JP7023259B2 - 悪意あるファイルを検出するためのシステムおよび方法 - Google Patents
悪意あるファイルを検出するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP7023259B2 JP7023259B2 JP2019138879A JP2019138879A JP7023259B2 JP 7023259 B2 JP7023259 B2 JP 7023259B2 JP 2019138879 A JP2019138879 A JP 2019138879A JP 2019138879 A JP2019138879 A JP 2019138879A JP 7023259 B2 JP7023259 B2 JP 7023259B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- degree
- malicious
- files
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Description
・静的分析。分析対象プログラムを構成するファイルに含まれるデータに基づく、悪意性についてのプログラムの分析。分析対象プログラムの作業を開始またはエミュレートすることは除く。静的分析中に、下記の分析を用いることができる。
・シグネチャ分析。悪意あるプログラムのシグネチャのデータベースから既知のコード(シグネチャ)と分析対象プログラムのコードの特定セグメントとの対応関係について検索する。
・ホワイトリストおよびブラックリスト。悪意あるプログラムのチェックサムのデータベース(ブラックリスト)、または安全なプログラムのチェックサムのデータベース(ホワイトリスト)において、分析対象プログラム(またはその一部)から計算したチェックサムについて検索する。
・動的分析。分析対象プログラムの作業を実行またはエミュレートする過程で得られたデータに基づく、悪意性についてのプログラムの分析。動的分析中に、下記の分析を用いることができる。
・ヒューリスティック分析。分析対象プログラムの作業のエミュレーション、(API関数の呼び出し、送信されたパラメータ、分析対象プログラムのコードセグメントなどに関するデータを含む)エミュレーションログの作成、および作成されたログのデータと悪意あるプログラムの挙動シグネチャのデータベースからのデータとの間の対応関係についての検索。
・プロアクティブ保護。開始された分析対象プログラムのAPI関数の呼び出しのインターセプト、(API関数の呼び出し、送信されたパラメータ、分析対象プログラムのコードセグメントなどに関するデータを含む)分析対象プログラムの挙動ログの作成、および作成されたログのデータと悪意あるプログラムの呼び出しのデータベースからのデータとの間の対応関係についての検索。
・ファイルの訓練の選択肢を形成する所定のルールに従って、ファイルのデータベースから少なくとも1つのファイルを選択し、その後、検出モデル機械学習モジュール132は、選択したファイルの分析に基づいて、検出モデルの訓練を実施する。
・挙動ログ形成モジュール112に選択したファイルを送信する。
・疑わしいファイル(リスクウェア)。すなわち、悪意性はないが、悪意あるアクションを実行することができるファイル。
・未知のファイル。すなわち、悪意性の判定がなされておらず、不明なままであるファイル(すなわち、安全ではない、悪意性がある、疑わしいなどのファイル)。
・アンチウイルスウェブクローラによって収集されたファイル。
・ユーザによって送信されたファイル。
・ファイルのデータベースから選択された安全なファイルと悪意あるファイルの分布は、平均的なユーザのコンピュータデバイス上に在る安全なファイルと悪意あるファイルの分布に対応する。
・ファイルのデータベースから選択された安全なファイルと悪意あるファイルの分布は、アンチウイルスウェブクローラを用いて収集した安全なファイルと悪意あるファイルの分布に対応する。
・ファイルのデータベースから選択されたファイルのパラメータは、平均的ユーザのコンピュータデバイス上に在るファイルのパラメータに対応する。
・選択されたファイルの数は、所定の値と一致するが、ファイル自体はランダムに選択される。
・ファイルが安全であるか、悪意あるものであるか、潜在的に危険なものであるか、または、ファイルを実行したときのコンピュータシステムの挙動が判定されていないものかなどを特徴づける、ファイルの悪意性の程度。
・ファイルの実行中にコンピュータデバイスによって実行されるコマンドの数。
・ファイルのサイズ。
・ファイルを利用するアプリケーション。
・ファイルの試験的な選択肢を形成する所定のルールに従って、ファイルのデータベースから少なくとも1つ以上のファイルを選択し、その後、検出モデル機械学習モジュール132が、選択されたファイルの分析に基づいて、訓練された検出モデルの検証を実行する。
・選択されたファイルを挙動ログ形成モジュール112へ送信する。
・少なくとも、下記の最中に、少なくとも1つの実行可能なコマンドをインターセプトする。
・受信したファイルの実行。
・受信したファイルの実行のエミュレーション。この場合、ファイルの実行のエミュレーションは、上記ファイルを開くこと(たとえば、インタープリタによってスクリプトを開くこと)を含む。
・インターセプトされた各コマンドに対して、上記コマンドを表す少なくとも1つのパラメータを決定する。
・インターセプトされたコマンドおよび上記のように決定されたパラメータに基づいて受信したファイルの挙動ログを形成する。その場合、上記挙動ログは、ファイルからインターセプトされたコマンド(以後、コマンドと称する)の全体を構成し、各コマンドは、上記のように決定された、上記コマンドを表す少なくとも1つのパラメータ(以後、パラメータと称する)に対応する。
CreateFile, ‘c:\windows\system32\data.pass’
ReadFile, 0x14ea25f7, 0xf000
connect, http://stealpass.com
send, 0x14ea25f7, 0xf000
・特殊なドライバ、
・デバッガ、
・ハイパーバイザ、
を使用して実行する。
・API関数、
・1組の所定のアクションを表す機械命令の組(マクロコマンド)、
である。
FindFirstFile, ‘c:\windows\system32\*.pass’, 0x40afb86a
SetFileAttributes, ‘c:\windows\system32\data.pass’
FindNextFile, 0x40afb86a
CloseHandle, 0x40afb86a
_change_attributes, ‘c:\windows\system32\*.pass’
・挙動ログから選択されたコマンドおよびパラメータに基づいて、少なくとも1つの挙動パターンを形成する。その場合、挙動ログは、ファイルからの実行可能なコマンド(以後、コマンドと称する)の全体を構成し、各コマンドは、上記コマンドを表す少なくとも1つのパラメータ(以後、パラメータと称する)に対応し、挙動パターンは、少なくとも1つのコマンドとパラメータからなる組であり、上記パラメータは、上記1組のコマンド全て(以後、挙動パターンの要素と称する)を表す。
・上述したようにして形成された挙動パターンを畳み込み関数形成モジュール122に送信する。
・連続したi番目毎のコマンドおよび上記コマンドを表すパラメータ。インクリメントiは所定の増分である。
・前に選択されたコマンドから所定の時間の経過後に(たとえば、10秒ごとに)実行され、自身のパラメータを表すコマンド。
・ファイルの実行開始から所定の時間間隔で実行されるコマンド、および上記コマンドを表すパラメータ。
・所定のリストからのコマンド、および上記コマンドを表すパラメータ。
・所定のリストからのパラメータ、および上記パラメータによって表すことができるコマンド。
・コマンドパラメータの数が所定の閾値よりも多い場合における、コマンドの、最初またはランダムなk個のパラメータ。
・挙動パターンの要素を数として表現することができる場合には、「数の範囲」である。
・挙動パターンの要素をストリングの形で表現することができる場合には、「ストリング」である。
・挙動パターンの要素を所定のデータ構造によって表すことができるデータの形で表現することができる場合には、挙動パターンの上記要素の種類は、「データ構造」であってもよい。
・語彙素の形成のための所定のルール、
・事前に訓練された再帰型ニューラルネットワーク、
を用いた、挙動パターンの上記要素の語彙分析に基づいて形成されたトークンを、さらに含む。
‘c:\windows\system32\data.pass’
語彙素を形成するためのルール、すなわち、
・ストリングがファイルへのパスを含む場合には、上記ファイルが在るディスクを判定する、
・ストリングがファイルへのパスを含む場合には、上記ファイルが在るフォルダを判定する、
・ストリングがファイルへのパスを含む場合には、ファイルの拡張子を判定する、
ルールに基づき、
上記語彙素は、
・ファイルへのパス、
・ファイルが在るフォルダ、
・ファイル名、
・ファイルの拡張子
であり、
下記のトークンを形成することができる。
‘c:\’,
“folders in which the files are located” →
‘windows’,
‘system32’,
‘windows\system32’,
“extensions of the files” →
‘.pass’
‘81.19.82.8’,‘81.19.72.38’,‘81.19.14.32’
語彙素を形成するための下記のルールに基づいて、
・パラメータがIPアドレスを構成する場合には、上記IPアドレスを表すビットマスク(または、メタ文字によって表現されるビットマスクのアナログ)を判定し(すなわち、全ての上記IPに対して等式
下記のトークンを構築することができる。
‘81.19.*.*’.
23, 16, 7224, 6125152186, 512, 2662162, 363627632, 737382, 52, 2625, 3732, 812, 3671, 80, 3200
下記の数の範囲によって選別する。
0~999
→{16, 23, 52, 80, 512, 812},
1000~9999
→{2625, 3200, 3671, 7224},
10000~
→{737382, 2662162, 363627632, 6125152186}
C:\Windows\System32\drivers\acpi.sys
→
C:\
*.sys
・得られた挙動パターンについて実行された畳み込み関数の結果の逆畳み込み関数の結果が、指定値よりも大きい得られた挙動パターンと類似性を有することになるように、挙動パターンから畳み込み関数を形成する。すなわち、
式中、
riは、挙動パターンであり、
gは、畳み込み関数であり、
g-1は、逆畳み込み関数である。
・上記のようにして形成された畳み込み関数を検出モデル機械学習モジュール132に送信する。
・得られた挙動パターンに基づいて挙動パターンの特徴ベクトルを計算する。その場合、上記挙動パターンの特徴ベクトルは、挙動パターンの要素のハッシュ合計として表現されてもよい。
・挙動パターンの特徴ベクトルから畳み込み関数を形成する。その場合、上記畳み込み関数は、計算された特徴ベクトルと、計算された特徴ベクトルのハッシュ関数の結果の逆ハッシュ関数の結果との間の類似性の程度が所定の値よりも大きくなるように、ハッシュ関数を構成する。
・まず、100,000個の要素からなる、空のビットベクトルを作成する(上記ベクトルの各要素に対して、1ビットの情報が予約される)。
・挙動パターンrからの1,000個の要素が、コマンドciについてのデータを記憶するために確保され、残りの99,000個の要素が、挙動パターンrのパラメータciのために確保される。その場合、50,000個の要素(要素1001~要素51000)が、ストリングパラメータ用に確保され、25,000個の要素(要素51001~要素76000)が、数のパラメータ用に確保される。
・挙動パターンrの各コマンドciを、0~999の特定の数xiと一致させるとともに、対応するビットを、下記のように作成されたベクトルに設定する。
・ストリングに対しては、
bは、計算の位取り記数法の底であり(たとえば、2進法のベクトルについては、b=2であり、ストリング、すなわち、文字群を表すベクトルについては、b=8である)、
riは、挙動パターンのi番目の要素であり、
hは、ハッシュ関数であって、
・まず、(前の例とは異なる)さらに別の空のビットベクトルを作成する。上記空のビットベクトルは1,000個の要素からなる(1ビットの情報はベクトルの各要素のために予約される)。
・以下の式によって、挙動パターンrの各パターン要素riに対してハッシュ合計を計算し、
・まず、(前の例とは異なる)さらに別の空のベクトルを作成する。上記空のベクトルは、100,000個の要素からなる。
・下記の式により、1組のハッシュ関数{hj}を用いて、挙動パターンrの各パターン要素riに対して少なくとも2つのハッシュ合計を計算する。
{h(ri)}は、挙動パターンの要素のハッシュ関数の結果の組を表し、
{gi}は、挙動パターンの要素のハッシュ関数の結果の逆ハッシュ関数の結果の組を表し、
riは、挙動パターンのi番目の要素を表し、
hは、ハッシュ関数を表し、
wは、類似性の程度を表す。
たとえば、計算された特徴ベクトルは、下記のビットベクトルを構成し、
101011100110010010110111011111101000100011001001001001110101101101010001100110110100100010000001011101110011011011
この特徴ベクトルの畳み込み関数の結果は下記の通りであり、
1010011110101110101
上記のようにして得られた結果の逆畳み込み関数の結果は、下記の通りである。
・悪意あるファイルを検出するためのモデルを作成する。上記作成工程は、少なくとも、
・検出モデルによる機械学習法の選択と、
・訓練モデルのパラメータの初期化と、
を含み、検出モデルによる機械学習の開始に先立って初期化された訓練モデルのパラメータが、ハイパーパラメータとして知られており、訓練選択肢準備モジュール111によって選択されたファイルのパラメータに依存する。
・上述したように作成された訓練モデルを検出モデル機械学習モジュール132に送信する。
さらに別の例において、検出モデルによる機械学習のための方法は、少なくとも、
・クロステスト、スライディングチェック、交差検証(CV)、
・AICおよびBICなどの基準の数学的検証、
・A/Bテスト、スプリットテスト、
・スタッキング、
に基づいて、選択される。
システムのさらに別の態様において、検出モデルによる機械学習法は、少なくとも、
・決定木に基づいた勾配ブースティング、
・決定木、
・k近傍法、
・サポートベクトルマシン(Support Vector Machine:SVM)法、
である。
・ファイルのテスト選択肢からファイルの悪意性の判定の精度を判定するために、ファイルのテスト選択肢からファイルの分析に基づいて形成されて得られた挙動ログに対して訓練された検出モデルの検査を実行する。
・検査の結果が否定的なものであった場合には、リクエストを、少なくとも、
・検出モデルの訓練に使用されている現在のものとは異なるファイルの選択肢を準備するために、訓練選択肢準備モジュール111に送り、かつ、
・現在のものとは異なる、新しい検出モデルを作成するために、検出モデル作成モジュール131に送る。
そのようなエラーの数が所定の閾値よりも大きい場合、ファイルの新たな訓練およびテスト選択肢が選択されて、新たな検出モデルが作成される。
・挙動ログ形成モジュール112から得られた挙動ログおよび検出モデル機械学習モジュール132から得られた検出モデルに基づいて、悪意性の程度を計算する。ファイルの悪意性の程度は、実行対象ファイルの悪意ある挙動を表す定量的な特徴である。(たとえば、0~1の範囲、つまり、0、すなわち、ファイルが安全な挙動のみを有する、から1、すなわち、上記ファイルが所定の悪意ある挙動を有する、の範囲内にある)
・計算された悪意性の程度を資源管理モジュール143へ送信する。
・RAM空き容量、
・ハードディスクの空き領域の容量、
・(たとえば、より深いエミュレーションにより)アンチウイルススキャニングに費やすことができる、空きプロセッサ時間(プロセッサ時間の分量)、
である。
・悪意性の程度の値が増加した場合には、コンピュータシステムの追加資源を割り当てること、
・悪意性の程度の値が減少した場合には、事前に割り当てられた、コンピュータシステムの資源を解放すること、
にある。
・少なくとも1つのコマンドを、少なくとも
・ステップ211において選択されたファイルを実行する、
・ステップ211において選択されたファイルの作動のエミュレーションをする
最中にインターセプトする。
・インターセプトされた各コマンドについて、上記コマンドを表す少なくとも1つのパラメータを決定する。
・インターセプトされたコマンドおよび決定されたパラメータに基づいて、得られたファイルの挙動ログを形成する。この場合、挙動ログは、ファイルからのインターセプトされたコマンド(以後、コマンドと称する)の組を表し、各コマンドは、上記コマンドを表す少なくとも1つの定義されたパラメータ(以後、パラメータと称する)に対応する。
・検出モデルによる機械学習法が選択され、
・訓練モデルのパラメータが初期化される。この場合、検出モデルによる機械学習の開始に先立って初期化された訓練モデルのパラメータは、ハイパーパラメータとして知られる。
・コンピュータシステム上を走っているファイルによって実行される少なくとも1つのコマンドをインターセプトする、
・インターセプトされたコマンドに基づいて上記システムの挙動ログを形成する。
CreateFile 0x24e0da54 ‘.dat’
{c1, p1, p2}
ReadFile 0x24e0da54 ‘.dat’
{c2, p1, p2}
DeleteFile 0x24e0da54 ‘.dat’ ‘c:\’
{c3, p1, p2, p3}
CreateFile 0x708a0b32 ‘.dat’ 0x3be06520
{c1, p2, p3, p5}
WriteFile 0x708a0b32
{c4, p3}
WriteFile 0x708a0b32 0x3be06520 0x9902a18d1718b5124728f9 0
{c4, p3, p5, p6, p7}
CopyMemory 0x3be06520 0x9902a18d1718b5124728f9
{c5, p4, p5, p6}
ReadFile 0x9902a18d1718b5124728f9 0
{c2, p6, p7}
{c1, p1}
{c1, p2}
{c1, p3}
{c1, p5}
{c2, p1}
{c2, p2}
{c2, p6}
{c2, p7}
{c3, p1}
{c3, p2}
{c3, p3}
{c4, p3}
{c4, p5}
{c4, p6}
{c4, p7}
{c5, p4}
{c5, p5}
{c5, p6}
{c1, c2, c3, p1}
{c1, c2, c3, p2}
{c1, c4, c5, p5}
{c2, c4, c5, p6}
{c1, c3, c4, p3}
{c5, p4}
{c2, c4, p7}
{c1, c2, c3, p1, p2}
{c4, c5, p5, p6}
{c2, c4, p6, p7}
・少なくとも1つのコマンドを、少なくとも、
・ファイル501の実行、
・ファイル501の実行のエミュレーション、
の最中にインターセプトする。
・インターセプトした各コマンドについて、上記コマンドを表す少なくとも1つのパラメータを決定する。
・インターセプトしたコマンドおよび決定したパラメータに基づいて、上記ファイルに対する挙動ログを形成する。この場合、インターセプトしたコマンドおよび上記コマンドを表すパラメータを、最初にインターセプトしたコマンドから直近にインターセプトしたコマンドまで時間順に挙動ログに記録する(以後、挙動ログへの書き込みと称する)。
・構築された挙動ログを、挙動ログ分析モジュール530および検出モデル選択モジュール520へ送信する。
・次のコマンドがインターセプトされる時まで、実行対象ファイル501の悪意性について分析することが可能かどうか(挙動ログ分析モジュール530、悪意性程度計算モジュール540、および分析モジュール550を用いて)判定する。
・悪意性に関する実行対象ファイル501の分析の結果、上記コンピュータデバイスの計算資源が所定の閾値未満まで減少するかどうかを判定する。上記コンピュータデバイスの計算資源は、少なくとも、
・上記コンピュータデバイスの性能、
・上記コンピュータデバイスの空きRAM容量、
・(ハードディスクなどの)上記コンピュータデバイスの情報記憶メディア上の空き領域の容量、
・上記コンピュータデバイスが接続されるコンピュータネットワークの帯域幅、
を含む。
・実行対象ファイル501の挙動ログから選択されたコマンドとパラメータに基づいて、悪意あるファイルを検出するためのモデルを少なくとも2つ、検出モデルデータベース521から選択する。なお、悪意あるファイルを検出するためのモデルは、悪意性の程度を判定するための決定ルールである。
・悪意性程度計算モジュール540に、悪意あるファイルを検出するためのモデルを全て送信する。
・決定木に基づいた勾配ブースティング、
・決定木、
・k近傍法、
・サポートベクトル、
である。
・グラフィカルユーザインターフェース(Graphical User Interface:GUI)を有するファイル
・コンピュータネットワークにおいてデータを交換するファイル
・ファイル(「Trojan-Cryptors」系の悪意あるファイルなど)を暗号化するファイル
・伝播ネットワーク脆弱性(たとえば、「Net-Worms」系の悪意あるファイル)、P2Pネットワーク(たとえば、「P2P-Worms」系の悪意あるファイル)などに利用するファイル。
wtotalは、集計した悪意性の程度を表し、
wiは、モデルiを使用して計算した悪意性の程度を表し、
nは、悪意性の程度を集計するために用いる、悪意あるファイル検出用モデルの数を表す。
Idetectは、挙動ログからのコマンドの数であって、その分析後にファイルが悪意あるものとみなされるコマンドの数を表し、
Iiは、挙動ログからのコマンドの数であって、モデルiを使用して、その分析後にファイルが悪意あるものとみなされるコマンドの数を表し、
wiは、モデルiを使用して計算した悪意性の程度を表し、
nは、挙動ログからのコマンドの数を計算するために使用される悪意あるファイル検出用モデルの数であって、その分析後にファイルが悪意あるものとみなされる、モデルの数を表す。
・実行対象ファイル501の挙動ログから選択されたコマンドと同じコマンドが実行された。
・実行対象ファイル501の挙動ログから選択されたパラメータと同じパラメータが使用された。
・実行対象ファイル501の挙動ログから選択されたコマンドとパラメータに基づいて、少なくとも1つの挙動パターンを形成する。このとき、上記挙動パターンは、少なくとも1つのコマンドと1つのパラメータからなる組であり、上記パラメータは、上記組からのコマンド全てを表す。
・形成された全ての挙動パターンの畳み込みを計算する。
・形成した畳み込みを、実行対象ファイルの悪意性程度計算モジュール540に送信する。
・得られた、悪意あるファイル検出用各モデルを使用し、得られた畳み込みの分析に基づいて、実行対象ファイル501の悪意性の程度を計算する。
・計算された各悪意性の程度を分析モジュール550に送信する。
・得られた悪意性の程度に基づいて決定テンプレートを形成する。
・形成された決定テンプレートと、悪意あるファイルの分析に基づいて事前に形成された、決定テンプレートデータベース541から選択される所定の決定テンプレートの少なくとも1つとの間の類似性の程度が、所定の閾値を超える場合、実行対象ファイル501を悪意あるものとみなす。
・分析対象ファイル501を実行するか、または、
・分析対象ファイル501の実行をエミュレートする。
・少なくとも1つの実行対象コマンドをインターセプトし、
・インターセプトされた各コマンドに対して、上記コマンドを表す、少なくとも1つのパラメータを決定し、
・インターセプトされたコマンドと上述したように決定したパラメータに基づいて、上記ファイル501の挙動ログを形成する。
・実行対象ファイル501に含まれる、またはファイル501の実行のプロセスで解釈可能なコマンド、上記コマンドに送信される属性、および戻り値。
・ファイル501の実行中に変更可能な、RAMの領域に関するデータ。
・ファイル501の静的パラメータ。
・(たとえば、ファジーハッシュの使用による)上記データのメモリ領域の畳み込み。
・上記メモリ領域からどの語彙素が抽出されたか、また、その使用(たとえば、使用頻度、加重特性、他の語彙素との関係など)に関して、どのような統計が収集されたかに基づいた、上記データのメモリ領域の語彙分析の結果。
・サイズ、オーナ(プロセス)、および使用権など、上記メモリ領域の静的パラメータ。
・分析対象ファイル501によって実行されたコマンドのログ。
・オペレーティングシステム、またはオペレーティングシステムの管理下で実行されるアプリケーション(分析対象ファイル501を除く)によって、実行されるコマンドのログ。
・コンピュータネットワークを介して得たデータ。
・所与のチャンネルが、情報(たとえば、アンパックされた実行対象ファイルのログまたはシーケンス)を連続して得ることに関連する場合、入力シーケンスに対する特徴を単一のベクトルへと集合させるために、システムを追加で作成する。
・システムを作成して、所与のチャンネルからの特徴を長さKの新しいベクトルに変換する。さらに、このベクトルにおける値は、入力シーケンスの新しい要素が加工されると、単に単調に増加することがある。
・全てのアクティブチャンネルから到着する、長さKのベクトルは、特定の長さを有する1つのベクトルに、単調に集められる(例えば、最大値は素子毎に得られる)。
・集められた、単調に増加するベクトルは、1つの実数に変換され、上記実数は、調査対象プロセスの疑わしい性質を特徴づける(たとえば、上記ベクトルは、そのベクトルの要素を追加することによって、または、ベクトルのノルムを計算するなど、所定のアルゴリズムに従ってベクトルの要素に対してアクションを実行することによって、変換される)。
・決定木に基づいた勾配ブースティング、
・決定木、
・k近傍法、
・サポートベクトル、
である。
・悪意性の程度と悪意性の境界条件の間の隔たりについての所定の閾値からの差、
・悪意性の程度および安全性の限界程度を表す曲線間の所与の時間間隔に結びつけられる領域の所定の閾値からの差、
・時間関数として悪意性の程度および悪意性の境界条件を表す曲線の相互増加率の所定値からの差、
である。
・悪意性の程度および安全性の限界程度を判定する精度は、訓練されていないパラメータ計算モデルを使用する場合よりも高い。
・計算資源の利用率が、訓練されていないパラメータ計算モデルを使用する場合よりも低い。
Claims (19)
- 悪意あるファイルを検出するための方法であって、
ハードウェアプロセッサが、コンピュータシステム内でのファイルの実行中、前記ファイルを監視する工程と、
前記ハードウェアプロセッサが、前記ファイルの前記実行中、挙動データに基づいて、特徴ベクトルを形成する工程であって、
前記特徴ベクトルの特徴は、前記挙動データを特徴づけ、
前記特徴ベクトルは、1組の数の形をとる前記挙動データの畳み込みを表す、
工程と、
前記ハードウェアプロセッサが、パラメータを計算するために訓練されたモデルを使用して、前記特徴ベクトルに基づいてパラメータを計算する工程であって、
前記パラメータは、i)前記ファイルに悪意がある確率を示す悪意性の程度と、ii)前記ファイルが安全であると明確に証明される確率を示す安全性の限界程度とを含み、
連続して計算された程度の集合は、所定の時間法則によって表される、
工程と、
前記ハードウェアプロセッサが、前記悪意性の程度および前記安全性の限界程度が所定の基準を満たす場合、前記ファイルに悪意があると判定する工程であって、
前記基準は、前記悪意性の程度と前記安全性の限界程度との間に確立する相関性に従って前記ファイルを分類するためのルールである、工程と、
を含む、方法。 - パラメータを計算するための前記モデルは、少なくとも1つの安全なファイルと1つの悪意あるファイルに対して行われる機械学習法によって訓練される、請求項1に記載の方法。
- 前記機械学習法は、決定木に基づいた勾配ブースティング、決定木、k近傍法、およびサポートベクトル法のうちの1つである、請求項2に記載の方法。
- 前記挙動データは、少なくとも、
前記ファイルによって実行されるコマンド、前記コマンドに送信される属性、および戻り値、
実行対象の前記ファイルによって変更されるランダムアクセスメモリ(Random Access Memory:RAM)領域に関するデータ、または、
前記ファイルの静的パラメータである、
請求項1に記載の方法。 - 前記悪意性の程度に基づいて前記安全性の限界程度を計算する工程をさらに含み、
前記安全性の限界程度は、前記ファイルの起動時に、前記ファイルの静的パラメータ分析に基づいて計算する、
請求項1に記載の方法。 - パラメータを計算するために訓練された前記モデルは、前記挙動データに依存する、前記ファイルの前記悪意性の程度および前記ファイルの前記安全性の限界程度を計算するための1組のルールである、請求項1に記載の方法。
- 前記悪意性の程度と前記安全性の限界程度の間の相関性は、少なくとも、
前記悪意性の程度と悪意性の境界条件の間の隔たりの所定閾値からの差、
前記悪意性の程度と前記境界条件の間の所与の時間間隔に結びつけられる領域の所定閾値からの差、または、
時間関数として前記悪意性の程度および前記悪意性の境界条件を表す曲線の相互増加率の所定値からの差である、
請求項1に記載の方法。 - パラメータを計算するための前記モデルを、計算した前記悪意性の程度および前記安全性の限界程度の分析に基づいて、さらに再訓練し、前記再訓練の結果、前記悪意性の程度および前記安全性の限界程度を表す前記時間法則における変化は、前記法則に基づいて得られた値の間の相関性が最大に向かう傾向があることを意味する、請求項1に記載の方法。
- パラメータを計算するための前記モデルを再訓練し、前記再訓練の結果、前記モデルを使用すると、後に形成される前記基準によって、少なくとも、
前記悪意性の程度および前記安全性の限界程度を判定する精度が、パラメータ計算用には訓練されていないモデルを使用する場合より高く、
計算資源の利用率が、パラメータ計算用には訓練されていないモデルを使用する場合より低くなる、
ことが確実となる、請求項1に記載の方法。 - 悪意あるファイルを検出するためのシステムであって、
前記システムは、ハードウェアプロセッサを備え、
前記ハードウェアプロセッサは、
コンピュータシステム内でのファイルの実行中、前記ファイルを監視することと、
前記ファイルの前記実行中、挙動データに基づいて、特徴ベクトルを形成することであって、
前記特徴ベクトルの特徴は、前記挙動データを特徴づけ、
前記特徴ベクトルは、1組の数の形をとる前記挙動データの畳み込みを表す、ことと、
パラメータを計算するために訓練されたモデルを使用して、前記特徴ベクトルに基づいてパラメータを計算することであって、
前記パラメータは、i)前記ファイルに悪意がある確率を示す悪意性の程度と、ii)前記ファイルが安全であると明確に証明される確率を示す安全性の限界程度とを含み、 連続して計算された程度の集合は、所定の時間法則によって表される、ことと、
前記悪意性の程度および前記安全性の限界程度が所定の基準を満たす場合、前記ファイルに悪意があると判定することであって、
前記基準は、前記悪意性の程度と前記安全性の限界程度との間に確立する相関性に従って前記ファイルを分類するためのルールである、ことと、
を行うハードウェアプロセッサである、システム。 - パラメータを計算するための前記モデルは、少なくとも1つの安全なファイルと1つの悪意あるファイルに対して行われる機械学習法によって訓練される、請求項10に記載のシステム。
- 前記機械学習法は、決定木に基づいた勾配ブースティング、決定木、k近傍法、およびサポートベクトル法のうちの1つである、請求項11に記載のシステム。
- 前記挙動データは、少なくとも、
前記ファイルによって実行されるコマンド、前記コマンドに送信される属性、および戻り値、
実行対象の前記ファイルによって変更されるランダムアクセスメモリ(Random Access Memory:RAM)領域に関するデータ、または、
前記ファイルの静的パラメータである、
請求項10に記載のシステム。 - 前記ハードウェアプロセッサは、さらに、前記悪意性の程度に基づいて前記安全性の限界程度を計算し、
前記安全性の限界程度は、前記ファイルの起動時に、前記ファイルの静的パラメータ分析に基づいて計算される、
請求項10に記載のシステム。 - パラメータを計算するために訓練された前記モデルは、前記挙動データに依存する、前記ファイルの前記悪意性の程度および前記ファイルの前記安全性の限界程度を計算するための1組のルールである、請求項10に記載のシステム。
- 前記悪意性の程度と前記安全性の限界程度の間の相関性は、少なくとも、
前記悪意性の程度と悪意性の境界条件の間の隔たりの所定閾値からの差、
前記悪意性の程度と前記境界条件の間の所与の時間間隔に結びつけられる領域の所定閾値からの差、または、
時間関数として前記悪意性の程度および前記悪意性の境界条件を表す曲線の相互増加率の所定値からの差である、
請求項10に記載のシステム。 - パラメータを計算するための前記モデルを、計算した前記悪意性の程度および前記安全性の限界程度の分析に基づいて、さらに再訓練し、前記再訓練の結果、前記悪意性の程度および前記安全性の限界程度を表す前記時間法則における変化は、前記法則に基づいて得られる値の間の相関性が最大に向かう傾向があることを意味する、請求項10に記載のシステム。
- パラメータを計算するための前記モデルを再訓練し、前記再訓練の結果、前記モデルを使用すると、後に形成される前記基準によって、少なくとも、
前記悪意性の程度および前記安全性の限界程度を判定する精度が、パラメータ計算用には訓練されていないモデルを使用する場合より高く、
計算資源の利用率が、パラメータ計算用には訓練されていないモデルを使用する場合より低くなる、
ことが確実となる、請求項10に記載のシステム。 - 悪意あるファイルを検出するための命令を格納する、非一時的なコンピュータ可読記憶媒体であって、前記命令は、
コンピュータシステム内でのファイルの実行中、前記ファイルを監視することと、
前記ファイルの前記実行中、挙動データに基づいて、特徴ベクトルを形成することであって、
前記特徴ベクトルの特徴は、前記挙動データを特徴づけ、
前記特徴ベクトルは、1組の数の形をとる前記挙動データの畳み込みを表す、ことと、
パラメータを計算するために訓練されたモデルを使用して、前記特徴ベクトルに基づいてパラメータを計算することであって、
前記パラメータは、i)前記ファイルに悪意がある確率を示す悪意性の程度と、ii)前記ファイルが安全であると明確に証明される確率を示す安全性の限界程度とを含み、 連続して計算された程度の集合は、所定の時間法則によって表される、ことと、
前記悪意性の程度および前記安全性の限界程度が所定の基準を満たす場合、前記ファイルに悪意があると判定することであって、
前記基準は、前記悪意性の程度と前記安全性の限界程度との間に確立する相関性に従って前記ファイルを分類するためのルールである、ことと、
を含む命令である、非一時的なコンピュータ可読記憶媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018147233 | 2018-12-28 | ||
RU2018147233A RU2739865C2 (ru) | 2018-12-28 | 2018-12-28 | Система и способ обнаружения вредоносного файла |
US16/414,907 | 2019-05-17 | ||
US16/414,907 US11176250B2 (en) | 2018-12-28 | 2019-05-17 | System and method for detection of a malicious file |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020115320A JP2020115320A (ja) | 2020-07-30 |
JP7023259B2 true JP7023259B2 (ja) | 2022-02-21 |
Family
ID=71121832
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019138879A Active JP7023259B2 (ja) | 2018-12-28 | 2019-07-29 | 悪意あるファイルを検出するためのシステムおよび方法 |
Country Status (5)
Country | Link |
---|---|
US (4) | US11176250B2 (ja) |
EP (1) | EP3674947B1 (ja) |
JP (1) | JP7023259B2 (ja) |
CN (1) | CN111382434B (ja) |
RU (1) | RU2739865C2 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11023576B2 (en) * | 2018-11-28 | 2021-06-01 | International Business Machines Corporation | Detecting malicious activity on a computer system |
US11200318B2 (en) * | 2018-12-28 | 2021-12-14 | Mcafee, Llc | Methods and apparatus to detect adversarial malware |
US11029947B2 (en) * | 2019-08-30 | 2021-06-08 | Accenture Global Solutions Limited | Utilizing artificial intelligence to improve productivity of software development and information technology operations (DevOps) |
US20210185080A1 (en) * | 2019-12-11 | 2021-06-17 | At&T Intellectual Property I, L.P. | Social engineering attack prevention |
US11834060B2 (en) * | 2020-03-31 | 2023-12-05 | Denso International America, Inc. | System and method for managing vehicle subscriptions |
KR20230037661A (ko) * | 2020-07-17 | 2023-03-16 | 그램 랩스 인코포레이티드 | 컨테이너화된 애플리케이션의 배치를 최적화하기 위한 시스템, 방법 및 서버 |
CN113010888B (zh) * | 2021-03-02 | 2022-04-19 | 电子科技大学 | 一种基于关键神经元的神经网络后门攻击防御方法 |
CN113221109B (zh) * | 2021-03-30 | 2022-06-28 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
CN116910755A (zh) * | 2023-09-13 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种文件检测方法 |
CN116956296B (zh) * | 2023-09-20 | 2023-12-01 | 北京安天网络安全技术有限公司 | 一种文件的动态检测方法、电子设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019091411A (ja) | 2017-10-18 | 2019-06-13 | エーオー カスペルスキー ラボAO Kaspersky Lab | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 |
Family Cites Families (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8984636B2 (en) * | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US8161548B1 (en) * | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
US8032714B2 (en) * | 2007-09-28 | 2011-10-04 | Aggregate Knowledge Inc. | Methods and systems for caching data using behavioral event correlations |
US8060857B2 (en) * | 2009-01-31 | 2011-11-15 | Ted J. Biggerstaff | Automated partitioning of a computation for parallel or other high capability architecture |
US8719935B2 (en) * | 2010-01-08 | 2014-05-06 | Microsoft Corporation | Mitigating false positives in malware detection |
US8413244B1 (en) * | 2010-11-11 | 2013-04-02 | Symantec Corporation | Using temporal attributes to detect malware |
WO2012071989A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
US9015843B2 (en) * | 2010-12-03 | 2015-04-21 | Microsoft Corporation | Predictive malware threat mitigation |
ES2755780T3 (es) * | 2011-09-16 | 2020-04-23 | Veracode Inc | Análisis estático y de comportamiento automatizado mediante la utilización de un espacio aislado instrumentado y clasificación de aprendizaje automático para seguridad móvil |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
WO2014012106A2 (en) * | 2012-07-13 | 2014-01-16 | Sourcefire, Inc. | Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
RU2530210C2 (ru) * | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
US9501645B2 (en) * | 2013-03-15 | 2016-11-22 | Rudolf H. Hendel | System and method for the protection of computers and computer networks against cyber threats |
CN105229612B (zh) * | 2013-03-18 | 2018-06-26 | 纽约市哥伦比亚大学理事会 | 使用基于硬件的微体系结构数据的异常程序执行的检测 |
KR101794116B1 (ko) * | 2013-03-18 | 2017-11-06 | 더 트러스티스 오브 컬럼비아 유니버시티 인 더 시티 오브 뉴욕 | 하드웨어 특징들을 사용한 이상 프로세스들의 비감시된 검출 |
US9448859B2 (en) * | 2013-09-17 | 2016-09-20 | Qualcomm Incorporated | Exploiting hot application programming interfaces (APIs) and action patterns for efficient storage of API logs on mobile devices for behavioral analysis |
US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
JP6188956B2 (ja) * | 2013-12-30 | 2017-08-30 | ノキア テクノロジーズ オーユー | マルウェア検出検査方法及び装置 |
US10225280B2 (en) * | 2014-02-24 | 2019-03-05 | Cyphort Inc. | System and method for verifying and detecting malware |
US9690933B1 (en) * | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US9646159B2 (en) * | 2015-03-31 | 2017-05-09 | Juniper Networks, Inc. | Multi-file malware analysis |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
RU2617631C2 (ru) * | 2015-09-30 | 2017-04-25 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере |
CN105205396A (zh) * | 2015-10-15 | 2015-12-30 | 上海交通大学 | 一种基于深度学习的安卓恶意代码检测系统及其方法 |
WO2017147441A1 (en) * | 2016-02-26 | 2017-08-31 | Cylance Inc. | Sub-execution environment controller |
US9928363B2 (en) * | 2016-02-26 | 2018-03-27 | Cylance Inc. | Isolating data for analysis to avoid malicious attacks |
RU2628923C1 (ru) * | 2016-05-20 | 2017-08-22 | Акционерное общество "Лаборатория Касперского" | Система и способ распределения файлов между виртуальными машинами, входящими в распределённую систему виртуальных машин, для выполнения антивирусной проверки |
US10270788B2 (en) * | 2016-06-06 | 2019-04-23 | Netskope, Inc. | Machine learning based anomaly detection |
US10972482B2 (en) * | 2016-07-05 | 2021-04-06 | Webroot Inc. | Automatic inline detection based on static data |
CN106778241B (zh) * | 2016-11-28 | 2020-12-25 | 东软集团股份有限公司 | 恶意文件的识别方法及装置 |
US20180150742A1 (en) * | 2016-11-28 | 2018-05-31 | Microsoft Technology Licensing, Llc. | Source code bug prediction |
US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
US10645107B2 (en) * | 2017-01-23 | 2020-05-05 | Cyphort Inc. | System and method for detecting and classifying malware |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
US10917419B2 (en) * | 2017-05-05 | 2021-02-09 | Servicenow, Inc. | Systems and methods for anomaly detection |
US10089467B1 (en) * | 2017-05-23 | 2018-10-02 | Malwarebytes Inc. | Static anomaly-based detection of malware files |
JP6860070B2 (ja) * | 2017-06-23 | 2021-04-14 | 日本電気株式会社 | 分析装置、ログの分析方法及び分析プログラム |
US10560487B2 (en) * | 2017-07-26 | 2020-02-11 | International Business Machines Corporation | Intrusion detection and mitigation in data processing |
RU2654151C1 (ru) | 2017-08-10 | 2018-05-16 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов |
RU2659737C1 (ru) | 2017-08-10 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Система и способ управления вычислительными ресурсами для обнаружения вредоносных файлов |
US11182695B1 (en) * | 2017-08-18 | 2021-11-23 | Groupon, Inc. | Method, apparatus, and computer program product for machine learning model lifecycle management |
WO2019075399A1 (en) * | 2017-10-13 | 2019-04-18 | Huawei Technologies Co., Ltd. | SYSTEM AND METHOD FOR COLLABORATIVE REAL TIME USER USE OF CLOUD DEVICE AND DETECTION OF PERFORMANCE ANOMALY |
US11568301B1 (en) * | 2018-01-31 | 2023-01-31 | Trend Micro Incorporated | Context-aware machine learning system |
CN108629183B (zh) * | 2018-05-14 | 2021-07-20 | 南开大学 | 基于可信度概率区间的多模型恶意代码检测方法 |
US11574051B2 (en) * | 2018-08-02 | 2023-02-07 | Fortinet, Inc. | Malware identification using multiple artificial neural networks |
US10826932B2 (en) * | 2018-08-22 | 2020-11-03 | General Electric Company | Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system |
RU2724710C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ классификации объектов вычислительной системы |
-
2018
- 2018-12-28 RU RU2018147233A patent/RU2739865C2/ru active
-
2019
- 2019-05-17 US US16/414,907 patent/US11176250B2/en active Active
- 2019-05-17 US US16/414,868 patent/US11599630B2/en active Active
- 2019-05-17 US US16/414,832 patent/US11227048B2/en active Active
- 2019-06-20 EP EP19181469.8A patent/EP3674947B1/en active Active
- 2019-07-04 CN CN201910599029.9A patent/CN111382434B/zh active Active
- 2019-07-29 JP JP2019138879A patent/JP7023259B2/ja active Active
-
2021
- 2021-10-12 US US17/499,413 patent/US11880455B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019091411A (ja) | 2017-10-18 | 2019-06-13 | エーオー カスペルスキー ラボAO Kaspersky Lab | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 |
Non-Patent Citations (1)
Title |
---|
RU 2659737 C1,2018年07月03日,pp.1-51 |
Also Published As
Publication number | Publication date |
---|---|
US20220043910A1 (en) | 2022-02-10 |
EP3674947B1 (en) | 2022-06-22 |
CN111382434B (zh) | 2023-08-01 |
RU2739865C2 (ru) | 2020-12-29 |
RU2018147233A (ru) | 2020-06-29 |
US20200210577A1 (en) | 2020-07-02 |
US11176250B2 (en) | 2021-11-16 |
RU2018147233A3 (ja) | 2020-10-09 |
CN111382434A (zh) | 2020-07-07 |
US20200210567A1 (en) | 2020-07-02 |
US20200210576A1 (en) | 2020-07-02 |
EP3674947A1 (en) | 2020-07-01 |
US11599630B2 (en) | 2023-03-07 |
US11227048B2 (en) | 2022-01-18 |
JP2020115320A (ja) | 2020-07-30 |
US11880455B2 (en) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7023259B2 (ja) | 悪意あるファイルを検出するためのシステムおよび方法 | |
JP7405596B2 (ja) | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 | |
US11403396B2 (en) | System and method of allocating computer resources for detection of malicious files | |
RU2679785C1 (ru) | Система и способ классификации объектов | |
JP6715292B2 (ja) | 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法 | |
JP6731988B2 (ja) | 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 | |
JP6731981B2 (ja) | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 | |
JP2020109611A (ja) | コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 | |
EP3674948A1 (en) | System and method for classification of objects of a computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200427 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210414 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210525 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210825 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210901 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220201 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220208 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7023259 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |