ES2846810T3 - Un método analítico estadístico para la determinación del riesgo que plantea el contenido basado en archivos - Google Patents
Un método analítico estadístico para la determinación del riesgo que plantea el contenido basado en archivos Download PDFInfo
- Publication number
- ES2846810T3 ES2846810T3 ES15801391T ES15801391T ES2846810T3 ES 2846810 T3 ES2846810 T3 ES 2846810T3 ES 15801391 T ES15801391 T ES 15801391T ES 15801391 T ES15801391 T ES 15801391T ES 2846810 T3 ES2846810 T3 ES 2846810T3
- Authority
- ES
- Spain
- Prior art keywords
- electronic file
- categories
- file
- electronic
- checks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
- G06F16/24578—Query processing with adaptation to user needs using ranking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Un sistema, que comprende: un ordenador una memoria en el ordenador; una base de datos (335) almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, en donde la pluralidad de comprobaciones determina si un archivo electrónico (105) cumple un estándar para el formato de archivo esperado; y para cada una de la pluralidad de categorías, un peso asignado a la categoría, que incluye los pesos predeterminados asignados a la pluralidad de categorías; un receptor (310) para recibir el archivo electrónico en el formato de archivo; un analizador (315) para analizar un primer corpus de archivos (605) con no conformidades conocidas para producir un primer resultado (615) y para analizar un segundo corpus de archivos seguros (610) para producir un segundo resultado (620) y analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; un analizador estadístico (325) para revisar estadísticamente el primer resultado y el segundo resultado y para ajustar los pesos predeterminados asignados a la pluralidad de categorías de modo que una primera evaluación de riesgo calculada para el primer corpus de archivos sea mayor que una segunda evaluación de riesgo calculada para el segundo corpus de archivos; y una calculadora de amenazas (320) para calcular una evaluación de riesgo (505) para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías; en donde cuando la evaluación de riesgo indica que el archivo electrónico probablemente es una amenaza, el archivo electrónico puede detonarse en un entorno de prueba electrónico (115).
Description
DESCRIPCIÓN
Un método analítico estadístico para la determinación del riesgo que plantea el contenido basado en archivos
Campo de la invención
Esta invención se refiere a la seguridad basada en archivos informáticos en general y más específicamente al riesgo potencial contenido dentro de los formatos de archivo comúnmente enviados.
Antecedentes
Los softwares maliciosos (tales como virus, troyanos y otro contenido malicioso) son cada vez más frecuente. Los enfoques tradicionales de construcción de firmas para identificar estas amenazas se vuelven cada vez más difíciles dada la velocidad a la que surgen nuevas variantes de software malicioso. El desafío asociado con el uso de métodos basados en firmas es que el problema de "buscar lo malo" no tiene límites. El enfoque siempre está detrás de las amenazas más recientes y peligrosas. Un problema adicional es que estos enfoques a menudo crean mucho "ruido" en la forma de identificación de falsos positivos de contenido benigno sin proporcionar ninguna información procesable sobre el problema potencial para permitir que una persona encargada de asegurar la organización pueda tomar una decisión informada.
Una forma de ayudar a minimizar el número de identificación de falsos positivos de contenido benigno es mediante el uso de un entorno de prueba electrónico, como se muestra en la Figura 1. Cuando el sistema recibe el archivo electrónico 105, por ejemplo a través de la red 110, el archivo puede colocarse en el entorno de prueba electrónico 115. El entorno de prueba electrónico 115, como su nombre lo indica, es un aparato que puede abrir el archivo electrónico 105 en total aislamiento. El entorno de prueba electrónico 115 puede ser un sistema informático que se aísla físicamente (o se aísla lo más completamente posible) de cualquier intranet, para evitar la migración de cualquier código malicioso. Alternativamente, el entorno de prueba electrónico 115 puede ser un entorno virtual en un sistema informático, idealmente aislado de cualquier otro entorno en el mismo sistema informático (u otros sistemas informáticos en la red).
Una vez que el archivo electrónico 105 se abre en el entorno de prueba electrónico 115, pueden monitorearse los criterios claves del sistema operativo del entorno de prueba electrónico 115 para buscar cualquier comportamiento sospechoso que pueda sugerir que el archivo está infectado con un código malicioso. Tal comportamiento podría incluir, entre otros, intentar acceder a Internet, cambiar la configuración del registro o intentar elevar los privilegios del usuario.
Mediante el uso del entorno de prueba electrónico 115, los efectos peligrosos de cualquier código malicioso en el archivo electrónico 105 se limitan estrictamente al ambiente del entorno de prueba, que típicamente se descarta para una nueva instancia del ambiente cuando se procesa el siguiente archivo. Si la abertura del archivo electrónico 105 en el entorno de prueba electrónico 115 no demuestra la presencia de ningún código malicioso, entonces probablemente el archivo electrónico 105 no es una amenaza y puede entregarse al usuario 120. Por otro lado, si la abertura del archivo electrónico 105 en el entorno de prueba electrónico 115 demuestra la presencia de código malicioso, entonces el archivo electrónico 105 puede colocarse en cuarentena 125 hasta que el archivo electrónico 105 pueda limpiarse de alguna manera del código malicioso o el archivo electrónico 105 se elimina.
El problema con el uso del entorno de prueba electrónico115 de esta manera es que se requiere gastos considerables para mantener el entorno de prueba electrónico 115 y monitorear el entorno de prueba electrónico para determinar si el archivo electrónico 105 contiene código malicioso. Además, el monitoreo del archivo electrónico 105 dentro del entorno de prueba electrónico 115 añade una latencia considerable a la entrega del archivo electrónico 105 al usuario. Finalmente, los atacantes son conscientes del uso del entorno de prueba electrónico 115. Al retrasar el tiempo de activación de su código malicioso hasta después del tiempo de inspección del entorno de prueba electrónico 115, la observación del entorno de prueba electrónico 115 podría fallar al detectar el código malicioso. Como resultado, el archivo electrónico 105 podría entregarse al usuario 120 como seguro, aunque contenga código malicioso.
Las modalidades de la invención abordan este y otros problemas con la técnica anterior.
Breve descripción de las figuras
La Figura 1 muestra un ejemplo de protección contra el contenido malicioso en la técnica anterior.
La Figura 2 muestra el entorno de prueba electrónico de la Figura 1, aumentado por un sistema diseñado para calcular una evaluación de riesgo para un archivo electrónico, de acuerdo con una modalidad de la invención.
La Figura 3 muestra más detalles sobre el escáner de la Figura 2, de acuerdo con una modalidad de la invención.
La Figura 4 muestra detalles de la base de datos de la Figura 3.
La Figura 5 muestra detalles de la calculadora de amenazas de la Figura 3.
La Figura 6 muestra detalles del analizador y analizador estadístico de la Figura 3 cuando se usa en modo de análisis. La Figura 7 muestra un diagrama de flujo de un procedimiento para calcular una evaluación de riesgo para un archivo electrónico en el sistema de la Figura 3, de acuerdo con una modalidad de la invención.
La Figura 8 muestra un diagrama de flujo de alternativas al procedimiento para calcular una evaluación de riesgo de la Figura 7, de acuerdo con una segunda modalidad de la invención.
Las Figuras 9A-9B muestran un diagrama de flujo de un procedimiento para calcular los pesos usados en el procedimiento de la Figura 7.
Las Figuras 10A-10B muestran un diagrama de flujo de un procedimiento para determinar si se usa un entorno de prueba electrónico en el procedimiento de la Figura 7.
Descripción detallada
Debido a que las modalidades ilustradas de la presente invención pueden implementarse en su mayor parte mediante el uso de componentes y circuitos electrónicos conocidos para los expertos en la técnica, los detalles no se explicarán en mayor medida de lo que se considera necesario como se ilustra anteriormente, para la comprensión y apreciación de los conceptos subyacentes de las modalidades de la presente invención y con el propósito de no ofuscar o distraer de las enseñanzas de las modalidades de la presente invención.
Otras patentes y solicitudes de patentes cedidas en forma mancomunada con esta, incluidas las patentes de Estados Unidos núms. 8,185,954, 8,533,824, 8,869,283 y la publicación de la patente de Estados Unidos núm. 2013/0326624, describen sistemas y métodos para determinar si se conoce que el contenido de los archivos electrónicos es seguro. En resumen, estas patentes y solicitudes de patentes describen sistemas y métodos que toman un archivo electrónico y determinan el formato que el archivo electrónico pretende usar (por ejemplo, Adobe® PDF® o Microsoft® Word). (Adobe y Adobe PDF son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated en los Estados Unidos y/o en otros países. Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en los Estados Unidos y/o en otros países). Una vez que se determina el formato, se examina el contenido del archivo electrónico para ver si el contenido se ajusta al formato predeterminado. Si el contenido se ajusta al formato predeterminado, entonces se permite que el contenido pase para entregarse al usuario. De cualquier otra manera, el contenido se pone en cuarentena. El contenido, se ajuste o no, también puede volver a regenerarse. La regeneración de contenido puede ayudar además a evitar que se filtre contenido malicioso, al recrear el contenido en el formato predeterminado. El archivo electrónico regenerado idealmente es estructuralmente idéntico al archivo original, pero sin los metadatos que no son necesarios.
El documento US 2013/145466 A1 enseña a calcular el riesgo de que un archivo PDF se infecte por software malicioso realizando una serie de comprobaciones relacionadas con varias características del archivo, calculando una suma ponderada de los resultados y comparándolos con un umbral.
El documento US 2013/097705 A1 enseña a calcular el riesgo de que un archivo se infecte por software malicioso realizando una serie de comprobaciones relacionadas con los metadatos del archivo, sumando los resultados de las comprobaciones y comparando la suma con un umbral.
Las modalidades de la presente invención proporcionan un aparato de gestión de datos de contenido anti-malware, que proporciona protección contra software malicioso así como también información sobre la amenaza que supone un archivo electrónico al abordar el problema desde un punto de vista alternativo. El punto de vista del bien definible es un problema limitado en el sentido de que lo que se conoce que es bueno para un formato de archivo particular no cambia en comparación con tratar de seguir el ritmo de la definición siempre cambiante de malo conocido. Es posible determinar la bondad de los archivos que se definen como pasivos: es decir, archivos que no contienen activos de código de programa dentro de ellos. Estos archivos son los archivos típicos que las organizaciones envían a diario. Pero estos archivos también son archivos dentro de los que tienden a esconderse nuevas oleadas de ataques.
Agregando una dimensión adicional de comprensión, habilitada por la comprensión del contenido del archivo, las modalidades de la presente invención producen una puntuación relacionada con el tipo de contenido que contiene el archivo en cuestión, así como también el riesgo percibido en base a las estadísticas históricas sesgadas con un factor de ponderación configurable. Este enfoque se desvía de la técnica tradicional y conocida, que solo proporciona una respuesta binaria segura/insegura en cuanto a la credibilidad de los archivos. Las modalidades de la presente invención extienden esto proporcionando tonos de gris, para permitir que las personas y, de hecho, procesos de toma de decisiones adicionales combinen esta información en el proceso general de toma de decisiones para ese archivo o contenido particular, aumentando de esta manera la precisión de la detección de software malicioso, así como también reduciendo la tasa de falsos positivos.
Extendiendo el mantra del proceso de "buscar lo bueno", que mantiene una lista de reglas de muchos miles de reglas que hacen cumplir los criterios actualmente comprendidos y categorizarlos en un subconjunto de dichas reglas, puede realizarse una colección de grupos de contenido que luego pueden ponderarse y sumarse para formar una puntuación consistente a través de un gran corpus de archivos analizados. El resultado de esta puntuación puede entonces informar con más color de lo que puede una simple decisión buena/mala.
Los sistemas y métodos descritos en la presente descripción agregan una capa secundaria de procesamiento analítico además del enfoque de evaluación de un archivo en base a su conformidad con un buen contenido conocido, lo que proporciona un resultado binario en el sentido de que el archivo se ajusta o no se ajusta. Esta capa adicional en la parte superior de este proceso binario permite un tercer resultado de una implementación de manera que se permita que la versión original, sin desinfectar del documento, se entregue a un destinatario si se considera de bajo riesgo.
Los ejemplos de sistemas que pueden incorporar las modalidades de la invención reivindicada pueden incluir la realización de un sistema de protección de correo electrónico de manera que las decisiones sobre si un archivo, típicamente un adjunto, debe ponerse en cuarentena o no, pueden mejorarse mediante la capacidad de puntuación analítica. En ciertas circunstancias, específicamente en un entorno de Pequeña/Mediana Empresa (PYME), a menudo no hay experiencia de seguridad en el sitio para tomar la decisión de si liberar o poner en cuarentena permanentemente el archivo. El entorno de las PYME típicamente se atiende por Proveedores de Seguridad de Servicios Gestionados (MSSP), que ofrecen una oferta de servicios gestionados de forma remota, permitiéndole por tanto a la organización "externalizar" su capacidad de seguridad al MSSP. Por lo tanto, cualquier incidente de "falsos positivos" en este nivel resulta en una costosa retro llamada telefónica de soporte al MSSP para liberar el archivo o proporcionar una explicación adicional del problema. Utilizando las modalidades de la invención reivindicada, puede liberarse un proceso automatizado de manera que los archivos en cuarentena pueden someterse a una toma de decisiones mucho más coloreada y gestionarse de una manera mucho más simplificada y rentable.
Otro ejemplo es donde el proveedor de MSSP puede ajustar de forma remota las ponderaciones aplicadas a las categorías para aumentar o disminuir la importancia de un grupo de contenido asociado en el proceso de toma de decisiones, en dependencia del panorama actual de amenazas y la importancia de este contenido en la mitigación de cualquier ataque nuevo y actual.
Los ejemplos también incluyen la implementación de un proceso de espacio aislado optimizado, que tipifica el proceso de manera que se abren los archivos sospechosos recibidos por una organización a través de varios puntos de ingreso potenciales, o comúnmente denominados "detonados" dentro de un ambiente controlado de manera que cualquier software malicioso potencial contenido dentro de dicho archivo no puede causar ningún daño ni propagarse a otros ambientes. El estado actual del proceso del entorno de prueba de la técnica típicamente observa el archivo durante unos cinco minutos para determinar si es probable que el archivo realizase algún acto malicioso antes de ponerlo en cuarentena o permitirle pasar a su destinatario previsto. El problema con este enfoque es que cada archivo se procesa y se somete a un retraso de esta naturaleza, provocando una sobrecarga de procesamiento y un uso de ancho de banda significativos. Las modalidades de la invención, por otro lado, optimizan este proceso debido a que los archivos electrónicos pueden puntuarse en base a los grupos de contenido contenidos dentro y estableciendo un umbral antes de que el archivo se coloque en el entorno de prueba. Si la puntuación para el archivo electrónico es suficiente, el entorno de prueba puede evitarse, aliviando la necesidad de que cada archivo se "detone" por el entorno de prueba. La infraestructura del entorno de prueba puede concentrar todos sus recursos solo en los archivos que deben escanearse, ya que han puntuado por encima (o por debajo, en dependencia de la implementación) del umbral, lo que sugiere que hay una razón para una investigación adicional.
La Figura 2 destaca cómo las modalidades de la invención abordan estos inconvenientes en las implementaciones del entorno de prueba. El archivo electrónico 105 puede enviarse a una modalidad de la invención, representada por el escáner 205, que puede estar en línea antes del entorno de prueba 115. El proceso de puntuación estadística puede aplicarse al archivo electrónico 105 para determinar si el archivo electrónico 105 puede regenerarse o no. Si el archivo electrónico 105 puede regenerarse porque cumple con lo especificado por las reglas relacionadas con el formato de archivo electrónico 105, entonces el archivo regenerado puede evitar el entorno de prueba 115 y entregarse al usuario 120 a través de cualquier vector que sea apropiado. Si el archivo electrónico 105 no puede regenerarse porque el archivo electrónico 105 no cumple con las reglas establecidas por la especificación del formato de archivo, entonces el archivo electrónico 105 puede reenviarse al entorno de prueba 115. Por lo tanto, las modalidades de la invención tienen el efecto de actuar como un filtro de ruido y solo requieren que se instancie el entorno de prueba 115 en un número limitado de archivos que tienen problemas que tienen problemas de no conformidad o aquellos que tienen una violación de política asociada. Debería ser obvio para los expertos en la técnica que este filtro de optimización tiene un beneficio considerable para el proceso general en términos tanto de rendimiento como de gastos generales.
Aunque las políticas de conformidad de archivos pueden redactarse directamente en el escáner 205, la conexión de red 110 también puede usarse para administrar de forma remota las políticas de conformidad de archivos. Estas políticas determinan el tipo de no conformidades dentro de un archivo que harán que el escáner 205 considere el archivo como no conforme y, por lo tanto, reenvíe el archivo al entorno de prueba 115. Cambiando las políticas usadas por el escáner 205, puede realizarse el equilibrio de carga, de manera que durante los momentos de máxima demanda o de hecho la máxima actividad de software malicioso, puede variarse el sesgo entre entregar un archivo electrónico directamente al usuario 120 o detonar el archivo electrónico 105 en el entorno de prueba 115. Estas políticas pueden determinarse en base a la preferencia organizativa del estado y mediadas por la actividad actual del software malicioso.
La Figura 3 muestra más detalles sobre el escáner de la Figura 2, de acuerdo con una modalidad de la invención. El escáner 205 puede incluir un ordenador 305, que puede programarse adecuadamente para implementar las modalidades de la invención. Alternativamente, el ordenador 305 puede incluir componentes de propósito especial diseñados para implementar las modalidades de la invención.
El ordenador 305 puede incluir el receptor 310, el analizador 315 y la calculadora de amenazas 320. El receptor 310 puede recibir datos, tales como el archivo electrónico que se examina, o pesos usados para las categorías de las comprobaciones. El analizador 315 puede analizar un documento electrónico para ver si el contenido del documento
electrónico se ajusta al formato del documento electrónico. Como se describió anteriormente, las comprobaciones asociados con la determinación de si se conoce que el contenido es bueno pueden organizarse en varias categorías. Pueden haber miles de comprobaciones, organizadas en varias categorías. El analizador 315 usa estas comprobaciones, organizadas, para determinar si el archivo electrónico se ajusta al formato esperado para el archivo electrónico. El analizador 315 puede producir un informe que identifica qué comprobacioness no devuelven los resultados esperados y a qué categorías pertenecen esas comprobaciones.
La calculadora de amenazas 320 entonces puede tomar la salida del analizador 315 y calcular una puntuación de amenaza para el documento electrónico. Para cada problema identificado por el analizador 315, la calculadora de amenazas puede identificar el peso correspondiente y calcular la puntuación de amenaza general sumando los productos del número de veces que se encontró un problema y los pesos asociados con ese problema. Luego, esta suma puede compararse con un umbral para determinar si el archivo electrónico se considera que está en riesgo o no.
Si se considera que el archivo electrónico está en riesgo, entonces el documento electrónico puede detonarse en el entorno de prueba 115 como antes. La Figura 3 muestra el entorno de prueba 115 como parte del escáner 205: una persona experta en la técnica reconocerá que el entorno de prueba 115 puede implementarse como software, en cuyo caso cualquier ordenador adecuado puede implementarel software para el entorno de prueba 115. En ese caso, el entorno de prueba 115 puede ser parte del ordenador 305. Pero el entorno de prueba 115 puede separarse del escáner 205, como se muestra en la Figura 2: el entorno de prueba 115 puede implementarse como parte de un ordenador separado, o como una máquina de propósito especial, cualquiera de los cuales puede aislarse suficientemente para evitar que cualquier código malicioso en el archivo electrónico logre su propósito previsto.
El ordenador 305 también puede incluir un analizador estadístico 325. Como se describe más abajo con referencia a la Figura 6, el analizador 315 puede usarse en modo de análisis, operando en conjuntos de archivos conocidos. El analizador estadístico 325 puede entonces procesar los resultados de estos análisis para establecer los pesos iniciales para su uso en la determinación de si un archivo electrónico se considera una amenaza.
El ordenador 305 también puede incluir la memoria 330. La memoria 330 puede usarse para almacenar información: por ejemplo, una copia del archivo electrónico que se escanea por el sistema. La memoria 330 también puede almacenar la base de datos 335, que puede incluir información sobre las comprobaciones usados para verificar que el archivo electrónico se ajusta a su supuesto formato de archivo. La Figura 4 muestra más detalles sobre la base de datos 335.
En la figura 4, la base de datos 335 se muestra que incluye datos en tres columnas. (Mientras el término "columna" sugiere un formato tabular para la base de datos 335, una persona experta en la técnica reconocerá que la base de datos 335 puede almacenar datos en cualquier estructura deseada, y no se limita al formato tabular). Las tres columnas almacenan categorías, problemas y pesos. Por ejemplo, la base de datos 335 muestra dos categorías diferentes 405 y 410, cinco problemas 415, 420, 425, 430 y 435 (divididos entre las dos categorías) y siete pesos 440, 445, 450, 455, 460, 465 y 470. Para las categorías o problemas individuales, pueden asignarse pesos. Por ejemplo, la categoría 1405 tiene un peso de 1 440, mientras que el problema 1415 (asociado con la categoría 1405) tiene un peso de 2445.
La Figura 4 muestra realmente diferentes modalidades posibles. En algunas modalidades de la invención, a las categorías se les asignan pesos, en lugar de problemas individuales. En otras modalidades de la invención, se asignan pesos a los problemas individuales. Cuando los pesos se asignan a las categorías, el número de problemas en esa categoría puede multiplicarse por el peso para la categoría. Cuando los pesos se asignan a los problemas, el número de ocurrencias de cada problema puede multiplicarse por el peso para ese problema. Independientemente de si los pesos son por categoría o por problema, la suma de los productos puede entonces calcularse, lo que representa la puntuación del archivo electrónico.
Aunque uno podría pensar que todos los pesos tienen el mismo signo (es decir, todos son positivos o negativos, en dependencia de la forma en que se use el umbral predeterminado), en realidad no existe tal limitación. Las partes que crean contenido malicioso típicamente quieren que su contenido malicioso logre su objetivo: ya sea dañar un sistema informático, extraer y transmitir los datos de vuelta al creador del contenido malicioso o convertir los ordenadores en zombis (ordenadores que se controlan por personas distintas de los usuarios esperados normalmente), entre otras posibilidades. Cuanto más sospechoso parezca un archivo, menos probable es que cualquier contenido malicioso logre su objetivo. Por lo tanto, es razonable esperar que un archivo que tiene contenido malicioso tenga relativamente pocos otros problemas asociados con el mismo. Por esta razón, a algunos problemas que típicamente no se asocian con contenido malicioso pueden asignárseles pesos de signo opuesto, reduciendo de esta manera la posibilidad de que el archivo electrónico se considere un riesgo. Por ejemplo, pueden asignarse los pesos positivos a problemas menos importantes y los pesos negativos pueden asignarse a problemas más importantes, y una puntuación de amenaza que es menor que el umbral predeterminado puede indicar que un archivo electrónico se considera una amenaza. El uso de pesos de signos mixtos también puede afectar el umbral predeterminado a usar. Por ejemplo, en una modalidad de la invención, el umbral predeterminado puede ser cero.
La Figura 5 muestra detalles de la calculadora de amenazas de la Figura 3. Como se discutió anteriormente, puede calcularse una puntuación de amenaza para un archivo electrónico. Las modalidades de la invención pueden chequear para ver si un archivo electrónico se ajusta a su supuesto formato de archivo. Para un determinado supuesto formato de
archivo, pueden realizarse comprobaciones para ver si el archivo electrónico cumple con el estándar para ese formato de archivo. Si no se cumple una comprobación en particular, es decir, el archivo electrónico no cumple con algún elemento del estándar para ese formato de archivo, entonces ese problema se marca como ocurrido. La calculadora de amenazas 320 puede tomar el archivo electrónico 105 y la base de datos 305, y calcular la evaluación de riesgo 505 (también llamada puntuación de amenaza, o simplemente puntuación) para el archivo electrónico 105. En una modalidad de la invención, la evaluación de riesgo 505 se calcula multiplicando el número de ocurrencias de cada problema por el peso correspondiente para ese problema, y sumando los productos.
Tenga en cuenta que en algunas modalidades de la invención, los pesos se asignan a las categorías en lugar de a problemas individuales. En estas modalidades de la invención, el sistema puede calcular el número de ocurrencias de los problemas en cada categoría en base a las comprobaciones individuales. Este número puede luego multiplicarse por el peso asignado a la categoría para su uso en el cálculo de la evaluación de riesgo 505 similar a la discusión anterior.
Un punto que no se ha discutido en detalle es cómo se asignan los pesos usados en la base de datos 335. Obviamente, un usuario podría asignar manualmente los pesos, o pueden usarse los pesos predeterminados establecidos por el proveedor del sistema. Pero también es posible automatizar el cálculo de los pesos iniciales. En las modalidades de la invención, el analizador 315 puede funcionar no solo en un modo de escaneo sino también en un modo de análisis. En el modo de análisis, el analizador 315 puede tomar archivos conocidos, analizar esos archivos y generar los pesos del análisis.
La Figura 6 muestra detalles del analizador y analizador estadístico de la Figura 3 cuando se usa en modo de análisis. En la Figura 6, el analizador 315 puede recibir dos corpus de archivos, tales como los corpus 605 y 610. El analizador 315 puede entonces analizar los corpus 605 y 610 y producir los resultados 615 y 620. Por ejemplo, el corpus 605 puede incluir archivos que se sabe que incluyen contenido malicioso, mientras que el corpus 610 puede incluir archivos que se sabe que tienen problemas, pero de cualquier otra manera no son una amenaza. El analizador estadístico 325 puede entonces procesar estos resultados 615 y 620 para ajustar los pesos asignados a las categorías o comprobaciones/problemas al analizar documentos electrónicos en el modo de operación normal. El analizador estadístico 325 puede usar cualquier algoritmo deseado para ajustar los pesos. En algunas modalidades de la invención, los pesos se ajustan hasta que las puntuaciones de amenaza para los archivos en el corpus 605 indican un riesgo mayor que las puntuaciones de amenaza para los archivos en el corpus 610.
Incluso después de que se hayan determinado los pesos iniciales, los usuarios pueden escoger ajustar los pesos. Por ejemplo, un usuario de dicho sistema podría decidir que las macros incluidas en un documento se consideran seguras, aunque las macros puedan usarse para lograr resultados maliciosos. Otro usuario de dicho sistema podría decidir que una fuente mal nombrada indica un riesgo significativo, aunque el nombre de la fuente generalmente no puede usarse para un efecto malicioso. Por lo tanto, los usuarios pueden sobrescribir los pesos predeterminados (o, alternativamente, en las instrucciones del usuario, pero por el fabricante del sistema).
La descripción anterior de la Figura 6 podría sugerir que el uso del analizador 315 en el modo de análisis solo puede ocurrir para determinar los pesos iniciales usados por el sistema. Y en algunas modalidades de la invención, el analizador 315 se usa en modo de análisis solo antes de que el sistema se ponga en operación para proteger a un cliente. Pero no hay razón para que los resultados de analizar un archivo electrónico por el analizador 315, incluso durante el uso del sistema para proteger a un cliente, no puedan usarse para ajustar los pesos. Por ejemplo, cuando los archivos electrónicos se analizan por el analizador 315, el sistema (ya sea directamente o mediante el uso del analizador estadístico 325) puede usar estos análisis como retroalimentación para ajustar los pesos asignados a las categorías o comprobaciones/problemas. Esta retroalimentación puede ocurrir de cualquier manera deseada. Por ejemplo, la retroalimentación puede aplicarse para cada archivo electrónico analizado por el analizador 315, independientemente de los resultados del análisis. O, la retroalimentación puede aplicarse solo cuando un archivo se considera un riesgo o cuando un archivo se considera seguro. Un experto en la técnica reconocerá otras formas en las que puede gestionarse la retroalimentación.
La descripción anterior implica que se ajusta cada peso en la base de datos. Si bien esta implicación puede ser cierta, no es necesaria. Puede ocurrir que solo se ajusten algunos de los pesos: quizás solo se ajuste un peso. También puede ocurrir que el resultado del analizador estadístico 325 determine que los pesos iniciales son satisfactorios y no requieren ajuste. Se pretende que las modalidades de la invención abarquen todas estas variaciones.
La Figura 7 muestra un diagrama de flujo de un procedimiento para calcular una evaluación de riesgo para un archivo electrónico en el sistema de la Figura 3, de acuerdo con una modalidad de la invención. En la Figura 7, en el bloque 705, el sistema puede recibir un archivo electrónico. En el bloque 710, el sistema puede analizar el archivo electrónico mediante el uso de varias comprobaciones organizadas en categorías. En el bloque 715, el sistema puede determinar los pesos para las diversas categorías (o, alternativamente, como se describió anteriormente, las comprobaciones/problemas en sí). En el bloque 720, el sistema puede calcular una evaluación de riesgo o una puntuación de amenaza para el archivo electrónico, mediante el uso de las comprobaciones y categorías, y los pesos asociados. Finalmente, en el bloque 725, el sistema puede usar la evaluación de riesgo calculada para ajustar los pesos, por ejemplo, en un lazo de retroalimentación.
La Figura 8 muestra un diagrama de flujo de alternativas al procedimiento para calcular una evaluación de riesgo de la Figura 7, de acuerdo con una segunda modalidad de la invención. Como se discutió anteriormente, los pesos pueden asignarse, no a las categorías de las comprobaciones, sino a las comprobaciones mismas. En lugar de los bloques 710, 715 y 720 como se muestra en la Figura 7, pueden sustituirse los bloques 805, 810 y 815. En el bloque 805, el archivo electrónico puede analizarse mediante el uso de comprobaciones individuales. En el bloque 810, pueden determinarse los pesos para las comprobaciones individuales. Y en el bloque 815, el sistema puede calcular una evaluación de riesgos o una puntuación de amenaza en base a las comprobaciones y los pesos que se les asignan.
Las Figuras 9A-9B muestran un diagrama de flujo de un procedimiento para calcular los pesos usados en el procedimiento de la Figura 7. Los pesos discutidos en las Figuras 9A-9b pueden ser para las categorías de las comprobaciones o para las comprobaciones individuales. En la Figura 9A, en el bloque 905, el usuario puede asignar los pesos. Alternativamente, en el bloque 910, pueden asignarse los pesos predeterminados. En el bloque 915, el usuario puede ajustar los pesos predeterminados.
En la Figura 9B, para determinar los pesos predeterminados (o como reemplazo de los pesos predeterminados proporcionados de alguna otra manera), los pesos pueden calcularse analizando archivos conocidos. En el bloque 920, el sistema puede recibir los corpus de archivos. Como se describió anteriormente, en algunas modalidades de la invención, un corpus puede incluir archivos conocidos por contener contenido malicioso, y otro corpus puede incluir archivos con problemas que se conocen no son una amenaza. En el bloque 925, los corpus de archivos pueden escanearse mediante el uso de las comprobaciones/categorías de comprobaciones. En el bloque 930, los resultados del análisis pueden analizarse estadísticamente. Y en el bloque 935, los pesos predeterminados pueden ajustarse mediante el uso del análisis estadístico. El control puede volver entonces a la Figura 9A, donde finaliza el procesamiento.
Las Figuras 10A-10B muestran un diagrama de flujo de un procedimiento para determinar si se usa un entorno de prueba electrónico en el procedimiento de la Figura 7. En la Figura 10A, en el bloque 1005, el sistema puede calcular una puntuación de amenaza para un archivo electrónico. En el bloque 1010, el sistema puede comparar la puntuación de amenaza con un umbral predeterminado. En el bloque 1015, el sistema determina si la puntuación de amenaza supera el umbral predeterminado. Si es así, entonces en el bloque 1020 el archivo electrónico se considera seguro y en el bloque 1025 el sistema puede entregar el archivo electrónico al destinatario previsto.
Si la puntuación de amenaza no excede el umbral predeterminado, entonces en el bloque 1030 (Figura 10B), el sistema puede indicar que el archivo electrónico no se considera seguro. En el bloque 1035, el sistema puede colocar el archivo electrónico en un entorno de prueba. En el bloque 1040, el sistema puede detonar el archivo electrónico (de cualquier manera apropiada) y en el bloque 1045, el sistema puede observar la operación del entorno de prueba. En el bloque 1050, el sistema determina si el archivo electrónico parece ser una amenaza. Si es así, entonces en el bloque 1055, el sistema puede poner en cuarentena el archivo hasta que puedan aplicarse las soluciones adecuadas. De cualquier otra manera, el procesamiento puede volver al bloque 1025 (Figura 10A) para que el sistema entregue el archivo electrónico al destinatario previsto.
Aunque las Figuras 10A-10B describen un archivo electrónico considerado como seguro cuando la puntuación de amenaza excede el umbral predeterminado, una persona experta en la técnica reconocerá que la prueba para considerar si un archivo electrónico es seguro o no puede depender de cómo la puntuación de amenaza se calcule. Por lo tanto, si se usan pesos positivos para los problemas que se consideran más importantes, un archivo electrónico puede considerarse seguro si la puntuación de amenaza es menor que un umbral predeterminado, y puede considerarse un riesgo si la puntuación de amenaza es mayor que el umbral predeterminado.
Los diagramas de flujo anteriores muestran algunas posibles modalidades de la invención. Pero otras modalidades de la invención pueden organizar los bloques en diferentes arreglos y pueden incluir u omitir diferentes bloques como se desee, o repetir un bloque (o múltiples bloques) como se necesite. Se pretenden incluir en las modalidades de la invención todas dichas variaciones en los diagramas de flujo, se muestren o describan explícitamente o no.
La siguiente discusión pretende proporcionar una breve descripción general de una máquina adecuada en la que pueden implementarse ciertos aspectos de la invención. Típicamente, la máquina incluye un bus del sistema al que se conectan procesadores, memoria, por ejemplo, memoria de acceso aleatorio (RAM), memoria de solo lectura (ROM) u otro medio de preservación del estado, dispositivos de almacenamiento, una interfaz de video y puertos de interfaz de entrada/salida. La máquina puede controlarse, al menos en parte, por la entrada de dispositivos de entrada convencionales, tales como teclados, ratones, etc., así como también por directivas recibidas de otra máquina, interacción con un entorno de realidad virtual (VR), retroalimentación biométrica, u otra señal de entrada. Como se usa en la presente, el término "máquina" pretende abarcar ampliamente una sola máquina, o un sistema de máquinas o dispositivos acoplados comunicativamente que operan juntos. Las máquinas ilustrativas incluyen dispositivos informáticos tales como ordenadores personales, estaciones de trabajo, servidores, ordenadores portátiles, dispositivos portátiles, teléfonos, tabletas, etc., así como también dispositivos de transporte, tales como transporte público o privado, por ejemplo, automóviles, trenes, taxis, etc.
La máquina puede incluir controladores integrados, tales como dispositivos o series lógicas programables o no programables, Circuitos Integrados de Aplicación Específica, ordenadores integrados, tarjetas inteligentes y similares. La máquina puede utilizar una o más conexiones a una o más máquinas remotas, tales como a través de una interfaz de red,
módem u otro acoplamiento comunicativo. Las máquinas pueden interconectarse por medio de una red física y/o lógica, tal como una intranet, Internet, redes de área local, redes de área amplia, etc. Un experto en la técnica apreciará que la comunicación en red puede utilizar varios protocolos y portadoras de corto o largo alcance cableados y/o inalámbricos, que incluyen radiofrecuencia (RF), satélite, microondas, Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) 810.11, Bluetooth, óptico, infrarrojo, cable, láser, etc.
La invención puede describirse por referencia o junto con los datos asociados que incluyen funciones, procedimientos, estructuras de datos, programas de aplicación, etc., que cuando una máquina accede a ellos resulta en que la máquina realiza tareas o define tipos de datos abstractos o contextos de hardware de bajo nivel. Los datos asociados pueden almacenarse en medios tangibles legibles por ordenador como instrucciones no transitorias ejecutables por ordenador. Los datos asociados pueden almacenarse, por ejemplo, en la memoria volátil y/o no volátil, por ejemplo, RAM, ROM, etc., o en otros dispositivos de almacenamiento y sus medios de almacenamiento asociados, que incluye discos duros, disquetes, almacenamiento óptico, cintas, memoria flash, tarjetas de memoria, discos de video digital, almacenamiento biológico, etc. Los datos asociados pueden entregarse a través de ambientes de transmisión, que incluye la red física y/o lógica, en la forma de paquetes, datos en serie, datos en paralelo, señales propagadas, etc., y pueden usarse en un formato comprimido o cifrado. Los datos asociados pueden usarse en un ambiente distribuido y almacenarse localmente y/o de forma remota para el acceso a la máquina.
Habiendo descrito e ilustrado los principios de la invención con referencia a las modalidades ilustradas, se reconocerá que las modalidades ilustradas pueden modificarse en el arreglo y detallarse sin apartarse de tales principios. Y, aunque la discusión anterior se ha centrado en modalidades particulares, se contemplan otras configuraciones. En particular, aunque en la presente descripción se usen expresiones tales como "en una modalidad" o similares, estas frases pretenden hacer referencia generalmente a posibilidades de modalidades y no pretenden limitar la invención a configuraciones de modalidades particulares. Como se usa en la presente, estos términos pueden hacer referencia a las mismas o diferentes modalidades que son combinables en otras modalidades.
Las modalidades de la invención pueden extenderse a las siguientes declaraciones, sin limitación:
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, que incluye la base de datos: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; y una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, para cada una de la pluralidad de categorías, un peso asignado a la categoría, y para cada una de la pluralidad de comprobaciones, un segundo peso asignado a la comprobación; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; y una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador, los pesos asignados a la pluralidad de categorías y los segundos pesos asignados a la pluralidad de comprobaciones.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; y una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, en donde el receptor está operativo para recibir los pesos asignados a la pluralidad de categorías de un usuario.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; y una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, en donde los pesos asignados a la pluralidad de categorías incluyen pesos predeterminados asignados a la pluralidad de categorías, y en donde el receptor está operativo para recibir los segundos pesos de un usuario para asignarlos a la pluralidad de categorías.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; y una calculadora de amenazas para calcular una evaluación de riesgo para el
archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, en donde los pesos asignados a la pluralidad de categorías incluyen pesos predeterminados asignados a la pluralidad de categorías, en donde el analizador está operativo para analizar un primer corpus de archivos con no conformidades conocidas para producir un primer resultado y para analizar un segundo corpus de archivos seguros para producir un segundo resultado, y en donde el sistema que comprende además un analizador estadístico para revisar estadísticamente el primer resultado y el segundo resultado y ajustar los pesos predeterminados asignados a la pluralidad de categorías de modo que una primera evaluación de riesgo calculada para el primer corpus de archivos sea mayor que una segunda evaluación de riesgo calculada para el segundo corpus de archivos.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, y un analizador estadístico para usar el resultado del analizador para ajustar los pesos.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; y una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, en donde el sistema está operativo para entregar el archivo electrónico a un segundo usuario si la evaluación de riesgo calculada es mayor que un umbral predeterminado.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, y un entorno de prueba electrónico, el archivo electrónico se coloca en el entorno de prueba electrónico si la evaluación de riesgo para el archivo no excede un umbral predeterminado.
Una modalidad de la invención incluye un sistema que comprende un ordenador; una memoria en el ordenador; una base de datos almacenada en la memoria, la base de datos que incluye: una pluralidad de comprobaciones organizadas en una pluralidad de categorías, y para cada una de la pluralidad de categorías, un peso asignado a la categoría; un receptor para recibir un archivo electrónico; un analizador para analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos; una calculadora de amenazas para calcular una evaluación de riesgo para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías, y un entorno de prueba electrónico, el archivo electrónico se coloca en el entorno de prueba electrónico si la evaluación de riesgo para el archivo no excede un umbral predeterminado, en donde el sistema está operativo para entregar el archivo electrónico a un segundo usuario si una operación observada del entorno de prueba electrónico indica que el archivo electrónico no es una amenaza.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones de una de una pluralidad de categorías para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de comprobaciones de una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de comprobaciones de una de las categorías y los segundos pesos asignados a cada una de la pluralidad de comprobaciones.
Una modalidad de la invención incluye un método, que comprende: recibir el peso asignado a cada una de la pluralidad de categorías de un usuario; recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar una peso para cada una de la pluralidad de categorías, que incluye recibir un peso predeterminado para asignar a cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías, que incluye recibir un peso predeterminado para asignar a cada una de la pluralidad de categorías, y ajustar el peso predeterminado asignado a cada una de la pluralidad de categorías de acuerdo con las instrucciones de un usuario; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías, que incluye recibir un peso predeterminado para asignar a cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, en donde recibir un peso predeterminado para asignar a cada una de la pluralidad de categorías incluye recibir un primer corpus de archivos con no conformidades conocidas y un segundo corpus de archivos seguros, escanear el primer corpus de archivos para producir un primer resultado y el segundo corpus de archivos para producir un segundo resultado, analizar estadísticamente el primer resultado y el segundo resultado, y mediante el uso del análisis del primer resultado y el segundo resultado ajustar el peso predeterminado asignado a cada una de la pluralidad de categorías de modo que una primera evaluación de riesgo calculada para el primer corpus de archivos sea mayor que una segunda evaluación de riesgo calculada para el segundo corpus de archivos.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías; y mediante el uso de la evaluación de riesgo final del archivo electrónico ajustar los pesos asignados a cada una de la pluralidad de categorías.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, que incluye calcular una puntuación de amenaza para el archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, comparar la puntuación de amenaza con una puntuación de umbral, y si la puntuación de amenaza excede la puntuación de umbral, determinar que el archivo electrónico probablemente no es una amenaza y entregar el archivo electrónico a un usuario.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, que incluye calcular una puntuación de amenaza para el archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, comparar la puntuación de amenaza con una puntuación de umbral, si la puntuación de amenaza excede la puntuación de umbral determinar que el archivo electrónico probablemente no es una amenaza y entregar el archivo electrónico a un usuario, y si la puntuación de amenaza no excede la puntuación de umbral, determinar que el archivo electrónico probablemente es una amenaza.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, que incluye calcular una puntuación de amenaza para el archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, comparar la puntuación de amenaza con una puntuación de umbral, si la puntuación de amenaza excede la puntuación de umbral determinar que el archivo electrónico probablemente no es una
amenaza y entregar el archivo electrónico a un usuario, y si la puntuación de amenaza no excede la puntuación de umbral, determinar que el archivo electrónico probablemente es una amenaza, en donde determinar que el archivo electrónico es probablemente una amenaza incluye colocar el archivo electrónico en un entorno de prueba, detonar el archivo electrónico en el entorno de prueba y observar la operación del entorno de prueba después de detonar el archivo electrónico.
Una modalidad de la invención incluye un método, que comprende: recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, que incluye calcular una puntuación de amenaza para el archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías, comparar la puntuación de amenaza con una puntuación de umbral, si la puntuación de amenaza excede la puntuación de umbral determinar que el archivo electrónico probablemente no es una amenaza y entregar el archivo electrónico a un usuario, y si la puntuación de amenaza no excede la puntuación de umbral, determinar que el archivo electrónico probablemente es una amenaza, en donde determinar que el archivo electrónico es probablemente una amenaza incluye colocar el archivo electrónico en un entorno de prueba, detonar el archivo electrónico en el entorno de prueba, observar la operación del entorno de prueba después de detonar el archivo electrónico, y si la operación observada del entorno de prueba indica que el archivo electrónico no es una amenaza, entregar el archivo electrónico al usuario.
Una modalidad de la invención incluye un medio tangible legible por ordenador que almacena instrucciones no transitorias que, cuando se ejecutan por una máquina, implementan el método de recibir un archivo electrónico; analizar el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta a un formato esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías; determinar un peso para cada una de la pluralidad de categorías; y calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías.
En consecuencia, en vista de la amplia variedad de modificaciones a las modalidades descritas en la presente descripción, esta descripción detallada y el material adjunto pretenden ser solo ilustrativos y no deben tomarse como limitantes del alcance de la invención. La invención se define mediante las reivindicaciones adjuntas.
Claims (11)
1. Un sistema, que comprende:
un ordenador
una memoria en el ordenador;
una base de datos (335) almacenada en la memoria, la base de datos que incluye:
una pluralidad de comprobaciones organizadas en una pluralidad de categorías, en donde la pluralidad de comprobaciones determina si un archivo electrónico (105) cumple un estándar para el formato de archivo esperado; y
para cada una de la pluralidad de categorías, un peso asignado a la categoría, que incluye los pesos predeterminados asignados a la pluralidad de categorías;
un receptor (310) para recibir el archivo electrónico en el formato de archivo;
un analizador (315) para analizar un primer corpus de archivos (605) con no conformidades conocidas para producir un primer resultado (615) y para analizar un segundo corpus de archivos seguros (610) para producir un segundo resultado (620) y analizar el archivo electrónico mediante el uso de la pluralidad de comprobaciones en la base de datos;
un analizador estadístico (325) para revisar estadísticamente el primer resultado y el segundo resultado y para ajustar los pesos predeterminados asignados a la pluralidad de categorías de modo que una primera evaluación de riesgo calculada para el primer corpus de archivos sea mayor que una segunda evaluación de riesgo calculada para el segundo corpus de archivos; y
una calculadora de amenazas (320) para calcular una evaluación de riesgo (505) para el archivo electrónico mediante el uso de un resultado del analizador y los pesos asignados a la pluralidad de categorías;
en donde cuando la evaluación de riesgo indica que el archivo electrónico probablemente es una amenaza, el archivo electrónico puede detonarse en un entorno de prueba electrónico (115).
2. Un sistema de acuerdo con la reivindicación 1, en donde:
la base de datos incluye además para cada una de la pluralidad de comprobaciones, un segundo peso asignado a la comprobación; y
la calculadora de amenazas está operativa para calcular la evaluación de riesgo para el archivo electrónico mediante el uso del resultado del analizador y los segundos pesos asignados a la pluralidad de comprobaciones.
3. Un sistema de acuerdo con la reivindicación 1, en donde: el receptor está operativo para recibir los segundos pesos de un usuario para asignar a la pluralidad de categorías.
4. Un sistema de acuerdo con la reivindicación 1, en donde el sistema está operativo para entregar el archivo electrónico a un segundo usuario si la evaluación de riesgo calculada es mayor que un umbral predeterminado.
5. Un sistema de acuerdo con la reivindicación 1, que comprende además un entorno de prueba electrónico, el archivo electrónico se coloca en el entorno de prueba electrónico si la evaluación de riesgo para el archivo no excede un umbral predeterminado.
6. Un método, que comprende:
recibir (705) un archivo electrónico (105) en un formato de archivo;
analizar (710) el archivo electrónico mediante el uso de una pluralidad de comprobaciones para determinar si el archivo electrónico se ajusta al formato de archivo esperado, la pluralidad de comprobaciones organizadas en una pluralidad de categorías;
determinar (715) un peso para cada una de la pluralidad de categorías, que incluye:
recibir un peso predeterminado para asignar a cada una de la pluralidad de categorías;
recibir (920) un primer corpus de archivos con no conformidades conocidas y un segundo corpus de archivos seguros;
escanear el primer corpus de archivos para producir un primer resultado (615) y el segundo corpus de archivos para producir un segundo resultado (620)
analizar estadísticamente (930) el primer resultado y el segundo resultado; y
mediante el uso del análisis del primer resultado y el segundo resultado ajustar (935) el peso predeterminado asignado a cada una de la pluralidad de categorías de modo que una primera evaluación de riesgo calculada para el primer corpus de archivos sea mayor que una segunda evaluación de riesgo calculada para el segundo corpus de archivos; y
calcular (1005) una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías,
en donde cuando la evaluación de riesgo indica que el archivo electrónico probablemente es una amenaza, el archivo electrónico puede detonarse (1040) en un entorno de prueba electrónico.
7. Un método de acuerdo con la reivindicación 6, en donde:
analizar el archivo electrónico mediante el uso de una pluralidad de categorías para determinar si el archivo electrónico se ajusta al formato de archivo esperado incluye analizar el archivo electrónico mediante el uso de una segunda pluralidad de comprobaciones de una de la pluralidad de categorías;
determinar un peso para cada una de la pluralidad de categorías incluye determinar un segundo peso para cada uno de la segunda pluralidad de comprobaciones de una de la pluralidad de categorías; y
calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías incluye calcular la evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de comprobaciones de una de la pluralidad de categorías y los segundos pesos asignados a cada una de la pluralidad de comprobaciones.
8. Un método de acuerdo con la reivindicación 6, en donde calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías incluye:
calcular una puntuación de amenaza para el archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías;
comparar la puntuación de amenaza con una puntuación de umbral; y
si la puntuación de amenaza excede la puntuación de umbral:
determinar que el archivo electrónico probablemente no es una amenaza; y
entregar el archivo electrónico a un usuario.
9. Un método de acuerdo con la reivindicación 8, en donde calcular una evaluación de riesgo final del archivo electrónico mediante el uso de la pluralidad de categorías y los pesos asignados a cada una de la pluralidad de categorías incluye además, si la puntuación de amenaza no excede la puntuación de umbral, determinar que el archivo electrónico probablemente es una amenaza.
10. Un método de acuerdo con la reivindicación 9, en donde determinar que el archivo electrónico probablemente es una amenaza incluye:
colocar el archivo electrónico en un entorno de prueba;
detonar el archivo electrónico en el entorno de prueba; y
observar la operación del entorno de prueba después de detonar el archivo electrónico.
11. Un medio tangible legible por ordenador que almacena instrucciones que, cuando se ejecutan por una máquina, implementan el método de la reivindicación 6.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462084832P | 2014-11-26 | 2014-11-26 | |
| US14/600,431 US9330264B1 (en) | 2014-11-26 | 2015-01-20 | Statistical analytic method for the determination of the risk posed by file based content |
| PCT/EP2015/077634 WO2016083447A1 (en) | 2014-11-26 | 2015-11-25 | A statistical analytic method for the determination of the risk posed by file based content |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2846810T3 true ES2846810T3 (es) | 2021-07-29 |
Family
ID=55807530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES15801391T Active ES2846810T3 (es) | 2014-11-26 | 2015-11-25 | Un método analítico estadístico para la determinación del riesgo que plantea el contenido basado en archivos |
Country Status (11)
| Country | Link |
|---|---|
| US (3) | US9330264B1 (es) |
| EP (1) | EP3224755B1 (es) |
| JP (1) | JP6450845B2 (es) |
| CN (1) | CN107004090A (es) |
| AU (1) | AU2015352524B2 (es) |
| CA (1) | CA2968896A1 (es) |
| DK (1) | DK3224755T3 (es) |
| ES (1) | ES2846810T3 (es) |
| MY (1) | MY189945A (es) |
| TW (1) | TW201640384A (es) |
| WO (1) | WO2016083447A1 (es) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
| US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
| US10229219B2 (en) * | 2015-05-01 | 2019-03-12 | Facebook, Inc. | Systems and methods for demotion of content items in a feed |
| US10192058B1 (en) * | 2016-01-22 | 2019-01-29 | Symantec Corporation | System and method for determining an aggregate threat score |
| US10200395B1 (en) * | 2016-03-30 | 2019-02-05 | Symantec Corporation | Systems and methods for automated whitelisting of files |
| US20170353475A1 (en) | 2016-06-06 | 2017-12-07 | Glasswall (Ip) Limited | Threat intelligence cloud |
| WO2018039792A1 (en) * | 2016-08-31 | 2018-03-08 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
| US9858424B1 (en) | 2017-01-05 | 2018-01-02 | Votiro Cybersec Ltd. | System and method for protecting systems from active content |
| US10331889B2 (en) | 2017-01-05 | 2019-06-25 | Votiro Cybersec Ltd. | Providing a fastlane for disarming malicious content in received input content |
| US10331890B2 (en) | 2017-03-20 | 2019-06-25 | Votiro Cybersec Ltd. | Disarming malware in protected content |
| US10013557B1 (en) | 2017-01-05 | 2018-07-03 | Votiro Cybersec Ltd. | System and method for disarming malicious code |
| US11423140B1 (en) * | 2017-03-27 | 2022-08-23 | Melih Abdulhayoglu | Auto-containment of guest user applications |
| US10951644B1 (en) | 2017-04-07 | 2021-03-16 | Comodo Security Solutions, Inc. | Auto-containment of potentially vulnerable applications |
| TWI650670B (zh) * | 2017-09-08 | 2019-02-11 | 中華電信股份有限公司 | 閘道裝置、非暫態電腦可讀取媒體及其惡意文件檔案之淨化方法 |
| US10778713B2 (en) | 2018-02-26 | 2020-09-15 | International Business Machines Corporation | Method and system to manage risk of vulnerabilities and corresponding change actions to address malware threats |
| US10956568B2 (en) * | 2018-04-30 | 2021-03-23 | Mcafee, Llc | Model development and application to identify and halt malware |
| CN109194739B (zh) * | 2018-09-03 | 2023-06-13 | 中国平安人寿保险股份有限公司 | 一种文件上传方法、存储介质和服务器 |
| US11005739B2 (en) * | 2018-09-05 | 2021-05-11 | Richard K. Steen | System and method for managing and presenting network data |
| US10467419B1 (en) * | 2018-10-31 | 2019-11-05 | Capital One Services, Llc | Methods and systems for determining software risk scores |
| EP3899767A4 (en) * | 2018-12-19 | 2022-08-03 | Hewlett-Packard Development Company, L.P. | SECURITY DETECTION ANALYTICS |
| US11386205B2 (en) * | 2019-01-14 | 2022-07-12 | Mcafee, Llc | Detection of malicious polyglot files |
| KR102284646B1 (ko) * | 2019-10-25 | 2021-08-03 | 소프트캠프 주식회사 | 문서 파일에 구성된 매크로의 악성코드 감염 확인 방법과 시스템 |
| US11157644B1 (en) * | 2020-12-15 | 2021-10-26 | DataMover LLC | Systems and methods of secure networked data exchange |
| AU2022215147B2 (en) | 2021-01-29 | 2024-05-23 | Glasswall (Ip) Limited | Machine learning methods and systems for determining file risk using content disarm and reconstruction analysis |
Family Cites Families (105)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5050212A (en) | 1990-06-20 | 1991-09-17 | Apple Computer, Inc. | Method and apparatus for verifying the integrity of a file stored separately from a computer |
| US5649095A (en) | 1992-03-30 | 1997-07-15 | Cozza; Paul D. | Method and apparatus for detecting computer viruses through the use of a scan information cache |
| US5655130A (en) | 1994-10-14 | 1997-08-05 | Unisys Corporation | Method and apparatus for document production using a common document database |
| US5745897A (en) | 1994-11-21 | 1998-04-28 | Bay Networks Group, Inc. | Method and system for compiling management information base specifications |
| NL1000669C2 (nl) | 1995-06-26 | 1996-12-31 | Nederland Ptt | Werkwijze en inrichtingen voor het overdragen van data met controle op transmissiefouten. |
| US6493761B1 (en) | 1995-12-20 | 2002-12-10 | Nb Networks | Systems and methods for data processing using a protocol parsing engine |
| US5832208A (en) | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
| US6144934A (en) | 1996-09-18 | 2000-11-07 | Secure Computing Corporation | Binary filter using pattern recognition |
| US5951698A (en) | 1996-10-02 | 1999-09-14 | Trend Micro, Incorporated | System, apparatus and method for the detection and removal of viruses in macros |
| US8225408B2 (en) | 1997-11-06 | 2012-07-17 | Finjan, Inc. | Method and system for adaptive rule-based content scanners |
| US6807632B1 (en) | 1999-01-21 | 2004-10-19 | Emc Corporation | Content addressable information encapsulation, representation, and transfer |
| JPH11224190A (ja) | 1998-02-09 | 1999-08-17 | Yaskawa Electric Corp | コンピュータネットワーク網に接続した計算機の保護方法及びそのプログラムを記録した記録媒体 |
| US6401210B1 (en) | 1998-09-23 | 2002-06-04 | Intel Corporation | Method of managing computer virus infected files |
| US6336124B1 (en) | 1998-10-01 | 2002-01-01 | Bcl Computers, Inc. | Conversion data representing a document to other formats for manipulation and display |
| US6519702B1 (en) | 1999-01-22 | 2003-02-11 | Sun Microsystems, Inc. | Method and apparatus for limiting security attacks via data copied into computer memory |
| US7391865B2 (en) | 1999-09-20 | 2008-06-24 | Security First Corporation | Secure data parser method and system |
| AU7753300A (en) | 1999-10-04 | 2001-05-10 | Kana Communications, Inc. | Method and apparatus for interprocess messaging and its use for automatically generating transactional email |
| US6697950B1 (en) | 1999-12-22 | 2004-02-24 | Networks Associates Technology, Inc. | Method and apparatus for detecting a macro computer virus using static analysis |
| DE60122033T4 (de) | 2000-02-04 | 2009-04-02 | Aladdin Knowledge Systems Ltd. | Schutz von Computernetzen gegen böswillige Inhalte |
| US7225181B2 (en) | 2000-02-04 | 2007-05-29 | Fujitsu Limited | Document searching apparatus, method thereof, and record medium thereof |
| US7093135B1 (en) | 2000-05-11 | 2006-08-15 | Cybersoft, Inc. | Software virus detection methods and apparatus |
| GB2357939B (en) | 2000-07-05 | 2002-05-15 | Gfi Fax & Voice Ltd | Electronic mail message anti-virus system and method |
| GB0016835D0 (en) | 2000-07-07 | 2000-08-30 | Messagelabs Limited | Method of, and system for, processing email |
| US7636945B2 (en) | 2000-07-14 | 2009-12-22 | Computer Associates Think, Inc. | Detection of polymorphic script language viruses by data driven lexical analysis |
| US6895011B1 (en) | 2000-08-15 | 2005-05-17 | Lucent Technologies Inc. | Method and apparatus for re-sequencing data packets |
| GB2366706B (en) | 2000-08-31 | 2004-11-03 | Content Technologies Ltd | Monitoring electronic mail messages digests |
| JP4415232B2 (ja) | 2000-10-12 | 2010-02-17 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム記録媒体 |
| US7669051B2 (en) * | 2000-11-13 | 2010-02-23 | DigitalDoors, Inc. | Data security system and method with multiple independent levels of security |
| US9311499B2 (en) | 2000-11-13 | 2016-04-12 | Ron M. Redlich | Data security system and with territorial, geographic and triggering event protocol |
| US7322047B2 (en) * | 2000-11-13 | 2008-01-22 | Digital Doors, Inc. | Data security system and method associated with data mining |
| JP2002259187A (ja) | 2001-03-01 | 2002-09-13 | Nec Corp | 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム |
| WO2002079907A2 (en) * | 2001-03-29 | 2002-10-10 | Accenture Llp | Overall risk in a system |
| US6895534B2 (en) | 2001-04-23 | 2005-05-17 | Hewlett-Packard Development Company, L.P. | Systems and methods for providing automated diagnostic services for a cluster computer system |
| US7058858B2 (en) | 2001-04-23 | 2006-06-06 | Hewlett-Packard Development Company, L.P. | Systems and methods for providing automated diagnostic services for a cluster computer system |
| US8095597B2 (en) | 2001-05-01 | 2012-01-10 | Aol Inc. | Method and system of automating data capture from electronic correspondence |
| US7502829B2 (en) | 2001-06-21 | 2009-03-10 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for intercepting, examining and controlling code, data and files and their transfer |
| ATE358298T1 (de) | 2001-07-12 | 2007-04-15 | Research In Motion Ltd | System und verfahren zum schieben von daten von einer informationsquelle zu einem mobilen endgerät beinhalten die transcodierung der daten |
| US7526572B2 (en) | 2001-07-12 | 2009-04-28 | Research In Motion Limited | System and method for providing remote data access for a mobile communication device |
| US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
| US6947947B2 (en) | 2001-08-17 | 2005-09-20 | Universal Business Matrix Llc | Method for adding metadata to data |
| US20040008368A1 (en) | 2001-09-07 | 2004-01-15 | Plunkett Michael K | Mailing online operation flow |
| US20030079142A1 (en) | 2001-10-22 | 2003-04-24 | Aladdin Knowledge Systems Ltd. | Classifying digital object security category |
| US20030079158A1 (en) | 2001-10-23 | 2003-04-24 | Tower James Brian | Secured digital systems and a method and software for operating the same |
| JP3992136B2 (ja) * | 2001-12-17 | 2007-10-17 | 学校法人金沢工業大学 | ウイルス検出方法および装置 |
| US7363506B2 (en) | 2002-01-30 | 2008-04-22 | Cybersoft, Inc. | Software virus detection methods, apparatus and articles of manufacture |
| US6922827B2 (en) | 2002-02-22 | 2005-07-26 | Bea Systems, Inc. | Iterative software development environment with prioritized build rules |
| US20030163732A1 (en) | 2002-02-28 | 2003-08-28 | Parry Travis J. | Device-specific firewall |
| US7171691B2 (en) * | 2002-04-10 | 2007-01-30 | International Business Machines Corporation | Content sanitation via transcoding |
| US20030229810A1 (en) | 2002-06-05 | 2003-12-11 | Bango Joseph J. | Optical antivirus firewall for internet, LAN, and WAN computer applications |
| US7240279B1 (en) | 2002-06-19 | 2007-07-03 | Microsoft Corporation | XML patterns language |
| DE10235819B4 (de) | 2002-08-05 | 2005-12-01 | Utz Schneider | Verfahren und Anordnung zum Blockieren von an einen Benutzer gesendeten Daten und/oder Informationen und/oder Signalen elektronischer Medien sowie deren Verwendung |
| GB2391965B (en) | 2002-08-14 | 2005-11-30 | Messagelabs Ltd | Method of, and system for, heuristically detecting viruses in executable code |
| US8335779B2 (en) | 2002-08-16 | 2012-12-18 | Gamroe Applications, Llc | Method and apparatus for gathering, categorizing and parameterizing data |
| US7020804B2 (en) | 2002-12-03 | 2006-03-28 | Lockheed Martin Corporation | Test data generation system for evaluating data cleansing applications |
| US7644361B2 (en) | 2002-12-23 | 2010-01-05 | Canon Kabushiki Kaisha | Method of using recommendations to visually create new views of data across heterogeneous sources |
| US8533840B2 (en) * | 2003-03-25 | 2013-09-10 | DigitalDoors, Inc. | Method and system of quantifying risk |
| US20050071477A1 (en) | 2003-03-27 | 2005-03-31 | Microsoft Corporation | Providing information links via a network |
| US7269733B1 (en) | 2003-04-10 | 2007-09-11 | Cisco Technology, Inc. | Reliable embedded file content addressing |
| GB2400933B (en) | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
| US20040230894A1 (en) | 2003-05-16 | 2004-11-18 | Dethe Elza | Method and system for enabling collaborative authoring of hierarchical documents with versioning |
| US20040240472A1 (en) | 2003-05-28 | 2004-12-02 | Alok Kumar | Method and system for maintenance of packet order using caching |
| US7685174B2 (en) | 2003-07-08 | 2010-03-23 | Seventh Knight Inc. | Automatic regeneration of computer files |
| US20050081057A1 (en) | 2003-10-10 | 2005-04-14 | Oded Cohen | Method and system for preventing exploiting an email message |
| EP2618538B1 (en) | 2003-11-12 | 2018-09-05 | The Trustees Of Columbia University In The City Of New York | Apparatus, Method and Medium for Detecting Payload Anomaly using N-Gram Distribution of Normal Data |
| US7467409B2 (en) | 2003-12-12 | 2008-12-16 | Microsoft Corporation | Aggregating trust services for file transfer clients |
| US7475427B2 (en) | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
| US20050149720A1 (en) | 2004-01-07 | 2005-07-07 | Shimon Gruper | Method for speeding up the pass time of an executable through a checkpoint |
| US7721334B2 (en) | 2004-01-30 | 2010-05-18 | Microsoft Corporation | Detection of code-free files |
| US7512658B2 (en) | 2004-02-26 | 2009-03-31 | International Business Machines Corporation | Providing a portion of an electronic mail message based upon a transfer rate, a message size, and a file format |
| US7607172B2 (en) | 2004-03-02 | 2009-10-20 | International Business Machines Corporation | Method of protecting a computing system from harmful active content in documents |
| US8186026B2 (en) | 2004-03-03 | 2012-05-29 | Rockstar Bidco, LP | Technique for maintaining secure network connections |
| US7451394B2 (en) | 2004-04-30 | 2008-11-11 | Convergys Cmg Utah | System and method for document and data validation |
| US7444521B2 (en) | 2004-07-16 | 2008-10-28 | Red Hat, Inc. | System and method for detecting computer virus |
| GB0418066D0 (en) | 2004-08-13 | 2004-09-15 | Ibm | A prioritization system |
| US20060044605A1 (en) | 2004-08-24 | 2006-03-02 | Schneider Charles R | Systems, methods and computer program products for labeled forms processing |
| US7810035B2 (en) * | 2004-10-15 | 2010-10-05 | Microsoft Corporation | Browsing web content using predictive navigation links |
| WO2006047163A2 (en) | 2004-10-26 | 2006-05-04 | Priderock, L.L.C. | System and method for identifying and removing malware on a computer system |
| US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
| US7636856B2 (en) | 2004-12-06 | 2009-12-22 | Microsoft Corporation | Proactive computer malware protection through dynamic translation |
| US8037534B2 (en) | 2005-02-28 | 2011-10-11 | Smith Joseph B | Strategies for ensuring that executable content conforms to predetermined patterns of behavior (“inverse virus checking”) |
| US7836133B2 (en) * | 2005-05-05 | 2010-11-16 | Ironport Systems, Inc. | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources |
| US20060272006A1 (en) | 2005-05-27 | 2006-11-30 | Shaohong Wei | Systems and methods for processing electronic data |
| GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
| US20070056035A1 (en) | 2005-08-16 | 2007-03-08 | Drew Copley | Methods and systems for detection of forged computer files |
| US20070067397A1 (en) | 2005-09-19 | 2007-03-22 | Available For Licensing | Systems and methods for sharing documents |
| US7756834B2 (en) | 2005-11-03 | 2010-07-13 | I365 Inc. | Malware and spyware attack recovery system and method |
| GB2444514A (en) | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
| US8468244B2 (en) * | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
| US9152789B2 (en) | 2008-05-28 | 2015-10-06 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
| US8595282B2 (en) * | 2008-06-30 | 2013-11-26 | Symantec Corporation | Simplified communication of a reputation score for an entity |
| US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8181251B2 (en) * | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
| US8683584B1 (en) * | 2009-04-25 | 2014-03-25 | Dasient, Inc. | Risk assessment |
| US9009820B1 (en) | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
| US10397246B2 (en) | 2010-07-21 | 2019-08-27 | Radware, Ltd. | System and methods for malware detection using log based crowdsourcing analysis |
| JP5569935B2 (ja) * | 2010-07-23 | 2014-08-13 | 日本電信電話株式会社 | ソフトウェア検出方法及び装置及びプログラム |
| US20130006701A1 (en) * | 2011-07-01 | 2013-01-03 | International Business Machines Corporation | Assessing and managing risks of service related changes based on dynamic context information |
| US20130074143A1 (en) | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
| US9177142B2 (en) * | 2011-10-14 | 2015-11-03 | Trustwave Holdings, Inc. | Identification of electronic documents that are likely to contain embedded malware |
| US9213837B2 (en) * | 2011-12-06 | 2015-12-15 | Raytheon Cyber Products, Llc | System and method for detecting malware in documents |
| CN102571767A (zh) * | 2011-12-24 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 文件类型识别方法及文件类型识别装置 |
| US8813239B2 (en) * | 2012-01-17 | 2014-08-19 | Bitdefender IPR Management Ltd. | Online fraud detection dynamic scoring aggregation systems and methods |
| US9674211B2 (en) * | 2013-01-30 | 2017-06-06 | Skyhigh Networks, Inc. | Cloud service usage risk assessment using darknet intelligence |
| GB2518880A (en) | 2013-10-04 | 2015-04-08 | Glasswall Ip Ltd | Anti-Malware mobile content data management apparatus and method |
| US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
-
2015
- 2015-01-20 US US14/600,431 patent/US9330264B1/en active Active
- 2015-11-25 WO PCT/EP2015/077634 patent/WO2016083447A1/en active Application Filing
- 2015-11-25 DK DK15801391.2T patent/DK3224755T3/da active
- 2015-11-25 TW TW104139085A patent/TW201640384A/zh unknown
- 2015-11-25 AU AU2015352524A patent/AU2015352524B2/en active Active
- 2015-11-25 CA CA2968896A patent/CA2968896A1/en active Pending
- 2015-11-25 EP EP15801391.2A patent/EP3224755B1/en active Active
- 2015-11-25 CN CN201580065239.XA patent/CN107004090A/zh active Pending
- 2015-11-25 MY MYPI2017701883A patent/MY189945A/en unknown
- 2015-11-25 JP JP2017528182A patent/JP6450845B2/ja active Active
- 2015-11-25 ES ES15801391T patent/ES2846810T3/es active Active
-
2016
- 2016-03-28 US US15/082,791 patent/US9729564B2/en active Active
-
2017
- 2017-06-27 US US15/634,654 patent/US10360388B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| DK3224755T3 (da) | 2021-02-01 |
| JP6450845B2 (ja) | 2019-01-09 |
| AU2015352524A1 (en) | 2017-06-29 |
| US9330264B1 (en) | 2016-05-03 |
| JP2018508054A (ja) | 2018-03-22 |
| US9729564B2 (en) | 2017-08-08 |
| CA2968896A1 (en) | 2016-06-02 |
| EP3224755B1 (en) | 2020-11-04 |
| US20160212161A1 (en) | 2016-07-21 |
| TW201640384A (zh) | 2016-11-16 |
| MY189945A (en) | 2022-03-22 |
| CN107004090A (zh) | 2017-08-01 |
| US20160147998A1 (en) | 2016-05-26 |
| AU2015352524B2 (en) | 2018-11-15 |
| WO2016083447A1 (en) | 2016-06-02 |
| US10360388B2 (en) | 2019-07-23 |
| US20170293764A1 (en) | 2017-10-12 |
| EP3224755A1 (en) | 2017-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2846810T3 (es) | Un método analítico estadístico para la determinación del riesgo que plantea el contenido basado en archivos | |
| US11637867B2 (en) | Cyber security sharing and identification system | |
| Mansfield et al. | Unmanned aerial vehicle smart device ground control station cyber security threat model | |
| CN105210042B (zh) | 互联网协议威胁防护 | |
| Virvilis et al. | Mobile devices: A phisher's paradise | |
| US20240007487A1 (en) | Asset Remediation Trend Map Generation and Utilization for Threat Mitigation | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| US8701196B2 (en) | System, method and computer program product for obtaining a reputation associated with a file | |
| Bello et al. | Technical and behavioural training and awareness solutions for mitigating ransomware attacks | |
| Goh | Humans as the weakest link in maintaining cybersecurity: Building cyber resilience in humans | |
| Echeverría et al. | Are ecuadorian millennials prepared against a cyberattack? | |
| EP4222923B1 (en) | Malware infection mitigation of critical computer systems | |
| Ahuja et al. | Security & Privacy Model for Work from Home Paradigm | |
| Goh et al. | The Importance of the Human-Centric Approach in Combating Cyber Threats | |
| Jones | Social Media and the Effects on the Everyday User | |
| Sarowa et al. | Analysis of Cyber Attacks and Cyber Incident Patterns over APCERT Member Countries | |
| Canzani et al. | Towards an understanding of the IT security information ecosystem | |
| Naumovski et al. | Social engineering in the context of cyber security | |
| Paul et al. | Information Assurance and Allied Aspects Emphasizing IT Risk Management | |
| Paradiso | Mobile Devices | |
| Zaman | Internet of Things (IoT) data protection and security concerns-Review |