01
US12/645,523 US8572740B2 (en) 2009-10-01 2009-12-23 Method and system for detection of previously unknown malware

Publications (1)

Publication Number Publication Date
DE202010018642U1 true DE202010018642U1 (de) 2020-03-23

Family

ID=43710670

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202010018642.0U Expired - Lifetime DE202010018642U1 (de) 2009-10-01 2010-09-14 System zur Erfassung zuvor unbekannter Schadsoftware

Country Status (4)

Country Link
US (1) US8572740B2 (de)
EP (1) EP2306357A3 (de)
CN (1) CN101986323B (de)
DE (1) DE202010018642U1 (de)

Families Citing this family (115)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US8839422B2 (en) 2009-06-30 2014-09-16 George Mason Research Foundation, Inc. Virtual browsing environment
US8769685B1 (en) * 2010-02-03 2014-07-01 Symantec Corporation Systems and methods for using file paths to identify potentially malicious computer files
US8850584B2 (en) * 2010-02-08 2014-09-30 Mcafee, Inc. Systems and methods for malware detection
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
EP2577552A4 (de) * 2010-06-02 2014-03-12 Hewlett Packard Development Co Dynamische mehrdimensionale schemata für ereignisüberwachungsprioritäten
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
CN101924761B (zh) * 2010-08-18 2013-11-06 北京奇虎科技有限公司 一种依据白名单进行恶意程序检测的方法
US8413235B1 (en) * 2010-09-10 2013-04-02 Symantec Corporation Malware detection using file heritage data
US20120102569A1 (en) * 2010-10-21 2012-04-26 F-Secure Corporation Computer system analysis method and apparatus
US8756691B2 (en) * 2010-11-10 2014-06-17 Symantec Corporation IP-based blocking of malware
KR20120072120A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
US9111094B2 (en) * 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
JP5655191B2 (ja) * 2011-06-28 2015-01-21 日本電信電話株式会社 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
US8893278B1 (en) 2011-07-12 2014-11-18 Trustwave Holdings, Inc. Detecting malware communication on an infected computing device
CN102289582B (zh) * 2011-08-10 2015-07-08 中国电力科学研究院 一种配电网风险状态辨识方法
KR101326896B1 (ko) * 2011-08-24 2013-11-11 주식회사 팬택 단말기 및 이를 이용하는 어플리케이션의 위험도 제공 방법
RU2011138462A (ru) * 2011-09-20 2013-04-10 Закрытое акционерное общество "Лаборатория Касперского" Использование решений пользователей для обнаружения неизвестных компьютерных угроз
EP2584488B1 (de) * 2011-09-20 2016-02-10 Kaspersky Lab, ZAO System und verfahren zum erkennen von computersicherheitsbedrohungen basierend auf urteilen von computerbenutzern
US8875293B2 (en) * 2011-09-22 2014-10-28 Raytheon Company System, method, and logic for classifying communications
US9177142B2 (en) * 2011-10-14 2015-11-03 Trustwave Holdings, Inc. Identification of electronic documents that are likely to contain embedded malware
US9832221B1 (en) * 2011-11-08 2017-11-28 Symantec Corporation Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
WO2013082437A1 (en) 2011-12-02 2013-06-06 Invincia, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
US20130152196A1 (en) * 2011-12-08 2013-06-13 Microsoft Corporation Throttling of rogue entities to push notification servers
US8631498B1 (en) * 2011-12-23 2014-01-14 Symantec Corporation Techniques for identifying potential malware domain names
CN103632088A (zh) 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
CN102833258B (zh) * 2012-08-31 2015-09-23 北京奇虎科技有限公司 网址访问方法及系统
US8732834B2 (en) * 2012-09-05 2014-05-20 Symantec Corporation Systems and methods for detecting illegitimate applications
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
CN103778113B (zh) * 2012-10-17 2017-04-19 腾讯科技(深圳)有限公司 终端、服务器及终端、服务器的网页处理方法
US8914886B2 (en) * 2012-10-29 2014-12-16 Mcafee, Inc. Dynamic quarantining for malware detection
KR101401949B1 (ko) * 2012-11-06 2014-05-30 한국인터넷진흥원 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법
CN103839003B (zh) * 2012-11-22 2018-01-30 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
RU2536663C2 (ru) 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты от нелегального использования облачных инфраструктур
CN103067391A (zh) * 2012-12-28 2013-04-24 广东欧珀移动通信有限公司 一种恶意权限的检测方法、系统及设备
US10659480B2 (en) 2013-03-07 2020-05-19 Inquest, Llc Integrated network threat analysis
US9313217B2 (en) * 2013-03-07 2016-04-12 Inquest, Llc Integrated network threat analysis
US8943594B1 (en) 2013-06-24 2015-01-27 Haystack Security LLC Cyber attack disruption through multiple detonations of received payloads
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US8752178B2 (en) * 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events
EP3044718A4 (de) * 2013-09-10 2017-05-17 Symantec Corporation Systeme und verfahren zur verwendung von ereigniskorrelationsgraphen zur erkennung von angriffen auf computersysteme
US9166997B1 (en) * 2013-09-19 2015-10-20 Symantec Corporation Systems and methods for reducing false positives when using event-correlation graphs to detect attacks on computing systems
US9148441B1 (en) 2013-12-23 2015-09-29 Symantec Corporation Systems and methods for adjusting suspiciousness scores in event-correlation graphs
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
US10169583B2 (en) * 2014-02-17 2019-01-01 International Business Machines Corporation Malware dropper discovery method and system
US9953163B2 (en) 2014-02-23 2018-04-24 Cyphort Inc. System and method for detection of malicious hypertext transfer protocol chains
US10360271B2 (en) 2014-02-25 2019-07-23 Sap Se Mining security vulnerabilities available from social media
US9760713B1 (en) * 2014-02-27 2017-09-12 Dell Software Inc. System and method for content-independent determination of file-system-object risk of exposure
EP2922265B1 (de) 2014-03-20 2016-05-04 Kaspersky Lab, ZAO System und Verfahren zur Erkennung betrügerischer Online-Transaktionen
US9256739B1 (en) 2014-03-21 2016-02-09 Symantec Corporation Systems and methods for using event-correlation graphs to generate remediation procedures
RU2583711C2 (ru) * 2014-06-20 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Способ отложенного устранения вредоносного кода
US10432720B1 (en) 2014-06-25 2019-10-01 Symantec Corporation Systems and methods for strong information about transmission control protocol connections
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US10158664B2 (en) * 2014-07-22 2018-12-18 Verisign, Inc. Malicious code detection
US9843594B1 (en) 2014-10-28 2017-12-12 Symantec Corporation Systems and methods for detecting anomalous messages in automobile networks
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US10146893B1 (en) 2015-03-27 2018-12-04 Symantec Corporation Systems and methods for evaluating electronic control units within vehicle emulations
US10104106B2 (en) * 2015-03-31 2018-10-16 Juniper Networks, Inc. Determining internet-based object information using public internet search
US20160352762A1 (en) * 2015-05-26 2016-12-01 International Business Machines Corporation Probabilistically Detecting Low Intensity Threat Events
US9460284B1 (en) * 2015-06-12 2016-10-04 Bitdefender IPR Management Ltd. Behavioral malware detection using an interpreter virtual machine
US9813437B2 (en) * 2015-06-15 2017-11-07 Symantec Corporation Systems and methods for determining malicious-download risk based on user behavior
US9825986B1 (en) 2015-06-29 2017-11-21 Symantec Corporation Systems and methods for generating contextually meaningful animated visualizations of computer security events
US10127385B2 (en) 2015-09-02 2018-11-13 Sap Se Automated security vulnerability exploit tracking on social media
WO2017086992A1 (en) * 2015-11-20 2017-05-26 Hewlett Packard Enterprise Development Lp Malicious web content discovery through graphical model inference
US9967274B2 (en) 2015-11-25 2018-05-08 Symantec Corporation Systems and methods for identifying compromised devices within industrial control systems
US11552923B2 (en) * 2015-12-30 2023-01-10 Donuts, Inc. Whitelist domain name registry
CN106560831B (zh) * 2015-12-31 2019-07-02 哈尔滨安天科技股份有限公司 一种恶意代码绕过主动防御的发现方法及系统
US10104100B1 (en) 2016-03-03 2018-10-16 Symantec Corporation Systems and methods for detecting anomalies that are potentially indicative of malicious attacks
US10572663B1 (en) * 2016-03-09 2020-02-25 Symantec Corporation Systems and methods for identifying malicious file droppers
US20170308701A1 (en) * 2016-04-22 2017-10-26 Qualcomm Incorporated Methods and Systems for Intelligently Detecting Malware and Attacks on Client Computing Devices and Corporate Networks
US10193903B1 (en) 2016-04-29 2019-01-29 Symantec Corporation Systems and methods for detecting suspicious microcontroller messages
US10091077B1 (en) 2016-06-27 2018-10-02 Symantec Corporation Systems and methods for detecting transactional message sequences that are obscured in multicast communications
US10733301B2 (en) * 2016-08-24 2020-08-04 Microsoft Technology Licensing, Llc Computing device protection based on device attributes and device risk factor
KR101857575B1 (ko) * 2016-09-02 2018-05-14 주식회사 안랩 악성코드탐지시스템 및 악성코드 탐지 방법
US10200259B1 (en) 2016-09-21 2019-02-05 Symantec Corporation Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences
CN106357689B (zh) * 2016-11-07 2019-07-09 北京奇虎科技有限公司 威胁数据的处理方法及系统
US9906545B1 (en) 2016-11-22 2018-02-27 Symantec Corporation Systems and methods for identifying message payload bit fields in electronic communications
CN107145780B (zh) * 2017-03-31 2021-07-27 腾讯科技(深圳)有限公司 恶意软件检测方法及装置
US10326788B1 (en) 2017-05-05 2019-06-18 Symantec Corporation Systems and methods for identifying suspicious controller area network messages
JP2018200642A (ja) * 2017-05-29 2018-12-20 富士通株式会社 脅威検出プログラム、脅威検出方法および情報処理装置
JP2018200641A (ja) * 2017-05-29 2018-12-20 富士通株式会社 異常検知プログラム、異常検知方法および情報処理装置
GB201709812D0 (en) 2017-06-20 2017-08-02 Ibm Identification of software components based on filtering of corresponding events
US10873588B2 (en) * 2017-08-01 2020-12-22 Pc Matic, Inc. System, method, and apparatus for computer security
EP3531325B1 (de) 2018-02-23 2021-06-23 Crowdstrike, Inc. Computersicherheitsereignisanalyse
US11194903B2 (en) 2018-02-23 2021-12-07 Crowd Strike, Inc. Cross-machine detection techniques
US11050764B2 (en) 2018-02-23 2021-06-29 Crowdstrike, Inc. Cardinality-based activity pattern detection
US20190266323A1 (en) * 2018-02-23 2019-08-29 Crowdstrike, Inc. Identification process for suspicious activity patterns based on ancestry relationship
US20190311136A1 (en) * 2018-04-05 2019-10-10 Symantec Corporation Systems and methods for utilizing an information trail to enforce data loss prevention policies on potentially malicious file activity
CA3041871A1 (en) * 2018-05-01 2019-11-01 Royal Bank Of Canada System and method for monitoring security attack chains
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US20200117802A1 (en) * 2018-10-15 2020-04-16 Mcafee, Llc Systems, methods, and media for identifying and responding to malicious files having similar features
US10958677B2 (en) 2018-12-18 2021-03-23 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
RU2747474C2 (ru) * 2019-03-29 2021-05-05 Акционерное общество "Лаборатория Касперского" Способ асинхронного выбора совместимых продуктов
US11238154B2 (en) 2019-07-05 2022-02-01 Mcafee, Llc Multi-lateral process trees for malware remediation
US11058953B2 (en) * 2019-07-26 2021-07-13 Roblox Corporation Detection of malicious games
US11144315B2 (en) * 2019-09-06 2021-10-12 Roblox Corporation Determining quality of an electronic game based on developer engagement metrics
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
RU2743974C1 (ru) 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
CN111147518B (zh) * 2019-12-30 2021-08-13 论客科技(广州)有限公司 一种基于攻防对抗的电子邮件系统安全评价方法及装置
WO2021141510A1 (ru) * 2020-01-09 2021-07-15 Марк Александрович НЕЧАЕВ Система управления и отбора входящих вызовов
RU2722693C1 (ru) * 2020-01-27 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
CN111460446B (zh) * 2020-03-06 2023-04-11 奇安信科技集团股份有限公司 基于模型的恶意文件检测方法及装置
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
US11436330B1 (en) * 2021-07-14 2022-09-06 Soos Llc System for automated malicious software detection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6016546A (en) 1997-07-10 2000-01-18 International Business Machines Corporation Efficient detection of computer viruses and other data traits
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US7152164B1 (en) 2000-12-06 2006-12-19 Pasi Into Loukas Network anti-virus system
US20080027891A1 (en) 2006-07-28 2008-01-31 Rolf Repasi Threat identification

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5801702A (en) * 1995-03-09 1998-09-01 Terrabyte Technology System and method for adding network links in a displayed hierarchy
US6021438A (en) 1997-06-18 2000-02-01 Wyatt River Software, Inc. License management system using daemons and aliasing
US20020095387A1 (en) 1999-08-27 2002-07-18 Bertrand Sosa Online content portal system
US6789088B1 (en) 2000-10-19 2004-09-07 Lg Electronics Inc. Multimedia description scheme having weight information and method for displaying multimedia
US7269851B2 (en) * 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
AU2003230606B2 (en) 2002-03-08 2009-04-30 Mcafee, Llc Systems and methods for enhancing electronic communication security
US20080196099A1 (en) 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US6980927B2 (en) 2002-11-27 2005-12-27 Telos Corporation Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment
JP2006508436A (ja) * 2002-11-28 2006-03-09 インターナショナル・ビジネス・マシーンズ・コーポレーション ファイルをハイパーリンクするための方法及びシステム
US7483972B2 (en) 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US7424530B2 (en) 2004-05-06 2008-09-09 International Business Machines Corporation Method for visualizing results of root cause analysis on transaction performance data
US20060212852A1 (en) * 2005-03-16 2006-09-21 Jinwoo Hwang Methods, systems and computer program products for detecting memory leaks
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
CN103984891A (zh) 2005-07-29 2014-08-13 Bit9公司 网络安全系统和方法
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
TW200723101A (en) 2005-12-01 2007-06-16 Inventec Corp Method and system for automatically activating and controlling computer program recovery mode
US20070180509A1 (en) 2005-12-07 2007-08-02 Swartz Alon R Practical platform for high risk applications
US7849143B2 (en) 2005-12-29 2010-12-07 Research In Motion Limited System and method of dynamic management of spam
US7624448B2 (en) 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US7856411B2 (en) 2006-03-21 2010-12-21 21St Century Technologies, Inc. Social network aware pattern detection
SG150527A1 (en) 2006-07-11 2009-03-30 Agency Science Tech & Res Method and system for multi-object tracking
WO2008036381A2 (en) 2006-09-20 2008-03-27 Spadac Inc. Method and system for global consolidated risk, threat and opportunity assessment
US8881276B2 (en) 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US7933946B2 (en) 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
US8347286B2 (en) 2007-07-16 2013-01-01 International Business Machines Corporation Method, system and program product for managing download requests received to download files from a server
US8099787B2 (en) * 2007-08-15 2012-01-17 Bank Of America Corporation Knowledge-based and collaborative system for security assessment of web applications
US8214895B2 (en) 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US7392544B1 (en) * 2007-12-18 2008-06-24 Kaspersky Lab, Zao Method and system for anti-malware scanning with variable scan settings
US7472420B1 (en) * 2008-04-23 2008-12-30 Kaspersky Lab, Zao Method and system for detection of previously unknown malware components
CN101360023A (zh) * 2008-09-09 2009-02-04 成都市华为赛门铁克科技有限公司 一种异常检测方法、装置及系统
US8484727B2 (en) * 2008-11-26 2013-07-09 Kaspersky Lab Zao System and method for computer malware detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6016546A (en) 1997-07-10 2000-01-18 International Business Machines Corporation Efficient detection of computer viruses and other data traits
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US7152164B1 (en) 2000-12-06 2006-12-19 Pasi Into Loukas Network anti-virus system
US20080027891A1 (en) 2006-07-28 2008-01-31 Rolf Repasi Threat identification

Also Published As

Publication number Publication date
CN101986323A (zh) 2011-03-16
CN101986323B (zh) 2013-11-20
EP2306357A2 (de) 2011-04-06
US20110083180A1 (en) 2011-04-07
US8572740B2 (en) 2013-10-29
EP2306357A3 (de) 2011-05-18

Similar Documents

Publication Publication Date Title
DE202010018642U1 (de) System zur Erfassung zuvor unbekannter Schadsoftware
EP2566130B1 (de) Automatische Analyse von sicherheitsbedingten Ereignissen in Computernetzwerken
US9979742B2 (en) Identifying anomalous messages
CN101986324B (zh) 用于恶意软件检测的事件的异步处理
KR100910761B1 (ko) 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
EP1995929B1 (de) Verteiltes System zur Detektion von elektronischen Bedrohungen
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE202013012765U1 (de) System zum Schutz von Cloud-Diensten vor nicht autorisiertem Zugriff und Schadsoftware-Angriff
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
Boukerche et al. An artificial immune based intrusion detection model for computer and telecommunication systems
DE102011056502A1 (de) Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
AU2011201043A1 (en) Web site analysis system and method
WO2018099206A1 (zh) 一种apt检测方法、系统及装置
CN105915532A (zh) 一种失陷主机的识别方法及装置
EP2975801A1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE112021004808T5 (de) Erkennen von malware durch analyse verteilter telemetriedaten
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
Gashi et al. A study of the relationship between antivirus regressions and label changes
CN112528325B (zh) 一种数据信息的安全处理方法及系统
CN1627699A (zh) 异常文件访问自适应检测方法
Kono et al. An unknown malware detection using execution registry access
DE102019106914A1 (de) Anwendungsverhaltenssteuerung
CN116991680B (zh) 一种日志降噪方法及电子设备
US20220417259A1 (en) IoC management infrastructure
Rutherford A Holistic Approach Using Honey Communities For Cyber Event Detection and Protection in Communities and Large Distributed Organizations

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: V. FUENER EBBINGHAUS FINCK HANO, DE

R152 Utility model maintained after payment of third maintenance fee after eight years
R207 Utility model specification