JP6736532B2 - 静的分析の要素を用いた悪質なファイルを検出するためのシステム及び方法 - Google Patents
静的分析の要素を用いた悪質なファイルを検出するためのシステム及び方法 Download PDFInfo
- Publication number
- JP6736532B2 JP6736532B2 JP2017177984A JP2017177984A JP6736532B2 JP 6736532 B2 JP6736532 B2 JP 6736532B2 JP 2017177984 A JP2017177984 A JP 2017177984A JP 2017177984 A JP2017177984 A JP 2017177984A JP 6736532 B2 JP6736532 B2 JP 6736532B2
- Authority
- JP
- Japan
- Prior art keywords
- resources
- file
- rules
- rule
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Evolutionary Computation (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
これらのデバイス上で動作するコンピューティングデバイスとソフトウェアの数の増加と並行して、悪質なプログラムの数も急速に増加している。
・静的分析―分析中(その際、静的分析を介する)のプログラムを構成するファイルに含まれるデータに基づいた、分析されるプログラムの作業の起動又はエミュレーションを含む、プログラムの有害性の分析を行う。
・署名分析―分析されるプログラムの特定のコードセクションの、悪質なプログラムの署名のデータベースの中から得られた既知のコード(署名)との対応を検索する。
・ホワイトリスト及びブラックリスト―悪質なプログラムのチェックサムのデータベース(ブラックリスト)、又は安全なプログラムのチェックサムのデータベース(ホワイトリスト)内において、分析されるプログラムに対し計算されたチェックサム(又はその一部)を検索する。
・動的分析―分析中のプログラムの作業の実行中又はエミュレーションの過程(その際、動的分析を介する)で得られたデータに基づいて、プログラムの有害性の分析を行う。
・ヒューリスティック分析−分析されるプログラムの作業のエミュレーション、エミュレーションログの生成(API関数呼び出しに関するデータ、送信されたパラメータ、分析されるプログラムのコードセクション等を含む)、及び悪質なプログラムのエミュレートされた署名に関するデータベースから得られたデータを使用して生成されたログからのデータの対応関係の検索を実行する。
・プロアクティブな保護―分析される実行プログラムのAPI関数呼び出しの傍受、分析されるプログラムの作業に関するログの生成(API関数呼び出しに関するデータ、送信されたパラメータ、分析されるプログラムのコードセクション等)、及び悪質なプログラムの呼び出しに関するデータベースから得られたデータを使用して生成されたログからのデータの対応関係を検索する。
前記悪質なファイルリソースの前記データベースにおいて、計算された前記ハッシュサムに基づいて少なくとも1つの前記第2の規則を特定する。
特定の実装形態では、モジュールの少なくとも一部、場合によってはその全てを汎用コンピュータのプロセッサ上で実行することができる。従って、各モジュールは、様々な適切な構成により実現することができ、本明細書に例示された例示的な実装に限定されるわけではない。
・分析対象のファイルから得られた画像から、YUV成分を形成する(ここで、YUV成分は、明るさY及び2つの色度U及びVという指標により、その画像を構成する点の色を表す色モデルにおいて前記画像を記述するデータを構成する)。
・形成された各成分について、色合いの頻度分布が最も暗いもの(0)から最も明るいもの(255)までを計算し、256成分の距離ベクトルを形成し、データ配列(行データ)を構成する。
・形成されたベクトルは、潜在的なキー(候補キー、以下、単にキー)として使用されるデータ配列(即ち、入力された他のデータの検索を実行するために使用されるデータ)を同様に構成し、悪質なファイルのリソースのデータベース160から得られた他の256成分の距離べクトルと比較される。そしてこの目的のために、形成されたベクトルとキーとのスカラー積(ベクトル間の角度が計算される)を計算する。
・計算されたスカラー積の値が所定の値よりも小さい場合には、上述のベクトルが形成される基礎となるような画像は、類似しているとみなされる。
r_1→ m_1=0.251
r_2→ m_1=0.374
更に、以前に計算された類似度の算術平均として類似度の合計を計算する:
{r_i}→ m_1=0.3125
s_limit=ave(min({s_clean}),max({s_malvare}))
ここで、s_limitは類似度の閾値、s_cleanは安全なファイルの類似度、s_malvareは悪質なファイルの類似度、である。
リソースセクションから:Windowsリソースの「.rsrc」、アプリケーション「main.ico」のメインアイコン(RC_ICON)、マニフェスト「manifest.txt」(RC_MANIFEST)、メインウィンドウダイアログ「DIALOG_Main」(RC_DIALOG)、メインウィンドウメニュー「MENU_Main」(RC_MENU)。
コードセクションから:ファイル「movie.avi.exe」の生成に使用された開発環境に関する「.text」データ、開発環境「Embarcadero Delphi 10.2」の名称とバージョン。
データセクションから:ファイル「movie.avi.exe」のパッキングソフトウェア上の「data」データ、パッキングソフトウェア「ASProtect 32(SKE)2.70」の名称とバージョン。
r_1: main.ico → manifest.txt ("Internet Explorer")
r_2: "Embarcadero Delphi" → manifest.txt ("Internet Explorer")
r_3: "ASProtect 32 (SKE) 2.70" → main.ico
r_4: DIALOG_Main → MENU_Main
規則を検索する際、規則を検索するように構成されたモジュール130は、抽出されたファイル「movie.avi.exe」のリソースからの知覚ハッシュサムを使用するので、ファイル「movie.avi.exe」から抽出されたリソースと類似しているような(必ずしも同一ではない)、悪質なファイルのリソース間の機能的依存性を確立する規則が検出される。
App_main.ico→app_manifest.info("Internet Explorer")
"Embarcadero Delphi"→app_manifest.info( "Internet Explorer")
そして、これを規則を比較するように構成されたモジュール140へと送信する。
s_1(r_1→m_1)=0.021
s_2(r_2→m_1)=0.178
s_3(r_3→m_1)=0.105,
ここで、規則を形成するように構成されたモジュール120が機能的依存性(DIALOG_Main、MENU_Main)を決定するようなリソースが、リソースを検索するように構成されたモジュール130によって、悪質なファイルのデータベース160内において規則の検索を行うのに使用されなかったため、類似度r_4→m_1についての計算は行われない。次に、規則を比較するように構成されたモジュール140は、類似度の合計を、以前に計算された類似度の幾何平均として計算する。即ち、
Claims (17)
- 電子ファイルが悪質であるかどうかをプロセッサが判定する方法であって、
抽出ステップと、形成ステップと、特定ステップと、計算ステップと、判定ステップとを備え、
前記抽出ステップでは、前記プロセッサがリソースを抽出するように構成されたモジュールを用いて、前記電子ファイルから複数のリソースを抽出し、
前記形成ステップでは、前記プロセッサが規則を形成するように構成されたモジュールを用いて、1つ又は複数の第1の規則を形成し、
前記第1の規則は、抽出されたリソースがノードである人工ニューラルネットを用いて、抽出された前記複数のリソース間の機能的依存性を確立し、
前記特定ステップでは、悪質なファイルのリソースのデータベースにおいて、前記プロセッサが規則を検索するように構成されたモジュールを用いて、1つ又は複数の第2の規則を特定し、
前記第2の規則は、抽出された前記複数のリソースのうちの1つ又は複数に関連付けられ、
前記計算ステップでは、前記プロセッサが規則を比較するように構成されたモジュールを用いて、前記第1及び第2の規則を比較して、これらの類似度を計算し、
前記判定ステップでは、算出された前記類似度が所定の閾値を超えた場合に、前記プロセッサが意思決定を実行するように構成されたモジュールを用いて、電子ファイルを悪質なファイルであると判定する、
方法。 - 請求項1に記載の方法において、
前記プロセッサが前記悪質なファイルの削除及び隔離のうちの少なくとも1つを更に実行する、
方法。 - 請求項1に記載の方法において、
前記抽出ステップでは、前記プロセッサが前記電子ファイルを生成するために使用される開発環境に関するリソース、前記電子ファイルをパックしたソフトウェアアプリケーションに関するリソース、及び前記電子ファイルの電子署名のうちの少なくとも1つを抽出する、
方法。 - 請求項1に記載の方法において、前記プロセッサが、
抽出された前記複数のリソースの少なくとも1つのハッシュサムを計算し、
前記悪質なファイルリソースの前記データベースにおいて、計算された前記ハッシュサムに基づいて少なくとも1つの前記第2の規則を特定する、
方法。 - 請求項1に記載の方法において、前記プロセッサが、
前記機能的依存性に基づいて、前記データベースにおいて少なくとも1つの前記第2の規則を更に特定する、
方法。 - 請求項5に記載の方法において、前記プロセッサが、
アイコンリソース、マニフェストリソース及びダイアログリソースを含む複数のリソースを抽出し、
前記リソースの少なくとも2つの間に前記機能的依存性を形成し、
前記少なくとも2つのリソース間の形成された機能的依存性に基づいて、少なくとも1つの前記第2の規則を前記データベース内で検索する、
方法。 - 請求項1に記載の方法において、前記プロセッサが、
判別分析によりパターン認識に基づいて類似度を更に計算し、
前記類似度は、前記第1及び第2の規則における前記各リソースの機能的依存性の間におけるものである、
方法。 - 電子ファイルが悪質であるかどうかを判定するシステムであって、少なくとも1つのデータベースと、少なくとも1つのプロセッサとを備え、
前記データベースは、複数の悪質なファイルリソースに関連する複数の規則を格納し、
前記プロセッサは、抽出ステップと、形成ステップと、特定ステップと、計算ステップと、判定ステップとを実行するように構成され、
前記抽出ステップでは、前記電子ファイルから複数のリソースを抽出し、
前記形成ステップでは、1つ又は複数の第1の規則を形成し、
前記第1の規則は、抽出されたリソースがノードである人工ニューラルネットを用いて、抽出された前記複数のリソース間の機能的依存性を確立し、
前記特定ステップでは、悪質なファイルのリソースのデータベースにおいて、1つ又は複数の第2の規則を特定し、
前記第2の規則は、抽出された前記複数のリソースのうちの1つ又は複数に関連付けられ、
前記計算ステップでは、前記第1及び第2の規則を比較して、これらの類似度を計算し、
前記判定ステップでは、算出された前記類似度が所定の閾値を超えた場合に、電子ファイルを悪質なファイルであると判定する、
システム。 - 請求項8に記載のシステムにおいて、
前記悪質なファイルの削除及び隔離のうちの少なくとも1つを更に実行する、
システム。 - 請求項8に記載のシステムにおいて、
前記電子ファイルを生成するために使用される開発環境に関するリソース、前記電子ファイルをパックしたソフトウェアアプリケーションに関するリソース、及び前記電子ファイルの電子署名のうちの少なくとも1つを抽出する、
システム。 - 請求項8に記載のシステムにおいて、
抽出された前記複数のリソースの少なくとも1つのハッシュサムを計算し、
前記悪質なファイルリソースの前記データベースにおいて、計算された前記ハッシュサムに基づいて少なくとも1つの前記第2の規則を特定する、
システム。 - 請求項8に記載のシステムにおいて、
前記機能的依存性に基づいて、前記データベースにおいて前記少なくとも1つの第2の規則を更に特定する、
システム。 - 請求項12に記載のシステムにおいて、
アイコンリソース、マニフェストリソース及びダイアログリソースを含む複数のリソースを抽出し、
前記リソースの少なくとも2つの間に前記機能的依存性を形成し、
前記少なくとも2つのリソース間の形成された機能的依存性に基づいて、少なくとも1つの前記第2のルールを前記データベース内で検索する、
システム。 - 請求項8に記載のシステムにおいて、
判別分析によりパターン認識に基づいて類似度を更に計算し、
前記類似度は、前記第1及び第2のルールにおける前記各リソースの機能的依存性の間におけるものである、
システム。 - コンピュータで実行可能な命令を含む非一時的なコンピュータ可読媒体であって、
前記命令は、
電子ファイルが悪質であるかどうかを判定するもので、
抽出ステップと、形成ステップと、特定ステップと、計算ステップと、判定ステップとを備え、
前記抽出ステップでは、前記電子ファイルから複数のリソースを抽出し、
前記形成ステップでは、1つ又は複数の第1の規則を形成し、
前記第1の規則は、抽出された複数のリソースがノードである人工ニューラルネットを用いて、抽出された前記複数のリソース間の機能的依存性を確立し、
前記特定ステップでは、悪質なファイルのリソースのデータベースにおいて、1つ又は複数の第2の規則を特定し、
前記第2の規則は、抽出された前記複数のリソースのうちの1つ又は複数に関連付けられ、
前記計算ステップでは、前記第1及び第2の規則を比較して、これらの類似度を計算し、
前記判定ステップでは、算出された前記類似度が所定の閾値を超えた場合に、電子ファイルを悪質なファイルであると判定する、
媒体。 - 請求項15に記載の媒体において、
前記命令によって、前記悪質なファイルの削除及び隔離のうちの少なくとも1つを更に実行する、
媒体。 - 請求項15に記載の媒体において、
前記命令によって、前記電子ファイルを生成するために使用される開発環境に関するリソース、前記電子ファイルをパックしたソフトウェアアプリケーションに関するリソース、及び前記電子ファイルの電子署名のうちの少なくとも1つを抽出する、
媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017121123 | 2017-06-16 | ||
RU2017121123A RU2654146C1 (ru) | 2017-06-16 | 2017-06-16 | Система и способ обнаружения вредоносных файлов с использованием элементов статического анализа |
US15/669,094 US10867038B2 (en) | 2017-06-16 | 2017-08-04 | System and method of detecting malicious files with the use of elements of static analysis |
US15/669,094 | 2017-08-04 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019003596A JP2019003596A (ja) | 2019-01-10 |
JP6736532B2 true JP6736532B2 (ja) | 2020-08-05 |
Family
ID=62152802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017177984A Active JP6736532B2 (ja) | 2017-06-16 | 2017-09-15 | 静的分析の要素を用いた悪質なファイルを検出するためのシステム及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10867038B2 (ja) |
JP (1) | JP6736532B2 (ja) |
CN (1) | CN109145600B (ja) |
RU (1) | RU2654146C1 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6728113B2 (ja) * | 2017-08-22 | 2020-07-22 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
US10771436B2 (en) * | 2018-04-06 | 2020-09-08 | Cisco Technology, Inc. | Dynamic whitelist management |
RU2713760C1 (ru) * | 2018-11-15 | 2020-02-07 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Способ и система выявления эмулируемой мобильной операционной системы с использованием методов машинного обучения |
CN109711160B (zh) * | 2018-11-30 | 2023-10-31 | 北京奇虎科技有限公司 | 应用程序检测方法、装置及神经网络系统 |
CN110837638B (zh) * | 2019-11-08 | 2020-09-01 | 鹏城实验室 | 一种勒索软件的检测方法、装置、设备及存储介质 |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2722692C1 (ru) | 2020-02-21 | 2020-06-03 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система выявления вредоносных файлов в неизолированной среде |
US11880461B2 (en) | 2020-06-22 | 2024-01-23 | Bank Of America Corporation | Application interface based system for isolated access and analysis of suspicious code in a computing environment |
US11269991B2 (en) | 2020-06-22 | 2022-03-08 | Bank Of America Corporation | System for identifying suspicious code in an isolated computing environment based on code characteristics |
US11797669B2 (en) | 2020-06-22 | 2023-10-24 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a computing environment |
US11636203B2 (en) | 2020-06-22 | 2023-04-25 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a disposable computing environment |
US11574056B2 (en) | 2020-06-26 | 2023-02-07 | Bank Of America Corporation | System for identifying suspicious code embedded in a file in an isolated computing environment |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
RU2759087C1 (ru) * | 2020-12-07 | 2021-11-09 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система статического анализа исполняемых файлов на основе предиктивных моделей |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
US20220342985A1 (en) * | 2021-04-23 | 2022-10-27 | AVAST Software s.r.o. | Anomaly detection and characterization in app permissions |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8312546B2 (en) * | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
US9003314B2 (en) * | 2008-08-06 | 2015-04-07 | Mcafee, Inc. | System, method, and computer program product for detecting unwanted data based on an analysis of an icon |
US9088601B2 (en) * | 2010-12-01 | 2015-07-21 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
TWI461953B (zh) | 2012-07-12 | 2014-11-21 | Ind Tech Res Inst | 運算環境安全方法和電子運算系統 |
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
GB2506605A (en) | 2012-10-02 | 2014-04-09 | F Secure Corp | Identifying computer file based security threats by analysis of communication requests from files to recognise requests sent to untrustworthy domains |
WO2014149080A1 (en) * | 2013-03-18 | 2014-09-25 | The Trustees Of Columbia University In The City Of New York | Detection of anomalous program execution using hardware-based micro-architectural data |
RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
RU2541120C2 (ru) | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов |
US9465940B1 (en) * | 2015-03-30 | 2016-10-11 | Cylance Inc. | Wavelet decomposition of software entropy to identify malware |
US9495633B2 (en) * | 2015-04-16 | 2016-11-15 | Cylance, Inc. | Recurrent neural networks for malware analysis |
WO2017011702A1 (en) * | 2015-07-15 | 2017-01-19 | Cylance Inc. | Malware detection |
CN105335655A (zh) * | 2015-09-22 | 2016-02-17 | 南京大学 | 一种基于敏感行为识别的安卓应用安全性分析方法 |
-
2017
- 2017-06-16 RU RU2017121123A patent/RU2654146C1/ru active
- 2017-08-04 US US15/669,094 patent/US10867038B2/en active Active
- 2017-09-15 JP JP2017177984A patent/JP6736532B2/ja active Active
- 2017-09-30 CN CN201710919670.7A patent/CN109145600B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
US20180365420A1 (en) | 2018-12-20 |
CN109145600A (zh) | 2019-01-04 |
JP2019003596A (ja) | 2019-01-10 |
RU2654146C1 (ru) | 2018-05-16 |
CN109145600B (zh) | 2022-02-11 |
US10867038B2 (en) | 2020-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6736532B2 (ja) | 静的分析の要素を用いた悪質なファイルを検出するためのシステム及び方法 | |
Arora et al. | Permpair: Android malware detection using permission pairs | |
US11423146B2 (en) | Provenance-based threat detection tools and stealthy malware detection | |
RU2679785C1 (ru) | Система и способ классификации объектов | |
JP7405596B2 (ja) | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 | |
RU2614557C2 (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
RU2706896C1 (ru) | Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле | |
Firdaus et al. | Root exploit detection and features optimization: mobile device and blockchain based medical data management | |
RU2659737C1 (ru) | Система и способ управления вычислительными ресурсами для обнаружения вредоносных файлов | |
CN109684836B (zh) | 使用经训练的机器学习模型检测恶意文件的系统和方法 | |
RU2739865C2 (ru) | Система и способ обнаружения вредоносного файла | |
JP6715292B2 (ja) | 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法 | |
US8401982B1 (en) | Using sequencing and timing information of behavior events in machine learning to detect malware | |
US9762593B1 (en) | Automatic generation of generic file signatures | |
US20160154960A1 (en) | Systems and methods for risk rating framework for mobile applications | |
US8190647B1 (en) | Decision tree induction that is sensitive to attribute computational complexity | |
JP2019057268A (ja) | マルウェア検出モデルの機械学習のシステムおよび方法 | |
US11379581B2 (en) | System and method for detection of malicious files | |
Alazab et al. | Detecting malicious behaviour using supervised learning algorithms of the function calls | |
RU2673708C1 (ru) | Система и способ машинного обучения модели обнаружения вредоносных файлов | |
EP3798885B1 (en) | System and method for detection of malicious files | |
JP2020181567A (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
Hu et al. | Robust app clone detection based on similarity of ui structure | |
Alazab et al. | Malicious code detection using penalized splines on OPcode frequency | |
Sándor et al. | Increasing the robustness of a machine learning-based IoT malware detection method with adversarial training |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190507 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200305 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200326 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200715 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6736532 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |