JP6346632B2 - モバイルデバイスでの悪質なファイルを検出するシステム及び方法 - Google Patents
モバイルデバイスでの悪質なファイルを検出するシステム及び方法 Download PDFInfo
- Publication number
- JP6346632B2 JP6346632B2 JP2016093072A JP2016093072A JP6346632B2 JP 6346632 B2 JP6346632 B2 JP 6346632B2 JP 2016093072 A JP2016093072 A JP 2016093072A JP 2016093072 A JP2016093072 A JP 2016093072A JP 6346632 B2 JP6346632 B2 JP 6346632B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- instructions
- methods
- classes
- comparison
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 199
- 239000013598 vector Substances 0.000 claims description 104
- 238000004458 analytical method Methods 0.000 claims description 38
- 238000005457 optimization Methods 0.000 description 19
- 230000002155 anti-virotic effect Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 17
- 238000001514 detection method Methods 0.000 description 11
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000018109 developmental process Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 125000000524 functional group Chemical group 0.000 description 1
- 230000029052 metamorphosis Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Description
ハードウェアプロセッサによって、少なくとも1つ又は複数のクラス、及び、1つ又は複数のクラスに含まれる1つ又は複数のメソッドを識別するために、ファイルを解析する工程と、
ハードウェアプロセッサによって、識別された各メソッド用のバイトコード配列を識別する工程と、
ハードウェアプロセッサによって、対応する操作コードを識別することにより、各メソッドの前記バイトコード配列から、各メソッドに含まれる命令を決定する工程と、
ハードウェアプロセッサによって、前記命令の中にある類似の機能性に基づいて、各メソッド用の決定された命令を、複数のグループに分割する工程と、
ハードウェアプロセッサによって、命令を複数のグループに分割した結果に基づいて、各メソッド用のベクトルを形成する工程と、
ハードウェアプロセッサによって、比較されたベクトル間での類似度を決定するために、前記解析ファイルのメソッド用の形成されたベクトルを、データベースに格納されている既知の悪質なファイルの複数のベクトルと比較する工程と、
ハードウェアプロセッサによって、比較されたベクトル間の類似度に基づいて、解析ファイルが悪質又はクリーンであるかについて決定する工程を含む。
標準ライブラリのパッケージに属するクラス及びメソッドを比較から除外する工程と、
単一のメソッドを含まないクラスを比較から除外する工程と、
2つ又はそれより少ない命令を含むメソッドを比較から除外する工程と、
これらのファイルにおけるクラスとメソッドの総数(全体的な数)と、チェックされているファイルにおけるクラスとメソッドの総数との比較が、25%を超えて異なる場合、データベースに格納されているベクトルを持つファイルを比較からさらに除外する工程と、
比較されているファイルのクラス又はメソッドのサイズが25%を超えて異なる場合、前記比較されているファイルにおけるクラス又はメソッドを更なる比較から除外する工程と、
単一のクラスに含まれているだけのメソッドのベクトルを、前記比較から除外する工程と、
のうち、1つ又は複数を実行する工程を含む。
ハードウェアプロセッサが、
少なくとも1つ又は複数のクラス及び、前記1つ又は複数のクラスに含まれる1つ又は複数のメソッドを識別するためにファイルを解析し、
識別された各メソッド用のバイトコード配列を識別し、
対応する操作コードを識別することにより、各メソッドの前記バイトコード配列から、各メソッドに含まれる命令を決定し、
前記命令の中の類似の機能性に基づいて、各メソッド用の前記決定された命令を、複数のグループに分割し、
前記命令を複数のグループに分割した結果に基づいて、各メソッド用のベクトルを形成し、
前記比較されたベクトル間の類似度を決定するために、前記解析ファイルのメソッド用の前記形成されたベクトルを、データベースに格納されている既知の悪質なファイルの複数のベクトルを比較し、
および、前記比較されたベクトルの間の類似度に基づいて、前記解析ファイルが悪質又はクリーンであるかについて決定する、
ように構成されている。
少なくとも1つ又は複数のクラス、及び前記1つ又は複数のクラスに含まれる1つ又は複数のメソッドを識別するために、ファイルを解析する命令と、
識別された各メソッド用のバイトコード配列を識別する命令と、
対応する操作コードを識別することにより、各メソッドの前記バイトコード配列から、各メソッドに含まれる命令を決定する命令と、
前記命令の中の類似の機能性に基づいて、各メソッド用の前記決定された命令を、複数のグループに分割する命令と、
前記命令を複数のグループに分割した結果に基づいて、各メソッド用のベクトルを形成する命令と、
前記比較されたベクトルの間の類似度を決定するために、前記解析ファイルのメソッド用の形成されたベクトルを、データベースに格納された既知の悪質なファイルの複数のベクトルと比較する命令と、
前記比較されたベクトル間の類似度に基づいて、前記解析ファイルが悪質又はクリーンであるかについて決定する命令と、を含む。
従って、アンチウィルスの保護を必要とするモバイルデバイスでの実行ファイルは、一般的に、DEXフォーマット100の実行ファイル(ファイル1、ファイル2、ファイル3及び、ファイルN、ファイル100の各々)である。従って、各ファイル100の実行前に、検出システム200は、ファイル100のアンチウィルスチェックを実行することができる。
同様に、1つの例示的な態様で、検出システム220は最適化モジュール250を含む。
さらに、検出モジュール200は、アンチウィルスサーバ280等のリモートサーバと接続することができる。
例えば、サーバ280との接続は、インターネット270を介してなされるだろう。アンチウィルスサーバ280は、解析モジュール210、ベクトル生成手段220、及び比較モジュール230の機能を提供する1つの例示的な態様を含む。この場合、解析モジュール210、ベクトル生成モジュール220、及び、比較モジュール230は、それらのタスクの一部又は全ての方向を、アンチウィルスサーバ280における対応するモジュールに変えることができる。
その後、解析モジュール210、ベクトル生成モジュール220、及び比較モジュール230は、検出システム220が動作するために、必要な情報を送受信しつつ、監視手段として、機能するだろう。
さらに他の実施態様で、前述したモジュール210、220、230、240、及び250が、リモートサーバ280に配置されることができ、そしてその後、通信モジュール290は、相互で作用する前記モジュールとモバイルデバイス20のタスクを実行することができる。
例えば、通信モジュール290は、実行されるアンチウィルスチェックを持つ必要があるファイル、又は、アンチウィルスチェック(ファイルのハッシュ合計等)を実行するのに充分なファイルでのデータを送信するだろう。
それゆえ、1つの例示的な態様での検出システム200は、分散型の検出システムであり得る。
この後、ファイルの内容の構成、すなわち、メソッド及びクラスに関する情報は、決定される。
ファイルの逆アセンブリのために、モジュール210は、逆アセンブリ機能であってもよく、又はそれを含んでいてもよい。他の例示的な態様では、切り離されたファイルは、ファイルを逆コンパイルするよって得られることができる。
ファイルを逆コンパイラするために、解析モジュール210は、ファイルの逆コンパイル機能であってもよく、又はそれを含んでいてもよく、逆コンパイラ“ApkTool”等、DEXフォーマットのファイルを切り離しておくように構成されている。
ある命令における、対応する機能グループ(以下、グループ)のどれに属するのであるかの決定は、例えば、対応関係のテーブルを用いて行うことができ、その例は、表2である。表2によれば、あるグループへの命令の所属は、命令のオペコードによって決定することができる。
表 2
各グループの例は、論理的な意味を持たない命令群(例えば、レジスタ間のデータを転送するための命令等)、定数を操作するための命令群、フィールドを操作するための命令群、コールのための命令群、転送の傍受及び/又は制御する命令群でありえる。
ここで、Mは、メソッドであり、F(M)は、メソッドの機能マップである。
mは、メソッドに対応するn次元空間内の点であり、かつ
は、指定されたグループに応じて、その語義的な値によってオペコードを分割したものである。
ここで、diffは、関連する2つの点間の距離である。
全く論理的な意味を持たない命令(レジスタ間でデータを転送する命令等)を記述したグループ、定数を操作するための命令を記述したグループ、フィールドを操作するためのグループ、コールのグループ、及び/又は、転送のグループ。
グループへの分割の原理は、命令のオペコードに付随する第一のバイトが抽出される時に、各命令に対してのバイトコード解析の実行に基づいている。分割の原理の一例として、図2の説明が提示される。
ユーザは、入力デバイス(キーボード40、マウス42)で、パーソナルコンピュータ20に、コマンドと情報を入力することができる。他の入力デバイス(図示せず)として、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることができる。そのような入力デバイスは、通常、シリアルポート46を介してコンピュータシステム20に接続され、それは、順番に、システムバスに接続される。それらは、他の方法(例えば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(USB))を用いて接続できる。モニター47又は他の種類の表示デバイスもまた、ビデオアダプタ48などのインターフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンター等の他の周辺出力デバイス(図示せず)を搭載することができる。
Claims (18)
- 悪質なファイルを検出するための方法であって、前記方法は、
ハードウェアプロセッサによって、オブジェクト指向プログラム言語にて書かれたコードを含むファイルを解析して、解析された前記ファイルの少なくとも1つ又は複数のクラス、及び、前記1つ又は複数のクラスに含まれる1つ又は複数のメソッドを識別する、ファイルを解析する工程と、
前記ハードウェアプロセッサによって、解析された前記ファイルの、識別された前記1つ又は複数のクラスの数及び識別された前記1つ又は複数のメソッドの数を決定する工程と、
前記ハードウェアプロセッサによって、前記識別された各メソッド用のバイトコード配列を識別する工程と、
前記ハードウェアプロセッサによって、対応する操作コードを識別することにより、各メソッドの前記バイトコード配列から、各メソッドに含まれる命令を決定する工程と、
前記ハードウェアプロセッサによって、前記命令の中にある類似の機能性に基づいて、各メソッド用の前記決定された命令を、複数のグループに分割する工程と、
前記ハードウェアプロセッサによって、前記命令を前記複数のグループに分割した結果に基づいて、各メソッド用のベクトルを形成する工程と、
解析された前記ファイルの、前記メソッドの数及び前記クラスの数のうちの少なくとも一方をデータベース内の既知の悪質なファイルと比較して、分析された前記ファイルの前記クラスの数及び前記メソッドの数よりも所定のパーセンテージ少ないクラスの数及びメソッドの数のうちの少なくとも一方を有する比較のための前記既知の悪質なファイルを識別する、比較工程と、
前記ハードウェアプロセッサによって、比較されたベクトル間での類似度を決定するために、前記解析ファイルのメソッド用の形成されたベクトルを、識別された比較用の前記既知の悪質なファイルの複数のベクトルと比較する工程と、
前記ハードウェアプロセッサによって、前記比較されたベクトル間の類似度に基づいて、前記解析ファイルが悪質又はクリーンであるかについて、決定する工程と、
を含み、
各メソッド用の前記ベクトルは、n次元ユークリッド空間内の点を含む、方法。 - ファイルを解析する工程は、前記ファイルを逆アセンブリ及び逆コンパイルする工程を1つ又は複数含む、
請求項1に記載の方法。 - 前記命令は、前記バイトコード配列のセマンティック値に基づいて、グループに分けられる、
請求項1に記載の方法。 - 前記複数のグループは、
論理的な意味を持たない命令、定数を操作する命令、フィールドを操作する命令、コール又は傍受に関連する命令、
のうち、1つ又は複数のグループを含む、
請求項1に記載の方法。 - 前記ベクトルを比較する工程は、n次元ユークリッド空間におけるそれらの関連する2つの点間の距離を比較する工程を含む、
請求項1に記載の方法。 - 前記ベクトルを比較する工程は、
標準ライブラリのパッケージに属する、クラス及びメソッドを前記比較から除外する工程、
単一のメソッドを含まないクラスを前記比較から除外する工程、
2つ又はそれより少ない命令を含むメソッドを前記比較から除外する工程、
単一のクラスに含まれているだけのメソッドのベクトルを、前記比較から除外する工程、
のうち、1つ又は複数を実行する工程を含む、
請求項1に記載の方法。 - 悪質なファイルを検出するためのシステムであって、
ハードウェアプロセッサが、
オブジェクト指向プログラム言語にて書かれたコードを含むファイルを解析して、解析された前記ファイルの少なくとも1つ又は複数のクラス、及び、前記1つ又は複数のクラスに含まれる1つ又は複数のメソッドを識別し、
解析された前記ファイルの、識別された前記1つ又は複数のクラスの数及び識別された前記1つ又は複数のメソッドの数を決定し、
識別された各メソッド用のバイトコード配列を識別し、
対応する操作コードを識別することにより、各メソッドの前記バイトコード配列から、各メソッドに含まれる命令を決定し、
前記命令の中の類似の機能性に基づいて、各メソッド用の前記決定された命令を、複数のグループに分割し、
前記命令を複数のグループに分割した結果に基づいて、各メソッド用のベクトルを形成し、
解析された前記ファイルの、前記メソッドの数及び前記クラスの数のうちの少なくとも一方をデータベース内の既知の悪質なファイルと比較して、分析された前記ファイルの前記クラスの数及び前記メソッドの数よりも所定のパーセンテージ少ないクラスの数及びメソッドの数のうちの少なくとも一方を有する比較のための前記既知の悪質なファイルを識別し、
前記比較されたベクトル間の類似度を決定するために、前記解析ファイルのメソッド用の前記形成されたベクトルを、識別された比較用の前記既知の悪質なファイルの複数のベクトルを比較し、
および、前記比較されたベクトルの間の類似度に基づいて、前記解析ファイルが悪質又はクリーンであるかについて決定する、
ように構成され、
各メソッド用の前記ベクトルは、n次元ユークリッド空間内の点を含む、システム。 - 前記ファイルを解析することは、前記ファイルを逆アセンブリ及び逆コンパイルする工程を1つ又は複数含む、請求項7に記載のシステム。
- 前記命令は、前記バイトコード配列のセマンティック値に基づいて、グループに分けられる、請求項7に記載のシステム。
- 前記複数のグループは、
論理的な意味を持たない命令、定数を操作する命令、フィールドを操作する命令、コール又は傍受に関連する命令、
のうち、1つ又は複数のグループを含む、請求項7に記載のシステム。 - 前記ベクトルを比較することは、n次元ユークリッド空間におけるそれらの関連する2つの点間の距離を比較することを含む、
請求項7に記載のシステム。 - 前記ベクトルの比較は、
標準ライブラリのパッケージに属する、クラス及びメソッドを前記比較からの除外、
単一のメソッドを含まないクラスを前記比較からの除外、
2つ又はそれより少ない命令を含むメソッドを前記比較からの除外、
単一のクラスに含まれているだけのメソッドのベクトルを、前記比較からの除外、
のうち、1つ又は複数を実行することを含む、
請求項7に記載のシステム。 - 悪質なファイルを検出するため、コンピュータ実行可能命令を格納する一時的でないコンピュータ可読媒体であって、前記命令は、
オブジェクト指向プログラム言語にて書かれたコードを含むファイルを解析して、解析された前記ファイルの少なくとも1つ又は複数のクラス、及び前記1つ又は複数のクラスに含まれる1つ又は複数のメソッドを識別するために、ファイルを解析する命令と、
ハードウェアプロセッサによって、解析された前記ファイルの、識別された前記1つ又は複数のクラスの数及び識別された前記1つ又は複数のメソッドの数を決定する命令と、
識別された各メソッド用のバイトコード配列を識別する命令と、
対応する操作コードを識別することにより、各メソッドの前記バイトコード配列から、各メソッドに含まれる命令を決定する命令と、
前記命令の中の類似の機能性に基づいて、各メソッド用の前記決定された命令を、複数のグループに分割する命令と、
前記命令を複数のグループに分割した結果に基づいて、各メソッド用のベクトルを形成する命令と、
解析された前記ファイルの、前記メソッドの数及び前記クラスの数のうちの少なくとも一方をデータベース内の既知の悪質なファイルと比較して、分析された前記ファイルの前記クラスの数及び前記メソッドの数よりも所定のパーセンテージ少ないクラスの数及びメソッドの数のうちの少なくとも一方を有する比較のための前記既知の悪質なファイルを識別する、比較命令と、
前記比較されたベクトルの間の類似度を決定するために、前記解析ファイルのメソッド用の形成されたベクトルを、識別された比較用の前記既知の悪質なファイルの複数のベクトルと比較する命令と、
前記比較されたベクトル間の類似度に基づいて、前記解析ファイルが悪質又はクリーンであるかについて決定する命令と、を含み、
各メソッド用の前記ベクトルは、n次元ユークリッド空間内の点を含む、一時的でないコンピュータ可読媒体。 - ファイルの解析は、前記ファイルを逆アセンブリ及び逆コンパイルする工程を1つ又は複数含む、請求項13に記載の一時的でないコンピュータ可読媒体。
- 前記命令は、前記バイトコード配列のセマンティック値に基づいて、グループに分けられる、請求項13に記載の一時的でないコンピュータ可読媒体。
- 前記複数のグループは、
論理的な意味を持たない命令、定数を操作する命令、フィールドを操作する命令、コール又は傍受に関連する命令、
のうち、1つ又は複数のグループを含む、
請求項13に記載の一時的でないコンピュータ可読媒体。 - 前記ベクトルの比較は、n次元ユークリッド空間におけるそれらの関連する2つの点間の距離の比較を含む、
請求項13に記載の一時的でないコンピュータ可読媒体。 - 前記ベクトルの比較は、
標準ライブラリのパッケージに属する、クラス及びメソッドを前記比較からの除外、
単一のメソッドを含まないクラスを前記比較からの除外、
2つ又はそれより少ない命令を含むメソッドを前記比較からの除外、
単一のクラスに含まれているだけのメソッドのベクトルを、前記比較の除外、
のうち、1つ又は複数を実行することを含む、
請求項13に記載の一時的でないコンピュータ可読媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015125969A RU2614557C2 (ru) | 2015-06-30 | 2015-06-30 | Система и способ обнаружения вредоносных файлов на мобильных устройствах |
RU2015125969 | 2015-06-30 | ||
US14/849,044 | 2015-09-09 | ||
US14/849,044 US9553889B1 (en) | 2015-06-30 | 2015-09-09 | System and method of detecting malicious files on mobile devices |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017021776A JP2017021776A (ja) | 2017-01-26 |
JP6346632B2 true JP6346632B2 (ja) | 2018-06-20 |
Family
ID=57684519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016093072A Active JP6346632B2 (ja) | 2015-06-30 | 2016-05-06 | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9553889B1 (ja) |
JP (1) | JP6346632B2 (ja) |
RU (1) | RU2614557C2 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10296323B2 (en) * | 2016-02-02 | 2019-05-21 | ZeroTurnaround AS | System and method for fast initial and incremental deployment of apps |
US10699212B2 (en) | 2016-07-11 | 2020-06-30 | International Business Machines Corporation | Cross-platform program analysis using machine learning based on universal features |
JP7131946B2 (ja) * | 2017-04-20 | 2022-09-06 | Line株式会社 | アプリケーションの保安性を評価する方法およびシステム |
US10089467B1 (en) * | 2017-05-23 | 2018-10-02 | Malwarebytes Inc. | Static anomaly-based detection of malware files |
RU2651196C1 (ru) | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
EP3462354B1 (en) | 2017-09-29 | 2020-04-08 | AO Kaspersky Lab | System and method for detection of anomalous events based on popularity of their convolutions |
RU2696236C1 (ru) * | 2018-06-29 | 2019-07-31 | Акционерное общество "Лаборатория Касперского" | Способ формирования запроса информации о файле при антивирусной проверке с целью исключения ложного срабатывания |
RU2724710C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ классификации объектов вычислительной системы |
CN109670310B (zh) * | 2019-01-28 | 2023-04-18 | 杭州师范大学 | 一种基于半监督K-Means聚类算法的Android恶意软件检测方法 |
US10992703B2 (en) | 2019-03-04 | 2021-04-27 | Malwarebytes Inc. | Facet whitelisting in anomaly detection |
CN110210224B (zh) * | 2019-05-21 | 2023-01-31 | 暨南大学 | 一种基于描述熵的大数据移动软件相似性智能检测方法 |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2722692C1 (ru) * | 2020-02-21 | 2020-06-03 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система выявления вредоносных файлов в неизолированной среде |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
US11356853B1 (en) * | 2020-09-22 | 2022-06-07 | Trend Micro Incorporated | Detection of malicious mobile apps |
US11481475B2 (en) * | 2020-11-03 | 2022-10-25 | Capital One Services, Llc | Computer-based systems configured for automated computer script analysis and malware detection and methods thereof |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
CN114143084B (zh) * | 2021-11-30 | 2024-02-23 | 安天科技集团股份有限公司 | 恶意域名判定方法、装置、电子设备及存储介质 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1489491A1 (en) * | 2003-06-19 | 2004-12-22 | Texas Instruments Incorporated | Dynamically changing the semantic of an instruction |
US7707566B2 (en) * | 2003-06-26 | 2010-04-27 | Microsoft Corporation | Software development infrastructure |
US7950059B2 (en) | 2003-12-30 | 2011-05-24 | Check-Point Software Technologies Ltd. | Universal worm catcher |
US8046834B2 (en) * | 2005-03-30 | 2011-10-25 | Alcatel Lucent | Method of polymorphic detection |
US20070094734A1 (en) * | 2005-09-29 | 2007-04-26 | Mangione-Smith William H | Malware mutation detector |
US8370818B2 (en) * | 2006-12-02 | 2013-02-05 | Time Warner Cable Inc. | Methods and apparatus for analyzing software interface usage |
US8370931B1 (en) | 2008-09-17 | 2013-02-05 | Trend Micro Incorporated | Multi-behavior policy matching for malware detection |
US8266698B1 (en) | 2009-03-09 | 2012-09-11 | Symantec Corporation | Using machine infection characteristics for behavior-based detection of malware |
JP2011034377A (ja) * | 2009-08-03 | 2011-02-17 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
US20120072988A1 (en) | 2010-03-26 | 2012-03-22 | Telcordia Technologies, Inc. | Detection of global metamorphic malware variants using control and data flow analysis |
US8464345B2 (en) * | 2010-04-28 | 2013-06-11 | Symantec Corporation | Behavioral signature generation using clustering |
US8826439B1 (en) * | 2011-01-26 | 2014-09-02 | Symantec Corporation | Encoding machine code instructions for static feature based malware clustering |
RU2535175C2 (ru) * | 2012-12-25 | 2014-12-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного программного обеспечения путем создания изолированной среды |
US9213839B2 (en) * | 2013-03-14 | 2015-12-15 | Huawei Technologies Co., Ltd. | Malicious code detection technologies |
CA2913930A1 (en) * | 2013-05-30 | 2014-12-04 | Ryan O'BOYLE | Systems and methods for remote analysis of software applications |
-
2015
- 2015-06-30 RU RU2015125969A patent/RU2614557C2/ru active
- 2015-09-09 US US14/849,044 patent/US9553889B1/en active Active
-
2016
- 2016-05-06 JP JP2016093072A patent/JP6346632B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
RU2614557C2 (ru) | 2017-03-28 |
RU2015125969A (ru) | 2017-01-11 |
US20170006045A1 (en) | 2017-01-05 |
JP2017021776A (ja) | 2017-01-26 |
US9553889B1 (en) | 2017-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6346632B2 (ja) | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 | |
RU2706896C1 (ru) | Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле | |
JP6670907B2 (ja) | スクリプトの実行をブロックするシステム及び方法 | |
JP6196393B2 (ja) | プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法 | |
US11089038B2 (en) | Safe sharing of sensitive data | |
US9135443B2 (en) | Identifying malicious threads | |
JP6277224B2 (ja) | 仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法 | |
US10339301B2 (en) | System and method of analysis of files for maliciousness in a virtual machine | |
US11048795B2 (en) | System and method for analyzing a log in a virtual machine based on a template | |
Zakeri et al. | A static heuristic approach to detecting malware targets | |
EP3113065B1 (en) | System and method of detecting malicious files on mobile devices | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
US11170103B2 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
US10546125B1 (en) | Systems and methods for detecting malware using static analysis | |
US11886584B2 (en) | System and method for detecting potentially malicious changes in applications | |
EP3588346B1 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
EP4095727A1 (en) | System and method for detecting potentially malicious changes in applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170815 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170829 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180404 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180522 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180525 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6346632 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |